E-Mail-Malware stieg 2025 um 131 Prozent, KI-gestütztes Phishing wird von 77 Prozent der CISOs als ernste Bedrohung bewertet. Der Cybersecurity Report 2026 analysiert 72 Milliarden E-Mails und zeigt: Resilienz durch unveränderliche Backups und getestete Wiederherstellung entscheidet dieses Jahr über Handlungsfähigkeit im Angriffsfall.
Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen.
Cybersicherheit bleibt ein zentraler Faktor für wirtschaftliche Stabilität. Die Analyse des Cybersecurity Report 2026 von Hornetsecurity by Proofpoint zeigt, wie sich Angriffe im vergangenen Jahr entwickelt haben und welche Risiken 2026 dominieren werden. Die Grundlage bilden 72 Milliarden über den Zeitraum von 12 Monaten analysierte E-Mails, Telemetriedaten aus globalen Cloud-Umgebungen und die Forschung des Hornetsecurity Security Labs. Das Ergebnis ist ein Lagebild, das deutlicher denn je zeigt: Angreifer werden schneller, KI wird zum Verstärker und Resilienz entscheidet darüber, wie gut Unternehmen Krisen bewältigen.
Angriffslandschaft 2025: Neue Dynamiken, steigende Komplexität
2025 war ein Jahr deutlicher Eskalation. E-Mail-basierte Malware stieg um 131 Prozent, Betrugsversuche um 35 Prozent und Phishing um 21 Prozent. Angreifer nutzten KI und Automatisierung, um Inhalte noch überzeugender zu gestalten und Schutzmechanismen gezielt zu umgehen.
77 Prozent der CISOs bewerten KI-generiertes Phishing inzwischen als ernsthafte Bedrohung. Gleichzeitig investieren 68 Prozent der Unternehmen in KI-gestützte Erkennung. Während die Angriffe also zwar immer komplexer werden, holen die Verteidiger stetig auf.
Auch das Risiko durch KI-gestützte Ransomware wächst: 61 Prozent der Sicherheitsverantwortlichen sehen einen direkten Zusammenhang zwischen KI und neuen Erpressungsvarianten wie synthetischem Identitätsbetrug, Deepfakes oder manipulierten Dokumenten. Diese Methoden umgehen klassische Kontrollen, weil sie Vertrauen statt Technik angreifen.
Der Report zeigt aber auch Fortschritte. Viele Unternehmen stärken ihre Resilienz durch unveränderliche Backups, Wiederherstellungsstrategien und bessere Sensibilisierung der Mitarbeitenden. Doch die Herausforderung bleibt bestehen: Noch immer müssen viele Organisationen veraltete Systeme schützen, während Angreifer längst das Vertrauen ihrer Zielpersonen sowie ihre digitalen Identitäten – also Benutzerkonten, Zugänge und Anmeldeinformationen - ins Zentrum ihrer Angriffe rücken. Aus diesen Analysen lässt sich ableiten, was Unternehmen 2026 erwartet.
KI etabliert sich schneller als Governance-Strukturen mithalten können
Unternehmen führen KI-Tools mit hoher Geschwindigkeit ein – oft schneller, als Sicherheits- oder Datenschutzmechanismen nachgezogen werden. Viele Abteilungen experimentieren eigenständig mit Modellen oder Integrationen, was eine unkontrollierte Schatten-IT entstehen lässt. Moderne KI-Systeme treiben diese Entwicklung weiter voran. Agentische KI kann eigenständig Aktionen ausführen und externe Systeme steuern, ohne dass notwendige Sicherungsmechanismen vorhanden sind. Schwachstellen wie Echoleak in M365 Copilot, bei der Angreifer ohne Benutzerinteraktion Daten aus dem Kontext des KI-Systems auslesen können, haben gezeigt, wie leicht sich KI-basierte Systeme manipulieren lassen.
2026 wird also die Kluft zwischen technologischem Fortschritt und Governance weiterwachsen. Ein Risiko, das Unternehmen unbedingt mit Hilfe einer intelligenten Kombination aus Cybersicherheitstechnologie der nächsten Generation und den Aufbau von Cyber-Resilienz durch kontinuierliche personalisierte Schulungen aktiv adressieren müssen.
Identität bleibt das schwächste Glied
Trotz aller technologischen Fortschritte bleibt Identität das primäre Ziel der Angreifer. 2026 dürfte geprägt sein von Angriffen auf Single-Sign-On-Verfahren, OAuth-basierte Zugriffsdelegationen, Browser-basierte Sitzungs-Token und Plug-ins. Besonders kritisch: die Zahl nicht-menschlicher Identitäten, wie beispielsweise Service-Accounts, API-Schlüssel und automatisierte Prozesse wird rasch ansteigen, während ihr Schutz jedoch häufig hinterherhinkt.
Mit zunehmender Automatisierung wächst die Abhängigkeit von Identitäts- und Berechtigungsstrukturen weiter: KI-gestützte Agenten agieren bereits heute mit eigenen Berechtigungen und vergrößern die Angriffsflächen weiter. Für Unternehmen bedeutet dies: Sie müssen ihre Identitätslandschaften neu ordnen und lückenlos überwachen.
Viele Organisationen haben Modernisierungsprojekte zwar angestoßen, aber längst nicht abgeschlossen. Altlasten wie veraltete VPN-Gateways, On-Premises-Anwendungen oder chaotisch gewachsene Integrationslandschaften bleiben ein Risiko, insbesondere für ganze Lieferketten. Die Angriffe des Jahres 2025 haben gezeigt, wie verheerend bereits eine einzige ungepatchte Komponente sein kann.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
2026 wird deshalb zum Jahr, in dem Unternehmen konsequent entscheiden müssen: Was bleibt? Was wird ersetzt? Und was muss isoliert werden?
