Phishing-as-a-Service

Phishing aus dem Baukasten: So einfach kaufen Cyberkriminelle heute komplette Angriffe

, Yubico | Autor: Herbert Wieler

Phishing-as-a-Service: Wenn Cyberkriminalität zum skalierbaren Abo-Geschäft wird

Cyberkriminelle müssen heute weder programmieren können noch eine eigene Angriffsinfrastruktur betreiben. Phishing-Kampagnen lassen sich inzwischen als Komplettpaket abonnieren – inklusive täuschend echter Login-Seiten, fertiger Vorlagen und technischer Infrastruktur. Damit wird aus einer bekannten Angriffsmethode ein hochgradig skalierbares Geschäftsmodell, auf das Unternehmen mit herkömmlicher Zwei-Faktor-Authentifizierung kaum noch angemessen reagieren können.

Rolf Steinbrück, CISSP, Senior Solutions Engineer bei Yubico ordnet die Bedrohungsentwicklung ein:

Mitte Juni gelang internationalen Ermittlern ein bedeutender Schlag gegen die professionalisierte Phishing-Industrie.

Rolf Steinbrück, CISSP, Senior Solutions Engineer bei Yubico

Im Rahmen der Operation „Ghost Hook“ nahm das FBI gemeinsam mit Google und Black Lotus Labs die Plattform „Outsider“ vom Netz – einen der bislang größten bekannten Anbieter von Phishing-as-a-Service.

Seit 2023 stellte der Dienst Cyberkriminellen eine nahezu schlüsselfertige Angriffsinfrastruktur zur Verfügung. Das Angebot umfasste mehr als 290 vorbereitete Phishing-Vorlagen, mit denen unter anderem Banken, Behörden, Telekommunikationsanbieter und Einzelhändler täuschend echt imitiert werden konnten.

Nach Einschätzung der Ermittler wurden mithilfe der Plattform mehr als 8.000 personalisierte Phishing-Domains eingerichtet. Der damit verbundene Schaden soll sich auf rund 1,9 Milliarden US-Dollar in insgesamt 55 Ländern belaufen.

Cyberkriminalität wird industrialisiert

Dass Phishing zu den größten Cyberbedrohungen für Unternehmen gehört, ist nicht neu. Verändert haben sich jedoch Umfang, Qualität und Geschwindigkeit der Angriffe. Durch professionell organisierte Phishing-as-a-Service-Plattformen und den zunehmenden Einsatz generativer KI wird Cyberkriminalität immer stärker industrialisiert.

Was früher technisches Fachwissen, eigene Server und Programmierkenntnisse erforderte, kann heute als fertige Dienstleistung gebucht werden. Angreifer erhalten Zugriff auf vorkonfigurierte Webseiten, E-Mail-Vorlagen, Hosting-Infrastruktur und teilweise sogar Dashboards zur Verwaltung gestohlener Zugangsdaten.

KI-Werkzeuge senken die Einstiegshürde zusätzlich. Mit ihrer Hilfe lassen sich überzeugende Nachrichten, täuschend echte Anmeldeseiten und sprachlich fehlerfreie Inhalte innerhalb kürzester Zeit erstellen – und das nahezu in jeder gewünschten Sprache.

Damit steigt nicht nur die Zahl der Angriffe. Auch die Qualität der Täuschung nimmt zu. Klassische Warnzeichen wie Rechtschreibfehler, unnatürliche Formulierungen oder schlecht gestaltete Webseiten verlieren zunehmend an Bedeutung.

Phishing bleibt das zentrale Einfallstor

Phishing ist weiterhin eines der wichtigsten Einfallstore in Unternehmensnetzwerke. Häufig beginnt ein schwerwiegender Sicherheitsvorfall mit einer einzigen kompromittierten Identität.

Übernommene Mitarbeiterkonten können Angreifern Zugang zu E-Mails, Cloud-Diensten, internen Anwendungen und vertraulichen Daten verschaffen. Von dort aus lassen sich weitere Konten kompromittieren, Zahlungsprozesse manipulieren oder Ransomware-Angriffe vorbereiten.

Die Folgen reichen deshalb weit über den unmittelbaren Diebstahl von Zugangsdaten hinaus. Finanzielle Schäden durch Betrug, Erpressung oder Datenabfluss sind häufig nur der sichtbarste Teil eines Sicherheitsvorfalls.

Hinzu kommen Betriebsunterbrechungen, Reputationsverluste, Wiederherstellungskosten und mögliche Haftungsfragen. Gerade im Kontext regulatorischer Vorgaben wie NIS2 , DORA und DSGVO können kompromittierte Identitäten erhebliche rechtliche und organisatorische Konsequenzen nach sich ziehen.

