Thought Leadership
Cyberangriffe treffen Unternehmen längst nicht mehr nur direkt. Stattdessen geraten zunehmend deren digitale Lieferketten ins Visier.
Das geht aus dem „High-Tech Crime Trends Report 2026“ des Cybersicherheitsanbieters Group-IB hervor. Die Analyse besagt, dass sich die Bedrohungslage von isolierten Sicherheitsvorfällen hin zu systemischen Angriffen entwickelt hat, die ganze Ökosysteme erfassen können.
Vom Einzelangriff zur Kettenreaktion
Moderne Cyberkriminalität nutzt gezielt vertrauenswürdige Schnittstellen. Open-Source-Bibliotheken, SaaS-Plattformen, Browser-Erweiterungen oder Managed Service Provider dienen als Einfallstore. Wird ein solcher Knotenpunkt kompromittiert, können Angreifer hunderte oder sogar tausende nachgelagerte Organisationen erreichen.
Group-IB stützt seine Einschätzungen auf weltweite Telemetriedaten sowie reale Ermittlungen. Die Fälle reichen von manipulierten Open-Source-Paketen über missbrauchte OAuth-Tokens bis hin zu Ransomware-Angriffen, die über vorgelagerte Zugangsanbieter initiiert wurden. Ein lokaler Vorfall kann sich so rasch zu einem grenzüberschreitenden Problem ausweiten.
Angriffsketten statt Einzelvorfälle
Nach Einschätzung der Experten sind heutige Attacken oft als mehrstufige Prozesse angelegt. Phishing-Kampagnen, Identitätsdiebstahl, Datenlecks, Schadsoftware und Erpressung greifen ineinander. Jede Phase bereitet die nächste vor und erhöht die Wirkung. Das bedeutet: Sicherheitsverletzungen entstehen nicht isoliert, sondern als Teil vernetzter Angriffsszenarien, die gezielt Vertrauen und Abhängigkeiten ausnutzen.
Open Source als Einfallstor
Im Fokus stehen Paket-Repositorys wie npm oder PyPI. Gestohlene Zugangsdaten von Maintainer-Konten oder automatisierte Schadprogramme ermöglichen es Angreifern, manipulierte Bibliotheken in Entwicklungspipelines einzuschleusen.
Da viele Anwendungen auf denselben Open-Source-Komponenten basieren, können sich kompromittierte Pakete in großem Maßstab verbreiten und als Verteilkanal für Schadcode dienen.
Browser-Erweiterungen und SaaS im Fokus
Auch Browser-Add-ons werden zunehmend missbraucht. Angreifer kapern Entwicklerkonten oder platzieren manipulierte Erweiterungen in offiziellen Marktplätzen. Dadurch können sie Zugangsdaten stehlen, Sitzungen übernehmen oder Finanzinformationen direkt aus dem Browser auslesen.
Parallel dazu gewinnen Phishing-Angriffe an Komplexität. Mithilfe von KI werden gezielt Integrationen und OAuth-Prozesse angegriffen, um Mehrfaktor-Authentifizierung zu umgehen und dauerhaften Zugriff auf Cloud-Umgebungen oder CI/CD-Systeme zu erhalten.
Ransomware als arbeitsteiliges Geschäftsmodell
Ein weiteres Ergebnis des Berichts: Ransomware-Operationen sind zunehmend industrialisiert. Initial Access Broker, Datenhändler und Ransomware-Gruppen agieren arbeitsteilig. Ziel ist es, möglichst früh im digitalen Liefernetzwerk anzusetzen, um maximalen Schaden zu verursachen.
Bekannte Akteursgruppen wie Lazarus, Scattered Spider oder HAFNIUM werden im Bericht ebenso analysiert wie neuere Kampagnen. Kriminelle und staatlich unterstützte Gruppen nutzen dabei ähnliche Methoden und Plattformen.
Vertrauen absichern statt nur Systeme
Group-IB betont, dass Verteidigungsstrategien nicht mehr nur einzelne Systeme schützen dürfen. Entscheidend sei es, Vertrauen über Identitäten, Integrationen und Abhängigkeiten hinweg abzusichern.
Die Untersuchung basiert auf Erkenntnissen aus den Digital Crime Resistance Centers des Unternehmens in elf Ländern sowie auf kontinuierlicher Beobachtung von Untergrundforen und realen Strafverfolgungsfällen. Ziel ist es, Organisationen dabei zu helfen, Angriffsketten frühzeitig zu erkennen und zu unterbrechen.
Nicht mehr nur die eigene Infrastruktur ist entscheidend, sondern auch die Stabilität der digitalen Beziehungen und Abhängigkeiten, auf denen moderne Geschäftsmodelle beruhen.
