Cyberangriffe 2025: Die Ära der schadsoftwarefreien Angriffe ist da

Die IT-Sicherheitslandschaft hat sich 2025 entscheidend verlagert: Weg von klassischer Schadsoftware, hin zu raffinierter, „malwarefreier“ Angriffstechnik. Eine Serie schwerwiegender Vorfälle in den letzten Tagen des Jahres unterstreicht, dass traditionelle Virenscanner nicht mehr ausreichen – und Regulierungsbehörden reagieren mit harten Strafen.

MongoBleed: Die Schwachstelle als Einfallstor

Die letzte Woche des Jahres wurde von der kritischen „MongoBleed“-Schwachstelle in MongoDB-Datenbanken geprägt. Sicherheitsforscher entdeckten das Hochrisiko-Leck, das Angreifern erlaubt, ohne Authentifizierung direkt auf den Speicher zuzugreifen und sensible Daten abzuschöpfen. Schätzungen zufolge waren rund 87.000 Server zum Zeitpunkt der Bekanntgabe ungeschützt.

Dieser Vorfall verkörpert den neuen Trend perfekt: Die Angreifer benötigten keinen Virus, um eine Firewall zu überwinden. Sie nutzten einfach einen Fehler in legitimer Software aus. Diese „Living off the Land“-Taktik macht die Erkennung für herkömmliche Schutzsysteme extrem schwierig, da sie nach bekannten Schadcode-Signaturen suchen. MongoBleed ist eine deutliche Erinnerung: Patch-Management und Konfigurationskontrolle sind genauso wichtig wie die aktive Jagd auf Bedrohungen.

Unternehmen unterschätzen malwarefreie Angriffe – viele erfolgreiche Einbrüche erfolgen heute über legitime Zugänge, ungepatchte Dienste oder kompromittierte Drittanbieter. Das kostenlose E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Techniken und regulatorische Risiken (DSGVO, NIS2) kompakt zusammen und liefert sofort umsetzbare Maßnahmen: Identitätsmanagement, Phishing‑Prävention, Schwachstellen‑Workflows und praxisnahe Checklisten für CIOs und IT‑Teams. So stärken Sie Ihre Abwehr ohne teure Neueinstellungen. Jetzt kostenloses Cyber‑Security‑E‑Book herunterladen

Identität als Schwachstelle: 2FA-Bypass und Lieferkettenangriff

Während Software-Schwachstellen ein Einfallstor bieten, sind kompromittierte Identitäten ein weiterer, immer häufiger genutzter Weg. Am 29. Dezember warnte der Sicherheitsanbieter Fortinet vor einer neuen Angriffswelle, die eine Schwachstelle (CVE-2020-12812) ausnutzt, um die Zwei-Faktor-Authentifizierung (2FA) zu umgehen. Die Wiederbelebung dieses alten Fehlers zeigt, wie hartnäckig Angreifer Identitätsprüfungen angreifen, um legitim wirkenden Zugang zu erhalten.

Parallel meldete Korean Air am 30. Dezember einen schweren Datenschutzvorfall. Hacker hatten einen Catering- und Duty-Free-Zulieferer kompromittiert und so auf die persönlichen Daten von etwa 30.000 Mitarbeitern zugegriffen. Der Vorfall zeigt die Fragilität von Identitäts- und Zugriffsmanagement, sobald Drittanbieter im Spiel sind. Angreifer nutzen hier gültige – oft gestohlene – Zugangsdaten, um sich im Netzwerk zu bewegen. Da die Aktivität von einem vertrauenswürdigen Nutzer oder Partner zu stammen scheint, werden automatische Sicherheitsalarme oft nicht ausgelöst.

Regulatorischer Druck: Millionenstrafen setzen neue Maßstäbe

Die regulatorischen Konsequenzen für mangelnde Abwehr werden härter. Diese Woche wurde bestätigt, dass das französische Softwareunternehmen Nexpublica eine Strafe von zwei Millionen Euro für „Cybersicherheitsversäumnisse“ zahlen muss, die zu einem Datenleck führten. Die Strafe spiegelt die wachsende Ungeduld europäischer Aufsichtsbehörden gegenüber Fahrlässigkeit im Datenschutz wider – besonders unter der DSGVO und den neuen NIS2-Richtlinien. Die Strafe erfolgte nicht wegen Pech, sondern weil das Unternehmen angeblich angemessene technische und organisatorische Maßnahmen unterließ, um die Ausnutzung bekannter Risiken zu verhindern.

