.jpg?width=1600&name=PHISHING%20(1).jpg)
Cyberangriffe werden nicht nur häufiger, sondern auch schneller, leiser und schwerer erkennbar. Genau das war die zentrale Botschaft unseres jüngsten Trend-Report-Webinars für die DACH-Region. Im Mittelpunkt stehen Erkenntnisse aus 630 untersuchten Sicherheitsvorfällen aus Deutschland, den Benelux-Ländern und dem operativen Alltag unseres Security Operations Centers.
Die wichtigste Einsicht: Die Cyberbedrohung verlagert sich von „lautem Hacking“ hin zu Identitätsmissbrauch, Vertrauensausnutzung und hoher Angriffsgeschwindigkeit. Für Unternehmen in Deutschland, Österreich und der Schweiz bedeutet das: Klassische Präventionsmaßnahmen bleiben wichtig, reichen aber allein nicht mehr aus. Entscheidend ist, wie schnell Angriffe erkannt und eingedämmt werden.
In diesem Artikel fassen wir die wichtigsten Erkenntnisse zusammen, ordnen sie für den DACH-Markt ein und zeigen, was Unternehmen jetzt konkret tun sollten. Grundlage waren 630 anonymisierte Sicherheitsvorfälle aus den vergangenen drei Jahren, darunter:
-
454 Business-E-Mail-Compromise-Fälle (BEC)
-
30 Ransomware-Fälle
-
106 Compromise Assessments
Dabei handelt es sich nicht um Marktstatistiken, sondern um Erkenntnisse aus Vorfällen, die im täglichen SOC-Betrieb untersucht, eingedämmt und bearbeitet wurden.
Gerade für den DACH-Raum ist das relevant, weil viele Unternehmen weiterhin stark auf On-Premises-Infrastrukturen, lokale Active Directories, VPN-Gateways, Firewalls und andere internetexponierte Systeme setzen. Das schafft zusätzliche Angriffsflächen, insbesondere dann, wenn Identitäten kompromittiert werden.
Die wichtigste Erkenntnis: Identitäten sind der neue Perimeter
Wenn man alles auf einen Satz verdichten müsste, dann wäre es dieser: Identitäten sind der neue Perimeter.
Angreifer müssen heute oft gar keine hochkomplexen technischen Exploits mehr einsetzen, um Schaden anzurichten. Es reicht häufig, Zugriff auf ein E-Mail-Konto, ein Benutzerkonto oder ein vertrauenswürdiges System zu bekommen. Wer eine Identität übernimmt, übernimmt auch Vertrauen und damit Prozesse.
Genau deshalb dominieren Business E-Mail Compromise (BEC) und andere identitätsbasierte Angriffe den Datensatz:
-
Über 70 % der untersuchten Vorfälle waren BEC-Fälle
-
In Deutschland lag BEC sogar bei 68 % aller untersuchten Vorfälle
-
In überwachten Umgebungen waren 74,4 % der erkannten Fälle BEC
Das ist kein Widerspruch, sondern ein Sichtbarkeitseffekt. In überwachten Umgebungen werden identitätsbasierte Angriffe deutlich früher erkannt. Ohne kontinuierliches Monitoring bleiben sie oft tagelang oder wochenlang unentdeckt oder werden erst sichtbar, wenn bereits Rechnungen verschickt, Zahlungen umgeleitet oder Daten abgeflossen sind.
Warum BEC so gefährlich ist
BEC-Angriffe sind deshalb so erfolgreich, weil sie nicht auf technische Komplexität setzen, sondern auf Glaubwürdigkeit. Angreifer beobachten E-Mail-Verläufe, imitieren bekannte Kontakte, manipulieren Zahlungsprozesse oder geben sich als Führungskraft, Geschäftspartner oder Lieferant aus.
Das macht sie besonders gefährlich für Unternehmen im Mittelstand, wo Kommunikationswege oft schnell, pragmatisch und vertrauensbasiert funktionieren.
Phishing bleibt der häufigste Einstieg, nur professioneller
Auch Phishing ist nicht verschwunden. Es ist besser geworden. Im Datensatz begann ein großer Teil der Vorfälle mit Phishing, Social Engineering oder Spearphishing. In einem ergänzenden Datenschnitt für 2025 zeigte sich:
-
In 53 % aller untersuchten Vorfälle begann der Angriff mit einem Phishing-Link
-
Bei BEC-Fällen war in 63 % der Fälle Phishing per Link der Auslöser
Phishing funktioniert deshalb weiterhin so gut, weil es menschliches Verhalten adressiert. Oder, wie im Webinar sinngemäß formuliert wurde: Clickers will click. Es wird immer jemanden geben, der auf eine täuschend echt formulierte Nachricht klickt, Zugangsdaten eingibt oder einen Anhang öffnet.
Welche Rolle GenAI spielt
Generative AI verändert diese Dynamik zusätzlich. Sie ersetzt den Angreifer nicht, macht ihn aber effizienter. Phishing-Nachrichten werden sprachlich besser, zielgerichteter und glaubwürdiger. Social-Engineering-Angriffe lassen sich schneller personalisieren, testen und skalieren.
Die Qualität der Täuschung steigt, während das Zeitfenster für Erkennung und Reaktion kleiner wird.
Das Zeitfenster ist kollabiert: Aus Tagen werden Minuten
Cyberangriffe verlaufen heute deutlich schneller als noch vor wenigen Jahren. Zwischen initialem Zugriff und tatsächlichem Schaden liegen oft nur Stunden, teilweise sogar weniger als eine Stunde. Als globaler Kontextwert wurde im Eye Security Trend Report eine Breakout Time von 48 Minuten genannt.
Für Unternehmen hat das massive Folgen. Wer auf manuelle Prozesse, unklare Eskalationswege oder begrenzte Verfügbarkeit setzt, reagiert häufig zu spät.
Der Unterschied zwischen 24 Tagen und 24 Minuten
Besonders eindrücklich wird dieser Effekt beim Thema Dwell Time, also der Zeitspanne, in der sich Angreifer unentdeckt in einer Umgebung bewegen können.
Bei BEC-Vorfällen zeigte sich:
-
Ohne MDR / ohne 24/7-Monitoring: ca. 24 Tage
-
Mit MDR / mit 24/7-Monitoring: ca. 23,8 Minuten
Das entspricht einer Reduktion um rund 99,9 %.
Zwischen 24 Tagen und 24 Minuten liegt der Unterschied zwischen:
-
einem beherrschbaren Sicherheitsvorfall
-
und einem existenziellen Schaden mit finanziellen, operativen und regulatorischen Folgen
Gerade mit Blick auf NIS2, Meldepflichten und Krisenkommunikation ist diese Zeitdifferenz mehr als nur eine Metrik. Sie ist ein Resilienzfaktor.
Warum Deutschland ein attraktives Ziel ist
Für den DACH-Raum, und insbesondere Deutschland, gibt es einige strukturelle Besonderheiten.
1. Viele Unternehmen setzen weiter auf On-Premises
Während Cloud-Identitäten und Microsoft 365 zentrale Angriffsziele bleiben, spielen in Deutschland weiterhin lokale Identitäten und On-Premises-Infrastrukturen eine große Rolle.
Dazu zählen unter anderem:
-
lokales Active Directory
-
VPN-Zugänge
-
Firewalls
-
Remote Services
-
Legacy-Systeme
-
internetexponierte Applikationen
Diese Umgebungen sind nicht per se unsicher. Aber sie erhöhen die Anforderungen an Härtung, Sichtbarkeit und Monitoring. Werden lokale Konten kompromittiert oder Schwachstellen in exponierten Systemen ausgenutzt, geht es oft sehr schnell weiter: Rechteausweitung, laterale Bewegung, Datenabfluss, Vorbereitung von Ransomware.
2. Technische Schwachstellen sind oft Beschleuniger, nicht Einstiegspunkt
Schwachstellen spielen weiterhin eine Rolle, sind aber immer seltener der erste Schritt. Häufig wirken sie als Beschleuniger, nachdem eine Identität bereits kompromittiert wurde.
Die Angriffslogik verschiebt sich. Statt laut und sichtbar einzubrechen, missbrauchen Angreifer Vertrauen, Tools und legitime Zugänge.
MFA, Firewalls, Patchen: wichtig, aber nicht ausreichend
Im Webinar wurde sehr deutlich betont, dass klassische Sicherheitsmaßnahmen keineswegs überflüssig sind. Im Gegenteil:
-
Firewalls
-
Patch Management
-
Multi-Faktor-Authentifizierung (MFA)
-
Netzwerksegmentierung
bleiben unverzichtbare Grundlagen.
Aber sie sind nicht ausreichend, wenn sie isoliert betrachtet werden.
Seit Januar 2025 wurde in 62 % der Fälle MFA umgangen. Das bedeutet nicht, dass MFA wertlos ist. Es bedeutet aber, dass MFA heute kein Endgegner mehr ist. Echtzeit-Phishing, Proxy-Methoden und Session-Hijacking machen deutlich, dass auch moderne Authentifizierung ergänzende Sichtbarkeit und schnelle Reaktion braucht.
Die eigentliche Verteidigungslinie liegt deshalb nicht nur in der Prävention, sondern in der Fähigkeit,
1. verdächtige Aktivitäten frühzeitig zu erkennen,
2. sie richtig einzuordnen,
3. und schnell zu reagieren.
MDR und SOC: Was der operative Unterschied wirklich ist
Was bringt ein MDR-Service konkret? Die Antwort aus dem Datensatz ist eindeutig. Sichtbarkeit und Reaktionsfähigkeit verändern den Ausgang eines Vorfalls messbar.
Zu den wichtigsten Kennzahlen gehörten:
-
90 % schnellere Auflösung von BEC-Fällen
-
46 % schnellere Auflösung von Ransomware-Vorfällen
-
deutlich geringerer Analyse- und Bearbeitungsaufwand
-
drastische Reduktion der unentdeckten Verweildauer
Warum das nicht nur eine Tool-Frage ist
Gute Tools allein reichen nicht. Entscheidend ist ein routiniertes Team, das diese Signale einordnet, kontextualisiert und handlungsfähig ist.
Gerade im Mittelstand erleben wir häufig, dass interne IT-Teams bereits stark ausgelastet sind. Wenn zu Infrastruktur, Support, Projekten und Compliance jetzt auch noch kontinuierliche Sicherheitsüberwachung und Incident Response kommen, entsteht schnell eine Überforderung.
Ein MDR-/SOC-Modell schafft hier dann echten Mehrwert, wenn es nicht nur Alerts sammelt, sondern:
-
Endpunkte, Identitäten und Cloud-Signale kontinuierlich überwacht
-
externe Perspektiven wie Threat Hunting einbezieht
-
verdächtige Muster frühzeitig erkennt
-
und im Ernstfall schnell eingreifen kann
Ransomware bleibt teuer, auch wenn sich die Strategie verändert
BEC dominiert die Vorfallzahlen, aber Ransomware bleibt eine der teuersten und operativ schwerwiegendsten Bedrohungen.
Aus dem Report:
-
durchschnittliche Lösegeldforderung: 613.000 USD
-
in 70 % der Ransomware-Fälle wurde verhandelt
-
nur 27 % endeten tatsächlich mit Zahlung
Gleichzeitig sehen wir, dass sich Strategien verändern. Nicht jede Angreifergruppe setzt noch zwingend auf Verschlüsselung. Immer häufiger steht reine Datenexfiltration im Fokus, weil sie schneller, effizienter und mit geringerem operativen Aufwand umsetzbar ist.
Das ist für Unternehmen besonders relevant. Wer nur auf Ransomware im klassischen Sinn schaut, unterschätzt die Gefahr durch stillen Datenabfluss, Erpressung und Reputationsschäden.
Welche Branchen besonders betroffen sind
Mehr als 40 % der Vorfälle im Datensatz konzentrierten sich auf drei Sektoren:
-
Produktion / Industrie: 18,6 %
-
Immobilien & Bau: 12,1 %
-
Transport & Logistik: 10,3 %
Diese Branchen bilden das operative Rückgrat vieler Volkswirtschaften. Ausfallzeiten sind hier direkt geschäftskritisch. Genau deshalb sind sie attraktiv für Angreifer: Schon kurze Störungen können hohen Druck erzeugen, intern wie extern.
Für DACH-Unternehmen in diesen Bereichen gilt daher besonders: Cyberresilienz ist längst kein reines IT-Thema mehr, sondern eng mit Betriebsfähigkeit, Lieferfähigkeit und Vertrauensschutz verbunden.
Was Unternehmen in DACH jetzt konkret tun sollten
Aus dem Webinar lassen sich fünf konkrete Empfehlungen ableiten:
1. Identitäten als kritische Sicherheitsdomäne behandeln
Schützen Sie E-Mail-Konten, lokale Identitäten, privilegierte Zugänge und Cloud-Accounts nicht als Nebenthema, sondern als zentrale Sicherheitsachse.
2. Monitoring auf Endpunkte, Identitäten und Cloud ausweiten
Wer nur Perimeter und Signaturen überwacht, sieht moderne Angriffe oft zu spät.
3. Reaktionsfähigkeit als KPI etablieren
Messen Sie nicht nur Prävention, sondern auch:
-
Zeit bis Erkennung
-
Zeit bis Eindämmung
-
Zeit bis Wiederherstellung
4. On-Premises-Infrastruktur realistisch bewerten
VPNs, Firewalls, Remote Services und Legacy-Systeme sollten als reale Eintrittspunkte betrachtet und konsequent gehärtet werden.
5. Menschliche Expertise nicht durch Automation ersetzen wollen
KI kann die Erkennung beschleunigen. Die Qualität der Entscheidung über Eindämmung, Eskalation und Bewertung bleibt aber entscheidend menschlich.
Fazit: Die Methode ist nicht neu aber das Tempo ist es
Die zentrale Veränderung in der Cyberlage 2026 ist nicht unbedingt die Methode. Es ist die Geschwindigkeit.
Phishing, Social Engineering, Identitätsdiebstahl und Vertrauensmissbrauch sind nicht neu. Neu ist, wie schnell daraus operative Schäden entstehen können und wie klein das Zeitfenster geworden ist, um wirksam gegenzusteuern.
Gerade für Unternehmen in Deutschland und der DACH-Region gilt deshalb: Cyberresilienz beginnt nicht erst bei der Wiederherstellung, sondern bei Sichtbarkeit, schneller Erkennung und klarer Eindämmungsverantwortung.
Wer heute noch auf rein manuelle Prozesse, punktuelle Sichtbarkeit oder klassische Perimeterlogik setzt, läuft Gefahr, Vorfälle erst dann zu bemerken, wenn der Schaden bereits eingetreten ist.
FAQ: Häufige Fragen zur aktuellen Cyberlage in DACH
Was ist Business Email Compromise (BEC)?
Business Email Compromise ist eine Form des Cyberangriffs, bei der Angreifer legitime oder täuschend echte E-Mail-Konten nutzen, um Vertrauen auszunutzen, Zahlungsprozesse zu manipulieren oder Zugriff auf sensible Informationen zu erhalten.
Warum ist BEC für Unternehmen in Deutschland besonders relevant?
Viele Unternehmen in Deutschland arbeiten mit etablierten Prozessen, klassischen Freigabewegen und vertrauensbasierten Kommunikationsmustern. Genau diese Strukturen machen BEC besonders wirksam. Hinzu kommt eine weiterhin starke Nutzung von On-Premises-Umgebungen und hybriden Identitätslandschaften.
Was bedeutet „Identitäten sind der neue Perimeter“?
Der Satz beschreibt, dass Angreifer heute häufig nicht mehr zuerst die Infrastruktur attackieren, sondern Benutzerkonten, E-Mail-Konten und andere digitale Identitäten. Wer Zugriff auf eine Identität erhält, kann sich im Namen legitimer Nutzer bewegen und Sicherheitskontrollen leichter umgehen.
Reicht Multi-Faktor-Authentifizierung (MFA) heute noch aus?
MFA bleibt eine wichtige Grundschutzmaßnahme, reicht aber allein nicht mehr aus. Moderne Angriffe umgehen MFA zunehmend über Echtzeit-Phishing, Session-Hijacking oder Proxy-Techniken. Unternehmen benötigen deshalb zusätzliche Überwachung und schnelle Reaktionsfähigkeit.
Was ist die Dwell Time bei Cyberangriffen?
Dwell Time bezeichnet die Zeitspanne, in der sich ein Angreifer unentdeckt in einer IT-Umgebung aufhält. Im Datensatz lag diese bei BEC ohne MDR bei rund 24 Tagen, mit MDR bei rund 23,8 Minuten.
Warum ist 24/7-Monitoring so wichtig?
Cyberangriffe passieren nicht nur während der Geschäftszeiten. Ein 24/7-Monitoring erhöht die Sichtbarkeit, erkennt verdächtige Aktivitäten früher und ermöglicht eine schnellere Eindämmung, oft noch bevor ein Vorfall eskaliert.
Was ist MDR?
Managed Detection and Response (MDR) kombiniert kontinuierliches Monitoring, Bedrohungserkennung und aktive Unterstützung bei der Reaktion auf Sicherheitsvorfälle. Ziel ist es, Angriffe frühzeitig zu erkennen und schnell einzudämmen.
Welche Rolle spielt künstliche Intelligenz bei Cyberangriffen?
Generative AI macht Angriffe effizienter. Sie verbessert Phishing-Nachrichten, unterstützt die Automatisierung von Angriffsschritten und erhöht die Skalierbarkeit. Sie ersetzt den Angreifer nicht, macht ihn aber schneller und produktiver.
Wie hilft KI auf der Verteidigerseite?
KI kann große Datenmengen schneller korrelieren, Anomalien erkennen und Muster sichtbar machen. Der operative Unterschied entsteht jedoch erst dann, wenn diese Signale durch erfahrene Analysten richtig eingeordnet und in konkrete Maßnahmen übersetzt werden.
Welche Branchen sind besonders betroffen?
Im analysierten Datensatz waren vor allem Produktion/Industrie, Immobilien & Bau sowie Transport & Logistik betroffen. Diese Branchen sind besonders attraktiv, weil Ausfallzeiten dort schnell operative und finanzielle Schäden verursachen.
Was sollten mittelständische Unternehmen jetzt priorisieren?
Mittelständische Unternehmen sollten Identitätsschutz, kontinuierliches Monitoring, Härtung internetexponierter Systeme, Incident-Response-Fähigkeit und klare Verantwortlichkeiten priorisieren.
Welche Kennzahlen sind für Cyberresilienz besonders relevant?
Wichtige Kennzahlen sind:
-
Zeit bis zur Erkennung
-
Zeit bis zur Eindämmung
-
Zeit bis zur Wiederherstellung
-
Verweildauer von Angreifern
-
Anzahl frühzeitig erkannter Vorfälle
Was ist der Unterschied zwischen Prävention und Resilienz?
Prävention soll Angriffe verhindern. Resilienz beschreibt die Fähigkeit, Angriffe trotz Präventionsmaßnahmen frühzeitig zu erkennen, schnell einzudämmen und den Betrieb aufrechtzuerhalten.
Warum sind On-Premises-Systeme weiterhin ein Risiko?
On-Premises-Systeme sind nicht automatisch unsicher, aber oft stärker von Fehlkonfigurationen, Legacy-Abhängigkeiten und internetexponierten Komponenten betroffen. Gerade lokale Identitäten, VPNs und Remote Services sind häufig relevante Eintrittspunkte.
Was bedeutet das für NIS2?
NIS2 erhöht die Anforderungen an Meldefähigkeit, Nachvollziehbarkeit und Krisenfähigkeit. Unternehmen, die Angriffe erst spät erkennen, haben nicht nur höhere Schäden, sondern stehen auch regulatorisch unter Druck.
