Neue Welle von Cyberangriffen trifft Webbanking und Webshopping
- Marcel
- 9. Sept.
- 6 Min. Lesezeit
Cyberkriminalität August/September 2025 – Aktuelle Bedrohungen in Luxemburg und weltweit
Einleitung & Überblick
Cyberkriminalität bleibt auch im August/September 2025 ein zentrales Risiko für Privatpersonen, Unternehmen und Institutionen. Digitale Angriffe zielen zunehmend auf alltägliche Dienste wie Online-Banking, Shopping-Plattformen oder Buchungsportale. Die Täter setzen dabei auf professionelle Methoden, die von gefälschten Webseiten über manipulierte Apps bis hin zu hochentwickelter Schadsoftware reichen.
In den vergangenen Wochen wurden in Luxemburg erneut mehrere Warnungen veröffentlicht. Sowohl die Finanzaufsicht CSSF als auch die Polizei informierten über neue Betrugsfälle, bei denen Identitäten offizieller Stellen missbraucht wurden. Parallel dazu verzeichneten Banken vermehrt Phishing-Versuche gegen ihre Kunden.
Auch auf globaler Ebene ist die Bedrohungslage angespannt. Neue Sicherheitslücken bei Apple- und Android-Systemen, Angriffe über weit verbreitete Plattformen wie PayPal oder Booking.com sowie die Ausbreitung von Banking-Trojanern zeigen, dass sich Cyberkriminelle stetig anpassen. Internationale Sicherheitsbehörden warnen vor einer hohen Dynamik: Schwachstellen werden oft innerhalb weniger Tage nach Bekanntwerden ausgenutzt.
Dieser Bericht fasst die wichtigsten Entwicklungen der letzten 15 Tage zusammen. Er beschreibt die in Luxemburg beobachteten Betrugsformen, ergänzt durch aktuelle Beispiele aus dem Ausland. Darüber hinaus werden die eingesetzten Methoden analysiert, zentrale Schutzmaßnahmen vorgestellt und eine Übersicht zu Betriebssystem-Versionen gegeben, die bald keine Sicherheitsupdates mehr erhalten.
Luxemburg – aktuelle Bedrohungen
In Luxemburg haben die Aufsichtsbehörden und die Polizei im August und Anfang September mehrere neue Warnungen herausgegeben. Im Mittelpunkt stand dabei der Missbrauch von Identitäten offizieller Institutionen.
Die Commission de Surveillance du Secteur Financier (CSSF) warnte am 31. Juli vor Betrügern, die sich als Mitarbeiter der Aufsicht ausgeben. Die Täter kontaktieren ihre Opfer per Telefon oder E-Mail und fordern persönliche Daten oder Geldüberweisungen. Am 11. August wurde die Warnung mit weiteren Beispielen aktualisiert, was auf eine anhaltende Kampagne schließen lässt.
Darüber hinaus veröffentlichte die CSSF zusätzliche Hinweise zu Unternehmen, deren Namen und Logos missbräuchlich für betrügerische Anlageangebote verwendet wurden. Dazu gehörten jüngst auch Fälle, bei denen Webseiten eingerichtet wurden, die echte Finanzprodukte vortäuschen. Anleger sollten besonders aufmerksam sein, wenn sie unaufgefordert kontaktiert werden oder ungewöhnlich hohe Renditen versprochen bekommen.
Auch die Police Grand-Ducale berichtete von einer Zunahme sogenannter Spoofing-Anrufe. Dabei wird die Telefonnummer manipuliert, sodass auf dem Display der angerufenen Person eine luxemburgische Vorwahl oder sogar die Nummer einer offiziellen Behörde erscheint. In diesen Gesprächen geben sich die Täter als Polizeibeamte oder Bankmitarbeiter aus und versuchen, Zugangsdaten zu erfragen oder Überweisungen zu veranlassen.
Die luxemburgischen Banken selbst registrierten in den vergangenen Wochen vermehrt Phishing-Versuche. Kunden erhielten E-Mails und SMS mit Links zu täuschend echt gestalteten Webseiten, die den Online-Banking-Portalen täuschend ähnlich sehen. Die Spuerkeess stellte auf ihrer Internetseite konkrete Hinweise zur Verfügung, wie im Verdachtsfall das S-Net-Banking gesperrt und LuxTrust-Konten abgesichert werden können.
Globale Entwicklungen
Parallel zu den Vorfällen in Luxemburg sind international mehrere sicherheitsrelevante Ereignisse zu beobachten.
Apple-Geräte (iPhone, iPad, Mac): Ende August schloss Apple eine schwerwiegende Sicherheitslücke in iOS, iPadOS und macOS (CVE-2025-43300). Die Schwachstelle wurde bereits aktiv ausgenutzt und erlaubte Angreifern, manipulierte Bilddateien einzuschleusen. Nur wenige Tage später wurde ein Angriff bekannt, bei dem über WhatsApp gezielt iPhones kompromittiert wurden.
Android-Smartphones und -Tablets: Im September erschienen wichtige Patches für Android. Insgesamt 84 Schwachstellen wurden behoben, darunter zwei Zero-Day-Lücken, die bereits im Einsatz waren.
Windows-Systeme (PCs und Laptops): Auch Microsoft veröffentlichte im Rahmen der monatlichen Patchdays sicherheitsrelevante Updates. Nutzer älterer Windows-10-Versionen bewegen sich zunehmend in einer Risikozone, da das Supportende im Oktober 2025 naht.
Unternehmenssysteme (Linux, CMS): Sicherheitsbehörden wie die US-amerikanische CISA ergänzten Anfang September ihren Katalog der aktiv ausgenutzten Schwachstellen (KEV) um mehrere neue Einträge.
Finanzplattformen (plattformunabhängig): Eine aktuelle Phishing-Kampagne zielt auf PayPal-Konten ab. Auch Buchungsplattformen wie Booking.com sind im Fokus: Betrüger nutzen den legitimen Chat zwischen Unterkunft und Gast, um gefälschte Zahlungsaufforderungen einzuschleusen.
Android-Banking-Trojaner: Schadprogramme wie Hook v3 und Anatsa (TeaBot) entwickeln sich rasant weiter und betreffen ausschließlich Android-Geräte.
Angriffsmethoden im Überblick
Die beobachteten Vorfälle lassen sich mehreren bekannten Kategorien zuordnen:
Phishing, Smishing und Vishing: Täuschende Nachrichten per E-Mail, SMS oder Telefon.
Spoofing: Manipulierte Telefonnummern oder Absenderangaben, um Vertrauen zu erzeugen.
Zero-Day-Exploits: Ausnutzung bislang unbekannter Sicherheitslücken. Besonders Apple-Geräte waren jüngst betroffen.
Malware auf Mobilgeräten: Schadsoftware mit Fokus auf Banking-Apps. Hauptsächlich Android-Geräte im Visier.
Gezielte Angriffe auf iOS-Geräte: Über Messenger-Dienste wie WhatsApp wurden iPhones mit manipulierten Nachrichten infiziert.
Gezielte Angriffe auf macOS: Sicherheitslücken in der Bildverarbeitung ermöglichten die Infektion von Macs über manipulierte Dateien.
Social Engineering: Missbrauch offizieller Namen und Logos, um psychologischen Druck aufzubauen.
Übersicht der betroffenen Geräteklassen
Angriffsmethode | Windows | macOS | iOS (iPhone/iPad) | Android |
Phishing/Smishing/Vishing | ✔ | ✔ | ✔ | ✔ |
Spoofing (Telefon/Absender) | ✔ | ✔ | ✔ | ✔ |
Zero-Day-Exploits | ✔ | ✔ | ✔ | ✔ |
Malware mit Banking-Fokus | (selten) | ✔ | ||
Messenger-Exploit | ✔ | |||
Manipulierte Mediendateien | ✔ | ✔ | ||
Social Engineering | ✔ | ✔ | ✔ | ✔ |
Schutzmaßnahmen
Experten empfehlen eine Kombination aus technischer Vorsorge und erhöhtem Misstrauen im digitalen Alltag. Dazu gehören:
Regelmäßige Updates aller Geräte und Programme, insbesondere Betriebssysteme und Browser.
