Cyberkriminelle setzen verstärkt auf KI, um bestehende Angriffsmuster zu beschleunigen und Sicherheitslücken systematisch auszunutzen. Das geht aus dem 2026 X-Force Threat Intelligence Index von IBM hervor. Demnach beobachtete IBM X-Force einen Anstieg von 44 Prozent bei Angriffen, die mit der Ausnutzung öffentlich zugänglicher Anwendungen begannen. Hauptursachen sind fehlende Authentifizierungskontrollen sowie KI-gestützte Schwachstellenerkennung.
Insgesamt entwickelte sich die Ausnutzung von Schwachstellen zur weltweit wichtigsten Angriffsursache. 2025 machten entsprechende Vorfälle 40 Prozent der von X-Force beobachteten Incidents aus. Parallel dazu stieg die Zahl aktiver Ransomware- und Erpressungsgruppen im Jahresvergleich um 49 Prozent. Die öffentlich bekanntgegebenen Opferzahlen erhöhten sich um rund zwölf Prozent. Laut Bericht deutet dies auf eine stärkere Fragmentierung des kriminellen Ökosystems hin, in dem zunehmend kleinere und kurzlebige Gruppen agieren.
„Angreifer erfinden keine Playbooks neu, sondern beschleunigen sie mit KI”, sagt Mark Hughes, Global Managing Partner für Cybersecurity Services bei IBM. „Das Kernproblem ist dasselbe: Unternehmen sind von Software-Schwachstellen überwältigt. Der Unterschied ist jetzt die Geschwindigkeit. Bei so vielen Schwachstellen, die keine Zugangsdaten erfordern, können Angreifer Menschen umgehen und direkt vom Scannen zum Angriff wechseln. Sicherheitsleiter müssen auf einen proaktiveren Ansatz umstellen, indem sie agentengesteuerte Bedrohungserkennung und -reaktion einsetzen, um Lücken zu identifizieren und Bedrohungen zu erkennen, bevor sie eskalieren.”
Identitäten und Zugangsdaten im Fokus
Ein zentrales Risiko sieht IBM im Umgang mit Zugangsdaten – auch im Kontext von KI-Plattformen. Infostealer-Malware führte 2025 zur Offenlegung von über 300.000 ChatGPT-Zugangsdaten. Damit erreichen KI-Plattformen laut Bericht ein ähnliches Risikoniveau wie andere geschäftskritische SaaS-Anwendungen.
Kompromittierte Chatbot-Zugangsdaten ermöglichen nicht nur unbefugten Zugriff auf Konten. Angreifer können Ausgaben manipulieren, sensible Daten exfiltrieren oder schädliche Prompts einschleusen. Unternehmen sind daher gefordert, ihre KI-Nutzung unternehmensweit zu bewerten und starke Authentifizierungs- sowie bedingte Zugriffskontrollen durchzusetzen.
Ransomware-Ökosystem wird dynamischer
Die Eintrittsbarrieren für Cyberkriminelle sinken weiter. Laut X-Force nutzen Angreifer vermehrt geleakte Werkzeuge, etablierte Playbooks und KI zur Automatisierung einzelner Schritte. Insbesondere multimodale KI-Modelle könnten künftig komplexe Aufgaben wie Aufklärung oder die Vorbereitung fortgeschrittener Ransomware-Angriffe automatisieren.
Zudem verschwimmen die Grenzen zwischen nationalstaatlichen und finanziell motivierten Akteuren. Techniken, die früher staatlichen Gruppen vorbehalten waren, verbreiten sich zunehmend in Untergrundforen und werden von finanziell motivierten Angreifern übernommen.
Lieferketten und Software-Pipelines unter Druck
Seit 2020 haben sich große Lieferketten- und Drittanbieter-Kompromittierungen laut IBM nahezu vervierfacht. Angreifer zielen verstärkt auf Vertrauensbeziehungen, CI/CD-Automatisierungen sowie SaaS-Integrationen ab. Mit der zunehmenden Nutzung KI-gestützter Programmierwerkzeuge wächst laut Bericht das Risiko, dass ungeprüfter Code in Entwicklungsumgebungen gelangt. Für 2026 erwartet IBM daher einen steigenden Druck auf Software-Pipelines und Open-Source-Ökosysteme.
Gleichzeitig zeigen X-Force-Red-Tests weiterhin grundlegende Schwächen bei Zugangshygiene und Softwarekonfiguration. Fehlkonfigurierte Zugriffskontrollen bleiben demnach ein häufiger Einstiegspunkt für Angreifer.
Europa bleibt stark betroffen
Europa war 2026 Ziel von 25 Prozent aller von IBM untersuchten Cyberangriffe und bleibt damit weltweit die dritthäufigste Region – hinter Asien-Pazifik und Amerika. Die Nutzung öffentlich zugänglicher Anwendungen war mit 40 Prozent die häufigste Ursache für Angriffe in der Region.
Zu den häufigsten Angriffsmaßnahmen zählten Malware (43 Prozent), die Nutzung legitimer Tools (26 Prozent) sowie unbefugter Serverzugriff (26 Prozent). Als dominierende Wirkung wurde Credential Harvesting mit 40 Prozent identifiziert, gefolgt von Datenlecks (27 Prozent) und Datendiebstahl (13 Prozent).
Branchenspezifisch war 2025 die europäische Finanz- und Versicherungsbranche mit 39 Prozent aller Vorfälle am stärksten betroffen – ein deutlicher Anstieg gegenüber dem Vorjahr. Weltweit steht die Fertigungsindustrie im fünften Jahr in Folge an der Spitze der am häufigsten angegriffenen Sektoren und machte 27,7 Prozent der von X-Force beobachteten Vorfälle aus.
Nordamerika wurde 2025 mit 29 Prozent der Fälle erstmals seit sechs Jahren zur am stärksten angegriffenen Region.
Hier finden Sie die gesamte Studie.