2025 ENISA Threat Landscape-Report

Mit Awareness, Diversität und Inklusion gegen Hacktivismus, DDoS und Ransomware

Bedrohungslage in der EU (Quelle: ENISA)

ENISA hat gestern seinen 2025 ENISA Threat Landscape-Report veröffentlicht. Für die aktuelle Ausgabe der ENISA-Bedrohungslandschaft wurden 4875 Vorfälle im Zeitraum vom 1. Juli 2024 bis zum 30. Juni 2025 untersucht. Mit einem stärker auf Bedrohungen ausgerichteten Ansatz und einer weitergehenden Kontextanalyse bietet der Bericht einen Überblick über die wichtigsten Cybersicherheitsbedrohungen und -trends, denen die EU im aktuellen Ökosystem der Cyberbedrohungen ausgesetzt ist.

Die ENISA-Bedrohungslandschaft 2025 ist komplex. Bedrohungsgruppen verwenden Tools und Techniken wieder, führen aber auch neue Angriffsmodelle ein. Angreifer nutzen Schwachstellen aus und arbeiten zusammen, um die Sicherheit und Widerstandsfähigkeit der digitalen Infrastruktur der EU anzugreifen. Ransomware und DDoS-Angriffe gehören nach wie vor zu den größten Gefahren.

Ransomware gilt als die Bedrohung mit den größten Auswirkungen innerhalb der Europäischen Union. Phishing-Angriffe (60%) und die Ausnutzung von Schwachstellen (21,3%) zählen zu den beiden häufigsten Einstiegspunkten für Angreifer.

Die häufigste Art von Cybervorfällen in der EU waren DDoS-Angriffe, die 77% aller gemeldeten Fälle ausmachten. Der Großteil dieser Angriffe wurde von Hacktivisten verübt, während Cyberkriminelle nur einen geringen Anteil daran hatten.

Bezogen auf die Ziele der Vorfälle handelte es sich bei nahezu 80% um ideologisch motivierte Angriffe. Hacktivisten griffen vor allem die Websites von Organisationen in EU-Mitgliedstaaten an. Die Wirkung blieb indes gering; in lediglich 2% dieser Vorfälle kam es zu Dienstunterbrechungen.

Staatlich unterstützte Bedrohungsakteure intensivierten ihre Aktivitäten gegen Organisationen in der EU. Gruppen mit Verbindungen zu staatlichen Stellen führten Cyberspionage gegen den öffentlichen Verwaltungssektor durch, während EU-Bürger zunehmend mit ausländischer Informationsmanipulation und -einmischung (FIMI) konfrontiert wurden.

Basierend auf der aktualisierten ENISA-Methodik zur Bewertung der Cybersicherheitsbedrohungslage und einem neuen Format enthalten die Ergebnisse aktualisierte Schlüsseltrends. Als primäre Methode für das erste Eindringen wurde Phishing (einschließlich Vishing, Malspam und Malvertising) als der führende Vektor identifiziert, der etwa 60% der beobachteten Fälle ausmacht. Fortschritte bei seiner Anwendung, wie z. B. Phishing-as-a-Service (PhaaS), das die Verteilung von vorgefertigten Phishing-Kits ermöglicht, deuten auf eine Automatisierung hin, die Angreifern unabhängig von ihrer Erfahrung den Weg ebnet.

In engem Zusammenhang mit den jüngsten Ereignissen in der EU ist eine Zunahme der Angriffe auf Cyber-Abhängigkeiten zu beobachten. Cyberkriminelle haben ihre Bemühungen verstärkt, kritische Abhängigkeiten, beispielsweise in der digitalen Lieferkette, zu missbrauchen, um das Maximum aus ihren Angriffen herauszuholen. Diese Methode kann die Auswirkungen von Aktionen verstärken, indem sie die Vernetzung unserer digitalen Ökosysteme ausnutzt.

Auffällig ist auch die Konvergenz zwischen Bedrohungsgruppen und die Überschneidung ihrer Taktiken, Techniken und Verfahren (TTPs), Ziele, Absichten usw. Dies zeigt sich am besten am Beispiel des Faketivismus, bei dem staatlich gelenkte Akteure Hacktivismus-Methoden anwenden, sowie an den Ähnlichkeiten zwischen den von Hacktivisten-Gruppen und Cyberkriminellen verwendeten Tools.