Gleichzeitig begannen in den USA zwei Banken diese Woche, Tausende Kunden über einen Ransomware-Angriff zu informieren, der Marquis Software betraf. Zwar nutzt Ransomware oft Verschlüsselungstrojaner, der erste Zugang wird jedoch häufig über malwarefreie Methoden wie Credential Stuffing oder ungepatchte Schwachstellen erlangt. Die am 30. Dezember bekanntgegebenen Deal-Einigungen mit ehemaligen Cybersicherheitsexperten, die mit der Ransomware-Gruppe BlackCat (ALPHV) in Verbindung stehen, unterstreichen die Professionalisierung der Cyberkriminalität. Sogenannte „Access Broker“ verkaufen hier Zugänge zu Netzwerken, damit andere Kriminelle Erpressungsaktionen starten können, ohne selbst eine Zeile Schadcode zu schreiben.

Analyse: Der Siegeszug von „Living off the Land“

Die Ereignisse Ende Dezember 2025 sind der Höhepunkt eines Trends, der sich im gesamten Jahr beschleunigt hat. Der bereits früher im Jahr veröffentlichte „2025 CrowdStrike Global Threat Report“ sagte voraus, dass malwarefreie Angriffe die Bedrohungslandschaft dominieren würden. Den Daten zufolge basierten fast 79 Prozent aller Cyberangriffe nicht auf Schadsoftware, sondern auf gültigen Zugangsdaten und eingebauten Systemverwaltungswerkzeugen.

Branchenanalysten sehen darin eine direkte Antwort auf die verbesserte Wirksamkeit moderner Antiviren- und Endpoint Detection and Response (EDR)-Systeme. Da Sicherheitstools gut darin geworden sind, bösartige Dateien zu erkennen, verwenden Angreifer sie einfach nicht mehr. Stattdessen „leben sie vom Land“ und nutzen PowerShell, WMI und gültige Benutzerkonten für ihre Operationen. Diese Verschiebung verändert die Anforderungen an die IT-Compliance grundlegend. Es reicht nicht mehr, einen „aktuellen Virenscanner“ zu haben. Compliance erfordert nun rigoroses Identitätsmanagement, kontinuierliches Schwachstellenmanagement und Verhaltensanalysen, die zwischen einem legitimen Administrator und einem Eindringling unterscheiden können.

Ausblick 2026: Identitätssicherheit im Fokus

Für 2026 erwarten Experten, dass sich die Definition von „IT-Compliance“ weiterentwickeln wird. Der Fokus wird sich voraussichtlich von der Perimeter-Verteidigung hin zu „Identity-First Security“ verlagern. Die Vorfälle um MongoBleed und Fortinet zeigen: Schwachstellen und Identitäten sind das neue Schlachtfeld.

Unternehmen müssen mit einer strengeren Durchsetzung der „Secure by Design“-Prinzipien und härteren Strafen für Lieferkettenpannen rechnen. Die Nexpublica-Strafe setzt einen Präzedenzfall, dem andere EU-Behörden folgen könnten. Sie signalisiert: Unwissenheit über eine Schwachstelle ist keine gültige Verteidigung mehr. Für CIOs und CISOs ist die Aufgabe im neuen Jahr klar: Einblick in das Verhalten und die Identität von Nutzern ist die einzige wirksame Verteidigung gegen einen Gegner, der zum Erfolg keine Schadsoftware mehr braucht.

PS: Identity‑First Security wird 2026 zum zentralen Schutzprinzip. Unser Gratis‑Leitfaden erklärt, wie Sie Verhaltenserkennung, rollenbasierte Zugriffskontrollen und Lieferketten‑Checks einführen, um Bußgelder und Datenverluste zu vermeiden. Enthalten sind Schritt‑für‑Schritt‑Implementierungen, Trainingsvorlagen und Compliance‑Nachweise – ideal für CIOs, CISOs und Sicherheitsbeauftragte, die schnell wirksame Maßnahmen brauchen. Kostenlosen Leitfaden zur Identity‑First Security sichern