Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Dataminr-Bericht zur Cyber-Bedrohungslage 2026 warnt: Ära der Cyber-“Mega-Verluste” hat begonnen

Dataminr-Bericht zur Cyber-Bedrohungslage 2026 warnt: Ära der Cyber-„Mega-Verluste“ hat begonnen

von Patrick Spencer updated Februar 26, 2026 Cybersecurity-Risikomanagement
Lesezeit: 9 Minuten

Die Zahlen liegen vor – und sie sind erschreckend.

Der Dataminr 2026 Cyber Threat Landscape Report wurde diese Woche veröffentlicht und enthält Erkenntnisse, die CISOs, Compliance-Beauftragte und Vorstandsmitglieder aufhorchen lassen sollten. Es geht nicht um ein schrittweises Wachstum bei Cyberbedrohungen. Es geht um einen Anstieg der durchschnittlichen monatlichen Threat-Actor-Benachrichtigungen um 225 % im Vergleich zu 2024. Das ist keine Evolution – das ist eine Explosion.

Doch was wirklich zählt: Die Art dieser Angriffe hat sich grundlegend verändert. Angreifer brechen nicht mehr ein. Sie loggen sich ein. Und dieser Unterschied verändert alles, wie Unternehmen über Datensicherheit, Compliance und Datenschutz nachdenken müssen.

5 wichtige Erkenntnisse

  1. Aktivität von Threat Actors explodiert – 225 % mehr monatliche Benachrichtigungen. Dataminr verfolgte 2025 mehr als 5.000 Threat Actors, registrierte über 18.000 Ransomware-Warnungen und entdeckte mehr als 2 Millionen Fälle von Domain-Imitation. Die durchschnittlichen monatlichen Threat-Actor-Benachrichtigungen stiegen um 225 % gegenüber 2024. Das ist kein schrittweises Wachstum – das ist eine strukturelle Veränderung im Volumen und in der Geschwindigkeit der Cyberbedrohungen, denen jedes Unternehmen mit sensiblen Daten ausgesetzt ist.
  2. Identität ist jetzt die primäre Angriffsfläche. Fast 30 % der Angriffe erfolgen inzwischen mit gültigen Zugangsdaten. Angreifer brechen nicht mehr ein – sie loggen sich ein. Ein Anstieg von 84 % bei Infostealer-Malware, die per Phishing verteilt wird, treibt diese Entwicklung voran: Gestohlene Zugangsdaten, Session-Tokens und Browserdaten werden für den Verkauf auf kriminellen Marktplätzen gebündelt. Die meisten Social-Engineering-Aktivitäten werden inzwischen durch KI unterstützt, was Phishing-Kampagnen überzeugender und schwerer erkennbar macht.
  3. Einzelverluste erreichen katastrophale Höhen. Während das Volumen von Ransomware-Angriffen 2025 stabil blieb, stieg der finanzielle Schaden pro Vorfall deutlich an. Die Analyse der Verlustschwere von Dataminr zeigt eine Häufung bei 100 Millionen US-Dollar – einige Vorfälle übersteigen sogar 1 Milliarde US-Dollar. Unternehmen stehen jetzt weniger, aber dafür systemischen, mehrstufigen Angriffen gegenüber, die Credential-Diebstahl, Datenexfiltration, operative Störungen und regulatorische Risiken kombinieren.
  4. Traditionelle Schwachstellenbewertungen spiegeln das reale Geschäftsrisiko nicht mehr wider. Einer von vier aktuellen Datenschutzverstößen nutzt Schwachstellen von Drittparteien aus, oft noch im selben Kalenderjahr der Veröffentlichung. CVSS-Scores übersehen häufig entscheidenden Kontext – etwa branchenspezifische Angriffsmuster, Ausnutzungswahrscheinlichkeit und potenzielle finanzielle Auswirkungen. Unternehmen, die ihre Maßnahmen ausschließlich nach technischen Schweregraden priorisieren, optimieren an den falschen Stellen.
  5. Reine Menschenteams können nicht mehr mithalten. Mit täglich mehr als 43 Terabyte an eingehenden Signalen und Millionen von Warnmeldungen pro Jahr übersteigt die heutige Bedrohungslage das, was rein menschliche Security Operations leisten können. Speziell entwickelte Detection-Plattformen sind jetzt erforderlich, um Signale frühzeitig zu korrelieren, die Verweildauer zu verkürzen und katastrophale Verluste zu verhindern.

