ThreatDown Nachrichten

SANTA CLARA, Kalifornien, 3. Februar 2026 – ThreatDown, der Unternehmensbereich von Malwarebytes, hat heute seinen Bericht „State of Malware 2026“ veröffentlicht, der zu dem Ergebnis kommt, dass sich Cyberangriffe von durch Menschen gesteuerten Eindringversuchen hin zu KI-gesteuerten Angriffen im maschinellen Maßstab verlagern. Im Jahr 2025 hat KI im Bereich der Cyberkriminalität Fuß gefasst, 2026 wird sie dominieren, da Angreifer KI-Agenten einsetzen, um die Zeitspanne vom Patch bis zum Exploit auf Minuten zu verkürzen und mehrstufige Angriffe in einem Ausmaß zu skalieren, das menschliche Schwachstellenforscher nicht mehr bewältigen können.

Dem Bericht zufolge war 2025 das bisher schlimmste Jahr in Bezug auf Ransomware: Die Zahl der Angriffe stieg im Vergleich zum Vorjahr um 8 % und betraf Unternehmen in 135 Ländern. Die Untersuchung zeigt, dass Angreifer schneller vorgehen und legitime Tools sowie gestohlene Zugangsdaten nutzen, um sich in den normalen Datenverkehr einzufügen. Zudem starten Angreifer Ransomware-Angriffe zunehmend von nicht verwalteten Systemen und aus blinden Flecken im Netzwerk, wodurch herkömmliche Sicherheits- und Wiederherstellungsmaßnahmen unterlaufen werden.

„Wir beobachten, wie sich Cyberkriminalität von manuellen, einmaligen Angriffen zu Operationen entwickelt, die schneller ablaufen, einen größeren Umfang haben und mehr Störungen verursachen“, sagte Kendra Krause, Geschäftsführerin von ThreatDown. „KI beseitigt viele der natürlichen Grenzen, mit denen Angreifer früher konfrontiert waren. Wenn das Aufspüren, die Bewegung und die Erpressung innerhalb von Minuten statt Tagen erfolgen können, haben Unternehmen viel weniger Zeit, um zu reagieren, und es steht viel mehr auf dem Spiel.“

Zu den wichtigsten Ergebnissen gehören:

• KI-gesteuerte Operationen heben Cyberkriminalität auf maschinelles Niveau: KI-Agenten können mittlerweile autonom mehrere Angriffe gleichzeitig durchführen, innerhalb von Minuten Exploits aus Sicherheitspatches erstellen und selbst erfahrene menschliche Forscher in Bug-Bounty-Programmen übertreffen, wodurch die Entdeckung von Sicherheitslücken beschleunigt und die Zeitspanne zwischen Patch und Exploit verkürzt wird. Da Angreifer diese Fähigkeiten nutzen, werden kleine Teams oder einzelne Akteure Aufklärung, laterale Bewegung und Erpressung in einem Ausmaß und mit einer Geschwindigkeit durchführen, die bisher großen und erfahrenen Angriffsteams vorbehalten waren.
• Die Fernverschlüsselung entwickelt sich zu einer prägenden Ransomware-Taktik: Die schwerwiegendsten Vorfälle betrafen Angriffe mittels Fernverschlüsselung, die im Jahr 2025 86 % der Ransomware-Aktivitäten ausmachten und es Angreifern ermöglichten, Daten in geschützten Umgebungen zu verschlüsseln, ohne lokal Malware auszuführen. In vielen Fällen starteten die Angreifer die Verschlüsselung von nicht verwalteten oder Schatten-IT-Systemen aus, sodass Sicherheitsteams keine bösartigen Prozesse unter Quarantäne stellen konnten und nur begrenzte Einblicke in die tatsächliche Quelle des Angriffs hatten.
• Angreifer planen ihre Angriffe so, dass sie unsichtbar bleiben, bis es zu spät ist: Im Jahr 2025 legten Ransomware-Betreiber mehr Wert auf Schnelligkeit, Tarnung und das richtige Timing als auf Persistenz, indem sie ihre Angriffe nachts oder an Feiertagen durchführten, legitime IT-Tools nutzten, Angriffe aus toten Winkeln starteten und Sicherheitsmaßnahmen sowie Backups deaktivierten, bevor die Verschlüsselung begann. Das Ergebnis sind Angriffe, die oft bereits stattfinden, bevor Sicherheitsteams überhaupt bemerken, dass ein Vorfall im Gange ist.
• Ransomware zielt auf wohlhabendere Länder mit geringem Risiko ab: Auf die Vereinigten Staaten entfiel im Jahr 2025 fast die Hälfte aller bekannten Ransomware-Vorfälle, wobei sich die Angriffe stark auf andere englischsprachige Volkswirtschaften und Westeuropa konzentrierten. Unternehmen aus Russland, China und weiten Teilen des Globalen Südens waren auf den Leak-Seiten weitgehend nicht vertreten, was die Fokussierung der Angreifer auf vertraute Technologieplattformen sowie minimale rechtliche oder geopolitische Konsequenzen widerspiegelt.

„Heutzutage müssen Sicherheitsmaßnahmen davon ausgehen, dass Angriffe nicht immer wie Malware aussehen und nicht immer mit offensichtlichen Warnzeichen einhergehen“, sagte Krause. „Am erfolgreichsten sind jene Teams, die ungeschützte Endgeräte absichern, Wiederherstellungswege schützen und über Experten verfügen, die rund um die Uhr Wache halten und reagieren – denn wenn Angriffe so schnell ablaufen, kommt es auf jede Minute an.“

Den vollständigen Bericht finden Sie unter: threatdown. Weitere Informationen zu den neuesten Bedrohungen und Cybersicherheitsstrategien für Unternehmen und den Channel erhalten Sie unter threatdown.com oder folgen Sie ThreatDown LinkedIn und X. 

Über ThreatDown

ThreatDown, der Unternehmensbereich von Malwarebytes, ist führend im Bereich der benutzerfreundlichen Endpoint-Sicherheit. Gestützt auf erstklassige Bedrohungsforschung, proprietäre KI-Engines und eine lange Tradition bei der Beseitigung von Bedrohungen, die andere übersehen, ThreatDown von MRG Effitas, der AVLab Cybersecurity Foundation und G2 als führend in der Erkennung und Bekämpfung von Bedrohungen anerkannt. Unsere leistungsstarken, effizienten und benutzerfreundlichen Lösungen schützen Menschen, Geräte und Daten – innerhalb weniger Minuten. Das Unternehmen hat seinen Hauptsitz in Kalifornien und verfügt über Niederlassungen in Europa und Asien.

AnsprechpartnerThreatDown :
threatdown