Die Cybersicherheit steht 2025 vor neuen Herausforderungen: Angriffe werden raffinierter, digitale Angriffsflächen größer. Trends wie KI-gestützte Abwehr, die Absicherung hybrider Arbeitsmodelle und strengere Regulierungen prägen die Sicherheitsstrategien der Zukunft. Dr. Sebastian Schmerl , Vice President Security Services EMEA bei Arctic Wolf, gibt einen Überblick über Sicherheitstrends und -risiken in 2025.
Digitale Souveränität wird wichtiger denn je
Die Kontrolle über die eigenen Geschäftsprozesse hat für Unternehmen höchste strategische Priorität. Damit rückt auch die Sicherstellung der eigenen digitalen Souveränität in den Fokus. Viele Unternehmen entscheiden sich daher für lokale Outsourcing-Optionen, z. B. beim Hosting. Die häufig kleineren europäischen Anbieter bieten neben der regionalen Nähe häufig den Vorteil, dass sie besser auf die spezifischen Anforderungen ihrer Kunden eingehen können. Große Marktakteure wie AWS haben den Trend hin zu größerer digitaler Souveränität jedoch auch erkannt. Sie planen daher regionale Entitäten, um ihrerseits räumlich näher bei ihren Kunden zu sein und den lokalen Anforderungen Rechnung zu tragen. Es bleibt abzuwarten, welche Auswirkungen zukünftige geopolitische Entwicklungen, wie die US-Präsidentschaft von Donald Trump, auf die Handelsbeziehungen und Datenschutzanforderungen und damit auf die digitale Souveränität von Unternehmen weltweit haben werden.
Wirtschaft: Deutschland bleibt attraktives Angriffsziel
Deutschland bleibt ein attraktives Ziel für Cyberangriffe. Aufgrund seines hohen Lohnniveaus und seiner starken Abhängigkeit von geistigem Eigentum steht die deutsche Wirtschaft unter Druck, immer mehr Geschäftsprozesse zu digitalisieren, um Effizienzgewinne zu realisieren. Komplexere IT-Infrastrukturen bedeuten jedoch auch eine größere Angriffsfläche. Hybrides Arbeiten und der verstärkte Einsatz von Cloud-Diensten bieten zusätzliche Einfallstore für Cyberkriminelle.
Zudem nutzen Angreifer vermehrt KI-gestützte Tools, um Phishing- oder Malware-as-a-Service (MaaS) auch für weniger erfahrene Akteure anzubieten und Eintrittsbarrieren zu senken.
Neuwahlen und Desinformation: Gefahren für die Demokratie
Ein weiterer Risikofaktor sind Desinformationskampagnen, die mithilfe von KI verstärkt automatisiert und sehr authentisch durchgeführt werden können. Im Vorfeld der außerplanmäßigen Bundestagswahl am 23. Februar stellen solche Angriffe eine erhebliche Gefahr dar, da sie das Vertrauen in demokratische Prozesse untergraben und politische Instabilität fördern. Deutschland muss sich daher nicht nur gegen Angriffe auf kritische Infrastrukturen, sondern auch gegen digitale Manipulationsversuche, Falschinformationen und Spionage wappnen – insbesondere in einer Zeit, in der nationalstaatliche Akteure vom Schutz und der Unterstützung ihrer Regierungen profitieren.
KI wird mächtiger, löst aber noch nicht alle Herausforderungen
KI gilt als eines der vielversprechendsten Tools in der IT-Security, birgt jedoch auch Risiken. Während nahezu kein Security-Produkt ohne KI beworben wird, besteht die Gefahr des sogenannten „Shiny Object Syndroms“ – Produkte werden nicht nach ihrem Nutzen und tatsächlichen Bedarf des Unternehmens, sondern aufgrund des Hypes angeschafft. Dabei wird häufig übersehen: KI kann zwar riesige Datenmengen, analysieren, doch die Ergebnisse müssen in letzter Konsequenz weiterhin von IT-Sicherheitsfachleuten interpretiert und qualifiziert werden. Der menschliche Faktor bleibt damit auch im nächsten Jahr unerlässlich. Security-Dienstleister können Unternehmen als verlängerte Werkbank dabei unterstützen, KI effektiv einzusetzen.
Die Grenzen zwischen IT- und OT-Security verschwimmen
Produktionsstätten sind ein wichtiger Motor für die Wirtschaft und ein attraktives Angriffsziel für Cyberkriminelle. Es ist zu erwarten, dass die Absicherung von Produktionsumgebungen stärker in den Fokus der Cybersicherheit rücken wird. Dabei werden Produktionssteuerungen (SPS/PLCs), die auf der unteren Ebenen nach dem Purdue-Modell angesiedelt sind, selten direkt angegriffen. Stattdessen zielen die Angreifer auf Schwachstellen in der Microsoft-Ebene bzw. der Windows-Systembasis, die die Produktionssoftware ausführt. Für Angreifer, die lediglich eine Monetarisierung ihres Angriffs im Sinn haben, reicht dies aus. Denn ohne Einsteuerung von Produktionsaufgaben von den durch Microsoft getriebenen Leitsystemen bleiben die SPS/PLCs meist auftragslos, die Produktion steht still und der Druck Lösegeld zu zahlen, steigt. Doch selbst, wenn Angreifer tiefer in die Produktions-Infrastruktur vordringen wollen, haben sie oft leichtes Spiel: Viele Produktionssteuerungen sind „Insecure by Design“ und unterstützen keine Authentifizierung und Verschlüsselung. Sie führen jeden Befehl aus, der an sie gesendet wird. Wenn Angreifer physischen oder netzwerktechnisch Zugang zu SPS/PLCs erhalten, könnten sie so jede beliebige Aktion ausführen. In der OT-Sicherheit gibt es also Nachholbedarf, der 2025 geschlossen werden sollte.
