{"id":216,"date":"2026-06-19T04:00:00","date_gmt":"2026-06-19T04:00:00","guid":{"rendered":"https:\/\/shattered.io\/de\/?p=216"},"modified":"2026-06-19T04:21:32","modified_gmt":"2026-06-19T04:21:32","slug":"crowdstrike-global-threat-report-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/crowdstrike-global-threat-report-2026\/","title":{"rendered":"CrowdStrike 2026: Angriff in 27 Sekunden, KI-Attacken +89 % [2026]"},"content":{"rendered":"\n

Der CrowdStrike 2026 Global Threat Report<\/strong> setzt neue Ma\u00dfst\u00e4be: Die durchschnittliche eCrime-Breakout-Zeit fiel 2025 auf 29 Minuten<\/strong>, der schnellste gemessene Einbruch dauerte nur 27 Sekunden<\/strong>. Gleichzeitig stiegen KI-gest\u00fctzte Angriffe um 89 %<\/strong>, und 82 %<\/strong> aller erkannten Angriffe kamen komplett ohne Schadsoftware aus. F\u00fcr deutsche Unternehmen, die bereits unter dem Druck von 334.000 Cyberkriminalit\u00e4tsf\u00e4llen im Jahr 2025 stehen, sind diese Zahlen ein Weckruf.<\/p>\n\n\n\n

CrowdStrike 2026 Global Threat Report: Das sind die wichtigsten Erkenntnisse<\/h2>\n\n\n\n

Am 24. Februar 2026 ver\u00f6ffentlichte CrowdStrike<\/strong> seinen j\u00e4hrlichen Global Threat Report, der auf den Frontline-Beobachtungen und der Bedrohungsanalyse aus dem Gesch\u00e4ftsjahr 2025 basiert. Der Bericht zeichnet ein klares Bild: Angreifer sind schneller, evasiver und KI-kompetenter als je zuvor. Was fr\u00fcher Stunden dauerte, vollzieht sich heute in Minuten oder Sekunden.<\/p>\n\n\n\n

CrowdStrike fasst 2025 unter dem Begriff “Year of the Evasive Adversary” zusammen. W\u00e4hrend Unternehmen ihre Abwehr st\u00e4rken, optimieren Angreifer ihre Techniken, um Sicherheitsblindstellen zu finden und Erkennungssysteme zu umgehen. KI beschleunigt diesen Prozess auf beiden Seiten, doch die Angreifer setzen sie derzeit effektiver ein.<\/p>\n\n\n\n

Kennzahl<\/th>2023<\/th>2024<\/th>2025 (Bericht 2026)<\/th>Ver\u00e4nderung<\/th><\/tr><\/thead>
Durchschnittliche eCrime-Breakout-Zeit<\/td>62 Minuten<\/td>48 Minuten<\/td>29 Minuten<\/td>-65 %<\/td><\/tr>
Schnellster gemessener Einbruch<\/td>k.A.<\/td>k.A.<\/td>27 Sekunden<\/td>Rekord<\/td><\/tr>
KI-gest\u00fctzte Angriffe (YoY)<\/td>\u2013<\/td>Basis<\/td>+89 %<\/td>+89 %<\/td><\/tr>
Malware-freie Erkennungen<\/td>75 %<\/td>79 %<\/td>82 %<\/td>+3 Pkt.<\/td><\/tr>
Zero-Day-Ausnutzung vor Patch<\/td>\u2013<\/td>Basis<\/td>+42 %<\/td>+42 %<\/td><\/tr>
Cloud-bewusste Einbr\u00fcche<\/td>\u2013<\/td>Basis<\/td>+37 %<\/td>+37 %<\/td><\/tr>
China-Nexus-Aktivit\u00e4t<\/td>\u2013<\/td>Basis<\/td>+38 %<\/td>+38 %<\/td><\/tr>
Nordkorea-Nexus-Vorf\u00e4lle<\/td>\u2013<\/td>Basis<\/td>+130 %<\/td>+130 %<\/td><\/tr><\/tbody><\/table>
Quellen: CrowdStrike 2026 Global Threat Report, Kiteworks-Analyse (Feb. 2026)<\/figcaption><\/figure>\n\n\n\n

