Schlagwort: Social Engineering

Ob durch gefälschte E-Mails, falsche Identitäten oder gezielte Desinformation: Social Engineering zielt darauf ab, Opfer zur Preisgabe sensibler Daten oder Handlungen zu bewegen. Rechtlich relevant sind dabei vor allem Betrug, Computerbetrug (§ 263a StGB) oder Datenausspähung, während die Abgrenzung zu erlaubter Sozialtechnik oft schwierig ist. Diese Übersicht zeigt, wie Beschuldigte die Täuschungshandlung oder den Vorsatz bestreiten, Beweislücken bei der Kausalität aufdecken und eine überzogene strafrechtliche Bewertung entkräften können – besonders bei komplexen Angriffszenarien oder unternehmensinternen Vorfällen.

KI und Cybersicherheit
Im Frühjahr 2026 hat sich im Verhältnis von Künstlicher Intelligenz und IT-Sicherheit etwas verschoben, das über den üblichen Takt technischer Innovation hinausgeht. Anthropic stellte mit „Claude Mythos Preview“ ein Modell vor, das in OpenBSD eine 27 Jahre alte Schwachstelle aufspürte, in FFmpeg eine seit 16 Jahren schlummernde Lücke fand und insgesamt Tausende Schwachstellen in Betriebssystemen und Browsern identifizierte.
Das Modell wird nicht öffentlich angeboten, sondern nur rund vierzig Unternehmen – darunter Apple, Amazon, Microsoft, Cisco, Crowdstrike und Palo Alto Networks – im Rahmen von „Project Glasswing“ zugänglich gemacht. US-Finanzminister Scott Bessent und Notenbankchef Jerome Powell beriefen eine Dringlichkeitssitzung mit den Chefs der systemrelevanten Wall-Street-Banken ein, das BSI spricht von einer „Verschiebung der Angriffsvektoren“ und einem „Paradigmenwechsel“ in der Cyberbedrohungslage.
Der IWF hat wenige Tage später, am 7. Mai 2026, in einem Blogbeitrag festgehalten, dass KI-getriebene Cyberrisiken zu einem makro-finanziellen Schock eskalieren können, wenn Entdeckung und Ausnutzung von Schwachstellen in Maschinentempo parallel in vielen Instituten erfolgen.
Für den juristischen Beobachter ist das keine schlichte Randnotiz der Technikgeschichte: Der europäische Regulierungsrahmen für KI und Cybersicherheit wird nun an einer Realität gemessen, die schneller ist als der Gesetzgebungsprozess.
(mehr …)
10. Mai 2026
Irans Cyberfähigkeiten und Hacker
In den letzten Jahren hat der Iran seine Cyberfähigkeiten erheblich ausgebaut und nutzt diese aggressiv gegen westliche Staaten. Diese Maßnahmen umfassen eine Vielzahl von Angriffen, die von Datendiebstahl bis hin zu destruktiven Cyberangriffen reichen. Die iranische Cyberstrategie spiegelt die allgemeine asymmetrische Kriegsführung des Landes wider und zeigt, wie Teheran seine begrenzten Ressourcen einsetzt, um erhebliche Auswirkungen zu erzielen.
Der Beitrag aus dem Februar 2024 wurde im März 2026 aktualisiert. Berücksichtigt wurde neue Entwicklungen und natürlich der IRAN-Krieg.
(mehr …)
7. März 2026
IOCTA Cyberkriminalität 2025
Der aktuelle Internet Organised Crime Threat Assessment (IOCTA) 2025 von Europol zeigt: Daten sind längst zur universellen Währung der Unterwelt geworden – als Handelsware, als Werkzeug und als Zielscheibe zugleich. Was früher vor allem Kreditkartennummern oder Passwörter betraf, ist heute ein komplexes, vernetztes Ökosystem, in dem persönliche Informationen, Systemzugriffe und selbst KI-generierte Inhalte zu einer Bedrohung für Unternehmen, Privatpersonen und kritische Infrastrukturen werden.
(mehr …)
14. November 2025
Cybersecurity in der Software-Lieferkette
Die jüngsten Angriffe auf die JavaScript-Bibliotheksplattform npm zeigen auf dramatische Weise, wie verwundbar moderne Software-Lieferketten sind. Ein selbstvermehrender Wurm namens Shai-Hulud hat Hunderte von Code-Paketen infiziert, Zugangsdaten gestohlen und diese öffentlich zugänglich gemacht. Für Unternehmen und ihre Führungskräfte wirft dies nicht nur technische, sondern auch erhebliche rechtliche und haftungsrelevante Fragen auf. Was ist passiert, welche Risiken bestehen für Unternehmen, und wie können sich Verantwortliche absichern?
