Erstmals überholen automatisierte Angriffswerkzeuge und spezialisierte KI-Modelle die traditionellen Abwehrmechanismen der Unternehmen. Der aktuelle Verizon Data Breach Investigations Report (DBIR) 2026 zeichnet ein alarmierendes Bild: Die Ausnutzung von Software-Sicherheitslücken hat gestohlene Zugangsdaten als häufigste Einstiegsmethode abgelöst.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen. Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Leitfaden für Unternehmen kostenlos herunterladen
Angriffsmethoden im Wandel: Vom Passwort zur Sicherheitslücke
Die Analyse von über 31.000 Sicherheitsvorfällen und 22.000 bestätigten Datenlecks aus 145 Ländern zeigt einen fundamentalen Strategiewechsel der Angreifer. Schwachstellen-Ausnutzung machte 31 Prozent aller Erstzugriffe aus – gestohlene Zugangsdaten fielen dagegen auf 13 Prozent zurück. Die Angreifer setzen zunehmend auf technische, automatisierte Methoden statt auf einfaches Social Engineering.
Doch die Unternehmen hinken hinterher. Nur 26 Prozent der kritischen Sicherheitslücken aus dem Katalog der US-Cybersicherheitsbehörde CISA wurden 2025 vollständig geschlossen – ein deutlicher Rückgang gegenüber 38 Prozent im Vorjahr. Die durchschnittliche Zeit bis zur Behebung beträgt 43 Tage. Ein Zeitfenster, das moderne Angreifer gezielt ausnutzen.
Ransomware bleibt die dominierende Bedrohung und taucht in 48 Prozent aller Datenlecks auf – ein Anstieg um vier Prozentpunkte. Die Zahl der gemeldeten Fälle stieg 2025 auf 9.251, ein Plus von 45 Prozent. Überraschend: 69 Prozent der betroffenen Unternehmen zahlen kein Lösegeld mehr. Wer doch verhandelt, erzielt oft satte Rabatte – im Schnitt 57 Prozent auf die erste Forderung. In Einzelfällen lockten schnelle Zahlungen sogar Nachlässe von 96,2 Prozent. Dennoch erbeuteten Cyberkriminelle im vergangenen Jahr über 32 Millionen Euro.
KI als Brandbeschleuniger für die Cyberkriminalität
Künstliche Intelligenz wirkt als „Force Multiplier“ – sowohl für staatlich gesteuerte Gruppen als auch für kriminelle Organisationen. Shane Huntley, Technologiechef von Google Threat Intelligence, beschreibt KI als industrialisierende Kraft, die die Zeitspanne zwischen der Entdeckung einer Schwachstelle und ihrer massenhaften Ausnutzung drastisch verkürzt.
Ein alarmierender Beleg: Google entdeckte den ersten bekannten KI-entwickelten Zero-Day-Exploit, der in freier Wildbahn eingesetzt wurde. Der Angriff zielte auf einen semantischen Logikfehler in einem Open-Source-Server-Management-Tool, um die Zwei-Faktor-Authentifizierung (2FA) zu umgehen. Die Angreifer nutzten ein spezialisiertes KI-Modell – der generierte Code war funktionsfähig, enthielt aber auch technische Halluzinationen wie eine erfundene CVSS-Bewertung.
EZB schlägt Alarm: Mythos-Modell sorgt für Unruhe
Die Bedrohung durch „hyperfähige“ KI hat die Europäische Zentralbank (EZB) auf den Plan gerufen. Am heutigen Dienstag berief sie eine hochrangige Sitzung mit großen Bankinstituten ein, um die Risiken durch Anthropics Claude Mythos Preview zu erörtern. Dieses fortsrittliche Modell soll Tausende von Zero-Day-Schwachstellen in Betriebssystemen und Browsern identifizieren können – und generiert in über 83 Prozent der Testfälle beim ersten Versuch funktionsfähige Exploits.
Derzeit haben nur etwa 40 bis 50 Organisationen Zugang zu Mythos, darunter große US-Technologiekonzerne und JPMorgan Chase. EZB-Vertreter zeigten sich besorgt, dass keine europäische Bank das Tool zur Verteidigung nutzen kann. Anthropic selbst warnt, dass ähnliche Fähigkeiten innerhalb der nächsten sechs bis zwölf Monate von Angreifern nachgebaut werden könnten.
Die innere Gefahr: Shadow AI und soziale Netzwerke
Während die externen Bedrohungen immer raffinierter werden, entstehen neue Risiken im Unternehmen selbst. Der Verizon-Bericht zeigt: 45 Prozent der Mitarbeiter nutzen regelmäßig KI-Tools – ein Anstieg um 30 Prozentpunkte. Besonders kritisch: 67 Prozent dieser KI-Nutzung auf Firmengeräten erfolgt über private Accounts. Dieses „Shadow AI“ genannte Phänomen macht es Sicherheitsteams nahezu unmöglich zu kontrollieren, welche sensiblen Unternehmensdaten in externe KI-Modelle eingespeist werden.
