Kompromittierte Zugangsdaten sind im zweiten Jahr in Folge die Hauptursache von Cyber-Angriffen. Der Sophos Active Adversary Report zeigt dabei, dass bei 56 Prozent der analysierten Angriffsfälle die Cybergangster über gestohlene Log-in-Daten verfügten.
Der Sophos Active Adversary Report 2025 zeigt durch Analysen das Verhalten und die Techniken von Cyberkriminellen aus über 400 tatsächlichen Angriffen, die das MDR-Team (Managed Detection and Response) und die Incident-Response-Spezialisten 2024 durchgeführt haben. Die Angreifenden verschafften sich in erster Linie über externe Remote-Dienste Zugang zu Netzwerken (56 Prozent aller MDR- und IR-Fälle), indem sie gültige Konten ausnutzten, darunter Edge-Geräte wie Firewalls und VPNs.
Die Kombination aus externen Remote-Diensten und gültigen Konten deckt sich mit den Hauptursachen für Angriffe. Das zweite Jahr in Folge waren kompromittierte Anmeldedaten die Hauptursache für Angriffe (41 Prozent). Es folgen die Ausnutzung von Sicherheitslücken (22 Prozent) und Brute-Force-Angriffe (21 Prozent).
Tempo der Angriffe nimmt zu
Bei der Analyse von MDR- und IR-Untersuchen berücksichtigte das Sophos X-Ops Team insbesondere Ransomware-, Datenexfiltrations- und Datenerpressungsfälle, um zu ermitteln, wie schnell Cyberkriminelle die einzelnen Phasen eines Angriffs innerhalb eines Unternehmens durchlaufen. Bei diesen drei Arten von Fällen betrug die durchschnittliche Zeit zwischen dem Beginn eines Angriffs und der Datenexfiltration nur 73 Stunden, also etwa drei Tage. Darüber hinaus vergingen von der Exfiltration bis zur Entdeckung des Angriffs im Durchschnitt nur 2,7 Stunden.
„Passive Sicherheit ist mittlerweile nicht mehr ausreichend“, so John Shier, Field CISO bei Sophos. „Vorbeugung ist zwar wichtig, aber eine schnelle Reaktion ist entscheidend. Unternehmen müssen ihre Netzwerke aktiv überwachen und schnell auf beobachtete Auffälligkeiten reagieren. Koordinierte Angriffe von professionellen Cyberkriminellen erfordern auch eine koordinierte Verteidigung. Für viele Unternehmen bedeutet dies eine Kombination aus geschäftsspezifischem Wissen und von Experten geleiteter Erkennung und Reaktion. Unser Bericht bestätigt, dass Unternehmen mit aktiver Überwachung Angriffe schneller erkennen und bessere Ergebnisse bei der Abwehr erzielen.“
Ergebnisse des Sophos Active Adversary Reports 2025
Angreifer benötigen im Schnitt in nur elf Stunden zur Systemübernahme
Zwischen der ersten Aktion eines Cyberkriminellen und seinem ersten (oft erfolgreichen) Versuch, in das Active Directory – eines der wichtigsten Elemente in jedem Windows-Netzwerk – einzudringen, vergingen im Durchschnitt der untersuchten Fälle nur elf Stunden. Wenn dies gelingt, können Angreifer sehr leicht die Kontrolle über das ganze Unternehmen übernehmen.
Alte Bekannte bei den häufigsten Ransomware-Gruppen
In den von Sophos untersuchten Fällen war Akira die am häufigsten auftretende Ransomware-Gruppe im Jahr 2024, gefolgt von Fog und LockBit – und das, obwohl LockBit Anfang des Jahres durch eine konzertierte Aktion der Strafverfolgungsbehörden vom Netz genommen wurde.
MDR als entscheidender Faktor für die Verweildauer der Kriminellen
Insgesamt ist die Verweildauer, also die Zeit vom Beginn eines Angriffs bis zu seiner Entdeckung, im Jahr 2024 von vier auf zwei Tage gesunken. Dies ist hauptsächlich auf die Aufnahme von MDR-Fällen in den Datensatz zurückzuführen. Die Verweildauer in IR-Fällen blieb stabil bei vier Tagen für Ransomware-Angriffe und 11,5 Tagen für Nicht-Ransomware-Fälle. In den untersuchten MDR-Fällen betrug die Verweildauer bei Ransomware-Angriffen drei Tage und bei Nicht-Ransomware-Fällen nur einen Tag. Dies deutet darauf hin, dass MDR-Teams in der Lage sind, Angriffe schneller zu erkennen und darauf zu reagieren.
Ransomware-Gruppen arbeiten über Nacht
Im Jahr 2024 wurden 84 Prozent der Ransomware-Binärdateien außerhalb der normalen, örtlichen Arbeitszeiten der Zielpersonen verbreitet.
Schwachstelle Remote Desktop Protokoll
Das Remonte Desktop Protokoll (RDP) war in 84 Prozent der MDR/IR-Fälle involviert und damit das am häufigsten missbrauchte Microsoft-Tool.
Mehr bei Sophos.com
Über Sophos Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.