Partner Login

Monthly Threat Report Januar 2026

Neues Jahr, anhaltende Risiken

Author: Security Lab / 13.01.2026 /
Home » Blog » Monthly Threat Report Januar 2026

Einleitung

Der Monthly Threat Report von Hornetsecurity liefert monatlich Einblicke in M365-Sicherheitstrends, E-Mail-basierte Bedrohungen sowie Kommentare zu aktuellen Entwicklungen im Cybersecurity-Umfeld. Diese Ausgabe des Monthly Threat Report basiert auf Daten aus dem Monat Dezember 2025.

Zusammenfassung

  • Im Dezember kam es zu einem Anstieg von leicht durchzuführenden E-Mail-Angriffen großen Ausmaßes, die auf das saisonale Einkaufs- und Lieferaufkommen abgestimmt waren.
  • Angreifer setzten stark auf strukturelle Täuschungstechniken in E-Mails, darunter gefälschte „Von“- und „An“-Felder sowie der Missbrauch von Multipart-MIME.
  • Der Einsatz leerer HTML-Tags nahm zu, da Angreifer eher auf unauffällige, schwer zu erkennende Phishing-Techniken setzten als auf inhaltsreiche Köder.
  • Die Sorge um Insider-Risiken kam erneut auf, nachdem ehemalige Sicherheitsexperten, die an Black-Cat-Ransomware-Angriffen beteiligt waren, sich schuldig bekannt hatten.
  • Zero-Day-Exploits blieben hartnäckig: Schwachstellen in Chrome und Windows wurden aktiv ausgenutzt, noch bevor Patches verfügbar waren.
  • Patch-Latenz setzt selbst gut gewartete Umgebungen weiterhin realen Angriffen aus.
  • Schädliche Browser-Erweiterungen zeigten, wie Vertrauen in offizielle Marktplätze im großen Maßstab missbraucht werden kann.
  • Identitäten, Nutzervertrauen und Endpunkt-Hygiene bleiben auch zu Beginn des Jahres 2026 zentrale Risikobereiche.

Bedrohungsüberblick

Das Jahresende ist traditionell eine aktive Zeit für Cyberkriminelle. Das Weihnachtsgeschäft führt häufig zu einer Zunahme von E-Mail-Angriffen, die mit geringem Aufwand durchgeführt werden können, da Angreifer wissen, dass mehr Augen auf Postfächer gerichtet sind – etwa auf Versand- und Lieferbenachrichtigungen. Unser meistbeobachteter Bedrohungstyp im Dezember passt dazu: E-Mails mit gefälschten Absenderadressen standen ganz oben, gefolgt von mehrteiligen E-Mails und E-Mail-Angriffen mit gefälschten Empfängeradressen, die darauf abzielen, sowohl E-Mail-Filter als auch Endnutzer zu täuschen. Damit einhergehend verzeichneten wir von November bis Dezember einen Anstieg bei E-Mail-basierten Angriffen, die leere HTML-Tags einsetzen, um Scan-Engines zu verwirren und zu umgehen.

Die drei meistgenutzten Angriffstechniken im Dezember 2025

  • #1: Gefälschter „Von“-Text – Diese Technik ersetzt die sichtbare Absenderanzeige. Häufig wird dabei versucht, eine vertrauenswürdige, bekannte Marke vorzutäuschen, um sowohl Mail-Filter zu umgehen als auch die Öffnungsrate bei Zielnutzern zu erhöhen.
  • #2: Mehrteilige E-Mails – Multi-parted-(Part Misplaced)-Angriffe nutzen fehlerhaft definierte MIME-Multipart-Grenzen aus. Dadurch übersehen Sicherheits-Engines den Payload, während einige Mail-Clients den Inhalt dennoch rendern.
  • #3: Gefälschter „An“-Text – Angreifer manipulieren das „An“-Feld, um eine vertrauenswürdige Institution oder Autoritätsperson vorzutäuschen, und setzen das eigentliche Ziel in BCC. Ziel ist es, die E-Mail authentischer wirken zu lassen und Nutzer zu Interaktionen zu verleiten, die durch die Fälschung des „An“-Felds wahrscheinlicher werden.

