Thought Leadership
Cyberangriffe beginnen immer häufiger nicht mit komplexen Exploits, sondern mit gestohlenen Zugangsdaten.
Das ist eine der Erkenntnisse des Active Adversary Report 2026 von Sophos. Für die Untersuchung analysierten die Incident-Response- und MDR-Teams des Unternehmens 661 reale Sicherheitsvorfälle aus 70 Ländern und 34 Branchen.
Identitätsdiebstahl als dominierender Angriffsweg
In zwei Dritteln der untersuchten Fälle spielten identitätsbezogene Methoden eine entscheidende Rolle. Angreifer nutzten kompromittierte Anmeldedaten, schwache Passwörter oder fehlende Multifaktor-Authentifizierung, um in Unternehmensnetzwerke einzudringen.
Auffällig ist dabei die Verschiebung bei den Einstiegsmethoden: Brute-Force-Angriffe lagen mit 15,6 Prozent nahezu gleichauf mit der Ausnutzung technischer Schwachstellen, die 16 Prozent der initialen Zugriffe ausmachten. Klassische Exploits verlieren damit relativ an Bedeutung, während gestohlene oder erratene Zugangsdaten zunehmend im Mittelpunkt stehen.
Schneller im Netzwerk, schneller am Ziel
Die durchschnittliche Verweildauer von Angreifern sank auf drei Tage. Das deutet auf eine höhere Effizienz der Täter hin, aber auch auf verbesserte Reaktionsfähigkeit vieler Verteidiger – insbesondere in Umgebungen mit Managed Detection and Response. Nach dem ersten Eindringen benötigen Angreifer im Schnitt nur 3,4 Stunden, um zentrale Verzeichnisdienste wie Active Directory zu erreichen. Wer diese Systeme kontrolliert, kann sich im Netzwerk nahezu frei bewegen.
Ransomware-Attacken erfolgen überwiegend dann, wenn die Aufmerksamkeit gering ist. 88 Prozent der Verschlüsselungsangriffe fanden außerhalb der regulären Geschäftszeiten statt. Auch der Abfluss sensibler Daten geschah zu 79 Prozent in diesen Zeitfenstern.
Für Unternehmen bedeutet das: Sicherheitsüberwachung muss rund um die Uhr erfolgen, nicht nur während klassischer Bürozeiten.
Blinde Flecken durch fehlende Protokolle
Ein weiteres Problem ist unzureichende Telemetrie. Laut Sophos hat sich die Zahl fehlender Log-Daten im Vergleich zum Vorjahr verdoppelt. Besonders häufig waren Firewalls betroffen, deren Standardprotokollierung teilweise nur wenige Tage oder sogar nur 24 Stunden umfasste.
Ohne vollständige und langfristig gespeicherte Protokolle wird die Analyse von Vorfällen erheblich erschwert. Das ist ein Vorteil für Angreifer, die ihre Spuren verwischen wollen.
Ransomware-Landschaft wird unübersichtlicher
Die Zahl aktiver Bedrohungsgruppen erreichte laut Report einen Höchststand. Insgesamt wurden 51 unterschiedliche Ransomware-Gruppen identifiziert, darunter zahlreiche neue Akteure. Besonders aktiv waren die Gruppen Akira und Qilin.
Während bekannte Namen wie LockBit weiterhin auftreten, hat sich die Szene fragmentiert. Strafverfolgungsmaßnahmen haben einzelne Gruppen geschwächt, gleichzeitig entstehen jedoch ständig neue Zusammenschlüsse. Für Verteidiger wird es dadurch schwieriger, Muster eindeutig zuzuordnen.
Künstliche Intelligenz: Mehr Tempo, aber keine Revolution
Trotz intensiver Diskussionen um KI-gestützte Angriffe sieht Sophos bislang keine grundlegende Veränderung der Angriffstechniken. Generative KI beschleunigt vor allem Phishing-Kampagnen und Social-Engineering-Methoden, schafft aber noch keine völlig neuen Angriffskategorien.
Die Basis erfolgreicher Angriffe bleibt häufig erschreckend simpel: schwache Identitätssicherung und fehlende Schutzmechanismen.
Konsequenzen für Unternehmen
Aus den Ergebnissen leitet Sophos mehrere zentrale Handlungsfelder ab. Dazu gehören eine konsequent eingesetzte, phishing-resistente Multifaktor-Authentifizierung, die Absicherung von Identitätsinfrastrukturen, zeitnahes Patchen bekannter Schwachstellen, insbesondere an extern erreichbaren Systemen, sowie eine durchgehende Überwachung der IT-Umgebung.
Ebenso entscheidend ist die zuverlässige Speicherung von Sicherheitsprotokollen, um Angriffe frühzeitig erkennen und nachvollziehen zu können.
Technisch ausgefeilte Zero-Day-Exploits sind nicht immer notwendig. Häufig genügt der Zugriff auf ein kompromittiertes Benutzerkonto, um gravierende Schäden zu verursachen. Identitätsschutz wird damit zur zentralen Verteidigungslinie moderner IT-Sicherheitsstrategien.
