Kompromittierte Zugangsdaten bleiben Hauptursache für Cyberangriffe

Sophos hat den "Sophos Active Adversary Report 2025 " veröffentlicht, der die Taktiken und Techniken von Cyberkriminellen auf Basis von über 400 Angriffen analysiert, die das MDR-Team (Managed Detection and Response) und die Incident-Response-Spezialisten im Jahr 2024 untersucht haben. Die Analyse zeigt, dass Angreifer in 56 Prozent der Fälle über externe Remote-Dienste Zugriff auf Netzwerke erhielten, indem sie gültige Anmeldeinformationen ausnutzten. Besonders betroffen waren Edge-Geräte wie Firewalls und VPNs.

Zum zweiten Mal in Folge sind kompromittierte Zugangsdaten die Hauptursache für Angriffe (41 Prozent), gefolgt von der Ausnutzung von Sicherheitslücken (22 Prozent) und Brute-Force-Angriffen (21 Prozent).

Angriffe werden schneller

Das Sophos X-Ops Team analysierte gezielt Ransomware-, Datenexfiltrations- und Datenerpressungsfälle, um die Geschwindigkeit von Cyberangriffen innerhalb eines Unternehmens zu messen. Im Durchschnitt dauerte es lediglich 73 Stunden vom Angriffsbeginn bis zur Datenexfiltration – also knapp drei Tage. Zwischen der Exfiltration und der Entdeckung vergingen im Schnitt nur 2,7 Stunden.

"Passive Sicherheit reicht nicht mehr aus", erklärt John Shier, Field CISO bei Sophos. "Vorbeugung ist wichtig, aber eine schnelle Reaktion ist entscheidend. Unternehmen müssen ihre Netzwerke aktiv überwachen und verdächtige Aktivitäten sofort untersuchen. Professionelle Cyberkriminelle agieren koordiniert – Unternehmen benötigen daher eine ebenso koordinierte Verteidigung, die geschäftsspezifisches Wissen mit Experten-geführter Erkennung und Reaktion kombiniert. Unser Bericht zeigt, dass Organisationen mit aktiver Überwachung Angriffe schneller erkennen und abwehren."

Weitere Ergebnisse des Sophos Active Adversary Reports 2025:

• Schnelle Systemübernahme: Cyberkriminelle benötigen im Durchschnitt nur elf Stunden, um in das Active Directory einzudringen – ein entscheidender Schritt zur Übernahme eines gesamten Netzwerks.
• Dominante Ransomware-Gruppen: Akira war 2024 die häufigste Ransomware-Gruppe, gefolgt von Fog und LockBit. Trotz der Zerschlagung von LockBit durch Strafverfolgungsbehörden Anfang des Jahres blieb diese Gruppe aktiv.
• MDR reduziert Verweildauer von Angreifern: 2024 sank die durchschnittliche Verweildauer von Cyberkriminellen von vier auf zwei Tage, vor allem durch den Einsatz von MDR-Diensten. Während die Verweildauer in IR-Fällen stabil blieb (vier Tage bei Ransomware-Angriffen, 11,5 Tage bei anderen Angriffen), betrug sie in MDR-Fällen nur drei bzw. einen Tag.
• Angriffe außerhalb der Arbeitszeiten: 84 Prozent der Ransomware-Angriffe erfolgten außerhalb der regulären Arbeitszeiten der betroffenen Unternehmen.
• Missbrauch des Remote Desktop Protokolls (RDP): In 84 Prozent der untersuchten MDR- und IR-Fälle wurde RDP kompromittiert und war damit das am häufigsten missbrauchte Microsoft-Tool.