Vishing, Datendiebstahl und physische Einbrüche: Was deutsche Unternehmen von der UNC3753-Kampagne lernen müssen
Einleitung: Eine neue Qualität der Bedrohung
Cyberkriminelle werden kreativer – und gefährlicher. Zwischen Januar und Mai 2026 hat die Hackergruppe UNC3753 (auch bekannt unter anderen Bezeichnungen) gezielt Dutzende von Unternehmen aus dem Rechts-, Finanz- und Professional-Services-Sektor in den USA angegriffen. Was diese Kampagne von anderen unterscheidet: Die Angreifer kombinierten klassische digitale Methoden mit Vishing (Voice Phishing) und sogar physischen Einbrüchen, um an sensible Daten zu gelangen und anschließend Lösegeld zu erpressen.
Die Erkenntnisse stammen von Google Mandiant und der Google Threat Intelligence Group (GTIG) – zwei der renommiertesten Bedrohungsanalyse-Teams weltweit. Für IT-Verantwortliche und Geschäftsführer in Deutschland ist dieser Fall aus einem einfachen Grund höchst relevant: Was heute US-Kanzleien und Finanzdienstleister trifft, landet morgen in deutschen Mittelständlern und Großunternehmen. Angreifer übertragen erfolgreiche Taktiken regelmäßig auf neue Märkte – und Deutschland gehört aufgrund seiner wirtschaftlichen Stärke stets zu den attraktivsten Zielen.
Technischer Hintergrund: So arbeitete UNC3753
Die dreistufige Angriffsstrategie
Die Kampagne von UNC3753 ist ein Lehrbuchbeispiel für sogenannte hybride Angriffe, die digitale und physische Elemente geschickt miteinander verweben.
Stufe 1 – Vishing (Voice Phishing):
Die Angreifer nahmen telefonisch Kontakt zu Mitarbeitern der Zielunternehmen auf. Dabei gaben sie sich als IT-Support, Dienstleister oder Behördenvertreter aus. Ziel war es, Zugangsdaten zu erbeuten oder Mitarbeiter dazu zu bringen, Schadsoftware zu installieren bzw. Remote-Zugriff zu gewähren. Vishing ist besonders gefährlich, weil Mitarbeiter am Telefon unter Druck geraten und die soziale Komponente des Angriffs schwerer zu erkennen ist als eine Phishing-E-Mail.
Stufe 2 – Physische Einbrüche:
Besonders alarmierend: In einigen Fällen drangen die Täter oder mit ihnen kooperierende Personen physisch in Büroräume ein, um Zugang zu internen Systemen, Hardware oder Dokumenten zu erhalten. Dies zeigt, dass die Grenze zwischen Cyberkriminalität und klassischer Wirtschaftskriminalität zunehmend verschwimmt.
Stufe 3 – Datendiebstahl und Erpressung:
Nach dem erfolgreichen Eindringen wurden sensible Unternehmensdaten exfiltriert. Anschließend wurden die betroffenen Organisationen mit der Drohung erpresst, die Daten öffentlich zu veröffentlichen – ein klassisches Double-Extortion-Muster, das auch ohne den Einsatz von Ransomware auskommt.
Warum diese Methoden so effektiv sind
| Angriffsmethode | Warum sie funktioniert |
|---|---|
| Vishing | Telefonischer Druck umgeht technische Filter; Mitarbeiter reagieren auf Autorität |
| Physischer Zugang | Viele Unternehmen unterschätzen physische Sicherheit; Innentäter schwer zu erkennen |
| Datenerpressung (ohne Ransomware) | Keine Verschlüsselung nötig; Backups helfen nicht; Reputationsschaden als Druckmittel |
| Fokus auf Professional Services | Hoch sensible Daten (Mandantschaft, Finanzen); oft weniger IT-Sicherheitsbudget als Technologieunternehmen |
Auswirkungen auf Deutschland und NIS2-Relevanz
Warum deutsche Unternehmen betroffen sein können
Deutschland ist einer der größten Wirtschaftsstandorte Europas. Kanzleien, Steuerberater, Wirtschaftsprüfer, Banken und Versicherungen verarbeiten täglich hochsensible Daten – genau die Art von Informationen, auf die UNC3753 es abgesehen hat. Die geografische Distanz schützt nicht: Vishing-Angriffe sind grenzübergreifend, und physische Einbrüche können durch lokal angeworbene Komplizen umgesetzt werden.
NIS2-Pflichten, die hier direkt greifen
Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht durch das aktualisierte BSIG (BSI-Gesetz) gelten für betroffene Unternehmen klare Pflichten, die durch einen Angriff wie den von UNC3753 auf den Prüfstand gestellt werden:
1. Meldepflicht bei Sicherheitsvorfällen (§ 30 BSIG-neu):
Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Frühwarnung und innerhalb von 72 Stunden mit einem vollständigen Bericht dem BSI (Bundesamt für Sicherheit in der Informationstechnik) gemeldet werden. Ein Datendiebstahl durch Vishing oder physischen Einbruch ist zweifellos ein meldepflichtiger Vorfall.
2. Risikomanagement-Maßnahmen (§ 30 BSIG-neu):
Unternehmen müssen technische und organisatorische Maßnahmen ergreifen, die auch physische Sicherheit und Mitarbeiterschulung umfassen. Eine rein technische IT-Sicherheitsstrategie genügt nicht mehr.
