foto freepik

»Dieser Bericht ist eine noch nie dagewesene Analyse aus realen Angriffssimulationen bei Unternehmen aus aller Welt, die einzigartige Erkenntnisse liefert.« (Dennis Weyel, International Technical Director Horizon3.ai)

Horizon3.ai, ein Anbieter im Bereich offensive Sicherheit, hat seinen Cybersecurity Insights Report 2025 veröffentlicht. Der Bericht zeigt die häufigsten Sicherheitslücken auf, mit denen Unternehmen zu kämpfen haben. Durch die Analyse von Exploit-Trends aus 50.000 NodeZero-autonomen Sicherheitstests, die 2024 durchgeführt wurden, sowie Erkenntnissen aus einer Umfrage unter fast 800 Sicherheitsverantwortlichen, macht der Bericht anschaulich, wie herkömmliche passive Sicherheitsstrategien versagen und was Unternehmen ändern müssen, um den sich ständig weiterentwickelnden Cyber-Bedrohungen einen Schritt vorauszubleiben.

Horizon3.ai definiert »offensive Sicherheit« als den Einsatz realer Angreifertechniken, um Schwachstellen in IT-Umgebungen zu identifizieren und auszunutzen – und so aufzuzeigen, was tatsächlich gefährdet ist. Im Gegensatz zur passiven Sicherheit, die auf mehrschichtigen Abwehrmaßnahmen basiert, deren Wirksamkeit oft unklar bleibt, führt NodeZero autonom sichere, umfassende Tests durch, die genau demonstrieren, wie Angreifer kritische Systeme kompromittieren könnten. Das Ergebnis: klare, umsetzbare Nachweise, die es den Teams ermöglichen, Schwachstellen zu finden, zu beheben und zu verifizieren – bevor Angreifer zuschlagen.

Horizon3.ai nennt Schlüsselergebnisse aus dem Report:

Schwächen beim Vulnerability Scanning
Trotz der Tatsache, dass 98 Prozent der Unternehmen Vulnerability Scanning nutzen, empfinden es nur 34 Prozent als hochgradig effektiv, da Fehlalarme Teams daran hindern, sich auf echte Risiken zu konzentrieren.
Credential-basierte Angriffe bleiben ein großes Risiko
NodeZero führte in über 28.000 Fällen erfolgreich Credential Dumping durch, was das weit verbreitete Risiko schwacher Anmeldeinformationen und Richtlinien aufzeigt.
Verzögerungen beim Patch-Management gefährden Systeme akut
Mehr als die Hälfte der Praktiker (53 Prozent) und über ein Drittel der Sicherheitsverantwortlichen (36 Prozent) geben zu, Patches aufgrund operativer Einschränkungen zu verzögern, wodurch kritische Schwachstellen über längere Zeiträume hinweg offen bleiben.
Bekannte Schwachstellen bleiben ungepatcht
NodeZero konnte 229 bekannte Schwachstellen in Kundenumgebungen fast 100.000-mal ausnutzen, was zeigt, dass viele Unternehmen selbst bei weit verbreiteten und bekannten Bedrohungen Schwierigkeiten haben, die notwendigen Behebungsmaßnahmen zu ergreifen.

»Sicherheit ist mehr als nur reagieren – es geht darum, dem Angreifer immer einen Schritt voraus zu sein«, erklärt Snehal Antani, CEO und Mitgründer von Horizon3.ai. Er sagt: »Zu viele Unternehmen verwechseln immer noch Compliance mit echter Sicherheit und verlassen sich auf veraltete Annahmen und jährliche Testzyklen. Dieser Bericht bestätigt, was moderne Sicherheitsverantwortliche schon lange wissen: Man muss wie ein Angreifer denken, wie ein Betreiber validieren und ein Sicherheitsprogramm entwickeln, das echten Bedrohungen standhält.«

Warum angriffsgesteuerte Sicherheit der einzige Weg nach vorne ist

Diese Probleme sind nicht isoliert – sie spiegeln ein breiteres Muster wider, das der Bericht aufzeigt. In neun zentralen Themenbereichen wird deutlich, dass Unternehmen weiterhin auf einmalige Tests, unzuverlässige Tools und Risikomodelle setzen, die eher auf Annahmen als auf nachgewiesenen Fakten basieren.

