![2304_MartinKraemer_0080[13]_Portrait](https://sectank.net/wp-content/uploads/2025/08/2304_martinkraemer_008013_portrait-1050x700.png)
Dr. Martin J. Krämer, CISO Advisor bei KnowBe4
Vor kurzem haben Sicherheitsanalysten von Bitdefender in einem Blogbeitrag Phishing-Kampagnen analysiert, die es auf die Credentials der Kunden von Streaming-Diensten wie Netflix, hulu, Disney oder auch HBO abgesehen haben. Da ein nicht unerheblicher Teil der Opfer nach wie vor Passwort-Recycling betreibt, können die Angreifer die erbeuteten Credentials für Credential Stuffing-Angriffe missbrauchen. Auch für Unternehmen wird dieser neue Angriffsvektor, der gezielt die privaten Nutzerkonten der Mitarbeiter ins Visier nimmt, zunehmend zum Problem.
In aller Regel beginnen die Angriffe mit dem Empfang einer Nachricht per E-Mail oder SMS. Die Opfer sollen ihren Account bestätigen oder an einer Umfrage teilnehmen. Dringlichkeit und Zeitdruck werden vorgetäuscht. So werden die Opfer dazu gebracht, auf einen in der Nachricht enthaltenden Link zu klicken. Der führt sie dann auf eine nahezu perfekte Imitation der Landingpage ihres Streaming-Dienstes, wo sie dazu aufgefordert werden, ihre E-Mail-Adresse und ihr Passwort – nicht selten auch ihre Zahlungsdaten – einzugeben.
Doch damit nicht genug. Die vom Konto des Streaming-Dienstes erbeuteten Credentials sind nicht das eigentliche Ziel der Angreifer. Sie dienen lediglich als Ausgangspunkt für die eigentliche Attacke. Die Angreifer machen sich zunutze, dass ein erheblicher Teil ihrer Opfer eine allenfalls mangelhafte Passwort-Hygiene betreibt. Rund 20 Prozent aller Betroffenen nutzen über verschiedene Plattformen hinweg dasselbe Passwort. Das heißt, Cyberkriminelle haben eine Chance von 1:5 mit den erbeuteten Credentials einen Credential Stuffing-Angriff zu einem erfolgreichen Abschluss zu führen. In großem Stil testen sie die frisch erbeuteten E-Mail-Passwort-Kombinationen mittels automatisierter Skripte an verschiedenen Login-Portalen – so lange, bis sie Erfolg haben.
Ein enormes Risiko – auch und gerade für die Unternehmens-IT. Denn: mit Vorliebe testen die Angreifer die erbeuteten E-Mail-Passwort-Kombinationen an Unternehmens-VPNs, Remote-Desktop-Gateways, Corporate E-Mail-Accounts, wie Microsoft 365, sowie Kollaborations- und B2B-Zahlungsplattformen. Es besteht also ein erhebliches Risiko, dass ein Mitarbeiter durch die Kompromittierung seines privaten Streaming-Passworts Cyberkriminellen Tür und Tor zur Infrastruktur seines Arbeitgebers öffnet.
Unternehmen kann hier nur geraten werden:
- klare Passwort-Richtlinien zu definieren: Einzigartige Passwörter für jeden Account sollten absolute Pflicht sein. Der Einsatz von Enterprise Password-Managern kann helfen, das Recycling von Passwörtern durch die eigenen Mitarbeiter zu verhindern.
- eine flächendeckende MFA einzuführen: Alle kritischen Systeme sollten obligatorisch über eine Multi-Faktor-Authentifizierung abgesichert sein, wobei der Absicherung des primären E-Mail-Kontos – als Dreh- und Angelpunkt etwaiger Passwort-Resets – höchste Priorität zufallen sollte.
- sämtliche Endpunkte zu schützen: Um auf Netzwerkebene Phishing-Webseiten rechtzeitig zu blockieren und etwaige Secondary Payloads abzuwehren, ist der Einsatz zuverlässiger EDR-Lösungen von entscheidender Bedeutung.
- Das Sicherheitsbewusstsein der Belegschaft proaktiv zu schärfen: Sämtliche Mitarbeiter sollten darin geschult werden, bei E-Mails, die künstlich Dringlichkeit erzeugen, misstrauisch zu werden und abonnierte Plattformen stets direkt über ihren Browser aufzurufen – nicht über Links in E-Mails oder SMS.
Im heutigen digitalen Zeitalter ist die kontinuierliche Aufklärung der gesamten Belegschaft über sämtliche Cyberrisiken – sowohl über solche, die am Arbeitsplatz als auch über solche, die Zuhause bestehen – ein zentraler Schritt auf dem Weg zur Verwirklichung einer ganzheitlichen Unternehmenssicherheit.
Am effektivsten – da umfassendsten – lässt sich dieser Ausbau des Sicherheitsbewusstseins durch den Einsatz eines modernen Digital Workforce Security-Systems bewerkstelligen. Seine Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter zu stärken. Seine modernen Anti-Phishing-E-Mail-Technologien kombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, ihre Risiken signifikant zurückzufahren und Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen.
