Das Cloud-Unternehmen Workday, das auf Dienste rund um Human Ressources (HR) oder Finanzplanung spezialisiert ist, wurde Opfer eines IT-Vorfalls. Cyberkriminelle konnten nach Angaben des Unternehmens Zugriff auf das CRM-System von Workday erlangen. Dabei sind potenziell Daten von den nach Unternehmensangaben rund 11.000 Kunden aus mehr als 175 Ländern weltweit abgeflossen.

Das teilt Workday jetzt auf seiner Webseite mit. Eine Social-Engineering-Kampagne habe viele größere Organisationen getroffen, so auch Workday, erklärt das Unternehmen. Bösartige Akteure haben Angestellte mittels Textnachrichten oder Telefon kontaktiert und vorgegeben, aus der Personalabteilung oder IT zu stammen. Deren Ziel sei es, die Angestellten dazu zu bringen, ihre Zugangsdaten preiszugeben oder ihre persönlichen Informationen.

Workday habe festgestellt, dass Unbekannte Zugriff auf die eingesetzte Drittanbieter-CRM-Plattform erlangt hatten. Das Unternehmen betont, dass es keine Hinweise gebe, dass es zu Zugriffen auf Kunden-Tenants oder Daten darin gekommen ist. Workday habe schnell reagiert, den Zugang zu schließen und weitere Schutzmaßnahmen ergriffen, um vor ähnlichen Vorfällen in Zukunft gefeit zu sein.

Abgeflossene Informationen

Die Daten, an die die Angreifer gelangen konnten, waren primär allgemein verfügbare Geschäftskontakt-Informationen wie Namen, E-Mail-Adressen und Telefonnummern. Damit können sie ihre Betrugsversuche ausweiten.

Daher sei es wichtig zu wissen, dass Workday niemals jemanden über das Telefon kontaktiert, um ein Passwort abzufragen oder andere Sicherheitsdetails. Alle Kommunikation komme durch die vertrauenswürdigen Kommunikationskanäle, ergänzt Workday.

Am vergangenen Freitag wurde auch ein IT-Vorfall bei Infoniqa bekannt. Das Unternehmen ist ebenfalls im Bereich Human Ressources und Lohnabrechnungen „as a Service“ unterwegs. Das Ausmaß des Vorfalls und potenziellen Datenlecks ist dort derzeit unbekannt.

(dmk)

Diese Entwicklung kam mit Ansage: Sicherheitsforscher sehen aktuell eine Zunahme KI-unterstützter Angriffe und damit einen Wendepunkt im Cyberwettrüsten. So sei jüngst eine russische Spionagesoftware entdeckt worden, die nachweislich mithilfe von Large Language Models (LLM) erstellt wurde und die Computer selbstständig nach sensiblen Daten durchsucht. Laut eines Berichts von NBC News nutzen russische Geheimdienste die Software, um an bestimmte Informationen zu gelangen, die von der Malware nach Moskau übertragen werden.

Ukrainische Behörden und mehrere Cybersicherheitsunternehmen konnten die Schadsoftware im Juli erstmals nachweisen. Der Angriff habe sich gezielt gegen ukrainische Nutzer gerichtet. Die Angreifer versendeten Phishing-E-Mails mit einem Anhang, der ein KI-Programm enthielt. Im Vergleich zu anderer Malware sei diese Schadsoftware viel zielgerichteter und komme ohne menschliche Interaktionen aus. Das mache sie deutlich effizienter.

Nach Angaben der Cybersicherheitsfirma CrowdStrike nehme der Einsatz von KI-Tools bei Angriffen zu. Besonders chinesische, russische und iranische Hacker sowie Cyberkriminelle würden verstärkt darauf setzen. Damit würde das Cyberwettrüsten ein neues Niveau erreichen.

Risiko: KI-Agenten

Mit dem zunehmenden Einsatz von KI-Agenten sehen Experten ein neues Risiko für die Zukunft. Die Tools, die komplexe Aufgaben eigenständig ausführen können, brauchen für ihre Arbeit weitreichende Befugnisse in Unternehmen. Wenn diese von Angreifern zweckentfremdet werden, könnte von ihnen eine massive Gefahr aus dem Inneren hervorgehen.

