Thought Leadership
Ein neuer Bericht von Sophos zeigt, dass Ransomware nach wie vor die größte Bedrohung für Unternehmen darstellt – besonders für kleine und mittelständische Betriebe.
Der „Annual Threat Report: Cybercrime on Main Street 2025“ basiert auf umfangreichen Telemetriedaten aus Sicherheitslösungen, Vorfällen aus dem Incident Response Team und dem Managed Detection and Response (MDR) Service von Sophos.
Ransomware bleibt Spitzenreiter bei Cyberangriffen
Im Jahr 2024 waren rund 70 Prozent aller untersuchten Sicherheitsvorfälle bei kleinen Unternehmen auf Ransomware zurückzuführen. Bei mittelgroßen Unternehmen mit bis zu 5.000 Mitarbeitenden lag dieser Wert sogar bei über 90 Prozent. Das macht deutlich, wie massiv diese Bedrohung weiterhin ist – trotz zunehmender Aufklärung und technischer Sicherheitsmaßnahmen.
Netzwerkgrenzen als Hauptangriffsfläche
Ein zentraler Schwachpunkt in vielen betroffenen Unternehmen sind Netzwerk-Edge-Geräte, wie Firewalls oder VPN-Gateways. Diese Geräte machten 25 Prozent aller bestätigten Erstkompromittierungen aus – und das dürfte laut Sophos nur die Spitze des Eisbergs sein. Die häufigsten Einstiegspunkte der Angreifer:
- VPN-Schwachstellen: 19 Prozent aller analysierten Vorfälle
- Gestohlene Zugangsdaten: 10,4 Prozent
- Remote Access Tools wie RDP und RDWeb: 8 Prozent
- Phishing-Angriffe: 6,7 Prozent
- Andere Netzwerkgeräte: 3 Prozent
Sean Gallagher, Principal Threat Researcher bei Sophos, erklärt dazu:
„In den letzten Jahren haben Angreifer gezielt Edge-Geräte ins Visier genommen. Erschwerend kommt hinzu, dass immer mehr Geräte am Ende ihrer Lebensdauer (EOL) im Umlauf sind – ein Problem, das Sophos als ‚digitalen Detrius‘, also die Infrastruktur ‚zumüllende Zerfallsprodukte‘, bezeichnet.“
Sicherheitsillusion durch MFA?
Multifaktor-Authentifizierung (MFA) galt lange als wirksamer Schutz. Doch laut dem Bericht wird sie zunehmend ausgehebelt – durch den Diebstahl von Authentifizierungstokens, die über Phishing-Plattformen erfasst werden. Diese imitieren legitime Anmeldeprozesse und täuschen Nutzerinnen und Nutzer effektiv.
Die aktivsten Ransomware-Gruppen des Jahres
Drei Ransomware-Familien fielen 2024 besonders auf:
- Akira: 15,3 Prozent aller analysierten Angriffe
- Lockbit: 13,6 Prozent
- Fog: 10,9 Prozent
Im Bereich Command-and-Control-Aktivitäten lag Web Shell mit 9,8 Prozent vorn, gefolgt von Cobalt Strike (8 Prozent) und erneut Akira mit 4,9 Prozent.
Missbrauch legitimer Software nimmt zu
Ein weiterer Trend: Cyberkriminelle nutzen vermehrt kommerzielle und legale Remote-Access-Tools für ihre Zwecke. Besonders betroffen:
- PSExec: in 18,3 Prozent der Vorfälle eingesetzt
- AnyDesk: 17,4 Prozent
Insgesamt waren Remote-Access-Tools in einem Drittel aller analysierten Vorfälle beteiligt.
Neue Methoden im Social Engineering
Auch die Täuschungsstrategien der Angreifer entwickeln sich weiter. Neben klassischen Phishing-Attacken kommen neue Varianten verstärkt zum Einsatz:
- QR-Code-Phishing (Quishing)
- Telefonbasierte Angriffe (Vishing)
- E-Mail-Bombing, bei dem in kürzester Zeit Tausende Spam-Mails verschickt werden
SaaS-Plattformen und Business-E-Mail-Kompromittierungen im Fokus
Software-as-a-Service-Plattformen, die ursprünglich als Antwort auf die Pandemie zur Unterstützung der Remote-Arbeit eingeführt wurden, sind inzwischen selbst zum Angriffsziel geworden. Kriminelle nutzen sie unter anderem für Social Engineering, die initiale Kompromittierung von Netzwerken und die Verbreitung von Schadsoftware.
Zudem nehmen Kompromittierungen von geschäftlichen E-Mail-Konten weiter zu. Diese dienen den Angreifern dazu, Malware zu verbreiten, Zugangsdaten zu stehlen oder Mitarbeiter zu manipulieren – häufig mit hohem Schaden für die betroffenen Unternehmen.
