Monthly Threat Report Oktober 2025
Klügere Angriffe, härtere Lektionen
Einleitung
Der Monthly Threat Report von Hornetsecurity liefert monatliche Einblicke in M365-Sicherheitstrends, E-Mail-basierte Bedrohungen sowie Analysen und Kommentare zu aktuellen Ereignissen im Bereich der Cybersicherheit. Diese Ausgabe des Berichts konzentriert sich auf Daten aus Q2 im Vergleich zu Q3 2025. Erwähnte Branchenereignisse stammen aus September 2025.
Zusammenfassung
- Ransomware ist nach drei Jahren Rückgang wieder auf dem Vormarsch, angetrieben durch KI-gestützte Automatisierung und komplexere mehrstufige Angriffsketten.
- Der Hornetsecurity Ransomware Impact Report 2025 zeigt, dass 24 % der Organisationen in diesem Jahr betroffen waren, ein Anstieg gegenüber 18,6 % im Jahr 2024.
- Weniger Organisationen zahlen Lösegeld (13 %), was auf verbesserte Backup-Strategien und größeres Vertrauen in Wiederherstellungsprozesse hinweist.
- E-Mail-basierte Malware stieg im Quartalsvergleich um 39,5 %, was auf eine Verschiebung hin zu persistenzbasierten Schadprogrammen statt einfacher Phishing-Angriffe deutet.
- PDF-Dateien bleiben der am häufigsten missbrauchte Anhangstyp, während ICS-Kalenderdateien als neuer Social-Engineering-Übertragungsvektor aufgetreten sind.
- E-Mail-Spoofing dominiert weiterhin die Angriffsmethoden und verzeichnete im Vergleich zu Q2 einen Anstieg um 54 %.
- KI-generiertes Phishing wird inzwischen von 77 % der CISOs als einer der wichtigsten neuen Bedrohungsvektoren genannt.
- Zu den bedeutenden Vorfällen in diesem Monat zählen der Ransomware-Angriff auf Jaguar Land Rover, der den weltweiten Betrieb lahmlegte, sowie CVE-2025-32463, eine kritische Sudo-Rechteausweitungsschwachstelle, die derzeit aktiv ausgenutzt wird.
Bedrohungsübersicht
Unerwünschte E-Mails nach Kategorie
Die folgende Tabelle zeigt die Verteilung unerwünschter E-Mails pro Kategorie für Q2 2025 im Vergleich zu Q3 2025.
| Kategorie | Veränderung | Prozent |
|---|---|---|
| Phishing | Rückgang | -46,38 % |
| Betrug (Scam) | Rückgang | -10,95 % |
| Schadsoftware (Malware) | Anstieg | 39,56 % |
| Spear Phishing | Rückgang | -4,42 % |
Während das Phishing-Volumen im dritten Quartal deutlich zurückging, fällt der starke Anstieg malwarebasierter Kampagnen besonders auf. Diese Entwicklung deutet darauf hin, dass Bedrohungsakteure ihren Fokus von Zugangsdaten-Diebstahl und kurzfristigem Betrug hin zu Persistenz und Kontrolle verlagern. Wenn Phishing-Versuche um fast die Hälfte abnehmen, während Malware-Aktivitäten um rund 40 % zulegen, bedeutet das in der Regel, dass Angreifer Quantität gegen Qualität eintauschen. Anstatt massenhaft generische Köder zu versenden, entwickeln sie Schadcode, der Sicherheitsfilter umgeht und tiefere Systemkompromittierungen ermöglicht.
Auch der leichte Rückgang beim Spear-Phishing ist nicht unbedingt ein positives Signal. Viele fortgeschrittene Kampagnen haben sich weiterentwickelt und kombinieren mittlerweile Phishing-Techniken mit legitimen Kollaborationsplattformen und Messaging-Tools. Der scheinbare „Rückgang“ könnte daher eher eine Verlagerung weg von E-Mail als Erstzugriffsvektor widerspiegeln statt einer tatsächlichen Abnahme der Aktivität.
Schädliche Dateitypen in E-Mail-Angriffen
Die folgende Tabelle zeigt die am häufigsten in E-Mail-Angriffen verwendeten Dateitypen im betrachteten Zeitraum.