Steigende Bedrohung durch Einsatz von KI

Die wachsende Rolle der KI ist zu einem unbestreitbaren Schlüssel-Trend in der sich schnell entwickelnden Bedrohungslandschaft geworden. Der Bericht hebt die Verwendung von KI sowohl als Optimierungsinstrument für böswillige Aktivitäten als auch als neuen Angriffspunkt hervor. Große Sprachmodelle (LLMs) werden eingesetzt, um Phishing zu verbessern und Social-Engineering-Aktivitäten zu automatisieren. Bis Anfang 2025 machten KI-gestützte Phishing-Kampagnen Berichten zufolge mehr als 80 Prozent der weltweit beobachteten Social-Engineering-Aktivitäten aus. Angriffe auf die KI-Lieferkette nehmen zu. Während der Schwerpunkt der Bedrohungsaktivitäten im Zusammenhang mit KI auf der Verwendung von KI-Tools für Verbraucher lag, um ihre bestehenden Operationen zu verbessern, geben die neu entstehenden bösartigen KI-Systeme aufgrund der weit verbreiteten Nutzung von KI-Modellen Anlass zur Sorge hinsichtlich ihrer zukünftigen Fähigkeiten.

Nicht zuletzt wurde eine höhere Anzahl von Angriffen auf mobile Geräte festgestellt, wobei der Schwerpunkt auf der Kompromittierung veralteter Geräte liegt.

Die am häufigsten angegriffenen Sektoren in der EU

Die sektorale Bedrohungsanalyse zeigt strukturelle Angriffspunkte der kritischen Infrastruktur der EU auf. An der Spitze der Liste der am häufigsten angegriffenen Sektoren steht die öffentliche Verwaltung (38,2%). Cyberspionagekampagnen gegen diplomatische und staatliche Einrichtungen stehen im Fokus von Hacktivismus und staatlich gelenkten Hackerangriffen.

An zweiter Stelle steht der Verkehrssektor (7,5%), gefolgt von digitalen Infrastrukturen und Diensten (4,8%), dem Finanzwesen (4,5%) und dem verarbeitenden Gewerbe (2,9%).

ENISA-Exekutivdirektor Juhan Lepassaar erklärte: „Die Systeme und Dienste, auf die wir uns in unserem täglichen Leben verlassen, sind miteinander verflochten, sodass eine Störung an einem Ende Auswirkungen auf die gesamte Lieferkette haben kann. Dies hängt mit einem Anstieg des Missbrauchs von Cyberabhängigkeiten durch Bedrohungsakteure zusammen, der die Auswirkungen von Cyberangriffen verstärken kann. Der ENISA-Bedrohungsbericht liefert wertvolle Erkenntnisse, die eine fundierte Entscheidungsfindung und Priorisierung ermöglichen, um unsere kritische Infrastruktur zu schützen und die Sicherheit unserer digitalen Zukunft zu gewährleisten.“

Drei der fünf am stärksten betroffenen Sektoren sind seit zwei Jahren in Folge unter den Spitzenreitern, während die öffentliche Verwaltung in diesem Jahr einen deutlichen Anstieg der Vorfälle verzeichnet, der auf die zunehmenden DDoS-Angriffe von Hacktivisten zurückzuführen ist.

Relevanz von Richtlinien wie NIS2

Die Sektoren mit den höchsten Werten sind häufig Sektoren, die unter die NIS2-Richtlinie fallen. 53,7% der Gesamtzahl der Vorfälle betreffen wesentliche Einrichtungen im Sinne der NIS-2-Richtlinie. Die hohe Übereinstimmung unterstreicht die Bedeutung der Richtlinie.

Die Richtlinie erweitert die Cybersicherheits- und Meldepflichten für viele Unternehmen und kritische Infrastrukturen. Deutschland hat die Umsetzungsfrist der EU-Richtlinie am 17. Oktober 2024 verpasst, was zu einem Vertragsverletzungsverfahren durch die EU-Kommission führte. Am 30. Juli 2025 wurde vom Bundeskabinett ein neuer Regierungsentwurf des NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) am 30. Juli 2025 beschlossen. Das Gesetz wird nicht vor Ende 2025/Anfang 2026 in Kraft treten.

EU-weiter Ansatz für Aufbau von Cybersicherheitskompetenz

In einer hochgradig dynamischen und von geopolitischen Unsicherheiten geprägten Cybersicherheitslandschaft gewinnt laut ENISA die Förderung einer gemeinsamen Cybersicherheitskultur an Bedeutung. Sensibilisierung und der Aufbau relevanter Kompetenzen sollen die EU für aktuelle und künftige Bedrohungen besser wappnen. Auch das Geschlechterungleichgewicht in Cybersicherheitsberufen in der EU ist ein Thema. Diversität und Inklusion sollen die Cyber-Workforce der EU stärken.