Erpressung und Ransomware sind für mehr als die Hälfte aller Cyberangriffe verantwortlich

• In der ersten Jahreshälfte 2025 lag Deutschland laut Microsoft-Daten weltweit an vierter Stelle der Länder, die am häufigsten von Cyberaktivitäten betroffen waren.
• Zwischen Januar und Juni 2025 entfielen 11,1 % der von Cyberaktivitäten betroffenen Nutzer:innen in Europa auf Deutschland.

Ganze 80% der Cybervorfälle, die die Sicherheitsteams von Microsoft im vergangenen Jahr untersucht haben, waren versuchte Datendiebstähle. Dabei ging es den Tätern eher um finanziellen Gewinn als Informationsbeschaffung. Laut dem aktuellen „Microsoft Digital Defense Report“, der gemeinsam mit unserem Chief Information Security Officer Igor Tsyganskiy verfasst wurde, ging es außerdem bei mehr als der Hälfte der Cyberangriffe um Erpressung oder Ransomware. Das sind mindestens 52% der Vorfälle, die durch finanziellen Gewinn motiviert waren. Angriffe, die ausschließlich auf Spionage abzielten, machten dagegen nur 4% aus. Bedrohungen durch staatliche Akteure sind nach wie vor eine ernsthafte und anhaltende Gefahr. Die meisten unmittelbaren Angriffe, denen Unternehmen heute ausgesetzt sind, gehen jedoch von opportunistischen Kriminellen aus, die auf Profit aus sind.

Microsoft analysiert jeden Tag mehr als 100 Billionen Signale, blockiert etwa 4,5 Millionen neue Malware-Versuche, analysiert 38 Millionen potentielle Identitätsdiebstähle und überprüft fünf Milliarden E-Mails auf Malware und Phishing. Selbst mit begrenzten technischen Kenntnissen können Cyberkriminellen mittlerweile dank einfach verfügbarer Standardtools und digitaler Automatisierung ihre Aktivitäten erheblich auszuweiten. Der Einsatz von KI hat diesen Trend noch verstärkt, da Cyberkriminelle damit die Entwicklung von Malware beschleunigen und realistisch aussehende Inhalte erstellen können, wodurch ihre Phishing- und Ransomware-Angriffe effizienter werden. Darum nehmen opportunistische böswillige Akteure nun alle ins Visier – ob groß oder klein; die Cyberkriminalität wird damit zu einer universellen, allgegenwärtigen Bedrohung, die in unser tägliches Leben übergreift.

In diesem Umfeld müssen Führungskräfte Cybersicherheit als zentrale strategische Priorität betrachten und nicht nur als IT-Problem. Sie müssen ihre Technologien und Abläufe von Grund auf widerstandsfähig gestalten. Unser sechster jährlicher Microsoft Digital Defense Report nimmt die Trends von Juli 2024 bis Juni 2025 unter die Lupe, und eine der wichtigsten Erkenntnisse ist, dass herkömmliche Sicherheitsmaßnahmen nicht mehr ausreichen. Moderne Abwehrmaßnahmen bedürfen der Unterstützung durch künstliche Intelligenz und erfordern eine enge Zusammenarbeit zwischen Regierungen und allen Sektoren und Branchen, damit sie mit den Bedrohungen Schritt halten können. Für Einzelpersonen können einfache Maßnahmen einen großen Unterschied machen, wie zum Beispiel die Verwendung starker Sicherheitstools, insbesondere einer Phishing-resistenten Multi-Faktor-Authentifizierung (MFA), da MFA über 99 % der identitätsbasierten Angriffe blockieren kann.

Nachfolgend finden Sie einige der wichtigsten Erkenntnisse.

Kritische Infrastruktur ist ein bevorzugtes Angriffsziel mit realen Auswirkungen.

Böswillige Akteure konzentrieren sich nach wie vor auf Angriffe auf kritische öffentliche Dienste. Wenn diese kompromittiert werden, kann das direkte und unmittelbare Auswirkungen auf das Leben der Menschen haben. Zu den Zielen gehören beispielsweise Krankenhäuser und Kommunalverwaltungen, da sie sensible Daten speichern aber oft über knappe Cybersicherheitsbudgets verfügen, weswegen sie oft mit veralteter Software arbeiten und über begrenzte Möglichkeiten zur Reaktion auf Angriffe verfügen. Im vergangenen Jahr hatten Cyberangriffe auf diese Sektoren reale Auswirkungen: Es kam zu Verzögerungen bei der medizinischen Notfallversorgung, Störungen bei Rettungsdiensten, Schulausfällen und Stillständen im Verkehrswesen.