Jeder Abschnitt des Berichts deckt wiederkehrende Mängel auf – von einer Überlastung durch Schwachstellen und verzögertem Patchen bis hin zu ineffektiven Penetrationstests, fehlerhaften Cloud-Konfigurationen und insbesondere Schwächen bei Anmeldeinformationen. Die Behebung dieser Probleme erfordert mehr als nur Korrekturmaßnahmen; es verlangt eine kontinuierliche Sichtbarkeit von Identität, Zugriff und Privilegien.

Die wichtigste Erkenntnis: Nur ein angriffsgesteuerter Ansatz, der kontinuierlich die Bereitschaft überwacht und die Verteidigungen validiert, während er Täuschung, Erkennung und die Perspektiven realer Angreifer nutzt, kann die Lücken aufdecken und beseitigen, auf die Angreifer angewiesen sind.

»Dieser Bericht ist ein Weckruf für Sicherheitsteams«, sagte Stephen Gates, Principal Security SME bei Horizon3.ai. »Er zeigt nicht nur auf, wo die Verteidigungen versagen, sondern weist auch den Weg nach vorne. Wer noch auf Annahmen, statische Tools oder jährliche Tests setzt, sollte dieses Datenmaterial ernst nehmen: Es ist Zeit, sich weiterzuentwickeln. Angriffsgesteuerte Sicherheit ist kein ›nice-to-have‹ – sie ist die Strategie, die Resilienz von Verwundbarkeit trennt.«

[1] Der Bericht »The State of Cybersecurity in 2025: Data-Driven Insights from Over 50,000 NodeZero® Pentests« ist ab sofort verfügbar. Der Report deckt die zugrunde liegenden Ursachen der hartnäckigsten Sicherheitslücken von heute auf. Man erfährt, wie ein angriffsgesteuerter Ansatz Organisationen dabei hilft, endlich die Lücken zu schließen, auf die Angreifer tatsächlich setzen.

Downloaden Sie den vollständigen Bericht: https://www.horizon3.ai/downloads/research/annual-insights-report-the-state-of-cybersecurity-in-2025/

Über Horizon3.ai und NodeZero: Horizon3.ai bietet unter der Bezeichnung NodeZero eine Cloud-basierte Plattform an, mit der Unternehmen und Behörden einen Selbstangriff auf ihre IT-Infrastruktur durchführen können, um ihre Cyberresilienz zu überprüfen (sog. Penetration Tests oder Pentests). Die Kosten sind aufgrund des Cloud-Konzepts niedrig, so dass regelmäßiges Pentesting auch für mittelständische Firmen erschwinglich ist. Horizon3.ai analysiert die Cybercrime-Szene permanent, um neu aufkommende Schwachstellen über die Cloud sofort berücksichtigen zu können. NodeZero deckt die Sicherheitslücken nicht nur auf, sondern gibt zugleich konkrete Hinweise zur Behebung. Mit der Plattform hilft Horizon3.ai Unternehmen und Behörden bei »Governance, Risk & Compliance« (GRC) den steigenden regulatorischen Anforderungen an Cyberresilienz nachzukommen, die nahelegen, mindestens einmal wöchentlich inhouse einen Selbstangriff durchzuführen.

1130 Artikel zu „Sicherheitsstrategie“

News | IT-Security | Veranstaltungen

ADN Microsoft CSP Security Week: Schlüsselelemente für eine umfassende Sicherheitsstrategie

30. Oktober 2024

Von A wie Azure bis Z wie Zero Trust Die Bedrohung durch Cyberangriffe ebbt leider nicht ab. Laut aktueller Zahlen der Bitkom nehmen Angreifer immer mehr deutsche Unternehmen in den Fokus und verursachten bereits einen Rekordschaden von 267 Milliarden Euro. Vielen Partnern fehlen jedoch die richtigen Tools und das notwendige Know-how, um ihre Kunden…