Wissen schützt
In Sachen Cyber-Security ist Wissen die beste Prophylaxe. Überlassen Sie nichts dem Zufall – mit unseren hochklassigen Security Trainings.
Zur ÜbersichtWindows-Systeme sind seit Jahrzehnten das Rückgrat vieler Unternehmen und Behörden. Genau deshalb stehen sie im Fokus von Cyberangriffen. Die letzten fünf Jahre zeigen, wie massiv Zero-Day-Exploits, Ransomware und Identity Theft-Angriffe eingesetzt wurden. Die Dominanz von Windows als Betriebssystem führt zu einer enormen Angriffsfläche: von Active Directory-Umgebungen über Exchange- und SharePoint-Server bis hin zu klassischen Endgeräten. Besonders kritisch: Windows ist in vielen Infrastrukturen tief integriert, sodass ein einzelner Angriff oft ganze Organisationen trifft.
Hier finden Sie die zehn fatalsten Windows-Cyberattacken der letzten 5 Jahre und was sie für die IT-Sicherheit bedeuten:
Platz 10: FoxBlade-Wiper-Malware (2022)
Im Februar 2022, am Tag des Beginns des Ukraine-Krieges, wurde die FoxBlade-Malware entdeckt, die gezielt auf ukrainische Regierungs- und Infrastrukturnetze abzielte. Laut Microsofts Threat Intelligence Center wurden Hunderte Systeme in den Bereichen Regierung, IT, Finanzwesen und Energie kompromittiert.
Die Malware agierte in mehreren Phasen:
- Sie zerstörte Daten unwiderruflich (Wiper-Funktion).
- Gleichzeitig nutzte sie infizierte Geräte als unerkannte Mittel für DDoS-Angriffe.
- Sicherheitsforscher betonen die Präzision: Im Gegensatz zur breiten Streuung von NotPetya richtete sich FoxBlade gezielt gegen ausgewählte zivile Infrastrukturen.
Microsoft reagierte umgehend: Innerhalb weniger Stunden nach Entdeckung wurden Signaturen für sein Anti-Malware-System Defender bereitgestellt, und technischer Support für das ukrainische Regierungssystem organisiert.
Platz 9: Silver-Fox-Angriffe über Windows-Treiber (2025)
Im März 2025 entdeckten Sicherheitsforscher den Silver-Fox-Exploit, der sich durch den Missbrauch von signierten Windows-Treibern auszeichnete. Angreifer nutzten dabei das Tool ValleyRAT, das in der Lage war, Endpoint-Detection- und Antivirus-Systeme gezielt zu umgehen. Statt auf eine breite Streuung setzte die Kampagne auf zielgerichtete Attacken gegen ausgewählte Organisationen in Technologie- und Rüstungssektoren.
Das Besondere: Windows-Treiber genießen systemintern ein hohes Vertrauensniveau. Durch das Einschleusen manipulativ signierter Treiber konnten Angreifer Rootkit-ähnliche Zugriffe auf Kernel-Ebene erzielen – eine Ebene, die herkömmliche Abwehrmaßnahmen nur schwer kontrollieren können. Zwar sind die dokumentierten Opferzahlen geringer als bei Massenkampagnen, der technische Innovationsgrad aber macht Silver-Fox zu einem Meilenstein.
Platz 8: Stealerium-Malware-Welle (2025)
Zwischen Mai und August 2025 registrierten Sicherheitsanbieter wie Proofpoint und IT Pro eine Welle von Infektionen mit der Open-Source-Malware „Stealerium“. Ziel waren vorrangig Windows-Systeme in Europa und Asien. Die Malware exfiltrierte Passwörter aus Browsern, Kreditkarteninformationen, Screenshots, Wallet-Dateien und VPN-Konfigurationen.
