Deutsche Unternehmen müssen sich heat anziehen: Sowohl staatliche als auch „personal“ Akteure haben es auf sie abgesehen.
Shutterstock
Wie die Experten von Darktrace in ihrem aktuellen Menace Report 2026 darstellen, bleiben Cloud- und E-Mail-Konten das Einfallstor Nummer Eins in Europa. Dem Bericht zufolge begannen im vergangenen Jahr in Europa 58 Prozent der Attacken mit kompromittierten Cloud-Accounts oder E-Mail-Zugängen. Klassische netzwerkbasierte Intrusionen machten 42 Prozent aus.
Mehr als die Hälfte der registrierten Vorfälle entfiel auf Organisationen in der EMEA-Area, wobei Deutschland das am stärksten ins Visier geratene Land conflict. Besonders häufig traf es Unternehmen aus dem verarbeitenden Gewerbe.
Identität als Einfallstor
Hintergrund sei, so Darktrace, dass Cloud-Transformation, SaaS-Nutzung und hybride Arbeitsmodelle die traditionelle Netzwerkgrenze aufgelöst hätten. Angreifer müssten deshalb nicht mehr in Systeme eindringen, sondern könnten sich mit gestohlenen Zugangsdaten anmelden. Anschließend bewegten sie sich dann mit legitimen Berechtigungen innerhalb der Infrastruktur.
„Die Bedrohungslage hat sich elementary verändert. Wir sehen, dass sich Angreifer mit gültigen Accounts anmelden und reguläre Administrationswerkzeuge nutzen. Das erschwert die Erkennung erheblich, weil sich bösartiges Verhalten in legitime Prozesse einbettet“, erklärt Nathaniel Jones, VP Safety & AI Technique bei Darktrace, die Scenario.
KRITIS in Gefahr
Den Experten von Darktrace zufolge zeigt sich der identitätsbasierte Angriffsansatz in sensiblen Sektoren besonders: Demnach richteten sich 33 Prozent der Phishing-Mails im Gesundheitswesen, 30 Prozent im Finanzsektor und 20 Prozent im Energiesektor gezielt an privilegierte Nutzer. Darktrace dokumentierte zudem europäische Vorfälle, bei denen kompromittierte SaaS-Accounts als Ausgangspunkt für weitergehende Aktivitäten in operativen Umgebungen dienten.
Als Hintermänner dieser Angriffe vermuten die Safety-Fachleute staatlich unterstützte und hybride Akteure. Diese würden verstärkt auf strategische Vorpositionierung setzen, insbesondere in der Telekommunikation, dem Energiesektor und anderen systemrelevanten Bereichen.
Besonders heben die Studienmachen hier die Gruppen Lazarus aus Nord-Korea und ShadowPad aus China hervor. Im „privaten“ Sektoren wird vor den Ransomware-as-a-Service-Experten von Akira gewarnt. Alle drei Gruppen sollen sich verstärkt auf den Manufacturing-Sektor konzentrieren.
Weitere Participant im Bereich Ransomware, die es zu beobachten gilt, sind laut Darktrace Qilin, RansomHub, Lynx und INC.
Auch Cloud- und SaaS-Kompromittierungen
Eine weitere Erkenntnis: Mit der Verlagerung geschäftskritischer Prozesse in Cloud- und SaaS-Umgebungen wächst die Abhängigkeit von Identitäts- und Zugriffsmechanismen. Kompromittierte Accounts könnten damit als Ausgangspunkt für laterale Bewegungen in komplexen, vernetzten Umgebungen dienen.
Darktrace verweist auf Honeypot-Daten, wonach 43,5 Prozent der beobachteten Malware-Samples auf Microsoft Azure zielten, 33,2 Prozent auf Google Cloud Platform und 23,2 Prozent auf AWS.
Docker-Umgebungen standen bei etwas mehr als der Hälfte der erfassten Angriffsversuche im Fokus.
Bestehende Schwachstellen ausgenutzt
Neben gezielten Angriffen auf Mail- und Cloud-Accounts machen sich Kriminelle immer häufiger technische Schwachstellen zunutze. Und davon gibt es zunehmend mehr, so Darktrace: 2025 wurden insgesamt 48.185 CVEs registriert – ein Anstieg um 20,6 Prozent gegenüber dem Vorjahr.
Die Sicherheitsforscher beobachtete dabei in mehreren Fällen auffällige Exploitation-Aktivitäten Tage bis Wochen vor der offiziellen Offenlegung, unter anderem bei SAP NetWeaver und Ivanti.
Besonderes Augenmerk auf Privilegierte
Das Fazit von Darktrace: Wer ausschließlich auf Perimeter-Kontrollen oder bekannte Signaturen setzt, erkennt Angriffe häufig erst spät. Entscheidend sei die Fähigkeit, Abweichungen im Verhalten von Nutzern, Systemen und Workloads frühzeitig zu identifizieren und einzugrenzen.
Dementsprechend raten die Experten Organisationen, privilegierte Konten kontinuierlich zu überwachen. Gibt es Informationen darüber, dass sich neue Admins auf Servern angemeldet haben, sei das ein Warnsignal.
Zusätzlich raten sie, externe VPN-Anmeldungen an Rechenzentren als Vorboten schwerwiegender Sicherheitsvorfälle zu behandeln. Diese Vorkehrungen sollten mit Maßnahmen zur Härtung der Multi-Faktor-Authentifizierung (MFA) sowie Geräte-Baselines kombiniert werden.
