Sicherheitslücken überholen Passwortklau: Neue Ära der Cyberangriffe

Exploits sind jetzt die häufigste Einfallspforte für Hacker – mit drastischen Folgen für Unternehmen.

Die globale Cybersicherheit erlebt einen fundamentalen Wandel. Erstmals haben Angriffe über Software-Sicherheitslücken den Diebstahl von Zugangsdaten als häufigste Einstiegsmethode abgelöst. Der aktuelle Verizon Data Breach Investigations Report (DBIR) 2026 zeigt: Exploits machen inzwischen 31 Prozent aller untersuchten Sicherheitsvorfälle aus – ein deutlicher Anstieg gegenüber 20 Prozent im Vorjahr.

Angesichts der rasant steigenden Zahl an Software-Sicherheitslücken ist ein proaktiver Schutz für Firmen unerlässlich, um keine teuren Ausfälle zu riskieren. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Sicherheitslücken effektiv schließen und Ihr Unternehmen ohne großes Budget vor modernen Cyberattacken schützen. IT-Sicherheits-Guide für Unternehmen jetzt gratis herunterladen

Explosionsartiger Anstieg der Schwachstellen

Die Zahl der entdeckten Sicherheitslücken ist regelrecht explodiert. Waren es 2022 noch knapp 69 Millionen, liegt die aktuelle Zahl bei über 527 Millionen. Ein alarmierender Trend: Nur 26 Prozent der kritischen Schwachstellen aus dem KEV-Katalog der US-Cybersicherheitsbehörde CISA wurden im vergangenen Jahr geschlossen. Zum Vergleich: Zuvor lag die Rate noch bei 38 Prozent.

Die Zeit, die Unternehmen für das Einspielen von Patches benötigen, ist ebenfalls gestiegen. Im Durchschnitt dauert es nun 43 Tage – elf Tage länger als zuvor. Eine gefährliche Entwicklung, denn jeder ungepatchte Tag ist ein gefundenes Fressen für Angreifer.

Künstliche Intelligenz als Brandbeschleuniger

Die Integration von KI in die Werkzeugkiste der Angreifer beschleunigt das Tempo der Bedrohungen rasant. Der AppSec Threat Report 2026 von Digital.ai zeigt: Agentische KI wird zum „Force Multiplier“ für Cyberkriminelle. Besonders im mobilen Bereich zeigt sich das in hochkomplexen Werbe- und Banking-Malware-Kampagnen.

Erst Anfang der Woche deckten Forscher von HUMAN Security eine mehrschichtige Operation mit dem Codenamen „Trapdoor“ auf. Das System nutzte 455 schädliche Android-Apps und 183 HTML5-Domains, um täglich zwischen 480 Millionen und 659 Millionen betrügerische Werbeanfragen zu generieren. Rund 24 Millionen gefälschte App-Installationen waren die Folge – vor allem in den USA, Japan, Australien und Russland. Google hat die betroffenen Apps inzwischen aus dem Play Store entfernt.

Banking-Trojaner im Visier

Der Finanzsektor bleibt das Hauptziel dieser Bedrohungen. Banking-Trojaner wie die Anatsa-Variante missbrauchen zunehmend den Accessibility-Dienst von Android, um Sicherheitsmaßnahmen zu umgehen. Die Zahlen sind alarmierend: Im ersten Quartal 2025 machten Trojaner 40 Prozent aller Android-Malware-Infektionen aus. Die Schadprogramme tarnen sich oft als legitime Tools, um tiefe Systemberechtigungen zu erlangen – und dann Finanztransaktionen abzugreifen.

Besonders beim mobilen Banking und Bezahldiensten wie PayPal riskieren Nutzer ohne die richtigen Sicherheitsvorkehrungen den Verlust ihrer Finanzdaten. Ein kostenloser PDF-Ratgeber liefert Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, um Ihr Android-Smartphone effektiv gegen Hacker und Viren abzusichern. 5 Schutzmaßnahmen für Ihr Smartphone kostenlos sichern

Microsoft verabschiedet sich von SMS

Die wachsende Bedrohung durch SIM-Swapping und Netzwerkschwachstellen hat Microsoft zum Handeln gezwungen. Der Konzern stellt die SMS-basierte Zwei-Faktor-Authentifizierung für Privatkonten ein. Betroffen sind Millionen Nutzer von Xbox, Windows 11, Outlook und OneDrive. Begründung: SMS sei unverschlüsselt und leicht abzufangen.

