Nachbesprechung der Bedrohungslandschaft zum Jahresende: Was im Jahr 2025 tatsächlich geschah

2025 war ein Jahr, in dem sich das Thema Cybersicherheit zwischen Schlagzeilen und Realität aufspaltete.

Während die Gespräche in der Branche von dramatischen Prognosen wie KI-gesteuerten Mega-Angriffen, dem „Zusammenbruch“ von Ransomware, Quantenstörungen und dem Ende des Phishings, wie wir es kennen, geprägt waren, entwickelte sich die reale Bedrohungslandschaft auf weniger theatralische, aber weitaus folgenreichere Weise.

Angreifer nutzten Schwachstellen schneller aus, als Unternehmen sie patchen konnten. Ransomware-Gruppen verschwanden nicht, sondern rüsteten um. Und Social Engineering wurde im Stillen anpassungsfähiger, kontextbezogener und weitaus effektiver, als die meisten Aufklärungsmaßnahmen voraussagten.

Diese Nachbesprechung zum Jahresende durchbricht den Hype und konzentriert sich auf die Fakten: die Verhaltensweisen, Angriffsmuster und Ausnutzungstrends, die das Jahr 2025 wirklich geprägt haben.

Was im Jahr 2025 tatsächlich geschah

1. Schwachstellen wurden schneller ausgenutzt, als die Unternehmen darauf reagieren konnten

Im Jahr 2025 hat sich die Geschwindigkeit der Ausnutzung erneut beschleunigt. In mehreren besonders schwerwiegenden Fällen tauchten Proof-of-Concept-Code und aktive Angriffe innerhalb von Stunden nach der Veröffentlichung auf – nicht Tage oder Wochen.

Wichtige Trends:

• Angreifer beobachteten zunehmend Herstellerhinweise und Proof-of-Concept-Repositories, um Schwachstellen zu nutzen, sobald Patches veröffentlicht wurden.
• Zero-Days machten Schlagzeilen, aber weithin bekannte „alte“ Sicherheitslücken machten einen erheblichen Anteil der erfolgreichen Einbrüche aus.
• Remote-Dienste (VPNs, Firewalls, Hypervisoren und Identitätsanbieter) blieben die lukrativsten Ziele, da sie direkten Zugang zu internen Netzwerken haben.

Für viele Unternehmen war nicht die Komplexität der Schwachstellen das Problem, sondern die Diskrepanz zwischen der Verfügbarkeit von Patches und der Anwendung der Patches.

Warum das wichtig ist: „Schneller patchen“ ist nicht umsetzbar, wenn das Unternehmen nicht über Transparenz, Asset Intelligence und operative Kapazitäten verfügt. 2025 hat deutlich gemacht, dass die Geschwindigkeit der Ausbeutung die traditionellen Patch-Zyklen übersteigt, so dass die Teams gezwungen sind, risikobasierten Patches, kontinuierlicher Überwachung und Konfigurationshygiene Priorität einzuräumen.

2. Ransomware ist nicht zurückgegangen, sie hat sich weiterentwickelt

Die Vorhersagen über den Rückgang von Ransomware haben sich nicht bewahrheitet. Stattdessen hat die Bedrohung ihre Form verändert.

2025 sah:

• Ein Wiederanstieg der bestätigten Ransomware-Vorfälle (≈34% Anstieg im Vergleich zum Vorjahr)
• Ein Schwenk hin zum Datendiebstahl als primärem Erpressungsmechanismus
• Kampagnen, bei denen die Verschlüsselung optional war oder ganz weggelassen wurde
• Erhöhter Erstzugang durch Ausnutzung einer Sicherheitslücke in Kombination mit dem Diebstahl von Zugangsdaten

Anstelle von „Big Bang“-Ereignissen bei der Verschlüsselung begannen viele Vorfälle im Stillen: Angreifer sammelten Daten, kartierten interne Systeme und lösten erst später eine Erpressung aus. Mehrere öffentlichkeitswirksame Fälle haben gezeigt, dass selbst in Fällen, in denen die Verschlüsselung fehlschlug, die Androhung der Offenlegung ausreichte, um Verhandlungen zu erzwingen.

