Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen

Cloudflare veröffentlicht die erste Version seines Cloudflare Threat Reports. Der Bericht basiert auf Telemetriedaten aus einem Netzwerk, das rund 20 Prozent des weltweiten Internet-Traffics verarbeitet – eine der größten verfügbaren Datenquellen zur globalen Bedrohungslage. Er beschreibt eine zunehmend industrialisierte Cyberbedrohungslandschaft, in der Effizienz und Skalierbarkeit wichtiger sind als technische Raffinesse. Anstelle komplexer Einzelangriffe setzen Akteure immer mehr auf automatisierte Kampagnen. Maßgeblich ist dabei im Jahr 2026 das Prinzip der „Measure of Effectiveness“ (MOE) – also das Verhältnis von Aufwand zu Wirkung. Es zeigt sich, dass Generative KI die Eintrittsbarrieren weiter sinkt: Sie unterstützt Angreifer bei Phishing, der Entwicklung von Malware und der gezielten Navigation komplexer SaaS-Umgebungen.

Ransomware beginnt mit einem erfolgreichen Log-in –Bots auf dem Vormarsch

Ein zentrales Motiv des Reports ist die Verschiebung vom klassischen Netzwerkangriff hin zum Identitätsmissbrauch. Infostealer wie LummaC2 stehlen aktive Session-Tokens und umgehen damit selbst Multi-Faktor-Authentifizierung – somit lässt sich festhalten, dass Ransomware zu einem “Login-Event” geworden ist. Sprich: Ransomware beginnt häufig nicht mehr mit einem klassischen System-Einbruch, sondern mit dem Missbrauch bereits kompromittierter Zugangsdaten. 94 Prozent aller Login-Versuche stammen laut Report von Bots, und 46 Prozent der menschlichen Logins verwenden bereits kompromittierte Zugangsdaten. Das Thema “Identität” ersetzt damit zunehmend Malware als primären Angriffsvektor. Insgesamt entfallen rund 30 Prozent des gesamten von Cloudflare beobachteten HTTP-Traffics auf automatisierte Bot-Aktivitäten

Living-off-the-Cloud: Missbrauch legitimer Infrastruktur

Geichzeitig professionalisiert sich die Nutzung legitimer Cloud-Dienste für kriminelle Zwecke. Staatliche wie kriminelle Akteure missbrauchen SaaS-, IaaS- und PaaS-Plattformen, um Command-and-Control-Kommunikation oder Schadcode in regulärem Unternehmensverkehr zu verstecken („Living-off-the-Cloud“, oder wie der Bericht es nennt: “Living-off-the-XaaS”). Dabei nutzen Angreifer bewusst die Reputation großer Cloud-Anbieter, um Sicherheitsfilter zu umgehen und ihre Aktivitäten als legitimen Traffic zu tarnen. Im staatlichen Kontext analysiert der Report insbesondere Aktivitäten aus Russland, China, Nordkorea und dem Iran, die jeweils unterschiedliche Taktiken und Ziele verfolgen, darunter langfristige Zugangsstrategien, verdeckte Operationen und ausgeprägte Nutzung von Cloud-Missbrauch sowie hybride Angriffe.

Rekordwerte bei DDoS und Phishing

Auch DDoS-Angriffe erreichen eine neue Dimensionen: 2025 wurden 47,1 Millionen Attacken beobachtet – mehr als doppelt so viele wie im Vorjahr. Der Rekordwert lag bei 31,4 Tbps im November letzten Jahres. Dabei handelte es sich um eine massive UDP-Flut, die vom Aisuru-Botnetz gestartet wurde. Hypervolumetrische Angriffe dieser Größenordnung treten inzwischen mit regelrechter Routine auf. Allein im Jahr 2025 registrierte Cloudflare 19 neue Attacken, die jeweils einen neuen Weltrekord markierten. Viele DDoS-Attacken dauerten weniger als zehn Minuten, was manuelle Gegenmaßnahmen faktisch unmöglich macht.

Im E-Mail-Bereich dominieren linkbasierte Phishing-Angriffe (25 %), gefolgt von Identitätsbasierter Täuschung (19 %) und der Imitation bekannter Marken (16 %). Zu den am häufigsten genutzten Markennamen für Letzteres zählen “Windows”, “Microsoft”, “Stripe”, “Facebook”, “Amazon”, “Instagram” und “Youtube”.

Gravierende Authentifizierungslücken: 43 Prozent der E-Mails scheiterten an SPF (Sender Policy Framework), 44 Prozent hatten keine gültige DKIM (DomainKeys Identified Mail)-Signatur und 46 Prozent bestanden DMARC (Domain-based Message Authentification Reporting and Conformance) nicht. Im Bereich Business E-Mail Compromise (BEC) identifizierten Cloudflare-Analysten 2025 Mail-basierte Zahlungsforderungen – also  Betrugsversuche – in Höhe von insgesamt 123.455.786 US-Dollar. Die von den Tätern geforderten Summen schwanken stark, lagen jedoch durchschnittlich bei etwa 49.000 Dollar pro Versuch.

Globale Verflechtung der Bedrohungslage

Regional gesehen bleibt die Cybersecurity-Bedrohungslage verflochten. Die USA sind volumenmäßig am stärksten betroffen, Europa stellt 22 Prozent der weltweiten Erpressungsopfer, und in der EU entfallen 38 Prozent der Vorfälle im Transportsektor auf Ransomware. In Sachen politisch-motiviertem Hacktivismus lässt sich festhalten:  Hacktivisten sind für fast 80% der registrierten Vorfälle in der EU verantwortlich und konzentrieren sich auf vor allem auf DDoS-Angriffe, die öffentliche Verwaltungen und Banken ins Visier. In APAC stehen die Sektoren IT, Halbleiter sowie die maritime Infrastruktur besonders im Fokus. Hintergrund ist hier das hohe Risiko von gezieltem Diebstahl geistigen Eigentums, insbesondere im Hightech-Fertigungsbereich und in maritimen Schlüsselindustrien, um technologische und wettbewerbliche Lücken zu schließen.

Fazit: Insgesamt zeichnet der Threat Report von Cloudflare ein Bild von 2026 als ein Jahr automatisierter, oft identitätszentrierter Angriffe, in dem KI, Cloud-Infrastruktur und hochskalierte Botnetze die Bedrohungsdynamik bestimmen. IT-Sicherheitsstrategien müssen sich laut Bericht daher von perimeterzentrierten Modellen hin zu identitäts- und systembasierten Verteidigungsansätzen verschieben.

Entdecke mehr

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk