Staatlich verbundene Cyberoperationen bleiben laut van der Walt aktiv und richten sich vorrangig auf die Sammlung von Informationen, ergänzt um gelegentliche Störaktionen zu Signalzwecken. Im Hintergrund laufen Informationsoperationen unterschiedlichster Größenordnung und Intensität. Die Angriffsmethoden konzentrieren sich auf Identitäten und den Netzwerkrand; jüngste Berichte beschreiben zudem versteckte Hintertüren auf Appliances und Virtualisierungsplattformen, die monatelangen Zugang ohne auffällige Malware ermöglichen. Parallel bleibt die rasche Ausnutzung von Zero-Day- und N-Day-Schwachstellen in Perimeter-Appliances verbreitet, ebenso Angriffswege über Zulieferer und Dienstleister.

Im Fokus stehen weiterhin Behörden und Telekommunikation sowie wiederholt verteidigungsnahe Netzwerke. 2025 verzeichnete der Bericht zudem gezielte Kampagnen gegen Hightech-Branchen, insbesondere Halbleiterhersteller. Die Schnittstelle zwischen klassischer Unternehmens-IT und der Betriebstechnik (OT) industrieller Umgebungen bleibt ein Sorgenfeld. Offene Berichte verweisen außerdem auf den fortgesetzten Einsatz kommerzieller Spähsoftware durch staatliche Kunden, mit neuen forensischen Fällen gegen Journalisten im Jahr 2025.

Der Hacktivismus sei, wie Orange Cyberdefense bereits zuvor berichtet hat, in seine „etablierte" Phase eingetreten. Aus einer Form digitalen Protests sei ein komplexes Ökosystem staatsnaher und ideologisch getriebener Akteure geworden, das oft als informelle Verlängerung geopolitischen Einflusses dient. Gruppen wie NoName057(16) und Killnet agieren formal unabhängig, unterstützen jedoch ihre Gaststaaten und wahren deren glaubhafte Abstreitbarkeit.

DDoS-Operationen bleiben die sichtbarste Form, doch Ziele und Absicht verschieben sich. Prorussische Gruppen störten 2025 britische öffentliche Dienste und europäische Infrastruktur – nicht für Lösegeld oder Datendiebstahl, sondern um politische Narrative zu verbreiten und Vertrauen zu untergraben. In Norwegen manipulierten Angreifer aus der Ferne ein Ventil am Bremanger-Staudamm; etwa zeitgleich behauptete eine russlandnahe Gruppe Zugriff auf ein Wasserversorgungssystem, das sich später als Honeypot herausstellte. Kanadische Behörden berichteten zudem von Eingriffen in kritische Infrastruktur, darunter manipulierte Druckventile in einer Wasseranlage, eine veränderte Tankanzeige bei einem Öl- und Gasunternehmen sowie beeinflusste Temperatur- und Feuchtigkeitswerte in einem Getreidesilo.

Das Risiko sei zweifach: Erstens wachse die Gefahr ernsthafter cyber-physischer Angriffe, da die zunehmende Vertrautheit dieser Gruppen mit industrieller Technik echten Schaden wahrscheinlicher mache. Zweitens entstehe durch das Zusammenwachsen krimineller, ideologischer und staatlicher Interessen eine Synergie zwischen Informationsoperationen und Infrastrukturangriffen – das Ziel sei nicht mehr ein einzelnes System, sondern das öffentliche Bewusstsein.

Cybererpressung hat sich nach den Daten von Orange Cyberdefense auf nahezu jede Region und Unternehmensgröße ausgeweitet; erstmals tauchen Opfer aus zuvor nicht erfassten Ländern auf. Die Einstiegskosten für Angreifer seien durch Malware-as-a-Service, Zugangsvermittler (Initial Access Brokers) und kryptowährungsbasierte Monetarisierung gefallen. Eine einzige Schwachstelle könne über Nacht Hunderte oder Tausende Opfer erzeugen – etwa als Cl0p eine weitere Datentransferplattform ausnutzte und damit die größte je erfasste Opferwelle auslöste. Zugleich stieg das Verhältnis von Opfern pro Akteur, was auf größere Skalierung und stärkere Wiederverwendung von Infrastruktur hindeutet.

Viele Techniken seien „vertraut, vorhersehbar und abwehrbar", blieben aber wirksam. Van der Walt verweist auf einen jüngsten Vorfall bei einem großen Luft- und Raumfahrtunternehmen, bei dem Angreifer über alte Zugangsdaten auf einen Server gelangten, Daten stahlen und ein zweites Ransomware-Team auf demselben System nachzog. Strafverfolgung und Regierungen reagierten zwar entschlossener mit multinationalen Festnahmen und Anklagen, doch das Ökosystem bleibe widerstandsfähig – auch weil einige Staaten heimische Kriminelle dulden oder schützen und so sichere Häfen schaffen.

Gefordert sei eine neue, an eine Gesellschaft im Kriegszustand erinnernde Zusammenarbeit zwischen öffentlichem und privatem Sektor. Jede Organisation müsse sich als Ziel begreifen: Neben Prävention zählten Erkennung, Reaktion und Wiederherstellung, etwa durch Planspiele und das geübte Zurückspielen von Backups. Eine Website während eines DDoS-Angriffs online zu halten, greife jedoch zu kurz, da das eigentliche Ziel die institutionelle Legitimität sei. Zusammenarbeit müsse deshalb über die Vorfallbewältigung hinaus in abgestimmte Kommunikation, Aufklärung und kognitive Verteidigung reichen.