Das Identitätsproblem, über das niemand sprechen will

Fast 30 % der Angriffe erfolgen inzwischen mit gültigen Zugangsdaten. Lesen Sie das noch einmal. Fast jeder dritte Vorfall geschieht, weil jemand mit einem gestohlenen Schlüssel durch die Vordertür geht.

Das ist ein grundlegender Wandel in der Angriffsmethodik. Jahrelang konzentrierten sich Security-Teams auf den Schutz der Perimeter. Firewalls. Intrusion-Detection-Systeme. Netzwerksegmentierung. Alles wertvoll, alles notwendig – und alles zunehmend irrelevant, wenn Angreifer sich einfach als legitime Anwender authentifizieren.

Der Mechanismus hinter diesem Wandel? Infostealer-Malware, die per Phishing verteilt wird und im letzten Jahr um 84 % zulegte. Das sind keine hochentwickelten Werkzeuge von Staaten. Es handelt sich um Massenware, die Zugangsdaten, Session-Tokens und Browserdaten abgreift und dann für den Verkauf auf kriminellen Marktplätzen bündelt.

Das Problem verschärft sich durch die schiere Masse. Dataminr verfolgte im vergangenen Jahr mehr als 5.000 Threat Actors, registrierte über 18.000 Ransomware-Warnungen und entdeckte mehr als 2 Millionen Fälle von Domain-Imitation. Das ist keine Bedrohungslandschaft mehr – das ist ein Bedrohungsökosystem im industriellen Maßstab.

Sie vertrauen darauf, dass Ihr Unternehmen sicher ist. Aber können Sie es auch nachweisen?

Jetzt lesen

Warum traditionelle Sicherheitsmetriken versagen

Eine unbequeme Wahrheit, die der Dataminr-Report offenlegt: Traditionelle Schwachstellenbewertungssysteme spiegeln das tatsächliche Geschäftsrisiko nicht wider.

Unternehmen haben jahrelang die Behebung von Schwachstellen nach den Bewertungen des Common Vulnerability Scoring System priorisiert. Kritische Schwachstellen werden sofort gepatcht, mittlere im nächsten Wartungsfenster. Das war sinnvoll, solange die technische Schwere mit realen Angriffen korrelierte.

Diese Korrelation existiert nicht mehr.

Angreifer nutzen Schwachstellen innerhalb weniger Monate nach Veröffentlichung aus. Einer von vier aktuellen Datenschutzverstößen nutzt Schwachstellen von Drittparteien, oft bevor traditionelle Risikoanalysen greifen. Gleichzeitig übersehen CVSS-Scores häufig den Kontext – branchenspezifische Angriffsmuster, Ausnutzungswahrscheinlichkeit und vor allem finanzielle Auswirkungen.

Das Ergebnis? Unternehmen patchen fleißig, erfüllen Compliance-Anforderungen – und werden trotzdem kompromittiert, weil sie an den falschen Metriken ausrichten.

Die „Mega-Loss“-Realität

Vielleicht die wichtigste Erkenntnis im Dataminr-Report betrifft die Verlustschwere. Das Volumen von Ransomware-Angriffen blieb 2025 stabil – was zunächst positiv klingt, bis man die Verteilung der Auswirkungen betrachtet.

Einzelverluste stiegen deutlich an. Die Analyse der Verlustschwere zeigt eine Häufung bei 100 Millionen US-Dollar – einige Vorfälle übersteigen sogar 1 Milliarde US-Dollar.

Das ist ein struktureller Wandel im Cyberrisiko. Unternehmen stehen jetzt weniger, aber dafür systemischen Angriffen gegenüber, die Credential-Diebstahl, Datenexfiltration, operative Störungen und regulatorische Risiken in einem einzigen Vorfall vereinen. Das alte Modell häufiger, aber begrenzter Vorfälle wurde abgelöst durch seltene, aber katastrophale Ereignisse.

