Verizon Data Breach Investigations Report : Schwachstellen überholen Passwortdiebstahl als Hauptangriffsvektor : Wie Unternehmen Schwachstellen, Ransomware und Drittparteirisiken systematisch in den Griff bekommen

Der Verizon Data Breach Investigations Report 2025 (DBIR) zeigt: Cyberangriffe nehmen nicht nur zu, sondern werden auch vielfältiger und komplexer. Bestimmte Trends stechen dabei besonders hervor. So hat sich das Ausnutzen von Schwachstellen als Angriffsvektor massiv ausgeweitet und ist in 20 Prozent der untersuchten Datenpannen der Einstiegsweg – ein Anstieg um 34 Prozent gegenüber dem Vorjahr. Damit rückt die Schwachstellenausnutzung fast auf das Niveau des klassischen Passwortdiebstahls (Credential Abuse mit 22 Prozent) heran.

Ransomware findet sich inzwischen in 44 Prozent aller analysierten Fälle, 37 Prozent häufiger als im Vorjahr. Gleichzeitig hat sich die Beteiligung Dritter an Sicherheitsvorfällen verdoppelt und liegt nun bei 30 Prozent – ein deutlicher Hinweis auf die wachsenden Risiken in Zusammenhang mit der Lieferkette. Ebenfalls alarmierend ist der Anstieg staatlich motivierter Spionage-Angriffe auf 17 Prozent. Hier spielen oft nicht verwaltete Geräte im Unternehmensumfeld eine Rolle: 46 Prozent der kompromittierten Systeme mit Zugängen zum Firmennetzwerk waren nicht durch die IT gemanagt (BYOD), was die Dringlichkeit eines robusten Asset-Managements unterstreicht.

Bei Phishing und KI zeigen sich neue Facetten: 15 Prozent der Mitarbeiter greifen regelmäßig auf generative KI-Dienste zu – meist mit privaten E-Mail-Accounts (72 Prozent). Zugleich hat sich der Anteil synthetisch erzeugter Texte in Phishing-Mails in zwei Jahren verdoppelt.

Wettlauf gegen die Zeit: Schwachstellen- und Patch-Management

Das Schwachstellenmanagement bleibt jedoch eine wachsende Herausforderung. Die DBIR-Zahlen bestätigen, dass Angreifer verstärkt ungeschlossene Lücken ausnutzen: Bei mittlerweile jeder fünften Datenpanne dient eine bekannte Schwachstelle als Einfallstor. Interessant ist dabei der Fokus der Angreifer: Edge-Geräte und VPNs machen rund 22 Prozent der Ziele bei Exploits aus – ein fast achtfacher Anstieg gegenüber drei Prozent im Vorjahr. Die Daten zeigen hier deutlich, dass Angreifer dem Prinzip des geringsten Widerstands folgen und gezielt ungeschützte Systeme am Netzwerkrand angreifen.

Damit rückt das Patch-Management ins Zentrum: Laut DBIR benötigen Unternehmen im Median 32 Tage, um kritische Schwachstellen an ihren Perimeter-Geräten vollständig zu beheben. Viele Schwachstellen wurden allerdings schon am Tag ihrer Veröffentlichung von Angreifern genutzt (z. B. in die CISA KEV-Liste aufgenommen, bevor der erste Patch eingespielt war). Dadurch entsteht eine kritische Patch-Lücke, die es dringend zu schließen gilt. Unternehmen brauchen effiziente Prozesse, um Sicherheitsupdates priorisiert und möglichst automatisiert auszurollen. Zu diesem Zweck empfiehlt sich ein vollständiges Asset-Inventar (inklusive aller externen und End-of-Life-Systeme) sowie automatisierte Patch-Prozesse und risikobasierte Priorisierung bei der Behebung von Schwachstellen. Besonders Schwachstellen an der Netzwerkperipherie sollten ganz oben auf der Prioritätenliste stehen, weil sie direkten Zugang ins interne Netz ermöglichen. Ein modernes, ganzheitliches Schwachstellenmanagement kann die Angriffsfläche deutlich reduzieren, indem die gefährlichsten Lücken zuerst behoben werden, um das Zeitfenster für Angreifer zu minimieren.

