Vom Klick zur Krise: Der Blick hinter die Kulissen realer Angriffsszenarien

Ob Ransomware, Social Engineering oder kompromittierte Drittanbieter-Accounts: Moderne Cyberangriffe zielen häufig auf den vermeintlich schwächsten Punkt ab – den User Account. Oft beginnt alles mit einem harmlosen Klick und endet in einem Systemausfall, Datendiebstahl oder Erpressungsszenario. Wird über IT-Sicherheit gesprochen, liegt der Fokus allerdings zu oft auf Servern, Webanwendungen oder anderen sichtbaren Angriffspunkten im Netzwerk. Dabei wird ein entscheidender Faktor vernachlässigt: Der User und dessen Arbeitsrechner teilen in der Netzwerkumgebung die gleichen Rechte wie direkt erreichbare Assets. Diese Vernachlässigung öffnet Türen für Angriffe, die sich gezielt auf Mitarbeitergeräte konzentrieren und damit die Grundlage für gravierende Zwischenfälle bilden.

Der User: Ein nach wie vor unterschätztes Ziel für Angriffe

Aktuelle Daten von ENISA und Mitre zeigen, dass bis zu 75 % aller erfolgreichen Cyberangriffe ihren Ursprung auf den Geräten der User nehmen. Oft beginnt alles mit einem Social Engineering-Angriff, etwa über raffinierte E-Mails, USB-Droppings oder gefälschte Support-Anfragen innerhalb der Supply-Chain. Ein Klick genügt, um Malware-Akteuren Zugang zum System zu verschaffen. Das eigentliche Ziel solcher Angriffe liegt jedoch nicht bei den Mitarbeitenden selbst, sondern bei kritischen Daten im Netz und dazu sind Berechtigungen auf weitere Systemressourcen erforderlich. Nach der Erstinfektion eines User Accounts bewegen sich Angreifer deshalb lateral durch das Netzwerk auf der Suche nach wertvollen Informationen. Die Strategie ist klar: Ein einziger Account dient als Ausgangspunkt, um nach und nach Zugriff auf geschäftskritische Informationen und Systeme zu erhalten.

Für eine solche Kompromittierung der IT-Umgebung gewinnen KI-gestützte Social Engineering-Angriffe an Bedeutung. Dank modernster Technologien lassen sich Stimmen heute täuschend echt simulieren und werden für Vishing (Voice-Phishing) eingesetzt. Hinter einer Voicemail oder WhatsApp-Nachricht mit dringendem Anliegen, vermeintlich von einer Führungsperson im Unternehmen, steckt ein hochentwickelter KI-basierter Angriff, der mit wenigen Minuten frei verfügbarer Aufzeichnung einer Originalstimme erstellt wurde. Solche Szenarien zeigen deutlich, wie verwundbar bestehende Schutzmechanismen sind – insbesondere, wenn Menschen als Angriffsvektor genutzt werden.

Zero Trust: Trennung und Überprüfung von Datenverkehr

Diese aktuellen Angriffsszenarien erfordern ein Umdenken in der Planung von Sicherheitslösungen. Dabei ist einerseits die Minimierung der potentiellen Angriffsfläche entscheidend, und andererseits die Limitierung von Zugriffsberechtigungen auch im Rahmen von Drittanbieter-Zugriff und ein Zero Trust-Ansatz bietet sich als Lösung an. Zero Trust basiert auf einem Prinzip der kontinuierlichen Überprüfung aller Zugangsberechtigungen auf Basis von Richtlinien. Jeder Datenstrom, jede Interaktion – sei es zwischen Usern, Geräten oder Diensten – wird vorab validiert. Änderungen im Verhalten, der Geoposition oder der sicherheitsrelevanten Bedingungen können zu reiner sofortigen Re-Evaluierung führen. Ein entscheidender Vorteil ergibt sich hier aus granularen Zugangsberechtigungen zu den jeweils benötigten Daten oder Anwendungen anstelle eines vollständigen, direkten Netzwerkzugangs. Der Least Privileged Access verhindert die Ost-West-Kommunikation im Netzwerk. 

Selbst wenn ein Angreifer durch geschicktes Social Engineering mit Hilfe von KI Zugriff auf ein User System erhält, hilft die granulare Segmentierung von Zero Trust bei der Eindämmung des Angriffs. Da der User durch ein solches Sicherheitsmodell nicht mehr im Netzwerk exponiert ist und keinen ungehinderten Zugang auf alle Ressourcen besitzt, kommt der Angreifer nicht weiter. Es bleibt ihm der Zugriff auf kritische Informationen in anderen Teilen des Netzwerks verwehrt. Darüber hinaus helfen KI-gesteuerte Abwehrmethoden dabei, den Angreifer auf dem kompromittierten System zu erkennen - etwa wenn Zugriffsversuche auf unerlaubte Ressourcen gestartet werden.

Im Zusammenspiel einer  Zero Trust-Architektur mit Browser Isolation erzielen Organisationen zusätzlich eine bessere Sicherheitslage, die eine Erstinfektion unterbinden kann. Denn auch der Schutz vor einer Infizierung durch externe Quellen ist Bestandteil der Zero Trust-Prinzipien. So können zum Beispiel über Browser Isolation potenzielle Gefahren durch Webseiten von Endgeräten ferngehalten werden. Webinhalte können so isoliert auf der Zero Trust-Plattform ausgeführt werden, der User oder die Drittpartei wird vor einer Malware-Infektion geschützt. 

Darüber hinaus können zusätzliche Schutzmaßnahmen wie granulare Sicherheitspolicies, Watermarking oder Sicherheitschecks zum Einsatz kommen. Beispielsweise lässt sich erkennen, ob ein Mitarbeitender unterwegs, etwa bei Starbucks, aus dem Hotel oder Zug, auf sensible Daten zugreifen möchte. Statt den Zugriff pauschal zu blockieren, könnten flexible Mechanismen greifen: Daten werden mit klaren Watermarks versehen, um Missbrauch zu identifizieren. Diese Granularität ermöglicht es, Sicherheit zu implementieren, ohne den User in seiner Arbeit erheblich einzuschränken.

Vom Klick zur Krise

Im Rahmen der Präsentation “Vom Klick zur Krise: Wahre Geschichten moderner Angriffe auf Mitarbeitergeräte” auf der ITSA 2025 demonstriert Zscaler am Donnerstag, den 9. Oktober 2025 um 10:45 Uhr in Forum A, Halle 6, wie praxiserprobte Sicherheitstechnologien der Zero Trust Exchange-Plattform im Zusammenspiel mit Browser Isolation und KI-Unterstützung die Angriffsfläche minimieren und die Unternehmenssicherheit nachhaltig stärken. Im Fokus stehen dabei typische Schwachstellen in der Kommunikation zwischen Geräten, Diensten und Menschen und wie architektonische als auch organisatorische Entscheidungen dazu beitragen, die Angriffsfläche einer Organisation deutlich zu verringern.

Bei weiterem Informationsbedarf können Interessenten ihre persönliche Whiteboard-Session auf der ITSA unter diesem Link buchen.