IRCNF

Verizon DBIR 2026: Zum ersten Mal überholt ungepatchte Software gestohlene Zugangsdaten als häufigsten Einbruchsvektor

Verizon
Teilen:
Verizon DBIR 2026: Zum ersten Mal überholt ungepatchte Software gestohlene Zugangsdaten als häufigsten Einbruchsvektor

Verizon hat diese Woche seinen Data Breach Investigations Report (DBIR) 2026 veröffentlicht. Die Kernaussage sollte jedes Security-Team innehalten lassen: Erstmals in der 19-jährigen Geschichte des Reports hat die Ausnutzung von Schwachstellen die gestohlenen Zugangsdaten als wichtigsten initialen Zugriffsvektor für bestätigte Datenverstöße überholt. Ungepatchte Software ist nun der häufigste Weg, über den Angreifer eindringen. Und die Kluft zwischen der Fähigkeit der Angreifer, bekannte Schwachstellen auszunutzen, und der Fähigkeit der Organisationen, diese zu patchen, wird größer – nicht kleiner.

Die Zahlen, die den Wandel definieren

Die Ausnutzung von Schwachstellen machte 31 % aller im DBIR 2026 analysierten bestätigten Verstöße aus, gegenüber 20 % im Vorjahr. Gestohlene Zugangsdaten, die über ein Jahrzehnt hinweg konstant an der Spitze standen, liegen nun dahinter. Dies ist keine statistische Schwankung – ein Anstieg um 11 Prozentpunkte im Jahresvergleich in einem Datensatz dieser Größenordnung spiegelt einen echten, strukturellen Wandel im Verhalten der Angreifer wider.

Die Patch-Daten machen die Ursache deutlich. Die mediane Zeit zum Patchen von Schwachstellen stieg von 32 auf 43 Tage – Organisationen brauchen länger, nicht kürzer, um bekannte Fehler zu beheben. Noch gravierender: Nur 26 % der kritischen Schwachstellen im Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) von CISA wurden 2025 vollständig behoben, gegenüber 38 % im Vorjahr. Der KEV-Katalog existiert speziell, um Organisationen zu signalisieren, welche Schwachstellen aktiv für Angriffe genutzt werden. Eine Nicht-Behebungsrate von 74 % für diesen Katalog ist kein Patch-Problem. Es ist eine Krise.

KI verkürzt das Ausnutzungsfenster

Der DBIR dokumentiert die Rolle der KI bei diesem Wandel in konkreten Zahlen. Bedrohungsakteure nutzen KI, um die Ausnutzung bekannter Schwachstellen zu beschleunigen, und verkürzen das Fenster zwischen öffentlicher Bekanntgabe und aktiver Ausnutzung von Monaten auf Stunden. KI-gesteuerte Tools identifizieren Schwachstellen in Produktivsoftware, die menschlichen Forschern zuvor entgangen waren. Der mediante Bedrohungsakteur im DBIR-Datensatz nutzte KI-Unterstützung bei 15 verschiedenen Angriffstechniken; einige setzten sie bei 40 bis 50 Techniken ein.

Diese Komprimierung des Ausnutzungszeitraums macht die Verzögerung bei Patches noch folgenschwerer. Als das Fenster zwischen Bekanntgabe und aktiver Ausnutzung noch Wochen oder Monate betrug, waren mediane Patch-Zeiten von 43 Tagen schmerzhaft, aber für viele Organisationen potenziell überlebbar. Wenn dieses Fenster in Stunden gemessen wird, bedeuten 43 Tage eine nahezu sichere Gefährdung für jede bekannte, ungepatchte Schwachstelle in der internetfähigen Infrastruktur.

Die Verdreifachung der Schatten-KI

Eine der alarmierendsten Erkenntnisse des DBIR 2026 hat nichts mit externen Angreifern zu tun. Die Nutzung nicht genehmigter „Schatten-KI“ auf Unternehmensgeräten durch Mitarbeiter hat sich innerhalb eines Jahres verdreifacht – von 15 % auf 45 % der Mitarbeiter. Der Datentyp, der am häufigsten an diese nicht autorisierten KI-Plattformen übermittelt wird? Quellcode – eingegeben über persönliche Konten ohne Unternehmensgovernance, ohne Datenklassifizierungskontrollen und ohne Protokollierung.

