ENISA Threat Landscape 2025:: Das Ende klarer Fronten

Der aktuelle ENISA Threat Landscape Report 2025 dokumentiert einen fundamentalen Wandel. Zwischen Juli 2024 und Juni 2025 analysierte die EU-Agentur für Cybersicherheit knapp 4.900 Vorfälle. Die zentrale Erkenntnis: Die Ära einzelner, hochimpaktiger Angriffe ist vorbei. An ihre Stelle treten kontinuierliche, diversifizierte Kampagnen, die systematisch an der Resilienz von Organisationen zehren. Für Unternehmen bedeutet dies eine grundlegende Neuausrichtung der Verteidigung.

Phishing wird zur Industrie

Der Einstieg gelingt Angreifern am häufigsten über Social Engineering. Phishing war mit etwa 60 Prozent der häufigste initiale Angriffsvektor – doch die Methoden haben sich radikal professionalisiert. Phishing-as-a-Service-Plattformen industrialisieren den Prozess und senken die Einstiegshürden erheblich.

Die Plattform Darcula imitierte zum Beispiel mehr als 200 Organisationen und erreichte Opfer in über hundert Ländern. Lucid erweiterte das Portfolio um mobile Messaging-Dienste wie iMessage und RCS und traf 169 Ziele in 88 Ländern.

Besonders perfide ist die ClickFix-Technik: Gefälschte CAPTCHA-Prompts auf kompromittierten Websites verleiten Nutzer dazu, PowerShell-Befehle auszuführen – getarnt als Sicherheitsüberprüfung. Über diese Methode verbreitete die ClearFake-Kampagne Infostealer wie Lumma und Vidar und verursachte rund 9.300 bestätigte Infektionen.

Parallel dazu nutzen Angreifer vermehrt künstliche Intelligenz (KI). Zwischen September 2024 und Februar 2025 verwendeten über 80 Prozent aller identifizierten Phishing-E-Mails KI-Unterstützung. Large Language Models erstellen überzeugendere Texte, während Deepfake-Videos und KI-gestütztes Voice-Cloning bei Vishing-Angriffen zum Einsatz kommen. Im Februar 2024 führte beispielsweise ein Deepfake-Video-Call zur Überweisung von mehreren Millionen Dollar in Hongkong.

Die Lieferkette als strategisches Ziel

Wo direkter Zugriff schwierig wird, wählen Angreifer zunehmend den Umweg über die Lieferkette. Die Kompromittierung von Drittanbietern entwickelte sich 2024/25 zu einer bevorzugten Strategie, so der ENISA-Report: Einen IT-Dienstleister zu kompromittieren, ist oft effizienter als hunderte Einzelziele anzugreifen.

Auch Entwicklungsumgebungen und Open-Source-Ökosysteme geraten verstärkt in den Fokus. Nordkorea-nahe Lazarus-Gruppen platzierten manipulierte Node Package Manager-Pakete in GitHub-Repositories, die legitime Bibliotheken imitierten. Ende 2024 kam es zu einer Welle von Angriffen auf Browser-Erweiterungen. Mehrere Chrome-Extensions für KI-Anwendungen und VPN-Dienste wurden kompromittiert.

Zudem entstehen jenseits kommerzieller Tools spezialisierte bösartige KI-Systeme: Nach WormGPT, EscapeGPT und FraudGPT tauchte Anfang 2025 Xanthorox AI auf – mutmaßlich ein lokal betriebenes System, das Erkennung umgeht. Die KI-Lieferkette selbst wird zum Angriffsvektor: Vergiftete Machine-Learning-Modelle und trojanisierte Python-Pakete dienen der Malware-Verbreitung.

Ein neuer Vektor, die „Rules-File-Backdoor“, ermöglicht die Injektion bösartiger Instruktionen in Konfigurationsdateien von KI-Coding-Assistenten wie Cursor und GitHub Copilot.

Mobile Geräte unter Dauerbeschuss

2024/25 standen auch Android-Geräte massiv unter Beschuss. So zielte die Rafel-RAT-Kampagne vor allem auf veraltete Geräte in mehreren EU-Ländern. Varianten des Medusa-Banking-Trojans weiteten ihre Aktivitäten nach Frankreich und Italien aus und konzentrierten sich immer mehr auf On-Device-Fraud durch Account-Takeover. Die BingoMod-RAT ging noch einen Schritt weiter: Berichten zufolge räumte die Malware Bankkonten aus und löschte anschließend die kompromittierten Geräte.

Ebenso brisant ist die staatliche Nutzung mobiler Überwachung. Das legale Überwachungsprogramm EagleMsgSpy wird nachweislich von chinesischen Stellen seit mindestens 2017 eingesetzt. Im Februar 2025 meldeten Sicherheitsanbieter gezielte Angriffe russischer Gruppen auf WhatsApp-, Signal- und Telegram-Accounts in der Ukraine; Sandworm soll dabei Signal-Accounts von auf dem Schlachtfeld geborgenen Geräten mit eigener Infrastruktur verknüpft haben.

Ein Bericht von iVerify legt nahe, dass staatlich verbundene Telekom-Anbieter veraltete Signalisierungsprotokolle ausnutzen, um mobile Kommunikation grenzüberschreitend zu überwachen — und das ohne direkten Zugriff auf das Zielgerät.

Wenn Grenzen verschwimmen: Die Konvergenz der Akteure

Die klassischen Trennlinien zwischen Cybercrime, staatlich unterstützten Operationen und Hacktivismus verschwimmen zunehmend, wie der aktuelle ENISA-Report festhält. Diese Konvergenz gilt als prägendes Merkmal der heutigen Bedrohungslandschaft.