Ransomware-Akteure konzentrieren sich insbesondere auf diese kritischen Sektoren, da die Akteure dort nur über begrenzte Optionen verfügen. Ein Krankenhaus muss beispielsweise seine verschlüsselten Systeme schnell wiederherstellen, da sonst Patienten sterben könnten. Somit bleibt unter Umständen keine andere Wahl, als zu zahlen. Darüber hinaus speichern Regierungen, Krankenhäuser und Forschungseinrichtungen sensible Daten, die Kriminelle stehlen und über illegale Marktplätze im Dark Web zu Geld machen können. Das begünstigt wiederum weitere kriminelle Aktivitäten. Regierung und Industrie können zusammenarbeiten, um die Cybersicherheit in diesen Sektoren zu stärken – insbesondere für die am stärksten gefährdeten. Diese Bemühungen sind entscheidend, um die Bevölkerung zu schützen und die Kontinuität von Gesundheitsversorgung, Bildung und Notfallmaßnahmen zu gewährleisten.

Staatliche Akteure weiten ihre Aktivitäten aus.

Zwar stellen private Cyberkriminelle gemessen am Umfang die größte Cyberbedrohung dar, doch richten sich staatliche Akteure weiterhin gegen wichtige Industrien und Regionen. Dabei geht es ihnen nicht nur um Spionage, sondern auch in einigen Fällen um finanziellen Gewinn. Geopolitische Ziele sind für den Anstieg staatlich geförderter Cyberaktivitäten verantwortlich. Dabei weiten sich diese Aktivitäten zunehmend auf die Bereiche Kommunikation, Forschung und Wissenschaft aus.

Wichtige Erkenntnisse:

• China setzt seine breit angelegten Bemühungen fort, in verschiedenen Branchen Spionage zu betreiben und sensible Daten zu stehlen. Staatlich gelenkte Akteure greifen zunehmend Nichtregierungsorganisationen (NGOs) an, um sie auszuspionieren. Dabei nutzen sie verdeckte Netzwerke und anfällige Geräte mit Internetanschluss, um sich Zugang zu verschaffen ohne entdeckt zu werden. Außerdem sind sie mittlerweile in der Lage, neu bekannt gewordene Schwachstellen schneller auszunutzen.
• Der Iran verfolgt im Rahmen seiner ausgeweiteten Spionageaktivitäten ein breiteres Spektrum an Zielen als je zuvor – vom Nahen Osten bis nach Nordamerika. So griffen kürzlich drei staatlich gelenkte Akteure aus dem Iran Schifffahrts- und Logistikunternehmen in Europa und am Persischen Golf an, um sich dauerhaften Zugang zu sensiblen Geschäftsdaten zu verschaffen. Dies legt die Vermutung nahe, dass sich der Iran möglicherweise in Position bringt, um in den kommerziellen Schiffsverkehr eingreifen zu können.
• Russland konzentriert sich zwar weiterhin auf den Krieg in der Ukraine, hat seine Ziele jedoch ausgeweitet. So hat Microsoft beispielsweise festgestellt, dass russische staatliche Akteure kleine Unternehmen in Ländern ins Visier nehmen, die die Ukraine unterstützen. Tatsächlich gehören die zehn Länder, die außerhalb der Ukraine am stärksten von russischen Cyberaktivitäten betroffen sind, alle zur NATO. Dies ist ein Anstieg von 25 % gegenüber dem Vorjahr. Russische Akteure betrachten diese kleineren Unternehmen möglicherweise als weniger ressourcenintensive Dreh- und Angelpunkte, über die sie Zugang zu größeren Organisationen erhalten können. Für ihre Angriffe nutzen diese Akteure zunehmend auch das Ökosystem der Cyberkriminalität.
• Nordkorea konzentriert sich weiterhin darauf sowohl Geld zu machen als auch zu spionieren. Ein Trend der große Aufmerksamkeit erregt hat, ist die Tatsache, dass sich Tausende staatlich unterstützte nordkoreanische IT-Mitarbeiter im Homeoffice bei Unternehmen auf der ganzen Welt beworben und ihre Gehälter als Überweisungen an die Regierung zurückgeschickt haben. Nachdem dies entdeckt wurde, haben einige dieser Mitarbeiter es versucht, durch Erpressung Geld für das Regime zu erwirtschaften.

Die Cyber-Bedrohungen durch staatliche Akteure werden immer umfangreicher und unvorhersehbarer. Die Verlagerung zumindest einiger nationalstaatlicher Akteure hin zu einer stärkeren Nutzung des Ökosystems der Cyberkriminalität wird die Zuordnung noch komplizierter machen. Dies unterstreicht die Notwendigkeit für Unternehmen, sich über die Bedrohungen für ihre Branche auf dem Laufenden zu halten, mit Branchenkollegen sowie mit Regierungen zusammenzuarbeiten, um den Bedrohungen durch staatliche Akteure entgegenzuwirken.

Im Jahr 2025 kam es zu einer Eskalation des KI-Einsatzes durch Angreifer und Verteidiger.

Im vergangenen Jahr nutzten beide Seiten die Leistungsfähigkeit generativer KI. Bedrohungsakteure nutzen KI, um ihre Angriffe zu intensivieren, indem sie Phishing automatisieren; Social Engineering ausweiten; echt aussende, aber gefälschte Internetseiten erstellen; Schwachstellen schneller identifizieren und Malware entwickeln, die sich selbst anpassen kann. Auch staatliche Akteure haben KI in ihre Cyber-Einflussoperationen integriert. Diese Aktivitäten haben in den vergangenen sechs Monaten zugenommen, da die Akteure die Technologie nutzen, um ihre Bemühungen fortschrittlicher, skalierbarer und zielgerichteter zu gestalten.

