URL-basierte Cyberangriffe 2025: Was die neuesten Zahlen zeigen – und warum Mitarbeitersensibilisierung heute entscheidender ist denn je

Cyberangriffe treffen nicht mehr in erster Linie Systeme. Sie treffen Menschen.

Der aktuelle Datenbericht für 2024/2025 zeigt schonungslos, wie professionell und massiv Angreifer URL-basierte Phishing-Methoden einsetzen, um genau dort zuzuschlagen, wo Unternehmen am verwundbarsten sind: bei ihren Mitarbeitenden.

Dieser Blog analysiert die wichtigsten Erkenntnisse – und zeigt, warum Security Awareness und Mitarbeitersensibilisierung keine Option mehr sind, sondern Grundvoraussetzung für digitale Resilienz.

1. Malicious URLs sind heute die mit Abstand größte Bedrohung

Eine der klarsten Erkenntnisse aus den Daten:

Cyberkriminelle setzen viermal häufiger auf bösartige URLs als auf infizierte Dateianhänge.

Das gibt den Ton an:

• URLs sind subtiler, wirken legitim und werden oft über Dienste wie OneDrive, Dropbox oder Google Drive getarnt.
• Menschen klicken eher auf „View Document“- oder „Click to View“-Buttons als auf verdächtige PDFs.
• Moderne KI-Tools machen täuschend echte Fake-Webseiten trivial zu erzeugen.

Gerade deshalb sind URLs das Mittel der Wahl in aktuellen Phishing-Kampagnen.

➡ Für Unternehmen heißt das: Klassische E-Mail-Filter reichen längst nicht mehr. Mitarbeitende müssen wissen, wie moderne Phishing-Angriffe aussehen – und wie sie Social-Engineering-Taktiken erkennen.

2. Credential Phishing dominiert – Malware ist nur das Folgeproblem

In sechs Monaten wurden 3,7 Milliarden URL-basierte Angriffe registriert, die auf das Stehlen von Zugangsdaten abzielten.

Nur 8,3 Millionen zielten direkt auf Malware-Downloads ab.

Das ist eindeutig:

Angreifer wollen zuerst Accounts übernehmen – dann folgt alles andere.

Account Takeover bedeutet:

• interner E-Mail-Versand im Namen des Opfers
• Ausweitung der Attacke auf Kollegen
• potenzielle Ransomware
• Zugriff auf vertrauliche Daten
• unbemerkte Exfiltration über lange Zeit

➡ Sobald ein Mitarbeitender klickt und Daten preisgibt, ist die Tür oft komplett offen.

3. Neue Kampagnen wie „ClickFix“ explodieren – plus 400 % Wachstum

ClickFix ist ein Paradebeispiel für moderne Social Engineering-Methoden:

• Nutzer werden auf eine präparierte Seite geleitet.
• Ein Pop-up behauptet z. B. „Fehler beim Anzeigen des Dokuments“ oder zeigt ein gefälschtes CAPTCHA.
• Der Nutzer wird zum Kopieren und Ausführen schädlicher Befehle verleitet.

Das perfide:

Der Mensch greift aktiv ein – und installiert die Malware selbst.

➡ Hier scheitert technische Abwehr fast vollständig.

Nur Mitarbeitersensibilisierung verhindert solche Fälle zuverlässig.

4. Mobile Angriffe: Smishing wächst um mehr als 2.500 %

Smartphones sind ein Albtraum für IT-Sicherheit, denn Nutzer reagieren schneller und weniger kritisch.

Die Zahlen:

• 55 % aller Smishing-Nachrichten enthalten bösartige URLs.
• 75 % aller Unternehmen wurden über SMS attackiert.
• Darcula-Phish-Kits erzeugen millionenfache Fake-Nachrichten (Straßengebühren, Paketzustellung etc.).

➡ Smartphones sind heute ein vollwertiger Angriffsvektor – und Mitarbeitende bemerken oft nicht einmal, dass die Gefahr hier genauso groß ist wie im Desktop-Postfach.

5. QR-Code-Phishing: 4,2 Millionen Angriffe allein im ersten Halbjahr 2025

QR-Codes sind für Angreifer ein Jackpot:

• kaum überprüfbar
• umgehen E-Mail-Scanner
• wirken vertraut („Menü anzeigen“, „Zugangscode abrufen“)
• ideal für mobile Phishing-Kampagnen

Der Anstieg ist massiv – und wird 2026 sicher weiter explodieren.

➡ Unternehmen brauchen bewusste, geschulte Mitarbeitende, die wissen:

QR heißt heutzutage nicht automatisch „harmlos“.

Warum diese Angriffe funktionieren: Der Mensch ist der Hebel

Moderne Angriffe basieren auf Psychologie, nicht Technik:

• Dringlichkeit („Ihr Zugang läuft ab“)
• Neugier („Neue Lieferung für Sie“)
• Routine („Dokument anzeigen“)
• Vertrauensmissbrauch (OneDrive, DHL, Microsoft nachgeahmt)

Selbst gut ausgebildete Mitarbeitende fallen darauf herein, wenn sie gestresst, abgelenkt oder in Eile sind.

➡ Technik stoppt die Gefahr nicht. Nur der Mensch selbst kann den Klick verhindern.

Mitarbeitersensibilisierung: Die wichtigste Verteidigungsschicht

Die Daten zeigen klar:

Ohne Security Awareness wird der Mensch zum besten Freund der Angreifer.

Eine wirksame Awareness-Strategie braucht:

1. Realistische, aktuelle Phishing-Simulationen

– basierend auf echten Bedrohungsdaten

– regelmäßig, nicht nur ein- oder zweimal im Jahr

2. Schulungen, die Verhaltensmuster verändern

Nicht langweilige PowerPoints, sondern kurze, praktische Micro-Learnings.

3. Fokussierung auf Very Attacked People (VAPs)

Führungskräfte, HR, Finanzabteilungen, Admins – sie werden überproportional angegriffen.

4. Ganzheitlichen Schutz aller Kommunikationskanäle

E-Mail ist nur ein Teil:

SMS, Teams, LinkedIn, SaaS-Tools, mobile Apps werden genauso missbraucht.

Was Unternehmen jetzt tun sollten

1. URL-basierte und smishing-basierte Phishing-Szenarien aktiv trainieren.
2. Klare Richtlinien für QR-Code-Umgang einführen.
3. Awareness-Programme nicht als Compliance-Pflicht, sondern als Risikosteuerung sehen.
4. VAPs identifizieren und verstärkt schützen.
5. IT-Sicherheitslösungen einsetzen, die URL-Threats kanalübergreifend erkennen.

Fazit: 2025 ist das Jahr der menschenzentrierten Angriffe – und Awareness ist die Antwort

Cyberkriminelle haben ihr Spielfeld verlagert.

Systeme sind gut geschützt – Menschen nicht.

Die Zahlen machen klar:

Ohne ein strategisches Programm zur Mitarbeitersensibilisierung bleibt jede technische Schutzschicht unvollständig. Unternehmen müssen den Faktor Mensch aktiv stärken, sonst wird jede E-Mail, jede SMS und jeder QR-Code zum potenziellen Einfallstor.

• Weitere Infos zu unserem Awareness-Programm: Mitarbeitersensibilisierung stärken
• Schutz vor moderner E-Mail-Bedrohung: E-Mail-Sicherheit verbessern
• Ganzheitlicher Ansatz zu Security Awareness: Security Awareness Lösungen

• Share on LinkedIn
• Share on Facebook
• Share on X