Top schädliche Dateitypen in Q2
| Dateityp | Platzierung |
|---|---|
| 1 | |
| DOC | 2 |
| TXT | 3 |
| DOCX | 4 |
| ZIP | 5 |
Top schädliche Dateitypen in Q3
| Dateityp | Platzierung |
|---|---|
| 1 | |
| DOCX | 2 |
| ICS | 3 |
| ZIP | 4 |
| TXT | 5 |
PDF-Dateien dominieren weiterhin die Spitzenposition und halten den ersten Platz Quartal für Quartal. PDFs sind das perfekte trojanische Pferd für Social Engineering: Sie wirken harmlos, passieren Filter leicht und können Links oder Skripte einbetten, die zu Credential-Harvestern oder Payload-Downloadern weiterleiten.
Spannend ist hier der Aufstieg von ICS-Kalenderdateien auf den dritten Platz in Q3. Angreifer beginnen, das Vertrauen auszunutzen, das Nutzer in Kalendereinladungen setzen. Eine bösartige ICS-Anlage kann automatische Kalendereinträge erstellen, die Phishing-Links enthalten, oder beim Öffnen externes Nachladen von Inhalten auslösen. Das ist subtil, effektiv und umgeht oft grundlegende Anlagenprüfungen. Bedrohungsakteure prüfen ständig neue Methoden — und geräuscharme Zustellmechanismen, die auf Vertrauen in Geschäftsabläufe statt auf offensichtliche Dateiköder setzen, können leider sehr wirkungsvoll sein.
E-Mail-Angriffstypen
Die Angriffslandschaft der E-Mail-Kommunikation entwickelt sich weiterhin sowohl in ihrer Größe als auch in ihrer Komplexität. Während die grundlegenden Taktiken vertraut bleiben, werden die Übertragungsmechanismen und die unterstützende Infrastruktur zunehmend anpassungsfähig. Jede der unten aufgeführten Methoden stellt keine völlig neue Innovation dar, sondern eine iterative Verfeinerung bestehender Social-Engineering- und Verschleierungstechniken. Kurz gesagt: Was funktioniert, wird nicht geändert, sondern verbessert.
Top E-Mail-Angriffstypen in Q2
| Angriffstyp | Platzierung |
|---|---|
| E-Mail-Spoofing | 1 |
| Nutzung exotischer TLDs | 2 |
| URL-Verkürzung | 3 |
| URL-Verschleierung mit Nicht-ASCII-Zeichen | 4 |
| Angriffskampagne über legitime Hosting-Plattform | 5 |
Q3 Top Email Attack Types
| Angriffstyp | Platzierung |
|---|---|
| E-Mail-Spoofing | 1 |
| Angriffskampagne über legitime Hosting-Plattform | 2 |
| Mehrteilige E-Mails (Multi-Part-Emails) | 3 |
| HTML-Verschleierungstechnik | 4 |
| Nutzung exotischer TLDs | 5 |
Auffällige Veränderungen zwischen den Quartalen bei bevorzugten Angriffstypen
- Die Nutzung exotischer Top-Level-Domains (TLDs) ging von Q2 auf Q3 um 70,7 % zurück
- Angriffskampagnen über legitime Hosting-Plattformen stiegen leicht um 0,6 % an
- Der Einsatz von E-Mail-Spoofing-Techniken nahm um 54,8 % zu
Description of Email Attack Types
| Angriffstyp | Beschreibung |
|---|---|
| E-Mail-Spoofing | Angreifer fälschen den Absendernamen, die Domain oder die E-Mail-Adresse, um vertrauenswürdige Personen oder Organisationen zu imitieren. Häufig eingesetzt bei Phishing und Geschäfts-E-Mail-Kompromittierungen (BEC). |
| Nutzung exotischer TLDs | Böswillige Akteure registrieren Domains mit unüblichen oder verdächtigen Top-Level-Domains (z. B. .xyz, .zip, .top), um Filter zu umgehen und weniger genau geprüft zu erscheinen. |
| URL-Verkürzung | Angreifer verbergen das eigentliche Ziel einer schädlichen URL hinter einem verkürzten Link (z. B. bit.ly), wodurch es für Benutzer und Scanner schwieriger wird, das Risiko einzuschätzen. |