Nutzung von Mehrfaktor-Authentifizierung oder Passkeys, um Konten zusätzlich abzusichern.
Direkter Aufruf von Bank- oder Shopping-Seiten über gespeicherte Favoriten anstatt über Suchmaschinen.
Kontrolle der App-Berechtigungen auf Smartphones und Verzicht auf Apps aus unbekannten Quellen.
Aktive Benachrichtigungen bei Banktransaktionen und Kartenzahlungen.
Sicherheitskopien nach dem 3-2-1-Prinzip (drei Kopien auf zwei unterschiedlichen Medien, eine davon extern).
Betriebssysteme am Ende des Lebenszyklus
Veraltete Betriebssysteme stellen ein hohes Risiko dar, da sie keine Sicherheitsaktualisierungen mehr erhalten. Besonders relevant sind folgende Termine:
Windows 10 (Version 22H2): Supportende am 14. Oktober 2025. Nur noch über kostenpflichtige Extended Security Updates (ESU) bleibt ein Schutz möglich.
Windows 11 (Version 23H2, Home/Pro): Supportende am 11. November 2025. Ein Umstieg auf neuere Versionen ist erforderlich.
Apple iOS und iPadOS: Aktuell ist Version 18.6.2. Geräte mit älteren Versionen erhalten nicht mehr alle sicherheitsrelevanten Korrekturen.
macOS: Die aktuelle Version Sequoia 15.6.1 wird vollständig unterstützt. Ältere Versionen wie Monterey (12) werden teilweise nicht mehr gepflegt.
Konsequenzen der Nutzung veralteter Systeme
Der Einsatz eines Betriebssystems nach dessen Supportende bedeutet, dass bekannte Schwachstellen dauerhaft offenbleiben. Für Webbanking und Webshopping hat dies schwerwiegende Folgen:
Gefahr von Datenabgriffen: Angreifer können bekannte Lücken gezielt ausnutzen, um Passwörter, Kontonummern und Kreditkartendaten zu stehlen.
Erhöhtes Phishing-Risiko: Veraltete Browser auf alten Systemen erkennen moderne Fälschungen oft nicht mehr zuverlässig.
Keine Abwehr neuer Schadsoftware: Ohne Sicherheitsupdates bleiben Rechner und Smartphones anfällig für aktuelle Trojaner und Ransomware.
Haftungsprobleme: Banken und Zahlungsdienstleister können bei Missbrauch die Verantwortung teilweise auf den Nutzer abwälzen, wenn ein unsicheres Betriebssystem verwendet wurde.
Soforthilfe bei Betrugsfällen
Bei einem akuten Betrugsversuch oder Datenverlust sollten unverzüglich folgende Schritte eingeleitet werden:
Schritt | Maßnahme | Ziel |
1 | Sperrung von Bank- und LuxTrust-Zugängen über die offiziellen Kanäle | Verhindern weiterer Zugriffe auf Konten |
2 | Änderung aller relevanten Passwörter (E-Mail, Banking, Shopping) | Unterbinden von Folgeschäden durch kompromittierte Daten |
3 | Anzeigeerstattung bei der Polizei und Sicherung aller Beweismaterialien | Dokumentation des Falls und rechtliche Schritte |
4 | Meldung von Phishing-Versuchen an die betroffenen Plattformen (z. B. PayPal) | Schließen von Angriffskanälen und Warnung anderer Nutzer |
5 | Unternehmen: Erfüllung gesetzlicher Meldepflichten gegenüber der CNPD | Einhaltung rechtlicher Vorgaben und Schadensbegrenzung |
Bedeutung professioneller Wartung
Die Ereignisse der vergangenen Wochen zeigen, dass Sicherheitslücken und Betrugsmaschen in immer kürzeren Abständen auftreten. Daher ist es entscheidend, Geräte regelmäßig zu warten.
