Thought Leadership
Die Mechanik von Cyberangriffen verändert sich spürbar. Technische Schwachstellen spielen weiterhin eine Rolle, doch sie sind immer seltener der eigentliche Einstiegspunkt. Stattdessen rücken digitale Identitäten und vertrauensbasierte Kommunikation in den Mittelpunkt der Angriffe.
Eye Security untersuchte zwischen dem 1. Januar und dem 31. Dezember 2025 insgesamt 343 Sicherheitsvorfälle in Deutschland und den Benelux-Staaten. In 53 Prozent aller Fälle begann der Angriff mit einem Phishing-Link. Besonders deutlich zeigt sich der Trend bei kompromittierten Geschäfts-E-Mails, die in 279 der 343 untersuchten Vorfälle betroffen waren. In 63 Prozent dieser Fälle war Phishing per Link der Auslöser.
Identitätsbetrug als strategisches Einfallstor für Cyberkrimininelle
Angriffe basieren heutzutage nicht mehr auf hochkomplexen Attacken. Es reicht aus, eine digitale Identität zu kompromittieren. „Wer Zugriff auf ein E-Mail-Konto erhält, übernimmt Vertrauen“, sagt Ashkan Vila, SOC Manager bei Eye Security. „Gerade in Deutschland treffen Angreifer häufig auf klassisch gewachsene IT-Umgebungen, weil viele Unternehmen beim Cloud-Einsatz noch zögern. Der Irrglaube: Der Server im eigenen Keller bietet mehr Kontrolle und Kontrolle bedeutet für viele Sicherheit“, so Vila.
Im Gegensatz zu herkömmlichen Ransomware-Angriffen bleiben Identitätsdiebstähle oft lange unentdeckt. Die Kriminellen analysieren den Nachrichtenaustausch, fingieren Zahlungsprozesse oder treten als Führungskräfte respektive Geschäftspartner auf. Angriffe verlaufen leise und kontrolliert. Sichtbar werden die Folgen meist erst, sobald wirtschaftliche Schäden oder Reputationsverluste auftreten.
Dank gezielter Erkennung können Angriffe wahrgenommen und bekämpft werden
Besonders auffällig in der Studie ist der Unterschied zwischen überwachten und nicht überwachten Umgebungen. Bei Kunden die Managed Detection & Response (MDR) in Anspruch nehmen, registrierte Eye Security im Schnitt knapp fünf BEC-Vorfälle pro Woche. Wohingegen Unternehmen ohne MDR-Unterstützung nur zwei Fällen pro Monat registrierten. Dabei zeigte sich kein Unterschied im Angriffsvolumen, sondern in der Sichtbarkeit der Angriffe.
Kontinuierliches Monitoring führt dazu, dass Identitätsmissbrauch frühzeitig erkannt wird. So können verdächtige Anmeldungen, manipulierte Postfächer oder problematische Weiterlungen in nahezu Echtzeit identifiziert werden.
Insgesamt reagierte Eye Security 2025 auf 279 Fälle komprimitierter E-Mails. Während die Schäden bei MDR-Kunden in der Regel begrenzt blieben, hatten Incident-Response-Kunden häufig mit erheblichen finanziellen Folgen zu kämpfen.
In Deutschland setzen viele Unternehmen auf On-Premises-Infrastruktur
Angreifer sind sich der Sicherheitslücke durch On-Prem bewusst. So geraten jenseits von Cloud Identitäten zunehmend lokale Benutzer- und Dienstkonten ins Visier. Über kompromittierte Zugangsdaten oder ausgenutzte Schwachstellen in internetexponierten Systemen wie VPN Gateways oder Firewalls verschaffen sich Täter Zugang zu internen Netzwerken. Gelingt dies, können sie Rechte ausweiten, sensible Daten exfiltrieren oder weitere Angriffe vorbereiten. Zunehmend fungieren technische Schwachstellen im Angriffsfall als Beschleuniger.
Sichtbarkeit wird zur entscheidenden Verteidigungslinie
In dieser Gemengelage bleiben Multi-Faktor-Authentifizierung, regelmäßige Updates und Netzwerksegmentierung unverzichtbare Grundlagen. Allerdings sind auch gesicherte Unternehmen angreifbar. Daher ist im nächsten Schritt eine schnelle Reaktion ebenso wichtig. Andernfalls bleiben Angreifer wochenlang unbehelligt im System.
Cyberangriffe sind leiser geworden und werden deshalb mitunter seltener erkannt. Gerade in Bezug auf die NIS2-Erkennungs- und Reaktionspflichten sowie Meldepflichten stellt das ein Problem dar. Die NIS2-Richtlinie verpflichtet Organisationen sowohl zur Erkennung und Reaktion auf Sicherheitsvorfälle als auch zur fristgerechten Meldung signifikanter Vorfälle. Als Muster lässt sich aus den Daten der Identitätsdiebstahl ableiten, ob in der Cloud oder im eigenen Rechenzentrum.
(Eye Security)
