Eine Analyse der wichtigsten Sicherheitsvorfälle und Cybersecurity-Nachrichten des Jahres 2025
Cybersecurity-Vorfälle sind nicht nur dramatische Schlagzeilen; sie sind Praxisberichte nach dem Vorfall, die im laufenden Betrieb verfasst werden. Jeder Ausfall, jede Datenpanne und jede Lieferkettenkompromittierung legt Schwachstellen in Identitätsverwaltung, Konfiguration oder Drittzugriff offen, die wir für unter Kontrolle hielten.
Die jüngste Serie großer Vorfälle in den Jahren 2024 und 2025 macht eines völlig klar: Kein Sektor, kein Anbieter und keine Region ist mehr „außer Reichweite“.
In diesem Artikel führen wir durch die bedeutendsten Vorfälle und zeigen auf, was sie über die Lücken in heutigen Abwehr- und Incident-Response-Plänen verraten.
Behandeln Sie diese Fallbeispiele als Übungen für Ihre eigene Umgebung: Fragen Sie sich bei jeder Datenpanne, ob Sie sie rechtzeitig bemerkt, schnell eingedämmt und klar kommuniziert hätten. Indem Sie die Vorfälle auf Ihre eigene Infrastruktur, Lieferkette und Microsoft-365-Umgebung abbilden, können Sie aus den schlimmsten Erfahrungen anderer lernen und Ihre eigene Resilienz verbessern.
Oktober 2024 – Internet Archive-Hack und DDoS-Angriff
Anfang Oktober 2024 wurde die gemeinnützige Organisation Internet Archive (bekannt für die Wayback Machine) Opfer eines erheblichen Datenlecks, von dem über 31 Millionen Benutzerkonten betroffen waren. Die Angreifer verschafften sich Zugriff auf eine 6,4 GB große Datenbank, die unter anderem die E-Mail-Adressen, Benutzernamen und Bcrypt-gehashte Passwörter der Benutzer enthielt.
Etwa zur gleichen Zeit startete eine Hacktivisten-Gruppe namens BlackMeta eine Reihe von Distributed-Denial-of-Service-Angriffen (DDoS) auf die Websites des Archivs und legte diese vorübergehend lahm. Dieser Vorfall machte Schwachstellen im Konfigurationsmanagement des Archivs deutlich (eine exponierte GitLab-Konfigurationsdatei war Berichten zufolge der Angriffsvektor).
Daraus lassen sich zwei Schlussfolgerungen ziehen: Selbst wenn Sie eine gemeinnützige Organisation sind oder „zu unbedeutend, um angreifbar zu sein“, sind Sie immer ein Ziel. Außerdem sollten Sie immer die Konfiguration der Code-Repositorys Ihrer Entwickler überprüfen, da eine unzureichende MIS-Konfiguration sich später negativ auf Sie auswirken könnte.
Dezember 2024 – Hackerangriff auf das US-Finanzministerium durch chinesische APT
Ende Dezember 2024 gab das US-Finanzministerium bekannt, dass es Opfer eines staatlich geförderten Cyberangriffs geworden war, der der chinesischen Regierung zugeschrieben wurde.
Angreifer, die mit einer chinesischen APT-Gruppe (Advanced Persistent Threat) in Verbindung stehen, nutzten eine Schwachstelle in der Lieferkette aus, indem sie eine Identitäts- und Fernsupport-Plattform von BeyondTrust, einem vom Finanzministerium genutzten Anbieter, kompromittierten. Durch den Erwerb eines BeyondTrust-Administrationsschlüssels konnten die Hacker aus der Ferne auf die Arbeitsplätze mehrerer Mitarbeiter des Finanzministeriums zugreifen und nicht klassifizierte Dokumente stehlen.
Beamte des Finanzministeriums bezeichneten dies als „schwerwiegenden Cybersicherheitsvorfall” und benachrichtigten die US-Cybersicherheitsbehörden (CISA) am 8. Dezember 2024, kurz nachdem BeyondTrust sie über den Einbruch informiert hatte. Der Vorfall, der kurz nach anderen Angriffen mit Verbindungen zu China auf US-Ziele erfolgte, verschärfte die Spannungen und führte zu einer dringenden Überprüfung der Sicherheit des Zugriffs durch Dritte und der Cyberabwehrmaßnahmen der Regierung.
