Cybercrime-as-a-Service boomt im Darknet. Der Schwarzmarkt für Zugangsdaten, Exploits und unbefugten Zugang bleibt lukrativ und wird weiter angeheizt.
Die Bedrohung durch Cyberkriminelle steigt durch automatisierte Angriffe. Cybercrime-as-a-Service macht den Angreifern die Arbeit leichter als je zuvor.
(Bild: Midjourney / KI-generiert)
Fortinet hat den aktuellen Jahresbericht 2025 Global Threat Landscape Report veröffentlicht, dessen Daten Fortiguard Labs, das globale Bedrohungsforschungs- und Sicherheitszentrum von Fortinet, aufbereitet hat. Der Report zeigt, dass Bedrohungsakteure zunehmend Automatisierung, kommerzielle Tools und Künstliche Intelligenz (KI) einsetzen.
Cyberkriminelle setzen weltweit automatisierte Scans ein, um von neu entdeckten Schwachstellen zu profitieren. Dabei suchen die Angreifer gezielt und systematisch das Internet nach verwundbaren Systemen ab. Diese Methode trat im Jahr 2024 so häufig auf wie nie zuvor. Im Jahresvergleich stieg die Zahl weltweit um 16,7 Prozent. Laut den Experten von Fortiguard Labs, deutet dies deutet auf eine breit angelegte Sammlung von Informationen über exponierte digitale Infrastrukturen hin.
Außerdem operieren die Angreifer ohne Grenzen. Weltweit sind alle Regionen von Cyberangriffen betroffen. Die meisten Exploit-Versuche wurden in Asien-Pazifik (APAC) mit 42 Prozent gemessen. Danach folgen Europa, der Nahen Osten und Afrika (EMEA) mit 26 Prozent, Nordamerika mit 20 Prozent und Lateinamerika mit elf Prozent.
Im Jahr 2024 haben Cyberkriminelle in Foren zunehmend mit Exploit-Kits gehandelt. Mehr als 40.000 neue Schwachstellen wurden in die US-amerikanische Schwachstellendatenbank „National Vulnerability Database“ aufgenommen. Das entspricht einem Anstieg um 39 Prozent gegenüber 2023. Zudem bieten Initial Access Broker im Darknet neben Zero-Day-Schwachstellen vermehrt Firmenzugangsdaten (20 Prozent), RDP-Zugänge (19 Prozent), Admin-Panels (13 Prozent) und Web-Shells (12 Prozent) an.
Darüber hinaus verzeichnete Fortiguard Labs im vergangenen Jahr einen 500-prozentigen Anstieg der Logs von Systemen, die durch Infostealer-Malware kompromittiert wurden. In den illegalen Foren wurden 1,7 Milliarden gestohlene Zugangsdaten ausgetauscht.
Bedrohungsakteure setzen KI ein, um Phishing-Angriffe glaubwürdiger zu gestalten und herkömmliche Sicherheitskontrollen zu umgehen. Dadurch werden Cyberangriffe effektiver und schwerer erkennbar. Sie nutzen Tools wie FraudGPT, BlackmailerV3 und Elevenlabs, um skalierbarere, glaubwürdigere und effektivere Kampagnen zu führen, ohne die ethischen Einschränkungen öffentlich verfügbarer KI-Tools zu beachten.
Angreifer haben gezielte Cyberangriffe auf Branchen wie Fertigung/Produktion, Gesundheitswesen und Finanzdienstleistungen intensiviert. Sie setzen branchenspezifische Exploits ein, um ihre Angriffe effektiver zu gestalten. Im Jahr 2024 trafen diese Angriffe besonders die Fertigungs- und Produktionsbranche (17 Prozent), Business Services (11 Prozent), das Bauwesen (neun Prozent) und den Einzelhandel (neun Prozent).
Sowohl nationale Akteure als auch Betreiber von Ransomware-as-a-Service (RaaS) konzentrierten ihre Anstrengungen auf diese Branchen, wobei die USA mit 61 Prozent die meisten Angriffe verzeichneten, gefolgt von Großbritannien (sechs Prozent) und Kanada (fünf Prozent).
Darknet bleibt Schwarzmarktplatz für Cyberkriminelle
Cloud-Umgebungen bleiben ein Hauptangriffsziel und die Angreifer nutzen weiterhin Schwachstellen darin aus. Dazu gehören offene Storage-Buckets, überautorisierte Identitäten und falsch konfigurierte Dienste. Bei 70 Prozent der beobachteten Vorfälle erlangten Angreifer Zugriff durch Anmeldungen aus unbekannten Regionen. Das unterstreicht die Rolle der Identitätsüberwachung bei der Cloud-Verteidigung.
