• Start
V-Hub by Vodafone BusinessSecurityCybersecurityCyberangriffe abwehren: Was ist eine Cyberattacke und wie gelingt wirksame IT-Sicherheit?
Schmuckbild
Security

Cyberangriffe abwehren: Was ist eine Cyberattacke und wie gelingt wirksame IT-Sicherheit?

Portrait von Clemens Förster Clemens Förster
28.11.2025
22 Min.

    Stellen Sie sich vor: Ihr Unternehmen startet eine wichtige Kampagne. Kunden warten, Teams arbeiten unter Hochdruck. Plötzlich bricht das System zusammen. Server reagieren nicht, Datenbanken sind verschlüsselt. Auf den Bildschirmen erscheint eine Nachricht: „Zahlen Sie, sonst verlieren Sie alle Daten.“ Genau das passiert täglich – nicht nur bei Konzernen, sondern auch bei mittelständischen Betrieben.

    Die Folgen sind dramatisch: Umsatzeinbußen, Vertrauensverlust und rechtliche Konsequenzen. Viele Unternehmen unterschätzen diese Gefahr. Dabei sind laut dem Branchenverband Bitkom 8 von 10 Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen. Wer jetzt nicht handelt, wird es schnell bereuen.

    Inhaltsverzeichnis

    Was ist ein Cyberangriff?Was bedeutet Cybercrime-as-a-Service?Diese Arten von Cyberangriffen gibt esAuswirkungen für Unternehmen

    Was ist ein Cyberangriff?

    Ganz allgemein bezeichnet ein Cyberangriff oder eine Cyberattacke den Versuch, unbefugt und vorsätzlich auf Daten zuzugreifen, um diese zu manipulieren oder zu stehlen. Auch IT-Systeme insgesamt können das Ziel von Cyberangriffen werden, beispielsweise mit dem Ziel, diese lahmzulegen, um wirtschaftlichen Schaden zu erzeugen und/oder Lösegeld zu erpressen. Im Unterschied zu weitverbreiteter und wahllos gestreuter Malware wie Viren und Würmern erfolgt ein Cyberangriff gezielt durch eine oder mehrere Personen. Ziele sind dabei meist Unternehmen, nichtstaatliche Organisationen und staatliche Institutionen. Nahezu jedes in einem Netzwerk befindliche Endgerät kann Ziel eines Cyberangriffs sein. Dies gilt für PCs, Tablets, Smartphones, smarte Unterhaltungselektronik, IoT-Geräte und vieles mehr, betrifft aber in der Praxis vor allem Serversysteme. Im schlimmsten Fall kann ein Cyberangriff schwerwiegende Konsequenzen auch für Privatpersonen haben – wenn er sich gegen Fahrzeuge, Krankenhäuser, Kraftwerke oder Verkehrssicherungssysteme wendet.
    Die Ziele von Cyberangriffen können sich stark voneinander unterscheiden. Kriminelle können damit unter anderem diese Absichten verfolgen:
    • Diebstahl: Dies umfasst sowohl sensible Geschäftsdaten jeglicher Art als auch konkrete finanzielle Ressourcen wie Geld auf Bankkonten, Aktien, Kryptowährungen und so weiter.
    • Erpressung: Kriminelle erpressen Dritte nach dem Raub von gestohlenem Wissen mit dessen Weiterverkauf oder Veröffentlichung. Eine andere Erpressungsmethode der Angreifer:innen besteht darin, IT-Systeme zu sperren, die sie erst wieder freigeben, nachdem die Opfer dafür gezahlt haben.
    • Spionage: Darunter fällt die klassische Betriebsspionage wie auch die staatliche Spionage, die sich beispielsweise gegen Regierungsmitglieder oder die kritische Infrastruktur anderer Staaten richten kann.
    • Sabotage: Die gezielte Manipulation oder Beschädigung von IT-Systemen soll diese (temporär) unbrauchbar machen, etwa die vernetzten Produktionsanlagen eines Mitbewerbers oder den Online-Shop eines marktführenden Unternehmens.
    • „Hacktivismus“: Cyberkriminelle mit politischen Motiven greifen Unternehmen, Organisationen oder Einzelpersonen an, um diesen zu schaden oder auf deren Aktivitäten aufmerksam zu machen.
    Bei Angriffen auf IT-Systeme kommt meist eine Schadsoftware (englisch: Malware) zum Einsatz. Gängige Malware bei Cyberangriffen sind Trojaner und Ransomware. Diese Schadprogramme sind teilweise so hoch entwickelt, dass handelsübliche Antivirensoftware nur unzureichenden Schutz gegen sie bietet.
    Unkenntlicher Computerhacker tippt auf einem Smartphone

    Lookout for Small Business

    Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

    Integrieren Sie Lookout in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-out in Ihrer mobilen Flotte.

    Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    Mehr zu Lookout

    Was bedeutet Cybercrime-as-a-Service?

