Taktwechsel in der Cyber-Abwehr: Sicherheitslücken überholen Identitätsmissbrauch als initialer Angriffsvektor
Der aktuelle Verizon-Report bestätigt, warum klassische Abwehrmodelle im KI-Zeitalter an Grenzen stoßen
Der 19. Data Breach Investigations Report (DBIR) von Verizon offenbart eine historische Verschiebung der globalen Angriffsvektoren. Für CISOs schrumpfen die defensiven Zeitfenster dramatisch – während das Lieferkettenrisiko und „Shadow AI“ neue Dimensionen erreichen. Eine Analyse mit Enterprise-Fokus.
Die Bedrohungslandschaft für Unternehmen hat einen tektonischen Wendepunkt erreicht. Erstmals in der fast zwei Jahrzehnte umfassenden Geschichte des renommierten Data Breach Investigations Report (DBIR) von Verizon hat die gezielte Ausnutzung von Software-Sicherheitslücken den Missbrauch gestohlener Zugangsdaten als häufigsten Erstzugangsvektor abgelöst. Angetrieben durch die zunehmende Automatisierung und den systematischen Einsatz Künstlicher Intelligenz (KI) auf Angreiferseite verengt sich das Zeitfenster für IT-Sicherheitsteams im Enterprise-Sektor rasant.
Das Primat der Schwachstelle – und das Missverständnis um die Identität
Laut dem DBIR, der für die aktuelle Ausgabe einen Datensatz von über 22.000 bestätigten Sicherheitsverletzungen weltweit analysiert hat, beginnen inzwischen 31 Prozent aller dokumentierten Vorfälle mit der Ausnutzung von Schwachstellen. Dies entspricht einem sprunghaften Anstieg um 55 Prozent im Vergleich zum Vorjahr.
Die traditionelle Vorstellung, dass IT-Abteilungen Patch-Zyklen über Wochen oder Monate hinweg abarbeiten können, gilt in modernen Enterprise-Umgebungen als obsolet. Aktuelle Marktdaten des Mandiant M-Trends-Berichts verdeutlichen die Schärfe der Lage: Angreifer nutzen kritische Schwachstellen im Schnitt bereits sieben Tage vor deren öffentlicher Dokumentation (CVE) im Rahmen von Zero-Day-Kampagnen aus. Dieser invertierte Patch-Lebenszyklus bedeutet, dass Unternehmensnetzwerke oft kompromittiert werden, noch bevor ein offizieller Software-Fix der Hersteller bereitsteht.
Gleichzeitig warnt die Sicherheitsforschung vor strategischen Fehlschlüssen. Die Annahme, dass Identitätsbedrohungen durch das Erstarken von Schwachstellen-Exploits an Relevanz verlieren, ist statistisch unbegründet. Addiert man im DBIR die identitätsbezogenen Einstiegsvektoren wie Phishing (16 Prozent), klassischen Credential-Missbrauch (13 Prozent) und gezieltes Pretexting (6 Prozent) zusammen, bleibt der Identitätssektor mit insgesamt 32 Prozent der kritischste Angreiferpfad. Zudem zeigt die Detailanalyse, dass kompromittierte Zugangsdaten an irgendeiner Stelle in insgesamt 39 Prozent aller untersuchten Sicherheitsverletzungen missbraucht werden – sie bleiben das primäre Werkzeug für laterale Bewegungen im Netzwerk.
Echtzeit-Erkennungslücken und das „Human Element“
Dass der Faktor Mensch weiterhin in 62 Prozent aller Vorfälle die entscheidende Variable bleibt, liegt auch an der Evolution des Social Engineering. Während Belegschaften zunehmend resistenter gegenüber klassischen E-Mail-Phishing-Kampagnen werden, weichen kriminelle Akteure auf dialogbasierte und KI-gestützte Multi-Channel-Angriffe über SMS und Telefonate (Vishing) aus. Diese mobilen, interaktiven Social-Engineering-Methoden erzielen laut Verizon eine um 40 Prozent höhere Erfolgsquote als herkömmliche Phishing-Mails.
Hier offenbart sich eine gefährliche Diskrepanz zwischen der Angriffsgeschwindigkeit und den defensiven Erkennungsfähigkeiten der Unternehmen. Darren Guccione, CEO und Mitbegründer des Cybersecurity-Spezialisten Keeper Security, ordnet diesen Wandel analytisch ein: „Für Sicherheitsverantwortliche bedeutet dies, dass sich das Zeitfenster für die Erkennung und Behebung nicht nur verengt hat – in vielen Unternehmen hat es sich praktisch geschlossen, bevor die Abwehrmaßnahmen überhaupt reagieren können.“
Guccione verweist in diesem Kontext auf aktuelle Erhebungen seines eigenen Hauses, wonach fast drei Viertel der Unternehmen einräumen, den Missbrauch von Anmeldedaten oder unbefugten privilegierten Zugriff innerhalb ihrer Infrastruktur nicht in Echtzeit erkennen zu können. Genau diese Erkennungslücke nutzen Angreifer, um unbemerkt Berechtigungen zu eskalieren.