Die wichtigste Lehre daraus ist, das eigene Bedrohungsmodell und die damit verbundenen Abhängigkeiten genau zu verstehen. Wenn Sie eine Sicherheitslösung implementiert haben, sollten Sie sich fragen, wo sich der „Hauptschlüssel” für diese Sicherheitslösung befindet. Was passiert, wenn er kompromittiert wird, und wie können Sie dies erkennen, bevor es zu spät ist?
Januar 2025 – Kritische VPN-Zero-Day-Exploits (Ivanti & SonicWall)
Im Januar 2025 nutzten Angreifer aktiv kritische Zero-Day-Schwachstellen in zwei beliebten Fernzugriffsprodukten für Unternehmen aus, was weltweit zu Sicherheitswarnungen führte. Ivanti (Pulse Secure) gab bekannt, dass seine Connect Secure VPN-Appliance eine kritische Schwachstelle zur Umgehung der Authentifizierung enthielt, die in großem Umfang ausgenutzt wurde.
Dieser Zero-Day, der die Ausführung von Remote-Code ohne Anmeldung ermöglichte, wurde bereits im Dezember 2024 genutzt, um mindestens 17 Organisationen (darunter Nominet, die britische Domain-Registrierungsstelle) zu infiltrieren. Mandiant-Forscher brachten die Ivanti-VPN-Exploits aufgrund der verwendeten Tools und Malware mit einem in China ansässigen Bedrohungsakteur in Verbindung.
Etwa zur gleichen Zeit warnte SonicWall, dass ein Zero-Day-Exploit in seiner VPN-Serie Secure Mobile Access (SMA) 1000 in ähnlicher Weise von Angreifern ausgenutzt wurde. Microsoft und CISA bestätigten, dass die SonicWall-Sicherheitslücke, die ebenfalls die Ausführung von nicht authentifiziertem Remote-Code ermöglichte, für Angriffe genutzt worden war, wobei es auch später im Juli zu Vorfällen kam
Diese aufeinanderfolgenden VPN-Sicherheitslücken zeigten das alarmierende Potenzial für Angreifer, vertrauenswürdige Fernzugriffssysteme zu missbrauchen, was weltweit dazu führte, dass Unternehmen in aller Eile kritische Patches und Abhilfemaßnahmen veröffentlichten.
Dies sind nur zwei Beispiele für einen Trend der letzten Jahre, bei dem die Technologien, die eigentlich zum Schutz des Netzwerks gedacht sind (Firewalls, VPN-Geräte), oft so schlecht konzipiert und gewartet sind, dass sie Angreifern als einfacher Zugangspunkt die Unternehmensumgebung dienen.
Unabhängig von der Größe Ihres Anbieters müssen Sie von ihm höhere Standards verlangen. Sicherheitstechnologien zu beschaffen, die am Ende Schwachstellen schaffen, statt Sie zu schützen, darf keine Option sein.
Cybersecurity Report 2026
Die Beschleunigung globaler Bedrohungen durch KI
März 2025 – Spionagekampagne gegen Router von Juniper Networks
Im März 2025 enthüllte das Cybersicherheitsunternehmen Mandiant eine laufende Spionagekampagne, die auf Netzwerkinfrastruktur abzielte. Eine mit China verbundene APT-Gruppe (UNC3886) hatte eine neu entdeckte Schwachstelle im Junos OS von Juniper Networks, dem Betriebssystem für Juniper-Router, ausgenutzt.
Seit Mitte 2024 nutzten die Angreifer diese Zero-Day-Sicherheitslücke, um sich Zugang zu Routern von Unternehmen und möglicherweise auch von Behörden zu verschaffen, und implantierten dann maßgeschneiderte Backdoor-Malware auf den Geräten. Diese versteckten Hintertüren ermöglichten es den Hackern, den Netzwerkverkehr zu überwachen, und sie konnten sich möglicherweise unbemerkt weiter in Netzwerke hineinbewegen.
