28. April 2025 Cyber

Cyber-Bedrohungen 2025: Aktuelle Vorfälle und was wir daraus lernen müssen

In diesem Beitrag beleuchten wir einige reale Cybervorfälle der jüngsten Vergangenheit.

Mehr Informationen +

Für Unternehmen sind Cybervorfälle längst keine abstrakte Gefahr mehr, sondern eine reale Bedrohung für den Geschäftsbetrieb, die Reputation und die finanzielle Stabilität. Für uns als Versicherungsmakler ist es entscheidend, dass wir unsere Kunden über die aktuellen Risiken aufklären und ihnen helfen, sich bestmöglich zu schützen. In diesem Beitrag beleuchten wir einige reale Cybervorfälle der jüngsten Vergangenheit (2024-2025), von denen Sie wahrscheinlich noch nichts gehört haben – trotzdem können wir aus diesen Fällen auch praxisnahe Schlussfolgerungen ziehen.

Die sich ständig wandelnde Bedrohungslandschaft

Cyberkriminalität wird immer professioneller und vielfältiger. Aktuelle Berichte, wie der IBM X-Force Threat Intelligence Index 2025, zeigen klare Trends auf: Ransomware bleibt eine dominierende Bedrohung, Schwachstellen im Dark Web werden aktiv ausgenutzt und Angriffsflächen durch künstliche Intelligenz (KI) nehmen zu. Gleichzeitig steigen die Kosten, die durch Datenpannen entstehen, kontinuierlich an.

Angreifer nutzen eine breite Palette von Methoden:

Ransomware: Verschlüsselung von Daten und Systemen mit Lösegeldforderungen, oft kombiniert mit der Androhung, gestohlene Daten zu veröffentlichen (Double Extortion)
Datenschutzverletzungen: Diebstahl sensibler Kunden- oder Unternehmensdaten
Phishing und Social Engineering: Täuschungsmanöver wie QR-Code-Phishing („Quishing“) zum Abgreifen von Zugangsdaten oder Telefonbetrug (Vishing), teils unter Missbrauch legitimer Tools wie Microsoft Quick Assist
Angriffe auf Lieferketten: Kompromittierung von Dienstleistern (Managed Service Provider, MSPs) oder Software, um deren Kunden anzugreifen
Ausnutzung von Schwachstellen: Gezieltes Scannen und Ausnutzen von Sicherheitslücken in Software und Systemen

Auch wenn viele der prominentesten Angriffe international stattfinden, sind Unternehmen im DACH-Raum genauso gefährdet. Die Taktiken sind global, und Angreifer machen selten an Ländergrenzen halt.

Aktuelle Fallbeispiele (2024-2025)

Fallstudie 1: Wiederholte Angriffe auf Schneider Electric (Ransomware, Datenleck, Schwachstellen)

Der Technologiekonzern Schneider Electric war in jüngster Zeit mehrfach Ziel von Cyberangriffen, was die Hartnäckigkeit von Angreifern und die vielfältigen Angriffsvektoren verdeutlicht:

Januar 2024: Die auf Nachhaltigkeitslösungen spezialisierte Geschäftseinheit wurde Opfer eines Ransomware-Angriffs, der die Plattform „Resource Advisor“ und andere Systeme betraf. Die Angreifer (vermutlich die Cactus-Gruppe) stahlen auch Daten. Obwohl dieser Geschäftsbereich isoliert operierte, zeigt der Vorfall, dass auch Teilbereiche eines Konzerns attraktive Ziele sind. Die Systeme konnten nach etwa zwei Wochen wiederhergestellt werden.
November 2024 (Hellcat Ransomware): Eine andere Hackergruppe namens Hellcat behauptete, 40-44 GB Daten aus der Atlassian Jira-Umgebung von Schneider Electric gestohlen zu haben. Sie forderten Lösegeld, das Schneider Electric offenbar nicht zahlte, woraufhin die Gruppe begann, die Daten (darunter Nutzernamen, E-Mails, Projektdaten) zu veröffentlichen.
Weitere Vorfälle: Schneider Electric war zuvor auch Opfer der Clop-Ransomware über die weit verbreitete MOVEit-Schwachstelle. Zudem behauptete eine weitere Gruppe (Grep), über kompromittierte Zugangsdaten Zugriff erlangt und 75.000 Namen und E-Mail-Adressen erbeutet zu haben.
Schwachstellen: Unabhängig davon veröffentlichte die US-Behörde CISA im April 2025 eine Warnung bezüglich kritischer Schwachstellen in bestimmten Industrie-Steuerungsprodukten (Sage RTU) von Schneider Electric, die zu Datenverlust oder Betriebsbeeinträchtigungen führen könnten.

