Täglich klicken nicht wenige Menschen auf den Link in einer E-Mail, die scheinbar vertrauenswürdig ist und professionell daher kommt. Auch ein mittelständischer Automobilzulieferer wurde jüngst Opfer einer solchen Attacke. Wie sich der Fall chronologisch entwickelte und wie es dem Unternehmen – gemeinsam mit seinem IT-Dienstleister – gelang, den Angriff erfolgreich einzudämmen und resilienter gegenüber kommenden Bedrohungen zu werden, führt nachfolgender Bericht auf.
Dieser Beitrag beschreibt den Ablauf eines dreisten Pishing-Angriff auf einen Automobilzulieferer und welche Lehren sich daraus ziehen lassen.
(Bild: Elnur - stock.adobe.com)
BND-Präsident Bruno Kahl hält Cyberangriffe für eine der größten Bedrohungen, denen Deutschland ausgesetzt ist. Warnungen vor Pishing-E-Mails hört man zudem fast täglich, aus den Medien, vom BSI oder vom eigenen Arbeitgeber. Report München berichtete erst kürzlich von der Stadt Rodgau, die nach einem daraus resultierenden Hackerangriff großflächig lahmgelegt war. Der Link auf eine gefälschte Webseite ist nur eine Form des Köders in einer E-Mail. Auch Fake-Dokumente wie Quittungen oder Kaufverträge im Anhang können dazu verleiten, sie zu öffnen. Gerade dass Pishing-Angriffe derart vielseitig sind, macht sie so gefährlich und schwer auszumachen – wenn man nicht wirklich immer hundertprozentig misstrauisch ist.
Die Automobilindustrie war schon des Öfteren Opfer solcher Attacken und der vorliegende Fall ist beileibe nicht der erste. So hatte es 2022 eine großangelegte Kampagne gleich parallel auf Autohersteller, Autohäuser und Werkstätten abgesehen. Die Kriminellen bauten damals verschiedene Webseiten echter Unternehmen als Drop-Sites nach, auf die sich die Phishing-E-Mails zurückverfolgen und damit fälschlicherweise verifizieren ließen. Wie durchdacht das Ganze war, zeichnete anschaulich der Blog „Check Point“ nach: Eine E-Mail gab vor, einen unterschriebenen Vertrag für eine Autoübergabe zu enthalten. Den Erhalt galt es zu bestätigen und Fahrzeugpapiere, TÜV-Bescheinigung zu übermitteln. Sobald man den Vertrag anklickte, öffnete sich unbemerkt eine zweite Datei, welche die Drop-Site kontaktiert, über die dann die Malware eingeschmuggelt wurde. Das Opfer bekam davon nichts mit, es sah nur den „Kaufvertrag“.
Neue Geschäftskontakte wurden recherchiert
Im Fall des mittelständischen Automobilzulieferers begannen die Hacker mit der Vorbereitung offenbar bereits mehrere Wochen vor der eigentlichen Attacke. Diese kam sogar ohne Einschleusen von Malware aus. Über soziale Business-Netzwerke identifizierten sie neue Geschäftspartner des Unternehmens. In dessen Mitarbeiter-Profilen tauchten ab einem bestimmten Zeitpunkt vermehrt Kontakte zu Teammitgliedern des neuen Geschäftspartners auf.
So konnten die Hacker die gefälschten E-Mail-Adressen sorgfältig auswählen, um vertrauenserweckende, personalisierte Phishing-E-Mails zu erstellen und ab Februar 2023 an einzelne Beschäftigte des Automobilzulieferers zu verschicken. Professionelles Erscheinungsbild, fehlerfreie Sprache, einwandfreier Absender – wer sollte da Verdacht schöpfen? Arglos klickten die Angeschriebenen auf den Link in der E-Mail und gelangten auf eine gefälschte Login-Seite des angeblich neuen Extranets des Geschäftspartners. Dort konnte man sich – unter Verwendung des DomainAccounts – für das Partner-Extranet registrieren, um künftig einfach und ohne Login Zugriff zu erhalten.