Threat-Intelligence-Plattformen gewinnen an Bedeutung
Der altbekannte Spruch „Wissen ist Macht“ beschreibt die Situation in der Cyberabwehr sehr gut: Je mehr wir über die Angreifer und ihre Taktiken wissen, desto besser können wir uns schützen. Der Vorteil von Sicherheitsprodukten, die breit im Markt installiert sind, liegt entsprechend in ihrem Zugang zu einer breiten Palette von Bedrohungsinformationen – über Unternehmensgrößen, Regionen und Branchen hinweg. Plattformen mit umfangreichen Log-Daten über Systemverhalten und sicherheitsrelevante Ereignisse ermöglichen die Identifikation von typischen bzw. wiederkehrenden Angriffsmustern. Damit lassen sich häufig ausgenutzte Schwachstellen und bestehende Risiken ableiten und z. B. folgende Fragestellungen beantworten: Wo und unter welchen Bedingungen ist welche Art von Unternehmen besonders gefährdet und welche Sicherheitsmaßnahmen ermöglichen den besten Schutz? Sprachbasierte Modelle zur Aufbereitung der Daten erleichtern außerdem eine verständliche und zielgruppengerechte Aufbereitung der Ergebnisse. Weil keine Entspannung der Bedrohungslandschaft erkennbar ist, ist mit einer größeren Nachfrage nach umfassenden Threat-Intelligence-Plattformen zu rechnen.
Incident-Response wird zunehmend automatisiert
Die schnelle Identifikation und Isolation von Systemen oder Nutzern, die in einzelne Sicherheitsverletzungen involviert sind, sind entscheidend für eine effektive Abwehr. Insbesondere weil IT-Abteilungen schmal besetzt sind und Sicherheitsexperten häufig fehlen, werden viele Unternehmen versuchen, mehr Sicherheitsprozesse zu automatisieren, um schnelle Reaktionszeiten zu garantieren. Automatisierte Prozesse können dann z. B. Angriffe auf Basis des Prinzips „erst isolieren, dann analysieren“ automatisch frühzeitig blockieren, betroffene Systeme und Nutzer isolieren und anschließend überprüfen, ob diese sicher sind, bevor sie wieder in Betrieb genommen werden. Die Idee ist kleinere Feuer schnell zu löschen, bevor sie zum Flächenbrand werden.
Zero-Trust wird zum Sicherheitsstandard
Mit der Erosion traditioneller IT-Perimeter durch hybride Arbeitsmodelle und der engeren Verzahnungen von Geschäftsprozessen mit Partnern, Zulieferern und Kunden wird sich „Zero Trust“ als unverzichtbare Sicherheitsstrategie weiter etablieren. Sie basiert auf dem Prinzip „Vertraue niemandem, überprüfe alles. Damit wird der Zugang zu Systemen und IT-Services in Abhängigkeit vom Kontext der zugreifenden Identität gewährt oder verweigert. So wird zum Beispiel der Zugriff von einem gepatchten Gerät erlaubt, während er bei einem Gerät mit Schwachstellen verweigert wird. Unternehmen, die frühzeitig auf Zero-Trust-Architekturen und ein umfassendes Zugriffsmanagement sowie kontinuierliche Authentifizierungsmaßnahmen setzen, erhöhen nicht nur ihre Sicherheit, sondern schaffen auch die Grundlage für eine flexibel skalierbare und zukunftssichere IT-Umgebung.
Der Mensch bleibt das schwächste Glied
Phishing und Social-Engineering bleiben die effektivsten Angriffsmethoden für den „Initial Access“ in ein Unternehmen. Auch fortschrittliche Awareness-Trainings können menschliche Schwächen nur bis zu einem gewissen Grad eliminieren, da Phishing, Vishing, Smishing und ähnliche Angriffe durch den Einsatz von KI und personalisierte Ansprache immer gezielter und überzeugender werden. Unternehmen müssen daher verstärkt auf Monitoring- und Detektions-Lösungen setzen, die Bedrohungen in Echtzeit erkennen und blockieren, und sich nicht allein auf das Urteilvermögen ihrer Mitarbeitenden verlassen.
NIS2: Unternehmen werden gezielt Ressourcen einplanen
Die NIS2-Richtlinie wird Unternehmen insbesondere im Mittelstand dazu zwingen, mehr Ressourcen für Cybersicherheit bereitzustellen. Dies betrifft nicht nur die IT, sondern auch das strategische Management. Es gilt ganz konkret Budget, aber vor allen Dingen auch Zeit in IT-Abteilungen und Geschäftsführung zu allokieren, um die NIS2-Anforderungen umzusetzen. Sind in Unternehmen schon Informationssicherheitsmanagementsysteme (ISMS) wie ISO/IEC 27000, BSI IT-Grundschutz, TISAX, PCI DSS oder andere im Einsatz, dann sind ein Großteil der Anforderungen für NIS2 erfüllt. Das geforderte technische Sicherheitsmonitoring und die Detektion und Reaktion auf Sicherheitsvorfälle bleibt für viele Unternehmen jedoch eine große Herausforderung. Diese Aufgaben lassen sich gut an Managed-Security-Service-Provider delegieren.
Info: Weitere spannende Erkenntnisse zu den Cybersecurity Trends 2025 finden sich im aktuellen Arctic Wolf Labs 2025 Predictions Report.
#ArcticWolf