Thought Leadership
Im März 2026 erreichte die Malware-Rate mit 6,4 Prozent einen neuen Jahreshöchststand. Experten warnen vor Supply Chain Angriffen.
Die Sicherheitslage im digitalen Raum hat sich im ersten Quartal des Jahres 2026 deutlich verschärft. Laut dem aktuellen Bericht von Acronis erreichte der Anteil der Nutzer, die von Schadsoftware betroffen waren im März einen Wert von 6,4 Prozent. Dies stellt den höchsten Stand seit Mai 2025 dar als die Quote bei 6,7 Prozent lag. Im Vergleich zum Vormonat Februar 2026 bedeutet dies einen sprunghaften Anstieg um 2,2 Prozentpunkte. Experten der Acronis Threat Research Unit beobachten damit eine Abkehr von der relativen Stabilität die im zweiten Halbjahr 2025 vorherrschte. Neben der reinen Verbreitung von Programmen nahm auch die Anzahl der blockierten schädlichen Adressen im Internet um knapp 6 Prozent zu.
Angriff auf die Software-Lieferkette via Axios
Ein besonderes Ereignis prägte die Bedrohungslandschaft am Ende des Monats. Am 31. März 2026 wurde die Open Source Bibliothek Axios Ziel eines Angriffs auf die Lieferkette. Axios gehört mit über 100 Millionen Downloads pro Woche zu den am häufigsten genutzten Werkzeugen für Entwickler im Bereich JavaScript. Unbekannte Akteure übernahmen das Konto eines Paketverwalters auf der Plattform npm und veröffentlichten die bösartigen Versionen 1.14.1 sowie 0.30.4. Diese manipulierten Versionen enthielten eine versteckte Abhängigkeit zu einem Paket namens plain crypto js, welches einen Trojaner für den Fernzugriff auf infizierte Systeme installierte.
Betroffen waren Betriebssysteme wie Windows und Linux sowie macOS. Die Schadsoftware ermöglichte es den Angreifern, Befehle aus der Ferne auszuführen und Zugangsdaten zu stehlen. Sicherheitsforscher von Google bringen diese Aktivitäten mit der Gruppierung UNC1069 in Verbindung, die Nordkorea zugerechnet wird. Die bösartigen Pakete konnten erst nach etwa drei Stunden aus dem offiziellen Verzeichnis entfernt werden, was aufgrund der hohen Downloadzahlen von Axios dennoch eine große Reichweite zur Folge hatte. Dieser Vorfall verdeutlicht die anhaltende Gefahr durch Kompromittierungen von weit verbreiteten Entwickler-Werkzeugen.
Dominante Akteure im Bereich Malware und Ransomware
Die Bedrohung im März wurde maßgeblich von etablierten Akteuren bestimmt. Zu den drei aktivsten Familien von Schadsoftware zählten Mirai und Vidar sowie Agent Tesla. Mirai ist eine seit Jahren bekannte Software die vor allem Geräte im Bereich Internet der Dinge für Botnetze rekrutiert. Vidar fungiert als Dieb von Informationen während Agent Tesla als Trojaner auf den Diebstahl von Anmeldedaten spezialisiert ist. Diese Programme nutzen häufig Sicherheitslücken in nicht aktualisierter Software aus oder verbreiten sich über Phishing-Kampagnen.
Auch im Bereich der Erpressersoftware blieb die Aktivität auf einem hohen Niveau. Die Gruppe Qilin verzeichnete mit 139 Opfern die höchste Rate an erfolgreichen Angriffen im März. Es folgten die Gruppierung Akira mit 76 gemeldeten Opfern sowie DragonForce mit 58 Fällen. Insgesamt wurden im März 2026 mehr als 800 Datenschutzverletzungen öffentlich bekannt, was die Intensität der Angriffe auf Unternehmen und Organisationen unterstreicht. Die Kriminellen setzen dabei verstärkt auf doppelte Erpressung, bei der Daten nicht nur verschlüsselt sondern vorab auch gestohlen werden, um den Druck zur Zahlung zu erhöhen.
Geografische Verteilung der Bedrohungen weltweit
Die regionale Verteilung der Angriffe zeigte im März 2026 deutliche Verschiebungen. Vietnam verzeichnete mit einer Erkennungsrate von 33,5 Prozent den weltweit höchsten Anteil an betroffenen Nutzern. Dahinter folgten Georgien mit 24,1 Prozent und Kasachstan mit 20,3 Prozent. Dies stellt eine Veränderung zum Februar dar, als Palästina noch die Liste anführte. In Deutschland blieb die Lage bei den schädlichen Internetadressen mit einer Rate von 8,8 Prozent weitgehend stabil im Vergleich zu 8,7 Prozent im Vormonat.
Innerhalb Europas und Amerikas entwickelten sich die Queren uneinheitlich. Während Brasilien einen Anstieg auf 10,8 Prozent und Singapur auf 9,6 Prozent verzeichneten, gingen die Raten in den USA und Kolumbien leicht auf 8,8 Prozent zurück. Diese Schwankungen deuten laut Analysten darauf hin, dass Cyberkriminelle ihre Kampagnen geografisch ständig neu ausrichten oder lokale Sicherheitslücken gezielt ausnutzen. Die stabile Rate in Deutschland zeigt jedoch, dass das Bedrohungsniveau auf einem konstant hohen Niveau verharrt ohne dass eine Entspannung in Sicht ist.
Strategien zur Abwehr komplexer Cyberbedrohungen
Angesichts der steigenden Quoten empfehlen Experten eine Überprüfung der vorhandenen Sicherheitskonzepte. Da sich Angreifer nicht auf eine einzige Taktik verlassen, ist ein mehrschichtiger Schutz notwendig. Ein zentraler Baustein ist das Management von Korrekturen für Software, um bekannte Lücken schnell zu schließen. Zudem sollten Unternehmen auf verhaltensbasierte Erkennungsmethoden setzen, die auch bisher unbekannte Muster identifizieren können. Künstliche Intelligenz und maschinelles Lernen spielen hierbei eine zunehmend wichtige Rolle, um die Geschwindigkeit der Angriffe zu kontern.
Für den Schutz der Endnutzer bleiben grundlegende Maßnahmen essenziell. Dazu gehören die Verwendung einzigartiger Kennwörter in Verbindung mit einem Passwort Manager sowie die Nutzung verschlüsselter Speicher für vertrauliche Dokumente. Speziell gegen Angriffe wie den Axios-Vorfall hilft die Prüfung von Signaturen bei Installationsdateien. Unternehmen wird zudem geraten, Fernzugriffssoftware auf das notwendige Minimum zu begrenzen und automatisierte Verfahren zur Wiederherstellung von Daten einzuführen. Durch die Kombination aus technischer Überwachung und organisatorischer Vorsicht lassen sich die Auswirkungen von Rekordwerten bei der Malware-Verbreitung effektiv minimieren.
