QR-Codes sind allgegenwärtig: auf Rechnungen, Plakaten, Parkautomaten oder E-Scootern. Schnell gescannt, schon öffnet sich der Link – und genau das ist das Problem. Kriminelle nutzen die Bequemlichkeit aus und platzieren manipulierte QR-Codes, die auf täuschend echt aussehende Webseiten führen. Dort warten gefälschte Loginmasken oder Zahlungsseiten, die vertrauliche Daten abgreifen.

Europol und Eurojust haben im Rahmen der Operation „Simcartel“ einen international agierenden Betrügerring zerschlagen, der in der EU Schäden von rund fünf Millionen Euro verursacht hat.

Künstliche Intelligenz (KI) ist als Trendthema Nummer eins in aller Munde. Kaum ein Unternehmen, das sich nicht damit beschäftigt. Doch wo viel Licht ist, ist auch viel Schatten. Cyberkriminelle setzen immer mehr auf die Möglichkeiten, die KI bietet. Phishing wird zunehmend perfekter. Damit Mitarbeiter gut gerüstet sind, sollten Sie sensibilisieren.

Multi-Faktor-Authentifizierung (MFA) ist seit Jahren eine Grundfeste der IT-Sicherheit. Wer ein Passwort hat, aber keinen zweiten Faktor vorweisen kann, bleibt draußen – so zumindest das Versprechen. Doch Angreifer haben sich angepasst: Sie fangen Authenticator-Codes ab, manipulieren SMS oder spielen auf die Ermüdung von Nutzern, die täglich Dutzende Push-Nachrichten bestätigen sollen.

Phishing gilt seit Jahren als eine der größten Bedrohungen für Unternehmen. Entsprechend groß ist das Angebot an Schulungen, Plattformen und Trainingsprogrammen, die versprechen, Mitarbeitende resistenter gegen die immer raffinierteren Angriffe zu machen. Doch eine aktuelle großangelegte Untersuchung aus den USA hat nun einen Nerv getroffen: Der Nutzen solcher Programme ist verschwindend gering.

Phishing per E Mail hat lange den Ton angegeben. Viele Ihrer Kolleginnen und Kollegen sind darin geübt zweifelhafte Nachrichten zu erkennen und zu melden. Genau in diesem Moment wechselt der Gegner die Bühne. Statt der Mail kommt der Anruf. Die Stimme am anderen Ende klingt freundlich und informiert. Die Nummer auf dem Display wirkt vertraut. Der Vorwand ist plausibel. Willkommen bei Vishing der Stimme als Werkzeug des Social Engineering.

Wenn es um Penetrationstests, Red-Teaming oder Schwachstellenscans geht, ist eines sicher: Die Begriffe werden in der Praxis oft wild durcheinandergeworfen. Das führt dazu, dass selbst erfahrene IT-Verantwortliche nicht selten unsicher sind, was sie eigentlich brauchen – oder was sie da gerade beauftragen. Besonders der Begriff „Red-Teaming“ wird heute fast schon inflationär genutzt. Nicht selten steckt dahinter aber lediglich ein klassischer Penetrationstest oder gar ein automatisierter Scan.

Es ist Montagmorgen, 9:15 Uhr, und wieder einmal landet eine E-Mail mit dem Betreff "Dringende Änderung Ihrer Urlaubsansprüche" im Postfach eines Mitarbeiters. Ohne zu zögern klickt er auf den Link – trotz des absolvierten Phishing-Trainings vor drei Monaten. Was wie ein Einzelfall aussieht, ist tatsächlich die Regel: Eine umfassende Studie zeigt, dass herkömmliche Phishing-Trainings praktisch wirkungslos sind.

Die aktuelle ToolShell-Lücke in Microsoft SharePoint hat eines deutlich gemacht: Wer noch On‑Premises-Systeme betreibt, trägt die volle Verantwortung für deren Sicherheit – inklusive nervenaufreibender Notfall-Patches. Für viele kleine und mittlere Unternehmen ist das eine kaum zu stemmende Daueraufgabe. Cloud‑Dienste wie Microsoft 365 oder SharePoint Online versprechen hier Entlastung: Das Patchen und Schließen kritischer Lücken übernimmt der Anbieter. Ein echter Vorteil, denn wie wir gerade sehen, sind solche Lücken nicht selten und oft schneller ausgenutzt, als ein internes IT‑Team reagieren kann.

Lohnt sich der Einsatz von solchen Passkeys schon für unser Unternehmen? Wie funktioniert das Ganze in der Praxis?“ Unsere Antwort: Eine hervorragende Frage, die zeigt, dass Sie den Blick nach […]

Kriminelle führen derzeit eine neue Betrugsmasche durch, bei der sie sich am Telefon als PayPal-Mitarbeiter ausgeben. Die Betrüger behaupten, auf dem Konto des Angerufenen stehe eine hohe Überweisung bevor, und fordern zur Eingabe einer Taste auf, um die angebliche Zahlung zu stoppen.

Cyberangriffe gehören längst zur betrieblichen Realität. Doch während Firewalls modernisiert, Backups auf Immutable-Storage verschoben und SOC-Dienste eingekauft werden, bleibt ein entscheidender Faktor allzu oft unangetastet: die Haltung und das Handeln der Unternehmensführung. Dabei ist genau sie es, die über den Erfolg oder das Scheitern eines ganzheitlichen Sicherheitskonzepts entscheidet. Resilienz ist eben keine rein technische Eigenschaft, sie ist eine Führungsaufgabe.