Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > CrowdStrike veröffentlicht den Global Threat Report 2026 – ein Weckruf für alle Sicherheitsteams

CrowdStrike veröffentlicht den Global Threat Report 2026 – ein Weckruf für alle Sicherheitsteams

von Patrick Spencer updated Februar 26, 2026 Cybersecurity-Risikomanagement
Lesezeit: 10 Minuten

Ein Satz, der in Sicherheitsbriefings so oft fällt, dass er seine Bedeutung verloren hat: „Angreifer werden immer schneller.“ Das ist so eine Aussage, bei der man bei einer Konferenz nickt und sie dann auf dem Weg zur Messehalle wieder vergisst.

Der CrowdStrike Global Threat Report 2026 macht das Vergessen unmöglich.

Die zentrale Zahl: Die durchschnittliche eCrime-Breakout-Zeit – also die Zeitspanne zwischen dem ersten Eindringen eines Angreifers und seiner ersten lateralen Bewegung – sank 2025 auf 29 Minuten. 2024 waren es noch 48 Minuten. 2021 sogar 98 Minuten. Die schnellste beobachtete Breakout-Zeit lag bei 27 Sekunden. In einem Fall begann die Datenexfiltration bereits vier Minuten nach dem ersten Zugriff.

Lassen Sie das kurz wirken. Vier Minuten vom Eindringen bis zum Datendiebstahl. Die meisten Unternehmen schaffen es in vier Minuten nicht einmal, einen Slack-Thread zu starten – geschweige denn, einen aktiven Angriff einzudämmen.

Der Bericht bezeichnet 2025 als das „Jahr des schwer fassbaren Gegners“. Die prägenden Merkmale: Geschwindigkeit, Missbrauch von Identitäten und direkte Angriffe auf KI-Systeme. Die zugrunde liegenden Daten sind nicht theoretisch, sondern stammen aus realen Angriffen, Incident-Response-Einsätzen und Threat Intelligence aus Tausenden Unternehmen weltweit.

5 wichtige Erkenntnisse

  1. Breakout-Zeit ist auf 29 Minuten gesunken – und das ist der Durchschnitt. Die durchschnittliche eCrime-Breakout-Zeit fiel 2025 auf 29 Minuten, nach 48 Minuten in 2024; der Rekord liegt bei 27 Sekunden. Wenn Ihr Incident-Response-Prozess in Stunden gemessen wird, sind Sie bereits zu spät.
  2. 82 % der Angriffe kommen ohne Malware aus. Angreifer melden sich mit gestohlenen Zugangsdaten und nativen Admin-Tools an, nicht mit Schadcode. Signaturbasierte Abwehr ist nicht mehr die erste Verteidigungslinie – Identitätsüberwachung und domänenübergreifende Korrelation sind es.
  3. KI ist jetzt sowohl Waffe als auch Ziel. KI-gestützte Angriffe stiegen im Jahresvergleich um 89 %. Staaten setzten LLM-basierte Malware ein, eCrime-Gruppen automatisierten den Diebstahl von Zugangsdaten. CrowdStrike reagierte zudem auf Vorfälle bei über 90 Unternehmen, bei denen Angreifer gezielt KI-Entwicklungstools und Datenplattformen attackierten.
  4. China-nahestehende Akteure betreiben industrialisierte Angriffe auf Edge-Geräte. Aktivitäten mit China-Bezug stiegen um 38 %, davon richteten sich 40 % gegen Edge-Geräte – VPNs, Firewalls, Router – außerhalb der Reichweite vieler EDR-Lösungen. Exploits wurden innerhalb von zwei Tagen nach Bekanntwerden eingesetzt. Zero-Day-Ausnutzung nahm um 42 % zu.
  5. Ransomware verlässt den Endpoint – und ein Krypto-Raub von 1,46 Mrd. $ zeigt das Ausmaß. Ransomware-Gruppen agieren in Cloud-, Identitäts- und Virtualisierungsschichten. Cloud-bezogene Angriffe stiegen um 37 %, bei staatlichen Akteuren um 266 %. Ein Supply-Chain-Angriff aus Nordkorea führte zum größten jemals gemeldeten Finanzdiebstahl.

