Thought Leadership
Cyberangriffe laufen heute im Hochgeschwindigkeitsmodus: Angreifer machen sich nicht mehr die Mühe, ihre Aktivitäten zu verschleiern. Der Fokus liegt auf möglichst hohem Volumen bei geringem Aufwand.
Der Elastic Global Threat Report 2025 zeigt, wie KI den Angriffstakt beschleunigt und welche Schritte jetzt entscheidend sind, um mithalten zu können.
Die Spielregeln in der Cyberabwehr haben sich in den vergangenen zwölf Monaten stark verändert. Laut dem aktuellen Elastic Global Threat Report 2025, der anonymisierte und freiwillig von Elastic-Kunden zur Verfügung gestellte Telemetriedaten analysiert, verläuft eine Attacke heute nicht mehr schleichend über Wochen, sondern eskaliert oft innerhalb weniger Minuten. Eindringen, Schadcode ausführen, Zugänge sichern und wertvolle Daten stehlen: All das passiert in einer Geschwindigkeit, die klassische Verteidigungsmethoden überfordern kann.
Besonders deutlich wird das auf WindowsSystemen: Hier ist die vom Security-Framework MITRE ATT&CK als „Execution“ bezeichnete Taktik – also der Moment, in dem ein Angreifer tatsächlich Schadcode ausführt, deutlich gestiegen: 32 Prozent aller Endpoint-Warnmeldungen lassen sich darauf zurückführen. Damit hat sie sich gegenüber dem Vorjahr fast verdoppelt und erstmals seit drei Jahren „Defense Evasion“ verdrängt. Defense Evasion beschreibt laut MITRE ATT&CK alle Methoden, mit denen Angreifer ihre Spuren verwischen und Sicherheitsmechanismen umgehen. Der Wechsel an der Spitze zeigt: Täter setzen heute weniger auf Tarnung, sondern auf sofortige Ausführung.
Angriff im KI-Takt
Parallel dazu verschiebt künstliche Intelligenz die Rahmenbedingungen für digitale Kriminalität massiv. Der Report verzeichnet einen Anstieg sogenannter „Generic“-Bedrohungen um 15,5 Prozent. In dieser Kategorie finden sich meist einfach gebaute, aber wirkungsvolle Schadprogramme, Loader und Hilfstools, die sich keiner spezifischen MalwareFamilie zuordnen lassen. Ihr Wachstum erklärt sich laut dem Report oft durch den Einsatz großer Sprachmodelle (LLMs), mit denen selbst unerfahrene Täter in kurzer Zeit funktionierende Schadsoftware erstellen können.
Mit dieser neuen Angriffsgeschwindigkeit gerät die klassische Verteidigungslogik ins Wanken. Bisher basierte der Schutz vielfach auf statischen Indikatoren – feststehenden Erkennungsmerkmalen wie Dateinamen, Hashwerten oder spezifischen Signaturen. Diese Methode versagt, sobald Angreifer den Schadcode auch nur minimal verändern. Wenn generative KI in Sekunden neue Varianten erstellen kann, verlieren solche statischen Merkmale jedoch praktisch sofort ihre Gültigkeit.
Gefordert sind daher verhaltensbasierte Korrelationsanalysen, unterstützt durch Machine Learning, die Bedrohungen nicht am unveränderlichen Fingerabdruck einer Datei erkennen, sondern am tatsächlichen Ablauf. Solche Muster sind oft unabhängig von der Tarnverpackung und bleiben auch über verschiedene Malware-Generationen hinweg erkennbar.
Identität und BrowserDaten im Visier
Der Report zeigt außerdem: In der Cloud konzentrieren sich Angriffe auf wenige zentrale Ziele. Über 60 Prozent aller innerhalb der zur Verfügung gestellten Telemetriedaten beobachteten Ereignisse entfallen auf Initial Access, Persistence und Credential Access.
Initial Access markiert den ersten Fuß in der Tür – den Moment, in dem ein Konto oder System erstmals kompromittiert wird, oft durch Phishing, gestohlene bzw. auf dem Schwarzmarkt gekaufte Zugangsdaten oder ausgenutzte Schwachstellen.
Persistence beschreibt nach MITRE ATT&CK die Fähigkeit des Angreifers, diesen Zugang dauerhaft aufrechtzuerhalten, etwa durch das Anlegen neuer Benutzerkonten, das Ändern von Berechtigungen oder das Installieren versteckter Dienste.
Credential Access schließlich ist das gezielte Beschaffen von Zugangsdaten, um damit weitere Systeme zu infiltrieren oder sich höhere Rechte zu verschaffen.
Besonders brisant: Viele dieser Aktivitäten sehen aus wie ganz normale Administrator-Aktionen, was es klassischen Alarm-Mechanismen schwer macht, sie zu erkennen. Obwohl sich für solche schwachen Signale Erkennungsregeln erstellen lassen, führen reguläre Tools dabei oft zu einer Flut von Fehlalarmen durch harmlose Routinevorgänge. Gefragt sind daher spezialisierte Technologien und Prozesse, die schwache Signale präzise und mit minimalen Falsch-Positiv-Raten erkennen.