Im Jahr 2024 teilten Cyberkriminelle mehr als 100 Milliarden kompromittierte Datensätze in Untergrundforen. Das entspricht einem Anstieg von 42 Prozent im Vergleich zum Vorjahr. Vor allem sogenannte Combo-Listen trugen zu diesem Anstieg bei. Combo-Listen sind Sammlungen von Zugangsdaten, die in der Regel Benutzernamen, Passwörter und oft auch E-Mail-Adressen kombinieren.
Über die Hälfte der Darknet-Beiträge behandelte geleakte Datenbanken, die Angreifern die Automatisierung von Credential Stuffing-Angriffen in großem Maßstab ermöglichen. Bekannte Gruppen wie „Bestcombo“, „Bloddymery“ und „Validmail“ sammelten und validierten diese Anmeldedaten, wodurch die Eintrittsbarrieren weiterhin sinken. Das führt zu mehr Kontoübernahmen, Finanzbetrug und Industriespionage.
Der diesjährige Bericht enthält ein „CISO Playbook for Adversary Defense“, das einige strategische Bereiche hervorhebt, auf die sich Sicherheitsverantwortliche konzentrieren sollten:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Kontinuierliches Management der Bedrohungslage: Angriffe aus der Praxis simulieren, Übungen zur Simulation gegnerischer Taktiken durchführen und Abwehrmaßnahmen testen.
Angriffsflächen reduzieren: Tools einsetzen, um Angriffsoberfläche zu verwalten und ungeschützte Ressourcen, durchgesickerte Anmeldeinformationen und ausnutzbare Schwachstellen zu erkennen.
Priorisierung von Schwachstellen mit hohem Risiko: Sicherheitslücken beheben, die in Cybercrime-Gruppen aktiv diskutiert werden.
Nutzung von Dark Web Intelligence: Darknet-Marktplätze überwachen, um Bedrohungen wie DDoS- und Web-Defacement-Angriffe frühzeitig zu erkennen und proaktiv einzudämmen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/57/a2/57a2e54c9779751005c92592e51e3c0c/0123581721v2.jpeg "Um in den kommenden Jahren KI sicher nutzen zu können, brauchen Unternehmen eine klare KI-Governance sowie eindeutige KI-Nutzungsrichtlinien. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/29/8b29f24eebdaab828beb92a781c419ab/0121432350v1.jpeg "Die Cyber-Bedrohungslage hat in den letzten Monaten eine neue Dimension erreicht. Unternehmen in der DACH-Region müssen wachsam bleiben und sich gegen neue Bedrohungen wappnen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/4d/7b4db513dbf3dffae788c10172bf461a/0123980029v2.jpeg "Um herauszufinden, ob er KI-Modelle dazu bringen könnte, Malware zu erstellen und den Chrome Password Manager zu jailbreaken, dachte sich ein Sicherheitsforscher von Cato die fiktive Welt Velora aus. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/ec/22ec2b80564ed9c550b29af2bd2362f9/0124655719v2.jpeg "Laut Xorlab-Report erreichen KI-gestützte Phishing-Attacken trotz zusätzlicher Sicherheitsfilter noch immer in 40 Prozent der Fälle die Postfächer der Empfänger. (Bild: © sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/36/68/36683284db60f0541856ddffd63a65d3/0124477928v1.jpeg "Im Darknet sind sensible Daten von 281 deutschen Landtagsabgeordneten aufgetaucht. (© Song_about_summer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/13/2f13ed70db8106808156f24d77472b95/0118950320v3.jpeg "Den CISOs geht die Puste aus – was Unternehmen erfolgreich gegen die „große Resignation“ ihrer Sicherheitsverantwortlichen tun können. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/25/16251cbf86a7676cb0095c22b6eef8c6/0124558807v1.jpeg "Deutsche Unternehmen wollen EU-Produkte bei der IT-Sicherheit. Grund dafür ist vorallem der Datenschutz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/55/18559ea317e85b9b15194a214fdc7b71/0124904605v1.jpeg "Der White-Hat-Hacking-Contest „Pwn2Own“ fand dieses Jahr mit KI als neuer Kategorie in Berlin statt. (Bild: Marvin Djondo-Pacham)")