Der DBIR ist deutlich in seiner Implikation: Aus Sicht der Datenexposition erzeugt die Übermittlung von proprietärem Quellcode durch Mitarbeiter an ein persönliches ChatGPT- oder Gemini-Konto über eine nicht autorisierte Browsererweiterung einen Effekt, der funktional identisch mit Datenevakuation ist. Der Code hat die Kontrolle der Organisation verlassen. Ob die Absicht böswillig war, ist für die Exposition irrelevant. Mehr als 15 % der Unternehmensnutzer haben nicht autorisierte KI-Browsererweiterungen installiert – Browser-Plugins, die speziell darauf ausgelegt sind, den Browserkontext für Modelleingaben zu erfassen, einschließlich interner Systeme und nicht öffentlicher Daten.

Drittanbieterrisiko wird zum Sicherheitsvorfallrisiko

Der DBIR dokumentiert auch einen deutlichen Anstieg von Sicherheitsvorfällen, die über Drittanbieter und Lieferkettenkompromittierungen entstehen. Angreifer haben erkannt, dass gut verteidigte direkte Unternehmensziele oft schwieriger anzugreifen sind als die Anbieter, Auftragnehmer und Softwareanbieter, denen diese Unternehmen vertrauen. Die Daten von 2026 zeigen, dass sich diese Strategie zunehmend auszahlt – Sicherheitsvorfälle, die von Drittanbietern ausgehen, stellen mittlerweile einen statistisch signifikanten Anteil des bestätigten Vorfallsdatensatzes dar und sind kein Nischenthema mehr.

Die Verteidigungsseite

Die Bewertung der KI in der Verteidigung fällt im DBIR verhaltener aus. Während KI-Tools für die Bedrohungserkennung, automatisierte Triage und Schwachstellenscans eingesetzt werden, stellt der Bericht fest: „KI verändert die Ökonomie des Angriffs, das Gleiche kann man von der Verteidigung noch nicht sagen.“ Die Automatisierung von Angriffen ist der Automatisierung von Verteidigung voraus. Die Tools, die Verteidigern helfen, Warnmeldungen schneller zu verarbeiten, helfen auch Angreifern, mehr Warnmeldungen zu generieren. Der Nettoeffekt in dieser Phase der Einführung scheint die Angreifer zu begünstigen.

Was Sicherheitsteams daraus mitnehmen sollten

Die Verschiebung von Diebstahl von Zugangsdaten hin zur Schwachstellenausnutzung als primärem Vektor hat direkte Auswirkungen auf die Priorisierung der Verteidigung. Organisationen, die stark auf Identitäts- und Zugriffsmanagement gesetzt haben – Multi-Faktor-Authentifizierung, Passwortrichtlinien, Überwachung von Zugangsdaten – haben ihre Investitionen nicht verschwendet, aber sie haben möglicherweise in das Schwachstellenmanagement im Verhältnis zur aktuellen Bedrohungslage zu wenig investiert. Die Reduzierung der medianen Patch-Zeit, die Verbesserung der Abdeckung von CISA-KEV-Behebungen und die Einführung von Kontrollen rund um die Nutzung von KI-Tools durch Mitarbeiter sind die drei Bereiche, in denen die Daten des DBIR 2026 am deutlichsten auf Handlungslücken hinweisen.

Der Befund zur Schatten-KI verdient besondere Dringlichkeit. Die Verdreifachung der nicht autorisierten KI-Nutzung innerhalb eines Jahres ist kein Trend, der allein auf Richtlinien reagiert. Organisationen, die noch keine technischen Kontrollen implementiert haben – Whitelisting von Browsererweiterungen, Data Loss Prevention-Regeln für KI-Plattform-Domains, Überwachung der KI-Nutzung im Unternehmen – erleben mit hoher Wahrscheinlichkeit bereits die Datenexposition, die der DBIR beschreibt, ob sie es wissen oder nicht.

cybersecurityVerizon DBIRdata breachesvulnerability managementshadow AIunpatched softwareCISA KEV

Originally reported by Verizon. Read the original article for additional details.

View original source
Teilen: