Thought Leadership
Mandiant hat seinen aktuellen M-Trends Bericht für 2025 veröffentlicht. Darin analysiert das Unternehmen gemeinsam mit der Google Threat Intelligence Group über 500.000 Stunden Untersuchung von Sicherheitsvorfällen und bietet einen umfassenden Überblick über die aktuelle Bedrohungslage.
Die Ergebnisse zeigen, dass KI Angreifern neue Möglichkeiten eröffnet, während menschliche, prozessuale und technische Sicherheitslücken weiterhin die Hauptursache für Vorfälle bleiben.
Sprachbasierte Angriffe
Ein auffälliger Trend ist der starke Anstieg von Voice-Phishing, auch Vishing genannt. Mit einem Anteil von 11 Prozent ist es 2025 der zweithäufigste Erstinfektionsvektor. Anders als klassisches E-Mail-Phishing setzen Vishing-Angriffe auf direkte, interaktive Kommunikation in Echtzeit. Dadurch umgehen sie viele automatisierte Sicherheitskontrollen und erfordern spezialisierte Erkennungsstrategien.
Während global E-Mail-Phishing rückläufig ist, bleibt es in der EMEA-Region nach wie vor weit verbreitet. Sicherheitsteams müssen sich auf interaktive Angriffe einstellen und ihre Abwehrstrategien anpassen.
Im Jahr 2025 geriet die Technologiebranche am häufigsten ins Visier von Bedrohungsakteuren. Sie überholt damit den Finanzsektor, der in den Jahren 2023 und 2024 die Spitzenposition innehatte. Angreifer scheinen gezielt auf Unternehmen zu setzen, deren digitale Assets besonders wertvoll und schwer zu schützen sind.
Schnelle Übergabe von Zugängen zwischen Angreifern
Ein weiteres Merkmal moderner Angriffe ist die zunehmende Zusammenarbeit zwischen Kriminellen. Ein Angreifer verschafft sich zunächst Zugang, übergibt diesen dann binnen Sekunden an Partner, die Ransomware oder andere kritische Attacken durchführen.
Pete Luban von AttackIQ beschreibt diese Entwicklung als „eine signifikante Verkürzung des Zeitfensters, in dem Verteidiger reagieren können.“ Warnmeldungen, die früher als weniger kritisch eingestuft wurden, können so innerhalb von Sekunden zu schwerwiegenden Sicherheitsvorfällen führen.
Ransomware und gezielte Störungen von Backups
2025 zeigen Ransomware-Gruppen vermehrt Strategien, die Wiederherstellung von Daten zu verhindern. Dazu greifen sie Backup-Infrastrukturen, Identitätsdienste und Virtualisierungsmanagementsysteme an. Ziel ist es, Unternehmen maximal unter Druck zu setzen, das geforderte Lösegeld zu zahlen, anstatt nur Daten zu stehlen.
Längere Verweildauer der Angreifer
Die mittlere Verweildauer von Angreifern in kompromittierten Systemen stieg weltweit auf 14 Tage. Besonders auffällig sind Vorfälle mit nordkoreanischen IT-Mitarbeitenden, die gefälschte oder gestohlene Identitäten nutzen, um westliche Unternehmen auszuspionieren und Kapital für das Regime zu generieren. In diesen Fällen betrug die mittlere Verweildauer 122 Tage.
In der EMEA-Region lag die mittlere Verweildauer 2025 bei 20 Tagen, was trotz Rückgang um sieben Tage gegenüber 2024 noch über dem globalen Durchschnitt liegt.
Interne Erkennung von Vorfällen gewinnt an Bedeutung
2025 wurden in der EMEA-Region 60 Prozent der Vorfälle zuerst intern erkannt – durch eigene Mitarbeitende, Sicherheitslösungen oder verdächtige Aktivitäten. Externe Benachrichtigungen, etwa von Strafverfolgungsbehörden, CERTs oder Sicherheitsfirmen, machten nur 40 Prozent aus.
Damit überholen die Unternehmen in der EMEA-Region erstmals den weltweiten Trend (52 Prozent intern vs. 48 Prozent extern) und zeigen, dass die interne Überwachung und Reaktionsfähigkeit stetig verbessert wird.
Unternehmen operieren in einer zunehmend komplexen Bedrohungslandschaft. KI ermöglicht Angreifern neue Taktiken, während Vishing, schnell wechselnde Angreiferrollen und gezielte Ransomware-Angriffe die Anforderungen an interne Erkennung und Sicherheitsprozesse deutlich erhöhen.
