Bedrohungen
Cyberangriffe sind heute Alltag. Phishing-Mails, Ransomware, Botnetze, Zero-Day-Exploits, Angriffe auf Smartphones, Banken, Krankenhäuser oder staatliche Einrichtungen: Kaum ein Bereich bleibt verschont. Doch das war nicht immer so.
Seit fast 30 Jahren analysiert Kaspersky die Entwicklung digitaler Bedrohungen, von frühen Computerviren bis hin zu hochkomplexen Spionagekampagnen. In dieser Zeit hat sich die Cybersicherheitslandschaft grundlegend verändert: Was einst mit vergleichsweise einfachen Schadprogrammen begann, ist heute ein globales Risiko für Unternehmen, kritische Infrastrukturen und private Nutzer.
Anlässlich dieses Erfahrungsschatzes lohnt sich ein Blick zurück: Welche Cyberangriffe haben die vergangenen Jahrzehnte besonders geprägt? Und was lässt sich aus ihnen für den Schutz von morgen lernen?
1980 bis 2000: Die ersten großen digitalen Epidemien
Cascade: Der Virus, der eine Karriere veränderte
In den späten 1980er-Jahren tauchte mit Cascade einer der ersten speicherresidenten Viren auf. Nach dem ersten Start blieb der Virus im Arbeitsspeicher aktiv und infizierte automatisch weitere COM-Dateien, ein ausführbares Dateiformat unter MS-DOS.
Cascade war für seine Zeit besonders raffiniert. Er verschlüsselte sich selbst und sah dadurch in jeder infizierten Datei etwas anders aus. Klassische Mustervergleiche, auf denen viele frühe Erkennungsmethoden beruhten, wurden damit deutlich erschwert.
Für unseren Unternehmensgründer Eugene Kaspersky wurde Cascade zum Schlüsselmoment. 1989 begegnete er dem Virus, analysierte ihn und entwickelte ein Tool zu dessen Entfernung. Dieses Tool verbreitete sich in seinem Bekanntenkreis so erfolgreich, dass er beschloss, sich der Entwicklung von Antivirenlösungen zu widmen. Aus einem Virus wurde damit der Anfang einer Cybersicherheitskarriere.
Morris-Wurm: Als Malware die Mainstream-Medien erreichte
1988 machte der Morris-Wurm deutlich, welches Schadenspotenzial vernetzte Systeme haben können. Als er sich im November über das damals noch junge Internet verbreitete, infizierte er rund 6.000 Computer. Das entsprach etwa zehn Prozent aller damals vernetzten Systeme, darunter auch Rechner eines NASA-Forschungszentrums.
Der Wurm versendete unbegrenzt Kopien von sich selbst. Die Folge: Netzwerke wurden überlastet, Systeme fielen aus, die Störung war erstmals nicht nur ein Problem einzelner Computer, sondern ein öffentlich wahrnehmbares Internet-Ereignis. Die Kosten wurden auf rund 100.000 US-Dollar geschätzt.
ILOVEYOU: Social Engineering im großen Stil
Im Mai 2000 verbreitete sich der ILOVEYOU-Wurm mit einer scheinbar harmlosen Liebesbotschaft. Die Masche war einfach, aber wirkungsvoll: Nutzer erhielten eine E-Mail mit emotionalem Betreff und öffneten den Anhang. Anschließend verschickte sich der Wurm im Namen der Opfer weiter.
ILOVEYOU nutzte jedoch nicht nur E-Mail. Er verbreitete sich auch über das damals populäre Chat-Protokoll IRC. Mithilfe eines heruntergeladenen Trojaners konnten Passwörter für E-Mail-Konten und Internetzugänge an die Angreifer übermittelt werden. Außerdem löschte, versteckte oder beschädigte der Wurm Dateien auf der Festplatte.
2001 bis 2010: Würmer, Botnetze und die erste Cyberwaffe
Slammer: 15 Minuten bis zur globalen Krise
An fang 2003 löste der Slammer-Wurm eine der größten Virenepidemien der Geschichte aus. Innerhalb von nur 15 Minuten infizierte er Hunderttausende Rechner. Besonders schwer traf es Südkorea, wo das Internet über Stunden weitgehend lahmgelegt wurde.
Slammer nutzte eine Schwachstelle in Microsofts Datenbankprogramm MS SQL Server. Der Angriff zeigte, wie schnell sich Malware ausbreiten kann, wenn verwundbare Systeme mit dem Internet verbunden sind und Patches nicht rechtzeitig eingespielt werden.
Zeus: Der Banking-Trojaner, der zur Malware-Plattform wurde
2007 erschien Zeus, auch bekannt als Zbot. Der Trojaner hatte es vor allem auf Windows-Nutzer und deren Finanzdaten abgesehen. Er stahl Zugangsdaten, manipulierte Online-Banking-Sitzungen und wurde zu einem der bedeutendsten Botnetzprogramme der Geschichte.
Besonders folgenreich war, dass der Quellcode von Zeus später veröffentlicht wurde. Dadurch entstanden zahlreiche Varianten und Nachfolger. Einer davon war Chthonic, der Kundenkonten bei 150 Banken in 15 Ländern ins Visier nahm.
