Der Anbieter von Security Operations Arctic Wolf veröffentlicht seinen jährlichen Arctic Wolf Threat Report. Die Ergebnisse der neuesten Auflage des Berichts zeigen, wie Cyberkriminelle ihre Methoden anpassen, um die mittlerweile stärkeren Sicherheitsmassnahmen der Verteidiger zu umgehen: Sie setzen bei Ransomware-Attacken verstärkt auf Datendiebstahl, statt Daten nur zu verschlüsseln, verfeinern BEC-Betrügereien (Business E-Mail Compromise) und nutzen bekannte Schwachstellen aus, um Unternehmen weltweit zu infiltrieren. Der Industriesektor ist besonders anfällig für solche Angriffe und steht vor der Herausforderung, proaktive Massnahmen zu ergreifen, um sensible Daten sowie die Produktion vor Ausfallzeiten und den damit verbundenen Kosten und Imageschäden zu schützen.
Quelle Arctic Wolf
Der Report wurde auf der Grundlage von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Falldaten erstellt, die Arctic Wolf über das gesamte Security-Operations-Framework sammelt. Er gibt tiefe Einblicke in das globale Ökosystem „Cyberkriminalität“, zeigt weltweite Bedrohungstrends und liefert strategische Cybersecurity-Empfehlungen für das Jahr 2025.
Ransomware-Angriffe: Fertigungsindustrie am stärksten betroffen
Trotz verstärkter Strafverfolgung machen Ransomware-Attacken mit 44 % den grössten Teil der erfassten IR-Fälle aus. Da Unternehmen immer bessere Backup-Strategien aufbauen und so eine schnellere Recovery möglich ist, haben Cyberkriminelle ihre Strategie angepasst und setzen bei ihren Angriffen nahezu immer auch auf Datenexfiltration. So stahlen die Angreifer in 96 % der analysierten Ransomware-Fälle Daten. Die Täter können die erbeuteten Daten dann weiterverkaufen oder dem Unternehmen mit der Veröffentlichung von Kunden- oder anderen sensiblen Geschäftsdaten drohen.
Mit fast 19 % macht die Fertigungsindustrie den grössten Anteil der erfassten Ransomware-IR-Fälle aus. Die Fertigungsbranche ist traditionell ein besonders attraktives Angriffsziel für Cyberkriminelle: Zum einen gibt es vielfältige Supply-Chain-Verflechtungen und eine potenziell grosse Angriffsfläche, zum anderen stehen Fertiger unter dem Druck, Ausfallzeiten auf ein Minimum zu reduzieren. Weil die Kapazitäten von Fertigungsstrecken nicht beliebig skaliert werden können, drohen Produktionsausfälle, die nicht mehr aufgeholt werden können – von Vertragsstrafen, Lieferengpässen und Reputationsverlusten ganz abgesehen. Ausserdem verfügen Hersteller oft über wertvolle Informationen über industrielle Prozesse und Kunden, was sie anfällig für Datenerpressung macht.
Die durchschnittlichen Lösegeldforderungen betragen ähnlich wie im Vorjahr 600'000 USD – ein lukratives Geschäft für Cyberkriminelle. Gleichzeitig haben die Auswertungen gezeigt, dass Opferunternehmen die geforderten Beträge mit Hilfe von professionellen Ransom-Verhandlern deutlich senken können. So mussten Unternehmen, die mit Arctic Wolf zusammenarbeiten, durchschnittlich nur 36 % des ursprünglich geforderten Betrags zahlen.
„Ransomware-Gruppen haben ihr Geschäftsmodell weiterentwickelt: Selbst, wenn es eine gute Backup-Strategie gibt, setzt die Drohung, gestohlene Kunden- und Geschäftsdaten zu veröffentlichen oder weiterzuverkaufen, Unternehmen massiv unter Druck – oft mit verheerenden finanziellen und reputativen Folgen“, erklärt Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf. „Diese Taktik macht klassische Backups als alleiniges Schutzmittel wirkungslos. Unternehmen müssen daher verstärkt auf umfassende Bedrohungserkennung, Zero-Trust-Strategien und proaktive Security-Operations-Ansätze setzen, um Angriffe frühzeitig zu identifizieren und Datenabflüsse zu verhindern.“
BEC: Angreifer folgen dem Geld
Business E-Mail Compromise ist eine spezielle Form des E-Mail-Phishings, bei der Angreifer versuchen, Unternehmen zur Überweisung von Geld oder zur Herausgabe vertraulicher Daten zu bewegen – etwa durch Account-Kompromittierung oder CEO-Fraud. BEC Incidents machen 27 % der beobachteten IR-Fälle aus und sind damit weiterhin die zweithäufigste Betrugstaktik.
