Die Angriffsvektoren (auch als Bedrohungsvektoren bezeichnet) und die Schwachstellen der Cybersicherheit eines Unternehmens bilden zusammen seine Angriffsfläche. Die Angriffsfläche hat zugenommen, da Unternehmen sich auf digitale Transformationen einlassen, wie z. B. die Einführung künstlicher Intelligenz (KI), die Migration von Cloud- und Rechenzentren, die Nutzung von Internet-der-Dinge Geräten und die Ermöglichung von Remote-Arbeit. Da so viele Assets mittlerweile Teil einer zunehmend komplexen und dezentralisierten Technologielandschaft sind, haben Cyberkriminelle mehr Einfallstore, um in Netzwerke und Betriebssysteme einzudringen.
In der Zwischenzeit haben sich auch Umfang und Raffinesse der Angriffsvektoren weiterentwickelt. Bedrohungsakteure profitieren von neueren Technologien wie KI, um Benutzer zu manipulieren und sich herkömmlichen Sicherheitsmaßnahmen zu entziehen.
Glücklicherweise können Unternehmenssicherheitsteams Cybersicherheitsdisziplinen wie das Angriffsflächenmanagement (ASM) nutzen, um diese Angreifer abzuwehren. ASM hilft Unternehmen dabei, potenzielle Angriffsmethoden zu identifizieren und sich gegen Angriffsvektoren zu verteidigen – wichtige Schritte zur Minderung von Cybersicherheitsrisiken.
Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
In der Epidemiologie sind Vektoren Erreger, die Infektionskrankheiten übertragen. Sie können von Lebewesen (Moskitos, Fledermäuse) bis hin zu leblosen Gegenständen (Spritzen, Papiergeld) reichen1 Das Verständnis dieser Vektoren hilft bei der Prävention und Übertragung von Krankheiten im Bereich der öffentlichen Gesundheit.
Ebenso hilft das Verständnis der Vielseitigkeit von Cyberangriffsvektoren Unternehmen (und den mit ihnen arbeitenden Cybersicherheitsexperten), Strategien und Tools zur Erkennung und Sanierung von Cyberbedrohungen zu entwickeln und bereitzustellen.
Ohne eine solche Erkennung und Sanierung können schwerwiegende Folgen eintreten. Angriffsvektoren ermöglichen häufig Datenschutzverletzungen, bei denen Bedrohungsakteure Zugang zu sensiblen oder vertraulichen Informationen erhalten.
Laut dem IBM Cost of a Data Breach 2025 Bericht betragen die durchschnittlichen Kosten einer Datenschutzverletzung 4,44 Millionen US-Dollar. Die Kosten entstehen durch Untersuchungen und Prüfungen von Datenschutzverletzungen; die Meldung von Datenschutzverletzungen an Kunden, Aufsichtsbehörden und Stakeholder; Vergleiche und Anwaltskosten; sowie durch Kundenverluste. Vorfälle sind in stark regulierten Bereichen besonders kostspielig, da Datenschutzverletzungen zu Bußgeldern führen können. Dem Bericht von IBM zufolge belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Gesundheitswesen im Jahr 2025 beispielsweise auf 7,42 Millionen US-Dollar.
Angriffsvektoren können auch von Hackern genutzt werden, um Assets zu deaktivieren oder zu zerstören, was zu erheblichen geschäftlichen und wirtschaftlichen Störungen führt. Im September 2025 führte beispielsweise ein Cyberangriff auf die Check-in-Systeme an Flughäfen in großen europäischen Städten zu Flugausfällen und Verspätungen. Anfang desselben Monats hatte ein Cyberangriff einen wochenlangen Stillstand bei einem großen britischen Automobilhersteller erzwungen.
Wie bei mutierenden Krankheitserregern entwickelt sich auch die Cyber-Bedrohungslandschaft weiter. Vor zwei Jahrzehnten war beispielsweise der Angriffsvektor, der für etwa die Hälfte der Datenschutzverletzungen verantwortlich war, ein verlorenes oder gestohlenes Gerät, wie ein Laptop oder ein USB-Stick. Heute macht Gerätediebstahl weniger als 10 % aller Datenschutzverletzungen aus, wobei laut dem IBM Data Breach Kostenreport 2025 eine Vielzahl weiterer Vektoren – von Phishing bis zu kompromittierten Lieferketten – in den übrigen Bereichen verwickelt sind.
