Mit Blick auf das zweite Halbjahr 2025 verzeichnet WatchGuard Technologies im aktuellen Internet Security Report einen rapiden Anstieg evasiver und verschlüsselter Malware. Dieser Trend markiert die Notwendigkeit proaktiver und ganzheitlicher Sicherheitsansätze. Basierend auf anonymisierten, aggregierten Bedrohungsinformationen aus WatchGuards Netzwerk-, Endpoint- und DNS-Filter-Lösungen macht der Report deutlich, dass sowohl Volumen als auch Raffinesse von Malware-Angriffen steigen. Dabei werden die Grenzen klassischer, reaktiver und signaturbasierter Abwehrmechanismen immer offensichtlicher.
Im Jahr 2025 gab es jedes Quartal mehr neue Malware – mit einem Anstieg von 1.548 Prozent allein zwischen dem dritten und vierten Quartal. Gleichzeitig konnten 23 Prozent der entdeckten Schadprogramme herkömmliche signaturbasierte Erkennungsverfahren umgehen und gelten damit faktisch als Zero-Day-Bedrohungen. Das unterstreicht die wachsende Bedeutung verhaltensbasierter, KI-gestützter Schutzmechanismen.
Zentrale Erkenntnisse zeigen Lücken in traditionellen Sicherheitslösungen auf
Der Bericht identifiziert mehrere Trends:
- Evasive Malware auf dem Vormarsch: Die Zahl bislang unbekannter Endpoint-Bedrohungen ist um mehr als das 15-Fache gestiegen. Angreifer setzen verstärkt auf neue und verschleierte Exploits, um statische Erkennungsmethoden zu umgehen.
- Verschlüsselte Übertragung ist jetzt der Standard: 96 Prozent der blockierten Malware wurde über TLS übertragen. Unternehmen ohne HTTPS-Inspektion verlieren damit entscheidende Einblicke in den Netzwerkverkehr.
- Veränderte Endpoint-Angriffstechniken: Während der Einsatz bösartiger Skripte im Verlauf des Jahres langsam zurückging, haben Windows-Binärdateien und „Living-off-the-Land“-Techniken die Rolle als primäre Infektionsvektoren übernommen. Angreifer missbrauchen dabei legitime Systemprozesse, um unentdeckt zu bleiben.
- Netzwerkbedrohungen bleiben bestehen: Zwar gingen netzwerkbasierte Exploits in der zweiten Jahreshälfte 2025 zurück, dennoch zielte der Großteil der Erkennungen weiterhin auf bekannte Schwachstellen – insbesondere in modernen Webanwendungen. Dies unterstreicht die Notwendigkeit mehrschichtiger Netzwerkverteidigung, etwa durch Intrusion-Prevention-Systeme (IPS).
Angreifer verfeinern Methoden zur Verbreitung und Monetarisierung von Malware
In der zweiten Hälfte des Jahres 2025 beobachtete WatchGuard Phishing-Kampagnen, bei denen bösartige PowerShell-Skripte zum Einsatz kamen, um Malware-as-a-Service-Tools, darunter Fernzugriffstrojaner, zu verbreiten und dabei automatisierte Dateianalysen gezielt zu umgehen.
Obwohl die Ransomware-Aktivitäten über das Jahr um 68,42 Prozent zurückgingen, erreichte die Anzahl von Erpressungen durch Androhung der Veröffentlichung gestohlener Daten ein Rekordniveau. Dies deutet auf eine Verlagerung hin zu weniger, dafür deutlich lukrativeren Angriffen. Gleichzeitig bleibt Cryptomining eine beliebte, reibungslose Methode zur Monetarisierung, sobald Angreifer Zugriff auf Systeme erlangt haben.
Konsequenzen für Managed Service Provider
„Die heutige Bedrohungslandschaft ist klassischen Insellösungen und reaktiven Sicherheitsmodellen längst entwachsen“, erklärt Corey Nachreiner, Chief Security Officer bei WatchGuard Technologies. „Für Managed Service Provider (MSP) ist das geschäftliche Risiko besonders hoch: Sicherheitsvorfälle bei Kunden erhöhen den Supportaufwand, schädigen das Vertrauen und führen zu klaren Wettbewerbsnachteilen. Im kommenden Jahr werden jene MSP erfolgreich sein, die proaktive Threat Intelligence und einheitlichen Schutz über sämtliche Kundenumgebungen hinweg nachweisbar bereitstellen können.“
Die Ergebnisse des Internet Security Report verdeutlichen die Notwendigkeit moderner Verteidigungsstrategien, die fortschrittliche Endpoint Protection, Detection & Response (EPDR), KI-basierte Bedrohungserkennung und kontinuierliches Monitoring kombinieren. Angesichts zunehmend persistenter und komplexer Angriffe können MSP sich künftig vor allem durch 24/7 Managed Detection & Response (MDR) Services abheben – und so Risiken reduzieren sowie nachhaltigen Mehrwert für ihre Kunden schaffen.
Alle Erkenntnisse basieren – entlang des Konzepts der „WatchGuard Unified Security Platform“ und entsprechend der vorherigen vierteljährlichen Auswertungen – auf den anonymisierten, aggregierten Daten aller aktiven WatchGuard-Lösungen für Netzwerk- und Endgeräteschutz, deren Besitzer der Weitergabe der Bedrohungsinformationen zur Unterstützung der Forschungsarbeit des Threat Lab zugestimmt haben.
Der ausführliche Internet Security Report in englischer Sprache steht online zum Download zur Verfügung: https://www.watchguard.com/de/wgrd-resource-center/security-report-h2-2025