Vishing wird für Cyberkriminelle immer attraktiver
Vishing ist nach Sicherheitslücken der häufigste Bedrohungsvektor für Unternehmen. Das beliebteste Ziel für Angriffe ist die Tech-Branche. Laut dem diesjährigen M-Trends Report von Mandiant und Google sollen sich Sicherheitsteams auf die neuesten Trends einstellen.
Die Ausnutzung von Sicherheitslücken ist mit 32 Prozent bereits das sechste Jahr in Folge der häufigste Angriffsvektor für Unternehmen. Das zeigt der neue M-Trends Report von Mandiant und der Google Threat Intelligence Group (GTIG). Er enthält die Erkenntnisse der 2025 untersuchten Cybervorfälle zusammen. Demnach zielen Angreifer neu am häufigsten auf die Tech-Branche. In den Jahren 2023 und 2024 verzeichnete die Finanzbranche die meisten Angriffe.
Die Voice-Phishing-Angriffe (Vishing) katapultieren sich 2025 mit 11 Prozent auf Platz zwei der häufigsten Vektoren. Dies führen die Experten auf die Widerstandsfähigkeit von solchen Echtzeit-Betrugsmaschen zurück, die mit realen Menschen durchgeführt werden. Allerdings blieb in der EMEA-Region die E-Mail-Phishing-Methode weiterhin deutlich präsenter als auf globaler Ebene.
Stafettenlauf für Cyberangreifer
Die Untersuchung hebt einen wachsenden Trend hervor, bei dem Angreifer sich die Aufgaben teilen. Der eine verschafft sich zunächst Zugang und übergibt die Ausführung des Ransomware-Angriffs einem anderen. Somit würden die Cyberkriminellen zunehmend wie hocheffiziente Unternehmen agieren und sogar Partnerschaften schliessen. Das ermögliche ihnen eine Zugangsübergabe innerhalb von bis zu 30 Sekunden, statt mehreren Stunden.
Ausserdem konzentrieren sich die Ransomware-Gruppen laut Mandiant zusätzlich zum Datendiebstahl zunehmend darauf, die Datenwiederherstellung aufzuhalten. "Sie greifen systematisch Backup-Infrastrukturen, Identitätsdienste und die Verwaltungsebene der Virtualisierung an. Indem sie die Möglichkeit der Datenwiederherstellung zunichtemachen, üben die Angreifer enormen Druck auf die Unternehmen aus, das geforderte Lösegeld zu zahlen", heisst es in der Mitteilung.
Steigende Verweildauer und interne Identifizierung
Die durchschnittliche Verweildauer von Angreifern in Systemen in der EMEA-Region erlebt im Jahr 2025 einen Rückgang um sieben auf insgesamt 20 Tage. Auf globaler Ebene stieg diese auf durchschnittlich 14 Tage. Der Wert sei vor allem auf Cyberspionage zurückzuführen. Ausserdem würden laut Mandiant nordkoreanische IT-Mitarbeitende sich mit gefälschten oder gestohlenen Identitäten in westliche Unternehmen einschleusen, um Zusatzkapital für das nordkoreanische Regime zu generieren. Hierbei soll die Durchschnittsdauer bei 122 Tagen liegen.
60 Prozent der Cybervorfälle identifizierten Organisationen in der EMEA-Region intern - etwa durch eigene Mitarbeitende, eigene Sicherheitslösungen sowie verdächtige Aktivitäten. Die anderen 40 Prozent der Fälle erkannten Unternehmen durch Hinweise von Strafverfolgungsbehörden, CERTs oder Cybersicherheitsunternehmen, aber auch durch Angreifer und deren Lösegeldforderungen. Damit liegen EMEA-Unternehmen im globalen Vergleich (52 Prozent intern, 48 Prozent extern) bei der Erkennung von Vorfällen vorne, wie Mandiant schreibt.
Automatisiert, identitätsbasiert und KI-beschleunigt - so sehen die Cyberangriffe im Jahr 2026 aus. Lesen Sie hier mehr zu den Trends.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Betrüger nutzen Not Stellensuchender aus
Bundesrat startet Forschungsprogramm zur Cyberresilienz
Das erwarten Berner Gemeinden von der neuen Datenschutzbehörde
Infoguard steigert Umsatz und baut Deutschlandgeschäft aus
Massgeschneiderte KI-Anwendungen fordern die Cyberabwehr heraus
Vishing wird für Cyberkriminelle immer attraktiver
Update: So lassen sich künftig Android-Apps von unverifizierten Entwicklern installieren
Zahl der Cyberdelikte in der Schweiz geht leicht zurück
Wenn Natur keine Gnade kennt