Was wir lernen:

Große Unternehmen sind attraktive und oft wiederholte Ziele.
Angreifer nutzen verschiedenste Methoden (Ransomware, Datendiebstahl, Ausnutzung von Schwachstellen).
Auch isolierte Geschäftsbereiche können angegriffen werden.
Lieferkettenangriffe (wie bei MOVEit) und die Ausnutzung von Schwachstellen in weit verbreiteter Software stellen ein erhebliches Risiko dar.
Patch-Management und die Absicherung von Entwicklungs- und Projektmanagement-Tools (wie Jira) sind essenziell.

Fallstudie 2: Betriebsunterbrechung bei National Presto Industries (Ransomware)

Am 1. März meldete der US-Mischkonzern National Presto Industries, der auch Rüstungsgüter herstellt, einen Cyberangriff, der zu einem Systemausfall führte. Der Angriff beeinträchtigte massiv den Betrieb, einschließlich Versand, Produktion und Backoffice-Funktionen.

Kurz darauf bekannte sich die Ransomware-Gruppe „InterLock“ zu dem Angriff. Sie behauptete, riesige Datenmengen (fast 3 Millionen Dateien) gestohlen und Systeme verschlüsselt zu haben, nachdem Verhandlungen über Lösegeld gescheitert waren. Besonders brisant: Mindestens eine Tochtergesellschaft, die Munition für Militär und Strafverfolgungsbehörden herstellt, soll betroffen sein.

Was wir lernen:

Ransomware-Angriffe können zu massiven Betriebsunterbrechungen führen, die weit über den reinen Datenverlust hinausgehen.
Die „Double Extortion“-Taktik (Verschlüsselung + Datendiebstahl) ist Standard und erhöht den Druck auf die Opfer.
Auch Unternehmen mit kritischer Infrastruktur oder sensiblen Kunden (wie dem Militär) sind im Visier.
Schnelle Reaktion und Wiederherstellung sind entscheidend, um den Schaden zu begrenzen.

Deep Dive: Die Ransomware-Gruppe „InterLock“

Die InterLock-Gruppe, die hinter dem Angriff auf National Presto Industries steckt, ist ein Beispiel für eine neuere, aber hochentwickelte Bedrohung, die seit September 2024 aktiv ist. Ihre Merkmale:

Taktiken: „Big Game Hunting“ (Angriffe auf große Unternehmen) und Double Extortion.
Ziele: Opportunistisch, quer durch verschiedene Sektoren (Gesundheitswesen, Technologie, Behörden, Industrie) in Nordamerika und Europa. Das Gesundheitswesen scheint ein bevorzugtes Ziel zu sein.
Angriffsweg: Oftmals über kompromittierte Webseiten, die Nutzer zum Download gefälschter Browser-Updates verleiten. Diese Updates enthalten Schadsoftware (RATs – Remote Access Trojans, Backdoors), die über PowerShell-Skripte weitere Schadkomponenten nachladen (Credential Stealer, Keylogger). Sie nutzen auch Social-Engineering-Techniken wie „ClickFix“.
Bewegung im Netzwerk: Nach dem ersten Eindringen nutzen sie gestohlene Zugangsdaten und Tools wie Remote Desktop Protocol (RDP), AnyDesk oder PuTTY, um sich im Netzwerk auszubreiten.
Datenexfiltration: Gestohlene Daten werden oft über Cloud-Speicher-Tools (Azure Storage Explorer, AZCopy) auf Server der Angreifer übertragen.
Verschlüsselung: InterLock verfügt über Varianten für Windows und Linux/FreeBSD. Sie benennen verschlüsselte Dateien um (z.B. mit der Endung .interlock) und hinterlassen Lösegeldforderungen (!__README__!.txt).
Hartnäckigkeit: Angreifer können über längere Zeit unbemerkt im Netzwerk verweilen, bevor sie die Verschlüsselung starten. Sie versuchen auch, Sicherheitssoftware (EDR) zu deaktivieren und Protokolldateien zu löschen.
Evolution: Die Gruppe entwickelt ihre Werkzeuge und Methoden kontinuierlich weiter und passt ihre Taktiken an. Es gibt Hinweise auf eine mögliche Verbindung zur Rhysida-Ransomware-Gruppe.

