Der CrowdStrike Global Threat Report liefert wichtige Einblicke in die sich wandelnde Bedrohungslandschaft sowie in das Verhalten und die Methoden moderner Angreifer. Das CrowdStrike Counter Adversary Operations Team blickt auf das Jahr 2024 zurück und stellt fest: Angreifer handeln heute fokussierter und professioneller als je zuvor – ganz ähnlich wie Unternehmen, auf die sie es abgesehen haben. Sie lernen schnell, passen sich neuen Abwehrmaßnahmen an und verlieren dabei ihre Ziele nicht aus dem Blick.
Der Aufstieg des unternehmerischen Angreifers
Angreifer werden immer schneller, intelligenter und schwerer zu erkennen. Die durchschnittliche Breakout-Time – also die Zeitspanne zwischen dem erfolgreichen Erstzugriff und des Beginns der lateralen Bewegung im Zielnetzwerk – lag 2024 bei nur noch 48 Minuten. Im Vorjahr waren es noch 62 Minuten. Die schnellste dokumentierte Breakout-Time betrug lediglich 51 Sekunden.
Damit Angreifer sich lateral bewegen können, müssen sie zunächst einmal ins System gelangen. Social Engineering stand dabei 2024 bei den Angreifern ganz oben auf der Liste. Sie setzten beispielsweise vermehrt auf Vishing, Phishing per Rückruf und Social Engineering am Helpdesk, um sich Zugang zu Netzwerken zu verschaffen. Allein die Vishing-Angriffe (telefonisches Phishing) nahmen zwischen dem ersten und dem zweiten Halbjahr 2024 um 442 % zu. Häufig nutzten Angreifer auch gestohlene Zugangsdaten, um sich als legitime Benutzer innerhalb von Organisationen zu bewegen und Sicherheitslösungen zu umgehen. Die Anzahl von Access-Broker-Anzeigen – die gültige gestohlene Zugangsdaten verkaufen – stiegen im Vergleich zum Vorjahr um 50%. Zudem waren 79 % der Angriffe im Jahr 2024 malwarefrei, was den Trend zu „Hands-on-Keyboard“-Angriffen unterstreicht.
Generative KI als Werkzeug der Angreifer
Unternehmerisch agierende Angreifer setzen zunehmend auf generative KI (GenAI). 2024 wurde GenAI eingesetzt, um Social-Engineering-Angriffe zu verbessern, Desinformationskampagnen zu beschleunigen und schädliche Netzaktivitäten zu unterstützen. CrowdStrike hat GenAI unter anderem bei Business Email Compromise und Phishing-Attacken beobachtet – LLMs (Large Language Models) generieren E-Mails und Credential Harvesting Websites mindestens so überzeugend wie Menschen. Trotz der Neuartigkeit bietet GenAI aufgrund der niedrigen Einstiegshürde und der hohen Effizienz ein großes Potenzial zur Skalierung von Angriffen.
Staatsnahe Bedrohungsakteure – China-nahe Cyberaktivitäten nehmen zu
2024 nahmen die Aktivitäten staatsnaher Bedrohungsakteure stark zu – insbesondere mit Bezug zu China. Die Cyberaktivitäten China-naher Gruppen stiegen branchenübergreifend um 150 %, in besonders betroffenen Sektoren wie Finanzdienstleistungen, Medien, Industrie und Fertigung sogar um 200–300 %. CrowdStrike identifizierte darüber hinaus sieben neue China-nahe-Gruppen, was auf eine Verlagerung hin zu gezielteren Angriffen hinweist. Gruppen wie LIMINAL PANDA und VAULT PANDA fokussierten sich beispielsweise auf spezialisierte, hochspezifische Ziele.
Eine ständig wachsende Bedrohungslandschaft
CrowdStrike beobachtet inzwischen 257 namentlich geführte Bedrohungsakteure sowie über 140 neu entstehende Aktivitätscluster. Um sie wirksam zu stoppen, müssen Unternehmen ihr Verhalten, ihre Motivation und ihre Taktiken genau verstehen. Zu den beobachteten Trends aus dem aktuellen Report gehören außerdem:
- Cloud-Umgebungen unter Beschuss: Neue und nicht zuordenbare Cloud-Angriffe stiegen um 26 % im Jahresvergleich. Die missbräuchliche Nutzung gültiger Konten war in der ersten Jahreshälfte 2024 mit 35 % die häufigste Einstiegsmethode in Cloud-Systeme.
- SaaS-Ausnutzung als wachsender Trend: Angreifer nehmen zunehmend cloudbasierte SaaS-Anwendungen ins Visier, um Daten zu stehlen, sich lateral zu bewegen, Erpressung zu betreiben und Drittanbieter anzugreifen. Oft erfolgt der Zugang über kompromittierte Single-Sign-On-Identitäten.
- Ungepatchte Schwachstellen als Angriffsziel: 2024 wurden internetfähige Netzwerkgeräte häufig attackiert – insbesondere, wenn die Endpoint Detection and Response (EDR) eingeschränkte Sichtbarkeit bietet.
- Insider-Bedrohungen nehmen zu: Die Angriffe werden raffinierter – Angreifer tarnen sich als Mitarbeitende. 2024 reagierte CrowdStrike auf 304 Vorfälle im Zusammenhang mit FAMOUS CHOLLIMA, 40 % davon beinhalteten Insider-Aktivitäten.
Weiterführende Informationen zur aktuellen Bedrohungslandschaft sowie Tipps für eine effektive Verteidigung finden Sie im aktuellen CrowdStrike Global Threat Report 2025.