Identitätsmissbrauch wird zum dominierenden Einfallstor

Demnach begannen in Europa 58 Prozent der untersuchten Sicherheitsvorfälle mit kompromittierten Cloud- oder E-Mail-Konten und übertrafen damit klassische netzwerkbasierte Intrusionen, die 42 Prozent ausmachten.

Besonders stark betroffen war Deutschland, das innerhalb der EMEA-Region das am häufigsten angegriffene Land war. Die meisten Vorfälle entfielen auf Unternehmen aus dem verarbeitenden Gewerbe.

Hintergrund ist laut Darktrace eine strukturelle Veränderung der Angriffsmethoden. Durch Cloud-Transformation, SaaS-Nutzung und hybride Arbeitsmodelle verliere der klassische Netzwerkperimeter an Bedeutung. Angreifer verschaffen sich stattdessen Zugriff über gestohlene Zugangsdaten und bewegen sich mit legitimen Berechtigungen innerhalb der Infrastruktur. Mehr als 8,2 Millionen Phishing-Mails zielten 2025 gezielt auf privilegierte oder hochrangige Nutzer mit erweiterten Zugriffsrechten.

Auch kritische Infrastrukturen geraten verstärkt ins Visier. Im Gesundheitswesen richteten sich 33 Prozent der Phishing-Mails an privilegierte Nutzer, im Finanzsektor 30 Prozent und im Energiesektor 20 Prozent. In mehreren europäischen Vorfällen dienten kompromittierte SaaS-Accounts als Ausgangspunkt für weitergehende Aktivitäten in operativen Umgebungen.

Mit der zunehmenden Verlagerung geschäftskritischer Prozesse in Cloud- und SaaS-Umgebungen steigt zudem das systemische Risiko durch kompromittierte Accounts. Darktrace-Honeypot-Daten zeigen, dass 43,5 Prozent der beobachteten Malware-Samples auf Microsoft Azure zielten, 33,2 Prozent auf Google Cloud Platform und 23,2 Prozent auf AWS. Docker-Umgebungen standen bei etwas mehr als der Hälfte der erfassten Angriffsversuche im Fokus.

Trotz neuer Angriffsvektoren bleibt E-Mail ein zentraler Einstiegspunkt. Darktrace identifizierte 2025 weltweit mehr als 32 Millionen hochgradig wahrscheinliche Phishing-Mails. Über 1,2 Millionen davon nutzten QR-Codes, 1,6 Millionen neu registrierte Domains, und 70 Prozent bestanden DMARC-Authentifizierungsprüfungen. Rund 41 Prozent der Fälle waren gezielte Spear-Phishing-Angriffe.

Parallel dazu steigt die Zahl veröffentlichter Schwachstellen weiter an. 2025 wurden weltweit 48.185 CVEs (Common Vulnerabilities and Exposures) registriert – ein Anstieg um 20,6 Prozent gegenüber dem Vorjahr. Laut Darktrace zeigte sich in mehreren Fällen, dass Exploits bereits Tage oder Wochen vor der offiziellen Offenlegung aktiv ausgenutzt wurden, unter anderem bei SAP NetWeaver und Ivanti.

Der Report basiert auf Analysen der globalen Darktrace-Kundenbasis sowie auf Daten aus dem gesamten Jahr 2025, darunter Verhaltensanomalien, Bedrohungsbenachrichtigungen und reale Vorfälle. Ergänzt wurden diese Erkenntnisse durch Informationen von Behörden, Cyber-Intelligence-Partnern und Open-Source-Quellen.