| URL-Verschleierung mit Nicht-ASCII-Zeichen | URLs werden mit Unicode- oder ähnlich aussehenden Zeichen (Homoglyphen) konstruiert, um legitime Domains nachzuahmen und sowohl Nutzer als auch automatische Scanner zu täuschen. |
| Angriffskampagne über legitime Hosting-Plattform | Bedrohungsakteure nutzen legitime Cloud- oder Hosting-Dienste (z. B. Google Drive, Dropbox, SharePoint), um Phishing-Inhalte oder Malware unter dem Deckmantel vertrauenswürdiger Infrastruktur zu verbreiten. |
| Mehrteilige E-Mails (Multipart-E-Mails) | Angreifer teilen die schädliche Nutzlast auf mehrere MIME-Abschnitte oder Anhänge auf, wodurch die Erkennung durch E-Mail-Sicherheitsgateways erschwert wird. |
| HTML-Verschleierungstechnik | Bösartiger Code oder Links werden in komplexen, kodierten oder fragmentierten HTML-Strukturen verborgen, um Inhaltsprüfungen zu umgehen und Empfänger zu täuschen. |
Analyse der E-Mail-Angriffstypen
Das Wiedererstarken von E-Mail-Spoofing als führende Angriffsmethode überrascht kaum. Während E-Mail-Authentifizierungsframeworks wie SPF, DKIM und DMARC zunehmend zum Standard werden, passen sich Angreifer mit raffinierteren Domain-Imitationen und gezieltem Display-Name-Spoofing an. Viele dieser Kampagnen umgehen technische Prüfmechanismen mittlerweile vollständig, indem sie auf menschliches Vertrauen statt auf Systemlogik abzielen. Wichtig ist: Authentifizierungsprotokolle reduzieren Risiken, sie beseitigen sie jedoch nicht vollständig.
Der allmähliche Rückgang der Nutzung exotischer TLDs zeigt, dass Filtermechanismen diese Masche weitgehend erkannt haben – wodurch Bedrohungsakteure zu neuen Methoden übergehen müssen. Gleichzeitig verdient der leichte Anstieg beim Missbrauch legitimer Hosting-Plattformen besondere Aufmerksamkeit – ein Trend, den die gesamte Branche im Blick behalten sollte. Wenn sich etwa eine Phishing-Seite auf Google Drive oder Microsofts eigener Infrastruktur befindet, genießt sie automatisch ein hohes Maß an Glaubwürdigkeit.
Statt am Firewall-Perimeter entscheidet heute vor allem das Verhalten der Nutzer über den Erfolg Ihrer Verteidigung – eine Erkenntnis, die sich bei Sicherheitsverantwortlichen zunehmend durchsetzt
Hornetsecurity 2025 Ransomware Impact Report
Ransomware verzeichnet nach drei Jahren des Rückgangs wieder einen deutlichen Anstieg – und der aktuelle Hornetsecurity Ransomware Impact Report zeichnet ein klares Bild einer sich wandelnden, von KI angetriebenen Bedrohungslandschaft. Angreifer nutzen Automatisierung und generative KI, um ihre Operationen zu skalieren, hybride IT-Umgebungen ins Visier zu nehmen und traditionelle Abwehrmechanismen zu umgehen.
Gleichzeitig arbeiten Organisationen daran, ihre Resilienz durch unveränderliche Backups und Notfallwiederherstellungspläne zu stärken. Die Ergebnisse zeigen beide Seiten der Entwicklung: Ransomware wird intelligenter – aber auch die Verteidiger holen auf.
Hornetsecurity Ransomware-Umfrage – Zentrale Erkenntnisse
- 24 % der Unternehmen waren 2025 von einem Ransomware-Angriff betroffen – ein Anstieg gegenüber 18,6 % im Jahr 2024.
- Nur 13 % der Opfer zahlten das Lösegeld, was auf eine bessere Wiederherstellungsfähigkeit und höhere Bereitschaft hinweist.
- 46 % der Vorfälle begannen weiterhin mit Phishing, doch kompromittierte Endpunkte und gestohlene Zugangsdaten holen zunehmend auf.
- 74 % der Unternehmen führen Schulungen zum Thema Ransomware durch, aber 42 % bewerten diese als unzureichend – ein Hinweis auf bestehende Bewusstseinslücken.
