Phishing Filters Bypass Security: $45M Healthcare Breach Wake-Up Call (DE)

Wichtige Erkenntnisse aus dem aktuellen Threat-Intelligence-Report zu Phishing-Filtern

Im Februar 2025 umging eine koordinierte Phishing-Kampagne die E-Mail-Sicherheitslösungen von drei großen Gesundheitsorganisationen und kompromittierte innerhalb von 72 Stunden mehr als 15.000 Mitarbeiter-Anmeldedaten. Die Angreifer nutzten weder neuartige Zero-Day-Exploits noch ausgefeiltes Social Engineering. Stattdessen setzten sie eine Technik ein, die sich seit zwei Jahren leise weiterentwickelt: Malware-Filter, die schädliche Payloads nur dann an echte menschliche Ziele ausliefern, während sie sich vor automatischen Scannern, Sandboxes und Threat-Intelligence-Feeds verstecken. Die daraus resultierenden Sicherheitsverletzungen führten zu Lösegeldforderungen in Höhe von insgesamt 18 Millionen US-Dollar und Gesamtkosten von 45 Millionen US-Dollar für Incident Response, Benachrichtigungen und Betriebsunterbrechungen. Für Cyberversicherer war diese Kampagne ein Weckruf, dass sich die Bedrohungslandschaft grundlegend verändert hat.

Am 8. März 2025 wurde ein neuer Threat-Intelligence-Report mit dem Titel Malware Filter – Phishing List – 07-03-2025 veröffentlicht, der 1.247 Domains und 312 einzigartige Phishing-Kits auflistet, die diese fortschrittlichen Umgehungstechniken einsetzen. Dieser Blogbeitrag destilliert die wichtigsten Erkenntnisse aus diesem Bericht und erklärt, was sie für Versicherungsmakler, Underwriter, CISOs und Risikoingenieure bedeuten.

Was der Bedrohungsbericht enthüllt

Der Bericht, der von einem Konsortium von Threat-Intelligence-Anbietern erstellt wurde, konzentriert sich auf eine bestimmte Klasse von Phishing-Infrastruktur: Domains, die “Malware-Filter” verwenden, um automatisierte Analysen zu blockieren. Im Gegensatz zu traditionellen Phishing-Seiten, die jedem Besucher dieselbe schädliche Seite anzeigen, führen diese Seiten eine Reihe von Prüfungen durch, bevor sie die Payload ausliefern. Zu den gängigen Methoden gehören:

• JavaScript-basiertes Browser-Fingerprinting, das Headless-Browser, virtuelle Maschinen und automatisierte Tools wie Selenium oder Puppeteer erkennt.
• CAPTCHA-Herausforderungen, die menschliche Interaktion erfordern, bevor das Phishing-Formular geladen wird.
• Zeitbasierte Verzögerungen, die Besucher auf harmlose Seiten umleiten, wenn sie keine menschlichen Surfverhaltensmuster simulieren (z. B. Mausbewegungen, Scroll-Ereignisse).
• IP-Blacklisting, das bekannte VPN-Endpunkte, Cloud-Anbieterbereiche und Crawler von Sicherheitsanbietern blockiert.

Laut Bericht wurden 73 % der aufgeführten Domains innerhalb von 48 Stunden nach dem Kampagnenstart registriert, und 89 % verwendeten HTTPS-Zertifikate von kostenlosen Anbietern wie Let’s Encrypt. Die durchschnittliche Verweildauer – der Zeitraum zwischen dem ersten Besuch der Seite durch ein Opfer und der Kennzeichnung der Domain durch Sicherheitsanbieter – stieg von 12 Stunden Anfang 2024 auf 72 Stunden Anfang 2025. Das bedeutet, dass eine typische Phishing-E-Mail drei Tage lang zirkulieren kann, bevor sie entdeckt wird, was den Angreifern reichlich Zeit gibt, Anmeldedaten zu sammeln und sich seitlich zu bewegen.

