< Zurück
Blog

Cyber-Bedrohungen im Jahr 2025: Warum Identität, Cloud-Persistenz und Malware der alten Schule nach wie vor eine Rolle spielen

Die erste Hälfte des Jahres 2025 hat bestätigt, was viele Cybersicherheitsexperten bereits wissen: Angreifer passen sich schneller denn je an und kombinieren modernste Cloud-Persistenz mit überraschend einfachen Techniken, die es schon seit Jahrzehnten gibt. Der Threat Intelligence Report von Ontinue für das erste Halbjahr 2025 zeigt, dass Ransomware zwar weiterhin die Schlagzeilen dominiert, für Verteidiger jedoch der Anstieg von Identitätsangriffen, die MFA umgehen, der Missbrauch von Token-Replays und das Wiederauftauchen von Malware, die über USB-Sticks verbreitet wird, dringlichere Themen sind.

Diese Trends vermitteln eine klare Botschaft. Die Bedrohungslandschaft wird nicht allein durch neuartige Exploits oder ausgeklügelte Kampagnen bestimmt. Sie wird dadurch geprägt, dass Angreifer neue Taktiken mit alten Schwachstellen kombinieren und stets nach dem einfachsten Weg suchen, um Systeme zu kompromittieren. Für CISOs und Sicherheitsverantwortliche bedeutet dies, dass sie sich nicht nur auf die neuesten Technologien konzentrieren müssen, sondern auch darauf, die grundlegenden Lücken zu schließen, die Angreifer unermüdlich ausnutzen.

Identität als neues Schlachtfeld

Der Bericht zeigt, dass Angreifer zunehmend Identitätssysteme ins Visier nehmen. Fast 40 Prozent der von Ontinue untersuchten Azure-Einbrüche umfassten mehrschichtige Persistenzmethoden, wie beispielsweise die Kombination von Anwendungsregistrierungen mit Automatisierungsaufträgen und Rollenerweiterungen. Bei etwa jedem fünften Vorfall kam die Technik „Refresh Token Replay” zum Einsatz, mit der Angreifer die MFA auch nach einer Passwortzurücksetzung umgehen können.

Diese Taktiken nutzen die Tatsache aus, dass viele Unternehmen nach wie vor Schwierigkeiten haben, kompromittierte Tokens zu erkennen und zu widerrufen oder Cloud-Umgebungen kontinuierlich auf ungewöhnliche Persistenz zu überwachen. Red-Team-Übungen zeigen aufgrund von Umfangs- oder Sicherheitsbeschränkungen oft nicht die langfristigen Auswirkungen solcher Techniken auf. Angreifer in der realen Welt unterliegen solchen Beschränkungen nicht. Sie wiederholen Tokens unbegrenzt, unterdrücken Diagnoseeinstellungen und manipulieren bedingte Zugriffsrichtlinien, um die Verweildauer zu verlängern, die bei Cloud-Einbrüchen mittlerweile durchschnittlich mehr als drei Wochen beträgt.

Dies unterstreicht, wie wichtig es ist, die Identität als den eigentlichen Perimeter zu betrachten. Die Sicherheit von Azure AD, privilegierten Rollen und Anwendungsregistrierungen muss mit derselben Sorgfalt getestet und überwacht werden wie herkömmliche Netzwerk- und Endpunktschutzmaßnahmen.

Phishing: Alte Technik, neue Formate

Auch Phishing entwickelt sich weiter. Mehr als 70 Prozent der Anhänge, die in der ersten Hälfte des Jahres 2025 sichere E-Mail-Gateways umgangen haben, waren nicht-traditionelle Formate wie SVG- oder IMG-Dateien und nicht die Office-Makros oder ausführbaren Payloads, die Verteidiger erwarten würden. Angreifer nutzen diese Formate, um Skripte oder Weiterleitungen einzubetten, die die Opfer direkt auf Man-in-the-Middle-Websites führen, wo sie in einem einzigen Schritt sowohl Anmeldedaten als auch Tokens sammeln.

Dies ist wichtig, da es zeigt, dass Sicherheitsverantwortliche sich nicht auf frühere Annahmen zur Phishing-Erkennung verlassen können. E-Mail-Sicherheitsmaßnahmen müssen so angepasst werden, dass sie auch neue Dateitypen überprüfen, und die Schulung der Benutzer muss der Tatsache Rechnung tragen, dass Angreifer weiterhin innovative Methoden entwickeln werden, um ihre Köder zu verpacken.

Die Rückkehr der USB-Malware

Der vielleicht überraschendste Trend ist das Wiederaufleben von Malware, die über USB-Sticks verbreitet wird. Ontinue beobachtete einen Anstieg von 27 Prozent bei Malware, die über USB-Sticks verbreitet wurde, im Vergleich zum zweiten Halbjahr 2024. Untersuchungen zufolge haben mehr als die Hälfte der USB-basierten Bedrohungen das Potenzial, erhebliche Störungen in Unternehmens- und Industrieumgebungen zu verursachen.

Trotz jahrelanger Fortschritte im Bereich Endpoint Protection lassen viele Unternehmen nach wie vor Wechseldatenträger ohne strenge Kontrollen zu. Dies ist ein Bereich, in dem menschliches Verhalten und Unternehmensrichtlinien ebenso wichtig sind wie Technologie. Ein einziger unüberwachter USB-Stick kann die netzwerkbasierten Abwehrmaßnahmen vollständig umgehen und Malware direkt auf einen Unternehmens-Workstation übertragen.

