Case Study: Phishing-Kampagne gegen Automobilzulieferer — 200 Mitarbeiter im Visier

1 Min. Lesezeit

Ein Automobilzulieferer wurde Ziel einer gezielten Spear-Phishing-Kampagne. Die Angreifer imitierten einen echten Lieferanten – dank Security-Awareness-Training erkannten 94% der Empfänger den Angriff.

Das Wichtigste in Kürze

Ein Automobilzulieferer mit 3.500 Mitarbeitern wurde Ziel einer gezielten Spear-Phishing-Kampagne. Die Angreifer imitierten einen echten Lieferanten und verschickten präparierte PDF-Rechnungen an 200 Mitarbeiter der Finanzabteilung. Dank Security-Awareness-Training und E-Mail-Security erkannten 94% der Empfänger den Angriff.

Ausgangslage

Das Unternehmen produziert Elektronikkomponenten für mehrere deutsche Automobilhersteller. Als Tier-1-Zulieferer verarbeitet es täglich Hunderte von Rechnungen per E-Mail. Die Angreifer hatten offenbar Insiderwissen über die Lieferantenbeziehungen.

Der Angriff

Die Phishing-Mails waren überdurchschnittlich professionell:

Absenderadresse: leicht veränderte Domain eines echten Lieferanten (Typosquatting)
Inhalt: Bezugnahme auf reale Bestellnummern und Projekte
Anhang: PDF mit eingebettetem JavaScript, das eine Reverse Shell öffnete
Timing: Montag 8:30 Uhr, wenn das Postfach voll und die Aufmerksamkeit gering ist

Erkennung

Die E-Mail-Security-Lösung erkannte den präparierten PDF-Anhang bei 160 von 200 Mails und verschob sie in die Quarantäne. Die verbleibenden 40 Mails erreichten die Postfächer.

Von diesen 40 Empfängern:

32 erkannten die Phishing-Mail und meldeten sie über den Report-Button
6 ignorierten die Mail
2 öffneten den Anhang

Reaktion und Eindämmung

Die beiden kompromittierten Endpoints wurden innerhalb von 12 Minuten durch das EDR automatisch isoliert. Die Reverse Shell konnte keine Verbindung zum C2-Server aufLEGIT_baün____, da Egress-Filtering unbekannte Outbound-Verbindungen blockierte.

Gesamtschaden: Null. Kein Datenverlust, kein lateraler Zugriff, keine Verschlüsselung.

Erfolgsfaktoren

Security Awareness: Quartalsmäßiges Phishing-Simulationstraining seit 18 Monaten
Layered Defense: E-Mail-Security + EDR + Egress-Filtering als dreifache Sicherung
Melde-Kultur: Mitarbeiter wussten, dass Meldungen gewünscht sind — keine Blame-Kultur
Schnelle Eskalation: Erste Meldung führte innerhalb von 5 Minuten zur Quarantäne aller verbliebenen Mails

Key Facts

Branche: Automobilzulieferer (Tier-1)

Angriffstyp: Spear-Phishing mit präpariertem PDF

Zielgruppe: 200 Mitarbeiter der Finanzabteilung

Erkennungsrate: 96% (E-Mail-Security + Mitarbeiter)

Gesamtschaden: Null

Fakt: Laut Verizon DBIR 2024 beginnen 36 Prozent aller erfolgreichen Cyberangriffe mit einer Phishing-E-Mail.

Fakt: Sophos berichtet, dass in der Automobilindustrie die Zahl der Ransomware-Angriffe 2024 um 41 Prozent gestiegen ist.

Häufige Fragen

Wie hoch sollte die Erkennungsrate bei Phishing-Simulationen sein?

Ein realistisches Ziel nach 12 Monaten Training liegt bei unter 5% Klickrate. Wichtiger als die Klickrate ist die Melderate – also wie viele Mitarbeiter verdächtige Mails aktiv an die IT melden.

Reicht Security Awareness Training als Phishing-Schutz?

Nein. Training ist eine Schicht im Defense-in-Depth-Modell. E-Mail-Security, EDR und Egress-Filtering sind technische Schichten, die unabhängig vom menschlichen Faktor schützen.

Wie effektiv sind Phishing-Simulationen zur Sensibilisierung von Mitarbeitern?

Studien zeigen, dass regelmäßige Phishing-Simulationen die Klickrate auf bösartige Links um bis zu 70 Prozent senken können. Entscheidend ist, dass auf jede Simulation ein direktes Feedback mit konkreten Lernhinweisen folgt und die Übungen mindestens vierteljährlich wiederholt werden.