Threat Index: KI-gesteuerte Angriffe nehmen zu, da grundlegende Sicherheitslücken Unternehmen exponieren; Europa war weltweit die drittmeist angegriffene Region.
IBM hat den 2026 X-Force Threat Index veröffentlicht, aus dem hervorgeht, dass Cyberkriminelle grundlegende Sicherheitslücken in dramatisch höherem Maße ausnutzen, was nun durch KI-Tools beschleunigt wird, mit denen Angreifer Schwachstellen schneller als je zuvor identifizieren können.
Zusammenfassung (TL; DR):
- IBM X-Force beobachtete einen Anstieg von 44 Prozent bei Angriffen, die mit der Ausnutzung öffentlich zugänglicher Anwendungen begannen, was größtenteils durch fehlende Authentifizierungskontrollen und KI-gestützte Schwachstellenerkennung verursacht wurde.
- Die Zahl aktiver Ransomware- und Erpressungsgruppen stieg im Jahresvergleich um 49 Prozent, was auf eine Fragmentierung des Ökosystems hindeutete, während die öffentlich bekanntgegebenen Opferzahlen um etwa 12 Prozent stiegen
- In Europa war das Sammeln von Zugangsdaten (40 Prozent) der dominierende Angriffsvektor, gefolgt von Datenlecks (27 Prozent) und Datendiebstahl (13 Prozent).
IBM X-Force beobachtete einen Anstieg von 44 Prozent bei Angriffen, die mit der Ausnutzung öffentlich zugänglicher Anwendungen begannen, was größtenteils durch fehlende Authentifizierungskontrollen und KI-gestützte Schwachstellenerkennung verursacht wurde.
Highlights des Threat Index
- Die Zahl aktiver Ransomware- und Erpressungsgruppen stieg im Jahresvergleich um 49 Prozent, was auf eine Fragmentierung des Ökosystems hindeutete, während die öffentlich bekanntgegebenen Opferzahlen um etwa 12 Prozent stiegen.
- Seit 2020 haben sich die Kompromittierungen großer Lieferketten und Drittanbieter fast vervierfacht, da Angreifer zunehmend Umgebungen ausnutzen, in denen Software entwickelt und bereitgestellt wird oder SaaS-Integrationen durchgeführt werden.
- Die Ausnutzung von Schwachstellen wurde weltweit zur Hauptursache für Angriffe und machte 2025 40 Prozent der von X-Force beobachteten Vorfälle aus.
- Europa bleibt weltweit die am dritthäufigsten angegriffene Region, hinter Asien-Pazifik auf Platz zwei und Amerika, das nun den ersten Platz einnimmt.
- In Europa war das Sammeln von Zugangsdaten (40 Prozent) der dominierende Angriffsvektor, gefolgt von Datenlecks (27 Prozent) und Datendiebstahl (13 Prozent); Der Finanz- und Versicherungssektor war mit 39 Prozent der Vorfälle am stärksten betroffen, gefolgt von Professional-, Geschäfts- und Verbraucherdienstleistungen (18 Prozent) sowie Einzelhandel (13 Prozent).
“Angreifer erfinden keine Playbooks neu, sondern beschleunigen sie mit KI”, sagte Mark Hughes, Global Managing Partner für Cybersecurity Services bei IBM zum Threat Index. “Das Kernproblem ist dasselbe: Unternehmen sind von Software-Schwachstellen überwältigt. Der Unterschied ist jetzt die Geschwindigkeit. Bei so vielen Schwachstellen, die keine Zugangsdaten erfordern, können Angreifer Menschen umgehen und direkt vom Scannen zum Angriff wechseln. Sicherheitsleiter müssen auf einen proaktiveren Ansatz umstellen, indem sie agentengesteuerte Bedrohungserkennung und -reaktion einsetzen, um Lücken zu identifizieren und Bedrohungen zu erkennen, bevor sie eskalieren.”
Das wachsende Identitätsproblem der KI
Infostealer-Malware führte 2025 zur Offenlegung von über 300.000 ChatGPT-Zugangsdaten, was darauf hindeutet, dass KI-Plattformen das gleiche Anmeldedatenrisiko wie andere zentrale SaaS-Lösungen für Unternehmen erreicht haben.
Kompromittierte Chatbot-Zugangsdaten bergen laut Threat Index KI-spezifische Risiken, die über den einfachen Kontozugriff hinausgehen. Angreifer können Ausgaben manipulieren, sensible Daten exfiltrieren oder bösartige Prompts einschleusen. Dies unterstreicht die Notwendigkeit, die unternehmensweite KI-Akzeptanz zu bewerten und starke Authentifizierung sowie bedingte Zugriffskontrollen durchzusetzen.
KI und geleakte Werkzeuge senken Hürden für das Ransomware-Ökosystem
Im Jahr 2025 beobachtete der Threat Index einen Anstieg der aktiven Ransomware-Gruppen um 49 Prozent gegenüber dem Vorjahr, wobei es sich um kleinere, kurzlebige Akteure handelte, deren Kampagnen aufgrund ihres geringen Umfangs eine Zuordnung erschweren. Dieser Trend wird durch sinkende Markteintrittsbarrieren beschleunigt, da Bedrohungsakteure geleakte Werkzeuge wiederverwenden, sich auf etablierte Playbooks verlassen und zunehmend KI zur Automatisierung von Abläufen nutzen. Während multimodale KI-Modelle reifen, erwartet X-Force von Gegnern, dass sie komplexe Aufgaben wie Aufklärung und fortschrittliche Ransomware-Angriffe automatisieren und so schnellere, anpassungsfähigere Bedrohungen antreiben.
Der Druck auf die Lieferketten wird voraussichtlich zunehmen
X-Force stellte seit 2020 einen nahezu vierfachen Anstieg großer Lieferketten- oder Drittanbieter-Kompromittierungen fest, hauptsächlich verursacht durch Angreifer, die Vertrauensbeziehungen und CI/CD-Automatisierung in Entwicklungsabläufen und SaaS-Integrationen ausnutzen. Mit KI-gestützten Programmierwerkzeugen, die die Softwareentwicklung beschleunigen und gelegentlich nicht geprüften Code einführen, wird erwartet, dass der Druck auf Pipelines und Open-Source-Ökosysteme im Jahr 2026 zunehmen wird.
Dieser Anstieg wird auch auf die verschwimmende Grenze zwischen nationalstaatlichen und finanziell motivierten Akteuren zurückgeführt. Da sich Taktiken und Techniken in Untergrundforen ausbreiten und KI Aufklärung und Ausbeutung vereinfacht, werden Techniken, die früher nur nationalen Akteuren vorbehalten waren, nun von finanziell motivierten Gruppen übernommen.
Europa bleibt weltweit die drittmeist angegriffene Region
Laut dem Bericht von 2026 war Europa Ziel von 25 Prozent aller von IBM untersuchten Cyberangriffe und ist damit die dritthäufigste Region weltweit. Diese Zahl stellt einen leichten Anstieg um zwei Prozentpunkte gegenüber 23 Prozent im Jahr 2024 dar.
Die Nutzung öffentlich zugänglicher Anwendungen war die Hauptursache für Angriffe in dieser Region und machte 40 Prozent der von X-Force untersuchten Vorfälle aus. Malware (43 Prozent), die Nutzung legitimer Tools (26 Prozent) und unbefugter Serverzugriff (26 Prozent) waren die häufigsten Maßnahmen von Angreifern in der Region. Credential Harvesting war die dominierende Wirkung der Angriffe in dieser Region (40 Prozent), gefolgt von Datenlecks (27 Prozent) und Datendiebstahl (13 Prozent)
Im Jahr 2025 wurde die europäische Finanz- und Versicherungsbranche zum am stärksten angegriffenen Sektor und machte 39 Prozent aller Vorfälle aus – ein deutlicher Anstieg gegenüber 18 Prozent im Jahr 2024. Umgekehrt sanken die Angriffe auf den Bereich der Professional-, Geschäfts- und Verbraucherdienstleistungen auf 18 Prozent, ein Rückgang gegenüber 38 Prozent im Vorjahr. Weitere Ergebnisse aus dem Bericht 2026 umfassen:
- KI beschleunigt den Lebenszyklus der Angreifer. Angreifer nutzen KI, um die Forschung zu beschleunigen, große Datensätze zu analysieren und Angriffspfade in Echtzeit zu iterieren. Zum Beispiel nutzen nordkoreanische IT-Fachkräfte KI, um Abläufe zu skalieren, einschließlich KI-gesteuerter Bildmanipulation für synthetische Identitäten und Übersetzungstools, um über globale Marktplätze hinweg zu interagieren.
- Sicherheitsgrundlagen fehlen immer noch. X-Force Red-Durchdringungstests zeigen anhaltende Schwächen bei der Zugangshygiene und Softwarekonfiguration, wobei falsch konfigurierte Zugriffskontrollen der häufigste Einstiegspunkt für diese Einsätze sind.
- Die Fertigung steht im fünften Jahr an erster Spitze der Zielliste. Der Sektor machte 27,7 Prozent der von X-Force beobachteten Vorfälle aus, wobei Datendiebstahl am häufigsten ist.
- Nordamerika wurde die am stärksten angegriffene Region. Mit 29 Prozent der von X-Force beobachteten Fällen und einem Anstieg von 24 Prozent im Jahr 2024 wurde Nordamerika erstmals seit sechs Jahren zur am stärksten angegriffenen Region.
