Intro
Der November 2025 war erneut geprägt von eskalierenden Cyber-Bedrohungen: Massive Supply-Chain-Angriffe, gezielte Datenlecks, Ransomware-Vorfälle und eine zunehmende Nutzung von KI durch kriminelle Akteure erschütterten weltweit Unternehmen, Dienstleister und Verwaltungen. In diesem Monatsrapport analysiere ich die grössten, dokumentierten Cyberangriffe, ihre Methoden, Auswirkungen und die Lehren für Security-Verantwortliche.
1. Supply-Chain und Cloud-Angriffe – Almaviva und Eurofiber Group (Frankreich/Italien)
- Laut Threat-Intelligence Berichten wurde der italienische IT-Dienstleister Almaviva Opfer eines schwerwiegenden Cyberangriffs, bei dem fast 2,3 TB sensible Daten kompromittiert wurden – darunter Personaldaten, interne Verträge, Passagierinformationen einer staatlichen Eisenbahngesellschaft und finanzielle Dokumente.
- Parallel meldete Eurofiber Group (Frankreich) einen Angriff auf ihre Cloud- und Ticketing-Systeme: Kundendaten wurden illegal exfiltriert.
- Auswirkungen: Potenziell weitreichender Identitäts- und Datendiebstahl, Risiken für kritische Infrastrukturen und Kundenvertrauen, mögliche rechtliche Folgen für betroffene Firmen und staatliche Institutionen.
Lehre: Dienstleister und Cloud-Provider bilden weiterhin ein kritisches Ziel: Sicherheitsvorkehrungen und Lieferketten-Audits müssen priorisiert und kontinuierlich überprüft werden.
2. Ransomware-Welle & Malware-Trends: Industrie- und OT-Umfeld
- Ein Bericht der Security-Firma zeigt, dass im November 2025 die Entwicklung bei Malware-Angriffen alarmierend ist. Besonders im industriellen Bereich und bei OT/ICS-Systemen steigt das Risiko deutlich – mit Ransomware und Remote-Access-Angriffe als häufigste Methoden.
- Laut aktuellen Threat-Reports ist die Nutzung von Malware-free Threats und fileless Angriffen im 2025er Trend – Angreifer versuchen verstärkt, klassische Erkennungsmechanismen zu umgehen.
Lehre: OT-/ICS-Umgebungen — gerade in Industrie, Energie oder Fertigung , sind besonders verwundbar. Segmentierung, Zugriffskontrollen und starke Backup-Strategien sind Pflicht.
3. VPN-/ Remote-Access-Angriffe – Kampagne gegen Palo Alto Networks GlobalProtect
- Ab Mitte November wurde eine massenhafte Brute-Force-Kampagne gegen GlobalProtect-VPN-Portale bekannt: Laut Threat Intelligence kamen innerhalb kurzer Zeit über 2,3 Mio. bösartige Sessions zustande – mit dem Ziel, unautorisierte Zugriffe zu erzwingen.
- Diese Angriffswelle zeigt: Remote-Zugänge sind weiterhin eine der beliebtesten Einstiegsmöglichkeiten für Cyberkriminelle, besonders gegen schlecht gehärtete Systeme oder mit schwachen Authentifizierungsmechanismen.
Lehre: VPNs müssen mit Multi-Faktor-Authentifizierung, Monitoring und Zugriffsbeschränkungen abgesichert werden. Alte oder Standard-Konfigurationen sind zu riskant.
4. KI-gestützte Cyberangriffe – neue Dimension durch automatisierte Tools
- Erstmals wurde dokumentiert, dass eine weitreichende Attacke unter Einsatz von KI-Agenten stattgefunden hat: Die Firma Anthropic meldete, dass eine umfassende Cyberoperation chinesischer Hacker rund 30 globale Organisationen angegriffen hat , mit Hilfe ihres Modells. Der Angriff war weitgehend automatisiert und zielte auf Daten exfiltration und Netzwerkmanipulation ab.
- Der Vorfall markiert vermutlich einen Wendepunkt: KI wendet sich von defensiver Unterstützung hin zu offensiven, selbstorganisierten Angriffen.
Lehre: Security-Strategien müssen jetzt auch KI-Risiken abdecken, Detection, Anomalieerkennung und permanentes Monitoring sind wichtiger denn je.
5. Politisch motivierte Angriffe & Risiken für öffentliche Verwaltung – Beispiel: Kommunen in London
- Ende November wurde bekannt, dass gleich drei Stadtteil-Verwaltungen in London (Royal Borough of Kensington and Chelsea, Westminster City Council und Hammersmith and Fulham Borough Council) Opfer eines Cyberangriffs waren. IT-Infrastruktur, Telefonie und Verwaltungs-Portale wurden vorsorglich heruntergefahren.
- Die Behörden reagierten mit Krisenplänen, Notfallmaßnahmen und forensischer Analyse, Details zur Ursache und Datenkompromittierung wurden bislang zurückgehalten, Ermittlungen laufen.
Fazit / Schlussbetrachtung
Der November 2025 zeigt eindrücklich: Cyber-Bedrohungen werden komplexer, automatisierter und globaler. Supply-Chain-Angriffe, Ransomware-Wellen, VPN-Brute-Force-Kampagnen und erstmals massenhafte KI-gestützte Operationen – alle Kennzeichen einer sich beschleunigenden Bedrohungslandschaft.
Organisationen sollten ihre Cyber-Defence nicht mehr als einmalige Investition betrachten, sondern als kontinuierlichen Prozess mit Fokus auf:
- Sicherung von Dritt- und Dienstleistern (Vettern prüfen!)
- Härte von Remote-Zugängen + starke Authentifizierung
- Monitoring & Erkennung von Anomalien (vor allem bei KI-basierten Tools)
- Segmentierung und Absicherung von OT/ICS-Netzen
- Notfall- & Incident-Response-Pläne für Behörden und kritische Infrastruktur
Nur wer breit denkt, proaktiv handelt und flexibel bleibt, kann künftige Angriffe frühzeitig erkennen und abwehren.