Juniper hat die Schwachstelle nach ihrer Entdeckung gepatcht, aber der Vorfall weckte Vergleiche mit früheren Angriffen auf Lieferketten und Infrastrukturen. Er unterstrich, dass fortgeschrittene Angreifer nun direkt auf Netzwerkrouter und Firewalls abzielen, um langfristige Spionage zu betreiben und dabei die traditionelle Endpunktsicherheit zu umgehen.
Diesen Vorfall sollten Sie dringend mit Ihrem Netzwerkteam besprechen. Router und Switches sind Teil der IT-Infrastruktur Ihres Unternehmens und werden nach ihrer Installation meist vergessen, solange sie funktionieren.
Dies macht sie auch zu einem idealen Versteck für Angreifer, insbesondere da Sie auf ihnen keine Endpoint Detection and Response (EDR) ausführen können. Achten Sie daher darauf, sie auf Konfigurationsänderungen zu überwachen und sie auf dem neuesten Stand zu halten
Juni 2025 – UNFI-Ransomware-Angriff stört die Lebensmittelversorgungskette
Im Juni 2025 zeigte ein Ransomware-Angriff auf United Natural Foods, Inc. (UNFI), ein führendes Lebensmittelvertriebsunternehmen, die realen Auswirkungen von Cyberangriffen auf Lieferketten. UNFI, bekannt als Hauptvertriebspartner von Whole Foods und anderen Lebensmittelhändlern, entdeckte am 5. Juni unbefugte Aktivitäten in seinen IT-Systemen.
Um die Bedrohung einzudämmen, nahm das Unternehmen die betroffenen Systeme vom Netz, wodurch es vorübergehend nicht mehr in der Lage war, Bestellungen zu bearbeiten und Lieferungen durchzuführen. Infolgedessen kam es bei einigen Lebensmitteleinzelhändlern zu Produktengpässen und Lieferverzögerungen. Die Störung hielt mehrere Tage an und UNFI erklärte, dass der Vorfall zu anhaltenden Betriebsverzögerungen und zusätzlichen Kosten führen würde.
Die Auswirkungen auf die Lebensmittelversorgungskette erregten die Aufmerksamkeit der Regulierungsbehörden und machten deutlich, dass im Vertriebs- und Fertigungssektor stärkere Cyberabwehrmaßnahmen erforderlich sind, da selbst kurze Ausfälle Kettenreaktionen für die Verbraucher nach sich ziehen können.
Wenn Ihr Unternehmen Dienstleistungen innerhalb eines größeren Verbunds von Firmen anbietet und entsprechend Teil eines größeren Unternehmensnetzwerks ist, in dem ein Ausfall Kettenreaktionen bis hin zur Öffentlichkeit oder kritischen Infrastruktur auslösen kann, muss Ihre Risikomodellierung dies berücksichtigen und nicht nur die unmittelbaren Auswirkungen, die ein Cyberangriff auf Ihren eigenen Betrieb haben kann. Denn in den Augen der Öffentlichkeit (und der Aufsichtsbehörden) werden Sie für diese weiterreichenden Auswirkungen verantwortlich gemacht.
Juli 2025 – Scader Spider-Hacks (Fluggesellschaften und Einzelhandel – Qantas-Verstoß)
In einigen Berichten über verschiedene Vorfälle der letzten Jahre wurde „Scattered Spider“ als Hackergruppe bezeichnet. Das ist nicht ganz zutreffend, da es sich eher um einen losen Zusammenschluss vieler verschiedener Akteure mit ähnlichen Taktiken handelt. Daher ist es genauer, von „Scattered Spider-ähnlichen“ Techniken zu sprechen.
Ihr Ansatz stützt sich stark auf Social Engineering, wobei (oft ausgelagerte) Helpdesk-Mitarbeiter dazu gebracht werden, Zugangsdaten zurückzusetzen. Es geht weniger darum, Computer zu hacken, als vielmehr darum, Menschen zu hacken. Ein weiterer bemerkenswerter Unterschied zu vielen anderen Bedrohungsakteuren besteht darin, dass sie jung sind, in westlichen Ländern leben und englische Muttersprachler sind, was vorhersehbar dazu geführt hat, dass viele von ihnen in den letzten ein bis zwei Jahren verhaftet wurden.
