Thought Leadership
Google hat seinen jährlichen Zero-Day-Bericht vorgelegt. Angriffe auf Unternehmensinfrastruktur nehmen zu und chinesische Spionagegruppen dominieren staatlich gelenkte Attacken.
Die Google Threat Intelligence Group (GTIG) hat für das Jahr 2025 insgesamt 90 in freier Wildbahn ausgenutzte Zero-Day-Schwachstellen dokumentiert. Das liegt zwar unter dem Rekordwert von 2023 mit 100 Lücken, aber deutlich über den 78 des Vorjahres. Insgesamt pendelt sich die jährliche Zahl offenbar im Bereich zwischen 60 und 100 ein.
Unternehmenssoftware als bevorzugtes Angriffsziel
Auffälligster Trend: Fast die Hälfte aller Zero-Day-Angriffe, konkret 48 Prozent, zielten auf Unternehmenstechnologien ab, ein neuer Höchststand. Besonders im Fokus stehen Sicherheits- und Netzwerkprodukte sowie Edge-Geräte. Letztere sind häufig schlecht geschützt, weil ihnen Endpoint-Detection-and-Response-Technologie (EDR) fehlt. Die wachsende Zahl von Geräten, Anwendungen und Diensten in Unternehmensnetzen vergrößert die Angriffsfläche kontinuierlich. Ein einziger schwacher Punkt reicht aus, um sich Zugang zu verschaffen.
Das deckt sich mit Erkenntnissen aus den Incident-Response-Einsätzen von Googles Tochter Mandiant: Die Ausnutzung von Schwachstellen ist demnach der häufigste Erstzugriffsweg, noch vor gestohlenen Zugangsdaten oder Phishing-Angriffen.
Kommerzielle Überwachungsanbieter überholen staatliche Akteure
Erwähnenswert ist auch eine Verschiebung bei den Urhebern der Angriffe. Erstmals seit Beginn der Erfassung wurden mehr Zero-Day-Schwachstellen kommerziellen Überwachungsanbietern (Commercial Surveillance Vendors, CSVs) zugeordnet als klassischen staatlich geförderten Gruppen: 35 gegenüber 28 Prozent. CSVs verkaufen Spionagesoftware an staatliche und private Kunden und senken damit die Einstiegshürde für Zero-Day-Zugriffe erheblich.
Bei den staatlich gesteuerten Akteuren dominieren weiterhin Gruppen mit Verbindungen zur Volksrepublik China. Die GTIG nennt dabei explizit die Gruppen UNC5221 und UNC3886, die sich auf Sicherheitsanwendungen und Edge-Geräte konzentrieren, um dauerhaften Zugriff auf strategische Ziele zu sichern.
Auch finanziell motivierte Angreifer greifen wieder stärker auf Zero-Days zurück: 2025 wurden ihnen neun Schwachstellen zugeordnet, darunter zwei, die zum Einsatz von Ransomware führten. Das entspricht fast dem Rekordwert von 2023 und ist rund doppelt so viel wie im Vorjahr.
Neues Angriffsmuster: Quellcode als Ziel
Ein potenziell besonders folgenreiches Angriffsmuster beobachtete die GTIG im Herbst 2025: Die Malware BRICKSTORM, die chinesischen Spionageakteuren zugeschrieben wird, zielte nicht nur auf Kundendaten, sondern auf das geistige Eigentum betroffener Unternehmen, darunter Quellcode und proprietäre Entwicklungsdokumente. Das gestohlene Material könnte dazu genutzt werden, neue Schwachstellen in der Software des jeweiligen Anbieters zu identifizieren. Das wäre nicht nur für das angegriffene Unternehmen gefährlich, sondern auch für dessen Kunden.
KI als Beschleuniger auf beiden Seiten
Künstliche Intelligenz dürfte das Wettrüsten zwischen Angreifern und Verteidigern künftig deutlich beschleunigen. Auf Angreiferseite ermöglicht KI die Automatisierung und Skalierung von Angriffen: Reconnaissance, Schwachstellensuche und Exploit-Entwicklung lassen sich damit erheblich schneller durchführen.
Verteidiger können KI ihrerseits in Form agentenbasierter Systeme einsetzen, die proaktiv unbekannte Sicherheitslücken aufspüren und bei deren Behebung helfen, idealerweise bevor ein Angreifer sie entdeckt. Wer in diesem Wettlauf vorne liegt, wird maßgeblich davon abhängen, wie schnell beide Seiten KI-gestützte Methoden in ihre Abläufe integrieren.
(lb/Google)
