Partner Login

Monthly Threat Report Dezember 2025

Sicherheitslehren aus den Vorfällen im November

Author: Security Lab / 11.12.2025 /
Home » Blog » Monthly Threat Report Dezember 2025

Introduction

Der Monthly Threat Report von Hornetsecurity liefert monatliche Einblicke in M365-Sicherheitstrends, E-Mail-basierte Bedrohungen und Einordnungen aktueller Entwicklungen im Cybersecurity-Umfeld. Diese Ausgabe des Monthly Threat Report fokussiert sich auf Daten und Branchenereignisse aus November 2025.

Executive Summary

  • Angreifer missbrauchen zunehmend legitime Cloud- und SaaS-Infrastrukturen zur Auslieferung bösartiger Inhalte, was reputationsbasierte Abwehrmechanismen und gewohnte Vertrauensannahmen der Nutzer untergräbt.
  • Überabhängigkeit von einzelnen Anbietern erwies sich im November als zentrales Betriebsrisiko: Eine folgenschwere Störung bei Cloudflare führte ohne Kompromittierung der Sicherheit zu weitreichenden Ausfällen in der Lieferkette.
  • Langjährig ausgenutzte Schwachstellen bleiben ein reales Risiko, wie der späte Patch von Microsoft für CVE‑2025‑9491 nach einer langen Phase aktiver Ausnutzung zeigt.
  • Die wachsende Liste der „Known Exploited Vulnerabilities“ (KEV) der CISA unterstreicht, dass die Priorisierung nach tatsächlicher Ausnutzung wichtiger ist als reine Schweregradwerte.
  • Verzögerte Bereitstellungen von Patches sind weiterhin einer der konstantesten und vermeidbarsten Erfolgsfaktoren für Kompromittierungen.
  • Organisationen verbessern ihre Wiederanlauf‑Fähigkeiten, dennoch benötigen operative Resilienz und Drittanbieter‑Abhängigkeiten mehr Aufmerksamkeit.

Ein Blick auf den jährlichen Hornetsecurity Cybersecurity Report 2026

Der Hornetsecurity Cybersecurity Report 2026 bietet eine umfassende, datengetriebene Sicht darauf, wie sich das Bedrohungsbild im Jahr 2025 entwickelt hat und warum sich Unternehmen eher auf eine weitere Beschleunigung als auf Stabilisierung einstellen sollten. Basierend auf der Analyse von mehr als 72 Milliarden E‑Mails, die vom Security Lab von Hornetsecurity verarbeitet wurden, bestätigt der Bericht: Angreifer agieren schneller, automatisieren aggressiver und nutzen Vertrauen in großem Maßstab aus. E‑Mails mit Malware stiegen im Jahresvergleich um über 130 %, während Scams und Phishing knapp dahinter folgten — ein weiterer Beleg dafür, dass E‑Mail branchenübergreifend der verlässlichste und profitabelste Einstiegspunkt für Angreifer bleibt.

Eine der zentralen Erkenntnisse ist das Wiedererstarken von Ransomware: 24 % der Unternehmen meldeten 2025 einen Vorfall. Damit kehrt sich der Rückgang der letzten Jahre um. Unveränderliche Backups und verbesserte Wiederherstellungsplanung haben Zahlungen zwar reduziert, doch die Angreifer haben sich entsprechend angepasst: Ihr Fokus hat sich auf den Diebstahl von Anmeldedaten, die Kompromittierung von Endgeräten und Angriffe auf die Datenintegrität statt auf reine Verschlüsselung verlagert. Gleichzeitig vergrößert die schnelle, häufig unkontrollierte Einführung von KI‑Tools in Unternehmen die Angriffsfläche in einem Ausmaß, das viele Security‑Teams kaum steuern können. Von CISOs befragte Unternehmen nennen KI‑gestütztes Phishing, Deepfake‑Imitationen und Identitätsmissbrauch als ihre größten Sorgen für 2026.

