Die Beteiligung von Staaten und Regierungen an Cyberspionage und Hacker-Angriffen ist spätestens seit dem Ukraine-Krieg im Bewusstsein der Öffentlichkeit angekommen. Die Angriffe richten sich auf verfeindete Regierungen, Behörden und kritische Infrastrukturen – aber auch auf privatwirtschaftliche Unternehmen und Organisationen.
Sommer 2023: Hacker aus China verschaffen sich Zugang zu den Outlook-Konten von Regierungseinrichtungen in Westeuropa und den USA.
(Bild: BirgitKorber - stock.adobe.com)
Im Januar 2023 legt die pro-russische Hackerbande Killnet den Online-Auftritt der Bundesregierung und die Internetseiten mehrerer deutscher Flughäfen lahm. Im Sommer 2023 verschaffen sich Hacker aus China Zugang zu den Outlook-Konten von rund 25 Organisationen, darunter Regierungseinrichtungen in Westeuropa und den USA. Molerat, eine pro-palästinensische Cyberspionageorganisation, setzt Phishing-Taktiken gegen israelische Beamte im Nahen Osten ein.
Nationalstaatliche Akteure und Gruppen sorgen mit ihren raffinierten Taktiken immer wieder für Schlagzeilen. Sie setzen ihre Technologien und Fähigkeiten ein, um beispielsweise Hackerangriffe, Sabotage, den Diebstahl von geistigem Eigentum oder das Streuen von Desinformationen zu ermöglichen. Sie sammeln dabei riesige Mengen an Informationen und nutzen künstliche Intelligenz, um Opfer mit KI-Manipulation, Deepfakes und anderen betrügerischen Taktiken hinters Licht zu führen.
Auch kleinere Akteure sind gefährlich
Nationalstaatliche Bedrohungsakteure können Teil eines offiziellen Staatsapparates sein, Mitglieder einer mit einer Regierung verbündeten oder von ihr beauftragten Cybercrime-Organisation oder auch „Freiberufler“, die gezielt für eine bestimmte Operation angeheuert werden. Cyberkriminelle, die über ein besonders hohes Maß an Fachwissen und umfangreiche Ressourcen verfügen, werden Advanced Persistent Threat (APT) genannt, was man mit „fortgeschrittene, andauernde Bedrohung“ übersetzen kann. Molerat gehört beispielsweise zusammen mit Frankenstein zu dem APT TA402.
China, Russland, Iran und Nordkorea gelten als die „Big Four“ der staatlich organisierten Cyberkriminalität. Das Beispiel von Molerat zeigt jedoch, dass auch kleinere Gruppen hochentwickelte Tools und Taktiken im Einsatz haben. Angesichts der Verschärfung der Bedrohungslage sollten CISOs auf einen mehrschichtigen Ansatz für die Cybersicherheit setzen und die Fähigkeiten von Mensch und Technologie kombinieren, um sich wirksam gegen die sich immer weiterentwickelnden Bedrohungen zu verteidigen.
Die Bedrohungslandschaft ist nicht statisch. Hackergruppen suchen sich in der angespannten geopolitischen Lage ständig neue Ziele und entwickeln ausgefeilte Angriffsmethoden. So hat beispielsweise die Hackergruppe Molerat, die bereits seit über einem Jahrzehnt operiert, ihr Vorgehen immer wieder geändert. Die Täter haben z. B. Links zu Cloud-Diensten wie Google Drive und Dropbox in ihre Phishing-Mails integriert. Auf diesen Diensten haben sie wiederum Malware Payloads für Command-and-Control-Funktionen und Datenexfiltrationen von Zielen im gesamten Nahen Osten gehostet.
Threat Intelligence, also das Wissen über die Bedrohungen, denen Unternehmen und Organisationen ausgesetzt sind, ist entscheidend für die Cybersicherheit. Um sich jedoch effektiv gegen diese hochprofessionellen Bedrohungen zu schützen, müssen Threat-Intelligence-Systeme kontinuierlich mit aktuellen Indicators of Compromise (IOCs) auf dem neuesten Stand gehalten werden.
Beispiel E-Mails: Bei der Erwägung von IOCs für E-Mails ist es wichtig, dass Faktoren wie die Registrierung und Lebensdauer der Domain, Domain Name System (DNS)-Server für die Domain und Datensätze wie SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance) berücksichtigt werden.
Beim Machine Learning kommen sogenannte Classifier zum Einsatz, um Daten automatisch in verschiedene Klassen zu einzuordnen und mit entsprechenden Labels zu versehen, zum Beispiel „Spam“ oder „kein Spam“, „potenziell maliziöser Dropbox-Link, der überprüft werden sollte“ oder „kein Dropbox-Link“. Es ist wichtig, dass die ML Classifier kontinuierlich mit frisch gelabelten Daten trainiert werden, um sicherzustellen, dass sie sich an die sich weiterentwickelnden E-Mail-Bedrohungen anpassen.
