Thought Leadership
Der aktuelle Global Threat Report 2025 von CrowdStrike zeigt eine deutliche Verschärfung der Bedrohungslage im Cyberraum. Besonders auffällig: Die staatlich geförderten Cyberoperationen China-naher Angreifer stiegen um 150 Prozent.
Dabei waren insbesondere kritische Branchen wie Finanzdienstleistungen, Medien und Fertigung mit bis zu 300 Prozent mehr gezielten Angriffen konfrontiert.
Generative KI erweist sich zunehmend als Multiplikator für Social-Engineering-Attacken. Zwischen den Halbjahren 2024 verzeichnete CrowdStrike einen alarmierenden Anstieg von Voice Phishing (Vishing) um 442 Prozent. Cyberkriminelle Gruppen wie CURLY SPIDER, CHATTY SPIDER und PLUMP SPIDER nutzen diese Techniken, um Zugangsdaten zu stehlen und unentdeckt zu bleiben.
Auch staatliche Akteure setzen verstärkt auf KI. Laut Report erforschen besonders Iran-nahe Angreifer die Möglichkeiten generativer KI für Schwachstellenanalyse und Exploit-Entwicklung – offenbar koordiniert mit offiziellen Regierungsinitiativen.
Weniger Malware, mehr Identitätsdiebstahl
Die Angriffsmethoden verschieben sich weiter in Richtung „malwarefreier“ Attacken. Mittlerweile erfolgen 79 Prozent der Erstzugriffe ohne klassische Schadsoftware. Stattdessen nutzen Angreifer kompromittierte Anmeldedaten, um sich als legitime Nutzer einzuloggen und unerkannt im System zu bewegen. Die Zahl der Access-Broker-Angebote, die gestohlene Zugangsdaten verkaufen, stieg im Jahresvergleich um 50 Prozent.
Die durchschnittliche Breakout-Time – die Zeit, die ein Angreifer benötigt, um vom ersten Zugriffspunkt aus weiter ins Netzwerk vorzudringen – sank auf nur 48 Minuten. Der schnellste gemessene Wert lag bei gerade einmal 51 Sekunden, was Verteidigern kaum Zeit zur Reaktion lässt.
Cloud und Insider im Visier
Cloud-Umgebungen verzeichneten einen Anstieg neuer Angriffe um 26 Prozent, wobei der Missbrauch gültiger Konten mit 35 Prozent die häufigste Zugriffsmethode darstellte. Zudem bleibt das Problem nicht gepatchter Schwachstellen akut – 52 Prozent aller beobachteten Schwachstellen wurden für den Erstzugriff ausgenutzt.
Einen besonderen Schwerpunkt bilden Insider-Bedrohungen: Die nordkoreanische Gruppe FAMOUS CHOLLIMA wurde für 304 Vorfälle verantwortlich gemacht, von denen 40 Prozent Insider-Operationen waren, bei denen Angreifer unter dem Deckmantel legitimer Beschäftigung agierten.
Adam Meyers, Head of Counter Adversary Operations bei CrowdStrike, betont: „Chinas immer aggressivere Cyberspionage in Kombination mit dem zunehmenden Einsatz von KI-basierten Täuschungsmanövern zwingt Organisationen dazu, ihren Sicherheitsansatz zu überdenken.“ Herkömmliche Abwehrmaßnahmen würden zunehmend unwirksam, da Angreifer Identitätslücken ausnutzen und sich unerkannt durch verschiedene Domänen bewegen.
Die Experten empfehlen eine einheitliche Sicherheitsplattform, die auf Threat Intelligence und Echtzeit-Threat-Hunting basiert und in der Lage ist, Aktivitäten über Identitäts-, Cloud- und Endpunktsysteme hinweg zu korrelieren, um die gefährlichen blinden Flecken zu beseitigen.
