CERT-Wavestone Jahresbericht 2025: Erkenntnisse aus einem Jahr kritischer Cybervorfälle
Veröffentlicht am 7. Oktober 2025
- Cyber Security
Die wichtigsten Erkenntnisse aus 2025
- Finanzielle Motive bleiben Hauptantrieb, wobei Ransomware den größten Anteil ausmacht, – doch Spionage nimmt weiter zu.
- Phishing ist erneut der häufigste Angriffsvektor.
- Ein weiterer zentraler Angriffsvektor ist die Ausnutzung verwundbarer Webdienste und Remote-Zugänge.
- KI, SaaS und Open Source vergrößern die Angriffsfläche von Unternehmen.
Cyberkrisen 2025: Zentrale Erkenntnisse, Trends und strategische Maßnahmen
Im Jahr 2025 war das CERT-Incident-Response-Team von Wavestone erneut bei über 20 schwerwiegenden Cyberkrisen im Einsatz. Betroffen waren Organisationen aller Branchen und Größen. Mit diesem Bericht möchten wir die wichtigsten Erkenntnisse und Trends aufzeigen, Szenarien veranschaulichen sowie die zentralen Herausforderungen beleuchten, denen sich Unternehmen in den kommenden Monaten stellen müssen.
Organisationen müssen heute ein zunehmend heterogenes Umfeld überwachen, das SaaS-Dienste, Partnernetzwerke und Open-Source-Komponenten umfasst. Gleichzeitig gilt es, mit immer schnelleren Angreifern Schritt zu halten. Der schnellste Angriff, den unser Team beobachtete, dauerte weniger als 36 Stunden vom ersten Eindringen bis zur Datenexfiltration.
Dieser Bericht verfolgt daher ein doppeltes Ziel: Er bietet einen realistischen Überblick über die beobachteten Angriffe und analysiert aktuelle Bedrohungstrends. Zudem enthält er konkrete Handlungsansätze, um die Resilienz Ihrer Informationssysteme zu stärken.
Motivationen: Profitgier dominiert, Spionage nimmt zu
Die Analyse der Vorfälle zeigt unterschiedliche Beweggründe. Dabei fallen zwei Hauptdynamiken besonders auf.
- Finanzielle Interessen (65 %): Die häufigsten Erscheinungsformen sind Ransomware-Angriffe, Betrug über kompromittierte E-Mail-Konten und der Verkauf gestohlener Daten. Der Profit ist für Cyberkriminelle der zentrale Antrieb, insbesondere durch den Einsatz von Erpressungssoftware.
- Spionagekampagnen zur Ausnutzung strategischer Daten (17 %, +7 % im Vergleich zu 2024): Mehrere Fälle verdeutlichen das wachsende Interesse an geschäftskritischen Informationen. Dazu zählen SQL-Injection mit anschließender Veröffentlichung im Darknet, das Leaken kompletter JIRA-Datenbanken sowie der Verdacht auf Diebstahl geistigen Eigentums über Partnerunternehmen.
Andere Fälle betreffen unklare oder sekundäre Beweggründe. Diese beiden Trends bleiben jedoch strukturell am bedeutendsten.
Phishing erneut wichtigster Einstiegspunkt in Informationssysteme
Die analysierten Angriffe zeigen deutlich, welche Hauptvektoren Cyberkriminelle für den Erstzugriff nutzen:
- Phishing: Phishing war der am häufigsten beobachtete Angriffsvektor und verantwortlich für rund die Hälfte aller Vorfälle. Dabei wurden sowohl reguläre Nutzerkonten als auch privilegierte Zugänge, beispielsweise von Administratoren, Führungskräften und Dienstleistern, kompromittiert. Die Rückkehr von Phishing an die Spitze (20 % im Jahr 2024) ist vor allem auf die Kreativität der Angreifer zurückzuführen, die diese Methode kontinuierlich weiterentwickeln. Besonders auffällig waren Fälle von Vishing, bei denen Telefonkanäle genutzt wurden, da die Identitätsprüfung hier deutlich schwieriger ist.
- Exponierte Remote-Zugänge: In rund fünf Fällen standen die Vorfälle im Zusammenhang mit anfälligen RDP- oder VPN-Diensten, die durch Brute-Force-Angriffe oder opportunistische Eindringversuche kompromittiert wurden.
- Technische Schwachstellen: In rund einem Fünftel der Fälle wurden bekannte Sicherheitslücken ausgenutzt. Zwei besonders schwerwiegende Vorfälle im Jahr 2025 betrafen die Ausnutzung einer CVE sowie eine SQL-Injection, durch die sensible Daten exfiltriert wurden.
