Phishing-Abwehr : Zeitgemäße Fischereikontrolle : Wie man modernem Credential-Phishing Einhalt gebieten kann
Aktuelle Phishing-Kampagnen gehen längst über täuschend echt aussehende E Mails hinaus und reichen bis hin zu gefälschten Software-as-a-Service-(SaaS)- Portalen, bösartigen Diensten zum Teilen von Dateien und KI-generiertem Identitätsbetrug. Dabei machen sich die Angreifer das Vertrauen vieler Benutzer in Cloud-Plattformen zunutze. Unser Autor skizziert, was gegen heutige Angriffsformen hilft.
Phishing ist für Cyberkriminelle eine der effektivsten Methoden, um Zugangsdaten zu erbeuten und Unternehmensumgebungen zu kompromittieren. Angesichts moderner Schutzmechanismen für Browser und E‑MailKommunikation nutzen Angreifer heute künstliche Intelligenz (KI) und Automatisierung, um Abwehrmaßnahmen zu überwinden. Traditionelles Phishing basierte vor allem auf Social-Engineering und menschlichen Fehlern – heute lancieren Bedrohungsakteure ihre Täuschungsversuche mithilfe von KI-generierten Inhalten, geklonten SaaS-Portalen und Automatisierung, was Angriffe sowohl schneller als auch überzeugender macht.
Häufig missbrauchen moderne Kampagnen legitime Cloud-Infrastrukturen – bisweilen als „Living off the Cloud“ bezeichnet. Dabei werden schädliche Inhalte auf Plattformen wie Google Drive, SharePoint oder Trello abgelegt. Parallel dazu greifen Cyberkriminelle zunehmend auf neu registrierte Domains (Newly Registered Domains, NRDs) zurück und nutzen Transport-Layer-Security- (TLS)-Verschlüsselung, um ihre Payloads zu verstecken und der Erkennung zu entgehen.
Gartner prognostiziert, dass KI-Agenten bis 2027 die Zeit um 50% verkürzen werden, die zur Ausnutzung kompromittierter Konten benötigt wird [1]. Das verdeutlicht, wie sehr Automatisierung den Missbrauch von Zugangsdaten zunehmend beschleunigen könnte. Ein weiteres gutes Beispiel für neue Methoden beim Phishing liefert eine aktuelle Untersuchung von Cato CTRL [2]: Sie zeigt, wie Bedrohungsakteure eine KI-Marketingplattform nutzten, um realistisch wirkende Microsoft-365-Phishing-Portale zu hosten und so Zugangsdaten ahnungsloser Nutzer zu stehlen. Mit einer solchen Kombination aus KI und Social-Engineering können klassische Abwehrmechanismen häufig nicht Schritt halten.
Erkennung schwieriger denn je
Selbst modern ausgestattete Unternehmen haben zunehmend Schwierigkeiten, Phishing rechtzeitig zu erkennen, weil sich verschiedene Faktoren gegenseitig verstärken. Eine zentrale Rolle spielen neu registrierte Domains (NRDs): Angreifer verändern ihre Infrastruktur damit ständig, sodass rein reputationsbasierte Blockierungsansätze schnell an ihre Grenzen stoßen. Hinzu kommt der stetig wachsende Anteil verschlüsselter Datenströme: TLS verschleiert Phishing-Formulare und Payloads in ansonsten legitimen HTTPS-Sitzungen und erschwert damit die Inspektion.
Nicht zuletzt missbrauchen Angreifer auch seriöse SaaS- und Cloud-Dienste, um gefälschte Login-Seiten oder Dienste zum Teilen von Dateien zu hosten. Dadurch werden die Grenzen zwischen legitimer Nutzung und Angriff weiter verwischt. Ein Mangel an Transparenz verschärft die Lage weiter: Punktlösungen, die nur einzelne Kanäle wie E‑Mail, das Netzwerk oder Identitäten überwachen, können Ereignisse oft nicht wirksam über diese Ebenen hinweg korrelieren und liefern daher ein lückenhaftes Bild.
