Bedrohungslandschaft 2025: Cyberangriffe erreichen neue Dimensionen

Der dramatische Wandel der Cybersicherheit

Die Cybersicherheitslandschaft hat sich 2024 dramatisch verschärft. Laut dem aktuellen Global Threat Landscape Report von FortiGuard Labs bewegen sich Angreifer schneller als je zuvor und nutzen dabei Automatisierung, KI-gestützte Tools und industrialisierte Cyberkriminalität, um traditionelle Sicherheitsvorteile systematisch zu untergraben.

Alarmierende Zahlen sprechen für sich

Die Erkenntnisse des Reports sind beunruhigend: Aktive Scans im Cyberraum erreichten 2024 ein beispielloses Niveau mit einem weltweiten Anstieg von 16,7%. FortiGuard Labs verzeichnete monatlich Milliarden von Scan-Versuchen – das entspricht 36.000 Scans pro Sekunde. Diese massive Aufklärungsaktivität zeigt eine deutliche Verschiebung der Angreiferstrategie hin zu präventiven „Left-of-Boom“-Taktiken.

Die neue Dimension der Bedrohungen

Automatisierte Aufklärung als Einfallstor

Cyberkriminelle setzen verstärkt auf automatisierte Scanning-Tools, um verwundbare Systeme zu identifieren, bevor Patches eingespielt werden können. Dabei konzentrieren sie sich auf:

• SIP (VoIP)-Protokolle: Mit über 49% aller erkannten Scans stehen Telekommunikationssysteme im Fokus
• Modbus TCP: 1,6% der Scans zielen auf industrielle Infrastrukturen und SCADA-Systeme ab
• IoT-Geräte: Über 20% aller Exploitation-Versuche richten sich gegen schlecht gesicherte IoT-Devices

KI revolutioniert die Cyberkriminalität

Künstliche Intelligenz hat die Cyberkriminalität auf ein neues Level gehoben. Tools wie FraudGPT, BlackmailerV3 und ElevenLabs automatisieren die Erstellung von:

• Malware und Phishing-Websites
• Deepfake-Videos für Identitätsbetrug
• Synthetische Stimmen für Voice-Phishing
• Überzeugende Erpressungs-E-Mails

Diese Entwicklung führt zu skalierbareren, glaubwürdigeren und effektiveren Angriffskampagnen.

Das Darknet als Cybercrime-Lieferkette

Das Darknet hat sich von einem Zufluchtsort für Cyberkriminelle zu einer vollwertigen Lieferkette für Cyberangriffe entwickelt. 2024 wurden über 100 Milliarden Datensätze in Underground-Foren geteilt – ein Anstieg von 42% gegenüber 2023.

Initial Access Broker (IAB) im Fokus:

• Corporate VPN-Zugangsdaten (20%)
• RDP-Zugang (19%)
• Admin-Panels (13%)
• Webshells (12%)

Exploit-Aktivitäten erreichen Rekordhöhen

Während die durchschnittliche Zeit bis zur Exploitation neu entdeckter Schwachstellen bei 5,4 Tagen relativ stabil blieb, explodierten die Exploitation-Versuche regelrecht. FortiGuard Labs registrierte über 97 Milliarden Exploitation-Versuche im Jahr 2024.

Die beliebtesten Angriffsvektoren:

1. Windows SMB Information Disclosure (CVE-2017-0147): 26,7%
2. Apache Log4j Remote Code Execution (CVE-2021-44228): 11,6%
3. Netcore Netis Devices Hardcoded Password (CVE-2019-18935): 8%

Cloud-Umgebungen im Visier

Cloud-Angriffe entwickeln sich weiter, wobei Fehlkonfigurationen nach wie vor die Hauptschwachstelle darstellen. Lacework FortiCNAPP-Telemetrie zeigt einen stetigen Anstieg von Cloud-Kompromittierungen, die häufig folgende Elemente umfassen:

• Identitätsmissbrauch
• Unsichere APIs
• Privilege Escalation
• In 70% der beobachteten Vorfälle erfolgten Anmeldungen aus unbekannten geografischen Regionen

Die Bedrohungsakteure von 2024

Ransomware-Landschaft fragmentiert sich

13 neue Ransomware-Gruppen traten 2024 in den RaaS-Markt ein, wobei die Top-4-Gruppen dennoch 37% der beobachteten Angriffe ausmachten:

• RansomHub (13%)
• LockBit 3.0 (12%)
• Play (8%)
• Medusa (4%)

Hacktivisten adaptieren Ransomware-Taktiken

Hacktivist-Gruppen wie CyberVolk, Handala und KillSec begannen 2024 mit der Nutzung von Ransomware, was eine strategische Verschiebung hin zu destruktiveren Angriffen markiert.

Nation-State-Akteure bleiben aktiv

Staatlich gesponserte Akteure operierten weiterhin mit hoher Raffinesse. China und Russland führten die Cyber-Aktivitäten an, mit Gruppen wie:

• Lazarus (21%)
• KIMSUKY (18%)
• APT28 (13%)
• Volt Typhoon (12%)
• APT29 (10%)

Handlungsempfehlungen für CISOs

Der CISO-Leitfaden zur Adversary Defense

1. Kontinuierliche Angriffssimulation
   • Durchführung von Red- und Purple-Team-Übungen
   • Nutzung von MITRE ATT&CK für verhaltensbasierte Angriffssimulationen
2. Reduzierung der Angriffsfläche
   • Einsatz von Attack Surface Management (ASM) Tools
   • Kontinuierliche Überwachung von Darknet-Foren
3. Risikoorientierte Schwachstellenpriorisierung
   • Fokus auf aktiv diskutierte Vulnerabilities
   • Nutzung von EPSS (Exploit Prediction Scoring System) und CVSS (Common Vulnerability Scoring System) für effektives Patch-Management
4. Automatisierung von Sicherheitstests
   • Regelmäßige Validierung der Zero-Trust-Architektur
   • Simulation von Ransomware-Payloads
5. Dark Web Intelligence nutzen
   • Überwachung von Darknet-Marktplätzen
   • Tracking von Hacktivist-Rekrutierung

Fazit: Proaktive Verteidigung ist unerlässlich

Die Beweise sind eindeutig: Angreifer investieren massiv in Automatisierung, Aufklärung und skalierbare Operationen. Ihre Strategien betonen Geschwindigkeit, Heimlichkeit und Skalierbarkeit, während viele Organisationen noch immer mit reaktiven Patch-Zyklen und statischen Sicherheitsstrategien überlastet sind.

Verteidiger müssen von traditioneller Bedrohungserkennung zu Continuous Threat Exposure Management (CTEM) übergehen, um diese Asymmetrie zu bekämpfen. Eine statische Sicherheitshaltung ist eine gescheiterte Sicherheitshaltung – nur durch proaktives Handeln können Organisationen den sich beschleunigenden Bedrohungen einen Schritt voraus bleiben.

Die Zeit für defensive Maßnahmen wird immer knapper. Organisationen müssen jetzt handeln, um ihre Expositionslücken zu schließen, bevor Angreifer zuschlagen können.

Den Originalreport in englischer Sprache halten wir hier für Sie zum Abruf bereit.

Wir helfen Ihnen als langjährige Experten für Cybersicherheit gerne dabei. Erstgespräch jetzt vereinbaren unter 02261 9155050 oder per Mail an vertrieb@oberberg.net