Die Nachbesprechung der Bedrohungslandschaft: Lehren aus dem Jahr 2025 und was sie für 2026 bedeuten

Schauen Sie sich die Risiken genauer an, die sich im Verborgenen halten

Für viele Unternehmen dreht sich ein Großteil der Gespräche über Cybersicherheit weiterhin darum, was als Nächstes kommt: KI-gesteuerte Angriffe, neue Klassen von Malware, Quantum Disruption und die Annahme, dass die Bedrohungen von gestern bereits unter Kontrolle sind.

Wenn Sie sich jedoch genauer ansehen, wie sich die realen Vorfälle im vergangenen Jahr entwickelt haben, ergibt sich ein aufschlussreicheres Bild, das die Bedrohungslandschaft, mit der Unternehmen derzeit konfrontiert sind, prägt. Und in vielen Fällen war es nicht die Technik, die versagte, sondern menschliches Verhalten unter Druck.

Die schädlichsten Sicherheitsverletzungen wurden nicht durch neuartige oder futuristische Angriffswege verursacht. Sie stammten aus bekannten Schwachstellen, die bereits dokumentiert, gepatcht oder ausgenutzt worden waren, aber dennoch in aktiven Umgebungen vorhanden waren. . Identitätsmissbrauch. Verzögerungen beim Patchen. Social Engineering, das sich nahtlos in die täglichen Arbeitsabläufe einfügte. Operative Lücken, die trotz beruhigender Dashboards, Compliance-Kennzahlen und scheinbar ausgereifter Technologien bestehen blieben.

Diese Nachbesprechung durchbricht die Spekulationen und konzentriert sich auf die Beweise. Die Verhaltensweisen, Angriffsmuster und übersehenen Risiken, die die jüngsten Sicherheitsverletzungen bestimmt haben und die auch im Jahr 2026 noch Einfluss darauf haben, wie Angreifer vorgehen.

Die Bedrohungen selbst sind nicht neu. Das Risiko liegt darin, wie oft sie unterschätzt werden und wie unvorbereitet Unternehmen bleiben, wenn sie ausgenutzt werden.

Was letztes Jahr wirklich geschah

1. Schwachstellen wurden schneller ausgenutzt, als die Unternehmen darauf reagieren konnten

Im Jahr 2025 hat sich die Geschwindigkeit der Ausnutzung erneut beschleunigt. In mehreren hochgefährlichen Fällen tauchten Proof-of-Concept-Code und aktive Angriffe innerhalb von Stunden nach der Veröffentlichung auf, nicht erst nach Tagen oder Wochen, wie bei den häufig gemeldeten Vorfällen, die VPN- und Firewall-Plattformen wie Ivanti Connect Sicher und Palo Alto PAN-OS, um nur einige zu nennen.

In mehreren Fällen nutzten Angreifer neu bekannt gewordene Sicherheitslücken bereits wenige Stunden nach der Veröffentlichung von Warnhinweisen.. Während Zero-Days für Schlagzeilen sorgten, stützte sich ein erheblicher Teil der erfolgreichen Angriffe auf ältere, gut dokumentierte Schwachstellen, von denen die Unternehmen glaubten, sie seien bereits „bekannte“ Risiken.

Remote-Dienste wie VPNs, Firewalls, Hypervisoren und Identitätsanbieter blieben die attraktivsten Ziele, da sie direkten Zugang zu internen Umgebungen haben.

Für viele Unternehmen lag das Problem nicht in der Komplexität der Schwachstellen, sondern in der operativen Lücke zwischen dem Wissen um die Existenz eines Patches und der Fähigkeit, ihn schnell und sicher anzuwenden.

Warum das wichtig ist:

„Schneller patchen“ klingt einfach, aber das letzte Jahr hat gezeigt, dass die Ausnutzung von Schwachstellen die traditionellen Patch-Zyklen routinemäßig übertrifft. Ohne einen genauen Überblick über die Anlagen, eine risikobasierte Prioritätensetzung und operative Kapazitäten bieten bekannte Schwachstellen weiterhin zuverlässige Einfallstore.

2. Ransomware ist nicht zurückgegangen, sondern hat sich still und leise verändert

Die Vorhersagen über den Rückgang von Ransomware sind nicht eingetreten. Stattdessen entwickelte sich Ransomware weiter.