- 62 % verwenden unveränderliche Backups, und 82 % verfügen über Disaster-Recovery-Pläne, was einen Reifegradwandel hin zu proaktiver Verteidigung signalisiert.
- 77 % der CISOs nennen KI-generiertes Phishing als wachsende Bedrohung, da Angreifer generative KI-Tools zunehmend als Waffe einsetzen.
Lesen Sie den vollständigen Hornetsecurity Ransomware Impact Report für detaillierte Einblicke, Datenanalysen und praxisnahe Empfehlungen zur Stärkung der Ransomware-Resilienz Ihres Unternehmens.
Ransomware Impact Report 2025
Ransomware-Angriffe nehmen zum ersten Mal seit drei Jahren wieder zu und festigen damit ihren Status als eine der hartnäckigsten Bedrohungen für Unternehmen im Jahr 2025.
Erfahren Sie, wie sich Unternehmen anpassen, welche Trends sich abzeichnen und wo neue Risiken entstehen.
Größere Vorfälle und Branchenereignisse
Cyberangriff auf Jaguar Land Rover
Der Angriff auf Jaguar Land Rover (JLR) Anfang September 2025 zählt zu den schwerwiegendsten Unternehmensvorfällen in der jüngeren britischen Cybergeschichte. Der Autohersteller musste die Produktion an mehreren Standorten stoppen, wodurch tausende Mitarbeiter untätig blieben und Lieferketten massiv gestört wurden.
Was als lokale IT-Störung begann, entwickelte sich rasch zu einer unternehmensweiten Krise, da der Zugriff auf kritische Fertigungs- und Logistiksysteme verloren ging. Berichten zufolge wurde der Angriff vermutlich von einer finanziell motivierten Gruppe mit Verbindungen zu Scattered Spider oder ShinyHunters durchgeführt. Dabei kamen Social-Engineering-Taktiken und Privilege-Escalation-Techniken zum Einsatz, um sich Zugang zu internen Netzwerken zu verschaffen.
Im größeren Kontext zeigt der Vorfall, wie anfällig moderne industrielle Ökosysteme geworden sind. Die digitalen Abläufe von JLR sind eng mit Zulieferern, Vertriebsnetzwerken und Produktionsautomatisierungssystemen verflochten. Sobald diese Systeme offline gingen, kaskadierten die Auswirkungen durch die gesamte globale Automobilindustrie.
Die Lage spitzte sich so weit zu, dass die britische Regierung eingreifen musste und eine staatliche Bürgschaft über 1,5 Milliarden Pfund gewährte, um den Betrieb zu stabilisieren. Bei wöchentlichen Verlusten von rund 50 Millionen Pfund und fehlender Cyberversicherung ist JLRs finanzielle Belastung enorm.
Der Fall verdeutlicht eine wachsende Erkenntnis in der Unternehmenssicherheit: Resilienzplanung ist kein „Nice-to-have“ mehr. Sie ist das Einzige, was moderne Infrastrukturen aufrecht hält, wenn Ransomware-Gruppen zuschlagen.
Sudo-Rechteausweitungsschwachstelle (CVE-2025-32463)
Nur wenige Tools sind so grundlegend für Unix-ähnliche Systeme wie sudo. Genau das macht CVE-2025-32463 so alarmierend. Die Schwachstelle, die Ende September offengelegt und inzwischen als aktiv ausgenutzt bestätigt wurde, ermöglicht Angreifern mit lokalem Zugriff, Berechtigungen bis auf root-Ebene zu erweitern, durch Missbrauch der chroot-Option. Erste Proof-of-Concept-Exploits kursierten bereits Monate vor der öffentlichen Bekanntgabe, doch wirkliche Besorgnis entstand, als CISA die Lücke in ihren Known Exploited Vulnerabilities (KEV)-Katalog aufnahm – ein klares Zeichen, dass die Schwachstelle bereits aktiv missbraucht wird. Der Fehler betrifft sudo-Versionen vor 1.9.17p1, und da sudo praktisch auf allen Linux-Distributionen vorhanden ist, gilt das Einspielen von Patches weltweit als dringendste Priorität.