    Aktuelle Studien des Bundeskriminalamts (BKA) kommen zu dem Ergebnis, dass Cyberkriminelle ihre Attacken immer professioneller planen und durchführen. IT-Sicherheitsexpert:innen sprechen hierbei von Cybercrime-as-a-Service (CaaS): Die Kriminellen verkaufen im Darknet Schadsoftware oder komplette Serverinfrastrukturen, die sie speziell für kriminelle Aktivitäten gebaut haben.
    Ein bekanntes Beispiel dafür ist der 2019 von der Polizei abgeschaltete „CyberBunker“ in Rheinland-Pfalz, in dessen Räumlichkeiten die Betreiber:innen mehr als 400 Server für eine Darknet-Infrastruktur zur Verfügung stellten.
    Außerdem bieten zahlreiche Hackergruppen ihre Dienstleistungen in einschlägigen Internetforen zum Kauf an. Gegen Bezahlung führen sie Attacken auf industrielle und öffentliche Infrastrukturen sowie auf die IT von Regierungseinrichtungen durch. Besonders im Rahmen der globalen Konflikte der vergangenen Jahre gibt es für dieses kriminelle Geschäftsmodell eine steigende Nachfrage.

    Diese Arten von Cyberangriffen gibt es

    Staatliche Spionage und Datendiebstahl: Advanced Persistent Threats

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Advanced Persistent Threats (kurz APTs, zu Deutsch: fortgeschrittene anhaltende Bedrohungen) als eine Reihe von Cyberangriffen durch gut ausgebildete und häufig von Staaten gesteuerte Angreifer:innen. Zweck dieser Attacken sind meist Spionage und/oder Sabotage – und das von den Opfern unbemerkt über einen längeren Zeitraum hinweg.
    Diese Angriffe bedrohen laut BSI im Grunde jedes Unternehmen, das vertrauliche und/oder geschäftskritische Informationen auf IT-Systemen verarbeitet; oder dessen Erfolg von der Verfügbarkeit seiner IT-Systeme abhängt.
    Kleine und mittelständische Unternehmen, die in ihrem Marktsegment Weltmarktführer sind (sogenannte „Hidden Champions“), rücken besonders in den Fokus cyberkrimineller Aktivitäten. Auch Banken, Medienkonzerne, Forschungs- und Militäreinrichtungen sind Ziele von Cyberangriffen im Auftrag von Staaten. Daneben sind vor allem Behörden und Organisationen der sogenannten Kritischen Infrastrukturen (KRITIS) besonders gefährdet.

    DoS- und DDoS-Attacken: Wenn Netzwerke gezielt überlastet werden

    Expert:innen sprechen von einem Denial-of-Service-Angriff (DoS), wenn Kriminelle Webserver mit einer großen Zahl von Anfragen regelrecht „bombardieren“. Dadurch wollen sie beispielsweise Webserver überfordern, sodass diese nicht mehr zuverlässig arbeiten können. Diese Anfragen auf Server erfolgen unter Umständen parallel von zahlreichen Rechnern, die von einer Schadsoftware gekapert wurden. In diesem Fall handelt es sich um einen Distributed-Denial-of-Service-Angriff (DDoS).
    DoS- und DDoS-Angriffe verfolgen nicht den Zweck, Zugriffsrechte für die infizierten Systeme zu erlangen. Stattdessen steht die gezielte Störung von Arbeitsprozessen im Vordergrund. So sind beispielsweise Webseiten von Regierungsbehörden ein beliebtes Angriffsziel, um sie für längere Zeit außer Betrieb zu setzen. Auch Webseiten großer Onlineversandhäuser hatten in der Vergangenheit unter DDoS-Angriffen zu leiden.
    Es gibt unterschiedliche Arten von DoS- und DDoS-Angriffen, von denen wir die bekanntesten im Folgenden exemplarisch genauer vorstellen:
    Botnet: Ein Botnet besteht aus mehreren mit einer Schadsoftware infizierten Rechnern, die einen simultanen Angriff auf ein bestimmtes Ziel ausführen. Die Besitzer:innen der jeweiligen Endgeräte merken meist nicht, dass sie Teil eines kriminellen Angriffs sind. Unter Umständen erfolgt der Angriff durch ein Botnet über viele Millionen Endgeräte, die überall auf der Welt verteilt stehen. Daher ist es sehr schwer nachzuvollziehen, was der eigentliche Ausgangspunkt einer Botnet-Attacke ist.
    Smurf-Angriffe: Ein Smurfprogramm (deutsch: Schlumpfprogramm) nutzt Schwachstellen im Internetprotokoll (IP) und im Internet-Control-Message-Protocol (ICMP) aus. Die Schadsoftware sendet eine falsche IP-Adresse mit einer angehängten sogenannten ICMP-Ping-Nachricht. Diese Nachricht fordert Netzwerkknotenrechner auf, nach Erhalt dieses „Pakets“ eine Antwort zu senden.
    Doch nun senden alle Geräte im angegriffenen Netz eine Antwort an sich selbst: Die gefälschte Absender-IP-Adresse entspricht der IP-Adresse aller im Netzwerk operierenden Endgeräte. Es entsteht eine Endlosschleife, die das Netzwerk überlastet. Der namentliche Bezug auf die zwergenhaften Schlümpfe-Comicfiguren soll verdeutlichen, dass ein massenhafter Angriff vieler kleiner Systeme ein einzelnes großes System durchaus außer Betrieb setzen kann.
    Teardrop-Angriffe: Ein Teardrop-Angriff sendet ein fragmentiertes (zerstückeltes) Datenpaket an den Server des potenziellen Opfers. In manchen Unternehmen arbeiten noch immer veraltete Versionen von Windows oder Linux. Diese enthalten teilweise einen Fehler bei der Wiederzusammenführung der TCP/IP-Fragmentierung. Genau diesen Fehler nutzen die Cyberkriminellen aus: Bei einem Teardrop-Angriff sendet ein:e Angreifer:in ein bewusst falsch aufgeteiltes Datenpaket. Der empfangende Server scheitert aufgrund des TCP/IP-Fehlers am Zusammenführen der Pakete. Die Folge: Das gesamte Betriebssystem oder bestimmte Anwendungen stürzen ab.
    TCP-Syn-Flooding: Stellt ein Client eine TCP-Verbindung zu einem Server her, führen beide Akteure einen sogenannten „Three-Way-Handshake“ durch. Dieser ist nötig, damit die Verbindung zustande kommt. Im Ablauf der Handshake-Kommunikation sendet der Client ein Bestätigungspaket an den Server. Ein:e Angreifer:in unterschlägt diesen Teil der Kommunikation jedoch. Der Server des Opfers wartet nun vergeblich auf die Antwort: Es kommt zu einer Zeitüberschreitung und das System setzt aus.
    Ping of Death: Größere Datenpakete werden innerhalb von Netzwerken immer dann automatisch verkleinert, wenn sie die zulässige sogenannte Maximum-Transmission-Unit (MTU) überschreiten. Jedes verkleinerte Paket enthält eine Speicheradresse (Offset), die sagt, wie das Paket wieder zusammengesetzt werden muss. Cyberkriminelle können das Offset manipulieren und dadurch die wieder zusammengesetzten Pakete vergrößern. Das Zielsystem kann auf die plötzlich „angewachsenen“ Pakete häufig nicht schnell genug reagieren. Es kommt zu einem Systemausfall.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    Sicherheitslücken ausnutzen: Drive-by-Downloads

