Wie Angreifer sich vorbereiten — und was das für Dein Unternehmen bedeutet

Blackveil Team · März 2026 · 8 Min Lesezeit

Was Pentester und Cyberkriminelle gemeinsam haben? Sie bereiten sich akribisch vor. Was früher als "Drive-by-Infektion" bekannt war — zufällig Opfer eines Angriffs zu werden — ist heute die Ausnahme. Angriffe 2025 sind geplant, strukturiert und datengetrieben.

Phase 1: Reconnaissance — das Fundament des Angriffs

Professionelle Angreifer beginnen immer mit der Reconnaissance-Phase: dem systematischen Sammeln von Informationen über das Ziel. Welche Domains sind registriert? Welche Mitarbeiter sind auf LinkedIn aktiv? Welche Technologien werden eingesetzt? Das Ziel: die Angriffsfläche des Opfers vollständig verstehen, bevor der erste aktive Schritt unternommen wird.

Phase 2: Typosquatting — gefährliche Domains registrieren

Einer der ersten konkreten Schritte ist das Registrieren von Domains, die dem Opfer täuschend ähnlichsehen. Typosquatting nennt sich diese Taktik. Aus beispiel-gmbh.de wird beispiel-gmbh.com, beispie1-gmbh.de oder beispielgmbh.de.

  • Phishing-E-Mails — angeblich von der IT oder Geschäftsführung
  • Credential Harvesting — gefälschte Login-Seiten
  • Man-in-the-Middle Angriffe — Traffic umleiten

Phase 3: Dark Web Leaks als Angriffsvorbereitung

Parallel dazu durchsuchen Angreifer das Dark Web nach Datenlecks. Massenhafte Datenpannen großer Unternehmen sind besonders wertvoll: Under Armour, SoundCloud und Vietnam Airlines haben zuletzt Datenlecks erlebt — mit E-Mail-Adressen und Passwörtern von Millionen Nutzern.

Spear Phishing 2025: Präzision statt Schrotflinte

Das klassische Angriffsszenario heute:

  1. Angreifer findet E-Mail-Adressen von Mitarbeitern im Under-Armour-Leak
  2. Er weiß: Diese Person nutzt wahrscheinlich das gleiche Passwort auch woanders
  3. Phishing-Mail kommt von einer Typosquatting-Domain: "Bitte sofort Passwort ändern"
  4. Der Link führt auf eine täuschend echte Microsoft-Login-Seite (Azure AD SSO)
  5. Der Mitarbeiter gibt seine Daten ein — der Angreifer hat vollen Zugang zu Office 365, Teams und E-Mail

⚠️ Real-Szenario: "Bitte sofort Passwort ändern — Ihr Konto wurde in einem externen Datenleck gefunden. Melden Sie sich über Ihren Unternehmens-Login an." Diese Nachricht kommt täglich in Postfächern an. Ohne Dark Web Monitoring weiß das Unternehmen nicht einmal, dass seine Mitarbeiter im Leak auftauchen.

Was können Unternehmen konkret tun?

  • Dark Web Monitoring — Erkennen wenn Mitarbeiter-Daten in Leaks auftauchen
  • Typosquatting-Monitoring — Verdächtige Domains rund um die eigene Marke erkennen
  • MFA überall erzwingen — besonders für M365 und Cloud-Zugänge
  • Security Awareness Training — Mitarbeiter für Spear-Phishing sensibilisieren

Fazit

Angreifer von heute sind Profis. Die Kombination aus Typosquatting und Dark Web Leaks ist erschreckend effektiv. Kontinuierliches Monitoring kann diese Angriffsvektoren sichtbar machen, bevor der Schaden entsteht. Blackveil überwacht Domain-Registrierungen und Dark-Web-Aktivitäten rund um die Uhr — erfahren Sie mehr über die Blackveil Monitoring-Pakete.

Sehen Sie wie exponiert Ihr Unternehmen ist

Kostenlose Darkweb-Analyse buchen
Themen: Threat Intelligence OSINT Reconnaissance Dark Web
Teilen: Auf LinkedIn teilen Auf X teilen
Sicherheit stärken

Erfahren Sie, ob Mitarbeiterdaten im Dark Web kursieren — mit der kostenlosen Analyse von Blackveil.

Kostenlose Darkweb-Analyse