Ein weiteres massives Einfallstor: Soziale Medien. Untersuchungen zufolge teilen 85 Prozent der Social-Media-Teams in Unternehmen Passwörter oder 2FA-Codes – oft ohne sichere Verwaltungstools. KI-gesteuerte Phishing-Kampagnen werden zudem immer schwerer von legitimen Nachrichten zu unterscheiden. 2024 waren 99 Prozent aller Unternehmens-Mandanten Ziel von Kontokaperungsversuchen, 62 Prozent erlitten mindestens einen erfolgreichen Einbruch. Beunruhigend: 65 Prozent dieser erfolgreichen Angriffe trafen Konten, bei denen die Mehrfaktor-Authentifizierung bereits aktiviert war – umgangen durch ausgeklügelten Session-Token-Diebstahl oder „Push-Fatigue“-Attacken.
Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen angesichts der neuen EU-Regeln jetzt konkret tun? Die EU-KI-Verordnung stellt neue Anforderungen an die Sicherheit, dieser kostenlose Report klärt über Pflichten und Fristen auf. Kostenlosen Umsetzungsleitfaden zum EU AI Act sichern
Kritische Infrastruktur: Die OT-Lücke
Die zunehmende Vernetzung von IT und Betriebstechnologie (OT) birgt enorme Risiken für kritische Infrastrukturen. Ein Bericht von Dragos zeigt, dass geopolitische Spannungen in der Ukraine und im Nahen Osten die Cyberrisiken für Industriesysteme massiv erhöhen. Zwei neu identifizierte OT-Bedrohungsgruppen verfügen über „Stage-Two“-Fähigkeiten – sie können die Brücke von IT-Netzen in sensible OT-Umgebungen schlagen.
Die Abwehr hinkt hinterher: Über 80 Prozent der Architektur-Reviews zeigen eine mangelhafte Trennung zwischen IT- und OT-Systemen. Weniger als zehn Prozent der OT-Netze weltweit werden aktiv überwacht.
Besonders verwundbar sind kleine und mittlere Unternehmen (KMU). In Großbritannien verzeichnete BT Business einen Anstieg der bösartigen Scan-Aktivitäten um 300 Prozent im Jahresvergleich. Geräte sind dort täglich etwa 4.000 automatisierten Sonden ausgesetzt. Viele KMU leiden unter „Security Debt“ – der Druck, neue Funktionen zu liefern, überwiegt die Investitionen in proaktive Sicherheit.
Regulierung als Treiber: CRA und NIS2
Der Schutzschirm der Unternehmen erodiert rasant. Branchenanalysten von Palo Alto Networks schätzen, dass das Zeitfenster für die Abwehr neuer KI-getriebener Angriffe auf nur noch drei bis fünf Monate geschrumpft ist. Dieser Druck erzwingt einen Wandel auf regulatorischer Ebene.
In der EU machen das Cyber Resilience Act (CRA) und die NIS2-Richtlinie „Shift-Left“-Sicherheitsstrategien – also Sicherheitsmaßnahmen bereits in der Entwicklungsphase – von einer Empfehlung zur zwingenden Marktvoraussetzung.
Der Markt spaltet sich: Während einige Unternehmen auf regulatorische Klarheit warten, suchen andere nach unabhängigen Lösungen. Mistral AI führt Berichten zufolge Gespräche mit europäischen Banken über ein souveränes KI-Sicherheitsmodell als Alternative zum US-dominierten Mythos-Ökosystem. Telekommunikationsanbieter wie BT arbeiten mit Firmen wie CrowdStrike zusammen, um KI-gestützte Sicherheitstools für KMU anzubieten.
Ausblick: Überleben durch Geschwindigkeit
Die Überlebensfähigkeit eines Unternehmens wird 2026 maßgeblich von seiner Reaktionsgeschwindigkeit und der Beherrschung der „KI gegen KI“-Verteidigung abhängen. Geheimdienstexperten des niederländischen NCSC warnen: Die Zeit, die zur Ausnutzung einer Schwachstelle benötigt wird, schrumpft von Tagen auf Stunden – und bald auf Minuten. Automatisierte Patch-Prozesse und Echtzeit-Bedrohungserkennung werden zur Pflicht.
Für den Bankensektor und kritische Infrastrukturen stehen die kommenden Monate im Zeichen von Verhandlungen mit KI-Entwicklern und einer strengeren Lieferkettenkontrolle – Angriffe über die Lieferkette haben um 60 Prozent zugenommen. Der menschliche Faktor ist zwar weiterhin an über 60 Prozent der Vorfälle beteiligt, doch der Fokus verschiebt sich: Es geht darum, den technologischen Vorsprung der Angreifer zu neutralisieren. Unternehmen, die ihren „Security Debt“ und die Verbreitung von Shadow AI nicht in den Griff bekommen, droht der Ausschluss aus dem digitalen Markt – Sicherheit wird zur Lizenz für operative Legitimität.
