Wozu Einbruch in Unternehmens-Netzwerke, wenn es auch per Login geht

Der aktuelle „Ontinue Threat Intelligence Report“ für das zweite Halbjahr 2025 belegt, dass der Diebstahl von Zugangsdaten eine zunehmende Herausforderung für Unternehmen darstellt

[datensicherheit.de, 02.04.2026] Ontinue hat den „Threat Intelligence Report“ für das zweite Halbjahr 2025 veröffentlicht. Dessen zentrale Erkenntnis ist demnach, dass Cyberkriminelle zunehmend auf Identitätsangriffe setzen. Statt Schwachstellen in Systemen der Unternehmen anzugreifen, nutzten sie heute eher kompromittierte Zugangsdaten oder missbrauchten digitale Identitäten und vertrauenswürdige Integrationen, um sich Zugang zu ihnen zu verschaffen.​

Foto: Ontinue

Balazs Greksza warnt: Sobald Angreifer gültige Identitäten erlangen, können sie traditionelle Sicherheitskontrollen umgehen und sich als legitime Benutzer bewegen!

Mit Hilfe geraubter Zugangsdaten zum direkten Zugriff auf „Cloud“-Umgebungen und interne Unternehmenssysteme

Der „Threat Intelligence Report“ des ATO-Teams („Advanced Threat Operations“) von Ontinue zeige, dass Angriffe auf digitale Identitäten bei Sicherheitsuntersuchungen mittlerweile dominierten.

• Zu den typischen Arten von Cyberattacken gehörten AiTM-Angriffe („Adversary in the Middle“), Passwort-Spraying sowie das Suchen und anschließende Ausnutzen von unbeabsichtigt veröffentlichten „Secrets“ wie Client-Passwörter.

Cyberkriminelle nutzten die auf diese Weise gekaperten Zugangsdaten, um direkt auf „Cloud“-Umgebungen und interne Unternehmenssysteme zuzugreifen, anstatt Schwachstellen in Software auszunutzen. In diesem Zusammenhang spielten „Infostealer“ eine zentrale Rolle: Malware-Familien wie „LummaC2“ sammelten Passwörter im Browser, in „Cookies“ und Authentifizierungs-Tokens von infizierten Systemen.

Auch Cyberkriminelle ohne Hacking-Erfahrung finden im Darknet Zugangsdaten zu Unternehmensumgebungen

Die gestohlenen Zugangsdaten fassten die „Tools“ überdies zu „Logs“ zusammen, welche dann den Weg auf Verkaufsplattformen im sogenannten Darknet fänden. Auf diese Weise erhielten auch Cyberkriminelle ohne Hacking-Erfahrung auf einfachste Weise Zugangsdaten zu Unternehmensumgebungen.

• Laut dem aktuellem „Threat Intelligence Report“ ist die Anzahl von Listen gestohlener Zugangsdaten, die sich auf einen Missbrauch durch „LummaC2“-Malware zurückführen lassen, um 72 Prozent gestiegen.

Bereits ein einziger gestohlener Zugang zu internen Unternehmensumgebungen könne pro Konto Tausende von Euro einbringen. Somit sei der Diebstahl von Zugangsdaten derzeit einer der profitabelsten Hacks.

Repertoire der Hacker: Datendiebstahl, Betriebsstörungen, DDoS-Angriffe sowie direkte Einschüchterung von Mitarbeitern oder Kunden der Zielunternehmen

Trotz eines moderaten Rückgangs nachweisbarer Ransomware-Zahlungen von rund 770 Millionen Euro im Jahr 2024 auf 708 Millionen Euro im Jahr 2025, steige die Anzahl der Angriffe weiter. Das ATO-Team von Ontinue habe über 7.000 weltweit gemeldete Ransomware-Vorfälle im Jahr 2025 gezählt, welche mehr als 120 aktive Ransomware-Gruppen in unterschiedlichen Branchen lanciert hätten.

• Für ihre aktuellen Ransomware-Kampagnen kombinierten Cyberkriminelle zunehmend mehrere Druckmittel: Zum Repertoire der Hacker gehörten Datendiebstahl, Betriebsstörungen, DDoS-Angriffe („Distributed Denial of Service“) wie auch die direkte Einschüchterung von Mitarbeitern oder Kunden von Zielunternehmen. Diese Taktiken bezeichneten Experten als Double-, Triple- oder sogar Quadruple-Extortion.