Stuxnet: Der Moment, in dem Cyberangriffe physische Folgen hatten
2010 wurde mit Stuxnet eine neue Grenze in Sachen Schafsoftware erreicht. Der Schadcode gilt als erste Cyberwaffe der Geschichte. Er nutzte Zero-Day-Exploits, um iranische Atomzentrifugen zu sabotieren. Damit zeigte Stuxnet, dass Cyberangriffe nicht nur Daten stehlen, Systeme verschlüsseln oder Netzwerke lahmlegen können. Sie können auch physische Prozesse manipulieren und kritische Infrastruktur beschädigen.
Spätere Untersuchungen von Kaspersky belegten Verbindungen zur staatlich unterstützten Equation Group, die bereits vor Stuxnet Zero-Day-Exploits eingesetzt hatte. Das deutete auf Zusammenarbeit oder zumindest einen Austausch von Werkzeugen zwischen hochentwickelten Akteuren hin.
2011 bis 2020: APTs, Cyberraub und Ransomware
Darkhotel: Spionage im Luxushotel
2014 deckte Kaspersky die APT-Kampagne Darkhotel auf. Die Angreifer hatten es auf Führungskräfte in ausgewählten asiatischen Luxushotels abgesehen. Die Methode war ebenso raffiniert wie zielgerichtet. Wenn sich Opfer mit Nachnamen und Zimmernummer in das Hotel-WLAN einloggten, wurden sie zum Download eines vermeintlichen Software-Updates aufgefordert.
Dahinter verbarg sich jedoch eine Backdoor. Diese prüfte zunächst, wie wertvoll das Opfer war. Erst danach entschieden die Angreifer, ob weitere, fortgeschrittenere Schadprogramme nachgeladen wurden. Darkhotel zeigte, wie präzise moderne Cyberspionage funktionieren kann. Nicht Masse war das Ziel, sondern ausgewählte Personen mit potenziell wertvollen Informationen.
Carbanak: Der große Bankraub per APT-Technik
2015 machten Kaspersky, Interpol, Europol und Behörden verschiedener Länder den beispiellosen Cyberraub der Carbanak-Gruppe öffentlich. Die Angreifer hatten seit 2013 versucht, bis zu 100 Banken, E-Payment-Systeme und andere Finanzinstitute zu kompromittieren. Die möglichen Verluste wurden auf bis zu eine Milliarde US-Dollar beziffert.
Carbanak war deshalb so bemerkenswert, weil die Gruppe APT-Techniken für klassische Finanzkriminalität nutzte. Die Angreifer stahlen nicht nur Kundendaten. Sie griffen Banken direkt an, beobachteten interne Prozesse, lernten Abläufe und manipulierten schließlich Systeme, um Geld abfließen zu lassen.
Mirai: Als Kameras, Router und Rekorder das Internet störten
Am 21. Oktober 2016 waren Dienste wie Netflix, PayPal, Sony PlayStation und Twitter, heute X, zeitweise nicht erreichbar. Ursache war ein massiver DDoS-Angriff auf den DNS-Dienst Dyn. Die Angreifer nutzten dafür eine große Zahl kompromittierter IoT-Geräte, darunter Kameras, Router und digitale Videorekorder. Infiziert waren sie mit der Malware Mirai.
Die Bedrohung ist nicht verschwunden. Mirai zählt bis heute zu den relevanten IoT-Gefahren. Im Juni 2025 entdeckten unsere Kaspersky-Experten eine neue Variante, die aktiv IoT-Geräte ins Visier nahm.
Lazarus: 81 Millionen US-Dollar aus einer Zentralbank
Im Februar 2016 griffen Cyberkriminelle die Bangladesh Central Bank an und erbeuteten 81 Millionen US-Dollar. Ursprünglich zielten sie sogar auf knapp 951 Millionen US-Dollar ab. Spätere Analysen ordneten den Angriff mit hoher Wahrscheinlichkeit der Lazarus-Gruppe zu, die für Cyberspionage und Sabotage bekannt ist.
Der Fall zeigte, wie verwundbar selbst zentrale Finanzinstitutionen gegenüber gut vorbereiteten Angriffen sein können. Er machte außerdem deutlich, dass Cybercrime, Spionage und geopolitische Interessen zunehmend ineinandergreifen.
WannaCry: Die Ransomware-Epidemie, die vermeidbar gewesen wäre
2017 verbreitete sich WannaCry weltweit und infizierte mehr als 200.000 Systeme. Betroffen waren unter anderem Krankenhäuser, Transportunternehmen, Bankdienstleister und Mobilfunkanbieter. Die Ransomware verschlüsselte Daten auf Windows-Systemen und forderte Lösegeld in Bitcoin. Zunächst verlangten die Angreifer 300 US-Dollar, später 600 US-Dollar.
Besonders bemerkenswert: Ein Microsoft-Patch für die ausgenutzte Schwachstelle existierte bereits. WannaCry traf vor allem Organisationen, die diesen Patch nicht eingespielt hatten oder veraltete Systeme betrieben.
