Patrick PilotteMicrosofts Digital Defense Report 2025, der am 16. Oktober veröffentlicht wurde, macht deutlich, dass finanziell motivierte Cyberkriminalität mittlerweile die Bedrohungslandschaft dominiert.
Zwischen Juli 2024 und Juni 2025 ging es bei 80 % der von Microsoft untersuchten Vorfälle von Datendiebstahl um Profitgier und nicht etwa um Informationsbeschaffung oder Spionage. In den Fällen, in denen ein Motiv bestätigt werden konnte, machten Erpressung und Ransomware mindestens 52 % der Angriffe aus.
Dies spiegelt einen deutlichen Wechsel in den Absichten der Angreifer wider: Für die meisten von ihnen besteht das Ziel nicht darin, Chaos zu stiften oder politische Unruhen zu verursachen, sondern darin, opportunistische Straftaten zu begehen, um (direkt oder indirekt) Geld zu erpressen.
Weitere wichtige Erkenntnisse aus dem Microsoft-Bericht:
Immer mehr Angreifer „melden sich an" statt „einzubrechen"; mehr als 97 % der Identitätsangriffe erfolgen in Form von Passwort-Angriffen.
Um Passwörter zu stehlen, nutzen Angreifer Infostealer-Malware als primäre Angriffsmethode anstatt wie üblich als Tool zur Ausnutzung nach einem erfolgreichen Angriff (ihre traditionelle Rolle). Typische Verbreitungsmethoden sind Malvertising, SEO-Poisoning, geknackte Software und betrügerische Social-Engineering-Kampagnen (z.B. ClickFix).
In der ersten Hälfte des Jahres 2025 nahmen identitätsbasierte Angriffe um 32 % zu, was wahrscheinlich auf KI-generiertes Phishing und andere überzeugende Social-Engineering-Taktiken zurückzuführen ist.
Angreifer zielen weiterhin auf kritische öffentliche Einrichtungen wie Rettungsdienste, Krankenhäuser, Schulen, Verkehrsbetriebe und Regierungsbehörden (wie wir in unserer letzten Ausgabe der Cybersicherheitsnachrichten erläutert haben). Diese Ziele sind attraktiv, da sie große Mengen sensibler Daten verwalten und im Vergleich zu großen Unternehmen der Privatwirtschaft oft über geringere Budgets für Cybersicherheit und begrenzte Kapazitäten zur Reaktion auf Sicherheitsvorfälle verfügen.
Empfehlungen
Um diesen Bedrohungen und Risiken zu begegnen, enthält der Microsoft-Bericht zehn prioritäre Empfehlungen, die im Folgenden zusammengefasst sind:
Machen Sie das Management von Cyberrisiken zu einer Priorität der Unternehmensleitung: Behandeln Sie die Sicherheit wie jedes andere organisatorische Risiko. Verfolgen Sie die Abdeckung der MFA, Patch-Zeitpläne, das Volumen von Vorfällen und kritische Schwachstellen, damit Führungskräfte das Risiko klar erkennen und das Budget entsprechend zuweisen können.
Geben Sie dem Schutz der Identität oberste Priorität: Die meisten Angriffe beginnen mit Konten. Erzwingen Sie eine Phishing-resistente MFA für alle (nicht nur für Administratoren). Schalten Sie veraltete oder schwache Authentifizierungsmethoden ab.
Investieren Sie in Menschen, nicht nur in Tools: Schaffen Sie eine starke Sicherheitskultur. Schulen Sie Ihre Mitarbeiter, integrieren Sie IT-Sicherheit in die Leistungsziele und erstellen Sie Notfallpläne.
Verkleinern und festigen Sie den Sicherheitsperimeter: Überprüfen Sie alles, was mit dem Internet verbunden ist. Installieren Sie Patches schnell und regelmäßig. Entfernen Sie unnötige externe Dienste und sperren Sie den Zugriff von Lieferanten.
Kennen Sie Ihre Schwachstellen und planen Sie Ihre Reaktion: Ordnen Sie Geschäftsrisiken den wahrscheinlichen Fehlerquellen zu. Erstellen und testen Sie einen Notfallplan, der Ransomware, Isoliermaßnahmen und die schnelle Sperrung von Tokens oder Sitzungen umfasst.
Inventarisieren und überwachen Sie alle Cloud-Ressourcen: Führen Sie einen Live-Katalog mit Workloads, APIs, Identitäten und Berechtigungen. Setzen Sie Governance, bedingten Zugriff und kontinuierliche Überprüfungen auf Fehlkonfigurationen durch.
Entwickeln Sie Stabilität und testen Sie diese: Gehen Sie davon aus, dass Sicherheitsverletzungen auftreten. Halten Sie isolierte Backups bereit und testen Sie regelmäßig die Wiederherstellung. Dokumentieren Sie Verfahren für die saubere Wiederherstellung von Identität und Cloud.
Teilen und nutzen Sie Informationen: Treten Sie Communitys und Branchenverbänden für Bedrohungsanalysen bei. Teilen Sie Indikatoren und gewonnene Erkenntnisse, um die Verweildauer von Angreifern zu verkürzen.
Integrieren Sie Regelkonformität in den täglichen Betrieb: Verfolgen Sie neue Vorschriften und Meldepflichten. Integrieren Sie erforderliche Kontrollen, die Sammlung von Nachweisen und die Überwachung in Routineprozesse.
Planen Sie jetzt für KI- und Post-Quanten-Risiken: Dokumentieren Sie, wo KI eingesetzt wird und aktualisieren Sie Risikomodelle. Bewerten Sie Kryptografie-Abhängigkeiten und bereiten Sie sich auf die Migration zu quantensicheren Standards vor, sobald diese ausgereift sind.
Einblicke & Ratschläge von unserem Chief Security Officer Patrick Pilotte
Die Erkenntnisse des Microsoft Digital Defense Report 2025 bestätigen, was viele von uns täglich sehen: Cyberangriffe werden zunehmend durch finanzielle Gewinne motiviert und der Identitätsdiebstahl ist oft der einfachste Weg, um sich Zugang zu verschaffen.
Die Abwehr dieser neuen Realität erfordert einen Wandel von reaktiven Kontrollen hin zu proaktiver Stärkung der Identität. Das bedeutet, Identität nicht nur als Zugriffsebene, sondern als kritischen Sicherheitsperimeter zu behandeln.
Bei Devolutions legen wir großen Wert auf die Sicherung privilegierter Zugriffe, die Durchsetzung einer Phishing-resistenten MFA und die kontinuierliche Überprüfung der Kontoaktivitäten. Diese Maßnahmen können, zusammen mit einer ausgeprägten Sicherheitskultur und erprobten Notfallplänen, sowohl die Wahrscheinlichkeit als auch die Auswirkungen eines Sicherheitsvorfalls erheblich verringern.
Vincent Lambert