Vor diesem Hintergrund prognostiziert Gartner, dass bis 2028 ein Viertel aller Unternehmen sichere Enterprise-Browser einführen wird, um Remote-Access und Endpunktsicherheit zu verbessern [3]. Die zugrunde liegende Herausforderung lässt sich jedoch auch auf eine andere Weise adressieren: indem man Remote-BrowserIsolation (RBI) und Zero-Trust-Network-Access (ZTNA) über eine Browser-Extension oder einen ZTNA-Client bereitstellt. So werden umfassende Richtlinienkontrollen und die Inspektion des Browser-Traffics ermöglicht, was dazu beiträgt, die Eingabe von Zugangsdaten auf nichtvertrauenswürdigen oder KI-generierten Websites zu verhindern.
Durch die Ausführung von Web-Sitzungen in einem sicheren, cloudbasierten Container ermöglicht RBI überdies sicheres Browsen und Datenschutz, ohne dass Unternehmen einen neuen Browser ausrollen oder verteilt verwalten müssen.
Konvergente Anti-Phishing-Architektur
Um Phishing effektiv abwehren zu können, bedarf es eines mehrschichtigen Ansatzes, der auf Kontinuität setzt: Inline-Inspection, Verhaltensanalysen und eine einheitliche Sicht auf relevante Abläufe müssen dazu miteinander kombiniert werden.
Security-Lösungen sollten hierfür mehrere spezialisierte Engines integrieren, die parallel arbeiten und gemeinsam für durchgängige Einsichten und Kontrolle über Web-, Cloud- und Zugriffs-Traffic sorgen. Eine InternetFirewall in Kombination mit DNS-Protection bildet dabei häufig die erste Verteidigungslinie und blockiert den Zugriff auf bekannte oder neu aufkommende PhishingDomains. Hierfür ist der Zugriff auf umfangreiche ThreatIntelligence (TI) und Indicators of Compromise (IoCs) essenziell, um möglichst bereits den Verbindungsaufbau zu bösartigen Ressourcen zu unterbinden.
Ein ebenfalls unverzichtbares Intrusion-Prevention-System (IPS) geht einen Schritt weiter und identifiziert Credential-Harvesting-Kits sowie geklonte Login-Seiten. Dabei kommen in der Regel heuristische Verfahren und Machine-Learning-(ML)-Modelle zum Einsatz, die typische Merkmale von Phishing-Seiten erkennen, selbst wenn diese zuvor noch nicht als bösartig klassifiziert wurden. Eine ganzheitliche Lösung sollte darüber hinaus auf ZTNA in Kombination mit einer Browser-Erweiterung setzen, um einen Least-Privilege-Ansatz sowie identitätsbasierte Zugriffe strikt durchzusetzen. Auf diese Weise lässt sich der potenzielle Schaden reduzieren, falls Zugangsdaten doch einmal kompromittiert werden, da eine solche Kombination die Möglichkeiten lateraler Bewegung im Netzwerk deutlich einschränkt.
TLS-Inspection spielt ebenfalls eine entscheidende Rolle, um in verschlüsselten HTTPS-Sitzungen verborgenen Schadcode sichtbar zu machen. Entschlüsselung und Analyse des Datenverkehrs ermöglichen es, PhishingFormulare und versteckte Payloads zu erkennen, ohne sich allein auf die Ziel-Domain oder oberflächliche Indikatoren verlassen zu müssen.
RBI ergänzt diese Maßnahmen, indem Browser-Sitzungen isoliert werden, um zu verhindern, dass Benutzer ihre Zugangsdaten auf verdächtigen Websites eingeben. Und anstatt fragwürdige Zugriffe vollständig zu unterbinden, werden potenziell gefährliche Inhalte in einer entkoppelten Umgebung ausgeführt, sodass Nutzer arbeiten können, ohne direkt exponiert zu sein.
