Die Zeiten haben sich gedreht: Softwarelücken sind zur häufigsten Eintrittspforte für hacker geworden. Klassischer Passwortdiebstahl verliert dagegen an Bedeutung.
Das zeigt der aktuelle Verizon Data Breach Investigations Report (DBIR) 2026. Demnach entfallen 31 Prozent aller Sicherheitsvorfälle auf die Ausnutzung von Programmierfehlern. Der Einsatz gestohlener Zugangsdaten sank dagegen auf 13 Prozent. Der Grund: Immer komplexere Software-Lieferketten und der rasante Einzug Künstlicher Intelligenz in die Angriffswerkzeuge.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2026 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen
Die wachsende „Patch-Lücke“
Die Sicherheitsexperten sprechen von einer alarmierenden Entwicklung: Die Geschwindigkeit, mit der neue Schwachstellen entdeckt werden, überholt die Fähigkeit der Unternehmen, diese zu schließen. KI-gesteuerte Suchwerkzeuge treiben diese Entwicklung massiv voran. Gleichzeitig steigt die Zahl der Angriffe über Drittanbieter: In 48 Prozent aller Fälle sind externe Dienstleister oder Partner involviert – ein sprunghafter Anstieg von 30 Prozent im Vorjahr.
Trotz des neuen Fokus auf Softwarelücken bleibt der menschliche Faktor die größte Konstante. Er ist für 62 Prozent der Sicherheitsvorfälle verantwortlich – sei es durch Fahrlässigkeit, Missbrauch interner Systeme oder raffinierte Phishing-Angriffe.
Ransomware: Immer mehr Unternehmen zahlen nicht
Erpressungssoftware bleibt eine dominierende Bedrohung und taucht in 48 Prozent der untersuchten Vorfälle auf. Ein überraschender Trend: 69 Prozent der betroffenen Unternehmen weigern sich, Lösegeld zu zahlen. Diese Standhaftigkeit wird jedoch durch das schleppende Schwachstellen-Management auf die Probe gestellt.
Die Zahlen sind ernüchternd: Von den bekannten Sicherheitslücken im KEV-Katalog (Known Exploited Vulnerabilities) der US-Behörde CISA wurden 2025 nur 26 Prozent vollständig geschlossen – im Vorjahr waren es noch 38 Prozent. Die durchschnittliche Zeit bis zur Behebung eines bekannten Fehlers stieg von 32 auf 43 Tage.
KI als Beschleuniger der Bedrohung
Die Automatisierung der Schwachstellensuche durch KI verändert das Spiel grundlegend. Palo Alto Networks dokumentierte, dass KI-Modelle wie Anthropics Claude Mythos oder OpenAIs GPT-5.5-Cyber in kurzer Zeit 26 CVEs und 75 verschiedene Schwachstellen in über 130 Produkten identifizierten. Zum Vergleich: Herkömmliche Methoden finden in ähnlichen Zeiträumen meist weniger als fünf.
Anthropics „Project Glasswing“ spürte mit einer Vorschauversion des Claude-Mythos-Modells innerhalb weniger Wochen über 10.000 potenziell kritische Schwachstellen auf. Davon bestätigten sich 1.726 als echte Sicherheitslücken, 1.094 davon als schwerwiegend. Das führte zu 88 Sicherheitshinweisen und 97 Patches – darunter ein schwerer Zertifikatsfehler in der Bibliothek wolfSSL (CVE-2026-5194).
Die rasante Entwicklung von KI-Modellen bringt nicht nur neue Bedrohungen, sondern auch strikte rechtliche Vorgaben wie den EU AI Act mit sich. Dieser kostenlose Umsetzungsleitfaden hilft Unternehmen, Risikoklassen richtig einzustufen und alle Dokumentationspflichten fristgerecht zu erfüllen. Kostenloses E-Book zur EU-KI-Verordnung sichern
Die Geschwindigkeit der KI-Entdeckung verkürzt auch die Lebensdauer von Exploits. Branchenbeobachter berichten, dass die Zeitspanne zwischen Entdeckung und aktivem Missbrauch von Wochen auf Minuten geschrumpft ist. HackerOne verzeichnete einen Anstieg der gemeldeten Schwachstellen um 76 Prozent im Jahresvergleich – ein Rekordhoch im März 2026. Allerdings gilt: Nur etwa 25 Prozent der gemeldeten Lücken sind in der Praxis tatsächlich gefährlich.
