Cyberangriffe beginnen IBM zufolge heutzutage mit der Kompromittierungen. Als Gründe nennt der Hersteller fehlende Authentifizierungskontrollen und KI-gestützte Schwachstellenerkennung. Auch Europa trifft es hart, wobei der Schutz von Identitäten der Dreh- und Angelpunkt sei.
Die Kernerkenntnis des IBM X-Force Threat Intelligence Index 2026 ist, dass Schwachstellen das Haupttor für Cyberangriffe darstellen, wobei 44 Prozent der Angriffe über öffentlich zugängliche Anwendungen erfolgen und hauptsächlich durch fehlende Authentifizierungskontrollen begünstigt werden.
IBM warnt, dass Schwachstellen der Haupteinfallstür für Cyberangriffe sind, was auf fehlende Authentifizierungskontrollen und KI-gestützte Schwachstellenerkennung zurückzuführen ist.
Europa verzeichnet 25 Prozent der untersuchten Angriffe und bleibt die dritthäufigste angegriffene Region. Die Finanz- und Versicherungsbranche war 2025 am stärksten betroffen, mit einem Anstieg der Angriffe auf 39 Prozent.
Die Zahl aktiver Ransomware- und Erpressergruppen ist um 49 Prozent gestiegen, und Angreifer nutzen zunehmend Schwachstellen aus, insbesondere in Bezug auf Lieferketten und CI/CD-Integrationen.
Der Bericht empfiehlt Unternehmen, eine proaktive Shift-Left-Sicherheitsstrategie umzusetzen, KI zur Identitätsüberwachung zu verwenden und regelmäßige Sicherheitsprüfungen sowie starke Authentifizierung zu implementieren.
Europa rückt in den Fokus von KI-gesützten Angriffen, warnen die Analysten, die auch in diesem Jahr den „X-Force Threat Intelligence Index“ von IBM veröffentlicht haben. Laut Bericht nutzen Cyberkriminelle Sicherheitslücken mithilfe von Künstlicher Intelligenz heute schneller aus denn je. Sie würden KI-Werkzeuge nutzen, um Schwachstellen schneller zu identifizieren und zu missbrauchen. Im Vergleich zum Vorjahresbericht sei der Anteil an Angriffen, die bei öffentlich zugänglichen Anwendungen ansetzen, um 44 Prozent gestiegen. Hauptursache seien hierfür fehlende Authentifizierungskontrollen sowie die Übermacht von KI-Werkzeugen zum Aufspüren von Schwachstellen gewesen.
In Europa wurden 25 Prozent der von IBM untersuchten Cyberangriffe verzeichnet. Damit bleibt Europa der Studie zufolge die am dritthäufigsten attackierte Region weltweit – nach Amerika auf Platz eins und Asien-Pazifik auf Platz zwei – und verzeichnet einen leichten Anstieg gegenüber 23 Prozent im Vorjahr. Auch in Europa sei das Ausnutzen von öffentlich zugänglichen Anwendungen mit 40 Prozent die häufigste Angriffsursache gewesen. Der Diebstahl von Anmeldedaten sei gleichauf gewesen, gefolgt von Datenlecks mit 27 Prozent und Datendiebstahl mit 13 Prozent.
Mit 39 Prozent sei die Finanz- und Versicherungsbranche im Jahr 2025 der am stärksten betroffene Sektor gewesen. Dies sei eine deutliche Zunahme zu 2024, als diese Branche von 18 Prozent der Angriffe getroffen gewesen sei. Attacken auf Unternehmen, die geschäftliche und private Dienstleistungen anbieten, seien dagegen von 38 auf 18 Prozent zurückgegangen.
Globale Trends: Ransomware und Supply-Chain-Angriffe nehmen zu
Auch auf globaler Ebene hat sich laut IBM das Bedrohungsszenario verschärft. Die Zahl der aktiven Ransomware- und Erpressergruppen sei im Vergleich zum Vorjahr um 49 Prozent gestiegen. Und auch die öffentlich bekanntgegebenen Opferzahlen seien um zwölf Prozent gestiegen. Durch geleakte Tools und den Einsatz von KI würden die Eintrittsbarrieren für neue, kleinere Akteure sinken. Und auch die Zahl der großen Kompromittierungen von Lieferketten und Drittanbietern seien angestiegen: Sie hätte sich seit 2020 fast vervierfacht. Hierfür würden Angreifer zunehmend Vertrauensbeziehungen sowie CI/CD-Automatisierung sowie SaaS-Integrationen ausnutzen. Die Studienautoren gehen davon aus, dass sich der Druck auf Pipelines und Open-Source-Ökosysteme in diesem Jahr noch erhöhen wird, da der Einsatz von KI-gestützten Programmierwerkzeugen, die die Softwareentwicklung zwar beschleunigen, aber auch gelegentlich nicht geprüften Code einführen, zunehmen werde.
Für diese weltweite Entwicklung nennt IBM als Hauptgrund ebenfalls die Ausnutzung von Schwachstellen. Sie hätten einen Anteil von 40 Prozent der beobachteten Vorfälle ausgemacht. Gleichzeitig würden die Grenzen zwichen nationalstaatlichen und finanziell motivierten Akteuren zunehmend verschwimmen. Techniken, die früher nur nationale Akteure genutzt hätten, würden nun auch von finanziell motivierten Tätern übernommen. „Angreifer erfinden keine Playbooks neu, sondern beschleunigen sie mit KI“, kommentiert Mark Hughes, Global Managing Partner für Cybersecurity Services bei IBM. „Das Kernproblem ist dasselbe: Unternehmen sind von Software-Schwachstellen überwältigt. Der Unterschied ist jetzt die Geschwindigkeit. Bei so vielen Schwachstellen, die keine Zugangsdaten erfordern, können Angreifer Menschen umgehen und direkt vom Scannen zum Angriff wechseln. Sicherheitsleiter müssen auf einen proaktiveren Ansatz umstellen, indem sie agentengesteuerte Bedrohungserkennung und -reaktion einsetzen, um Lücken zu identifizieren und Bedrohungen zu erkennen, bevor sie eskalieren.“
Mangelnde „Credential-Hygiene“ und Abhilfemaßnahmen
Doch SaaS-Lösungen sind nicht mehr das einzige große Risiko, wenn es um digitale Identitäten geht. Auch KI-Plattformen sind mit ihrem zunehmenden Einsatz in Unternehmen ein interessantes Ziel für Credential-Harvesting-Angriffe. Eine mittlerweile ernstzunehmende Bedrohung ist Infostealer-Malware. Dem Report zufolge führte diese Art von Schadsoftware 2025 zur Kompromittierung von über 300.000 ChatGPT-Anmeldedaten. Daraus schließen die Analysten, dass KI-Plattformen ein ebenso hohes Risiko für den Diebstahl von Zugangsdaten darstellen wie andere zentrale SaaS-Lösungen.
Kompromittierte Chatbot-Zugangsdaten bergen den Experten zufolge KI-spezifische Risiken, die über den einfachen Kontozugriff hinausgehen. Angreifer könnten Ausgaben manipulieren, sensible Daten exfiltrieren oder bösartige Prompts einschleusen. Dies unterstreichte die Notwendigkeit, die unternehmensweite KI-Akzeptanz zu bewerten und starke Authentifizierung sowie bedingte Zugriffskontrollen durchzusetzen. Ausschlaggebend dabei sei eine gute „Credential-Hygiene“, die allerdings in vielen Unternehmen noch zu wünschen übrig lasse. „Falls es noch gesagt werden muss: Identität muss als kritische Infrastruktur behandelt werden. Sicherheitsverantwortliche, die dies noch nicht getan haben, sollten ihre Identitätssysteme auf das gleiche Maß an Resilienz, Governance und Überwachung wie die zentralen Infrastruktur-Komponenten heben“, lautet der eindeutige Appell des Berichts.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Empfehlungen aus dem IBM-Bericht, um die Credential-Hygiene zu verbessern, lauten:
Shift-Left-Strategie: Unternehmen sollten von einer reaktiven zu einer proaktiven Sicherheitsstrategie wechseln. Dies umfasst die Schaffung eines umfassenden Überblicks über die Geschäfts- und Bedrohungslage sowie das Einbeziehen von Erkenntnissen aus dem Risikomanagement und der Sicherheitslage.
