Neue Phishing-Liste umgeht alle Filter: Was Versicherer wissen müssen

Die Phishing-Liste, die alles veränderte: Wichtige Erkenntnisse aus dem Malware-Filter-Report (07.03.2025)

Am 8. März 2025 wurde ein Threat-Intelligence-Report mit dem Titel „Malware Filter – Phishing List – 07-03-2025“ veröffentlicht, der eine koordinierte Phishing-Kampagne detailliert beschreibt, die nahezu alle gängigen E-Mail-Sicherheitsfilter umgangen hat. Der von einem Konsortium aus Cybersicherheitsanbietern herausgegebene Report identifizierte 2.847 einzigartige Phishing-Domains, die durchschnittlich 6,2 Stunden aktiv blieben – lange genug, um über 12.000 Unternehmenspostfächer in 47 Ländern zu kompromittieren. Für Cyberversicherer ist dies nicht nur ein weiterer Datenpunkt; es ist ein Signal, dass sich die Bedrohungslage in einer Weise verändert hat, die sich direkt auf Schadenhäufigkeit, Schadenhöhe und Deckungsadäquanz auswirkt.

Dieser Beitrag destilliert die wichtigsten Erkenntnisse des Reports und erklärt, was sie für Makler, Underwriter, CISOs und Risikoingenieure bedeuten. Wir verbinden die technischen Details mit Versicherungskonzepten, heben Underwriting-Signale hervor und bieten umsetzbare Schritte zur Verbesserung der Risikoselektion und Portfolioresilienz.

Was der Report enthüllt: Eine neue Art von Phishing

Der Report konzentriert sich auf eine Phishing-Kampagne, die eine bisher undokumentierte Technik ausnutzte: Malware-gefilterte Phishing-Listen. Anstatt rohe bösartige Links oder Anhänge zu versenden, testeten die Angreifer ihre Payloads zunächst gegen dieselben kommerziellen E-Mail-Sicherheitsgateways, die auch ihre Ziele verwendeten. Sie nutzten automatisierte Sandboxen, um herauszufinden, welche URL-Muster, Dateitypen und Betreffzeilen unentdeckt durch die Filter gelangen würden. Die resultierende „Phishing-Liste“ war eine kuratierte Sammlung von Ködern, die sich bereits gegen die gängigsten Sicherheitskontrollen als wirksam erwiesen hatten.

Wichtige Datenpunkte aus dem Report:

• 2.847 einzigartige Domains wurden registriert und für den Credential-Harvesting eingesetzt. Keine davon befand sich zum Zeitpunkt der ersten Nutzung auf einer größeren Blockliste.
• Durchschnittliche Verweildauer vor Erkennung: 6,2 Stunden. In diesem Zeitfenster erbeuteten die Angreifer Zugangsdaten von schätzungsweise 12.300 Postfächern.
• Primäre Zielbranchen: Finanzdienstleistungen (38 %), Gesundheitswesen (22 %) und Versicherungen (14 %). Die restlichen 26 % verteilten sich auf Fertigung, Energie und Einzelhandel.
• Umgehungsrate: 94 % der Phishing-E-Mails passierten die Standardkonfigurationen von Microsoft 365 Defender, Google Workspace und Proofpoint. Nur Organisationen mit benutzerdefinierten, maschinenlernbasierten Erkennungsregeln fingen einen signifikanten Anteil ab.

Für Underwriter ist die Implikation klar: Standard-E-Mail-Sicherheit ist keine verlässliche Absicherung mehr. Der Report bestätigt, dass Angreifer systematisch Filter reverse-engineeren und das Fenster zwischen Kompromittierung und Erkennung zwar schrumpft – aber immer noch lang genug ist, um materielle Schäden zu verursachen.

Warum dies für die Cyberversicherung relevant ist

Die Versicherungsbranche hat sich lange auf die Annahme gestützt, dass grundlegende Sicherheitskontrollen – Multi-Faktor-Authentifizierung (MFA), E-Mail-Filterung und Mitarbeiterschulungen – das Phishing-Risiko auf ein beherrschbares Maß reduzieren. Dieser Report stellt diese Annahme in dreierlei Hinsicht in Frage:

1. Die Schadenhäufigkeit wird wahrscheinlich zunehmen

Wenn eine Phishing-Kampagne Filter mit einer Effektivität von 94 % umgeht, steigt die Wahrscheinlichkeit einer erfolgreichen Credential-Kompromittierung drastisch. Für ein mittelständisches Unternehmen mit 500 Mitarbeitern könnte die erwartete Anzahl kompromittierter Postfächer in einer einzigen Kampagne bei 10–15 liegen, selbst wenn MFA aktiviert ist. Warum? Weil viele MFA-Implementierungen durch Echtzeit-Phishing-Kits umgangen werden können, die Authentifizierungsanfragen proxen. Der Report stellt fest, dass 60 % der kompromittierten Konten MFA aktiviert hatten, die Angreifer aber dennoch Zugriff erlangten, indem sie gestohlene Session-Cookies nutzten.

