Google Zero-Day-Report: : Warum Unternehmen jetzt im Fadenkreuz stehen

Die Google Threat Intelligence Group (GTIG) hat für 2025 weltweit 90 Zero-Day-Schwachstellen dokumentiert, die bereits vor der Verfügbarkeit eines Patches aktiv ausgenutzt wurden. Das liegt unter dem Rekordjahr 2023 mit 100 Fällen, aber deutlich über 2024 mit 78.

Für Google deutet vieles darauf hin, dass sich das jährliche Niveau inzwischen im Korridor zwischen 60 und 100 Fällen stabilisiert. Besonders alarmierend ist dabei weniger die Gesamtzahl als die Verschiebung der Ziele: 43 der 90 Schwachstellen, also 48 Prozent, betrafen Unternehmenssoftware und Appliances. Das ist ein neuer Höchststand.

Unternehmen sind das neue Hauptziel

Der Bericht beschreibt diese Entwicklung ausdrücklich als strukturellen Wandel. Angreifer konzentrieren sich zunehmend auf Technologien, die tief in betriebliche Abläufe eingebettet sind und privilegierten Zugriff auf Netzwerke, Datenbestände und Verwaltungsfunktionen erlauben. Besonders häufig betroffen waren Sicherheits- und Netzwerkkomponenten.

Gerade Edge-Geräte wie Firewalls, Router, Switches und andere Sicherheitslösungen sind attraktiv, weil sie am Rand der Infrastruktur sitzen, weitreichende Rechte besitzen und oft ohne klassische Endpoint Detection and Response betrieben werden. Genau diese blinden Flecken machen sie zu idealen Einstiegspunkten.

Spionage verändert ihr Geschäftsmodell

Bemerkenswert ist auch die Herkunft der Angriffe. Erstmals seit Beginn der Erfassung schrieb Google mehr Zero-Day-Ausnutzung kommerziellen Überwachungsanbietern zu als klassischen staatlich unterstützten Spionagegruppen.

Diese Anbieter professionalisieren den Markt für hochentwickelte Exploits und senken die Eintrittshürden für zahlungskräftige Kunden. Zugleich bleiben chinesisch ausgerichtete Spionageakteure besonders aktiv. Gruppen wie UNC5221 und UNC3886 nutzten laut Google vor allem Sicherheitsanwendungen und Edge-Geräte, um dauerhaften Zugriff auf strategische Ziele zu erhalten.

Neues Angriffsmuster mit Langzeitwirkung

Hinzu kommt ein Trend, der für Technologieanbieter besonders brisant ist. Im Umfeld der BRICKSTORM-Malware beobachtete Google 2025 Angriffe, bei denen nicht nur Kundendaten, sondern gezielt geistiges Eigentum wie Quellcode und proprietäre Entwicklungsdokumente entwendet wurden.

Das Ziel ist strategisch: Wer Zugang zum inneren Aufbau von Software erhält, kann daraus künftige Schwachstellen ableiten und neue Zero-Day-Angriffe vorbereiten. Die Bedrohung trifft damit nicht nur das unmittelbare Opfer, sondern potenziell auch dessen gesamte Kundenbasis.

Auch Erpresser investieren wieder in Zero-Days

Parallel dazu steigt der Druck durch finanziell motivierte Gruppen. Google ordnete 2025 neun Zero-Day-Fälle solchen Akteuren zu – zwei davon mündeten direkt in Ransomware-Einsätze. Das liegt fast auf dem Niveau des bisherigen Spitzenjahres 2023 und fast doppelt so hoch wie 2024. Zero-Days sind damit nicht mehr nur Werkzeug für staatliche Spionage, sondern erneut ein relevantes Instrument für Erpressung und operative Sabotage.

Künstliche Intelligenz verschärft das Wettrüsten

Für 2026 erwartet Google eine weitere Beschleunigung durch KI. Angreifer können damit Aufklärung, Schwachstellensuche und Exploit-Entwicklung automatisieren und skalieren. Gleichzeitig eröffnet KI auch der Verteidigung neue Möglichkeiten, etwa durch agentenbasierte Werkzeuge, die unbekannte Schwachstellen proaktiv identifizieren und bei ihrer Behebung helfen.

Der Bericht macht damit eines klar: Unternehmen müssen Zero-Day-Abwehr heute als Daueraufgabe verstehen. Wer kritische Infrastruktur, privilegierte Systeme und Entwicklungsumgebungen nicht konsequent absichert, wird schneller zum Primärziel professioneller Angreifer.

Den vollständigen Bericht gibt es hier.

Weitere Artikel zum Thema:

Wie ein IT Security Assessment den Mittelstand schützen kann

Warum Prävention jetzt zählt

Erfolgreiche Verteidigungsstrategien gegen Ransomware-Angriffe