30. März 2026 Allgemein
Cyberbedrohungen 2026: Was Unternehmen jetzt wissen müssen
Ein Blogbeitrag basierend auf dem CrowdStrike Global Threat Report 2026
Mehr Informationen +
Die Cyberkriminalität schläft nicht – und sie wird schneller. Der jährliche Global Threat Report von CrowdStrike, einem der weltweit führenden Anbieter von Cybersicherheitslösungen, zeichnet für das Jahr 2026 ein beunruhigendes Bild: Angreifer sind raffinierter, schneller und schwerer zu erkennen als je zuvor. Für Unternehmen in Österreich sind diese Erkenntnisse hochrelevant, denn Europa steht klar im Visier internationaler Bedrohungsakteure.
Das Jahr des „unsichtbaren Angreifers”
CrowdStrike bezeichnet 2025 als das „Jahr des ausweichenden Angreifers” (Year of the Evasive Adversary). Gemeint ist damit eine grundlegende Verschiebung in der Vorgehensweise von Cyberkriminellen: Statt klassischer Schadsoftware (sogenannte Malware) arbeiten sie zunehmend mit gestohlenen Zugangsdaten, legitimen Systemwerkzeugen und dem Missbrauch von Vertrauen in Cloud-Dienste und Geschäftspartner.
Das Ergebnis ist verblüffend: 82% aller erkannten Angriffe im Jahr 2025 enthielten keinerlei klassische Schadsoftware – ein starker Anstieg gegenüber 51% im Jahr 2020. Antivirenprogramme und klassische Sicherheitslösungen, die auf das Erkennen von Schadcode ausgelegt sind, können diese Art von Angriffen kaum abfangen.
Die wichtigsten Bedrohungen auf einen Blick
Angreifer werden rasend schnell
Eines der alarmierendsten Ergebnisse des Berichts betrifft die Geschwindigkeit moderner Cyberangriffe. Die durchschnittliche Zeit, die ein Angreifer benötigt, um sich nach dem ersten Zugang im Unternehmensnetzwerk auszubreiten (sogenannte „Breakout Time”), ist von 48 Minuten im Jahr 2024 auf nur noch 29 Minuten im Jahr 2025 gesunken – ein Rückgang von 65% in einem einzigen Jahr. Der schnellste gemessene Angriff dauerte lediglich 27 Sekunden. In einem dokumentierten Fall begannen die Angreifer bereits vier Minuten nach dem ersten Zugriff mit dem Diebstahl von Daten.
Was bedeutet das in der Praxis? Das Zeitfenster für Unternehmen, einen Angriff zu erkennen und zu stoppen, ist dramatisch kleiner geworden. Traditionelle Sicherheitskonzepte, die auf menschliches Eingreifen setzen, sind damit zunehmend überfordert.
Ransomware bleibt die dominierende Bedrohung
Ransomware – Erpressungssoftware, die Unternehmensdaten verschlüsselt und Lösegeld fordert – ist weiterhin die gefährlichste und häufigste Bedrohung für Unternehmen weltweit. Trotz internationaler Strafverfolgungsmaßnahmen hat sich das Ransomware-Ökosystem 2025 als bemerkenswert widerstandsfähig erwiesen.
Besonders aktiv war die Gruppe PUNK SPIDER, die im Jahr 2025 sage und schreibe 198 dokumentierte Einbrüche verübte – ein Anstieg von 134% gegenüber dem Vorjahr. Diese und ähnliche Gruppen setzen auf eine clevere Taktik: Sie vermeiden stark überwachte Unternehmensrechner und greifen stattdessen auf schlecht geschützte Bereiche zurück – etwa nicht verwaltete Geräte, Cloud-Dienste oder externe Partner.
KI als Waffe der Angreifer
Künstliche Intelligenz (KI) ist nicht nur ein Thema für Unternehmen – sie ist längst auch in den Händen von Cyberkriminellen angekommen. 89% mehr Angriffe wurden 2025 von KI-gestützten Akteuren durchgeführt als noch im Vorjahr. Die Angreifer nutzen KI, um:
- Phishing-Mails perfekt und fehlerfrei in jeder Sprache zu formulieren – auch auf hochwertigem Deutsch
- Schadsoftware schneller zu entwickeln und zu verfeinern
- Fake-Identitäten und gefälschte Profile zu erstellen, um Mitarbeiter zu täuschen
- Desinformationskampagnen glaubwürdiger zu gestalten – laut Bericht wurden KI-generierte Falschinformationen auch gezielt gegen deutsche Wahlprozesse eingesetzt
Supply-Chain-Angriffe: Der Angriff über Umwege
Immer mehr Angreifer treffen Unternehmen nicht direkt, sondern über deren Lieferanten, Softwareanbieter oder IT-Dienstleister – sogenannte Supply-Chain-Angriffe. Das Prinzip: Wenn ein Angreifer einen vertrauenswürdigen Softwareanbieter kompromittiert, verbreitet er seinen Schadcode automatisch an alle Kunden dieses Anbieters.