Außerdem muss sichergestellt sein, dass die richtigen ML-Modelle verwendet und neue Modelle für neue Bedrohungen erstellt werden. Mithilfe dieses proaktiven Ansatzes können die sich ständig ändernden E-Mail-basierten Risiken frühzeitig erkannt und mit entsprechenden Gegenmaßnahmen gekontert werden. Statische Abwehrmaßnahmen sind dagegen angesichts der dynamischen Bedrohungslandschaft nicht zeitgemäß.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Mithilfe von Threat Intelligence können Angriffe raffinierter Bedrohungsakteure technisch pariert werden. Mindestens genauso wichtig ist jedoch der Faktor Mensch. Mitarbeitende müssen umfassend geschult werden: Sie dürfen z. B. keine Anhänge öffnen oder auf Links klicken. Auch bei Kontakten in Adressbüchern ist Vorsicht geboten, da kompromittierte Konten unbeabsichtigt schädliche Inhalte verbreiten können. Leider wird die Erkennung maliziöser Inhalte durch KI zunehmend erschwert. Die Nachrichten und Texte werden immer überzeugender, imitieren Schreibstile und knüpfen an den persönlichen Interessen ihrer Opfer an. Das erschwert es selbst aufmerksamen Empfängern, zwischen einem Betrugsversuch und einer vertrauenswürdigen Nachricht eines Kollegen zu unterscheiden.
Dennoch gilt: Beim Umgang mit E-Mails sollte Wachsamkeit und nicht Paranoia das Leitprinzip sein. Aufmerksamkeit und die Überprüfung des Inhalts und vor allem des Kontexts digitaler Interaktionen –ist es wahrscheinlich, dass eine Kollegin mich zu Thema X anschreibt? Sollte ich mich z. B. telefonisch noch einmal absichern? – sind der Schlüssel zur Abwehr potenzieller Bedrohungen. Zudem sollte das Sicherheitsbewusstsein über die reine E-Mail hinausgehen und alle Formen der digitalen Kommunikation umfassen.
Die Rolle von künstlicher Intelligenz in der Cybersicherheit
Kriminelle Gruppen, die es aktiv auf eine Organisation oder Einzelpersonen abgesehen haben, investieren Zeit in die Untersuchung ihrer Ziele, Überwachung ihrer Kontakte und Sammlung von Daten, die sie dann in ihre eigenen KI-Systeme einspeisen. Weil die Angreiferseite KI nutzt, muss die Verteidigerseite es auch tun: Unternehmen und Organisationen sollten in robuste KI-gesteuerte Cybersicherheitslösungen investieren, die Angriffe erkennen und abwehren können, um ihre Netzwerke und geschäftskritischen Systeme, wie beispielsweise ihre ERP-Systeme, aktiv zu schützen. Ein Beispiel in diesem Zusammenhang wäre KI-gestützte Anomaliebewertung, um verdächtiges Verhalten frühzeitig zu erkennen und darauf zu reagieren. Außerdem müssen Organisationen sicherstellen können, dass verfügbare Patches kontinuierlich und automatisiert eingespielt werden, um die Angriffsfläche so klein wie möglich zu halten.
Um den hochkriminellen und durch Unterstützung von Regierungen ressourcentechnisch sehr gut aufgestellten Hackergruppen die Stirn bieten zu können, muss die Cybersicherheit genauso agil sein, wie die sich ständig weiterentwickelnden Bedrohungen, die sie bekämpfen soll. Es ist unabdingbar, auf dem Laufenden zu bleiben, Threat-Detection-Systeme jederzeit auf dem neuesten Stand zu halten und Machine-Learning-Modell richtig zu trainieren. Neben den technologischen Mitteln ist auch ein kultureller Wandel erforderlich – ein Sicherheitsbewusstsein, das über den Posteingang hinausgeht und sich auf alle digitalen Interaktionen erstreckt. Wachsamkeit, kombiniert mit einem dynamischen, mehrstufigen Sicherheitsansatz wird stärker als je zuvor das Herzstück erfolgreicher Sicherheitsstrategien zur Abwehr vor KI-gestützten Bedrohungen werden. Der Einsatz fortschrittlicher KI-gestützter Sicherheitslösungen wird zukünftig nicht mehr nur „nice to have“ sein, sondern ein „Must-Have“ im ständigen Kampf um den Schutz sensibler Informationen und digitaler Ressourcen.
Über den Autor: Paul Laudanski ist Director Security Research bei Onapsis und Leiter der Onapsis Research Labs.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/89/40/894020f85d1e78a085a456b432917934/0117546154.jpeg "Russische Hacker greifen die CDU an. (Bild: ANDREAS FALK)")
:quality(80)/p7i.vogel.de/wcms/e2/02/e202488cab48cd29e6e46a8dd921d6e4/0116432948.jpeg "In Deutschland liegen nach dem Allianz Risk Barometer 2024 Cyber-Attacken und Betriebsunterbrechungen auf Platz 1 und 2 der Top-Unternehmensrisiken. (Bild: Allianz Commercial)")
:quality(80)/p7i.vogel.de/wcms/f3/63/f363b9767b643fe982c2b74f69a23525/0116738222.jpeg "Die Hackergruppe APT-28 hat im In- und Ausland eine Vielzahl an Routern übernommen und diese internationale Infrastruktur in den vergangenen zwei Jahren auch für Spionageangriffe auf deutsche Ziele verwendet. (Bild: beebright - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/e3/fbe3bb9dd590e5261f9a2a3050f84eba/0113357981.jpeg "Auch Hacker nutzen ChatGPT immer häufiger. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/af/66/af66cca08a94ffeb27900d243f7c7ad2/0124650544v1.jpeg "Der neue IBM X-Force Threat Intelligence Index 2025 zeigt: Cyberkriminelle setzen verstärkt auf gestohlene Anmeldedaten. Besonders kritische Infrastrukturen geraten ins Visier. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8e/a2/8ea2c975f60e1d9063cf854bae270259/0127936106v2.jpeg "Staatlich geförderte Cyberkriminelle richten ihren Fokus verstärkt auf OT-Umgebungen und cyber-physische Systeme. (Bild: © BillionPhotos.com - stock.adobe.com)")