33 neu identifizierte Angreifer, 112 Prozent mehr Access Broker-Inserate im Dark Web und fast jede Branche von China-nahen Spionageaktivitäten betroffen - der neue Global Threat Report von CrowdStrike hilft Sicherheitsexperten dabei, die aktuelle Cyberbedrohungslandschaft besser zu verstehen, sich auf die Herausforderungen vorzubereiten und sich zu schützen.
Im Laufe des Jahres 2022 haben Cyberkriminelle bewiesen, dass sie in der Lage sind, sich anzupassen, abzuspalten, neu zu gruppieren und angesichts der Abwehrmaßnahmen sogar noch zu florieren.
(Bild: BillionPhotos.com - stock.adobe.com)
Während Unternehmen die digitale Transformation weiter vorantreiben und die angespannte geopolitische Lage navigieren, werden die Angriffe von Bedrohungsakteuren immer raffinierter, unerbittlicher und schädlicher. Die Breakout Time, also die Zeit, die Angreifer brauchen, um sich lateral in der Opferumgebung zu bewegen, hat sich erneut verkürzt. Während eCrime-Akteure 2021 im Durchschnitt noch 98 Minuten benötigten, brauchen sie aktuell durchschnittlich nur noch 1 Stunde und 24 Minuten, was die Schnelligkeit heutiger Angreifer verdeutlicht. Während 2021 62 Prozent der entdeckten Angriffe Malware-frei waren, stieg diese Zahl im Jahr 2022 auf 71 Prozent. Diese Entwicklungen zeigen, dass menschliche Angreifer zunehmend versuchen, den Virenschutz zu umgehen und die rein maschinelle Abwehr zu überlisten. Darüber hinaus verlagern eCrime-Akteure ihren Schwerpunkt von Ransomware auf neue, innovative Techniken: Die Zahl der Angreifer, die Datendiebstahl- und Erpressungskampagnen durchführen, ist im Jahr 2022 um 20 Prozent gestiegen.
Access Broker-Dienstleistungen sind gefragter denn je
Auch das Geschäft der Access Broker floriert. Im letzten Jahr haben 80 Prozent der Cyberangriffe identitätsbasierte Techniken genutzt, um legitime Zugangsdaten zu kompromittieren und sich der Entdeckung zu entziehen. In diesem Jahr zeigt der CrowdStrike Global Threat Report 2023 (pdf), dass 2022 über 2.500 Inserate im kriminellen Untergrund von Access-Brokern veröffentlicht wurden – ein Anstieg von 112 Prozent im Vergleich zu 2021, was die wachsende Nachfrage nach diesen Services unterstreicht.
Staatliche Akteure nutzen unsichere geopolitische Lage
Das Jahr 2022 war abermals geprägt von Staats-nahen Cyberakteuren. Besonders aktiv: China-nahe Angreifer. Sie wurden in nahezu allen 39 globalen Industriesektoren und 20 geografischen Regionen beobachtet, die CrowdStrike Intelligence überwacht. Zu den Hauptangriffszielen gehörten vor allem Unternehmen aus dem Technologiesektor mit Sitz in Taiwan sowie Unternehmen aus Nordamerika, darunter die Luft- und Raumfahrt, die Rechtsbranche und der akademische Bereich. Auf Europa und Nordamerika entfiel etwa ein Viertel aller Angriffsaktivitäten China-naher Akteure.
Aber auch Russland-nahe Angreifer trieben 2022 ihr Unwesen und kombinierten schädliche Spionage- und Informationsoperationen, um den Krieg in der Ukraine zu unterstützen. Auffällig: Die Zahl Russland-naher Akteure, die gefälschte Ransomware einsetzen, nimmt zu. Dies deutet darauf hin, dass der Kreml die Absicht hat, Sektoren und Regionen ins Visier zu nehmen, in denen destruktive Operationen als politisch riskant angesehen werden. Unter den neu identifizierten BEARs (Namenskonvention für alle Russland-nahen Angreifer) waren im ersten Jahr des Russland-Ukraine-Konflikts die Credential-Phishing-Operationen von GOSSAMER BEAR besonders häufig zu beobachten. Sie richteten sich gegen Forschungslabore der Regierung, Militärlieferanten, Logistikunternehmen und Nichtregierungsorganisationen (NGOs).
Iranische Gruppierungen konzentrierten sich weiterhin auf regionale Spionagekampagnen und die für sie mittlerweile charakteristischen "Lock-and-Leak"-Operationen, bei denen Ransomware zum Einsatz kommt. Und Nordkorea-nahe Akteure setzten weiterhin auf den Diebstahl von Kryptowährungen, um die staatlichen Mittel im Zuge der COVID-19-Pandemie und der langjährigen wirtschaftlichen Notlage ihres Landes aufzustocken.
Unternehmen kämpfen mit dem Revival der Schwachstelle
Angreifer nutzen weiterhin Zero-Days und Schwachstellen aus – und das mehrfach. Die im Jahr 2022 beobachteten Zero-Day- und N-Day-Schwachstellen belegen, dass heutige Angreifer in der Lage sind, ihr Spezialwissen zu nutzen, um die Schutzmaßnahmen vorheriger Patches zu umgehen und dieselben anfälligen Komponenten mehrfach anzugreifen. Das wohl prominenteste Beispiel dafür ist die langwierige Ausnutzung der Log4Shell-Schwachstelle, die sich auch im Jahr 2022 auf zahlreiche Produkte erstreckte.
Die Cloud entwickelt sich zum neuen Cyber-Schlachtfeld für die Angreifer
Die Zahl der Cloud-Exploit-Vorfälle stieg um 95 Prozent. Darüber hinaus hat sich die Zahl der Akteure, die gezielt Cloud-Umgebungen angreifen, im Vergleich zum Vorjahr fast verdreifacht. Dies verdeutlicht einen weiteren, größeren Trend: eCrime und nationalstaatliche Akteure eignen sich zunehmend Wissen und Techniken an, um Cloud-Umgebungen anzugreifen.
Bedrohungsakteure sind unermüdlich
Im Laufe des Jahres 2022 haben eCrime-Angreifer erneut bewiesen, dass sie in der Lage sind, sich anzupassen, abzuspalten, neu zu gruppieren und angesichts der Abwehrmaßnahmen sogar noch zu florieren. Nach der Zerschlagung einiger der größten und berüchtigtsten Ransomware-Organisationen schlossen sich die Akteure einfach neuen Ransomware-as-a-Service (RaaS)-Operationen an.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der Kampf gegen die Angreifer geht für die IT-Sicherheitsexperten weiter – und nur durch das Verständnis ihrer sich schnell entwickelnden Vorgehensweisen, Techniken und Ziele - und durch den Einsatz von Technologien, die auf den neuesten Erkenntnissen über Bedrohungen basieren - können Unternehmen den immer unerbittlicheren Gegnern von heute einen Schritt voraus sein.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/6b/da/6bda01bb534b9a8a3cb14ecd3a7b7dff/0128439115v1.jpeg "Hackergruppen sind überraschend widerstandsfähig und finden immer neue Angriffsmethoden: Der CrowdStrike-Report verortet Deutschland im Zentrum der aktuellen Cyberbedrohungen. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0d/57/0d57e7a5fd983b5f72d78a146200d88f/0123221047v1.jpeg "Statt klassischerweise Malware einzusetzen, nutzen immer mehr Cyberkriminelle einen interaktiven Weg und ahmen User-Verhalten nach oder ergaunern sich Zugriffsdaten, um auf Unternehmensnetze zuzugreifen. (Bild: Dall-E / KI-generiert)")