Nicht wenige Angestellte waren es, die prompt darauf hereinfielen. Sie alle erteilten den Kriminellen damit Zugriff auf ihre E-Mail-Postfächer. Von da aus war es kein weiter Weg zu weiteren Zugängen Cloud-basierter Systemen wie der CRM- oder Projekt-Management-Lösung. Diese kaperten die Hacker über angeforderte Passwort-Resets und konnten daraufhin Kundeninformationen, Finanz- und weiteren vertrauliche Daten abrufen.
Die Reaktion: Erkennung und Maßnahmen
Wenige Tage später fielen der IT-Abteilung erstmals ungewöhnliche Aktivitäten im Netzwerk auf. Da versuchte jemand, neue VPN-Zugänge zu erhalten und es gab verdächtige Login-Versuche ins Unternehmensnetz über bestehende VPN-Verbindungen. Sofort war klar: Hier ist etwas Größeres im Gange. Das Standardszenario in solchen Fällen: zuerst die betroffenen Systeme isolieren und die betroffenen Mitarbeitenden benachrichtigen. Es folgt eine umfassende forensische Untersuchung, bevor die Systeme wieder anlaufen können. Der letzte, in die Zukunft gerichtete Schritt war es dann, die Sicherheitsstandards nochmals zu erhöhen und zusätzliche Maßnahmen zu definieren, um einen solchen Vorgang künftig definitiv zu verhindern.
Isolierung + Passwortwechsel als erste Schritte
Zunächst also isolierte die IT-Abteilung die betroffenen Systeme und deaktivierte das VPN-Gateway, ebenso wie die Zugänge zu den Cloud-basierten Systemen. Verbindungen zum Mailserver waren damit nur noch direkt aus dem Unternehmensnetzwerk möglich. Damit wurde verhindert, dass die Angreifer noch andere Teile der IT-Infrastruktur attackieren und weiteren Schaden anrichten.
Im nächsten Schritt informierte das Unternehmen seine Beschäftigten und forderte sie auf, umgehend ihre Passwörter zu ändern. Etwas komplizierter war das bei denjenigen, die sich zu diesem Zeitpunkt außerhalb des Unternehmensnetzwerkes befanden (im Home-Office oder auf Dienstreise). Wegen des deaktivierten VPN-Gateway und dadurch beschränkten Zugangs zum Mailserver kamen sie nicht auf das Netzwerk und konnten folglich auch ihre E-Mails nicht lesen. Aufgabe für den Service Desk daher: jede einzelne Person anrufen, sie über den Vorfall informieren und beim Passwortwechsel unterstützen. Wer auf diese Weise nicht zu erreichen war, dessen Zugang wurde deaktiviert. Ergebnis des konzertierten Vorgehens: Innerhalb von 48 Stunden war ein unternehmensweiter Passwortwechsel vollzogen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Anschließend leitete die IT-Abteilung mit Unterstützung ihres IT-Dienstleisters handz.on eine umfassende forensische Untersuchung ein, um das Ausmaß des Datenverlusts und die Identität der Angreifer festzustellen. Die eigentliche Analyse wurde dabei auf extra dafür erstellten Kopien („Snapshots“) der betroffenen Systeme durchgeführt. Um festzustellen, wie weit und über welchen Zeitraum die Angreifer ins Netz eindringen konnten, konzentrierten sich die Untersuchungen hauptsächlich auf die Auswertung der Logfiles von VPN-Gateway, Mailserver, Firewalls und der Cloud-basierten Systeme.
Wiederanlauf, gezogene Lehren und neue Sicherheitsstandards
Die forensische Untersuchung zeigte: Es lag kein weiterer Schaden vor. Die Passwörter waren zurückgesetzt, die VPN-Verbindungen deaktiviert – jetzt konnte damit begonnen werden, die isolierten bzw. eingeschränkten Systeme wieder freizuschalten. Mailserver-Zugriffe über Verbindungen aus dem Internet waren wieder erlaubt, das VPN-Gateway und die Zugänge auf die Cloud-basierten Systeme wurden reaktiviert.