Diese Ergebnisse bestätigen internationale Trends: Im Jahr 2025 ist Phishing der führende Angriffsweg, dicht gefolgt von der Ausnutzung technischer Schwachstellen sowie verwundbarer Remote-Zugänge wie VPN und RDP.
Zentrale Erkenntnisse aus unseren Einsätzen
Die Analyse der Vorfälle zeigt vier grundlegende Trends, die bereits 2024 identifiziert wurden und auch 2025 bestehen bleiben:
- Backups sind systematisch Ziel von Angriffen: In 90 % der Ransomware-Fälle wurden Sicherungen gelöscht oder verschlüsselt, um eine Wiederherstellung zu verhindern und den Druck auf die betroffenen Organisationen zu erhöhen, damit diese ein Lösegeld zahlen.
- Die Kompromittierung geschäftskritischer Daten bleibt ein zentrales Ziel: In 71 % der Angriffe wurden solche Daten betroffen – sei es im Rahmen von Spionage oder Erpressung.
- Wachsamkeit und Reaktionsfähigkeit der Unternehmen werden auf die Probe gestellt: Die durchschnittliche Zeitspanne zwischen Eindringen und Angriffsschaden beträgt nur 1,5 Tage. Dies zeigt erneut, wie wichtig es ist, die Erkennungs- und Reaktionszeiten zu verkürzen, beispielsweise durch Automatisierung und den Einsatz von KI.
- Partner und Tochtergesellschaften bleiben bevorzugte Ziele: 56 % der Angriffe auf Großunternehmen erfolgten über deren Tochterfirmen oder externe Partner.
Aufkommende Trends im Jahr 2025
Die Methoden der sozialen Manipulation werden zunehmend multikanal und immer ausgefeilter:
- Vishing (betrügerische Telefonanrufe): Im Jahr 2025 haben solche Anrufe stark zugenommen. Mithilfe von Voice-Deepfakes können Angreifer die Stimme von Führungskräften täuschend echt imitieren und ihre Botschaften besonders überzeugend gestalten. Dabei setzen sie gezielt auf Dringlichkeit oder sozialen Druck, um Opfer zu einer Handlung zu bewegen. Viele unserer Kunden wurden durch sogenannte „CEO-Fraud“-Versuche ins Visier genommen. Im Sommer 2025 richtete sich eine besonders raffinierte Kampagne gegen Salesforce-Nutzer: Sie begann mit Vishing-Angriffen auf IT-Support-Teams, um privilegierte Konten zu erlangen und anschließend legitim auf Online-Plattformen zuzugreifen.
- Quishing (manipulierte QR-Codes): Bei einer neuen Technik versenden Angreifer QR-Codes per E-Mail oder Dokument. Nach dem Scannen werden die Opfer auf eine betrügerische Website weitergeleitet. Diese Methode umgeht klassische Schutzmechanismen für E-Mails und Links. Sie wurde besonders häufig im Bereich öffentlicher digitaler Dienste beobachtet, beispielsweise bei Ladestationen für Elektrofahrzeuge oder digitalen Service-Terminals.
Beide Vektoren werden zunehmend in Multi-Channel-Kampagnen kombiniert, was die Verteidigung erheblich erschwert. Organisationen müssen ihre Sensibilisierungsmaßnahmen für Mitarbeitende und Kunden intensivieren und ihre Prozesse weiterentwickeln, um die Auswirkungen erfolgreicher Angriffe zu begrenzen.
Die weitreichende Nutzung von Cloud-Diensten in Unternehmen eröffnet Cyberkriminellen neue Angriffsflächen. Dabei verzeichnen zwei Angriffskanäle einen deutlichen Anstieg:
- Kompromittierung von SaaS-Konten: Nach wie vor sind gestohlene Zugangsdaten – beispielsweise durch Phishing, Vishing oder Infostealer – sowie die Wiederverwendung von Passwörtern die häufigsten Einstiegspunkte. Eine fehlende oder falsch konfigurierte Multi-Faktor-Authentifizierung (MFA) macht viele Konten zusätzlich angreifbar. Einmal kompromittiert, ermöglichen diese Zugänge den Zugriff auf sensible Geschäftsdaten oder kritische Funktionen.
- Missbrauch von APIs und Drittanwendungen: Immer häufiger werden angebundene Anwendungen oder integrierte Module ausgenutzt, um E-Mails abzugreifen, Dateien zu exfiltrieren oder Datenströme zu manipulieren. Mehrere aktuelle Kampagnen zeigen das wachsende Interesse der Angreifer an cloudbasierten CRM-Systemen, insbesondere an Salesforce. Fehlkonfigurierte APIs oder privilegierte Konten werden gezielt ausgenutzt, um Kundendaten zu stehlen oder Betrugsaktionen durchzuführen.
