Kaspersky-Report ‚Anatomy of a Cyber World’ resümiert Taktiken, Techniken und Werkzeuge von Angreifern sowie Besonderheiten der Vorfälle und deren Verteilung auf Regionen und Branchen im vergangenen Jahr
Exploits in öffentlich zugänglichen Anwendungen (44 Prozent) und der Missbrauch gültiger Zugangsdaten (25 Prozent) blieben im vergangenen Jahr die mit Abstand häufigsten Einfallstore in Unternehmenssysteme, wie der aktuelle Report „Anatomy of a Cyber World“ von Kaspersky [1] zeigt. 2025 belegte die Ausnutzung vertrauenswürdiger Beziehungen (16 Prozent) zudem Platz drei und hat mittlerweile schädliche E-Mails abgelöst. Während 51 Prozent der Cyberangriffe weniger als einen Tag dauerten, wies ein Drittel (33 Prozent) eine mediane Dauer von 108 Tagen auf.
Der aktuelle Kaspersky-Report zeigt, dass die drei häufigsten Angriffsvektoren in den vergangenen sieben Jahren weitgehend konstant geblieben sind. So zählen Exploits in öffentlich zugängliche Anwendungen (im Jahr 2025: 44 Prozent) und der Missbrauch gültiger Accounts (2025: 25 Prozent) zu den häufigsten Angriffsvektoren; gefolgt von der Ausnutzung vertrauenswürdiger Beziehungen (2025: 16 Prozent, 2024: 13 Prozent). Letztere hat sich dabei in den vergangenen Jahren zunehmend zu einer Bedrohung entwickelt. Dieser Angriffsvektor trat erstmalig im Jahr 2021 auf und zählte 2023 bereits zu den drei häufigsten Vektoren.
Die Angriffsvektoren sind dabei häufig miteinander verknüpft; Unternehmen, die über vertrauenswürdige Beziehungen kompromittiert wurden, wurden häufig zunächst durch die Ausnutzung von Schwachstellen in öffentlich zugänglichen Anwendungen infiltriert. Aktuelle Beispiele zeigen, dass Angreifer häufig Dienstleister oder IT-Integratoren ins Visier nehmen, um deren Kunden anzugreifen. Dabei sind gerade kleinere Dienstleister gefährdet, da diese nicht über eine entsprechende Cybersicherheitsexpertise und genügend Ressourcen verfügen. Da diese Buchhaltungssoftware oder Websites verwalten, können Kompromittierungen über ausgenutzte Remote-Zugänge potentiell beispielsweise auf Kundensysteme übergreifen.
Ein Drittel der Angriffe dauerte rund dreieinhalb Monate
Die meisten dieser Cyberangriffe (51 Prozent) dauerten weniger als einen Tag und verursachten meist Datenverschlüsselungen. Bei einem Drittel (33 Prozent) handelte es sich jedoch um langandauernde Angriffe mit einer medianen Dauer von 108 Tagen, also rund dreieinhalb Monaten. Zusätzlich zur Datenverschlüsselung installierten Angreifer in diesen Fällen Persistenzmechanismen, kompromittierten das Active Directory oder exfiltrierten Daten. 16 Prozent der Angriffe wiesen ein hybrides Muster auf und erschienen zunächst bei der Kompromittierung als kurzwährende Angriffe, bevor später weitere schädliche Aktivitäten folgten und die Angriffe 19 Tage andauerten.
„Da Angreifer zunehmend koordinierte, mehrstufige Angriffe orchestrieren, müssen sich Unternehmen von einem reaktiven Ansatz in Sachen Cybersicherheit lösen“, kommentiert Konstantin Sapronov, Head of Global Emergency Response Team bei Kaspersky. „Sie müssen auf einen proaktiven Sicherheitsansatz setzen, der die Echtzeit-Überwachung von Bedrohungen und die kontinuierliche Erkennung in den täglichen Betrieb integriert. So können Sicherheitsverantwortliche schnell reagieren, bevor schädliche Aktivitäten eskalieren. Zu den wichtigsten Maßnahmen gehören die zeitnahe Installation von Patches, die Durchsetzung von Multi-Faktor-Authentifizierung und eine strenge Kontrolle von Drittzugriffen.“
Kaspersky-Empfehlungen zum Schutz vor komplexen Cyberangriffen
- Managed-Security-Services wie Kaspersky Managed Detection and Response [2] und Kaspersky Incident Response [3] schützen Unternehmen rund um die Uhr durch Sicherheitsexperten mit Zugriff auf globale Threat Intelligence und decken den gesamten Untersuchungs- und Reaktionszyklus komplexer Sicherheitsvorfälle ab.
- Interne Prozesse und Technologien an die aktuelle Bedrohungslage anpassen, etwa mit Kaspersky for SOC [4]. Die Lösung unterstützt beim Aufbau eines internen Security Operations Centers, bei der Bewertung des Reifegrads eines bestehenden SOCs sowie bei der Weiterentwicklung von Erkennungs- und Reaktionsfähigkeiten.
- Zentrale und automatisierte Sicherheitslösungen wie Kaspersky Next XDR Expert [5] einsetzen, um Unternehmensressourcen umfassend zu schützen. Die Lösung aggregiert und korreliert Daten aus verschiedenen Quellen und nutzt Machine Learning, um Bedrohungen effektiv zu erkennen und automatisiert darauf zu reagieren.
Der vollständige Kaspersky-Report „Anatomy of a Cyber World: Global Report by Kaspersky Security Services“ ist verfügbar unter https://www.kaspersky.com/enterprise-security/resources/reports/mdr-ir-analyst-reports?utm_source=press-release&utm_medium=referral&utm_campaign=Global-Report_26_MDR-IR&utm_content=5637437839
[2] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
[3] https://www.kaspersky.de/enterprise-security/incident-response
[4] https://www.kaspersky.de/enterprise-security/security-operations-center-soc
[5] https://www.kaspersky.de/enterprise-security/xdr
Nützliche Links:
- Kaspersky-Report „Anatomy of a Cyber World: Global Report by Kaspersky Security Services“: https://www.kaspersky.com/enterprise-security/resources/reports/mdr-ir-analyst-reports?utm_source=press-release&utm_medium=referral&utm_campaign=Global-Report_26_MDR-IR&utm_content=5637437839
- Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response
- Kaspersky Incident Response: https://www.kaspersky.de/enterprise-security/incident-response
- Kaspersky for SOC: https://www.kaspersky.de/enterprise-security/security-operations-center-soc
- Kaspersky Next XDR Expert: https://www.kaspersky.de/enterprise-security/xdr
