Angesichts der wachsenden KI-Bedrohungslage verkommt die Message nach starken Passwörtern mit 16 Zeichen und Symbolen am World-Password-Day zur Farce. Ein 16-stelliges Passwort ist nutzlos, wenn eine Infostealer-Malware es direkt aus dem Browser-Cache extrahiert oder ein Mitarbeiter es in einen unkontrollierten KI-Chatbot eingibt. Die Cyberbedrohungslandschaft hat sich rasch zu einer industrialisierten „Cybercrime-as-a-Service“-Wirtschaft (CaaS) entwickelt, die von generativer KI angetrieben wird. Hacker brechen nicht mehr ein – sie loggen sich einfach ein.
Das Darknet hat einen massiven Plattformwechsel erlebt. Während traditionelle Foren mittlerweile in erster Linie dazu dienen, die Glaubwürdigkeit der Anbieter zu untermauern, werden Käufer für sofortige Transaktionen rasch in private Telegram-Kanäle und zu automatisierten Bots geleitet. Dieser Wandel hat die Geschwindigkeit, mit der gestohlene Daten zu Geld gemacht werden, beschleunigt.
Die Frage stellt sich daher, wie viel das digitale Leben eines Menschen wert ist. Auf dem „Dark Web Price Index 2025/2026“ von Privacy-Affairs und Deepstrike funktioniert der Markt nach dem Prinzip von Angebot und Nachfrage:
- Unterhaltung und soziale Netzwerke: Ein Überangebot an Daten aus Datenlecks hat die Preise gedrückt. Ein gehackter Facebook-Account wird für etwa 45 US-Dollar verkauft, während ein Gmail-Account im Durchschnitt 60 bis 65 US-Dollar kostet.
- Finanzen: Standard-Kreditkarten mit CVV-Codes kosten 10 bis 40 US-Dollar. Verifizierte Online-Banking- und Krypto-Logins mit hohem Guthaben erzielen hingegen Aufschläge von 200 bis über 1.170 US-Dollar.
- Zugang zu Unternehmensnetzwerken: Der lukrativste Markt gehört den Initial Access Brokers (IABs), die direkten Zugang zu bestimmten Unternehmensnetzwerken (VPNs oder RDPs) anbieten. Laut dem „Initial Access Brokers Report“ von Rapid7 lagen die durchschnittlichen IAB-Grundpreise bei etwa 2.700 US-Dollar. Bei administrativem Zugriff mit hohen Berechtigungen stiegen die Preise jedoch auf über 113.000 US-Dollar.
Abonnements für erstklassige Infostealer-Malware wie LummaC2 oder RedLine kosten zwischen 100 und 1.024 US-Dollar pro Monat. Dadurch ist es selbst für unerfahrene Cyberkriminelle oder Neulinge billiger denn je, Millionen von Passwörtern zu sammeln.
Durch KI werden die Einstiegshürden gesenkt und Phishing 2.0 ist zu einer Realität geworden. Auf Telegram werden personalisierte, KI-gesteuerte „Phishing-as-a-Service“-Pakete für unter 100 US-Dollar im Monat verkauft. Der gängigste und erfolgreichste Trick ist nach wie vor die gefälschte IT-/HR-Anfrage zur Passwortzurücksetzung oder das betrügerische VPN-Portal. KI sorgt dafür, dass diese Köder perfekt formuliert, frei von Tippfehlern und äußerst zielgerichtet sind.
Aufgrund dieser Raffinesse erzielen KI-generierte Phishing-E-Mails einer Studie von Brightside AI zufolge atemberaubende Klickraten von bis zu 54 Prozent (im Vergleich zu etwa 12 Prozent bei traditionellem Phishing).
Doch die Bedrohung geht mittlerweile über Text hinaus:
- Die Kosten von Deepfakes: Einfache Abonnements für KI-Stimmklonung, die auf Deepfake-Technologie basieren, sind bereits für wenige Dollar im Monat erhältlich. Laut dem „Identity Fraud Report 2024“ von Onfido ist die Zahl der Deepfakes um 3.000 Prozent gestiegen.
- Identitätsbetrug anhand von Führungskräften: Hochentwickeltes Social-Engineering richtet großen Schaden an. Es kommt sehr häufig vor, dass sich Cyberkriminelle als IT-Leiter oder Führungskraft ausgeben, um Mitarbeitern Login-Daten zu entlocken.
- Deepfake-Vishing: Stimmklone lassen sich bereits aus nur drei Sekunden Audio erstellen. Das Risiko für Finanzteams, Opfer von Identitätsbetrug zu werden, ist dadurch drastisch erhöht. Mit jedem Evolutionssprung der entsprechenden KI-Tools können menschliche Zuhörer geklonte Stimmen nicht mehr zuverlässig von authentischen Stimmen unterscheiden.
Damit sich Unternehmen wirksam schützen können, sollten Sicherheitsverantwortliche folgende vier Maßnahmen ergreifen:
- Passwortlose Authentifizierung und FIDO2 einsetzen: Der einzige wirksame Schutz vor Phishing und Infostealern besteht darin, Passwörter vollständig abzuschaffen. Durch die Umstellung auf FIDO2-Passkeys wird sichergestellt, dass selbst dann, wenn ein Mitarbeiter dazu verleitet wird, eine gefälschte Anmeldeseite aufzurufen, keine wiederverwendbaren Anmeldedaten gestohlen werden können.
- Identitätsorientiertes Zero-Trust-Modell implementieren: Sicherheitsteams müssen jeden Authentifizierungsversuch mit Skepsis betrachten und Endpoint-Detection and Response (EDR) mit Identity Threat-Detection and Response (ITDR) kombinieren, um Verhaltensanomalien in beiden Umgebungen miteinander zu verknüpfen.
- Kontrolle des KI-Browser-Vektors: Herkömmliche Data-Loss-Prevention-Tools (DLP), die Dateiübertragungen überwachen, sind überholt, wenn ein Mitarbeiter einfach „Strg+V“ in ChatGPT drückt. Unternehmen müssen Unternehmensbrowser oder Browser-Sicherheitserweiterungen einsetzen, um zu überwachen, zu steuern und zu verhindern, dass sensible Daten in nicht autorisierte GenAI-Chatbots eingefügt werden.
- Kontinuierliche Überwachung des Dark-Webs und von Telegram: Auf eine Benachrichtigung über eine Sicherheitsverletzung zu warten, ist zu spät. Unternehmen benötigen eine kontinuierliche Überwachung von Bedrohungsinformationen, um gehandelte Anmeldedaten abzufangen, bevor Initial Access Brokers diese an Ransomware-Partner verkaufen können.
Passwörter waren einst die Schlüssel zum Schloss. Heute sind sie eine Belastung, die im Dark-Web rege gehandelt wird. Mit Blick auf die Zukunft hängt die Unternehmenssicherheit davon ab, das Verhalten zu überprüfen – und nicht nur eine Zeichenfolge.
Von Patrick Fetter, Lead Sales Engineer & Cyber Security Evangelist bei Check Point Software
