Der aktuelle Internet Security Report von WatchGuard Technologies dokumentiert für das zweite Halbjahr 2025 einen drastischen Zuwachs bislang unbekannter und verschlüsselter Schadsoftware. Die Ergebnisse verdeutlichen, dass klassische signaturbasierte Sicherheitsansätze zunehmend an ihre Grenzen stoßen.
Foto: WatchGuard Technologies
Corey Nachreiner, Chief Security Officer bei WatchGuard Technologies
Auf Basis anonymisierter und aggregierter Telemetriedaten aus Netzwerk-, Endpoint- und DNS-Filter-Lösungen analysiert WatchGuard Technologies im aktuellen Internet Security Report die Bedrohungslage des zweiten Halbjahres 2025. Der Bericht zeigt einen deutlichen Anstieg sowohl des Malware-Volumens als auch der technischen Raffinesse von Angriffen. Besonders auffällig ist die Zunahme neuartiger Schadsoftware, die herkömmliche Abwehrmechanismen gezielt umgeht.
Im Jahr 2025 wurde in jedem Quartal mehr neue Malware identifiziert. Allein zwischen dem dritten und vierten Quartal stieg die Zahl neuartiger Schadprogramme um 1.548 Prozent. Gleichzeitig waren 23 Prozent der erkannten Malware-Varianten in der Lage, signaturbasierte Erkennungsverfahren zu umgehen und gelten damit faktisch als Zero-Day-Bedrohungen. Laut Report unterstreicht diese Entwicklung die wachsende Relevanz verhaltensbasierter und KI-gestützter Schutzmechanismen.
Ein weiterer Schwerpunkt liegt auf der Verbreitung bislang unbekannter Endpoint-Bedrohungen. Deren Zahl stieg im Jahresverlauf um mehr als das 15-Fache. Angreifer setzen demnach verstärkt auf neue oder verschleierte Exploits, um statische Sicherheitslösungen zu umgehen.
96 Prozent der blockierten Malware wurde laut Report über TLS übertragen. Unternehmen, die keine HTTPS-Inspektion einsetzen, verlieren dadurch wesentliche Einblicke in den Netzwerkverkehr. Parallel dazu veränderten sich die Angriffstechniken auf Endpoints: Während bösartige Skripte im Verlauf des Jahres seltener wurden, dominierten Windows-Binärdateien sowie sogenannte „Living-off-the-Land“-Techniken. Dabei missbrauchen Angreifer legitime Systemprozesse, um möglichst lange unentdeckt zu bleiben.
Netzwerkbasierte Exploits gingen in der zweiten Jahreshälfte zwar zurück, dennoch richtete sich der Großteil der Erkennungen weiterhin gegen bekannte Schwachstellen, insbesondere in modernen Webanwendungen. Der Report verweist in diesem Zusammenhang auf die Bedeutung mehrschichtiger Netzwerkverteidigung, etwa durch Intrusion-Prevention-Systeme.
Auch die Monetarisierung von Angriffen entwickelte sich weiter. WatchGuard beobachtete Phishing-Kampagnen, die bösartige PowerShell-Skripte nutzten, um Malware-as-a-Service-Werkzeuge wie Fernzugriffstrojaner zu verbreiten und automatisierte Dateianalysen zu umgehen. Obwohl die Ransomware-Aktivitäten im Jahresverlauf um 68,42 Prozent zurückgingen, erreichte die Erpressung durch die Androhung der Veröffentlichung gestohlener Daten ein Rekordniveau. Cryptomining blieb zudem eine häufig genutzte Methode, sobald Angreifer Zugriff auf Systeme erlangt hatten.
Corey Nachreiner, Chief Security Officer bei WatchGuard Technologies, erklärt:
„Die heutige Bedrohungslandschaft ist klassischer Insellösungen und reaktiver Sicherheitslösungen längst entwachsen. Für Managed Service Provider (MSP) ist das geschäftliche Risiko besonders hoch: Sicherheitsvorfälle bei Kunden erhöhen den Supportaufwand, schädigen das Vertrauen und führen zu klaren Wettbewerbsnachteilen. Im kommenden Jahr werden jene MSP erfolgreich sein, die proaktive Threat Intelligence und einheitlichen Schutz über sämtliche Kundenumgebungen hinweg nachweisbar bereitstellen können.“
Die im Report ausgewerteten Daten stammen aus allen aktiven WatchGuard-Lösungen für Netzwerk- und Endgeräteschutz, deren Nutzer der anonymisierten Weitergabe von Bedrohungsinformationen an das WatchGuard Threat Lab zugestimmt haben.
