10 Phishing- und Cybersicherheitsfälle – real und simuliert – die für großes Aufsehen sorgten
Cybersicherheit is usually associated with technology, malware and hackers. Yet some of the most talked-about cases of recent years had nothing to do with technical vulnerabilities — they exploited something far more human: emotions.
Im Jahr 2021 schickte das britische Bahnunternehmen eine E-Mail an rund 2.500 Mitarbeiter, in der es ihnen für ihre Leistungen während der Pandemie dankte und eine Sonderzahlung ankündigte.
Als die Mitarbeiter auf den Link klickten, um mehr zu erfahren, stellten sie fest, dass es den Bonus nicht gab. Es handelte sich um eine Phishing-Simulation.
Was diese Nachricht besonders schwer erkennbar machte, war der Kontext: Die Belegschaft hatte schwierige Jahre hinter sich, war unmittelbar von der Pandemie betroffen und einige Mitarbeiter hatten Kollegen durch COVID verloren. Das Szenario war emotional glaubwürdig – und genau das macht es zu einem so repräsentativen Beispiel für die Funktionsweise von Social Engineering.
Tribune Publishing schickte seinen Mitarbeitern eine E-Mail, in der Boni zwischen 5.000 und 10.000 Dollar angekündigt wurden.
In Wirklichkeit befand sich das Unternehmen mitten in Entlassungen, Schließungen und wirtschaftlichen Schwierigkeiten. Die Simulation löste interne und externe Reaktionen aus, woraufhin die Organisation eine Erklärung über den Zweck der Übung herausgab.
Dieser Fall zeigt etwas Wichtiges: Die Wirksamkeit einer Sensibilisierungskampagne hängt unmittelbar vom Kontext ab, in dem sie durchgeführt wird.
Tausende australische Polizeibeamte erhielten eine E-Mail über eine Gehaltserhöhung von 5 %. Es war kein echtes Angebot – sondern eine interne Phishing-Kampagne.
Was die Erkennung erschwerte, war der Zeitpunkt: Die Übung fiel mit echten Tarifverhandlungen zusammen, sodass die Nachricht von einer offiziellen Mitteilung nicht zu unterscheiden war. Die Organisation entschied sich daraufhin, ihren Prozess zu überprüfen und die Planungskriterien für künftige Kampagnen anzupassen.
Die University of California Santa Cruz startete eine Phishing-Übung, die einen Gesundheitsalarm wegen eines angeblichen Ebola-Falls auf dem Campus simulierte. Viele Studierende und Mitarbeiter hielten es für einen echten Notfall.
Dass so viele Menschen darauf hereingefallen sind, zeigt deutlich, wie wirksam emotional aufgeladene Szenarien sein können. Der Vorfall löste in der Cybersicherheits-Community eine Debatte darüber aus, welche Arten von Situationen für solche Tests geeignet sind und wie die Kommunikation mit den Beteiligten im Nachgang gestaltet werden sollte.
Im Jahr 2018 war eine Phishing-Übung im Zusammenhang mit der technologischen Infrastruktur der Demokratischen Partei in Michigan so überzeugend, dass sie als echter Angriff gemeldet wurde.
Das Democratic National Committee alarmierte sogar das FBI in der Überzeugung, einem echten Einbruch gegenüberzustehen. Nach dem Vorfall wurden die Verfahren aktualisiert, um eine bessere Koordination bei künftigen Sicherheitstests zu gewährleisten.
Als die Angriffe real waren
Die folgenden Fälle zeigen, wie Cyberkriminelle genau dieselben Mechanismen einsetzen wie Sensibilisierungsübungen: Nachrichten, die Erwartung, Dringlichkeit oder einen vermeintlichen Vorteil erzeugen. Der Unterschied liegt im Ziel: unbefugter Zugang, finanzieller Diebstahl oder das Abgreifen von Zugangsdaten.
Microsoft identifizierte eine Kampagne, bei der Angreifer Zugang zu Unternehmenssystemen erlangten, um die Bankdaten der Mitarbeiter zu ändern. Das Ziel war es, Gehaltsüberweisungen auf von den Kriminellen kontrollierte Konten umzuleiten.
Die Angreifer nutzten Nachrichten zu HR, Benefits und Gehaltsabrechnungen, um bei ihren Zielpersonen Glaubwürdigkeit aufzubauen.
Phishing-Kampagnen nutzen seit Jahren angebliche Gehaltsüberprüfungen, Aktualisierungen von Sozialleistungen oder Änderungen interner Richtlinien als Vorwand.
Mitarbeiter erhalten scheinbar legitime Nachrichten, die sie auf gefälschte Portale weiterleiten, wo sie ihre Unternehmensanmeldedaten eingeben. Die Wirksamkeit dieser Taktik beruht darauf, dass kaum ein Thema so unmittelbare Aufmerksamkeit erregt wie eine finanzielle Verbesserung.
Im Jahr 2025 wurde eine Kampagne entdeckt, die Mitarbeitern einen außerordentlichen Bonus versprach. Die Zielperson erhielt ein Dokument mit einem QR-Code, der beim Scannen auf eine gefälschte Microsoft-Seite zur Erfassung von Anmeldedaten weiterleitete.
Die Kampagne kombinierte zwei bewährte Elemente: das Versprechen eines finanziellen Vorteils und den Einsatz von QR-Codes als Weiterleitungsvektor.
Manche kriminellen Gruppen brauchen nicht einmal E-Mails zu versenden. Sie geben sich telefonisch als Mitarbeiter aus und bringen den IT-Support dazu, Passwörter zurückzusetzen oder neue Authentifizierungsgeräte zu registrieren.
Einmal im System, ändern sie Gehaltsdaten oder verschaffen sich Zugang zu kritischen Unternehmenssystemen – ohne eine einzige technische Schwachstelle auszunutzen.
Im Jahr 2016 nutzten Gruppen mit Verbindungen zum russischen Geheimdienst Phishing-E-Mails gegen Mitglieder der US-Demokratischen Partei. Die Nachrichten imitierten legitime Anmeldeseiten und erbeuteten erfolgreich echte Zugangsdaten.
Der Vorfall wurde zu einem der bekanntesten Phishing-Fälle der jüngsten Geschichte und zeigte, dass eine einzige E-Mail geopolitische Folgen haben kann.
Was bei diesen zehn Fällen auffällt, ist, dass das Muster in allen nahezu identisch ist: eine Nachricht, die an etwas für den Empfänger Relevantes appelliert – einen finanziellen Vorteil, eine dringende Warnung, eine interne Mitteilung – und die sich schlicht schwer ignorieren lässt.
Die eigentlich relevante Frage ist nicht, ob solche Übungen angemessen sind, sondern eine direktere: Hätten Sie erkannt, dass es sich um einen Angriff handelt?
Sensibilisierungssimulationen existieren genau deshalb, weil die ehrliche Antwort in vielen Fällen nein lautet. Nicht aus mangelnder Kompetenz, sondern weil diese Nachrichten darauf ausgelegt sind, überzeugend zu wirken. Wer weiß, wie sie funktionieren, ist am besten vorbereitet.
Sensibilisierung ist die erste Verteidigungslinie. Bei Cloud Levante helfen wir Unternehmen dabei, ihre Sicherheitslage gegenüber Angriffen zu bewerten und zu stärken, die nicht auf Exploits, sondern auf menschlichem Verhalten basieren.
Sprechen Sie mit uns