foto freepik ki

Die erste Version des Cloudflare Threat Reports 2026 basiert auf Telemetriedaten aus einem Netzwerk, das rund 20 Prozent des weltweiten Internet-Traffics verarbeitet – eine der größten verfügbaren Datenquellen zur globalen Bedrohungslage [1]. Er beschreibt eine zunehmend industrialisierte Cyberbedrohungslandschaft, in der Effizienz und Skalierbarkeit wichtiger sind als technische Raffinesse. Anstelle komplexer Einzelangriffe setzen Akteure immer mehr auf automatisierte Kampagnen. Maßgeblich ist dabei im Jahr 2026 das Prinzip der »Measure of Effectiveness« (MOE) – also das Verhältnis von Aufwand zu Wirkung. Es zeigt sich, dass generative KI die Eintrittsbarrieren weiter senkt: Sie unterstützt Angreifer bei Phishing, der Entwicklung von Malware und der gezielten Navigation komplexer SaaS-Umgebungen.

Die wichtigsten Erkenntnisse im Überblick:

KI senkt die Eintrittsbarrieren für Cyberkriminalität:
Durch den Einsatz von Large Language Models verlagern Angreifer ihren Fokus von technisch ausgefeiltem Code hin zu »offense by the system«, also zu Angriffen, die bestehende Cloud-, SaaS- und KI-Systeme ihrer Opfer selbst als Werkzeug nutzen. Das Risiko wird zunehmend anhand der Measure of Effectiveness (MOE) bewertet: dem Verhältnis zwischen dem Aufwand der Angreifer und dem erzielten Ergebnis.
Hypervolumetrische DDoS-Angriffe sind die Norm:
Angetrieben durch massive Botnets wie Aisuru haben DDoS-Angriffe eine rekordverdächtige Baseline von 31,4 Tbit/s erreicht. Attacken dieser Größenordnung treten inzwischen mit regelrechter Routine auf. Allein im Jahr 2025 registrierte Cloudflare 19 neue Attacken, die jeweils einen neuen Weltrekord markierten. Viele DDoS-Attacken dauerten weniger als zehn Minuten, was manuelle Gegenmaßnahmen unmöglich macht.
Business E-Mail Compromise (BEC) erweist sich als lukrative Methode:
Cloudflare identifizierte 2025 Mail-basierte Zahlungsforderungen – also Betrugsversuche – in Höhe von insgesamt rund 123 Milllionen US-Dollar. Durchschnittlich forderten die Täter etwa 49.000 Dollar pro Versuch.
Phishing auf Basis von Links bleibt dominanter Einstiegspunkt:
Im E-Mail-Bereich dominieren linkbasierte Phishing-Angriffe weiterhin. Gleichzeitig bestehen hier gravierende Authentifizierungslücken: 43 Prozent der Mails scheiterten an SPF (Sender Policy Framework), 44 Prozent hatten keine gültige DKIM (DomainKeys Identified Mail)-Signatur und 46 Prozent bestanden DMARC (Domain-based Message Authentification Reporting and Conformance) nicht.

Ransomware beginnt mit einem erfolgreichen Log-in –Bots auf dem Vormarsch

Ein zentrales Motiv des Reports ist die Verschiebung vom klassischen Netzwerkangriff hin zum Identitätsmissbrauch. Infostealer wie LummaC2 stehlen aktive Session-Tokens und umgehen damit selbst Multi-Faktor-Authentifizierung – somit lässt sich festhalten, dass Ransomware zu einem »Login-Event« geworden ist. Sprich: Ransomware beginnt häufig nicht mehr mit einem klassischen System-Einbruch, sondern mit dem Missbrauch bereits kompromittierter Zugangsdaten. 94 Prozent aller Login-Versuche stammen laut Report von Bots, und 46 Prozent der menschlichen Logins verwenden bereits kompromittierte Zugangsdaten. Das Thema »Identität« ersetzt damit zunehmend Malware als primären Angriffsvektor. Insgesamt entfallen rund 30 Prozent des gesamten von Cloudflare beobachteten HTTP-Traffics auf automatisierte Bot-Aktivitäten.

Living-off-the-Cloud: Missbrauch legitimer Infrastruktur

Gleichzeitig professionalisiert sich die Nutzung legitimer Cloud-Dienste für kriminelle Zwecke. Staatliche wie kriminelle Akteure missbrauchen SaaS-, IaaS- und PaaS-Plattformen, um Command-and-Control-Kommunikation oder Schadcode in regulärem Unternehmensverkehr zu verstecken (»Living-off-the-Cloud«, oder wie der Bericht es nennt: »Living-off-the-XaaS«). Dabei nutzen Angreifer bewusst die Reputation großer Cloud-Anbieter, um Sicherheitsfilter zu umgehen und ihre Aktivitäten als legitimen Traffic zu tarnen. Im staatlichen Kontext analysiert der Report insbesondere Aktivitäten aus Russland, China, Nordkorea und dem Iran, die jeweils unterschiedliche Taktiken und Ziele verfolgen, darunter langfristige Zugangsstrategien, verdeckte Operationen und ausgeprägte Nutzung von Cloud-Missbrauch sowie hybride Angriffe.

Rekordwerte bei DDoS und Phishing

Auch DDoS-Angriffe erreichen eine neue Dimension: 2025 wurden 47,1 Millionen Attacken beobachtet – mehr als doppelt so viele wie im Vorjahr. Der Rekordwert lag bei 31,4 Tbps im November letzten Jahres. Dabei handelte es sich um eine massive UDP-Flut, die vom Aisuru-Botnetz gestartet wurde. Hypervolumetrische Angriffe dieser Größenordnung treten inzwischen mit regelrechter Routine auf. Allein im Jahr 2025 registrierte Cloudflare 19 neue Attacken, die jeweils einen neuen Weltrekord markierten. Viele DDoS-Attacken dauerten weniger als zehn Minuten, was manuelle Gegenmaßnahmen faktisch unmöglich macht.

Im E-Mail-Bereich dominieren linkbasierte Phishing-Angriffe (25 %), gefolgt von identitätsbasierter Täuschung (19 %) und der Imitation bekannter Marken (16 %). Zu den am häufigsten genutzten Markennamen für Letzteres zählen »Windows«, »Microsoft«, »Stripe«, »Facebook«, »Amazon«, »Instagram« und »Youtube«.

Gleichzeitig bestehen gravierende Authentifizierungslücken: 43 Prozent der E-Mails scheiterten an SPF (Sender Policy Framework), 44 Prozent hatten keine gültige DKIM (DomainKeys Identified Mail)-Signatur und 46 Prozent bestanden DMARC (Domain-based Message Authentification Reporting and Conformance) nicht. Im Bereich Business E-Mail Compromise (BEC) identifizierten Cloudflare-Analysten 2025 Mail-basierte Zahlungsforderungen – also Betrugsversuche – in Höhe von insgesamt 123.455.786 US-Dollar. Die von den Tätern geforderten Summen schwanken stark, lagen jedoch durchschnittlich bei etwa 49.000 Dollar pro Versuch.

Globale Verflechtung der Bedrohungslage

Regional gesehen bleibt die Cybersecurity-Bedrohungslage verflochten. Die USA sind volumenmäßig am stärksten betroffen, Europa stellt 22 Prozent der weltweiten Erpressungsopfer, und in der EU entfallen 38 Prozent der Vorfälle im Transportsektor auf Ransomware. In Sachen politisch-motiviertem Hacktivismus lässt sich festhalten: Hacktivisten sind für fast 80 % der registrierten Vorfälle in der EU verantwortlich und konzentrieren sich auf vor allem auf DDoS-Angriffe, die öffentliche Verwaltungen und Banken ins Visier. In APAC stehen die Sektoren IT, Halbleiter sowie die maritime Infrastruktur besonders im Fokus. Hintergrund ist hier das hohe Risiko von gezieltem Diebstahl geistigen Eigentums, insbesondere im Hightech-Fertigungsbereich und in maritimen Schlüsselindustrien, um technologische und wettbewerbliche Lücken zu schließen.

Fazit

Insgesamt zeichnet der Threat Report von Cloudflare ein Bild von 2026 als ein Jahr automatisierter, oft identitätszentrierter Angriffe, in dem KI, Cloud-Infrastruktur und hochskalierte Botnetze die Bedrohungsdynamik bestimmen. IT-Sicherheitsstrategien müssen sich laut Bericht daher von perimeterzentrierten Modellen hin zu identitäts- und systembasierten Verteidigungsansätzen verschieben.

[1] https://www.cloudflare.com/lp/threat-report-2026/

1012 Artikel zu „Bedrohungslage“

News | Trends 2025 | Trends Security | IT-Security | Künstliche Intelligenz

Wachsende Bedrohungslage durch KI-Cyberkriminalität und neue Ansätze für mehr Resilienz

29. September 2025

65 % der befragten IT-Führungskräfte halten ihre Systeme gegenüber KI-basierter Cyberkriminalität für unzureichend geschützt. Eine Lenovo-Studie zeigt eine wachsende Sicherheitslücke angesichts zunehmender KI-gestützter Cyberkriminalität: 65 % der befragten IT-Führungskräfte geben an, dass ihre Abwehrmechanismen veraltet sind und KI-Angriffen nicht standhalten können. Lediglich 31 % fühlen sich in der Lage, sich wirksam zu verteidigen. Diese…