Einsatz von KI: Der Einsatz von KI zur Überwachung und Absicherung von Identitäten sowie zur Identifizierung von Bedrohungen ist entscheidend. Sicherheitsverantwortliche sollten Identitätssysteme als kritische Infrastruktur behandeln und Governance sowie Resilienz sicherstellen.
Integration von Identitätskontrollen: Identitätsmanagement sollte direkt in die Anwendungs- und API-Sicherheit integriert werden, um das Risiko von Angriffen zu minimieren und die Ausnutzung zu verhindern.
Regelmäßige Sicherheitsprüfungen: Unternehmen sollten kontinuierlich nach Sicherheitslücken suchen, insbesondere in Bezug auf unsicheren Code, schwache Zugangsdaten und Fehlkonfigurationen. Regelmäßige Penetrationstests sind notwendig, um Schwachstellen zu identifizieren.
Sicherheit der KI-Plattform: KI-Systeme und -Workflows sollten mit hoher Sorgfalt gesichert werden. Unternehmen benötigen umfassende Governance-Lösungen zur Überwachung und zum Schutz ihrer KI-Assets.
Externe Bedrohungen überwachen: Sicherheitsverantwortliche sollten ihre digitalen Fußabdrücke überwachen und sich mit spezialisierten Partnern vernetzen, um das Risiko von Datenlecks und anderen Bedrohungen zu minimieren.
Datensicherheit priorisieren: Angesichts der Rolle von Daten in der KI sollte der Schutz sensibler Informationen durch geeignete Maßnahmen wie Verschlüsselung und Zugangskontrollen verstärkt werden. Compliance mit Datenschutzvorschriften ist dabei unerlässlich.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/88/ef/88ef25eb1b4cedaa7bda212e51aaedab/0129933628v1.jpeg "Die Kernerkenntnis des IBM X-Force Threat Intelligence Index 2026 ist, dass Schwachstellen das Haupttor für Cyberangriffe darstellen, wobei 44 Prozent der Angriffe über öffentlich zugängliche Anwendungen erfolgen und hauptsächlich durch fehlende Authentifizierungskontrollen begünstigt werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/33/e333763ff26e13e15edaf3f9be1dbea5/0129982986v2.jpeg "Apache Tomcat wird häufig als Open-Source-Servlet-Container für die Ausführung von Java-Webanwendungen eingesetzt. Nun birgt die Lösung die Gefahr, dass Angreifer Sicherheitsfunktionen umgehen und sensible Informationen offenlegen können. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fc/b3/fcb3e33cc8b9edfb6da342799d5f9258/0129776266v2.jpeg "Laut CrowdStrike Global Threat Report 2026 stiegen KI-gestützte Angriffe 2025 um 89 Prozent, die durchschnittliche Breakout-Time sank auf 29 Minuten und der schnellste beobachtete KI-Angriff dauerte nur 27 Sekunden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b7/7a/b77aec060c1f7eec37d3d5d83c190b77/0129986609v2.jpeg "Schatten-KI ist Unternehmensrealität: Mitarbeitende nutzen GenAI-Tools ohne Freigabe, da nur 26 Prozent der Firmen offizielle Zugänge bereitstellen und nur 23 Prozent Regeln aufstellen. (Bild: © ภาคภูมิ ปัจจังคะตา - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/8f/ee8fd3e601efda83748e775362b135bc/0129532315v1.jpeg "Die CBL-Datenretter isolierten die Speicherchips aus den korrodierten Karten und stellten nach eigenen Angaben sämtliche bis zum Geräteausfall aufgezeichneten Messwerte wieder her. (Bild: CBL Datenrettung)")
