Im IT-Bedrohungsszenarium ist ein grundlegender Wandel zu beobachten. Der Trend geht weg von komplexen technischen Exploits und hin zu Angriffen auf menschliche Nutzer, und zwar verstärkt durch KI. Dies belegt der aktuelle Report von Cisco Talos, der Forschungsabteilung der Netzwerkausrüsters Cisco für Cybersicherheit,
Eine KI-gestützte Plattform erlaube es Angreifern, mit wenigen Eingaben innerhalb von Minuten eine überzeugende Webseite zum Diebstahl von Anmeldedaten zu erstellen. Damit beginne nun eine neue Ära, in der die Geschwindigkeit und das Ausmass von Social-Engineering-Angriffen viele herkömmliche Abwehrmassnahmen überfordern. Dies gefährde deutlich die Sicherheit von Unternehmen, so der Report.
In einem Fall nutzten Angreifer gemäss den Experten zum Beispiel "Softr", eine KI-gestützte Plattform zur Entwicklung von Webanwendungen. Damit erstellten sie eine Seite zum Abgreifen von Anmeldedaten, die auf Microsoft Exchange- und Outlook Web Access-Konten von Behördenmitarbeitern abzielte. Sie erzeugten die Phishing-Seite mit einfachen KI-Befehlen. Die erbeuteten Anmeldedaten wurden an temporäre externe Datenspeicher wie Google Sheets weitergeleitet – mit automatischen Benachrichtigungen bei neuen Diebstählen. Dies alles gelang, ohne nur eine Zeile Code zu schreiben, was die Einstiegshürde für weniger erfahrene Angreifer erheblich senkt.
Die Rückkehr von Phishing als führender Erstzugriffsvektor zeigt gemäss dem " Talos Incident Response Report" für das erste Quartal 2026 eine bemerkenswerte Entwicklung. Nachdem 2025 vor allem Sharepoint-Schwachstellen (Toolshell) ausgenutzt wurden, sank dieser Angriffsvektor im ersten Quartal 2026 dank Notfall-Patches und verbesserter Sicherheitsmechanismen von 62 Prozent auf 18 Prozent. Phishing, das seit dem zweiten Quartal 2025 nicht mehr an der Spitze der grössten Gefahren stand, hat diese Position demnach nun wieder übernommen. Auf Platz zwei folgen gestohlene gültige Konten.
Der Rückgang bei der Ausnutzung von Toolshell zeigt demnach, dass schnelle Patches wirkten. Das führe jedoch dazu, dass Angreifer ihre Taktik wechseln: Statt der Ausnutzung ungepatchter Infrastruktur gerate erneut die Täuschung von Menschen in den Fokus. Die Daten des Beobachtungszeitraumes betonen laut Report daher erneut, wie wichtig die gemeinsame Weiterentwicklung von technischen und personenbezogenen Abwehrmassnahmen sei.
In Bezug auf Schwachstellen wurden bei 35 Prozent der Angriffe Lücken bei der Multi-Faktor-Authentifizierung (MFA) ausgenutzt. Angreifer umgehen die MFA, indem sie neue Geräte bei zuvor kompromittierten Konten registrieren und etwa Outlook-Clients so konfigurieren, dass sie sich direkt mit Exchange-Servern verbinden. Das bedeutet: Die einfache Aktivierung der MFA reicht nicht mehr aus. Unternehmen müssen die automatische Registrierung für MFA einschränken und strenge, zentralisierte Authentifizierungsrichtlinien durchsetzen.
Die öffentliche Verwaltung und das Gesundheitswesen waren laut Report mit jeweils 24 Prozent aller Attacken die am häufigsten angegriffenen Branchen. Damit führt die öffentliche Verwaltung im dritten Quartal in Folge die Liste an. Sie bleibt aufgrund begrenzter Budgets, veralteter Ausstattung, sensibler Daten und einer geringen Toleranz gegenüber Ausfallzeiten für Angriffe attraktiv.
Vorfälle im Zusammenhang mit Ransomware machten nur 18 Prozent der beobachteten Angriffe aus – ein deutlicher Rückgang gegenüber 50 Prozent vor einem Jahr. Dank frühzeitiger und schneller Abwehrmassnahmen durch Talos IR sei es bei den Kunden im Berichtsquartal zu keiner Verschlüsselung durch Ransomware gekommen. Talos warnt jedoch, dass grosse Ransomware-as-a-Service-Gruppen wie Qilin und Akira weiterhin aktiv seien. In einem Fall nutzten die Akteure der Rhysida-Ransomware demnach eine ungewöhnliche Backdoor namens "MeowBackConn", zusätzlich zu exponierten Management-Ports und Service-Konten mit übermässigen Berechtigungen. Dies unterstreiche das anhaltende Risiko durch eine anfällige Infrastruktur.
Die aktuellen Trends erfordern gemäss dem Report dringende Massnahmen in mehreren Bereichen: Unternehmen müssten in Phishing-resistente MFA investieren, die automatische Registrierung von Geräten einschränken und Entwickler-Anmeldedaten sowie Cloud-Token mit derselben Sorgfalt behandeln wie privilegierte Zugangskonten, heisst es. Das Zusammenspiel von KI-gestütztem Phishing und Techniken zur Umgehung von MFA bedeute, dass einzelne Kontrollmassnahmen nicht mehr ausreichten. Eine mehrschichtige, proaktive Verteidigungsstrategie sei die einzige Lösung.
