KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen

Der IBM X-Force Threat Intelligence Index 2026 zeigt, dass Angreifer bestehende Angriffsmethoden mithilfe von KI-Tools erheblich beschleunigen können. Unternehmen weltweit kämpfen weiterhin mit ungepatchten Schwachstellen und mangelnden Authentifizierungskontrollen – mit spürbaren Folgen auch in Europa, das erneut zur dritthäufigsten angegriffenen Region weltweit zählt.

Grundlegende Sicherheitsmängel bleiben das größte Einfallstor

IBM hat den X-Force Threat Intelligence Index 2026 veröffentlicht, der auf der Auswertung weltweiter Sicherheitsvorfälle aus dem Jahr 2025 basiert. Das zentrale Ergebnis: Cyberkriminelle entwickeln keine grundlegend neuen Angriffsmethoden – sie führen bewährte Taktiken schneller und effizienter aus, zunehmend unterstützt durch KI-gestützte Werkzeuge.

Besonders deutlich wird das beim Einstiegsvektor „öffentlich zugängliche Anwendungen“: Angriffe, die über diesen Weg begannen, nahmen im Jahresvergleich um 44 Prozent zu. Als Hauptursachen nennt IBM fehlende Authentifizierungskontrollen sowie KI-gestützte Schwachstellenerkennung, mit der Angreifer verwundbare Systeme schneller identifizieren und gezielt adressieren können. Der gesamte Prozess von der Aufklärung bis zum Angriff hat sich dadurch erheblich verkürzt.

Mark Hughes, Global Managing Partner für Cybersecurity Services bei IBM, fasst die Lage so zusammen: Das Grundproblem sei unverändert – Unternehmen seien mit einer schieren Masse an Software-Schwachstellen konfrontiert. Der entscheidende Unterschied sei nun die Geschwindigkeit. Da viele Schwachstellen keine gestohlenen Zugangsdaten erforderten, könnten Angreifer den menschlichen Faktor überspringen und direkt vom Scannen zum Angriff übergehen. Sicherheitsverantwortliche müssten daher auf proaktivere Ansätze umsteigen – darunter agentengesteuerte Bedrohungserkennung und -reaktion, um Lücken frühzeitig zu identifizieren, bevor Angreifer sie ausnutzen.

Die Ausnutzung von Schwachstellen hat sich im Berichtsjahr weltweit zur häufigsten Ursache für Sicherheitsvorfälle entwickelt und war für 40 Prozent aller von X-Force untersuchten Fälle verantwortlich. X-Force Red-Penetrationstests bestätigen zudem anhaltende Schwächen in der Zugangshygiene und bei Softwarekonfigurationen: Falsch konfigurierte Zugriffskontrollen stellten den häufigsten Einstiegspunkt bei diesen Einsätzen dar.

Ransomware-Ökosystem wächst durch sinkende Markteintrittsbarrieren

Die Zahl aktiver Ransomware- und Erpressungsgruppen stieg im Vergleich zum Vorjahr um 49 Prozent. Gleichzeitig erhöhte sich die Zahl öffentlich bekannt gewordener Opfer um rund 12 Prozent. X-Force führt diesen Anstieg vor allem auf eine zunehmende Fragmentierung des Ökosystems zurück: Viele der neu entstandenen Gruppen agieren in kleinerem Maßstab und sind kurzlebiger als etablierte Akteure, was ihre Zuordnung und Nachverfolgung erschwert.

Begünstigt wird diese Entwicklung durch stetig sinkende Einstiegshürden. Bedrohungsakteure greifen auf geleakte Angriffswerkzeuge zurück, orientieren sich an etablierten Angriffsmustern und automatisieren operative Abläufe zunehmend mit KI. Mit zunehmender Reife multimodaler KI-Modelle rechnet X-Force damit, dass Angreifer künftig noch komplexere Aufgaben automatisieren werden – darunter Aufklärungsphasen und die Vorbereitung fortgeschrittener Ransomware-Angriffe. Das Ergebnis wären schnellere und anpassungsfähigere Bedrohungen, auf die Unternehmen noch weniger Reaktionszeit haben.

Lieferketten und Drittanbieter geraten stärker unter Druck

Seit 2020 haben sich schwerwiegende Kompromittierungen von Lieferketten und Drittanbietern laut IBM nahezu vervierfacht. Angreifer zielen dabei gezielt auf Vertrauensbeziehungen in Entwicklungsabläufen ab – insbesondere auf CI/CD-Automatisierung sowie auf SaaS-Integrationen, die häufig weitreichende Zugriffsrechte auf Unternehmenssysteme besitzen. Einmal kompromittiert, eröffnen diese Zugangspunkte einen breiten Zugang zu nachgelagerten Systemen und Kundendaten.

Mit dem wachsenden Einsatz KI-gestützter Programmierwerkzeuge, die Entwicklungszyklen zwar beschleunigen, dabei aber gelegentlich nicht hinreichend geprüften Code einbringen, wird der Druck auf Software-Pipelines und Open-Source-Ökosysteme 2026 nach Einschätzung von X-Force weiter zunehmen.