Anfang 2025 wurde Scattered Spider mit Angriffen auf große britische Einzelhändler (Marks & Spencer, Co-op, Harrods) und Versicherungsunternehmen wie Aflac in Verbindung gebracht.
Im Juli 2025 richtete die Gruppe ihre Aufmerksamkeit auf den Luftfahrtsektor. Qantas Airways, Australiens nationale Fluggesellschaft, gab bekannt, dass eine von ihr genutzte Contact-Center-Plattform eines Drittanbieters kompromittiert wurde, wodurch die Daten von etwa 6 Millionen Kunden offengelegt wurden. Zu den gestohlenen Daten gehörten Namen, Kontaktdaten, Geburtsdaten und Vielfliegernummern, jedoch keine Finanzinformationen.
Qantas bestätigte, dass es mit einem Erpressungsversuch im Zusammenhang mit dem Datenleck konfrontiert war, und Cyber-Ermittler stellten fest, dass der Angriff die typischen Merkmale der Taktik von Scattered Spider aufwies. Etwa zur gleichen Zeit wurden Berichten zufolge auch WestJet (Kanada) und Hawaiian Airlines (USA) von ähnlichen Vorfällen betroffen.
Die wichtigste Lehre aus diesen Angriffen ist, dass Sie Ihre Helpdesk-Verfahren überprüfen sollten, insbesondere im Hinblick auf das Zurücksetzen von Anmeldedaten („Ich habe mein Telefon verloren“), vor allem bei Konten mit erweiterten Berechtigungen. Alle üblichen wissensbasierten Verifizierungsdetails (Mitarbeiter-ID, Name des Vorgesetzten, Mädchenname der Mutter usw.) sind Informationen, die aus LinkedIn und anderen sozialen Medien gewonnen werden können und nicht sicher genug sind.
Als ersten Schritt sollten Sie verlangen, dass jede Wiederherstellung eines privilegierten Kontos persönlich in einer Niederlassung des Unternehmens erfolgt.
Juli 2025 – Ransomware-Angriff auf Ingram Micro
In der ersten Juliwoche 2025 wurde Ingram Micro, eines der weltweit größten IT-Vertriebsunternehmen, durch einen kritischen Ransomware-Angriff offline geschaltet.
Am 4. Juli tauchten Berichte auf, dass Ingram Micro einen größeren Systemausfall erlitten hatte; das Unternehmen bestätigte bald darauf, dass es von einem Ransomware-Vorfall betroffen war und viele Systeme proaktiv offline genommen hatte, um diesen einzudämmen. Der Angriff beeinträchtigte den weltweiten Betrieb von Ingram und legte die Online-Bestell- und Logistiksysteme des Unternehmens für fast eine Woche lahm.
Bis zum 10. Juli hatte der Distributor alle Geschäftsabläufe wiederhergestellt, jedoch nicht ohne erhebliche Auswirkungen auf Wiederverkäufer und Partner, die auf die Lieferkettendienstleistungen von Ingram angewiesen sind. Cybersicherheitsjournalisten identifizierten eine relativ neue Ransomware-Gruppe namens SafePay als Urheber des Angriffs.
Im Gegensatz zu UNFI verfügt Ingram Micro über keine breite öffentliche Präsenz. Die Lehre daraus: Wenn Ihr Unternehmen für den reibungslosen Betrieb vieler anderer Organisationen von entscheidender Bedeutung ist, kann eine Unterbrechung (in diesem Fall von mehr als einer Woche) schwerwiegende Auswirkungen auf Dritte haben und zu erhöhtem Zahlungsdruck führt – das sollten Sie in Ihrer Bedrohungsanalyse berücksichtigen.
Juli 2025 – „ToolShell”-Zero-Day-Angriffe auf Microsoft SharePoint
Im Juli 2025 warnten Sicherheitsforscher vor einer anhaltenden Welle von Cyberangriffen, die neue Zero-Day-Schwachstellen in lokalen Microsoft-SharePoint-Servern ausnutzen und zusammenfassend als „ToolShell“ bezeichnet wurden. Bis zum 23. Juli waren weltweit durch diese Exploit-Kette über 400 SharePoint-Server kompromittiert worden. Wir haben hier einen Blogbeitrag mit weiteren Details zum SharePoint-Hack veröffentlicht.
