Wir zeigen Ihnen, wie sie dabei vorgehen, und geben Empfehlungen, wie Sie dieses schwache Glied in der Sicherheitskette stärken können – ohne den menschlichen Faktor zu verlieren.

Jüngste Angriffe auf Service Desks

Die Sicherheit von Service Desks war zuletzt in den Nachrichten, da mehrere große britische Einzelhändler kürzlich von der DragonForce-Ransomware getroffen wurden. In diesen Fällen wurde der erste Zugriff durch Social Engineering am Service Desk erlangt – angeblich durch die in den USA und im Vereinigten Königreich ansässige Cybercrime-Gruppe Scattered Spider.

• Marks & Spencer (April–Mai 2025): Angreifer täuschten den IT-Helpdesk von M&S und veranlassten Passwortzurücksetzungen, wodurch sie Zugriff auf Systeme erhielten und persönliche Kundendaten exfiltrierten. Der Sicherheitsvorfall legte den Online-Bestell- sowie den Click-and-Collect-Service für über drei Wochen lahm.
• Co-Op Group (Mai 2025): Nach einem nahezu identischen Muster überzeugten Angreifer das Service-Desk-Team von Co-Op, systemweiten Zugriff zu gewähren – mit der Folge, dass Kundendaten, Zugangsdaten von Mitarbeitenden sowie Warenbestände in allen 2.300 Filialen betroffen waren.
• Harrods (Mai 2025): Der Luxus-Einzelhändler war bereits die dritte britische Marke innerhalb von zwei Wochen, die einer Cyberattacke ausgesetzt war. Harrods entdeckte und stoppte unautorisierte Zugriffsversuche (vermutlich ebenfalls auf Scattered Spider zurückzuführen), noch bevor Daten kompromittiert wurden.
• MGM Resorts (September 2023): Bereits 2023 platzierte Scattered Spider einen Vishing-Anruf beim IT-Helpdesk von MGM Resorts. Sie brachten Mitarbeitende dazu, die 2FA eines leitenden Managers zu deaktivieren, und starteten anschließend eine Ransomware-Kampagne, die Netzwerke, Geldautomaten, Spielautomaten und digitale Schließsysteme in den Casinos von Las Vegas lahmlegte.

Warum nehmen Hacker den Service Desk ins Visier?

Kurz gesagt: Es ist schneller und einfacher, einen Menschen zu manipulieren als einen technisch aufwändigen Angriff durchzuführen. Service-Desk-Teams sind darauf geschult, Probleme schnell zu lösen und Mitarbeitende wieder arbeitsfähig zu machen. Angreifer geben sich als panische Führungskräfte oder vertrauenswürdige Dienstleister aus und versuchen dann, soziale Normen wie Hilfsbereitschaft, Autoritätsgläubigkeit und Konfliktvermeidung auszunutzen. Sie machen sich Empathie, Dringlichkeit und Vertrauen zunutze, um Mitarbeitende dazu zu bringen, unüberlegt zu handeln oder Prozesse zu umgehen. Sobald sie erst einmal Fuß gefasst haben, können sie zur Rechteausweitung übergehen oder Ransomware einsetzen.

Wie laufen Social-Engineering-Angriffe ab?

1. Aufklärung: Einige Angreifer nehmen Service Desks wahllos ins Visier, während andere stundenlang öffentliche Quellen durchforsten, um sich einen Vorteil zu verschaffen (LinkedIn-Profile, Unternehmensmitteilungen, Organigramme und soziale Medien).
2. Schaffen eines Vorwands: Ausgestattet mit echten Informationen (z. B. Bürostandorten oder aktuellen Unternehmensinitiativen) entwirft der Angreifer ein Szenario, in dem er vorgibt, ausgesperrt zu sein und sein Passwort oder die MFA zurücksetzen zu müssen.
3. Der Anruf: Sie führen den Anruf durch – möglicherweise zu einem bewusst hektischen Zeitpunkt. Scattered Spider hatte nachweislich Erfolg bei britischen und US-amerikanischen Unternehmen – unter anderem, weil sie Englisch als Muttersprache sprechen. Einige Hacker setzen sogar KI-gestütztes Vishing ein, um die Stimme einer echten Person innerhalb eines Unternehmens zu imitieren.
4. Dringlichkeit und Vertrauen aufbauen: Hier versucht der Angreifer, Druck auf den Service-Desk-Mitarbeitenden auszuüben. Sie könnten den Namen eines wichtigen Kunden oder einer Führungskraft im Unternehmen nennen oder sich auf ein Projekt beziehen, das dem Mitarbeitenden bekannt ist, um Vertrauen aufzubauen. Dann folgt ein fingierter, geschäftskritischer Grund, warum sie sofort Zugriff benötigen.
5. MFA umgehen: Fragt der Mitarbeitende nach der MFA-Push-Bestätigung, behauptet der Angreifer, sie nie erhalten zu haben. Oder sie erfinden eine Ausrede – zum Beispiel, dass das benötigte Telefon verloren oder defekt ist. Anschließend fordern sie ein Zurücksetzen der MFA an – unter Verweis auf eine „Genehmigung durch eine Führungskraft“ und unter Berufung auf die Unternehmensrichtlinie für Notfallzugriffe. Der Mitarbeitende, hilfsbereit und in Sorge, die Arbeit der Führungskraft zu verzögern, willigt ein.
6. Zurücksetzen von Zugangsdaten und Token-Tausch: Der Service-Desk-Mitarbeitende folgt dem Verfahren, deaktiviert das bestehende MFA-Gerät und richtet ein temporäres ein. Der Angreifer erhält sofort die neue Push-Benachrichtigung, bestätigt sie in Echtzeit und meldet einen erfolgreichen Login.
7. Erster Zugriffspunkt: Mit gültigen Zugangsdaten und einer aktiven Sitzung verfügt der Angreifer nun über einen Zugang zum Unternehmensnetzwerk.

Verifizierung durchsetzen – oder Sicherheitslücken riskieren

Schulungen und Phishing-Simulationen helfen dem Team, aufmerksam zu bleiben und Abweichungen von etablierten Prozessen zu erkennen. Außerdem lässt sich das Least-Privilege-Prinzip durchsetzen, indem standardmäßig eingeschränkt wird, was Service-Desk-Mitarbeitende tun können (z. B. Managerfreigaben für risikoreiche Aktionen verlangen, Ticketsysteme von zentralen Identitätsspeichern trennen und jeden Schritt protokollieren). Doch um Ihre Mitarbeitenden bei jedem Kontakt bestmöglich zu unterstützen, ist es am effektivsten, ihnen Werkzeuge zur Verifizierung an die Hand zu geben.

Ohne eine gründliche Identitätsprüfung wird der Service Desk zum Einfallstor für Angreifer, die menschliches Vertrauen ausnutzen. Die verpflichtende Verifizierung fügt eine wichtige Reibungsebene hinzu, die selbst die überzeugendsten Vorwände ins Leere laufen lässt. Specops Secure Service Desk integriert Multi-Faktor-Verifizierung, risikobasierte Echtzeitbewertung und anpassbare Challenge-Flows – damit Ihr Team Identitäten souverän prüfen und Social-Engineering-Angriffe direkt an der Tür abwehren kann.

Indem diese Prüfungen in jede Passwortzurücksetzung, Rechteausweitung oder Remote-Session-Anfrage eingebettet werden, verringern Sie die menschliche Angriffsfläche erheblich. Möchten Sie sehen, wie sich Secure Service Desk in Ihre Umgebung integrieren lässt? Live-Demo vereinbaren.