6. August 2025 Wolfgang Franz

OPSWAT Threat Landscape Report 2025: Verhaltenserkennung gegen moderne Schadsoftware

Cyberangriffe auf kritische Infrastrukturen nehmen rasant zu – sowohl in ihrer Häufigkeit als auch in ihrer Komplexität. Laut dem aktuellen „Threat Landscape Report 2025“ von OPSWAT sollen klassische Erkennungsmethoden zunehmend versagen. ITWelt.at hat sich die Studie angesehen. [...]

Der prognostizierte Schaden durch Cyberkriminalität beläuft sich weltweit auf 1,2 Billionen US-Dollar. (c) Pexels
Der prognostizierte Schaden durch Cyberkriminalität beläuft sich weltweit auf 1,2 Billionen US-Dollar. (c) Pexels

Die erstmals veröffentlichte Analyse basiert auf fast einer Million Sandbox-Scans, die in den vergangenen zwölf Monaten über die Plattform Filescan.io durchgeführt wurden. Die Daten zeigen einen signifikanten Anstieg bei vielstufigen Angriffsketten, Dateiformaten mit Tarnfunktionen und dateilosen Techniken. OPSWAT plädiert daher für einen Paradigmenwechsel: Weg von signaturbasierten Schutzmaßnahmen, hin zu verhaltensbasierter Erkennung in Echtzeit.

Zunehmende Bedrohung für kritische Infrastrukturen

Industrie, Energieversorger und Produktionsbetriebe stehen besonders im Fokus von Angreifern. Allein in der Fertigungsindustrie werden laut Verizon 1.607 bestätigte Sicherheitsverletzungen im Jahr 2025 verzeichnet – eine deutliche Steigerung gegenüber dem Vorjahr. Fast 20 Prozent dieser Angriffe sollen mit Spionage in Verbindung stehen, 44 Prozent mit Ransomware. Auch Drittsysteme wie Cloud- oder SaaS-Dienste geraten stärker ins Visier.

Die Angriffe erfolgen dabei zunehmend über die Ausnutzung von Schwachstellen an den Netzwerkgrenzen – etwa in Firewalls oder VPN-Diensten. Der prognostizierte Schaden durch Cyberkriminalität beläuft sich weltweit auf 1,2 Billionen US-Dollar, wobei Ausfallzeiten und Produktivitätsverluste den Großteil dieser Summe ausmachen.

Dateien als persistente Angriffsvektoren

Trotz moderner Techniken setzen Angreifer weiterhin stark auf dateibasierte Angriffe. Besonders Archive (ZIP, RAR), PDF- und HTML-Dateien dienen als Träger für Schadcode, der sich gut in alltägliche Arbeitsabläufe einfügt. Die Verwendung von Office-Dateien wie DOCX und XLSX nimmt dagegen ab.

Techniken wie HTML-Smuggling, bei dem JavaScript-Code in HTML-Dateien eingebettet ist und beim Öffnen automatisch nachgeladen wird, gewinnen an Effektivität. Darüber hinaus steigt die Zahl dateiloser Angriffe, bei denen Schadcode über PowerShell, .NET Reflection oder Windows Management Instrumentation (WMI) direkt im Speicher ausgeführt wird – unsichtbar für klassische Virenscanner.

Phishing und Social Engineering auf dem Vormarsch

Laut SlashNext ist die Zahl von Phishing-Versuchen zur Erbeutung von Zugangsdaten Ende 2024 um 703 Prozent gestiegen. Brand-Impersonation – also das Nachahmen bekannter Marken – ist besonders verbreitet. Nahezu jedes E-Mail-Postfach sieht sich wöchentlich mit betrügerischen Nachrichten konfrontiert.

Die Täter nutzen zunehmend auch ungewöhnliche Tricks. So etwa die Technik „ClickFix“, bei der eine vermeintliche Sicherheitsabfrage (etwa ein gefälschtes reCAPTCHA) genutzt wird, um per Zwischenablage einen schädlichen Befehl einzuschleusen, den Nutzer unwissentlich ausführen.

Verhaltensanalyse statt statischer Regeln

Das Kernstück des Berichts bildet die Forderung nach einem verhaltensbasierten Analyseansatz. Dieser soll nicht nur auf bekannte Merkmale reagieren, sondern das Verhalten von Dateien über die gesamte Ausführungskette hinweg analysieren. OPSWAT nennt dies die „Modern Threat Detection Pipeline“. Sie kombiniert Sandbox-Technik, maschinelles Lernen, Emulation und Kontextanalyse.

Ein Beispiel ist die Erkennung von Snake Keylogger, der sich in einer Bitmap-Datei versteckt und erst nach mehreren Entschlüsselungsschritten aktiv wird. Klassische Antivirensysteme erkennen solche Szenarien oft nicht. Die Sandbox dagegen verfolgt jede Zwischenschicht – auch bei dateilosen Angriffen mit Reflection-Techniken.

OPSWAT spricht von einer durchschnittlichen Detektionseffektivität von 99,97 Prozent, insbesondere bei Skripten und ausführbaren Dateien. Diese Zahl basiert auf interner Auswertung und schließt den Einsatz von maschinellem Lernen und Ähnlichkeitsanalysen mit ein.

