Google Zero-Day-Bericht 2025: 90 ausgenutzte Schwachstellen, Angriffe auf Unternehmen nehmen zu
Die jährliche Zero-Day-Analyse der Google Threat Intelligence Group deckt 90 in freier Wildbahn ausgenutzte Schwachstellen im Jahr 2025 auf — fast die Hälfte davon zielt auf Sicherheitsprodukte für Unternehmen, Netzwerk-Appliances und Cloud-Infrastruktur. Spyware-Anbieter und mit China verbundene APTs dominieren die Zuordnung. Gleichzeitig zeigen ein Datenleck mit 3,4 Millionen Patientendaten im Gesundheitswesen und neue dateilose Malware-Kampagnen, warum kontinuierliches Schwachstellen-Scanning längst keine Option mehr ist.
📊 Googles Zero-Day-Landschaft 2025: Die wichtigsten Zahlen
💡 Jährliche Zero-Day-Erfassung durch GTIG
Die Google Threat Intelligence Group (GTIG) verfolgt jedes Jahr Zero-Day-Schwachstellen, die in freier Wildbahn ausgenutzt werden. Der Bericht 2025 markiert eines der höchsten Jahre seit Beginn der Aufzeichnungen: 90 bestätigte ausgenutzte Zero-Days — gegenüber 73 im Jahr 2024 und nahe am Rekord von 97 im Jahr 2021.
Die Verlagerung auf Unternehmen
Die bedeutendste Erkenntnis: Etwa 45 der 90 Zero-Days (50 %) zielten direkt auf Unternehmensprodukte — nicht auf Endverbrauchergeräte. Dies stellt eine dramatische Verschiebung gegenüber früheren Jahren dar, als Browser und mobile Betriebssysteme die Zero-Day-Ausnutzungslandschaft dominierten.
| Kategorie | Zero-Days (2025) | Prozentsatz | Trend ggü. 2024 |
|---|---|---|---|
| Sicherheitsprodukte für Unternehmen | ~20 | 22 % | 🔺 Deutlich gestiegen |
| Netzwerk-/VPN-Appliances | ~15 | 17 % | 🔺 Gestiegen |
| Cloud-/SaaS-Plattformen | ~10 | 11 % | 🔺 Gestiegen |
| Mobile Betriebssysteme (iOS/Android) | ~18 | 20 % | 🔻 Gesunken |
| Browser | ~12 | 13 % | 🔻 Gesunken |
| Desktop-Betriebssysteme | ~15 | 17 % | ➡️ Stabil |
Zuordnung: Wer nutzt Zero-Days aus?
Weniger als die Hälfte der 90 Zero-Days konnte bestimmten Bedrohungsakteuren zugeordnet werden, aber die führenden Gruppen zeichnen ein klares Bild:
⚠️ Die größten Zero-Day-Ausnutzer 2025
1. Kommerzielle Spyware-Anbieter — NSO Group, Intellexa und neuere Akteure dominieren weiterhin die Zero-Day-Ausnutzung und sind für rund 30 % der zugeordneten Zero-Days verantwortlich.
2. Mit China verbundene APT-Gruppen — Mehrere staatlich unterstützte chinesische Gruppen (Salt Typhoon, Volt Typhoon, APT41) nutzten unternehmensfokussierte Zero-Days für Netzwerkgeräte und Cloud-Plattformen aus.
3. Mit Russland verbundene Gruppen — Konzentrierten sich hauptsächlich auf ukrainische und europäische Ziele unter Verwendung von Zero-Days in Microsoft-Produkten.
