Monthly Threat Report Juli 2025

Spionage, Sicherheitslücken und KI-Sorgen bei CISOs 

Author: Security Lab / 17.07.2025 /
Home » Blog » Monthly Threat Report Juli 2025

Einleitung

Der Monthly Threat Report von Hornetsecurity liefert Ihnen monatliche Einblicke in Sicherheitstrends rund um Microsoft 365, E-Mail-basierte Bedrohungen sowie Kommentare zu aktuellen Entwicklungen im Bereich der Cybersicherheit. Diese Ausgabe des Berichts befasst sich mit den wichtigsten Branchenereignissen des Monats Juni 2025 und enthält zudem Prognosen und Empfehlungen für die kommenden Monate. 

Bitte beachten Sie, dass sich der Bericht in diesem Monat in erster Linie auf Branchenereignisse und Sicherheitsvorfälle konzentriert und um ausgewählte Zusatzinhalte ergänzt wurde. Da der Juli den Beginn eines neuen Geschäftsjahresquartals markiert, würden wir normalerweise ergänzend zu den üblichen Berichtsinhalten auch einige Datenanalysen präsentieren. Unser quartalsweiser Datenvergleich erscheint jedoch nächsten Monat – in einem neuen, verbesserten Format und mit umfassenderen Datensätzen. 

Zusammenfassung

  • Neue CISO-Umfrage von Hornetsecurity zeigt wachsende Besorgnis über Shadow-AI (zu Deutsch: Schatten KI), mangelndes Nutzerbewusstsein und fragmentierte Governance – vor dem Hintergrund zunehmender KI-Nutzung. 
  • Citrix Bleed 2 (CVE‑2025‑5777): Kritische Schwachstelle zur Session-Übernahme wird aktiv ausgenutzt; CISA ordnet 24-Stunden-Patchpflicht an. 
  • Salt Typhoon APT: Staatlich unterstützte chinesische Angriffe treffen Viasat und mehrere nordamerikanische Telekommunikationsunternehmen. 
  • Snowflake-Daten kehren zurück: Alte Ticketmaster-Daten aus 2024 tauchen erneut auf; die Folgen der Sicherheitslücke wirken weiter nach. 
  • Zoomcar-API-Leck: Undichter Endpunkt legt Daten von 8,4 Mio. Nutzern offen – ein attraktives Ziel für Phishing- und Betrugskampagnen. 
  • Myth Stealer Malware: In Rust geschriebener Browser- und Krypto-Stealer zeigt einen neuen Trend hin zu leichtgewichtiger Schadsoftware. 

CISO-Perspektiven auf KI in der Cybersicherheit 

Diesen Monat veröffentlichte Hornetsecurity einen neuen Forschungsblog, basierend auf offenen Interviews und Umfragen mit CISOs aus Europa und Nordamerika. Statt auf KI-Hype oder Produktversprechen zusetzen, haben wir direkt bei den Verantwortlichen nachgefragt, wie Sicherheitsentscheider in der Praxis mit dem zunehmenden Einsatz von KI umgehen. 

Das Ergebnis? Durchwachsen – aber aufschlussreich. 

Einige Unternehmen beginnen bereits damit, KI in ihre Sicherheitsprozesse zu integrieren – etwa bei der Klassifizierung von Fehlalarmen, zur Effizienzsteigerung im SOC oder zur Anreicherung von Tickets. Dennoch verfolgen die meisten CISOs einen vorsichtigen und zurückhaltenden Ansatz. Die Governance ist sehr unterschiedlich: Während manche Organisationen interne Richtlinien und sogar selbst gehostete LLMs einsetzen, befinden sich andere aus Datenschutz- und Compliance-Gründen weiterhin im „Lockdown“-Modus. 

