Finanziell motivierte Angriffe weiterhin in der Überzahl
Der Mandiant M-Trends Report 2025 vereint die im Vorjahr gewonnenen Erkenntnisse aus weltweiten Ermittlungen sowie aus Wiederherstellungsmaßnahmen bei großen Cyberangriffen. Neben der Motivation von Angreifern geht er auf deren bevorzugte Opfer, die festgestellte Verweildauer in betroffenen Organisationen sowie eingesetzte Angriffsvektoren und -techniken ein.
Staatlich geförderte Attacken werden zwar mutiger und schwerer zu entdecken: Nationalstaatliche Akteure, darunter iranische und nordkoreanische Gruppen, intensivieren ihre Cyber-Kampagnen mit ausgefeilten Taktiken und zunehmend verdeckten Operationen. Dennoch bleiben finanziell motivierte Angriffe dominant: 2024 diente mehr als die Hälfte aller erfassten Bedrohungsaktivitäten monetären Intentionen, stellt der Mandiant M-Trends Report 2025 fest – was den stetigen Anstieg der letzten drei Jahre fortführe. Der Finanzsektor sei dabei nach wie vor die am häufigsten angegriffene Branche, da seine zentrale Rolle in der Weltwirtschaft ihn zu einem lukrativen Ziel für Bedrohungsakteure macht.
Von den Bedrohungsgruppen, die Mandiant 2024 beobachtet hat, waren 55 % finanziell motiviert, was einen weiteren Anstieg nach 52 % im Jahr 2023 und 48 % im Jahr 2022 bedeute. 8 % der Bedrohungsakteure wollten Spionage betreiben, was einen leichten Rückgang gegenüber 10 % im Jahr 2023 darstellt.
Der weltweit häufigste Angriffsvektor für Erstinfektion waren der Untersuchung zufolge zum fünften Mal in Folge Exploits (33 %). Gestohlene Zugangsdaten (16 %) sind 2024 zum zweithäufigsten Vektor aufgestiegen und erreichen erstmals dieses hohe Niveau, was deren steigende Beliebtheit zeigt, folgert Mandiant. Zu den fünf wichtigsten Vektoren gehören außerdem E-Mail-Phishing (14 %), Internetangriffe (9 %) und vorausgegangene Angriffe (8 %). Bezogen auf Europa, den Nahen Osten und Afrika (EMEA) waren die 2024 am häufigsten identifizierten initialen Angriffsvektoren ebenfalls Exploits (39 %), gefolgt von E-Mail-Phishing (15 %) und Brute-Force-Angriffen (10 %).
In 57 % der erfassten Fälle aus weltweiten Ermittlungen (EMEA: 59 %) sowie Wiederherstellungsmaßnahmen bei großen Cyberangriffen erfuhren angegriffene Unternehmen erstmals durch eine externe Organisation von einer Kompromittierung, während 43 % durch interne Mechanismen festgestellt wurden (EMEA 41 %). Externe Benachrichtigungen stammen demnach oft von Strafverfolgungsbehörden oder Anbietern von Cybersicherheitslösungen (43 %) – in 14 % der Fälle von Angreifern, häufig in Form von Lösegeldforderungen.
Der Median der Verweildauer von Angreifern stieg weltweit betrachtet von 10 Tagen im Jahr 2023 (EMEA: 22 Tage) auf 11 Tage (EMEA: 27 Tage), liegt damit aber immer noch unter den 16 Tagen, die 2022 gemeldet wurden – 2014 hatte die mittlere Verweildauer global sogar noch bei 205 Tagen gelegen, war erst ab 2018 stabil unter 100 Tagen geblieben und seither stetig gesunken.
Als weitere Trends nennt der Report unter anderem die Ausnutzung des „Web3“: Nordkoreanische Hacker und andere Bedrohungsakteure zielen demnach zunehmend auf entsprechende Technologie, einschließlich Kryptowährungen und Blockchains ab – auch hier vorrangig mit der Absicht, zu stehlen, Geldwäsche zu betreiben oder illegale Aktivitäten zu finanzieren.
Als eine „stille Bedrohung hinter großen Sicherheitsverletzungen“ sieht Mandiant Infostealer-Malware auf dem Vormarsch. Gestohlene Zugangsdaten ermöglichten es etwa der Hackergruppe UNC5537 kürzlich, auf Snowflake-Kundendatenbanken zuzugreifen, was zeige, welche schwerwiegenden Konsequenzen aus dem riesigen Infostealer-Markt entstehen können.
Der vollständige M-Trends 2025 Report steht über https://services.google.com/fh/files/misc/m-trends-2025-en.pdf als 92-seitiges PDF in englischer Sprache zum kostenlosen Download zur Verfügung.