Die interne Gefahr: Explosion von „Shadow AI“
Ein massiver, systemischer Risikofaktor erwächst Konzernen derzeit direkt aus den eigenen Fachabteilungen: die unregulierte Nutzung generativer KI-Tools, im Fachjargon als „Shadow AI“ bezeichnet. Der DBIR dokumentiert, dass der Anteil der Beschäftigten, die regelmäßig KI-Tools auf Unternehmensebenen nutzen, innerhalb nur eines Jahres von 15 auf 45 Prozent gestiegen ist.
Das strukturelle Problem: Ein Großteil dieses Traffics entzieht sich der IT-Kontrolle. Laut Daten von Branchenanalysten (u.a. Mimecast) greifen rund 67 Prozent der Angestellten über nicht-korporative, private Accounts auf diese Dienste zu. Inzwischen rangiert die Nutzung nicht freigegebener KI-Tools als dritthäufigste Ursache für unbeabsichtigte Datenabflüsse im Enterprise-Segment.
„Unsere Untersuchungen bestätigen dieses Bild“, erklärt Keeper-CEO Guccione. „Demnach identifizieren 56 Prozent der Unternehmen Mitarbeiter, die sich durch den unbedachten Einsatz von KI hohen Risiken aussetzen, als ihre größte Sicherheitslücke im KI-Bereich.“ Datenlecks durch die Nutzung von KI-Tools rangieren mit 35 Prozent auf Platz drei der größten Befürchtungen von CISOs.
Flankiert wird dieses interne Risiko von einer neuen externen Automatisierungswelle: KI-basierte Internet-Crawler und automatisierte Bots verzeichnen laut Verizon ein monatliches Wachstum von 21 Prozent, während der rein menschliche Web-Traffic stagniert (0,3 Prozent). Angreifer setzen diese autonomen Bots ein, um die externe Angriffsfläche globaler Konzerne rund um die Uhr nach bekannten Schwachstellen zu scannen.
Das Epizentrum des Risikos: Die fragmentierte Lieferkette
Die fortschreitende digitale Vernetzung führt zu einer massiven Verlagerung des Risikos auf Drittparteien. Sicherheitsverletzungen unter direkter Beteiligung von Lieferanten, Software-Anbietern und externen Dienstleistern stiegen laut DBIR um 60 Prozent und machen mittlerweile 48 Prozent aller dokumentierten Vorfälle aus. Die Supply Chain ist damit zu einem der primären Einfallstore für komplexe Ransomware- und Spionage-Kampagnen avanciert.
Das Marktforschungsunternehmen SecurityScorecard untermauert dieses Defizit mit alarmierenden Zahlen: 78 Prozent der Unternehmen geben zu, dass ihre internen Cybersicherheitsprogramme weniger als die Hälfte ihres tatsächlichen Vendor-Ökosystems abdecken. Zudem offenbart die Praxis im Incident-Response-Fall erhebliche Trägheit. Daten von Push Security zeigen, dass es im Median acht Monate dauert, bis identifizierte Fehlkonfigurationen bei Passwörtern und Berechtigungen im Cloud-Umfeld von Drittanbietern behoben sind.
Guccione sieht hier ein gravierendes Umsetzungsdefizit im Management: „Fast ein Viertel der Unternehmen identifiziert die begrenzte Kontrolle über den Zugriff von Dritten und Anbietern als Lücke in ihrer Cybersicherheit. Diese Erkenntnis ist jedoch noch keine Abhilfe. Die Daten zu Sicherheitsverletzungen deuten darauf hin, dass dieses Bewusstsein nicht in angemessene Kontrollmaßnahmen umgesetzt wird – und zwar bei Weitem nicht mit der Geschwindigkeit, die die Bedrohung erfordert.“
Strategische Konsequenzen für das Enterprise-Management
Der DBIR zwingt CISOs und Risk Manager zu einem fundamentalen Paradigmenwechsel weg von rein reaktiven Schutzwällen hin zu proaktiver Cyber-Resilienz. Daniel Lawson, SVP Global Solutions bei Verizon Business, betont, dass trotz der durch KI beschleunigten Bedrohungslage „grundlegende Sicherheitsprinzipien und ein solides Risikomanagement die wirksamste Verteidigung“ bleiben. Hierzu zählen die konsequente Integration von KI in Defense-in-Depth-Konzepte, die Implementierung von Secure-by-Design-Ansätzen sowie drastisch beschleunigte, automatisierte Patch-Prozesse, um der KI-gestützten Schwachstellensuche der Angreifer standzuhalten.
Für moderne, hybride Enterprise-Umgebungen reicht das klassische Fundament jedoch kaum noch aus. Architekturen müssen sich zwingend an den verschärften Bedingungen der Angriffsgeschwindigkeit ausrichten.
Das Fazit von Keeper-Chef Guccione fällt daher kompromisslos aus: „Zero-Trust-Architektur, die Durchsetzung des Prinzips der geringsten Berechtigungen (Least Privilege), Privileged Access Management (PAM) und eine einheitliche Verwaltung von Anmeldedaten können in diesem Umfeld nicht als langfristige Investitionen betrachtet werden. Sie sind mittlerweile die minimal erforderliche Reaktion auf die heutige Bedrohungslage.“
Den vollständigen DBIR 2026 sowie branchenspezifische Informationen finden Sie auf der Website von Verizon.