Die Angriffe ermöglichten unbefugten Zugriff und die Ausführung von Code auf SharePoint-Hosts, wodurch Angreifer effektiv einen Fuß in die Unternehmensnetzwerke der Opfer setzen konnten. Es wurde über eine Vielzahl von Betroffenen berichtet, darunter Unternehmen aus dem privaten Sektor und mindestens einige US-Regierungsbehörden; sogar das US-Energieministerium bestätigte, dass es „minimal betroffen“ war.
Die Threat-Intelligence-Teams von Microsoft führten die Aktivitäten auf mehrere staatlich geförderte chinesische Gruppen (mit den Codenamen Linen Typhoon, Violet Typhoon und Storm-2603) zurück, die die Exploits schnell übernommen hatten, sobald sie bekannt wurden.
Unabhängig davon nutzten Kriminelle, die mit einer neuen Ransomware namens Warlock in Verbindung stehen, ToolShell ebenfalls, um in Unternehmen einzudringen und Malware zu verbreiten. Microsoft veröffentlichte Patches für die SharePoint-Sicherheitslücken und forderte zusammen mit Behörden wie der CISA alle Organisationen auf, sofort Updates durchzuführen.
Die Schlussfolgerung hier ist, sorgfältig zu prüfen, ob Sie sich weiterhin auf lokale Software (von beliebigen Anbietern) verlassen wollen, da diese Systeme oft nicht im Fokus der Anbieter stehen, sondern ihre SaaS-Angebote priorisieren. Falls Sie lokale Systeme benötigen, stellen Sie sicher, dass diese nicht öffentlich zugänglich sind. Schützen Sie sie mit einem VPN oder noch besser mit einer cloudbasierten SASE-Lösung. Sie müssen außerdem sicherstellen, dass Sie über ein Patch-Programm verfügen, um diese Server auf dem neuesten Stand zu halten.
August 2025 – Salesloft+Drift
Ende August 2025 wurde bekannt, dass Salesloft, eine Integration für Salesforce (und Slack/Pardot), kompromittiert worden war, woraufhin Salesforce die Drift-Integration in diesen Systemen deaktivierte.
Der Angriff begann bereits im Juni 2025 mit der Kompromittierung des Salesloft-GitHub-Kontos, gefolgt vom Zugriff auf die AWS-Umgebung, in der die Angreifer OAuth-Token für die Kundenumgebungen von Drift erlangten.
Diese Art von Supply-Chain-Angriff, bei dem die Kompromittierung eines einzelnen Anbieters den Angreifern potenziell Zugriff auf Hunderte von Opferorganisationen verschafft, ist besonders gefährlich. OAuth-Token sind äußerst mächtig; sobald sie in die Hände Krimineller gelangen, schützt Sie in der Regel nur noch deren Widerruf und die Deaktivierung der Integration – nicht MFA oder das Zurücksetzen von Zugangsdaten.
Die Liste der Opfer ist lang und umfasst BeyondTrust, Cloudflare, CyberArk, Nutanix, Palo Alto Networks, Qualys, Rubrik, Tenable und Zscaler.
Die Reaktion auf Vorfälle ist schwierig: Wenn Sie betroffen sind, müssen Sie feststellen, auf welche Daten die Integration Zugriff hatte, welche zusätzlichen Anmeldedaten in diesen Daten verfügbar sein könnten und dann alle betroffenen Anmeldedaten zurücksetzen. Je nach Inhalt der exfiltrierten Daten besteht außerdem das Risiko einer Offenlegung oder Geldstrafen.
Die Lehre daraus ist genau das, was wir bereits in unserem Bericht des vergangenen Jahres hervorgehoben haben: Nicht-menschliche Identitäten und Integrationen über APIs und OAuth in der Cloud und bei Ihren verschiedenen SaaS-Anbietern müssen auf anomale Aktivitäten überwacht werden. Dies ist Teil der Identitätsstruktur, wird jedoch häufig nicht überwacht und ist daher für Angreifer besonders attraktiv.
