Thought Leadership
Der Cloudflare Threat Report zeichnet das Bild einer hochgradig industrialisierten Bedrohungslandschaft, in der Effizienz und Skalierung wichtiger sind als technische Finesse.
Angreifer setzen zunehmend auf automatisierte Verfahren, unterstützt durch generative KI, um mit möglichst geringem Aufwand maximale Wirkung zu erzielen.
Ein zentrales Ergebnis betrifft die Rolle digitaler Identitäten. Klassische Netzwerkangriffe treten in den Hintergrund, stattdessen rückt der Missbrauch von Zugangsdaten in den Fokus. Schadprogramme wie LummaC2 stehlen aktive Sitzungstokens und können damit sogar Mehrfaktor-Authentifizierung umgehen. Ransomware beginnt heute häufig nicht mehr mit dem Eindringen in ein System, sondern mit einem erfolgreichen Login auf Basis kompromittierter Daten.
Laut Cloudflare stammen 94 Prozent aller beobachteten Login Versuche von Bots. Fast die Hälfte der menschlichen Anmeldungen erfolgt mit bereits kompromittierten Zugangsdaten. Automatisierte Bot Aktivitäten machen insgesamt rund 30 Prozent des gesamten erfassten HTTP Datenverkehrs aus. Die Identität des Nutzers wird damit zum zentralen Angriffsziel.
Missbrauch der Cloud als Tarnkappe
Parallel professionalisieren Angreifer den Einsatz legitimer Cloud Infrastrukturen. Unter dem Prinzip Living off the Cloud werden SaaS, IaaS und PaaS Plattformen genutzt, um Schadcode oder Steuerungskommunikation unauffällig in regulären Datenverkehr einzubetten. Die Reputation großer Cloud Anbieter dient dabei als Schutzschild gegen Sicherheitsfilter.
Der Report analysiert zudem staatlich unterstützte Aktivitäten unter anderem aus Russland, China, Nordkorea und dem Iran. Die Strategien reichen von langfristig angelegten Zugangsoperationen bis hin zu hybriden Angriffsmethoden, bei denen Cloud Dienste gezielt missbraucht werden.
DDoS Attacken erreichen neue Dimensionen
Auch im Bereich der Überlastungsangriffe wurden neue Höchstwerte verzeichnet. Im Jahr 2025 registrierte Cloudflare 47,1 Millionen DDoS Attacken und damit mehr als doppelt so viele wie im Vorjahr. Der bislang stärkste Angriff erreichte 31,4 Terabit pro Sekunde. Viele dieser Attacken dauern weniger als zehn Minuten, was manuelle Gegenmaßnahmen praktisch unmöglich macht.
Hypervolumetrische Angriffe dieser Größenordnung treten inzwischen regelmäßig auf. Allein 19 Mal wurde im vergangenen Jahr ein neuer Rekordwert gemessen.
Phishing und E Mail Betrug bleiben lukrativ
Im E Mail Bereich dominieren linkbasierte Phishing Angriffe mit einem Anteil von 25 Prozent. Identitätsbasierte Täuschungen folgen mit 19 Prozent, während 16 Prozent der Fälle bekannte Marken imitieren. Besonders häufig missbraucht werden Namen wie Windows, Microsoft, Stripe, Facebook, Amazon, Instagram und YouTube.
Zugleich zeigen sich erhebliche Defizite bei der E Mail Authentifizierung. Ein großer Teil der Nachrichten scheitert an SPF, DKIM oder DMARC Prüfungen. Beim sogenannten Business E Mail Compromise identifizierten die Analysten im Jahr 2025 betrügerische Zahlungsforderungen in Höhe von insgesamt mehr als 123 Millionen US Dollar. Die durchschnittlich geforderte Summe lag bei rund 49.000 Dollar pro Fall.
Regionale Schwerpunkte der Angriffe
Die Bedrohungslage bleibt global verflochten. Die USA verzeichnen das höchste Gesamtvolumen an Angriffen. Europa stellt 22 Prozent der weltweiten Erpressungsopfer. Innerhalb der EU betrifft ein erheblicher Anteil der Ransomware Vorfälle den Transportsektor. Politisch motivierter Hacktivismus spielt ebenfalls eine große Rolle und konzentriert sich vor allem auf DDoS Angriffe gegen öffentliche Verwaltungen und Banken.
Im asiatisch pazifischen Raum stehen insbesondere IT Unternehmen, Halbleiterhersteller und maritime Infrastrukturen im Fokus. Hier geht es häufig um den gezielten Diebstahl geistigen Eigentums in technologieintensiven Branchen.
Der Threat Report von Cloudflare beschreibt das Jahr 2026 als Phase automatisierter, identitätszentrierter Angriffe, bei denen KI, Cloud Infrastrukturen und skalierbare Botnetze die Dynamik bestimmen. Klassische, perimeterorientierte Sicherheitsmodelle stoßen dabei an ihre Grenzen. Unternehmen sind gefordert, ihre Verteidigungsstrategien stärker an Identitäten, Systemintegrität und kontinuierlicher Überwachung auszurichten.