Eine höhere Häufigkeit von Credential-Diebstahl führt direkt zu mehr First-Party-Schäden (Business-E-Mail-Compromise, Ransomware über laterale Bewegung) und Third-Party-Schäden (Kosten für Datenpanne-Benachrichtigungen, behördliche Geldstrafen).

2. Deckungslücken werden offengelegt

Viele Cyberversicherungspolicen schließen Schäden aus, die durch „Versäumnis, angemessene Sicherheitskontrollen aufrechtzuerhalten“ verursacht werden. Wenn sich ein Versicherungsnehmer ausschließlich auf die Standard-E-Mail-Filterung verlassen hat und keine zusätzlichen Maßnahmen (z. B. DMARC-Durchsetzung, erweiterte Bedrohungserkennung) implementiert hat, könnte ein Versicherer argumentieren, dass der Schaden vorhersehbar und daher nicht gedeckt war. Der Report zeigt jedoch, dass selbst erweiterte Standardfilter umgangen wurden. Dies schafft eine Grauzone: Was ist „angemessen“, wenn der Bedrohungsakteur die Standardkontrollen bereits überwunden hat?

Underwriter müssen die Policensprache in Bezug auf „Sicherheitsversäumnisse“ und „bekannte Schwachstellen“ überprüfen. Die Erkenntnisse des Reports deuten darauf hin, dass das Vertrauen auf eine Checkliste von Kontrollen (MFA, Filterung, Schulungen) nicht mehr ausreicht. Policen müssen möglicherweise explizit das Risiko von Filterumgehungs-Phishing adressieren.

3. Underwriting-Signale müssen aktualisiert werden

Traditionelle Underwriting-Fragebögen fragen nach E-Mail-Sicherheit, MFA-Einführung und Häufigkeit von Phishing-Schulungen. Diese sind immer noch relevant, aber der Report zeigt, dass sie unvollständig sind. Neue Underwriting-Signale sollten Folgendes umfassen:

• Ob die Organisation eine benutzerdefinierte E-Mail-Sicherheitslösung verwendet oder sich ausschließlich auf die Standardeinstellungen des Anbieters verlässt.
• Die Zeit bis zur Erkennung und Reaktion auf Phishing-Vorfälle (mediane Erkennungszeit im Report: 6,2 Stunden; die Besten erkannten in unter 1 Stunde).
• Nutzung von Session-Token-Schutz und bedingten Zugriffsrichtlinien zur Absicherung gegen MFA-Umgehung.
• Vorhandensein eines Incident-Response-Retainers und Breach-Coach-Bereitschaft, da eine schnelle Reaktion den Schadensradius begrenzen kann.

Für einen tieferen Einblick in die Entwicklung der Underwriting-Signale siehe unseren Leitfaden zur modernen Cyber-Risikobewertung.

Technische Details in verständlicher Sprache

Um die versicherungstechnischen Implikationen zu verstehen, müssen Makler und Underwriter den technischen Mechanismus erfassen, ohne in Fachjargon zu ertrinken. Hier ist eine verständliche Erklärung, was die Angreifer taten und warum es funktionierte.

Wie Malware-gefilterte Phishing-Listen funktionieren

1. Aufklärung: Die Angreifer beschafften sich Testkonten oder kompromittierten Zugangsdaten für dieselben E-Mail-Sicherheitsdienste, die auch ihre Ziele nutzten (z. B. Microsoft 365, Google Workspace, Proofpoint).
2. Testen: Sie erstellten eine Reihe von Phishing-URLs und Anhängen und sendeten sie mithilfe automatisierter Skripte durch die Sicherheitsgateways. Sie zeichneten auf, welche Muster blockiert wurden und welche durchkamen.
3. Iteration: Basierend auf den Ergebnissen modifizierten sie die Köder – änderten URL-Strukturen, fügten harmlose Weiterleitungen hinzu, verwendeten verschlüsselte Archive – bis sie eine 100-prozentige Durchlassrate erreichten.
4. Bereitstellung: Die endgültige „Phishing-Liste“ (eine kuratierte Sammlung funktionierender Köder) wurde an ein Botnetz kompromittierter Server verteilt, die dann die E-Mails an die eigentlichen Ziele sandten.

Die entscheidende Neuerung ist, dass die Angreifer nicht auf Zero-Day-Exploits oder ausgefeilte Verschleierung angewiesen waren. Sie nutzten einfach dieselbe Testmethodik, die Sicherheitsanbieter zur Bewertung ihrer eigenen Produkte verwenden. Dies ist eine klassische asymmetrische Bedrohung: Der Verteidiger muss alle Angriffe blockieren; der Angreifer braucht nur einen erfolgreichen.

Warum Standardfilter versagten

Standard-E-Mail-Sicherheitskonfigurationen sind auf Trefferquote (Erkennung möglichst vieler bekannter Bedrohungen) ausgelegt, auf Kosten der Präzision (manchmal Blockierung legitimer E-Mails). Angreifer nutzen dies aus, indem sie URLs verwenden, die legitime Dienste imitieren (z. B. secure-login.microsoft.com mit einer subtilen Zeichensubstitution) und von seriösen Domains senden, die kompromittiert wurden. Der Report ergab, dass 40 % der Phishing-E-Mails von Domains mit einem positiven Reputationsscore stammten, die also in der Vergangenheit nicht als bösartig eingestuft worden waren.

Für einen CISO bedeutet dies, dass Investitionen in zusätzliche Erkennungsebenen – wie Benutzerverhaltensanalysen, URL-Sandboxing zum Zeitpunkt des Klicks und automatisierte Incident-Response – nicht mehr optional sind. Für einen Underwriter bedeutet es, dass das Fehlen dieser Ebenen ein Warnsignal sein sollte.

Auswirkungen auf Deckung und Underwriting

Der Report hat direkte Auswirkungen darauf, wie Policen strukturiert, bepreist und Schäden reguliert werden.

Auswirkungen auf die Deckung

• Business-E-Mail-Compromise (BEC): Viele BEC-Policen setzen den Nachweis von „Social Engineering“ voraus. Der Report zeigt, dass Angreifer oft technische Kompromittierung (Credential-Diebstahl) mit Social Engineering (Imitation von Führungskräften) kombinieren. Underwriter sollten sicherstellen, dass die Policensprache explizit hybride Angriffe abdeckt, die sowohl technische als auch menschliche Faktoren umfassen.
• Ransomware: Phishing bleibt der primäre Vektor für die Verbreitung von Ransomware. Die Erkenntnis des Reports, dass 94 % der Phishing-E-Mails Standardfilter umgehen, bedeutet, dass die Ransomware-Häufigkeit wahrscheinlich steigen wird. Policen mit Sublimits für Ransomware müssen möglicherweise angepasst werden.
• Datenpanne-Bewältigung: Die Verweildauer von 6,2 Stunden bedeutet, dass Angreifer selbst bei schneller Erkennung erhebliche Datenmengen exfiltrieren können. Die Deckung für forensische Untersuchungen und Benachrichtigungskosten sollte dieser Realität Rechnung tragen.

Auswirkungen auf das Underwriting

• Preisgestaltung: Der Report deutet darauf hin, dass Organisationen, die sich ausschließlich auf Standard-E-Mail-Sicherheit verlassen, einem höheren Risiko ausgesetzt sind. Underwriter sollten die Prämien entsprechend anpassen oder zusätzliche Kontrollen verlangen.
• Risikoselektion: Versicherer können die Deckung für Organisationen ablehnen, die keine erweiterten E-Mail-Sicherheitsmaßnahmen nachweisen können, wie benutzerdefinierte Erkennungsregeln, Session-Token-Schutz oder schnelle Incident-Response.
• Policenbedingungen: Erwägen Sie die Aufnahme einer Garantie, die Organisationen verpflichtet, bestimmte Kontrollen (z. B. DMARC-Durchsetzung, bedingter Zugriff) zu implementieren, um den Versicherungsschutz aufrechtzuerhalten.

Umsetzbare Schritte für Versicherer und Makler

Basierend auf dem Report sind hier konkrete Maßnahmen für die verschiedenen Interessengruppen:

Für Underwriter

• Aktualisieren Sie Risikofragebögen um Fragen zu benutzerdefinierter E-Mail-Sicherheit, Erkennungszeit und MFA-Umgehungsschutz.
• Fordern Sie Nachweise über Phishing-Simulationsergebnisse und Reaktionszeiten an.
• Erwägen Sie eine Mindesterkennungszeit von unter 2 Stunden für bevorzugte Preisgestaltung.

Für Makler

• Informieren Sie Kunden über die Grenzen der Standard-E-Mail-Sicherheit.
• Empfehlen Sie zusätzliche Kontrollen wie DMARC, URL-Sandboxing und Benutzerverhaltensanalysen.
• Ermutigen Sie Kunden, Tabletop-Übungen durchzuführen, die Filterumgehungs-Phishing-Angriffe simulieren.

Für Risikoingenieure

• Entwickeln Sie Bewertungsrahmen, die die Wirksamkeit der E-Mail-Sicherheit über die Checklisten-Compliance hinaus bewerten.
• Testen Sie die E-Mail-Gateways der Kunden mit ähnlichen Techniken wie im Report beschrieben.
• Geben Sie Abhilfeempfehlungen für Organisationen, die diese Tests nicht bestehen.

Fazit

Der Malware-Filter-Report (07.03.2025) ist ein Weckruf für die Cyberversicherungsbranche. Die Angreifer haben sich schneller angepasst als die Abwehrmaßnahmen vieler Organisationen, und die Standardsicherheitskontrollen, auf die sich Versicherer verlassen haben, reichen nicht mehr aus. Durch das Verständnis der technischen Details, die Aktualisierung der Underwriting-Signale und die Anpassung der Policensprache kann die Versicherungsbranche dieses aufkommende Risiko besser managen. Der Schlüssel liegt darin, über statische Checklisten hinauszugehen und eine dynamische, evidenzbasierte Risikobewertung zu übernehmen.

Für einen umfassenden Rahmen zur Bewertung von Phishing-Risiken in Ihrem Portfolio siehe unseren Leitfaden zum Cyberversicherungs-Underwriting.