Zero-Days & Staats-Hacks im Cyber-Kollaps: Staatlicher Hacktivismus trifft Zero-Day-Explosion

Die Analyse von über 23.000 Schwachstellen und 885 Bedrohungsakteuren in 159 Ländern für den neuen Forescout-Bedrohungsbericht zeigt: Angreifer setzen verstärkt auf bislang unbekannte Sicherheitslücken. Zero-Day-Exploits nahmen im Vergleich zum Vorjahr um 46 Prozent zu. Andererseits verlagern sich Exploits gleichzeitig auf ältere Schwachstellen: Fast die Hälfte aller neu ausgenutzten Schwachstellen wurde bereits vor 2025 veröffentlicht.

Zunehmend geraten Geräte ins Visier, die oft keine klassischen Endpoint-Detection-Response-Lösungen einsetzen, darunter Edge-Geräte, IP-Kameras und spezielle Server. Diese dienen als Einfallstor für laterale Bewegungen durch IT-, OT- und IoT-Umgebungen – ein Angriffsmuster, das sich in nahezu allen Branchen beobachten lässt.

Ransomware trifft täglich 20 Ziele

Im ersten Halbjahr 2025 wurden weltweit 3.649 dokumentierte Ransomware-Angriffe registriert – ein Anstieg um 36 Prozent im Jahresvergleich. Im Schnitt gab es 608 Vorfälle pro Monat, etwa 20 pro Tag. Am stärksten betroffenen waren die USA mit 53 Prozent aller Angriffe.

Die Branchen Dienstleistungen, Fertigung, Technologie, Einzelhandel und Gesundheitswesen stehen besonders im Fokus. Neue Angriffsvektoren wie IP-Kameras und spezialisierte Betriebssysteme wie BSD (Berkeley Software Distribution), die häufig als „unsichtbare Infrastrukturkomponenten“ für das Hosting von Webseiten und Datenbanken, für Firewalls und Sicherheitsgateways, Netzwerk- und Speicher-Infrastrukturen, Content-Filter- und VPN-Appliances eingesetzt werden, erleichtern dabei unbemerktes Vordringen ins Unternehmensnetzwerk.

Gesundheitswesen besonders verwundbar

Das Gesundheitswesen verzeichnete im Berichtszeitraum durchschnittlich zwei Sicherheitsvorfälle pro Tag. Knapp 30 Millionen Menschen waren von Datenschutzverletzungen betroffen, 76 Prozent dieser Fälle basierten auf Hacking oder IT-bedingten Ursachen. Besonders alarmierend: Forescout entdeckte trojanisierte DICOM-Bildgebungssoftware, die Schadcode direkt auf Patientensysteme brachte.

„Cyberangriffe sind keine rein technischen Vorfälle – sie haben reale Konsequenzen, die Menschenleben gefährden. Krankenhäuser, Medizingeräte und kritische Infrastrukturen werden über Zero-Day-Exploits, unkonventionelle Einstiegspunkte und staatlich unterstützten Hacktivismus angegriffen“, betont Barry Mainz, CEO von Forescout. „Kritische Infrastrukturen lassen sich nicht mit den Tools von gestern schützen. Moderne Sicherheit muss kontinuierlich, proaktiv und geräteunabhängig sein.

Hacktivismus mit staatlicher Rückendeckung

Die Grenzen zwischen politisch motivierten Angriffen und staatlich gesteuerten Operationen verschwimmen. 40 Prozent der im ersten Halbjahr identifizierten Bedrohungsakteure agierten mit staatlicher Unterstützung, neun Prozent als Hacktivisten. Gruppen wie GhostSec, Arabian Ghosts und APT IRAN greifen gezielt speicherprogrammierbare Steuerungen in kritischen Infrastrukturen an und kombinieren Propaganda mit destruktiven Cyberoperationen.

„Iranisch ausgerichtete Gruppen setzen zunehmend auf aggressivere, staatlich beeinflusste Störungstaktiken unter dem Deckmantel des Aktivismus“, so Daniel dos Santos, Head of Research bei Forescout. „Mit zunehmenden geopolitischen Spannungen agieren diese Akteure schneller, lauter und schwerer identifizierbar – was die Bedrohungslage für Verteidiger noch verschärft.“

Empfohlene Maßnahmen für mehr Cyberresilienz

Um den steigenden Risiken zu begegnen, empfiehlt Forescout:

Den vollständigen Bericht gibt es hier.