Stealerium wurde über manipulierte Browser-Plugins, gefälschte Updates und malvertising verbreitet. Proofpoint sprach von tausenden kompromittierten Geräten, wobei die Zahl global nur schwer zu beziffern ist. Besonders kritisch: Die Malware wurde von mehreren Cybercrime-Gruppen parallel eingesetzt, was ihre Verbreitung exponentiell steigerte. Für Unternehmen bedeutete dies eine erhöhte Gefahr von Identitätsdiebstahl und Folgeangriffen.
Besonders alarmierend ist die automatisierte Sextortion-Funktion. Stealerium erkennt gezielt NSFW-Inhalte („porn“, „sex“) im Browser und erstellt dann gleichzeitig Screenshots des Desktops und heimliche Aufnahmen über die eingebundene Webcam. Diese Bilder dienen potenziell zur Erpressung, ohne dass ein aktives Zutun der Opfer nötig ist. Diese Vorgehensweise wurde in Zehntausenden Phishing-Kampagnen genutzt, etwa getarnt als Zahlungsaufforderungen oder Gerichtsmitteilungen.
Technisch setzt Stealerium auf hochgradige Konfigurierbarkeit und Persistenz. Nach der Ausführung sammelt es WLAN-Daten, manipuliert Windows Defender durch PowerShell-Ausnahmen, richtet geplante Tasks für die Dauerinstallation ein und nutzt Kanäle wie SMTP, Discord, Telegram, GoFile oder Zulip zur Datenübertragung.
Platz 7: Ransomware-Angriffe auf SharePoint-Server (2025)
Ende Juli 2025 berichtete CyberScoop, dass Angreifer über 400 Microsoft SharePoint-Server kompromittiert hatten – darunter auch Systeme in US-Bundesbehörden. Die Attacken folgten kurz auf die Entdeckung einer Zero-Day-Lücke im SharePoint-Framework.
Die Täter nutzten gestohlene Machine-Keys, um privilegierten Zugriff zu erlangen, und setzten anschließend die Warlock-Ransomware ein. Ganze Datenbanken wurden verschlüsselt, Backups gelöscht und hohe Lösegeldforderungen gestellt. Besonders gravierend: Viele betroffene Organisationen waren Teil kritischer Infrastruktur, sodass es zu Betriebsunterbrechungen in Verwaltung und Versorgungsdiensten kam. Der Fall gilt als einer der ersten dokumentierten Fälle, in denen SharePoint gezielt für Ransomware missbraucht wurde.
Platz 6: Baltimore-Ransomware-Angriff (2019)
Im Mai 2019 wurde die Stadtverwaltung von Baltimore durch eine gezielte RobinHood-Ransomware-Attacke schwer getroffen. Am Morgen des 7. Mai wurden zahlreiche Rechner ohne Vorwarnung gesperrt – insbesondere Systeme, die Bürgerdienste wie Immobilienregistrierung, Wasserabrechnung oder E-Mail-Dienste unterstützten. Bereits gegen 9 Uhr vormittags waren viele der betroffenen Geräte offline. Die Forderung: 13 Bitcoin, damals etwa 76.000 US-Dollar, innerhalb von drei Tagen – andernfalls stiegen die Lösegeldforderungen und riskierten den dauerhaften Datenverlust.
Die Folgen waren erheblich:
- Rund 7.000 PC-Arbeitsplätze in der Verwaltung fielen aus.
- Wichtige Dienste wie Polizei, Feuerwehr oder Notrufsystem arbeiteten im „Offline-Modus“, viele digitale Bürgerservices blieben blockiert. Immobilienverkaufsprozesse stockten – etwa 1.500 Verkäufe verzögerten sich.
- Die Stadtverwaltung reagierte mit einem Notfonds von 10 Millionen US-Dollar zur Wiederherstellung der Systeme und Sicherheitsverbesserung – zusätzlich entstanden 8,2 Millionen US-Dollar Einnahmeausfälle. Insgesamt wurden etwa 18,2 Millionen US-Dollar Schaden verzeichnet.
