Die Bedrohungslage für Unternehmen kippt: Automatisierte Exploits ersetzen Phishing als häufigste Einstiegsmethode.
Der aktuelle Bedrohungsreport von Rapid7 für das erste Quartal 2026 zeichnet ein alarmierendes Bild: Schwachstellen-Exploits haben die traditionelle Methode des Social Engineering als primären Zugangsweg zu Unternehmensnetzwerken überholt. Ganze 38 Prozent aller initialen Zugriffe erfolgen mittlerweile durch technische Angriffe, während Phishing und Co. auf 24 Prozent zurückgefallen sind. Das Zeitfenster zwischen Bekanntwerden einer Sicherheitslücke und ihrer aktiven Ausnutzung schrumpft dabei rasant – von 8,5 Tagen auf nur noch fünf Tage.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. Gratis-E-Book zur Cyber-Security jetzt herunterladen
Warum die Angreifer ihre Taktik ändern
Im Zentrum dieser Entwicklung stehen sogenannte Zero-Click-Schwachstellen – Lücken, die ohne jede Benutzerinteraktion ausgenutzt werden können. Sie machen rund die Hälfte aller aktiv angegriffenen Sicherheitslücken im ersten Quartal aus. Die Angreifer setzen verstärkt auf automatisierte, skalierbare Methoden, die keine menschliche Interaktion mehr erfordern.
Besonders bemerkenswert: SQL-Injection hat sich als am häufigsten ausgenutzte Schwachstelle etabliert und damit die OS-Command-Injection überholt. Parallel dazu missbrauchen Kriminelle weiterhin Remote Monitoring and Management (RMM)-Tools – fast jedes vierte beobachtete schadhafte Ereignis geht auf ihr Konto.
Ransomware-Gruppen im Konsolidierungsmodus
Die organisierte Cyberkriminalität zeigt klare Machtverhältnisse. Die Gruppe Qilin führt das Ranking mit 357 veröffentlichten Opferdaten an, gefolgt von The Gentlemen (206) und Akira (174). Während die Angriffswelle global hoch bleibt – Indien verzeichnet mit 3.300 Attacken pro Woche deutlich mehr als den weltweiten Durchschnitt von rund 2.000 –, zeigt sich ein überraschender Trend bei den Lösegeldforderungen.
Immer mehr Unternehmen verweigern die Zahlung: 69 Prozent der betroffenen Firmen zahlen kein Lösegeld mehr. Der durchschnittliche Betrag sank von 150.000 auf rund 140.000 Dollar. Ein ermutigendes Zeichen – oder der Beginn einer neuen Eskalationsstrategie der Erpresser?
Die Supply-Chain-Krise erreicht neue Dimensionen
Die Gruppe TeamPCP hat nach Erkenntnissen von Sicherheitsforschern hunderte Open-Source-Tools kompromittiert – ein beispielloser Angriff auf die Software-Lieferkette. Ein selbstvermehrender Wurm (CVE-2026-45321) traf unter anderem GitHub und Mistral AI. Die Angreifer erbeuteten Code-Signatur-Zertifikate, indem sie Mitarbeiter-Geräte infiltrierten. Bei über 518 Millionen wöchentlichen Downloads der betroffenen Pakete ist das Risiko für nachgelagerte Infektionen enorm.
Neue Zero-Day-Lücke in NGINX entdeckt
Erst am gestrigen Donnerstag wurde eine kritische Schwachstelle im Webserver NGINX bekannt. Die als „nginx-poolslip“ bezeichnete Lücke in Version 1.31.0 umgeht den ASLR-Speicherschutz und ermöglicht Remote-Code-Ausführung. Da NGINX Millionen von Servern weltweit betreibt und zum Zeitpunkt der Entdeckung kein Patch verfügbar war, ist das Risiko für automatisierte Angriffe extrem hoch.
KI als zweischneidiges Schwert
Die Industrie reagiert mit Gegenmaßnahmen: IBM ist dem Projekt „Glasswing“ mit Anthropic beigetreten und integriert KI-Modelle wie Claude Mythos zur Bedrohungserkennung. Der IBM Threat Intelligence Index verzeichnet einen Anstieg der Ausnutzung öffentlicher Anwendungen um 44 Prozent. Bei besonders begehrten Schwachstellen schrumpfte das Zeitfenster zwischen Bekanntwerden und Ausnutzung von 23 Tagen auf neun Stunden.
Doch auch die Angreifer nutzen KI: Während OpenAI über spezielle Cybersicherheitsmodelle für Japan nachdenkt, verfeinern Kriminelle bereits ihre Schadsoftware mit generativer KI. Das Phänomen „Shadow AI“ – die Nutzung nicht autorisierter KI-Konten durch Mitarbeiter – betrifft inzwischen 67 Prozent aller Beschäftigten.
Neben technischen Angriffen bleiben psychologische Manipulationstaktiken eine Gefahr für die Unternehmenssicherheit. Dieser kostenlose Report enthüllt die aktuellen Methoden der Cyberkriminellen und wie Sie Ihre Mitarbeiter effektiv schützen. Anti-Phishing-Paket für Unternehmen kostenlos anfordern
Erfolge der Strafverfolgung
Die internationale Polizeioperation „First VPN“ konnte am Donnerstag einen wichtigen Erfolg verbuchen: Ein Dienst, der mindestens 25 verschiedenen Ransomware-Gruppen half, ihre digitalen Spuren zu verwischen, wurde zerschlagen. Server in 27 Ländern wurden beschlagnahmt, der Administrator festgenommen. Microsoft bestätigte zudem die Zerschlagung des Netzwerks „Fox Tempest“, das seit Mai 2025 gefälschte Code-Signatur-Zertifikate an Ransomware-Gruppen lieferte.
Der Fünf-Tage-Rhythmus als neue Normalität
Für Sicherheitsteams bedeutet dies eine radikale Beschleunigung ihrer Arbeit. Die Zeit von der Veröffentlichung einer Schwachstelle bis zum aktiven Angriff ist auf fahr Tage geschrumpft. Experten fordern daher nicht nur besseres Patch-Management, sondern vor allem umfassende Transparenz über die eigene Software-Lieferkette. Solange Standards für Software-Stücklisten (SBOM) nicht verbessert und grundlegende Schwachstellen in der Internet-Infrastruktur nicht ganzheitlich adressiert werden, wird der Kreislauf aus schneller Veröffentlichung und noch schnellerer Ausnutzung wohl anhalten.
