Im November hat sich in der Welt der Cyberangriffe etwas Wichtiges verschoben – weg von „einfach nur“ Ransomware hin zu einem viel stilleren, aber gefährlicheren Trend: Exposure, also das heimliche Stehlen und Offenlegen von Daten.
Ransomware hast du wahrscheinlich schon gehört:
- Angreifer schleusen Schadsoftware ein.
- Alle wichtigen Dateien werden verschlüsselt.
- Die Firma kann nicht mehr arbeiten.
- Die Täter verlangen Lösegeld, damit alles wieder entschlüsselt wird.
Das ist natürlich immer noch ein großes Problem. Aber die Angreifer haben gemerkt:
Mit reiner Verschlüsselung verschenken sie Potenzial.
Heute im Fokus: Exposure – Daten werden geklaut und als Druckmittel benutzt
Immer öfter passiert jetzt etwas anderes:
- Die Täter dringen ins Firmennetz ein.
- Sie bleiben wochen- oder monatelang unbemerkt.
- Sie kopieren riesige Mengen an Daten: Kundendaten, Verträge, interne E-Mails, Geschäftsgeheimnisse.
- Erst wenn sie genug gesammelt haben, melden sie sich – oft mit einer Erpressungs-Mail.
Dann heißt es:
„Wir haben eure Daten. Wenn ihr nicht zahlt, veröffentlichen wir sie im Internet oder verkaufen sie.“
Manchmal wird gar nichts mehr verschlüsselt. Das Geschäft läuft nur noch über Drohung mit Veröffentlichung(„Exposure“).
Große Kampagnen – zum Beispiel gegen Oracles E-Business Suite oder Oracle-Cloud-Umgebungen – laufen genau nach diesem Muster: Zero-Day-Schwachstelle ausnutzen, Daten abziehen, später extortieren. (Google Cloud)
Was meinen die IT-Leute mit „Zero-Day“?
Ein Zero-Day ist eine Sicherheitslücke, die:
- den Herstellern noch nicht bekannt ist oder
- zwar gerade erst bekannt wurde, aber noch nicht überall gepatcht ist.
Kurz gesagt:
Es ist ein Loch in einer Software, das Angreifer ausnutzen, bevor die Mehrheit der Unternehmen es schließen kann.
Im November 2025 gab es gleich mehrere Fälle, in denen solche Zero-Day-Lücken in wichtigen Unternehmenssystemen für Angriffe benutzt wurden – etwa in:
- Update-Systemen (z. B. Microsoft WSUS),
- Identitäts- und Benutzerverwaltung (z. B. Oracle Identity Manager), (SecurityWeek)
- Logging-Software (z. B. Fluent Bit, das in vielen Cloud-Umgebungen eingesetzt wird). (The Hacker News)
Über solche zentralen Systeme kommen Angreifer besonders tief ins Unternehmen – oft mit Systemrechten.
High-Leverage-Komponenten: Warum die „Schaltstellen“ angegriffen werden
In vielen Analysen liest man, dass Angreifer gezielt High-Leverage-Komponenten angreifen.
Das sind Bereiche, bei denen ein einzelner Treffer besonders viel Hebelwirkung hat:
- Update-Server
- Bildlich: die „Werkstatt“, aus der alle Computer ihre Updates beziehen.
- Wird sie gehackt, können Angreifer falsche „Updates“ verteilen – also Schadsoftware als Update tarnen.
- Identity-Systeme (Benutzer- und Rechteverwaltung)
- Bildlich: der Schlüsselkasten des Unternehmens.
- Wer ihn kontrolliert, kann sich selbst überall Zutritt verschaffen.
- Logging- und Monitoring-Systeme
- Bildlich: die Überwachungskameras der IT.
- Wer sie manipuliert, kann Spuren verwischen oder Angriffe unsichtbar machen.
Statt irgendwo „vorn an der Tür“ anzuklopfen, gehen Angreifer direkt an die Stellen, wo sie
möglichst viele Systeme gleichzeitig kontrollieren können.
Stille Persistenz: Angreifer bleiben lange unbemerkt
Ein weiteres Schlagwort ist „stille Persistenz“:
- Die Täter richten sich im Netzwerk ein wie ein heimlicher Mitbewohner.
- Sie legen versteckte Benutzerkonten an, ändern unauffällig Konfigurationen oder bauen Hintertüren ein.
- Sie sind nicht daran interessiert, sofort Krach zu machen – im Gegenteil:
Je länger sie unentdeckt bleiben, desto mehr Daten können sie abziehen.