Eine weitere begünstigende Entwicklung ist die zunehmend verschwimmende Grenze zwischen staatlich unterstützten und finanziell motivierten Angreifern. Taktiken und Techniken, die früher primär nationalstaatlichen Akteuren zugeschrieben wurden, verbreiten sich über Underground-Foren und werden inzwischen auch von kriminellen Gruppen eingesetzt. KI vereinfacht dabei Aufklärung und Ausbeutung gleichermaßen und senkt die technische Einstiegshürde weiter.

Als konkretes Beispiel nennt IBM nordkoreanische IT-Fachkräfte, die KI gezielt nutzen, um ihre Operationen zu skalieren – unter anderem durch KI-gestützte Bildmanipulation zur Erstellung synthetischer Identitäten sowie durch Übersetzungstools, um auf globalen Marktplätzen aktiv zu sein.

KI-Plattformen als neues Angriffsziel: das wachsende Identitätsproblem

Infostealer-Malware legte 2025 über 300.000 ChatGPT-Zugangsdaten offen. Diese Zahl verdeutlicht, dass KI-Plattformen ein Risikoprofil erreicht haben, das mit anderen zentralen SaaS-Diensten in Unternehmen vergleichbar ist. Je stärker KI-Tools in Unternehmensabläufe integriert werden, desto attraktiver werden die entsprechenden Zugangsdaten für Angreifer.

Kompromittierte Chatbot-Zugangsdaten bergen dabei spezifische Risiken, die über den klassischen Kontozugriff hinausgehen:

Angreifer können Modellantworten manipulieren, sensible Daten aus dem Gesprächsverlauf exfiltrieren oder schadhafte Prompts einschleusen, um interne Prozesse zu beeinflussen.

IBM empfiehlt daher, die unternehmensweite KI-Nutzung systematisch zu erfassen und starke Authentifizierungsmaßnahmen sowie bedingte Zugriffskontrollen konsequent durchzusetzen.

Europa: dritthäufigste angegriffene Region weltweit

Europa war 2025 Ziel von 25 Prozent aller von IBM untersuchten Cyberangriffe – ein Anstieg um zwei Prozentpunkte gegenüber dem Vorjahr, als die Region für 23 Prozent der Fälle stand. Damit nimmt Europa weiterhin den dritten Platz in der globalen Rangfolge ein, hinter Amerika auf Platz eins und dem asiatisch-pazifischen Raum auf Platz zwei.

Der häufigste initiale Angriffsvektor in Europa war das Ausnutzen öffentlich zugänglicher Anwendungen, das hinter 40 Prozent der untersuchten Vorfälle stand. Unter den beobachteten Angriffsmaßnahmen dominierten Malware-Einsatz (43 Prozent), die Nutzung legitimer Systemwerkzeuge (26 Prozent) sowie unbefugter Serverzugriff (26 Prozent).

Hinsichtlich der Auswirkungen stand das Abgreifen von Zugangsdaten mit 40 Prozent an erster Stelle, gefolgt von Datenlecks (27 Prozent) und Datendiebstahl (13 Prozent).

Finanzsektor übernimmt Platz eins der meistangegriffenen Branchen

Besonders auffällig ist eine Verschiebung bei den betroffenen Sektoren: Die europäische Finanz- und Versicherungsbranche war 2025 mit Abstand der meistangegriffene Wirtschaftsbereich und machte 39 Prozent aller regionalen Vorfälle aus – mehr als doppelt so viel wie im Vorjahr, als dieser Sektor für 18 Prozent der Fälle stand. Diese Entwicklung ist ein deutliches Zeichen dafür, dass Angreifer zunehmend Institutionen ins Visier nehmen, bei denen Zugang zu Finanzinformationen, sensiblen Kundendaten und kritischer Infrastruktur besonders lukrativ ist.

Auf Platz zwei folgen Professional-, Geschäfts- und Verbraucherdienstleistungen mit 18 Prozent – ein erheblicher Rückgang gegenüber dem Vorjahr, als dieser Bereich noch 38 Prozent der Vorfälle ausmachte und damit die meistangegriffene Branche in Europa darstellte. Der Einzelhandel landete mit 13 Prozent auf dem dritten Platz.

Fertigung bleibt weltweit führende Zielbranche – Nordamerika erstmals wieder auf Platz eins

Auf globaler Ebene steht die Fertigungsindustrie im fünften aufeinanderfolgenden Jahr an der Spitze der angegriffenen Sektoren. Mit einem Anteil von 27,7 Prozent aller von X-Force erfassten Vorfälle bleibt sie unangefochten das bevorzugte Ziel. Datendiebstahl ist dabei die häufigste Angriffsfolge, was auf das hohe Interesse an Produktionsdaten, geistigem Eigentum und operativen Informationen hindeutet.

Regional betrachtet hat Nordamerika erstmals seit sechs Jahren wieder die Spitzenposition übernommen: 29 Prozent aller weltweit von X-Force beobachteten Fälle entfielen auf diese Region – ein Anstieg gegenüber 24 Prozent im Jahr 2024. Amerika insgesamt löst damit den asiatisch-pazifischen Raum als meistangegriffene Region ab.

Weitere Studien:

---