Cyberkriminelle operieren heute grösstenteils auf professioneller Ebene. Dies ist eine Kernaussage aus dem neuesten "Global Threat Landscape Report" von Fortinet. Letztes Jahr wurden laut Report 250 Akteure identifiziert, die Cyberspionage mit dem Ziel betreiben, Einfluss auf den öffentlichen Sektor und kritische Infrastrukturen zu nehmen. Für kritische Infrastrukturen im DACH-Raum, insbesondere für Spitäler, entsteht dadurch eine neue Dimension der Bedrohung. Spionageangriffe sind schon längst keine punktuellen Einzelangriffe mehr, sondern haben längerfristig System. Der Report zeigt, dass gerade die komplexen Cloud-Strukturen und grossen Identitätsnetzwerke der Spitäler sie zu einem bevorzugten Ziel machen.
Die meisten Cloud-Sicherheitsvorfälle im Jahr 2025 entstanden demnach nicht durch technische Schwachstellen in der Infrastruktur, sondern durch gestohlene, offengelegte oder missbrauchte Zugangsdaten. Hauptziele in der Cloud waren oft Spitäler/Kliniken sowie der Einzelhandel, mit jeweils ca. 37 Prozent aller Fälle, da diese über grosse Identitätsnetzwerke und komplexe Cloud-Integrationen verfügen.
Die Zahl der weltweit identifizierten Ransomware-Opfer ist extrem gestiegen: Von ca. 1600 Opfern im Vorjahr auf 7831 bestätigte Opfer im Jahr 2025 (+389 Prozent). Dabei ersetzen KI-gestützte Angriffe die sogenannte Brute-Force. Die Angreifer gehen dank KI-Optimierung deutlich zielgerichteter vor. Während wahllose Brute-Force-Angriffe um 22 Prozent zurückgingen, stiegen die gezielten Ausnutzungsversuche (Exploitations) um 25 Prozent an.
Durch den Einsatz von KI bei der Angriffsvorbereitung hat sich die Zeitspanne zwischen der Veröffentlichung einer Sicherheitslücke und ihrer aktiven Ausnutzung bei kritischen Ausbrüchen auf 24 bis 48 Stunden verkürzt. In früheren Berichten lag dieser Wert noch bei durchschnittlich 4.76 Tagen.
Der Report zeigt desweiteren, dass "Defensive Velocity" zur entscheidenden Metrik wird. Es reicht nicht mehr, Angriffe zu entdecken; Unternehmen müssen in der Lage sein, Kompromittierungen schneller einzudämmen und zu beheben als die automatisierte Angriffskampagnen.
