Sonstige Informationen und Dienstleistungen der Regierung: www.belgium.be Centre for Cybersecurity Belgium
search

Mehr Angriffe, mehr Meldungen: Belgiens Cyber-Realität im Jahr 2025

Cyber-Threat Report
Aktualisiert am 26.03.2026
Bild
cyber threat analyst abstract picture
Share
Facebook Twitter LinkedIn

Belgiens Cyber-Bedrohungslage war im Jahr 2025 von einem doppelten Trend geprägt: Feindselige Aktivitäten nahmen stark zu, und die Zahl der gemeldeten Vorfälle stieg deutlich an.

Das Zentrum für Cybersicherheit Belgien (ZCB) verzeichnete 635 Vorfallsmeldungen (ein Anstieg von knapp 70 % gegenüber 2024), davon 556 mit Cyberbezug (+58 % im Jahresvergleich). Strengere Meldepflichten im Rahmen von NIS2 und DORA sowie verbesserte Erkennungsfähigkeiten erklären einen Teil dieses Anstiegs, doch spiegeln die Zahlen auch den anhaltenden und wachsenden Druck auf Organisationen aller Branchen wider.

Kennzahlen auf einen Blick

  • Insgesamt 635 gemeldete Vorfälle (+70 %) 
  • 556 Cybervorfallälle (+58 %) 
  • 144 Fälle von Kontoübernahmen (größte Bedrohung) 
  • 105 Ransomware-Vorfälle (stabil, aber mit größeren Auswirkungen) 
  • ∼10 Millionen Phishing-E-Mails über Safeonweb gemeldet 
     

Kontoübernahmen und Phishing: nach wie vor der primäre Angriffspunkt

Die am häufigsten gemeldeten Vorfälle betrafen Kontoübernahmen (144 Fälle), die größtenteils auf den Diebstahl und Missbrauch von Zugangsdaten zurückzuführen waren. 

Phishing bleibt ein zentraler Faktor der Cyberkriminalität – und sein Ausmaß ist alarmierend: Die Safeonweb-Plattform „BePhish“ verarbeitete 2025 fast 10 Millionen verdächtige E-Mails und verdeutlicht damit die Industrialisierung von Phishing-Kampagnen. 

Angreifer verfeinern ihre Techniken stetig: 

  • Sie kombinieren E-Mail und Messaging-Plattformen, um den Druck auf ihre Ziele zu erhöhen. 
  • Sie setzen CEO-Betrugsszenarien ein, um dringende Zahlungen auszulösen. 
  • Sie nutzen „Hands-on-Keyboard“-Taktiken wie ClickFix und FileFix, bei denen Nutzende dazu verleitet werden, bösartige Befehle selbst auszuführen. 

Trotz der erheblichen Medienaufmerksamkeit rund um Phishing bestätigen diese Erkenntnisse: Angriffe, die auf Menschen abzielen, gehören nach wie vor zu den effektivsten und am leichtesten skalierbaren Einfallsvektoren. 
 

Ransomware: weniger Fälle, größere Auswirkungen

Die Zahl der Ransomware-Vorfälle blieb relativ stabil (105 im Jahr 2025 gegenüber 109 im Jahr 2024), doch ihre Auswirkungen haben sich verstärkt. 

Angreifer kombinieren zunehmend mehrere Druckstrategien: 

  • Datenverschlüsselung 
  • Datenexfiltration 
  • eskalierende Erpressungstaktiken 

Nach der Zerschlagung von LockBit hat sich das Ökosystem fragmentiert; Gruppen wie Qilin, Akira und Clop gehören inzwischen zu den aktivsten Akteuren, die belgische Organisationen ins Visier nehmen. 
 

DDoS-Angriffe: häufig, sichtbar, aber wirksam abgewehrt

Belgien zählte 2025 zu den europäischen Ländern, die am häufigsten von pro-russischen Hacktivistengruppen angegriffen wurden – vorwiegend durch Distributed-Denial-of-Service-Angriffe (DDoS). 

