Die neueste Digital Defense Report 2025 Studie von Microsoft zeigt, dass die Mehrheit der weltweit beobachteten Cyberangriffe eher auf finanziellen Motiven als auf Spionage oder Sabotage zurückzuführen ist. Die Ergebnisse zeigen, wie organisierte kriminelle Gruppen Schwachstellen sowohl im öffentlichen als auch im privaten Sektor ausnutzen, um Profit zu machen, oft durch Ransomware, Diebstahl von Zugangsdaten und Datenerpressung.
Laut Microsoft sind finanziell motivierte Aktivitäten für fast drei Viertel aller analysierten Angriffe zwischen Juni 2023 und Juni 2024 verantwortlich. Der Bericht basiert auf Daten, die im globalen Threat Intelligence Network von Microsoft gesammelt wurden, das täglich mehr als 78 Billionen Sicherheitssignale überwacht.
Der Bericht zeigt, dass die finanzielle Cyberkriminalität staatlich geförderte Operationen sowohl in Bezug auf das Ausmaß als auch auf die Häufigkeit weiterhin übertrifft. Ransomware und Informationsdiebstahl sind nach wie vor die führenden Angriffsmethoden. Diese Vorgänge beginnen oft mit Phishing-Kampagnen oder der Ausnutzung nicht gepatchter Software-Schwachstellen, bevor sie zum Diebstahl oder zur Verschlüsselung wertvoller Daten übergehen.
Microsoft hat beobachtet, dass Angreifer zu kürzeren, gezielteren Ransomware-Kampagnen übergegangen sind, um die Opfer zu einer schnellen Zahlung zu drängen. Kriminelle Gruppen setzen auch zunehmend auf “Ransomware-as-a-Service”-Modelle, die es technisch weniger versierten Akteuren ermöglichen, sich Zugang zu vorgefertigten Angriffstools zu verschaffen.
Der Bericht betont, dass Netzwerke von Finanzkriminalität heute eher wie traditionelle Unternehmen strukturiert sind. Sie verfügen über Hierarchien, Lieferketten und Kommunikationssysteme im Stil des Kundensupports, um Zahlungen und Verhandlungen zu koordinieren.
Anstieg von Diebstahl von Zugangsdaten und Social Engineering
Neben Ransomware stellen der Diebstahl von Zugangsdaten und Social Engineering einen wachsenden Anteil finanziell motivierter Angriffe dar. Microsoft stellt fest, dass identitätsbasierte Bedrohungen zu einer kritischen Schwachstelle in allen Unternehmen geworden sind. Angreifer nutzen menschliches Versagen häufig aus, indem sie überzeugende Phishing-Nachrichten versenden, gefälschte Anmeldeportale verwenden oder sprachbasierte Betrügereien starten, um Anmeldeinformationen zu stehlen.
Sobald Angreifer Zugriff auf gültige Konten erhalten, können sie Sicherheitstools umgehen und sich unentdeckt seitlich durch Netzwerke bewegen. Der Bericht warnt davor, dass sich dieser Trend trotz der zunehmenden Einführung der Multi-Faktor-Authentifizierung weiter ausweitet, was darauf hindeutet, dass Kriminelle ihre Techniken schneller weiterentwickeln, als viele Unternehmen sich anpassen können.
Microsoft beobachtete auch eine Zunahme von “Datenbrokern” innerhalb des Cybercrime-Ökosystems. Diese Akteure sind auf den Verkauf gestohlener Anmeldeinformationen und den Zugang zu kompromittierten Netzwerken spezialisiert und bieten Ransomware-Betreibern und Betrugsgruppen einen Einstiegspunkt.
Staatlich geförderte Aktivitäten gehen weiter, konzentrieren sich aber auf Disruption
Während finanziell motivierte Cyberkriminalität dominiert, bleiben staatlich geförderte Angriffe ein ernstes Problem. Den Erkenntnissen von Microsoft zufolge werden Spionage- und Informationsoperationen immer ausgefeilter, insbesondere solche, die mit Russland, China, dem Iran und Nordkorea in Verbindung stehen.
Diese Kampagnen richten sich häufig gegen Regierungsbehörden, Energieinfrastrukturen und Telekommunikationsnetze. Microsoft berichtet, dass einige Operationen darauf abzielen, Informationen zu sammeln, während andere darauf abzielen, Störungen oder Verwirrung zu stiften, insbesondere bei geopolitischen Konflikten oder Wahlen.
Die Analysten des Unternehmens stellen fest, dass Cyberoperationen im Zusammenhang mit geopolitischen Spannungen zunehmend mit Online-Desinformationsbemühungen verbunden sind, die darauf abzielen, die öffentliche Wahrnehmung durch koordinierte Kampagnen in den sozialen Medien zu manipulieren.
Künstliche Intelligenz im Cyber-Betrieb
Der Bericht 2025 unterstreicht, wie künstliche Intelligenz sowohl offensive als auch defensive Cyberstrategien verändert. Kriminelle nutzen KI-Tools, um überzeugendere Phishing-E-Mails zu erstellen, den Diebstahl von Anmeldeinformationen zu automatisieren und Deepfake-Inhalte zu entwickeln, die Social-Engineering-Taktiken verbessern.
Gleichzeitig setzen Verteidiger KI-gesteuerte Analysen ein, um Anomalien schneller zu erkennen und potenzielle Sicherheitsverletzungen vorherzusagen. Microsoft hebt hervor, dass KI Sicherheitsteams dabei unterstützen kann, riesige Datenmengen in Echtzeit zu verarbeiten, die Reaktion auf Vorfälle zu verbessern und Erkennungsverzögerungen zu reduzieren.
Der Bericht warnt jedoch auch davor, dass die Abhängigkeit von KI mit der menschlichen Aufsicht in Einklang gebracht werden muss. Automatisierte Systeme allein können nicht immer zwischen legitimen und bösartigen Aktivitäten unterscheiden, insbesondere wenn Angreifer absichtlich das normale Nutzerverhalten nachahmen.
Microsofts Empfehlungen zur Abwehr
Um das zunehmende Ausmaß und die Raffinesse finanziell motivierter Angriffe zu bekämpfen, rät Microsoft Organisationen, sich auf den Identitätsschutz, die Verwaltung von Sicherheitsrisiken und die Sensibilisierung der Mitarbeiter zu konzentrieren. Das Unternehmen empfiehlt, eine Multi-Faktor-Authentifizierung für alle Konten zu implementieren, Systeme umgehend zu patchen und die Administratorrechte zu reduzieren, um die Gefährdung zu begrenzen.
Die Schulung des Personals zur Erkennung von Phishing-Versuchen ist nach wie vor eine der wirksamsten Abwehrmaßnahmen. Microsoft schlägt außerdem vor, ein “Zero-Trust”-Sicherheitsmodell einzuführen, das davon ausgeht, dass jede Zugriffsanforderung bösartig sein kann, bis sie verifiziert ist.
Darüber hinaus betont der Bericht die Notwendigkeit einer globalen Zusammenarbeit zwischen Regierungen, privaten Unternehmen und Cybersicherheitsforschern. Die Zusammenarbeit ermöglicht einen schnelleren Informationsaustausch und koordinierte Reaktionen auf groß angelegte Cybercrime-Operationen.
Die wachsenden Kosten der Cyberkriminalität
Microsoft schätzt, dass die wirtschaftlichen Kosten der Cyberkriminalität in den kommenden Jahren weiter stark ansteigen werden, getrieben durch die zunehmende Professionalisierung krimineller Netzwerke und den Ausbau der digitalen Infrastruktur. Das Unternehmen stellt fest, dass staatlich unterstützte Bedrohungen zwar die Aufmerksamkeit der Öffentlichkeit auf sich ziehen, finanziell motivierte Gruppen jedoch den größten Schaden für Einzelpersonen und Unternehmen gleichermaßen verursachen.
Der Bericht kommt zu dem Schluss, dass die Resilienz der Cybersicherheit von ständiger Wachsamkeit, Investitionen in die Prävention und der Entwicklung adaptiver Verteidigungssysteme abhängt. Da Angreifer ihre Methoden täglich verfeinern, müssen Unternehmen Cybersicherheit nicht als Projekt betrachten, sondern als einen fortlaufenden Prozess, der sich mit der Technologie und dem menschlichen Verhalten weiterentwickelt.