Thought Leadership
Der aktuelle Threat Intelligence Report für das zweite Halbjahr 2025 des Sicherheitsanbieters Ontinue zeigt eine klare Verschiebung im Vorgehen von Cyberkriminellen.
Im Mittelpunkt stehen nicht mehr klassische Softwarelücken, sondern digitale Identitäten. Angreifer setzen zunehmend darauf, sich mit gestohlenen Zugangsdaten direkt in Systeme einzuloggen.
Die Analyse des Advanced Threat Operations-Teams von Ontinue macht deutlich: Identitätsbasierte Angriffe dominieren inzwischen viele Sicherheitsvorfälle. Methoden wie Adversary-in-the-Middle-Angriffe, Passwort-Spraying oder das gezielte Ausnutzen offengelegter Zugangsdaten gehören mittlerweile zum Standardrepertoire.
Besonders problematisch ist der Einsatz sogenannter Infostealer-Malware. Diese Programme sammeln sensible Informationen wie Passwörter, Cookies oder Authentifizierungs-Tokens direkt aus Browsern. Eine bekannte Variante ist LummaC2, die solche Daten bündelt und als sogenannte Logs im Darknet weiterverkauft. Dadurch erhalten selbst weniger technisch versierte Kriminelle Zugriff auf Unternehmenssysteme.
Laut Bericht ist die Zahl solcher gestohlenen Zugangsdaten im Zusammenhang mit LummaC2 deutlich gestiegen. Der Handel mit kompromittierten Accounts entwickelt sich damit zu einem lukrativen Geschäftsmodell.
Ransomware bleibt präsent – trotz sinkender Zahlungen
Auch wenn die finanziellen Schäden durch Ransomware zuletzt leicht zurückgegangen sind, bleibt die Bedrohungslage angespannt. Weltweit wurden im Jahr 2025 mehr als 7.000 entsprechende Angriffe registriert, ausgeführt von über 120 Gruppen.
Dabei setzen Angreifer zunehmend auf kombinierte Erpressungsstrategien. Neben der Verschlüsselung von Daten kommen zusätzliche Druckmittel zum Einsatz, etwa die Veröffentlichung sensibler Informationen, gezielte Betriebsstörungen oder DDoS-Angriffe. In einigen Fällen werden sogar Mitarbeitende oder Kunden direkt unter Druck gesetzt.
Künstliche Intelligenz senkt Einstiegshürden
Ein weiterer Trend zeichnet sich beim Einsatz generativer KI ab. Erste Hinweise zeigen, dass Angreifer KI-Tools nutzen, um Schadsoftware schneller zu entwickeln. Auffällig sind etwa automatisch erzeugte Code-Kommentare oder wiederkehrende Programmstrukturen, die auf KI-gestützte Entwicklung hindeuten.
Noch steht dieser Ansatz am Anfang, doch die Entwicklung könnte langfristig dazu führen, dass Cyberangriffe einfacher umzusetzen sind und sich schneller verbreiten.
Neue Angriffswege über Cloud und Lieferketten
Neben Identitätsangriffen rücken auch komplexere Angriffsszenarien in den Fokus. Dazu zählen gezielte Attacken auf Software-Lieferketten, Cloud-Dienste und externe Dienstleister. Über solche indirekten Zugänge können Angreifer gleich mehrere Unternehmen gleichzeitig kompromittieren.
Auch auf infrastruktureller Ebene nimmt die Intensität zu: DDoS-Angriffe erreichen immer höhere Dimensionen und werden durch große Botnetze mit Hunderttausenden infizierten Geräten unterstützt.
Die Ergebnisse des Ontinue-Reports verdeutlichen, dass klassische Schutzmechanismen allein nicht mehr ausreichen. Unternehmen müssen ihre Sicherheitsstrategien stärker auf Identitätsschutz, schnelle Reaktion und kontinuierliche Überwachung ausrichten.
Cyberresilienz bedeutet heute nicht nur, Angriffe zu verhindern, sondern auch, im Ernstfall handlungsfähig zu bleiben. Entscheidend ist die Fähigkeit, Bedrohungen frühzeitig zu erkennen, schnell zu reagieren und den Betrieb trotz Sicherheitsvorfällen aufrechtzuerhalten.
