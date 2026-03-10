Die Google Threat Intelligence Group (GTIG) hat ihren jährlichen Zero-Day-Bericht veröffentlicht: Sie hat im Jahr 2025 insgesamt 90 Zero-Day-Sicherheitslücken identifiziert, die in freier Wildbahn ausgenutzt wurden. Obwohl diese Zahl niedriger ist als der Rekordwert von 2023 (100), liegt sie deutlich über der Zahl von 2024 (78). Insgesamt scheint sich die jährliche Anzahl in dem Bereich 60 bis 100 zu stabilisieren. Gemäß den Incident-Response-Einsätzen von Mandiant bei Sicherheitsvorfällen ist die Ausnutzung von Schwachstellen der häufigste Vektor für den Erstzugriff, noch vor gestohlenen Anmeldedaten oder Phishing. Bereits seit 2024 beobachtet die GTIG außerdem einen strukturellen Wandel: Die Angreifer nehmen verstärkt Firmen ins Visier.
Unternehmen sind das neue Hauptziel
48 Prozent aller Zero-Day-Angriffe im Jahr 2025 haben auf Technologien für Unternehmen abgezielt, damit hat dieser Trend einen neuen Höchststand erreicht. Angreifer nutzen Sicherheits- und Netzwerktools aus, insbesondere Edge-Geräte, denen es oft an Endpoint Detection and Response (EDR)-Technologie mangelt. Die zunehmende Anzahl von Software, Geräten und Anwendungen in betrieblichen Infrastrukturen vergrößert die Angriffsfläche: Für eine erfolgreiche Ausnutzung reicht ein einziger Schwachpunkt aus, um eine Sicherheitslücke zu schaffen.
Wandel in der Spionage
Mit 35 Prozent ordnete die GTIG zum ersten Mal seit Beginn der Erfassung mehr Zero-Day-Schwachstellen kommerziellen Überwachungsanbietern (Commercial Surveillance Vendors, CSVs) zu als traditionellen, staatlich geförderten Cyber-Spionagegruppen (28 Prozent). Das zeigt: CSVs senken die Einstiegshürde für Zero-Day-Zugriffe noch weiter und machen sie einem breiteren Kundenspektrum zugänglich.
Cyber-Spionagegruppen mit Verbindungen zur Volksrepublik China dominieren weiterhin die traditionelle, staatlich geförderte Spionage durch Zero-Day-Exploits. Diese Bedrohungsakteure, beispielsweise die Gruppen UNC5221 und UNC3886, konzentrierten sich auf Sicherheitsanwendungen und Edge-Geräte, um einen dauerhaften Zugriff auf strategische Ziele aufrechtzuerhalten.
Aber auch finanziell motivierte Bedrohungsgruppen setzen wieder verstärkt auf die Ausnutzung von Zero-Day-Schwachstellen: 2025 wurde ihnen die Ausnutzung von 9 Schwachstellen zugeordnet, darunter zwei Zero-Day-Exploits, die zum Einsatz von Ransomware führten. Dies entspricht fast dem Gesamtvolumen vom Rekordjahr 2023 (10 Schwachstellen) und ist fast doppelt so viel wie im Vorjahr (5).
Neues Angriffsmuster
Angriffe mit der Malware BRICKSTORM im Herbst 2025, die Spionageakteuren mit Verbindungen nach China zugeschrieben wird, zeigten ein mögliches neues Verhaltensmuster: Der gezielte Diebstahl von geistigem Eigentum, etwa Quellcode, um langfristig neue Zero-Day-Schwachstellen zu entwickeln. Anstatt nur sensible Kundendaten zu stehlen, nehmen die Angreifer das geistige Eigentum der betroffenen Unternehmen ins Visier, darunter beispielsweise Quellcode und proprietäre Entwicklungsdokumente. Dieses kann dazu verwendet werden, neue Schwachstellen in der Software des Anbieters aufzudecken, was nicht nur eine Bedrohung für die Opfer selbst, sondern auch für deren Kunden darstellt.
Beschleunigung durch künstliche Intelligenz
Künstliche Intelligenz wird voraussichtlich das »Wettrüsten« zwischen Angreifern und Verteidigern prägen und zu einer dynamischeren Bedrohungslage führen. Ganz konkret werden Ang reifer KI nutzen, um Angriffe zu automatisieren und zu skalieren, indem sie die Aufklärung, die Entdeckung von Schwachstellen und die Entwicklung von Exploits beschleunigen.
