Microsoft Digital Defense Report 2025: KI beschleunigt Cyber-Bedrohungen – Warum MFA und Cloud-Sicherheit jetzt Chefsache sind

Die aktuelle Analyse von Microsoft, die das gesamte Geschäftsjahr 2025 (FY25) betrachtet, zeichnet ein Bild dramatisch eskalierender Bedrohungen, die primär durch die breite Verfügbarkeit generativer KI-Technologien angetrieben werden. Die Künstliche Intelligenz hat demnach die Fähigkeit von Cyberkriminellen und staatlich unterstützten Akteuren, Angriffe in großem Umfang zu skalieren und zu präzisieren, signifikant erhöht, was einen spürbaren Wandel in der Gefahrenlandschaft induziert. Laut Bericht ist die digitale Identität weiterhin der primäre Angriffspunkt in Organisationen weltweit. Obwohl die Einführung robuster Schutzmechanismen zunimmt, haben Angreifer ihre Social-Engineering-Taktiken verfeinert, um selbst moderne Sicherheitsvorkehrungen zu umgehen.

Ein zentrales Kernelement dieser neuen Angriffswelle ist die Ökonomie der Infostealer-Malware, deren Erfolg nicht mehr primär im initialen Einbruch liegt, sondern in der Sammlung gültiger Zugangsdaten und Session-Tokens. Diese Informationen ermöglichen es den Angreifern, sich nicht etwa in Systeme einzubrechen, sondern schlicht anzumelden, was die Detektion massiv erschwert. Die Malware-gestohlenen Tokens werden auf Untergrundmärkten gehandelt und stellen eine permanente Bedrohung für Unternehmen dar, selbst wenn sie MFA implementiert haben.

Als Reaktion auf die steigende Verbreitung von MFA setzen Cyberkriminelle auf neue, raffinierte Phishing-Methoden, zu denen unter anderem das sogenannte Device Code Phishing gehört, welches herkömmliche Phishing-Erkennungstools umgeht und das Opfer dazu verleitet, autorisierte Geräte-Codes einzugeben. Ebenfalls beobachtet wird die Methode „ClickFix“, bei der Nutzer manipulierte Links anklicken, um scheinbare Probleme in der Benutzeroberfläche zu beheben, wodurch sie unbewusst bösartigen Code selbst autorisieren.

Microsofts Daten belegen eine signifikante Verschiebung der Angriffsziele hin zur Cloud-Infrastruktur. Der Konzern verzeichnete einen besorgniserregenden Anstieg von 87 Prozent bei Kampagnen, die gezielt destruktive Aktionen in Azure Cloud-Umgebungen anstreben, wie beispielsweise die Löschung von Massendaten oder die breitflächige Ausbreitung von Ransomware-Payloads. Dieser Trend verdeutlicht die Notwendigkeit, die Sicherheitsstrategien an die dezentrale Natur moderner Rechenzentren anzupassen.

Die Cloud-Angreifer fokussieren sich dabei zunehmend auf sogenannte Workload-Identitäten, also die Identitäten und Berechtigungen, die automatisierten Diensten, Anwendungen oder Skripten in der Cloud zugewiesen sind. Diese stellen oftmals eine Lücke dar, da sie weniger stringenten Sicherheitsrichtlinien und Überwachungsmechanismen unterliegen als menschliche Nutzerkonten. Eine erfolgreiche Kompromittierung einer solchen Workload-Identität kann dem Angreifer weitreichenden Zugriff auf kritische Infrastruktur gewähren.

Die Rolle der KI als Bedrohungs-Multiplikator wird auch im Bereich der Desinformation und des Betrugs deutlich. Generative KI wird aktiv genutzt, um Social-Engineering-Attacken zu personalisieren und zu skalieren sowie realistische Deepfakes und synthetische Identitäten zu erschaffen, die im Rahmen von Betrugsversuchen eingesetzt werden.

Gleichzeitig stellen die KI-Systeme von Organisationen selbst ein lukratives Ziel dar. Techniken wie die Prompt Injection, bei der die KI-Modelle durch manipulierte Eingaben zu unerwünschten Aktionen verleitet werden, sowie das Trainingsdaten-Poisoning zur Verfälschung der Modellbasis, sind Angriffe, die zunehmend die Robustheit und Vertrauenswürdigkeit von KI-Anwendungen untergraben sollen.

Die Motivation der Täter bleibt primär finanzieller Natur: Die überwiegende Mehrheit der Cyberangriffe, deren Beweggrund bekannt war, verfolgte finanzielle Ziele, mit Erpressung (33 Prozent) und Ransomware (19 Prozent) als häufigste Formen. Im Gegensatz dazu waren lediglich vier Prozent der untersuchten Fälle von reiner Spionage motiviert.

Unabhängig vom Motiv beobachtete Microsoft jedoch bei achtzig Prozent aller Sicherheitsvorfälle einen erfolgreichen Datenabfluss oder einen Versuch dazu. Die primär betroffenen Sektoren umfassten Regierungsbehörden, die Informationstechnologie sowie Forschungseinrichtungen und Wissenschaft. Die daraus resultierende Empfehlung des Reports an Führungskräfte ist eindeutig: Cybersicherheit muss als zentrales Geschäftsrisiko auf Vorstandsebene gemanagt werden, ähnlich wie Finanz- oder Rechtsrisiken.

Die Implementierung einer Phishing-resistenten MFA für alle privilegierten und administrativen Konten ist dabei als absolute Mindestanforderung hervorzuheben. Darüber hinaus müssen Unternehmen dringend eine umfassende Kartierung und Überwachung ihrer gesamten Cloud-Assets etablieren und zeitnah Pläne zur Vorbereitung auf die Ära der Post-Quanten-Kryptographie (PQC) entwickeln, um die zukünftige Entschlüsselung heutiger sensibler Daten zu verhindern.