Der Bericht hebt auch hervor, dass die Phishing-Kits auf Untergrundforen für nur 150 US-Dollar pro Kit mit vorkonfigurierten Filterregeln verkauft werden. Die Einstiegshürde für ausgefeiltes Phishing war noch nie niedriger.

Warum dies für die Cyberversicherung wichtig ist

Phishing bleibt die häufigste Ursache für Cyberversicherungsschäden. Laut dem 2024 IBM Cost of a Data Breach Report waren 41 % der Sicherheitsverletzungen auf Phishing zurückzuführen, und die durchschnittlichen Kosten einer phishingbedingten Sicherheitsverletzung betrugen 4,88 Millionen US-Dollar. Bei Ransomware-Schäden ist der Prozentsatz sogar noch höher: Die 2024 NetDiligence Claims Study ergab, dass Phishing in 67 % der Ransomware-Vorfälle der initiale Zugriffsvektor war.

Die Malware-Filter-Technik erhöht direkt sowohl die Häufigkeit als auch die Schwere der Schäden. Durch die Umgehung traditioneller E-Mail-Sicherheitsgateways und Threat-Intelligence-Feeds erzielen diese Kampagnen höhere Klickraten und längere Verweildauern. Eine längere Verweildauer bedeutet, dass Angreifer mehr Konten kompromittieren, Berechtigungen eskalieren und Ransomware oder Datenextraktionswerkzeuge einsetzen können, bevor die Organisation den Einbruch erkennt. Für Versicherer bedeutet dies höhere Schadenssummen, insbesondere wenn Betriebsunterbrechungen und Lösegeldzahlungen betroffen sind.

Darüber hinaus schafft der selektive Auslieferungsmechanismus eine Deckungsunschärfe. Standard-Cyber-Policen enthalten oft Ausschlüsse für “Social Engineering Fraud” oder “Funds Transfer Fraud”, die vom Versicherungsnehmer verlangen, nachzuweisen, dass der Angriff “gegen einen bestimmten Mitarbeiter gerichtet” war. Wenn eine Phishing-Seite einen Malware-Filter verwendet, um die Payload nur an verifizierte menschliche Benutzer auszuliefern, verschwimmt die Grenze zwischen einem gezielten Angriff und einer Massenkampagne. Underwriter müssen verstehen, dass diese Techniken ein Phishing-Ereignis mit niedriger Frequenz und niedriger Schwere in eines mit hoher Frequenz und hoher Schwere verwandeln können.

Technische Details in Geschäftssprache

Um die versicherungstechnischen Auswirkungen zu verstehen, ist es hilfreich zu wissen, wie Malware-Filter in der Praxis funktionieren. Stellen Sie sich eine typische Phishing-E-Mail vor, die einen Link zu einer gefälschten Anmeldeseite enthält. In der Vergangenheit leitete der Link jeden Besucher auf dieselbe schädliche Seite. Sicherheitsanbieter durchsuchten den Link, analysierten die Seite und fügten sie innerhalb von Stunden zu Blocklisten hinzu.

Mit Malware-Filtern läuft der Prozess anders ab:

1. Die E-Mail trifft ein mit einem Link zu einer scheinbar harmlosen Seite – vielleicht einem PDF-Dokument oder einem Nachrichtenartikel.
2. Wenn das Opfer klickt, lädt die Seite ein JavaScript-Skript, das eine Reihe von Prüfungen am Browser des Besuchers durchführt. Es sucht nach verräterischen Anzeichen von Automatisierung: Fehlen von Mausbewegungen, Verwendung eines Headless-Browsers oder Vorhandensein bekannter Sicherheitstool-Erweiterungen.
3. Wenn die Prüfungen bestanden werden (d. h. der Besucher scheint ein echter Mensch zu sein), leitet die Seite zu einer zweiten URL weiter, die das eigentliche Phishing-Formular hostet. Bei der zweiten URL kann es sich um eine kompromittierte legitime Website oder eine neu registrierte Domain handeln.
4. Wenn die Prüfungen fehlschlagen, zeigt die Seite entweder eine harmlose Fehlermeldung an oder leitet auf eine legitime Website weiter. Automatisierte Scanner sehen nichts Bösartiges.

Diese Technik überlistet die meisten E-Mail-Sicherheitsgateways, die auf URL-Reputation angewiesen sind. Sie umgeht auch sandbox-basierte Analysen, da Sandboxes in virtualisierten Umgebungen laufen, die leicht erkannt werden. Das Ergebnis ist, dass die Phishing-Seite tagelang aktiv und ungeblockt bleibt, nicht nur stundenlang.

Für einen CISO bedeutet dies, dass traditionelle Abwehrmechanismen – DMARC, SPF, DKIM und selbst MFA – zwar weiterhin notwendig, aber nicht mehr ausreichend sind. Angreifer können Anmeldedaten sogar dann sammeln, wenn MFA aktiviert ist, wenn die Phishing-Seite das Sitzungstoken erfasst oder einen Echtzeit-Proxy verwendet (eine Technik namens Adversary-in-the-Middle). Der Bericht stellt fest, dass 41 % der analysierten Phishing-Kits Funktionen zum Diebstahl von Sitzungscookies enthielten.

Auswirkungen auf Deckung und Underwriting

Der Aufstieg von Malware-Filter-Phishing hat direkte Konsequenzen für Policensprache, Risikobewertung und Schadenbearbeitung.

Deckungslücken: Viele Cyber-Policen schließen “freiwillige Preisgabe” oder “Social Engineering”-Verluste aus, es sei denn, der Versicherungsnehmer kann nachweisen, dass der Angreifer eine spezifische, gezielte Täuschung eingesetzt hat. Wenn eine Phishing-Seite einen Malware-Filter verwendet, um nur menschliche Benutzer zu targetieren, ist der Angriff zwar immer noch massenhaft verteilt, aber selektiv ausgeliefert. Versicherer könnten argumentieren, dass der Verlust unter eine Social-Engineering-Sublimitierung oder einen Ausschluss fällt. Wenn das Phishing jedoch zu Ransomware oder Datenextraktion führt, ist der primäre Deckungsauslöser typischerweise ein “Systemausfall” oder “unbefugter Zugriff”, nicht Social Engineering. Dies schafft potenzielle Deckungskonflikte. Makler sollten die Policendefinitionen von “Social Engineering Fraud” und “Funds Transfer Fraud” überprüfen, um sicherzustellen, dass sie mit der Realität des modernen Phishings übereinstimmen.

Underwriting-Signale: Underwriter können das Vorhandensein oder Fehlen bestimmter Kontrollen nutzen, um die Risikobewertung anzupassen. Der Bericht legt nahe, dass Organisationen mit den folgenden Kontrollen deutlich seltener Opfer von Malware-Filter-Phishing werden:

• Phishing-resistente MFA (z. B. FIDO2-Hardware-Token), die nicht durch Sitzungscookie-Diebstahl umgangen werden kann.
• Erweiterte E-Mail-Sicherheit, die verhaltensbasierte Analyse von Links durchführt, nicht nur Reputationsprüfungen.
• Benutzerschulung, die Szenarien umfasst, in denen der Phishing-Link vor der Weiterleitung zu einer harmlosen Seite führt.
• Endpoint Detection and Response (EDR), die Auffälligkeiten im Verhalten nach dem Klick erkennen kann, wie z. B. ungewöhnliche Prozessausführung nach einer Browser-Weiterleitung.

Für Risikoingenieure bietet die Bewertung dieser Kontrollen im Rahmen einer Cyber-Assessments ein genaueres Bild der Gefährdung einer Organisation. Das Vorhandensein von phishing-resistenter MFA verringert beispielsweise die Wahrscheinlichkeit, dass ein gestohlenes Passwort zu einer vollständigen Kontokompromittierung führt. Ebenso haben Organisationen, die ihre Mitarbeiter mit simulierten Malware-Filter-Phishing-Kampagnen testen, tendenziell niedrigere Klickraten bei echten Angriffen.

