Bedrohungsbericht

Forescout Bedrohungsbericht 2025H1 zeigt neue Angriffswege der Angreifer

, Forescout Technologies | Autor: Herbert Wieler

Forescout Bedrohungsbericht 2025H1 zeigt neue Angriffswege der Angreifer

Mehr Zero-Day-Angriffe, staatlich unterstützter Hacktivismus und zunehmende Risiken für das Gesundheitswesen

Forescout Technologies, ein weltweit führender Anbieter von Cybersicherheitslösungen, hat seinen neuen Bedrohungsbericht für die erste Jahreshälfte 2025 veröffentlicht. Die Untersuchung stützt sich auf Daten zu über 23.000 Schwachstellen und 885 identifizierten Bedrohungsakteuren in 159 Ländern.

Ransomware trifft täglich 20 Ziele – Angreifer nutzen neue Wege, um sich seitlich durchs Netzwerk zu bewegen:

  • Täglich rund 20 Ransomware-Angriffe – ein Anstieg um 36 % gegenüber dem Vorjahr.
  • Zero-Day-Exploits nahmen um fast die Hälfte (+46 %) zu.
  • Immer häufiger werden ungewöhnliche Geräte wie Edge-Systeme, IP-Kameras und BSD-Server als Einstieg genutzt, um sich unbemerkt über IT-, OT- und IoT-Umgebungen hinweg weiter ins Netzwerk vorzuarbeiten.

Diese „blinden Flecken“ sind besonders gefährlich, weil sie oft nicht durch klassische Sicherheitstools überwacht werden. „Wir sehen vermehrt, dass Angreifer über unterschätzte IoT-Geräte oder über Schadsoftware wie Infostealer ins Netzwerk gelangen und sich dann seitlich durch unterschiedliche Systeme bewegen“, sagt Sai Molige, Senior Manager Threat Hunting bei Forescout. „Unser jüngster Fund – die ValleyRAT-Kampagne des chinesischen Akteurs Silver Fox, die gezielt Gesundheitssysteme attackierte – zeigt, wie gezielt solche Schwachstellen ausgenutzt werden. Genau deshalb haben wir die Forescout 4D Platform™ entwickelt: um versteckte Einstiegspunkte zu finden, Risiken kontinuierlich zu bewerten und Angriffe zu stoppen, bevor kritische Systeme erreicht werden.“

Forescout-CEO Barry Mainz ergänzt: „Cyberangriffe sind nicht nur ein technisches Problem – sie können Leben gefährden. Krankenhäuser, medizinische Geräte und kritische Infrastrukturen geraten immer häufiger ins Visier, sei es durch Zero-Day-Exploits, unkonventionelle Angriffswege oder staatlich unterstützten Hacktivismus. Alte Sicherheitslösungen reichen nicht mehr aus – moderne Abwehr muss kontinuierlich, proaktiv und unabhängig vom Gerätetyp funktionieren. Genau das leisten wir – egal ob IT, OT, IoT oder IoMT.“

Zentrale Ergebnisse aus dem Bericht

1. Angriffe auf vergessene Schwachstellen und Geräte

  • 47 % der neu ausgenutzten Lücken stammen aus der Zeit vor 2025.
  • Die Gesamtzahl veröffentlichter Schwachstellen stieg um 15 % – fast die Hälfte davon hochkritisch.
  • Zero-Day-Exploits legten um 46 % zu, kritische Lücken (CISA KEV) um 80 %.
  • OT-Protokoll Modbus machte 57 % des in Forescout-Honeypots gemessenen Verkehrs aus.
  • Ransomware-Gruppen setzen verstärkt auf Geräte ohne klassische Endpoint-Schutzsoftware – ideal für verdeckte Bewegungen im Netzwerk.

2. Ransomware auf Rekordniveau

  • 3.649 dokumentierte Angriffe in nur sechs Monaten.
  • Spitzenreiter der betroffenen Länder: USA (53 % aller Vorfälle)
  • Am stärksten betroffen: Dienstleistungssektor, Fertigung, Technologie, Einzelhandel und Gesundheitswesen.

3. Gesundheitswesen besonders im Visier

  • Durchschnittlich zwei größere Sicherheitsvorfälle pro Tag.
  • Fast 30 Millionen betroffene Personen allein in H1 2025.
  • In 76 % der Fälle waren Hacking oder IT-bezogene Ursachen verantwortlich.
  • Gefährlich: Forescout entdeckte manipulierte medizinische Bildgebungssoftware, die Schadcode direkt auf Patientensysteme brachte.

4. Hacktivismus und staatliche Einflussnahme verschmelzen

  • 40 % der beobachteten Gruppen sind staatlich unterstützt, 9 % Hacktivisten.
  • Besonders aktiv: mit dem Iran verbundene Gruppen wie GhostSec, Arabian Ghosts und APT IRAN, die gezielt OT- und ICS-Systeme angreifen.
  • Diese Kampagnen sind längst keine symbolischen Aktionen mehr – sie zielen auf echte Störungen ab.

Empfehlungen für bessere Cyber-Resilienz

  • Agentenlose Erkennung aller verbundenen Geräte – IT, OT, IoT und medizinische Systeme.
  • Regelmäßige Schwachstellen-Scans, Patches, Deaktivierung ungenutzter Dienste, starke Passwörter und MFA.
  • Netzwerksegmentierung, um die Ausbreitung von Angriffen einzudämmen
  • Datenverschlüsselung im Ruhezustand und bei der Übertragung – besonders für sensible Gesundheits- und Finanzdaten.
  • Integrierte Bedrohungserkennung, die Daten aus EDR-, IDS- und Firewall-Systemen kombiniert und Nutzer- wie Systemaktivitäten lückenlos protokolliert.