khunkornStudio – shutterstock.com
Der State of Incident Response Report 2026 von Eye Security zeigt: Cyberangriffe auf Unternehmen erfolgen zunehmend unbemerkt und die Schäden entstehen innerhalb von Minuten. Demnach setzen die Angreifer inzwischen weniger darauf, Systeme zu hacken, sondern bestehende Zugänge ausnutzen.
Identitätsbasierte Angriffe dominieren das Feld, wobei 97 Prozent dieser Vorfälle Passwörter betreffen. Der Missbrauch legitimer Konten ist eine Hauptursache für Cloud-Sicherheitsvorfälle und treibt das Geschäft von Initial-Access-Brokern an.
Die Ergebnisse zeigen jedoch, dass die grundlegenden Methoden der Angreifer unverändert bleiben. „Auch im Jahr 2026 beginnt die Kompromittierung weiterhin mit Phishing, der Ausnutzung falsch konfigurierter oder anfälliger internetfähiger Systeme, Social Engineering oder Angriffen über die Software-Lieferkette“, erklärt Lodi Hensen, VP of Security Operations bei Eye Security.
BEC-Angriffe besonders häufig
Business-Email-Compromise (BEC) ist laut Studie die häufigste Angriffsform: Mehr als 70 Prozent der Vorfälle entfallen auf diesen Bereich. In 40 Prozent dieser Fälle diente Phishing als initiales Einfallstor. Den Analysten zufolge bleiben BEC-Angriffe ohne kontinuierliche Überwachung wochenlang unentdeckt.
Darüber hinaus verdeutlicht die Studie, dass Ransomware weiterhin zu den größten Bedrohungen zählt. „Die Verbreitung von Ransomware-as-a-Service (RaaS), BuilderLeaks und Access-Broker-Marktplätzen hat die Eintrittsbarrieren gesenkt und ein professionelles Ökosystem geschaffen“, führen die Autoren aus.
Der Report zeigt einen gefährlichen Trend: die Kommerzialisierung von Insider-Wissen. „Gruppen wie ShinyHunters rekrutieren aktiv Mitarbeitende, um Zugangsdaten zu kaufen. Damit verschwimmt die Grenze zwischen externem Angriff und Innentäter“, so die Sicherheitsforscher. „Für Ransomware-Akteure ist dieser eingekaufte Zugang oft schneller und verlässlicher als technisches Hacking.“
Besonders betroffen sind Unternehmen aus Industrie, Bauwesen sowie Transport und Logistik. Viele Ransomware-Angreifer kommen über alltägliche Schwachstellen: ungeschützte Anwendungen, unsichere Fernzugänge oder Phishing-E-Mails, über die Mitarbeitende unbewusst Zugangsdaten preisgeben.
Für die Analyse wurden insgesamt 630 reale Sicherheitsvorfälle in Europa aus den Jahren 2023 bis 2025 ausgewertet, darunter viele aus Deutschland.