Cyberbedrohungen in Europa: Learnings aus dem aktuellen ENISA Threat Landscape Report

10. März, 2026

Ransomware-Gruppen nutzen nutzen zunehmend auch Zero-Day-Exploits oder fortgeschrittene Angriffstechniken, staatliche Angreifer tarnen ihre Kampagnen als gewöhnliche Cyberkriminalität und geopolitische Konflikte führen vermehrt zu Angriffen auf Zulieferer, Managed Service Provider und öffentliche Einrichtungen.

Der aktuelle ENISA Threat Landscape Report zeigt deutlich: Die klassische Trennung zwischen Cybercrime, Hacktivismus und staatlich unterstützten Angreifern verliert an Bedeutung. Angreifer übernehmen gegenseitig Werkzeuge, Infrastruktur und Taktiken – und erschweren so die Zuordnung von Angriffen.

Für IT-Administratoren und Security-Verantwortliche bedeutet das vor allem eines: Die Bedrohungslage wird komplexer, und sie betrifft zunehmend auch kleinere Unternehmen.

Der ENISA Threat Landscape Report 2025 analysiert 4.875 verifizierte Sicherheitsvorfälle zwischen Juli 2024 und Juni 2025 und zeigt, welche Angriffsmethoden aktuell besonders relevant sind.

Die zentrale Entwicklung: Konvergierende Bedrohungen

Ein Schlüsselwort im ENISA-Bericht lautet Konvergenz.

Während Cyberbedrohungen früher klarer kategorisiert werden konnten – etwa als finanziell motivierte Cyberkriminalität oder staatliche Spionage – verschwimmen diese Grenzen zunehmend. Laut ENISA entstehen heute vermehrt hybride Angriffskampagnen, bei denen verschiedene Akteursgruppen ähnliche Werkzeuge und Methoden einsetzen.

Beispiele:

Cyberkriminelle nutzen APT-Techniken und Zero-Day-Exploits
staatliche Akteure tarnen Angriffe als gewöhnliche Ransomware-Kampagnen
hacktivistische Gruppen kombinieren politische Botschaften mit finanzieller Erpressung

Diese Entwicklung erschwert nicht nur die Attribution eines Angriffs – sie erhöht auch die Geschwindigkeit, mit der neue Angriffstechniken verbreitet werden.

Wer derzeit besonders im Fokus steht

Viele Unternehmen gehen noch immer davon aus, dass vor allem Großkonzerne im Fokus von Angreifern stehen. Der ENISA-Bericht zeichnet jedoch ein anderes Bild.

Die am häufigsten angegriffene Branche in der EU ist die öffentliche Verwaltung. Sie machte rund 38,2 % der beobachteten Vorfälle aus.

Weitere häufig betroffene Sektoren sind Transport und Logistik, digitale Infrastruktur, Finanzsektor und Industrie. Ein wichtiger Grund dafür ist die zunehmende Vernetzung von Organisationen: Angreifer nutzen gezielt Zulieferer oder IT-Dienstleister als Einstiegspunkt, um größere Ziele zu erreichen.

Viele kleinere Unternehmen gehen davon aus, dass sie für Angreifer zu unbedeutend sind. Die Realität sieht anders aus. Gerade KMU werden häufig angegriffen, weil sie Teil größerer Lieferketten sind, weniger Ressourcen für IT-Security haben oder als Einstiegspunkt in größere Organisationen dienen können. Grundlegende Cyber-Hygiene und Resilienzmaßnahmen sind daher für Unternehmen jeder Größe entscheidend.

Die wichtigsten aktuellen Bedrohungstrends

Der ENISA-Bericht identifiziert mehrere zentrale Entwicklungen:

Ransomware bleibt eine der größten Bedrohungen
Ransomware bleibt eine der folgenreichsten Angriffsformen, allerdings verändert sich die Vorgehensweise der Angreifer: klassische Verschlüsselung wird kombiniert mit Datendiebstahl, zusätzliche DDoS-Drohungen erhöhen den Druck, Kunden oder Geschäftspartner werden direkt kontaktiert.

Diese sogenannte Triple-Extortion-Strategie soll den wirtschaftlichen Schaden maximieren.
DDoS-Angriffe erleben ein Comeback
DDoS-Angriffe dominieren die Anzahl der Vorfälle: Ein großer Teil der gemeldeten Hacktivismus-Aktivitäten besteht aus DDoS-Angriffen..

Viele dieser Angriffe richten sich gegen Behörden, Banken oder Transport- und Infrastrukturunternehmen. Häufig wird DDoS als Ablenkungsmanöver genutzt, während parallel tiefere Infiltrationen stattfinden.
Supply-Chain-Angriffe nehmen zu
Da große Organisationen ihre Sicherheitsmaßnahmen verstärken, verschiebt sich der Fokus vieler Angreifer auf indirekte Ziele. Typische Angriffsziele sind Managed Service Provider (MSPs), Software-Lieferanten, Cloud-Dienstleister oder kleinere IT-Dienstleister.

Ein kompromittierter Dienstleister kann im schlimmsten Fall Zugang zu mehreren Unternehmen gleichzeitig ermöglichen.
KI verändert Social-Engineering-Angriffe
Auch im Bereich Social Engineering verändert sich die Bedrohungslage deutlich. Phishing-Mails sind heute oft sprachlich fehlerfrei, stark personalisiert und kontextbezogen formuliert.

Der ENISA-Bericht weist darauf hin, dass KI-Werkzeuge Social-Engineering-Angriffe deutlich erleichtern – etwa durch automatisierte Erstellung überzeugender Phishing-Mails oder Deepfake-Audio.

Security-Checkliste: Aktueller Handlungsbedarf

Basierend auf den Erkenntnissen des ENISA-Berichts sollten Unternehmen ihre Sicherheitsstrategie regelmäßig überprüfen. Die folgenden Punkte eignen sich gut als Grundlage für interne Security-Reviews.

1. Identität und Zugriff absichern

MFA-Härtung

1. - FIDO2-Token oder Number-Matching einsetzen
  - Schutz vor MFA-Fatigue-Angriffen implementieren

Service Accounts überprüfen

1. - alte Service-Accounts identifizieren
  - unnötige Domain-Admin-Rechte entfernen
  - privilegierte Accounts regelmäßig auditieren

2. Resilienz und Wiederherstellung sicherstellen

Immutable Backups

1. - mindestens ein Backup-System unveränderbar (WORM-Storage)
  - idealerweise zusätzlich air-gapped

Analoger Notfallplan

1. - Offline-Kontaktlisten
  - Incident-Response-Checklisten auf Papier

Wenn zentrale Systeme wie Active Directory oder VoIP ausfallen, sind digitale Notfallhandbücher oft nicht erreichbar.

3. Supply-Chain-Risiken bewerten

Vendor-Risk-Management

1. - wichtigste IT-Dienstleister identifizieren
  - Sicherheitszertifizierungen prüfen
  - Meldeprozesse für Sicherheitsvorfälle definieren

Schatten-IT identifizieren

1. - genutzte SaaS-Dienste inventarisieren
  - vergessene Cloud-Instanzen abschalten

4. Mitarbeitende auf KI-basierte Angriffe vorbereiten

Security-Awareness-Trainings mit folgendem Fokus aktualisieren:

1. - KI-generierte Phishing-Mails
  - Deepfake-Audio
  - manipulierte Videoanrufe

Verifikationsprozesse einführen:

1. - Bei sensiblen Aktionen wie Zahlungsanweisungen, Passwort-Resets oder Zugriff auf kritische Systeme sollte immer ein Out-of-Band-Bestätigungsprozess existieren.

5. Technische Härtung und NIS2-Vorbereitung

Viele der im ENISA-Bericht genannten Maßnahmen decken sich direkt mit Anforderungen der NIS2-Richtlinie. Besonders wichtig:

1. - Netzwerksegmentierung
  - Trennung von Gast-Netzen
  - eingeschränkter Zugriff auf kritische Systeme
  - minimaler Zugriff nach dem Prinzip Least Privilege

Patch-Management priorisieren – besonders kritisch sind Systeme mit externer Erreichbarkeit:

1. - Firewalls
  - VPN-Gateways
  - Mailserver
  - Remote-Access-Systeme

Die Zeitspanne zwischen Veröffentlichung einer Schwachstelle und ersten Exploits liegt inzwischen häufig unter 24 Stunden.

Fazit

Der ENISA Threat Landscape Report 2025 zeigt deutlich: Die Bedrohungslandschaft wird zunehmend hybrider und komplexer. Cyberkriminelle, Hacktivisten und staatliche Akteure nutzen ähnliche Werkzeuge und Infrastrukturen – und greifen zunehmend auch indirekte Ziele an, etwa Zulieferer oder IT-Dienstleister.

Cybersecurity ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Organisationen sollten ihre Sicherheitsarchitektur regelmäßig überprüfen, aktuell besonders im Hinblick auf Identitätsmanagement, Resilienz und Backups, Supply-Chain-Risiken, Awareness gegen Social Engineering, Netzwerksegmentierung und Patch-Management.