Vier Entwicklungen, auf die sich Organisationen vorbereiten sollten

Cyberangriffe werden schneller, gezielter und automatisierter. Sicherheitsanalysen zeigen: In vielen Fällen vergehen heute weniger als zwei Stunden zwischen dem Eindringen in ein Netzwerk und dem Abfluss sensibler Daten. Gleichzeitig rücken digitale Identitäten von Mitarbeitenden immer stärker ins Zentrum der Angriffe. Ein aktueller Threat-Report zeigt, welche Entwicklungen Organisationen besonders im Blick behalten sollten – und wo sich mit vergleichsweise einfachen Massnahmen die grössten Risiken reduzieren lassen.

Von John Winter, Product Manager Security Solutions · 7. April 2026

Mit verschiedenen, spezialisierten Security-Services schützt Abraxas Verwaltungen im digitalen Raum. (Bild: Abraxas)

Zu Beginn jedes Jahres erscheinen zahlreiche IT-Security-Trendberichte. Der Begriff «Trend» ist dabei etwas irreführend: Die meisten Reports blicken nicht in die Zukunft, sondern analysieren reale Angriffe des vergangenen Jahres. Genau darin liegt jedoch ihr Wert.

Die Berichte zeigen, wie Angriffe tatsächlich ablaufen, wo Organisationen besonders verwundbar sind und welche Methoden Cyberkriminelle aktuell einsetzen. Daraus lassen sich Hinweise ableiten, auf welche Risiken sich Organisationen künftig vorbereiten sollten – und wie knappe Sicherheitsressourcen möglichst wirksam eingesetzt werden können.

Dieser Artikel stützt sich auf Erkenntnisse aus dem aktuellen Incident-Response-Report der SOC-Retainer-Einheit «Unit 42» von Abraxas-Partner Palo Alto Networks. Ein SOC-Retainer kann mit einer Feuerwehr verglichen werden: Er unterstützt Organisationen dann, wenn ein Sicherheitsvorfall die eigenen Kapazitäten übersteigt. Die dort analysierten Fälle liefern deshalb besonders wertvolle Einblicke in reale Angriffe.

Die wichtigsten Beobachtungen aus dem Jahr 2025 lassen sich in vier Entwicklungen zusammenfassen:

  • Angreifer setzen künstliche Intelligenz zunehmend produktiv ein.
  • Die digitale Identität von Mitarbeitenden steht stärker im Fokus der Angriffe.
  • Angriffe auf Cloud-Infrastrukturen und Software-Lieferketten nehmen zu.
  • Staatliche Akteure intensivieren ihre Aktivitäten im Bereich Technologie-Spionage.

Künstliche Intelligenz beschleunigt Angriffe

Dass künstliche Intelligenz auch von Cyberkriminellen genutzt wird, überrascht kaum. Wie bei vielen anderen Anwendungen steigert sie vor allem die Effizienz von Prozessen. Der Bericht zeigt deutlich, wie stark sich Angriffe beschleunigt haben. Die Zeitspanne zwischen dem ersten Eindringen in ein Netzwerk und dem Abfluss von Daten hat sich laut Unit 42 innerhalb eines Jahres massiv verkürzt.

In einer Simulation gelang es den Analysten, Daten innerhalb von 25 Minuten zu exfiltrieren. Unter realen Bedingungen lag der schnellste beobachtete Angriff bei 72 Minuten. Zum Vergleich: Ein Jahr zuvor benötigten Angreifer dafür noch mehrere Stunden. Für Organisationen bedeutet das vor allem eines: Die Reaktionszeit wird zum entscheidenden Faktor. Sicherheitsvorfälle müssen schneller erkannt und analysiert werden.

Eine mögliche Optimierung betrifft den Umgang mit Logdaten und deren gesetzlich vorgeschriebenen Aufbewahrungspflicht. Für die Erkennung von Sicherheitsvorfällen müssen Logs häufig in leistungsfähigem und damit kostenintensivem Speicher vorgehalten werden.

Ein praktikabler Ansatz besteht darin, sicherheitsrelevante Logs nur für einen kürzeren Zeitraum (z. B. 30 Tage) im schnellen Speicher vorzuhalten und ältere Daten in kostengünstigere Archivsysteme auszulagern. So lassen sich Kosten reduzieren, ohne die Fähigkeit zur Angriffserkennung zu beeinträchtigen. Für spätere forensische Analysen kann das Security Operations Center weiterhin auf die archivierten Daten zugreifen.

12 x im Jahr relevante Beiträge zur digitalen Schweiz in der Inbox?
Jetzt Newsletter abonnieren

Die digitale Identität wird zum zentralen Angriffsziel

Der zweite grosse Trend überrascht ebenfalls wenig: Angriffe auf digitale Identitäten.

