andrey_l – shutterstock.com
Der Einzug von KI hat den benötigten Zeitaufwand für Cyberattacken massiv verkürzt, so dass menschliche Verteidiger nicht mehr mithalten können. So lautet das vielleicht wenig überraschende Ergebnis des 2026 Global Incident Response Report von Palo Alto Networks. Für die Studie hat das Unit-42-Forscherteam 750 Vorfälle in 50 Ländern analysiert.
Bei den schnellsten der analysierten Angriffe gelangten die Täter innerhalb von 72 Minuten vom ersten Zugriff bis zur Datenexfiltration – verglichen mit fast fünf Stunden im Jahr 2024. „Dies lässt sich zunehmend durch die Fähigkeit der KI erklären, die benötigten Zeiträume für die Erkennung von Schwachstellen, Phishing und Ausführung zu verkürzen“, heißt es im Forschungsbericht.
Grundlegende Sicherheitsmängel begünstigen Cyberangriffe
Bei genauerer Betrachtung der Studienergebnisse lauert die Gefahr jedoch wo anders: Was Unternehmen wirklich schadet, sind nicht so sehr schnell agierende Angreifer oder die KI, sondern grundlegende Mängel wie schwache Authentifizierung, mangelnde Echtzeit-Transparenz und Fehlkonfigurationen aufgrund einer komplexen Vielzahl von Sicherheitssystemen.
Theoretisch sind all diese Probleme behebbar. Die Autoren der Analyse stellen fest: „Trotz der Geschwindigkeit und Automatisierung, die wir beobachten, beginnen die meisten Vorfälle mit nichts radikal Neuem: Es sind Lücken, die immer wieder auftauchen. In vielen Fällen verließen sich die Angreifer nicht auf einen ausgeklügelten Exploit, sondern auf eine übersehene Schwachstelle.“
Identitätskonflikt und Komplexität
Ein wiederkehrendes Thema ist zudem der Konflikt, den viele Unternehmen mit Identität und Trust haben. Das Forscherteam stellte fest, dass dies bei 90 Prozent der untersuchten Vorfälle eine Rolle spielte. Zu den Taktiken der Angreifer gehörten Social Engineering (33 Prozent), identitätsbasiertes Phishing (22 Prozent), Missbrauch von Anmeldedaten und Brute-Force-Angriffe (21 Prozent) sowie Insider-Bedrohungen (acht Prozent).
Bei 99 Prozent der 680.000 von Palo Alto Networks analysierten Cloud-Benutzer, Rollen und Dienste verfügten zu viele Konten über übermäßige Berechtigungen. . Dazu zählten auch einige, die seit 60 Tagen oder länger nicht mehr genutzt wurden. Da Unternehmen immer mehr Cloud-, SaaS- und KI-Anwendungen hinzufügen, entsteht den Security-Spezialisten zufolge eine Angriffsfläche für Identitäten, die sich schneller ausweitet, als die zugrunde liegenden Probleme behoben werden können. .
Diese Identitäten beziehen sich dabei zunehmend auf Maschinenidentitäten (Dienstkonten, Automatisierungsrollen, API-Schlüssel, KI-Agenten), Schattenidentitäten (nicht genehmigte Konten, Entwicklerumgebungen und Dritte) und Identitäts-„Silos“ (lokale AD plus mehrere Cloud-Identitätsanbieter).
„Selten bleibt ein Angriff auf eine einzige Umgebung beschränkt. Stattdessen beobachten wir koordinierte Aktivitäten über Endpunkte, Netzwerke, Cloud, SaaS und Identitäten hinweg, sodass Verteidiger gezwungen sind, alle gleichzeitig zu überwachen“, so die Analysten.
Lieferketten sind ein weiterer gefährdeter Bereich. In 23 Prozent der Vorfälle konnten Angreifer SaaS-Anwendungen von Drittanbietern ausnutzen und dabei herkömmliche Sicherheitskontrollen umgehen. „Wenn ein vorgelagerter Anbieter eine Kompromittierung oder einen Ausfall meldete, mussten Kunden oft innehalten und sich eine grundlegende Frage stellen: Sind wir betroffen? In vielen Fällen hatten sie nur begrenzte Einblicke in ihre eigene Gefährdung“, berichten die Studienautoren.
Paradigmenwechsel
Die Antwort von Unit 42 auf diesen endlosen Kreislauf, in dem Angreifer den Verteidigern immer einen Schritt voraus sind, ist ein Paradigmenwechsel: Die Cybersicherheit ist mittlerweile so spezialisiert, dass die Lösung darin besteht, einen von Grund auf neu entwickelten Managed Service zu nutzen, um realen statt abstrakten Bedrohungen entgegenzuwirken.
Vor diesem Hintergrund hat Palo Alto Networks einen neuen SOC-Dienst eingeführt: Unit 42 Managed Extended Security Intelligence and Automation Management (XSIAM) 2.0. Damit hat das Unternehmen nach eigenen Angaben sein XSIAM 1.0 um vollständiges Onboarding, Bedrohungssuche und -reaktion sowie die Modellierung von Angriffsmustern erweitert, die schneller als bei einem herkömmlichen SOC erfolgen.
Doch ist das wirklich überzeugend? CISOs haben diese Botschaft schon oft gehört: Das Alte funktioniert nicht mehr, also investieren Sie in etwas Neues. Und es gibt immer ein altes System oder einen alten Dienst, der durch ein glänzendes, neues ersetzt werden muss.
Erschwerend kommt hinzu, dass die Idee immer fortschrittlicherer SOCs möglicherweise kein Allheilmittel ist. Einige Experten sind der Meinung, dass SOCs selbst letztendlich denselben Problemen wie Fachkräftemangel und Budgetbeschränkungen ausgesetzt sein können wie herkömmliche IT-Abteilungen.
Wie Palo Alto Networks es ausdrückt: „Die meisten SOCs sind nicht für die Geschwindigkeit der heutigen Angriffe ausgelegt.“ Das bedeutet: Weg mit alten Tools wie traditionellen SIEMs und SOAR, die lediglich Warnmeldungen generieren; das moderne, KI-gestützte SOC sollte „mit Maschinengeschwindigkeit“ darauf reagieren. (jm)