logo lineofbiz

Cyber-Kriminelle beschleunigen ihre Angriffe:Industrialisierung von Cyber-Angriffen nimmt zu

11. Juni 2026
hacker Pixa LoB Veeam DarwinLaganzon
Quelle: Darwin Laganzon, Pixabay

Cyber-Kriminelle beschleunigen ihre Angriffe, skalieren bekannte Methoden und nutzen Einstiegspunkte präziser aus. Das zeigt der Report „InfoGuard Intelligence Insights 2025“ auf Basis von über 350 Cyber-Vorfällen, die das InfoGuard CSIRT (Cyber Security Incident Response Team) im Jahr 2025 bearbeitet hat. Das entspricht einem Anstieg von rund 20 Prozent gegenüber dem Vorjahr; komplexe Angriffe nahmen im ersten Halbjahr 2025 gegenüber der Vorperiode um 115 Prozent zu.

Im Jahr 2025 prägten weniger neue Angriffsmethoden die Bedrohungslage als die professionelle Skalierung bekannter Vorgehensweisen. Angreifer agieren effizienter, schneller und in hochgradig skalierbaren, arbeitsteiligen Strukturen. Automatisierung, der Handel mit kompromittierten Zugängen durch Initial-Access-Broker, KI-gestützte Angriffswerkzeuge und professionalisierte Ransomware-Ökosysteme ermöglichen auch ohne technische Kenntnisse schnellere, skalierbare und arbeitsteilig organisierte Angriffe und beschleunigen die Ausnutzung bestehender Schwachstellen.

Cyber-Angreifer agieren dabei zunehmend im Cybercrime-as-a-Service-Modell. Sie nutzen dafür systematisch gestohlene Identitäten, Fehlkonfigurationen, unzureichend gesicherte Remote-Zugänge und blinde Flecken im Monitoring.

Phishing, Remote-Zugänge und schnelle Exploits dominieren

Die zentralen Erkenntnisse des Cyber Threat Intelligence Insights Reports im Überblick:

  • Phishing bleibt wichtigster Einstiegsvektor: In 43 Prozent der analysierten Sicherheitsvorfälle erfolgte der Erstzugang über Phishing. Innerhalb der vergangenen fünf Jahre hat sich dieser Anteil mehr als verdoppelt. Personalisierte Inhalte, KI-generierte Texte, Deepfake-Sprachnachrichten und die präzise Nachahmung interner Kommunikation heben die Angriffsqualität auf ein neues Niveau.
  • Schlecht geschützte Remote-Zugänge als Ransomware-Risiko: 25 Prozent der Angriffe begannen über exponierte Login-Prompts, die Angreifer systematisch mit Brute Force oder Password Spraying testen. In 68 Prozent der beobachteten Vorfälle mit offenen oder schlecht abgesicherten VPN-, RDP- und Remote-Management-Zugängen führte der Zugriff direkt zu einer Ransomware-Kompromittierung.
  • Beschleunigte Ausnutzung von RCE-Schwachstellen:  2025 schrumpfte das Zeitfenster zwischen Veröffentlichung einer CVE und einer aktiven Ausnutzung in vielen Fällen von Wochen auf wenige Tage oder sogar Stunden. Der zunehmende Einsatz von Agentic AI auf Angreiferseite wird diese Entwicklung voraussichtlich weiter verschärfen und klassische Patchprozesse strukturell überfordern.

Gleichzeitig verschieben sich Angriffe zunehmend in Bereiche außerhalb der Kontrolle von Unternehmen – etwa in Lieferketten, Cloud-Dienste oder private Endgeräte. Moderne Angreifer vermeiden Lärm. Sie bewegen sich lautlos mit Living-off-the-Land-Techniken, legitimen Tools und langer Verweildauer. Wer also bei der Incident Detection nur auf bekannte Angriffsmuster reagiert, kommt zu spät.

Klassische Erkennungsmethoden greifen hier zu kurz. Deshalb müssen Unternehmen ihre Cyber-Resilienz stärken, um Kompromittierungen frühzeitig erkennen, einzuordnen und entschlossen handeln zu können.

Handlungsempfehlungen für eine gestärkte Cyber-Resilienz

Auf Basis der gewonnenen Erkenntnisse leitet InfoGuard im aktuellen Report konkrete Handlungsempfehlungen für Unternehmen ab:

  • Identity First: Konsequenter Einsatz von Multifaktor-Authentifizierung für alle externen und sensiblen internen Dienste. Phishingresistente Methoden wie Passkeys oder FIDO2, strenge Conditional Access Policies sowie das Monitoring von Zugriffstokens verhindern Accountübernahmen wirksam.
  • Patchzyklen verkürzen: Sicherheitskritische Updates am Perimeter unverzüglich implementieren. Systeme nach jedem Patch gezielt auf bereits erfolgte Kompromittierungen prüfen, um trügerische Sicherheit zu vermeiden.
  • Zero Trust forcieren: Konsequente Netzwerksegmentierung, überwachte Zonenübergänge und regelmäßige Re-Authentifizierungen von Benutzeridentitäten dämmen laterale Bewegungen im Falle einer Kompromittierung ein.
  • Monitoring erweitern: Über EDR und NDR hinaus gilt es heute, auch Identitäten, Cloud-Ressourcen und exponierte APIs zu überwachen. Nur eine ganzheitliche Sicht verkürzt die Zeit bis zur Detektion signifikant.
  • Incident Response testen: Regelmäßige Tabletop Exercises (TTX) trainieren den Ernstfall unter realistischen Bedingungen und decken technische wie organisatorische Schwachstellen auf.
  • Backup-Strategie validieren: Backups müssen einem Ransomware-Angriff standhalten. Immutable oder physisch getrennte Offline-Backups sowie regelmäßig getestete Disaster-Recovery-Prozesse sind zwingend erforderlich.
  • Supply-Chain-Risiko minimieren: Software-Updates, Wartungs- und Lieferantenzugänge konsequent überwachen und einschränken sowie den Einsatz unternehmensfremder Software technisch kontrollieren.

Daniel Heinzig, Geschäftsführer InfoGuard Deutschland GmbH

Zum „InfoGuard Intelligence Insights 2025

Lesen Sie auch

business LoB Pixa buffik

„Händewaschen“ für die IT

hacker LoB Pixa geralt

KI-Agenten für proaktives Vorgehen

business LoB Pixa Buffik

In fünf Stufen zu einem sicheren Netzwerk