Warum das wichtig ist: Backups sind nur noch eine Ebene der Verteidigung. Erkennung und Reaktion müssen den gesamten Lebenszyklus von Ransomware abdecken, vom ersten Zugriff über seitliche Bewegungen bis hin zur Exfiltration.

3. Social Engineering wird kontextabhängig und ist schwerer zu erkennen

Die größte Veränderung im Social Engineering war nicht die Menge, sondern die Genauigkeit.

Angreifer nutzen zunehmend:

• Kontextbezogene Köder, die interne Arbeitsabläufe, Genehmigungen, Lieferantenkommunikation und Systemwarnungen nachahmen
• KI-gestützte Tools zur Generierung von Varianten, die die statische E-Mail-Filterung umgehen
• „Polymorphes Phishing“, bei dem sich Absendernamen, Metadaten, Branding und Schreibstil zwischen den Versuchen ändern

In vielen Fällen fielen die Benutzer nicht auf offensichtlich verdächtige E-Mails herein, sondern sie reagierten auf nahezu perfekte Imitationen von alltäglichen Nachrichten.

Das Aufkommen von Remote-Arbeit und allgegenwärtiger Remote-Zugriffssoftware (VPN, RDP, Remote-Desktop-Tools) sorgte für zusätzlichen Druck. Bastion- und Administratorkonten waren ein beliebtes Angriffsziel, wobei häufig eine Kombination aus Social Engineering und dem Abgreifen von Zugangsdaten zum Einsatz kam.

Warum dies wichtig ist: Sensibilisierungsmaßnahmen, die auf „alten“ Phishing-Mustern basieren, entsprechen nicht mehr der Realität des adaptiven, KI-gestützten Social Engineering. Eine wirksame Verteidigung erfordert jetzt ein Verhaltenstraining, das die moderne Täuschung widerspiegelt, nicht die alten Beispiele.

4. Die Identität wurde zur neuen primären Angriffsfläche

2025 bestätigte eine harte Wahrheit: Angreifer bevorzugen zunehmend identitätsbasierte Eindringlinge gegenüber Malware-basierten Kompromittierungen.

Die häufigsten Faktoren für Verstöße:

• Missbrauch von Zugangsdaten
• Passwort-Spraying (eine kleine Liste von wahrscheinlichen Passwörtern, die über viele Konten hinweg versucht wird)
• Token-Diebstahl und Session-Hijacking
• MFA-Ermüdungserscheinungen
• Überprivilegierte Konten mit umfassenden oder veralteten Berechtigungen

Die Kompromittierung von Identitäten war die Ursache für mehrere Vorfälle in Unternehmen aus den Bereichen Fertigung, Logistik, Bildung und öffentlicher Sektor. Sobald die Angreifer in das Unternehmen eingedrungen waren, stießen sie häufig auf eine minimale Segmentierung, die ihnen einen reibungslosen seitlichen Zugriff ermöglichte.

Warum das wichtig ist: Die Identität hat die Endpunkte als zuverlässigsten Zugangspunkt überholt. Least Privilege, robuste Zugriffssteuerung und phishing-resistente MFA sind jetzt zentrale Sicherheitskontrollen, keine optionalen Erweiterungen.

5. Die Betriebsunterbrechung entstand durch alte Probleme, nicht durch neue

Die Schlagzeilen konzentrierten sich auf KI-gestützte Bedrohungen, aber die meisten betrieblichen Auswirkungen im Jahr 2025 gingen von viel vertrauteren Themen aus:

• Offengelegte Verwaltungsschnittstellen
• Falsch konfigurierte Cloud-Assets
• Ungepatchte oder auslaufende Systeme
• Schwache Segmentierung zwischen kritischen und nicht kritischen Umgebungen
• Einzelne Schwachstellen bei Diensten von Drittanbietern

Mehrere schwerwiegende Serviceausfälle, die die Nachrichten beherrschten, waren auf grundlegende Hygienemängel zurückzuführen, nicht auf fortgeschrittene Bedrohungsakteure.