Trotz dieser Trends vermittelt der Bericht vorsichtigen Optimismus: Unternehmen verbessern nachweislich ihre Wiederherstellungsfähigkeit. Dabei etablieren sich unveränderliche Backups, Notfallwiederherstellungspläne und phishing‑resistente MFA zunehmend als Grundvoraussetzung. Die zentrale Botschaft bleibt jedoch: Resilienz wird in Zukunft über erfolgreiche Sicherheitsstrategien entscheiden. Um die Daten, Erkenntnisse und Prognosen des Security Labs für das kommende Jahr vollständig zu erfassen, empfehlen wir Ihnen, den Cybersecurity Report 2026 zu lesen. Er enthält wichtige Hintergründe und praktische Leitlinien, um der sich wandelnden Microsoft 365‑Bedrohungslage bestens gewachsen zu sein.

Bedrohungsüberblick

Missbrauch legitimer Cloud‑Infrastruktur bei E‑Mail‑Angriffen

Eine im Cybersecurity Report 2026 hervorgehobene und weiterhin an Bedeutung gewinnende Angriffstechnik ist der Missbrauch legitimer Cloud‑ und Hosting‑Infrastrukturen zur Durchführung bösartiger E‑Mail‑Kampagnen. Statt offenkundig bösartige Server oder Wegwerf‑Domains zu verwenden, hosten Bedrohungsakteure Phishing‑Seiten, Payloads und Redirectoren zunehmend auf seriösen Plattformen wie Cloud‑Speicheranbietern, SaaS‑Diensten und bekannten Hosting‑Organisatoren. So können bösartige E‑Mails im legitimen Geschäftsverkehr untergehen. Das verbessert die Zustellbarkeit und verringert die Wirksamkeit von reputationsbasierten Filter. Für Endnutzer führen die Links zu „vertrauenswürdigen“ Domains und für Mail‑Gateways sind sie oft nicht von normalem, cloud‑generiertem Datenverkehr zu unterscheiden.

Was diese Technik besonders effektiv macht, ist ihre Beständigkeit. Legitime Infrastruktur lässt sich nur schwer blockieren, ohne Kollateralschäden zu verursachen und ihre Abschaltung erfolgt oft erst nach aktiven Kampagnen. In der Praxis bedeutet das: Organisationen können wiederkehrenden Phishing‑ oder Credential‑Harvesting‑Versuchen ausgesetzt sein, die auf Infrastrukturen gehostet werden, auf die sie sich selbst für ihre täglichen Geschäftsabläufe verlassen. Während Verteidiger sich gegen offensichtliche Anzeichen einer Kompromittierung wappnen, reagieren Angreifer darauf, indem sie sich das Vertrauen seriöser Infrastrukturen zunutze machen, statt völlig unerkannt zu bleiben. Die Schlussfolgerung ist klar: Verteidigung muss über statische Zulassungslisten hinausgehen und sich stärker auf Verhaltensanalysen, kontextbezogene Link-Prüfungen und die Sensibilisierung von Benutzern konzentrieren. Denn sobald Angreifer innerhalb der Grenzen vertrauenswürdiger Infrastrukturen operieren, wenden sich traditionelle Vertrauensannahmen gegen uns.

Größere Vorfälle und Branchenereignisse

Übermäßige Abhängigkeit von Anbietern: Lehren aus dem Ausfall von Cloudflare

Im November führte eine erhebliche Betriebsstörung bei Cloudflare zu weitreichenden Verfügbarkeitsproblemen im Internet. Betroffen waren Websites, APIs und SaaS‑Plattformen, die für DNS‑Auflösung, Bereitstellung von Inhalten und Perimeterschutz auf diesen Anbieter angewiesen sind. Erfreulicherweise war die Ursache kein Cyberangriff; die Auswirkungen waren dennoch unmittelbar und sichtbar. Für viele Organisationen hat sich Cloudflare von einer Leistungsoptimierungs- oder Sicherheitsschicht zu einer grundlegenden Abhängigkeit entwickelt. Demnach führten Störungen auf Anbieterseite direkt zu Ausfällen bei Kunden, selbst wenn die internen Systeme einwandfrei funktionierten.