Massenangriffe auf Content-Management-Systeme
Die praktischen Auswirkungen dieser Entwicklung zeigen sich in mehreren groß angelegten Angriffswellen im Frühjahr 2026:
Eine kritische SQL-Injection-Lücke im Content-Management-System Ghost (CVE-2026-26980) führte zur Kompromittierung von über 700 Websites. Darunter sind bekannte Domains von Universitäten, Fintech-Firmen und SaaS-Anbietern. Die Angreifer extrahieren administrative API-Schlüssel und schleusen bösartige JavaScript-Lader ein. Diese ermöglichen sogenannte „ClickFix“-Attacken, bei denen Nutzer mit gefälschten CAPTCHA-Abfragen zur Ausführung von PowerShell-Befehlen verleitet werden.
Eine weitere kritische SQL-Injection in Drupals Datenbank-API für PostgreSQL (CVE-2026-9082) wird aktiv ausgenutzt. Sicherheitsforscher registrierten über 15.000 Angriffsversuche auf 6.000 Websites in 65 Ländern. Die Hälfte aller Attacken zielte auf die Gaming- und Finanzdienstleistungsbranche. Die US-Behörde CISA hat die Lücke inzwischen in ihren KEV-Katalog aufgenommen.
Im Mobilfunksektor wurde eine Zero-Click-Übernahmemethode für WhatsApp auf älteren iPhones (Modelle 8 bis 14) mit iOS 16 identifiziert. Die Angriffskette kombiniert CVE-2025-43300 und CVE-2025-55177, um kryptografisches Material zu extrahieren. Ein Patch für die zugrundeliegende ImageIO-Schwachstelle ist seit August 2025 verfügbar – doch viele Geräte bleiben ungepatcht.
Risikomanagement: Weg von der reinen CVE-Zählung
Die schiere Masse an Schwachstellen zwingt Unternehmen zu einem Umdenken. Cisco hat seine Offenlegungspolitik verschärft: Künftig werden nur noch aktiv ausgenutzte oder mit hoher Wahrscheinlichkeit bewaffnete Lücken gemeldet. Interne Funde mit geringem Risiko erhalten keine separaten Sicherheitshinweise mehr – ein Schritt gegen die „Alert Fatigue“ der Sicherheitsteams.
Ziv Levi vom Sicherheitsunternehmen CYE empfiehlt Aufsichtsräten, Cyber-Risiken nicht nach Anzahl der Schwachstellen, sondern nach finanziellen Auswirkungen zu bewerten. Unternehmen sollen Angriffspfade zu kritischen Geschäftswerten identifizieren und potenzielle Schäden – Lösegeld, Ausfallzeiten, Bußgelder – in Euro beziffern. So lassen sich die 25 Prozent der Lücken priorisieren, die tatsächlich eine Gefahr darstellen.
Identitätssicherheit bleibt Achillesferse
Ein Sophos-Bericht zur Identitätssicherheit 2026 zeigt: 71 Prozent der Unternehmen erlitten mindestens einen identitätsbezogenen Sicherheitsvorfall. Besonders betroffen: die Energiebranche sowie Öl- und Gasunternehmen. Ein erheblicher Teil dieser Vorfälle (41 Prozent) ging von kompromittierten nicht-menschlichen Identitäten aus – Servicekonten und API-Schlüssel, die menschliche Nutzer oft um das Hundertfache überzählen. Dennoch überprüfen oder rotieren nur 34 Prozent der Unternehmen diese Zugänge regelmäßig.
Ausblick: Der Wettlauf gegen die Maschine
Der Aufstieg der Schwachstellenausnutzung zum primären Angriffsvektor markiert eine neue Ära des automatisierten Konflikts. Da KI-Modelle die Entdeckung von Zero-Day-Lücken immer weiter beschleunigen, wird der traditionelle „Patch-everything“-Ansatz obsolet. Google meldete kürzlich den ersten bekannten KI-gesteuerten Zero-Day-Angriff auf 2FA-Konten – ein KI-generiertes Script nutzte einen logischen Fehler in einem Server-Management-Tool aus.
In den kommenden Monaten werden Unternehmen voraussichtlich verstärkt in autonome Abwehrsysteme und Risikoquantifizierung investieren. Der Fokus verschiebt sich zur „validierten Ausnutzbarkeit“ – Sicherheitsressourcen sollen dort eingesetzt werden, wo Lücken nicht nur theoretisch existieren, sondern aktiv angegriffen werden. Angesichts wachsender Abhängigkeiten von Drittanbietern und Lieferketten wird die Fähigkeit, diese externen Risiken zu managen, über die Stabilität der Unternehmenssicherheit in den nächsten Jahren entscheiden.