Dies erhöht den Druck auf die Verteidiger, Zero-Day-Exploits besser zu erkennen und darauf zu reagieren. Sie können KI in Form von agentenbasierten Lösungen nutzen, um ihre Sicherheitsmaßnahmen zu verbessern. KI-Agenten decken proaktiv bisher unbekannte Sicherheitslücken auf und helfen bei deren Behebung, sodass Anbieter Schwachstellen neutralisieren können, bevor sie ausgenutzt werden.
Was ist ein Zero-Day-Angriff?
Ein Zero-Day-Angriff nutzt eine Sicherheitslücke in Software oder Hardware aus, die dem Hersteller noch nicht bekannt ist – es gibt also null Tage Vorwarnzeit (Zero Day), um einen Patch bereitzustellen.
Das bedeutet konkret:
- Die Schwachstelle ist nicht dokumentiert
- Es existiert kein Sicherheitsupdate
- Klassische Schutzmechanismen greifen oft nicht
Die Google Threat Intelligence Group (GTIG) im Jahr 2025 insgesamt 90 Zero-Day-Schwachstellen beobachtet, die aktiv ausgenutzt wurden – ein weiterhin sehr hohes Niveau.
Besonders kritisch:
Die Ausnutzung von Schwachstellen ist inzwischen der häufigste Weg für den Erstzugriff bei Cyberangriffen – noch vor Phishing oder gestohlenen Zugangsdaten.
Warum sind Unternehmen besonders betroffen?
Unternehmen sind das neue Hauptziel von Zero-Day-Angriffen.
- 48 % aller Zero-Day-Angriffe 2025 richteten sich gegen Unternehmens‑Technologien
- Besonders häufig betroffen:
- Sicherheits- und Netzwerktools
- Edge-Geräte (Firewalls, Gateways, VPNs)
- Diese Geräte haben oft keine EDR‑Überwachung, was Angriffe schwer erkennbar macht
Ein zentrales Risiko ist die wachsende Angriffsfläche:
Für einen erfolgreichen Angriff reicht eine einzige ungepatchte Schwachstelle aus.
Wer steckt hinter Zero-Day-Angriffen?
Es gibt mehrere Akteursgruppen:
- Staatlich unterstützte Spionagegruppen
- Besonders aktiv: Gruppen mit Bezug zur Volksrepublik China
- Ziel: dauerhafter Zugriff auf strategische Ziele
- Fokus auf Sicherheitssoftware und Edge-Geräte
- Kommerzielle Überwachungsanbieter (CSV)
- 35 % der Zero-Days wurden 2025 CSVs zugeordnet
- Damit erstmals mehr als klassischen staatlichen Gruppen
- CSVs senken die Einstiegshürde für Zero-Day-Nutzung deutlich
- Finanziell motivierte Gruppen
- Setzen Zero-Days zunehmend wieder für Ransomware ein
- 2025: 9 ausgenutzte Schwachstellen, fast so viele wie im Rekordjahr 2023
Neues Angriffsmuster: Diebstahl von Quellcode
Ein besonders gefährlicher Trend:
- Angreifer stehlen geistiges Eigentum, z. B.:
- Quellcode
- interne Entwicklungsdokumente
- Ziel: langfristig neue Zero-Day-Schwachstellen entwickeln
- Beispiel: Malware BRICKSTORM (Herbst 2025)
Das ist doppelt gefährlich:
- Schaden für das betroffene Unternehmen
- Folgerisiko für alle Kunden dieser Software
Wie kann man sich gegen Zero-Day-Angriffe schützen?
Da es keine Patches gibt, geht es weniger um Vermeidung – sondern um Erkennung und Eindämmung.
- Fokus auf Angriffserkennung statt nur Prävention
- Klassische Signaturen reichen nicht aus
- Verhaltenserkennung wird entscheidend
- Schutz von Edge- und Netzwerkgeräten
- Diese sind besonders häufig betroffen
- Sie sollten gleichwertig wie Endpoints überwacht werden
- Einsatz von KI in der Verteidigung
- Angreifer nutzen KI zur Automatisierung und Skalierung
- Verteidiger müssen nachziehen
Konkret:
- Agentenbasierte KI‑Lösungen
- Proaktives Auffinden unbekannter Schwachstellen
- Unterstützung bei schneller Behebung, bevor Exploits entstehen
- Schutz von geistigem Eigentum
- Quellcode und Entwicklungsdokumente besonders absichern
- Zugriff stark einschränken und überwachen
Kurz zusammengefasst
- Zero-Day-Angriffe nutzen unbekannte Schwachstellen ohne Patch
- Unternehmen sind heute das Hauptziel
- Edge-Geräte und Sicherheitssoftware stehen besonders im Fokus
- Der Schutz erfordert:
- bessere Erkennung
- konsequente Überwachung
- KI‑gestützte Sicherheitsansätze
Absmeier & KI