Ein roter Faden zieht sich durch alle Gespräche: Die Sorge über Shadow AI und das Risiko von Datenlecks durch nicht autorisierte Tools. In vielen Umgebungen ist das Bewusstsein der Endnutzer für diese Gefahren noch gering – und selbst auf Führungsebene ist das Verständnis für KI-Risiken oft lückenhaft. Wie ein CISO es formulierte: „Das Management sieht die Produktivitätsvorteile von KI, erkennt aber nicht unbedingt die damit verbundenen Risiken.“ 

Mit Blick auf die kommenden Monate nannten die befragten CISOs insbesondere synthetischen Identitätsbetrug, Voice Cloning und Model Poisoning als zentrale Bedrohungen für 2025 – insbesondere für Organisationen, die eigene Modelle verwalten oder Software intern entwickeln. 

Wer einen praxisnahen, realistischen Blick darauf werfen möchte, wie CISOs mit KI umgehen – inklusive Risiken und Stolpersteinen – findet den vollständigen Beitrag hier: 

Lesen Sie hier den ganzen Artikel! 

Threat Übersicht 

Aktive Ausnutzung von Citrix Bleed 2 (CVE‑2025‑5777)

Mitte Juni wurde eine gravierende Sicherheitslücke in Citrix NetScaler ADC- und Gateway-Geräten entdeckt: ein fehlerhafter „Out-of-Bounds“-Speicherzugriff, bekannt als „Citrix Bleed 2“. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, Sitzungstoken zu stehlen und aktive Benutzerverbindungen zu kapern. Obwohl Citrix am 17. Juni einen Patch veröffentlichte, kursierten bereits kurz darauf erste Scans und Proof-of-Concept-Exploits. 

Bis Juli hatte die US-Behörde CISA die Bedrohungslage verschärft und forderte Bundesbehörden auf, die Lücke innerhalb von 24 Stunden zu schließen – ein bislang beispielloser Zeitrahmen. Forscher von Imperva zählten über 11,5 Millionen Angriffsversuche auf tausende exponierte Systeme – ein deutliches Zeichen dafür, wie leicht sich die Schwachstelle ausnutzen lässt. 

Warum das wichtig ist 

  • Es ist keine Authentifizierung nötig, um Sitzungstoken zu extrahieren – ein effektiver MFA-Bypass. 
  • Tausende verwundbare Geräte sind öffentlich zugänglich; Ende Juni waren über 1.200 davon noch ungepatcht
  • Rasche Verbreitung von PoCs und Exploit-Taktiken in einschlägigen Kreisen machen diese Schwachstelle weiterhin zu einem erstklassigen Risiko. 

Salt Typhoon: Chinesische APT-Gruppe nimmt Viasat und kanadische Telekommunikation ins Visier

Mitte Juni berichtete BleepingComputer, dass die mit China assoziierte APT-Gruppe Salt Typhoon in das Netzwerk des Satellitenanbieters Viasat eingedrungen ist – unter Ausnutzung von Schwachstellen in Cisco-Systemen. Unabhängig davon bestätigten kanadische Telekommunikationsbehörden Einbrüche, die bis Februar zurückreichen, was auf eine breit angelegte Spionagekampagne hinweist. 

Dies ist kein harmloser Zwischenfall: Salt Typhoon gilt als hochentwickelte Einheit, spezialisiert auf Telekommunikationsinfrastruktur, Abhörplattformen und sensible Metadaten. Besorgniserregend ist, dass die Branche offenbar noch immer nicht das volle Ausmaß der Kompromittierung kennt. 

Warum das wichtig ist 

  • Angriffe auf zentrale Infrastrukturen wie Viasat oder Telekommunikationsanbieter gefährden nationale Kommunikationssysteme und Überwachungsdaten massiv. 
  • Die anhaltende Kampagne in Nordamerika deutet auf langfristige Spionageabsichten und systematische Datenerfassung hin. 
  • Der Umgang mit diesen Vorfällen schärft die Abwehrmaßnahmen gegen staatlich gesteuerte Angriffe und dürfte politische Reaktionen und Anpassungen der Sicherheitsstrategien nach sich ziehen. 

Snowflake-APT-Verstoß taucht erneut auf –  und damit auch gestohlene Ticketmaster-Daten.

Eine mit dem Snowflake-Datenleck von 2024 in Verbindung stehende Erpressergruppe sorgte im Juni erneut für Aufsehen, als sie gestohlene Ticketmaster-Daten (~569 GB) wieder kurzzeitig zum Verkauf anbot. Zwar löste dies zunächst Panik über ein mögliches neues Leck aus, doch BleepingComputer bestätigte, dass es sich nicht um einen neuen Vorfall handelte, sondern um Restdaten aus dem Jahr 2024. 

Dennoch wirft das Wiederauftauchen veralteter Snowflake-Daten ein Schlaglicht auf mehrere besorgniserregende Entwicklungen in Unternehmen: die Wiederverwendung von Zugangsdaten, anhaltendes Interesse in Untergrundforen und die langanhaltenden Folgen von Datenlecks bei Cloud-Anbietern. Dieses cloudseitige Datenleck hallt über ein Jahr später noch nach. Organisationen sollten sich dringend in Erinnerung rufen, dass Fehlkonfigurationen bei Snowflake und mangelhafte Token-Hygiene ihre Infrastruktur langfristig gefährden können. 

Zoomcar-API-Datenleck – 8,4 Millionen Nutzerdaten offengelegt

Am 16. Juni wurde bekannt, dass Zoomcar, eine führende indische Carsharing-Plattform, eine ungepatchte API-Schwachstelle aufwies, durch die 8,4 Millionen Nutzerdatensätze offengelegt wurden – darunter Namen, E-Mail-Adressen, Fahrzeugkennzeichen und Nutzerprofile. Zwar wurden weder Ransomware noch Erpressungsversuche festgestellt, doch das veröffentlichte Datenset stellt eine wahre Fundgrube für Identitätsdiebstahl, gezielte Phishing-Kampagnen und fahrzeugbezogene Betrugsmaschen dar. 

Auch wenn sie nicht so medienwirksam sind wie Ransomware, ist klar: APIs bieten Bedrohungsakteuren einen Angriffsweg, den viele Organisationen bislang nicht auf dem Radar haben. Die zunehmende Bedrohung durch ungesicherte APIs in SaaS-Ökosystemen – insbesondere bei grenzüberschreitenden Anwendungen – sollte CISOs und Branchenverantwortliche ernsthaft beunruhigen. Die Daten sind weiterhin aktiv, Nutzerendpunkte bleiben exponiert und die regulatorische Kontrolle kann zunehmend strenger werden. 

Mobile Rust-Malware („Myth Stealer“)

Anfang Juni tauchte ein neuer Informationsdieb namens Myth Stealer auf, der in Rust programmiert ist und sich über gefälschte Gaming-Portale verbreitet. Ziel der Malware ist das Auslesen von Browser-Zugangsdaten (Chrome, Firefox) sowie Krypto-Wallets – ein deutliches Zeichen für die nächste Evolutionsstufe moderner Schadsoftware. 

Die Speichersicherheit von Rust sowie die einfache plattformübergreifende Kompilierung machen die Sprache zunehmend attraktiv für Malware-Autoren, die auf Geschwindigkeit und Tarnung setzen. Myth Stealer ist ein Paradebeispiel für Schadsoftware mit minimalem, effizienten Footprint, der von herkömmlichen Endpoint-Schutzlösungen nur schwer erkannt wird. Der Trend hin zu leichtgewichtigen, plattformübergreifenden Stealer-Kampagnen, die sowohl Browser- als auch Wallet-Daten ins Visier nehmen, setzt sich fort – und die Branche muss sich weiterhin flexibel auf diese Bedrohungen einstellen. 

Prognosen für die kommenden Monate 

  • Weitere Pre-Auth-Exploits im Stil von Citrix, die auf Hypervisoren und Netzwerkgeräte abzielen, werden voraussichtlich auftauchen – und Patch-Deadlines von „dringend“ zu „überlebenswichtig“ verschieben. 
  • Cloud-Datenreste werden weiterhin ans Licht kommen – man kann damit rechnen, dass veraltete, aber sensible Daten aus Snowflake, AWS, Azure, GCP usw. auf dunklen Auktionsplattformen auftauchen werden. 
  • API-Fehlkonfigurationen werden ein hartnäckiges SaaS-Problem bleiben; es ist zu erwarten, dass Regulierungsbehörden solche Vorfälle zunehmend als mehr als nur operative Störungen einstufen. 
  • Shadow AI wird der offiziellen Governance davonlaufen, sofern Unternehmen nicht zügig Richtlinien und interne Tools zur KI-Nutzung definieren. Weitere Leaks sensibler Daten über nicht genehmigte KI-Dienste sind zu erwarten. 
  • Die KI-Einführung unter der Leitung von CISOs wird weiterhin vorsichtig erfolgen – mit laufenden Experimenten in Bereichen wie Triage, Anreicherung und Ticket-Automatisierung. Vollständige Automatisierung wird jedoch durch Compliance-Hürden und mangelndes Vertrauen ausgebremst. 
  • Identitätsbetrug mit synthetischen Profilen und Deepfake-basierte Täuschungsangriffe werden zunehmen – besonders im Finanz- und Compliance-Umfeld. 
  • Das Risiko von internem Model Poisoning steigt, da immer mehr Unternehmen LLMs für proprietäre Workflows selbst hosten, insbesondere in Entwicklungsumgebungen und datenintensiven Branchen. 

Monatliche Empfehlungen 

  • Kritische Netzwerkgeräte sofort patchen: Priorisieren Sie Citrix-, Cisco- und andere Perimeter-Komponenten mit aggressiven Patch-Zyklen und WAF-Signaturen. 
  • Telekommunikationsinfrastruktur härten: Setzen Sie EDR/XDR auf Routern ein, erzwingen Sie Zero Trust und führen Sie Threat Hunts gegen staatlich unterstützte Erpressergruppen wie Salt Typhoon durch. 
  • Cloud-Konfiguration überprüfen: Prüfen Sie die Hygiene von Snowflake-, API- und Microservice-Einstellungen, rotieren Sie Tokens/Schlüssel und aktivieren Sie Logging und Alarmierung beim Speicherzugriff. 
  • Malware-Risiken im Browser erfassen: Setzen Sie Credential Vaults ein, erzwingen Sie MFA und aktualisieren Sie Endpoint-Schutzlösungen, um Rust-basierte Stealer wie Myth zu erkennen. 
  • API-Sicherheitstests automatisieren: Integrieren Sie API-Scanning in Ihre CI-Pipelines und verwenden Sie WAFs zur Echtzeiterkennung von Anomalien im internen API-Verkehr. 
  • In Bedrohungsdatenfeeds investieren: Abonnieren Sie Telemetriequellen, die PoCs und Angreiferkommunikation (z. B. Citrix-Exploits, APT-Chatter) aufdecken, um zeitnah auf Bedrohungen reagieren zu können. 
  • Interne KI-Nutzungsrichtlinie erstellen oder aktualisieren: Definieren Sie freigegebene Tools, Standards zur Datenverarbeitung und Genehmigungsprozesse für KI-Experimente in den Fachabteilungen. 
  • Schulungen für Endnutzer starten: mit Schwerpunkt auf KI-Risiken wie Modell-Halluzinationen, Umgang mit sensiblen Daten und Phishing durch KI-generierte Inhalte. 
  • Arbeiten Sie mit Rechts- und Compliance-Teams zusammen, um Richtlinien zur akzeptablen Nutzung und Prüfprozesse für Drittanbieter-KI-Tools festzulegen. 

Über Hornetsecurity

Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs in mehr als 120 Ländern aktiv. Seine Premium-Dienste werden von mehr als 125.000 Kunden genutzt.  

Dies könnte Sie auch interessieren