4. Nordkorea — Zunehmend ausgefeilte Angriffe auf Kryptowährungsplattformen und Entwicklertools.
Warum Unternehmensprodukte jetzt das Hauptziel sind
Mehrere Faktoren erklären die Verlagerung auf Unternehmensziele:
- Höherer ROI pro Exploit — Eine einzige VPN-Appliance-Schwachstelle verschafft Zugang zu ganzen Unternehmensnetzwerken
- Eingeschränkte EDR-Sichtbarkeit — Viele Unternehmens-Appliances verfügen nicht über Endpoint Detection and Response Agents
- Langsame Patch-Zyklen — Bei Unternehmensprodukten dauert die Patch-Bereitstellung oft Wochen bis Monate
- Vertrauensannahmen — Sicherheitsprodukten selbst wird implizit vertraut, was ihre Kompromittierung verheerend macht
- Supply-Chain-Hebel — Die Kompromittierung eines einzigen Unternehmensanbieters kann Zugang zu Tausenden nachgelagerten Kunden verschaffen
🏥 TriZetto-Datenleck im Gesundheitswesen: 3,4 Millionen Patienten betroffen
⚠️ Massives Datenleck im Gesundheitswesen
TriZetto Provider Solutions (eine Tochtergesellschaft von Cognizant) hat ein Datenleck offengelegt, das 3.433.965 Personen betrifft. Die Angreifer hatten fast ein Jahr lang unbefugten Zugang — von November 2024 bis Oktober 2025.
Zeitlicher Ablauf des Datenlecks
| Datum | Ereignis |
|---|---|
| 19. November 2024 | Unbefugter Zugriff beginnt |
| 2. Oktober 2025 | Verdächtige Aktivitäten entdeckt |
| 9. Dezember 2025 | Betroffene Anbieter benachrichtigt |
| Februar 2026 | Kundenbenachrichtigungen beginnen |
| 6. März 2026 | Meldung beim Maine AG bestätigt 3,4 Mio. Betroffene |
Arten der offengelegten Daten
- Persönliche Identifikatoren — Vollständige Namen, Adressen, Geburtsdaten, Sozialversicherungsnummern
- Gesundheitsakten — Medicare-Begünstigten-IDs, Versicherungsmitgliedsnummern, Anbieternamen
- Versicherungsdaten — Namen der Krankenversicherer, Anspruchsprüfungsdaten
- Demografische Daten — Zusätzliche demografische und gesundheitsbezogene Informationen
Die 317-tägige Verweildauer (vom ersten Zugriff bis zur Entdeckung) ist besonders alarmierend und unterstreicht die Notwendigkeit kontinuierlicher Überwachung und automatisierter Bedrohungserkennung. Cognizant stand bereits zuvor in der Kritik — nach dem Maze-Ransomware-Vorfall 2020 und einem Scattered-Spider-bezogenen Einbruch über den Helpdesk.
🦠 VOID#GEIST: Dateilose mehrstufige Malware-Kampagne
⚠️ Fortgeschrittene dateilose Angriffskette
Securonix-Forscher haben VOID#GEIST dokumentiert, eine ausgeklügelte mehrstufige Malware-Kampagne, die XWorm, AsyncRAT und Xeno RAT über dateilose Ausführungstechniken verbreitet.
Aufschlüsselung der Angriffskette
- Erster Zugang — Batch-Skript wird über eine Phishing-E-Mail von einer TryCloudflare-Domain abgerufen
- Ablenkungsmanöver — Chrome öffnet ein gefälschtes Finanz-PDF im Vollbildmodus als visuelle Ablenkung
- Versteckte Ausführung — PowerShell führt das Batch-Skript erneut mit
-WindowStyle Hiddenaus - Persistenz — Platzierung im Autostart-Verzeichnis (keine Registry-Änderungen, keine Privilegieneskalation)
- Payload-Abruf — ZIP-Archive mit verschlüsseltem Shellcode und einem Python-Loader werden heruntergeladen
- Ausführung im Arbeitsspeicher — Die Python-Laufzeitumgebung entschlüsselt und injiziert Shellcode über Early Bird APC Injection in
explorer.exe
💡 Warum das wichtig ist
Die VOID#GEIST-Kampagne steht für einen breiteren Branchentrend: weg von eigenständigen ausführbaren Dateien hin zu modularen, skriptbasierten Bereitstellungs-Frameworks. Jede einzelne Stufe erscheint für sich genommen harmlos und ahmt legitime administrative Aktivitäten nach. Die Verwendung einer legitimen eingebetteten Python-Laufzeitumgebung von python.org eliminiert Abhängigkeiten und umgeht Application Allowlisting.