Das Geschwindigkeitsproblem ist jetzt ein mathematisches Problem – und Verteidiger verlieren

Der Einbruch der Breakout-Zeit ist kein Trend, sondern eine strukturelle Veränderung, wie Angriffe ablaufen.

Als die Breakout-Zeit noch in Stunden gemessen wurde, hatten Verteidiger ein realistisches Zeitfenster zum Erkennen, Analysieren und Eindämmen. Bei 29 Minuten – mit Spitzenwerten im Sekundenbereich – ändert sich das gesamte Konzept von „Erkennen und Reagieren“. Sie reagieren nicht mehr auf einen laufenden Angriff, sondern auf einen, der bereits lateral unterwegs ist, Persistenz aufgebaut und womöglich schon Daten exfiltriert hat, bevor Ihr SOC-Analyst den Alarm gelesen hat.

CrowdStrike führt diese Beschleunigung auf mehrere Faktoren zurück: Angreifer nutzen legitime Zugangsdaten und vertrauenswürdige Tools, automatisieren Post-Exploitation-Aktivitäten mit KI-generierten Skripten und attackieren gezielt die Lücken zwischen Security-Tools. Der Bericht stellt fest, dass 2025 82 % der Angriffe ohne Malware abliefen – also ohne klassischen Schadcode. Angreifer verwendeten gültige Zugangsdaten, native Admin-Tools und kommerzielle Fernzugriffssoftware, um sich im normalen Geschäftsbetrieb zu tarnen.

Das ist die praktische Folge dessen, was der WEF Global Cybersecurity Outlook 2026 als zunehmende organisatorische Komplexität beschreibt: Interdependenzen, Legacy-Technologien und fragmentierte Transparenz schaffen systemische Risiken, die sich mit der Zeit potenzieren. Wenn Ihre Security-Architektur auf Malware-Erkennung optimiert ist – und 82 % der Angriffe ohne Malware erfolgen – haben Sie ein Architekturproblem, kein Tuning-Problem.

Das KI-Wettrüsten ist nicht mehr theoretisch – es ist Realität

KI-gestützte Angriffe stiegen 2025 um 89 % gegenüber dem Vorjahr. Der CrowdStrike-Bericht macht jedoch einen wichtigen Unterschied: KI beschleunigt etablierte Taktiken, erfindet aber keine völlig neuen. Angreifer integrieren generative KI entlang der gesamten Kill Chain – von Social Engineering über Malware-Entwicklung bis zur Umgehung von Abwehrmaßnahmen – und die Auswirkungen sind erheblich, auch wenn die Techniken bekannt sind.

Die Details verdienen Aufmerksamkeit. Der russische Akteur FANCY BEAR setzte LLM-basierte Malware namens LAMEHUG ein, die promptbasierte Logik für automatisierte Aufklärung und Dokumentensammlung auf kompromittierten Systemen nutzte. Der eCrime-Akteur PUNK SPIDER beschleunigte mit KI-generierten Skripten das Auslesen von Zugangsdaten und das Löschen forensischer Spuren. Die nordkoreanische Gruppe FAMOUS CHOLLIMA skalierte mit KI-Tools betrügerische Insider-Bewerbungen – sie schleusten operative Kräfte in Zielunternehmen ein, indem sie KI-generierte Lebensläufe, Interviewantworten und Identitätsdokumente nutzten.

Die schärfste Warnung des Berichts betrifft jedoch KI als Ziel, nicht nur als Werkzeug. CrowdStrike reagierte auf Vorfälle bei über 90 Unternehmen, bei denen Angreifer bösartige Prompts in legitime KI-Entwicklungstools einschleusten, lokale KI-CLIs missbrauchten, um Kommandos zu generieren, die Zugangsdaten und Kryptowährungen stahlen. An anderer Stelle nutzten Angreifer Schwachstellen in KI-Plattformen wie Langflow, um Persistenz zu schaffen und Ransomware zu platzieren. Bösartige Klone legitimer Model Context Protocol (MCP)-Server fingen sensible Daten ab, die durch KI-Workflows liefen.

