Thought Leadership
Die Bedrohung durch Cyberkriminalität nimmt weiter zu. Dabei sind es nicht unbedingt neue Angriffstechniken, die Unternehmen vor Herausforderungen stellen.
Vielmehr setzen Angreifer zunehmend auf die professionelle und automatisierte Nutzung bereits bekannter Methoden. Zu diesem Ergebnis kommt der aktuelle Sicherheitsbericht „Intelligence Insights 2025“ des IT-Sicherheitsunternehmens InfoGuard, der auf der Analyse von mehr als 350 Cybervorfällen aus dem Jahr 2025 basiert.
Die Zahl der untersuchten Sicherheitsvorfälle stieg im Vergleich zum Vorjahr um rund ein Fünftel. Besonders auffällig ist die Entwicklung bei komplexen Angriffen, deren Anzahl im ersten Halbjahr 2025 deutlich zunahm.
Cyberkriminalität wird zum Geschäftsmodell
Die Auswertung zeigt, dass sich die Cybercrime-Szene zunehmend arbeitsteilig organisiert. Kriminelle Gruppen greifen auf spezialisierte Dienstleister zurück, kaufen gestohlene Zugangsdaten oder nutzen fertige Angriffswerkzeuge, die teilweise durch künstliche Intelligenz unterstützt werden.
Dadurch sinkt die technische Einstiegshürde erheblich. Selbst Angreifer mit begrenztem Fachwissen können heute komplexe Attacken durchführen. Gleichzeitig verkürzt sich die Zeit zwischen der Entdeckung einer Schwachstelle und deren aktiver Ausnutzung immer weiter.
Besonders häufig nutzen Angreifer kompromittierte Benutzerkonten, unzureichend abgesicherte Fernzugriffe oder Fehlkonfigurationen in IT-Systemen, um in Unternehmensnetzwerke einzudringen.
Phishing bleibt die größte Gefahr
Trotz neuer Angriffsmöglichkeiten bleibt Phishing die wichtigste Eintrittspforte für Cyberkriminelle. Fast die Hälfte der von InfoGuard analysierten Sicherheitsvorfälle begann mit einer betrügerischen E-Mail oder einer vergleichbaren Täuschungsmethode.
Moderne Phishing-Kampagnen wirken dabei deutlich glaubwürdiger als noch vor wenigen Jahren. Mithilfe von KI-generierten Texten, täuschend echten Sprachaufnahmen und personalisierten Inhalten gelingt es Angreifern immer häufiger, Mitarbeiter zur Preisgabe von Zugangsdaten zu bewegen.
Die Nachahmung interner Kommunikation erschwert es zusätzlich, betrügerische Nachrichten frühzeitig zu erkennen.
Fernzugriffe werden zum Einfallstor für Ransomware
Ein weiteres großes Risiko stellen unzureichend geschützte Remote-Zugänge dar. Viele Unternehmen ermöglichen ihren Mitarbeitern den Zugriff auf Unternehmenssysteme über VPN-Verbindungen, Remote-Desktop-Dienste oder Fernwartungslösungen.
Angreifer nutzten solche Zugänge in einem Viertel aller untersuchten Fälle als Einstiegspunkt. Besonders kritisch ist, dass ein erfolgreicher Zugriff häufig unmittelbar zu einer Ransomware-Infektion führte.
Cyberkriminelle setzen dabei oft automatisierte Verfahren ein, um massenhaft Benutzernamen und Passwörter auszuprobieren. Schwache oder mehrfach verwendete Kennwörter erhöhen das Risiko erheblich.
Schwachstellen werden innerhalb kürzester Zeit ausgenutzt
Besonders besorgniserregend ist die Geschwindigkeit, mit der neue Sicherheitslücken mittlerweile angegriffen werden. Während Unternehmen früher oft mehrere Wochen Zeit hatten, um verfügbare Sicherheitsupdates einzuspielen, verkürzt sich dieses Zeitfenster zunehmend auf wenige Tage oder sogar Stunden. Klassische Patch- und Freigabeprozesse geraten dadurch zunehmend unter Druck.
Hinzu kommt, dass sich viele Angriffe mittlerweile außerhalb der direkten Kontrolle von Unternehmen abspielen. Lieferketten, Cloud-Plattformen oder private Endgeräte von Mitarbeitern werden immer häufiger Teil der Angriffsstrategie.
Unsichtbare Angriffe erschweren die Erkennung
Nach Angaben von InfoGuard setzen moderne Angreifer verstärkt auf unauffällige Vorgehensweisen. Statt auffälliger Schadsoftware kommen oft legitime Werkzeuge und bereits vorhandene Systemfunktionen zum Einsatz.
InfoGuard-Geschäftsführer Daniel Heinzig warnt davor, sich ausschließlich auf klassische Erkennungsmuster zu verlassen:
„Moderne Angreifer vermeiden Lärm. Sie bewegen sich lautlos mit Living-off-the-Land-Techniken, legitimen Tools und langer Verweildauer. Wer also bei der Incident Detection nur auf bekannte Angriffsmuster reagiert, kommt zu spät.“
Dadurch bleiben Angriffe häufig über längere Zeit unbemerkt und können sich innerhalb der betroffenen Systeme ausbreiten.
Welche Schutzmaßnahmen Unternehmen jetzt priorisieren sollten
Aus den analysierten Vorfällen leitet InfoGuard mehrere zentrale Handlungsfelder für Unternehmen ab. An erster Stelle steht die konsequente Absicherung von Benutzerkonten durch Multifaktor-Authentifizierung sowie moderne Verfahren wie Passkeys oder FIDO2.
Ebenso wichtig sind schnellere Update-Prozesse, damit kritische Sicherheitslücken zeitnah geschlossen werden können. Ergänzend empfehlen die Experten eine stärkere Netzwerksegmentierung nach dem Zero-Trust-Prinzip, um die Ausbreitung von Angreifern innerhalb eines Unternehmensnetzes einzuschränken.
Darüber hinaus gewinnt die umfassende Überwachung von Identitäten, Cloud-Diensten und Programmierschnittstellen an Bedeutung. Klassische Sicherheitslösungen allein reichen häufig nicht mehr aus, um moderne Angriffe frühzeitig zu erkennen.
Regelmäßige Notfallübungen, belastbare Backup-Konzepte und eine stärkere Kontrolle von Lieferanten- und Wartungszugängen gehören ebenfalls zu den Maßnahmen, die Unternehmen künftig verstärkt berücksichtigen sollten.
Cyberkriminalität wird zunehmend industrialisiert. Angreifer arbeiten effizienter, automatisierter und professioneller als noch vor wenigen Jahren. Für Unternehmen bedeutet dies, dass nicht nur die Qualität ihrer Sicherheitsmaßnahmen zählt, sondern vor allem deren Geschwindigkeit. Wer Sicherheitslücken zu spät schließt oder verdächtige Aktivitäten erst nach Tagen entdeckt, riskiert erhebliche Schäden durch Datendiebstahl, Systemausfälle oder Ransomware-Angriffe.
(red/InfoGuard)