Wer über die notwendigen Kenntnisse verfügt, sollte Updates, Backups und Sicherheitsprüfungen selbst durchführen. Falls das Wissen fehlt, können auch Freunde oder Kollegen mit technischem Hintergrund helfen.
Wer jedoch absolute Sicherheit und Verlässlichkeit anstrebt, greift auf professionelle Betreuung und Wartung zurück.
Unterschiede zwischen Selbstwartung und professioneller Betreuung
Aspekt | Selbst durch Laien | Unterstützung durch Freunde/Kollegen | Professionelle Betreuung |
Updates | Manuell, Gefahr von Lücken | Oft aktuell, aber nicht immer konsequent | Immer zeitnah, systematisch |
Backups | Häufig unregelmäßig | Teilweise vorhanden, ohne Standards | Nach klaren Konzepten (z. B. 3-2-1-Regel) |
Sicherheitsprüfung | Meist keine oder oberflächlich | Abhängig von Wissen der Helfenden | Regelmäßige und strukturierte Prüfungen |
Erkennung von Bedrohungen | Gering, oft verspätet | Besser, aber unsystematisch | Durch Monitoring und Fachwissen frühzeitig |
Verlässlichkeit | Unsicher, Risiko hoch | Mittel, hängt von Verfügbarkeit ab | Hoch, vertraglich abgesichert |
Haftung und Verantwortung | Keine klare Absicherung | Keine klare Absicherung | Klare Zuständigkeiten und Nachvollziehbarkeit |
Hinweis Computerhellef Doheem (CHDH)
Computerhellef Doheem (CHDH) bietet Privatpersonen und kleinen Unternehmen in Luxemburg professionelle Unterstützung bei der IT-Sicherheit. Dazu gehören die Wartung von Systemen, die Installation von Updates sowie die Beratung beim sicheren Einsatz von Online-Diensten. Weitere Informationen sind auf der offiziellen Webseite verfügbar: chdh.online
Glossar wichtiger Begriffe
Begriff | Erklärung in einfacher Sprache |
Phishing | Betrugsversuch über gefälschte Nachrichten, die Passwörter oder Daten abfragen. |
Smishing | Phishing über SMS-Nachrichten. |
Vishing | Phishing über Telefonanrufe. |
Spoofing | Manipulation von Absenderinformationen wie Telefonnummern, um Vertrauen zu erwecken. |
Zero-Day | Sicherheitslücke, für die noch kein Update verfügbar ist und die bereits genutzt werden kann. |
Trojaner | Schadprogramm, das sich als nützlich ausgibt und unbemerkt im Hintergrund agiert. |
Ransomware | Schadsoftware, die Daten verschlüsselt und nur gegen Lösegeld wieder freigibt. |
Haftungsausschluss und Transparenzhinweis zur KI-Nutzung
Transparenzhinweis: Bei der Erstellung dieses Beitrags wurde ein KI-gestütztes Sprachmodell als Assistenzwerkzeug eingesetzt. Inhalte und Formulierungen stammen aus menschlicher Feder, wurden aber teilweise durch Vorschläge einer Künstlichen Intelligenz (GPT) unterstützt. Alle Informationen wurden vom Autor geprüft und an die Erfordernisse eines journalistischen Artikels angepasst. Dieser Hinweis erfolgt im Sinne der Transparenz: Der finale Artikel wurde redaktionell kontrolliert, um sicherzustellen, dass Fakten korrekt und verständlich präsentiert werden. Die Nutzung der KI-Technologie diente der effizienteren Aufbereitung umfangreicher Recherchedaten, beeinflusst jedoch nicht den Anspruch an Wahrheitstreue und Objektivität des Artikels.
Kommentare