    Bei dieser Angriffsmethode suchen Cyberkriminelle nach unzureichend abgesicherten Internetseiten und „schmuggeln“ ein schädliches Skript in den HTTP- oder PHP-Code der Webseite ein. Dieses modifizierte Skript ermöglicht es, eine Schadsoftware direkt auf dem Rechner von Besucher:innen der Seite(n) zu installieren.
    Häufig werden Nutzer:innen Opfer eines Drive-by-Downloads („Download im Vorbeifahren“), wenn sie eine Webseite besuchen oder auf ein Pop-up-Fenster klicken. Das Klicken auf die Schaltflächen ist jedoch nicht zwingend notwendig, da viele Varianten dieser Cyberattacke bereits beim Klick auf die Ursprungsseite eines Pop-ups ihr unheilvolles Werk beginnen.

    Kennwortangriffe

    Kennwortangriffe sind erfolgreich, wenn Nutzer:innen unsichere Passwörter verwenden. Besonders der sogenannte „Wörterbuchangriff“ zielt darauf ab, schwache Passwörter zu identifizieren. Dabei kommt eine spezielle Wörterbuchsoftware zum Einsatz: Das Tool testet tausende Wörterbucheinträge sowie gängige Passwörter und kombiniert sie mit Zahlen und Sonderzeichen.
    Eine ältere, aber bei Hacker:innen immer noch beliebte Methode zum Ausspähen von Kennwörtern ist der Brute-Force-Angriff. Ein solcher Angriff mithilfe von Wörterbuch-Tools kann unter Umständen mehrere Monate dauern, je nach Komplexität des zu erratenen Passworts.

    Verschiedene Formen von Schadsoftware (Malware)

    Häufig nutzen Cyberkriminelle verschiedene Arten von Schadsoftware (englisch: Malware), um Angriffe auf IT-Systeme durchzuführen. Im folgenden Abschnitt stellen wir Ihnen exemplarisch fünf Malware-Typen vor, die Kriminelle für Angriffe verwendeten.
    Trojaner: Ein Trojaner versteckt sich in einem zunächst unverdächtig wirkenden E-Mail-Anhang – beispielsweise in einem Bild oder einem Dokument. Wenn jemand die infizierte Datei aufruft, nistet sich die Schadsoftware auf dem Computer ein. Trojaner sammeln vertrauliche Daten wie Passwörter und Adressen, die sie unbemerkt an diejenigen weiterleiten, die die Schadsoftware kontrollieren.
    Virus: Als Viren bezeichnen Expert:innen Dateien, die etwa über infizierte E-Mails oder Downloads aus unseriösen Quellen auf den Computer gelangen. Dort „besetzen“ die Viren beispielsweise das Betriebssystem. Computerviren können sich selbst kopieren und erst auf einem einzelnen und dann auf mehreren oder allen Computern in einem Netzwerk Schäden anrichten. Dies betrifft nicht nur Endgeräte wie PCs, Tablets oder Smartphones: Viren können auch Fertigungsmaschinen mit Zugang zum Internet of Things (IoT) beschädigen.
    Ransomware: Wenn Ransomware (deutsch: Erpressungssoftware) in ein System eingedrungen ist, verbreitet sie sich sehr schnell und verschlüsselt alle gespeicherten Daten. Die Nutzer:innen sollen daraufhin einen Geldbetrag an die kriminellen Urheber:innen der Schadsoftware senden. Erst nach Zahlung dieses Lösegeldes erhalten sie einen Code zum Entschlüsseln der Dateien – wenn überhaupt.
    Spyware: Diese Form der Schadsoftware übermittelt Cyberkriminellen private und vertrauliche Informationen bestimmter Personen. Dies betrifft beispielsweise Angaben zu deren Online-Gewohnheiten oder -Käufen. Es gibt verschiedene Formen von Spyware: Abgewandelte Varianten können zum Beispiel die Tastenanschläge einer Tastatur, Kreditkarteninformationen, Passwörter oder Anmeldedaten ausspähen.
    Dropper: Ein Dropper ist keine eigenständige Schadsoftware, sondern ein Hilfsprogramm, das es ermöglicht, die eigentliche Malware nachzuladen und zu installieren. Cyberkriminelle verwenden Dropper, um die Signaturerkennung von Antivirensoftware zu umgehen. Viele Cyber-Security-Tools versuchen anhand von Signaturen schädliche Codes zu blockieren und zu isolieren. Wird die Signatur einer Schadsoftware erkannt, können die Verursacher:innen den Dropper allerdings sehr schnell anpassen, ohne den gesamten Schadcode umschreiben zu müssen.