2021 bis heute: Zero-Days, Mobile Espionage und kommerzielle Spyware
Operation Triangulation: Angriff auf iPhones ohne Nutzeraktion
2023 deckten Kaspersky-Forscher die Cyberspionage-Kampagne Operation Triangulation auf. Dabei kamen vier Zero-Day-Exploits sowie eine zuvor unbekannte Malware zum Einsatz. Die Infektion erfolgte über iMessage-Nachrichten. Das Tückische: Die Nachrichten löschten sich nach dem Empfang automatisch, und die Opfer mussten nicht aktiv auf einen Link klicken oder einen Anhang öffnen.
Die Malware verschaffte den Angreifern vollständige Kontrolle über System und Nutzerdaten. Bei der Untersuchung stießen unsere Experten zudem auf eine zuvor unbekannte Hardware-Funktion in iPhones, die für die Operation eine zentrale Rolle spielte. Apple schloss die schwerwiegenden Sicherheitslücken später.
Operation ForumTroll: Zero-Day-Angriffe und kommerzielle Spyware
2025 entdeckte Kaspersky die Angriffskampagne Operation ForumTroll. Die Kampagne nutzte eine Zero-Day-Schwachstelle in Google Chrome aus und zielte auf Medienhäuser, Bildungseinrichtungen und Regierungsorganisationen in Russland. Zur Infektion genügte ein Klick auf einen personalisierten, nur kurzzeitig gültigen Link in einer Phishing-Mail. Eine spätere Folgekampagne verlagerte den Fokus auf Einzelpersonen, darunter Politikwissenschaftler, Experten für internationale Beziehungen und Wirtschaftswissenschaftler an russischen Forschungseinrichtungen.
Kaspersky-Analysen konnten zudem den Einsatz der kommerziellen Spyware Dante nachweisen und diese dem Anbieter Memento Labs zuordnen, dem Nachfolger von Hacking Team, einem der bekanntesten Verkäufer staatlicher Überwachungssoftware.
Was diese Angriffe gemeinsam haben
Auf den ersten Blick unterscheiden sich Cascade, Morris, Zeus, Stuxnet, Mirai, WannaCry und Operation Triangulation stark voneinander. Manche waren Viren, andere Würmer, Botnetze, Ransomware oder hochentwickelte Spionageoperationen.
Doch drei Muster ziehen sich durch die vergangenen drei Jahrzehnte.
- Erstens: Angreifer nutzen immer den schwächsten Punkt der jeweiligen Zeit. Früher waren es Disketten, COM-Dateien und einfache Netzwerke. Später kamen E-Mail, ungepatchte Server, Online-Banking, IoT-Geräte, Smartphones und Browser hinzu.
- Zweitens: Geschwindigkeit ist entscheidend. Slammer infizierte Hunderttausende Systeme in Minuten. WannaCry verbreitete sich weltweit. Moderne Zero-Day-Kampagnen können zuschlagen, bevor Hersteller oder Nutzer überhaupt wissen, dass eine Schwachstelle existiert.
- Drittens: Cyberangriffe sind professioneller geworden. Aus einzelnen Viren wurden kriminelle Plattformen, aus Botnetzen wurden globale Infrastrukturrisiken, aus Malware wurde ein Werkzeug für Spionage, Sabotage und geopolitische Einflussnahme.
So schützen sich Privatpersonen und Unternehmen
Die Geschichte der größten Cyberangriffe zeigt: Es gibt keine einzelne Maßnahme, die alles verhindert. Sicherheit entsteht durch mehrere Schutzschichten.
Unternehmen sollten Systeme und Anwendungen konsequent aktualisieren, veraltete Software ersetzen und Schwachstellenmanagement strategisch betreiben. Kritische Systeme sollten segmentiert, Zugriffe minimiert und ungewöhnliches Verhalten kontinuierlich überwacht werden.
Ebenso wichtig sind Backups, die regelmäßig getestet und getrennt von der produktiven Umgebung gespeichert werden. Ohne funktionierende Wiederherstellung kann Ransomware aus einem IT-Vorfall schnell eine Geschäftsunterbrechung machen.
Alle Nutzer sollten für Phishing, Social Engineering und verdächtige Downloads sensibilisiert werden. Viele Angriffe beginnen nicht mit einer technischen Meisterleistung, sondern mit einem Klick.
Für private Nutzer gilt: Updates zeitnah installieren, starke und einzigartige Passwörter verwenden, einen Passwortmanager nutzen, Mehr-Faktor-Authentifizierung aktivieren und Links oder Anhänge kritisch prüfen, insbesondere wenn sie Druck, Neugier oder Angst erzeugen.
Und für alle gilt: Cybersicherheit ist kein einmaliges Projekt. Sie ist ein kontinuierlicher Prozess. Denn die nächsten Cascade-, WannaCry- oder Triangulation-Momente werden kommen. Die Frage ist nicht, ob sich die Bedrohungslandschaft weiterentwickelt, sondern wie gut wir darauf vorbereitet sind.
Tipps