Für Compliance-Beauftragte und Risikomanager bedeutet dieser Wandel, dass Cyberrisiken grundlegend neu bewertet, offengelegt und versichert werden müssen.

Die Lücke bei der Datensicherheit in operativen Umgebungen

Die Dataminr-Ergebnisse spiegeln die breiteren Trends aus dem Dragos 2026 OT Cybersecurity Report wider, der Bedrohungen für Operational Technology und industrielle Steuerungssysteme untersucht. Zusammen zeichnen diese Berichte ein Bild konvergierender IT- und OT-Risiken, die neue Herausforderungen für die Datensicherheit schaffen.

Bedrohungsgruppen geben sich nicht mehr mit Zugang zufrieden. Sie kartieren systematisch Steuerungsschleifen, exfiltrieren Konstruktionsdateien, Alarmdaten, HMI/SCADA-Datenbanken und Konfigurations-Backups. Diese operativen Daten werden zur Grundlage für künftige Angriffe – und ermöglichen gezielte Störungen physischer Prozesse.

Die Auswirkungen auf die Datensicherheit reichen über die klassischen IT-Grenzen hinaus. Konstruktionspläne, die zwischen Fertigung und Zulieferern ausgetauscht werden. Qualitätskontrollverfahren, die standortübergreifend geteilt werden. Produktionsabläufe, Wartungsprotokolle und technische Spezifikationen von Lieferanten. All diese sensiblen operativen Daten fließen zwischen Systemen – oft über veraltete SFTP-Server, E-Mail-Anhänge und ungesicherte Filesharing-Lösungen.

Genau diese Kanäle nutzen Threat Actors aus. Wenn weniger als 10 % der OT-Netzwerke über ausreichende Transparenz und Monitoring verfügen, bemerken Unternehmen oft erst nach dem Schaden, was exfiltriert wurde.

Datenschutzrisiken, die die meisten Unternehmen übersehen

Die Berichte von Dataminr und Dragos konzentrieren sich vor allem auf Sicherheit und operationelle Risiken. Doch die betroffenen Datentypen bergen erhebliche Datenschutzrisiken im Rahmen moderner gesetzlicher Vorgaben.

Betrachten Sie, was bei solchen Angriffen gestohlen wird: Informationen über Bediener, einschließlich personenbezogener Verhaltensdaten, Schichtplänen, Fehlerhistorien und Sicherheitsvorfällen. Zugangsdaten und Aktivitätsprotokolle, die als sensible personenbezogene Daten gelten. Konfigurationsdateien und Angriffsdokumentationen, die Hacktivisten auf Telegram und X veröffentlichen und so persönliche Identifikatoren weltweit offenlegen.

Unternehmen klassifizieren diese operativen Daten meist nicht als personenbezogene Informationen. Doch nach DSGVO, CCPA und neuen Datenschutzgesetzen vieler US-Bundesstaaten gelten viele davon als solche. Die Kombination aus Identitätsdaten, Verhaltensmustern und Standortinformationen schafft regulatorische Risiken, die die meisten Industrieunternehmen bislang nicht berücksichtigt haben.

Wenn Meldepflichten greifen, stellen Unternehmen fest, dass sie sensible personenbezogene Daten gehalten haben, die sie nie richtig erfasst oder geschützt haben.

Das Compliance-Defizit

Die Erkenntnisse aus beiden Berichten spiegeln sich direkt in regulatorischen Anforderungen wider, die Unternehmen systematisch nicht erfüllen.

Identitätsmissbrauch durch Infostealer-Logs, Passwort-Wiederverwendung und schwache Multifaktor-Authentifizierung untergräbt Zugangskontrollen in praktisch jedem Compliance-Rahmenwerk. Angreifer authentifizieren sich legitim in VPNs, RDP-Sitzungen und Cloud-Plattformen – und umgehen so sämtliche Perimeter-Detektionen.

Schwachstellenmanagement-Programme halten mit der Geschwindigkeit der Exploit-Entwicklung nicht Schritt. Wenn Exploits innerhalb weniger Wochen nach Veröffentlichung auftauchen, schaffen monatliche Patch-Zyklen dauerhaft offene Flanken.

