Schwachstellen-Exploits sind laut dem neuen Verizon Data Breach Investigations Report (DBIR) 2026 erstmals der häufigste Einstieg in Unternehmensnetze, gestohlene Zugangsdaten verlieren an Boden. Gleichzeitig wachsen Ransomware und Lieferkettenrisiken, während KI bekannte Angriffstechniken industrialisiert. In Europa fallen die Muster anders aus als global.
66 Prozent aller Breaches im EMEA-Raum enthalten eine Malware-Komponente, meldet der aktuelle Verizon Data Breach Investigations Report 2026.
Der neue Verizon DBIR 2026 analysiert mehr als 22.000 bestätigte Datenschutzverletzungen aus 145 Ländern und markiert eine deutliche Verschiebung. Die Ausnutzung von Schwachstellen ist mit 31 Prozent erstmals der häufigste initiale Angriffsweg in Unternehmensnetze, gefolgt von gestohlenen Zugangsdaten mit 13 Prozent. Im Vorjahresreport lag der Anteil der Exploits noch bei 20 Prozent, das entspricht einem Zuwachs von 55 Prozent innerhalb eines Jahres.
Wer den Trend allein als Wechsel der Angreifertaktik liest, übersieht eine zweite Entwicklung. Zugangsdaten bleiben in 39 Prozent aller Breaches irgendwo entlang der Angriffskette präsent, sie sind nur seltener der Einstieg. Multi-Faktor-Authentifizierung und Identity-Sicherheit verlieren damit nicht an Bedeutung, sondern müssen flankierend zum Schwachstellenmanagement gedacht werden.
Die Zahlen zur Schwachstellenbehebung sind ernüchternd. Nur 26 Prozent der kritischen Schwachstellen aus dem CISA-KEV-Katalog (Known Exploited Vulnerabilities) wurden 2025 vollständig gepatcht, im Vorjahr waren es noch 38 Prozent. Die mediane Zeit bis zur Behebung stieg von 32 auf 43 Tage. Gleichzeitig hatten die analysierten Organisationen rund 50 Prozent mehr KEV-Schwachstellen zu beheben als im Vorjahr.
Verizon spricht im DBIR von einem strukturellen Kapazitätsproblem. Selbst die leistungsfähigsten Teams schaffen es in der ersten Woche nach Bekanntwerden nur, 30 bis 40 Prozent der kritischen Schwachstellen zu schließen. Diese Grenze scheint sich trotz mehr Tooling und höherer Priorisierung kaum verschieben zu lassen. Für Security-Teams bedeutet das, die Auswahl muss noch stärker risikobasiert erfolgen, etwa anhand aktueller Exploit-Aktivität statt anhand des reinen KEV-Eintrags.
Ransomware bleibt dominant, doch die Zahlungsbereitschaft sinkt
Ransomware war 2025 in 48 Prozent aller Datenschutzverletzungen Teil der Angriffskette, ein leichter Zuwachs gegenüber 44 Prozent im Vorjahr. Bemerkenswerter ist eine andere Zahl. 69 Prozent der Opfer haben kein Lösegeld gezahlt, im Vorjahr lag die Quote bei 65 Prozent. Auch der mediane Zahlungsbetrag sinkt weiter, von 150.000 auf 139.875 US-Dollar.
Verizon interpretiert das als Marktindiz für einen langsamen Niedergang des Ransomware-Geschäftsmodells. Bessere Backups, höhere Resilienz und mehr Verhandlungserfahrung der Opfer scheinen zu wirken. Eine Analyse der Krypto-Wallet-Daten zeigt zudem, dass im Median nur etwa 9 Prozent der von Ransomware-Gruppen öffentlich gelisteten Opfer tatsächlich gezahlt haben. Ein erheblicher Teil der publizierten Opferlisten dürfte erfunden oder doppelt verwertet sein.
Der wohl beunruhigendste Anstieg im Report betrifft Lieferketten und Cloud-Anbieter. Datenschutzverletzungen mit Beteiligung Dritter haben um 60 Prozent zugelegt und machen inzwischen 48 Prozent aller Vorfälle aus. Im Vorjahresreport lag der Wert noch bei 30 Prozent.
Die Wurzel liegt häufig in Konfigurationsfehlern und schwachen Authentifizierungspraktiken bei Cloud-Diensten der Lieferanten. Nur 23 Prozent der Drittanbieter haben fehlende oder fehlerhaft konfigurierte MFA bei Cloud-Konten vollständig behoben. Bei schwachen Passwörtern und übermäßigen Berechtigungen dauert die Behebung der Hälfte aller Befunde fast acht Monate.
Erstmals liefert der DBIR belastbare Daten zur Nutzung generativer KI durch Angreifer. Eine Auswertung mit Anthropic zeigt, dass 793 identifizierte böswillige Akteure im Median 15 verschiedene MITRE-ATT&CK-Techniken mit KI-Unterstützung bearbeitet haben, einige sogar 40 oder 50. Die zentrale Erkenntnis ist allerdings nüchtern. Weniger als 2,5 Prozent der KI-assistierten Angriffe nutzen wirklich seltene Techniken. KI senkt vor allem die Einstiegshürde für bekannte Methoden, statt grundlegend neue Angriffsklassen zu schaffen.
Auf der Verteidigerseite wächst dafür ein anderes Problem. 45 Prozent der Beschäftigten gelten inzwischen als reguläre KI-Nutzer auf Firmengeräten, im Vorjahr waren es noch 15 Prozent. 67 Prozent dieser Nutzer greifen mit privaten Accounts auf KI-Dienste zu. Shadow AI ist damit zur dritthäufigsten unbeabsichtigten Insider-Aktion im DLP-Datensatz aufgestiegen. Am häufigsten landet Quellcode in den externen Modellen, gefolgt von Bildern und strukturierten Daten. In 3,2 Prozent der Verstöße fließen sogar Forschungs- und technische Dokumentationen in nicht autorisierte KI-Systeme.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Für DACH-Verantwortliche besonders relevant ist die regionale Auswertung für die EMEA-Region. Sie umfasst 8.245 Vorfälle und 6.060 bestätigte Datenschutzverletzungen. Drei Befunde stechen heraus.
Erstens dominiert Malware in EMEA noch stärker als global. 66 Prozent aller Breaches enthalten eine Malware-Komponente, gegenüber 63 Prozent weltweit. Verizon führt das auf den anhaltenden Druck finanziell motivierter Ransomware-Gruppen zurück.
Zweitens ist Phishing in Europa deutlich häufiger der zentrale Social-Engineering-Vektor. In 84 Prozent der Social-Engineering-Breaches kam Phishing zum Einsatz, weltweit liegt der Anteil bei 69 Prozent. Parallel sind staatlich gesteuerte Akteure in EMEA in 23 Prozent aller Vorfälle beteiligt, gegenüber 14 Prozent global. Auch der Anteil spionagemotivierter Angriffe ist mit 27 Prozent doppelt so hoch wie im weltweiten Durchschnitt von 13 Prozent.
Drittens spielen Fehlhandlungen in EMEA eine größere Rolle. Interne Akteure sind in 20 Prozent der Vorfälle beteiligt, Fehlkonfigurationen erscheinen in 17 Prozent der Fehler-Fälle gegenüber 13 Prozent global. Eine ungesicherte Cloud-Datenbank mit personenbezogenen Daten ist in Europa damit überdurchschnittlich häufig die Ursache eines Vorfalls. Für DSGVO-pflichtige Organisationen ist das ein direkter Compliance-Risikofaktor.