Der bisher größte finanzielle Einzeldiebstahl in der Cyberkriminalitätsgeschichte fand 2025 auf diesem Weg statt: Eine nordkoreanische Hackergruppe stahl mithilfe eines manipulierten Software-Updates Kryptowährungen im Wert von 1,46 Milliarden US-Dollar.
Was bedeutet das für Östereich?
Europa steht im Fadenkreuz
Laut dem CrowdStrike-Bericht ist Europa nach Nordamerika und Ostasien die am dritthäufigsten betroffene Region bei sogenannten „interaktiven Einbrüchen” – also Angriffen, bei denen echte Personen aktiv in einem fremden Netzwerk agieren. Besonders betroffen sind dabei Branchen, die bei uns stark vertreten sind:
| Branche | Angriffshäufigkeit (Rang) |
|---|---|
| Technologie | 1 (häufigste Zielbranche) |
| Produktion & Industrie | 2 |
| Einzelhandel | 3 |
| Finanzdienstleistungen | 4 |
| Gesundheitswesen | 5 |
| Telekommunikation | 6 |
| Behörden / Öffentlicher Sektor | 7 |
Gerade mittelständische Fertigungs- und Industriebetriebe – das Rückgrat der europäischen Wirtschaft – sind damit primäre Zielscheiben.
Russische Akteure: Geopolitisch motivierte Angriffe auf NATO-Staaten
Der Bericht warnt ausdrücklich: Russland-nahe Hackergruppen werden 2026 weiterhin aggressive Operationen gegen NATO-Mitgliedsstaaten durchführen – mit dem Ziel der Geheimdienstinformation und politischen Einflussnahme. Konkret dokumentiert ist, dass eine russisch-nahe Gruppe KI einsetzte, um in den deutschen Bundestagswahlkampf 2025 einzugreifen – durch KI-generierte Falschnachrichten und gefälschte Medienpräsenz.
Russische Akteure wie FANCY BEAR haben zudem gezielt Webmail-Dienste (z. B. Zimbra, Roundcube) angegriffen, die häufig in europäischen Behörden und Unternehmen eingesetzt werden. Belarus-nahe Akteure wie UMBRAL BISON verstärken diese Aktivitäten.[1]
Chinesische Akteure: Wirtschaftsspionage mit System
Chinesische Hackergruppen haben ihre Aktivitäten 2025 um 38% gegenüber dem Vorjahr gesteigert. Ihr Hauptziel: Wirtschaftsspionage, Technologietransfer und der Zugang zu Telekommunikationsinfrastruktur. Angriffe auf Logistikunternehmen nahmen sogar um 85% zu, auf Finanzdienstleister um 20%.
Diese Akteure gehen hochprofessionell vor: Sie nutzen gezielt Sicherheitslücken in VPN-Geräten, Firewalls und anderen Netzwerk-Randgeräten – also genau jene Systeme, die den Internetübergang eines Unternehmens sichern sollen. In manchen Fällen blieben sie dabei 22 Monate unentdeckt in Unternehmensnetzwerken. Besonders brisant: Nach der öffentlichen Bekanntmachung einer Sicherheitslücke begannen diese Gruppen im Jahr 2025 im Schnitt innerhalb von 2 bis 6 Tagen mit der Ausnutzung – noch bevor viele Unternehmen überhaupt reagieren konnten.
Fake-CAPTCHA und Phishing: Auch Mitarbeiter ohne IT-Wissen sind betroffen
2025 verzeichnete CrowdStrike eine Zunahme von 563% bei einer bestimmten Angriffsmethode, die auf nichts Technisches angewiesen ist: die sogenannten Fake-CAPTCHA-Angriffe. Dabei werden Mitarbeiter auf täuschend echte Websites gelockt, die eine vermeintliche Sicherheitsabfrage zeigen. Wer diese „löst”, installiert unwissentlich Schadsoftware auf seinem Computer.
Ähnlich funktioniert Voice Phishing (Vishing): Angreifer rufen Mitarbeiter an und geben sich – mithilfe KI-generierter Stimmen – als IT-Support oder Vorgesetzte aus. Eine dokumentierte Angriffsgruppe namens CHATTY SPIDER spezialisierte sich 2025 auf Kanzleien und Anwaltsbüros: Per Telefonanruf überredeten sie Mitarbeiter, Fernzugriff auf ihre Arbeitsrechner zu gewähren – mit verheerenden Folgen.
Was können Unternehmen konkret tun?