Der Global Cybersecurity Outlook 2026 des Weltwirtschaftsforums zeigt zudem, dass KI-gestützter Betrug und Phishing weiter zunehmen. Die Abschaltung einzelner Plattformen wie Outsider ist daher zwar ein wichtiger Erfolg, sie verändert das grundlegende Geschäftsmodell der Angreifer jedoch nicht.

Warum klassische Zwei-Faktor-Authentifizierung nicht mehr ausreicht

Viele Unternehmen setzen weiterhin auf eine herkömmliche Zwei-Faktor-Authentifizierung, um Benutzerkonten zu schützen. Doch nicht jede Form von MFA ist automatisch Phishing-resistent.

Solange der Anmeldeprozess auf Informationen oder Bestätigungen basiert, die ein Nutzer sehen, eingeben oder weitergeben kann, bleibt er grundsätzlich angreifbar. Dazu zählen Einmalpasswörter per SMS, Codes aus Authenticator-Apps oder Push-Benachrichtigungen, die lediglich bestätigt werden müssen.

Moderne Phishing-Kits können solche Verfahren teilweise in Echtzeit umgehen. Angreifer leiten eingegebene Passwörter und Einmalcodes unmittelbar an den echten Dienst weiter und übernehmen anschließend die authentifizierte Sitzung.

Auch sogenannte MFA-Fatigue-Angriffe bleiben ein Risiko. Dabei lösen Cyberkriminelle wiederholt Push-Anfragen aus, bis ein Nutzer eine Anmeldung versehentlich oder aus Überforderung bestätigt. Die entscheidende Frage lautet deshalb nicht mehr, ob ein Unternehmen MFA einsetzt. Entscheidend ist, ob das verwendete Verfahren technisch gegen Phishing geschützt ist.

Hardwarebasierte Authentifizierung als wirksame Gegenmaßnahme

Phishing-resistente Authentifizierung lässt sich durch hardwaregestützte Verfahren auf Basis aktueller FIDO2- und WebAuthn-Standards erreichen. Dabei erfolgt die Anmeldung mithilfe eines physischen Sicherheitsschlüssels oder eines vergleichbar geschützten Geräts.

Die Anmeldedaten sind kryptografisch an die legitime Internetdomain gebunden. Der Sicherheitsschlüssel prüft, ob die Anmeldung tatsächlich auf der vorgesehenen Webseite stattfindet. Auf einer gefälschten Domain kann deshalb keine gültige Authentifizierung durchgeführt werden.

Der private kryptografische Schlüssel verlässt das Hardwaregerät zu keinem Zeitpunkt. Anders als Passwörter oder Einmalcodes kann er weder abgefangen noch von einem Nutzer versehentlich weitergegeben werden.

Selbst wenn ein Mitarbeiter auf eine perfekt gestaltete Phishing-Seite hereinfällt, scheitert der Angriff an der technischen Bindung zwischen Sicherheitsschlüssel und echter Domain. Die gefälschte Webseite kann keine gültige Anmeldung erzeugen.

Damit entsteht im Login-Prozess eine Komponente, die sich nicht durch bessere Texte, realistischere Webseiten oder KI-generierte Täuschungen überwinden lässt.

Phishing-resistente MFA wird zum strategischen Faktor

Phishing-as-a-Service zeigt, wie weit sich der Cybercrime-Markt professionalisiert hat. Angriffe lassen sich automatisieren, international ausrollen und mit minimalem technischem Aufwand skalieren.

Unternehmen müssen ihre Schutzmaßnahmen deshalb ebenfalls skalierbar und technisch belastbar gestalten. Awareness-Trainings, E-Mail-Filter und klassische MFA bleiben wichtige Bestandteile einer Sicherheitsstrategie, können moderne Phishing-Angriffe allein jedoch nicht zuverlässig verhindern.

Phishing-resistente MFA sollte insbesondere für privilegierte Konten, Administratoren, Führungskräfte, Finanzabteilungen und andere besonders gefährdete Nutzergruppen zum Standard werden. Langfristig ist eine unternehmensweite Einführung sinnvoll, um identitätsbasierte Angriffe systematisch einzudämmen.

Wer weiterhin ausschließlich auf Passwörter, Einmalcodes oder Push-Bestätigungen setzt, überlässt einen entscheidenden Teil der Sicherheit dem Verhalten einzelner Mitarbeiter. Hardwarebasierte Authentifizierung verlagert diesen Schutz dagegen auf eine technische Ebene. Damit entziehen Unternehmen dem Geschäftsmodell hinter Phishing-as-a-Service einen wesentlichen Teil seiner Grundlage – unabhängig davon, wie professionell, überzeugend oder KI-gestützt die nächste Angriffskampagne ausfällt.