Phishing ist fast so alt wie das Internet – doch nach wie vor lukrativ und erfolgreich. Dabei verfeinern Angreifer ihre Techniken zunehmend, umgehen die Abwehrmaßnahmen von E-Mail-Anbietern und erschließen neue Angriffsflächen. Wir zeigen, welche Rolle Cloudspeicher dabei spielen und wie Unternehmen arglistige Angriffe auf Google Drive abwehren können.
Selbst Cloudspeicher werden für arglistige Angriffe missbraucht.
Zwar fallen auch heute noch Nutzer auf gefälschte E-Mails herein und geben so wichtige Informationen über sich und ihre Konten preis. Allerdings sind diese Angriffe so verbreitet, dass alle großen E-Mail-Anbieter über eingebaute Anti-Phishing-Funktionen verfügen. Diese verbesserte E-Mail-Sicherheit hat Hacker dazu gezwungen, kreativ zu werden, wenn es darum geht, ihre bösartigen Links in den Posteingang zu bekommen. Derzeit nutzen gewiefte Betrüger häufig die Freigabefunktionen von Google Drive für Spear-Phishing, um die Konten ihrer Opfer zu kompromittieren. Wie sie dabei vorgehen, zeigen wir hier.
In diesem Spear-Phishing-„Tutorial“ geben wir uns als (falsche) Varonis-Führungskraft Mike T. Kettle aus und bitten einen ahnungslosen Varonis-Mitarbeiter, sich in seinem Mitarbeiterkonto anzumelden, um dem Manager bei einem wichtigen Projekt zu helfen. Beim Teilen dieser gefälschten Dokumente besteht der erste Schritt des Betrügers normalerweise darin, das Kontrollkästchen zu deaktivieren, das eine E-Mail-Benachrichtigung sendet. Der Grund hierfür ist ganz einfach: Wenn die potenziellen Ziele per Mail benachrichtigt würden, könnte die Absender-Adresse sie auf den Betrug hinweisen. Einige Angreifer erstellen womöglich ein einigermaßen „authentisches“ Konto, also etwa MikeTKettle@gmail.com. Weniger versierte Nutzer könnten so dazu verleitet werden, das Dokument zu öffnen, da der Name ja vertraut erscheint – ohne besonders zu beachten, dass die Nachricht nicht von einer offiziellen Unternehmensdomain gesendet wurde.
In aller Regel wird jedoch die E-Mail-Benachrichtigung deaktiviert, was zur Folge hat, dass Angreifer ihren Angelhaken für eine Weile im Wasser lassen müssen. Sie warten und setzen darauf, dass das Opfer bei der nächsten Nutzung seines Google Drive auf das Dokument stößt. Und das ist nicht unwahrscheinlich: Das betrügerische Dokument erscheint in „Meine Ablage“ und enthält nur den Namen des Absenders, jedoch keine verdächtige Mail-Adresse.
Wenn der Benutzer das Dokument öffnet, findet er in ihm einen Link, der ihn beispielsweise angeblich zu einem wichtigen Dokument von Mike weiterleitet oder es wird suggeriert, dass sich der Nutzer aufgrund der Sensibilität des Inhaltes speziell anmelden muss. Auf jeden Fall wird das Opfer beim Klicken auf den Link auf eine externe Website weitergeleitet, die (aus Angreifer-Sicht idealerweise) der Login-Seite des entsprechenden Unternehmens nachempfunden ist. Hierzu stehen den Angreifern Tools wie Evilginx zur Verfügung, die ihnen bei der Erstellung von authentisch aussehenden Phishing-Seiten helfen. Sobald der Nutzer seine Kontoinformationen eingegeben hat und auf „Login“ klickt, haben die Angreifer seine Anmeldedaten gespeichert und sein Konto ist kompromittiert. Neben dem Abgreifen von Kontoinformationen kann diese Angriffsart auch dazu verwendet werden, Nutzer auf Umfragen zu leiten, bei denen (subtil) versucht wird, sensible Details wie Antworten auf allgemeine Sicherheitsfragen in Erfahrung zu bringen.