Für Sicherheitsverantwortliche ist die Schlussfolgerung klar. Grundlegende Kontrollmaßnahmen wie die Einschränkung der USB-Nutzung, die Aufhebung unnötiger Administratorrechte und die Überwachung ungewöhnlicher Geräteverbindungen bleiben unverzichtbar. Fortgeschrittene Abwehrmaßnahmen können die Vernachlässigung grundlegender Maßnahmen nicht kompensieren.

Risiken durch Dritte und die wachsende Angriffsfläche

Der Bericht zeigt auch, dass Verstöße durch Dritte im Vergleich zum Vorjahr um das Doppelte zugenommen haben und nun fast 30 Prozent der Vorfälle ausmachen. Da Unternehmen weiterhin auf externe Anbieter für IT-, Cloud- und Betriebsdienstleistungen angewiesen sind, schaffen diese Beziehungen neue Möglichkeiten für Angreifer.

Das Risikomanagement für Lieferanten kann nicht länger nur eine Compliance-Checkliste sein. Es muss eine operative Realität sein, mit kontinuierlicher Überwachung, Zugriffsbeschränkungen und gemeinsamer Planung für die Reaktion auf Vorfälle.

Warum diese Ergebnisse wichtig sind

Die Bedeutung dieser Erkenntnisse liegt darin, was sie über das Verhalten der Angreifer aussagen. Angreifer sind pragmatisch. Sie beschränken sich nicht auf ausgeklügelte Exploits, wenn einfache Lücken verfügbar sind. Sie kombinieren Token-Replay mit Cloud-Persistenz, Phishing mit übersehenen Dateitypen und Ransomware mit schwachen Hersteller-Kontrollen. Sie nutzen jede Kombination aus alten und neuen Techniken, die ihre Chancen auf Monetarisierung maximiert.

Das bedeutet, dass die Abwehr der heutigen Angreifer einen doppelten Fokus erfordert. Unternehmen müssen in fortschrittliche Erkennungs- und Reaktionsfunktionen für Cloud-Identitäten, Persistenz und Token-Missbrauch investieren. Gleichzeitig dürfen sie grundlegende Maßnahmen wie USB-Beschränkungen, Endpunkt-Hygiene und Benutzeraufklärung nicht vernachlässigen.

Ausblick

Der Threat Intelligence Report von Ontinue für das erste Halbjahr 2025 spiegelt nicht nur wider, wo Angreifer erfolgreich waren, sondern ist auch ein Fahrplan dafür, wo sich Verteidiger anpassen müssen. Die Lücke zwischen Red-Team-Übungen und dem tatsächlichen Verhalten von Angreifern zu schließen, hat Priorität. Ebenso wie die Stärkung der Grundlagen, die für Angreifer nach wie vor überraschend effektiv sind.

In den kommenden Wochen werden wir eine Reihe von Blogbeiträgen veröffentlichen, in denen wir näher auf jeden dieser Trends eingehen, darunter Ransomware-Operationen, Phishing-as-a-Service-Plattformen und APTs.

Für CISOs lautet die wichtigste Erkenntnis: Cyber-Resilienz basiert nicht nur auf fortschrittlichen Tools, sondern auch auf einer disziplinierten Umsetzung auf allen Ebenen der Umgebung. Von der Identität über Endpunkte bis hin zu Anbietern sind die Grundlagen genauso wichtig wie Innovationen.

Lesen Sie die vollständiger Bericht.

Teilen
Schlüsselwörter

Verwandte Artikel

Eine Nahaufnahme mit dem Wort 'PASSWORD' in weißer Schrift, umgeben von Binärcode (Nullen und Einsen) auf blauem Hintergrund, die auf Themen wie Cybersicherheit und Datenschutz hinweist.
Blog
10 Milliarden Passwörter sind durchgesickert. Warum es keine Rolle spielt, wenn Sie die Sicherheit richtig handhaben

Weiterlesen >
Eine Person, die ihre Anmeldedaten über ein Touchscreen-Tablet eingibt, mit einem Schloss-Symbol auf dem Bildschirm. Daneben liegt ein Smartphone, auf dem eine Bestätigungsaufforderung angezeigt wird. Dies veranschaulicht, wie Cyberkriminelle integrierte Microsoft-Tools ausnutzen.
Blog
Integrierte Bedrohungen: Wie Cyberkriminelle Microsoft-Tools zu Angriffsvektoren machen

Weiterlesen >
Podcast-Cover mit einem Mikrofon-Symbol auf einem violetten Hintergrund mit Farbverlauf. Der Text lautet 'Microsoft Security Tips' und 'Defend Your Time Podcast'.
Blog
Verteidigen Sie Ihre Zeit: Bekämpfung des Infostealers LummaC2

Weiterlesen >
Ein Muster aus schwarzen und weißen Disketten auf rosa Hintergrund, das Retro-Technologie und Datenspeicherung illustriert und für die Geschichte der Ransomware relevant ist.
Blog
Wie Ransomware sich von einem Betrug mit Disketten zu einer Milliardenindustrie entwickelte

Weiterlesen >
Podcast-Cover mit einem Mikrofon-Symbol auf einem violetten Hintergrund mit Farbverlauf. Der Text lautet 'Microsoft Security Tips' und 'Defend Your Time Podcast'.
Blog
Identitätsschutz mit DFI, Entra ID und mehr

Jetzt anhören >
Eine Person in einem dunklen Kapuzenpulli tippt auf einem Laptop, auf dem Codezeilen angezeigt werden, mit einem weichgezeichneten Hintergrund, der auf eine technische Umgebung hindeutet. Dieses Bild bezieht sich auf den Aufstieg von Infostealer-Malware.
Blog
Einblick in BlackBasta: Was durchgesickerte Gespräche über ihre Ransomware-Aktivitäten verraten

Weiterlesen >