Palo Alto Networks Device Security Threat Report 2025

Die Zahlen zeichnen ein beunruhigendes Bild. IT-Geräte wie Laptops und Server machen 84 % der Netzwerkpopulation aus. Gleichzeitig machen IoT-Geräte, von IP-Kameras bis hin zu intelligenten Gebäudesystemen, einen schnell wachsenden Anteil von 16 % aus. Noch alarmierender ist, was mit diesen Geräten geschieht. Ungefähr 21 % aller IoT-Geräte weisen mindestens eine bekannte Schwachstelle auf, und 2 % sind Schwachstellen ausgesetzt, die bereits in realen Angriffen ausgenutzt wurden.

„Unternehmen können keine Vermögenswerte schützen, von deren Existenz sie nichts wissen“, betont der Bericht und hebt damit einen grundlegenden blinden Fleck hervor. Das durchschnittliche Unternehmensnetzwerk beherbergt etwa 34.075 verbundene Geräte aus 80 verschiedenen Typen – eine Komplexität, die eine manuelle Überwachung unmöglich und einheitliche Sicherheitsrichtlinien unwirksam macht.

Die Angriffsfläche ist riesig und wächst weiter. Im vergangenen Jahr gab es über 3,48 Milliarden SSH-Brute-Force-Angriffe, während die berüchtigte Apache Log4j-Sicherheitslücke 2,7 Milliarden Mal ausgenutzt wurde. Speziell im Bereich IoT zogen Router-Schwachstellen über 15,4 Millionen Angriffe auf sich, wobei Geräte von D-Link und Netgear am stärksten betroffen waren.

Am besorgniserregendsten ist vielleicht die Infrastruktur, die diese Geräte unterstützt. Fast 8 % der Windows-Systeme laufen mit nicht mehr unterstützten Betriebssystemen, die keine Sicherheitspatches mehr erhalten, wodurch permanente Einstiegspunkte für Angreifer entstehen. Linux-Systeme schneiden noch schlechter ab: Über 26 % laufen mit Versionen, die nicht mehr unterstützt werden. Diese veralteten Systeme sind bevorzugte Ziele für raffinierte Angreifer wie Volt Typhoon, die gezielt nach vernachlässigten, nicht gepatchten Geräten in kritischen Infrastrukturen suchen.

Das Problem geht über technische Schwachstellen hinaus. Die Netzwerkarchitektur selbst ist zu einem Risiko geworden. Analysen zeigen, dass 77,74 % der Unternehmensnetzwerke unter einer schlechten Segmentierung leiden, wobei die Subnetze fast zu gleichen Teilen aus IT- und IoT-Geräten bestehen. Diese flache Netzwerkstruktur bietet Angreifern, sobald sie die Perimeterverteidigung durchbrochen haben, ideale Voraussetzungen für laterale Bewegungen.

Der Endpunktschutz offenbart eine weitere kritische Lücke. Unter den in Active Directory registrierten Geräten – die eigentlich die vertrauenswürdigsten Assets sein sollten – fehlen 38,75 % aktive Endpunkt-Erkennungs- und Reaktionsagenten. Gleichzeitig sind 32,5 % aller Netzwerkgeräte völlig unverwaltet und werden außerhalb der Sicherheitsrichtlinien des Unternehmens betrieben.

Die Malware-Landschaft bestätigt, dass Windows mit 97,58 % der beobachteten Malware-Aktivitäten nach wie vor das Hauptangriffsziel ist. Doch obwohl Linux-Malware nur 2,16 % ausmacht, birgt sie einzigartige Gefahren durch IoT-Botnets wie Mirai, die die eigene Infrastruktur eines Unternehmens für groß angelegte Angriffe missbrauchen können.

Weltweit ist die Gefährdung erschreckend. Internet-Scans identifizierten allein in den Vereinigten Staaten über 84 Millionen exponierte IoT-Geräte, wobei DVRs und IP-Kameras den größten Anteil ausmachten. Mehr als 770.000 Gebäudesteuerungssysteme waren direkt über das Internet zugänglich – eine beängstigende Schnittstelle zwischen IoT und physischer Sicherheit.