Wie teuer ein einzelner Vorfall in Europa werden kann, illustriert der Cyberangriff auf Jaguar Land Rover im Spätsommer 2025. Die Produktion stand fünf Wochen still, der Schaden wird auf 1,9 Milliarden britische Pfund geschätzt, rund 5.000 zuliefernde Unternehmen waren betroffen. Die britische Regierung intervenierte mit Krediten, das nationale Cyber Security Centre startete daraufhin eine Resilienz-Kampagne.
Aus dem Report lassen sich vier praktische Schwerpunkte für 2026 ableiten. Erstens muss das Schwachstellenmanagement risikobasierter werden. Verizon zeigt, dass Schwachstellen mit aktueller Exploit-Aktivität gegenüber älteren Einträgen ohne Beobachtung priorisiert werden sollten. Zweitens bleibt Identity-Sicherheit Pflicht, auch wenn Exploits den ersten Einstieg dominieren. Drittens müssen Drittparteien-Verträge konkrete Kontrollanforderungen und Nachweispflichten enthalten, insbesondere zu MFA, Berechtigungsmodellen und Token-Schutz. Viertens braucht es klare Richtlinien für KI-Nutzung im Unternehmen, sonst entscheiden Mitarbeitende eigenmächtig, welche Daten in welche Modelle fließen.
In Europa kommt eine fünfte Aufgabe hinzu. Wer mit einer höheren Spionage-Quote, mehr Insider-Fehlern und einer dichteren Regulierungslandschaft umgehen muss, sollte Detection- und Response-Fähigkeiten gezielt auf staatlich gesteuerte Akteure und Konfigurationsrisiken in der Cloud ausrichten.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/da/7a/da7ada6ba3a95efec1a809ce27503772/0131424810v2.jpeg "66 Prozent aller Breaches im EMEA-Raum enthalten eine Malware-Komponente, meldet der aktuelle Verizon Data Breach Investigations Report 2026. (Bild: © Prasanth - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/29/122920f2aab70276554dcc4d6349110f/0131262432v2.jpeg "In S/4HANA Enterprise Search können bösartige SQL-Anweisungen injiziert werden. In SAP Commerce Cloud können Angreifer bösartige Konfigurations-Uploads nutzen, um beliebigen serverseitigen Code auszuführen. (©cendhika - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/0b/390bc7954251fa4f0572c7af2f1c0fca/0131319205v1.jpeg "Vom 16. bis 18. September 2026 findet die Munich Cyber Tactics, Techniques & Procedures statt. (Bild: Vogel IT-Akademie )")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/p7i.vogel.de/wcms/72/ae/72ae71478dabbb0e242a3dca5d530c87/0130973186v2.jpeg "Trotz steigender Security-Budgets wachsen die Schäden durch Cyberangriffe. Prävention reicht nicht mehr, Cyberresilienz entscheidet sich an Führung und Geschwindigkeit, nicht an Tools. NIS2 macht das zur Chefsache. (Bild: © Nopadon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f3/07/f307e44721f3a4f15e972ddad98b6a83/0130091785v1.jpeg "Der USB-Stick IronKey Locker+ 50 G2 von Kingston soll sensible Daten durch eine Verschlüsselung auf Enterprise-Niveau schützen. Mit FIPS-197-Zertifizierung und einer AES-256-Bit-Hardwareverschlüsselung im XTS-Modus. (Bild: Kingston)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e5e76de549e277eef763834c7ed24/0131181926v2.jpeg "Mithilfe von Feedback durch Hunderte von Organisationen wurde Claude Security nun als Beta freigegeben. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/62/4a62c503e12a78b6ec9f4d62a9045201/0130952805v2.jpeg "Heutzutage müssen Security Teams statt 100 Code-Zeilen nun bis zu 100.000 Zeilen Code, der von KI generiert wurde, pro Stunde bewerten. Das kann zu Fehlern führen, die Releasezyklen verzögern und das Incident-Risiko anheben. (© Stiefi - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/17/7017e8d76fa5797366a42e075a6411b4/0131054108v1.jpeg "Nach Shai-Hulud folgt „mini Shai-Hulud“. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/78/f2/78f23a26ac3a2c184967379597308eff/0129498591v1.jpeg "Flexibles Identätsmanagement spielt eine immer wichtigere Rolle. Hier helfen zum Teil auch externe Tools. (Bild: Joos - FirstAttribute)")
:quality(80)/p7i.vogel.de/wcms/6b/91/6b91bf745cfb0bb24264ca4332729e82/0131347588v1.jpeg "Die European Digital Identity Wallet ist eine digitale Brieftasche, die von der Europäischen Union eingeführt wird. Sie kann unter anderem digitale Dokumente wie den Personalausweis und Führerschein speichern, digitale Zahlungen freigeben und Verträge elektronisch unterschreiben. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9b/f2/9bf28cbca26d74e1248ccddadd1fe906/0131421992v2.jpeg "Die CertMap bietet einen Überblick aller Zertifizierungen aus den Bereichen Communication and Network Security, IAM, Security Architecture and Engineering, Asset Security, Security and Risk Management, Security Assessment and Testing, Software Security und Security Operations. (Bild: CertMap)")
:quality(80)/p7i.vogel.de/wcms/8b/26/8b265eeaf37e063d4abbb47ae723526a/0126593157v1.jpeg "Die NIS-Kooperationsgruppe (NIS Cooperation Group) ist ein EU-Gremium zur Stärkung der Zusammenarbeit im Bereich Cybersicherheit.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/5c/0e/5c0ef0774eea48c6ef80c428c763140a/0129853344v2.jpeg "Von KI-Frameworks über Enterprise-Systeme bis zu Mobilgeräten und Robotern: Zehn aktuelle Schwachstellen zeigen, dass Sicherheitslücken heute kontinuierliche Aufmerksamkeit erfordern. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c0/ea/c0ea15d2614c54a6da1e18299428cc95/0128851547v2.jpeg "Im Rückblick auf 2025 verzeichnete der KEV-Katalog der CISA einen alarmierenden Anstieg von 20 Prozent ausgenutzten Schwachstellen, was die dringende Notwendigkeit für Unternehmen weltweit verdeutlicht, Sicherheitslücken aktiv zu priorisieren. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/19/2a/192a8d8c0b5cbafd2470af4b3fef7d76/0130667250v2.jpeg "Ransomware-Gruppen greifen gezielt Branchen an, in denen Stillstand sofort Geld kostet. Drei professionalisierte RaaS-Gruppen dominieren die deutsche Bedrohungslandschaft. (Bild: © Shutter2U - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/d0/dcd02b0e224172de8ca49e81daacbcbf/0129856210v2.jpeg "Die Eskalation zwischen Iran, Israel und den USA wirkt laut Unit 42 auch in Europa nach: Während komplexe Angriffe aus Iran kurzfristig erschwert sein könnten, würden Aktivitäten von Hacktivisten zunehmen. Europäische Organisationen müssen daher mit mehr Phishing-, DDoS- und Hack-and-Leak-Angriffen sowie opportunistischen Kampagnen rechnen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/9e/2a9ea313dd34d6fcf3c8be44cddb603c/0126563615v2.jpeg "Wie in Deutschland und weltweit, werden auch Unternehmen in Großbritannien von Cyberkriminellen angegriffen. Nun hat es den britischen Autohersteller Jaguar Land Rover getroffen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/17/9d/179dd778eea92469d222147b93062a79/0130236682v1.jpeg "Ransomware dient staatlich unterstützten Akteuren zunehmend für Spionage und Destabilisierung. Verschlüsselung wird oft nur noch zur Tarnung eingesetzt. (Bild: © concept w - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/e0/c2e03b39a0398ad9bd3a9674ae813957/0127468957v2.jpeg "3,3 Prozent aller Cyberangriffe richten sich gegen Deutschland. Damit gehört Deutschland laut Microsoft zu den Top 4 Zielen von Cyberkriminellen. (Bild: Dall-E / KI-generiert)")