Sophos warnt im neuen Report: Veraltete Netzwerkgeräte machen KMUs besonders angreifbar

Ransomware bleibt auch 2025 die größte Cyberbedrohung für kleine und mittelständische Unternehmen (KMUs). Das geht aus dem heute veröffentlichten „Sophos Annual Threat Report: Cybercrime on Main Street 2025 “ hervor. Die Security-Analysten von Sophos werteten hierfür umfangreiche Daten aus globalen Incident-Response-Fällen, Managed Detection and Response (MDR) Services sowie Telemetriedaten aus dem Jahr 2024 aus.

Ein zentrales Ergebnis des Reports: Veraltete oder falsch konfigurierte Netzwerk-Edge-Geräte stellen das größte Einfallstor für Cyberkriminelle dar. Rund ein Viertel der untersuchten Erstkompromittierungen erfolgte über solche Geräte – etwa Firewalls, VPNs oder andere Remote-Zugangsgeräte. Die tatsächliche Zahl liegt vermutlich deutlich höher.

„Angreifer fokussieren sich zunehmend auf Edge-Geräte, die sich am Rand der Netzwerkinfrastruktur befinden. Besonders problematisch ist dabei der wachsende Bestand an Geräten, die sich am Ende ihres Lebenszyklus befinden und keine Updates mehr erhalten“, erklärt Sean Gallagher, Principal Threat Researcher bei Sophos . „Diese Systeme wirken wie digitaler Detritus – also technischer Müll, der die IT-Landschaft unübersichtlich und anfällig macht.“

Ransomware auf dem Vormarsch – besonders beim Mittelstand

Im Jahr 2024 machten Ransomware-Angriffe 90 Prozent aller Sophos Incident-Response-Fälle bei mittelständischen Unternehmen aus. Bei kleineren Unternehmen lag der Anteil bei etwa 70 Prozent. Die fünf häufigsten Einstiegspunkte für Angriffe verlagerten sich weiter an die Netzwerkgrenzen:

• VPN-Exploits (19 %)
• Gestohlene Zugangsdaten (10,4 %)
• Remote Access Tools wie RDP/RDWeb (8 %)
• Phishing (6,7 %)
• Weitere Netzwerkgeräte (3 %)

Weitere zentrale Erkenntnisse des Threat Reports:

• Multifaktor-Authentifizierung (MFA) zunehmend ausgehebelt: Angreifer umgehen MFA durch den Diebstahl von Authentifizierungs-Token mittels Phishing-Techniken.
• Top-Ransomware-Gruppen 2024: Akira (15,3 %), LockBit (13,6 %) und Fog (10,9 %).
• Legitime Tools als Angriffsvehikel: Besonders häufig missbraucht wurden PSExec (18,3 %) und AnyDesk (17,4 %). Insgesamt kamen kommerzielle Remote Access Tools in 34 Prozent der Fälle zum Einsatz.
• Neue Social-Engineering-Tricks: Kriminelle setzen verstärkt auf Quishing (Phishing mit QR-Codes), Vishing (Telefonbetrug) und E-Mail-Bombing, bei dem Tausende Spam-E-Mails in kurzer Zeit versendet werden.
• Missbrauch von SaaS-Diensten: Plattformen, die ursprünglich für Remote-Arbeit gedacht waren, werden verstärkt für initiale Kompromittierungen und Malware-Verbreitung genutzt.
• Business E-Mail Compromise (BEC): Kompromittierte Geschäftskonten spielen eine wachsende Rolle bei gezielten Angriffen und der Verbreitung von Schadsoftware.

Handlungsempfehlung

KMUs sollten ihre Sicherheitsarchitektur dringend überprüfen und insbesondere Netzwerkgeräte mit veraltetem Supportstatus austauschen oder absichern. Cyberresilienz beginnt an den Netzwerkgrenzen – und endet bei der kontinuierlichen Schulung von Mitarbeitenden sowie einer aktiven Sicherheitsüberwachung.