- Der Wiederherstellungsprozess zog sich bis in den Juni hinein, erst dann waren etwa 70 % der Systeme wieder online.
Dieser Vorfall zeigt exemplarisch, wie ein vergleichsweise „lokaler“ Angriff auf städtische IT-Infrastruktur erhebliche gesellschaftliche und wirtschaftliche Auswirkungen erzeugen kann.
Platz 5: Microsoft Exchange Zero-Day-Attacke (2021)
Die Exchange-Angriffe von Anfang 2021 gehören zu den bekanntesten Windows-basierten Sicherheitsvorfällen der letzten Jahre. Vier Zero-Day-Lücken ermöglichten Angreifern Remote-Code-Ausführung und den Zugriff auf Postfächer. Innerhalb weniger Wochen waren weltweit über 250.000 Server kompromittiert, darunter rund 30.000 Organisationen allein in den USA.
Die Angreifer installierten Webshells, mit denen sie dauerhaften Administratorzugriff erlangten. Besonders betroffen waren kleine und mittelständische Unternehmen, die Patches nicht schnell genug einspielen konnten. Dieser Angriff zeigte deutlich, wie riskant es sein kann, Exchange-Server direkt ans Internet anzubinden. Viele Systeme blieben trotz Updates noch Monate später kompromittiert.
Platz 4: Lumma-Infostealer (2025)
Im März 2025 entdeckten Sicherheitsforscher die weitverbreitete Infektion durch die Malware Lumma Stealer. Innerhalb weniger Wochen wurden über 394.000 Windows-Rechner weltweit kompromittiert. Die Malware stahl Anmeldedaten, Kryptowährungs-Wallets, Browser-Cookies und Systeminformationen.
Microsoft und Europol führten im Mai koordinierte Domain-Takedowns durch, die die Command-and-Control-Infrastruktur der Angreifer erheblich schwächten. Dennoch verdeutlicht der Fall, wie effizient Malware-as-a-Service-Modelle inzwischen funktionieren: Lumma wurde von verschiedensten Cybercrime-Gruppen eingesetzt, die über ein Partnernetzwerk arbeiteten. Für Unternehmen bedeutete das eine potenzielle Kettenreaktion aus Identitätsdiebstahl, Betrug und Folgeangriffen.
Platz 3: MOVEit-Datenleck (2023)
Im Mai 2023 wurde eine kritische Zero-Day-Schwachstelle in der weit verbreiteten Managed File Transfer Software MOVEit Transfer entdeckt. Angreifer, darunter die Ransomware-Gruppe Cl0p, nutzten diese Lücke, um Webshells einzuschleusen und Zugriff auf sensible Datenbanken zu erlangen – mittels einer automatisierten SQL-Injection. In der Folge wurden über 2.700 Organisationen weltweit getroffen und die persönlichen Daten von rund 93,3 Millionen Personen kompromittiert. Zu den Betroffenen zählten namhafte Institutionen wie die BBC, British Airways, Boots, Aer Lingus, Transport for London, Ofcom und US-Behörden, unter anderem das Department of Energy.
Besonders besorgniserregend: Auch der britische Energieversorger Zellis wurde durch Cl0p erfasst. Nach Bekanntwerden des Vorfalls konnte Progress Software zwar bereits am 31. Mai einen Patch bereitstellen, doch die weitreichende Datenexfiltration war bereits erfolgt. Der MOVEit-Fall gilt als einer der größten Supply-Chain- und Datendiebstahlangriffe auf Windows-basierte Infrastrukturen in dieser Zeit.
Platz 2: Microsoft Azure & 365 DDoS-Angriff (2024)
Am 30. Juli 2024 wurde Microsoft Opfer eines der größten dokumentierten DDoS-Angriffe seiner Unternehmensgeschichte. Der Angriff begann gegen 11:45 UTC und führte dazu, dass Azure- und Microsoft 365-Dienste weltweit über fast 10 Stunden nicht oder nur eingeschränkt erreichbar waren. Betroffen waren unter anderem Outlook, OneDrive, SharePoint, Teams sowie Azure App Services und das Azure-Portal. Millionen von Unternehmen und Behörden spürten die Ausfälle unmittelbar – von der Kommunikation bis hin zu kritischen Business-Anwendungen.