Ransomware: Taktikwandel und wirtschaftlicher Druck

Die Ransomware-Statistik im DBIR 2025 zeigt ein differenziertes Bild. Einerseits taucht Ransomware in fast der Hälfte (44 Prozent) aller Datensicherheitsvorfälle auf – ein Anstieg um 37 Prozent binnen eines Jahres. Andererseits scheint der finanzielle Ertrag der Erpresser zu sinken: Die durchschnittliche Lösegeldzahlung fiel auf 115 000 US-Dollar (von 150 000 US-Dollar im Vorjahr), während 64 Prozent der betroffenen Organisationen die Zahlung vollständig verweigerten. Vor zwei Jahren lag die Quote der Zahlungsverweigerer erst bei 50 Prozent. Dieser Trend mag Angreifer dazu bewegen, ihre Taktiken anzupassen – etwa verstärkt Datenexfiltration und Erpressung durch Veröffentlichungsdrohungen einzusetzen, um den Druck auf die Opfer zu erhöhen (sogenanntes Double Extortion).

Besonders kleine und mittelständische Unternehmen (KMU) tragen ein hohes Risiko: Bei großen Firmen ist Ransomware an 39 Prozent der Sicherheitsvorfälle beteiligt – bei KMU jedoch in ganzen 88 Prozent aller Datenschutzverletzungen. Für Entscheider bedeutet dies, dass auch KMU dringend in grundlegende Sicherheits-Hygiene investieren müssen, um nicht zum leichten Opfer zu werden. Dazu gehört neben regelmäßigen Backups und Schulungen vor allem ein systematisches Schwachstellenmanagement: Viele Ransomware-Angriffe beginnen mit bekannten Lücken. Indem Unternehmen verwundbare Systeme – gerade solche, die von Ransomware-Gruppen bevorzugt ins Visier genommen werden – frühzeitig erkennen und absichern, schneiden sie Angreifern den Weg ab. Ergänzend empfiehlt sich der Einsatz moderner Erkennungs- und Abwehrmechanismen (etwa EDR-Lösungen), um Ransomware-Aktivitäten auf Endgeräten früh zu detektieren. Positiv hervorzuheben ist die steigende Widerstandskraft vieler Opfer, die Lösegeldforderungen eher aussitzen – ein Indiz für bessere Notfallpläne und Backup-Strategien. Dieser Aspekt darf jedoch nicht darüber hinwegtäuschen, dass Ransomware nach wie vor zu den gravierendsten Bedrohungen zählt.

Drittparteirisiken: Wenn Partner zur Schwachstelle werden

Immer öfter gelangen Angreifer indirekt über verbundene Dritte ins Zielunternehmen. Der DBIR 2025 verzeichnet eine Verdoppelung der Fälle mit Drittanbieter-Beteiligung auf 30 Prozent. Ob Cloud-Dienstleister, Lieferanten oder ausgelagerte IT-Dienstleistungen – die Partnerökosysteme der Unternehmen entpuppen sich als verwundbare Glieder in der Sicherheitskette. Ein häufiges Einfallstor ist Credential Reuse in fremden Umgebungen: Gestohlene Zugangsdaten werden wiederverwendet, um beispielsweise Cloud-Konten oder externe Kollaborationsplattformen zu kompromittieren. Hinzu kommen sorglos gehandhabte Authentifizierungsdaten wie API-Schlüssel oder Tokens, die auf GitHub und ähnlichen Plattformen auftauchen. 94 Tage benötigten Unternehmen im Median, um öffentlich geleakte Zugangsdaten oder Geheimnisse auf GitHub zu entdecken und zu entfernen. In dieser Zeitspanne können Angreifer solche Informationen längst missbraucht haben.