Die Lösung erfordert mehr als nur einfache Transparenz, nämlich eine umfassende Risikobewertung. Unternehmen müssen Zero-Trust-Architekturen implementieren, die Endpunktabdeckung sowohl auf verwalteten als auch auf nicht verwalteten Geräten sicherstellen und ein proaktives Schwachstellenmanagement einführen, das nicht nur auf Schweregradbewertungen, sondern auch auf aktiver Ausnutzung und geschäftlichen Auswirkungen basiert.

Die Botschaft ist klar: In einer Welt voller Geräte kann Sicherheit nicht reaktiv sein. Jedes verbundene Gerät stellt sowohl einen Wert als auch eine Schwachstelle dar. Um das Netzwerk zu schützen, muss man nicht nur wissen, was vorhanden ist, sondern auch, wie es verbunden ist, wie anfällig es ist und was es für das Unternehmen bedeutet.

The numbers paint a troubling picture. IT devices, such as laptops and servers, make up 84% of the network population. Meanwhile, IoT devices, ranging from IP cameras to smart building systems, represent a rapidly growing 16%. More alarming is what’s happening to these devices. Approximately 21% of all IoT devices harbor at least one known vulnerability, and 2% are exposed to flaws that have already been weaponized in real-world attacks.

„Organizations cannot protect assets they don’t know exist,“ the report emphasizes, highlighting a fundamental blind spot. The average enterprise network hosts roughly 34,075 connected devices spanning 80 distinct types—a complexity that makes manual monitoring impossible and uniform security policies ineffective.

The attack surface is vast and growing. Over the past year, SSH brute-force attacks topped 3.48 billion attempts, while the notorious Apache Log4j vulnerability saw 2.7 billion exploitation attempts. For IoT specifically, router vulnerabilities attracted over 15.4 million attacks, with D-Link and Netgear devices bearing the brunt.

Perhaps most concerning is the infrastructure supporting these devices. Nearly 8% of Windows systems run unsupported operating systems that no longer receive security patches, creating permanent entry points for attackers. Linux systems fare worse, with over 26% running end-of-life versions. These outdated systems are prime targets for sophisticated threat actors like Volt Typhoon, who specifically hunt for neglected, unpatched devices in critical infrastructure.

The problem extends beyond technical vulnerabilities. Network architecture itself has become a liability. Analysis shows 77.74% of enterprise networks suffer from poor segmentation, with subnets containing nearly equal mixes of IT and IoT devices. This flat network structure provides highways for lateral movement once attackers breach the perimeter.

Endpoint protection reveals another critical gap. Among devices registered in Active Directory—supposedly the most trusted assets—38.75% lack active endpoint detection and response agents. Meanwhile, 32.5% of all network devices are completely unmanaged, operating outside corporate security policies entirely.

The malware landscape confirms Windows remains the primary battleground, accounting for 97.58% of observed malware activity. Yet Linux malware, though representing just 2.16%, poses unique dangers through IoT-targeting botnets like Mirai, which can weaponize an organization’s own infrastructure for large-scale attacks.

Globally, the exposure is staggering. Internet scans identified over 84 million exposed IoT devices in the United States alone, with DVRs and IP cameras comprising the majority. More than 770,000 building control systems were found directly accessible from the internet—a chilling intersection of IoT and physical security.

The solution requires moving beyond simple visibility to comprehensive risk assessment. Organizations must implement Zero Trust architectures, ensure endpoint coverage on both managed and unmanaged devices, and adopt proactive vulnerability management that prioritizes based on active exploitation and business impact—not just severity scores.

The message is clear: in a device-saturated world, security cannot be reactive. Every connected device represents both value and vulnerability, and protecting the network means understanding not just what’s there, but how it’s connected, how vulnerable it is, and what it means to the business.