Der ENISA Bericht über die Bedrohungslandschaft zeigt, dass Ransomware-Aktivitäten im Jahr 2025 an Häufigkeit und Auswirkung zugenommen haben, mit einer klaren Verlagerung hin zu Datenexfiltration und Erpressung ohne Verschlüsselung. Allerdings begannen viele Kampagnen nicht mehr mit lauten, störenden Verschlüsselungsaktionen. Stattdessen konzentrierten sich die Angreifer zunächst auf Datendiebstahl, Aufklärung und das Abgreifen von Zugangsdaten.

Die Verschlüsselung wurde optional. In mehreren Fällen wurde sie ganz ausgelassen. Allein die Drohung mit der Offenlegung der Daten reichte aus, um Verhandlungen zu erzwingen, selbst wenn die Backups intakt waren.

Der Erstzugriff erfolgte häufig durch eine Kombination aus der Ausnutzung von Sicherheitslücken und gestohlenen Zugangsdaten und nicht nur durch die Verbreitung von Malware.

Warum das wichtig ist:

Backups sind nicht länger ein ausreichendes Sicherheitsnetz. Die Ransomware-Abwehr muss jetzt den gesamten Lebenszyklus eines Eindringlings abdecken, vom ersten Zugriff über die seitliche Bewegung bis hin zur Datenexfiltration.

3. Social Engineering wird kontextabhängig und ist schwerer zu erkennen

Die wichtigste Veränderung beim Social Engineering im Jahr 2025 war nicht der Umfang, sondern die Genauigkeit.

Die Angreifer verwendeten zunehmend kontextbezogene Köder, die interne Arbeitsabläufe, Lieferantenkommunikation, Genehmigungsanfragen und Systemwarnungen widerspiegelten. KI-gestützte Tools ermöglichten rasche Variationen in Sprache, Formatierung und Branding, so dass Phishing-Versuche die statischen Erkennungskontrollen umgehen konnten.

Viele Benutzer reagierten nicht auf offensichtlich verdächtige E-Mails. Sie reagierten auf Nachrichten, die wie routinemäßige betriebliche Kommunikation aussahen und sich auch so anfühlten.

Der weit verbreitete Einsatz von Fernzugriffstools, VPNs und hybriden Arbeitsmodellen hat zusätzliche Druckpunkte geschaffen, insbesondere im Hinblick auf administrative und privilegierte Konten.

Warum das wichtig ist:

Sensibilisierungsschulungen, die auf veralteten Phishing-Beispielen basieren, entsprechen nicht mehr der Realität. Wenn die Täuschung authentisch aussieht, verlagert sich das Risiko von Wissenslücken auf Entscheidungen unter Druck.

4. Die Identität wurde zur primären Angriffsfläche

Eine der deutlichsten Lehren des letzten Jahres war die zentrale Rolle von identitätsbasierten Angriffen.

Missbrauch von Zugangsdaten, Passwort-Spraying, Session-Hijacking, Token-Diebstahl und MFA-Müdigkeit waren wiederkehrende Faktoren bei Sicherheitsverletzungen in verschiedenen Branchen. Identitätsbezogene Bedrohungen haben seit 2023 stark zugenommen und sind für 59% aller bestätigten Vorfälle bis Anfang 2025. Dies entspricht einem Anstieg der identitätsbasierten Angriffe um 156% innerhalb von zwei Jahren.

In vielen Umgebungen war es überraschend einfach, sich seitlich zu bewegen, da die Segmentierung begrenzt war und die Zugangskontrolle schwach war.

Warum das wichtig ist:

Die Identität hat die Endpunkte als zuverlässigsten Zugangspunkt überholt. Least Privilege (die Beschränkung des Zugriffs von Benutzern und Systemen auf das, was sie wirklich benötigen) ist neben einer strengen Zugriffsverwaltung und einer phishing-resistenten MFA jetzt eine grundlegende Sicherheitskontrolle und keine optionale Erweiterung.

5. Große Störung durch vertraute Fehler

Viele der störendsten Vorfälle im Jahr 2025 waren auf bekannte betriebliche Fehler zurückzuführen, darunter ungeschützte Verwaltungsschnittstellen, falsch konfigurierte Cloud-Ressourcen, veraltete Systeme, eine schwache Trennung zwischen kritischen und nicht-kritischen Umgebungen und einzelne Fehlerpunkte bei Diensten von Drittanbietern.