Warum das wichtig ist: Der Unterschied zwischen einem kleinen Zwischenfall und einem großen Ausfall hängt oft von den Grundlagen ab. 2025 bestätigte erneut, dass fortschrittliche Werkzeuge schwache betriebliche Grundlagen nicht kompensieren können.

Die am häufigsten ausgenutzten gemeinsamen Schwachstellen und Gefährdungen (CVEs)

In der weltweiten Berichterstattung zeichnen sich mehrere Muster ab:

1. Die Angriffe konzentrierten sich vor allem auf öffentliche Systeme
   . VPN-Appliances, Firewall-Geräte, E-Mail-Gateways und Cloud-Identitätsanbieter waren weiterhin die Hauptziele.
2. Weithin bekannte Sicherheitslücken gehörten immer noch zu den am häufigsten ausgenutzten
   . Ältere CVEs mit verfügbaren Patches waren aufgrund langer Zeiträume für die Behebung, veralteter Systeme oder unvollständiger Patch-Veröffentlichungen weiterhin weit verbreitet.
3. Angreifer nutzten Verkettungsmöglichkeiten
   Anstatt sich auf eine einzelne Schwachstelle zu verlassen, kombinierten die Angreifer häufig eine bekannte Schwachstelle für die Ausführung von Remote-Code, eine Schwachstelle für die Ausweitung von Berechtigungen und eine Fehlkonfiguration oder ungesicherte Zugangsdaten. Diese Verkettung ermöglichte ein schnelles Eindringen nach dem ersten Zugriff.
4. Die Zeiten für die Ausnutzung von Schwachstellen haben sich dramatisch beschleunigt
   Mehrere kritische Schwachstellen wurden noch am selben Tag, an dem die Herstellerhinweise veröffentlicht wurden, aktiv ausgenutzt.

Was uns das sagt: Bei der Bedrohung geht es nicht nur um neue Schwachstellen, sondern auch um Sichtbarkeit, Priorisierung und Schnelligkeit. Angreifer konzentrieren sich auf den einfachsten Weg, nicht auf den raffiniertesten.

Ransomware-Taktiken, -Techniken und -Verfahren

• Die Ransomware-Aktivität hat 2025 wieder zugenommen: Eine Analyse schätzt einen Anstieg der bestätigten Ransomware-Vorfälle um 34 % im Vergleich zu 2024.
• Viele Angreifer bevorzugen jetzt die doppelte Erpressung: erst Daten exfiltrieren, dann verschlüsseln oder mit dem Durchsickern der Daten drohen.
• Die Wirtschaftlichkeit von Ransomware ändert sich. Laut einer weltweiten Umfrage blieb die durchschnittliche Lösegeldzahlung im Jahr 2025 hoch (≈ 1,0 Mio. USD), aber nur eine Minderheit der Unternehmen zahlte.
• Ransomware-Akteure kombinieren zunehmend die Ausnutzung von Schwachstellen (z. B. ungepatchte VPNs/Firewalls) mit dem Diebstahl von Zugangsdaten oder Phishing/Social Engineering, um sich einen ersten Zugang zu verschaffen.

Warum das wichtig ist: Die Verlagerung hin zur Exfiltration und zur Verschlüsselung als Nebentaktik bedeutet, dass sich die Verteidiger nicht nur auf Dateibackups verlassen können. Erkennung und Prävention müssen jetzt den gesamten Lebenszyklus eines Eindringlings abdecken, vom Zugriff bis zur Exfiltration, und mit Exploit-getriebenen Angriffen Schritt halten.