Um ähnliche Vorfälle in der Zukunft zu vermeiden, verstärkte das Unternehmen anschließend seine Sicherheitsmaßnahmen. Eine Multi-Faktor-Authentifizierung (MFA) für die Anmeldung an der Domäne und den Cloud-basierten Systemen wurde eingeführt und der IT-Dienstleister mit der Konzeption einer Awareness-Kampagne beauftragt. Deren Ziel: die Mitarbeitenden mittels Sicherheitsschulungen engmaschig über Cyberkriminalität und Phishing aufzuklären. Auch regelmäßige Sicherheitsüberprüfungen in Form von Penetrationstests exponierter Systeme und simulierten Phishing-Angriffen finden seitdem statt.
Im nächsten Schritt wird das Expertenteam von Handz.On mit einer Gap-Analyse des bestehenden Information-Security-Management-Systems (ISMS) durchführen. Dadurch soll dieses fit gemacht werden für die geplante Rezertifizierung nach dem TISAX-Standard für Informationssicherheit in der Automobilindustrie. Perspektivisch erwägt der Automobilzulieferer ferner einen Zero-Trust-Ansatz, d. h. den Aufbau einer Architektur, bei der jeder einzelne Systemzugriff eine Authentifizierung verlangt. Eine Identity-Access-Management (IAM)-Lösung verwaltet dabei zentral die Systemzugänge.
Fazit
Wie groß die Bedrohung durch Cyberangriffe ist, wurde dem Automobilzulieferer durch den Phishing-Angriff schlagartig klar. Auch wenn dieser, rückblickend betrachtet, vergleichsweise glimpflich ablief, so macht er doch deutlich: Es geht heute nicht mehr ohne proaktive Sicherheitsmaßnahmen. Allein dass Informationen aus sozialen Business-Netzwerken den Kriminellen genügend Informationen lieferten, um ihren Angriff zu starten – und sie diesen darauf basierend so geschickt zu timen verstanden – muss verblüffen.
Frühzeitige Erkennung und schnelle Reaktion waren im vorliegenden Fall essentiell. Lessons learned: Klare Verhaltensregeln müssen eingeübt werden, und dies am besten über permanente firmeninterne Schulungen der Mitarbeitenden, die erst dadurch für die Risiken von Phishing-Angriffen und perfiden Methoden der Hacker sensibilisiert werden.
Über den Autor: Sebastian Welke ist Senior Consultant bei der handz.on GmbH.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/10/ba/10bae076405664ebd82e96c36e36a3e8/0128826249v2.jpeg "In Mittelfranken wurde das IT-Netzwerk der Kreisklinik Roth Ziel eines Hackerangriffs, was kurzzeitig zur Schließung der Notaufnahme führte. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/b1/04b1d6bf801ccd26ef735a77ff1ce662/0128685991v2.jpeg "Ab sofort können sich Schülerinnen und Schüler für die Hacking Challenge der TH Augsburg anmelden. Die Challenge beginnt am 3. Februar. (Bild: © Seventyfour - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b3/48/b348b5b4c3b5253cd22f69cbca436295/0128830451v1.jpeg "Über Untergrundforen und soziale Netzwerke verbreiten Kriminelle angebliche Datenleaks, auch wenn keine aktuellen Systeme kompromittiert wurden. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/6c/676c57a5470e5ab12edf5da910455703/0128870241v1.jpeg "2026 wird zum Stresstest für Security-Teams, denn Cyberangriffe werden noch raffinierter. IT-Entscheider müssen sich auf den Ernstfall vorbereiten und überzeugende Talentstrategien entwickeln. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/fe/c5/fec5a56fb71c5d8ad4650b121f8a8f85/0126456490v1.jpeg "Forensik und Incident Response halten Unternehmen im Ernstfall handlungsfähig und liefern Erkenntnisse für nachhaltige Sicherheitsstrategien. (Bild: © knowhowfootage - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/ca/06ca369099308882d3ee650e266facda/0122577274v5.jpeg "Für alle, die in den vergangenen Monaten in einem Hotel reserviert haben, könnte sich aufgrund eines Datenlecks bei Otelier ein Datencheck lohnen. (Bild: Elnur - stock.adobe.com)")