Thought Leadership
Ein Drittel aller Cyberangriffe bleibt monatelang unentdeckt. Experten enthüllen Taktiken, die Unternehmen bedrohen.
Der aktuelle Sicherheitsbericht „Anatomy of a Cyber World“ von Kaspersky liefert eine Analyse der weltweiten Cybervorfälle des vergangenen Jahres. Die statistischen Auswertungen verdeutlichen, dass sich die Methoden der Hacker in ihrer Grundstruktur zwar kaum verändern, in ihrer Ausführung jedoch immer komplexer werden. Ein zentrales Ergebnis der Untersuchung ist die Erkenntnis, dass ein erheblicher Teil der Attacken über einen sehr langen Zeitraum unentdeckt bleibt, während die andere Hälfte der Vorfälle bereits innerhalb weniger Stunden den vollen Schaden entfaltet. Die Verteilung der Einbruchswege zeigt dabei eine deutliche Konzentration auf bekannte Schwachstellen und die Ausnutzung organisatorischer Vertrauensstrukturen.
Softwarelücken und gestohlene Accounts als Haupttore
Die Ausnutzung von öffentlich zugänglichen Anwendungen bleibt laut den Daten von Kaspersky die am häufigsten genutzte Methode, um in fremde Netzwerke einzudringen. Im Jahr 2025 entfielen 44 Prozent der untersuchten Vorfälle auf diesen Vektor. Hierbei nutzen Angreifer Sicherheitslücken in Webanwendungen oder anderen nach außen gerichteten Programmen aus, für die noch keine Korrekturen installiert wurden. Auf dem zweiten Platz folgt mit 25 Prozent der Missbrauch von gültigen Benutzerkonten. In diesen Fällen gelangen die Akteure durch Phishing oder den Kauf von Zugangsdaten im Darknet an korrekte Passwörter und Benutzernamen. Da sie sich mit echten Identitäten anmelden, bleiben sie für einfache Sicherheitslösungen oft lange unsichtbar, da ihr Verhalten zunächst einer normalen Nutzung ähnelt.
Vertrauen zu Dienstleistern wird zur gefährlichen Falle
Ein Trend, der sich in den letzten Jahren verstärkt hat, ist die Kompromittierung über Partnerunternehmen oder Dienstleister. Dieser Vektor, der 2025 für 16 Prozent der Angriffe verantwortlich war, hat klassische schädliche E-Mails von den vorderen Plätzen verdrängt. Hacker nehmen dabei gezielt IT-Integratoren oder Softwareanbieter ins Visier, die Zugriff auf die Systeme ihrer Kunden haben. Besonders kleine Dienstleister sind hierbei gefährdet, da sie oft nicht über die Ressourcen verfügen, um ihre eigenen Netzwerke nach höchsten Standards abzusichern. Gelingt es den Angreifern, ein solches Unternehmen zu übernehmen, können sie bestehende Fernwartungszugänge nutzen, um unbemerkt in die Netzwerke der eigentlichen Zielunternehmen einzudringen.
Ein Drittel der Cyberangriffe dauert über drei Monate
Die Dauer eines Angriffs liefert wichtige Hinweise auf die Intention der Täter. Der Report zeigt, dass 33 Prozent der Vorfälle eine mediane Dauer von 108 Tagen aufweisen. Dies entspricht einem Zeitraum von rund dreieinhalb Monaten, in denen sich die Akteure frei im System bewegen konnten. In diesen Fällen geht es den Kriminellen nicht um eine schnelle Sabotage, sondern um langfristige Ziele. Sie installieren Mechanismen zur dauerhaften Präsenz und versuchen, die Kontrolle über das Active Directory zu erlangen, welches die gesamte Benutzerverwaltung eines Unternehmens steuert. In dieser Phase findet oft eine unbemerkte Ausleitung großer Datenmengen statt, bevor der Angriff schließlich durch eine Verschlüsselung oder eine Löschaufforderung sichtbar wird.
Rasante Datenverschlüsselung in weniger als 24 Stunden
Im Gegensatz zu den langwierigen Operationen steht die Mehrheit der Angriffe, die eine Dauer von weniger als 24 Stunden aufweisen. Rund 51 Prozent der Vorfälle im Jahr 2025 fallen in diese Kategorie. Das primäre Ziel dieser Attacken ist fast immer die schnelle Verschlüsselung von Daten mittels Ransomware, um eine Lösegeldforderung zu stellen. Die Angreifer nutzen automatisierte Werkzeuge, um sich nach dem ersten Eindringen so schnell wie möglich im Netzwerk auszubreiten und die Sicherungen sowie die produktiven Daten unbrauchbar zu machen. Diese Geschwindigkeit stellt Unternehmen vor große Herausforderungen, da herkömmliche Reaktionszeiten oft nicht ausreichen, um den Schaden noch im Anfangsstadium abzuwenden.
Hybride Taktiken täuschen die interne IT-Sicherheit
Neben den sehr kurzen und den sehr langen Angriffen identifizierte der Bericht auch ein hybrides Muster bei 16 Prozent der Fälle. Diese Angriffe erscheinen zunächst wie kurzzeitige Störungen oder einfache Kompromittierungen, die nach kurzer Zeit scheinbar wieder abklingen. Tatsächlich ziehen sich diese Operationen über durchschnittlich 19 Tage hinweg. Die Angreifer führen dabei zunächst eine offensive Aktion durch, um die Abwehr zu testen oder erste Daten zu sammeln, und kehren später für tiefergehende Manipulationen zurück. Diese Taktik dient dazu, die Sicherheitsverantwortlichen in falscher Sicherheit zu wiegen oder die Aufmerksamkeit von den eigentlichen schädlichen Aktivitäten abzulenken, die im Hintergrund weiterlaufen.
Prävention und Überwachung stoppen komplexe Attacken
Angesichts dieser komplexen Bedrohungslage empfehlen Experten eine Abkehr von rein reaktiven Sicherheitskonzepten. Da viele Angriffe Monate im Voraus beginnen, ist eine Echtzeit-Überwachung des gesamten Netzwerkverkehrs unerlässlich. Zu den grundlegenden Schutzmaßnahmen gehört die konsequente Durchsetzung einer Multi-Faktor-Authentifizierung für alle externen Zugänge, um den Missbrauch gestohlener Passwörter zu verhindern. Zudem müssen Unternehmen die Zugriffsrechte für Drittanbieter und Dienstleister strikt nach dem Prinzip der minimalen Berechtigungen verwalten. Regelmäßige Prüfungen der öffentlich erreichbaren Anwendungen und das zeitnahe Einspielen von Sicherheits-Patches bilden weiterhin das Rückgrat einer effektiven Verteidigung gegen automatisierte Angriffe. Nur durch die Kombination aus technischer Überwachung und organisatorischer Vorsicht lassen sich die langen Verweilzeiten der Hacker effektiv verkürzen.
