Trends bei Cyber-Vorfällen 2025: Was Unternehmen wissen müssen

Die Cybersicherheitslandschaft entwickelt sich weiterhin in einem alarmierenden Tempo, da böswillige Akteure immer ausgefeiltere Techniken einsetzen, um Unternehmen in allen Branchen zu stören. Von durch künstliche Intelligenz unterstützten Angriffen bis hin zu verstärkten nationalstaatlichen Kampagnen stehen Unternehmen vor noch nie dagewesenen Herausforderungen, wenn es darum geht, ihre digitalen Ressourcen zu schützen und die betriebliche Widerstandsfähigkeit aufrechtzuerhalten. Das Verständnis dieser aufkommenden Bedrohungen und die Implementierung robuster Verteidigungsstrategien sind für das Überleben von Unternehmen in dem heutigen vernetzten digitalen Ökosystem von entscheidender Bedeutung.

Künstliche Intelligenz verändert die Methoden von Cyberangriffen

Künstliche Intelligenz hat die Art und Weise, wie Bedrohungsakteure Cyberoperationen durchführen, grundlegend verändert. Jüngste Daten zeigen, dass bei etwa 16 Prozent der gemeldeten Cybervorfälle Angreifer KI-Tools einsetzen, insbesondere Modelle zur Erzeugung von Bildern und Sprache, um ausgeklügelte Social-Engineering-Kampagnen durchzuführen. Generative KI hat die Effektivität von Angriffen drastisch erhöht, indem sie überzeugendere Täuschungen schafft und eine weitreichende Automatisierung von Einbruchswerkzeugen ermöglicht.

Bedrohungsakteure setzen KI-Technologie auf verschiedene gefährliche Arten ein. Die Deepfake-Technologie ermöglicht es Kriminellen, realistische Audio- und Video-Imitationen von Führungskräften und Support-Mitarbeitern zu erstellen, die sie zur Autorisierung betrügerischer Überweisungen, zum Diebstahl von Benutzerdaten und zur Kompromittierung von Konten verwenden. Bei einem besonders verheerenden Vorfall nutzten Angreifer öffentlich zugängliches Filmmaterial, um überzeugende Deepfake-Videos des Chief Financial Officers und der Mitarbeiter eines Unternehmens zu erstellen, mit denen sie ein Opfer erfolgreich dazu brachten, über 25 Millionen Dollar an die Kriminellen zu überweisen.

Voice-Phishing, oder "Vishing", ist eine weitere KI-gestützte Bedrohung. Angreifer nutzen KI-generierte Skripte und Sprachklone in gezielten Telefonkampagnen, um die Opfer zum Herunterladen bösartiger Nutzdaten, zum Aufbau von Remote-Support-Sitzungen oder zur Preisgabe ihrer Anmeldedaten zu bewegen. Darüber hinaus nutzen Bedrohungsakteure generative KI-Tools, um maßgeschneiderte Phishing-E-Mails und Textnachrichten zu erstellen, die kontextbezogene Details und natürliche Sprachmuster enthalten, wodurch die Wahrscheinlichkeit, dass die Opfer auf bösartige Links klicken und ihre Anmeldedaten preisgeben, deutlich erhöht wird.

Ransomware-Angriffe werden immer aggressiver und kostspieliger

Ransomware plagt nach wie vor Unternehmen in allen Branchen. Jüngste Berichte zeigen, dass die Zahl der durch Ransomware verursachten Sicherheitsverletzungen im Vergleich zum Vorjahr um zwölf Prozent gestiegen ist. Die Angreifer wenden immer aggressivere Erpressungstechniken an und setzen immer ausgefeiltere Tools ein, um den Druck auf die Opfer zu erhöhen. Moderne Ransomware-Kampagnen kombinieren herkömmliche Datenverschlüsselung mit Störungstaktiken wie der Belästigung von Mitarbeitern und der Bedrohung kritischer Abläufe, was zu verlängerten Ausfallzeiten und erheblich höheren Wiederherstellungskosten führt.

Mehrere bemerkenswerte Ransomware-Gruppen haben in letzter Zeit die Schlagzeilen beherrscht. Die Scattered Spider-Bedrohungsgruppe ist wieder aufgetaucht, indem sie fortschrittliche Social-Engineering-Techniken einsetzt, um einen ersten Zugang zu Unternehmen in verschiedenen Branchen zu erhalten. Die Ransomware-Gruppe LockBit ist Anfang 2025 mit ihrem aktualisierten Toolkit LockBit 4.0 wieder aufgetaucht und hat aggressive Erpressungskampagnen gestartet, die vor allem auf den privaten Sektor in den Vereinigten Staaten abzielen.