Der neue „Threat Intelligence Report“ zeige überdies erste Anzeichen dafür, dass Bedrohungsakteure Generative KI (GenAI) nutzten, um die Entwicklung bösartiger „Tools“ zu beschleunigen. Die Analyse mehrerer wiederhergestellter „Webshells“ und „Commodity-Malware-Samples“ habe Programmiermuster aufgezeigt, welche auf LLM-unterstützte Entwicklung hinwiesen. Die Analysten hätten beispielsweise ausführliche erläuternde Kommentare, duplizierte Funktionen durch iteratives Prompting und visuell aufbereitete Oberflächen bei unsicheren Implementierungen gefunden. Obwohl „adversariale KI“ derzeit noch in den Kinderschuhen stecke und kein dominanter Angriffsvektor sei, weist das ATO-Team von Ontinue darauf hin, dass GenAI die technische Barriere für die Entwicklung funktionaler Malware und Angriffsinfrastruktur deutlich senken werde.

Foto: Ontinue

Craig Jones rät Unternehmen, Risiken zu reduzieren, indem sie Bedrohungen schnell erkennen, entschlossen reagieren und die betriebliche Kontinuität im Falle eines „Security Incident“ aufrechterhalten

Hacker versuchen zunehmend über Entwicklungspipelines, SaaS-Plattformen und Drittanbieter, indirekten Zugang zu Unternehmensumgebungen zu erlangen

Die Risiken im Zusammenhang mit Software-Lieferketten und „Cloud“-Integrationen nähmen ebenfalls zu. Hacker versuchten zunehmend über Entwicklungspipelines, SaaS-Plattformen und Drittanbieter, indirekten Zugang zu Unternehmensumgebungen zu erlangen.

• Solche Angriffe könnten sich schnell über vertrauenswürdige „Ökosysteme“ ausbreiten und es Angreifern ermöglichen, mehrere Organisationen gleichzeitig zu kompromittieren.

Neben identitätsgetriebenen Angriffen dokumentiere der aktuelle „Threat Intelligence Report“ zu guter Letzt auch einen dramatischen Anstieg infrastruktureller Bedrohungen. DDoS-Kampagnen hätten Spitzenwerte von 31,4 Tbps erreicht – angetrieben durch Botnets mit über 500.000 kompromittierten Systemen. Diese Angriffe zeigten die wachsende Größe und Automatisierungskapazität heutiger Bedrohungsakteure.

Zusammenarbeit mit geeignetem „Managed Security Provider“ ermöglicht es Unternehmen, fortschrittliche Technologie, Echtzeit-Bedrohungsinformationen und erfahrene Analysten zu kombinieren

„Angreifer versuchen nicht mehr, Sicherheitsbarrieren zu durchbrechen. Sie loggen sich schlicht mit gestohlenen Zugangsdaten ein!“, berichtet Balazs Greksza, „Director of Advanced Threat Operations“ bei Ontinue. Er führt weiter aus: „,Infostealer’ versorgen einen wachsenden Untergrundmarkt für ,Credentials’. Sobald Angreifer gültige Identitäten erlangen, können sie traditionelle Sicherheitskontrollen umgehen und sich als legitime Benutzer bewegen.“

Dies geschehe oft, ohne dass innerhalb des Unternehmens irgendwelche Alarme ausgelöst würden.

Craig Jones, „Chief Security Officer“ bei Ontinue, ergänzt: „Cyberresilienz bedeutet für Unternehmen heute nicht nur, Sicherheitsverletzungen zu verhindern. Wichtig ist auch, Risiken zu reduzieren, indem sie Bedrohungen schnell erkennen, entschlossen reagieren und die betriebliche Kontinuität im Falle eines ,Security Incident’ aufrechterhalten. Die Zusammenarbeit mit dem richtigen ,Managed Security Provider’ ermöglicht es Unternehmen, fortschrittliche Technologie, Echtzeit-Bedrohungsinformationen und erfahrene Analysten zu kombinieren, um Angreifern einen Schritt voraus zu sein und die Fähigkeit zur Abwehr und Wiederherstellung gegen moderne Cyberbedrohungen zu stärken.“

Weitere Informationen zum Thema:

Ontinue
Managed SecOps for Microsoft Security Customers / Tailored protection to stop attacks and prevent future threats so you don’t have to

Ontinue
2 H 2025 Threat Intelligence Report

Ontinue
Leadership

datensicherheit.de, 25.02.2026
ESET-Warnung: Gestohlene Zugangsdaten längst das gefährlichste Angriffswerkzeug / In Frankreich wurden kürzlich 1,2 Millionen Bankkonten kompromittiert – nach ESET-Erkenntnissen ohne Hacker-Attacke auf den Server, sondern über gestohlenen Login

datensicherheit.de, 13.01.2025
Cyber-Kriminellen bevorzugen Login statt Einbruch / Personenbezogene Daten Hauptziel der Cyber-Angreifer