Staatliche Akteure greifen dabei auf kriminelle Infrastruktur zurück: APT29 und Sandworm wurden etwa beim Einsatz kommerzieller Residential-Proxy-Netzwerke beobachtet. Die nordkoreanische Gruppe Andariel agierte zeitweise als Affiliate der Play-Ransomware, während Moonstone Sleet auf die Qilin-Ransomware zurückgriff.

Umgekehrt adaptieren Cyberkriminelle staatliche Methoden. FIN6 setzte etwa auf gefälschte Stellenanzeigen und fingierte LinkedIn-Profile – eine Taktik, die auch nordkoreanische Gruppen nutzen. Zugleich monetarisieren vormals ideologisch motivierte Akteure ihre Angriffe: Gruppen wie FunkSec, CyberVolk und KillSec bieten inzwischen eigene Ransomware-as-a-Service-Plattformen an.

Diese Verschmelzung staatlicher, krimineller und hacktivistischer Methoden macht Attribution und Abwehr deutlich schwieriger.

Staatliche Spionage und ideologische Störungen

Ransomware bleibt eine der dominierenden Angriffsformen gegen EU-Organisationen – auch wenn hacktivistische Kampagnen im Berichtszeitraum rund 80 Prozent der gemeldeten Vorfälle ausmachten. Das Ökosystem ist jedoch zunehmend fragmentiert. Während LockBit im Vorjahr noch ein Viertel aller Angriffe verantwortete, brach die Dominanz der Gruppe nach der Strafverfolgungsoperation Cronos im Februar 2024 ein. An ihre Stelle traten über 80 verschiedene Varianten. Angeführt wurde das Feld von Akira (11,6 %), SafePay (10,1 %) und Qilin (7,5 %).

Die Professionalisierung zeigt sich auch in neuen Erpressungstaktiken. Fog und Qilin nutzen Countdown-Timer und „Call-Lawyer“-Funktionen, die rechtliche Schritte simulieren und zusätzlichen Druck erzeugen – besonders in der EU, wo Meldepflichten und Datenschutzvorgaben die Lage der Betroffenen verschärfen.

Technisch rüsten die Gruppen mit EDR-Kill-Tools auf: FIN7 bewarb AvNeutralizer an mehrere Ransomware-Akteure, während RansomHub mit EDRKillShifter und TDSSKiller gezielt Endpoint-Schutzmechanismen ausschaltete.

Infostealer bilden weiterhin ein zentrales Glied der kriminellen Lieferkette. Nach der Zerschlagung von RedLine und META im Oktober 2024 stieg der Einsatz von Lumma Stealer um mehr als 350 Prozent. Zwischen März und Mai 2025 wurden weltweit rund 394.000 Windows-Systeme infiziert – mit auffällig hoher Aktivität in der EU.

Staatlich gestützte Operationen machten zwar nur 7,2 Prozent aller dokumentierten Vorfälle aus, ihr strategischer Impact war jedoch erheblich. Insgesamt waren 46 Intrusion Sets in der EU aktiv. Russische Gruppen wie APT29, APT28 und Sandworm konzentrierten sich auf öffentliche Verwaltung, Verteidigung und digitale Infrastruktur in Polen, Frankreich, Deutschland, Belgien und Griechenland.

Auch chinesische Gruppen – darunter UNC5221, Mustang Panda, APT41 und Salt Typhoon – waren aktiv und richteten ihre Angriffe auf Transportsektor, Zivilgesellschaft und digitale Infrastruktur in Italien, Deutschland, Frankreich und Belgien. UNC5221 kompromittierte Edge-Geräte, um sogenannte Operational Relay Boxes zu betreiben. Salt Typhoon nahm gezielt Telekommunikationsinfrastrukturen ins Visier und war seit Dezember 2024 in mindestens drei EU-Mitgliedstaaten aktiv.

Nordkoreanische Gruppen wie Famous Chollima und Lazarus fielen besonders durch IT-Worker-Kampagnen auf, bei denen sich Agenten als Freelancer in EU-Unternehmen einschleusten.

Auch Foreign Information Manipulation and Interference (FIMI) blieb eine kontinuierliche Bedrohung – besonders im Umfeld von Wahlen. Der Europäische Auswärtige Dienst (EEAS) dokumentierte 86 FIMI-Operationen. Russlandnahe Akteure wie Doppelgänger, Matryoshka und Storm-1516 zielten vor allem auf Frankreich, Deutschland und Polen. Matryoshka nutzte KI-gestütztes Voice Cloning, um Videos zu erzeugen, die EU-Institutionen imitierten und gezielt Desinformationen verbreiteten.

Ausblick: Die neue Normalität

Die Bedrohungslandschaft 2025 war laut ENISA geprägt von Konvergenz, Automatisierung und Industrialisierung. Künstliche Intelligenz beschleunigt die Angriffsinnovation, während digitale Abhängigkeiten vermehrt als strategisches Ziel missbraucht werden.

Mit dem Cyber Resilience Act schafft die EU verbindliche Sicherheitsanforderungen, der Cyber Solidarity Act stärkt die grenzüberschreitende Incident Response. Einzeln gesetzte Maßnahmen greifen jedoch zu kurz. Wirksamer Schutz erfordert einen ganzheitlichen, nachrichtendienstlich gestützten Ansatz. Verteidigung muss proaktiv, adaptiv und kollaborativ erfolgen – über Organisations- und Ländergrenzen hinweg.