Besonders besorgniserregend: 30 % der Incident-Response-Fälle beginnen mit „Irgendwas stimmt nicht“ – und in vielen davon wurden nie operative Telemetriedaten erhoben. Unternehmen behaupten öffentlich „keine Cyberbeteiligung“ bei Vorfällen, für die ihnen die nötige Transparenz fehlt. Nach Sorgfalts- und Meldepflichten in den meisten regulatorischen Rahmenwerken ist das nicht haltbar.

Die Zeit bis zur Erkennung spricht eine klare Sprache. Unternehmen mit umfassender Transparenz erkennen Vorfälle im Schnitt nach fünf Tagen. Der Branchendurchschnitt? Zweiundvierzig Tage. Diese sechs Wochen Unterschied bedeuten längere Datenexponierung, größere Vorfallreichweite und deutlich höhere regulatorische und rechtliche Haftung – einschließlich versäumter Meldefristen nach der 72-Stunden-Vorgabe der DSGVO und vergleichbaren Anforderungen in HIPAA und branchenspezifischen Regelwerken.

Die File-Transfer-Schwachstelle

Ransomware-Gruppen haben File-Transfer-Plattformen als besonders lohnende Ziele identifiziert. Der Dragos-Report nennt explizit Angriffe auf MFT– und FTP-Systeme wie Cleo MFT, CrushFTP und Wing FTP. Diese Plattformen werden zu Dreh- und Angelpunkten für den Diebstahl sensibler Dateien, das Einschleusen von Backdoors und die Störung des Betriebs an mehreren Standorten gleichzeitig.

Diese Zielauswahl ist aus Angreifersicht logisch. File-Transfer-Systeme verarbeiten per Definition sensible Daten. Sie verbinden häufig ansonsten getrennte Netzsegmente. Und sie laufen oft mit erhöhten Rechten und minimalem Monitoring.

Für Unternehmen, die noch mit veralteter File-Transfer-Infrastruktur arbeiten, bedeutet das eine akute Datensicherheitslücke. Konstruktionsunterlagen, Compliance-Dokumente, Lieferantenspezifikationen und regulierte Daten laufen über diese Kanäle. Werden sie kompromittiert, betrifft der Schaden das gesamte Datenökosystem. Eine speziell entwickelte Managed File Transfer-Plattform mit unveränderbaren Audit-Trails, DLP-Kontrollen und Anomalieerkennung ersetzt die SFTP-Schwachstelle durch einen geregelten, revisionssicheren Kanal.

Was wirklich funktioniert

Der Dataminr-Report kommt zu dem Schluss, dass die Geschwindigkeit und das Ausmaß der heutigen Bedrohungslage rein menschliche Security-Teams überfordern. Mit 225 % mehr Threat-Actor-Benachrichtigungen und Millionen von Vorfällen, die korreliert werden müssen, war das Argument für automatisierte Detection und Response nie überzeugender.

Doch Technologie allein löst das Problem nicht. Die identitätsbasierte Natur moderner Angriffe erfordert grundlegende Veränderungen in der Sicherheitsarchitektur.

Multifaktor-Authentifizierung überall – nicht als reine Pflichtübung, sondern als echte Defense-in-Depth-Maßnahme. Phishing-resistente Authentifizierungsmethoden, die nicht auf Codes basieren, die Anwender durch Social Engineering preisgeben könnten. Kontinuierliches Monitoring auf Infostealer-Exponierung, da Credential-Kompromittierung kein einmaliges, sondern ein dauerhaftes Risiko ist.

In operativen Umgebungen ist Transparenz oberstes Gebot. Sie können nur schützen, was Sie sehen. Unternehmen benötigen umfassende Prüfprotokolle über alle Datenbewegungskanäle – E-Mail, SFTP, Filesharing, APIs. Die durchschnittliche Erkennungszeit von 42 Tagen resultiert direkt aus Blind Spots beim Datenaustausch zwischen Systemen. SIEM-Plattformen, die Signale aus all diesen Kanälen – File Transfer, E-Mail, Web-Formulare, APIs – aufnehmen, schließen die Lücken, die Angreifern unentdeckte Verweildauer ermöglichen.