Dieser Trend macht deutlich, dass die Geschwindigkeit, mit der SaaS eingeführt wird, in vielen Organisationen die Reife der implementierten Sicherheitsmaßnahmen übersteigt.
Softwareabhängigkeiten und externe Dienstleister bieten oft Angriffsflächen, die gezielt ausgenutzt werden. Zwei besonders prägnante Beispiele verdeutlichen dies:
- Kompromittierung von 18 npm-Paketen (entdeckt Anfang September 2025): Das Ziel bestand darin, Kryptowährungen von Nutzern zu stehlen, die Anwendungen mit diesen Paketen ausführten.
- Der Shai-Hulud-Angriff auf npm: Im September 2025 kompromittierte diese groß angelegte Kampagne über 500 npm-Pakete mithilfe eines sich selbst replizierenden Wurms. Der Wurm injizierte Schadcode in beliebte Pakete, stahl Schlüssel (npm-, GitHub- und API-Schlüssel) und nutzte GitHub-Workflows zur Datenexfiltration. Er verbreitete sich automatisch auf Pakete, die zu den kompromittierten Konten gehörten. Dies führte zu einem Kaskadeneffekt im Open-Source-Ökosystem.
Diese Kombination aus Open Source und externen Dienstleistern vergrößert die Angriffsfläche von Organisationen erheblich. In beiden Fällen ermöglichte die Kompromittierung von Geheimnissen mit Änderungsrechten für Pakete eine großflächige Injektion von Schadcode in weit verbreitete Open-Source-Komponenten.
KI schafft zwar keine völlig neuen Angriffsszenarien, verleiht aber bekannten Methoden zusätzliche Schlagkraft und Glaubwürdigkeit.
- Phishing & Deepfakes: KI ermöglicht die Erstellung maßgeschneiderter, mehrsprachiger Phishing-Kampagnen mit personalisierten und glaubwürdigen Nachrichten. Mithilfe von visuellen und stimmlichen Deepfakes werden Führungskräfte oder interne Support-Teams imitiert. Dadurch werden betrügerische Anrufe oder ungewöhnliche Anfragen deutlich schwerer erkennbar.
- Malware-Entwicklung: Das Jahr 2025 war geprägt von einem beschleunigten Einsatz von KI zur Optimierung von Angriffswerkzeugen. So identifizierte ESET mit „PromptLock” die erste KI-gestützte Ransomware. Sie basiert auf codierten Prompts, die ein lokales Modell speisen und Skripte generieren, die auf beliebigen Systemen ausgeführt werden können, um Dateien zu scannen, zu exfiltrieren oder zu verschlüsseln. Ihre Gefährlichkeit liegt in der Fähigkeit, sich dynamisch an die Umgebung anzupassen und den Code zur Laufzeit zu verändern. Dadurch wird eine signaturbasierte Erkennung erheblich erschwert. Zwar gilt „PromptLock” derzeit noch als Proof of Concept, doch es zeigt deutlich, welchen Weg Angreifer künftig einschlagen könnten.
Diese Entwicklung verdeutlicht, dass KI immer häufiger zur Automatisierung und Beschleunigung bösartiger Aktivitäten genutzt wird. Dadurch sinkt die technische Einstiegshürde für groß angelegte Angriffe. Verteidiger müssen darauf reagieren. SOCs und CSIRTs/CERTs sollten KI gezielt einsetzen, um ihre Reaktionsgeschwindigkeit zu erhöhen und ihre Erkennungsfähigkeit zu verbessern.
Fazit
Unsere Erkenntnisse aus 2025 bestätigen: Cyberangriffe sind vor allem opportunistisch, schnell und werden zunehmend durch KI verstärkt. Finanzielle Motive dominieren weiterhin. Backups und geschäftskritische Daten stehen nach wie vor im Fokus, während SaaS-Umgebungen und externe Dienstleister zu besonders kritischen Einstiegspunkten werden.
Angesichts dieser Bedrohungen müssen Organisationen ihre klassischen Schutzmaßnahmen konsequent stärken. Dazu gehören Automatisierung und der gezielte Einsatz von KI, um Erkennung und Reaktion zu beschleunigen. Gleichzeitig ist es entscheidend, den Fokus auf SaaS-Umgebungen und Partnernetzwerke auszuweiten, um die Resilienz der gesamten Lieferkette zu erhöhen.
Opfer eines Cyberangriffs?
Kontaktieren Sie unser CERT-Wavestone-Team:
- +33 1 49 03 27 26 (24/7/365 erreichbar)
- cert@wavestone.com (während der Geschäftszeiten, MEZ)