Die Implikation für CISOs und Sicherheitsverantwortliche ist eindeutig: Supply-Chain-Security muss integraler Bestandteil der Sicherheitsstrategie sein. Dazu gehören strenge Sicherheitsauflagen für Dienstleister, regelmäßige Audits und automatisierte Scans nach geleakten Informationen. Der DBIR empfiehlt beispielsweise 24-Stunden-Zyklen für Passwortwechsel, konsequente Multi-Faktor-Authentifizierung auch in Drittumgebungen sowie ein durchgängiges Monitoring der Sicherheitslage bei Partnern. Letztlich sind Unternehmen nur so sicher wie das schwächste Glied in ihrem erweiterten Netzwerk. Dass sogar staatlich gesteuerte Angreifer zunehmend über indirekte Wege kommen, verschärft die Lage: Einige der beobachteten Spionage-Angriffe (17 Prozent der Breaches) nutzten kompromittierte Dritt-Accounts oder ungepatchte Partnersysteme als Sprungbrett. Ein ganzheitlicher Blick auf die Risiken in der Lieferkette ist daher unerlässlich.

Spionage und BYOD

Cyber-Spionage erlebt laut DBIR ein Comeback. Die Zunahme staatlich oder wirtschaftlich motivierter Spionage unter den Vorfällen (auf nun 17 Prozent) ist teilweise auf bessere Datenlage durch DBIR-Beitragsleister zurückzuführen, zeigt aber auch: Advanced Persistent Threats (APTs) bleiben aktiv. 28 Prozent der von staatlichen Akteuren initiierten Angriffe zeigten sogar finanzielle Motive – die Trennlinie zwischen Spionage und finanziell motivierter Cyberkriminalität verschwimmt also. Spionagegruppen setzen bevorzugt auf technische Lücken: In 70 Prozent dieser Fälle diente eine Schwachstelle als Initialzugang. Dies unterstreicht einmal mehr, wie wichtig es ist, Systeme stets aktuell zu halten, um nicht zum Opfer geopolitischer Angriffe zu werden.

Gleichzeitig machen unsichere Geräte im Unternehmensumfeld vermehrt Probleme. Die DBIR-Analysen von Infostealer-Logs zeigen, dass fast die Hälfte der kompromittierten Geräte mit Zugang zum Frimennetzwerk nicht von der IT verwaltet war. Diese BYOD (Bring-Your-Own-Device) -Geräte enthalten oft eine Mischung aus privaten und geschäftlichen Daten und entziehen sich teilweise zentralen Sicherheitskontrollen. Wenn auf solch einem Gerät Unternehmenspasswörter gestohlen werden, bemerkt es die Firmen-IT womöglich gar nicht. Tatsächlich fand der Bericht heraus, dass in 54 Prozent der Ransomware-Fälle die betroffenen Firmen-Domains bereits in früheren Credential Dumps auftauchten. Mit anderen Worten: Über die Hälfte der Ransomware-Opfer hätten anhand im Vorfeld geleakter Zugangsdaten identifiziert werden können – ein deutlicher Hinweis, dass Passwort-Wiederverwendung und gestohlene Accounts weiterhin ein enormes Risiko darstellen. Unternehmen sollten daher unbedingt überwachen, ob Unternehmens-E-Mail-Adressen oder -Konten in öffentlichen Leaks auftauchen, und kompromittierte Passwörter sofort zurücksetzen.

Zugleich ist ein striktes Endpoint-Management für alle Geräte mit Unternehmenszugang unerlässlich. Ungemanagte Privatrechner im Unternehmensnetz sind tickende Zeitbomben. Die DBIR-Erkenntnisse machen deutlich: BYOD-Richtlinien – gepaart mit robustem Asset-Management – sind ein Muss, um die Schatten-IT unter Kontrolle zu bringen. Hier zahlt sich eine klare Trennung von beruflicher und privater Nutzung aus – technisch (etwa via Container oder Virtualisierung) und organisatorisch.

