KnowBe4 Threat Labs entdecken Phishing-as-a-Service-Kit

Es klingt wie der Plot eines Cyberthrillers – ist aber Realität: Die KnowBe4 Threat Labs haben Anfang 2026 ein Phishing-as-a-Service-Kit namens Kratos aufgespürt. Eine Plattform, die selbst technisch weniger versierten Angreifern ermöglicht, hochkomplexe, internationale Phishing-Kampagnen aufzusetzen – schnell, skalierbar und erschreckend professionell.

Dr. Martin J. Krämer, CISO Advisor bei KnowBe4 , ordnet die Entwicklung klar ein: Wir erleben eine neue Phase der „Demokratisierung“ von Cyberangriffen. Was früher spezialisierten, gut organisierten Gruppen vorbehalten war, steht heute als Service-Modell praktisch jedem offen, der bereit ist, dafür zu zahlen.

Der erste Hinweis: Eine täuschend echte Adobe-Kampagne

Aufgefallen ist Kratos durch eine besonders ausgefeilte Social-Engineering-Attacke mit Adobe-Thematik. Die Angreifer imitierten täuschend echt die Abrechnungs- und Verwaltungsprozesse von Adobe Creative Cloud- und Adobe Document Cloud-Nutzern.

Für Betroffene wirkte alles vertraut: Layout, Tonalität, Prozessabläufe. Genau diese Perfektion machte die Attacke so gefährlich. Hinter der Fassade arbeitete jedoch eine durchdachte Phishing-Maschinerie – gesteuert von Kratos.

Was Kratos so gefährlich macht

Kratos ist mehr als ein Baukasten für gefälschte Login-Seiten. Es ist eine ganzheitliche Plattform, die Kampagnenmanagement, Datensammlung und Exfiltration zentralisiert. Einige besonders beunruhigende Funktionen:

• Gezielte Opferauswahl: Das Backend sammelt Besucherdaten und Geolokalisierungen. Sicherheitsforscher oder Besucher aus „falschen“ Regionen werden automatisch ausgesiebt.
• Spurenminimierung: Die Plattform arbeitet mit einer zirkulären, widerstandsfähigen Logik, um Datenerfassung zu maximieren und gleichzeitig forensische Hinweise zu reduzieren.
• Moderne Datenverarbeitung: Eingegebene Zugangsdaten werden über eine entkoppelte JavaScript-Architektur verarbeitet, ins JSON-Format umgewandelt und direkt an den Telegram-Kanal der Angreifer übermittelt.
• Multi-Vektor-Angriffe: Neben klassischen Phishing-Mails kommen bösartige QR-Codes, EML-Anhänge und sogar manipulierte ICS-Kalenderdateien zum Einsatz.

Das Ergebnis: Selbst unerfahrene Täter können Kampagnen über mehr als 20 Staaten hinweg orchestrieren – mit einer Cybercrime-Professionalität, die noch vor wenigen Jahren hochqualifizierten Bedrohungsakteuren vorbehalten war.

Phishing-as-a-Service: Ein wachsender Markt

Sicherheitsforscher beobachten seit Jahren die Professionalisierung der Cybercrime-Szene. Doch Kits wie Kratos markieren eine neue Eskalationsstufe. Experten gehen davon aus, dass bis Ende 2026 über 90 Prozent aller Credential-Kompromittierungsversuche auf Phishing-as-a-Service-Angebote zurückzuführen sein könnten. Bereits im ersten Quartal 2026 identifizierten die KnowBe4 Threat Labs mehrere Kampagnencluster, die Kratos als Ausgangspunkt hatten. Die Erfolgsquote solcher Kits ist hoch – weil sie Technik, Psychologie und Automatisierung intelligent kombinieren.

Warum klassische Abwehr nicht mehr reicht

Viele Unternehmen verlassen sich noch immer primär auf statische Schutzmaßnahmen: E-Mail-Filter, Firewalls, Blacklists. Doch hochdynamische Kits wie Kratos umgehen solche Barrieren zunehmend elegant. Die Empfehlung der Experten: ein Strategiewechsel. Statt rein reaktiv zu handeln, braucht es einen mehrschichtigen, proaktiven Sicherheitsansatz. Und im Zentrum steht dabei ein Faktor, der lange unterschätzt wurde – der Mensch.

Der Mensch als stärkste Verteidigungslinie

In modernen Sicherheitskonzepten geht es nicht mehr nur darum, Mitarbeitende als potenzielles Risiko zu betrachten. Sie müssen zur aktiven Verteidigungslinie werden. Ein sogenanntes Human Risk Management-System kann hier ansetzen:

• Kontinuierliche, personalisierte Phishing-Simulationen
• KI-gestützte Trainingsprogramme
• Automatisierte Tests zur Sensibilisierung
• Moderne Anti-Phishing-Technologien, die KI mit Crowdsourcing kombinieren, um auch Zero-Day-Bedrohungen frühzeitig zu erkennen

Das Ziel ist klar: Sicherheitsbewusstsein darf kein einmaliges Schulungsevent sein, sondern muss als kontinuierlicher Prozess verstanden werden.

Fazit: Kratos ist ein Symptom – nicht die Ausnahme

Kratos steht exemplarisch für eine Entwicklung, die sich nicht mehr zurückdrehen lässt. Cyberkriminalität wird zunehmend industrialisiert. Werkzeuge werden benutzerfreundlicher, Angriffe skalierbarer, Eintrittsbarrieren niedriger. Doch ebenso entwickeln sich die Verteidigungsstrategien weiter. Unternehmen, die frühzeitig auf einen proaktiven, menschenzentrierten Sicherheitsansatz setzen, können ihre Risiken signifikant reduzieren. Die zentrale Frage ist nicht mehr, ob ein Phishing-Versuch erfolgt – sondern wie gut vorbereitet ein Unternehmen und seine Mitarbeitenden darauf sind.