3. Lieferkettensicherheit:
Da UNC3753 auch über Dienstleister und Partner angreift, sind Unternehmen nach NIS2 verpflichtet, Sicherheitsanforderungen an ihre Zulieferer zu stellen und zu dokumentieren.
4. Dokumentationspflicht:
Sicherheitsmaßnahmen, Vorfälle und deren Behandlung müssen nachweisbar dokumentiert werden – auch gegenüber Aufsichtsbehörden.
Hinweis zur DSGVO: Werden personenbezogene Daten gestohlen, ist zusätzlich eine Meldung an die zuständige Datenschutz-Aufsichtsbehörde (z. B. BfDI oder Landes-DSB) innerhalb von 72 Stunden erforderlich (Art. 33 DSGVO).
Praktische Schutzmaßnahmen: 7 konkrete Tipps für Ihr Unternehmen
1. Vishing-Awareness-Training einführen
Schulen Sie Ihre Mitarbeiter regelmäßig in der Erkennung von Vishing-Angriffen. Simulieren Sie Anrufe durch externe Dienstleister (sog. Social-Engineering-Tests). Wichtig: Etablieren Sie einen klaren Prozess, nach dem Mitarbeiter bei verdächtigen Anrufen sofort die IT-Abteilung kontaktieren – ohne Angst vor negativen Konsequenzen.
2. Physische Zugangskontrolle überprüfen
Überprüfen Sie, wer tatsächlich Zutritt zu Ihren Büroräumen, Serverräumen und sensiblen Bereichen hat. Implementieren Sie Besucherregistrierung, Zutrittsbadges und Kamerasysteme. Führen Sie regelmäßige physische Sicherheitsaudits durch – ein Bereich, der in vielen deutschen KMU vernachlässigt wird.
3. Zero-Trust-Prinzip auch für interne Nutzer
Gehen Sie nicht davon aus, dass ein Mitarbeiter im Büro automatisch vertrauenswürdig ist. Setzen Sie auf Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme und beschränken Sie Zugriffsrechte nach dem Least-Privilege-Prinzip – auch intern.
4. Datenpfad-Monitoring und DLP einführen
Implementieren Sie Data Loss Prevention (DLP)-Lösungen, die ungewöhnliche Datenbewegungen erkennen und melden. Wenn große Datenmengen auf externe Medien kopiert oder über ungewöhnliche Kanäle versendet werden, sollte sofort ein Alert ausgelöst werden.
5. Incident-Response-Plan aktualisieren
Stellen Sie sicher, dass Ihr Incident-Response-Plan auch hybride Angriffe (physisch + digital) abdeckt. Wer ist zuständig? Wann wird die Geschäftsführung informiert? Wann das BSI? Wann die Datenschutzbehörde? Diese Abläufe müssen vor einem Angriff definiert und geübt werden.
6. Dienstleister und Partner in die Sicherheitsstrategie einbinden
Da UNC3753 auch Lieferketten ausnutzt, sollten Sie Ihre Dienstleister aktiv befragen: Welche Sicherheitsstandards wenden sie an? Gibt es Zertifizierungen (ISO 27001, SOC 2)? Klären Sie vertraglich, welche Sicherheitsanforderungen gelten und wie im Vorfallsfall kommuniziert wird.
7. Sensible Daten klassifizieren und schützen
Wissen Sie, wo Ihre kritischsten Daten gespeichert sind? Führen Sie eine Datenklassifizierung durch und implementieren Sie gestufte Zugriffs- und Schutzmaßnahmen. Besonders in Rechts- und Finanzkanzleien mit Mandantendaten ist dies ein unverzichtbarer Schritt.
Fazit: Hybride Angriffe erfordern hybride Verteidigung
Die UNC3753-Kampagne ist ein deutlicher Weckruf: Cybersicherheit endet nicht an der Firewall. Wer nur auf technische Schutzmaßnahmen setzt und dabei die menschliche und physische Dimension vernachlässigt, hinterlässt gefährliche Lücken. Besonders Unternehmen aus dem Rechts-, Finanz- und Beratungssektor – also genau jene Branchen, die NIS2 als "wichtige Einrichtungen" klassifiziert – müssen ihre Sicherheitsstrategie umfassend überdenken.
Die NIS2-Richtlinie bietet dabei keinen bürokratischen Ballast, sondern einen praktischen Rahmen, der genau die Maßnahmen vorschreibt, die gegen Angriffe wie den von UNC3753 wirksam sind: Risikoanalyse, Schulung, physische Sicherheit, Meldeprozesse und Lieferkettensicherheit.
💡 Call-to-Action: NIS2-Compliance strukturiert angehen
Die beschriebenen Maßnahmen klingen nach viel Arbeit – und das sind sie auch, wenn man sie manuell koordinieren muss. NIS2-Compliance-Software kann dabei helfen, Risikobewertungen zu strukturieren, Maßnahmenpläne zu dokumentieren, Meldeprozesse zu automatisieren und den aktuellen Compliance-Status jederzeit transparent zu halten. Wenn Ihr Unternehmen noch kein systematisches Tool einsetzt, lohnt sich ein Blick auf spezialisierte Lösungen – insbesondere solche, die explizit auf die Anforderungen des BSIG und der NIS2-Richtlinie ausgerichtet sind. Eine strukturierte Software-Unterstützung kann im Ernstfall den Unterschied zwischen einer nachweisbaren Compliance und einem teuren Bußgeld ausmachen.