Angriffsvektoren: Malware, Phishing, Social Engineering

IT-Systeme werden nicht nur durch technische Schwachstellen kompromittiert – oft ist der Mensch das schwächste Glied. Angriffsvektoren sind die Wege, auf denen ein Angreifer in ein System eindringt oder Schaden anrichtet. Das Spektrum reicht von technischen Mitteln wie Malware über täuschende E-Mails (Phishing) bis zu psychologischer Manipulation (Social Engineering). Diese Lektion gibt einen Überblick – die Details zu einzelnen Malware-Typen folgen in Malware-Typen im Detail.

1) Überblick: Technische vs. menschliche Angriffsvektoren

Angriffsvektoren lassen sich grob in zwei Kategorien einteilen: technische (Ausnutzung von Softwarefehlern, Netzwerklücken) und menschliche / soziale (Täuschung und Manipulation von Personen). In der Praxis kombinieren Angreifer beide: Eine Phishing-Mail ist der Eintrittspunkt, Malware ist das Werkzeug danach.

2) Die wichtigsten Angriffsvektoren im Detail

Klicke auf einen Angriffsvektor für eine ausführliche Beschreibung, Beispiel und Schutzmaßnahmen.

Angriffsvektoren – Klicke für Details

PhishingVertraulichkeit

Täuschend echte E-Mails, die den Empfänger dazu bringen, Zugangsdaten preiszugeben oder auf schädliche Links zu klicken. Spear-Phishing: gezielt auf eine bestimmte Person zugeschnitten (Name, Unternehmen, aktuelles Thema). Whaling: Spear-Phishing gezielt gegen Führungskräfte (CEOs, CFOs).

Beispiel: E-Mail scheinbar von der IT-Abteilung: „Ihr Passwort läuft ab – bitte hier erneuern." Link führt zu gefälschter Login-Seite.✓ Schutz: MFA, Security-Awareness-Training, E-Mail-Filter (SPF, DKIM, DMARC), kritisches Hinterfragen unerwarteter E-Mails

Social EngineeringVertraulichkeit

Psychologische Manipulation, um Menschen zur Preisgabe von Informationen oder zur Ausführung von Aktionen zu bringen – ohne technische Mittel. Ausnutzung von Hilfsbereitschaft, Autoritätsglaube, Dringlichkeit oder Neugier.

Pretexting: Angreifer gibt sich als jemand anderes aus (IT-Support, Behörde). Vishing: Social Engineering per Telefon. Baiting: Verlorener USB-Stick mit Malware – wer ihn einsteckt, infiziert das System.✓ Schutz: Security-Awareness-Training, klare Prozesse (kein Passwort am Telefon), Verifizierungspflicht bei Anfragen

Malware (Schadsoftware)Alle Schutzziele

Oberbegriff für bösartige Software jeder Art: Viren, Trojaner, Ransomware, Spyware, Adware, Worms. Einschleusung durch Phishing-Anhänge, Drive-by-Downloads, kompromittierte Software-Updates (Supply-Chain-Angriff), USB-Sticks oder Schwachstellen.

Ransomware ist aktuell die gefährlichste Variante: verschlüsselt Daten und fordert Lösegeld. Verletzt alle drei CIA-Schutzziele. Details in Malware-Typen im Detail.✓ Schutz: Antivirus/EDR, Patch-Management, Prinzip der minimalen Rechte, Netzwerksegmentierung, regelmäßige Backups

Brute-Force / Credential StuffingVertraulichkeit

Brute-Force: Systematisches Ausprobieren aller möglichen Passwörter. Bei modernen Passwort-Hashes mit GPU-Beschleunigung: Millionen Versuche pro Sekunde möglich. Credential Stuffing: Verwendung von Zugangsdaten aus bekannten Datenlecks – viele Nutzer verwenden dasselbe Passwort auf mehreren Plattformen.✓ Schutz: Lange, komplexe Passwörter, MFA, Account-Lockout nach fehlgeschlagenen Versuchen, Have-I-Been-Pwned-Prüfung

SQL-Injection / Cross-Site-ScriptingC + I

SQL-Injection: Angreifer schleust SQL-Befehle in Eingabefelder ein, um die Datenbankabfrage zu manipulieren. Typisch: Login-Bypass mit ' OR '1'='1, Datenabruf, Datenlöschung. XSS: Angreifer injiziert JavaScript in eine Webseite, das im Browser anderer Nutzer ausgeführt wird – Sitzungsdiebstahl, Weiterleitung.✓ Schutz: Prepared Statements / Parameterized Queries, Input-Validierung, Content Security Policy (CSP), Output-Encoding

Insider-BedrohungenAlle Schutzziele

Angriffe oder Datenverluste durch eigene Mitarbeitende – absichtlich (unzufriedener Mitarbeiter, Industriespionage) oder unabsichtlich (Fehler, Unachtsamkeit). Insider haben bereits legitimen Zugang – klassische Sicherheitsmaßnahmen wie Firewalls helfen nicht.✓ Schutz: Least-Privilege-Prinzip, Aufgabentrennung (Separation of Duties), Monitoring von Datenzugriffen, offenes Unternehmensklima

In der Realität kombinieren Angreifer mehrere Vektoren: Phishing-Mail → Malware-Download → laterale Bewegung im Netzwerk → Ransomware-Deployment. Das nennt sich APT (Advanced Persistent Threat) – eine mehrstufige, langfristige Angriffskampagne.

Zusammenfassung

Angriffsvektoren sind die Einfallstore für Angriffe: technisch (Malware, SQL-Injection) oder menschlich (Phishing, Social Engineering). Phishing täuscht Nutzer mit gefälschten E-Mails; Spear-Phishing zielt auf bestimmte Personen. Social Engineering manipuliert psychologisch. Malware ist der Oberbegriff für Schadsoftware aller Art. Gegen technische Angriffe helfen Patch-Management, MFA und sichere Coding-Praktiken. Gegen Social Engineering hilft vor allem Security Awareness.

Angriffsvektoren: Malware, Phishing, Social Engineering

1) Überblick: Technische vs. menschliche Angriffsvektoren

2) Die wichtigsten Angriffsvektoren im Detail

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title