Thought Leadership
Angreifer brauchen heute im Schnitt nur noch 29 Minuten, um sich nach einem erfolgreichen Erstzugriff lateral durch ein Netzwerk zu bewegen.
Das geht aus dem Global Threat Report 2026 hervor, den der US-Sicherheitsanbieter CrowdStrike veröffentlicht hat. Im Vergleich zum Vorjahr entspricht das einer Beschleunigung um 65 Prozent, und die Zahlen werden nicht besser. Der schnellste beobachtete Angriff dauerte lediglich 27 Sekunden. In einem weiteren Fall begann die Datenexfiltration bereits vier Minuten nach dem Erstzugriff.
Haupttreiber dieser Entwicklung sei der zunehmende Einsatz von Künstlicher Intelligenz auf Seiten der Angreifer. Cyberkriminelle und staatlich gesteuerte Gruppen, die KI einsetzen, haben ihre Angriffsoperationen um 89 Prozent gegenüber dem Vorjahr gesteigert. KI kommt dabei für Aufklärung, Identitätsdiebstahl und die Verschleierung von Aktivitäten zum Einsatz, kurzum für alles, was Angriffe schneller und schwerer erkennbar macht.
KI-Tools selbst im Visier
KI dient nicht nur als Werkzeug der Angreifer, sondern wird selbst zur Angriffsfläche. In mehr als 90 Organisationen haben Angreifer laut dem Report schädliche Prompts in legitime KI-Tools eingeschleust, im Grunde ein Prompt-Injection-Angriff, um darüber Anmeldedaten und Kryptowährungen zu stehlen. Daneben wurden Schwachstellen in KI-Entwicklungsplattformen ausgenutzt, um Ransomware zu verbreiten oder bösartige KI-Server bereitzustellen, die sich als vertrauenswürdige Dienste tarnten.
Staatliche Akteure legen zu
Der Report, für den CrowdStrike nach eigenen Angaben mehr als 280 namentlich benannte Angreifer verfolgt, beleuchtet auch die Aktivitäten staatlich gesteuerter Gruppen. Der Russland-nahen Gruppe FANCY BEAR wird der Einsatz von LLM-fähiger Malware namens LAMEHUG zugeschrieben, mit der die Informationsbeschaffung automatisiert werden soll. Die nordkoreanische Gruppe FAMOUS CHOLLIMA setzt offenbar KI-generierte Personas ein, um Insider-Operationen zu skalieren. Nordkorea-nahe Angriffe stiegen insgesamt um mehr als 130 Prozent.
Cyberaktivitäten mit Bezug zu China nahmen im Jahr 2025 um 38 Prozent zu. Besonders hart traf es die Logistikbranche mit einem Anstieg von 85 Prozent. Für Schlagzeilen sorgt außerdem der bislang größte jemals gemeldete Kryptowährungsdiebstahl: Die nordkoreanische Gruppe PRESSURE CHOLLIMA soll satte 1,46 Milliarden Dollar erbeutet haben.
Weniger Zeit zum Reagieren
Für Verteidiger bedeutet das alles: Das Zeitfenster zum Reagieren schrumpft weiter. „Angreifer schaffen den Ãœbergang vom Erstzugriff zur lateralen Bewegung innerhalb von Minuten”, sagt Adam Meyers, Head of Counter Adversary Operations bei CrowdStrike. Als laterale Bewegung bezeichnet man das Vorankommen von Rechner zu Rechner, quer durch die gesamte Netzwerkinfrastruktur, mit dem Ziel, von einem weniger wichtigen System aus zu immer wertvolleren Zielen vorzudringen.
„KI verkürzt die Zeit zwischen Intention und Durchführung.” Erschwerend kommt hinzu, dass Angriffe zunehmend mit normalem Netzwerkverkehr verschmelzen, weil sie über vertrauenswürdige Identitäten, SaaS-Anwendungen und Cloud-Infrastrukturen laufen.
Cloud-bezogene Angriffe stiegen dem Report zufolge insgesamt um 37 Prozent, bei staatlichen Akteuren sogar um 266 Prozent. Zudem wurden 42 Prozent aller ausgenutzten Schwachstellen bereits vor ihrer öffentlichen Bekanntgabe als Zero-Day-Lücken missbraucht. Kurz gesagt: Die Lage bleibt angespannt.
