Intro
Das erste Halbjahr 2025 hat aus Sicht von SmartCyb eindrucksvoll gezeigt, wie stark sich Cyberbedrohungen weiterentwickelt haben – in ihrer Schlagkraft, Komplexität und Zielauswahl. Besonders auffällig war die Diversität der Angriffsziele: Vom klassischen Gesundheitswesen über Bildungseinrichtungen, staatliche Institutionen und Kommunen bis hin zu Retail und DeFi-Projekten – nahezu jede Branche war betroffen.
Im Januar
dominierten massive Healthcare-Datenlecks und der deutliche Anstieg von KI-gestütztem Phishing gegen C-Level-Führungskräfte. Allein das Episource-Leak und der Angriff auf Frederick Health Medical Group betrafen rund 6,4 Millionen Patientendatensätze – sensible Informationen mit langfristigem Missbrauchspotenzial.
Der Februar
setzte diese Entwicklung fort und brachte eine verstärkte Konzentration auf mobile Angriffsvektoren: SparkCat-Malware nutzte OCR-Technologien, um Screenshots nach Wiederherstellungsphrasen für Krypto-Wallets zu durchsuchen. Gleichzeitig intensivierten chinesische und nordkoreanische APTs ihre Operationen – nicht nur gegen klassische Regierungssysteme, sondern auch zunehmend gegen kritische Infrastrukturen und Finanzsektoren.
Im März
fiel besonders der Oracle Cloud-Leak mit über 6 Millionen kompromittierten Datensätzen auf. Zugleich nahmen staatlich gesteuerte Angriffe auf diplomatische Einrichtungen, Banken und Industrien zu. Healthcare-Organisationen wie Yale New Haven Health und Sunflower Medical Group wurden erneut getroffen, mit Hunderttausenden kompromittierten Datensätzen.
Der April
zeigte, wie anfällig der Retail-Sektor und Lieferketten geworden sind. Marks & Spencer und Co-op wurden innerhalb weniger Tage schwer getroffen – insgesamt waren Millionen Kundendatensätze betroffen. Parallel dazu tauchten hybride Bedrohungen wie GPS-Jamming gegen den Luftverkehr auf, was deutlich machte, dass Angriffe nicht mehr nur auf Datendiebstahl, sondern auf realwirtschaftliche und geopolitische Auswirkungen zielen.
Mai 2025
brachte eine neue Dynamik in den DeFi-Sektor: Der spektakuläre Diebstahl von 223 Millionen US-Dollar beim Cetus Protocol unterstrich, wie attraktiv Smart-Contract-Schwachstellen für Angreifer geworden sind. Zudem zeigten Ransomware-Gruppen wie Everest, Rhysida und Qilin ihre Fähigkeit, weltweit Unternehmen aus allen Sektoren lahmzulegen – oft durch kompromittierte Drittanbieter und Dienstleister.
Der Juni
markierte den bisherigen Höhepunkt der Ransomware-Welle: Von RansomHub bis Qilin waren Behörden, Gesundheitsdienstleister und Medienhäuser betroffen. Besonders alarmierend: Die erstmalige Nutzung der sogenannten FileFix-Technik zur Verteilung von Remote-Access-Trojanern und Ransomware stellte eine neue Qualität von Angriffsmethoden dar, die traditionelle Sicherheitsmechanismen leicht umgehen können.
Aus unsere Sicht zeichnet sich für das erste Halbjahr 2025 folgendes Bild ab:
Ransomware bleibt die dominierende Bedrohung, wird jedoch immer komplexer durch kombinierte Exfiltration, Erpressung und professionelle Angreifergruppen wie Scattered Spider, Everest und Rhysida.
Healthcare-Organisationen stehen durch ihre sensiblen Daten und oft schwachen Verteidigungsstrukturen besonders im Fokus, mit mehr als 20 Millionen kompromittierten Patientendatensätzen allein von Januar bis Juni.
Vendor-Risiken haben signifikant zugenommen: Fast jeder zweite große Angriff des Halbjahres hatte einen Ursprung in kompromittierten Drittanbieter-Systemen oder Dienstleisterzugängen.
Cloud- und API-Sicherheit steht vor neuen Herausforderungen: Der Oracle Cloud-Vorfall und weitere API-Missbräuche zeigen, dass Angreifer Wege finden, selbst ausgereifte Plattformen gezielt anzugreifen.
Staatlich gesteuerte Angriffe (APT) haben eine neue Qualität erreicht: Sie richten sich nicht mehr nur gegen geopolitische Gegner, sondern vermehrt gegen strategische Industrien, Finanzdienstleister und kritische Infrastruktur in Europa und Nordamerika.
Neue Angriffsmethoden wie KI-Phishing, OCR-basierte mobile Malware und FileFix-Techniken erweitern die Angriffsoberfläche deutlich.
Unsere klare Meinung:
Das erste Halbjahr 2025 hat einmal mehr bewiesen, dass Cybersicherheit kein rein technisches Problem mehr ist, sondern ein unternehmensweites Thema, das strategisch auf höchster Ebene geführt werden muss. Organisationen müssen erkennen, dass Angriffe auf Lieferketten, Mitarbeiter, mobile Endgeräte und Cloud-Plattformen längst keine Ausnahme mehr sind – sondern zum Alltag gehören. Zero Trust-Modelle, Echtzeit-Überwachung, penible Vendor-Reviews und umfassende Awareness-Schulungen sind keine Option mehr, sondern Pflicht, wenn man im aktuellen Bedrohungsumfeld bestehen will.