Einbruch war gestern: Hacker loggen sich heute einfach ein

Zürich, 30. März 2026 – Ontinue (www.ontinue.com), der führende Experte für Managed Extended Detection and Response (MXDR), hat den Threat Intelligence Report für das zweite Halbjahr 2025 veröffentlicht. Zentrale Erkenntnis des Berichts ist, dass Cyberkriminelle zunehmend auf Identitätsangriffe setzen. Statt Schwachstellen in Systemen anzugreifen, nutzen sie heute eher kompromittierte Zugangsdaten oder missbrauchen digitale Identitäten und vertrauenswürdige Integrationen, um sich Zugang zu ihnen zu verschaffen.

Der Threat Intelligence Report des ATO (Advanced Threat Operations)-Teams von Ontinue zeigt, dass Angriffe auf digitale Identitäten bei Sicherheitsuntersuchungen mittlerweile dominieren. Zu den typischen Arten von Cyberattacken gehören AiTM (Adversary in the Middle)-Angriffe, Passwort-Spraying sowie das Suchen und anschließende Ausnutzen von unbeabsichtigt veröffentlichten Secrets wie Client-Passwörter. Cyberkriminelle nutzen die auf diese Weise gekaperten Zugangsdaten, um direkt auf Cloud-Umgebungen und interne Unternehmenssysteme zuzugreifen, anstatt Schwachstellen in Software auszunutzen. In diesem Zusammenhang spielen Infostealer eine zentrale Rolle: Malware-Familien wie LummaC2 sammeln Passwörter im Browser, Cookies und Authentifizierungs-Tokens von infizierten Systemen.

Die gestohlenen Zugangsdaten fassen die Tools überdies zu „Logs“ zusammen, die dann den Weg auf Verkaufsplattformen im Darknet finden. Auf diese Weise erhalten auch Cyberkriminelle ohne Hacking-Erfahrung auf einfachste Weise Zugangsdaten zu Unternehmensumgebungen. Laut dem aktuellem Threat Intelligence Report ist die Anzahl von Listen gestohlener Zugangsdaten, die sich auf einen Missbrauch durch LummaC2-Malware zurückführen lassen, um 72 % gestiegen. Schon ein einziger gestohlener Zugang zu internen Unternehmensumgebungen kann pro Konto Tausende von Euro einbringen. Somit ist der Diebstahl von Zugangsdaten derzeit einer der profitabelsten Hacks.

Ransomware bleibt eine erhebliche Bedrohung, GenAI-Einsatz steigt

Trotz eines moderaten Rückgangs nachweisbarer Ransomware-Zahlungen von rund 770 Mio. Euro in 2024 auf 708 Mio. Euro in 2025, steigt die Anzahl der Angriffe weiter. Das ATO-Team von Ontinue zählt über 7.000 weltweit gemeldete Ransomware-Vorfälle in 2025, die mehr als 120 aktive Ransomware-Gruppen in unterschiedlichen Branchen lancierten. Für ihre aktuellen Ransomware-Kampagnen kombinieren Cyberkriminelle zunehmend mehrere Druckmittel, wie die Analysten herausfanden. Zum Repertoire der Hacker gehören Datendiebstahl, Betriebsstörungen, DDoS (Distributed Denial of Service)-Angriffe wie auch die direkte Einschüchterung von Mitarbeitenden oder Kunden von Zielunternehmen. Diese Taktiken bezeichnen Experten als Double-, Triple- oder sogar Quadruple-Extortion.

Der neue Threat Intelligence Report zeigt überdies erste Anzeichen dafür, dass Bedrohungsakteure generative KI (GenAI) nutzen, um die Entwicklung bösartiger Tools zu beschleunigen. Die Analyse mehrerer wiederhergestellter Webshells und Commodity-Malware-Samples zeigte Programmiermuster, die auf LLM-unterstützte Entwicklung hinweisen. Die Analysten fanden beispielsweise ausführliche erläuternde Kommentare, duplizierte Funktionen durch iteratives Prompting und visuell aufbereitete Oberflächen bei unsicheren Implementierungen. Obwohl adversariale KI derzeit noch in den Kinderschuhen steckt und kein dominanter Angriffsvektor ist, weist das ATO-Team von Ontinue darauf hin, dass GenAI die technische Barriere für die Entwicklung funktionaler Malware und Angriffsinfrastruktur deutlich senken wird.

Ausweitung von Angriffen auf Lieferketten, SaaS und Infrastrukturen

Die Risiken im Zusammenhang mit Software-Lieferketten und Cloud-Integrationen nehmen ebenfalls zu. Hacker versuchen zunehmend über Entwicklungspipelines, SaaS-Plattformen und Drittanbieter, indirekten Zugang zu Unternehmensumgebungen zu erlangen. Solche Angriffe können sich schnell über vertrauenswürdige Ökosysteme ausbreiten und es Angreifern ermöglichen, mehrere Organisationen gleichzeitig zu kompromittieren. Neben identitätsgetriebenen Angriffen dokumentiert der aktuelle Threat Intelligence Report zu guter Letzt auch einen dramatischen Anstieg infrastruktureller Bedrohungen. DDoS-Kampagnen erreichten Spitzenwerte von 31,4 Tbps, angetrieben durch Botnets mit über 500.000 kompromittierten Systemen. Diese Angriffe zeigen die wachsende Größe und Automatisierungskapazität heutiger Bedrohungsakteure.

„Angreifer versuchen nicht mehr, Sicherheitsbarrieren zu durchbrechen. Sie loggen sich schlicht mit gestohlenen Zugangsdaten ein“, erklärt Balazs Greksza, Director of Advanced Threat Operations bei Ontinue. „Infostealer versorgen einen wachsenden Untergrundmarkt für Credentials. Sobald Angreifer gültige Identitäten erlangen, können sie traditionelle Sicherheitskontrollen umgehen und sich als legitime Benutzer bewegen. Das geschieht oft, ohne dass innerhalb des Unternehmens irgendwelche Alarme ausgelöst werden.“

Craig Jones, Chief Security Officer bei Ontinue, ergänzt: „Cyberresilienz bedeutet für Unternehmen heute nicht nur, Sicherheitsverletzungen zu verhindern. Wichtig ist auch, Risiken zu reduzieren, indem sie Bedrohungen schnell erkennen, entschlossen reagieren und die betriebliche Kontinuität im Falle eines Security Incident aufrechterhalten. Die Zusammenarbeit mit dem richtigen Managed Security Provider ermöglicht es Unternehmen, fortschrittliche Technologie, Echtzeit-Bedrohungsinformationen und erfahrene Analysten zu kombinieren, um Angreifern einen Schritt voraus zu sein und die Fähigkeit zur Abwehr und Wiederherstellung gegen moderne Cyberbedrohungen zu stärken.“

Der vollständige Report kann hier heruntergeladen werden: https://www.ontinue.com/wp-content/uploads/2026/03/2026_2H2025-Threat-Intelligence-Report.pdf

Diese Presseinformation und Bilder in höherer Auflösung können unter www.pr-com.de/companies/ontinue abgerufen werden.