Zero-trust-Architektur ist von der Vision zur Notwendigkeit geworden. Jede Datenbewegung als unzuverlässig zu behandeln – auch interne Transfers zwischen IT- und OT-Zonen – schließt die seitlichen Bewegungswege, die Angreifer nutzen. Das ist besonders an IT/OT-Grenzen entscheidend, wo sensible operative Daten aus geschäftlichen Gründen fließen müssen.

Auch das Management von Lieferketten- und Drittparteirisiken braucht dieselbe Aufmerksamkeit. Wenn einer von vier Datenschutzverstößen auf Schwachstellen von Drittparteien zurückgeht, wird die Governance von Lieferantenzugängen zum zentralen Sicherheitskontrollpunkt. Zeitlich begrenzte Berechtigungen, umfassende Nachverfolgung und sofortige Sperrung kompromittierter Konten oder verdächtiger externer Parteien sind Mindestanforderungen.

Wie Unternehmen jetzt handeln sollten

Der Dataminr 2026 Cyber Threat Landscape Report bestätigt, was Security-Experten vermutet haben: Wir sind in eine neue Ära des Cyberrisikos eingetreten, geprägt von identitätsbasierten Angriffen, verkürzten Exploit-Zyklen und katastrophalen Einzelverlusten.

Für die Datensicherheit bedeutet das, perimeterorientierte Verteidigung zugunsten von Identitätsschutz und kontinuierlichem Monitoring neu zu denken. Für den Datenschutz heißt es, zu erkennen, dass operative Daten oft personenbezogene Informationen enthalten, die regulatorisch geschützt werden müssen. Für die Compliance bedeutet es, die Lücke zwischen reiner Pflichterfüllung und echten Sicherheitskontrollen zu schließen, die den tatsächlichen Angriffswegen Rechnung tragen.

Der Anstieg der Threat-Actor-Benachrichtigungen um 225 % ist kein Trend, den man beobachten sollte. Es ist ein Weckruf zum Handeln. Unternehmen, die jetzt Identitätskontrollen stärken, umfassende Transparenz schaffen und Datenbewegungen über alle Kanäle hinweg steuern, werden diese Ära meistern. Wer das nicht tut, landet auf der falschen Seite der Mega-Loss-Verteilung.

Die Entscheidung liegt – wie immer – bei den Unternehmen selbst.

Erfahren Sie, wie Kiteworks Sie unterstützen kann: Vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Infostealer-Malware – meist per Phishing verbreitet – sammelt Zugangsdaten, Session-Tokens und im Browser gespeicherte Passwörter von infizierten Endgeräten und bietet sie dann auf kriminellen Marktplätzen an. Käufer nutzen diese Zugangsdaten, um sich als legitime Anwender in VPNs, Cloud-Plattformen und über die Unternehmensgrenzen hinweg zu authentifizieren und umgehen so sämtliche Perimeter-Schutzmaßnahmen. Fast 30 % der Angriffe verlaufen inzwischen auf diesem Weg. Effektiver Schutz erfordert Multifaktor-Authentifizierung, die nicht auf SMS-Codes oder Einmalpasswörtern basiert, die durch Social Engineering abgegriffen werden können – phishing-resistente Methoden wie Hardware-Keys oder Passkeys sind deutlich wirksamer. Ergänzend decken Prüfprotokolle und SIEM-basierte Anomalieerkennung Credential-Missbrauch auf, den reine Authentifizierung nicht verhindert.

CVSS-Scores messen die technische Schwere – also die Komplexität der Ausnutzung und potenzielle Systemauswirkungen – berücksichtigen aber nicht das tatsächliche Angreiferverhalten. Einer von vier aktuellen Datenschutzverstößen nutzt Schwachstellen von Drittparteien, oft innerhalb weniger Monate nach Veröffentlichung. CVSS-Scores übersehen entscheidenden Geschäftskontext: Wird die Schwachstelle gezielt in Ihrer Branche ausgenutzt, wie schnell ist Exploit-Code verfügbar, und wie hoch sind die potenziellen finanziellen Auswirkungen? Unternehmen, die rein nach CVSS patchen, schließen Lücken, die Angreifer gar nicht priorisieren – und lassen die wirklich kritischen offen. Effektive Priorisierung kombiniert technische Scores mit Threat Intelligence zu aktiven Angriffsmustern und der eigenen Lieferkettenexponierung.

