Die 5 größten Bedrohungen für die Cybersicherheit durch menschliche Faktoren im Jahr 2025: Phishing entwickelt sich erneut weiter

Die Bedrohungen für die Cybersicherheit im Jahr 2025 haben eine neue Form angenommen: Sie zielen aufMenschen und nicht nur auf Systeme. Phishing-Angriffe sind überzeugender, personalisierter und schwieriger zu erkennen. In diesem Beitrag werden die fünf größten Bedrohungen für die Cybersicherheit durch den Faktor Mensch in diesem Jahr vorgestellt und es wird erläutert, wie Sie durch Schulungen und Tests die Nase vorn behalten können.

1. Click-Fix-Angriffe: Eine neue Art von Cybersecurity-Bedrohung

Click-Fix-Angriffe sind auf dem Vormarsch. Diese Phishing-Versuche verwenden gefälschte Pop-ups oder Systemwarnungen und fordern die Benutzer auf, einen "Fix" in Terminal oder Ausführen einzufügen. Was wie ein hilfreicher Befehl aussieht, startet in Wirklichkeit Malware.

Die Angreifer nutzen diese Taktik in Phishing-E-Mails, Browser-Umleitungen und Chat-Support-Betrügereien. Einige Kampagnen wurden auch mit staatlichen Akteuren in Verbindung gebracht.

Verteidigen Sie sich dagegen:

Simulieren Sie Click-Fix-Phishing in der Mitarbeiterschulung. Dazu haben wir eine neue Angriffsvorlage für Sie.
Warnen Sie Ihre Mitarbeiter vor dem Kopieren von unbekannten Quellen.
Überwachung der Aktivitäten in der Zwischenablage im Zusammenhang mit Skripten.

2. Lieferanten-Phishing: Die versteckte Cybersecurity-Bedrohung in Ihrem Posteingang

Moderne Schulungsprogramme nutzen mehrere Arten von Inhalten, um Mitarbeiter effektiv zu erreichen:

Lieferanten-Phishing ist derzeit eine der gefährlichsten Bedrohungen für die Cybersicherheit. Die Angreifer kapern das E-Mail-Konto eines vertrauenswürdigen Lieferanten und senden bösartige Nachrichten an interne Mitarbeiter. Da die E-Mail echt ist und die Beziehung vertrauenswürdig ist, klicken die Benutzer eher darauf.

Im Mai 2025 verursachte ein Phishing-Angriff auf das große britische Einzelhandelsunternehmen M&S große finanzielle Verluste und deckte Schwachstellen in der Lieferantenkontrolle auf.

Tipps zur Schadensbegrenzung:

Einbeziehung von Phishing im Stil von Anbietern in Awareness-Simulationen.
Erweitern Sie die Schulung auf Partner und ausgelagerte Teams. Wir können Ihnen dabei helfen, dies zu tun.
Überprüfen Sie Anfragen über einen zweiten Kommunikationskanal.

3. QR-Code-Phishing: Scannen und klicken, um gehackt zu werden

QR-Codes sind allgegenwärtig - von Schreibtischen bis hin zu Einladungen zu Meetings. Doch im Jahr 2025 nehmen Phishing-Angriffe mit QR-Codes zu. Diese Codes führen oft zu gefälschten Anmeldeseiten oder Skripten, die Token abfangen.

Da die Aktion auf einem Smartphone beginnt, sind die Mitarbeiter weniger vorsichtig. Die ENISA hat QR-Phishing als eine der größten neuen Bedrohungen für die Cybersicherheit in Europa eingestuft.

Schützen Sie Ihre Leute:

Verwenden Sie QR-Phishing bei Ihren Awareness-Tests.
Bringen Sie Ihren Mitarbeitern bei, URLs zu überprüfen, bevor sie sich anmelden.
Bringen Sie in Büros in der Nähe gemeinsam genutzter Räume visuelle Hinweise an.

Wir haben in unserem Blog bereits über QR-Codes gesprochen und wir haben die Vorlagen für Angriffe und Awareness, die Ihnen dabei helfen.

4. MFA-Müdigkeit: Wenn zu viele Aufforderungen zu einem falschen Klick führen

Phishing-Angreifer nutzen jetzt die MFA-Müdigkeit der Benutzer aus. Nachdem sie Anmeldedaten gestohlen haben, lösen sie wiederholte Anmeldeanfragen aus, in der Hoffnung, dass der Benutzer eine versehentlich genehmigt.

Diese Taktik ist vor allem nach Feierabend oder über mobile Geräte verbreitet. Sie wurde im Jahr 2024 bei mehreren aufsehenerregenden Angriffen eingesetzt und nimmt weiter zu.

Was ist zu tun?

Schulung der Benutzer über die Funktionsweise der MFA-Bombardierung.
Simulieren Sie diese Angriffe in Ihren Phishing-Tests.
Rüsten Sie nach Möglichkeit auf phishing-resistente MFA auf.