Den Nachteilen gegenüber steht der Einsatz von KI zur Verbesserung der Sicherheit. Google etwa nutzt nach eigenen Angaben sein LLM Gemini, um die eigene Software nach Schwachstellen zu durchsuchen, bevor sie von Cyberkriminellen entdeckt werden. Mindestens 20 wichtige, bisher übersehene Schwachstellen seien auf diese Weise bereits entdeckt worden, wird Heather Adkins, Vice President of Security Engineering bei Google, zitiert.

In der US-Regierung sieht man KI auch als Hilfe in der Verteidigung vor Cyberangriffen, da zum Beispiel kleine Unternehmen Schwachstellen damit entdecken können, bevor Kriminelle sie ausnutzen können. Allerdings könnten eben auch Penetrations-Testing-Tools künftig entsprechend aufgerüstet werden.

(mki)

Eine neue Studie von IT-Security-Forschern kommt zu einem ernüchternden Ergebnis für die IT-Sicherheitsbranche: Der praktische Nutzen gängiger Phishing-Trainingsprogramme in Unternehmen ist miserabel. Über einen Zeitraum von acht Monaten wurden bei einem großangelegten Feldversuch mehr als 19.500 Beschäftigte eines großen US-Gesundheitsdienstleisters mit zehn unterschiedlich gestalteten Phishing-Simulationen konfrontiert. Die Resultate zeigen, dass weder das Absolvieren regelmäßiger IT-Sicherheitsschulungen noch das sogenannte „Embedded Phishing Training“ – bei dem nach Fehlverhalten direkt ein Trainingsangebot folgt – das Risiko signifikant senken, auf Phishing hereinzufallen.

Kaum Verbesserungen, Lernangebote oft nicht angenommen

Laut den Forschern lag die absolute Differenz der Fehlerquote zwischen trainierten und untrainierten Personen in den Tests bei lediglich 1,7 Prozent. Ein weiteres grundsätzliches Problem besteht darin, dass nur ein kleiner Teil der Teilnehmer das Trainingsmaterial nach einem Fehlklick tatsächlich aufmerksam wahrnahm oder abschloss. Über die Hälfte beendete das Lernangebot innerhalb von zehn Sekunden, weniger als ein Viertel absolvierte die Lektion bis zum Ende. Sehr perfide gestaltete Mail-Köder erzielten dabei eine Klickrate von bis zu 30 Prozent. Besonders erfolgreich waren angebliche Änderungen bei Urlaubsansprüchen oder interne Protokolle. Insgesamt klickten im Verlauf der Studie 56 Prozent der Teilnehmer mindestens einmal auf einen Phishing-Link – unabhängig vom Trainingsstatus.

Daher auch eine weitere Erkenntnis: Das übliche jährliche Pflichttraining zur IT-Sicherheit hatte keinen messbaren Einfluss auf die Anfälligkeit für Phishing-Angriffe. Ob und wie lange eine Schulung zurücklag, korrelierte weder mit weniger Fehlklicks noch mit gesteigerter Aufmerksamkeit. Auch die Art der Trainings spielte nur eine untergeordnete Rolle – einzig interaktive, speziell auf die konkrete Phishing-Mail zugeschnittene Trainingsformen führten zu einer moderaten Risikoreduktion von rund 19 Prozent. Allerdings blieben auch hier die Gesamteffekte aufgrund niedriger Abschlussquoten marginal.

Aktuelle Angebote sind teuer und bringen nichts

In der Summe zeige sich, so die Autoren der Studie, dass klassische Awareness-Kampagnen und Phishing-Trainings in ihrer derzeitigen Form das wirkliche Risiko in Unternehmen kaum reduzieren. Somit stehe eine millionenschwere Branche vor einem massiven Glaubwürdigkeitsproblem. Die Ergebnisse wurden unter anderem auf der Sicherheitskonferenz Black Hat 2025 vorgestellt und bestätigen einen langfristigen Trend früherer Studien: Ohne echte Veränderung in der Lernmotivation oder grundlegende Verbesserungen bei der Trainingsgestaltung bleibt der Mensch das größte Einfallstor für Cyberangriffe dieser Art.

Die Studie finden interessierte Leser auf der Webseite der beteiligten Autorin Ariana Mirian. Auch die Präsentation von ihr und Christian Dameff auf der Black Hat 2025 steht öffentlich zur Verfügung.

(fo)