Jedes Jahr im Oktober veröffentlicht die Europäische Agentur für Cybersicherheit Sicherheit (ENISA) in ihrem jährlichen Bedrohungsbericht - ENISA Threat Landscape. Die letztjährige Ausgabe, die im Oktober 2025 veröffentlicht wurde, analysiert fast 4.900 Vorfälle für den Zeitraum von Juli 2024 bis Juni 2025. Dabei handelt es sich nicht um eine trockene Auflistung von Statistiken; in diesem Jahr verknüpfen die Autoren ganz bewusst bestimmte Ereignisse mit allgemeineren Trends und versuchen zu beschreiben, wie und warum sich die Bedrohungen weiterentwickeln. Das daraus resultierende Bild ist ernüchternd - und für manche vielleicht überraschend.
DDoS dominiert die Statistik, aber nicht den Schaden
Bei der überwiegenden Mehrheit der erfassten Vorfälle - 77 % - handelt es sich um DDoS-Angriffe (Distributed Denial of Service), d. h. um Versuche, den Dienst zu überlasten und unbrauchbar zu machen. Die Zahl klingt auf den ersten Blick alarmierend. Aber: Die tatsächlichen Auswirkungen dieser Angriffe waren in den meisten Fällen minimal - nur 2 % davon verursachten tatsächliche Dienstausfälle.
Diese Welle wird hauptsächlich von Hacktivistengruppen angetrieben, die auf geopolitische Spannungen und politische Ereignisse in den EU-Mitgliedstaaten reagieren. Dabei geht es eher um eine Machtdemonstration und das Signalisieren von Dissens als um ausgeklügelte Operationen mit dauerhaften Folgen. DDoS als politisches Druckmittel ist eines der Markenzeichen des letzten Jahres.
Ransomware: leise, aber zerstörerisch
Die wirtschaftlich verheerendste Bedrohung bleibt Ransomware. Obwohl ihr Anteil an den Vorfällen im Vergleich zum Vorjahr insgesamt stabil blieb, Ökosystem hat sich erheblich gewandelt. Im Berichtszeitraum wurden insgesamt 82 verschiedene Ransomware-Varianten eingesetzt, und das Ransomware-as-a-Service (RaaS)-Modell hat sich weiter professionalisiert - die Angreifer „mieten“ Tools von der Stange, wobei immer weniger technisches Wissen erforderlich ist, um einen Angriff zu starten.
Die Gruppen reagieren auf den Druck der Strafverfolgungsbehörden, indem sie ihre Operationen dezentralisieren und ihre Erpressungstaktiken verschärfen. Eine beliebte Strategie ist die doppelte oder dreifache Erpressung: erst die Verschlüsselung der Daten, dann die Drohung, sie freizugeben, und dann die Ausnutzung der Angst der Opfer vor Gesetzesverstößen - zum Beispiel im Zusammenhang mit GDPR oder NIS2 - als Druckmittel, um die Zahlung zu erzwingen.
Phishing im industriellen Maßstab
Der häufigste Weg für Angreifer, überhaupt in Systeme einzudringen, bleibt Phishing - entspricht etwa 60 von % erfassten Durchdringungen. Das ist nichts Neues. Was sich jedoch ändert, ist der Grad der Automatisierung und die Raffinesse dieser Kampagnen.
Künstliche Intelligenz spielt dabei eine Schlüsselrolle. Bis Anfang 2025 werden KI-gestützte Phishing-Kampagnen schätzungsweise mehr als 80 % aller weltweit beobachteten Social-Engineering-Aktivitäten ausmachen. Große Sprachmodelle ermöglichen die Erstellung überzeugender Nachrichten in der richtigen Sprache, dem richtigen Ton und ohne die eklatanten Fehler, die früher als Warnsignale dienten. Phishing-as-a-Service (PhaaS)-Plattformen machen dieses Werkzeug dann für Angreifer ohne tiefgreifende technische Kenntnisse zugänglich.
Der zweithäufigste Penetrationsvektor ist die Ausnutzung von Schwachstellen in Software - verantwortlich für etwa 21 %-Fälle. Der Bericht verdeutlicht, dass die Zeitspanne zwischen dem Bekanntwerden einer Sicherheitslücke und ihrer aktiven Ausnutzung immer kürzer wird. Im letzten Berichtszeitraum wurden über 42.000 neue Schwachstellen gemeldet, 27 % mehr als im Vorjahr.
Wer ist im Fadenkreuz?
Die öffentliche Verwaltung ist mit 38 %-Vorfällen weiterhin das häufigste Ziel. Der am zweithäufigsten gefährdete Sektor ist der Verkehr, insbesondere Luftfahrt und Logistik. Datenlecks betrafen vor allem die Telekommunikation und digitale Dienste; Ransomware-Angriffe konzentrierten sich auf das verarbeitende Gewerbe.
In dem Bericht wird auch erwähnt, dass Länder, die die Ukraine unterstützen - z. B. durch Lieferketten - verstärkt ins Visier staatlich unterstützter Akteure geraten. Die Tschechische Republik wird in diesem Zusammenhang ausdrücklich genannt.
Verschwimmende Grenzen
Eine der strukturellen Veränderungen, die der Bericht beschreibt, ist für mich besonders interessant: Die traditionellen Grenzen zwischen Cyberkriminalität, Staatsspionage und Hacktivismus verschwimmen. Die Gruppen teilen sich Werkzeuge, Infrastruktur und Taktiken. Eine ideologisch motivierte Gruppe kann ohne Vorwarnung zu finanzieller Erpressung übergehen - und umgekehrt. Die ENISA spricht daher von „anhaltendem und diversifiziertem Druck“ auf die digitale Infrastruktur der EU, nicht von einzelnen Vorfällen.
Der vollständige ENISA-Bericht "Threat Landscape 2025" kann heruntergeladen werden unter enisa.europa.eu.
Dieser Beitrag dient nur zu Informationszwecken. Er stützt sich weder auf eine eigene Sicherheitsüberprüfung noch auf Daten aus anderen als öffentlich zugänglichen Quellen.
Čeština
English
Deutsch
Español
Français