Zurück zur Startseite

Cyberangriffe 2025: 400k MDR Kaspersky-Warnungen

Kaspersky-Bericht analysiert 400.000 MDR-Warnungen für 2025: hochkritische Vorfälle auf 3,8 % gesunken, Top-Vektoren — öffentliche Apps und Auftragnehmer. RCE in SAP/Oracle erkannt, LOLBins wie PowerShell, SOC-Abdeckungsprobleme 43 %. Empfehlungen zum Patching und Monitoring.

400.000 Warnungen: Anatomie der Cyberangriffe 2025 Kaspersky
Advertisement 728x90

Cyberbedrohungen 2025: Kaspersky MDR-Analyse von 400.000 Alarme

Kasperskys MDR-, Incident-Response- und Compromise-Assessment-Services haben Daten von 200.000 Unternehmenskunden verarbeitet. Im Jahr 2025 wurden 400.000 Alarme protokolliert. KI hat automatisch 95.000 davon (24 %) behoben, SOC-Analysten haben 87 % der verbleibenden 300.000 gefiltert. Nur 21.000 Vorfälle erreichten die Kunden.

Reaktionszeiten: 42 Minuten für kritisch, 33 Minuten für mittel und 31 Minuten für niedrig. Das ist eine Verbesserung um 22 % gegenüber 2024, dank Automatisierung.

Trends bei der Vorfall-Schwere

Der Anteil kritischer Vorfälle sinkt seit sechs Jahren in Folge: von 14,3 % im Jahr 2021 auf 3,8 % im Jahr 2025. MDR hat täglich durchschnittlich drei solcher Fälle abgefangen. 97 % der Vorfälle waren mittel oder niedrig, meist durch automatisierte Malware und opportunistische Angriffe.

Google AdInline article slot

Manuell gesteuerte Angriffe machen prozentual seltener zu, bleiben aber am gefährlichsten. Die frühe Erkennung erklärt den Abwärtstrend bei der Schwere.

Am häufigsten betroffene Branchen

Top 3 Branchen nach Vorfallanteil:

  • Öffentlicher Sektor — 19 %
  • Fertigungsindustrie — 17 %
  • IT — 15 % (überholt Finanzwesen)

Im IT-Sektor gab es 4,9 % kritische Vorfälle, im öffentlichen Sektor 4,3 % (überdurchschnittlich). Der Anstieg bei IT-Angriffen hängt mit Supply-Chain-Kompromittierungen zusammen: Hacker infiltrieren Dienstleister und Integratoren, um an Kunden zu gelangen. Wir haben Fälle gesehen, die mehrere Organisationen verketteten.

Google AdInline article slot

Initiale Zugriffsvektoren

Aus Incident-Response-Daten:

  • Ausnutzung öffentlicher Apps — 43,7 %
  • Kompromittierte Zugangsdaten — 25,4 %
  • Vertrauensbeziehungen (Lieferanten) — 15,5 %

Phishing ist seit 2023 aus den Top 3 heraus, spielt nun eine unterstützende Rolle in Kill-Chains. Lieferantenangriffe boomen seit 2023: Schwach gesicherte Firmen mit Fernzugriff auf Kunden werden geknackt, Traffic wirkt legitim.

Auswirkungen erfolgreicher Angriffe

Datenschlüsselung führte bei schädlichen Vorfällen mit 39 %. Danach: Persistenz zur Störung (12 %), Web-Exfiltration (7 %).

Google AdInline article slot

Unterschiede bei Erkennungszeitpunkt:

  • Nach Schaden: Verschlüsselung, Datenlöschung, Dienstenausfälle.
  • Vor Schaden: Persistenz, Active-Directory-Kompromittierung.

Verweildauer hängt von der Reife der Überwachung ab, nicht vom Einstiegspunkt.

Ausgenutzte Schwachstellen

50 % der Incident-Response-Schwachstellen waren RCE, oft unauthentifiziert. Top-Varianten:

  • CVE-2025-31324 (SAP NetWeaver, CVSS 9,8) — unbefugtes Datei-Upload
  • CVE-2025-42999 (SAP NetWeaver, CVSS 9,1) — unsichere Deserialisierung, RCE
  • CVE-2025-61882 (Oracle E-Business Suite, CVSS 9,8) — unauthentifizierte Dienstennehmung
  • CVE-2024-55591 (Fortinet FortiOS, CVSS 9,8) — Authentifizierungs-Umgehung

Ein Drittel der Schwachstellen stammte aus 2021 – ProxyLogon in Exchange ist vier Jahre später noch relevant. Angreifer nutzen bekannte Lücken mit verfügbaren Patches aus.

Angreiferwerkzeuge

LOLBins in kritischen MDR-Vorfällen:

| Werkzeug | Anteil |

|---------------|--------|

| powershell.exe| 14,4 %|

| rundll32.exe | 5,9 % |

| mshta.exe | 3,8 % |

| comsvcs.dll | 3,0 % |

| msedge.exe | 2,7 % |

mshta.exe explodierte durch gefälschte CAPTCHA-Köder. Spezialisierte Tools: Mimikatz (14,3 %), PowerShell (8,1 %), PsExec/AnyDesk (7,5 %). Beispiel: DLL-Hijacking über MPDefender.exe.

Herausforderungen für SOCs

Regelabdeckung liegt bei 43 % im Schnitt, sinkt bei 50+ Datenquellen auf 30 %. Wichtige Probleme:

  • Abdeckungsverfall ohne Kontrolle.
  • Herstellerregeln ohne Anpassung – Fehlalarme en masse.
  • Ungleiches Logging ohne Detektion (Netzwerk, DB, Web).

Neue Techniken 2025

T1568 Dynamic Resolution knackte die Top 10 bei Umwandlungen (23 %): DGA, Fast Flux DNS. Fall: Missbrauch von URL-Reservierungen in HTTP.sys für heimliche C2, maskiert als Exchange-Traffic.

Wichtigste Erkenntnisse

  • Kritische Vorfälle bei 3,8 %, MDR stoppt sie vor Schaden.
  • Top-Vektoren: Öffentliche Apps (43,7 %), Zugangsdaten (25,4 %), Lieferanten (15,5 %).
  • Schwachstellen: 50 % RCE, Drittel aus 2021 – mit Patches verfügbar.
  • SOCs decken 43 % ab; Verfall ist großes Risiko.
  • IT in Top 3 (15 %), getroffen über Lieferketten.

— Editorial Team

Advertisement 728x90

Weiterlesen