Wie man das Google Drive-Phishing-Risiko reduziert
Derzeit gestaltet sich die Abwehr dieses Angriffs noch schwierig. Google tut sein Bestes, um diese Technik zu bekämpfen, aber anders als bei Google Mail ist es noch nicht gelungen, einen SPAM-Filter direkt in Google Drive zu implementieren, um diese Dokumente abzufangen. Deshalb ist es an den Unternehmen und Nutzern, sich vor dieser Masche zu schützen.
Wie bei allen Arten von Phishing liegt auch hier der Schlüssel in der Aufklärung und Sensibilisierung der Mitarbeiter. Sicherheitsverantwortliche müssen also stets auf dem Laufenden über neue Techniken und Taktiken sein und diese Erkenntnisse entsprechend kommunizieren. Nur so lassen sich die Mitarbeiter als erste (und wesentliche) Verteidigungslinie stärken. Die Nutzer müssen wissen, dass sie auch in geteilten Google-Dokumenten nicht auf verdächtige Links klicken oder persönliche Informationen eingeben sollten.
Darüber hinaus können Unternehmen auch proaktiv gegen diese Angriffsart vorgehen, indem sie eine strengere Kontrolle darüber einrichten, wer Dokumente per E-Mail an Mitarbeiter senden und freigeben kann. Wenn man also die Liste der externen Parteien auf vertrauenswürdige Partner beschränkt, kann man verhindern, dass diese gefährlichen Dokumente in den Google Drive-Ordnern der Benutzer auftauchen. Dieser „Whitelisting“-Ansatz bringt aber bekannte Nachteile: Die Listen müssen aufwändig gepflegt und stets auf dem aktuellen Stand gehalten werden. Es besteht so immer die Möglichkeit, dass legitime externe Partner herausgefiltert werden, was möglicherweise geschäftsschädigende Folgen haben könnte.
Um sich effektiv zu schützen, sollten Unternehmen auf Bedrohungserkennungs- und -reaktionslösungen setzen, die bei verdächtigen Aktivitäten sowohl lokal als auch in der Cloud Alarm schlagen, verdächtige Dokumente und E-Mail-Adressen markieren und Sicherheitsteams benachrichtigen, wenn ein Konto möglicherweise kompromittiert wurde. In Zeiten, in denen sich der Perimeter immer mehr auflöst, kommt es nicht mehr (nur) darauf an, Angreifer „draußen“ zu halten. Moderne Lösungen müssen auch Attacken abwehren können, wenn sich die Angreifer schon in den Systemen befinden – ganz unabhängig vom Angriffsvektor. Entsprechend kommt der intelligenten Analyse des Nutzerverhaltens eine Schlüsselrolle zu: Ungewöhnliches Verhalten muss erkannt und (automatisch) gestoppt werden können. Auf diese Weise ist man auch sicher vor den nächsten Phishing-Trends.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor: Michael Scheffler, Country Manager DACH von Varonis Systems.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/1d/ca/1dca419c2658da8653ccda9dcd7fa458/0123877365v2.jpeg "Cyberkriminelle eröffnen ein echtes Microsoft-Konto und teilen mit ihren Opfern Dateien, die Malware enthalten. Damit die Empfänger diese auch wirklich anklicken, nutzen die Angreifer legitime Systemnachrichten von Microsoft als Köder. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/7f/4d7fc3eb2ad82ec7c2420a9ce52e9cb6/0124432067v2.jpeg "Ein besonders besorgniserregender Aspekt der neuen, OAuth-basierten, Phishing-Kampagnen ist die Fähigkeit, herkömmliche E-Mail-Sicherheitsprotokolle wie Domänenreputationsbewertungen, DMARC und Anti-Spoofing-Strategien zu umgehen. (Bild: everythingpossible - stock.adobe.com)")