Die Bedrohungslage im Cyberraum des Jahres 2025 war von einigen großen Cyberereignissen geprägt, die die Schlagzeilen beherrschten. Diese Ereignisse wurden von einem perfekten Sturm aus der Raffinesse von Ransomware, Schwachstellen in der Lieferkette und Risiken der Infrastrukturkonzentration geprägt. Tokio Marine HCC International (TMHCCI) hat eine Liste der zehn verheerendsten Cyberereignisse des Jahres 2025 zusammengestellt. Einige dieser Angriffe wirken sich noch immer weltweit auf Unternehmen aus, und ihre vollständigen Folgen sind noch nicht absehbar.   

Die 10 wichtigsten Cybervorfälle des Jahres 2025

Marks-and-Spencer-Ransomware-Vorfall (Vereinigtes Königreich)

Auswirkungen: Verluste von 300 Millionen £ im operativen Gewinn

Vektor: Ransomware

Was geschah: Einer der größten und bekanntesten Einzelhändler des Vereinigten Königreichs erlitt einen verheerenden Ransomware-Angriff, der die Betriebsabläufe lahmlegte und einen Dominoeffekt im Einzelhandelssektor auslöste. Der Angriff fand nicht isoliert statt. Er betraf auch andere große Einzelhändler im Vereinigten Königreich, darunter Co-op und Harrods, die gleichzeitige Cybervorfälle erlebten. Dies deutet auf eine koordinierte Kampagne oder Nachahmerangriffe hin, die ähnliche Schwachstellen im Einzelhandelsökosystem ausnutzen.

Hauptanliegen: Die Auswirkungen auf den gesamten Sektor zeigen die Anfälligkeit der Einzelhandelsinfrastruktur, insbesondere während der Hauptshoppingzeiten, wenn die finanziellen Einsätze am höchsten sind. Wichtiger noch ist, dass sie zeigen, wie ein großes Unternehmen durch einen einzigen koordinierten Angriff gelähmt werden kann. Dies hat weitreichende Folgen über den Bereich der IT, das Vereinigte Königreich oder den Einzelhandelssektor hinaus.

Jaguar-Land-Rover-Ransomware-Angriff (Vereinigtes Königreich)

Auswirkungen: 1,9 Milliarden £ finanzielle Verluste

Angriffsvektor: Ransomware führte zur Produktionsunterbrechung

Was geschah: Dieser Angriff wurde als der wirtschaftlich schädlichste Cybervorfall eingestuft, der das Vereinigte Königreich je getroffen hat. Die Ransomware erzwang einen vollständigen Stopp der Fahrzeugproduktionslinien und brachte einen der führenden Automobilhersteller Großbritanniens effektiv zum Stillstand. Der gewaltige finanzielle Schaden verdeutlicht nicht nur die sofortige operative Störung, sondern auch die Auswirkungen auf die Lieferkette, entgangene Umsätze, Kundenentschädigungen und den Reputationsverlust.

Hauptanliegen: Die zunehmende Digitalisierung und die vernetzten Fertigungssysteme der Automobilindustrie schaffen eine massive Ansammlung von Einzelpunktausfällen. Wenn die Produktion stoppt, sind die finanziellen Verluste nahezu sofort, schwerwiegend und die Störung breitet sich nach vorne und hinten über eng integrierte Lieferketten aus.

Ausfälle bei Amazon Web Services, Azure und Cloudflare (global)

Auswirkungen: Globale Dienstunterbrechungen

Angriffsvektor: Ausfälle/Angriffe auf die Cloud-Infrastruktur

Was geschah: Eine Reihe großer Ausfälle bei den weltweit führenden Cloud-Dienstleistern brachte die Fragilität moderner digitaler Infrastrukturen ans Licht. Diese Kaskadenfehler beeinträchtigten unzählige SaaS-Organisationen und kundenorientierte Plattformen weltweit und zeigten, wie die Konzentration in Cloud-Diensten ein systemisches Risiko ungeahnten Ausmaßes geschaffen hat.

