Zum Hauptinhalt springen

cybersecurity review 2025

·3 min
Inhaltsverzeichnis

Cybersecurity 2025 - ein Rückblick auf ein aufregendes Jahr in der IT-Sicherheit #

synopsis #

Das Jahr 2025 markiert einen Wendepunkt in der Cybersicherheit. Während die schiere Anzahl der Schwachstellen mit über 23.000 neu gemeldeten CVEs in der ersten Jahreshälfte einen neuen Rekord aufstellte, war es vor allem die Geschwindigkeit, mit der Angreifer vom Zero-Day zum Exploit übergingen, die Verteidiger weltweit unter massiven Druck setzte.

Hier ist der Rückblick auf ein turbulentes Jahr. #

The perfect 10s - Schwachstellen mit CVSS 10.0 #

Im Jahr 2025 erreichten mehrere kritische Sicherheitslücken den maximalen Score von 10.0. Diese zeichneten sich durch ihre einfache Ausnutzbarkeit aus der Ferne (Remote) und den vollständigen Kontrollverlust über das Zielsystem aus.

  • CVE-2025-55182 / CVE-2025-66478 („React2Shell“): Diese Lücke im „Flight“-Protokoll von React 19 Server Components und Next.js erschütterte die Web-Entwicklung. Sie erlaubte es Angreifern, durch manipulierte Anfragen Schadcode direkt auf dem Server auszuführen. Da moderne Frameworks das Rückgrat des Internets bilden, war die Reichweite gigantisch.
  • CVE-2025-10035 (Fortra GoAnywhere MFT): Ein Command-Injection-Fehler in der populären Managed File Transfer-Lösung. Angreifer konnten ohne Authentifizierung Befehle auf Betriebssystemebene absetzen. Dies führte zu einer Welle von Datendiebstählen bei Großunternehmen, ähnlich dem MOVEit-Debakel der Vorjahre.
  • CVE-2025-10363 (Topal Finance Software): Eine unauthentifizierte Remote Code Execution (RCE) via .NET Deserialisierung. Da diese Software tief in Finanzprozesse integriert ist, ermöglichte sie den direkten Zugriff auf sensible Buchhaltungsdaten.
  • CVE-2025-9265 (Kiloview NDI Produkte): Eine Umgehung der API-Authentifizierung durch Header-Spoofing in professionellem Video-Equipment. In einer Welt, in der Live-Streaming und IP-Video-Infrastruktur kritisch geworden sind, erlaubte dies die Übernahme von Sendestationen.

Neue Taktiken: #

Die Angreifer haben ihre Methoden 2025 radikal verfeinert. Statt nur auf bösartige Anhänge zu setzen, nutzen sie zunehmend das Vertrauen in legitime Dienste aus.

  • LOTS (Living off Trusted Services): Angreifer missbrauchen Plattformen wie DocuSign, Salesforce oder PayPal, um Phishing-Links zu verbreiten. Da diese E-Mails von offiziellen Servern kommen, werden sie von Filtern oft nicht erkannt.
  • AI-Augmented Phishing: Durch generative KI sind Spear-Phishing-Kampagnen nahezu fehlerfrei und hochgradig personalisiert. 2025 stieg das Volumen dieser Angriffe um über 500 %.
  • Fokus auf die Supply Chain: Angriffe auf Drittanbieter (wie beim Oracle Cloud SSO/LDAP Vorfall oder Air France/KLM) waren das Hauptthema. Ein Einbruch beim Dienstleister reichte aus, um Millionen von Endkunden-Datensätzen zu kompromittieren.

Die Akteure: Wer waren die Treiber? #

Zwei Gruppen dominierten die Schlagzeilen im Jahr 2025:

  • Volt Typhoon (China-nah): Diese Gruppe konzentrierte sich primär auf kritische Infrastrukturen (KRITIS). Ihr Ziel war nicht der sofortige Diebstahl, sondern das Setzen von „Schläfer-Backdoors“ in Routern und Edge-Devices, um im Falle geopolitischer Spannungen handlungsfähig zu sein.
  • Scattered Spider (UNC3944): Bekannt für extrem geschicktes Social Engineering. Sie kombinierten technische Exploits (wie bei M&S oder Qantas) mit psychologischer Manipulation von IT-Mitarbeitern, um MFA (Multi-Faktor-Authentifizierung) zu umgehen.

Das schwindende Zeitfenster: Von Zero-Day zu Exploit #

Die Zeit, die Unternehmen zum Patchen bleibt, ist fast auf null geschrumpft.

ZeitraumDurchschnittliche Zeit bis zum Exploit
Vor 2023ca. 32 Tage
2024ca. 5 Tage
2025< 48 Stunden (in kritischen Fällen sofort)

Dieser massive Rückgang liegt an automatisierten Exploit-Pipelines. Sobald ein Patch oder ein Bug-Report veröffentlicht wird, scannen KI-gestützte Bots das Internet nach verwundbaren Systemen und generieren fast zeitgleich funktionierende Exploits.

Fazit #

2025 hat gezeigt, dass klassisches „Patch-Management“ nach Kalender (z. B. monatlich) bei Weitem nicht mehr ausreicht. Die Geschwindigkeit der Angreifer erfordert eine Echtzeit-Verteidigung und einen Fokus auf die Absicherung von Identitäten und Cloud-Schnittstellen.

Disclaimer #

Dieser Artikel wurde mit Unterstützung von KI formuliert. Das Bild wurde mit google imagen erstellt.