CrowdStrike Global Threat Report 2026: KI beschleunigt Cyberangriffe und weitet Angriffsflächen aus

Der CrowdStrike Global Threat Report 2026 dokumentiert, wie der verbreitete Einsatz von Künstlicher Intelligenz die Geschwindigkeit und Reichweite von Cyberangriffen messbar verändert – und Unternehmen vor neue Herausforderungen stellt.

CrowdStrike hat seinen Global Threat Report 2026 veröffentlicht. Der Bericht zeigt, wie Künstliche Intelligenz Angreifern dabei hilft, schneller und wirkungsvoller vorzugehen, während gleichzeitig die angreifbare Fläche von Unternehmen wächst.

Besonders auffällig ist die Entwicklung bei den Bewegungszeiten innerhalb kompromittierter Netzwerke: Die durchschnittliche eCrime-Breakout-Time – also der Zeitraum, den ein Angreifer benötigt, um sich nach dem ersten Zugriff lateral durch ein System zu bewegen – liegt aktuell bei 29 Minuten. Der schnellste dokumentierte Fall dauerte lediglich 27 Sekunden.

KI-gestützte Angriffsoperationen haben im Vergleich zum Vorjahr um 89 Prozent zugenommen. Dabei setzen Angreifer KI unter anderem für Aufklärung, Identitätsmissbrauch und die Verschleierung ihrer Aktivitäten ein. Zudem wurden bei mehr als 90 Unternehmen schädliche Prompts in generative KI-Tools eingeschleust. Auch KI-Entwicklungsplattformen werden aktiv für Angriffszwecke genutzt.

Ein weiteres Muster, das der Bericht beschreibt, ist die zunehmende Nutzung legitimer Zugangswege: Angreifer operieren vermehrt über vertrauenswürdige Identitäten, SaaS-Anwendungen und Cloud-Infrastrukturen. Dadurch lassen sich bösartige Aktivitäten schwerer von regulären Vorgängen unterscheiden, was die verfügbare Reaktionszeit für Sicherheitsteams verkürzt.

Der Bericht hält fest, dass KI in der aktuellen Bedrohungslandschaft eine doppelte Rolle einnimmt: Sie ist sowohl ein Werkzeug in den Händen von Angreifern als auch selbst ein zunehmend attraktives Angriffsziel.

Highlights des CrowdStrike Global Threat Report 2026:

Basierend auf den Erkenntnissen der Elite Threat Hunter und Intelligence-Analysten von CrowdStrike, die mehr als 280 namentlich benannte Angreifer verfolgen, enthüllt der neueste Report Folgendes:

• KI ist die neue Angriffsfläche – KI-Prompts sind die neue Malware: In mehr als 90 Organisationen haben Angreifer bösartige Prompts in seriöse KI-Tools eingeschleust. Dadurch wurden Befehle ausgeführt, die Anmeldedaten und Kryptowährungen gestohlen haben. Zudem nutzen Angreifer Schwachstellen in KI-Entwicklungsplattformen aus, um Persistenz zu erreichen und Ransomware zu verbreiten oder bösartige KI-Server bereitzustellen, die sich als vertrauenswürdige Dienste ausgaben, um sensible Daten abzufangen.

• Schnellste Breakout-Time aller Zeiten: Aufgrund von Künstlicher Intelligenz sank die durchschnittliche eCrime-Breakout-Time auf 29 Minuten. Dies entspricht einer Beschleunigung von 65 % gegenüber 2024. Der schnellste beobachtete Angriff dauerte nur 27 Sekunden. In einem Fall begann die Datenexfiltration innerhalb von vier Minuten nach dem Erstzugriff.

• Immer mehr Nationalstaaten und eCrime-Akteure setzen auf KI: Angreifer, die KI nutzen, haben ihre Aktivitäten um 89 % erhöht. So hat beispielsweise der Russland-nahe Akteur FANCY BEAR die LLM-fähige Malware (LAMEHUG) eingesetzt, um die Informationsbeschaffung und das Sammeln von Dokumenten zu automatisieren. Die eCrime-Gruppe PUNK SPIDER hingegen verwendete KI-generierte Skripte, um das Auslesen von Anmeldedaten zu beschleunigen und forensische Beweise zu löschen. Darüber hinaus nutzte die Nordkorea-nahe Gruppe FAMOUS CHOLLIMA KI-generierte Personas, um Insider-Operationen zu skalieren.

• Steigende Anzahl von Cyberoperationen durch China- & Nordkorea-nahe Akteure: Cyberaktivitäten mit Bezug zu China nahmen im Jahr 2025 um 38 % zu, wobei die Logistikbranche mit 85 % mehr Angriffen im Vergleich zum Vorjahr am stärksten betroffen war. 67 % aller von China-nahen Akteuren ausgenutzten Schwachstellen führten zu einem sofortigen Systemzugriff, während 40 % der Angriffe gezielte internetfähige Edge-Geräte im Visier hatten. Nordkorea-nahe Angriffe stiegen um mehr als 130 %, wobei FAMOUS CHOLLIMA seine Aktivitäten mehr als verdoppelte. PRESSURE CHOLLIMAs Diebstahl von Kryptowährungen im Wert von 1,46 Milliarden Dollar war der größte jemals gemeldete Finanzraub.

• Zero-Day- und Cloud-Exploits nehmen zu: 42 % der Sicherheitslücken wurden vor ihrer öffentlichen Bekanntgabe ausgenutzt, da Angreifer Zero-Day-Exploits für den initialen Zugriff, Remote-Code-Ausführung und Privilegienerweiterung nutzten. Cloud-bewusste Angriffe stiegen insgesamt um 37 % – mit einem Anstieg von 266 % bei staatlichen Akteuren, die Cloud-Umgebungen für die Informationsbeschaffung ins Visier nehmen. 

„Dies ist ein Wettrüsten im Bereich der Künstlichen Intelligenz“, sagt Adam Meyers, Head of Counter Adversary Operations bei CrowdStrike. „Die Breakout-Time ist das deutlichste Signal, wie sich die Angriffe verändert haben. Angreifer schaffen den Übergang vom Erstzugriff zur lateralen Bewegung innerhalb von Minuten. KI verkürzt die Zeit zwischen Intention und Durchführung und macht gleichzeitig KI-Systeme in Unternehmen zu Zielen. Security-Teams müssen schneller sein als die Angreifer, um zu gewinnen.“

Auch interessant:

---