Cyberbedrohungen 2025: Kaspersky MDR-Analyse von 400.000 Alarme
Kasperskys MDR-, Incident-Response- und Compromise-Assessment-Services haben Daten von 200.000 Unternehmenskunden verarbeitet. Im Jahr 2025 wurden 400.000 Alarme protokolliert. KI hat automatisch 95.000 davon (24 %) behoben, SOC-Analysten haben 87 % der verbleibenden 300.000 gefiltert. Nur 21.000 Vorfälle erreichten die Kunden.
Reaktionszeiten: 42 Minuten für kritisch, 33 Minuten für mittel und 31 Minuten für niedrig. Das ist eine Verbesserung um 22 % gegenüber 2024, dank Automatisierung.
Trends bei der Vorfall-Schwere
Der Anteil kritischer Vorfälle sinkt seit sechs Jahren in Folge: von 14,3 % im Jahr 2021 auf 3,8 % im Jahr 2025. MDR hat täglich durchschnittlich drei solcher Fälle abgefangen. 97 % der Vorfälle waren mittel oder niedrig, meist durch automatisierte Malware und opportunistische Angriffe.
Manuell gesteuerte Angriffe machen prozentual seltener zu, bleiben aber am gefährlichsten. Die frühe Erkennung erklärt den Abwärtstrend bei der Schwere.
Am häufigsten betroffene Branchen
Top 3 Branchen nach Vorfallanteil:
- Öffentlicher Sektor — 19 %
- Fertigungsindustrie — 17 %
- IT — 15 % (überholt Finanzwesen)
Im IT-Sektor gab es 4,9 % kritische Vorfälle, im öffentlichen Sektor 4,3 % (überdurchschnittlich). Der Anstieg bei IT-Angriffen hängt mit Supply-Chain-Kompromittierungen zusammen: Hacker infiltrieren Dienstleister und Integratoren, um an Kunden zu gelangen. Wir haben Fälle gesehen, die mehrere Organisationen verketteten.
Initiale Zugriffsvektoren
Aus Incident-Response-Daten:
- Ausnutzung öffentlicher Apps — 43,7 %
- Kompromittierte Zugangsdaten — 25,4 %
- Vertrauensbeziehungen (Lieferanten) — 15,5 %
Phishing ist seit 2023 aus den Top 3 heraus, spielt nun eine unterstützende Rolle in Kill-Chains. Lieferantenangriffe boomen seit 2023: Schwach gesicherte Firmen mit Fernzugriff auf Kunden werden geknackt, Traffic wirkt legitim.
Auswirkungen erfolgreicher Angriffe
Datenschlüsselung führte bei schädlichen Vorfällen mit 39 %. Danach: Persistenz zur Störung (12 %), Web-Exfiltration (7 %).
Unterschiede bei Erkennungszeitpunkt:
- Nach Schaden: Verschlüsselung, Datenlöschung, Dienstenausfälle.
- Vor Schaden: Persistenz, Active-Directory-Kompromittierung.
Verweildauer hängt von der Reife der Überwachung ab, nicht vom Einstiegspunkt.
Ausgenutzte Schwachstellen
50 % der Incident-Response-Schwachstellen waren RCE, oft unauthentifiziert. Top-Varianten:
- CVE-2025-31324 (SAP NetWeaver, CVSS 9,8) — unbefugtes Datei-Upload
- CVE-2025-42999 (SAP NetWeaver, CVSS 9,1) — unsichere Deserialisierung, RCE
- CVE-2025-61882 (Oracle E-Business Suite, CVSS 9,8) — unauthentifizierte Dienstennehmung
- CVE-2024-55591 (Fortinet FortiOS, CVSS 9,8) — Authentifizierungs-Umgehung
Ein Drittel der Schwachstellen stammte aus 2021 – ProxyLogon in Exchange ist vier Jahre später noch relevant. Angreifer nutzen bekannte Lücken mit verfügbaren Patches aus.
Angreiferwerkzeuge
LOLBins in kritischen MDR-Vorfällen:
| Werkzeug | Anteil |
|---------------|--------|
| powershell.exe| 14,4 %|
| rundll32.exe | 5,9 % |
| mshta.exe | 3,8 % |
| comsvcs.dll | 3,0 % |
| msedge.exe | 2,7 % |
mshta.exe explodierte durch gefälschte CAPTCHA-Köder. Spezialisierte Tools: Mimikatz (14,3 %), PowerShell (8,1 %), PsExec/AnyDesk (7,5 %). Beispiel: DLL-Hijacking über MPDefender.exe.
Herausforderungen für SOCs
Regelabdeckung liegt bei 43 % im Schnitt, sinkt bei 50+ Datenquellen auf 30 %. Wichtige Probleme:
- Abdeckungsverfall ohne Kontrolle.
- Herstellerregeln ohne Anpassung – Fehlalarme en masse.
- Ungleiches Logging ohne Detektion (Netzwerk, DB, Web).
Neue Techniken 2025
T1568 Dynamic Resolution knackte die Top 10 bei Umwandlungen (23 %): DGA, Fast Flux DNS. Fall: Missbrauch von URL-Reservierungen in HTTP.sys für heimliche C2, maskiert als Exchange-Traffic.
Wichtigste Erkenntnisse
- Kritische Vorfälle bei 3,8 %, MDR stoppt sie vor Schaden.
- Top-Vektoren: Öffentliche Apps (43,7 %), Zugangsdaten (25,4 %), Lieferanten (15,5 %).
- Schwachstellen: 50 % RCE, Drittel aus 2021 – mit Patches verfügbar.
- SOCs decken 43 % ab; Verfall ist großes Risiko.
- IT in Top 3 (15 %), getroffen über Lieferketten.
— Editorial Team
Noch keine Kommentare.