Cyberkriminelle kombinieren versteckte Schadcodes mit perfekten Fake-Mails – und hebeln damit gleich zwei Verteidigungslinien aus.

Eine neue Generation von Phishing-Angriffen macht derzeit Sicherheitsexperten weltweit Sorgen. Die Täter setzen auf eine gefährliche Doppelstrategie: Sie verbergen Schadsoftware in harmlosen Bilddateien und nutzen gleichzeitig gestohlene persönliche Daten, um ihre Opfer mit maßgeschneiderten Nachrichten zu täuschen. Was macht diese Methode so gefährlich? Sie umgeht technische Schutzmaßnahmen und menschliches Misstrauen gleichzeitig.

Die Zahlen sprechen eine klare Sprache: Allein in dieser Woche meldeten Sicherheitsforscher einen deutlichen Anstieg solcher Angriffe. Und die Verluste? Sie gehen bereits in die Millionen.

Versteckspiel im Pixel-Rauschen

Das Herzstück der neuen Angriffswelle ist eine Technik namens Steganografie. Anders als bei Verschlüsselung geht es hier nicht darum, Daten unleserlich zu machen – sondern ihre bloße Existenz zu verbergen. Sicherheitsexperten von Barracuda haben eine aktuelle Kampagne analysiert, bei der Angreifer Schadcode in PNG-Bilddateien verstecken.

Der Ablauf ist tückisch einfach: Eine E-Mail landet im Postfach, die aussieht wie eine gewöhnliche Geschäftsanfrage. Vielleicht eine Preisabfrage, vielleicht eine Projektanfrage. Die Mail enthält einen Link zu einer Datei auf einem bekannten File-Sharing-Dienst – nichts Verdächtiges also. Doch wer klickt, löst eine Kettenreaktion aus.

Ein PowerShell-Befehl lädt im Hintergrund ein Bild von einer vertrauenswürdigen Website. In den Pixeln dieses Bildes verbirgt sich der eigentliche Angriffscode, für Sicherheitssoftware praktisch unsichtbar. Der Clou: Die Malware wird direkt im Arbeitsspeicher ausgeführt, hinterlässt kaum Spuren auf der Festplatte. Herkömmliche Scanner, die nach verdächtigen Dateien suchen? Chancenlos.

Wenn Datenlecks zur Waffe werden

Die technische Raffinesse ist nur die eine Seite der Medaille. Die andere macht diese Angriffe noch gefährlicher: die Personalisierung. Denn was nützt der beste versteckte Schadcode, wenn niemand auf den Link klickt?

Hier kommen die zahllosen Datenpannen des Jahres 2025 ins Spiel. Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten – all diese Informationen landen nach Sicherheitsvorfällen im Darknet und werden dort zur Handelsware. Kriminelle kaufen diese Datensätze und nutzen sie, um ihre Phishing-Mails erschreckend echt wirken zu lassen.

Die australische Verbraucherschutzbehörde warnte erst heute vor dieser Entwicklung. Das Problem: Wenn eine E-Mail den Empfänger mit Namen anspricht, auf reale Geschäftsbeziehungen Bezug nimmt und vielleicht sogar echte Termine oder Projekte erwähnt – wer würde da noch misstrauisch werden?

Besonders hart trifft es aktuell die Hotelbranche. Angreifer kapern E-Mail-Konten und geben sich als Booking.com aus. Die gefälschten Nachrichten gehen an Hotels und ihre Gäste, enthalten aber alle relevanten Details: Namen, Buchungsnummern, Reisedaten. Das Ergebnis: Betrug in Millionenhöhe und Ransomware-Infektionen.

Vertrauen als Schwachstelle

Doch es kommt noch dicker. Eine neue Studie der Sicherheitsfirma KnowBe4 zeigt: Die Zahl der Phishing-Angriffe über vertrauenswürdige Geschäftsplattformen ist innerhalb eines Jahres um 67 Prozent gestiegen. QuickBooks, Zoom, SharePoint – alles Dienste, die in Unternehmen täglich genutzt werden.

Warum ist das so effektiv? Weil diese E-Mails von legitimen Domains stammen. Sie passieren die Authentifizierungsprotokolle, die eigentlich verdächtige Absender herausfiltern sollen. Für automatisierte Sicherheitssysteme sehen sie aus wie normale Geschäftspost. Und tatsächlich konzentrieren sich über 90 Prozent aller Phishing-Angriffe mittlerweile auf die beiden größten E-Mail-Ökosysteme: Microsoft Outlook und Google Gmail.

Cyberkriminalität aus dem Baukasten

Als wäre das nicht genug, wird auch noch der Einstieg in die Cyberkriminalität immer einfacher. Sicherheitsforscher haben kürzlich eine Plattform namens "Quantum Route Redirect" entdeckt – eine Art Phishing-Komplettpaket für Kriminelle ohne technisches Fachwissen.

Solche "Phishing-as-a-Service"-Angebote automatisieren den gesamten Angriffsprozess: von der Umleitung des Datenverkehrs bis zum Abfangen von Zugangsdaten. Die Plattform operiert bereits in 90 Ländern. Was bedeutet das konkret? Mehr Angreifer können anspruchsvolle Kampagnen starten, ohne selbst programmieren zu können.

Die Verteidigung muss umdenken

Die Kombination aus versteckter Malware und personalisierten Ködern markiert einen Wendepunkt. Klassische Sicherheitsmaßnahmen, die nach bekannten Schadcode-Mustern in E-Mail-Anhängen suchen, greifen hier ins Leere. Wenn die Malware in einem Bild versteckt ist und nur im Arbeitsspeicher existiert, bleiben viele Scanner blind.

Experten sprechen von einer notwendigen strategischen Neuausrichtung. Es geht nicht mehr nur darum, bösartige Dateien am E-Mail-Gateway abzufangen. Gefragt sind Systeme, die subtile Anomalien im Verhalten erkennen – und vor allem: besser geschulte Mitarbeiter.

Denn bei aller Technik bleibt der Mensch oft das letzte Bollwerk. Kann er eine raffiniert gefälschte E-Mail erkennen, die seinen Namen kennt und auf reale Vorgänge Bezug nimmt? Die Kriminellen setzen bewusst auf die Ausnutzung von Vertrauen und gewohnten Abläufen.

Was kommt als Nächstes?

Sicherheitsexperten rechnen damit, dass sich diese kombinierten Angriffsmethoden in den kommenden Monaten weiter verbreiten werden. Der Erfolg der Steganografie wird vermutlich mehr Nachahmer anlocken. Und mit jedem neuen Datenleck wächst der Pool an persönlichen Informationen, den Kriminelle für ihre Täuschungsmanöver nutzen können.

Die Antwort muss vielschichtig sein. Fortschrittliche E-Mail-Sicherheitslösungen, die nicht nur nach bekannten Bedrohungen scannen, sondern das Verhalten von Mails analysieren, sind ein erster Schritt. Doch Technologie allein reicht nicht aus.

Menschliches Risikomanagement heißt das Schlagwort: kontinuierliche Schulungen, damit Mitarbeiter auch ausgefeilte, personalisierte Phishing-Versuche erkennen. Hinzu kommen phishing-resistente Zwei-Faktor-Authentifizierung und gut durchdachte Notfallpläne für den Ernstfall.

Die Frage ist nicht ob, sondern wann der nächste Angriff kommt. Und ob die Verteidigung dann besser vorbereitet ist als heute.