Cyberkriminelle nutzen grundlegende Sicherheitslücken in dramatisch hohem Masse aus, was durch KI-Tools (Künstliche Intelligenz) nun zusätzlich beschleunigt wird. Mit Hilfe von KI können Angreifer Schwachstellen schneller als je zuvor identifizieren. Der IBM 2026 X-Force Threat Index weist einen Anstieg von 44 Prozent bei Angriffen aus, die mit der Ausnutzung öffentlich zugänglicher Anwendungen begannen, was grösstenteils durch fehlende Authentifizierungskontrollen und KI-gestützte Schwachstellenerkennung verursacht worden sei.
Weitere Ergebnisse der IBM-Security-Experten:
-- Die Zahl aktiver Ransomware- und Erpressungsgruppen stieg im Jahresvergleich um 49 Prozent, was auf eine Fragmentierung des Ökosystems hindeute, während die öffentlich bekanntgegebenen Opferzahlen um etwa 12 Prozent stiegen.
-- Seit 2020 haben sich die Kompromittierungen grosser Lieferketten und Drittanbieter fast vervierfacht, da Angreifer zunehmend Umgebungen ausnutzen, in denen Software entwickelt und bereitgestellt wird oder SaaS-Integrationen durchgeführt werden.
-- Die Ausnutzung von Schwachstellen wurde weltweit zur Hauptursache für Angriffe und machte 2025 40 Porzent der von X-Force beobachteten Vorfälle aus.
-- Europa bleibt weltweit die am dritthäufigsten angegriffene Region, hinter Asien-Pazifik auf Platz zwei und Amerika, das nun den ersten Platz einnimmt.
-- In Europa war das Sammeln von Zugangsdaten (40 Prozent) der dominierende Angriffsvektor, gefolgt von Datenlecks (27 Prozent) und Datendiebstahl (13 Prozent); Der Finanz- und Versicherungssektor war mit 39 Prozent der Vorfälle am stärksten betroffen, gefolgt von Professional-, Geschäfts- und Verbraucherdienstleistungen (18 Prozent) sowie Einzelhandel (13 Prozent).
"Angreifer erfinden keine Playbooks neu, sondern beschleunigen sie mit KI", kommentiert Mark Hughes, Global Managing Partner für Cybersecurity Services bei IBM. "Das Kernproblem ist dasselbe: Unternehmen sind von Software-Schwachstellen überwältigt. Der Unterschied ist jetzt die Geschwindigkeit. Bei so vielen Schwachstellen, die keine Zugangsdaten erfordern, können Angreifer Menschen umgehen und direkt vom Scannen zum Angriff wechseln. Sicherheitsleiter müssen auf einen proaktiveren Ansatz umstellen, indem sie agentengesteuerte Bedrohungserkennung und -reaktion einsetzen, um Lücken zu identifizieren und Bedrohungen zu erkennen, bevor sie eskalieren."
Wachsendes Identitätsproblem der KI
Infostealer-Malware führte 2025 laut dem X-Force zur Offenlegung von über 300.000 ChatGPT-Zugangsdaten, was darauf hindeute, dass KI-Plattformen das gleiche Anmeldedatenrisiko wie andere zentrale SaaS-Lösungen für Unternehmen erreicht hätten.
Zudem bergen kompromittierte Chatbot-Zugangsdaten KI-spezifische Risiken, die über den einfachen Kontozugriff hinausgehen, heisst es. Angreifer könnten Ausgaben manipulieren, sensible Daten exfiltrieren oder bösartige Prompts einschleusen. Dies unterstreiche die Notwendigkeit, die unternehmensweite KI-Akzeptanz zu bewerten und starke Authentifizierung sowie bedingte Zugriffskontrollen durchzusetzen.
Im vergangenen Jahr beobachtete X-Force insgesamt einen Anstieg der aktiven Ransomware-Gruppen um 49 Prozent gegenüber dem Jahr davor, wobei es sich um kleinere, kurzlebige Akteure handle, deren Kampagnen aufgrund ihres geringen Umfangs eine Zuordnung erschwerten. Dieser Trend werde durch sinkende Markteintrittsbarrieren beschleunigt, da Bedrohungsakteure geleakte Werkzeuge wiederverwendeten, sich auf etablierte Playbooks verliessen und zunehmend KI zur Automatisierung von Abläufen nutzten. Während multimodale KI-Modelle reifen, erwartet X-Force von Gegnern, dass sie komplexe Aufgaben wie Aufklärung und fortschrittliche Ransomware-Angriffe automatisieren und so schnellere, anpassungsfähigere Bedrohungen antreiben.
X-Force stellte seit 2020 weiters einen nahezu vierfachen Anstieg grosser Lieferketten- oder Drittanbieter-Kompromittierungen fest, hauptsächlich verursacht durch Angreifer, die Vertrauensbeziehungen und CI/CD-Automatisierung in Entwicklungsabläufen und SaaS-Integrationen ausnutzen. Mit KI-gestützten Programmierwerkzeugen, die die Softwareentwicklung beschleunigen und gelegentlich nicht geprüften Code einführen, wird erwartet, dass der Druck auf Pipelines und Open-Source-Ökosysteme im Jahr 2026 zunehmen wird.
Dieser Anstieg wird auch auf die verschwimmende Grenze zwischen nationalstaatlichen und finanziell motivierten Akteuren zurückgeführt. Da sich Taktiken und Techniken in Untergrundforen ausbreiten und KI Aufklärung und Ausbeutung vereinfacht, werden Techniken, die früher nur nationalen Akteuren vorbehalten waren, nun von finanziell motivierten Gruppen übernommen.
Laut dem Bericht von 2026 war Europa Ziel von 25 Prozent aller von IBM untersuchten Cyberangriffe und ist damit die dritthäufigste Region weltweit. Diese Zahl stellt einen leichten Anstieg um zwei Prozentpunkte gegenüber 23 Prozent im Jahr 2024 dar.
Die Nutzung öffentlich zugänglicher Anwendungen war dem X-Force zufolge die Hauptursache für Angriffe in dieser Region und machte 40 Prozent der von X-Force untersuchten Vorfälle aus. Malware (43 Prozent), die Nutzung legitimer Tools (26 Prozent) und unbefugter Serverzugriff (26 Prozent) waren demnach die häufigsten Massnahmen von Angreifern in der Region. Credential Harvesting war die dominierende Wirkung der Angriffe in dieser Region (40 Prozent), gefolgt von Datenlecks (27 Prozent) und Datendiebstahl (13 Prozent)
Im Jahr 2025 wurde die europäische Finanz- und Versicherungsbranche zum am stärksten angegriffenen Sektor und machte 39 Prozent aller Vorfälle aus – ein deutlicher Anstieg gegenüber 18 Prozent im Jahr 2024. Umgekehrt sanken die Angriffe auf den Bereich der Professional-, Geschäfts- und Verbraucherdienstleistungen auf 18 Prozent, ein Rückgang gegenüber 38 Prozent im Vorjahr. Weitere Ergebnisse aus dem Bericht:
-- KI beschleunigt den Lebenszyklus der Angreifer. Angreifer nutzen KI, um die Forschung zu beschleunigen, grosse Datensätze zu analysieren und Angriffspfade in Echtzeit zu iterieren. Zum Beispiel nutzen nordkoreanische IT-Fachkräfte KI, um Abläufe zu skalieren, einschließlich KI-gesteuerter Bildmanipulation für synthetische Identitäten und Übersetzungstools, um über globale Marktplätze hinweg zu interagieren.
-- Sicherheitsgrundlagen fehlen immer noch. X-Force Red-Durchdringungstests zeigen anhaltende Schwächen bei der Zugangshygiene und Softwarekonfiguration, wobei falsch konfigurierte Zugriffskontrollen der häufigste Einstiegspunkt für diese Einsätze seien.
-- Die Fertigung steht im fünften Jahr an erster Spitze der Zielliste. Der Sektor machte 27,7 Prozent der von X-Force beobachteten Vorfälle aus, wobei Datendiebstahl am häufigsten ist.
-- Nordamerika wurde die am stärksten angegriffene Region. Mit 29 Prozent der von X-Force beobachteten Fällen und einem Anstieg von 24 Prozent im Jahr 2024 wurde Nordamerika erstmals seit sechs Jahren zur am stärksten angegriffenen Region.