Aufschlussreich an diesem Vorfall war, wie schnell ein Upstream‑Fehler sich über weitgehend unabhängige Organisationen ausbreitete. Die Abhängigkeit von einem einzelnen externen Dienst für mehrere kritische Funktionen wie Routing, Filterung, TLS‑Terminierung und Traffic‑Beschleunigung führt zu Kettenausfällen, die sich nur schwer und in Echtzeit kaum beheben lassen. Tatsächlich hat die „Bequemlichkeit“ dieser Architektur Vielfalt ersetzt. Diese Konsolidierung vereinfacht den Betrieb und verbessert unter Normalbedingungen die Leistung, reduziert aber zugleich die Fähigkeit einer Organisation, bei Anbieterproblemen reibungslos zu reagieren. Verfügbarkeit wird so zu einem gemeinsamen Risiko, statt zu einem lediglich intern verwalteten und kontrollierten Ergebnis.

Warum das wichtig ist

  • Ausfälle bei Drittanbietern können geschäftliche Auswirkungen haben, die denen von Sicherheitsvorfällen gleichkommen – selbst wenn keine Kompromittierung vorliegt
  • Konzentrationsrisiken steigen, wenn mehrere kritische Funktionen an einen einzelnen Anbieter delegiert werden.
  • Business‑Continuity‑Planung sollten Ausfälle von vorgelagerten Anbietern berücksichtigen, nicht nur interne Störungen.
  • Echte Resilienz erfordert Transparenz darüber, wo externe Abhängigkeiten zu Single Points of Failure geworden sind.

Microsoft patcht lang ausgenutzte Windows‑Shortcut‑Schwachstelle (CVE‑2025‑9491)

Im November veröffentlichte Microsoft einen Patch für CVE‑2025‑9491. Dabei handelt es sich um eine Sicherheitslücke, die die Verarbeitung von Windows‑Shortcut-Dateien (.LNK) ausnutzt, um Remote-Code auszuführen. Sicherheitsforscher stellten fest, dass die Schwachstelle über Jahre aktiv ausgenutzt wurde, mit Anzeichen für den Einsatz durch finanziell motivierte und staatlich ausgerichtete Akteure.

Die Schwachstelle ermöglichte es Angreifern, die Ausführung von Schadcode auszulösen, sobald Opfer mit speziell gestalteten Verknüpfungsdateien interagierten. Angreifer verbreiteten diese häufig über Wechseldatenträger, Phishing‑Anhänge oder komprimierte Archive. Obwohl in der Regel Nutzerinteraktion erforderlich war, erwies sich die Technik als so zuverlässig, dass sie lange Zeit Bestandteil von Angreifer‑Toolkits blieb.

Bemerkenswert an diesem Patch ist weniger die technische Komplexität des Fehlers, sondern die Langlebigkeit des Bugs. Trotz wiederholter Hinweise auf Missbrauch in der Praxis blieb die Schwachstelle über Jahre ausnutzbar und entwickelte sich zu einem verlässlichen Angriffsweg.

Warum das wichtig ist

  • Ältere Schwachstellen bleiben oft lange nach ihrer Entdeckung operativ nutzbar.
  • Die Ausführung über Verknüpfungen umgeht Nutzerskepsis häufig wirksamer als die Ausführung herkömmlicher ausführbarer Dateien.
  • Patch‑Latenz bleibt in vielen Windows‑Umgebungen ein systemisches Problem.

CISA erweitert die Liste bekannter ausgenutzter Schwachstellen („Known Exploited Vulnerabilities“)

Mitte November ergänzte die US‑Behörde für Cybersecurity und Infrastruktursicherheit (CISA) ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) um einen weiteren Eintrag und bestätigte damit die aktive Ausnutzung der betroffenen Software in realen Angriffen.

Eine Aufnahme in die KEV‑Liste hat operativ mehr Gewicht als eine übliche Schwachstellenmeldung: Sie signalisiert, dass die Ausnutzung nicht nur theoretisch oder als Proof‑of‑Concept existiert, sondern sie bereits ausgenutzt wird, oft in großem Umfang. Während Bundesbehörden gesetzlich dazu verpflichtet sind, KEV‑gelistete Schwachstellen innerhalb der vorgeschriebenen Fristen zu beheben, hinken viele private Organisationen der Nachverfolgung und Reaktion auf diese Updates hinterher.

Warum das wichtig ist

  • KEV‑Einträge markieren bestätigte, operative Angriffswege — keine hypothetischen Risikofälle.
  • Organisationen, die KEV‑Updates nicht verfolgen, riskieren Wochen oder Monate zu spät zu reagieren.
  • Programme zum Schwachstellenmanagement müssen den Ausnutzungsstatus höher priorisieren, nicht nur die CVSS‑Werte.

Prognosen für die kommenden Monate

  • Der Missbrauch vertrauenswürdiger Infrastruktur wird weiter an Fahrt gewinnen. Mit besseren Erkennungen klar bösartiger Domains und Infrastrukturen werden Angreifer vermehrt legitime Plattformen für Phishing‑ und Credential‑Harvesting‑Kampagnen nutzen.
  • Die verzögerte Installation von Patches wird auch weiterhin ein dominanter Risikofaktor bleiben. Die anhaltende Ausnutzung lang bekannter Schwachstellen, wie CVE‑2025‑9491, zeigt, dass Angreifer keine Zero‑Days brauchen, um erfolgreich zu sein.
  • Operative Resilienz rückt stärker in den Fokus. Öffentlichkeitswirksame Ausfälle wie die Störung bei Cloudflare werden mehr Organisationen dazu veranlassen, Drittanbieter‑Risiken neu zu bewerten – und zwar nicht nur unter Sicherheitsaspekten, sondern auch unter dem Gesichtspunkt der Verfügbarkeit.
Cybersecurity 2026 is out now!

Cybersecurity Report 2026

Die Beschleunigung globaler Bedrohungen durch KI

Jetzt herunterladen

Monatliche Empfehlungen

  • Überprüfen Sie die Abhängigkeiten und Konzentrationsrisiken bei kritischen Anbietern. Identifizieren Sie, wo einzelne Anbieter mehrere fundamentale Dienste (DNS, CDN, Sicherheit, Identität) bereitstellen, und beurteilen Sie, ob angemessene Ausfallsicherungs- und Notfallpläne vorhanden sind.
  • Verstärken Sie die Abwehrmaßnahmen gegen den Missbrauch vertrauenswürdiger Links. Gehen Sie dabei über statische Zulassungslisten und Domain‑Reputation hinaus. Implementieren Sie Verhaltensanalysen, Time‑of‑Click‑Überprüfungen und Benutzerschulungen, die sich speziell auf Phishing konzentrieren, bei denen legitime Infrastuktur ausgenutzt wird.
  • Richten Sie die Priorisierung von Patches an realen Exploits aus. Integrieren Sie die KEV-Liste der CISA in Ihre Workflows zum Schwachstellenmanagement, um aktiv missbrauchte Schwachstellen vorrangig zu schließen.
  • Verstärken Sie die Kontrollen zum Schutz von Identitäten. Priorisieren Sie Phishing‑resistente MFA, verschärfen Sie die OAuth‑Zustimmungsrichtlinien und überwachen Sie anomales Anmeldeverhalten, das auf Token‑Missbrauch oder Session‑Replay-Angriffe hindeutet.
  • Testen Sie nicht nur Ihre Prävention, sondern auch die Resilienz. Überprüfen Sie die Integrität von Backups, üben Sie Wiederherstellungsabläufe und stellen Sie sicher, dass Notfallpläne sowohl Sicherheitsvorfälle als auch vorgelagerte Dienstunterbrechungen berücksichtigen.

Über Hornetsecurity

Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs in mehr als 120 Ländern aktiv. Seine Premium-Dienste werden von mehr als 125.000 Kunden genutzt.  

Dies könnte Sie auch interessieren