Was wir lernen:

Angriffe sind oft mehrstufig und beginnen mit scheinbar harmlosen Aktionen (z.B. Klick auf ein Update).
Technische Maßnahmen wie EDR, Netzwerksegmentierung und Zugriffskontrollen sind notwendig, um die Ausbreitung im Netzwerk (Lateral Movement) zu verhindern oder zu erschweren.
Regelmäßige Backups sind wichtig, reichen aber bei Double Extortion allein nicht aus. Schnelle Erkennung und Eindämmung sind entscheidend, um Datendiebstahl zu verhindern.
Kontinuierliche Risikoanalyse und proaktive Bedrohungssuche (Threat Hunting) sind erforderlich.

Fallstudie 3: Datenleck bei Samsung Deutschland (April 2025):

Ein Angreifer veröffentlichte Ende März rund 270.000 Kundendatensätze aus dem Ticketsystem von Samsung Deutschland im Dark Web.

Angriffsvektor: Der Angriff erfolgte über kompromittierte Zugangsdaten eines Mitarbeiters des Dienstleisters Spectos GmbH. Diese Zugangsdaten wurden mutmaßlich bereits 2021 durch die Infostealer-Malware „Raccoon“ gestohlen und wurden offenbar, obwohl es sich dabei um ein administratives Konto handelte, seit 4 Jahren nicht geändert. Dies unterstreicht das Risiko von Supply-Chain-Angriffen und mangelnder Passwort-Hygiene.
Auswirkungen: Die kompromittierten Daten umfassten Kundeninformationen, darunter:
- Persönlich identifizierbare Informationen (PII): Vollständige Namen, E-Mail-Adressen, Wohnadressen.
- Transaktionsdetails: Bestellnummern, Modellnummern, Zahlungsmethoden, Preise, Rabatte, Tracking-URLs.
- Support-Interaktionen: Ticket-IDs, E-Mail-Adressen von Agenten und Kunden.
- Kommunikation: Problembeschreibungen, Antworten
Potenzielle Folgen: Die Daten können für gezieltes Phishing, Kontoübernahmen und sonstige Betrügereien genutzt werden.

Was wir lernen:

Lieferketten müssen mitgedacht werden – Cyber-Hygiene ist nicht nur im eigenen Haus wichtig, sondern auch bei allen eingebundenen Dienstleistern. Regelmäßige Audits durchführen.
Datensparsamkeit üben – lt. den Berichten handelte es sich um Kundenzufriedenheits-Tickets – dass diese Daten für die die Messung der Performance usw. wichtig sind, steht außer Frage – ist jedoch eine lange Aufbewahrungsdauer notwendig?

Weitere relevante Bedrohungen

Neben diesen großen Fällen gibt es weitere anhaltende Bedrohungen:

Phishing & Social Engineering: Methoden wie „Quishing“ (QR-Code-Phishing) zum Diebstahl von Zugangsdaten oder Vishing (Telefonbetrug) kombiniert mit Fernwartungsmissbrauch (Quick Assist) bleiben populär. Vorangegangene Datenleaks wie in Fallstudie 3 ermöglichen es den Betrügern auf einfach Art und Weise einen passenden Anknüpfungspunkt für diese Taktiken zu finden.
Angriffe auf die Lieferkette: Die Kompromittierung von Managed Service Providern (MSPs) ist ein effizienter Weg für Angreifer, um Zugang zu vielen Unternehmen gleichzeitig zu erhalten. Die Sicherheit von Drittanbietern muss daher kritisch geprüft werden.