Die Attacke wurde durch ein hochgradig verteiltes Botnetz orchestriert, das auf Application-Layer-DDoS-Techniken setzte. Statt nur durch hohe Bandbreite anzugreifen, erzeugten die Angreifer gezielt komplexe Anfragen, die die Authentifizierungs- und Routing-Systeme von Microsoft überlasteten.
Besonders brisant: Die Störung betraf nicht nur Endnutzer, sondern auch Entwickler und Administratoren, die während des Angriffs keinen Zugang zum Azure-Portal hatten. Dadurch konnten Unternehmen ihre Cloud-Ressourcen nicht mehr verwalten. In einigen Regionen kam es zu Unterbrechungen bei Zahlungs- und E-Commerce-Systemen sowie zu Verzögerungen in kritischen Infrastrukturen, die auf Microsofts Cloud setzten.
Microsoft reagierte mit globalen Failover-Mechanismen, Netzwerk-Rekonfigurationen und dem Einspielen zusätzlicher Filterregeln, um den Angriff abzuwehren. Gegen 19:43 UTC meldete das Unternehmen eine vollständige Wiederherstellung aller Dienste. Nach dem Vorfall wurden interne Analysen veröffentlicht, in denen Microsoft die Ursachen und Maßnahmen transparent darlegte. Der Angriff zeigte deutlich: Selbst hochskalierte Cloud-Plattformen sind nicht immun gegen koordinierte DDoS-Kampagnen – insbesondere wenn die Verteidigungsketten komplex sind.
Platz 1: Storm-0558-Angriff auf Outlook & Exchange Online (2023)
Im Juli 2023 wurde einer der gravierendsten Angriffe auf Microsofts Cloud-Dienste bekannt: die Storm-0558-Kampagne. Den Angreifern gelang es, einen gestohlenen Microsoft-Signaturschlüssel zu nutzen, um Authentifizierungstoken für Outlook Web Access (OWA) und Exchange Online zu fälschen. Damit konnten sie auf E-Mail- und Kalenderdaten von mindestens 25 Organisationen zugreifen – darunter das US-Außenministerium und andere Regierungsbehörden.
Die Kompromittierung begann bereits Wochen vor der öffentlichen Entdeckung. Sicherheitsforscher stellten fest, dass Storm-0558 gezielt hochrangige Regierungsstellen, diplomatische Vertretungen und kritische Infrastrukturen ins Visier nahm. Besonders kritisch: Durch den Missbrauch des gestohlenen Schlüssels konnten die Angreifer authentisch wirkende Tokens erzeugen, die von Microsofts eigenen Cloud-Diensten akzeptiert wurden. Damit war der Angriff nicht auf Endnutzerfehler angewiesen, sondern nutzte eine Schwachstelle tief im Identitäts- und Schlüsselmanagement.
US-Sicherheitsbehörden wie die CISA (Cybersecurity and Infrastructure Security Agency) warnten in einem gemeinsamen Advisory, dass die Attacke auf die Vertrauensbasis von Cloud-Authentifizierungssystemen zielte. Microsoft räumte ein, dass ein interner Fehler bei der Schlüsselrotation und -archivierung die Entdeckung verzögerte.
Die Folgen waren weitreichend: Wochenlang hatten die Angreifer Zugriff auf interne Kommunikationssysteme sensibler Behörden. Experten verglichen den Vorfall mit SolarWinds, da es sich nicht um eine einzelne Schwachstelle, sondern um eine strukturelle Schwäche in der Cloud-Sicherheitsarchitektur handelte.
