Der »Cybersecurity Service for the Union Institutions, Bodies, Offices and Agencies« (CERT-EU) der Europäischen Union hat seinen jährlichen Bericht »Threat Landscape Report« für das Jahr 2025 vorgestellt. KI erfreut sich unter Cyberkriminellen wachsender Beliebtheit, aber auch Domain-Typosquatting kommt nicht aus der Mode.
Der 2011 gegründete und in Belgien ansässige CERT-EU besteht aus einem Team von IT-Sicherheitsexperten der Organe und Einrichtungen der EU. Er sammelt, verwaltet, analysiert und teilt Informationen über Bedrohungen, Schwachstellen und Vorfälle im Zusammenhang mit Infrastrukturen aus den Bereichen der Informations- und Kommunikationstechnologien. Teil dieser Tätigkeit ist der jährlich erscheinende »Threat Landscape Report«; der Bericht basiert auf einer Analyse der im Laufe eines Jahres erfassten schädlichen Aktivitäten. Insgesamt zeigt sich laut CERT-EU eine komplexere und vielfältigere Bedrohungslandschaft. Globale Ereignisse wie Konferenzen und Gipfeltreffen, Wahlen, Konflikte und Sanktionen wirkten erneut als Auslöser für Cyberangriffe auf Einrichtungen der EU und deren Ökosystem. Angreifer nutzten diese Ereignisse entweder als Köder für Social-Engineering, nahmen Teilnehmer gezielt als lohnende Ziele ins Visier oder starteten Cyberangriffe zur Unterstützung ihrer übergeordneten strategischen Ziele. Insgesamt identifizierte man mindestens 174 verschiedene Akteure, die böswillige Aktivitäten durchführten. Cyberspionage machte mit 38 Prozent den größten Anteil der erfassten Aktivitäten aus. Böswillige Aktivitäten, die einem Ursprungsland zugeordnet werden konnten, wurden am häufigsten mit der Volksrepublik China in Verbindung gebracht, dicht gefolgt von der Russischen Föderation. Bedrohungsakteure mit Verbindungen zu China nutzten vorwiegend Schwachstellen und kompromittierte Lieferketten aus, während Bedrohungsakteure mit Verbindungen zu Russland gezielt Organisationen angriffen, die die ukrainischen Bemühungen unterstützten.
Auch Domain-Namen bleiben für Cyberkriminelle ein wichtiges Werkzeug. Als die EU im Oktober 2025 das 19. Sanktionspaket gegen Russland im Zusammenhang mit der andauernden Invasion in der Ukraine verhängte, stiegen zeitgleich die Aktivitäten der russlandnahen Gruppe »Doppelgänger«, die digitale Einmischung in die EU betrieb. Dabei wurden Domains eingesetzt, die Medienunternehmen und Regierungsinstitutionen imitierten. Sie stellten die Ukraine und ihre westeuropäischen Verbündeten in einem negativen Licht dar und konzentrierte sich auf den vermeintlichen Rückgang des westlichen Einflusses. Zeitweise gingen die Täter auch vergleichsweise banal vor; so beobachtete CERT-EU ihre Versuche, sich online als EU-Organisationen auszugeben, wobei Maßnahmen wie Domain-Typosquatting, Missbrauch zugehöriger Marken oder Logos und Website-Klone eingesetzt wurden. Im Januar 2025 führte ein mit Russland verbundener Akteur im Bereich der Cyberspionage Spear-Phishing-Kampagnen durch, bei denen schädliche RDP-Dateien verbreitet wurden. Die Kampagne nutzte vom Angreifer kontrollierte Domains, die einen Rüstungshersteller in einem EU-Mitgliedstaat vortäuschten. Im Oktober 2025 soll zudem ein mit Russland verbundener Akteur im Bereich der Cyberspionage eine gefälschte Domain erstellt haben, die sich auf die in Slowenien stattfindende Internationale Verteidigungsausstellung und -konferenz bezog.
Der 26-seitige Bericht, der kostenlos zum Download bereitsteht, schließt mit einer Reihe von Empfehlungen ab. So empfiehlt CERT-EU, digitale Plattformen auf Identitätsdiebstahl und Markenmissbrauch zu überwachen. Das soll verhindern, dass sich Angreifer als Mitglieder der EU ausgeben, um gefälschte Domains, Social-Media-Konten, geklonte Websites und das EU-Emblem zu missbrauchen. EU-Einrichtungen kommen dabei in den Genuss, die proaktiven Überwachungs- und Entfernungsverfahren von CERT-EU für Markenmissbrauch nutzen zu können. Für die Privatwirtschaft gibt es Dienste wie die »Brand Protection« der united-domains GmbH (deren Projekt der Domain-Newsletter und domain-recht.de ist); über automatisierte Überwachung lassen sich so Webseiten aufspüren, die eine Marke durch Fake-Shops, Phishing und Scam bedrohen.