(mehr …)
24. September 2025
Cyberkriminalität im Wandel: Wie das Darknet zur Kaderschmiede für KI-gestützte Angriffe wird
Während Unternehmen weltweit händeringend nach IT-Sicherheitsexperten suchen, formiert sich im Verborgenen des Darknets ein paralleler Arbeitsmarkt, der mit ähnlicher Professionalität agiert – nur mit dem Unterschied, dass die gesuchten Fähigkeiten nicht dem Schutz, sondern dem gezielten Angriff auf digitale Infrastrukturen dienen.
Aktuelle Analysen von Sicherheitsforschern des Teams bei ReliaQuest zeigen: Cyberkriminelle rekrutieren nicht mehr nur Einzelkämpfer für einfache Malware-Programmierung, sondern bauen strukturierte Teams auf, die Social Engineering, künstliche Intelligenz und Cloud-Exploits zu einer neuen Bedrohungsstufe vereinen. Was vor wenigen Jahren noch wie ein Szenario aus einem Techno-Thriller klang, ist heute Realität: Die Industrialisierung der Cyberkriminalität schreitet voran, und ihre Methoden werden immer ausgefeilter.
(mehr …)
16. September 2025
Innentäter: Unternehmen unterschätzen die Gefahr von innen
Die Bedrohungslandschaft der Cybersicherheit bzw. Cyberkriminalität hat sich in den letzten Jahren grundlegend gewandelt. Während externe Angreifer lange Zeit im Fokus der Aufmerksamkeit standen, zeigt eine aktuelle Studie von Exabeam und Sapio Research, dass die größte Gefahr heute von innen kommt. 64 Prozent der befragten Cybersicherheitsexperten sehen in Insider-Risiken – ob durch böswillige Mitarbeiter oder kompromittierte Accounts – eine größere Bedrohung als durch externe Akteure. Noch besorgniserregender: Die meisten Unternehmen sind darauf nicht ausreichend vorbereitet.
(mehr …)
5. September 2025
Strafbarkeit von Datenschutzverstößen
Wo beginnt die rote Linie des § 42 BDSG: Der Schutz personenbezogener Daten ist heute nicht nur eine Frage des Vertrauens, sondern auch des Rechts. Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und der Anpassung des Bundesdatenschutzgesetzes (BDSG) steht fest: Wer mit Daten leichtfertig umgeht, riskiert nicht nur Bußgelder, sondern unter Umständen auch strafrechtliche Konsequenzen. Doch wo genau verläuft die Grenze zwischen einem bloßen Verstoß gegen Datenschutzregeln und einer strafbaren Handlung? § 42 BDSG normiert diese Grenze – und wirft zugleich zahlreiche Fragen auf.
(mehr …)
26. August 2025
Bedrohungslage von kommerziellen Satelliten
Die Raumfahrtinfrastruktur ist längst nicht mehr nur ein Prestigeprojekt staatlicher Großprogramme – sie ist zum Rückgrat unserer modernen Informations- und Wirtschaftsgesellschaft geworden. In ihrem im März 2025 veröffentlichten Bericht „Space Threat Landscape“ analysiert die EU-Agentur für Cybersicherheit (ENISA) die Bedrohungslage kommerzieller Satellitensysteme. Dabei wird wiedermal deutlich: Der Orbit ist längst ein sicherheitsrelevanter Raum.
(mehr …)
15. Juli 2025
Scattered Spider
Zwischen Social Engineering, SIM-Swapping und Festnahmen : Die Cybercrime-Gruppe „Scattered Spider“ ist nicht nur ein klingender Name in Sicherheitskreisen, sondern ein Paradebeispiel für die neue Generation junger, extrem wendiger Bedrohungsakteure im digitalen Untergrund. Hinter dem Namen verbirgt sich kein festes Kollektiv, sondern ein loses, dynamisches Netzwerk, das sich über Jahre durch seine Affinität zu Social Engineering, Cloud-Kompetenz und erschreckende Chuzpe hervorgetan hat.
Nun aber könnte ein erster Schlag gegen das Netzwerk gelungen sein: In Großbritannien wurden Mitte Juli 2025 vier jugendliche Personen im Alter zwischen 17 und 20 Jahren festgenommen. Der Vorwurf: Beteiligung an Cyberangriffen auf prominente Einzelhändler wie Marks & Spencer, Harrods und Co-op.
(mehr …)
14. Juli 2025
Keine Haftung der Bank bei grober Fahrlässigkeit des Kunden
Phishing und Social Engineering gehören zu den größten Sicherheitsrisiken im Onlinebanking. Das Landgericht Heidelberg (Urteil vom 13. Mai 2025, 2 O 233/24) hatte im Mai 2025 zu klären, ob eine Bank ihren Kunden für nicht autorisierte Überweisungen entschädigen muss, wenn dieser leichtfertig einen Freischaltcode an Betrüger weitergibt. Die Entscheidung setzt die bekannten Grundsätze des Zahlungsdiensterechts konsequent um und betont, wie hoch die Sorgfaltsanforderungen für Kontoinhaber im digitalen Zahlungsverkehr sind.
