Der aktuelle Active Adversary Report 2026 von Sophos zeigt eine deutliche Verschiebung in der Angriffslandschaft: gestohlene Zugangsdaten und Identitätsmissbrauch stehen erstmals im Mittelpunkt erfolgreicher Cyberangriffe – weit vor klassischen Exploits und technischen Schwachstellen.
Kernbefunde für Entscheider
- Identitätsbasierte Angriffe dominieren: In rund zwei Dritteln aller analysierten Vorfälle nutzten Angreifer kompromittierte Log-ins, schwache Passwörter oder fehlende Multi-Factor-Authentifizierung (MFA) als Einstiegspunkt. Klassische Schwachstellen wie Zero-Day-Exploits spielen vergleichsweise eine geringere Rolle.
- Effizienz der Angreifer steigt: Nach Erstzugriff schaffen es Täter im Durchschnitt innerhalb von nur wenigen Stunden, zentrale Verzeichnisdienste wie Active Directory zu kontrollieren. Die durchschnittliche Verweildauer im Netzwerk sank auf nur drei Tage, was eine verbesserte Abwehr zeigt – aber auch die Präzision moderner Angriffe.
- Angriffe außerhalb der Geschäftszeiten: 88 % der Ransomware-Angriffe begannen am Abend oder Wochenende, was die Bedeutung von rund-um-die-Uhr-Überwachung unterstreicht.
- Telemetrie-Schwächen erschweren Reaktion: Viele Unternehmen protokollieren Netzwerk- und Sicherheitsdaten nur kurzfristig. Ohne ausreichende Log-Daten werden Erkennungs- und Forensikprozesse deutlich erschwert.
Konsequenzen für IT-Strategien
Für IT-Manager, CIOs und CISOs ergibt sich aus den Report-Ergebnissen ein klares strategisches Handlungsfeld:
- Identitätsschutz als Priorität
– MFA muss flächendeckend implementiert werden – idealerweise phishing-resistent (z. B. FIDO2/WebAuthn).
– Zugangsdaten müssen zentral verwaltet und abgesichert werden (SSO, Passwort-Policy, automatisierte Rotation). - Überwachung & Erkennung verbessern
– Längere und vollständigere Protokollierung von Logs ist Voraussetzung für schnelle Erkennung und Reaktion auf lateral movement. - Moderne MDR/EDR-Ansätze nutzen
– Managed Detection and Response (MDR) kann helfen, schneller auf kompromittierte Anmeldeversuche zu reagieren und Aktionen zu automatisieren. - Phishing & Social Engineering bekämpfen
– Schulungen allein reichen nicht: Automatisierte Schutzmechanismen gegen credential-bezogene Angriffe müssen etabliert werden. - 24/7-Überwachung
– Angriffe konzentrieren sich zunehmend auf Service-Fenster außerhalb der klassischen Geschäftszeiten.
Fazit für die Sicherheitsagenda 2026
Der Sicherheitsfokus verschiebt sich weg von hochentwickelten technischen Schwachstellen hin zu grundlegenden Identitätsrisiken. Für Unternehmen bedeutet das: Identity-centric Security ist nicht länger optional, sondern ein strategisches Muss im Kampf gegen moderne Cyberkriminalität.
Quelle: Sophos