    Man-in-the-Middle-Angriff (MitM)

    Bei einem Man-in-the-Middle-Angriff (übersetzt: „Mann in der Mitte“-Angriff) schalten sich Cyberkriminelle in die digitale Kommunikation zwischen zwei Nutzer:innen oder in einen Kontakt zwischen Client und Server. Die häufigsten MitM-Angriffsmethoden sind:
    • IP-Spoofing/Session-Hijacking: Von IP-Spoofing (übersetzt: verschleiern, vortäuschen einer IP) sprechen Expert:innen, wenn Angreifer:innen einem System vorgaukeln, dass es mit einem vertrauenswürdigen Client kommuniziert. Eine andere Bezeichnung für dieses Vorgehen ist Session-Hijacking, da Cyberkriminelle bildlich einen Client „entführen“ (englisch: hijack).
    • Replay-Angriff: Hierbei verwenden Kriminelle zuvor gesammelte Daten, um an geschützte Dateien zu gelangen. Die Eindringlinge täuschen eine bekannte Identität vor und greifen damit auf fremde Datenbestände zu. Um an ihr Ziel zu gelangen, müssen die Cyberkriminellen häufig noch nicht einmal das verwendete Passwort kennen; es reicht dessen zugehöriger sogenannter Hash-Code.
    Eine junge Frau betrachtet lächelnd ein Tablet.

    Vodafone Business Security Services

    Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.

    • Rund um die Uhr
    • Immer aktuell
    • Alles auf einen Blick via Cyber Hub
    Jetzt hier informieren

    Social Engineering: Schwachstelle Mensch

    Laut dem US-Sicherheitsunternehmen Palo Alto Networks stellt das Social Engineering (frei übersetzt: Soziale Manipulation) aktuell eine der größten Gefahren für die IT-Sicherheit von Unternehmen dar. Die meisten erfolgreichen Datendiebstähle und Spionageangriffe laufen heute nach dem Muster von Phishing-Angriffen ab. Im Folgenden erfahren Sie, wie diese Attacken funktionieren:
    Phishing: Bei einem Phishing-Angriff kommen E-Mails zum Einsatz, die nur auf den ersten Blick einen vertrauenswürdigen Absender haben. Mit solchen E-Mails wollen Cyberkriminelle persönliche Informationen abgreifen oder die Empfänger:innen zu einer bestimmten Handlung verleiten.
    Phishing-E-Mail fordern zum Beispiel dazu auf, Passwörter, Kreditkartennummern oder andere vertrauliche Daten in eine Maske einzugeben. Diese Daten landen dann direkt bei den Kriminellen, die sie etwa im Darknet verkaufen oder für eigene Zwecke nutzen.
    Phishing-Angriffe erfolgen teilweise auch über E-Mail-Anhänge, mit denen Schadsoftware auf einen Rechner gelangt. Manchmal enthalten Phishing-Mails auch Links zu einer Website, auf der vermeintlich seriöse Apps zum Download bereitstehen. Kriminelle haben diese Apps jedoch mit Schadsoftware „bestückt“.
    Spear-Phishing: Sogenannte Spear-Phishing-Angriffe sind gezielte Phishing-Attacken. Die Cyberkriminellen erkunden im Vorfeld die Identität ihrer Opfer und senden ihnen dann individuell angepasste Nachrichten. Diese Nachrichten enthalten meist im Betreff einen für das Opfer relevanten Begriff, beispielsweise die Dienstanweisung eines Vorgesetzten. Für die Adressat:innen ist es oft schwer zu erkennen, dass die Mails in Wirklichkeit von Kriminellen stammen. Häufig verschaffen sich Angreifer:innen durch solche E-Mails Zugriff auf Firmennetzwerke.

    SQL-Injektion

    Besonders datenbankgestützte Webseiten können Ziel von SQL-Einschleusungs-Attacken sein. SQL steht für Structured Query Language (übersetzt: Strukturierte Abfragesprache). Cyberkriminelle durchsuchen Datenbanken gezielt nach Schwachstellen, lesen Daten aus der Ferne aus und verändern sie. Gelingt die SQL-Einschleusung, übernehmen die Angreifer:innen effektiv die administrative Ebene der Datenbank und können beispielsweise bereits gelöschte Daten wiederherstellen, das Betriebssystem steuern oder die gesamte Datenbank zerstören beziehungsweise verschlüsseln.