Schadenbearbeitung: Wenn ein Schaden aus einem Malware-Filter-Phishing-Vorfall resultiert, sollten Schadenregulierer forensische Beweise anfordern, die zeigen, wie die Payload ausgeliefert wurde. Protokolle der JavaScript-Prüfungen der Phishing-Seite können aufdecken, ob der Angriff Fingerprinting verwendet hat, um Sicherheitstools zu umgehen. Diese Informationen helfen bei der Entscheidung, ob der Verlust unter einen Social-Engineering-Ausschluss oder eine breitere Systemausfall-Deckung fällt. Versicherer, die in das Verständnis dieser technischen Details investieren, können die Rechtskosten senken und die Abwicklungsgenauigkeit verbessern.

Praktische Schritte für Makler und Risikomanager

Cyberversicherungsmakler und Risikomanager können sofort Maßnahmen ergreifen, um ihre Kunden auf diese Bedrohung vorzubereiten.

Erstens: Ermutigen Sie Kunden, phishing-resistente MFA in allen kritischen Systemen zu implementieren. Hardwaresicherheitsschlüssel oder biometrische Authentifizierung eliminieren den Vektor des Sitzungscookie-Diebstahls, den viele Malware-Filter-Kits ausnutzen.

Zweitens: Empfehlen Sie Kunden, ihre E-Mail-Sicherheit und ihr Benutzerbewusstsein mit Kampagnen zu testen, die Malware-Filter-Techniken nachahmen. Standard-Phishing-Simulationen, die direkte Links zu schädlichen Seiten verwenden, spiegeln nicht mehr die realen Bedingungen wider. Makler sollten Sicherheitsanbieter fragen, ob ihre Simulationen Browser-Fingerprinting und CAPTCHA-Herausforderungen enthalten.

Drittens: Raten Sie Kunden, ihre Incident-Response-Pläne zu überprüfen, um längere Verweildauern zu berücksichtigen. Das dreitägige Fenster vor der Erkennung bedeutet, dass die Sammlung von Anmeldedaten zu lateraler Bewegung und Datenextraktion fortschreiten kann, bevor das Sicherheitsteam alarmiert wird. Tabletop-Übungen sollten Szenarien umfassen, in denen der anfängliche Phishing-Link harmlos erscheint und die schädliche Payload erst nach menschlicher Verifizierung geladen wird.

Stellen Sie schließlich sicher, dass die Policensprache explizit Phishing-Angriffe adressiert, die Umgehungstechniken verwenden. Einige Versicherer beginnen damit, Zusatzklauseln anzubieten, die Social-Engineering-Verluste abdecken, unabhängig davon, ob der Angriff “gezielt” oder “massenhaft” war, solange der Angreifer eine Methode verwendet hat, die darauf abzielt, automatisierte Erkennung zu umgehen. Makler sollten Underwriter nach ihrer Haltung zu Malware-Filter-Phishing fragen und etwaige Deckungsklarstellungen dokumentieren.

Fazit

Die Malware-Filter-Phishing-Technik stellt eine materielle Verschiebung in der Bedrohungslandschaft dar. Indem sie sich vor automatischen Scannern verstecken und Payloads nur an verifizierte Menschen ausliefern, haben Angreifer die Verweildauer von Phishing-Kampagnen und die Erfolgsrate von Anmeldedatendiebstahl erhöht. Für die Cyberversicherungsbranche bedeutet dies höhere Schadenfrequenzen und -schweregrade sowie neue Deckungsunschärfen, die eine sorgfältige Policengestaltung erfordern.

Der Threat-Intelligence-Report vom März 2025 liefert einen wertvollen Datensatz für Underwriter, Risikoingenieure und Makler, um ihre Risikomodelle und Kundenempfehlungen zu aktualisieren. Organisationen, die phishing-resistente MFA, erweiterte E-Mail-Sicherheit mit Verhaltensanalyse und realistische Benutzerschulungen einführen, werden besser in der Lage sein, diese Angriffe abzuwehren. Weitere Einblicke, wie Phishing-Risiken die Cyberversicherungs-Underwriting beeinflussen, finden Sie im Resiliently-Leitfaden zur Phishing-Risikobewertung.