September 2025 – Jaguar Land Rover
Am Montag, den 1. September 2025, kam die Produktion von Jaguar Land Rover (JLR) in allen Werken in Großbritannien, der Slowakei, Brasilien und Indien zum Erliegen. Da diese Situation noch andauert und zum Zeitpunkt der Berichterstellung nach vier Wochen nur eine begrenzte Produktion wieder aufgenommen wurde, hat dieser Ransomware-Angriff enorme Auswirkungen auf JLR selbst und seine Zulieferer.
Technische Details sind noch nicht bekannt, aber die meisten IT-Systeme von JLR wurden an Tata Consultancy Services (TCS) ausgelagert, einem Unternehmen der Tata-Gruppe, die seit 2008 Eigentümerin von JLR ist.
Viele Fertigungsindustrien, darunter auch die Automobilindustrie, bewegen sich in Richtung vollautomatischer Lieferketten, bei denen Teile „just in time” geliefert werden und Konstruktions- und Fertigungsabläufe vollständig digitalisiert sind. Dies kann sehr effizient sein, aber es ist entscheidend, das komplexe Geflecht der gegenseitigen Abhängigkeiten in einem so riesigen System zu verstehen und sicherzustellen, dass Cybersicherheit an jeder Schwachstelle integriert ist.
Obwohl JLR über enorme Barreserven verfügt, hat die britische Regierung ein Darlehen in Höhe von 1,5 Milliarden Pfund garantiert, um dem Unternehmen bei der Bewältigung der Folgen zu helfen. Die finanziellen Auswirkungen werden insgesamt auf 1,9 Milliarden Pfund geschätzt, wobei über 5000 Organisationen von dem Angriff betroffen sind.
JLR beschäftigt über 34.000 Mitarbeiter und 120.000 in seiner Lieferkette, von denen einige voraussichtlich insolvent gehen werden. Cybersicherheitsversicherungen scheinen nicht vorhanden gewesen zu sein, sodass JRL die gesamten Kosten dieser Katastrophe selbst tragen muss.
Die Lehre daraus ist eindeutig: Seit einem Jahrzehnt wird in allen Branchen lautstark die digitale Transformation gefordert, und obwohl digitale Prozesse für jedes Unternehmen wichtig sind, können unzureichend abgesicherte IT-Systeme in jedem Bereich des Gesamtsystems enorme Risiken bergen. Stellen Sie sicher, dass Sie über eine Cybersicherheitsversicherung verfügen, die Ihrem Risikoprofil entspricht.
Die letzte ernüchternde Erkenntnis ist, dass mit der staatlichen Rettungsaktion zukünftige Angriffe wahrscheinlich auf britische Unternehmen abzielen werden, da diese eher bereit sind zu zahlen.
Oktober 2025 – F5 vollständig kompromittiert
Im Oktober 2025 gab F5 Networks (ein bedeutender Anbieter von Application Delivery Controllern (ADCs) und Netzwerksicherheitsgeräten) bekannt, dass es Opfer eines hochentwickelten Angriffs durch einen staatlich geförderten Akteur geworden war.
Nachfolgende Untersuchungen deuten darauf hin, dass die Angreifer bereits Ende 2023 Zugang erlangten, indem sie ein fälschlicherweise öffentlich zugängliches F5-System ausnutzten und interne Sicherheitsrichtlinien umgingen. Diese Sicherheitslücke ermöglichte es den Hackern, sich dauerhaft und unbemerkt Zugang zu verschaffen, der mindestens 12 Monate lang unentdeckt blieb.
Der Vorfall wurde erst im August 2025 entdeckt, woraufhin F5 ihn Mitte Oktober öffentlich machte und damit ernsthafte Bedenken hinsichtlich der Sicherheit der Lieferkette hervorhob, da die Produkte von F5 tief in die Infrastruktur vieler Unternehmen eingebettet sind. Einmal im Netzwerk, nutzten die Eindringlinge eine maßgeschneiderte Malware-Backdoor namens „BRICKSTORM“, um sich lateral durch die virtualisierte Umgebung von F5 zu bewegen und dabei Sicherheitskontrollen zu umgehen. BRICKSTORM, das der mit China in Verbindung stehenden Spionagegruppe UNC5221 zugeschrieben wird, ermöglichte es den Angreifern, nahezu unsichtbar zu bleiben.