Bedrohungs-Highlight: Leere HTML-<a>-Tags

Im Dezember beobachteten wir eine Zunahme von Phishing-E-Mails, die leere HTML-<a>-Tags missbrauchen. Dabei handelt es sich um Anker-Elemente, die optisch harmlos oder leer erscheinen, aber dennoch ausführbare Links im zugrunde liegenden HTML enthalten. Solche Nachrichten werden oft als minimale oder nahezu leere E-Mails dargestellt, die lediglich Leerzeichen, eine dünne Linie oder harmlosen Text zeigen, während der anklickbare Bereich vollständig durch unsichtbare oder Null-Breite-Anker definiert ist. Ziel ist es, sowohl misstrauende Nutzer als auch inhaltsbasierte Erkennung zu umgehen, indem offensichtliche URLs, Buttons oder Phishing-Formulierungen im gerenderten Text vermieden werden.

Aus Sicht der Erkennungsumgehung zielt diese Technik auf Lücken zwischen HTML-Parsing, Link-Extraktion und visueller Darstellung ab und kann auch dazu verwendet werden, eine E-Mail mit einem Payload durch versteckte Links zu legitimen Domains anzureichern, was Scanning-Lösungen zusätzlich verwirrt. Einige Security-Engines stufen Links, die in leeren oder fehlerhaften Anker-Tags eingebettet sind, als weniger wichtig ein oder übersehen sie, insbesondere wenn sie mit CSS-Tricks kombiniert werden. Gleichzeitig erkennen manche Mail-Clients den Hyperlink dennoch, sodass schon ein einziger unbedachter Klick zum Sammeln von Anmeldedaten oder zum Verteilen von Malware führen kann. Der Anstieg im Dezember deutet darauf hin, dass Angreifer zunehmend HTML-Techniken mit geringer Signalstärke und struktureller Täuschung gegenüber traditionellen, inhaltsvollen Phishing-Vorlagen bevorzugen.

Wichtige Vorfälle und Branchengeschehen

Die Vorfälle und Ereignisse im Dezember zeigen einige der üblichen Probleme im Bereich Cybersecurity, wie Zero-Days, Patch Tuesday und schädliche Browser-Erweiterungen. Auffällig war jedoch auch Ungewöhnliches, beispielsweise das Schuldeingeständnis von Sicherheitsexperten in Zusammenhang mit BlackCat-Ransomware-Angriffen.

Ehemalige Sicherheitsexperten bekennen sich schuldig im Fall der BlackCat-Ransomware-Angriffe

Eine besonders bemerkenswerte Nachricht, die im Dezember für Aufsehen sorgte, war ein Strafverfahren gegen zwei Cybersicherheitsexperten, die zu Tätern wurden. Sie nutzten ihr Wissen und ihre Fähigkeiten, um 2023 mehrere US-Unternehmen im Rahmen von BlackCat/ALPHV-Ransomware-Angriffen zu kompromittieren. Die Täter legten ein Geständnis ab und müssen nun mit einer Freiheitsstrafe von  20 Jahren rechnen.

Wir diskutieren gelegentlich Insider-Bedrohungen als Teil dieses Monatsberichts, und die Branche drängt Unternehmen zunehmend dazu, Maßnahmen zur Erkennung und Bekämpfung von Insider-Risiken zu implementieren. Auch wenn dieser Vorfall nicht direkt mit Personen zu tun hat, die als Insider-Bedrohung gegen ihr eigenes Unternehmen agierten, beweist er doch einmal mehr, dass Unternehmen ihre Mitarbeiter in sensiblen Positionen wirklich kennen und verstehen müssen und dass für kritische Geschäftsprozesse stets Kontrollmechanismen gelten sollten. Beispielsweise sollte ein Administrator nicht in der Lage sein, Backups ohne die Anwesenheit eines anderen Administrators selbstständig zu löschen. Unternehmen, die ihr Modell zur Reaktion auf Bedrohungen unter Berücksichtigung solcher Risiken planen, schützen sich besser vor ähnlichen Angriffen in der Zukunft.

Warum das wichtig ist

  • Technische Expertise ist nicht gleich Vertrauenswürdigkeit; tiefes Systemwissen kann in den falschen Händen ebenso gefährlich sein.
  • Programme für Insider-Risiken müssen böswillige Absichten berücksichtigen – nicht nur kompromittierte Zugangsdaten oder externe Angreifer.
  • Trennung von Aufgaben sowie durchgesetzte Kontrollmechanismen bleiben entscheidende Schutzmaßnahmen gegen den Missbrauch privilegierter Zugriffe.
  • Sicherheitskontrollen sollten davon ausgehen, dass selbst hochvertrauenswürdige Rollen unter bestimmten Umständen zu Bedrohungsakteuren werden können.

