DUP UNTERNEHMER-Magazin: Crowdstrike verfolgt weltweit Hunderte von Cybercrime-Akteuren, darunter bekannte Gruppen wie Scattered Spider und Punk Spider. Können Sie beschreiben, wie diese Gruppen operieren und welche Schäden sie bei erfolgreichen Angriffen verursacht haben?
Aris Koios: Crowdstrike verfolgt weltweit über 280 Angreifergruppen. Scattered Spider ist eine finanziell motivierte E-Crime-Gruppe, die sich auf Social Engineering spezialisiert hat und gezielt Identitäten sowie interne Prozesse angreift, statt auf klassische Malware zu setzen. Als Experten für Vishing, also Voice-Phishing, geben sie sich als Mitarbeitende aus und bringen Helpdesks dazu, Zugangsdaten zurückzusetzen, wodurch sie innerhalb weniger Minuten Konten übernehmen können. Anschließend bewegen sie sich mit legitimen Zugriffsrechten über Cloud-, SaaS- und On-Premises-Umgebungen hinweg, was die Erkennung erheblich erschwert.
Und Punk Spider?
Koios: Punk Spider nutzt einen ähnlichen Ansatz, setzt jedoch zusätzlich KI-generierte Skripte ein, um die Informationsgewinnung sowie den Zugriff auf Zugangsdaten zu beschleunigen und dadurch Geschwindigkeit und Skalierung der Angriffe zu erhöhen. Bei erfolgreichen Angriffen kommt es häufig zu Ransomware- oder Erpressungsszenarien, die zu Betriebsunterbrechungen, Datenverlust sowie finanziellen und reputationsbezogenen Schäden führen.
Welche Rolle spielt heute noch Malware? Welche Wege nutzen Angreifer heutzutage in der Regel, und welche Rolle nehmen Mitarbeitende dabei ein?
Koios: Der „Crowdstrike 2026 Global Threat Report“ zeigt, dass 82 Prozent der im Jahr 2025 identifizierten Angriffe ohne Malware durchgeführt wurden. Moderne Angreifer setzen zunehmend auf gestohlene Zugangsdaten, legitime Tools und Social Engineering, um als vertrauenswürdige Nutzende zu agieren und so unentdeckt zu bleiben. Häufig erfolgt der Erstzugriff über Mitarbeitende. Angreifer geben sich als IT-Mitarbeitende, Kolleginnen und Kollegen oder Partner aus, um Personen dazu zu bringen, Zugangsdaten zurückzusetzen, Zugriffe zu genehmigen oder sensible Informationen preiszugeben. Angreifer melden sich heutzutage an, anstatt in Systeme „einzubrechen“. KI beschleunigt diese Angriffe zusätzlich. Crowdstrike beobachtete einen Anstieg um 89 Prozent bei Angriffen durch KI-gestützte Angreifer. Sie setzen KI ein, um überzeugendere Phishing-Nachrichten zu erstellen, falsche Identitäten zu generieren und Social-Engineering-Kampagnen in größerem Maßstab durchzuführen.
Sind auch Firmen, die Clouds nutzen, gefährdet?
Koios: Ja, Cloud-Umgebungen sind weiterhin ein primäres Angriffsziel. Crowdstrike-Daten zeigen, dass Cloud-Angriffe im Jahr 2025 um 37 Prozent zugenommen haben, darunter ein Anstieg von 266 Prozent bei staatlich unterstützten Akteuren. Da Cloud-Umgebungen stark auf Identitäten zur Zugriffskontrolle basieren, ermöglichen kompromittierte Zugangsdaten Angreifern direkten und oft unentdeckten Zugriff auf kritische Systeme. Der Missbrauch legitimer Konten war für 35 Prozent der Cloud-Vorfälle verantwortlich und erlaubt es Angreifern, sich innerhalb von Umgebungen mit gültigen Berechtigungen zu bewegen.
Wie unterstützt Crowdstrike Unternehmen dabei, Angriffe abzuwehren?
Koios: Die Mission von Crowdstrike ist es, Sicherheitsverletzungen zu stoppen. Dafür ist es heutzutage erforderlich, neben Endpunkten auch Identitäten, Cloud-Umgebungen und zunehmend KI-Systeme als neue Angriffsfläche abzusichern. Die Crowdstrike-„Falcon“-Plattform bietet eine einheitliche Sichtbarkeit, Erkennung und Reaktion über Endpunkte, Cloud-Workloads, Identitäten, SaaS und KI-Systeme hinweg. Sie basiert auf Echtzeit-Bedrohungsinformationen, um zu verstehen, wie Angreifer über verschiedene Umgebungen hinweg operieren und wie KI gezielt angegriffen oder missbraucht werden kann. Dieser integrierte, Intelligence-getriebene Ansatz ermöglicht eine frühere Erkennung und schnellere Reaktion, sodass Angriffe gestoppt werden, bevor sie zu Sicherheitsvorfällen eskalieren. Für Organisationen, die kein eigenes Security-Operations-Team aufbauen oder skalieren können, bietet „Crowdstrike Falcon Complete Next-Gen MDR“ eine vollständig gemanagte 24/7-Erkennung, Analyse und Reaktion. Dabei kombinieren wir hoch qualifizierte Cybersecurity-Expertise mit der „Falcon“-Plattform, um Angriffe in Echtzeit zu stoppen.
Warum ist es wichtig zu verstehen, wie Angriffe abgelaufen sind – selbst wenn diese erfolglos waren?
Koios: Um Sicherheitsvorfälle zu verhindern, müssen Verteidiger den Angreifer verstehen. Threat-Intelligence – also Cyberbedrohungsinformationen – bildet dabei die zentrale Grundlage. Moderne Angriffe folgen wiederkehrenden Verhaltensmustern der Angreifer. Jeder Angriffsversuch liefert Erkenntnisse darüber, wie Angreifer Zugang erlangen, sich innerhalb von Umgebungen lateral bewegen und ihre Taktiken weiterentwickeln, häufig unter Nutzung legitimer Zugangsdaten und vertrauenswürdiger Systeme. Ein Threat-Intelligence-gestützter Ansatz ermöglicht ein besseres Verständnis der Motivation von Angreifern. Dadurch lassen sich Bedrohungen früher erkennen, gezielter priorisieren und Angriffe stoppen, bevor sie geschäftskritische Auswirkungen haben.
Inwiefern kann Anthropics neues KI-Modell „Mythos“, das automatisch Schwachstellen in IT-Systemen aufspürt und zunächst auf Finanzdienstleister zielt, auch für den Mittelstand zu einer Gefahr werden?
Koios: Fortschrittliche KI-Modelle können Schwachstellen in Software schneller und in größerem Umfang identifizieren als herkömmliche Verfahren. Für kleine und mittlere Unternehmen bedeutet dies nicht nur eine erhöhte Exposition, sondern auch eine neue Herausforderung bei der Priorisierung. Da moderne KI die Anzahl ausnutzbarer Schwachstellen erhöht und die Zeitspanne zwischen Entdeckung und Ausnutzung verkürzt, wird es entscheidend zu verstehen, welche Risiken tatsächlich relevant sind und welche zuerst behoben werden müssen. Denn es ist nicht möglich, alle Schwachstellen gleichzeitig zu schließen.