Die Konsequenz ist unbequem, aber eindeutig: Die KI-Tools, die Ihr Unternehmen zur Produktivitäts- und Sicherheitssteigerung einsetzt, vergrößern gleichzeitig Ihre Angriffsfläche. Ohne Governance für Modellzugriffe, Prompt-Eingaben, Datenflüsse und Integrationspunkte bedeutet KI-Einführung immer auch Risikoeinführung.

China-nahe Akteure fahren eine Edge-Device-Kampagne im großen Stil

Abseits von KI dokumentiert der Bericht einen starken Anstieg China-naher Aktivitäten, 2025 um 38 %. Angriffe auf Logistik stiegen um 85 %, auch Telekommunikation und Finanzdienstleistungen waren stark betroffen. Das wichtigste taktische Muster ist jedoch die systematische Ausnutzung internetnaher Edge-Geräte.

VPN-Appliances. Firewalls. Router. Mailserver. Die Infrastruktur am Perimeter, die oft außerhalb der Reichweite von Endpoint-Detection-Tools liegt. In 40 % der Fälle, in denen China-nahe Akteure eine Schwachstelle ausnutzten, war das Ziel ein Edge-Gerät. Und die Geschwindigkeit ist alarmierend: Viele Exploits wurden innerhalb weniger Tage nach Veröffentlichung eingesetzt, manche schon nach zwei bis sechs Tagen. Zero-Day-Exploits stiegen im Jahresvergleich um 42 %.

Das ist kein opportunistisches Scanning, sondern industrialisierte Schwachstellenausnutzung. Der Dragos OT/ICS Cybersecurity Report 2026 beschreibt ein nahezu identisches Muster in Industrieumgebungen, wo Gruppen gezielt internetnahe Ivanti-, Fortinet-, Cisco- und F5-Systeme als Einstiegspunkte in OT-Netzwerke attackieren. Die mittlere Zeit von Schwachstellenveröffentlichung bis zum öffentlichen Exploit fiel auf 24 Tage – in manchen Fällen hatten Angreifer funktionierende Exploits, bevor Hersteller Patches bereitstellten.

Für Verantwortliche für Sicherheit und Datenschutz entsteht dadurch ein strukturelles Problem: Edge-Geräte bieten sofortigen Systemzugriff, es fehlt oft an Monitoring, und Patch-Zyklen von Wochen oder Monaten passen nicht zu Weaponization-Zeiten von wenigen Tagen. Wenn sensible Daten über diese Geräte laufen oder zugänglich sind – und das ist bei den meisten Unternehmen der Fall – gibt es eine Transparenzlücke, die Angreifer gezielt ausnutzen.

Ransomware verlässt den Endpoint – Identität ist das neue Eingangstor

Der CrowdStrike-Bericht beschreibt eine deutliche Weiterentwicklung der Ransomware-Methoden 2025. Die fortschrittlichsten Gruppen verlassen klassische Endpunkt-Deployments und setzen auf domänenübergreifende Kampagnen in Cloud-, Identitäts- und Virtualisierungsumgebungen.

SCATTERED SPIDER und BLOCKADE SPIDER bewegten sich lateral durch Cloud- und Identitätsinfrastrukturen und platzierten Ransomware häufig ausschließlich auf VMware-ESXi-Systemen – der Virtualisierungsschicht, die den Großteil der Unternehmensserver trägt, aber oft weniger überwacht wird als Benutzerendpunkte. PUNK SPIDER führte 198 dokumentierte Angriffe durch (plus 134 %), darunter Remote-Verschlüsselung von Dateien über SMB-Shares, sodass Daten verschlüsselt wurden, ohne Ransomware direkt auf verwalteten Hosts auszuführen.

Die Supply-Chain-Dimension ist ebenso alarmierend. Die nordkoreanische Gruppe PRESSURE CHOLLIMA stahl per Supply-Chain-Angriff 1,46 Mrd. $ in Kryptowährungen – der größte je gemeldete Finanzdiebstahl. Sie kompromittierten SafeWallet und Bybit, fügten bösartigen JavaScript- und Smart-Contract-Code in vertrauenswürdige Finanzsoftware ein, führten den Diebstahl aus und setzten den Code anschließend zurück, um Spuren zu verwischen.