Zero-Day-Aktivität: Chrome und Windows im Fokus

Im Dezember haben große Plattformanbieter erneut zügig mehrere Zero-Day-Schwachstellen behoben, die aktiv ausgenutzt wurden. Das Muster wiederholt sich immer wieder und zeigt, wie hartnäckig und opportunistisch Angreifer vorgehen. Zunächst veröffentlichte Google ein Notfall-Update für die achte Chrome-Zero-Day-Lücke im Jahr 2025 – eine schwerwiegende Schwachstelle, die bereits vor Verfügbarkeit des Patches missbraucht wurde. Der Patch wurde für mehrere Plattformen veröffentlicht, darunter Windows, macOS und Linux, was die Verbreitung von Chrome in Unternehmensumgebungen sowie die große Angriffsfläche zeigt, die entsteht, wenn ein weit verbreiteter Browser kompromittiert wird.

In ähnlicher Weise lieferte Microsofts Patch Tuesday im Dezember 2025 Korrekturen für 57 Schwachstellen, darunter drei Zero-Day-Schwachstellen. Bemerkenswert ist, dass eine dieser Schwachstellen bereits vor Verfügbarkeit eines Patches aktiv ausgenutzt wurde. Darunter befand sich ein Problem mit der Berechtigungserweiterung des Windows Cloud Files Mini Filter Drivers sowie zwei weitere Zero-Days mit öffentlicher Bekanntgabe. Der Umfang dieses Updates, das Fehler in den Bereichen Remote-Code-Ausführung, Informationsfreigabe und Privilegieneskalation umfasst, ist erschreckend. Selbst gut gewartete Windows-Umgebungen bleiben gefährdet, wenn Updates verzögert oder Testzyklen die Bereitstellung verzögern.

Relevante Zero-Day-CVEs aus Chrome und Microsoft haben wir nachfolgend aufgelistet:

Warum das wichtig ist

  • Zero-Day-Schwachstellen schaffen Situationen, in denen Angreifer im Vorteil sind, weil sie Lücken ausnutzen, bevor Verteidiger patchen können.
  • Häufige Zero-Day-Korrekturen in weit verbreiteter Software (Browser und Betriebssysteme) zeigen, dass Angreifer die verbreitetsten Ziele priorisieren.
  • Die Kombination aus Notfall-Updates der Hersteller und regulären Patch-Tuesday-Patches verlangt von Verteidigern, Dringlichkeit und Betriebsrisiken im Patch-Management sorgfältig auszubalancieren.

ShadyPanda-Erweiterungen: 4,3 Millionen Installationen

Im Dezember wurde eine weit verbreitete Kampagne aufgedeckt, bei der eine Reihe schädlicher Browser-Erweiterungen namens ShadyPanda insgesamt über 4,3 Millionen Installationen aus offiziellen Erweiterungs-Stores erreichte. Diese Erweiterungen erschienen als legitime Programme wie PDF-Konverter, Video-Downloader und Coupon-Helfer. In Wirklichkeit fungierten sie jedoch als verdeckte Werbeeinschleuser und Tools zum Diebstahl von Zugangsdaten. Nach der Installation führten die Erweiterungen bösartige Aktivitäten aus, die von unerwünschten Werbeanzeigen über die Weiterleitung von Benutzern auf Phishing-Seiten bis hin zur Erfassung sensibler Daten reichten. Die schiere Anzahl der Installationen (erneut: 4,3 Millionen) deutet darauf hin, dass die dahinterstehenden Akteure massiv in Social Engineering und Verbreitungstaktiken investierten, um die Sicherheitsvorkehrungen der Stores zu umgehen.

Besorgniserregend an ShadyPanda ist nicht nur die Installationszahl, sondern auch die Nutzung von vertrauensbasierten Vektoren und Persistenzmechanismen. Durch das Nachahmen vertrauter Funktionen von Diensten und die Nutzung offizieller Marktplätze konnten die bösartigen Add-ons das Misstrauen vieler Benutzer und herkömmliche URL- oder dateibasierte Abwehrmaßnahmen umgehen. Die Erweiterungen verwendeten außerdem Verschleierungs- und Code-Injektionstechniken, die die Erkennung durch automatisierte Sicherheitssysteme erschwerte. Selbst nach Entfernung der Browser-Erweiterungen aus den Marktplätzen blieben Millionen ahnungsloser Nutzer weiterhin gefährdet.