Für Unternehmen ist das besonders gefährlich, weil:
- es oft keinen offensichtlichen Ausfall gibt,
- alles „normal weiterläuft“,
- und der Schaden erst sichtbar wird, wenn die Erpresser sich melden – oder wenn gestohlene Daten im Netz auftauchen.
Datenabfluss statt nur Verschlüsselung
Anstatt Daten „nur“ zu verschlüsseln, werden diese immer häufiger:
- im großen Stil kopiert (Exfiltration),
- auf Erpressungsseiten im Darknet angekündigt,
- an Kriminelle oder Konkurrenten verkauft,
- oder Stück für Stück veröffentlicht, um den Druck zu erhöhen.
Für Betroffene heißt das:
- Es geht nicht mehr nur darum, wieder arbeiten zu können,
- sondern auch um Image-Schäden, Vertrauensverlust und rechtliche Konsequenzen,
weil personenbezogene Daten oder Geschäftsgeheimnisse nach außen gelangt sind.
Angriffe auf Lieferketten: Wenn der Dienstleister zum Einfallstor wird
Besonders heikel sind Angriffe auf Lieferketten (Supply Chain):
- Unternehmen arbeiten mit vielen Dienstleistern zusammen: Cloud-Anbieter, Software-Hersteller, IT-Dienstleister, Zahlungsdienstleister.
- Wird ein solcher Dienstleister gehackt, sind gleich mehrere oder viele Kunden indirekt betroffen.
Beispiele aus 2025:
- Angriffe auf Oracle E-Business Suite: Über eine Zero-Day-Lücke wurden in großem Stil Daten aus Kundensystemen abgezogen, die später als Druckmittel für Erpressungen dienten. (Google Cloud)
- Untersuchungen zeigen außerdem große Datenabflüsse aus Cloud-Umgebungen, bei denen Millionen Datensätze von vielen Kunden gleichzeitig betroffen waren. (cloudsek.com)
Für Außenstehende ist das Wichtigste daran:
Nicht nur „dein“ Unternehmen muss sicher sein – sondern auch alle Dienstleister, denen es Daten anvertraut.
Was bedeutet das für dich als Privatperson?
Auch wenn das alles nach „großer Enterprise-Welt“ klingt – die Folgen landen am Ende bei uns allen:
- Deine Kundendaten (Adresse, Kontodaten, Vertragsdaten) können betroffen sein.
- Deine E-Mails mit Unternehmen, Versicherungen, Banken oder Ärzten können in Datenleaks auftauchen.
- Deine Daten werden unter Umständen für Betrugsversuche (Phishing, gefälschte Anrufe) genutzt.
Du kannst die globale Lage natürlich nicht alleine ändern, aber du kannst dich besser schützen:
- Starke, einzigartige Passwörter
- Nutze einen Passwortmanager.
- Gleiche Passwörter für mehrere Dienste sind ein großes Risiko.
- Zwei-Faktor-Authentifizierung (2FA)
- Wo immer möglich, aktivieren.
- Dann reicht ein gestohlenes Passwort allein nicht mehr.
- Vorsicht bei Mails und SMS
- Keine Links anklicken, wenn dir eine Nachricht seltsam vorkommt.
- Im Zweifel selbst die Website des Unternehmens aufrufen oder anrufen – nicht über den Link in der Mail.
- Weniger Daten streuen
- Gib nur die Daten an, die unbedingt nötig sind.
- Überlege dir, wem du wirklich sensible Dokumente (Ausweis, Gehaltsabrechnungen) schickst.
Was bedeutet das für Unternehmen – auch ohne tiefes IT-Wissen?
Für Entscheider, die nicht aus der Technik kommen, lässt sich der Trend so zusammenfassen:
- Es reicht nicht mehr, nur „wieder hochfahren zu können“.
- Datenverlust und Offenlegung sind das Hauptproblem: Ruf, Vertrauen, rechtliche Pflichten.
- Kritisch sind vor allem:
- zentrale Systeme (Updates, Identitäten, Logs),
- und externe Dienstleister (Cloud, SaaS, Outsourcing).
Darum sind Themen wie:
- regelmäßige Sicherheitsupdates,
- klare Verantwortlichkeiten,
- Notfallpläne für Sicherheitsvorfälle,
- und strenge Anforderungen an Dienstleister
keine „IT-Details“, sondern Chefsache.
Kurz und knapp
- Ransomware verschlüsselt Daten – das bleibt ein Problem.
- Exposure geht einen Schritt weiter: Daten werden gestohlen und als Druckmittel genutzt.
- Angreifer wählen heute lieber Ziele, mit denen sie viele Systeme auf einmal unter Kontrolle bekommen.
- Für uns alle heißt das:
- Unternehmen müssen ihre zentralen Systeme und Dienstleister besser absichern.
- Privatpersonen brauchen solide Grundhygiene: Passwörter, 2FA, Vorsicht bei Mails.
Hier sind die wichtigsten Links und Quellen zu dem Thema, das wir im Text angesprochen haben – sauber sortiert nach Bereichen.
1. „Exposure statt nur Ransomware“ – Meta-/Trend-Artikel
- Capture The Bug: „Latest Cybersecurity News – November 2025“
(Formulierung „November 2025 ist der Monat der Exposure“)
https://capturethebug.xyz/Blogs/Latest-Cybersecurity-News-November-2025 (capturethebug.xyz) - Capture The Bug: „PTaaS in 2025: The Shift From Point-in-Time Pentests to Continuous Security“
Hintergrund zu kontinuierlicher Sicherheit und Exposure-Risiken
https://capturethebug.xyz/Blogs/PTaaS-in-2025-The-Shift-From-Point-in-Time-Pentests-to-Continuous-Security(capturethebug.xyz) - Allianz Commercial: „Cyber Risk Trends 2025“
Zu Kosten von Ransomware & Daten-Diebstahl, Bedeutung früher Erkennung
https://commercial.allianz.com/news-and-insights/news/cyber-risk-trends-2025.html (Allianz Commercial) - Bitsight: „Current and Emerging Malware Trends from 2025“
Zahlen zu Breaches, Rolle von Dienstleistern & Lieferketten
https://www.bitsight.com/blog/current-malware-trends-2025 (Bitsight) - Palo Alto / Unit 42: „Extortion and Ransomware Trends January–March 2025“
Entwicklung von Ransomware hin zu (Daten-)Erpressung
https://unit42.paloaltonetworks.com/2025-ransomware-extortion-trends/ (Unit 42)
2. Ransomware- & Erpressungszahlen allgemein
- ENISA: Threat Landscape
Überblick zu Ransomware und anderen Bedrohungen in Europa
https://www.enisa.europa.eu/topics/cyber-threats/threat-landscape (ENISA) - All About Security: „Ransomware-Angriffe steigen um 47 Prozent – US-Unternehmen besonders betroffen“
Statistiken zu 6.330 Fällen Anfang–September 2025
https://www.all-about-security.de/ransomware-angriffe-steigen-um-47-prozent-us-unternehmen-besonders-betroffen/ (all-about-security.de) - TechRadar Pro: „The end of ransomware? … number of firms paying up is plummeting“
Coveware-Daten zu sinkenden Lösegeldzahlungen, extortion-only-Trends
https://www.techradar.com/pro/security/the-end-of-ransomware-report-claims-the-number-of-firms-paying-up-is-plummeting (TechRadar) - Veeam: „Insider Threats Loom while Ransom Payment Rates Plummet“
Aufspaltung in RaaS-Volumenangriffe vs. gezielte High-Value-Eintritte
https://www.veeam.com/blog/ransomware-payments-trends-q3-2025.html (Veeam Software)
3. Oracle Identity Manager – Zero-Day & Ausnutzung (Identity als „Schlüsselkasten“)
- Oracle: Critical Patch Update Advisory – October 2025
Offizielle Risikomatrix mit CVE-2025-61757
https://www.oracle.com/security-alerts/cpuoct2025.html (Oracle) - Oracle (verbose Risk Matrix):
https://www.oracle.com/security-alerts/cpuoct2025verbose.html (Oracle) - The Hacker News: „CISA Warns of Actively Exploited Oracle Identity Manager Flaw (CVE-2025-61757)“
Überblick zu der aktiv ausgenutzten Lücke
https://thehackernews.com/2025/11/cisa-warns-of-actively-exploited.html (The Hacker News) - SecurityWeek: „CISA Confirms Exploitation of Recent Oracle Identity Manager Vulnerability“
Bestätigung der Ausnutzung in freier Wildbahn
https://www.securityweek.com/cisa-confirms-exploitation-of-recent-oracle-identity-manager-vulnerability/(SecurityWeek) - SOCRadar: „CVE-2025-61757: Oracle Identity Manager Auth Bypass…“
