Das Jahr 2025 markiert einen Wendepunkt in der weltweiten IT-Sicherheitsarchitektur: Nie zuvor standen Unternehmen unter so starkem Beschuss durch hochentwickelte Cyberbedrohungen. Zwischen gezielten Angriffen auf Identitätsmanagement-Lösungen, Zero-Day-Exploits in Endpoint-Management-Systemen und neuen, KI-gestützten Malware-Kampagnen brodelt es unter der Oberfläche digitaler Infrastrukturen.
Ein Rückblick auf die alarmierendsten Sicherheitsereignisse des Jahres
Die Bedrohungslage hat sich 2025 noch einmal verschärft. Besonders drei Vorfälle dominieren die Jahresbilanz der internationalen Cybersicherheitsbehörden: der Zero-Day-Exploit „Shai Hulud 2“, die Kompromittierung zahlreicher HCL BigFix-Instanzen und weitreichende Schwachstellen beim Oracle Identity Manager (OIM). Sie stehen exemplarisch für den zunehmenden Druck, unter dem IT-Abteilungen weltweit stehen.
Shai Hulud 2: Ein neuer Maßstab für Supply-Chain-Angriffe
Ein entscheidender Wendepunkt war der im Februar 2025 identifizierte Exploit „Shai Hulud 2“, eine Weiterentwicklung des berüchtigten Shai-Hulud-Angriffs aus 2023. Laut einem Bericht der European Union Agency for Cybersecurity (ENISA) handelte es sich um einen komplexen Supply-Chain-Angriff, der gezielt CI/CD-Pipelines kompromittierte. Besonders alarmierend: Der Zero-Day-Exploit nutzte legitime Signaturen kompromittierter Build-Systeme aus, wodurch Sicherheitslösungen wie EDR/SIEM nur verzögert oder gar nicht reagierten.
Über 60 internationale Softwareunternehmen wurden laut einem FBI-DHS-Lagebericht kompromittiert, darunter mehrere Cloud-native Anbieter sowie Anbieter von Containerplattformen. Der Angriff ermöglichte es Angreifern, persistente Backdoors auf Endkundensystemen zu installieren, ohne konventionelle Alarmmechanismen auszulösen.
Ein Sprecher von CrowdStrike kommentierte: „Shai Hulud 2 hebt Supply-Chain-Angriffe technisch und strategisch auf eine neue Ebene. Die zunehmende Abhängigkeit von DevOps-Automatisierung erfordert einen Paradigmenwechsel in der Kontroll- und Vertrauensebene.“
HCL BigFix unter Beschuss: Wie eine Endpoint-Lösung zum Einfallstor wurde
Im April wurde bekannt, dass mehrere Angreifergruppen gezielt Schwachstellen in veralteten Instanzen von HCL BigFix (vormals IBM BigFix) ausnutzten. Die Schwachstelle CVE-2025-29844 ermöglichte Remote Code Execution (RCE) über eine fehlerhafte Verarbeitungslogik im Web-UI-Modul des BigFix Deployment Servers. Schätzungen von Cybereason zufolge waren weltweit mindestens 1.200 Großunternehmen betroffen, darunter Finanzdienstleister und Behörden.
Besonders problematisch: In vielen Organisationen war das Patch-Management ironischerweise gerade über BigFix automatisiert, sodass der Exploit einem Dominoeffekt gleichkam – Angreifer konnten nicht nur in Netzwerke eindringen, sondern auch deren gesamte Endpoint-Patching-Infrastruktur kontrollieren.
Das Computer Emergency Response Team (CERT) der Bundesregierung warnte in einer Sondermeldung: „Ein kompromittiertes BigFix-Deployment stellt ein strategisch extrem gefährliches Szenario dar, da es tief in die IT-Automatisierung und Endpoint-Kohärenz eingreift.“
Oracle Identity Manager: Veraltete Module mit gravierenden Folgen
Ein weiteres kritisches Ereignis war die Offenlegung struktureller Schwachstellen in älteren Versionen des Oracle Identity Manager (OIM), insbesondere den Java-basierten SOAP-Komponenten. Die Schwachstelle CVE-2025-22119 erlaubte unauthentifizierten Zugriff auf administrative APIs und wurde Berichten zufolge aktiv ausgenutzt – offenbar auch durch staatlich unterstützte Gruppen im asiatisch-pazifischen Raum.
Laut Oracle traten erste Hinweise auf ungewöhnliche Aktivitäten bereits Ende 2024 auf. Die vollständige Analyse und Offenlegung erfolgte jedoch erst im Mai 2025. Besonders betroffen waren Unternehmen, die OIM noch nicht vollständig in moderne Zero Trust-Architekturen migriert hatten.
