Das zeigt der aktuelle Verizon Data Breach Investigations Report für 2026. Sicherheitsexperten identifizierten demnach mehr als 22.000 bestätigte Datenpässe bei insgesamt 31.000 Sicherheitsvorfällen – ein alarmierender Trend, der auch deutsche Unternehmen und Behörden betrifft.
Hauptgrund für die Explosion: Software-Exploits haben gestohlene Zugangsdaten als wichtigste Einfallstore abgelöst. Kriminelle nutzen zunehmend künstliche Intelligenz, um Sicherheitslücken schneller zu finden und auszunutzen. Die Folge ist eine regelrechte „Schwachstellen-Schwemme“, mit der Unternehmen kaum Schritt halten können.
Exploits überholen Passwortdiebstahl
Der Wandel ist dramatisch. Exploits machen mittlerweile 31 Prozent aller Datenpässe aus – ein Anstieg um elf Prozentpunkte im Vergleich zum Vorjahr. Die klassische Methode des Credential-Thefts fiel dagegen auf nur noch 13 Prozent zurück.
Die schiere Menge der bekannten Schwachstellen ist explodiert: Waren es 2022 noch rund 68,7 Millionen Einträge in Schwachstellen-Datenbanken, stieg diese Zahl bis Ende 2025 auf 527,3 Millionen. Ein Anstieg, der selbst große IT-Abteilungen überfordert.
Besonders besorgniserregend: Die Patching-Geschwindigkeit sinkt. Nur noch 26 Prozent der kritischen Schwachstellen aus dem offiziellen Katalog der US-Cybersicherheitsbehörde CISA wurden im aktuellen Berichtszeitraum geschlossen – ein deutlicher Rückgang von 38 Prozent im Jahr 2024. Die mittlere Zeit bis zur Schließung einer bekannten Lücke stieg auf 43 Tage, elf Tage mehr als im Vorjahr.
Ransomware bleibt mit 48 Prozent aller gemeldeten Vorfälle die dominierende Bedrohung. Interessant: Nur noch 31 Prozent der Opfer zahlen Lösegeld, die mittlere Zahlungssumme liegt unter 140.000 Euro.
Da klassische Passwörter angesichts der aktuellen Bedrohungslage immer häufiger zum Sicherheitsrisiko werden, gewinnen moderne Alternativen wie Passkeys massiv an Bedeutung. Dieser kostenlose Ratgeber zeigt Ihnen Schritt für Schritt, wie Sie die sicherste Methode zur passwortlosen Anmeldung bei Amazon, Microsoft und Co. sofort einrichten können. Passkey-Report jetzt gratis anfordern
Microsoft unter Druck: Zero-Day-Lücken und Update-Pannen
Besonders im Fokus der Angreifer stehen derzeit Microsoft-Produkte. Eine als YellowKey bekannte Zero-Day-Lücke umgeht die BitLocker-Verschlüsselung unter Windows 11 und verschiedenen Server-Versionen – durch Manipulation der EFI-Schnittstelle. Eine zweite Schwachstelle namens GreenPlasma ermöglicht Rechteausweitung, wobei erste Patch-Versuche offenbar unvollständig blieben.
Hinzu kommen technische Probleme bei der Update-Installation selbst. Das Windows-11-Update KB5089549 scheiterte Anfang Mai auf rund 35 bis 36 Prozent der Zielsysteme. Grund: zu wenig Speicherplatz auf der EFI-Systempartition – konkret weniger als zehn Megabyte freier Speicher reichten aus, um die Installation platzen zu lassen.
Als Reaktion auf die anhaltende Bedrohung durch gestohlene Zugangsdaten kündigte Microsoft an, die SMS-basierte Zwei-Faktor-Authentifizierung für persönliche Konten auslaufen zu lassen. Betroffen sind Outlook, OneDrive und Xbox. Stattdessen setzt der Konzern auf Passkeys mit biometrischer Authentifizierung (Face ID oder Fingerabdruck) sowie die Microsoft Authenticator-App. Hintergrund: 62 Prozent aller Datenpässe gehen laut Forschern immer noch auf menschliches Versagen oder Social Engineering zurück.
Mobile Bedrohungen: Von FUD-Malware bis Werbetrug
Die Welle der Datenpässe wird durch eine wachsende Bedrohung mobiler Endgeräte verstärkt. Mitte Mai nahmen indische Behörden einen 25-Jährigen fest, der über Telegram sogenannte „Fully Undetectable“ (FUD)-Malware verkauft hatte. Die Preise für manipulierte Android-Apps lagen bei umgerechnet rund 44 Euro pro Stück – ein Beleg für die niedrigen Einstiegshürden in die digitale Kriminalität.