Interessanterweise scheinen sich die Reaktionen von Unternehmen auf Ransomware-Angriffe zu ändern. Jüngste Branchenuntersuchungen zeigen, dass etwa dreiundsechzig Prozent der befragten Unternehmen im vergangenen Jahr die Zahlung von Lösegeld abgelehnt haben, was einen Anstieg von neunundfünfzig Prozent im Jahr 2024 bedeutet. Dieser Trend deutet auf einen wachsenden Widerstand gegen kriminelle Erpressungsforderungen hin, unterstreicht aber auch die Notwendigkeit robuster Sicherungs- und Wiederherstellungsfunktionen, mit denen Unternehmen ihren Betrieb wiederherstellen können, ohne vor Angreifern zu kapitulieren.

Nationalstaatliche Bedrohungen nehmen inmitten geopolitischer Spannungen zu

Nationale Bedrohungsakteure haben ihre Cyber-Aktivitäten erheblich intensiviert und zielen auf Telekommunikationsinfrastrukturen, kritische Systeme und strategische Drittanbieter ab. Bei diesen ausgeklügelten Kampagnen werden in der Regel Cyberspionagetechniken und fortschrittliche Täuschungstaktiken eingesetzt, um Benutzeranmeldeinformationen zu stehlen und unbefugten Zugang zu sensiblen Netzwerken und Daten zu erhalten.

In China ansässige Bedrohungsakteure haben ihre Aktivitäten im vergangenen Jahr drastisch ausgeweitet, wobei bestimmte Zielbranchen einen zweihundert- bis dreihundertprozentigen Anstieg der Angriffe im Vergleich zum Vorjahr verzeichneten. Zwei aufsehenerregende Eindringlingskampagnen erregten weltweit Aufmerksamkeit: Salt Typhoon und Volt Typhoon. Salt Typhoon infiltrierte erfolgreich große Telekommunikationsnetze in einer weitreichenden Cyberspionagekampagne, während Volt Typhoon bösartigen Code in kritische Infrastruktursysteme einschleuste, was ernsthafte Bedenken hinsichtlich einer möglichen Eskalation mit physischen Schäden oder weitreichenden Störungen weckte.

Mit Nationalstaaten verbundene Akteure haben auch Social-Engineering-Taktiken eingesetzt, die über technische Angriffe hinausgehen. Mit Nordkorea verbundene Bedrohungsakteure haben US-Unternehmen infiltriert, indem sie Unterlagen fälschten und überzeugende Bewerberprofile erstellten, um sich eine Anstellung im IT-Support zu sichern, eine Position, die sie anschließend nutzten, um Benutzeranmeldeinformationen zu sammeln und betrügerische Finanztransaktionen durchzuführen. Mit dem Iran verbundene Akteure haben insbesondere generative KI-Tools eingesetzt, wobei eine Gruppe Berichten zufolge nach einer Hack-and-Leak-Kampagne, die im Juli 2025 auf sensible Daten von Journalisten abzielte, durchgesickerte Informationen durch KI-Chatbots verstärkte.

Angriffe auf die Lieferkette durch Dritte stellen ein wachsendes Risiko dar

Angriffe von Drittanbietern erfolgen, wenn Bedrohungsakteure Partner in der Lieferkette, Lieferanten oder Softwareanbieter kompromittieren und diesen Zugang nutzen, um in die Netzwerke der Zielunternehmen einzudringen. Diese Angriffe wirken sich häufig kaskadenartig auf miteinander verbundene Systeme aus und beeinträchtigen mehrere nachgelagerte Unternehmen und Kunden, die von der kompromittierten Software oder Dienstleistung abhängig sind. Jüngste Bedrohungsdaten weisen auf eine Zunahme finanziell motivierter Cyberkriminalität hin, die auf Softwareanbieter als erste Einstiegspunkte in breitere Unternehmensökosysteme abzielt.

Durch das Eindringen in die Systeme von Drittanbietern können Angreifer herkömmliche Schutzmechanismen umgehen und sich privilegierten Zugang zu sensiblen Unternehmensumgebungen verschaffen. Diese Bedrohungsakteure nutzen häufig gehostete Umgebungen wie Cloud-Plattformen und Software-as-a-Service-Ökosysteme, indem sie sich seitlich über Kundeninstanzen hinweg bewegen, Anmeldeinformationen sammeln und geschützte Daten in großem Umfang exfiltrieren. Diese Taktik ermöglicht weitreichende Auswirkungen, insbesondere wenn Anbieter mehrere Kunden in unterschiedlichen Branchen bedienen.

Kompromittierungen in der Lieferkette von Drittanbietern gehören heute zu den kostspieligsten und hartnäckigsten Cyber-Bedrohungsvektoren für Unternehmen. Jüngste Daten zeigen, dass diese Sicherheitsverletzungen im Durchschnitt fast fünf Millionen Dollar kosten und dass es länger dauert, sie zu identifizieren und einzudämmen als jede andere Form von Cyberangriffen. Die Komplexität der Lieferantenbeziehungen und die lange Verweildauer tragen zu einer verzögerten Reaktion und einer erhöhten Gefährdung der betroffenen Unternehmen bei.