Hinzu kommt, dass über ein Achtel aller untersuchten Schadprogramme darauf abzielt, BrowserAnmeldedaten zu stehlen. Diese Informationen landen im AccessBrokerMarkt, einem inzwischen industrialisierten Schwarzmarkt, auf dem kompromittierte Konten in Paketen weiterverkauft werden. Wer dort einkauft, kann sofort weitere Angriffe starten, vom Identitätsdiebstahl bis zur massenhaften CloudÜbernahme.
Wenn gestohlene Logins zur Eintrittskarte werden
Die Studie legt nahe: So entsteht eine Kette, in der jeder Schritt den nächsten beschleunigt: KI-generierte Malware stiehlt Browser Credentials, diese werden über Broker weitergegeben, die sie an andere Gruppen verkaufen. Die Käufer verschaffen sich Zugriff, starten unmittelbar Schadcode, kopieren Daten oder setzen Ransomware frei. Dieser Kreislauf kann sich innerhalb von Minuten von der ersten Infektion bis zum wirtschaftlichen Schaden entwickeln.
Für Verteidiger bedeutet das: Zeit für langwierige manuelle Analysen oder isolierte Gegenmaßnahmen gibt es nicht mehr. Erfolgreiche Abwehr muss Geschwindigkeit, Kontext und die Fähigkeit zu integrierter Reaktion verbinden. Trotzdem gilt: Angreifer konzentrieren sich nicht ausschließlich auf den neuen Trend zu schnellen Angriffen. Nach wie vor geht es ihnen um die Frage, wie sich leicht und in großem Umfang Geld verdienen lässt: Dokumentendiebstahl und -verschlüsselung, Industriespionage, Aufbau von Botnets etc..
So brechen Sie die moderne Angriffskette
Um diesen neuen Herausforderungen wirkungsvoll zu begegnen, müssen Unternehmen auf Partner setzen, die nicht nur Erfahrung in der Analyse großer Datenmengen in Echtzeit haben, sondern diese Fähigkeit auch auf komplexe Sicherheitsherausforderungen übertragen können. Elastic hat diese Expertise durch die Entwicklung und den kontinuierlichen Ausbau der offenen Such- und Analyseplattform Elasticsearch aufgebaut. Diese Technologie ist weltweit im Einsatz, um unterschiedlichste Datenquellen aus internen IT-Systemen, Drittanbieter-Anwendungen und Cloud-Workloads schnell zu durchsuchen, Ergebnisse zu korrelieren und in einen aussagekräftigen Kontext zu setzen. So stehen sicherheitsrelevante Signale – auch die sogenannten schwachen Signale – nicht mehr isoliert, sondern lassen sich über alle Systeme hinweg in Echtzeit verbinden. Das ist ein entscheidender Vorteil, wenn Angriffe gleichzeitig mehrere Ziele ansteuern oder über verschiedene Plattformen hinweg agieren.
Die Agentic AI for Security ist ein zentrales Element von Elastic Security. Sie erkennt, untersucht und beantwortet Bedrohungen, korreliert Signale, empfiehlt die nächsten Schritte und übernimmt Routineaufgaben. Mit Retrieval Augmented Generation (RAG) verankert sie ihre Ergebnisse in der Wissensbasis des Unternehmens, ergänzt sie um Kontext und begründet sie mit den eigenen Daten. Statt einer losen Warnungsliste liefert sie sofort verwertbare, umgebungsbezogene Empfehlungen, die Analysten schnell zur wirksamen Eindämmung führen. Integrierte Anonymisierung und Zugriffskontrollen wahren Compliance und Schutz, die transparente Arbeitsweise macht Entscheidungen nachvollziehbar. So behalten Teams die Kontrolle über eine KI, der sie vertrauen können – und das SOC (Security Operations Center) verschwendet weniger Zeit mit repetitiver Triage und kann sich darauf konzentrieren, Bedrohungen schnell zu finden und zu stoppen.
Fazit: Mit Tempo und Kontext kontern
Der Elastic Global Threat Report 2025 macht deutlich: Cyberabwehr ist kein Ausdauersport mehr, sondern ein Sprint um Kontext und Geschwindigkeit. Angriffe, die in Minuten eskalieren, erfordern eine Verteidigungsstrategie, die Endpunkte und Cloud als Einheit überwacht, KI konsequent für die Mustererkennung einsetzt und Entscheidungen automatisiert.
Mit seiner Plattform vereint Elastic Geschwindigkeit, Kontext und Kontrolle. Damit schafft das Unternehmen die Grundlage, um die moderne Angriffskette zu durchbrechen, bevor sie den entscheidenden Schaden anrichten kann.
