Die Zahl kritischer Sicherheitslücken hat sich binnen eines Jahres mehr als verdoppelt – doch die meisten Alarme sind falscher Alarm. Eine neue Studie zeichnet ein alarmierendes Bild der Bedrohungslage.
Der am heutigen Montag veröffentlichte Exposure Gap Report 2026 von Check Point Research zeigt eine dramatische Entwicklung: Mittlerweile gelten 42,6 Prozent aller kritischen Sicherheitslücken als tatsächlich gefährlich – im Vorjahr waren es noch 18,7 Prozent. Haupttreiber sind interne Informationsweitergaben und ungepatchte Schwachstellen, die zusammen 76 Prozent aller kritischen Exposures ausmachen.
Die Alarmflut und ihre Tücken
Doch der Anstieg der Zahlen täuscht. Nach einer Validierung der tatsächlichen Ausnutzbarkeit stellten die Forscher fest: Nur 7,8 Prozent aller Schwachstellen-Warnungen – also weniger als jede zwölfte – erforderten tatsächlich höchste Priorität. Die Sicherheitsteams leiden zunehmend unter Alert Fatigue, während KI-gesteuerte Tools die Überwachungssysteme mit Meldungen überfluten.
Die Unternehmen reagieren unterschiedlich schnell. Im Versorgungssektor werden 30 Prozent der kritischen Exposures innerhalb einer Stunde behoben, die durchschnittliche Reaktionszeit liegt bei 12,6 Stunden. Das Gesundheitswesen hingegen braucht mit 158,8 Stunden am längsten – ein alarmierender Wert angesichts der sensiblen Patientendaten.
Bots dominieren das Internet
Parallel zur Zunahme der Sicherheitswarnungen verändert sich die Struktur des weltweiten Datenverkehrs grundlegend. Ein Bericht von Thales zeigt: Bereits 53 Prozent des gesamten Internetverkehrs werden 2025 von automatisierten Systemen generiert. Der menschliche Anteil liegt nur noch bei 47 Prozent. Besonders besorgniserregend: Rund 40 Prozent des gesamten Traffics stammen von schädlichen Bots – ein Trend, der durch den 12,5-fachen Anstieg KI-gestützter Angriffe weiter beschleunigt wird.
Die Automatisierungswelle zeigt sich auch bei Phishing-Websites. Sie machen inzwischen 10,5 Prozent aller kritischen Exposures aus – ein sprunghafter Anstieg von nur 1,0 Prozent in früheren Erhebungszyklen.
Erster autonomer KI-Ransomware-Angriff dokumentiert
Der erste autonome KI-Ransomware-Angriff ist dokumentiert – JadePuffer nutzte eine Schwachstelle und agierte ohne menschliches Eingreifen. Mit dem kostenlosen Sicherheits-Check erkennen Sie, ob Ihre Systeme ähnlichen Angriffen standhalten. Sicherheits-Check per E-Mail anfordern
Am heutigen Montag veröffentlichten Sicherheitsforscher von Sysdig einen alarmierenden Fall: den ersten Ransomware-Angriff, der fast vollständig von einem autonomen KI-Agenten durchgeführt wurde. Die als JadePuffer bezeichnete Kampagne nutzte die Schwachstelle CVE-2025-3248 in Langflow aus, um in die Systeme einzudringen.
Der KI-Agent zeigte dabei bemerkenswerte Anpassungsfähigkeit: Er korrigierte fehlgeschlagene Login-Versuche innerhalb von 31 Sekunden selbstständig und passte seine Parsing-Logik bei unerwarteten Antworten an. Der Agent bewegte sich lateral durch das Netzwerk, verschlüsselte 1.342 Nacos-Konfigurationsdatensätze und forderte Lösegeld in Bitcoin. Interessantes Detail: Obwohl der Angreifer AES-256-Verschlüsselung angab, nutzte der Agent tatsächlich den schwächeren AES-128-Standard.
Fünf-Augen-Allianz schlägt Alarm
Die Geheimdienstallianz der Five Eyes – bestehend aus den USA, Großbritannien, Kanada, Australien und Neuseeland – veröffentlichte am heutigen Montag eine gemeinsame Warnung. Die Allianz erwartet, dass Frontier-KI-Modelle innerhalb weniger Monate die derzeitigen Fähigkeiten übertreffen werden, was sowohl offensive als auch defensive Cyberoperationen grundlegend verändern dürfte.
Konkrete Beobachtungen zu Modellen wie Anthropics Fable 5 und Mythos 5 untermauern die Warnung: Diese Systeme können Monate an Entwicklungsarbeit auf wenige Tage komprimieren. In einem dokumentierten Fall führte ein Modell eine codebase-weite Migration von 50 Millionen Codezeilen an einem einzigen Tag durch.
Die Geheimdienste empfehlen Unternehmen dringend, ihre Angriffsflächen zu reduzieren, Patch-Zyklen zu beschleunigen und defensive KI-Systeme zu implementieren.
Alert Fatigue und ungepatchte Lücken gefährden Ihr Unternehmen. Der kostenlose Sicherheits-Check zeigt Ihnen in 5 Punkten, wo Ihre größten Risiken liegen – und wie Sie sie schnell schließen. Risiko-Checkliste anfordern
Dringlichkeit durch Behördenaktionen unterstrichen
Die Dringlichkeit der Lage wird durch aktuelle Regulierungsmaßnahmen unterstrichen. Die US-Cybersicherheitsbehörde CISA erließ kürzlich eine Notfallanweisung, die Bundesbehörden verpflichtet, eine Zero-Day-Lücke in Check Point VPNs (CVE-2026-50751) innerhalb von drei Tagen zu schließen. Die Schwachstelle wurde bereits von der Qilin-Ransomware-Gruppe ausgenutzt. Sie erlaubt Angreifern, über veraltete Protokolle die Authentifizierung zu umgehen – ein Paradebeispiel für die anhaltende Gefahr durch Altsysteme in einer zunehmend automatisierten Bedrohungslandschaft.