    Cross-Site-Scripting (XXS)

    Cross-Site-Scripting gehört zu den häufigsten Angriffsmethoden. Durch eine Sicherheitslücke beim Client oder auf dem Server können Angreifende Schadcode in eine eigentlich vertrauenswürdige Umgebung einbauen.
    Sicherheitsexpert:innen unterscheiden zwischen drei Formen des Cross-Site-Scriptings:
    • Reflektiertes Cross-Site-Scripting: Kriminelle kompromittieren den Code einer Webseite und senden das Skript an einen Webserver. Dieser schickt das Skript an den Client zurück, ohne es zu kontrollieren. Nun können Angreifende beispielsweise Passwörter auf einer von ihnen manipulierten Webseite abfangen. Die Nutzer:innen merken nicht, dass die von ihnen als seriös wahrgenommene Webseite temporär unter der Kontrolle von Cyberkriminellen stand, beziehungsweise eine gefälschte Eingabemaske enthielt.
    • Persistentes Cross-Site-Scripting: Bei dieser XXS-Variante speichern Webserver schädliche Skripte und liefern diese bei Aufruf an einen Client. Besonders Blogs und Internetforen sind Ziel dieser Angriffe. Teilweise werden dabei Benutzerdaten gespeichert und ohne Überprüfung ausgegeben. Klicken nun Nutzer:innen beispielsweise einen Foreneintrag an, lösen sie das manipulierte Skript unbemerkt aus.
    • DOM-basiertes Cross-Site-Scripting: Die sogenannte DOM-basierte XSS-Schwachstelle erlaubt das Einbinden von beispielsweise JavaScript-Code in eine Internetseite. Im Gegensatz zum reflektierten und zum persistenten Cross-Site-Scripting geschieht dies allerdings nicht mithilfe der Webanwendung auf dem Server. Für das DOM-basierte Cross-Site-Scripting machen sich Hacker:innen Fehler im JavaScript-Code der Anwendung zunutze. Die Schwachstelle heißt DOM-basiert, da ein clientseitiges JavaScript Zugriff auf das sogenannte Document-Object-Model (DOM) einer Webseite besitzt. Dadurch hat es auch Zugriff auf die aufgerufene URL.

    Zero-Day-Exploits

    Ein Zero-Day-Exploit ist so invasiv, dass die IT des betroffenen Unternehmens im Prinzip „null Tage“ Zeit hat, um die entstandene Sicherheitslücke zu schließen. Allerdings kann es sein, dass es Tage, Wochen oder gar Monate dauert, bis diese Sicherheitslücke bemerkt wird. In dieser Zeit können Cyberkriminelle das unentdeckte Einfallstor nutzen, um die Unternehmens-IT etwa mit selbst geschriebenem Code zu korrumpieren. In der Vergangenheit erfolgten Zero-Day-Angriffe beispielsweise wiederholt über Sicherheitslücken in gängigen Betriebssystemen.

    DNS-Tunneling

    Um einen DNS-Tunneling-Angriff durchzuführen, benötigen Hacker:innen eine externe Netzwerkverbindung zu einem System. Durch erhalten sie Zugriff auf den vernetzten DNS-Server. Das sogenannte Domain Name System (DNS) ist ein gängiges Protokoll und gilt als zuverlässig und sicher. Viele Unternehmen vernachlässigen daher, ihren DNS-Verkehr auf ungewöhnliche Aktivitäten zu untersuchen.
    Um bestehende Sicherheitssysteme zu umgehen, zerlegen die Angreifer:innen Schadcodes in kleine Bruchstücke und betten sie in DNS-Anfragen ein. Dadurch tarnen sie Datendiebstähle und die Kontrolle infizierter Geräte (C2-Kommunikation) im normalen DNS-Datenverkehr. Ist ein Gerät infiziert, veranlasst die Schadsoftware eine DNS-Anfrage. Der DNS-Server erhält die Anweisung, eine Verbindung zum Server der Cyberkriminellen herzustellen.
    Durch diesen „Tunnel“ stehlen die Angreifer:innen Daten und können weitere Befehle an das IT-System senden. Die meisten Firewalls erkennen die in den DNS-Anfragen versteckten Schadcode-Bestandteile nicht.

    KI-unterstützte Cyberangriffe

    Die rasante Entwicklung von künstlicher Intelligenz (KI) hat dazu geführt, dass großangelegte Cyberangriffe noch leichter möglich sind. Während in der Vergangenheit große Teams für komplexe Angriffsoperationen notwendig waren, reichen mittlerweile wenige Personen dafür aus. Selbst unerfahrene Hacker:innen können mithilfe von KI umfassende Cyberattacken durchführen.
    Zu den häufigsten Cyberangriffen, bei denen KI zum Einsatz kommt, zählen derzeit vor allem die Methoden des oben erläuterten Social Engineerings. Doch KI kann auch gezielt gegen IT-Systeme eingesetzt werden. Die häufigsten Einsatzgebiete sind derzeit:
    • Phishing: Die KI ahmt den Schreibstil von Bekannten oder Vorgesetzten detailgetreu nach, indem sie im Internet recherchierte Informationen zu einem Sprachmodell zusammenführt.
    • Spear-Phishing: Mittels Deep-Voice-Funktionen ahmt die KI menschliche Stimmen nach, die am Telefon kaum von echten zu unterscheiden sind. Andere generative KI-Anwendungen können Bilder und Videos produzieren, die den Opfern ihnen bekannte Personen zeigen, um sie damit gezielt zu „ködern“.
    • Zero-Day-Exploits: Die KI kann Sicherheitslücken in IT-Systemen schnell und effektiv finden.
    • Model-Poisoning: KI kann gegen andere KI-Modelle eingesetzt werden, um diese zu beeinflussen, etwa indem sie Lernprozesse durch das Einspeisen falscher Daten beeinflusst oder Hintertüren („Backdoors“) für spätere Cyberattacken in Systeme einbaut.