Noch größere Dimensionen erreichte eine als Trapdoor bekannte Werbetrugs-Operation. Sicherheitsforscher von Human Security deckten ein Netzwerk von 455 schädlichen Android-Apps auf, die täglich 659 Millionen Gebotsanfragen generierten und zu 24 Millionen betrügerischen App-Installationen führten. Der Schwerpunkt lag zwar in den USA, die Auswirkungen waren jedoch global spürbar.
Auch Verbraucher geraten zunehmend ins Visier. Eine McAfee-Studie vom März 2026 ergab, dass 38 Prozent aller Reisenden bereits mit einem reisebezogenen Betrug konfrontiert wurden – 41 Prozent davon erlitten finanzielle Verluste. TripAdvisor ist dabei die am häufigsten nachgeahmte Marke, dreimal häufiger als Expedia oder Booking.com. Erschreckend: Rund 33 Prozent der Befragten ignorierten bewusst Warnsignale, wenn sie unter Zeitdruck buchten.
Besonders mobile Endgeräte stehen heute im Fokus professioneller Hacker-Banden und krimineller Apps, die unbemerkt private Daten ausspähen. Schützen Sie Ihr Smartphone wirksam mit fünf einfachen Sofortmaßnahmen gegen Viren und Internet-Kriminalität, die in diesem kostenlosen Leitfaden detailliert erklärt werden. Kostenlosen Sicherheits-Ratgeber für Smartphones herunterladen
Milliarden-Investitionen in KI-gestützte Abwehr
Die Tech-Giganten reagieren mit massiven Investitionen. Auf der Google-I/O-Konferenz Mitte Mai gab das Unternehmen bekannt, dass die Gemini-App mittlerweile über 900 Millionen monatliche Nutzer bedient. Neu vorgestellt wurden Gemini 3.5 Flash und Gemini Omni Flash, das Video aus Text-, Bild- oder Audioeingaben generiert. Die Kapitalausgaben von Google für 2026 werden auf 180 bis 190 Milliarden Dollar geschätzt – ein Großteil fließt in Sicherheitsinfrastruktur.
Auf regulatorischer Ebene startete die US-Handelsbehörde FTC am 19. Mai ein neues Portal zur Meldung von Verstößen gegen den Take It Down Act. Das Gesetz verpflichtet digitale Plattformen, nicht einvernehmliche intime Bilder innerhalb von 48 Stunden zu entfernen. Kritiker warnen vor möglicher Überzensur, der Vorstoß zeigt jedoch den wachsenden politischen Druck auf Plattformen.
Analyse: Das Tempo der Angreifer steigt
Die aktuelle Krise ist vor allem ein Wettlauf gegen die Zeit. Während Angreifer mit KI-Unterstützung in Minuten neue Exploits entwickeln, arbeiten viele Unternehmen noch mit manuellen Patch-Prozessen. Die traditionelle „Phishing-Schulung“ für Mitarbeiter reicht nicht mehr aus, wenn Exploits zum Hauptangriffsvektor werden.
Die Kommerzialisierung von Cyberkriminalität – bekannt als „Cybercrime-as-a-Service“ – hat die Lage zusätzlich verschärft. Selbst kleine Betriebe ohne eigene IT-Abteilung (rund 80 Prozent aller Unternehmen) sehen sich heute mit denselben technischen Bedrohungen konfrontiert wie Großkonzerne.
Ausblick: Proaktive Sicherheitsmodelle gefragt
Die Industrie setzt zunehmend auf „agentische KI“ und proaktive Sicherheitsmodelle. Googles Ankündigung von Cloud-basierten Assistenten wie Gemini Spark deutet auf eine Zukunft hin, in der KI einen Großteil der Sicherheitsaufgaben im Hintergrund übernimmt. Microsofts Einführung von Agent 365 zielt darauf ab, KI-Agenten besser zu kontrollieren, die zunehmend sensible Unternehmensdaten verarbeiten.
Doch der unmittelbare Fokus bleibt das grundlegende Schwachstellen-Management. Experten empfehlen einen Strategiewechsel: Statt jede bekannte Lücke zu schließen, sollten Unternehmen ihre Ressourcen auf die 26 Prozent der kritischen Schwachstellen konzentrieren, die tatsächlich aktiv ausgenutzt werden. Ob dieser Ansatz die Explosion der Datenpässe stoppen kann, wird sich im Laufe des Jahres zeigen.
