Vipre Email Threat Trends Report Q1 2025Low-Tech-Strategien und SVG-Phishing im Aufwind
Quelle: Pressemitteilung
4 min Lesedauer
Cyberkriminelle setzen verstärkt auf den Menschen als Schwachstelle. Der aktuelle Email Threat Trends Report von Vipre zeigt, wie Angreifer technische Schutzmechanismen umgehen und mit Low-Tech-Methoden große Erfolge erzielen. Die umfassende Analyse basiert auf 1,45 Milliarden untersuchten E-Mails weltweit.
PDF-Dateien sind weiterhin die meistgenutzten bösartigen Anhänge mit einem Anteil von 36 Prozent. Neu und bemerkenswert ist jedoch der rasante Anstieg von SVG-Dateien auf 34 Prozent.
Der aktuelle Email Threat Trends Report Q1 2025 von Vipre zeigt auch in diesem Quartal wieder, dass immer mehr Anwender in den Fokus von Angreifern geraten. Cyberkriminelle hebeln mit immer intelligenteren Methoden auch ausgefeilte Sicherheitsmechanismen aus. Im ersten Quartal 2025 wurden 92 Prozent aller analysierten E-Mails als Spam eingestuft, ein Wert, der die massive Bedrohungslage unterstreicht.
Spam-Mails werden gefährlicher
Erschreckend ist, dass über zwei Drittel (67 Prozent) davon eindeutig bösartige Inhalte enthielten. Spam-Mails nerven damit nicht nur und kosten Produktivität, sie sind mittlerweile zu einer großen Gefahr für Unternehmen geworden. Im Detail setzten sich diese bösartigen E-Mails aus 35 Prozent Phishing, 20 Prozent Scams und 12 Prozent Malware zusammen. Kommerzieller Spam machte 30 Prozent aus.
Fertigungssektor weiterhin Hauptziel von Angriffen
Mit 36 Prozent aller registrierten Angriffe bleibt der Fertigungssektor die am stärksten betroffene Branche. Einzelhandel und Finanzdienstleistungen folgen mit jeweils 15 Prozent. Die zunehmende Digitalisierung in der Industrie, darunter der Einsatz von Industrial Internet of Things (IIoT) und Cloud-Technologien, eröffnet neue Angriffsflächen, die nicht immer adäquat abgesichert sind.
Ein besonders auffälliger Trend ist der Aufstieg der Callback Scams. Diese machten im ersten Quartal 16 Prozent aller Phishing-Versuche aus. Callback Scams sind eine spezielle Form von Social-Engineering-Angriffen. Dabei erhalten die Opfer eine E-Mail oder SMS mit einer angeblichen Warnung, etwa zu einer nicht autorisierten Zahlung oder einem Problem mit einem Konto. Die Nachricht fordert das Opfer auf, eine Telefonnummer anzurufen, um das Problem zu klären. In dem Gespräch versuchen die Betrüger sensible Informationen wie Passwörter, Bankdaten oder Zugangsdaten zu stehlen oder das Opfer dazu bringen, Malware auf sein Gerät zu laden.
Die Besonderheit: Diese Angriffe umgehen viele E-Mail-Sicherheitsfilter, da die Nachricht keinen direkten schädlichen Link oder Anhang enthält. Der eigentliche Angriff erfolgt erst telefonisch. Links, die 2024 noch 75 Prozent der Phishing-Angriffe ausgemacht haben, sind auf 32 Prozent zurückgefallen. Die Verlagerung hin zu Callback Scams zeigt, wie sehr Angreifer auf Interaktion und menschliche Fehlentscheidungen setzen, um Schutzmechanismen zu umgehen.
PDF-Dateien sind weiterhin die meistgenutzten bösartigen Anhänge mit einem Anteil von 36 Prozent. Neu und bemerkenswert ist jedoch der rasante Anstieg von SVG-Dateien auf 34 Prozent. Angreifer nutzen die kaum überprüften SVG-Formate, um JavaScript-Code einzubetten, der Nutzer auf gefälschte Websites weiterleitet. Vor allem die USA, gefolgt von Europa, stehen im Zentrum dieser Angriffe.
SVG-Dateien (Scalable Vector Graphics) sind ein Dateiformat für zweidimensionale Vektorgrafiken. Anders als Rastergrafiken wie PNG oder JPEG speichern SVGs Formen, Linien und Farben als Text in XML-Struktur. Im Kontext von Phishing-Angriffen liegt die Gefahr darin, dass SVG-Dateien auch aktiven Code enthalten können. Angreifer missbrauchen das Format, indem sie im XML-Text JavaScript-Befehle oder schädliche Links einbetten. Beim Öffnen der Datei im Browser wird das Skript ausgeführt und leitet die Nutzer auf manipulierte Websites weiter, wo Login-Daten oder andere sensible Informationen abgefangen werden. Viele Sicherheitslösungen erkennen SVGs nur als harmlose Bilder und prüfen den eingebetteten Code nicht ausreichend.
HTML-Anhänge verlieren an Bedeutung
Vor zwei Jahren wurden HTML-Dateien noch in 88 Prozent aller Malspam-Kampagnen verwendet. Heute liegt ihr Anteil nur noch bei 12 Prozent. Diese Entwicklung zeigt, wie schnell sich Angreifer an geänderte Sicherheitsstandards und eine gestiegene Wachsamkeit der Nutzer anpassen.
Trotz eines leichten Rückgangs bleiben bösartige Anhänge die beliebteste Methode im Malspam. Während sie 2023 noch 97 Prozent der Malspam-Angriffe dominierten, waren es 2024 78 Prozent und aktuell 73 Prozent. Die Abnahme ist ein Indikator für die Diversifikation bei Angriffstechniken, jedoch bleibt die Bedrohung durch infizierte Dateien hoch.
XRed ist die dominierende Malware-Familie des ersten Quartals 2025. Sie tritt dreimal häufiger auf als der zweitplatzierte Lumma-Trojaner. XRed fungiert als Backdoor und wird hauptsächlich als Malware-as-a-Service über Darknet-Marktplätze vertrieben. Weitere beobachtete Schädlinge waren StealC, AgentTesla und Redline.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Spam-Traffic: USA weltweit Spitzenreiter
Mit einem Anteil von 57 Prozent am weltweiten Spam-Traffic belegen die USA den ersten Platz. Drei Viertel der bösartigen E-Mails wurden dort auch empfangen. Großbritannien und Irland folgen mit jeweils acht Prozent. Die überproportionale Verteilung legt nahe, dass Infrastrukturen mit vielen Rechenzentren besonders anfällig für Spam sind, was eine gezielte Härtung dieser Umgebungen notwendig macht.
Im Bereich Phishing nutzten Angreifer in der Hälfte der Fälle bösartige Anhänge, Links kamen nur noch auf 32 Prozent. QR-Codes, die lange als innovativer Angriffsweg galten, spielen mit zwei Prozent mittlerweile eine untergeordnete Rolle. Eine ergänzende Analyse zeigt, dass innerhalb der Link-Angriffe 47 Prozent auf URL-Weiterleitungen entfielen, 20 Prozent auf File Hosting/Sharing-Plattformen und 16 Prozent auf kompromittierte Websites. Diese Aufteilung verdeutlicht, dass Cyberkriminelle legale Infrastrukturen zunehmend für ihre Zwecke nutzen.
Business Email Compromise bleibt ein erhebliches Risiko
Business Email Compromise (BEC) machte im ersten Quartal weit über ein Drittel (37 Prozent) aller beobachteten Betrugsversuche aus. Mitte 2024 lag der Anteil bei etwa 50 Prozent, im vierten Quartal 2024 sogar bei 70 Prozent. Bei drei Viertel (73 Prozent) der aktuellen BEC-Fälle gaben sich die Angreifer als CEOs oder andere hochrangige Führungskräfte aus. Microsoft bleibt die meistgefälschte Marke. Google rückte im ersten Quartal wieder auf Platz zwei der am häufigsten gefälschten Unternehmen vor, gefolgt von PayPal.
Schlussfolgerung: Menschliche Schwäche als größte Gefahr
Der aktuelle Vipre-Report zeigt deutlich: Unternehmen müssen ihre Sicherheitsstrategien neu denken. Klassische Abwehrmechanismen allein reichen nicht mehr aus. Die menschliche Komponente rückt in den Fokus. Aufklärungskampagnen, Security Awareness Trainings und ein verstärkter Schutz vor Social Engineering müssen künftig eine noch zentralere Rolle spielen. Gleichzeitig müssen Infrastrukturen härter auf Angriffe vorbereitet werden, insbesondere Rechenzentren in Hochrisikoregionen. Nur ein ganzheitlicher Ansatz kann die Bedrohungslage wirksam entschärfen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/fd/bb/fdbb12b54d2513e0ffa1123e6ed99943/0118619623v2.jpeg "Im Kampf gegen Phisher setzt Roger A. Grimes auf Prioritäten und ein Zusammenspiel von Psychologie, Technik und Policys. (Bild: Srocke)")
:quality(80)/p7i.vogel.de/wcms/32/0e/320e04f5e11f6c78c4ee94b0269b18cc/0123808176v2.jpeg "Cyberkriminelle erstellen gefälschte Captcha-Abfragen, um Nutzer dazu zu bringen, bösartige Programme zu installieren. (Bild: NTB - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/03/25038997c3391d1eff530e34eed78b64/0123042407v2.jpeg "Malware bereitet Unternehmen weltweit immer mehr Probleme. Diese Malware sind im Jahr 2025 bei besonders vielen Cyberangriffe eingesetzt. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/ec/22ec2b80564ed9c550b29af2bd2362f9/0124655719v2.jpeg "Laut Xorlab-Report erreichen KI-gestützte Phishing-Attacken trotz zusätzlicher Sicherheitsfilter noch immer in 40 Prozent der Fälle die Postfächer der Empfänger. (Bild: © sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1f/ee/1fee9e06e051f42d4800890a430c1bd1/0121702365v2.jpeg "Gut geschulte Mitarbeitende sind essenzieller Bestandteil einer effektiven Cybersicherheitsstrategie. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/89/81890b36687c62e9157f66abd04db998/0125976719v2.jpeg "Vipre hat den E-Mail Threat Trends Report Q2 2025 veröffentlicht und zeigt, wie die Cyberkriminellen im zweiten Quartal ticken. (Bild: © sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/c2/5fc2f9762a1c0bb216c95357c50e0bf3/0127917081v1.jpeg "Laut Mimecast nutzen Angreifer verstärkt Dienste wie DocSend, Signaturplattformen, Cloud-Speicher und Kollaborationsumgebungen und kombinieren sie mit bösartigen Scalable-Vector-Graphics-Dateien, um den Mensch als Schwachstelle auszunutzen. (Bild: © Zamrznuti tonovi - stock.adobe.com)")