Der Acronis Cyberthreats Report für das 2. Halbjahr 2025

Cyberkriminelle investieren immer weniger Zeit in die Entwicklung neuer, KI-basierter Angriffsmethoden. Das sind jedoch keine guten Nachrichten: Laut dem Acronis Cyberthreats Report für das 2. Halbjahr 2025 konzentrieren sie sich vor allem darauf, mithilfe von KI ihre bereits erfolgreichen Angriffe auszuweiten und zu verfeinern. Dadurch lassen sich Cyberangriffe immer effizienter durchführen.

Die Kurzfassung des Acronis Cyberthreats Report für das 2. Halbjahr 2025 geht auf viele weitere Entwicklungen für die Cybersicherheit ein, die 2025 beobachtet wurden und beleuchtet die Folgen des KI-Einsatzes für die Bedrohungslage detailliert.

Laut der Kurzfassung des Berichts werben 80 % der Ransomware‑as‑a‑Service-Anbieter (RaaS) mit KI- oder Automatisierungsfunktionen. Cyberkriminelle nutzen KI, um bereits erfolgreiche Angriffe zu skalieren, statt Zeit in die Entwicklung neuer Angriffe zu investieren. Mithilfe KI-basierter Funktionen können sie bewährte Techniken und Taktiken wie Datenerpressung, Spionage, Betrug und Verhandlungen über Lösegeldforderungen massiv verstärken.

Sowohl Cyberkriminelle als auch viele Büroangestellte nutzen KI, um Zeit zu sparen, indem sie autonome und halb‑autonome Aufgaben an die KI delegieren. Dadurch können Cyberkriminelle ihre Arbeitsbelastung reduzieren und in kürzerer Zeit mehr Angriffe durchführen. Sie profitieren dabei von denselben Vorteilen wie Managed Service Provider (MSPs) und andere Unternehmen.

• Die Ransomware-Bande GLOBAL GROUP hat einen KI‑gesteuerten Chatbot eingeführt, um mit ihren Opfern zu verhandeln und so ein möglichst hohes Lösegeld zu erpressen.
• Die Ransomware-Gang GTG‑2002 nutzte KI-Tools, um Skripte zu generieren, Anmeldedaten zu stehlen und gestohlene Daten zu analysieren.
• Bei einem von der chinesischen Regierung unterstützten Angriff kam ein KI‑System mit agentischem Verhalten zum Einsatz. Es erforderte nur minimale menschliche Eingriffe, da es Spionage und die Verwendung von Anmeldedaten selbstständig miteinander verknüpfen konnte.
• Bei virtuellen Entführungen wurden KI‑generierte Fotos und Videos als gefälschte „Lebenszeichen” eingesetzt.

Im zweiten Halbjahr 2025 kam es zu einem deutlichen Anstieg von Cyberangriffen über E-Mails, Kollaborationsplattformen und Ransomware. E-Mails waren dabei nach wie vor der häufigste Angriffsvektor, während Collaboration-Apps weiterhin das bevorzugte Ziel für präzise Social Engineering-Angriffe und den Missbrauch von Berechtigungen blieben.

• Die Zahl der E-Mail-basierten Angriffe pro Unternehmen stieg im Vergleich zum Vorjahr um 16 % und pro Benutzer:in sogar um 20 %.
• Im zweiten Halbjahr 2025 stiegen E-Mail-basierte Angriffe um 36 % gegenüber dem ersten Halbjahr, was E-Mails eindeutig als wichtigste Angriffsfläche bestätigt.
• Phishing dominierte die E-Mail-Bedrohungen im zweiten Halbjahr und machte 83 % aller E-Mail-Bedrohungen aus, während hochentwickelte Angriffe lediglich 1 % ausmachten.

• Die Zahl der hochentwickelten Angriffe auf Collaboration-Apps ist von 12 % aller Angriffe im Jahr 2024 auf 31 % im Jahr 2025 stark angestiegen. Diese Art von Angriff kommt bei Collaboration-Apps mehr als 30-mal häufiger vor als bei E-Mails.
• Malware machte 54 % der Angriffe aus, Phishing 15 %.

• Die Fertigungsindustrie und der Technologiesektor waren am stärksten von Cyberangriffen betroffen. Dies spiegelt den hohen Verfügbarkeitsdruck in diesen komplexen IT-/OT-Umgebungen wider.
• Von Januar bis November 2025 gab es mindestens 1.200 Opfer nach Datenschutzverletzungen bei Lieferketten‑Unternehmen oder Drittanbietern.

• Acronis konnte fast 100 aktive RaaS-Anbieter ausfindig machen. Allein im zweiten Halbjahr 2025 kamen 34 neue Anbieter hinzu.
• Die Zahl der Ransomware-Angriffe stieg bis Oktober 2025 im Vergleich zum Vorjahr um 50 %. Verantwortlich hierfür sind vor allem die Aktivitäten der Ransomware-Banden Qilin, Sinobi und Akira.

Für Service Provider stellen Schwachstellen nach wie vor ein erhebliches Problem dar. Einige von ihnen haben es im vergangenen Jahr leider nicht geschafft, ihre Systeme wirksam zu patchen. Laut der Kurzfassung des Berichts wurden im Jahr 2025 fast 150 MSPs und Telekommunikationsunternehmen Opfer von Ransomware, darunter 69 MSPs.

Angriffsvektoren bei MSP-Angriffen:

• Phishing ist mit 52 % nach wie vor der Hauptangriffsvektor.

• Ungepatchte Schwachstellen waren bei MSPs und Lieferketten-Unternehmen die häufigste Ursache für erfolgreiche Angriffe. Bei MSPs machte dieser Angriffsvektor 27 % aus.

• Missbrauch von Anmeldedaten: 13 %

• Vertrauensstellung (Trust Relationship): 5 %

• Remote Desktop Protocol (RDP): 3 %

Im Jahr 2025 wurden fast 3.000 kritische Schwachstellen bekannt. Dies unterstreicht die Bedeutung und Dringlichkeit eines effektiven Patch-Managements. Darüber hinaus wurden alle bekannt gewordenen Schwachstellen in MSP-Plattformen (z. B. RMM- und PSA-Tools) als „hoch“ oder „kritisch“ eingestuft, was das hohe Betriebsrisiko verdeutlicht.

In der Kurzfassung des Acronis Cyberthreats Report für das 2. Halbjahr 2025 erfahren Sie mehr über Statistiken, Beobachtungen und Empfehlungen zur Cybersicherheit.