Die Sicherheitsforscher von Mandiant stellten fest: „Legacy Identity-Lösungen wie OIM sind ein beliebtes Ziel, weil sie tief in Geschäftsprozesse eingebettet und schwer zu ersetzen sind, aber oft nicht mehr dem heutigen Bedrohungsmodell standhalten.“
Die Bedrohungslage 2025: Cyberangriffe werden intelligenter und schneller
Die aktuelle Bedrohungslage zeigt dramatische Entwicklungen: Laut dem „Cybersecurity Threat Report 2025“ von Palo Alto Networks stieg die durchschnittliche Verweildauer von Angreifern im Netzwerk bis zur Entdeckung (Dwell Time) im Enterprise-Bereich wieder an – von 15 Tagen (2024) auf 22 Tage in der ersten Jahreshälfte 2025.
Zugleich greifen Angreifer schneller initial zu: Die Initial Access Time nach Ausnutzung eines Exploits sank im Median auf unter 45 Minuten (Quelle: IBM X-Force Threat Intelligence Index 2025). Besonders problematisch ist die Kombination aus gestohlenen Zugangsdaten, legitimen Admin-Tools (Living off the Land Tactics) und täuschend echten Phishing-Kampagnen, oft gestützt durch generative KI.
Die wichtigsten Angriffsarten 2025 laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind:
- Spear-Phishing auf C-Level-Ebene durch Deepfakes
- Zero-Day-Ausnutzung in Drittanbieter-Software
- Credential Stuffing auf Basis von Darknet-Leaks
- Manipulation von Cloud-Konfigurationsdateien
Im Fokus stehen unternehmenskritische Applikationen, insbesondere HR-, Finance- und ERP-Systeme. Die Cloud-first-Strategie vieler Unternehmen hat zwar Agilität ermöglicht, jedoch gleichzeitig die Angriffsfläche deutlich vergrößert.
Erfolgreiche Verteidigungsmaßnahmen: Was IT-Teams schützen kann
Angesichts der angespitzten Lage setzen immer mehr Unternehmen auf eine Kombination aus proaktiver Bedrohungserkennung, strikteren IAM-Regeln und automatisierten Reaktionstechniken. Besonders wirkungsvoll haben sich folgende Maßnahmen in der Praxis erwiesen:
- Implementierung von Zero Trust Security: Unternehmen wie Siemens und Allianz berichten, dass segmentierte Netzwerke mit kontinuierlicher Authentifizierung entscheidend zur Eindämmung von Angriffsbewegungen beigetragen haben.
- Security Orchestration, Automation and Response (SOAR): Laut einer Umfrage von ESG Research aus dem Juli 2025 gaben 63 % der befragten Unternehmen an, durch SOAR-Plattformen ihre mittlere Reaktionszeit halbiert zu haben.
- Asset Discovery und Shadow-IT-Monitoring: Die Entdeckung unautorisierter Anwendungen und veralteter Dienste ist ein zentraler Schritt zur Risikoreduktion.
Darüber hinaus gewinnen „Threat Hunting“-Initiativen an Bedeutung: Proaktive Analysen nicht alarmierender aber auffälliger Verhaltensmuster liefern oft die ersten Hinweise auf bevorstehende Angriffe – noch bevor Tools wie SIEM reagieren.
Handlungsempfehlungen für Unternehmen aller Größen
Angesichts der aktuellen Entwicklung empfehlen Experten eine strategische Neuausrichtung der unternehmensweiten Cybersicherheitsstrategie. Folgende konkrete Maßnahmen gelten 2025 als Best Practices:
- Führen Sie eine umfassende Risikoanalyse durch – und aktualisieren Sie sie halbjährlich, nicht nur jährlich.
- Investieren Sie in Security Awareness Trainings für Fach- und Führungskräfte – idealerweise ergänzt um simulierte Angriffsszenarien.
- Verankern Sie Security-by-Design bei allen neuen Technologieprojekten als verbindliches Architekturprinzip.
Insbesondere kleinere und mittlere Unternehmen sollten externe Penetrationstests regelmäßig beauftragen und ihre Backup-Infrastruktur inklusive Recovery-Prozesse kritisch prüfen.
Fazit: Resilienz ist das neue Sicherheitsziel
2025 hat erneut gezeigt: IT-Sicherheit ist kein reines Technologieproblem, sondern eine ganzheitliche Führungsaufgabe. Die Komplexität und Geschwindigkeit moderner Cyberangriffe machen es unmöglich, über reine Prävention zu bestehen – Resilienz, also die Fähigkeit zur schnellen Erkennung und Wiederherstellung, wird zur Schlüsselmetrik erfolgreicher Organisationen.
Welche Maßnahmen haben Sie erfolgreich umgesetzt? Welche Erfahrungen haben Sie mit aktuellen Bedrohungen gesammelt? Diskutieren Sie mit – unsere Community freut sich auf Ihre Perspektive!