(mehr …)
20. Juni 2025
Haftung von Unternehmen bei Phishing und CEO-Fraud
Aktuelle Rechtsprechung und juristische Maßstäbe beim CEO-Fraud: Phishing und CEO-Fraud gehören inzwischen zum traurigen Repertoire professionell organisierter Cyberkriminalität. Unternehmen werden nicht nur zur Zielscheibe, sondern zunehmend auch zum Einfallstor für Zahlungsströme, die auf Basis manipulierter Kommunikation initiiert wurden.
Dabei stellt sich für das geschädigte Unternehmen regelmäßig die Frage: Wer trägt die Verantwortung für den Abfluss der Gelder? Ist das Unternehmen als Opfer verpflichtet, die Verluste zu tragen – oder haften Banken, Dienstleister oder gegebenenfalls sogar handelnde Mitarbeiter persönlich?
Dieser Beitrag widmet sich der Haftungslage des Phishing- bzw. CEO-Fraud-Opfers. Dabei wird auch die verknüpfte Frage der Sicherheitsanforderungen betrachtet, insbesondere im digitalen Zahlungsverkehr und der elektronischen Kommunikation. Grundlage sind zahlreiche aktuelle Entscheidungen aus der Instanzrechtsprechung, ergänzt durch dogmatische Überlegungen und den Blick auf europarechtliche Vorgaben aus der PSD2 (Zahlungsdiensterichtlinie).
(mehr …)
13. Mai 2025
Alarmstufe Rot im Mittelstand – Warum Cybersecurity zur Chefsache gehört
Digitale Technologien prägen zentrale Geschäftsprozesse das bei Kosten bislang ignorierte Thema rückt gnadenlos immer weiter ins Zentrum unternehmerischer Verantwortung: Cybersicherheit. Eine aktuelle Deloitte-Studie „Cybersecurity im Mittelstand“ zeigt in aller Deutlichkeit, dass mittelständische Unternehmen in Deutschland nicht mehr unter dem Radar der Cyberkriminalität operieren – im Gegenteil, sie sind zu bevorzugten Angriffszielen geworden.
(mehr …)
7. Mai 2025
Bybit-Hack: Kurze Analyse des größten Krypto-Diebstahls
Am 21. Februar 2025 erschütterte der bislang größte bekannte Krypto-Hack die Welt der digitalen Assets: Die Kryptobörse Bybit verlor durch einen raffinierten Angriff rund 1,5 Milliarden US-Dollar in Ethereum-Token. Verantwortlich gemacht wird die nordkoreanische Hackergruppe Lazarus, die bereits zuvor durch Cyberkriminalität im großen Stil aufgefallen war. In diesem Beitrag analysieren wir die Hintergründe des Angriffs, die eingesetzten Techniken und vor allem die Lehren, die Unternehmen daraus ziehen sollten, um ähnliche Vorfälle in Zukunft zu verhindern.
(mehr …)
5. März 2025
Zahlungsanspruch bei nicht autorisierten Apple-Pay-Transaktionen
In einer bemerkenswerte Entscheidung hat sich das Landgericht Heilbronn (Bm 6 O 378/23) mit der Frage befasst, unter welchen Voraussetzungen eine Bank für nicht autorisierte Zahlungen über Apple-Pay haftet.
Der Kläger, ein Bankkunde, verlangte die Erstattung von insgesamt 13.356,25 Euro, die durch Phishing-Angriffe unrechtmäßig von seinem Konto abgebucht wurden. Das Urteil wirft ein Schlaglicht auf die Schnittstelle zwischen Verbraucherrechten und den technischen Sicherheitsvorkehrungen moderner Zahlungssysteme und hat potenziell weitreichende Auswirkungen auf die Praxis des Zahlungsverkehrs.
(mehr …)
25. Januar 2025
OLG Celle zur Haftung der Bank bei CEO-Fraud
Das Urteil des Oberlandesgerichts Celle vom 17. November 2020 (Az. 3 U 122/20) beleuchtet die komplexen rechtlichen Aspekte im Zusammenhang mit CEO-Fraud, einer Betrugsmasche, bei der Kriminelle durch Täuschung Unternehmen und Banken zu unautorisierten Zahlungen bewegen. Das Urteil greift grundlegende Fragen zur Haftung von Zahlungsdienstleistern, zur Verantwortung von Kunden und zur gesetzlichen Risikoverteilung nach den §§ 675j, 675u und 676c BGB auf.
(mehr …)
15. Januar 2025

Anwaltskanzlei Ferner Alsdorf (Rechtsanwalt für Strafrecht & IT-Recht)

Anwaltskanzlei Ferner Alsdorf (Rechtsanwalt für Strafrecht & IT-Recht)