Neue PE-Emulation soll blinde Flecken schließen

Ein Highlight des Berichts ist die Vorstellung einer neuen Emulationskomponente, die speziell für Portable Executable (PE)-Dateien entwickelt wurde. Diese soll tiefere Einblicke in komplexe Angriffsmechanismen erlauben – etwa das Entschlüsseln von Schadcode zur Laufzeit oder das Erkennen von Ausweichlogik, die nur unter bestimmten Bedingungen aktiviert wird.

Mit dieser Technik lassen sich Angriffe erkennen, die etwa über TLS-Callbacks starten, dynamisch APIs auflösen oder nur in bestimmten Regionen aktiviert werden (Geofencing). Die Emulation verfolgt den gesamten Ablauf – inklusive Speicherzugriff, Netzwerkkommunikation und Nutzung von Packern. Auch das Verhalten polymorpher Schadprogramme lässt sich so besser einordnen.

Typische Angriffsmuster 2024–2025

Der Report enthält detaillierte Analysen wiederkehrender Angriffsstrategien, darunter:

  • Skripting-Ketten: Mehrstufige Angriffsketten mit Batch, PowerShell, VBS und JavaScript, häufig verschachtelt und stark verschleiert. Der Einstieg erfolgt oft über LNK-Dateien oder beschädigte Office-Dokumente.
  • Verpackte Malware: Tools wie NetReactor, ConfuserEx und Themida verschleiern den Schadcode so stark, dass eine Identifizierung nur noch durch Laufzeitanalyse gelingt.
  • Missbrauch legitimer Dienste: Google Sheets oder Calendar werden als verdeckte Command-and-Control-Infrastruktur zweckentfremdet. Auch WebDAV erlebt ein Revival als Transportweg für Schadcode.
  • Geo-basierte Steuerung: Manche Angriffe werden nur in bestimmten Regionen ausgeführt, um Sandboxes gezielt zu umgehen.
  • Steganografie: Schadcode wird in scheinbar harmlosen Bildern versteckt – etwa in .NET-Bitmap-Ressourcen.

Angreifer bevorzugen Tarnung statt Wucht

Ein zentrales Motiv der Angreifer ist laut OPSWAT nicht die direkte Überlastung von Systemen, sondern maximale Unauffälligkeit. Die Angriffe verlaufen modular, angepasst an das Zielsystem, mit möglichst geringer Angriffsfläche. In der Folge verlieren klassische Abwehrmechanismen wie Signaturen oder Blacklists an Bedeutung – sie erkennen Bedrohungen oft erst Stunden oder Tage zu spät.

So zeigt die Analyse, dass 7,3 Prozent der von OSINT-Feeds als „unbekannt“ eingestuften Dateien von der Filescan.io-Sandbox innerhalb von 24 Stunden als „maliziös“ klassifiziert werden. Dies deutet auf eine gefährliche Verzögerung bei der Erkennung hin.

Phishing-Erkennung über Netzwerk- und Strukturheuristiken

Die Studie liefert zudem neue Ansätze zur Erkennung von Phishing-Webseiten, basierend auf deren Netzwerkverhalten und HTML-Struktur. Charakteristische Merkmale:

  • Kaum Cookies oder Zertifikate
  • Geringe URL-Vielfalt
  • Keine POST-Requests
  • Minimale DOM-Komplexität
  • Hohe Inline-Script-Dichte

Diese Eigenschaften ermöglichen eine heuristikbasierte Früherkennung, auch ohne klassische Reputationsdatenbanken. So erreichen einfache Filterregeln laut OPSWAT Trefferquoten von über 82 Prozent – bei gleichzeitig niedriger Fehlalarmrate.

Empfehlungen für Sicherheitsverantwortliche

Die Studie enthält umfangreiche Handlungsempfehlungen für verschiedene Rollen im Sicherheitsbetrieb – vom SOC-Analysten bis zum CISO. Wichtige Punkte:

  • Verhaltensanalyse als Standard etablieren: Behavioral Analytics in Kombination mit kontinuierlicher Detektion und Reaktion (Continuous Detection & Response) ist laut OPSWAT unverzichtbar.
  • OSINT-Lücken schließen: Jeder unbekannte Anhang sollte durch eine dynamische Analyse überprüft werden.
  • Strukturelle Heuristiken nutzen: Phishing-Seiten lassen sich oft allein anhand ihrer HTML-Struktur entlarven.
  • Indikatoren rückmelden: IOC-Ergebnisse aus der Sandbox sollten innerhalb von 24 Stunden in öffentlich verfügbare Bedrohungsdatenbanken eingespeist werden, um die kollektive Erkennungszeit zu verkürzen.
  • Mit NIS2, Cyber Resilience Act und SEC-Vorgaben arbeiten: Regulatorische Anforderungen sollten nicht als Last, sondern als Strukturgeber für nachhaltige Sicherheitsmaßnahmen begriffen werden.

Das Fazit der ITWelt-Redaktion

Der OPSWAT-Bericht zeichnet ein detailliertes Bild einer Bedrohungslage, die sich nicht mehr mit klassischen Mitteln bewältigen lässt. Angriffe verlaufen zunehmend über dateilose, modular aufgebaute und gut getarnte Mechanismen. Wer sich auf Signaturen, Blacklists oder rein statische Analysen verlässt, läuft Gefahr, kritische Vorfälle zu übersehen. Verhaltensbasierte Erkennung, Emulation und heuristische Verfahren gewinnen daher massiv an Bedeutung – nicht nur als Ergänzung, sondern als Grundlage moderner Cybersicherheit.

Die Studie kann hier heruntergeladen werden.


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*