Es handelte sich nicht um fortgeschrittene Angriffe. Es waren vermeidbare Fehler, die sich hinter den Annahmen von Reife und Kontrolle verbargen.

Warum das wichtig ist:

Fortgeschrittene Hilfsmittel können schwache operative Grundlagen nicht kompensieren. Der Unterschied zwischen einem harmlosen Zwischenfall und einem Ereignis, das Schlagzeilen macht, liegt oft in den Grundlagen, die als „erledigt“ galten.

Die am häufigsten ausgenutzten gemeinsamen Schwachstellen und Gefährdungen (CVEs)

In der weltweiten Berichterstattung zeichnen sich mehrere Muster ab:

1. Die Angriffe konzentrierten sich auf öffentlich zugängliche Systeme

VPN-Appliances, Firewall-Geräte, E-Mail-Gateways und Cloud-Identitätsanbieter waren weiterhin die Top-Ziele.

2. Weithin bekannte Sicherheitslücken gehörten immer noch zu den am häufigsten ausgenutzten

Ältere CVEs, für die Patches zur Verfügung stehen, sind aufgrund langer Zeiträume für die Behebung, veralteter Systeme oder unvollständiger Patch-Veröffentlichungen weiterhin weit verbreitet.

3. Angreifer nutzten Verkettungsmöglichkeiten aus

Anstatt sich auf eine einzelne Schwachstelle zu verlassen, kombinieren Bedrohungsakteure häufig:

• Eine bekannte Sicherheitslücke für Remotecodeausführung

• Ein Fehler bei der Privilegieneskalation

• Eine Fehlkonfiguration oder ungesicherte Zugangsdaten

Dieser Verkettungsansatz ermöglichte eine schnelle seitliche Bewegung nach dem ersten Zugriff.

4. Die Zeiten für die Bewaffnung haben sich dramatisch beschleunigt

Mehrere kritische Sicherheitslücken wurden aktiv ausgenutzt am selben Tag Herstellerhinweise veröffentlicht wurden.

Was uns das sagt:

Bei der Bedrohung geht es nicht nur um neue Schwachstellen, sondern auch um Sichtbarkeit, Priorisierung und Schnelligkeit. Angreifer konzentrieren sich auf den einfachsten Weg, nicht auf den raffiniertesten.

Ransomware-Taktiken, -Techniken und -Verfahren

• Die Ransomware-Aktivität hat 2025 wieder zugenommen: Eine Analyse schätzt einen Anstieg von ~34 % der bestätigten Ransomware-Vorfälle im Vergleich zu 2024.

• Doch im Gegensatz zu älteren Modellen, die sich auf die reine Dateiverschlüsselung konzentrierten, bevorzugen viele Angreifer heute Doppelte Erpressung: erst Daten exfiltrieren, dann verschlüsseln oder drohen, sie weiterzugeben.

• Die Wirtschaftlichkeit von Ransomware ändert sich. Laut einer weltweiten Umfrage ist die durchschnittliche Lösegeldzahlung in 2025 blieb hoch (≈ US$1,0 Mio.), aber nur eine Minderheit der Organisationen zahlte.
• Ransomware-Akteure kombinieren zunehmend die Ausnutzung von Schwachstellen (z.B. ungepatchte VPNs/Firewalls) mit dem Diebstahl von Zugangsdaten oder Phishing/Social Engineering, um sich Zugang zu verschaffen.

Warum das wichtig ist:

Die Verlagerung hin zu einer Taktik, bei der die Exfiltration an erster Stelle steht und die Verschlüsselung an zweiter Stelle steht, bedeutet, dass sich die Verteidiger nicht nur auf Dateibackups verlassen können. Erkennung und Prävention müssen jetzt den gesamten Lebenszyklus eines Eindringlings abdecken, vom Zugriff bis zur Exfiltration, und mit Exploit-getriebenen Angriffen Schritt halten.

Social Engineering-Entwicklungen: Was überrascht hat (und erfolgreich war)

• Social Engineering war auch im Jahr 2025 eine der Hauptursachen für Ransomware- und Einbruchskampagnen. Im Besonderen, Phishing als erster Zugangspunkt deutlich angestiegen.

• Der Aufstieg von KI-gestütztem Phishing: Angreifer verwenden heute häufig automatisierte oder KI-gestützte Tools, um überzeugende, maßgeschneiderte Phishing-E-Mails zu erstellen, die eine herkömmliche Erkennung umgehen.