Warum das wichtig ist

  • Browser-Erweiterungen besitzen erhöhten Zugriff innerhalb von Browsing-Sitzungen und sind daher potente Vektoren für Datenabgriff und Sitzungsmissbrauch.
  • Offizielle Erweiterungs-Stores sind nicht immun gegen bösartige Akteure; Vertrauen in kuratierte Marktplätze sollte stets überprüft werden.
  • Hohe Installationszahlen vergrößern die Exponierung, was bedeutet, dass eine große Anzahl von Benutzern unbemerkt betroffen sein kann, bevor die Erweiterung entdeckt und entfernt wird.
  • Sicherheitsbeauftragte sollten im Rahmen der Endpunkt-Hygiene und des Identitätsrisikomanagements auf nicht autorisierte oder verdächtige Erweiterungen achten.

Prognosen für die kommenden Monate

  • E-Mail-Angriffstechniken verlagern sich weiter in Richtung struktureller Täuschung. Es ist mit einem anhaltenden Missbrauch von Header-Manipulation, Multipart-MIME-Tricks und fehlerhaftem HTML zu rechnen, wobei Angreifer Methoden bevorzugen, die sowohl Scanner als auch Nutzerwahrnehmung mit minimalem sichtbaren Inhalt umgehen.
  • Browser-basierte Angriffsflächen bleiben ein vorrangiges Ziel. Je mehr Geschäftsaktivitäten in den Browser wandern, desto stärker werden Bedrohungsakteure Erweiterungen, Sitzungszugriffe und clientseitige Vertrauensgrenzen ausnutzen, statt sich ausschließlich auf traditionelle Malware zu verlassen.
  • Zero-Day-Exploits bleibt Routine statt Ausnahme. Weit verbreitete Plattformen wie Browser und Betriebssysteme werden weiterhin im Fokus stehen, wobei Schwachstellen schnell und in großem Maßstab ausgenutzt werden, bevor Patches flächendeckend eingesetzt werden.
  • Das Bewusstsein für Insider-Risiken erweitert sich über traditionelle Definitionen hinaus. Organisationen müssen zunehmend böswillige Absichten von Personen mit fundierter technischer Expertise berücksichtigen, selbst wenn kein direkter Insider-Zugang besteht.
  • Erkennung fokussiert stärker auf Verhalten als auf Inhalt. Da Angreifer offensichtliche Indikatoren in E-Mails und browserbasierten Angriffen reduzieren, müssen Sicherheitsteams verstärkt auf Verhaltensanalysen, Anomalieerkennung und identitätsbasierte Kontrollen setzen.

Monatliche Empfehlungen

  • Abwehrmechanismen gegen strukturell irreführende E-Mail-Angriffe verstärken. Setzen Sie auf eine E-Mail-Scan-Lösung der nächsten Generation und stellen Sie sicher, dass Sicherheitskontrollen Header-Spoofing, Multipart-MIME-Missbrauch und fehlerhaftes HTML erkennen, anstatt sich ausschließlich auf Inhaltsanalysen zu verlassen.
  • Patching basierend auf den Ausnutzungsstatus priorisieren. Aktiv ausgenutzte Schwachstellen – insbesondere Zero-Days – sollten auch bei verkürzten Testzyklen bevorzugt werden.
  • Governance für Browser und Erweiterungen stärken. Erstellen Sie eine Bestandsaufnahme der installierten Erweiterungen, beschränken Sie nicht genehmigte Add-ons und überwachen Sie abnormales Browserverhalten auf allen Endpunkten.
  • Aufgabentrennung für privilegierte Rollen festigen. Implementieren Sie technische und verfahrenstechnische Kontrollen, die verhindern, dass einzelne Administratoren ohne Aufsicht Änderungen mit weitreichenden Auswirkungen vornehmen können.
  • Identitäts- und Sitzungssicherheit als zentrale Abwehrmaßnahme behandeln. Überwachen Sie ungewöhnliches Anmeldeverhalten, Token-Missbrauch und browserbasierten Diebstahl von Anmeldedaten als primäre Indikatoren für Kompromittierungen.
  • Auf Angriffsmodelle vorbereiten, bei denen die Umgehung von Sicherheitsmaßnahmen im Vordergrund steht. Gehen Sie davon aus, dass Angreifer sichtbare Signale weiter minimieren werden, und entwickeln Sie entsprechende Erkennungs- und Reaktionsstrategien.

Über Hornetsecurity

Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs in mehr als 120 Ländern aktiv. Seine Premium-Dienste werden von mehr als 125.000 Kunden genutzt.  

Dies könnte Sie auch interessieren