    Auswirkungen für Unternehmen

    Cyberangriffe können erhebliche Auswirkungen auf Unternehmen haben. Aufgrund ihrer Vielfältigkeit und der unterschiedlichen Ziele können die Attacken sämtliche Firmenbereiche, IT-Systeme und Personen auf jeder Hierarchieebene betreffen. Zusammengefasst kann ein erfolgreicher Cyberangriff die folgenden Auswirkungen mit sich bringen:
    • Unmittelbarer finanzieller Schaden durch Diebstahl von Geld, Anlagevermögen oder Firmenvermögen sowie durch Störung der Geschäftsprozesse
    • Mittel- und langfristige finanzielle Einbußen durch Diebstahl von Geschäftsgeheimnissen, Kommunikationsdaten, Imageschäden, Verlust von Aufträgen und Marktanteilen
    • Rechtliche Konsequenzen durch Kompromittierung der Datensicherheit
    • Vertrauensverlust bei Angestellten, Geschäftspartner:innen und Kund:innen
    Microsoft Defender für Unternehmen

    Microsoft Defender for Business

    Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

    Neu: Jetzt mit Vodafone Managed Endpoint Sercurity Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    • Schutz vor Ransomware, Phishing und anderen Bedrohungen
    • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
    Das kann der Microsoft Defender

    Wer haftet bei einem Cyberangriff?

    Cyberangriffe verursachen, wenn sie erfolgreich sind, meist hohe Schäden. Sie betreffen Daten, Systeme und oft die gesamte Geschäftstätigkeit. Die Frage nach der Haftung ist hierbei entscheidend:
    Das Unternehmen haftet in den meisten Fällen: Wenn Angreifer:innen Daten stehlen oder Systeme lahmlegen, trägt das Unternehmen die Verantwortung. Sie müssen nachweisen, dass Sie alle angemessenen Sicherheitsmaßnahmen umgesetzt haben. Dazu gehören Firewalls, regelmäßige Updates und Schulungen. Wenn Sie diese Pflichten nicht erfüllen, haften Sie für Schäden bei Kunden oder Partnern.
    Die Geschäftsführung trägt eine besondere Verantwortung: Als Geschäftsführer:in obliegt Ihnen eine besondere Verantwortung: Sie müssen ein wirksames IT-Sicherheitsmanagement einführen. Sie müssen Risiken regelmäßig prüfen und Maßnahmen dokumentieren. Wenn Sie diese Aufgaben vernachlässigen, droht Ihnen eine persönliche Haftung. Das gilt für Schäden im Unternehmen und für eventuelle Ansprüche Dritter.
    Mitarbeiter:innen können haften: Wenn eine Person grob fahrlässig handelt, kann sie persönlich verantwortlich sein. Das passiert zum Beispiel, wenn jemand bewusst Sicherheitsregeln ignoriert.
    IT-Dienstleister haften bei Pflichtverletzungen: Wenn externe Anbieter Sicherheitslücken verursachen, können Sie sie zur Verantwortung ziehen. Voraussetzung ist jedoch ein klarer Vertrag mit definierten Pflichten.
    Gesetzliche Grundlagen: Die DSGVO verpflichtet Sie, personenbezogene Daten zu schützen. Verstöße führen zu hohen Bußgeldern. Das Bürgerliche Gesetzbuch (BGB) regelt die Haftung bei Pflichtverletzungen. Achtung: Für kritische Infrastrukturen gelten zusätzliche Anforderungen aus dem IT-Sicherheitsgesetz. Mehr dazu lesen Sie in unserem Beitrag zur sogenannten NIS-2-Richtline hier im V-Hub.
    Unsere Empfehlung: Dokumentieren Sie alle Sicherheitsmaßnahmen. Schulen Sie Ihr Team. Prüfen Sie Ihre Verträge mit Dienstleistern. Schließen Sie eine Cyber-Versicherung ab. So reduzieren Sie Ihr Haftungsrisiko.

    Checkliste: Was tun bei einem Cyberangriff

    Kriminelle suchen regelmäßig nach Schwachstellen in gängiger Software und in IT-Strukturen. Sie nutzen mögliche Sicherheitslücken für gezielte Angriffe auf Ihr Unternehmen aus. Doch Sie sind Cyberangriffen nicht schutzlos ausgeliefert, sondern verfügen über viele Möglichkeiten, um Ihr Unternehmen im Rahmen Ihrer Cyber-Security-Strategie zu schützen. Dazu gehören grundlegend:
    • Schulen Sie Ihre Belegschaft hinsichtlich der Gefahren von Cyberangriffen mittels regelmäßiger Secure Awareness Trainings. Der Mensch ist generell die größte Schwachstelle und dient Kriminellen als erfolgversprechendstes Ziel, um die Sicherheitsmaßnahmen von IT-Systemen zu überwinden.
    • Schützen Sie Ihre Netzwerkstrukturen mit Sicherheitsmaßnahmen wie Firewalls und einer Zero-Trust-Architektur. Nutzen Sie bevorzugt Virtual Private Networks (VPNs), wenn Mitarbeiter:innen auch mobil auf Ihr Firmennetzwerk zugreifen.
    • Erfassen Sie in einer ganzheitlichen Strategie sämtliche Geräte in Ihrem Unternehmen mittels des sogenannten Unified Endpoint Managements (UEM). Dazu zählen auch Mobilgeräte und geschäftlich genutzte Privatgeräte Ihrer Belegschaft („Bring Your Own Device“).
    • Verwalten Sie sämtliche Software in Ihrem Unternehmen mittels einer zentralen Rechteverwaltung und einheitlicher Compliance-Richtlinien. Dazu zählt beispielsweise die Zwei-Faktor-Authentifizierung (2FA).
    • Sorgen Sie für eine stets aktuelle technische Ausstattung mittels des Device Lifecycle Managements, um keine Sicherheitslücken durch veraltete Hardware zuzulassen.
    Mitarbeiterin mit Telefon, Smartphone und Laptop im Büro