Wesentliche Empfehlungen für die Cyber-Resilienz

Die Aufrechterhaltung eines umfassenden, risikobasierten Cybersicherheitsprogramms ist nach wie vor die effektivste Verteidigung gegen sich entwickelnde Cyber-Bedrohungen. Unternehmen sollten sich vorrangig auf die Reaktion auf Vorfälle vorbereiten, indem sie Tabletop-Übungen mit wichtigen Führungskräften, Vorstandsvertretern und Abteilungsleitern durchführen, um Rollen, Eskalationsverfahren und Entscheidungsrahmen zu validieren. Diese Übungen sollten auch neue Bedrohungen wie die böswillige Nutzung generativer KI einbeziehen, um sicherzustellen, dass die Teams auf realistische Szenarien vorbereitet sind.

Das Richtlinienmanagement erfordert ständige Aufmerksamkeit. Unternehmen müssen regelmäßig Reaktionspläne für Vorfälle, Verfahren zur Aufrechterhaltung des Geschäftsbetriebs und Genehmigungsprozesse für die Kommunikation überprüfen und aktualisieren, um sicherzustellen, dass sie aktuelle Bedrohungen widerspiegeln und den Anforderungen an eine schnelle Benachrichtigung entsprechen, wie z. B. der NIS2-Richtlinie der Europäischen Union, die eine vierundzwanzigstündige Erstbenachrichtigung vorschreibt, und der SEC-Regel für die Offenlegung von wichtigen Vorfällen innerhalb von vier Werktagen. Aktualisierte Richtlinien sollten an die entsprechenden Interessengruppen weitergegeben werden und die Risikotoleranz für neue Technologien wie generative KI berücksichtigen.

Die Minderung von Risiken Dritter erfordert eine solide Sorgfaltsprüfung der Anbieter und vertragliche Schutzmaßnahmen. Unternehmen sollten Kritikalitätsanalysen durchführen, um Anbieter und Komponenten zu identifizieren, deren Kompromittierung die größten betrieblichen Auswirkungen haben würde. Zu den wichtigsten Schutzmaßnahmen gehören die Forderung nach Bescheinigungen von Anbietern über sichere Softwareentwicklungspraktiken, die Implementierung eines starken vertraglichen Schutzes mit Anforderungen zur sofortigen Benachrichtigung bei Vorfällen und Audit-Rechten, die Durchführung regelmäßiger Bewertungen der Sicherheitspraktiken von Anbietern und das Testen von Reaktionsmaßnahmen durch Tabletop-Übungen mit Szenarien von Drittanbietern.

Schwachstellenmanagementprozesse müssen angesichts der Häufigkeit von Sicherheits-Patches und der Entwicklung von Sicherheitslücken schnell und systematisch erfolgen. Unternehmen sollten dokumentierte Prozesse zur Identifizierung, Bewertung, Priorisierung, Behebung und Verfolgung von Schwachstellen beibehalten und dabei klare Verantwortlichkeiten und Fristen für die Behebungsmaßnahmen festlegen. Durch die Implementierung von Tools zur kontinuierlichen Überwachung und proaktiven Patch-Verwaltung, die prüfbare Protokolle erstellen, können Unternehmen Schwachstellen beheben, bevor Bedrohungsakteure sie ausnutzen können.

Und schließlich stärkt die Zusammenarbeit mit Branchenverbänden und die ständige Information über Aktualisierungen von Vorschriften und Strafverfolgungsbehörden die Sicherheitslage von Unternehmen. Trotz der jüngsten Rechtsunsicherheit in Bezug auf den Informationsaustausch im Bereich der Cybersicherheit nach dem Auslaufen bestimmter gesetzlicher Bestimmungen ist ein rechtzeitiger und koordinierter Informationsaustausch weiterhin unerlässlich. Unternehmen sollten branchenspezifischen Cybersicherheitsgruppen beitreten, um sich über branchenspezifische Bedrohungen und bewährte Verfahren auf dem Laufenden zu halten, und gleichzeitig die Aktualisierungen von Regierungsbehörden verfolgen und die Bulletins der Strafverfolgungsbehörden zu Bedrohungen abonnieren.

Auch wenn es unmöglich ist, Cyber-Risiken vollständig auszuschalten, stärkt die Priorität auf die Bereitschaft zur Reaktion auf Vorfälle und die Einhaltung gesetzlicher Vorschriften die technische Widerstandsfähigkeit und verschafft den Unternehmen eine günstigere Position, sowohl aus betrieblicher als auch aus rechtlicher Sicht, wenn sie unweigerlich Ziel von Cyber-Angriffen werden.

Quelle: https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know