Was diese Schwachstelle besonders gefährlich macht, ist ihre niedrige Zugangshürde. Im Gegensatz zu Remote-Code-Execution-Fehlern, die komplexe Vorbedingungen oder Phishing-Ketten erfordern, kann diese Lücke bereits mit minimalem lokalem Zugriff ausgenutzt werden. Auf gehärteten Systemen – etwa Bastion Hosts, CI/CD-Runnern oder Cloud-Workloads – können die Folgen verheerend sein. Sicherheitsteams sollten sich bewusst machen, dass lokale Rechteausweitungswege ein zentraler Bestandteil moderner Angriffsketten bleiben.
Wer sich ausschließlich auf Perimeter-Schutz oder EDR-Transparenz verlässt, kann leicht übersehen, wenn eine falsch konfigurierte Binärdatei wie sudo kompromittiert wird. Kurz gesagt: Selbst die vertrauenswürdigsten Systemwerkzeuge können zu ernsten Sicherheitsrisiken werden, wenn sie ungepatcht bleiben.
Prognosen für die kommenden Monate
- KI-gesteuertes Phishing und Social Engineering werden sich weiter verstärken, da Angreifer Deepfakes und LLM-generierte Köder zunehmend verfeinern, um gezielt Führungskräfte und privilegierte Nutzer anzugreifen.
- Ransomware-as-a-Service (RaaS) wird sich weiter professionalisieren. Durch Automatisierung steigt das Angriffstempo, während die Verweildauer der Angreifer in kompromittierten Systemen sinkt.
- Die Zahl der lokalen Rechteausweitungs-Exploits (wie bei der Sudo-Schwachstelle) wird zunehmen, da Angreifer nach unauffälligen Wegen zur Privilegieneskalation in gehärteten Umgebungen suchen.
- ICS- und kalenderbasierte Schadensverteilung wird häufiger auftreten, da Bedrohungsakteure das Vertrauen in Produktivitätstools gezielt ausnutzen.
- Da Cyberversicherungen ihre Richtlinien verschärfen, werden immer mehr Unternehmen auf eigene Desaster-Recovery-Strategien setzen statt auf externe Absicherung.
Monatliche Empfehlungen
- Spielen Sie sofortige Patches für CVE-2025-32463 ein und überprüfen Sie Sudo-Versionen auf allen Linux- und Unix-Systemen.
- Verbessern Sie die E-Mail-Abwehr, indem Sie Anhänge im Format PDF, DOCX und ICS unter Verwendung eines Next-Gen-E-Mail-Sicherheitsanbieters filtern und in einer Sandbox überprüfen lassen, da diese weiterhin die am häufigsten genutzten Übertragungswege sind.
- Führen Sie Phishing-Simulationen durch, die realistische Köder enthalten, und bieten Sie Security Awareness Training an, um die Erkennungsfähigkeit der Nutzer zu stärken.
- Überprüfen und testen Sie Ihre Backup-Strategie. Vergewissern Sie sich, dass unveränderliche Backups aktiviert sind, und stellen Sie periodisch Daten daraus wieder her, um die Datenintegrität zu bestätigen.
- Bewerten Sie die Pläne zur Reaktion auf Ransomware neu. Nehmen Sie Playbooks für Datenexfiltration und Reputationsschäden auf, nicht nur für Verschlüsselungsszenarien.
- Implementieren Sie eine strikte Identitäts-Governance. Setzen Sie MFA (Multi-Faktor-Authentifizierung) überall durch, rotieren Sie Administrator-Anmeldeinformationen und minimieren Sie permanenten privilegierten Zugriff.
- Überwachen Sie legitime Cloud-Plattformen (z.B. Google Drive, SharePoint) auf Missbrauch innerhalb von Phishing- oder Datenzustellungsketten.
- Informieren Sie Ihre Führungsebene über sich entwickelnde KI-gesteuerte Risiken und stellen Sie sicher, dass Krisenkommunikationspläne der Geschäftsleitung Deepfake- oder Desinformationsszenarien berücksichtigen.
- Laden Sie den vollständigen Hornetsecurity 2025 Ransomware Impact Report herunter, um über sich entwickelnde Angriffstrends auf dem Laufenden zu bleiben und Ihre Verteidigungshaltung zu stärken.
Über Hornetsecurity
Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs in mehr als 120 Ländern aktiv. Seine Premium-Dienste werden von mehr als 125.000 Kunden genutzt.
