Google Threat Report

Google Threat Report zeigt Wandel bei Zero-Day-Angriffen

, Google | Autor: Herbert Wieler

Google Threat Report zeigt Wandel bei Zero-Day-Angriffen

Zero-Day-Schwachstellen: Warum Unternehmen zunehmend im Fokus stehen

Die Google Threat Intelligence Group hat ihren aktuellen Zero-Day-Bericht veröffentlicht – und der zeigt deutlich, wie sich die Bedrohungslandschaft weiter verändert. Im Jahr 2025 wurden insgesamt 90 Zero-Day-Schwachstellen entdeckt, die aktiv ausgenutzt wurden. Damit liegt die Zahl zwar unter dem Rekordwert von 100 aus dem Jahr 2023, aber immer noch deutlich über dem Niveau von 2024 mit 78 Fällen. Insgesamt scheint sich die jährliche Zahl solcher Schwachstellen inzwischen in einem Bereich zwischen 60 und 100 einzupendeln.

Ein Blick auf reale Sicherheitsvorfälle zeigt außerdem: Die Ausnutzung von Software-Schwachstellen ist mittlerweile der wichtigste Einstiegspunkt für Angreifer. Laut Incident-Response-Daten von Mandiant geschieht der Erstzugriff häufiger über ungepatchte Lücken als über gestohlene Zugangsdaten oder klassische Phishing-Angriffe. Gleichzeitig zeichnet sich seit 2024 eine klare Entwicklung ab: Unternehmen stehen zunehmend im Fokus der Angreifer.

Unternehmen als Hauptziel

Fast die Hälfte aller Zero-Day-Angriffe im Jahr 2025 – genauer gesagt 48 Prozent – richtete sich gegen Unternehmenssoftware und -infrastruktur. Das ist ein neuer Höchststand. Besonders attraktiv für Angreifer sind Sicherheits- und Netzwerktools, vor allem sogenannte Edge-Geräte. Diese Systeme bilden häufig eine kritische Schnittstelle zwischen internen Netzwerken und dem Internet, verfügen jedoch oft nicht über moderne Endpoint Detection and Response (EDR)-Mechanismen.

Hinzu kommt ein strukturelles Problem: In vielen Unternehmen wächst die Zahl an Anwendungen, Geräten und Softwareplattformen kontinuierlich. Dadurch vergrößert sich auch die potenzielle Angriffsfläche. Für Angreifer reicht dann schon eine einzige übersehene Schwachstelle, um Zugang zu einem System zu erhalten.

Verschiebungen in der Cyber-Spionage

Auch bei der Zuordnung von Zero-Day-Exploits zeigt sich ein bemerkenswerter Wandel. Erstmals seit Beginn der Auswertung wurden mehr Schwachstellen kommerziellen Überwachungsanbietern (Commercial Surveillance Vendors, CSVs) zugeschrieben als staatlich unterstützten Spionagegruppen.

Im Jahr 2025 entfielen 35 Prozent der beobachteten Zero-Day-Aktivitäten auf solche kommerziellen Anbieter – gegenüber 28 Prozent bei klassischen staatlichen Cyber-Spionageakteuren. Das deutet darauf hin, dass Zero-Day-Exploits zunehmend als „Dienstleistung“ verfügbar sind und damit für eine größere Zahl von Akteuren zugänglich werden. Dennoch spielen staatlich unterstützte Gruppen weiterhin eine wichtige Rolle. Besonders Cyber-Spionageakteure mit Verbindungen zur Volksrepublik China sind laut Bericht sehr aktiv. Gruppen wie UNC5221 oder UNC3886 konzentrieren sich vor allem auf Sicherheitslösungen und Edge-Geräte, um langfristigen Zugriff auf strategisch wichtige Ziele zu behalten.

Auch Cyberkriminelle setzen wieder auf Zero-Days

Neben Spionageakteuren greifen auch finanziell motivierte Gruppen verstärkt auf Zero-Day-Schwachstellen zurück. Im Jahr 2025 wurden ihnen neun entsprechende Exploits zugeschrieben – darunter zwei Angriffe, die schließlich zum Einsatz von Ransomware führten. Damit nähert sich die Aktivität wieder dem Rekordniveau von 2023 mit zehn Fällen an und liegt deutlich über dem Vorjahr, in dem lediglich fünf solche Angriffe beobachtet wurden.

Quellcode als Ziel

Ein besonders interessantes Muster zeigte sich im Herbst 2025 bei Angriffen mit der Malware BRICKSTORM , die ebenfalls mit chinesischen Spionageakteuren in Verbindung gebracht wird. Hier ging es offenbar nicht nur um den Diebstahl sensibler Daten, sondern gezielt um geistiges Eigentum – etwa Quellcode oder interne Entwicklungsdokumentationen. Der Hintergrund: Mit diesen Informationen lassen sich künftig gezielt neue Sicherheitslücken identifizieren und ausnutzen. Das macht solche Angriffe besonders brisant. Denn wenn Angreifer Schwachstellen direkt in der Software eines Anbieters entdecken, betrifft das nicht nur das eigentliche Zielunternehmen, sondern potenziell auch dessen Kunden.

Ein weiterer Faktor, der die Bedrohungslage künftig prägen dürfte, ist der Einsatz von Künstlicher Intelligenz. Angreifer können KI nutzen, um ihre Aktivitäten schneller und effizienter zu gestalten – etwa bei der automatisierten Analyse von Systemen, der Suche nach Schwachstellen oder der Entwicklung von Exploits. Das erhöht den Druck auf Verteidiger, Angriffe früher zu erkennen und schneller zu reagieren. Gleichzeitig bietet KI auch neue Möglichkeiten für die Cyberabwehr. Agentenbasierte Sicherheitslösungen können beispielsweise aktiv nach bislang unbekannten Schwachstellen suchen und Unternehmen dabei helfen, diese zu schließen, bevor Angreifer sie ausnutzen.

Fazit

Der aktuelle Zero-Day-Bericht zeigt deutlich: Unternehmen stehen stärker denn je im Fokus von Angreifern. Gleichzeitig verändert sich die Struktur der Bedrohungsakteure – von staatlichen Gruppen über kommerzielle Überwachungsanbieter bis hin zu klassischen Cyberkriminellen. Für Organisationen bedeutet das vor allem eines: Schwachstellenmanagement, schnelle Patch-Prozesse und eine umfassende Sicht auf die eigene Angriffsfläche werden immer wichtiger.