Die Europäische Agentur für Cyber-Sicherheit (ENISA) hat ihren aktuellen Threat Landscape 2025 vorgelegt. Der Bericht basiert auf knapp 4.900 ausgewerteten Vorfällen aus dem Zeitraum Juli 2024 bis Juni 2025 und zeichnet ein Bild einer zunehmend komplexen Bedrohungslage in Europa.
Besonders deutlich wird, dass sich Cyber-Angriffe weniger in einzelnen Großereignissen manifestieren, sondern in einer Vielzahl kontinuierlicher, oftmals ineinander übergehender Kampagnen, die kumulativ die Resilienz europäischer Infrastrukturen belasten.
Im Zentrum bleibt Ransomware, deren Betreiber nach Erfolgen der Strafverfolgung ihre Strukturen dezentralisiert und ihre Taktiken verschärft haben. Erpressungen erfolgen zunehmend aggressiv, auch unter Ausnutzung von Compliance-Ängsten. Zugleich trägt die Verbreitung von Ransomware-as-a-Service und die Tätigkeit von Zugangsvermittlern dazu bei, dass Eintrittsbarrieren sinken und die Vielfalt der eingesetzten Schadsoftware zunimmt.
Eine weitere Konstante ist Phishing, das nach wie vor den dominanten Einstiegspunkt bildet. Rund 60 Prozent der beobachteten Angriffe begannen auf diesem Weg. Auffällig ist die Industrialisierung dieses Angriffsvektors, etwa durch Phishing-as-a-Service-Plattformen, die auch wenig versierten Tätern komplexe Kampagnen ermöglichen. Parallel dazu bleibt die Ausnutzung von Schwachstellen mit über 21 Prozent der zweithäufigste Vektor. Angreifer setzen Sicherheitslücken oft schon wenige Tage nach ihrer Veröffentlichung ein.
Mobile Endgeräte im Visier
Besonders exponiert zeigt sich der Bereich der mobilen Endgeräte. Über 40 Prozent der erfassten Bedrohungen richteten sich gegen Smartphones, vielfach unter Nutzung von Schadsoftware wie Banking-Trojanern oder Remote-Access-Tools. Staatlich unterstützte Gruppen setzen zudem zunehmend auf mobile Spionagewerkzeuge, die Kommunikationskanäle wie WhatsApp, Signal oder Telegram ins Visier nehmen.
Neben klassischen Cybercrime-Akteuren rücken staatlich ausgerichtete Operationen stärker in den Fokus. Insbesondere gegen Telekommunikation, Logistik und Fertigung führten sie längerfristig angelegte Spionagekampagnen durch, oftmals mit Techniken wie Lieferkettenangriffen oder dem Missbrauch vertrauenswürdiger Treiber. Auffällig ist auch das zunehmende Verwischen der Grenzen zwischen Cybercrime, Hacktivismus und staatlicher Einflussnahme: Gruppen teilen Werkzeuge und Taktiken, ideologische Kampagnen werden mit finanziellen Interessen verbunden, und staatliche Akteure nutzen Deckmäntel vermeintlicher Aktivisten.
Hacktivismus dominiert Vorfälle
Hacktivistische Aktivitäten machen laut ENISA fast 80 Prozent der erfassten Vorfälle aus, wenngleich diese in der Regel geringe unmittelbare Auswirkungen haben. Sie äußern sich überwiegend in DDoS-Kampagnen, die kostengünstig skalierbar sind und meist auf symbolische Wirkung setzen. Am stärksten betroffen ist weiterhin die öffentliche Verwaltung, auf die 38 Prozent aller registrierten Vorfälle entfallen. Neben ihr wurden vor allem der Transportsektor – insbesondere Luftfahrt und Logistik – sowie digitale Infrastrukturen, Finanzinstitute und die verarbeitende Industrie ins Visier genommen.
Ein zentrales Merkmal des aktuellen Bedrohungsbildes ist der Einsatz Künstlicher Intelligenz. Bereits Anfang 2025 stammten laut ENISA über 80 Prozent aller weltweit beobachteten Social-Engineering-Kampagnen aus KI-gestützten Quellen. Dabei kommen unter anderem jailbroken Sprachmodelle, synthetische Medien und manipulierte Trainingsdaten zum Einsatz. Zudem beobachten die Analysten die Entstehung spezialisierter, eigenständiger Angriffs-KI-Systeme, die unabhängig von bekannten Plattformen betrieben werden. Auch die Kompromittierung der Lieferketten von KI-Systemen selbst wird inzwischen vermehrt dokumentiert.
