Die Hälfte der schwerwiegenden Vorfälle wurden erst nach mehr als 90 Tagen entdeckt. 60 Prozent der Vorfälle wurden mangels belastbarer Warnmeldungen bestehender Tools übersehen.
Viele Unternehmen erkennen Cybervorfälle erst nach Monaten: Eine aktuelle Kaspersky-Analyse zeigt, dass schädliche Aktivitäten in 31 Prozent der untersuchten Fälle länger als drei Monate aktiv waren [1]. Das betrifft auch schwerwiegenden Sicherheitsvorfälle, bei denen sogar die Hälfte (52 Prozent) erst nach über 90 Tagen erkannt wurde [1]. 60 Prozent der Vorfälle blieben zunächst unentdeckt, weil bestehende Tools keine Warnmeldungen mit hoher Vertrauenswürdigkeit ausgaben; entsprechend wurden auch 20 Prozent der Sicherheitsvorfälle manuell identifiziert.
Viele Unternehmen erkennen Cybervorfälle zu spät, weil Sicherheitsmaßnahmen häufig reaktiv ausgerichtet sind, Monitoring-Tools nicht konsequent geprüft werden und operative Abläufe Lücken aufweisen. Eine aktuelle Kaspersky-Analyse untersuchter Sicherheitsvorfälle zeigt, dass schädliche Aktivitäten in 31 Prozent der analysierten Fälle bereits vor der Entdeckung länger als drei Monate aktiv waren. Dabei blieben oft auch schwerwiegende Vorfälle – worunter zum Beispiel auch manuell ausgeführte Attacken oder Malware mit Auswirkungen auf Systeme fallen – lange unentdeckt: Mehr als die Hälfte (52 Prozent) wurde erst nach mehr als 90 Tagen aufgespürt; der älteste im Untersuchungszeitraum identifizierte Vorfall blieb sogar vier Jahre lang unentdeckt.
Technische Kontrollmechanismen allein reichen dabei nicht aus, um Kompromittierungen zuverlässig festzustellen. So wurden 20 Prozent der Sicherheitsvorfälle manuell identifiziert. Gleichzeitig blieben 60 Prozent der Vorfälle zunächst unentdeckt, weil vorhandene Tools keine Warnmeldungen mit hoher Vertrauenswürdigkeit ausgaben.
Ein weiteres Risiko stellen Backup-Systeme dar. Laut Analyse befanden sich 40 Prozent der Webshells, schädlichen Skripte oder Programme, die Angreifern Fernzugriff ermöglichen, unentdeckt in Backups. In solchen Szenarien besteht die Gefahr, dass Schadcode nach ersten Incident-Response-Maßnahmen unbeabsichtigt wieder erneut hergestellt wird.
Neben technischen Defiziten stellten die Kaspersky-Experten auch organisatorische Schwachstellen fest. In 32 Prozent der untersuchten Fälle zeigten sich interne Kommunikationsprobleme, wie etwa unklare Bestätigungen über umgesetzte Maßnahmen oder Wissensverluste durch Personalwechsel.
„Unternehmen sind nicht nur externen Risiken ausgesetzt, sondern auch Herausforderungen innerhalb ihrer eigenen Infrastruktur“, fasst Amged Wageh, Experte bei Kaspersky Compromise Assessment, die Ergebnisse der Analyse zusammen. „Anzeichen einer Kompromittierung sind nicht immer offensichtlich. Proaktive Sicherheitsaudits erhöhen die Wahrscheinlichkeit, solche Vorfälle aufzudecken. Regelmäßige, unabhängige Compromise Assessments können die Wahrscheinlichkeit unerwarteter schwerwiegender Sicherheitsvorfälle reduzieren und die gesamte Risikosituation verbessern.“
Kaspersky-Empfehlungen zur Optimierung der Erkennung und Reaktion auf Sicherheitsvorfälle
- Regelmäßig einen Health Check der Detection Engines durchführen und dabei insbesondere Telemetriequalität sowie Relevanz der Erkennungsregeln bewerten.
- Low-Confidence-Alerts durch ein dediziertes Tier-1-Team nach einem festen Zeitplan prüfen lassen, um frühe Anzeichen einer Kompromittierung zu erkennen.
- Eine robuste 24/7-Überwachung durch Threat-Hunting-Fähigkeiten ergänzen, die Baselines, schwache Signale und neue Angriffstechniken berücksichtigen.
- Patching-Prozesse und die Aktivierung relevanter Audit Logs für alle kritischen Assets kontinuierlich überprüfen.
- Mitarbeiterschulungen, beispielsweise über die Kaspersky Automaten Security Awareness Platform [2], anbieten, die den Abfluss von Zugangsdaten über private Geräte sowie sichere BYOD-Praktiken beinhalten.
- Regelmäßige Tabletop-Übungen helfen, technische Playbooks, Teamfähigkeiten und Kommunikationswege realitätsnah zu testen.
- Operational-Level Agreements und Standardprozesse stellen die Zusammenarbeit zwischen Teams sowie eine saubere Dokumentation sicher.
- Lösungen wie Kaspersky Managed Detection and Response [3] einsetzen, die komplexe Cyberangriffe erkennen und blockieren können.
- Regelmäßige Assessments durch unabhängige Experten, beispielsweise mittels Kaspersky Compromise Assessment [4], helfen Unternehmen, aktive oder bereits zurückliegende Kompromittierungen aufzudecken, die von bestehenden Sicherheitslösungen und Prozessen nicht erkannt wurden.
- Incident-Response-Playbooks regelmäßig aktualisieren und als „lebende Dokumente“ behandeln, damit neue Erkenntnisse aus Threat Intelligence, aktuelle Angreifertechniken und Artefakte zeitnah in Reaktionsprozesse einfließen.
Der vollständige Kaspersky-Report ist verfügbar unter https://securelist.com/compromise-assessment-findings-2025/120542/
[1] https://securelist.com/compromise-assessment-findings-2025/120542/
[2] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
[3] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
[4] https://www.kaspersky.com/enterprise-security/compromise-assessment
Nützliche Links:
- Kaspersky-Analyse: https://securelist.com/compromise-assessment-findings-2025/120542/
- Kaspersky Automated Security Awareness Platform: https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
- Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response
- Kaspersky Compromise Assessment: https://www.kaspersky.com/enterprise-security/compromise-assessment