• Infolgedessen verwenden viele Phishing-E-Mails jetzt „polymorphe„Merkmale, die Absendernamen, Metadaten, Betreffs und Logos variieren, um signaturbasierte Filter zu umgehen und eine Mustererkennung zu vermeiden.
• Die Verlagerung auf hybride Arbeitsformen, Remote-Umgebungen und der weit verbreitete Einsatz von Remote-Access-Software (VPNs, RDP, Remote-Desktop-Tools) hat die Effektivität des Diebstahls von Zugangsdaten weiter erhöht und Social-Engineering-Taktiken.

Warum das wichtig ist:

Sicherheitsbewusstsein allein reicht nicht mehr aus. Da Angreifer KI einsetzen, um Social Engineering zu skalieren und anzupassen, müssen Unternehmen in mehrschichtige Schutzmaßnahmen investieren (technische Kontrollen, Schulung von Mitarbeitern und Erkennung von Anomalien), insbesondere im Bereich E-Mail und Identitätszugang.

Wo Vorhersagen verfehlt wurden, und warum

Viele frühere Prognosen gingen davon aus, dass Ransomware weiterhin von hochwirksamen Verschlüsselungsangriffen dominiert werden würde und dass die Patching-Zyklen Schritt halten würden. Diese Ansicht wurde unterschätzt:

1. Die explosionsartige Zunahme von Sicherheitslücken und die schnelle Bewaffnung: Im Jahr 2025 wurden weitaus mehr CVE-Meldungen veröffentlicht, als viele Prognosen vorausgesagt hatten, und Angreifer nutzten viele davon innerhalb weniger Stunden aus.

1. Der Wechsel zu Geschäftsmodellen mit doppelter Erpressung und Datenlecks: Die Verschlüsselung allein verliert ihren Wert, wenn die Ziele über gute Backups verfügen; Datendiebstahl und Erpressung bieten mehr Möglichkeiten.

1. Die Macht von Social Engineering + KI: Prognosen, die sich ausschließlich auf technische Schwachstellen konzentrierten, übersahen, wie effektiv KI-gestützte Phishing- und Credential-basierte Angriffe werden würden.

Das bedeutet, dass Verteidiger und Risikomodelle, die sich hauptsächlich auf Patch-Zyklen, Backup-Ausfallsicherheit oder verschlüsselungsbasierte Schutzmaßnahmen verlassen haben, neu bewertet werden müssen. Die wirkliche Bedrohung, insbesondere für viele Unternehmen, ist jetzt breiter gefächert: Sie umfasst Identität, Erstzugang, Datenexfiltration und Social Engineering.

Was die Bedrohungslandschaft für das Jahr 2026 signalisiert

Wenn Sie sich genau ansehen, wie die jüngsten Angriffe abgelaufen sind, zeichnet sich ein Muster ab. Die Angreifer haben sich nicht auf futuristische Techniken oder komplexe Zero-Days verlassen. In den meisten Fällen wählten sie den einfachsten und zuverlässigsten Weg in ein Unternehmen.

Dieser Weg führte oft über Menschen.

Bei Identitätsmissbrauch, verspätetem Patching, Ransomware-Einbrüchen und Social-Engineering-Kampagnen war die Gemeinsamkeit nicht nur die Technologie. Es war das Verhalten. Entscheidungen, die unter Druck getroffen wurden. Zugriff, der im Laufe der Zeit gewachsen war. Kontrollen, die auf dem Papier gut aussahen, aber in der Praxis nicht getestet wurden.

Die Identität steht dabei weiterhin im Mittelpunkt. Berechtigungsnachweise werden weitergegeben, wiederverwendet, zu schnell genehmigt oder durch Phishing preisgegeben. Selbst gut konfigurierte Umgebungen werden anfällig, wenn alltägliche Verhaltensweisen unbeabsichtigte Öffnungen schaffen.

Die Geschwindigkeit der Angriffe zwingt auch zu einem Umdenken. Herkömmliche Patch-Zyklen und richtlinienbasierte Kontrollen können nur schwer mithalten, wenn Angreifer innerhalb von Stunden agieren. In dieser Lücke zwischen Wissen und Handeln liegt das Risiko.

