Thought Leadership
Die Münchner Sicherheitskonferenz 2025 hebt Cybersicherheit als geopolitische Herausforderung hervor – und der neue Darktrace Threat Report 2024 zeigt, warum dieses Thema weltweit an Bedeutung gewinnt. Die durchschnittliche Zahlung pro Ransomware-Angriff stieg 2024 auf 2,73 Millionen US-Dollar – ein Anstieg um eine Million US-Dollar gegenüber 2023.
Gleichzeitig ging die absolute Zahl der Attacken leicht zurück. Doch anstatt wahllos zu operieren, setzen Cyberkriminelle verstärkt auf hochpräzise Angriffe, gezielte Erpressung und manipulative Taktiken, um maximale finanzielle Schäden zu verursachen.
Darktrace beobachtet eine wachsende Professionalisierung des Cybercrime-Systems. 57 Prozent aller analysierten Angriffe im zweiten Halbjahr 2024 gingen auf Malware-as-a-Service (MaaS) zurück – ein Plus von 17 Prozentpunkten gegenüber den ersten sechs Monaten des Jahres. Besonders besorgniserregend: Die Zahl der Remote-Access-Trojaner (RATs) stieg von 12 auf 46 Prozent. Diese ermöglichen es Angreifern, Netzwerke wochenlang zu infiltrieren, ohne sofort Daten zu verschlüsseln.
Warum Ransomware-Erpresser erfolgreicher werden
Lange galt ein funktionierendes Backup-Management als verlässlicher Schutz gegen Ransomware. Doch Angreifer haben ihre Strategien angepasst. Gezielte Attacken auf Cloud-Backups, Sicherungssysteme und Netzwerk-Storage verhindern zunehmend die Wiederherstellung der Daten.
Wir sehen eine massive Zunahme an Angriffen auf Backup-Infrastrukturen. Besonders betroffen sind Amazon S3 Buckets, Veeam-Backups und andere netzwerkbasierte Sicherungen. Angreifer verschaffen sich frühzeitig Zugang zu Backup-Systemen und sabotieren sie, bevor die eigentliche Ransomware-Attacke beginnt.
Die Konsequenz: Unternehmen verlieren die Möglichkeit, ihre Daten wiederherzustellen, und haben oft keine andere Wahl, als das geforderte Lösegeld zu zahlen. In vielen Fällen wurden gezielt Schwachstellen in Backup-Software ausgenutzt, um Wiederherstellungsoptionen vollständig zu zerstören. Diese Taktik führt zu einer deutlichen Erhöhung der durchschnittlichen Lösegeldforderungen und zeigt, dass Cyberkriminelle mittlerweile langfristige Strategien verfolgen, um den finanziellen Schaden für Unternehmen zu maximieren.
KI-gesteuerte Attacken auf IT-Administratoren nehmen zu
Phishing bleibt der beliebteste Angriffsvektor – doch die Methoden entwickeln sich rasant weiter. Darktrace registrierte über 30,4 Millionen Phishing-Mails zwischen Dezember 2023 und Dezember 2024. 38 Prozent richteten sich gezielt gegen hochrangige Mitarbeiter und IT-Administratoren. Die Angreifer setzen verstärkt auf Deepfake-Technologien, QR-Code-Phishing und Social Engineering über scheinbar legitime Cloud-Dienste.
70 Prozent der Angriffe umgingen etablierte Schutzmechanismen wie DMARC. Besonders alarmierend: 55 Prozent der Attacken durchdrangen selbst hoch entwickelte Sicherheitslösungen. Oft werden vertrauenswürdige Dienste wie Microsoft SharePoint, Zoom Docs oder Adobe missbraucht, um Phishing-Angriffe besonders glaubwürdig erscheinen zu lassen.
KI-generierte Texte und gefälschte Identitäten machen es zunehmend schwerer, legitime E-Mails von betrügerischen zu unterscheiden. Darktrace beobachtet, dass KI-basierte Angriffsmethoden schneller skaliert werden, als klassische Sicherheitsmechanismen angepasst werden können. Unternehmen stehen somit vor der Herausforderung, ihre E-Mail-Sicherheit an eine sich schnell wandelnde Bedrohungslage anzupassen.
Edge- und Perimeter-Geräte als Schwachstellen
Neben Phishing setzen Angreifer verstärkt auf direkte Angriffe auf Edge- und Perimeter-Systeme. Darktrace stellte fest, dass 40 Prozent aller untersuchten Cyberkampagnen im ersten Halbjahr 2024 auf extern erreichbare Geräte wie Firewalls und VPN-Gateways abzielten.
Das Problem: Viele dieser Systeme sind zwar theoretisch abgesichert, werden aber oft nicht ausreichend überwacht. Angriffe auf Edge-Geräte erfolgen häufig schleichend und bleiben über lange Zeiträume unentdeckt. Ein Beispiel aus der nalyse zeigt, wie wichtig proaktive Bedrohungserkennung ist: Verdächtige Aktivitäten auf einer Perimeter-Firewall wurden bereits 17 Tage vor einer offiziellen Sicherheitswarnung identifiziert.
Diese Erkenntnisse unterstreichen, dass traditionelle Sicherheitssysteme oft nicht ausreichen, um gezielte Angriffe auf Perimeter-Systeme zu verhindern. Unternehmen müssen ihre Netzwerksicherheitsstrategie überdenken und stärker auf KI-gestützte Anomalieerkennung setzen.
Bekannte Angriffsmuster unter neuen Namen
Viele Ransomware-Gruppen ändern regelmäßig ihre Namen, behalten jedoch ihre erfolgreichen Methoden bei. Doppelterpressung – also die Kombination aus Datenverschlüsselung und Veröffentlichung gestohlener Daten – bleibt ein zentrales Angriffsmuster.
Wir sehen eine zunehmende Professionalisierung von Cybercrime-as-a-Service. Plattformen im Darknet ermöglichen es, komplette Angriffspakete inklusive Support und Updates zu mieten. Durch diesen Ansatz können selbst technisch weniger versierte Kriminelle hoch entwickelte Attacken durchführen.
Die neue Dimension der Cyberkriminalität zeigt sich in der Kombination aus Automatisierung, KI-gestützter Angriffstechnik und gezielter Infrastruktur-Sabotage. Unternehmen haben zunehmend Schwierigkeiten, Angriffe frühzeitig zu erkennen. Sicherheit muss heute adaptiv sein – rein reaktive Maßnahmen reichen nicht mehr aus, um sich gegen moderne Bedrohungen zu schützen.
IT-Sicherheitsstrategien müssen sich anpassen
Der Threat Report zeigt klar, dass Cyberangriffe sich qualitativ verändern. Es geht nicht mehr um reine Masse, sondern um effektive, langfristig geplante Angriffe mit maximalem Erpressungspotenzial.
Unternehmen stehen vor einer entscheidenden Herausforderung: Klassische Schutzmechanismen wie Firewalls und herkömmliche Virenscanner reichen nicht mehr aus. Sicherheitsstrategien müssen sich an verdeckte Angriffe, KI-gestützte Phishing-Kampagnen und die zunehmende Manipulation von Backup-Systemen anpassen.
