Mandiant-Report: KI und Cloud im Visier von Cyberkriminellen

Die Angriffe werden schneller, zielgerichteter und nutzen künstliche Intelligenz. Das zeigt der neue M-Trends 2026-Report von Mandiant, einem Teil von Google Cloud. Die Analyse von über 500.000 Untersuchungsstunden aus dem Jahr 2025 offenbart eine dramatische Evolution der Cyberbedrohungen. Besonders Cloud-Umgebungen und gestohlene Zugangsdaten stehen im Fokus der Angreifer.

Angesichts der rasanten Entwicklung von KI-gestützten Angriffen und neuer gesetzlicher Vorgaben müssen Unternehmen ihre IT-Sicherheit jetzt proaktiv verstärken. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie Ihr Unternehmen mit einfachen Maßnahmen schützen und was Geschäftsführer über Cyber Security 2024 wissen müssen. IT-Sicherheit stärken ohne teure Investitionen

Cloud-Umgebungen: Voice-Phishing als neuer Haupteinfallstor

Die Art, wie Angreifer in Cloud-Systeme eindringen, hat sich grundlegend verändert. Voice-Phishing ist laut Mandiant zum häufigsten Infektionsweg für Cloud-Kompromittierungen aufgestiegen. Diese interaktive Methode, bei der Angreifer per Telefonanruf vertrauliche Informationen erschleichen, war 2025 für 23 Prozent der untersuchten Cloud-Vorfälle verantwortlich.

Diese Entwicklung zeigt einen klaren Trend weg von automatisierten, massenhaften E-Mail-Kampagnen hin zu gezielter, menschlicher Interaktion. Solche Angriffe sind für herkömmliche Sicherheitskontrollen deutlich schwerer zu erkennen. Neben Voice-Phishing bleiben auch Kompromittierungen von Drittanbietern (17%) und gestohlene Zugangsdaten (16%) bedeutende Einfallstore. Exploits, die bei allen Angriffstypen führend sind, spielen in der Cloud mit nur 6 Prozent eine untergeordnete Rolle.

Zugangsdaten: Ein Schlüssel öffnet alle Türen

Der Diebstahl von Zugangsdaten bleibt eine der größten Gefahren. In 9 Prozent aller untersuchten Angriffe im Jahr 2025 waren gestohlene Credentials der erste Infektionsvektor. Ein einzelner Satz Zugangsdaten kann eine Kettenreaktion auslösen und umfassenden Zugriff auf Anwendungen und Daten ermöglichen – sowohl lokal als auch in der Cloud.

Besonders alarmierend: Ransomware-Gruppen nutzten laut Report fehlkonfigurierte Active Directory Certificate Services (AD CS), um Administratorkonten zu erstellen, die die Multi-Faktor-Authentifizierung (MFA) umgehen. Dies unterstreicht die kritische Bedeutung eines robusten Identitäts- und Zugriffsmanagements.

Angriffszyklen schrumpfen auf Sekunden, KI wird zur Waffe

Die Geschwindigkeit und Koordination von Cyberangriffen erreicht ein neues Niveau. Die Zeit zwischen dem ersten Eindringen in ein System und der Übergabe an eine zweite Angreifergruppe ist dramatisch geschrumpft: von Stunden im Jahr 2022 auf nur noch 22 Sekunden im Jahr 2025. Diese beschleunigte „Übergabe“ deutet auf eine engere, möglicherweise automatisierte Zusammenarbeit zwischen den Gruppen hin.

Gleichzeitig integrieren Angreifer zunehmend künstliche Intelligenz (KI) in ihre Angriffsabläufe. Sie nutzen KI nicht mehr nur, um Phishing-E-Mails zu verfassen, sondern setzen sie für orchestrierte Spionage und adaptive Malware ein. Schadprogramme wie PROMPTFLUX und PROMPTSTEAL fragen während ihrer Ausführung große Sprachmodelle (LLMs) ab, um die Erkennung zu umgehen. Eine neue Bedrohung sind zudem „Distillation Attacks“, die darauf abzielen, proprietäre Logik und Trainingsdaten wertvoller KI-Modelle zu stehlen.

Während Kriminelle KI bereits als Waffe nutzen, müssen Unternehmen auch die rechtlichen Rahmenbedingungen der neuen EU-KI-Verordnung im Blick behalten. Sichern Sie sich diesen kostenlosen Umsetzungsleitfaden, um Kennzeichnungspflichten und Risikoklassen Ihrer Systeme rechtssicher zu dokumentieren. Kostenloses E-Book zur EU-KI-Verordnung sichern

Ransomware: Fokus auf die Zerstörung der Wiederherstellung

Die Ziele von Ransomware-Angriffen haben sich verschoben. Die Täter gehen über reine Verschlüsselungs- und Erpressungsoperationen hinaus. Ihr neues Ziel ist es, Organisationen systematisch die Wiederherstellungsfähigkeit zu nehmen. Dafür greifen sie gezielt kritische Infrastruktur wie Backup-Systeme, Identitätsdienste und Virtualisierungs-Management an.

Mandiant untersuchte mehrere Vorfälle, bei denen Angreifer Backup-Management-Server kompromittierten, Zugangsdaten extrahierten und Millionen von Backup-Objekten aus Cloud-Speichern sowie lokale Sicherungen löschten. Ransomware-Vorfälle machten 2025 insgesamt 13 Prozent der Mandiant-Untersuchungen aus.

High-Tech löst Finanzsektor als Hauptziel ab

Bei den Zielindustrien hat ein Wechsel stattgefunden: Der High-Tech-Sektor hat den Finanzdienstleistungsbereich als am häufigsten angegriffene Branche abgelöst. 17 Prozent aller Mandiant-Untersuchungen betrafen 2025 High-Tech-Unternehmen, gefolgt vom Finanzsektor mit 14,6 Prozent. Auch Unternehmensdienstleister (13,3%) und das Gesundheitswesen (11,9%) stehen weiterhin stark im Fokus.

Die durchschnittliche Verweildauer („Dwell Time“) von Angreifern in einem System, bevor sie entdeckt werden, ist global auf 14 Tage gestiegen. Bei Cyber-Spionage und Vorfällen mit nordkoreanischen IT-Arbeitern lag sie sogar bei durchschnittlich 122 Tagen. Dies deutet auf eine wachsende Raffinesse bei der Umgehung von Abwehrmaßnahmen hin.

Appell für eine proaktive und KI-gestützte Verteidigung

Die Erkenntnisse des Reports sind ein klarer Aufruf zu einer proaktiven Sicherheitsstrategie. Angesichts der beschleunigten Angriffszyklen und der KI-Nutzung durch Kriminelle reichen statische Abwehrmaßnahmen nicht mehr aus. Organisationen müssen ihre Verteidigung dynamischer und adaptiver gestalten.

Mandiant empfiehlt einen Fokus auf robustes Identitäts- und Zugriffsmanagements mit Least-Privilege-Prinzip, starke Multi-Faktor-Authentifizierung und eine widerstandsfähige Recovery-Infrastruktur. Regelmäßiges „AI Red Teaming“ und eine umfassende KI-Governance sollen helfen, Systeme zu testen und sichere Nutzungsrichtlinien zu etablieren. In einer landscape, in der KI zur Standardwaffe wird, ist eine mehrschichtige und kontinuierlich angepasste Sicherheitsstrategie unverzichtbar.

boerse | 68991547 |