KI-Nutzung und Phishing

Der DBIR 2025 beleuchtet auch aufkommende Gefahren durch generative KI und perfide Phishing-Methoden. 15 Prozent der Mitarbeiter nutzen laut Erhebung regelmäßig GenAI-Dienste auf Firmenrechnern. Problematisch ist weniger die produktive Nutzung an sich, sondern wie sie erfolgt: Von diesen GenAI-Nutzern verwenden 72 Prozent private E-Mail-Accounts auf dem Firmenendgerät. Unternehmensrichtlinien und Sicherheitsfilter werden so leicht umgangen. 17 Prozent greifen mit ihrer Firmenadresse zu, jedoch ohne in die Firmen-Authentifizierung eingebunden zu sein. Hier besteht das Risiko, dass vertrauliche Daten unkontrolliert in externe KI-Modelle fließen – ein Alptraum für Datenschutzbeauftragte. Unternehmen sollten dringend klare Regeln für die Verwendung von KI-Tools aufstellen, inklusive Prüfen von KI-Anfragen auf sensible Inhalte und bevorzugter Nutzung mit firmeneigenen Accounts oder isolierten Umgebungen.

Auch Angreifer machen sich KI zunutze: Laut DBIR hat sich die Verwendung von synthetisch generierten Texten in Phishing-E-Mails innerhalb von zwei Jahren verdoppelt. Das bedeutet, Phishing-Mails werden immer überzeugender, da KI-Modelle maßgeschneiderte und grammatisch einwandfreie Ködertexte erstellen. So fallen sprachliche und stilistische Ungereimtheiten als Indikator für Betrug weg. In Kombination mit personalisierten Informationen (möglicherweise aus geleakten Daten oder Social Engineering) entstehen täuschend echte Betrugsnachrichten. Sicherheitsverantwortliche sind gefordert, ihre Belegschaft entsprechend zu sensibilisieren: Selbst E-Mails in perfektem Deutsch oder Englisch können manipulativ und gefährlich sein. Technische Lösungen wie fortschrittliche Mailfilter oder KI-Detektoren könnten in Zukunft helfen, synthetische Phishing-Inhalte zu erkennen. Doch letztlich bleibt Awareness die wichtigste Verteidigungslinie gegen solche ausgefeilten Phishing-Kampagnen.

Fazit: Risikobasiertes Handeln als Schlüssel

Der Verizon DBIR 2025 führt eindrücklich vor Augen, dass fragmentierte Sicherheitsmaßnahmen nicht mehr ausreichen. Angesichts beschleunigter Angriffsvektoren – von Zero-Day-Exploits bis KI-Phishing – brauchen Organisationen einen ganzheitlichen, risikobasierten Ansatz. Vulnerability-Management sollte dabei als Fundament dienen, ergänzt durch strikte Kontrolle von Drittparteirisiken und anpassungsfähige Abwehrstrategien gegen Ransomware. Wer die richtigen Schwachstellen zuerst schließt, Zugänge von Partnern sichert und auf frühe Indikatoren (wie geleakte Credentials) achtet, verschafft sich einen entscheidenden Vorsprung. Dieser Ansatz erfordert Investitionen in Prozesse, Tools und Training – von umfassender Asset Visibility über automatisierte Schwachstellenscans bis hin zu Incident Response Playbooks. Die Angriffsfläche lässt sich damit nachhaltig verkleinern, ohne auf einzelne Produkte oder reaktive Maßnahmen zu vertrauen. Sicherheitsentscheider tun gut daran, ihr Programm auf Risiko-Prioritäten auszurichten und Security ganzheitlich zu denken. So lassen sich die hier skizzierten Bedrohungen am effektivsten entschärfen – bevor aus einer Schwachstelle ein folgenschwerer Datenvorfall wird.

Autor

Von Jörg Vollmer ist General Manager Field Operations DACH & CEE bei Qualys.