Bemerkenswert: 

  • Die Gruppe NoName057(16) startete 2025 fünf koordinierte Kampagnen. 
  • Die Angriffe wurden gezielt auf geopolitische Ereignisse abgestimmt. 
  • Ziellisten wurden mitunter im Voraus öffentlich bekannt gegeben. 

Trotz der Häufigkeit dieser Angriffe blieben ihre praktischen Auswirkungen begrenzt. 

Das ist vor allem dem „Red Button“-Koordinierungsverfahren des ZCB zu verdanken, das Folgendes ermöglicht: 

  • eine schnelle Koordinierung der Reaktion in Echtzeit 
  • eine enge Zusammenarbeit zwischen Opfern, Internetdienstanbietern, Hosting-Anbietern und Behörden 
  • eine wirksame Eindämmung von Dienstunterbrechungen 
 

Dies zeigt: Vorsorge und Koordination können die sichtbaren Auswirkungen groß angelegter Cyberoperationen erheblich verringern selbst wenn das Angriffsvolumen zunimmt. 
 

Schnellere Angriffe, weniger Zeit zum Reagieren

Eine der markantesten Veränderungen im Jahr 2025 betraf die Angriffsgeschwindigkeit: Das durchschnittliche Zeitfenster zwischen der Offenlegung einer Schwachstelle und ihrer aktiven Ausnutzung sank auf fünf Tage, während fast ein Drittel der Schwachstellen binnen 24 Stunden ausgenutzt wurde. 

Das lässt kaum noch Spielraum für traditionelle, kalenderbasierte Patch-Zyklen und unterstreicht die Notwendigkeit einer schnellen, risikogesteuerten Priorisierung. 
 

Systemische Risiken: Lieferkette und Diebstahl von Zugangsdaten

Der Bericht beleuchtet auch weitergehende strukturelle Schwachstellen: Bei Lieferkettenvorfällen kompromittieren Angreifer einen weit verbreiteten Anbieter oder eine Softwarekomponente und erzeugen so einen Kaskadeneffekt, der mehrere Organisationen gleichzeitig trifft. 

Malware-Trends zeigen zudem, dass der Diebstahl von Zugangsdaten zunehmend in den Mittelpunkt rückt: Fernzugriffstools und Infostealer dienen häufig als erster Schritt bei umfangreicheren Angriffen. 
 

Reaktion des ZCB: Ausbau von Abwehrmaßnahmen und Sensibilisierung

Das ZCB verknüpfte die Reaktion auf Vorfälle mit proaktiver Verteidigung: 

  • 103 Notfalleinsätze, darunter forensische Unterstützung 
  • 32.005 gezielte „Spear-Warnungen“ (+42 %) 
  • Ausgeweitete DDoS-Abwehr über das Red-Button-Verfahren 
  • Safeonweb-Phishing-Meldungen: 10 Millionen verdächtige E-Mails im Jahr 2025 gemeldet 
  • „Connect & Share“-Programm: 15 Veranstaltungen mit über 13.000 Teilnehmenden 


Ausblick

Das ZCB geht davon aus, dass die drei zentralen Bedrohungskategorien (Kontoübernahmen, Ransomware und DdoS) bestehen bleiben, wobei Angreifer verstärkt auf Automatisierung und künstliche Intelligenz setzen, um ihre Operationen auszuweiten. 

Die grundlegenden Empfehlungen bleiben praxisorientiert: Identitätssicherheitskontrollen stärken, risikobasierte Schnellpatches einführen, DDoS-Resilienz verbessern, Risiken durch Drittanbieter managen sowie nachhaltig in die Sensibilisierung der Nutzenden und die Vorbereitung auf die Vorfallsreaktion investieren. 

Lies den vollständigen Bericht auf Englisch (.PDF)