Schlussfolgerungen für die Praxis: Was können Ihre Kunden tun?

Die Beispiele zeigen: Kein Unternehmen ist zu klein oder zu uninteressant, um Ziel eines Angriffs zu werden. Die Bedrohungen sind vielfältig und entwickeln sich ständig weiter. Versicherungsmakler können ihre Kunden unterstützen, indem sie auf folgende Präventions- und Reaktionsmaßnahmen hinweisen:

Cyber-Hygiene stärken: Regelmäßige Updates und Patching von Systemen und Software, starke Passwörter und Multi-Faktor-Authentifizierung (MFA), sichere Konfiguration von Systemen.
Mitarbeiter schulen: Regelmäßige Sensibilisierungstrainings zu Phishing, Social Engineering, sicherer Passwortnutzung und dem Erkennen verdächtiger Aktivitäten.
Technische Schutzmaßnahmen implementieren: Einsatz von Firewalls, Endpoint Detection and Response (EDR)-Lösungen, Intrusion Detection/Prevention Systems (IDPS), E-Mail-Sicherheitsgateways.
Netzwerksegmentierung: Trennung kritischer Systeme vom Rest des Netzwerks, um die Ausbreitung von Angriffen zu begrenzen.
Zugriffsrechte minimieren (Least Privilege): Benutzer sollten nur die Rechte erhalten, die sie für ihre Arbeit unbedingt benötigen.
Regelmäßige Backups & Wiederherstellungstests: Umfassende Backup-Strategie (inkl. Offline-/Immutable-Backups) und regelmäßige Tests der Wiederherstellungsprozesse.
Incident Response Plan: Ein klar definierter Plan, wer im Falle eines Angriffs was zu tun hat, um schnell und koordiniert reagieren zu können.
Risikomanagement für Drittanbieter: Bewertung und Überwachung der Sicherheitsmaßnahmen von wichtigen Lieferanten und Dienstleistern.
Kontinuierliche Überwachung & Threat Hunting: Proaktive Suche nach Anzeichen für Kompromittierungen im Netzwerk.

Die Rolle der Cyber-Versicherung

Selbst die besten Sicherheitsmaßnahmen können keinen hundertprozentigen Schutz garantieren. Hier kommt die Cyber-Versicherung ins Spiel. Sie ist ein wichtiger Baustein im Risikomanagement, um die finanziellen Folgen eines Cybervorfalls abzufedern. Dazu gehören typischerweise:

Kosten für IT-Forensik und Wiederherstellung.
Betriebsunterbrechungsschäden.
Kosten für Krisenkommunikation und Rechtsberatung.
Mögliche Lösegeldzahlungen (abhängig von Police und Umständen).
Haftpflichtansprüche Dritter (z.B. bei Datenschutzverletzungen).

Als Makler ist es Ihre Aufgabe, gemeinsam mit dem Kunden den individuellen Bedarf zu ermitteln und eine passende Police zu finden. Die hier dargestellten Vorfälle liefern Ihnen wertvolle Argumente, um die Notwendigkeit einer umfassenden Absicherung zu verdeutlichen.

Fazit

Die Cyber-Bedrohungslandschaft 2024/2025 ist komplex und gefährlich. Ransomware, Datendiebstahl und Betriebsunterbrechungen sind reale Risiken für Unternehmen jeder Größe, auch im DACH-Raum. Die Fallbeispiele von Schneider Electric und National Presto Industries sowie die Analyse von Gruppen wie InterLock zeigen die Professionalität und Anpassungsfähigkeit der Angreifer. Nur durch eine Kombination aus robusten technischen und organisatorischen Sicherheitsmaßnahmen, geschulten Mitarbeitern und einer adäquaten Cyber-Versicherung können sich Unternehmen wirksam schützen. Nutzen Sie diese Einblicke, um Ihre Kunden bestmöglich zu beraten und für die lauernden Gefahren zu sensibilisieren.