Report: Exploits bleiben häufigster Angriffsvektor für Erstinfektionen

Mandiant hat den neuen M-Trends Report 2025 vorgestellt. Der Bericht liefert fundierte Einblicke in das aktuelle Cybercrime-Geschehen und zeigt auf, welche Entwicklungen die Bedrohungslage besonders prägen. Klar wird: Finanziell motivierte Angriffe dominieren weiterhin das Feld, während staatlich gesteuerte Operationen zunehmend raffinierter agieren. Gleichzeitig warnen die Mandiant-Experten vor zwei bedrohlichen Trends, die künftig an Bedeutung gewinnen dürften: Infostealer-Malware und die gezielte Ausnutzung von Web3-Technologien.

Zentrale Ergebnisse des Reports im Überblick

• Finanzielle Motivation dominiert: Mehr als die Hälfte (55 Prozent) der im Jahr 2024 beobachteten Bedrohungsakteure verfolgte finanzielle Ziele – ein kontinuierlicher Anstieg gegenüber 52 Prozent im Vorjahr und 48 Prozent im Jahr 2022. Spionage war nur bei 8 Prozent der Gruppen das Hauptmotiv.
• Erstinfektionen durch bekannte Schwachstellen: Zum fünften Mal in Folge sind Exploits der häufigste Angriffsvektor (33 Prozent), gefolgt von gestohlenen Zugangsdaten (16 Prozent) – ein deutliches Zeichen für deren wachsende Relevanz. Weitere Vektoren: E-Mail-Phishing (14 Prozent), Internetangriffe (9 Prozent) und vorherige Kompromittierungen (8 Prozent). In der EMEA-Region lagen Exploits mit 39 Prozent sogar noch höher, gefolgt von E-Mail-Phishing (15 Prozent) und Brute-Force-Angriffen (10 Prozent).
• Zielbranchen im Fokus: Besonders häufig betroffen waren das Finanzwesen (17,4 Prozent), Unternehmensdienstleister (11,1 Prozent), die Hightech-Branche (10,6 Prozent), Behörden (9,5 Prozent) und das Gesundheitswesen (9,3 Prozent). Diese Reihenfolge entspricht weitgehend dem Vorjahr.
• Entdeckung von Angriffen: In 57 Prozent der Fälle erfuhren Unternehmen erst durch externe Stellen von einem Vorfall – etwa durch Sicherheitsdienstleister oder Strafverfolgungsbehörden. In 14 Prozent der Fälle erfolgte die Mitteilung direkt durch die Angreifer, zum Beispiel in Form einer Lösegeldforderung. Nur 43 Prozent der Angriffe wurden intern entdeckt. In EMEA wurden 59 Prozent der Vorfälle extern und 41 Prozent intern entdeckt.
• Verweildauer von Angreifern: Weltweit lag die durchschnittliche Verweildauer bei elf Tagen – ein leichter Anstieg im Vergleich zu zehn Tagen im Jahr 2023. Dennoch ist der Wert deutlich unter den 16 Tagen von 2022. In EMEA liegt der Median bei 27 Tagen – aufgeschlüsselt in 20 Tage für intern entdeckte und 32 Tage für extern gemeldete Vorfälle.

Drei besonders alarmierende Entwicklungen

• Zunehmend ausgefeilte staatliche Angriffe: Gruppen aus Ländern wie Iran und Nordkorea verfeinern ihre Taktiken stetig und agieren immer verdeckter – oft schwer zu erkennen und strategisch ausgerichtet.
• Web3 im Visier der Angreifer: Kryptowährungen und Blockchain-Technologien rücken zunehmend in den Fokus von Hackergruppen. Ziel ist es, digitale Vermögenswerte zu stehlen, Geldwäsche zu betreiben und illegale Aktivitäten zu finanzieren.
• Infostealer als unterschätzte Bedrohung: Der Markt für Infostealer-Malware boomt. Ein aktuelles Beispiel: Die Gruppe UNC5537 nutzte gestohlene Zugangsdaten, um Zugriff auf Snowflake-Kundendaten zu erlangen. Das zeigt, wie gefährlich diese Angriffsform inzwischen geworden ist.

„Cyberbedrohungen werden immer komplexer und betreffen eine wachsende Zahl an Branchen. Finanzielle Motive stehen weiterhin im Vordergrund, doch auch neue Angriffsmethoden wie Infostealer und die Ausnutzung von Web3-Technologien nehmen zu“, so Stuart McKenzie, Mandiant Consulting EMEA. „Mit künstlicher Intelligenz erhalten Cyberkriminelle zusätzliche Werkzeuge, um Angriffe gezielter und raffinierter durchzuführen. Unternehmen müssen heute mehr denn je in der Lage sein, Bedrohungslagen frühzeitig zu erkennen, relevante Datenquellen zu vernetzen und ihre Sicherheitsmaßnahmen flexibel weiterzuentwickeln.“

Den vollständigen M-Trends-Report 2025 gibt es hier.