    DLM als smarte Paketlösung: Jetzt verfügbar

    Starten Sie jetzt mit Device Lifecycle Management so einfach und so schnell wie nie durch. Wir verwalten und konfigurieren Ihre mobilen Geräte und entlasten so Ihre IT-Abteilung. Durch effiziente Prozesse sparen Sie Kapazitäten und senken nachhaltig Kosten.

    • Preiswerte Lösung: Für den smarten Einstieg
    • Schnelle Verfügbarkeit: Bereitstellung ohne lange Vorlaufzeit
    • Reparaturabwicklung: Service inklusive Versand
    Jetzt mehr erfahren

    Wie erkennt man einen Cyberangriff?

    Cyberangriffe passieren oft unbemerkt. Angreifer:innen nutzen Schwachstellen, um Systeme zu infiltrieren. Sie sollten typische Anzeichen kennen, um schnell zu reagieren. Dazu gehören:
    • Unerwartete Systemverlangsamung: Wenn Computer oder Server plötzlich langsamer arbeiten, kann das ein Hinweis sein. Schadsoftware beansprucht Ressourcen und verursacht Performance-Probleme. Prüfen Sie, ob die Ursache nicht an defekter Hardware oder laufenden Updates liegt.
    • Auffällige Netzwerkaktivität: Ein ungewöhnlich hoher Datenverkehr ist ein Warnsignal. Angreifer:innen übertragen Daten oder kommunizieren mit externen Servern. Kontrollieren Sie regelmäßig die Netzwerkprotokolle. Achten Sie auf Verbindungen zu unbekannten IP-Adressen.
    • Unbekannte Programme oder Prozesse: Wenn auf Geräten Anwendungen erscheinen, die niemand installiert hat, sollten Sie misstrauisch werden. Schadsoftware tarnt sich oft als legitime Software. Überprüfen Sie die Prozessliste und entfernen Sie verdächtige Programme sofort.
    • Häufige Abstürze oder Fehlermeldungen: Plötzliche Systemabstürze oder unerklärliche Fehlermeldungen können auf Manipulation hinweisen. Angreifer:innen verändern Dateien oder Systemkonfigurationen. Dokumentieren Sie die Vorfälle und informieren Sie die IT-Abteilung.
    • Auffällige Aktivitäten bei Benutzerkonten: Wenn sich Konten zu ungewöhnlichen Zeiten oder von fremden Standorten aus anmelden, besteht wahrscheinlich Gefahr. Angreifer:innen nutzen gestohlene Zugangsdaten. Eine mögliche Lösung: Aktivieren Sie eine Multi-Faktor-Authentifizierung und überwachen Sie Login-Vorgänge.
    • Veränderungen an Dateien: Wenn Dateien fehlen, verschlüsselt sind oder sich nicht öffnen lassen, liegt möglicherweise ein Ransomware-Angriff vor. Reagieren Sie sofort und trennen Sie betroffene Systeme vom Netzwerk.
    • Warnungen von Sicherheitssoftware: Ignorieren Sie keine Meldungen von Antivirenprogrammen oder Firewalls. Diese Hinweise sind oft der erste Hinweis auf einen Angriff. Prüfen Sie die Details und handeln Sie umgehend.
    • Externe Hinweise: Manchmal erfahren Unternehmen von Partner:innen oder Kund:innen, dass Daten im Internet auftauchen. Nehmen Sie solche Hinweise ernst und starten Sie eine Untersuchung.

    Was Sie tun sollten

    Bleiben Sie wachsam. Schulen Sie alle Mitarbeiter:innen regelmäßig. Führen Sie klare Meldewege ein. Je schneller Sie reagieren, desto geringer ist der Schaden. Cyberangriffe sind keine Ausnahme mehr, sondern finden jeden Tag statt. Ihre Aufmerksamkeit wird Ihr Unternehmen schützen.

    Cyberangriffe in Deutschland: Besonderheiten & Meldestellen

    Cyberangriffe sind in Deutschland eine reale Gefahr für Unternehmen jeder Größe. Die Bedrohungslage ist hoch. Angreifer:innen setzen auf Ransomware, Phishing und DDoS-Attacken. Sie zielen auf Daten, Systeme und Geschäftsprozesse. Auch kleine und mittelständische Unternehmen sind betroffen. Die Vorstellung, dass nur große Konzerne gefährdet sind, ist falsch.