Cyberkriminelle nutzen neue Technologie, um ihren Ansatz bei Vektoren zu optimieren. Zum Beispiel nutzen sie zunehmend KI, um überzeugende Phishing-E-Mails und Webseiten zu erstellen, neben anderen betrügerischen Aktivitäten. Laut dem IBM Cost of a Data Breach Report 2025 setzten Angreifer bei durchschnittlich 16 % der Datenschutzverletzungen KI ein, am häufigsten für KI-generierte Phishing-Angriffe (37 %) und Deepfake Impersonation-Angriffe (35 %).
Hacker durchsuchen außerdem das Dark Web um Crime as a Service (CaaS)-Software zu kaufen, die Cyberkriminalitätsaktivitäten von Spyware bis zum Knacken von Passwörtern ermöglicht. Ausgestattet mit fortschrittlichen Werkzeugen, „erlangen wandlungsfähige Cyberangreifer mehr Zugang, verschieben sich leichter in Netzwerken und errichten neue Außenposten in relativer Unbekanntheit“, so der IBM X-Force Threat Intelligence Index 2025.
Das Verfolgen der sich entwickelnden Angriffsvektoren von Bedrohungsakteuren kann Unternehmen dabei helfen, diese zu bekämpfen. „Je mehr man über die Vorgehensweise von Hackern weiß, desto besser kann man Abwehrmaßnahmen aufbauen“, erklärte Jeff Crume, ein IBM Security Distinguished Engineer, in einem kürzlich erschienenen IBM-Technologie-Video. „Information ist Macht.“
Obwohl verschiedene Unternehmen Angriffsvektoren unterschiedlich klassifizieren, gehören zu den gängigen Kategorien:
Social-Engineering-Angriffe manipulieren Menschen so, dass sie glauben, dass sie mit einer vertrauenswürdigen Partei kommunizieren, und überzeugen sie, die Sicherheit ihrer personenbezogenen Daten (Bankpasswörter, Kreditkartennummern) oder Assets (geschützte Informationen, Geschäftsgeheimnisse) zu gefährden.
Einer der häufigsten Social-Engineering-Angriffe ist Phishing, bei dem betrügerische E-Mails, Textnachrichten, Telefonate oder Webseiten verwendet werden. Im IBM Data Breach Kostenreport 2025 war Phishing der häufigste Vektor für Datenschutzverletzungen, bei durchschnittlichen Kosten von 4,8 Millionen USD pro Angriff und machte 16 % der Datenschutzverletzungen aus. Bei Phishing-Angriffen kommt es häufig zu Spoofing, bei dem Angreifer ihre E-Mail-Adressen oder andere Kommunikationsmethoden verschleiern, um sich als vertrauenswürdige Quelle auszugeben.
Hacker versuchen, Drittanbieter zu infiltrieren, um Zugang zu ihren Partnern zu erhalten, was Lieferketten zu einem beliebten Ziel für Cyberangriffe macht. Moderne Lieferketten-Ökosysteme sind durch ihre digitalen Systeme und Kommunikationstechnologien zunehmend angreifbar, was eine enorme Angriffsfläche schafft.
Cyberangriffe auf die Lieferkette können die Produktion stoppen, Transport und Logistik stören, kritische Infrastrukturen beschädigen, geistiges Eigentum stehlen und vieles mehr. Laut dem IBM Data Breach Kostenreport 2025ist die Kompromittierung der Lieferkette der zweithäufigste Vektor für Datenschutzverletzungen und mit 4,91 Millionen USD pro Angriff der zweitkostspieligste im Durchschnitt.
Insbesondere Angriffe auf Software-Lieferketten sind zunehmend besorgniserregend, da immer mehr Unternehmen auf Open-Source-Software für ihre Computersysteme setzen. Laut einer Studie stiegen die Bedrohungen durch Open-Source-Paket-Repositorys in der Software-Lieferkette über drei Jahre um 1.300 %.2
Denial-of-Service-Angriffe (DoS) sind Cyberangriffe, die Anwendungen oder Dienste verlangsamen oder stoppen. In den meisten Fällen äußern sich DoS-Vorfälle so, dass Angreifer einen Netzwerkserver mit Datenverkehr überfluten, wodurch der Server letztendlich überlastet wird und er nicht mehr legitime Anfragen verarbeiten kann. Laut dem IBM Data Breach Kostenreport 2025 waren Denial-of-Service-Angriffe für mehr als 12 % der Datenschutzverletzungen verantwortlich.
Eine leistungsstarke Art von DoS-Angriff ist ein Distributed Denial-of-Service-Angriff (DDoS). Bei einem DDoS-Angriff kommt der Angriffsverkehr gleichzeitig aus mehreren Quellen – was es unter Umständen schwieriger macht, ihn zu erkennen und sich dagegen zu verteidigen. DDoS-Angriffe werden oft über Botnetze durchgeführt, also Gruppen von verbundenen Geräten, die von Hackern für ihre kriminellen Aktivitäten gekapert wurden.
Angriffe mit kompromittierten Anmeldedaten treten auf, wenn Hacker über die Anmeldedaten legitimer Nutzer wie Benutzernamen und Passwörter unbefugten Zugang zu einem System erhalten. Laut dem IBM X-Force Threat Intelligence Index betreffen 30 % der Cyberangriffe den Diebstahl und Missbrauch gültiger Konten.
Hacker haben verschiedene Möglichkeiten, Angriffe mit kompromittierten Anmeldedaten durchzuführen. Beispielsweise können sie gestohlene Anmeldedaten verwenden, die bei früheren Datenschutzverletzungen aufgedeckt wurden, oder Phishing-Angriffe bereitstellen, um die Opfer zur Preisgabe ihrer Zugangsdaten zu verleiten. Sie können auch Brute-Force-Angriffe einsetzen, die Rechenleistung und Automatisierung nutzen, um Passwörter durch Erraten herauszufinden, wobei sich schwache Passwörter im Allgemeinen als leichter zu ermitteln erweisen.
Insider Threats sind Cybersicherheitsbedrohungen, die von autorisierten Benutzern (wie Mitarbeitenden, Auftragnehmern und Geschäftspartnern) ausgehen, die absichtlich oder versehentlich ihren rechtmäßigen Zugang missbrauchen oder deren Konten von Cyberkriminellen gekapert werden.
Es gibt verschiedene Arten von Insider Threats, einschließlich böswillige Insider (verärgerte Mitarbeiter, die auf Rache sinnen), fahrlässige Insider (Mitarbeiter, die durch Unwissenheit oder Nachlässigkeit unbeabsichtigt Sicherheitsbedrohungen schaffen) und kompromittierte Insider (Mitarbeiter, deren Zugangsdaten gestohlen wurden).
Laut dem IBM Data Breach Kostenreport 2025 stechen böswillige Insider-Angriffe als die kostspieligste Ursache für Datenschutzverletzungen unter allen Angriffsvektoren hervor, mit 4,92 Millionen USD pro Vorfall.
Die Ausnutzung von Sicherheitslücken liegt vor, wenn interne oder externe Bedrohungsakteure Schwachstellen in der digitalen Umgebung eines Unternehmens ausnutzen. Laut dem X-Force Threat Intelligence Index ist die Ausnutzung von Schwachstellen in öffentlich zugänglichen Apps einer der wichtigsten Cyberangriffsvektoren .
Zu den Beispielen für Sicherheitslücken gehören:
Trotz der Existenz von Sicherheitslückenkatalogen wie der Liste Gängige Schwachstellen und Gefährdungen bleiben viele Schwachstellen unbekannt und bleiben unbearbeitet. Solche Sicherheitslücken werden als Zero-Day-Schwachstellen bezeichnet, weil ein Softwareanbieter oder Geräteanbieter null Tage Zeit hat, den Fehler zu beheben, bevor böswillige Akteure ihn ausnutzen können. Die daraus resultierenden Angriffe werden als Zero-Day-Angriffe bezeichnet.
Obwohl Malware oder schädliche Software oft Teil anderer Angriffsvektoren ist – wie Social Engineering oder Kompromittierungen in der Lieferkette – kann sie auch als eigene Kategorie betrachtet werden. Im Jahr 2024 machte Ransomware laut dem IBM X-Force Threat Intelligence Index den größten Anteil der Malware-Fälle aus (28 %).
Weitere Beispiele für Malware sind Remote Access Malware (die Hackern Remote-Zugriff gewährt), Trojaner (bösartige Programme, die als nützliche getarnt sind) und Spyware (Programme, die sensible Informationen sammeln und an Hacker weiterleiten).
Infostealer-Malware, die darauf ausgelegt ist, wertvolle Informationen zu stehlen, ist eine wachsende Bedrohung in diesem Bereich. Laut Laut X-Force Threat Intelligence Index ist die Zahl der Infostealer, die wöchentlich über Phishing-E-Mails eingeschleust werden, um 84 % gestiegen.
Obwohl Hackern eine Vielzahl digitaler Tools zur Verfügung stehen, bleiben physische Angriffe ein echtes Problem in der Cybersicherheit. Angreifer können beispielsweise Ausweise fälschen, sich als Verkäufer ausgeben oder einer autorisierten Person in den Sicherheitsbereich eines Unternehmens folgen (eine Praxis, die als Tailgating bekannt ist). Von dort aus können sie Laptops und andere Geräte stehlen, Malware herunterladen oder USB-Sticks mit Malware im Büro verteilen (sodass neugierige Mitarbeiter die Sticks anschließen und sich so unabsichtlich selbst Malware einfangen).
Laut dem IBM Data Breach Kostenreport 2025 kosten physische Diebstähle oder Sicherheitsprobleme Unternehmen im Durchschnitt mehr als 4 Millionen US-Dollar pro Vorfall.
Cyberangriffe umfassen oft zwei oder mehr Angriffsvektoren. Beispielsweise könnten Angreifer Phishing einsetzen, um einen Benutzer dazu zu bringen, Ransomware auf seinen Computer herunterzuladen. Anschließend könnte der Angreifer mit einem DDoS-Angriff drohen, falls das Opfer das geforderte Lösegeld nicht zahlt. Oder die Angreifer könnten eine Schwachstelle im System eines Anbieters ausnutzen, um auf die Systeme der Kunden zuzugreifen (ein Angriff auf die Lieferkette) und Schadcode in diese Systeme einschleusen, um nach Zugangsdaten zu suchen, die Hacker dann nutzen können, um Daten zu exfiltrieren.
Eine weitere Möglichkeit, Vektoren zu organisieren, besteht darin, sie in zwei Gruppen einzuteilen: passive und aktive.
Cyberkriminelle nutzen passive Angriffsmethoden, um Zugang zu Informationen zu erlangen, ohne das System zu verändern. Ein Beispiel für einen passiven Angriffsvektor wäre ein WLAN-Netzwerk ohne Verschlüsselung, wodurch es anfällig für das Abhören durch Hacker wird.
Im Gegensatz dazu nutzen Hacker aktive Angriffsmethoden, um die Kontrolle über Systeme zu erlangen, diese zu stören oder auf andere Weise zu beeinträchtigen. Zu den aktiven Angriffsvektoren gehören Denial-of-Service-Angriffe und Ransomware-Angriffe.
Manchmal ist die Abgrenzung zwischen einem aktiven und einem passiven Angriffsvektor nicht ganz eindeutig. Zum Beispiel könnte Phishing als passiver Angriffsvektor betrachtet werden, wenn es ausschließlich dazu verwendet wird, Informationen von einem Ziel zu erhalten, ohne das System des Ziels zu verändern. Phishing, bei dem ein Opfer dazu verleitet wird, Ransomware auf ein System herunterzuladen, könnte jedoch als aktiver Angriffsvektor betrachtet werden.
Cybersicherheitsexperten verfügen zwar über eine Vielzahl von Tools und Strategien, aber Angriffsflächenmanagement (ASM) ist besonders wichtig, um potenzielle Angriffsvektoren abzuwehren. Im Gegensatz zu anderen Cybersicherheitsdisziplinen wird ASM aus der Perspektive eines Hackers durchgeführt, indem ein System auf Chancen geprüft wird, die für einen Cyberkriminellen attraktiv sein könnten.
ASM besteht aus vier Kernprozessen:
Die Asset-Erkennung scannt automatisch und kontinuierlich nach internetfähigen Hardware-, Software- und Cloud-Assets, die als Einfallstor für Angreifer dienen könnten, und identifiziert diese.
Nachdem Assets identifiziert wurden, werden sie klassifiziert, auf Schwachstellen analysiert und nach Angriffsfähigkeit priorisiert.
Sanierungsmaßnahmen – wie Patching, Debugging, stärkere Datenverschlüsselung und die Implementierung der Multi-Faktor-Authentifizierung (MFA)– werden in Prioritätsreihenfolge angewendet.
Inventarisierte Netzwerkressourcen und das Netzwerk selbst werden kontinuierlich überwacht, wobei neue Schwachstellen und Angriffsvektoren in Echtzeit erkannt und bewertet werden.
1 “What is a vector?” Philosophical transactions of the Royal Society of London. Series B, Biological Sciences. 13. März 2017.
2 “The State of Software Supply Chain Security 2024.” ReversingLabs. 2024.