CrowdStrike 2026: Wie China, Nordkorea und KI die Tech-Branche ins Visier nehmen

Fundamentale KI-Bausteine – Modelle, Trainingsdaten und Forschungspipelines – sind das Hauptziel dieser staatlich gestützten Spionage . Konkrete chinesische Angreifergruppen wie MURKY PANDA, MUSTANG PANDA, OVERCAST PANDA, SUNRISE PANDA und WARP PANDA haben den Tech-Sektor häufiger attackiert als jede andere Branche . Der Report charakterisiert diese Aktivität als langfristige Informationsbeschaffung, die durch Lieferketten-Manipulationen unterstützt wird und auf strategische Ziele abzielt, nicht auf sofortigen finanziellen Gewinn .

Nordkorea weitet „Vertrauenszugang“-Operationen aus

Nordkoreanische Akteure haben ein eigenes, markantes Operationsprofil entwickelt. Statt sich nur auf herkömmliche Eindringmethoden zu verlassen, haben Gruppen mit DPRK-Verbindungen ihre Reichweite erheblich ausgedehnt: durch die Unterwanderung mit IT-Arbeitern – das Platzieren von Operativen als externe Mitarbeiter bei westlichen Tech-Firmen – und durch die Kompromittierung von Software-Lieferketten, um sich vertrauenswürdigen Zugang zu verschaffen .

Der für die Tech-Branche spezifische Report unterstreicht diese Vertrauenszugang-Methoden, aber ein paralleler Bericht von CrowdStrike – der „2026 Financial Services Threat Landscape Report“ – zeigt das volle Ausmaß der nordkoreanischen Kampagne. Demnach haben DPRK-nahe Angreifer im Jahr 2025 digitale Vermögenswerte in Milliardenhöhe gestohlen und die Cyberkriminalität mit KI-gestützter Täuschung industrialisiert . Die Gruppe FAMOUS CHOLLIMA hat ihr Arbeitstempo verdoppelt, und PRESSURE CHOLLIMA führte den größten je gemeldeten Finanzraub durch – 1,46 Milliarden US-Dollar in Kryptowährung – mittels einer mit Schadcode versehenen Software, die über eine Lieferketten-Kompromittierung verteilt wurde .

eCrime beschleunigt sich: Zeit bis zur Querbewegung sinkt auf 29 Minuten

Finanziell motivierte Cyberkriminelle haben ihre Operationen gegen Technologieorganisationen massiv hochgefahren. Initial-Access-Broker, Ransomware-Betreiber und Erpressergruppen priorisieren diese Branche . Der begleitende „2026 Global Threat Report“ hält fest: Die durchschnittliche Zeit zwischen erstem Zugriff und lateraler Bewegung im Netzwerk – die sogenannte Breakout Time – fiel 2025 auf nur 29 Minuten, eine Tempoverschärfung um 65 % im Vergleich zu 2024 . Der schnellste beobachtete Einbruch verging vom initialen Zugang bis zum Datendiebstahl in weniger als zwei Minuten, ein Vorfall sogar in nur 27 Sekunden .

Interaktive, von Menschen gesteuerte Angriffe – oft auch „Hands-on-Keyboard“-Attacken genannt – nahmen in den letzten zwei Jahren um 43 % zu. Dies gibt Angreifern die operative Flexibilität, je nach Wert des Ziels zwischen Diebstahl, Erpressung oder Informationsbeschaffung zu wechseln . Diese Entwicklung zu menschlich gesteuerten Kampagnen bedeutet, dass Angreifer im normalen administrativen Verhalten aufgehen können, was ihre Erkennung drastisch erschwert .

Lieferkette und das Problem des ausgenutzten Vertrauens

Anstatt auf herkömmliche Malware zu setzen, nutzen Angreifer zunehmend vertrauenswürdige Beziehungen, gültige Zugangsdaten, SaaS-Integrationen und Software-Lieferketten aus . Der Report dokumentiert, dass 82 % aller Erkennungen im Jahr 2025 malwarefrei waren. Die Angreifer agieren nach dem Prinzip des „Living off the Land“, indem sie legitime Werkzeuge und KI-gestütztes Social Engineering nutzen, um signaturbasierte Verteidigungsmaßnahmen zu umgehen .

KI-Plattformen und Entwickler-Tools sind direkt unter Beschuss. Angreifer kompromittieren vertrauenswürdige Repositories, CI/CD-Pipelines und Workflows, um dauerhaften Zugang zu nachgelagerten Zielen zu erlangen . Dieser Lieferketten-Ansatz bedeutet, dass ein einziges kompromittiertes Entwickler-Tool kaskadenartig Zugang zu Dutzenden oder Hunderten von Organisationen verschaffen kann, ohne dass jedes Ziel direkt angegriffen werden muss.

Die Erweiterung der KI-Angriffsfläche

Künstliche Intelligenz erwies sich im Berichtszeitraum als zweifache Bedrohung. Die Aktivität von KI-gestützten Angreifern stieg im Jahresvergleich um 89 % an und beschleunigte Phishing, Aufklärung, Social Engineering und technische Operationen . Angreifer nutzten öffentlich verfügbare generative KI-Tools – darunter ChatGPT, Gemini und DeepSeek – für Social Engineering, die Entwicklung von Malware und die operative Planung .

Gleichzeitig wurden die KI-Systeme selbst zur neuen Angriffsfläche. Bei mehr als 90 Organisationen wurden legitime KI-Tools missbraucht, um schädliche Befehle zu generieren oder sensible Modelle zu entwenden . Der Report schildert, wie Angreifer generative KI-Tools in Produktivumgebungen mit manipulierten Eingabeaufforderungen fütterten und KI-Entwicklungsplattformen zweckentfremdeten, um geistiges Eigentum zu exfiltrieren .

Das von CrowdStrike beschriebene Jahr 2025 ist das „Jahr des ausweichenden Angreifers“, geprägt von Attacken, die auf vertrauenswürdige Beziehungen zielen, souverän mit KI-Tools umgehen und Handwerkszeug verwenden, das darauf zugeschnitten ist, Sicherheitslücken in Endpoint-, Identitäts-, SaaS- und Cloud-Umgebungen auszunutzen .

Das Fazit: CrowdStrikes Report macht unmissverständlich klar, dass Technologieunternehmen dieser Bedrohungskonvergenz nicht mit veralteten Ansätzen begegnen können. Wenn Angreifer innerhalb von 30 Minuten vom Erstzugriff zur lateralen Bewegung übergehen und die Mehrheit der Attacken keine Malware-Signatur trägt, sind Erkennungsstrategien, die auf Indikatoren für „bekannt schlecht“ basieren, grundsätzlich unzureichend. Die Branche, die die fortschrittlichste Technologie der Welt baut, ist zum weltweit am härtesten umkämpften digitalen Gebiet geworden.