2025 geht, 2026 kommt – ein Rück- und Ausblick in Sachen Cyberkriminalität

Wo wir heute stehen – was 2025 wichtig war:

Die Bedrohungslandschaft 2025 zeigt, wie sich Cyberrisiken auf mehreren Ebenen ausweiten. Staatliche und kriminelle Akteure passen sich schnell an, finden neue Angriffspfade und stellen die Verteidigung weltweit vor Herausforderungen. Zu den wichtigsten Trends, die das aktuelle Umfeld prägen, gehören:

• Westliche Bedrohungsakteure befeuern Ransomware

Ransomware-Gruppen wie Scattered Spider oder DragonForce verschärfen die Krise mit ebenso dreisten wie professionellen Kampagnen, die häufig mit gestohlenen Zugangsdaten und Identitätsmissbrauch beginnen. Mit ‚westlichen Bedrohungsakteuren‘ sind dabei vor allem englischsprachige, nicht-russischsprachige Cybercrime-Gruppen gemeint, die aus dem westlich geprägten Umfeld stammen und zunehmend Einfluss auf den Ransomware-Markt gewinnen.

• Zunehmende Angriffe auf digitale Lieferketten

Auch wenn diese Art der Attacken sich im Vergleich zu anderen Taktiken noch auf eher niedrigem Niveau befinden, nehmen Kompromittierungen von Software- und Serviceanbietern zu, Angreifer setzen dabei auf größtmögliche Skalierung und maximalen Einfluss.

• Immer mehr Experimente mit generativer KI

Bedrohungsakteure testen verstärkt generative KI, erzielen damit bislang jedoch überwiegend inkrementelle Fortschritte – etwa bei Phishing, Malware-Tools, Deepfakes oder Automatisierung. Bahnbrechende Durchbrüche bleiben bisher aus.

• Infiltration durch nordkoreanische „IT-Fachkräfte“

DVRK-Agenten, die sich als freiberufliche Entwickler ausgeben, infiltrieren Organisationen, um primär Software-Code und Zugangsdaten zu stehlen.

• Social Engineering an vorderster Front

Taktiken wie „Click-Fix“-Köder, gefälschte Helpdesk-Anrufe, MFA-Müdigkeit und QR-Code-Phishing bleiben hochwirksame Einfallstore für Angreifer.

• Chinas anhaltende Cyberbedrohung

Kontinuierliche Kampagnen reichen von Angriffen auf Netzwerkgeräte bis hin zum Abschöpfen der Cloud-Computing-Datenschätze und spiegeln Chinas globale strategische Prioritäten wider.

Wohin die Reise geht – was 2026 wichtig wird:

Die Weiterentwicklung dieser Trends und neue Gefahren werden die Verteidiger einmal mehr in unbekanntes Terrain führen. Die Experten der Sophos X-Ops erwarten, dass

folgende Cybercrime-Aktivitäten das Jahr 2026 prägen werden:

• Deepfake-Stimmenbetrug erreicht Unternehmensebene

Angreifer nutzen KI-generierte, geklonte Stimmen, um die Identitätsprüfung in kritischen Geschäftsprozessen zu umgehen – beispielsweise bei Finanzfreigaben, Passwortzurücksetzungen oder der Integration neuer Lieferanten. Social Engineering verlagert sich damit von E-Mail und QR-Codes zunehmend auf Echtzeit-Sprachkanäle.

• Agentengestützter CEO-Betrug im großen Stil

Angreifer kombinieren agentenbasierte und generative KI, um täuschend echte Deepfake-Stimm- und Videoaufnahmen von CEOs zu erzeugen und damit Mitarbeitende oder Partner zu manipulieren. Die Deepfakes – aus skriptgesteuerten oder zielorientierten Interaktionen generiert – simulieren realistische Anrufe, etwa über WhatsApp, bevor das Gespräch typischerweise in einen Chat übergeht und die eigentliche Betrugsmasche startet.

• Verstärktes Insiderrisiko durch KI-gestützte Programme

Unternehmen sehen sich einem Anstieg von Insider-bedingten Sicherheitslücken gegenüber – nicht nur durch böswillige Akteure, sondern auch aufgrund sorgloser Mitarbeiter, die generative KI-Tools zur Produktivitätssteigerung nutzen. Dadurch geraten immer häufiger unbeabsichtigt sensible Daten durch falsch konfigurierte Apps, geleakte Prompt-Informationen oder Schattenintegrationen in Gefahr.

• KI-Nutzung weitetet betrügerische Beschäftigungsversuche aus

Der anhaltende Fachkräftemangel befeuert kriminelle Machenschaften mit vermeintlichen IT-Mitarbeitern, z.B. aus Nordkorea. Diese nutzen agentenbasierte KI, um die Widerstandsfähigkeit ihrer gefälschten Identitäten zu verbessern, schneller auf Fernanfragen zu reagieren und Aufgaben aus der Ferne effektiver zu erledigen.

• Ransomware bleibt eine der größten Cyberbedrohungen

Ransomware bleibt die dominierende Form schwerwiegender Cyberkriminalität. Der Markt fragmentiert sich zunehmend, und die Beteiligung nicht-russischsprachiger Gruppen, vorwiegend aus dem englisch- und chinesischsprachigen Raum, wächst.

„Die Bedrohungslandschaft erweitert sich von groß angelegten Ransomware-Kampagnen hin zu identitätszentrierten Angriffen, KI-gestütztem Betrug und Insiderrisiken, die durch die zunehmende Automatisierung noch verstärkt werden“, so Michael Veit, Cybersecurity-Experte bei Sophos. „Sicherheitsverantwortliche müssen ihre Kontrollmechanismen für Identität, KI-Governance und Insiderrisiken effektiv aufstellen, um einen Schritt voraus zu sein.“

Der Blick in die Channel-Zukunft: Hoher Druck bei Regularien und Effizienz

Neben den Cybercrime-Topthemen tut sich natürlich auch einiges im Channel. Sven Janssen, VP Sales EMEA Central bei Sophos, mit seiner Prognose: „2026 wird das Jahr sein, in dem Partner noch einmal stärker als in der Vergangenheit den regulatorischen Druck spüren, dem Organisationen in Sachen NIS2 oder DORA ausgesetzt sind. Die Vorgaben stellen viele mittelständische Unternehmen vor die Herausforderung, Security-Prozesse zu professionalisieren und externe Expertise einzukaufen. Entsprechend erwarten wir einen weiteren Boom in Sachen MDR und MSSP. Damit einher geht ein wachsender Bedarf an Security-Awareness und Human-Layer-Schutz; wir stellen fest, dass Partner technische Lösungen zunehmend mit Schulungs- und Awareness-Angeboten kombinieren.
Zweites Topthema ist in Zeiten steigender Kosten und Fachkräftemangel die Effizienz. Partner und Kunden suchen nach Vereinfachung, Automatisierung und Transparenz über das gesamte Security-Ökosystem hinweg. In diesem Zusammenhang werden KI-basierte Security-Automatisierung deutlich zunehmen sowie das Thema SoC weiter an Dynamik gewinnen. Last but not least erwarte ich zudem eine Fortsetzung der Konsolidierung im Channel. Auch 2026 wird im Zeichen weiterer Zusammenschlüsse, Kooperationen und Aufkäufe stehen.“