Die Zahl gestohlener Firmenzugangsdaten durch Infostealer-Malware steigt rasant – bis zu 20 Prozent aller Infektionen könnten bereits im dritten Quartal 2026 Unternehmensaccounts betreffen. Das zeigt der am heutigen Montag veröffentlichte „2026 State of Enterprise Infostealer Exposure Report“ von Flare Research. Demnach stieg der Anteil der Protokolldateien mit Unternehmensdaten von rund sechs Prozent Anfang 2024 auf 14 Prozent Ende 2025.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern und Sicherheitslücken schließen, bevor es zu spät ist. Kostenloses Cyber-Security E-Book jetzt herunterladen
Für die Analyse werteten die Forscher 18,7 Millionen Infostealer-Logs des vergangenen Jahres aus. 2,05 Millionen davon enthielten unternehmensbezogene Identitätsdaten. Besonders alarmierend: Microsoft Entra ID tauchte in 79 Prozent der untersuchten Logs auf. 1,17 Millionen Dateien enthielten zudem Sitzungscookies, mit denen Angreifer die Multi-Faktor-Authentifizierung (MFA) umgehen können.
Identitätsdiebstahl als neue Achillesferse
Die Entwicklung fällt mit einer umfassenden Krise der identitätsbasierten Sicherheit zusammen. Eine am 31. Mai veröffentlichte Studie von Sophos zeigt: 71 Prozent der befragten Unternehmen aus 17 Ländern erlitten im vergangenen Jahr mindestens einen identitätsbezogenen Sicherheitsvorfall. Im Schnitt waren es drei Vorfälle pro betroffenem Unternehmen – die durchschnittlichen Wiederherstellungskosten lagen bei 1,64 Millionen Euro.
Die Sophos-Umfrage unter 5.000 IT-Entscheidern belegt zudem, dass 67 Prozent aller Ransomware-Angriffe mit einer kompromittierten Identität beginnen. Hauptursachen sind gestohlene Mitarbeiterzugänge und unzureichend geschützte nicht-menschliche Identitäten – etwa von Maschinenkonten oder APIs. Daten der Ransomware-Gruppe Nova untermauern diesen Zusammenhang: 42,9 Prozent der betroffenen Unternehmen mit einer eigenen Domain hatten vor dem Erpressungsangriff eine Infostealer-Infektion erlitten.
Schnelle Verwertungsketten auf dem Schwarzmarkt
Die Sicherheitsexperten von CybelAngel beschreiben den Lebenszyklus gestohlener Zugangsdaten als erschreckend effizient. Die beste Chance zur Erkennung besteht demnach, sobald die Daten auf spezialisierten Marktplätzen oder in Telegram-Kanälen auftauchen. Das Zeitfenster zwischen der ersten Listung und dem ersten Exploit-Versuch beträgt meist ein bis acht Wochen.
Verschiedene Malware-Familien arbeiten dabei unterschiedlich schnell: Lumma-Daten werden oft bereits nach ein bis vier Wochen ausgenutzt, während RedLine-Daten typischerweise zwei bis sechs Wochen brauchen. Experten raten Unternehmen, besonders privilegierte Konten, VPN-Zugänge und VIP-Nutzerdaten zu überwachen.
Neue Angriffswerkzeuge und Schwachstellen
Die Bedrohungslage verschärft sich durch neue Schwachstellen und automatisierte Angriffsplattformen. Ende Mai 2025 begannen Angreifer, eine Sicherheitslücke im FortiClient Enterprise Management Server (CVE-2026-35616) auszunutzen, um eine neue Infostealer-Variante zu verbreiten. Parallel dazu warnte die US-Cybersicherheitsbehörde CISA vor aktiver Ausnutzung einer Zero-Day-Lücke in Trend Micro Apex One (CVE-2026-34926).
Besonders perfide: Der Aufstieg von Phishing-as-a-Service (PhaaS). Am 31. Mai warnte das FBI US-Unternehmen vor dem Tool Kali365. Diese Plattform nutzt das Microsoft-„Gerätecode“-Login-System, um OAuth-Tokens zu stehlen und MFA zu umgehen. Angreifer erhalten so dauerhaften Zugriff auf Outlook, Teams und OneDrive – ohne ein einziges Passwort.
Rekord-Schäden durch Phishing zeigen, wie wichtig professionelle Prävention ist. In 4 Schritten zum sicheren Unternehmen: Dieser kostenlose Leitfaden enthüllt aktuelle Methoden der Cyberkriminellen und zeigt, wie Sie Angriffe stoppen, bevor sie entstehen. Anti-Phishing-Paket für Unternehmen gratis sichern
In Lateinamerika entdeckten Kaspersky-Forscher am heutigen Montag zudem JanelaRAT. Diese Finanz-Malware ist darauf spezialisiert, Bankingsitzungen in Echtzeit zu überwachen und zu kapern. Mit täuschend echten Bildschirmmasken fängt sie Zugangsdaten und MFA-Codes ab – und bleibt durch ausgefeilte Infektionstechniken nahezu unsichtbar.
