Fortinet warnt: E-Mail bleibt der Schlüssel zu Cyberangriffen, KI verstärkt Phishing

Im vergangenen Jahr gab es einen beispiellosen Anstieg automatisierter Schwachstellen -Scans von Systemen durch Cyberkriminelle, um diese zu hacken (plus 16,7 %). Künstliche Intelligenz hat sich als wichtiger Verbündeter der Cyberkriminalität erwiesen: Angreifer nutzen sie, um Deepfakes , Malware (Viren) und Scam-Bots zu erstellen. Und inmitten dieser komplexen Landschaft bleibt eine alte und beliebte Ressource eines der wichtigsten Einfallstore für Angriffe: E-Mail.

Dies sind einige der Erkenntnisse aus dem Global Threat Landscape Report 2025 , einem jährlich vom Bedrohungslabor des Cybersicherheitsunternehmens Fortinet veröffentlichten Bericht. Unternehmen veröffentlichen regelmäßig Berichte mit Informationen, die sie aus ihren Verteidigungssystemen (Firewall-Telemetrie, EDR (Antivirus), Netzwerkkontrollen) gesammelt haben.

Bei automatisierten Scans handelt es sich um umfangreiche Suchvorgänge, die Cyberkriminelle mithilfe von Software durchführen, um fehlerhafte oder falsch konfigurierte Computer, Telefone, Kameras, Server oder verbundene Geräte zu erkennen. Es ist, als würde ein Krimineller versuchen, Tausende von Schlössern pro Sekunde zu öffnen, bis er eine offene Tür findet. In diesem Jahr verzeichnete das Unternehmen 36.000 Scans pro Sekunde.

Das Problem mit diesen Zahlen ist, dass sie ohne Kontext schwer zu interpretieren sind. Ist es viel oder wenig? Was sagt uns das über die Bedrohungslandschaft und wie stark hängt es vom in der Analyse verwendeten Erkennungssystem ab? Und vor allem: Welches Risiko birgt es für öffentliche Einrichtungen, Unternehmen und normale Benutzer?

Die Veröffentlichung des neuesten Berichts von Fortinet fiel mit einem Besuch von Robert May , Executive Vice President für Technologie und Produktmanagement des Unternehmens, in Argentinien zusammen. Während seines Besuchs sprach er mit Clarín , um diese Zahlen und unsere aktuelle Lage besser zu verstehen.

May verfügt über Erfahrung im Technologiesektor . Er hat einen Abschluss in Informatik von der University of British Columbia in Kanada und war vor seinem Wechsel zu Fortinet in den Bereichen Ingenieurwesen und Produktmanagement bei Nortel Networks und der Canadian Space Agency (CSA) tätig.

Der Spezialist ist seit über 20 Jahren im Unternehmen tätig und bot einige Einblicke in die Interpretation der Daten in diesem Bericht. Außerdem erörterte er Lateinamerika und die wichtigsten Bedrohungen, denen Benutzer heute ausgesetzt sind.

Es wird oft behauptet, Cyberkriminelle seien gegenüber denjenigen im Vorteil, die Systeme verteidigen. Wie sehen Sie dieses Szenario heute, angesichts der weit verbreiteten Verbreitung künstlicher Intelligenz?

– Nun, das beobachten wir ständig. Das geschah vor einigen Jahren mit der Migration in die Cloud: Wir nutzten sie zur Verteidigung unserer Systeme, aber Angreifer nutzten sie auch als „Crime as a Service“, um von verschiedenen Standorten aus Angriffe zu starten. Heute passiert dasselbe mit KI. Wir nutzen sie, um die Erkennungs- und Reaktionszeit zu verkürzen; selbst in unserem eigenen SOC [Security Operations Center] konnten wir bei bestimmten Aufgaben mithilfe von KI 60 % weniger erledigen. Aber Angreifer machen dasselbe: Sie nutzen diese Tools, um Angriffe schneller zu starten. Es herrscht technologische Parität.

– In dem Bericht erwähnen Sie Techniken, die als „Leben vom Land “ bezeichnet werden. Was bedeutet das?

Das passiert häufig in kritischen Infrastrukturen. Es mag zwar einfach sein, durch die „erste Tür“ einer Organisation einzudringen, aber das verschafft keinen Zugriff auf die wichtigsten Geheimnisse. Für einen Eindringling ist es am besten, sich in einem Netzwerk ruhig zu verhalten: Anstatt etwas Lautes zu tun, das ihn verraten könnte, bleibt er im Netzwerk und verhält sich unauffällig. Er scannt nicht das gesamte Netzwerk auf einmal, sondern wartet auf Momente, in denen sein Verhalten normal erscheint. Auf diese Weise kann er Monate oder Jahre lang keinen Schaden anrichten, bis er etwas Wertvolles findet und handelt.

– Heutzutage dreht sich alles um KI. Welche Auswirkungen hat sie auf Angriffe wie Phishing?

E-Mails sind nach wie vor das einfachste Einfallstor für Cyberangriffe, und KI trägt zur Täuschung bei. Früher konnten gefälschte E-Mails anhand von Sprachunterschieden erkannt werden. Dank KI wirken Nachrichten heute völlig legitim und enthalten hochspezifische Informationen. Die Hemmschwelle für einen Angriff wird immer niedriger.

— Passwörter sind immer noch ein großes Problem. Was halten Sie davon, sie abzuschaffen?

In unserem eigenen SOC werden Kunden häufig lediglich aufgefordert, die Multi-Faktor- oder Zero-Trust-Authentifizierung zu aktivieren. Diese Tools sind zwar bereits vorhanden, lassen sich aber nicht aktivieren. Passwörter allein sind unsicher. Es gibt Lösungen wie Passkeys und MFA [Zwei-Faktor-Authentifizierung]. Wichtig ist, über das Passwort hinaus eine zusätzliche Sicherheitsebene hinzuzufügen.