5. E-Mail-Thread-Hijacking: Vertraute Konversationen werden riskant

Bei einem Thread-Hijack verwendet der Angreifer ein echtes kompromittiertes Konto, um auf eine aktive E-Mail-Konversation zu antworten. Dies ist äußerst effektiv, da die Nachricht einen echten E-Mail-Verlauf und einen echten Tonfall enthält.

Diese Phishing-Angriffe zielen oft auf Finanz-, Rechts- und HR-Teams ab. Sie umgehen Filter und psychologische Abwehrmechanismen.

Defensive Schritte:

Einbeziehung von Thread-Hijacking-Szenarien in Simulationen.
Trainieren Sie die Benutzer, ungewöhnliche Anhänge zu erkennen - auch in vertrauenswürdigen Threads.
Fördern Sie die schnelle interne Meldung verdächtiger Antworten.

Cybersecurity-Bedrohungen und Compliance: Warum Schulung jetzt eine rechtliche Priorität ist

Die europäische NIS2-Richtlinie macht es deutlich: Cybersicherheitsbewusstsein ist nicht mehr optional. Wenn Ihre Organisation in kritischen oder wichtigen Sektoren tätig ist, ist NIS2 erforderlich:

Regelmäßige Mitarbeiterschulungen
Simulierte Angriffe zur Prüfung der Reaktion
Berichterstattungs- und Antwort-Workflows

Die Geldbußen für Verstöße können bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes betragen.

Unternehmen in Deutschland, Österreich und anderen EU-Ländern müssen nun nachweisen, dass sie das menschliche Risiko ernst nehmen. Die Durchführung von realistischen Phishing-Schulungen und -Tests - wie sie von Plattformen wie Lucy angeboten werden - ist ein wichtiger Bestandteil der Erfüllung dieser Verpflichtungen.

Abschließende Überlegungen: Die Bedrohungen der Cybersicherheit werden sich weiter entwickeln, also trainieren, testen und vorausschauend handeln

Die größten Bedrohungen für die Cybersicherheit im Jahr 2025 sind keine Zero-Day-Exploits, sondern clevere, auf den Menschen ausgerichtete Phishing-Techniken. Und sie funktionieren.

Aus diesem Grund sollte Ihr Verteidigungsplan Folgendes enthalten:

Realistische Phishing-Simulationen auf der Grundlage aktueller Bedrohungen
Rollenbasierte Sensibilisierungsschulung, zugeschnitten auf die jeweilige Abteilung
Kontinuierliche Tests, insbesondere für das Risiko Dritter

Mit Tools wie Lucy Security können Sie gezielte Phishing-Tests durchführen, den Inhalt anpassen und Verbesserungen im Laufe der Zeit verfolgen.

Es geht nicht mehr nur darum, den Phish zu fangen. Es geht darum, zu beweisen, dass man es kann.

Setzen Sie sich mit uns in Verbindung, wenn Sie diese Herausforderungen und Ihre Bedürfnisse weiter erörtern möchten.

Auf unserem YouTube-Kanal finden Sie außerdem viele hilfreiche Videos zu diesen Themen, z. B. wie man Angriffe klont.

Artikel

Cybersecurity Challenges in Central and Eastern Europe in 2026

Mehr lesen "

January 30, 2026 No Comments

Artikel

Security Awareness Trends 2026: Why Attacks Have Gone Mobile — and What Organisations Must Do

Mehr lesen "

January 22, 2026 No Comments

Artikel

AI Threats to Employees: New Awareness Training Content

Mehr lesen "

January 13, 2026 No Comments

Die 5 größten Bedrohungen für die Cybersicherheit durch menschliche Faktoren im Jahr 2025: Phishing entwickelt sich erneut weiter

1. Click-Fix-Angriffe: Eine neue Art von Cybersecurity-Bedrohung

2. Lieferanten-Phishing: Die versteckte Cybersecurity-Bedrohung in Ihrem Posteingang

3. QR-Code-Phishing: Scannen und klicken, um gehackt zu werden

4. MFA-Müdigkeit: Wenn zu viele Aufforderungen zu einem falschen Klick führen

5. E-Mail-Thread-Hijacking: Vertraute Konversationen werden riskant

Cybersecurity-Bedrohungen und Compliance: Warum Schulung jetzt eine rechtliche Priorität ist

Abschließende Überlegungen: Die Bedrohungen der Cybersicherheit werden sich weiter entwickeln, also trainieren, testen und vorausschauend handeln

Cybersecurity Challenges in Central and Eastern Europe in 2026

Security Awareness Trends 2026: Why Attacks Have Gone Mobile — and What Organisations Must Do

AI Threats to Employees: New Awareness Training Content

datenschutz

INFORMATIONEN

SUCHEN

Verbinden Sie