Im Umfeld von Cloud-Anwendungen nehmen Cloud-Access-Security-Broker (CASB) eine Schlüsselrolle ein: Sie erkennen gefälschte Dienste zum Teilen von Dateien, missbräuchliche OAuth-Integrationen und bösartige Aktivitäten innerhalb von Cloud-CollaborationPlattformen. Dadurch werden auch Szenarien adressiert, in denen Angreifer versuchen, über scheinbar legitime Workspaces Daten zu stehlen oder sich weiter im Unternehmen auszubreiten.
Vereinheitlichter Schutz ist unabdingbar
Zentrale Security-Analytics- und ManagementFunktionen liefern schließlich die übergeordnete Korrelation und Analyse. Sie fassen Meldungen aus unterschiedlichen Engines zu ganzheitlichen Einsichten zusammen, heben Anomalien hervor und unterstützen SecurityTeams dabei, proaktiv zu agieren, statt nur einzelne Alarme abzuarbeiten.
Ergänzend dazu verhindern Data-Loss-Prevention (DLP), Endpoint-Protection (EPP) und Security-Funktionen für das Internet of Things (IoT) die Exfiltration sensibler Daten, blockieren über Phishing ausgelieferte Payloads und schützen verbundene Geräte nach einer eventuellen Kompromittierung. So werden auch Endpunkte und IoT-Umgebungen, die häufig als Einfallstore dienen, in den Gesamtschutz eingebunden.
Im Gegensatz zu Punktlösungen, die Datenströme getrennt und in Silos inspizieren, sollte eine moderne Security-Plattform sämtlichen Wide-Area-Network-(WAN)-, Internet- und Remote-Access-Traffic inline prüfen – idealerweise so nah wie möglich am Zugangspunkt zum Unternehmensnetz.
Fazit
Kein Unternehmen kann Phishing vollständig verhindern. Durch die Konsolidierung von Überwachung, Identitätskontrollen und Analytik in einer einzigen, cloudnativen Architektur lässt sich jedoch das Risiko deutlich reduzieren. Auf diese Weise werden die Erkennung beschleunigt und die Auswirkungen gestohlener Zugangsdaten minimiert.
Mit KI-gestützter Erkennung, sicherer Browser-Isolation und ganzheitlichen Einsichten kann eine umfassende Security-Lösung auf Basis einer Secure-AccessService-Edge (SASE) den Kampf gegen Phishing von einer reaktiven in eine proaktive Disziplin verwandeln.
Resilienz gegenüber Phishing bedeutet dabei nicht, jeden Link zu blockieren, sondern Absichten zu erkennen, die Angriffsfläche gezielt zu begrenzen und eine Kompromittierung einzudämmen, bevor sie für das Unternehmen zu einer übermäßigen Gefahr anwächst.
Dr. Guy Waizel ist Tech Evangelist bei Cato Networks.
Literatur
[1] Gartner, Gartner Predicts AI Agents Will Reduce The Time It Takes To Exploit Account Exposures by 50 % by 2027, Pressemitteilung, März 2025, www.gartner.com/en/newsroom/press-releases/2025-03-18-gartner-predicts-ai-agents-will-reduce-the-time-it-takesto-exploit-account-exposures-by-50-percent-by-2027
[2] Dr. Guy Waizel, Zohar Buber, Diana Munoz Diaz, Threat Actors Abuse Simplified AI to Steal Microsoft 365 Credentials, Cato CTRL Threat Research Blog, September 2025, www.catonetworks.com/blog/cato-ctrl-threat-actors-abuse-simplified-ai-to-stealmicrosoft-365-credentials/
[3] Gartner, Gartner Predicts 25 % of Organizations Will Use Secure Enterprise Browsers to Enhance Remote Access and Endpoint Security by 2028, Pressemitteilung April 2025, www.gartner.com/en/newsroom/press-releases/2025-04-29-gartner-predicts-25-percent-of-organizations-will-use-secure-enterprise-browsers-to-enhance-remote-access-and-endpoint-security-by-2028