Technischer Überblick zur Schwachstelle
https://socradar.io/cve-2025-61757-oracle-identity-manager/ (socradar.io) - Heise (engl. Ausgabe): „Patch now! Malicious code attacks on Oracle Identity Manager observed“
Deutsche Quelle zum selben Thema
https://www.heise.de/en/news/Patch-now-Malicious-code-attacks-on-Oracle-Identity-Manager-observed-11089303.html (heise online) - Searchlight Cyber: „Breaking Oracle’s Identity Manager: Pre-Auth RCE (CVE-2025-61757)“
Technische Analyse des Exploits
https://slcyber.io/research-center/breaking-oracles-identity-manager-pre-auth-rce/ (Searchlight Cyber)
4. Oracle E-Business Suite – Zero-Days & Erpressung („Exposure“)
- TechRadar Pro: „Oracle forced to rush out patch for zero-day exploited in attacks“
Notfall-Patch für CVE-2025-61882, inkl. Datenabfluss und Erpressungsversuchen
https://www.techradar.com/pro/security/oracle-forced-to-rush-out-patch-for-zero-day-exploited-in-attacks(TechRadar) - TechRadar Pro: „Oracle races to patch another zero-day following rise in attacks“
Weitere EBS-Zero-Day (CVE-2025-61884) mit Fokus auf Datenzugriff und Erpressung
https://www.techradar.com/pro/security/oracle-races-to-patch-a-another-zero-day-following-rise-in-attacks(TechRadar) - ITPro: „Oracle patches EBS amid extortion attacks“
Konkrete Beschreibung der Kampagne mit Datendiebstahl & Droh-Mails
https://www.itpro.com/security/oracle-patches-ebs-amid-extortion-attacks (IT Pro) - Tenable: „Oracle Identity Manager (October 2025 CPU)“
Plugin-Info zu den betroffenen Versionen
https://www.tenable.com/plugins/nessus/271391 (Tenable®)
5. Fluent Bit – Logging-Agent als Angriffspunkt (Logging / Observability)
- The Hacker News: „New Fluent Bit Flaws Expose Cloud to RCE and Stealthy Attacks“
Neue Schwachstellenkette inkl. RCE & Stealth-Angriffen
https://thehackernews.com/2025/11/new-fluent-bit-flaws-expose-cloud-to.html (The Hacker News) - The Register: „Years-old bugs in open source took out major clouds at risk“
Fokus auf Fluent Bit und seine Rolle in großen Cloud-Stacks
https://www.theregister.com/2025/11/24/fluent_bit_cves/ (The Register) - SiliconANGLE: „Oligo report uncovers critical Fluent Bit flaws exposing cloud workloads“
Details zu CVE-2025-12972 u. a. und RCE-Szenarien
https://siliconangle.com/2025/11/24/oligo-report-uncovers-critical-fluent-bit-flaws-exposing-cloud-workloads/(SiliconANGLE) - WebProNews: „Fluent Bit Vulnerabilities Enable RCE and Cloud Takeovers in Billions of Deployments“
Zusammenfassung der fünf in der Kette ausnutzbaren CVEs
https://www.webpronews.com/fluent-bit-vulnerabilities-enable-rce-and-cloud-takeovers-in-billions/ (WebProNews) - Quorum Cyber: „Critical vulnerability in Fluent Bit“
Kurz-Advisory, betont Einsatz bei allen großen Cloud-Providern
https://www.quorumcyber.com/threat-intelligence/critical-vulnerability-in-fluent-bit/ (Quorum Cyber) - Offizielle Fluent-Bit-Seite – Blog & Security-Notes:
https://fluentbit.io/blog/ (fluentbit.io)
6. Ergänzende Quellen zu Ransomware & Extortion
- KnowBe4 / CYFIRMA: „Report: Ransomware Attacks Surged Globally in October“
Hintergrund, warum November als „Monat der Exposure“ daneben auffällt
https://blog.knowbe4.com/report-ransomware-attacks-are-on-the-rise (blog.knowbe4.com) - CrowdStrike / ITPro: „Ransomware attacks are hitting European enterprises at record pace“
Europäischer Kontext 2025
https://www.itpro.com/business/ransomware-attacks-are-hitting-european-enterprises-at-record-pace (IT Pro)
Sei der Erste, der das kommentiert
Kommentare sind geschlossen, allerdings sind Trackbacks und Pingbacks möglich.