Teilweise lagen sie über ein Jahr im Ruhezustand, vermutlich um die Aufbewahrungsfrist für Protokolle von F5 zu überdauern und Spuren des ursprünglichen Eindringens zu verwischen. Nach der Reaktivierung exfiltrierten die Angreifer hochgradig sensible Daten, darunter Teile des proprietären BIG-IP-Quellcodes und interne Berichte über nicht veröffentlichte (Zero-Day-)Schwachstellen in den Produkten von F5. Diese gestohlenen Daten verschafften den Hackern Einblick in Sicherheitslücken, die noch nicht gepatcht oder öffentlich bekannt waren – ein Informationsschatz, den Experten mit einem „Generalschlüssel“ für potenzielle zukünftige Angriffe auf F5-Geräte weltweit verglichen.
Der Vorfall verdeutlicht, wie ein einziger gut ausgeführter Angriff auf einen Kerntechnologieanbieter weitreichende Risiken mit sich bringen kann, da die Plattformen von F5 weltweit zum Schutz und zur Lastverteilung kritischer Anwendungen in Regierungs- und Unternehmensnetzwerken eingesetzt werden.
Die Lehre daraus ist unangenehm und erinnert an den SolarWinds-Hack im Jahr 2020: Selbst der größte Anbieter von Cybersicherheitslösungen kann von einem entschlossenen Angreifer kompromittiert werden und ohne angemessene Überwachung und Protokollierung kann ein solcher Zugriff über lange Zeit unentdeckt bleiben.
Die Situation entwickelt sich noch, und obwohl noch nicht genügend technische Details vorliegen, um die langfristigen Auswirkungen in den kommenden Monaten vorherzusagen, sollten Sie, wenn Ihr Netzwerk auf F5-Geräten basiert, sofort alle Systeme aktualisieren und sämtliche Zugangsdaten ändern.
Der nächsten Welle von Cybersecurity-Vorfällen mit gestaffeltem, praxisnahem Schutz voraus sein
Hornetsecurity’s Advanced Threat Protection und 365 Total Protection stärken Ihre Microsoft-365-Umgebung, bevor Angreifer Fuß fassen können – so sind Sie den in diesem Bericht beschriebenen Vorfällen immer einen Schritt voraus. Diese Lösungen blockieren Zero-Day-Exploits, bösartige Links, Impersonation-Versuche und kompromittierte Identitäten auf der E‑Mail‑ und Kollaborationsebene und verhindern, dass Bedrohungen Ihre kritischen Systeme erreichen.
In Kombination mit besserer Konfigurationshygiene und strengeren Kontrollen für Lieferanten und Drittzugriffe wechseln Sie von reaktiven Maßnahmen auf die letzte Schlagzeile zu proaktiver Vorbeugung des nächsten Vorfalls.
Vereinbaren Sie noch heute eine Demo, um zu sehen, wie Hornetsecurity Ihnen hilft, die durch jüngste Angriffe offengelegten Lücken zu schließen und einen Security‑Stack rund um Microsoft 365 aufzubauen, der Sie gegen Vorfälle wappnet.
Fazit
Die in diesem Artikel beschriebenen Vorfälle verdeutlichen eine wichtige, wenn auch unbequeme Realität: Die meisten Sicherheitsfehler sind systemisch, nicht zufällig. Eine einzige geleakte Konfigurationsdatei, eine überprivilegierte Integration oder eine unkontrollierte Drittanbieter-Verbindung kann zu millionenschweren Ausfällen oder Sicherheitsproblemen auf Regierungsebene führen.
Zusammengenommen zeigen diese Vorfälle, wie schnell eine einzelne Schwachstelle ausgenutzt werden kann und wie weitreichend sich die Auswirkungen über Lieferketten und kritische Dienste erstrecken.
