Thought Leadership
Der Verizon DBIR 2026 zeigt einen historischen Wendepunkt: Erstmals ist das Ausnutzen von Software-Schwachstellen das primäre Einfallstor für Cyberangriffe.
Der Telekommunikationskonzern Verizon hat die 19. Ausgabe seines jährlichen Sicherheitsberichts, des Data Breach Investigations Report (DBIR 2026), veröffentlicht. Die großflächige empirische Untersuchung basiert auf der Auswertung von weltweit mehr als 31.000 realen Sicherheitsvorfällen, die im Untersuchungszeitraum zwischen dem 1. November 2024 und dem 31. Oktober 2025 registriert wurden. Davon klassifizierten die Analysten 22.000 Fälle als bestätigte Datenpannen (Confirmed Breaches), bei denen es zu einem nachweisbaren Abfluss sensibler Informationen an unbefugte Dritte kam – dies entspricht nahezu einer Verdopplung im Vergleich zum Vorjahreswert von 12.195 verifizierten Vorfällen. Der Bericht dokumentiert eine grundlegende Verschiebung der Angriffsvektoren im globalen Cyberspace.
Historischer Wendepunkt in der IT-Sicherheitsstatistik
Zum ersten Mal in der 19-jährigen Geschichte des DBIR-Berichts hat das gezielte Ausnutzen von technischen Software-Schwachstellen den Missbrauch gestohlener Zugangsdaten als Haupteinfallstor für IT-Systeme abgelöst. Rund 31 Prozent aller verifizierten Datenpannen ließen sich direkt auf das Ausnutzen ungepatchter Sicherheitslücken in öffentlich erreichbaren IT-Infrastrukturen zurückführen. Der Missbrauch von Benutzeranmeldedaten (Credential Abuse), welcher im Vorjahr noch die unangefochtene Statistik anführte, ging als primärer Erstzugangsvektor auf einen Anteil von 13 Prozent zurück, bleibt jedoch im weiteren Verlauf von komplexen Angriffsketten ein zentrales Element.
KI trägt zu Angriffs-Beschleunigung bei
Die Ursache für diese technologische Verschiebung liegt laut den Verizon-Forschern in der fortschreitenden Automatisierung auf der Angreiferseite. Cyberkriminelle und staatlich gelenkte Akteure setzen vermehrt generative KI-Systeme ein, um neu offengelegte Softwarefehler im großen Stil zu analysieren und vollautomatisiert funktionsfähigen Schadcode (Exploits) zu generieren. Durch diese KI-gestützte Militarisierung von Schwachstellen hat sich das Zeitfenster, das IT-Verteidigern nach dem Bekanntwerden einer Sicherheitslücke für Gegenmaßnahmen bleibt, drastisch verkürzt – von vormals mehreren Monaten auf wenige Stunden. Das massenhafte Scannen des Internets nach verwundbaren Systemen erfolgt heute vollständig autonom, was zu einer massiven Kapazitätskrise in den Sicherheitsabteilungen von Unternehmen führt.
Wachsender Patch-Stau in den Unternehmen
Während die Angreifer ihre Geschwindigkeit durch KI signifikant steigern konnten, verlangsamt sich die Behebung von Sicherheitslücken (Remediation) in den betroffenen Organisationen sprunghaft. Die mittlere Zeitspanne bis zur vollständigen Installation von Sicherheitsupdates (Median Time-to-Patch) stieg im Jahr 2025 auf 43 Tage an – ein deutlicher Zuwachs gegenüber den 32 Tagen des Vorjahres.
Besonders deutlich wird das Defizit beim Blick auf den KEV-Katalog (Known Exploited Vulnerabilities) der US-Cybersicherheitsbehörde CISA, welcher jene Schwachstellen auflistet, die nachweislich bereits in freier Wildbahn aktiv angegriffen werden. Unternehmen reparierten im vergangenen Jahr lediglich 26 Prozent dieser akut gefährlichen Programmierfehler, was einen signifikanten Rückgang im Vergleich zur ohnehin niedrigen Quote von 38 Prozent im Jahr 2024 darstellt. Erschwert wird die Situation dadurch, dass das mittlere Volumen an kritischen Fehlern, die eine einzelne Organisation proaktiv schließen muss, im Vergleich zum Vorjahr um 50 Prozent gestiegen ist.
Experten fordern Fokus auf die Softwareentwicklung
Die mangelnde Geschwindigkeit bei der Behebung von Softwarefehlern alarmiert Branchenexperten weltweit.
„Die Ergebnisse des Verizon DBIR 2026 sind bemerkenswert, weil sie etwas bestätigen, das wir seit Jahren sagen: Das Ausnutzen von Schwachstellen ist mittlerweile der führende Einfallstorvektor, und Unternehmen beheben Fehler einfach immer noch nicht schnell genug.“
Chris Wysopal, Mitbegründer und Chief Security Evangelist des Anwendungssicherheits-Spezialisten Veracode
Wysopal betonte, dass reaktive Schutzmaßnahmen nach der Bereitstellung von Software im aktuellen Bedrohungsumfeld zu kurz greifen. Unternehmen müssten Sicherheitsprüfungen zwingend direkt in den Entwicklungsprozess verlagern (Secure-by-Design), um logische Programmierfehler gar nicht erst in den Produktionscode einfließen zu lassen.
Steigende Risiken in der Lieferkette
Ransomware-Angriffe bilden weiterhin eines der dominierenden Bedrohungsmuster im globalen Wirtschaftssystem. Bei 48 Prozent aller bestätigten Datenpannen war Erpressungssoftware im Spiel, was einen leichten Anstieg gegenüber den 44 Prozent des Vorjahres bedeutet. Demgegenüber steht jedoch eine veränderte Dynamik bei den finanziellen Transaktionen: Die Bereitschaft der Opfer, Lösegelder zu zahlen, sank sprunghaft. Lediglich 31 Prozent der betroffenen Unternehmen gaben den finanziellen Forderungen der Cyberkriminellen nach. In der Folge sank auch die mittlere gezahlte Schadenssumme (Median Ransom Payment) auf einen Wert von unter 140.000 US-Dollar (Vorjahr: 150.000 US-Dollar).
Gleichzeitig verzeichnet der Bericht eine Zunahme von Sicherheitsvorfällen mit Beteiligung von Drittanbietern oder externen Dienstleistern (Third-Party Compromise). Aufgrund der intensiven Nutzung von Cloud-Diensten und externer Software-as-a-Service-Lösungen stieg die Zahl der Datenpannen über die digitale Lieferkette um 60 Prozent und macht nun 48 Prozent des gesamten Vorfallvolumens aus. Die Absicherung dieser Schnittstellen bleibt unzureichend: Nur 23 Prozent der Partnerorganisationen behoben fehlende oder fehlerhafte Multi-Faktor-Authentifizierungen (MFA) auf ihren Cloud-Konten vollständig. Bei der Behebung schwacher Passwörter oder fehlerhafter Rechtekonfigurationen in Drittanbietersystemen dehnten sich die Bearbeitungszeiten in der Hälfte der Fälle auf fast acht Monate aus.
Zunahme von Schatten-KI
Trotz der Dominanz technischer Schwachstellen bleibt das menschliche Verhalten ein kritischer Risikofaktor, der bei 62 Prozent aller Datenpannen eine Rolle spielte. Social Engineering und klassische Phishing-Kampagnen zeichneten für 16 Prozent der Vorfälle verantwortlich. Auffällig ist hierbei eine Verschiebung der Kanäle: Mobile Angriffe über SMS (Smishing) oder Messenger-Dienste verzeichneten eine um 40 Prozent höhere Erfolgsquote beim Erstkontakt als klassische Phishing-Versuche via E-Mail.
Ein neues, organisatorisches Risiko resultiert aus dem Phänomen der sogenannten Schatten-KI (Shadow AI) in Unternehmen. 67 Prozent der Mitarbeiter greifen mittlerweile von geschäftlichen Endgeräten aus über private Benutzerkonten auf kommerzielle, nicht vom Arbeitgeber freigegebene generative KI-Dienste zu. Der Anteil der Angestellten, die solche Plattformen regelmäßig im Arbeitsalltag nutzen, verdreifachte sich innerhalb eines Jahres von 15 Prozent auf 45 Prozent. Für Unternehmen erhöht diese unkontrollierte Nutzung das Risiko eines unbewussten Abflusses von Betriebsgeheimnissen und sensiblen Kundendaten erheblich, da eingegebene Informationen in den Trainingsdaten der öffentlichen KI-Modelle verbleiben können.