Die Bedrohungslage klingt erschreckend – doch sie ist nicht unaufhaltsam. Der CrowdStrike-Bericht enthält klare Handlungsempfehlungen, die für jedes Unternehmen relevant sind:
- Identitäten schützen: Führen Sie Mehrfaktorauthentifizierung (MFA) ein – das bedeutet, dass für jede Anmeldung nicht nur ein Passwort, sondern auch ein zweiter Bestätigungsschritt (z. B. per Smartphone) notwendig ist. Bei Cloud-Diensten wie Microsoft 365 ist dies besonders kritisch, da genau dort Angreifer gezielt ansetzen.
- Sicherheitsupdates priorisieren: Netzwerkgeräte wie VPNs und Firewalls müssen innerhalb von 72 Stunden nach Bekanntwerden kritischer Sicherheitslücken aktualisiert werden. Wer wartet, gibt Angreifern ein Zeitfenster, das diese aktiv ausnutzen.
- Mitarbeiter sensibilisieren: Social Engineering – das Manipulieren von Menschen – ist heute einer der häufigsten Einstiegspunkte für Angreifer. Regelmäßige Schulungen und klare interne Prozesse (z. B.: IT-Support ruft niemals unaufgefordert an und fordert keine Zugangsdaten) sind unverzichtbar.
- Lieferanten und Partner überprüfen: Die Sicherheit eines Unternehmens ist nur so stark wie die Sicherheit seiner schwächsten Zulieferer. Software-Updates sollten nur aus vertrauenswürdigen Quellen bezogen werden.
- Notfallplan bereithalten: Wenn ein Angreifer bereits im Netz ist, entscheiden Minuten. Ein klarer Incident-Response-Plan, der festlegt, wer im Ernstfall was tut, kann den Unterschied zwischen einem kontrollierten Vorfall und einem totalen Betriebsausfall bedeuten.
Fazit: Cyberrisiken brauchen professionelle Absicherung
Die Botschaft des CrowdStrike Global Threat Report 2026 ist unmissverständlich: Kein Unternehmen ist zu klein, zu unbekannt oder zu gut geschützt, um ins Visier von Cyberkriminellen zu geraten. Die Angriffe werden schneller, intelligenter und schwerer erkennbar. Gleichzeitig sind die potenziellen Schäden – Betriebsunterbrechungen, Datenverluste, Reputationsschäden, Bußgelder nach DSGVO – erheblich.
Technische Maßnahmen allein reichen nicht aus. Eine Cyberversicherung ist heute ein unverzichtbarer Bestandteil eines umfassenden Risikomanagements. Sie schützt Ihr Unternehmen nicht nur finanziell im Schadensfall, sondern stellt auch sofortige Unterstützung durch Spezialisten bereit – von der forensischen Analyse bis zur Krisenkommunikation.
Wir sind Ihr Partner für Cyberversicherungen
Als spezialisierter Versicherungsmakler für Financial Lines und Cyberversicherungen kennen wir die aktuelle Bedrohungslandschaft genau – und wissen, worauf es bei einem passgenauen Versicherungsschutz wirklich ankommt. Wir analysieren Ihr individuelles Risikoprofil, erklären Ihnen verständlich die Unterschiede zwischen den verfügbaren Produkten und begleiten Sie von der ersten Beratung bis zur Schadensabwicklung.
Sprechen Sie uns an – bevor ein Schaden eintritt. Wir freuen uns auf das Gespräch.
Quelle: CrowdStrike Global Threat Report 2026. Dieser Blogbeitrag fasst ausgewählte Erkenntnisse zusammen und erhebt keinen Anspruch auf Vollständigkeit.
TEILEN SIE DEN ARTIKEL
Unsere Produkte
D&O
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
CYBER
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
SPEZIAL STRAF-RECHTSSCHUTZ
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
CRIME
Finanzinstitutionen,
Kommerzielle Kunden
VERMÖGENSSCHADEN-HAFTPFLICHT
Finanzinstitute, Private Equity, Werbung & Medien etc.
Lesen Sie hier weiter
News
Die Einwandbehandlung in der Cyberversicherung: Vom „Nein“ zum „Wo darf ich unterschreiben?“
Wer heute keine Cyberversicherung abschließt, entscheidet sich bewusst dafür, das volle finanzielle Risiko eines Totalausfalls auf die eigene Kappe zu nehmen.
WEITERLESEN
News
INFINCO MARKEL Pro Cyber – Neue Produktunterlagen!
INFINCO Markel Pro Cyber ist nun vollständig umgesetzt.
WEITERLESEN
News
Künstliche Intelligenz in der Cybersicherheit: Chancen und Risiken von Claude Code Security
KI-Tools können Fehler schneller und besser finden als je zuvor.
WEITERLESEN← ZURÜCK ZUR ÜBERSICHT
INFINCO FINANCIAL
LINES BROKERS
