Software‑Schwachstellen sind erstmals der häufigste Einstiegspunkt für Datenlecks

Typische Ziele solcher Angriffe sind:

• öffentlich erreichbare Web‑Anwendungen
• Edge‑Geräte und VPN‑Gateways
• Cloud‑Dienste und APIs
• Software‑Komponenten von Drittanbietern

Statt zuerst Menschen anzugreifen, scannen Angreifer automatisiert das Internet nach ungepatchten Systemen und nutzen bekannte Sicherheitslücken direkt aus.

KI beschleunigt Angriffe erheblich

Ein zentraler Treiber dieser Entwicklung ist künstliche Intelligenz.

Laut Verizon hilft KI Angreifern dabei, Schwachstellen schneller zu identifizieren und Exploits schneller zu entwickeln. Dadurch schrumpfen die Zeitfenster für Verteidiger drastisch – in manchen Fällen von Monaten auf nur noch Stunden.

KI ermöglicht unter anderem:

• automatisierte Schwachstellen‑Scans in großem Maßstab
• schnellere Entwicklung von Malware und Exploits
• umfangreiche Reconnaissance‑ und Probe‑Aktivitäten
• automatisch generierte Phishing‑ und Social‑Engineering‑Nachrichten

Da viele dieser Schritte inzwischen automatisiert sind, können Angreifer tausende Systeme parallel prüfen und innerhalb kurzer Zeit angreifen.

„Shadow AI“ und KI‑gestützte Bot‑Aktivität

Der Bericht weist auch auf neue Risiken hin, die durch die zunehmende Nutzung von KI in Unternehmen entstehen.

Ein Beispiel ist sogenannte „Shadow AI“ – also der Einsatz nicht genehmigter KI‑Tools durch Mitarbeitende. Laut Verizon nutzen 45 % der Beschäftigten KI‑Anwendungen außerhalb der offiziellen Sicherheitsrichtlinien, was das Risiko erhöht, dass sensible Daten auf externe Plattformen gelangen.

Parallel dazu nimmt auch automatisierte Bot‑Aktivität zu. Mithilfe von KI können Angreifer Aufgaben automatisieren wie:

• Credential‑Stuffing‑Angriffe
• großflächige Schwachstellen‑Scans
• automatisierte Social‑Engineering‑Kampagnen
• Betrug und Kontoübernahmen

Diese Automatisierung erlaubt es Angreifern, in einer Geschwindigkeit und Größenordnung zu operieren, die manuell kaum möglich wäre.

Langsame Patching‑Prozesse verschärfen das Problem

Der Trend zu Schwachstellen‑Angriffen ist besonders kritisch, weil viele Unternehmen Updates und Sicherheits‑Patches nur langsam einspielen.

Frühere DBIR‑Analysen zeigten, dass nur etwa 54 % der Schwachstellen in Perimeter‑Geräten vollständig behoben wurden, mit einer durchschnittlichen Behebungszeit von 32 Tagen.

Neuere Auswertungen zum Bericht 2026 deuten darauf hin, dass sich die Situation verschlechtert:

• Unternehmen mussten 50 % mehr kritische Schwachstellen beheben.
• Die mittlere Zeit bis zur Behebung stieg von 32 auf 43 Tage.

Damit entsteht eine deutliche Lücke zwischen Angreifern und Verteidigern: Während Angreifer Schwachstellen innerhalb von Stunden oder wenigen Tagen ausnutzen können, benötigen Organisationen oft Wochen für Updates und Tests.

Lieferketten und Drittanbieter als wachsendes Risiko

Ein weiterer wichtiger Trend ist die zunehmende Rolle von Drittanbietern in Sicherheitsvorfällen.

Bereits im DBIR 2025 hatte sich gezeigt, dass die Beteiligung von Drittparteien an Datenpannen von 15 % auf 30 % gestiegen war.

Im Bericht 2026 wird der Anteil in manchen Analysen sogar auf rund 48 % aller Sicherheitsverletzungen geschätzt.

Angreifer nutzen dabei häufig Schwachstellen bei:

• Software‑Lieferanten
• Cloud‑Dienstleistern
• Managed‑Service‑Providern
• Identitäts‑ und Authentifizierungsplattformen

Die Folge: Unternehmen können kompromittiert werden, auch wenn ihre eigenen Systeme gut abgesichert sind, weil Angreifer den schwächsten Partner in der Lieferkette ins Visier nehmen.

Mobile‑basiertes Social Engineering wird erfolgreicher

Auch Angriffe auf Menschen entwickeln sich weiter. Besonders auffällig ist laut Bericht der Erfolg von Social‑Engineering‑Angriffen über mobile Geräte.

Solche Angriffe erzielen laut Verizon bis zu 40 % höhere Erfolgsraten als klassische E‑Mail‑Phishing‑Kampagnen.

Dafür gibt es mehrere Gründe:

• Mitarbeitende bestätigen häufig MFA‑Anfragen über Smartphones
• SMS und Messaging‑Apps sind für Sicherheitssysteme schwerer zu überwachen
• Nutzer reagieren schneller auf mobile Benachrichtigungen

Angreifer kombinieren diese Kanäle zunehmend mit KI‑generierten Nachrichten, Voice‑Cloning oder QR‑Code‑Betrug, um glaubwürdiger zu wirken.

Konsequenzen für die Sicherheitsstrategie

Die wichtigste Botschaft des DBIR 2026: Cyberrisiken verschieben sich von identitätsbasierten Angriffen hin zu exponierten Systemen.

Organisationen müssen daher nicht nur Zugangsdaten schützen, sondern vor allem ihre Angriffsfläche reduzieren. Dazu gehören insbesondere:

• schnellere Patch‑ und Schwachstellen‑Management‑Prozesse
• klare Governance für den Einsatz von KI‑Tools im Unternehmen
• stärkeres Monitoring von Drittanbietern und Lieferketten
• Schutzmechanismen gegen mobile Social‑Engineering‑Angriffe

Da KI sowohl Verteidigern als auch Angreifern neue Werkzeuge liefert, wird die zentrale Herausforderung für Sicherheitsteams immer deutlicher: die Lücke zwischen der Geschwindigkeit der Angreifer und der Reaktionsfähigkeit der Organisationen zu schließen.