Stattdessen setzt Microsoft nun voll auf Passkeys. Diese nutzen biometrische Daten oder PINs und werden lokal im TPM-Chip eines Geräts gespeichert. Weltweit sind bereits rund fünf Milliarden Passkeys im Einsatz. 90 Prozent der Internetnutzer kennen die Technologie, 75 Prozent haben mindestens einen aktiviert. Die durchschnittliche Anmeldezeit konnte um 20 Prozent gesenkt werden.

Doch der Umstieg hat auch Haken. Kritiker bemängeln, dass Passkeys in isolierten virtuellen Umgebungen ohne biometrische Hardware Probleme bereiten. Zudem warnte Microsoft kürzlich selbst vor einer kritischen Sicherheitslücke in seiner Authenticator-App. Nutzer sollen auf Android Version 6.2605.2973 oder iOS Version 6.8.47 aktualisieren.

Infrastruktur-Schwachstellen und neue Angriffsvektoren

Neben mobilen Bedrohungen bleiben kritische Serverschwachstellen eine Gefahr für Unternehmensdaten. Eine kürzlich aufgedeckte Sicherheitslücke in ChromaDB (CVE-2026-45829, Spitzname „ChromaToast“) ermöglicht die Serverübernahme ohne Authentifizierung. 73 Prozent der internetzugänglichen Installationen sind betroffen. Obwohl die Schwachstelle bereits im November 2025 gemeldet wurde, fehlt bis heute ein Patch.

Die finanziellen Folgen sind enorm. Im Einzelhandel werden 23 Prozent der Opfer von Datenschutzverletzungen später auch Opfer von direktem Finanzbetrug. Besonders betroffen ist die Reisebranche: Laut einer aktuellen McAfee-Studie ist jeder dritte Reisende schon einmal auf eine Betrugsmasche hereingefallen. Tripadvisor ist dabei die am häufigsten imitierte Marke – dreimal häufiger als andere Branchenvertreter.

Ransomware und Drittanbieter-Risiken

Der Verizon DBIR 2026 zeigt: Ransomware war an 48 Prozent aller Sicherheitsvorfälle beteiligt – ein Anstieg von 44 Prozent im Vorjahr. Noch dramatischer: Die Beteiligung von Drittanbietern an Sicherheitsverletzungen ist um 60 Prozent gestiegen und macht nun 48 Prozent aller Fälle aus.

Ein wachsendes Problem ist auch die „Schatten-KI“: 67 Prozent der Mitarbeiter nutzen KI-Tools über nicht kontrollierte, private Accounts – ein Einfallstor für Datendiebstahl.

Ausblick: Zero Trust und regulatorischer Druck

Die Zukunft der Cybersicherheit liegt in Zero-Trust-Architekturen und hardwarebasierter Authentifizierung. Android 17 plant einen neuen „Advanced Protection Mode“, der den Missbrauch von Accessibility-Diensten durch Banking-Trojaner verhindern soll. Google testet zudem ein neues „Credential Exchange Protocol“ (CXP) für den plattformübergreifenden Einsatz von Passkeys.

Der regulatorische Druck steigt ebenfalls. In den USA hat die FTC eine Website zur Meldung von Plattformen gestartet, die gegen den „Take It Down Act“ verstoßen. Ein Visa-Whitepaper betont: 85 Prozent der Verbraucher sorgen sich um unbefugten Datenzugriff, aber 79 Prozent vertrauen Organisationen, die transparent über ihre Sicherheitspraktiken kommunizieren.

Die Botschaft ist klar: Während Angreifer KI nutzen, um ihre Methoden zu verfeiner, müssen Unternehmen auf biometrische Sicherheit, automatisiertes Patch-Management und Echtzeit-Überwachung setzen. Der Kampf um die Sicherheit der globalen Finanzökosysteme hat eine neue Stufe erreicht.

de | wissenschaft | 69379304 |