Google verzeichnete 2025 insgesamt 90 ausgebeutete Zero-Day-Lücken, wobei erstmals kommerzielle Spyware-Anbieter die meisten Exploits durchführten. Etwa die Hälfte der Schwachstellen richtete sich gezielt gegen Unternehmenstechnologien.
Die Threat Intelligence Group von Google hat am Donnerstag einen Jahresbericht veröffentlicht, der zeigt, dass 2025 90 Zero-Day-Schwachstellen aktiv ausgebeutet wurden – eine Steigerung gegenüber 78 im Vorjahr und 100 zwei Jahre zuvor. Besonders bemerkenswert ist die wachsende Konzentration auf Enterprise-Umgebungen.
Microsoft war mit 25 bekannten Zero-Days das Hauptziel, gefolgt von Google (11), Apple (8) und Cisco (4). Betriebssysteme dominierten die Angriffsfläche: Der Anteil stieg von 40 Prozent 2024 auf 44 Prozent 2025. Auffällig ist auch die gestiegene Zahl der mobilen Zero-Days – von 9 auf 15 innerhalb eines Jahres. In vielen Fällen wurden dabei mehrere Schwachstellen kombiniert, um ein einzelnes Ziel zu erreichen.
Ein historischer Wendepunkt zeigt sich bei der Zuordnung der Exploits: Kommerzielle Spyware-Anbieter übernahmen erstmals die Führungsrolle und missbrauchten 15 der 90 Lücken. Staatliche Cyberespionage-Gruppen waren für 12 weitere verantwortlich, wobei ein erheblicher Anteil auf China zurückgeht. Google betont, dass chinesische APT-Gruppen wie UNC5221 und UNC3886 weiterhin Netzwerk-Appliances und Edge-Geräte bevorzugen, um persistenten Zugriff auf strategische Ziele zu sichern.
Besonders kritisch ist die Ausrichtung auf Enterprise-Technologien: 43 Zero-Days – knapp die Hälfte aller registrierten Fälle – betroffen Unternehmensinfrastruktur. Angreifer konzentrierten sich auf Netzwerk- und Cybersecurity-Appliances als Einstiegspunkt, um anschließend Zugriff auf vernetzte Systeme und Datenbestände zu erlangen.
Für die Zukunft erwartet Google, dass künstliche Intelligenz 2026 eine zunehmend wichtige Rolle spielen wird – sowohl bei Angreifern, die KI zur Schwachstellensuche nutzen, als auch bei Verteidigern, die damit unbekannte Vulnerabilities proaktiv entdecken können.
Quelle: SecurityWeek