Die jüngsten großen Cybersecurity-Vorfälle zeigen auch: Technologie allein löst das Problem nicht. Organisationen stolpern immer wieder über ähnliche Muster – unvollständige Asset-Inventare, weiterhin öffentlich exponierte Legacy-On-Premises-Systeme, unzureichend überwachte nicht-menschliche Identitäten und Drittanbieter-Dienste mit weitreichendem, lang andauerndem Zugriff.
Selbst ein übersehener Router oder ein unüberwachtes OAuth-Token kann eine ansonsten solide Sicherheitsstrategie untergraben.
Organisationen, die die nächste Bedrohungswelle erfolgreich bewältigen möchten, behandeln Sicherheit als ein lebendiges System, das kartiert, aktualisiert, validiert und kontinuierlich überwacht wird. Das bedeutet, die eigenen Abhängigkeiten zu verstehen, Incident-Response-Szenarien zu proben und sicherzustellen, dass Kontrollen nicht nur auf dem Papier, sondern auch unter Druck funktionieren.
Resilienz entsteht durch die Planung für den Fall eines Ausfalls, dessen schnelle Erkennung und Eindämmung, bevor er zu einer Krise eskaliert.
Verstöße sind keine seltenen Ausnahmefälle mehr, sondern wiederkehrende Realitätschecks, die zeigen, wie widerstandsfähig Sie wirklich sind. Nutzen Sie diese Vorfälle als Leitfaden, um Ihre Position zu stärken. So können Sie, wenn die nächste Well von Cybersicherheitsvorfällen Ihre Branche trifft, schnell, klar und selbstbewusst reagieren, statt in Panik zu geraten.
FAQ
Was ist das auffälligste Muster, das diese schwerwiegenden Sicherheitsvorfälle verbindet?
Bei all diesen Vorfällen handelt es sich nicht um hochkomplexe Tricks, sondern um grundlegende Schwachstellen in Bezug auf Identität, Konfiguration und Vertrauen. Die meisten Angreifer nutzen eine einzige Schwachstelle aus: eine offengelegte Anmeldedaten, eine zu großzügige Integration, ein ungepatchtes Edge-Gerät oder ein fehlkonfigurierter Cloud-Dienst. Sie müssen nicht alle Kontrollen umgehen, sondern benötigen lediglich eine Lücke, die unbemerkt bleibt, um sich von dort aus weiterzubewegen.
Warum sind Verstöße in der Lieferkette sowie durch Dritte so gefährlich?
Verstöße in der Lieferkette und durch Dritte liegen an der Schnittstelle zwischen hohen Berechtigungsprivilegien und geringer Sichtbarkeit. Eine einzige Anbieterplattform, Integration oder ein Contact-Center-Anbieter kann unbemerkt Hunderte oder Tausende Organisationen miteinander verbinden. Wenn diese also kompromittiert werden, ist der Schaden enorm. Wie die Fälle von 2024 und 2025 zeigen, bieten OAuth-Token, Remote-Support-Tools und Cloud-Integrationen häufig breiten, dauerhaften Zugriff, der leicht übersehen wird und sich während eines laufenden Vorfalls nur schwer rückgängig machen lässt.
Welche praktischen Lehren sollten Organisationen aus diesen Vorfällen ziehen?
Betrachten Sie zunächst Ihre Infrastruktur und Ihre SaaS-Landschaft aus der Perspektive eines Angreifers. Erstellen Sie eine Übersicht Ihrer Abhängigkeiten, identifizieren Sie schwache Vertrauensbeziehungen und gehen Sie davon aus, dass Zugangsdaten, Token oder eine Konfiguration irgendwann offengelegt werden. Überwachen Sie nicht‑menschliche Identitäten und Drittanbieter‑Integrationen, validieren Sie Helpdesk‑ und Recovery‑Prozesse, patchen Sie kritische Edge‑Systeme schnell und vermeiden Sie es, On‑Premises‑Dienste direkt dem Internet auszusetzen. Ergänzen Sie dies um spezialisierte Schutzmaßnahmen – etwa das Hornetsecurity‑Portfolio für Microsoft 365 –, um gezielte E‑Mail‑, Identitäts‑ und Lieferkettenangriffe früh zu erkennen und zu stoppen, damit aus möglichst wenigen Vorfällen eine vollumfängliche Krise wird.