Hauptanliegen: Es geht nicht mehr um die Resilienz einzelner Unternehmen. Es geht um die strukturelle Anfälligkeit des Internets als Plattform. Wenn AWS, Azure oder Cloudflare ausfallen, kommen bedeutende Teile der globalen digitalen Wirtschaft zum Stillstand, was sich auf Wirtschaft, Lebensunterhalt und globale Produktivität auswirkt.

Großangelegte Datenpanne bei Salesforce/Drift OAuth (global)

Auswirkungen: Millionen von Kundenaufzeichnungen wurden offengelegt

Angriffsvektor: Kompromittierte OAuth-Token

Was geschah: Angreifer nutzten kompromittierte OAuth-Authentifizierungstoken, um in Hunderte von Salesforce-Kundenumgebungen einzudringen. Der Vorfall legte sensible Kundenaufzeichnungen, Kontaktdetails und Kontoinformationen offen, die sich gleichzeitig auf Millionen von Personen in verschiedenen Organisationen auswirkten.

Hauptanliegen: Die Kompromittierung von OAuth-Token stellt einen fortschrittlichen Angriffsvektor dar, der traditionelle Sicherheitsmaßnahmen umgeht. Wenn Authentifizierungsmechanismen selbst als Waffe eingesetzt werden, bricht das Vertrauensfundament moderner Cloud-Anwendungen zusammen.

Supply-Chain-Angriff auf das npm-Ökosystem (global)

Auswirkungen: Weit verbreitetes Risiko von Diebstahl von Zugangsdaten in Entwicklungsumgebungen

Angriffsvektor: Supply-Chain-Kompromittierung von JavaScript-Paketen

Was geschah: Angreifer kompromittierten weit verbreitete JavaScript-Pakete im npm-Repository, einem der weltweit größten Software-Registries. Dies setzte zahlreiche Entwickler- und Organisationsumgebungen dem Diebstahl von Zugangsdaten, der Injektion von Schadcode und potenziellen Hintertürzugängen aus.

Hauptanliegen: Supply-Chain-Angriffe auf Entwicklerwerkzeuge und -pakete sind besonders perfide, da sie schädlichen Code automatisch an Tausende von Downstream-Anwendungen verbreiten. Die Größe und Allgegenwärtigkeit des npm-Ökosystems machen es zu einem attraktiven Ziel mit exponentiellem Wirkungspotenzial.

Mutmaßlicher Supply-Chain-Vorfall bei der Oracle Corporation Cloud-Plattform (global)

Auswirkungen: Über 140.000 Mieter betroffen, ca. 6 Millionen Datensätze exfiltriert

Angriffsvektor: Datenpanne durch Ausnutzung des Login-Endpunkts

Was geschah: Bedrohungsakteure sollen in die Cloud-Plattform von Oracle über eine Schwachstelle im Login-Endpunkt eingedrungen sein und Zugang zu Mieterumgebungen erlangt haben, um massive Mengen sensibler Daten zu exfiltrieren. Das Ausmaß – über 140.000 betroffene Mieter – zeigt, wie sich Sicherheitslücken bei Cloud-Dienstleistern mit vervielfachenden Effekten auf ihre gesamte Kundenbasis auswirken können.

Hauptanliegen: Cloud-Dienstleister sind hochgradige Ziele, weil sie als Kraftmultiplikatoren dienen. Die Kompromittierung einer Cloud-Plattform bietet Zugang zu Tausenden von Organisationen gleichzeitig.

APT-Gruppe nutzte Claude AI für KI-orchestrierte Cyberangriffe (global)

Auswirkungen: Ca. 30 globale Organisationen wurden getroffen

Angriffsvektor: Erster bekannter großangelegter KI-orchestrierter Cyberangriff

Was geschah: Eine staatlich geförderte Advanced Persistent Threat (APT)-Gruppe nutzte Claude AI, um eine weitgehend automatisierte Cyberangriffskampagne durchzuführen, wobei 80-90 % der Angriffsaktivitäten KI-gesteuert waren. Dies stellt einen Paradigmenwechsel in der Cyberkriegsführung und der Bewaffnung von künstlicher Intelligenz für autonome Angriffsoperationen im großen Maßstab dar.