Nach dem Vorfall kündigte Microsoft umfassende Maßnahmen an, darunter:
- eine vollständige Überprüfung der Schlüsselverwaltung in Azure Active Directory,
- die Einführung stärkerer Monitoring-Prozesse für abnormales Token-Verhalten,
- sowie eine verstärkte Zusammenarbeit mit Regierungsstellen zur Bedrohungsanalyse.
Der Angriff gilt heute als eine der bedeutendsten Windows- und Cloud-bezogenen Cyberattacken der letzten Jahre, da er nicht nur einzelne Systeme kompromittierte, sondern die Integrität des globalen Microsoft-Cloud-Ökosystems infrage stellte.
Welche Lehren ergeben sich aus den Angriffen?
Die Analyse der zehn größten Windows-Cyberattacken zeigt wiederkehrende Muster, die für Unternehmen entscheidend sind:
- Zero-Days und ungepatchte Systeme bleiben das Hauptrisiko
Angriffe wie die Exchange- und SharePoint-Exploits belegen, dass selbst große Organisationen Schwierigkeiten haben, Sicherheitsupdates rechtzeitig auszurollen. Unternehmen benötigen ein strukturiertes Patch-Management, idealerweise mit automatisierten Rollouts, klaren Testprozessen und Notfallmechanismen für kritische Updates. - Identitäten sind das bevorzugte Angriffsziel
Der Storm-0558-Angriff verdeutlichte die Bedeutung von starker Schlüsselverwaltung und Monitoring auf Token-Ebene. Auch alltägliche Passwortangriffe (Credential Stuffing, Brute-Force, Passwort-Spraying) zeigen: Ohne Multi-Faktor-Authentifizierung (MFA), Zero-Trust-Modelle und kontinuierliche Prüfung von Anmeldeanomalien ist jede Windows-Umgebung verwundbar. - Ransomware trifft auch Kollaborations- und Verwaltungssysteme
Baltimore 2019 und die SharePoint-Ransomware-Kampagnen 2025 beweisen, dass Angreifer längst nicht mehr nur klassische File-Server attackieren. Anwendungen, die tief in Geschäftsprozesse integriert sind, können durch Verschlüsselung ganze Organisationen lahmlegen. Daraus folgt: regelmäßige, isolierte Backups und Wiederherstellungstests sind unverzichtbar. - Cloud-Dienste sind per se kein Allheilmittel, sondern selbst Angriffsziele
Die Azure-DDoS-Angriffe 2024 und Storm-0558 zeigten, dass selbst hyperskalierte Plattformen verwundbar sind. Unternehmen müssen mit Resilienz-Strategien arbeiten: Multi-Region-Architekturen, Notfallpläne für SaaS-Ausfälle und Monitoring außerhalb des Cloud-Anbieters. - Infostealer sind unterschätzte Einstiegsvektoren
Kampagnen wie Lumma und Stealerium zeigen, wie Angreifer durch das massenhafte Abgreifen von Zugangsdaten ganze Ökosysteme kompromittieren können. Endpoint-Detection-and-Response-Systeme (EDR) sowie Bewusstseinsschulungen für Mitarbeiter:innen (Phishing, Social Engineering) sind entscheidend, um diese Vorfälle frühzeitig zu erkennen. - Kooperation und Transparenz sind Schlüsselfaktoren
Erfolgreiche Gegenmaßnahmen – wie die Takedowns von Lumma durch Europol und Microsoft – belegen, dass Cyberabwehr nur im Verbund zwischen Herstellern, Strafverfolgung und Unternehmen funktioniert. Ein isolierter Schutzansatz reicht nicht mehr aus.
Kurz gesagt: Die Angriffe zeigen nicht nur Schwächen, sondern auch, welche Sicherheitsprinzipien unverhandelbar sind: schnelles Handeln, konsequente Identitätssicherung, robuste Backups, Cloud-Resilienz, Awareness und internationale Zusammenarbeit.