    Besonderheiten in Deutschland

    Die Zahl der Angriffe steigt kontinuierlich. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) kämpfen deutsche Organisationen und Unternehmen mit über tausend Attacken pro Woche (Stand: Sommer 2025). Cyberkriminelle nutzen immer neue Methoden. Sie setzen KI-gestützte Werkzeuge ein und entwickeln täglich hunderttausende Malware-Varianten. Die Angriffe sind oft professionell organisiert. Täter:innen handeln international und nutzen komplexe Strukturen.
    Deutschland hat klare gesetzliche Vorgaben für den Umgang mit Cybervorfällen. Unternehmen müssen bestimmte Vorfälle melden. Die Pflichten hängen von Branche und Unternehmensgröße ab. Betreiber kritischer Infrastrukturen sind besonders verpflichtet. Sie müssen erhebliche IT-Sicherheitsvorfälle sofort an das BSI melden. Auch Unternehmen mit besonderer Bedeutung für die öffentliche Sicherheit fallen unter diese Regeln.
    Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass Unternehmen Datenschutzverletzungen binnen 72 Stunden melden. Betroffene Personen müssen informiert werden, wenn ein hohes Risiko für ihre Rechte besteht. Für viele Unternehmen bedeutet das: Sie brauchen klare Prozesse für die Meldung und Kommunikation.
    Die novellierte NIS-2-Richtlinie bringt zusätzliche Anforderungen. Sie verpflichtet wichtige und wesentliche Einrichtungen zu einem gestuften Meldeverfahren. Dazu gehören eine Frühwarnung, eine Meldung innerhalb von 72 Stunden und ein Abschlussbericht. Wichtige Meldestellen sind:
    • BSI (Bundesamt für Sicherheit in der Informationstechnik): Meldungen zu IT-Sicherheitsvorfällen und Angriffen auf kritische Infrastrukturen.
    • Landesdatenschutzbehörden: Meldungen bei Datenschutzverletzungen. Jede Region hat eigene Portale.
    • Zentrale Ansprechstellen Cybercrime (ZAC): Ansprechpartner:innen bei der Polizei für Unternehmen. Sie unterstützen bei strafrechtlich relevanten Vorfällen.
    • Bundesnetzagentur: Meldungen bei Vorfällen im Telekommunikationsbereich.
    Wichtig: Prüfen Sie Ihre Meldepflichten. Erstellen Sie einen Notfallplan. Schulen Sie Ihre Mitarbeiter:innen. Halten Sie Kontakt zu den zuständigen Behörden. Cyberangriffe sind kein Ausnahmefall mehr. Sie sind Teil Ihres Geschäftsrisikos.
    Ein Mann mit Kapuze sitzt vor einer Tastatur, im Vordergrund grüne Viren- und Datensymbole

    Risikofreies Cloud-Computing: Vodafone Total Cloud Security

    Immer mehr DDoS-Attacken, professionellere Hacker-Angriffe, gestiegene Compliance-Anforderungen – nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen als heute.

    Unser DDoS Mitigation Service analysiert einlaufenden Traffic und alarmiert Sie automatisch bei drohenden Attacken. Mit Managed Firewall bekommen Sie umfassenden hardware-dedizierten Schutz vor IT-Gefahren. Außerdem verfügen wir über die ISO 27001-Zertifizierung für Cloud & Hosting Services und für Rechenzentrums-Dienstleister in Deutschland.

    Mehr zu Vodafone Security

    Das Wichtigste zu Cyberangriffen in Kürze

    • Cyberattacken sind gezielte Angriffe auf IT-Systeme durch einzelne Cyberkriminelle oder organisierte Gruppen.
    • Cyberkriminelle führen ihre Attacken immer gezielter durch und professionalisieren sich zunehmend. Sie suchen regelmäßig in IT-Systemen, kommerzieller Software und Webseiten nach Schwachstellen und nutzen diese sofort für ihre Zwecke aus – mittlerweile auch mithilfe von künstlicher Intelligenz (KI).
    • Es existieren viele verschiedene Angriffsformen. Dazu zählen beispielsweise der gezielte Einsatz von Malware, die Überlastung von Netzwerken mittels DoS/DDoS-Attacken sowie der Diebstahl von Kennwörtern.
    • Viele Cyberangriffe zielen auf die „Schwachstelle Mensch“ ab, um die Sicherheitsmaßnahmen von IT-Systemen zu überwinden. Eine oft angewendete Vorgehensweise ist dabei das Social Engineering mittels Phishing-E-Mails.
    • Jedes Unternehmen sollte eigene IT-Sicherheitsrichtlinien aufstellen und diese konsequent umsetzen. Zu den wichtigsten Maßnahmen gehören ein einheitliches Geräte- und Software-Management mit strengen Sicherheitsrichtlinien, Zugangsbeschränkungen für das firmeneigene Netzwerk sowie regelmäßige Sicherheitsschulungen der Angestellten.
    • Gemäß der NIS-2-Richtlinie sind bestimmte Unternehmen verpflichtet, u.a. Cyberangriffe innerhalb von 72 Stunden zu melden.
    Portrait von Clemens Förster Clemens Förster
    28.11.2025
      # Tags:CybersecurityDigitalSicherheitTippsCybersecurity
      Das könnte Sie auch interessieren:
      Security
      Hände auf der Tastatur eines Notebooks, darüber ein rotes digitales Dreieck mit einem Ausrufezeichen und Codezeilen

      Incident Response: So beugen Sie Cyberangriffen schlagkräftig vor

      Wenn Unternehmen Opfer von Cyberangriffen werden, ist Incident Response das Mittel der Wahl. Die Methode zur digitalen Abwehr hilft ihnen, Gefahren schnell zu erfassen und Gegenmaßnahmen zu ergreifen. Was Sie dazu alles wissen sollten, erfahren Sie hier.

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren