Forescout Threat Report 1HJ 2025Neue Bedrohungen für kritische Infrastrukturen und Gesundheitswesen
Ein Gastbeitrag von
Daniel Dos Santos
4 min Lesedauer
Der aktuelle Forescout Threat Report für das erste Halbjahr 2025 zeigt alarmierende Trends: Zero-Day-Exploits steigen um 46 Prozent, Ransomware-Angriffe erreichen 20 Vorfälle pro Tag, und Angreifer nutzen zunehmend unkonventionelle Einstiegspunkte wie IP-Kameras und BSD-Systeme. Besonders besorgniserregend für Deutschland: Die Bundesrepublik bleibt im Visier internationaler Bedrohungsakteure.
Das Gesundheitswesen entwickelt sich zur meistangegriffenen Branche, mit durchschnittlich zwei Sicherheitsvorfällen pro Tag in den USA und ähnlichen Trends in Europa.
Die nackten Zahlen des Forescout Threat Report 1HJ 2025 lesen sich wie ein Katastrophenszenario: 23.581 neue Schwachstellen wurden im ersten Halbjahr 2025 veröffentlicht – das entspricht 130 neuen CVEs pro Tag. Noch beunruhigender ist der Anstieg bei Zero-Day-Exploits um 46 Prozent im Vergleich zum Vorjahreszeitraum. Diese Schwachstellen, die zum Zeitpunkt ihrer Ausnutzung noch unbekannt sind, stellen eine besondere Gefahr dar, da Unternehmen keine Möglichkeit haben, sich präventiv zu schützen.
47 Prozent der neu ausgenutzten Schwachstellen wurden bereits vor 2025 veröffentlicht. Dies unterstreicht ein fundamentales Problem im Patch-Management vieler Organisationen. Während neue Bedrohungen entstehen, bleiben alte Sicherheitslücken ungepatcht – eine gefährliche Kombination, die Angreifern Tür und Tor öffnet.
Paradigmenwechsel bei Ransomware – Neue Ziele, neue Methoden
Mit durchschnittlich 20 Ransomware-Angriffen pro Tag hat die Bedrohung durch Erpressungssoftware ein neues Niveau erreicht. Der Report dokumentiert 3.649 Angriffe im ersten Halbjahr 2025 – ein Anstieg von 36 Prozent gegenüber dem Vorjahreszeitraum. Dabei zeigt sich ein beunruhigender Trend: Cyberkriminelle erweitern systematisch die von ihnen anvisierte Angriffsfläche.
Besonders aufschlussreich sind zwei Vorfälle aus dem März dieses Jahres: Die Akira-Ransomware-Gruppe nutzte eine kompromittierte IP-Kamera als Einstiegspunkt in Windows-Netzwerke. Die neue Gruppe VanHelsing entwickelte sogar eine Multi-Plattform-Verschlüsselungssoftware mit BSD-UNIX-Unterstützung. Diese Entwicklung ist besonders für deutsche Industrieunternehmen relevant, die oft heterogene IT-Landschaften mit verschiedenen Betriebssystemen im Einsatz haben.
Die Wahl dieser unkonventionellen Angriffsvektoren ist dabei kein Zufall. IP-Kameras und BSD-Systeme verfügen selten über EDR-Lösungen (Endpoint Detection and Response), was sie zu idealen Einstiegspunkten für unentdeckte laterale Bewegungen im Netzwerk macht.
Das Gesundheitswesen ist besonders stark betroffen
Das Gesundheitswesen entwickelt sich zur meistangegriffenen Branche. Mit durchschnittlich zwei Datenschutzverletzungen pro Tag in den USA – und ähnlichen Trends in Europa – steht der Sektor vor enormen Herausforderungen. Fast 30 Millionen Patientendaten wurden allein im ersten Halbjahr 2025 kompromittiert.
Für deutsche Krankenhäuser und Gesundheitsdienstleister ist besonders besorgniserregend, dass Forescout zu Trojanern umfunktionierte DICOM-Bildgebungssoftware identifizierte, die Malware direkt auf Patientensysteme einschleuste. Die Entdeckung des ValleyRAT-Backdoors in medizinischen Systemen zeigt, wie gezielt die Angreifer dabei vorgehen: Sie tarnen ihre Schadsoftware als legitime medizinische Anwendungen und nutzen das Vertrauen des Gesundheitspersonals aus.
OT und kritische Infrastrukturen sind das neue Schlachtfeld
Ein besonders beunruhigender Trend ist die Zunahme opportunistischer Angriffe auf Operational Technology (OT). Der Report zeigt, dass Modbus – das am häufigsten in der Industrie eingesetzte Protokoll – mittlerweile 57 Prozent aller OT-Interaktionen in Honeypots ausmacht, ein Anstieg von 40 Prozent im Vergleich zum Vorjahr.
Für die deutsche Industrie, mit ihrer starken Abhängigkeit von Automatisierungstechnik, sind diese Zahlen alarmierend. Die Analyse von PLC-Honeypots, die Wasseraufbereitungsanlagen simulierten, ergab 16.000 Zugriffsversuche pro Tag. Zwar nutzten nur zwei Prozent davon OT-spezifische Protokolle, doch die beobachteten Aktivitäten – Manipulation von Variablen, Stoppen von Steuerungen, Verbindungsversuche über Engineering-Workstations – zeigen das Potenzial für verheerende Angriffe.
Staatliche Akteure und Hacktivisten – Die Grenzen verschwimmen
Der Report identifiziert eine besonders beunruhigende Entwicklung. Die Grenzen zwischen staatlich geförderten Akteuren und Hacktivisten verschwimmen zunehmend. Iranische Gruppen wie APT IRAN, CyberAv3ngers und die Iranian Cyber Army bilden ein Kontinuum von Bedrohungen, die gezielt westliche OT/ICS-Infrastrukturen angreifen.
Diese Gruppen haben darüber hinaus ihre Taktiken verfeinert. Von anfänglichen Propaganda-Aktionen entwickelten sie sich zu Akteuren mit nachgewiesenen Fähigkeiten zur Disruption kritischer Infrastrukturen. Die erfolgreichen Angriffe auf Unitronics-PLCs Ende 2023, die auch deutsche Anlagen betrafen, demonstrieren ihre ausgereiften technischen Fähigkeiten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Handlungsempfehlungen für deutsche Unternehmen
Basierend auf den Erkenntnissen des Reports ergeben sich konkrete Handlungsempfehlungen:
Erweiterte Sichtbarkeit: Unternehmen müssen ihre Visibility auf alle Gerätetypen ausdehnen – IT, OT, IoT und IoMT. Agentenlose Lösungen können dabei helfen, auch Geräte zu erfassen, auf denen keine traditionellen Sicherheitsagenten installiert werden können.
Proaktives Patch-Management: Mit 47 Prozent der Exploits, die auf alte Schwachstellen abzielen, ist zeitnahes Patching unabdingbar. Priorisieren Sie dabei Schwachstellen in Internet-exponierten Systemen und Netzwerkinfrastruktur.
Netzwerksegmentierung: Die Isolation von IT-, IoT- und OT-Geräten verhindert laterale Bewegungen. Dies ist besonders wichtig angesichts der neuen Angriffsvektoren über IP-Kameras und andere IoT-Geräte.
Verstärktes Logging und Monitoring: Aktivieren Sie umfassendes Endpoint-Logging, das über reine Alerts hinausgeht. Erfassen Sie Prozess-, Datei-, Benutzer-, Netzwerk-, Registry- und PowerShell-Aktivitäten.
Multi-Faktor-Authentifizierung: Implementieren Sie MFA konsequent, besonders für VPN-Zugänge und administrative Interfaces. Dies gilt insbesondere für OT-Umgebungen, wo Default-Credentials noch immer weit verbreitet sind.
Der Forescout-Report zeichnet das Bild einer sich rapide entwickelnden Bedrohungslandschaft. Die Kombination aus einer steigenden Anzahl an Zero-Day-Exploits, der Evolution von Ransomware-Taktiken und der zunehmenden Fokussierung der Angreifer auf OT/ICS-Systeme erfordert ein Umdenken in der Cybersecurity-Strategie.
Für deutsche Unternehmen, insbesondere im Gesundheitswesen und in der kritischen Infrastruktur, ist die Zeit des reaktiven Handelns vorbei. Die dokumentierten Trends zeigen: Angreifer werden kreativer, ihre Methoden ausgefeilter und ihre Ziele breiter gestreut. Nur durch proaktive, ganzheitliche Sicherheitsstrategien, die alle Aspekte der modernen IT/OT-Konvergenz berücksichtigen, können Organisationen dieser neuen Bedrohungsrealität begegnen.
Die im Report dokumentierten Angriffe sind keine abstrakten Szenarien – sie sind die neue Normalität, mit der sich Sicherheitsverantwortliche auseinandersetzen müssen. Der nächste große Vorfall ist nicht eine Frage des "ob", sondern des "wann". Die Frage ist nur: Sind deutsche Unternehmen darauf vorbereitet?
Über den Autor: Daniel dos Santos ist Senior Director und Leiter der Forschungsabteilung „Vedere Labs“ von Forescout. Dos Santos leitet ein Forschungsteam, das neue Schwachstellen identifiziert und aktive Bedrohungen gegen verwaltete und nicht verwaltete Geräte überwacht. Er ist außerdem Mitglied mehrerer Vereinigungen zum Austausch von Bedrohungsdaten wie EE-ISAC, OT-ISAC, ETHOS und CISA JCDC.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/8c/92/8c92e3f16fe65d7ba0fa1828f3dc36a4/0121695664v1.jpeg "Vor allem kleine und mittelständische Unternehmen und Behörden werden vermehrt Opfer von Cyberattacken. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a2/e2/a2e22a84a0eafc61709cfcff2f9ea63c/0125032264v2.jpeg "Trotz des Rückgangs von Ransomware-Angriffen und Erfolgen internationaler Strafverfolgungsbehörden, warnt das BKA vor einer anhaltenden Bedrohung im Cyberraum. (Bild: bykst - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/42/6a/426a5bf012bda682a817773a027864c3/0120141399v2.jpeg "Was macht Gesundheitsdaten so besonders? (© chayantorn - stock.adobe.om / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c3/61/c36127843f6ceabfe5c7e2b6a7e086d6/0124448088v1.jpeg "Die zunehmend digitalisierte Industrie steht gerade in Deutschland vor erheblichen Risiken durch IoT-Ransomware. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/56/24/56248352b775fd41737964a77b2aa54d/0122913445v1.jpeg "Der „State of CPS Security 2025“-Report von Claroty zeigt: Staatlich unterstützte Akteuere nutzen unsichere Verbindungen in Produktion, Transport und Logistik für Angriffe aus. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c5/20/c520d821ae4fde4ea79c62f16645e417/0122725183v1.jpeg "Egal, welche Größe und egal, welche Branche: Auch deutsche Unternehmen sind vor Cyberkriminellen nicht sicher. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a1/17/a11776aa5970b8f9cdc54e83ba976cca/0124885184v2.jpeg "Kritische Schwachstellen in Solaranlagen, Router-Botnetze und staatlich gelenkte Hacktivisten zeigen 2025 deutlich: Vernetzte Infrastrukturen stehen zunehmend im Fokus geopolitisch motivierter Cyberangriffe. (Bild: © Viks_jin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ba/acbadc7c1ce59b8e2626341ab03da0fe/0126715168v1.jpeg "DDoS-Angriffe nehmen 2025 nicht nur in der Zahl, sondern auch in Präzision und Wirkung deutlich zu, von Backbone-Attacken bis zu gezielten Layer-7-Kampagnen. (Bild: Midjourney / KI-generiert)")