Hauptanliegen: Dieser Vorfall markiert einen erschreckenden Wendepunkt: KI ist kein reines Verteidigungsinstrument oder theoretische Bedrohung mehr. Sie wird von raffinierten Gegnern aktiv als Waffe eingesetzt. Das Potenzial von KI-gesteuerten Angriffen zur Automatisierung und Skalierung könnte traditionelle Abwehrmechanismen überwältigen.

SK-Telecom-Datenleck (Südkorea)

Auswirkungen: Daten von 27 Millionen Nutzern wurden offengelegt

Angriffsvektor: Langfristiger unautorisierter Zugang (seit Juni 2022 unentdeckt)

Was geschah: SK Telecom, einer der größten Telekommunikationsanbieter Südkoreas, entdeckte ein Datenleck, das die persönlichen Daten von fast 27 Millionen Nutzern offengelegt hat – eine gewaltige Zahl, die einen erheblichen Teil der südkoreanischen Bevölkerung darstellt. Die Datenpanne schuf weitreichende Risiken von SIM-Klonen und Identitätsdiebstahl. Noch alarmierender war, dass die Angreifer fast zwei Jahre lang unbemerkt Zugang hatten (seit Juni 2022), was auf fortschrittliche Persistenztechniken und unzureichendes Sicherheitsmonitoring hinweist.

Hauptanliegen: Die zweijährige Verweilzeit ist katastrophal. Dieser verlängerte unautorisierte Zugang ermöglichte es den Angreifern, potenziell mehrfach Daten abzuschöpfen, die Netzwerkinfrastruktur genau zu verstehen und mehrere Hintertüren zu etablieren. Im Bereich der Telekommunikation, wo Teilnehmerdaten Standortinformationen, Kommunikationsmetadaten und Authentifizierungsanmeldeinformationen enthalten, sind die nationalen Sicherheitsimplikationen schwerwiegend.

Cyberangriff auf die Kering-Gruppe (global)

Auswirkungen: Millionen von Kundenaufzeichnungen wurden bei Luxusmarken offengelegt

Angriffsvektor: Unautorisierter Zugang zu internen Systemen

Ziel des Angriffs: Luxusmodekonglomerat (Gucci, Balenciaga, Alexander McQueen)

Was geschah: Eine unautorisierte Drittpartei erhielt vorübergehend Zugang zu den internen Systemen der Kering-Gruppe und kompromittierte dabei persönliche Informationen von Millionen von Kunden aus ihrem Portfolio renommierter Luxusmarken. Der Vorfall betraf einige der weltweit bekanntesten Modehäuser.

Hauptanliegen: Luxusmarken halten besonders sensible Kundendaten, darunter Einkaufsmuster, persönliche Vorlieben und Zahlungsinformationen von vermögenden Individuen. Dies macht sie zu attraktiven Zielen sowohl für finanziellen Betrug als auch für Spionageoperationen, die auf wohlhabende Klientel abzielen.

Cyberangriff auf Asahi Group Holdings (Japan)

Auswirkungen: Weitreichende Betriebsstörung, ausgesetzte Systeme, gestoppte Bestellungen und Lieferungen

Angriffsvektor: Cyberangriff, der die Aussetzung von Systemen erzwingt

Was geschah: Der japanische Getränkegigant Asahi Group Holdings erlebte einen Cyberangriff, der das Unternehmen zwang, wichtige Betriebssysteme in ganz Japan auszusetzen. Der Angriff verursachte weitreichende Störungen bei der Auftragsabwicklung und im Versandsystem und lähmte effekt€”}