Phishing-Welle trifft Behörden und Hochschulen mit voller Wucht

Besonders Universitäten und Kfz-Zulassungsstellen stehen im Fokus.

Bildungseinrichtungen unter Beschuss

Der Bildungssektor befindet sich in erhöhter Alarmbereitschaft. Die University of Minnesota warnte am Mittwoch vor einer gezielten Phishing-Kampagne gegen Studierende und Lehrkräfte. Die Angreifer verschicken täuschend echte E-Mails, die auf gefälschte Login-Seiten führen – gehostet auf Google Sites. Wer seine Zugangsdaten eingibt, erhält sofort eine Duo-Mehrfaktor-Authentifizierungsanfrage. Bestätigt das Opfer diese, haben die Täter vollen Account-Zugriff.

Die psychologischen Tricks hinter solchen Phishing-Kampagnen werden immer ausgefeilter, wie der aktuelle Fall der University of Minnesota zeigt. Dieser kostenlose Report enthüllt die neuesten Methoden der Cyberkriminellen und wie Sie Ihr Unternehmen wirksam vor Manipulation schützen. Anti-Phishing-Paket jetzt gratis herunterladen

Doch das ist nur die Spitze des Eisbergs. Bereits Anfang Mai bekannte sich die Hackergruppe ShinyHunters zu einem massiven Einbruch in die Lernplattform Canvas. Rund 300 Millionen Datensätze von schätzungsweise 8.000 Bildungseinrichtungen sollen betroffen sein. Der Anbieter Instructure versicherte zwar, dass keine Sozialversicherungsnummern oder Finanzdaten gestohlen wurden – Namen, E-Mail-Adressen und Studentenausweisnummern jedoch sehr wohl. Genau diese Daten, warnen Sicherheitsexperten, sind ideale Grundlage für künftige, noch zielgerichtetere Angriffe.

Smishing-Welle bei Kfz-Zulassungsstellen

Parallel dazu kämpfen die Straßenverkehrsämter gegen eine Flut von SMS-Phishing, auch „Smishing" genannt. Die Masche ist immer ähnlich: Eine Nachricht von einer ausländischen Nummer droht mit sofortigen rechtlichen Konsequenzen. „Ihre Fahrzeugregistrierung wird ungültig, wenn Sie ausstehende Verkehrsstrafen nicht sofort bezahlen", heißt es darin.

Besonders perfide: Die beigefügten Links führen auf täuschend echte Nachbauten offizieller Behördenseiten. Das Delaware Department of Motor Vehicles warnte seine Bürger Ende April vor genau solchen Nachrichten, die mit fiktiven Paragrafen und Formulierungen wie „unveränderliche Berechtigungsbestätigung" operieren. Die kriminelle Absicht: Panik erzeugen, damit Opfer unüberlegt ihre Kreditkartendaten preisgeben.

KI senkt die Hürden für Cyberkriminelle

Ein aktueller Bericht von Cisco Talos zeigt eine besorgniserregende Entwicklung: Phishing ist im ersten Quartal 2026 wieder der häufigste Einstiegsvektor für Angriffe – verantwortlich für über ein Drittel aller Sicherheitsvorfälle. Besonders betroffen: der öffentliche Dienst und das Gesundheitswesen mit jeweils 24 Prozent.

Der Grund liegt auf der Hand: Kriminelle nutzen zunehmend KI-gestützte No-Code-Plattformen. Die Sicherheitsforscher dokumentierten einen Fall, bei dem Angreifer mit der Plattform Softr eine perfekte Kopie eines Unternehmens-Login-Bildschirms erstellten – ohne eine einzige Zeile Code zu schreiben. Die gestohlenen Daten landeten automatisch in einer Google-Tabelle. 35 Prozent aller erfolgreichen Einbrüche in diesem Quartal gingen auf Schwachstellen bei der Mehrfaktor-Authentifizierung zurück, etwa falsch konfigurierte Einstellungen oder die Registrierung neuer Geräte auf bereits kompromittierten Konten.

Warum Behörden und Unis so attraktiv sind

Die Wahl der Ziele ist kein Zufall. Öffentliche Einrichtungen verwalten riesige Mengen personenbezogener Daten – und das oft mit veralteter Technik und knappen Budgets. Der Canvas-Vorfall zeigt zudem das systemische Risiko von Drittanbieter-Software: Ein einziger Einbruch beim Anbieter gefährdet Tausende nachgelagerter Institutionen gleichzeitig.

Hinzu kommt: Die klassischen Erkennungsmerkmale von Phishing – Rechtschreibfehler, holprige Formulierungen – gehören der Vergangenheit an. Kriminelle nutzen große Sprachmodelle, um perfekt formatierte, personalisierte Nachrichten zu erstellen, die von offizieller Kommunikation kaum zu unterscheiden sind. Herkömmliche Schulungen der Mitarbeiter reichen gegen diese KI-generierte Täuschung nicht mehr aus.

Da herkömmliche Passwörter das Hauptziel moderner KI-Angriffe sind, gewinnt die passwortlose Anmeldung massiv an Bedeutung. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Passkeys bei großen Diensten einrichten und so das Risiko gehackter Konten für immer eliminieren. Sicher und passwortlos: Jetzt Passkey-Report kostenlos sichern

Ausblick: Passkeys als Rettung?

Die Sicherheitsbranche setzt zunehmend auf phishing-resistente Authentifizierungsverfahren. Am Welt-Passkey-Tag Anfang Mai wurden bereits fünf Milliarden solcher Schlüssel weltweit gezählt. Organisationen, die auf eine „Passkey-First"-Strategie setzen, melden 32 Prozent weniger erfolgreiche Phishing-Angriffe.

Auch politisch tut sich etwas. Das Bundeskabinett verabschiedete am Mittwoch ein Digital-Identitäts-Gesetz, das den Weg für die EUDI-Wallet ebnen soll – eine hochsichere mobile digitale Identität, die Anfang 2027 kommen soll. Das Ziel: Weg von passwortbasierten Systemen, die das Hauptziel der aktuellen Angriffswelle sind. Bis dahin gilt: Jede unaufgeforderte Nachricht kritisch prüfen und Kontakt immer über offizielle, unabhängige Wege aufnehmen.

de | wissenschaft | 69388836 |