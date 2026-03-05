Die erste Version des Cloudflare Threat Reports 2026 basiert auf Telemetriedaten aus einem Netzwerk, das rund 20 Prozent des weltweiten Internet-Traffics verarbeitet – eine der größten verfügbaren Datenquellen zur globalen Bedrohungslage [1]. Er beschreibt eine zunehmend industrialisierte Cyberbedrohungslandschaft, in der Effizienz und Skalierbarkeit wichtiger sind als technische Raffinesse. Anstelle komplexer Einzelangriffe setzen Akteure immer mehr auf automatisierte Kampagnen. Maßgeblich ist dabei im Jahr 2026 das Prinzip der »Measure of Effectiveness« (MOE) – also das Verhältnis von Aufwand zu Wirkung. Es zeigt sich, dass generative KI die Eintrittsbarrieren weiter senkt: Sie unterstützt Angreifer bei Phishing, der Entwicklung von Malware und der gezielten Navigation komplexer SaaS-Umgebungen.

Die wichtigsten Erkenntnisse im Überblick:

KI senkt die Eintrittsbarrieren für Cyberkriminalität:

Durch den Einsatz von Large Language Models verlagern Angreifer ihren Fokus von technisch ausgefeiltem Code hin zu »offense by the system«, also zu Angriffen, die bestehende Cloud-, SaaS- und KI-Systeme ihrer Opfer selbst als Werkzeug nutzen. Das Risiko wird zunehmend anhand der Measure of Effectiveness (MOE) bewertet: dem Verhältnis zwischen dem Aufwand der Angreifer und dem erzielten Ergebnis.

Angetrieben durch massive Botnets wie Aisuru haben DDoS-Angriffe eine rekordverdächtige Baseline von 31,4 Tbit/s erreicht. Attacken dieser Größenordnung treten inzwischen mit regelrechter Routine auf. Allein im Jahr 2025 registrierte Cloudflare 19 neue Attacken, die jeweils einen neuen Weltrekord markierten. Viele DDoS-Attacken dauerten weniger als zehn Minuten, was manuelle Gegenmaßnahmen unmöglich macht.

Cloudflare identifizierte 2025 Mail-basierte Zahlungsforderungen – also Betrugsversuche – in Höhe von insgesamt rund 123 Milllionen US-Dollar. Durchschnittlich forderten die Täter etwa 49.000 Dollar pro Versuch.

Im E-Mail-Bereich dominieren linkbasierte Phishing-Angriffe weiterhin. Gleichzeitig bestehen hier gravierende Authentifizierungslücken: 43 Prozent der Mails scheiterten an SPF (Sender Policy Framework), 44 Prozent hatten keine gültige DKIM (DomainKeys Identified Mail)-Signatur und 46 Prozent bestanden DMARC (Domain-based Message Authentification Reporting and Conformance) nicht.

Ransomware beginnt mit einem erfolgreichen Log-in –Bots auf dem Vormarsch

Ein zentrales Motiv des Reports ist die Verschiebung vom klassischen Netzwerkangriff hin zum Identitätsmissbrauch. Infostealer wie LummaC2 stehlen aktive Session-Tokens und umgehen damit selbst Multi-Faktor-Authentifizierung – somit lässt sich festhalten, dass Ransomware zu einem »Login-Event« geworden ist. Sprich: Ransomware beginnt häufig nicht mehr mit einem klassischen System-Einbruch, sondern mit dem Missbrauch bereits kompromittierter Zugangsdaten. 94 Prozent aller Login-Versuche stammen laut Report von Bots, und 46 Prozent der menschlichen Logins verwenden bereits kompromittierte Zugangsdaten. Das Thema »Identität« ersetzt damit zunehmend Malware als primären Angriffsvektor. Insgesamt entfallen rund 30 Prozent des gesamten von Cloudflare beobachteten HTTP-Traffics auf automatisierte Bot-Aktivitäten.

Living-off-the-Cloud: Missbrauch legitimer Infrastruktur

Gleichzeitig professionalisiert sich die Nutzung legitimer Cloud-Dienste für kriminelle Zwecke. Staatliche wie kriminelle Akteure missbrauchen SaaS-, IaaS- und PaaS-Plattformen, um Command-and-Control-Kommunikation oder Schadcode in regulärem Unternehmensverkehr zu verstecken (»Living-off-the-Cloud«, oder wie der Bericht es nennt: »Living-off-the-XaaS«). Dabei nutzen Angreifer bewusst die Reputation großer Cloud-Anbieter, um Sicherheitsfilter zu umgehen und ihre Aktivitäten als legitimen Traffic zu tarnen. Im staatlichen Kontext analysiert der Report insbesondere Aktivitäten aus Russland, China, Nordkorea und dem Iran, die jeweils unterschiedliche Taktiken und Ziele verfolgen, darunter langfristige Zugangsstrategien, verdeckte Operationen und ausgeprägte Nutzung von Cloud-Missbrauch sowie hybride Angriffe.

Rekordwerte bei DDoS und Phishing

Auch DDoS-Angriffe erreichen eine neue Dimension: 2025 wurden 47,1 Millionen Attacken beobachtet – mehr als doppelt so viele wie im Vorjahr. Der Rekordwert lag bei 31,4 Tbps im November letzten Jahres. Dabei handelte es sich um eine massive UDP-Flut, die vom Aisuru-Botnetz gestartet wurde. Hypervolumetrische Angriffe dieser Größenordnung treten inzwischen mit regelrechter Routine auf. Allein im Jahr 2025 registrierte Cloudflare 19 neue Attacken, die jeweils einen neuen Weltrekord markierten. Viele DDoS-Attacken dauerten weniger als zehn Minuten, was manuelle Gegenmaßnahmen faktisch unmöglich macht.

Im E-Mail-Bereich dominieren linkbasierte Phishing-Angriffe (25 %), gefolgt von identitätsbasierter Täuschung (19 %) und der Imitation bekannter Marken (16 %). Zu den am häufigsten genutzten Markennamen für Letzteres zählen »Windows«, »Microsoft«, »Stripe«, »Facebook«, »Amazon«, »Instagram« und »Youtube«.

Gleichzeitig bestehen gravierende Authentifizierungslücken: 43 Prozent der E-Mails scheiterten an SPF (Sender Policy Framework), 44 Prozent hatten keine gültige DKIM (DomainKeys Identified Mail)-Signatur und 46 Prozent bestanden DMARC (Domain-based Message Authentification Reporting and Conformance) nicht. Im Bereich Business E-Mail Compromise (BEC) identifizierten Cloudflare-Analysten 2025 Mail-basierte Zahlungsforderungen – also Betrugsversuche – in Höhe von insgesamt 123.455.786 US-Dollar. Die von den Tätern geforderten Summen schwanken stark, lagen jedoch durchschnittlich bei etwa 49.000 Dollar pro Versuch.

Globale Verflechtung der Bedrohungslage

Regional gesehen bleibt die Cybersecurity-Bedrohungslage verflochten. Die USA sind volumenmäßig am stärksten betroffen, Europa stellt 22 Prozent der weltweiten Erpressungsopfer, und in der EU entfallen 38 Prozent der Vorfälle im Transportsektor auf Ransomware. In Sachen politisch-motiviertem Hacktivismus lässt sich festhalten: Hacktivisten sind für fast 80 % der registrierten Vorfälle in der EU verantwortlich und konzentrieren sich auf vor allem auf DDoS-Angriffe, die öffentliche Verwaltungen und Banken ins Visier. In APAC stehen die Sektoren IT, Halbleiter sowie die maritime Infrastruktur besonders im Fokus. Hintergrund ist hier das hohe Risiko von gezieltem Diebstahl geistigen Eigentums, insbesondere im Hightech-Fertigungsbereich und in maritimen Schlüsselindustrien, um technologische und wettbewerbliche Lücken zu schließen.

Fazit

Insgesamt zeichnet der Threat Report von Cloudflare ein Bild von 2026 als ein Jahr automatisierter, oft identitätszentrierter Angriffe, in dem KI, Cloud-Infrastruktur und hochskalierte Botnetze die Bedrohungsdynamik bestimmen. IT-Sicherheitsstrategien müssen sich laut Bericht daher von perimeterzentrierten Modellen hin zu identitäts- und systembasierten Verteidigungsansätzen verschieben.

