Das Zentrum fûr Cybersicherheit Belgien (ZCB) stellte während seines Webinars zum vierteljährlichen Cyber-Bedrohungsbericht (QCTR) für das 4. Quartal 2025 die wichtigsten Entwicklungen im Bereich der Cyber-Bedrohungen im letzten Quartal 2025 vor und skizzierte, was Unternehmen im Jahr 2026 erwarten können. Unter dem Motto „Was das 4. Quartal über 2026 verrät" versammelte die Veranstaltung Experten aus dem öffentlichen und privaten Sektor, um Trends zu analysieren, die die Cyberbedrohungslandschaft Belgiens prägen.
Miguel De Bruycker, Generaldirektor des CCB, stellte zu Beginn des Webinars die wichtigsten Zahlen des Jahres vor. Beim CCB gingen im Jahr 2025 635 Meldungen über Vorfälle ein, was einem Anstieg von 70 % gegenüber 2024 entspricht. Allein im vierten Quartal wurden 170 Meldungen eingereicht, von denen 149 Cybervorfälle betrafen.
Dieser Anstieg ist auf mehrere Faktoren zurückzuführen. Während neue Rechtsrahmen wie NIS2 und DORA die Meldepflichten erweitert haben, signalisiert der Anstieg auch eine stärkere digitale Vernetzung, verbesserte Erkennungsmöglichkeiten und ein wachsendes Bewusstsein bei den Organisationen. Bemerkenswert ist, dass fast die Hälfte der Meldungen von Einrichtungen stammte, die formal nicht der NIS2 unterliegen, was auf eine verstärkte freiwillige Meldepraxis hindeutet.
Die öffentliche Verwaltung blieb der am stärksten betroffene Sektor, gefolgt von Verkehr, Energie und Gesundheitswesen, was dem allgemeinen europäischen Trend entspricht, der sich auf kritische Dienste konzentriert.
Kontinuität bei den zentralen Bedrohungen
Die belgische Cyber-Bedrohungslandschaft wurde im Jahr 2025 weniger von Störungen als von Kontinuität geprägt. Die dominierenden Risiken im vierten Quartal und während des gesamten Jahres waren Betriebsstörungen und Datendiebstahl.
Die am häufigsten gemeldeten Vorfallstypen waren:
- Kompromittierung von Konten, die größte Kategorie
- Ransomware
- Phishing, wobei DDoS und Spear-Phishing abwechselnd die Hauptursachen waren
Die Kompromittierung von Konten nahm nach Inkrafttreten der NIS2 deutlich zu. Oftmals ermöglicht durch Phishing und Social Engineering, wird sie zunehmend durch KI-gestützte Köder unterstützt, die die Glaubwürdigkeit und den Umfang verbessern. Entscheidend ist, dass die Kompromittierung von Konten häufig als Einstiegspunkt für schwerwiegendere Vorfälle dient, darunter Ransomware und Datenexfiltration.
Ransomware blieb eine anhaltende und branchenübergreifende Bedrohung. Sowohl etablierte als auch aufstrebende kriminelle Gruppen nahmen belgische Organisationen ins Visier. Die Erpressungsmethoden entwickelten sich weiter, wobei einige Akteure „vierfache Erpressungsmodelle" einsetzten, um den Druck zu verstärken. Die Kombination aus Ransomware-as-a-Service (RaaS) und leicht zugänglichen KI-Tools senkt weiterhin die technischen Hürden für Angreifer.
Im Gegensatz zu Ransomware folgten DDoS-Angriffe geopolitischen Zyklen. Fünf große Kampagnen wurden im Jahr 2025 beobachtet, darunter zwei im vierten Quartal. Diese Kampagnen, die oft pro-russischen Hacktivisten-Gruppen zugeschrieben werden, waren in der Regel von kurzer Dauer, spiegelten jedoch den anhaltenden Einfluss geopolitischer Spannungen im Cyberspace wider.
Bekannte Techniken, zunehmende Raffinesse
Die Angreifer stützten sich im Laufe des Jahres 2025 weitgehend auf bewährte Angriffsmethoden. Dazu gehörten die Ausnutzung bekannter Schwachstellen, insbesondere in Edge-Geräten und weit verbreiteten Plattformen wie SharePoint, sowie Remote-Access-Trojaner (RATs), Infostealer und kompromittierte Anmeldedaten.
Belgien war außerdem mit Angriffen auf die Lieferkette, Malvertising-Kampagnen und der Verbreitung gefälschter Software konfrontiert, darunter eine betrügerische PDF-Editor-Kampagne, von der sowohl Einzelpersonen als auch Organisationen betroffen waren. CEO-Betrug über Messaging-Plattformen wie WhatsApp gewann weiter an Bedeutung.
Die im vierten Quartal beobachteten staatlich geförderten Aktivitäten standen in erster Linie im Zusammenhang mit Akteuren aus China, Russland und Nordkorea. Diese Gruppen konzentrierten sich auf langfristigen Zugriff, Informationsbeschaffung und die Ausnutzung bekannter Schwachstellen. KI und große Sprachmodelle (LLMs) beschleunigen zunehmend Aufklärungs- und Social-Engineering-Aktivitäten.
Ausblick auf 2026
Nach Einschätzung der CCB ist es unwahrscheinlich, dass das Jahr 2026 grundlegend neue Bedrohungskategorien mit sich bringen wird. Finanziell motivierte Akteure, Hacktivisten und staatlich geförderte Gruppen werden weiterhin aktiv sein. Es ist zu erwarten, dass Account-Kompromittierungen, Ransomware, Phishing und DDoS weiterhin die meisten gemeldeten Vorfälle ausmachen werden.
Was sich weiterentwickeln wird, sind das Ausmaß und die Geschwindigkeit der Operationen. KI und LLMs werden voraussichtlich zu Standardwerkzeugen für Angreifer werden, die die Entwicklung von Malware automatisieren und Social-Engineering-Kampagnen verbessern. In Kombination mit kriminellen „as-a-service"-Modellen wird dieser Trend die Eintrittsbarrieren weiter senken und das Operationstempo erhöhen.
Für Belgien bleibt die Priorität klar: Stärkung der Widerstandsfähigkeit durch robuste Grundlagen: effektives Patch-Management, starke Sicherheit von Anmeldedaten, Phishing-Resistenz und Ransomware-Vorbereitung, während gleichzeitig die Verteidigungsstrategien an eine durch KI beschleunigte Bedrohungsumgebung angepasst werden.