Cloud-bezogene Angriffe stiegen 2025 um 37 %, bei staatlichen Akteuren um 266 %. Der Missbrauch gültiger Konten war für 35 % der Cloud-Vorfälle verantwortlich. Das sind keine Brute-Force-Angriffe, sondern Angreifer, die legitime Zugangsdaten – durch Phishing, Infostealer-Malware oder Käufe im Darknet – nutzen, um sich Zugang zu Cloud- und SaaS-Umgebungen zu verschaffen.

Der Dragos-Report bestätigt dieses identitätszentrierte Angriffsmuster auch in Industrieumgebungen: Ransomware-Affiliates nutzen vermehrt Zugangsdaten aus Infostealern, Passwort-Wiederverwendung zwischen OT- und IT-Systemen und kompromittierte Lieferantenkonten, um Perimeter-Schutzmechanismen komplett zu umgehen. Das Muster ist klar: Sektorübergreifend ist Identitätskompromittierung der wichtigste Zugangsvektor, Cloud- und SaaS-Plattformen das Hauptziel.

Was das für Security- und Datenschutzverantwortliche bedeutet

Der CrowdStrike Global Threat Report 2026, zusammen mit dem WEF Global Cybersecurity Outlook 2026 und dem Dragos OT/ICS-Report, zeigt eine Bedrohungslandschaft, die die meisten Sicherheitsmodelle überholt hat. Die Entwicklung ist eindeutig: Angreifer kombinieren Identitätsdiebstahl, SaaS-Missbrauch, Edge-Exploits und KI-Manipulation zu Kampagnen, die schneller domänenübergreifend agieren, als fragmentierte Security-Tools korrelieren können.

Der WEF-Bericht fand heraus, dass 61 % der Unternehmen die sich schnell entwickelnde Bedrohungslage als größte Herausforderung für ihre Resilienz sehen; 46 % benennen Schwachstellen in der Lieferkette. Das sind keine getrennten Probleme, sondern Facetten derselben strukturellen Herausforderung: Unternehmen können Daten nicht schützen, die sie nicht sehen, keinen Zugriff steuern, den sie nicht überwachen, und nicht auf Bedrohungen reagieren, die sich schneller bewegen als ihre Prozesse es erlauben.

Was CISOs jetzt tun sollten

Behandeln Sie 29 Minuten als Planungsgrundlage, nicht als Ausnahme. Jeder Incident-Response-Plan, jedes Tabletop-Exercise und jeder Detection-Workflow sollte für ein Breakout-Szenario unter 30 Minuten getestet werden. Wenn Ihre mittlere Erkennungs- und Eindämmungszeit in Stunden gemessen wird, planen Sie für eine Bedrohungslage, die es nicht mehr gibt. Die automatisierte Richtliniendurchsetzung und das Echtzeit-Monitoring von Kiteworks arbeiten in der Geschwindigkeit, die die Bedrohung erfordert – und stellen sicher, dass Zugriffskontrollen für Daten aktiv und durchsetzbar sind, bevor manuelle Prozesse greifen.

Von Malware-Erkennung zu identitätszentrierter Verteidigung wechseln. Bei 82 % malwarefreier Angriffe muss sich der Detection-Fokus auf Identitätsverhalten, Zugriffsmuster und domänenübergreifende Korrelation verschieben. Das bedeutet kontinuierliches Monitoring von Authentifizierungsereignissen, Rechteausweitungen und lateralen Bewegungen über Endpunkte, Cloud, SaaS und Identitätsinfrastruktur hinweg. Kiteworks setzt dies auf Datenebene durch: Attributbasierte Zugriffskontrollen bewerten Nutzeridentität, Datensensitivität und Verwendungszweck vor Freigabe – und jede Interaktion wird in einem konsolidierten Audit-Trail protokolliert.

Geben Sie Ihren KI-Tools Governance, bevor es Angreifer tun. Die Erkenntnis, dass Angreifer KI-Systeme bei über 90 Unternehmen ins Visier nahmen, sollte eine sofortige Bestandsaufnahme aller KI-Tools, Modelle und Integrationen auslösen. Richten Sie Zugriffskontrollen ein, überwachen Sie Prompt-Eingaben und -Ausgaben und implementieren Sie Data Loss Prevention, die auf KI-gestützte Exfiltration abgestimmt ist. Der Kiteworks Secure MCP Server setzt rollen- und attributbasierte Kontrolle für jede externe Agenteninteraktion durch und liefert die Governance-Infrastruktur, die KI-Deployments erfordern.

Schließen Sie die Transparenzlücke bei Edge-Geräten. Edge-Geräte sind die Achillesferse der Unternehmenssicherheit. Patchen Sie internetnahe Appliances innerhalb von Tagen – nicht Wochen – nach Bekanntwerden von Schwachstellen. Implementieren Sie Netzwerksegmentierung, die laterale Bewegungen von kompromittierten Edge-Geräten begrenzt. Setzen Sie Monitoring ein, das auch Geräte abdeckt, die Ihr EDR nicht erreicht. Die gehärtete virtuelle Appliance-Architektur von Kiteworks mit integrierten Firewalls, Intrusion Detection und doppelter Verschlüsselung im ruhenden Zustand stellt sicher, dass die Plattform für Ihre sensibelsten Daten nicht Teil des unüberwachten Perimeters ist.

Fordern Sie domänenübergreifende Transparenz – keine isolierten Dashboards. Wenn Ransomware ausschließlich auf ESXi ausgerollt wird, Cloud-Angriffe auf gestohlene Identitätstoken setzen und KI-Tools als Vektor für laterale Bewegungen dienen, reicht Sichtbarkeit nur bis zum Endpoint nicht aus. Effektive Verteidigung erfordert Korrelation über Endpunkt-, Identitäts-, Cloud-, SaaS- und KI-Infrastruktur in einem einzigen Lagebild. Kiteworks bietet dies für sensible Daten: einheitliche Governance über alle Kommunikationskanäle mit einem konsolidierten Audit-Log, das die Lücken fragmentierter Tools schließt.

Die 29-Minuten-Realität verlangt eine andere Architektur

Die zentrale Aussage des CrowdStrike-Reports 2026: Der Gegner hat sich schneller angepasst als die Verteidiger. Breakout-Zeiten brechen ein. Malware ist optional. KI ist Waffe und Ziel. Identität ist der Perimeter. Edge-Geräte sind der Einstiegspunkt. Und domänenübergreifende Kampagnen sind die Regel, nicht die Ausnahme.

Für Unternehmen, die sensible Daten schützen – Kundendaten, Finanzinformationen, geistiges Eigentum, regulierte Inhalte – ist nicht mehr die Frage, ob Angreifer an Ihre Daten gelangen. Die Frage ist, ob Ihre Governance-Infrastruktur Angriffe erkennt, eindämmt und Compliance nachweisen kann, wenn es passiert.

Kiteworks ist die Plattform für diese Realität: einheitliche Data Governance für E-Mail, Filesharing, SFTP, Managed File Transfer, Web-Formulare und APIs. Zero-Trust-Architektur, bei der alle IP-Adressen standardmäßig blockiert sind. Attributbasierte Zugriffskontrollen, die Richtlinien auf Datenebene durchsetzen. Ein konsolidiertes Audit-Log, das jede Interaktion über alle Kanäle hinweg dokumentiert. FIPS 140-3-validierte Verschlüsselung mit kundeneigenen Schlüsseln. Und Compliance-Reporting für über 50 regulatorische Rahmenwerke auf Management-Ebene.

Das 29-Minuten-Breakout-Fenster ist keine vorübergehende Erscheinung. Es ist die neue Realität. Die Unternehmen, die ihre Daten schützen, sind diejenigen, deren Governance-Infrastruktur für maschinenschnelle Angreifer gebaut wurde – nicht für manuelle Prozesse.

Das Zeitfenster schließt sich. Die Frage ist, ob Ihre Verteidigung noch rechtzeitig greift.

Erfahren Sie, wie Kiteworks Sie unterstützen kann – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Signaturbasierte Tools erkennen nur, was sie kennen. Wenn Angreifer gültige Zugangsdaten, native Admin-Tools und kommerzielle Fernzugriffssoftware nutzen, gibt es nichts, das per Signatur erkannt werden könnte. Die Erkennung muss sich daher auf das Verhalten verlagern: Überwachung auf anomale Identitätsaktivitäten, ungewöhnliche Rechteausweitungen und Muster lateraler Bewegungen statt auf Schadcode. Audit-Trails, die jeden Datenzugriff protokollieren, werden zum forensischen Nachweis, den signaturbasierte Tools nicht mehr liefern können.

FAMOUS CHOLLIMA reicht KI-generierte Lebensläufe ein, coacht sich mit versteckten Geräten durch Interviews und nutzt Deepfakes oder geliehene Identitäten für Video-Screenings. Erkennung erfordert die Überprüfung staatlicher Ausweisdokumente über Drittanbieter, Live-Video-Interviews ohne Skript und Abgleich der Bewerbungsdaten mit bekannten Mustern nordkoreanischer Tarnfirmen. Nach der Einstellung begrenzen attributbasierte Zugriffskontrollen den Datenzugriff auf die jeweilige Rolle, und Audit-Logs aller Dateninteraktionen begrenzen das Schadensausmaß, falls ein Operateur durchkommt.

Die meisten EDR-Tools laufen auf Gastbetriebssystemen, nicht auf der ESXi-Hypervisor-Ebene. Ransomware, die direkt auf ESXi ausgeführt wird, verschlüsselt alle gehosteten VMs, ohne dass Gast-Agenten Alarm schlagen. Wirksame Gegenmaßnahmen sind Monitoring auf Hypervisor-Ebene, Netzwerksegmentierung zur Isolierung der ESXi-Managementschnittstellen, privilegierte Zugriffsbeschränkungen für ESXi-Admin-Zugangsdaten und Audit-Trails für Daten auf ESXi-Systemen – so lässt sich der Umfang sofort bestimmen, wenn eine Verschlüsselung erfolgt.

Bösartige MCP-Server-Klone fangen sensible Daten ab, die zwischen LLM-Anwendungen und Unternehmenssystemen fließen, und erfassen Zugangsdaten, personenbezogene Informationen und geistiges Eigentum, ohne herkömmliche Alarme auszulösen. Governance erfordert die Überprüfung der Herkunft von MCP-Servern vor dem Einsatz, Durchsetzung rollen- und attributbasierter Zugriffskontrollen bei jeder Agenteninteraktion, Anwendung von DLP-Richtlinien auf KI-Prompt-Ein- und -Ausgaben und Protokollierung jeder LLM-Tool-Interaktion in einem unveränderlichen Audit-Trail.

Nach DSGVO muss die Meldung eines Datenschutzvorfalls an die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden erfolgen. Wenn der Breakout in 29 Minuten erfolgt und die Erkennung Stunden oder Tage dauert, läuft die Frist womöglich, bevor der forensische Umfang klar ist. Unternehmen ohne Echtzeit-Audit-Trails, die jeden Datenzugriff protokollieren, werden Schwierigkeiten haben, festzustellen, welche personenbezogenen Daten betroffen waren – was zu Meldungen auf Basis von Worst-Case-Annahmen und Folge-Verstößen wegen unvollständiger oder fehlerhafter Benachrichtigungen führen kann.

Weitere Ressourcen

  • Blogbeitrag Zero Trust Architecture: Never Trust, Always Verify
  • Video Microsoft GCC High: Nachteile, die Verteidigungsaufträge zu intelligenteren Lösungen treiben
  • Blogbeitrag Wie man klassifizierte Daten schützt, sobald DSPM sie kennzeichnet
  • Blogbeitrag Vertrauen in generative KI mit einem Zero-Trust-Ansatz aufbauen
  • Video Der definitive Leitfaden für die sichere Speicherung sensibler Daten für IT-Leiter

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks