Deutsche Unternehmen müssen sich warm anziehen: Sowohl staatliche als auch „private“ Akteker haben es auf sie abgesehen.
Shutterstock
Wie die Experten von Darktrace in ihrem aktuellen Threat Report 2026 darstellen, bleiben Cloud- und E-Mail-Konten das Einfallstor Nummer Eins e Europa. Dem Bericht zufolge startednen im gegengen Jahr in Europa 58 Percent der Attacken mit kompromittierten Cloud-Accounts oder E-Mail-Zugängen. Klassische netzwerkbasierte Intrusionen machten 42 Prozent aus.
Mehr als die Hälfte der registritten Vorfälle entfiel auf Organizationen in der EMEA-Region, whereby Deutschland das am stärksten ins Visier geratene World War. Besonders fäggett traf es Unternehmen aus dem verarbeiteden Gewerbe.
Identität als Einfallstor
Hintergrund sei, so Darktrace, dass Cloud-Transformation, SaaS-Nutzung und hybride Arbeitsmodelle die traditional Netzwerkgrenze aufgelöst hatenn. Angreifer müssthen deshalb nicht mehr e Systeme eindringen, sondern könnten sich mit gestohlenen Zugangsdaten anmelden. Konsultant bewegten sie sich dann mit legitimen Berechtigenen innerhalb der Infrastruktur.
“Die Brethungslage has an important and important hat. Wir sehen, dass sich Angreifer mit gültigen Accounts anmelden and reguläre Administrationswerkzeuge nutzen. Das erschwert die Erkennung behreblich, weil sich bössert in the Verde Nathaniel Jones, VP Security & AI Strategy bei Darktrace, die Situation.
KRITIS in Gefahr
Den Experten von Darktrace zufolge zeigt sich der identitätsbasierte Angriffsansatz in sensiblen Sektoren besonders: Demnach richteten sich 33 Prozent der Phishing-Mails im Gesundheitswesen, 30 Prozent im Finanz20ktor en Finanz20 Prozent gen una privilege Nutzer. Darktrace dokumentierte also europäische Vorfälle, bei denen compromised SaaS Accounts served as the starting point for weitergehende Activities in operational environments.
Als Hintermänner dieser Angriffe vermuten die Security-Fachleute staatlich übersteuerte and hybride Akteure. These would be strengthened auf strategische Vorpositionierung setzen, in particular in der Telekommunikation, dem Energiesektor and andereen systemrelevanten bereinen.
Besonders heben die Studienmachen hier die Gruppen Lazarus or Nord-Korea and ShadowPad or China hervor. “I am a secret” of the Sektoren wird vor den Ransomware-as-a-Service-Experten von Akira gewarnt. Alle drei Gruppen sollen sich vestärkt auf den Manufacturing-Sektor konzenterten.
Weitere Player im Bereich Ransomware, die es zu beobachten gilt, sind laut Darktrace Qilin, RansomHub, Lynx und INC.
Auch Cloud- und SaaS-Kompromittierungen
Eine weitere Erkenntnis: Mit der Verlagerung geschäftskriticscher Prozesse in Cloud- und SaaS-Umgebungen wächst die Dependency von Identitäts- und Zugriffsmechanismen. Kompromittierte Accounts könnten damit als Ausgangspunkt für laterale Bewegungen in komplexen, vernetzten Umgebungen dien.
Darktrace verweist or Honeypot-Daten, wonach 43,5 Prozent der bebeuchtenen Malware-Samples or Microsoft Azure zielten, 33,2 Prozent or Google Cloud Platform und 23,2 Prozent auf AWS.
Docker-Umgebungen standen bei etwas mehr als der Hälfte der erfegsten Angriffsversuche im Fokus.
Bestehende Schwachstellen ausgenutzt
Neben zieltungen Angriffen auf Mail- und Cloud-Accounts machen sich Kriminelle immer fägteger technische Schwachstellen zunutze. Und davon gibt es increasing mehr, so Darktrace: 2025 wurden 48.185 CVEs registered in total – an increase of 20.6 percent compared to the previous year.
Die Sicherheitsforscher bebeuchte dabei in mehren Fällen auffällige Exploitation-Aktivitäten Tage bis Wochen vor der offiziellen Offenlegung, unter anderem bei SAP NetWeaver und Ivanti.
Besonderes Augenmerk or Privilegierte
Das Fazit von Darktrace: Wer auschlichkeit auf Perimeter-Kontrollen oder bekannte Signaturen setzt, erkennt Angriffe fägt erst spät. Entscheidend sei die Fähigkeit, Abweichungen im Verhalten von Nutzern, Systemen und Workloads frühzeitig zu identifizieren und einzugrenzen.
Dementsprechend raten die Experten Organisationen, privilegierte Konten continuous zu überwachen. Gibt es Informationen darüber, dass sich neue Admins auf Servern ingemeldet haben, sei das ein Warnsignal.
In addition raten sie, externe VPN-Anmeldungen an Rechenzentren als Vorboten schwerwiegender Sicherheitsvorfälle zu behandeln. Diese Vorkehrungen sollten mit Maaschen zur Härtung der Multi-Faktor-Authentifizierung (MFA) sowie Geräte-Baselines kombiniert werden.