Ransomware hat den gleichen Weg eingeschlagen. Datenausspähung und Erpressung gehören jetzt neben Verschlüsselung zu den wichtigsten Taktiken. Um Auswirkungen zu verhindern, müssen Sie nicht nur wissen, wo die Systeme anfällig sind, sondern auch, wo Menschen und Prozesse ein Risiko darstellen können.

Auch die Sensibilisierungsprogramme müssen sich weiterentwickeln. Modernes Phishing sieht nicht offensichtlich verdächtig aus. Es sieht nach Routine aus. Es spiegelt Lieferanten, Kollegen, Systembenachrichtigungen und interne Anfragen wider. Diese Art der Täuschung zu erkennen, erfordert mehr als eine Grundausbildung. Es erfordert Urteilsvermögen.

Das Jahr 2025 hat deutlich gemacht, dass operative Stärke von mehr als nur von Tools abhängt. Sie hängt von der Transparenz des tatsächlichen Verhaltens, der tatsächlichen Belastung und der tatsächlichen Bereitschaft ab.

Im Jahr 2026 werden Organisationen, die ihr menschliches Risiko genauso gut kennen wie ihr technisches, in einer weitaus besseren Position sein, um Störungen zu verhindern und mit Zuversicht zu reagieren.

Arbeiten mit MetaCompliance

Wir von MetaCompliance helfen Unternehmen dabei, die Risiken, die oft nur unter der Oberfläche lauern, genauer zu betrachten. Die Vorfälle, die die heutige Bedrohungslandschaft prägen, passieren selten, weil die Mitarbeiter die Regeln nicht kennen. Sie ereignen sich, weil sich Unternehmen auf Annahmen über Verhalten, Abdeckung und Bereitschaft verlassen, die nicht mehr dem tatsächlichen Ablauf von Angriffen entsprechen.

Unser Ansatz beruht darauf, diese Annahmen in Beweise umzuwandeln. Mit unserer Plattform für Human Risk Management erhalten Sicherheitsverantwortliche einen Überblick darüber, wo wirklich ein Risiko besteht, und zwar auf der Grundlage von echtem Verhalten, Engagement-Mustern und der Gefährdung durch moderne Bedrohungen und nicht durch Abschlussquoten oder statische Metriken.

Statt einheitlicher Sensibilisierungsprogramme können Unternehmen gezielte, personalisierte Interventionen anbieten, die auf das Risikoprofil jedes Nutzers abgestimmt sind. So wird sichergestellt, dass die Schulung sich auf das konzentriert, was am wichtigsten ist, anstatt die Bemühungen gleichmäßig auf Benutzer mit niedrigem und hohem Risiko zu verteilen.

Unsere szenariobasierten Schulungen spiegeln wider, wie Täuschung heute wirklich aussieht, von kontextbezogenem Phishing und Anbieter-Identität bis hin zu identitätsgesteuerten Eindringversuchen. Diese kurzen, konzentrierten Lernmomente sind so konzipiert, dass sie das Urteilsvermögen unter realistischen Bedingungen schärfen und den Mitarbeitern helfen, Risiken zu erkennen, wenn sie subtil, vertraut und leicht zu übersehen sind.

Die Phishing-Simulationen entwickeln sich innerhalb der Plattform kontinuierlich weiter und spiegeln die Taktiken, die Sprache und den Kontext wider, die Angreifer in echten Kampagnen verwenden. So können Unternehmen nicht nur einfach testen, ob sie bestanden haben oder nicht, sondern auch ihr Verhalten nachhaltig ändern, um die Anfälligkeit im Laufe der Zeit zu verringern.

Die Verwaltung von Richtlinien und Compliance ist vollständig integriert, so dass Unternehmen einen klareren Überblick darüber erhalten, wie Governance, Verhalten und Risiken zusammenhängen. Die Berichterstattung zeigt aufkommende Trends und verborgene Schwachstellen auf und ermöglicht es den Führungskräften, Maßnahmen auf der Grundlage von Beweisen zu priorisieren, anstatt sich zu beruhigen.

Die Kluft zwischen dem Vertrauen in die Sicherheit und der Realität der Sicherheitsverletzungen wird immer größer. MetaCompliance hilft Unternehmen, diese Kluft zu schließen, indem es sich auf die menschlichen Entscheidungen und alltäglichen Kontrollen konzentriert, die Angreifer am häufigsten ausnutzen. Es ist an der Zeit, genauer hinzusehen, wo das Risiko wirklich lebt.