Tech-Support-Scam

Cyberangriff in 12 Minuten: Neuer Tech-Support-Scam zielt direkt auf CEOs und Vorstände

, KnowBe4 | Autor: Herbert Wieler

Cyberangriff in 12 Minuten: Neuer Tech-Support-Scam zielt direkt auf CEOs und Vorstände

Tech Support Scam gegen C-Level: Sicherheitsforscher warnen vor neuer Cyberangriffswelle via Teams und Quick Assist

Cyberkriminelle nehmen zunehmend gezielt Vorstände, Geschäftsführer und andere Führungskräfte ins Visier – und setzen dabei auf extrem schnelle Angriffsketten. Eine neue Tech-Support-Scam-Kampagne kombiniert E-Mail-Bombing mit gefälschtem IT-Support über Microsoft Teams oder Telefon, um Opfer innerhalb weniger Minuten zur Installation von Remote-Zugängen zu bewegen. Für Unternehmen wird der Faktor Mensch damit erneut zum entscheidenden Sicherheitsrisiko – insbesondere im Top-Management.

Eine aktuelle Analyse von ReliaQuest zeigt, wie professionell und aggressiv moderne Social-Engineering-Angriffe mittlerweile ablaufen.

Dr. Martin J. Krämer, CISO Advisor bei KnowBe4
Dr. Martin J. Krämer, CISO Advisor bei KnowBe4

Besonders brisant: Zwischen dem ersten Kontakt und der Ausführung schädlicher Skripte vergehen teilweise weniger als zwölf Minuten.

Klassische, rein reaktive Sicherheitsmechanismen stoßen bei dieser Geschwindigkeit zunehmend an ihre Grenzen.

„Die Kombination aus psychologischem Druck, legitimen Remote-Tools und hoher Angriffsgeschwindigkeit macht diese Kampagne besonders gefährlich“, erklärt Dr. Martin J. Krämer, CISO Advisor bei KnowBe4

Angriff beginnt mit E-Mail-Flut und künstlich erzeugter Panik

Am Anfang der Attacke steht ein sogenanntes E-Mail-Bombing. Innerhalb kürzester Zeit erhalten Betroffene hunderte Nachrichten gleichzeitig. Ziel der Angreifer ist es, Stress, Überforderung und Unsicherheit auszulösen.

Fast unmittelbar danach kontaktieren die Täter ihre Opfer über Microsoft Teams oder telefonisch. Sie geben sich als interne IT-Mitarbeiter aus und behaupten, das „E-Mail-Problem“ bereits erkannt zu haben. Unter dem Vorwand schneller Hilfe versuchen sie anschließend, Vertrauen aufzubauen und die Opfer zu einer Remote-Sitzung zu bewegen. In dokumentierten Fällen erfolgte dieser zweite Kontakt bereits weniger als 30 Sekunden nach Beginn des E-Mail-Bombings.

Remote-Tools werden zur Eintrittskarte für den Angriff

Sobald das Opfer kooperiert, fordern die Täter die Installation beziehungsweise Freigabe eines Remote Monitoring and Management (RMM)-Tools. Besonders häufig kommen dabei legitime Anwendungen wie Supremo Remote Desktop oder die in Windows 11 integrierte Funktion Quick Assist zum Einsatz.

Der Vorteil für die Angreifer: Viele Sicherheitslösungen blockieren diese Programme standardmäßig nicht, da sie offiziell für Fernwartung genutzt werden. Nach Aufbau der Verbindung starten die Täter getarnte Skripte und leiten den eigentlichen Cyberangriff ein.

Warum klassische IT-Sicherheit hier an ihre Grenzen stößt

Sicherheitsteams bleiben oft nur wenige Minuten, um verdächtige Aktivitäten zu erkennen, zu analysieren und Gegenmaßnahmen einzuleiten. Gerade bei Angriffen, die auf legitime Tools und menschliches Vertrauen setzen, reichen klassische Schutzmechanismen allein häufig nicht mehr aus. Experten empfehlen deshalb einen stärkeren Fokus auf proaktive Sicherheitsstrategien und verhaltensbasierte Erkennungssysteme.

Zu den wichtigsten Maßnahmen zählen:

  • Verpflichtende Out-of-Band-Verifizierung für jede Remote-Sitzung, etwa per Rückruf oder Authenticator-Freigabe
  • Keine ausschließliche Legitimation des IT-Supports über Teams oder E-Mail
  • Konsequentes Application Allow Listing für erlaubte Anwendungen
  • Blockierung unnötiger RMM-Tools auf Endgeräten und Netzwerkebene
  • Einschränkung nativer Fernwartungsfunktionen wie Quick Assist für Nicht-IT-Mitarbeiter
  • KI-gestützte Verhaltenserkennung zur Korrelation verdächtiger Aktivitäten
  • Spezielle Security-Awareness-Trainings für Vorstände und Führungskräfte

KI-gestützte Security-Awareness gewinnt an Bedeutung

Nach Einschätzung von Sicherheitsexperten reichen klassische Awareness-Schulungen mittlerweile nicht mehr aus, um moderne Social-Engineering-Angriffe effektiv abzuwehren. Besonders gefährdete Zielgruppen wie CEOs, CFOs oder andere C-Level-Entscheider benötigen realitätsnahe Trainingssimulationen, die aktuelle Angriffsmethoden berücksichtigen.

Moderne Digital Workforce Security-Plattformen setzen dabei zunehmend auf KI-basierte Personalisierung. Phishing-Simulationen, Schulungen und Tests können automatisiert und kontinuierlich an individuelle Risikoprofile angepasst werden. Gleichzeitig helfen KI-gestützte Anti-Phishing-Technologien dabei, neue Bedrohungen und Zero-Day-Angriffe schneller zu identifizieren.

Die aktuelle Kampagne zeigt erneut: Cybersecurity ist längst keine reine IT-Aufgabe mehr. Gerade Führungskräfte werden zunehmend zum primären Angriffsziel – und damit zur entscheidenden Verteidigungslinie moderner Unternehmen.