Laut Unit 42 waren über 90 % der erfolgreichen Angriffe mit kompromittierten Benutzerkonten verbunden. Angreifer nutzen dabei vor allem:

  • gestohlene oder wiederverwendete Passwörter,
  • unzureichend geschützte Benutzerkonten
  • sowie fehlende oder falsch konfigurierte Multifaktor-Authentifizierung.

Trotz zunehmender Verbreitung scheint Multifaktor-Authentifizierung noch nicht überall konsequent eingesetzt zu werden. Gleichzeitig werden Passwörter weiterhin häufig mehrfach verwendet.

Für Organisationen ergeben sich daraus relativ einfache, aber wirksame Massnahmen:

  • Multifaktor-Authentifizierung konsequent verpflichtend einsetzen
  • Passwort-Manager für Mitarbeitende bereitstellen
  • Identitäten zentral überwachen und schützen (Identity-Security)

Die Identität der Benutzer:innen ist heute oft der direkte Zugang zum gesamten digitalen Arbeitsplatz – von Cloud-Diensten über Fachanwendungen bis zu internen Systemen. Deshalb sollte der Schutz der digitalen Identitäten einer Organisation hohen Stellenwert geniessen. Das Zusammenspiel zwischen SOC und Identity & Access Management (IAM) haben Abraxas und IAM-Partnerin ITSENSE bereits 2025 an einem Fachevent thematisiert.

Angriffe auf Software-Lieferketten nehmen zu

Wenn ein Angriff über Benutzerkonten nicht erfolgreich ist, wählen Angreifer zunehmend einen indirekten Weg: die Software-Lieferkette.

Moderne Software entsteht selten vollständig innerhalb einer Organisation. Entwicklungsprojekte greifen heute auf zahlreiche externe Komponenten, Bibliotheken und Dienste zurück. Diese Abhängigkeiten bieten neue Angriffspunkte. Cyberkriminelle versuchen, manipulierten Code in solche Komponenten einzuschleusen und ihn so über Software-Updates oder Entwicklungsprozesse zu verbreiten.

Organisationen haben hier meist keinen direkten Einfluss auf die Entwicklung selbst. Entscheidend ist daher die Auswahl und Überprüfung der Lieferanten. Wichtige Fragen sind beispielsweise:

  • Welche Sicherheitsstandards gelten im Entwicklungsprozess des Herstellers?
  • Werden Code-Reviews und Sicherheitsprüfungen durchgeführt?
  • Gibt es transparente Prozesse für Sicherheitsupdates?

Ein strukturiertes Lieferanten- und Risikomanagement gewinnt damit auch im Bereich der IT-Sicherheit an Bedeutung.

Auf der sicheren Seite: mit unserem monatlichen Security-Briefing.
teaser-img
Security-Briefing März 2026

Fazit: Sicherheit beginnt bei der Identität

Cyberangriffe bleiben auch 2026 ein klassisches Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern. Positiv ist, dass moderne Sicherheitsarchitekturen Angriffe zunehmend erschweren. In vielen Fällen müssen Angreifer mehrere Schwachstellen kombinieren, um erfolgreich zu sein.

Ein gestohlenes Passwort reicht beispielsweise oft nicht mehr aus, wenn zusätzliche Schutzmechanismen greifen – etwa Multifaktor-Authentifizierung, Endpoint-Detection- & Response-Systeme oder Security-Monitoring der eingesetzten SaaS-Lösungen wie z.B. M365.

Für Organisationen bedeutet das allerdings auch: IT-Sicherheit wird komplexer und erfordert kontinuierliche Investitionen. Während früher ein Antivirus-Programm als Basisschutz ausreichte, umfasst eine moderne Sicherheitsarchitektur heute mehrere Ebenen:

  • Schutz der digitalen Identität und ein leistungsfähiges IAM
  • Absicherung der Endgeräte (Endpoint Security, zum Beispiel mit MSS Cyber Defence von Abraxas)
  • Überwachung des Netzwerks
  • Schutz von Cloud-Infrastrukturen
  • Absicherung von Anwendungen und Lieferketten (zum Beispiel über ein Bug-Bounty-Programm)

Im Zentrum steht dabei zunehmend die digitale Identität des Menschen. Sie ist der Schlüssel zu vielen Systemen – und damit auch das bevorzugte Ziel von Angreifern. Organisationen, die diesen Bereich konsequent absichern, schaffen eine der wichtigsten Grundlagen für ihre Cyberresilienz.

John Winter

Über John Winter

John Winter verfügt über jahrelange Erfahrung im IT-Security-Umfeld und ist verantwortlicher Produkt Manager bei Abraxas für den Bereich Managed Security Solutions.

Lesen Sie auch

0 / 0