Thought Leadership
Cyberkriminelle werden immer raffinierter – und verschleiern ihre Aktivitäten zunehmend hinter sicheren Verbindungen.
Laut dem aktuellen Internet Security Report von WatchGuard Technologies ist die Zahl komplexer, schwer erkennbarer Schadprogramme im zweiten Quartal 2025 um rund 40 Prozent gestiegen. Die Analyse, die regelmäßig vom WatchGuard Threat Lab veröffentlicht wird, zeigt eine deutliche Zunahme von Angriffen, die über verschlüsselte TLS-Verbindungen laufen – eigentlich ein Schutzmechanismus, der Sicherheit im Web gewährleisten soll.
Tarnung durch Verschlüsselung
Was ursprünglich der Datensicherheit diente, wird nun von Angreifern gezielt missbraucht. Rund 70 Prozent aller erkannten Schadprogramme nutzten im zweiten Quartal verschlüsselte Verbindungen, um ihre Spuren zu verwischen. Der Datenverkehr wirkt dadurch legitim, was klassische Sicherheitslösungen vor große Herausforderungen stellt.
Parallel dazu stieg die Gesamtzahl der Malware-Funde um 15 Prozent. Besonders die KI-basierte Schutzlösung IntelligentAV von WatchGuard konnte viele dieser komplexen Bedrohungen erkennen. Für Unternehmen bedeutet das: Eine effektive Sicherheitsstrategie muss auch den verschlüsselten Datenverkehr aktiv überwachen, um versteckte Angriffe rechtzeitig aufzudecken.
Zunahme von Netzwerkangriffen – aber geringere Vielfalt
Neben Malware-Aktivitäten registrierte das Threat Lab auch mehr Netzwerkattacken – ein Plus von 8,3 Prozent. Gleichzeitig sank jedoch die Vielfalt der eingesetzten Methoden. Neu ist eine JavaScript-basierte Angriffstechnik, die in Exploit-Kits eingesetzt wird und über ausgeklügelte Verschleierungsmethoden arbeitet. Trotz neuer Exploits setzen viele Angreifer weiterhin auf alte, bekannte Schwachstellen in Webanwendungen, Browsern und Open-Source-Komponenten.
Auffällig ist der Rückgang von Ransomware-Angriffen um 47 Prozent. Statt breiter Streuung konzentrieren sich Täter inzwischen auf gezielte, besonders lukrative Ziele – meist große Organisationen mit hohem Erpressungspotenzial. Zugleich nehmen polymorphe Schadprogramme stark zu. Diese verändern ständig ihr Erscheinungsbild und umgehen so klassische Signaturerkennung.
Auch Angriffe über USB-Geräte erleben eine Renaissance. Zwei neu entdeckte Varianten, die auf Mining von Kryptowährungen ausgerichtet sind, nutzten dabei den Monero-Miner XMRig.
Dropper dominieren den Angriffsstart
Bei der Analyse der häufigsten Malware-Typen zeigte sich, dass sogenannte Dropper – Schadsoftware, die als „Trägermedium“ für weitere Programme dient – die Rangliste anführen. Unter ihnen sind bekannte Vertreter wie Trojan.VBA.Agent.BIZ und der Datendieb PonyStealer. Beide nutzen aktivierte Makros, um sich Zugang zu Systemen zu verschaffen. Das altbekannte Mirai-Botnetz, das einst IoT-Geräte infizierte, ist ebenfalls wieder vermehrt aktiv – vor allem in Asien.
Zero-Day-Malware, die Sicherheitslücken ausnutzt, bevor sie bekannt sind, macht laut Bericht inzwischen über drei Viertel aller Funde aus – und fast 90 Prozent der verschlüsselten Schadsoftware. Zudem bleibt die Bedrohung durch schädliche DNS-Domains bestehen. Besonders gefährlich sind solche, die mit der Fernzugriffs-Malware DarkGate verknüpft sind. Hier spielt DNS-Filterung als Schutzmaßnahme eine zentrale Rolle.
Mehrschichtige Sicherheit als Schlüssel
Die Ergebnisse des WatchGuard Threat Labs zeigen, dass sich Cyberangriffe zunehmend in verschlüsselte Kanäle verlagern. Wer Datenverkehr nicht aktiv analysiert, läuft Gefahr, Angriffe zu übersehen. Besonders kleinere Unternehmen stehen vor der Herausforderung, ihre Schutzmechanismen zu modernisieren. Entscheidend sind regelmäßige Patches, kontinuierliche Überwachung und der Einsatz moderner Detection-&-Response-Technologien, die auch versteckte Bedrohungen erkennen können.
Die Studie basiert auf anonymisierten Daten aus dem weltweiten Einsatz von WatchGuard-Sicherheitslösungen und gibt damit einen breiten Einblick in aktuelle Angriffstrends und Sicherheitslücken.
