Insight

CERT-Wavestone Jahresbericht 2025: Erkenntnisse aus einem Jahr kritischer Cybervorfälle

Veröffentlicht am 7. Oktober 2025

  • Cyber Security

Die wichtigsten Erkenntnisse aus 2025

  • Finanzielle Motive bleiben Hauptantrieb, wobei Ransomware den größten Anteil ausmacht, – doch Spionage nimmt weiter zu.
  • Phishing ist erneut der häufigste Angriffsvektor.
  • Ein weiterer zentraler Angriffsvektor ist die Ausnutzung verwundbarer Webdienste und Remote-Zugänge.
  • KI, SaaS und Open Source vergrößern die Angriffsfläche von Unternehmen.

Cyberkrisen 2025: Zentrale Erkenntnisse, Trends und strategische Maßnahmen

Im Jahr 2025 war das CERT-Incident-Response-Team von Wavestone erneut bei über 20 schwerwiegenden Cyberkrisen im Einsatz. Betroffen waren Organisationen aller Branchen und Größen. Mit diesem Bericht möchten wir die wichtigsten Erkenntnisse und Trends aufzeigen, Szenarien veranschaulichen sowie die zentralen Herausforderungen beleuchten, denen sich Unternehmen in den kommenden Monaten stellen müssen.

Organisationen müssen heute ein zunehmend heterogenes Umfeld überwachen, das SaaS-Dienste, Partnernetzwerke und Open-Source-Komponenten umfasst. Gleichzeitig gilt es, mit immer schnelleren Angreifern Schritt zu halten. Der schnellste Angriff, den unser Team beobachtete, dauerte weniger als 36 Stunden vom ersten Eindringen bis zur Datenexfiltration.

Dieser Bericht verfolgt daher ein doppeltes Ziel: Er bietet einen realistischen Überblick über die beobachteten Angriffe und analysiert aktuelle Bedrohungstrends. Zudem enthält er konkrete Handlungsansätze, um die Resilienz Ihrer Informationssysteme zu stärken.

  • Cyber Security

CERT-Wavestone Jahresbericht 2025 [EN only]

pdf · 1039KO

Bericht herunterladen

Motivationen: Profitgier dominiert, Spionage nimmt zu

Die Analyse der Vorfälle zeigt unterschiedliche Beweggründe. Dabei fallen zwei Hauptdynamiken besonders auf.

  • Finanzielle Interessen (65 %): Die häufigsten Erscheinungsformen sind Ransomware-Angriffe, Betrug über kompromittierte E-Mail-Konten und der Verkauf gestohlener Daten. Der Profit ist für Cyberkriminelle der zentrale Antrieb, insbesondere durch den Einsatz von Erpressungssoftware.
  • Spionagekampagnen zur Ausnutzung strategischer Daten (17 %, +7 % im Vergleich zu 2024): Mehrere Fälle verdeutlichen das wachsende Interesse an geschäftskritischen Informationen. Dazu zählen SQL-Injection mit anschließender Veröffentlichung im Darknet, das Leaken kompletter JIRA-Datenbanken sowie der Verdacht auf Diebstahl geistigen Eigentums über Partnerunternehmen.

Andere Fälle betreffen unklare oder sekundäre Beweggründe. Diese beiden Trends bleiben jedoch strukturell am bedeutendsten.

Phishing erneut wichtigster Einstiegspunkt in Informationssysteme

Die analysierten Angriffe zeigen deutlich, welche Hauptvektoren Cyberkriminelle für den Erstzugriff nutzen:

  • Phishing: Phishing war der am häufigsten beobachtete Angriffsvektor und verantwortlich für rund die Hälfte aller Vorfälle. Dabei wurden sowohl reguläre Nutzerkonten als auch privilegierte Zugänge, beispielsweise von Administratoren, Führungskräften und Dienstleistern, kompromittiert. Die Rückkehr von Phishing an die Spitze (20 % im Jahr 2024) ist vor allem auf die Kreativität der Angreifer zurückzuführen, die diese Methode kontinuierlich weiterentwickeln. Besonders auffällig waren Fälle von Vishing, bei denen Telefonkanäle genutzt wurden, da die Identitätsprüfung hier deutlich schwieriger ist.
  • Exponierte Remote-Zugänge: In rund fünf Fällen standen die Vorfälle im Zusammenhang mit anfälligen RDP- oder VPN-Diensten, die durch Brute-Force-Angriffe oder opportunistische Eindringversuche kompromittiert wurden.
  • Technische Schwachstellen: In rund einem Fünftel der Fälle wurden bekannte Sicherheitslücken ausgenutzt. Zwei besonders schwerwiegende Vorfälle im Jahr 2025 betrafen die Ausnutzung einer CVE sowie eine SQL-Injection, durch die sensible Daten exfiltriert wurden.

Diese Ergebnisse bestätigen internationale Trends: Im Jahr 2025 ist Phishing der führende Angriffsweg, dicht gefolgt von der Ausnutzung technischer Schwachstellen sowie verwundbarer Remote-Zugänge wie VPN und RDP.

Zentrale Erkenntnisse aus unseren Einsätzen

Die Analyse der Vorfälle zeigt vier grundlegende Trends, die bereits 2024 identifiziert wurden und auch 2025 bestehen bleiben:

  • Backups sind systematisch Ziel von Angriffen: In 90 % der Ransomware-Fälle wurden Sicherungen gelöscht oder verschlüsselt, um eine Wiederherstellung zu verhindern und den Druck auf die betroffenen Organisationen zu erhöhen, damit diese ein Lösegeld zahlen.
  • Die Kompromittierung geschäftskritischer Daten bleibt ein zentrales Ziel: In 71 % der Angriffe wurden solche Daten betroffen – sei es im Rahmen von Spionage oder Erpressung.
  • Wachsamkeit und Reaktionsfähigkeit der Unternehmen werden auf die Probe gestellt: Die durchschnittliche Zeitspanne zwischen Eindringen und Angriffsschaden beträgt nur 1,5 Tage. Dies zeigt erneut, wie wichtig es ist, die Erkennungs- und Reaktionszeiten zu verkürzen, beispielsweise durch Automatisierung und den Einsatz von KI.
  • Partner und Tochtergesellschaften bleiben bevorzugte Ziele: 56 % der Angriffe auf Großunternehmen erfolgten über deren Tochterfirmen oder externe Partner.

Fazit

Unsere Erkenntnisse aus 2025 bestätigen: Cyberangriffe sind vor allem opportunistisch, schnell und werden zunehmend durch KI verstärkt. Finanzielle Motive dominieren weiterhin. Backups und geschäftskritische Daten stehen nach wie vor im Fokus, während SaaS-Umgebungen und externe Dienstleister zu besonders kritischen Einstiegspunkten werden.

Angesichts dieser Bedrohungen müssen Organisationen ihre klassischen Schutzmaßnahmen konsequent stärken. Dazu gehören Automatisierung und der gezielte Einsatz von KI, um Erkennung und Reaktion zu beschleunigen. Gleichzeitig ist es entscheidend, den Fokus auf SaaS-Umgebungen und Partnernetzwerke auszuweiten, um die Resilienz der gesamten Lieferkette zu erhöhen.

  • Cyber Security

CERT-Wavestone Jahresbericht 2025 [EN only]

pdf · 1039KO

Bericht herunterladen

Opfer eines Cyberangriffs?

Kontaktieren Sie unser CERT-Wavestone-Team:

  • +33 1 49 03 27 26 (24/7/365 erreichbar)
  • cert@wavestone.com (während der Geschäftszeiten, MEZ)

Autoren

  • Gérôme Billois

    Partner – Frankreich, Paris

    Wavestone

    LinkedIn
  • Quentin Perceval

    Senior Manager – Frankreich, Paris

    Wavestone

    LinkedIn
  • Alexis Coupechoux

    Manager

    Wavestone

    LinkedIn
  • Hadrien Plassard

    Consultant

    Wavestone