Social Engineering-Entwicklungen: Was überrascht hat (und erfolgreich war)

• Social Engineering bleibt auch im Jahr 2025 ein Hauptfaktor für Ransomware und Einbruchskampagnen. Insbesondere Phishing als erster Zugangspunkt hat deutlich zugenommen.
• Das Aufkommen von KI-gestütztem Phishing: Angreifer verwenden häufig automatisierte oder KI-gestützte Tools, um überzeugende, maßgeschneiderte Phishing-E-Mails zu erstellen, die eine herkömmliche Erkennung umgehen.
• Viele Phishing-E-Mails verwenden inzwischen „polymorphe“ Merkmale, die Absendernamen, Metadaten, Betreffs und Logos variieren, um signaturbasierte Filter zu umgehen und die Erkennung von Mustern zu vermeiden.
• Die Umstellung auf hybride Arbeitsformen, Remote-Umgebungen und der weit verbreitete Einsatz von Remote-Access-Software (VPNs, RDP, Remote-Desktop-Tools) haben die Effektivität des Diebstahls von Zugangsdaten und Social-Engineering-Taktiken weiter erhöht.

Warum dies wichtig ist: Sicherheitsbewusstsein allein ist nicht mehr genug. Da Angreifer KI einsetzen, um Social Engineering zu skalieren und anzupassen, müssen Unternehmen in mehrschichtige Schutzmaßnahmen investieren (technische Kontrollen + menschliches Training + Erkennung von Anomalien), insbesondere im Bereich E-Mail und Identitätszugang.

Wo Vorhersagen verfehlt wurden, und warum

Viele frühere Prognosen gingen davon aus, dass Ransomware weiterhin von hochwirksamen Verschlüsselungsangriffen dominiert werden würde und dass die Patching-Zyklen Schritt halten würden. Diese Ansicht wurde unterschätzt:

1. Die explosionsartige Zunahme von Sicherheitslücken und die schnelle Bewaffnung: 2025 wurden weit mehr CVE-Meldungen veröffentlicht, als viele Prognosen vorausgesagt hatten, und Angreifer nutzten viele davon innerhalb weniger Stunden aus.
2. Der Wechsel zu Geschäftsmodellen mit doppelter Erpressung und Datenlecks: Die Verschlüsselung allein verliert ihren Wert, wenn die Ziele über gute Backups verfügen; Datendiebstahl und Erpressung bieten mehr Möglichkeiten.
3. Die Macht von Social Engineering + KI: Prognosen, die sich ausschließlich auf technische Schwachstellen konzentrierten, übersahen, wie effektiv KI-gestützte Phishing- und Credential-basierte Angriffe werden würden.

Das bedeutet, dass Verteidiger und Risikomodelle, die sich hauptsächlich auf Patch-Zyklen, Backup-Ausfallsicherheit oder verschlüsselungsbasierte Schutzmaßnahmen verließen, neu bewertet werden müssen. Die wirkliche Bedrohung, insbesondere für viele Unternehmen, ist jetzt breiter gefächert: Sie umfasst Identität, Erstzugang, Datenexfiltration und Social Engineering.

Was Unternehmen aus dem Jahr 2025 mitnehmen und worauf sie sich im Jahr 2026 konzentrieren müssen

Die wichtigsten Lektionen des Jahres 2025:

• Die Identität ist die wichtigste Angriffsfläche.
• Das Patching muss sich von einer planmäßigen auf eine risikobasierte Vorgehensweise verlagern.
• Bei der Abwehr von Ransomware geht es jetzt um den Schutz der Daten, nicht nur um die Wiederherstellung der Verschlüsselung.
• Sensibilisierungsmodelle müssen moderne Täuschungstechniken widerspiegeln.

Entdecken Sie, wie die MetaCompliance Human Risk Management Plattform Ihrem Unternehmen helfen kann, proaktiv mit von Menschen verursachten Cyber-Risiken im Jahr 2026 umzugehen. Von der Reduzierung von Phishing- und Social-Engineering-Bedrohungen bis hin zur Stärkung des Identitätsschutzes und der Gewährleistung der Compliance – unsere Plattform verwandelt Bewusstsein in messbare Sicherheitsergebnisse und macht Ihre Mitarbeiter zu Ihrer stärksten Verteidigungslinie.