Im Fokus dieser Art des Cyberbetrugs stehen Organisationen, die im grossen Stil Geld sowie Zahlungsdaten per E-Mail austauschen: Auf die Finanz- und Versicherungsbranche entfielen 26,5 % der BEC-IR-Fälle, etwa doppelt so viele wie auf die zweitplatzierte Branche Rechtswesen und Verwaltung. Auch die Fertigungsindustrie ist von dieser Art der Cyberkriminalität betroffen – sie folgt mit 12 % auf Platz drei.
„Phishing und kompromittierte Zugangsdaten bleiben die Hauptursachen für BEC-Angriffe. KI ermöglicht Bedrohungsakteuren immer raffiniertere, personalisierte Attacken, sodass Awareness-Trainings allein nicht ausreichen, allen Vorfällen vorzubeugen – sie helfen aber, die Vielzahl unsauber ausgeführter Angriffe schnell zu erkennen. Unternehmen sollten deshalb neben Schulungen auch auf starke Zugangskontrollen setzen. Eine Kombination aus Passwortmanagement und moderner Multi-Faktor-Authentifizierung, etwa biometrischen Verfahren oder physischen Sicherheitsschlüsseln, ist entscheidend, um den unbefugten Zugriff effektiv zu verhindern“, erklärt Dr. Schmerl.
Wenige Schwachstellen werden überproportional oft ausgenutzt
Intrusions waren mit 24 % die dritthäufigste Ursache der aufgezeichneten IR-Fälle – ein deutlicher Anstieg gegenüber dem Vorjahr (14,8 %). So wurden 2024 über 40.000 Sicherheitslücken verzeichnet. Auch bei den kritischen und schwerwiegenden Schwachstellen gab es einen Anstieg um 134,46 %. Auch hier gehört die Fertigungsindustrie zu den Top-5-Angriffszielen.
In 76 % der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus, von denen alle bereits bekannte Sicherheitslücken waren, für die bereits entsprechende Patching-Massnahmen verfügbar gewesen wären. Die meisten dieser Vorfälle standen in Verbindung mit Remote-Access-Tools und von aussen zugänglichen Systemen und Services. In einigen Fällen nutzten die Angreifer beispielsweise Fehlkonfigurationen wie offene Ports, von aussen zugängliche interne Websites oder für Brute-Force-Taktiken anfällige administrative Konten aus, um sich Zugang zu verschaffen. Dies zeigt deutlich, wie wichtig proaktives Patch-Management ist.
„Viele Unternehmen zögern mit der Implementierung von Patches, obwohl Schwachstellen längst bekannt und Updates verfügbar sind. Oft fehlen klare Prozesse, es gibt Bedenken wegen möglicher Betriebsunterbrechungen oder personelle Engpässe bestehen. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle“, so Dr. Schmerl. „Ein effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren. Fehlen die internen Ressourcen, um dies abzudecken, können Unternehmen mit Security-Partnern wie Arctic Wolf zusammenarbeiten, die sie langfristig dabei unterstützen, ihre Sicherheitslage zu verbessern.“
Weitere Informationen und den kompletten Arctic Wolf Threat Report 2025 zum kostenlosen Download finden Sie unter arcticwolf.com.
Über Arctic Wolf:
Arctic Wolf ist ein führender Anbieter von Security Operation Services und ermöglicht es Unternehmen jeder Grösse und Branche mit seiner cloudnativen Security Operations Plattform das Cyberrisiko in Zeiten intelligenter Cyberangriffe zu managen. www.arcticwolf.com