:quality(80)/p7i.vogel.de/wcms/b3/f6/b3f6bbdf0f6bffac6f5a51a2579644f4/0128963385v1.jpeg "Wir sprechen im Podcast mit Jannik Christ über pragmatische Ansätze für die NIS2-Umsetzung im Mittelstand. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/1b/4e/1b4ef70fd500ffefec12b62af14cd1b0/0129912949v2.jpeg "Bei erfolgreicher Ausnutzung können Angreifer Speicherfehler in Chrome ausnutzen und dadurch potenziell Daten aus dem Speicher auslesen oder im schlimmsten Fall Schadcode auf dem System ausführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b9/91/b991bd81f0235828d2b7b3f2bd25b322/0129914165v2.jpeg "Open Source ermöglicht durch Transparenz kontinuierliche Community-Überprüfung der Software-Lieferkette. Software Bills of Materials machen alle Komponenten nachvollziehbar. Nur wer seine Supply Chain kennt, kann sie auch schützen. (Bild: © KanawatTH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/88/8888246a482831015f84702b596ed0b6/0129897907v2.jpeg "Die Zero Day Initiative listet EUVD-2026-9179 / CVE-2026-23600 als Zero-Day-Schwachstelle. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/8d/728dab2675f137b5fbc4a34a78fc1229/0129736660v2.jpeg "Forschende der ETH Zürich hätten mit eigenen Servern insgesamt 25 Angriffe auf die Passwortmanager von Bitwarden, Lastpass und Dashlane demonstrieren können, bei denen schon normale Browseraktionen ausgereicht hätten, um Tresore zu kompromittieren Passwörter auszulesen. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/4b/b84b690e8d3ad4ca2d0d07c158f005a2/0130042134v2.jpeg "Im Koalitionsvertrag wurde festgelegt, dass Sicherheitsbehörden in der digitalisierten Welt moderne Ermittlungsbefugnisse erhalten sollen, einschließlich der Nutzung von Künstlicher Intelligenz und biometrischen Daten zur Täteridentifikation. (Bild: Archiv)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/af/66/af66cca08a94ffeb27900d243f7c7ad2/0124650544v1.jpeg "Der neue IBM X-Force Threat Intelligence Index 2025 zeigt: Cyberkriminelle setzen verstärkt auf gestohlene Anmeldedaten. Besonders kritische Infrastrukturen geraten ins Visier. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/40/69/4069a9f596e9cdf246bbe3be2ece1c72/0128896554v2.jpeg "Der WEF Global Cybersecurity Outlook 2026 zeigt, dass Unternehmen ihre Sicherheitsstrategien anpassen müssen, indem sie sich auf KI-bezogene Risiken konzentrieren, den Schutz kritischer Infrastrukturen stärken und die Resilienz von Lieferketten verbessern, um mit der Bedrohungslage Schritt zu halten. Auch Quantensicherheit sollte dringend eine Rolle spielen. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/ed/dceda47e1a2110dfb9937eed1226d5b8/0129425365v3.jpeg "Die Lieferkette hat oft schwache Glieder und ist deshalb ein beliebtes Ziel für Cyberangriffe. Das trifft auch auf die Software-Lieferkette zu. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ef/ea/efeae27c783bf2c99586975ada8fc9a2/0125265251v2.jpeg "Die Analysten von Cybernews suchen im Netz nach offengelegten Daten. Seit Jahresbeginn seien sie in der Lage gewesen, 30 ungeschützt Pakete zu identifizieren, die gemeinsam 16 Milliarden Einträge enthalten sollen. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/1e/851edf1734267d6a9573d11141c3d032/0127266496v2.jpeg "Distributed-Denial-of-Service-Angriffe machen europäischen Behörden und Unternehmen zu schaffen. Dabei ist das Ziel der Akteure meist nicht, sich finanziell zu bereichern, sondern Unruhe zu stiften. (Bild: bykst - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/c2/e0/c2e03b39a0398ad9bd3a9674ae813957/0127468957v2.jpeg "3,3 Prozent aller Cyberangriffe richten sich gegen Deutschland. Damit gehört Deutschland laut Microsoft zu den Top 4 Zielen von Cyberkriminellen. (Bild: Dall-E / KI-generiert)")