Ausgelieferte Payloads
| RAT | Fähigkeiten | Verschlüsselte Datei |
|---|---|---|
| XWorm | Voller Fernzugriff, Keylogging, Bildschirmaufnahme, Persistenz | new.bin |
| AsyncRAT | Asynchrone C2-Kommunikation, Plugin-Erweiterbarkeit, Anmeldedatendiebstahl | pul.bin |
| Xeno RAT | Open-Source-RAT mit HVNC, Mikrofon-/Webcam-Zugriff | xn.bin |
🌐 Cisco SD-WAN & Rockwell ICS: Weitere aktive Exploits
Cisco Catalyst SD-WAN
Cisco hat bestätigt, dass zwei kürzlich gepatchte Catalyst SD-WAN-Schwachstellen — CVE-2026-20128 und CVE-2026-20122 — nun aktiv in freier Wildbahn ausgenutzt werden. Organisationen, die betroffene SD-WAN-Konfigurationen betreiben, sollten Patches sofort einspielen oder die empfohlenen Workarounds implementieren.
Rockwell Automation ICS-Schwachstelle
Eine Rockwell Automation-Schwachstelle, die ursprünglich 2021 offengelegt und behoben wurde, wird nun bestätigt aktiv bei Angriffen auf industrielle Steuerungssysteme ausgenutzt. Dies verdeutlicht eine anhaltende Herausforderung in OT/ICS-Umgebungen: Selbst wenn Patches existieren, werden sie aufgrund betrieblicher Einschränkungen und Bedenken wegen Ausfallzeiten oft nicht eingespielt.
⚠️ ICS/OT-Risiko
Wenn Ihre Organisation Rockwell-Speicherprogrammierbare Steuerungen (SPS) betreibt, überprüfen Sie sofort den Patch-Status. Die Fernausnutzung von ICS-Systemen kann zu Manipulation physischer Prozesse, Umgehung von Sicherheitssystemen und Betriebsunterbrechungen führen.
🔒 LeakBase-Forum abgeschaltet — 142.000 Nutzer
In einer positiven Entwicklung wurde das LeakBase-Cyberkriminalitätsforum von Strafverfolgungsbehörden abgeschaltet und Verdächtige festgenommen. Der Marktplatz für gestohlene Zugangsdaten war seit 2021 aktiv und hatte 142.000 registrierte Nutzer, die mit kompromittierten Anmeldedaten, persönlichen Daten und Datenleck-Datenbanken handelten.
Während Abschaltungen eine vorübergehende Störung bewirken, zeigt die Erfahrung, dass verdrängte Nutzer typischerweise innerhalb von Wochen zu alternativen Foren abwandern. Organisationen sollten dieses Zeitfenster nutzen, um:
- Zu prüfen, ob ihre Zugangsdaten in bekannten Datenleck-Datenbanken auftauchen
- Passwort-Resets für alle kompromittierten Konten zu erzwingen
- MFA für alle kritischen Systeme zu aktivieren
🛡️ Empfohlene Maßnahmen
Für Sicherheitsteams in Unternehmen
- Patching von Unternehmensprodukten priorisieren — VPN-Appliances, Firewalls und Sicherheitsprodukte sind jetzt primäre Zero-Day-Ziele
- Kontinuierliches automatisiertes Scanning einsetzen — Manuelle Schwachstellenbewertungen können bei über 90 Zero-Days pro Jahr nicht mithalten
- Dateilose Ausführungsmuster überwachen — Achten Sie auf versteckte PowerShell-Fenster, Python-Laufzeitumgebungs-Downloads und APC-Injection-Signaturen
- Verweildauer reduzieren — Die 317-tägige Verweildauer beim TriZetto-Datenleck zeigt die Kosten verzögerter Erkennung
- ICS/OT-Systeme patchen — Alte Schwachstellen in Rockwell und ähnlichen Systemen werden Jahre nach der Offenlegung aktiv ausgenutzt
Für Organisationen im Gesundheitswesen
- Webportal-Sicherheit überprüfen — TriZettos Datenleck ging von einem Webportal für Versicherungsberechtigungsdaten aus
- Netzwerksegmentierung implementieren — Begrenzen Sie den Schadensradius einer einzelnen Kompromittierung
- Verhaltensanalysen einsetzen — Erkennen Sie unbefugte Zugriffsmuster, insbesondere für Datenbanken mit geschützten Gesundheitsinformationen (PHI)
- Sicherheit von Drittanbietern überprüfen — Die Sicherheitslage Ihres Anbieters ist Ihre Sicherheitslage