Cyberangriffe verlagern sich auf digitale Identitäten

Cyberkriminelle setzen zunehmend auf gültige Zugangsdaten, statt technische Schwachstellen direkt auszunutzen. Das zeigt der Threat Intelligence Report für das zweite Halbjahr 2025 von Ontinue. Für Unternehmen bedeutet das: Die Grenze zwischen legitimer Anmeldung und Angriff wird schwerer erkennbar.

Typische Muster sind AiTM-Angriffe, Passwort-Spraying sowie das gezielte Suchen nach versehentlich veröffentlichten Secrets wie Client-Passwörtern. Werden solche Daten kompromittiert, können Angreifer unmittelbar auf Cloud-Umgebungen und interne Systeme zugreifen.

„Angreifer versuchen nicht mehr, Sicherheitsbarrieren zu durchbrechen. Sie loggen sich schlicht mit gestohlenen Zugangsdaten ein“, erklärt Balazs Greksza, Director of Advanced Threat Operations bei Ontinue. „Infostealer versorgen einen wachsenden Untergrundmarkt für Credentials. Sobald Angreifer gültige Identitäten erlangen, können sie traditionelle Sicherheitskontrollen umgehen und sich als legitime Benutzer bewegen. Das geschieht oft, ohne dass innerhalb des Unternehmens irgendwelche Alarme ausgelöst werden.“

Infostealer machen Zugangsdaten zur Handelsware

Eine zentrale Rolle spielen Infostealer wie LummaC2. Diese Malware sammelt Passwörter aus Browsern, Cookies und Authentifizierungs-Tokens von infizierten Systemen. Anschließend werden die Daten zu sogenannten Logs gebündelt und auf Verkaufsplattformen im Darknet angeboten.

Dadurch sinkt die Einstiegshürde für Cyberkriminelle deutlich. Auch Täter ohne tiefere Hacking-Erfahrung können Zugangsdaten zu Unternehmensumgebungen erwerben. Laut Report ist die Zahl der Listen gestohlener Zugangsdaten, die auf LummaC2 zurückgehen, um 72 % gestiegen.

Ransomware bleibt trotz sinkender Zahlungen hochaktiv

Während nachweisbare Ransomware-Zahlungen von rund 770 Mio. Euro in 2024 auf 708 Mio. Euro in 2025 zurückgingen, nahm die Zahl der Angriffe weiter zu. Das ATO-Team von Ontinue zählt über 7.000 weltweit gemeldete Ransomware-Vorfälle in 2025.

Mehr als 120 aktive Ransomware-Gruppen waren demnach in unterschiedlichen Branchen aktiv. Zugleich kombinieren Angreifer mehrere Druckmittel: Datendiebstahl, Betriebsstörungen, DDoS-Angriffe sowie die direkte Einschüchterung von Mitarbeitenden oder Kunden. Diese Entwicklung erhöht gerade für mittelständische Unternehmen den Handlungsdruck, weil Ausfälle, Reputationsschäden und Erpressung parallel auftreten können.

GenAI senkt die technische Einstiegshürde

Der Bericht sieht zudem erste Hinweise darauf, dass Bedrohungsakteure generative KI einsetzen, um bösartige Tools schneller zu entwickeln. Analysen wiederhergestellter Webshells und Commodity-Malware-Samples zeigten Programmiermuster, die auf LLM-unterstützte Entwicklung hindeuten.

Dazu zählen ausführliche Kommentare, duplizierte Funktionen durch iteratives Prompting und visuell aufbereitete Oberflächen bei unsicheren Implementierungen. Noch ist adversariale KI kein dominanter Angriffsvektor. Allerdings könnte GenAI die technische Barriere für funktionale Malware und Angriffsinfrastruktur weiter senken.

Lieferketten, SaaS und Infrastruktur geraten stärker in den Fokus

Neben Identitätsangriffen nehmen Risiken in Software-Lieferketten und Cloud-Integrationen zu. Angreifer versuchen über Entwicklungspipelines, SaaS-Plattformen und Drittanbieter indirekten Zugang zu Unternehmensumgebungen zu erhalten. Solche Angriffe können sich über vertrauenswürdige Ökosysteme ausbreiten und mehrere Organisationen gleichzeitig betreffen.

Hinzu kommen infrastrukturelle Bedrohungen. Der Report dokumentiert DDoS-Kampagnen mit Spitzenwerten von 31,4 Tbps, angetrieben durch Botnets mit über 500.000 kompromittierten Systemen. Für mittelständische Unternehmen wird damit nicht nur Identitätsschutz wichtiger, sondern auch die Absicherung externer Dienstleister, Cloud-Verbindungen und kritischer Betriebsprozesse.

Den vollständigen Report können Sie hier herunterladen

^{Bildnachweis: Depositphotos.com/welcomia}

(cf)