Auch für Verteidiger erweist sich KI als wertvolles Instrument. So nutzt beispielsweise Microsoft KI, um Bedrohungen zu erkennen, Erkennungslücken zu schließen, Phishing-Versuche abzuwehren und gefährdete Benutzer zu schützen. Da sich sowohl die Risiken als auch die Chancen der KI rasant weiterentwickeln, müssen Unternehmen der Sicherung ihrer KI-Tools und der Schulung ihrer Teams Priorität einräumen. Alle – von der Industrie bis zur Regierung – müssen proaktiv handeln, um mit den immer raffinierteren Angreifern Schritt zu halten und sicherzustellen, dass die Verteidiger ihren Gegnern stets einen Schritt voraus sind.

Gegner brechen nicht ein, sie melden sich an.

Angesichts der zunehmenden Raffinesse von Cyber-Bedrohungen sticht eine Statistik besonders hervor: Mehr als 97 % der Identitätsangriffe sind Passwortangriffe. Allein in der ersten Hälfte des Jahres 2025 stiegen identitätsbasierte Angriffe um 32 Prozent an. Das bedeutet, dass die überwiegende Mehrheit der böswilligen Anmeldeversuche bei Unternehmen auf groß angelegten Versuchen beruhen, Passwörter einfach zu erraten. Die dafür benötigten Benutzernamen und Passwörter („Anmeldedaten“) erhalten Angreifer größtenteils durch das Durchsickern von Anmeldedaten.

Anmeldedatenlecks sind jedoch nicht die einzige Quelle, aus der Angreifer Anmeldedaten beziehen können. In diesem Jahr haben wir einen Anstieg der Nutzung von Infostealer-Malware durch Cyberkriminelle beobachtet. Infostealer können heimlich Anmeldedaten und Informationen über Ihre Online-Konten, wie beispielsweise Browser-Sitzungstoken, in großem Umfang sammeln. Cyberkriminelle können diese gestohlenen Informationen in Cybercrime-Foren kaufen. Dadurch wird es für jedermann leicht, auf Konten zuzugreifen und beispielsweise Ransomware zu verbreiten.

Glücklicherweise ist die Lösung für Identitätsdiebstahl einfach. Durch die Implementierung einer Phishing-resistenten Multi-Faktor-Authentifizierung (MFA) lassen sich über 99 % dieser Angriffe verhindern – selbst wenn der Angreifer über die richtige Kombination aus Benutzername und Passwort verfügt. Um gegen die Lieferkette böswilliger Cyberkrimineller vorzugehen, bekämpft die Digital Crimes Unit (DCU) von Microsoft den Einsatz von Infostealern. Im Mai hat die DCU gemeinsam mit dem US-Justizministerium und Europol den beliebtesten Infostealer, Lumma Stealer, unschädlich gemacht.

Der Weg in die Zukunft: Cybersicherheit ist eine gemeinsame Verteidigungspriorität.

Da Bedrohungsakteure immer raffinierter, hartnäckiger und opportunistischer werden, müssen Unternehmen wachsam bleiben, ihre Abwehrmaßnahmen kontinuierlich aktualisieren und Informationen austauschen. Microsoft ist weiterhin bestrebt, im Rahmen unserer Secure Future Initiative einen Beitrag zur Stärkung unserer Produkte und Dienste zu leisten. Wir arbeiten auch weiterhin mit anderen zusammen, um Bedrohungen zu verfolgen, betroffene Kunden zu warnen und Erkenntnisse mit der breiten Öffentlichkeit zu teilen.

Sicherheit ist jedoch nicht nur eine technische Herausforderung, sondern auch eine zwingende Notwendigkeit für die Regierungsführung. Defensive Maßnahmen allein reichen nicht aus, um staatliche Gegner abzuschrecken. Regierungen müssen Rahmenbedingungen schaffen, die sicherstellen, dass Akteuren die gegen internationale Gesetze verstoßen glaubwürdige und angemessene Konsequenzen drohen. Erfreulicherweise können Regierungen immer besser die Cyberangriffe ausländischer Akteure zu ihrer Quelle zurückverfolgen und Konsequenzen wie Anklagen und Sanktionen verhängen. Diese zunehmende Transparenz und Rechenschaftspflicht sind wichtige Schritte zum Aufbau einer kollektiven Abschreckung. Mit der Beschleunigung der digitalen Transformation – verstärkt durch die immer breitere Anwendung von KI – sind Cyberbedrohungen jetzt ein Risiko für die Stabilität sowohl der Wirtschaft als auch von Regierungen, wie auch für die persönliche Sicherheit. Die Bewältigung dieser Herausforderungen erfordert technische Innovationen sowie koordinierte gesellschaftliche Maßnahmen.