Managed File Transfer- und SFTP-Plattformen gehören zu den attraktivsten Zielen in jeder Umgebung – aus drei Gründen. Erstens bündeln sie sensible Daten aus verschiedenen Quellen – Konstruktionsunterlagen, Compliance-Dokumente, Lieferantenspezifikationen, regulierte personenbezogene Daten – an einem Ort. Zweitens verbinden sie häufig ansonsten getrennte Netzsegmente und werden so zu natürlichen Drehkreuzen für laterale Bewegungen. Drittens laufen Legacy-Systeme oft mit erhöhten Rechten und minimalem Monitoring – Kompromittierungen bleiben daher unentdeckt. Die im Dragos-Report dokumentierten Angriffe auf Cleo MFT, CrushFTP und Wing FTP spiegeln dieses Muster wider. Die Ablösung von Legacy-SFTP durch eine geregelte Managed File Transfer-Plattform mit unveränderbaren Audit-Trails, DLP-Kontrollen und Anomalieerkennung beseitigt die Blind Spots, die diese Systeme so angreifbar machen.

Ja – und das ist eines der am häufigsten übersehenen Compliance-Risiken in der Industrie- und Kritische-Infrastruktur-Sicherheit. Informationen über Bediener, die routinemäßig in OT-Umgebungen erfasst werden – Schichtpläne namentlich genannter Personen, Zugriffsverläufe, Fehlerprotokolle, Verhaltensaufzeichnungen – gelten nach DSGVO und CCPA als personenbezogene Daten. Die meisten Unternehmen klassifizieren sie nicht als personenbezogene Informationen und haben sie daher weder erfasst noch geschützt. Besonders kritisch wird es, wenn Hacktivisten Credential-Dumps und Aktivitätsprotokolle öffentlich machen – und so Meldepflichten auslösen, mit denen Unternehmen nicht gerechnet haben, weil sie dachten, die Vorgaben betreffen nur ihre IT-Systeme. Datenschutz-Folgenabschätzungen müssen OT-Umgebungen explizit abdecken, bevor ein Regulator diese Lücke aufdeckt.

Der Branchendurchschnitt von 42 Tagen bis zur Erkennung von OT- und Unternehmensvorfällen führt zu erheblichen Compliance-Risiken in mehreren Dimensionen. Die DSGVO verlangt eine Meldung an die Aufsichtsbehörden innerhalb von 72 Stunden nach Bekanntwerden – eine Frist, die Unternehmen regelmäßig verpassen, wenn ihnen die Transparenz über ihre Datenbewegungskanäle fehlt. HIPAA schreibt eine 60-tägige Meldefrist für betroffene Organisationen vor, und für die Bewertung des Vorfalls sind dokumentierte Nachweise über die betroffenen Daten erforderlich. Branchenspezifische Regelwerke wie NERC CIP und Finanzaufsichtsbehörden setzen eigene Fristen. Darüber hinaus bedeutet die lange Verweildauer, dass Unternehmen keine forensischen Zeitlinien liefern können, wie von Regulatoren gefordert: Wer hatte wann über welche Systeme auf welche Daten Zugriff? Umfassende Prüfprotokolle über File Transfer, E-Mail, APIs und MFT-Kanäle sind die Grundvoraussetzung – ohne sie gibt es keinen Compliance-Nachweis.

Weitere Ressourcen

  • Blogbeitrag Zero Trust Architecture: Never Trust, Always Verify
  • Video Microsoft GCC High: Nachteile, die Verteidigungsunternehmen zu intelligenteren Lösungen bewegen
  • Blogbeitrag Wie Sie klassifizierte Daten nach DSPM-Flagging absichern
  • Blogbeitrag Vertrauen in Generative KI mit Zero-Trust-Ansatz aufbauen
  • Video Der definitive Leitfaden zur sicheren Speicherung sensibler Daten für IT-Leiter

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks