Illustration Absmeier foto freepik

Angreifer weiten mit Hilfe von KI ihre Aktivitäten aus, Angriffe sind jedoch weiterhin vor allem durch menschliche, prozessuale und technische Schwächen erfolgreich, wobei Vishing stark zunimmt und die Technologiebranche 2025 am häufigsten betroffen war. Gleichzeitig verkürzen arbeitsteilige Angreifermodelle und gezielte Angriffe auf Backups und Identitäten die Reaktionszeit drastisch, während die Verweildauer der Angreifer steigt und Unternehmen – insbesondere in EMEA – Vorfälle häufiger selbst intern erkennen.

Mandiant hat seinen jährlichen M-Trends Bericht veröffentlicht: Er fasst die Erkenntnisse aus über 500.000 Stunden, die Mandiant und die Google Threat Intelligence Group (GTIG) im Jahr 2025 auf die Untersuchung von Sicherheitsvorfällen verwendet haben, zusammen und bietet einen umfassenden Überblick über die aktuelle Bedrohungslage [1]. Der Report zeigt auf: Dank KI konnten Angreifer ihre Operationen ausweiten. Dennoch lässt sich der Großteil der Angriffe weiterhin auf Sicherheitslücken bei Menschen, Prozessen und Systemkontrollen zurückführen.

Aufstieg des sprachbasierten Social Engineering

Voice-Phishing (Vishing) hat sich mit 11 Prozent rasant zum zweithäufigsten Vektor für Erstinfektionen entwickelt. Sicherheitslücken sind mit 32 Prozent bereits das sechste Jahr in Folge der häufigste Angriffsvektor. Sicherheitsteams sollten sich auf diesen Trend einstellen. Zum Vergleich: E-Mail-Phishing nutzt nicht-interaktive technischen Köder und setzt auf Masse sowie eine breit gestreute Zustellung ohne besonderen Anlass. Bei interaktiven Methoden wie dem Vishing dagegen lenkt eine reale Person das Gespräch in Echtzeit. Daher sind diese Angriffe deutlich widerstandsfähiger gegenüber automatisierten technischen Kontrollen und erfordern andere Erkennungsstrategien. Speziell in EMEA blieb jedoch E-Mail-Phishing im Vergleich zum globalen Trend, wo dessen Gesamtanteil weiter sinkt, weiterhin präsenter.

Technologiebranche im Fokus der Angreifer

Im Jahr 2025 geriet laut den Untersuchungen von Mandiant die Tech-Branche am häufigsten ins Visier von Bedrohungsakteuren. Sie überholt damit den Finanzdienstleistungssektor, der in den Jahren 2023 und 2024 an erster Stelle stand.

Schnelle Übergabe zwischen Angreifern

Es zeichnet sich ein wachsender Trend ab, bei dem ein Angreifer sich zunächst Zugang verschafft, diesen dann aber schnell an einen anderen weitergibt, der Angriffe mit größerer Wirkung wie Ransomware durchführt. Cyberkriminelle agieren zunehmend wie hocheffiziente Unternehmen und gehen Partnerschaften ein. Damit können sie das Zeitfenster, innerhalb dessen Verteidiger eingreifen können, von mehreren Stunden auf Sekunden verkürzen. Die Zugangsübergabe zwischen Angreifern erfolgt so schnell – manchmal in weniger als 30 Sekunden –, dass Warnmeldungen, die traditionell als »weniger wichtig« eingestuft werden, sehr schnell zu schwerwiegenden Sicherheitsverletzungen führen können.

Der Bericht zeigt auch, dass sich Ransomware-Gruppen zunehmend darauf konzentrieren, die Wiederherstellung von Daten absichtlich zu verhindern, anstatt nur Daten zu stehlen. Sie greifen systematisch Backup-Infrastrukturen, Identitätsdienste und die Verwaltungsebene der Virtualisierung an. Indem sie die Möglichkeit der Datenwiederherstellung zunichtemachen, üben die Angreifer enormen Druck auf die Unternehmen aus, das geforderte Lösegeld zu zahlen.

Die Verweildauer steigt

Im Jahr 2025 stieg die globale mittlere Verweildauer von Angreifern im System im Durchschnitt auf 14 Tage an. Dieser Wert ist vor allem auf Cyberspionage zurückzuführen sowie auf Vorfälle mit nordkoreanischen IT-Mitarbeitenden: Diese lassen sich mit gefälschten oder gestohlenen Identitäten in westlichen Unternehmen anstellen, um zusätzliches Kapital für das nordkoreanische Regime zu generieren. Bei diesen Fällen betrug die mittlere Verweildauer jeweils 122 Tage. Die mittlere Verweildauer in der EMEA-Region liegt über dem globalen Durchschnitt von 14 Tagen mit hier 20 Tagen im Jahr 2025 – wobei dies immer noch einen Rückgang um sieben Tage gegenüber 2024 bedeutet.

Unternehmen erkennen mehr Angriffe intern

Im Jahr 2025 wurden 60 Prozent der Vorfälle in der EMEA-Region zuerst intern durch eigene Mitarbeitende, eigene Sicherheitslösungen oder verdächtige Aktivitäten identifiziert. 40 Prozent der Vorfälle wurden durch externe Benachrichtigung erkannt, etwa von Strafverfolgungsbehörden, CERTs oder Cybersicherheitsunternehmen oder auch durch Angreifer in Form einer Lösegeldforderung. Dies stellt eine Umkehrung der Trends von 2024 dar. Im weltweiten Vergleich (52 Prozent der Vorfälle intern erkannt, 48 Prozent extern) liegen Unternehmen der EMEA-Region damit vorn, was die interne Erkennung von Vorfällen angeht.

[1] Den vollständigen Bericht finden Sie hier. https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2026?hl=en

978 Artikel zu „Sicherheit 2026“

News | Trends 2026 | Trends Security | Effizienz | IT-Security | Künstliche Intelligenz

Cybersicherheit 2026: KI und Regulierungen verändern das Spiel

21. Dezember 2025

Zum Ende des Jahres 2025 analysieren Experten die wachsende Bedeutung von künstlicher Intelligenz (KI) für die Cybersicherheit und im Kontext der Cyberbedrohungen. Während Unternehmen in einer zunehmend komplexen Landschaft zahlreicher und ausgeklügelter Cyberbedrohungen agieren, erweist sich KI als ein mächtiges Instrument für die Verteidigung. Gleichzeitig ist sie aber auch zu einer Waffe für Cyberkriminelle geworden,…