Software-Lieferketten geraten zunehmend unter Druck
Der Report zeigt deutlich, dass bösartige Pakete in Open-Source-Ökosystemen weiter zunehmen. In Repositories wie npm, PyPI oder NuGet tauchen jeden Monat zehntausende schadhafte Uploads auf. Damit steigt das Risiko, dass manipulierte Bibliotheken unbemerkt in geschäftskritische Anwendungen gelangen.
Unternehmen, die eigene Software entwickeln oder Integrationen nutzen, stehen in der Verantwortung, ihre Supply-Chain-Sicherheit 2026 deutlich auszubauen und sich nicht länger auf die Sorgfalt von Open-Source-Communities oder Plattformbetreibern zu verlassen.
Die wichtigste Erkenntnis des Hornetsecurity Security Labs lautet: Prävention bleibt zentral, aber Resilienz entscheidet über die tatsächliche Handlungsfähigkeit. Zero Trust, unveränderliche Backups, getestete Wiederherstellungsprozesse und robuste MFA-Verfahren sind längst keine Kür mehr, sondern Grundvoraussetzungen moderner Sicherheitsarchitekturen.
Unternehmen, die Cybersicherheit als Teil der Business Continuity verstehen, werden 2026 deutlich besser aufgestellt sein als jene, die weiterhin auf punktuelle Maßnahmen oder reine Prävention setzen.
Sicherheit ist die Voraussetzung für digitale Kontinuität
Der Cybersecurity Report 2026 zeigt: Die Bedrohungslage ist ernster, dynamischer und technischer ist als je zuvor. KI beschleunigt Innovation, aber auch Angriffe. Identitäten gewinnen weiter an Bedeutung, und Altlasten werden zur Achillesferse vernetzter Systeme. Gleichzeitig wird sichtbar, dass Unternehmen, die auf Modernisierung, Governance und Resilienz setzen, besser durch Angriffe navigieren – nicht, weil sie diese verhindern, sondern weil sie vorbereitet sind.
Sicherheit wird damit endgültig zu einem strategischen Erfolgsfaktor. Organisationen, die 2026 bestehen wollen, brauchen eine Sicherheitsstrategie, die nicht nur Verteidigung denkt, sondern auch Wiederherstellung, Lernfähigkeit und Stabilität. Genau dieser Fokus wird in den kommenden Monaten darüber entscheiden, wie widerstandsfähig Unternehmen den Herausforderungen der digitalen Welt begegnen.
Die Studie für den Cybersecurity Report 2026 wurde vom Hornetsecurity Security Lab durchgeführt. Dabei wurden mehr als 72 Milliarden E-Mails untersucht, die während des Berichtszeitraums (15. Oktober 2024 – 15. Oktober 2025) über die Sicherheitsdienste von Hornetsecurity verarbeitet wurden.
Über den Autor:Umut Alemdar ist Senior Vice President Cybersecurity von Hornetsecurity by Proofpoint. In dieser Funktion hält er die strategische Gesamtverantwortung für die globale Cybersicherheitsforschung, Threat Intelligence sowie die Entwicklung fortschrittlicher Threat-Detection-Lösungen. Seit 2020 leitet er zudem das globale Security Lab von Hornetsecurity.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/99/54/995420e8b9bae324fecbc290a4d5e6d7/0127858044v2.jpeg "Deutschland ist zu leicht angreifbar, da dem BSI zufolge viele Behörden, Unternehmen und Organisationen ihre IT-Systeme und digitalen Angriffsflächen unzureichend absichern und dadurch selbst einfachen, kostengünstigen Angriffsmethoden zu wenig entgegensetzen. (Bild: Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4e/8c/4e8cf00b08b268f7cd0848aadabe0047/0125975927v1.jpeg "Eine SolarWinds-Studie zeigt, dass nicht ein Mangel an Technologie die Hauptursache für fehlende Resilienz ist, sondern vielmehr Schwächen in Workflows und in der Personalstruktur. (Bild: © Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/17/de17fc3ed6f81b4697b9ed46aa18220d/0128108116v1.jpeg "Im Ernstfall müssen Expertenteams Vorfälle erkennen, betroffene Systeme isolieren und Geschäftsprozesse so schnell wie möglich stabilisieren. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/b6/b7b6c4c904b205f331eaae527a6a317f/0122529653v2.jpeg "Zu einer sicheren Software-Lieferkette gehört unter anderem auch der Schutz von Zugriffsdaten, damit der Code nicht manipuliert werden kann. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/78/54780e8ebe0fefba82e3c57c8e27d8c0/0110251928v1.jpeg "Im Podcast steckt diesmal die geballte Expertise zweier Chefredakteure für Security und Storage. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/61/97/6197d85a0f1566d7ff375f0e8664b516/0126541690v2.jpeg "Zwischen Illusion und Realität: Unternehmen unterschätzen oft die wachsende Komplexität von Cyberangriffen. (Bild: © anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/1c/a41cc1f986263cb12249c92174e7c61d/0124202268v1.jpeg "Eine digitale Welt ohne Gefahren: Diese Vorstellung gleicht einem Schlaraffenland. Doch wer im Vorfeld gut plant, den kann auch eine Cyberattacke nicht allzu sehr aus der Bahn werfen. Entscheider sollten nur wissen wie – und aktiv handeln. (Bild: notarobotyet - stock.adobe.com)")