– Sind Fehlkonfigurationen immer noch ein Problem?

Ja. Manchmal implementieren sie Kontrollen in einem Teil des Netzwerks, in einem anderen jedoch nicht. Es handelt sich um komplexe Umgebungen mit mehreren IT-Teams. Selbst wenn sie die Tools haben, konfigurieren sie diese nicht richtig. Dafür gibt es Technologievisionen wie Zero Trust [Zugriffsbeschränkung auf Mitarbeiter, die keine höheren Berechtigungen benötigen] und MFA, die in unseren Produkten enthalten sind. Wir nutzen KI auch, um zu warnen, wenn etwas offen oder ungeschützt ist. Früher musste man die Konfiguration manuell überprüfen, aber das ist eine weitere Seite der KI, die zur Verteidigung eingesetzt werden kann: Mit generativer KI können wir den Administrator warnen und Änderungen vorschlagen oder implementieren.

—Wie sehen Sie die Aussichten in Lateinamerika?

Wenn ich mich richtig an den Bericht erinnere, richten sich rund 25 % der weltweiten Angriffe gegen Lateinamerika. Die Zahl variiert je nach Land und den vorherrschenden Branchen: Öl und Gas, Finanzdienstleistungen usw. Dennoch ist die Region ein Hauptziel für Cyberkriminelle.

– Was ist mit industriellen Systemen , die heute viel stärker vernetzt sind?

Früher handelte es sich um isolierte Systeme, doch in den letzten fünf bis zehn Jahren hat die digitale Transformation sie miteinander vernetzt, was einige Probleme mit sich gebracht hat. Es wurde zwar investiert, aber nicht alle Organisationen haben sich im gleichen Tempo bewegt. Es handelt sich um kritische Umgebungen: Energie, Wasser, Transport. Ein Angriff dort betrifft Millionen von Menschen. Darüber hinaus handelt es sich um extreme Umgebungen, die spezielle Hardware und maßgeschneiderte Software erfordern. Die Ziele ähneln denen anderer Angriffe, die Einstiegspunkte sind jedoch andere.

Ransomware war in den letzten Jahren das große Thema, auch wenn es in den Medien weniger diskutiert wurde. Wo stehen wir heute in Sachen Ransomware?

– Tatsächlich ist es immer noch weit verbreitet. KI hat zwar die Art und Weise verändert, wie Angriffe generiert und abgewehrt werden, aber nicht die Art. Insbesondere in der Industrie (OT, Betriebstechnologie) gibt es Fälle, in denen nicht nur versucht wird, Daten zu stehlen , sondern auch kritische Infrastrukturen zu kompromittieren, um Lösegeld zu fordern.

– Führen Unternehmen KI ein, ohne die Risiken abzuwägen?

Ja, es herrscht Wettbewerbsdruck: Wenn Ihr Konkurrent über KI spricht, müssen Sie auch über KI sprechen. Daher setzen sie Sprachmodelle [LLM] in der Cloud ein, schlecht konfiguriert oder ohne Kontrolle oder Kenntnis darüber, welche Daten sie hochladen. Hier bieten wir Tools zur Sicherung dieser Bereitstellungen. Wir nutzen KI auch für Cybersicherheit, Erkennung und zur Beschleunigung der SOC-Arbeit.

Für uns als Nutzer ist es schwierig, in der KI-Landschaft das „Signal vom Rauschen“ zu trennen. Ist das auch für die Branche ein Problem?

— Ja. Viele Keynotes [Vorträge auf Konferenzen] sprechen über KI, ohne ihre Funktionsweise zu demonstrieren oder eine Demo zu zeigen. Man sieht Stände, an denen es letztes Jahr noch keine KI gab, und dieses Jahr wurde sie in die Broschüre aufgenommen. Es gibt einen großen Hype . Entscheidend ist, zu zeigen, wie KI implementiert wird und welchen Mehrwert sie bringt, und nicht nur eine PowerPoint-Präsentation zu präsentieren. Das Risiko besteht darin, ein schlecht gemachtes Produkt einzusetzen, ohne dessen Sicherheit zu prüfen, und es so zu einem Angriffsziel zu machen.

—Welche Trends geben heute Anlass zur Sorge?

– Am häufigsten kommt es vor, dass Benutzer ChatGPT verwenden, um vertrauliche Daten hochzuladen. Es gibt Tausende neuer SaaS-Dienste mit KI, und Mitarbeiter laden dort Informationen hoch. Wir bieten dem CISO [Chief Security Officer] Transparenz und Tools, um diese Daten zu blockieren. Und das gilt nicht nur für normale Benutzer, sondern auch für Netzwerkbetreiber, die interne Daten in externe Tools hochladen.

—Welchen Rat würden Sie Unternehmen und Anwendern heute in diesem Bereich geben?

Für Unternehmen: Transparenz. Wissen Sie, welche Daten geteilt und welche verwendet werden. Entscheiden Sie dann, was Sie zulassen und was nicht. Für Benutzer: Achten Sie darauf, welche Daten hochgeladen werden und wohin. So wie wir immer wieder wiederholt haben: „Klicken Sie nicht auf verdächtige Links, geben Sie keine Passwörter oder Schlüssel an Dritte weiter“, müssen wir jetzt ein Mantra wiederholen: „Laden Sie keine persönlichen Daten in Chatbots oder auf öffentlichen Websites hoch.“ Letztendlich wissen wir nicht, wo diese Daten landen.