Ransomware 2026: 79% der Angriffe nutzen gestohlene Zugangsdaten

Sophos-Studie zeigt: 79% aller Ransomware-Attacken nutzen kompromittierte Identitäten. KI-Phishing-Kits umgehen zunehmend MFA-Schutz.

Kompromittierte Identitäten sind heute der häufigste Weg für Ransomware-Angriffe – und die Täter werden immer raffinierter.

Laut dem aktuellen „State of Ransomware 2026“-Bericht von Sophos, veröffentlicht am 15. Juli, gehen 79 Prozent aller Ransomware-Angriffe auf gestohlene Zugangsdaten zurück. Phishing und bösartige E-Mails bleiben zwar die häufigsten Einstiegsvektoren, doch die technische Raffinesse und die psychologischen Tricks der Angreifer haben ein neues Niveau erreicht.

KI-gestützte Phishing-Kits zielen auf Microsoft 365

Mehrere neue Phishing-Kits wurden in dieser Woche identifiziert, die speziell darauf ausgelegt sind, die Multi-Faktor-Authentifizierung (MFA) zu umgehen und Datenabflüsse zu automatisieren. Am 14. Juli enthüllten Forscher die Werkzeuge Jalisco und OmegaLord. Jalisco nutzt sogenanntes Device-Code-Phishing mit Echtzeit-OAuth-Codes, um kurzlebige Autorisierungstoken zu überwinden. OmegaLord tarnt sich als PDF-Reader und stiehlt dabei Anmeldedaten und Telefonnummern. Mit diesen Tools können Angreifer mehrere fremde Geräte pro Konto anmelden – der komplette Datenabfluss dauert oft nur rund sechs Minuten.

Ein weiteres KI-gesteuertes Kit namens Forg365 wurde am 15. Juli auf Telegram entdeckt und gegen monatliche Abogebühren angeboten. Es kombiniert Device-Code-Phishing mit Session-Diebstahl (Adversary-in-the-Middle) und nutzt KI-geschriebene Ködertexte. Branchenanalysten bestätigen: KI-gesteuerte Phishing-Kampagnen sind inzwischen dreimal so effektiv wie herkömmliche Methoden. Der ESET-H1-2026-Bedrohungsbericht, ebenfalls vom 15. Juli, unterstreicht diesen Trend: KI habe die Effizienz der Angreifer massiv gesteigert. Zudem machten QR-Code-Phishing-Attacken – sogenanntes Quishing – mittlerweile 11 Prozent aller erkannten Phishing-E-Mails aus.

Steuerfallen und operative Phishing-Wellen

In Deutschland schlugen am 15. Juli mehrere Landesministerien und Verbraucherschutzbehörden Alarm. Mit dem nahenden Abgabetermin für die Steuererklärung 2025 am 31. Juli steigt die Zahl der Phishing-Versuche im Namen des Elster-Portals und des Finanzministeriums rasant. Die Betrugsmails nutzen oft Betreffzeilen wie „Steuerprüfung angeordnet“ oder „Kontoabgleich erforderlich“, um Empfänger zum Öffnen schädlicher HTML-Anhänge oder zum Klick auf gefälschte Login-Seiten zu verleiten.

Diese regionalen Aktivitäten passen in ein größeres Bild. Der Sicherheitsdienstleister Cofense berichtete am 15. Juli von einem Strategiewechsel bei finanziell motivierten Phishing-Kampagnen. Im ersten Quartal 2026 setzten 79 Prozent der finanzbezogenen Kampagnen nicht mehr auf Panikmache, sondern auf geschäftliche Alltagssprache – etwa angebliche neue Verträge oder Geschäftschancen. Parallel dazu ist seit Januar 2026 die Kampagne SeasonalInvite aktiv, die mit gefälschten elektronischen Grußkarten arbeitet und über hunderte Domains hinweg Fernwartungswerkzeuge installiert.

Anzeige

Moderne Cyberangriffe nutzen oft subtile psychologische Tricks, gegen die technische Filter allein nicht ausreichen. Dieser kostenlose Report enthüllt die sieben häufigsten Schwachstellen, die Hacker gezielt ausnutzen, und zeigt, wie Sie Ihr Team effektiv schützen. Aktuelle Methoden der Cyberkriminellen jetzt entlarven

Ransomware: Weniger Lösegeld, aber hohe Folgekosten

Der Sophos-Bericht zeigt einen überraschenden Trend: Die mittlere Lösegeldforderung ist in den letzten zwei Jahren um 65 Prozent gesunken. Dennoch bleiben die durchschnittlichen Wiederherstellungskosten mit umgerechnet rund 1,6 Millionen Euro hoch. In 56 Prozent der Angriffe wurden Daten verschlüsselt – ein Anstieg gegenüber dem Vorjahr.

Obwohl MFA bei 97 Prozent der identitätsbasierten Vorfälle im Einsatz war, erweist sich die Technologie oft als unzureichend. Moderne Phishing-Kits sind genau auf die Umgehung von MFA spezialisiert, etwa durch Session-Diebstahl oder Device-Code-Manipulation.

Die ESET-Daten deuten auf eine wachsende Widerstandsfähigkeit der Opfer hin: Nur noch zwischen 14 und 28 Prozent der betroffenen Organisationen zahlen Lösegeld – ein historischer Tiefstand. Die Angreifer reagieren jedoch mit spezialisierten Werkzeugen, die gezielt Endpoint-Detection-and-Response-Systeme (EDR) deaktivieren.

Anzeige

Angesichts immer raffinierterer Angriffsmethoden müssen Unternehmen ihre IT-Sicherheit proaktiv stärken und neue gesetzliche Anforderungen im Blick behalten. In diesem kostenlosen E-Book erfahren Sie, wie Sie Sicherheitslücken ohne hohe Investitionen schließen und Ihre Firma langfristig absichern. Gratis-E-Book für proaktiven Cyber-Schutz anfordern

Rechtliche und technische Konsequenzen

Wie schwierig die Abwehr raffinierter E-Mail-Manipulationen ist, zeigt ein Urteil des Landgerichts Karlsruhe vom 20. Mai 2026. Ein Ehepaar hatte nach einer manipulierten E-Mail mit einer gefälschten IBAN über 100.000 Euro an Betrüger überwiesen und klagte auf Schadensersatz. Das Gericht wies die Klage ab: Es bestehe keine allgemeine rechtliche Verpflichtung zur Ende-zu-Ende-Verschlüsselung im normalen Geschäftsverkehr. Auch datenschutzrechtliche Schadensersatzansprüche wurden verneint.

Sicherheitsexperten empfehlen daher einen Strategiewechsel: Weg von reinen Authentifizierungsprüfungen, hin zu verhaltensbasierter Analyse. Organisationen sollten Device-Code-Authentifizierung über Conditional-Access-Richtlinien blockieren und auf phishing-resistente MFA-Standards wie FIDO2 oder WebAuthn umstellen. Bei Lieferanten-E-Mail-Kompromittierungen – wenn Angreifer von einem legitimen, aber gekaperten Partnerkonto aus agieren – raten Forscher dringend dazu, Kontoänderungen ausschließlich über alternative Kommunikationswege zu verifizieren, nicht per E-Mail.