Das Jahr 2025 war geprägt von einigen der disruptivsten und aufschlussreichsten Cyberangriffe der jüngeren Vergangenheit. Obwohl übergeordnete Statistiken darauf hindeuteten, dass die durchschnittlichen Kosten eines Cyberangriffs im Vergleich zu den Vorjahren gesunken waren, verzerrten einige wenige Vorfälle mit hoher Wirkung das Gesamtbild erheblich. Angriffe auf bekannte Unternehmen wie Marks & Spencer und Jaguar Land Rover trieben die Durchschnittswerte nach oben und legten systemische Schwächen im Einzelhandel, in der Industrie, in der Luftfahrt, im öffentlichen Sektor und in globalen Lieferketten offen.

Von groß angelegten Ransomware-Kampagnen bis hin zu gezielten Angriffen, die vertrauenswürdige Drittanbieter-Software ausnutzten, bestätigten die Vorfälle des Jahres 2025 eine beunruhigende Realität. Moderne Organisationen sind weiterhin stark exponiert durch Cloud-Plattformen, Lieferanten-Ökosysteme, operative Technologien und gemeinsam genutzte digitale Infrastrukturen. Mit Blick auf das Jahr 2026 beeinflussen diese Angriffe bereits Cyber-Sicherheitsstrategien, regulatorische Prioritäten und Investitionsentscheidungen.

Im Folgenden finden sich einige der bedeutendsten und am breitesten berichteten Cyberangriffe des Jahres 2025 sowie die daraus resultierenden Lehren. 

Marks & Spencer und der Ransomware-Angriff auf den britischen Einzelhandel

Datum: April 2025
Angriffstyp: Ransomware und koordinierte Branchenkampagne
Bedrohungsakteur: Scattered Spider

Einer der meistbeachteten Cybervorfälle des Jahres war die koordinierte Ransomware-Kampagne gegen mehrere große britische Einzelhändler, darunter Marks & Spencer, Co-op und Harrods. Der Angriff dominierte wochenlang die Schlagzeilen und prägte ein Jahr, das von Lieferkettenrisiken und sektorübergreifender Exponierung gekennzeichnet war.

Die Angreifer, die mit der Gruppe Scattered Spider in Verbindung gebracht werden, nutzten ausgefeilte Social-Engineering-Methoden, um einen Drittanbieter zu kompromittieren. Von dort aus gelang es ihnen, in mehrere Einzelhandelsnetzwerke einzudringen, maßgeschneiderte Ransomware zu verbreiten, Kundendaten zu exfiltrieren und Erpressungsforderungen zu stellen, um eine öffentliche Veröffentlichung zu verhindern.

Die finanziellen Auswirkungen waren erheblich. Marks & Spencer meldete einen Rückgang des Vorsteuergewinns von 391,9 Millionen Pfund auf lediglich 3,4 Millionen Pfund innerhalb der sechs Monate bis zum 27. September. Online-Verkaufsplattformen, Zahlungssysteme und Geschenkkartendienste waren über Wochen hinweg nicht verfügbar. Co-op litt unter erheblichen Lieferkettenstörungen, während Harrods mit Ausfällen an den Kassen und logistischen Verzögerungen konfrontiert war.

Eine branchenübergreifende Untersuchung unter Leitung der National Crime Agency führte zu mehreren Festnahmen und deckte gravierende Schwächen im Management von Drittanbieter-Zugriffen im Einzelhandel auf.

Zentrale Erkenntnis:
Diese Kampagne zeigte, wie gemeinsam genutzte Anbieter und Cloud-Integrationen ganze Branchen verwundbar machen können. Sie beschleunigte die Einführung von Zero-Trust-Architekturen, strengeren Lieferanten-Onboarding-Prozessen und robusteren Ransomware-Resilienzstrategien.

Angriff auf die Lieferkette von Jaguar Land Rover

Datum: August 2025
Angriffstyp: Ransomware und Lieferkettenstörung
Bedrohungsakteur: Scattered Lapsus$ Hunters

Im August 2025 erlitt Jaguar Land Rover den vermutlich kostspieligsten Cyberangriff in der Geschichte des Vereinigten Königreichs. Laut dem Cyber Monitoring Centre werden die Kosten auf 1,9 Milliarden Pfund geschätzt. Die Produktion kam für fünf Wochen zum Stillstand, und mehr als 5.000 Unternehmen entlang der globalen Lieferkette von JLR waren betroffen. Eine vollständige operative Wiederherstellung wird erst für Januar 2026 erwartet.

Der Angriff wurde den Scattered Lapsus$ Hunters zugeschrieben, einem lose verbundenen kriminellen Kollektiv mit Verbindungen zu Gruppen wie Lapsus$, Scattered Spider und ShinyHunters. Durch das Ausnutzen von Schwachstellen in der Software von Drittanbietern konnten sich die Angreifer lateral in die Kernsysteme von JLR bewegen. Ransomware legte Produktions- und Logistiknetzwerke lahm und zwang zu temporären Werksschließungen im Vereinigten Königreich, in der Slowakei und in Brasilien.

Zusätzlich zu den operativen Schäden drohten die Angreifer mit der Veröffentlichung sensibler Konstruktions- und Lieferantendaten, sollten keine millionenschweren Lösegeldforderungen erfüllt werden.

Zentrale Erkenntnis:
Der JLR-Vorfall verdeutlichte, dass Cyberangriffe auf Lieferketten unmittelbare physische und wirtschaftliche Konsequenzen haben können. Er unterstrich die Bedeutung einer stärkeren Segmentierung operativer Technologien, sicherer Software-Abhängigkeiten und rigoroser Drittanbieterprüfungen in industriellen Ökosystemen.

Angriff auf die vMUSE-Flughafensysteme von Collins Aerospace

Datum: März 2025
Angriffstyp: Ransomware und Kompromittierung von Luftfahrtsoftware
Bedrohungsakteur: Unbekannte, finanziell motivierte Gruppe

Ein Ransomware-Angriff auf die vMUSE-Plattform von Collins Aerospace verursachte weitreichende Störungen im europäischen Luftverkehr. vMUSE wird von Flughäfen für den Check-in und das Boarding von Passagieren genutzt. Der Angriff zwang Fluggesellschaften dazu, auf manuelle Prozesse für die Passagier- und Gepäckabfertigung zurückzugreifen.

Mehr als 20 Flughäfen, darunter Heathrow, Frankfurt und Amsterdam Schiphol, waren von Betriebsstörungen betroffen, was zu tausenden Flugverspätungen und -annullierungen führte. Die britische Polizei nahm im Rahmen der Ermittlungen nach dem Computer Misuse Act einen Mann fest, auch wenn die verantwortliche Gruppe bislang nicht offiziell identifiziert wurde.

Im Nachgang veröffentlichte die Europäische Agentur für Flugsicherheit dringende Leitlinien zum Management von Drittanbieterrisiken in IT-Systemen von Flughäfen.

Zentrale Erkenntnis:
Der vMUSE-Angriff verdeutlichte die Fragilität gemeinsam genutzter kritischer Systeme und die Kaskadeneffekte von Lieferantenschwachstellen. Er stärkte die Notwendigkeit von Redundanzen, Echtzeit-Bedrohungsüberwachung und einer strengeren Kontrolle von Drittanbietertechnologien im Luftfahrtsektor.

Kompromittierung der kommunalen Systeme von St. Paul

Datum: Juli 2025
Angriffstyp: Ransomware und Störung kommunaler Infrastruktur
Bedrohungsakteur: Mutmaßliche osteuropäische Ransomware-Gruppe

Im Juli 2025 rief die Stadt St. Paul im US-Bundesstaat Minnesota den Notstand aus, nachdem ein Ransomware-Angriff zentrale kommunale Systeme außer Betrieb gesetzt hatte. Der Angriff, der der Gruppe Interlock zugeschrieben wird, kompromittierte ein gemeinsam genutztes Netzlaufwerk und verschlüsselte Systeme für Abrechnung, Notfallkoordination und Bürgerdienste.

Das Rathaus und öffentliche Verwaltungsstellen waren über zwei Wochen hinweg offline, was bundesstaatliche Unterstützung und Hilfe durch die Cyber-Einheit der Nationalgarde erforderlich machte. Der Vorfall entfachte erneut die Debatte über chronische Unterfinanzierung und veraltete IT-Infrastrukturen in Kommunen.

Zentrale Erkenntnis:
Der Vorfall in St. Paul zeigte, wie Legacy-Systeme und verzögertes Patch-Management kritische Infrastrukturen extrem verwundbar machen. Er unterstrich die Dringlichkeit von Modernisierung, der Einführung von Zero-Trust-Kontrollen und regelmäßigen Cyber-Resilienz-Übungen auf kommunaler Ebene.

SalesLoft-Datenleck und Kompromittierung durch Drittanbieter

Entdeckungsdatum: Juli 2025
Angriffstyp: Lieferkettenkompromittierung über Salesforce-verbundene OAuth-Integrationen
Bedrohungsakteur: ShinyHunters, mit Überschneidungen zu Scattered Spider

Einer der weitreichendsten Lieferkettenvorfälle des Jahres 2025 hatte SalesLoft als gemeinsamen Nenner. Die Plattform, die eng mit Salesforce integriert ist, wurde von Angreifern genutzt, um über OAuth-Integrationen großflächigen Zugriff auf Kundenumgebungen zu erlangen.

Zu den betroffenen Organisationen gehörte TransUnion, das die Offenlegung personenbezogener Daten von 4,46 Millionen US-Verbrauchern meldete. Weitere betroffene Unternehmen waren Google, Workday, Farmers Insurance, Chanel und Qantas. Sicherheitsexperten ordneten die Kampagne ShinyHunters zu, die in Zusammenarbeit mit Gruppen wie Scattered Spider agierten. Dies spiegelt einen wachsenden Trend zu Erpressungsmodellen wider, die gezielt hochrangige Integrationen ausnutzen.

Zentrale Erkenntnis:
Der SalesLoft-Vorfall zeigte, wie vertrauenswürdige SaaS-Integrationen zu wirkungsvollen Angriffsvektoren werden können. Er führte zu einer verstärkten Fokussierung auf OAuth-Berechtigungen, Identitätssicherheit und die Governance von Drittanbieteranwendungen.

Weitere bedeutende Cybervorfälle im Jahr 2025

Neben den Hauptfällen trugen weitere Angriffe zur Prägung der globalen Bedrohungslage bei:

• Allianz-Life-Angriff: Über eine Million Menschen waren betroffen, nachdem ein Drittanbieter-CRM mit sensiblen Kundendaten kompromittiert worden war.
• Angriff auf die Bank Sepah: Im Iran wurden 42 Millionen Kundendatensätze bei einem groß angelegten Angriff der Gruppe Codebreakers gestohlen, gefolgt von Datenveröffentlichungen nach verweigerter Lösegeldzahlung.
• UNFI-Angriff: Störungen bei United Natural Foods Inc. führten zu Verzögerungen in der Lebensmittelversorgung in Nordamerika, nachdem elektronische Bestellsysteme ausgefallen waren.

Ausblick auf 2026

Die Cyberangriffe des Jahres 2025 machten eines deutlich. Digitale Resilienz kann nicht länger isoliert betrachtet werden. Drittanbieterrisiken, Cloud-Integrationen, die Exponierung operativer Technologien und Identitätssicherheit sind heute zentrale Bestandteile einer wirksamen Verteidigungsstrategie. Mit der Weiterentwicklung von Strategien im Jahr 2026 werden die Lehren aus diesem Jahr weiterhin maßgeblich beeinflussen, wie Unternehmen, Behörden und Regulierungsstellen Cyber-Sicherheit in einer zunehmend vernetzten Welt angehen.