27 Sekunden: Schnellster Cyberangriff in der Geschichte aufgezeichnet<\/h2>\n\n\n\n

Die vielleicht eindrucksvollste Zahl des Berichts ist auch die beunruhigendste: 27 Sekunden<\/strong>. So kurz dauerte der schnellste jemals von CrowdStrike gemessene eCrime-Einbruch. In der Zeit, die ein Mitarbeiter braucht, um seinen Kaffee zu nehmen und an seinen Schreibtisch zur\u00fcckzukehren, hatte sich ein Angreifer bereits Zugang verschafft und mit der seitlichen Bewegung im Netzwerk begonnen.<\/p>\n\n\n\n

Zum Verst\u00e4ndnis: Als “Breakout-Zeit” bezeichnet CrowdStrike das Zeitfenster zwischen dem ersten Zugang eines Angreifers und dessen erster seitlichen Bewegung im Netzwerk. Das ist der kritische Moment, in dem Unternehmen einen Angriff noch eingrenzen k\u00f6nnen, bevor er sich ausbreitet. In einem Fall begann die Datenexfiltration bereits 4 Minuten<\/strong> nach dem ersten Zugang.<\/p>\n\n\n\n

F\u00fcr Sicherheitsteams bedeutet das einen fundamentalen Paradigmenwechsel. Manuelle Reaktionen sind bei diesen Geschwindigkeiten schlicht unm\u00f6glich. Wer nicht auf automatisierte Erkennungs- und Reaktionssysteme setzt, verliert den Wettlauf gegen die Uhr systematisch.<\/p>\n\n\n\n

eCrime-Breakout-Zeit f\u00e4llt auf 29 Minuten: 65 % schneller als 2024<\/h2>\n\n\n\n

Der Durchschnittswert von 29 Minuten<\/strong> klingt zun\u00e4chst weniger dramatisch als 27 Sekunden, ist aber in der historischen Entwicklung ebenso besorgniserregend. 2024 betrug die durchschnittliche Breakout-Zeit noch 48 Minuten<\/strong>, 2021 waren es noch 98 Minuten<\/strong>. Das entspricht einer Beschleunigung von 65 %<\/strong> allein im letzten Jahr und einer Halbierung innerhalb von vier Jahren.<\/p>\n\n\n\n

Diese Entwicklung ist kein Zufall, sondern das direkte Ergebnis von KI-gest\u00fctzten Werkzeugen, die Angreifer einsetzen, um Netzwerke schneller zu erkunden, Schwachstellen automatisch zu identifizieren und Angriffswege zu optimieren. Was fr\u00fcher stunden- oder tagelange manuelle Arbeit erforderte, l\u00e4sst sich heute in Minuten automatisieren.<\/p>\n\n\n\n

F\u00fcr die Praxis bedeutet das: Das klassische Modell, bei dem ein Sicherheitsteam w\u00e4hrend der Gesch\u00e4ftszeiten reagiert, ist obsolet. Ein Angriff, der um 3 Uhr nachts beginnt, hat um 3:29 Uhr m\u00f6glicherweise bereits kritische Systeme kompromittiert. Unternehmen ohne 24\/7-Monitoring und automatisierte Gegenma\u00dfnahmen sind strukturell benachteiligt.<\/p>\n\n\n\n

KI-gest\u00fctzte Cyberangriffe steigen um 89 % in einem Jahr<\/h2>\n\n\n\n

Der CrowdStrike 2026 Bericht dokumentiert einen 89-prozentigen Anstieg<\/strong> der Aktivit\u00e4ten von KI-gest\u00fctzten Angreifern gegen\u00fcber dem Vorjahr. Dabei nutzen sowohl staatliche Akteure als auch eCrime-Gruppen KI systematisch: f\u00fcr Social-Engineering, Malware-Entwicklung, Schwachstellenausnutzung, automatisierte Aufkl\u00e4rung und skalierte Phishing-Kampagnen.<\/p>\n\n\n\n

CrowdStrike h\u00e4lt fest: “KI ist dabei, die Angreifer zu beschleunigen und die Angriffsfl\u00e4che der Unternehmen zu vergr\u00f6\u00dfern.” Besonders relevant f\u00fcr deutsche Unternehmen ist die Erkenntnis, dass KI vor allem die Einstiegsh\u00fcrde f\u00fcr weniger technisch versierte Angreifer senkt. Cybercrime-as-a-Service-Modelle, die das BSI in seinem Lagebericht 2025 als fest etabliert bezeichnet, profitieren direkt von dieser Entwicklung.<\/p>\n\n\n\n

Bundesinnenminister Alexander Dobrindt<\/strong> hatte bei der Pr\u00e4sentation des BSI-Lageberichts 2025 bereits erkl\u00e4rt: “Deutschland ist nach den USA, Indien und Japan eines der Top-Ziele f\u00fcr Cyberangriffe.” Die KI-getriebene Beschleunigung des Bedrohungsgeschehens, die CrowdStrike dokumentiert, d\u00fcrfte diese Einsch\u00e4tzung f\u00fcr 2026 noch versch\u00e4rfen.<\/p>\n\n\n\n

GenAI als Angriffswaffe: Prompt-Injection bei mehr als 90 Unternehmen<\/h2>\n\n\n\n

Eine besonders neue Angriffskategorie, die der Bericht hervorhebt: Angreifer injizieren b\u00f6sartige Prompts in legitime GenAI-Tools, die von Unternehmen eingesetzt werden. CrowdStrike reagierte in mehr als 90 Organisationen<\/strong> auf solche Vorf\u00e4lle. Dabei nutzten Angreifer diese Prompt-Injections, um Befehle zum Stehlen von Zugangsdaten und Kryptow\u00e4hrungen zu generieren.<\/p>\n\n\n\n

Das Muster ist neu und gef\u00e4hrlich: Unternehmen implementieren KI-Tools, um produktiver zu werden. Angreifer nutzen genau diese Tools als Einfallstor. GenAI-Plattformen werden zu einer neuen Angriffsfl\u00e4che, die mit klassischen Endpoint-Schutzl\u00f6sungen nicht abgedeckt ist.<\/p>\n\n\n\n

F\u00fcr den DACH-Raum ist diese Entwicklung besonders relevant, da der Einsatz von KI-Tools in Unternehmen seit 2024 stark zunimmt. Ohne spezifische Sicherheitsrichtlinien f\u00fcr den Umgang mit GenAI-Anwendungen \u00f6ffnen Unternehmen eine Flanke, die bisher in den meisten Sicherheitskonzepten nicht adressiert ist.<\/p>\n\n\n\n

82 % aller Angriffe ohne Schadsoftware: Das Ende der klassischen Endpoint-Abwehr<\/h2>\n\n\n\n

Ein kontinuierlicher Trend setzt sich 2025 fort und erreicht einen neuen H\u00f6chststand: 82 %<\/strong> aller von CrowdStrike erkannten Angriffe kamen ohne traditionelle Malware aus. Angreifer loggen sich mit gestohlenen Zugangsdaten ein, nutzen native Administrationstools und bewegen sich durch Netzwerke, ohne eine einzige verd\u00e4chtige Datei zu installieren.<\/p>\n\n\n\n

Die Analyse von CardinalOps<\/strong>, einem auf Detection Engineering spezialisierten Unternehmen, fasst die Implikation pr\u00e4zise zusammen: “Die Angriffsfl\u00e4che beschr\u00e4nkt sich nicht mehr auf Endpunkte. Der Angreifer ist nicht mehr auf Schadsoftware angewiesen. Und der Zeitraum zwischen erstem Zugang und Schadwirkung schrumpft auf Minuten.”<\/p>\n\n\n\n

Signaturbasierte Antivirenl\u00f6sungen, jahrzehntelang der Standard in der Unternehmensabwehr, sind gegen diese Angriffsmethoden weitgehend wirkungslos. Identity-Monitoring, Verhaltensanalyse und dom\u00e4nen\u00fcbergreifende Korrelation r\u00fccken in den Vordergrund. Besonders kritisch: 35 %<\/strong> aller Cloud-Vorf\u00e4lle wurden durch den Missbrauch g\u00fcltiger Accounts verursacht, also durch keine auff\u00e4llige Aktivit\u00e4t, die klassische Systeme erkennen w\u00fcrden.<\/p>\n\n\n\n

China-Nexus-Angreifer steigern Aktivit\u00e4t um 38 %: Fokus auf Lieferketten<\/h2>\n\n\n\n

Staatlich unterst\u00fctzte chinesische Angreifer intensivierten ihre Operationen 2025 erheblich. CrowdStrike registrierte einen 38-prozentigen Anstieg<\/strong> der China-Nexus-Aktivit\u00e4t, mit einem besonderen Fokus auf den Logistiksektor, der mit einem Anstieg von 85 %<\/strong> den st\u00e4rksten Zuwachs bei Angriffen verzeichnete. Auch Telekommunikation und Finanzdienstleistungen waren stark betroffen (jeweils +30 % und +20 %).<\/p>\n\n\n\n

Ein charakteristisches Muster: China-Nexus-Akteure richten sich systematisch auf Edge-Ger\u00e4te (VPN-Appliances, Firewalls, Router) aus, die au\u00dferhalb der meisten EDR-Abdeckung liegen. Neu entdeckte Schwachstellen werden dabei oft innerhalb von zwei Tagen<\/strong> nach der Ver\u00f6ffentlichung ausgenutzt, bevor die meisten Unternehmen ihre Systeme patchen konnten.<\/p>\n\n\n\n

F\u00fcr die deutsche Industrie, insbesondere den Maschinenbau und die Automotive-Lieferkette, ist diese Entwicklung direkt relevant. Deutschland ist sowohl wirtschaftlich als auch geopolitisch ein bevorzugtes Ziel f\u00fcr chinesische Wirtschaftsspionage. Der Trend zu Lieferketten-Angriffen trifft den exportorientierten deutschen Mittelstand in einem besonders verwundbaren Punkt.<\/p>\n\n\n\n

Nordkorea-Hacker: 130 % Anstieg und der 1,46-Milliarden-Dollar-Kryptow\u00e4hrungsdiebstahl<\/h2>\n\n\n\n

Nordkorea-nahe Bedrohungsakteure erlebten 2025 eine regelrechte Explosion ihrer Aktivit\u00e4ten. CrowdStrike verzeichnete einen Anstieg von 130 %<\/strong> bei Vorf\u00e4llen mit Nordkorea-Nexus. Besonders die Gruppe FAMOUS CHOLLIMA<\/strong> verdoppelte ihre Aktivit\u00e4t im Vergleich zu 2024. Der strategische Fokus liegt auf finanzieller Bereicherung zur Umgehung internationaler Sanktionen.<\/p>\n\n\n\n

Kr\u00f6nung der nordkoreanischen Cyberoperationen war 2025 der bislang gr\u00f6\u00dfte Kryptow\u00e4hrungsdiebstahl in der Geschichte: Ein Angriff auf eine Blockchain-Infrastruktur, der \u00fcber einen Supply-Chain-Kompromiss durchgef\u00fchrt wurde, erbeutete 1,46 Milliarden US-Dollar<\/strong>. CrowdStrike ordnet diesen Vorfall einem DPRK-nahen Akteur zu.<\/p>\n\n\n\n

F\u00fcr den deutschen Kryptow\u00e4hrungs- und Finanzsektor unterstreicht dieser Fall eine zentrale Lektion: Supply-Chain-Angriffe sind nicht nur ein theoretisches Risiko. Die Kompromittierung eines einzigen vertrauensw\u00fcrdigen Zulieferers oder Dienstleisters kann katastrophale Folgen haben, die weit \u00fcber das direkt betroffene Unternehmen hinausgehen.<\/p>\n\n\n\n

Zero-Day-Exploits: 42 % mehr Angriffe vor \u00f6ffentlichem Patch<\/h2>\n\n\n\n

Der Bericht dokumentiert einen 42-prozentigen Anstieg<\/strong> bei der Ausnutzung von Schwachstellen, bevor diese \u00f6ffentlich bekannt waren oder Patches verf\u00fcgbar waren. Angreifer nutzten Zero-Days systematisch f\u00fcr initialen Zugang, Remote Code Execution und Privilege Escalation.<\/p>\n\n\n\n

Diese Entwicklung ist in direktem Zusammenhang mit dem BSI-Lagebericht 2025 zu sehen, der f\u00fcr Deutschland einen Anstieg der ausgenutzten IT-Schwachstellen um 38 %<\/strong> und einen Anstieg der neu entdeckten Schwachstellen um 24 %<\/strong> dokumentiert. Besonders alarmierend: Das BSI z\u00e4hlte in Deutschland noch 30.000 verwundbare Microsoft-Exchange-Server<\/strong> in Krankenh\u00e4usern, Schulen und anderen kritischen Institutionen.<\/p>\n\n\n\n

Die Zero-Day-Problematik und die langsame Patch-Praxis sind zwei Seiten desselben Problems. Das Microsoft Patch-Tuesday-Update vom Juni 2026, das allein 204 Schwachstellen<\/strong> schloss, verdeutlicht das schiere Volumen an Sicherheitsl\u00fccken, das Unternehmen monatlich bew\u00e4ltigen m\u00fcssen.<\/p>\n\n\n\n

Cloud-Angriffe steigen um 37 %: Staatliche Akteure sogar um 266 %<\/h2>\n\n\n\n

Der Trend zur Cloud-Migration schl\u00e4gt sich direkt in der Bedrohungslandschaft nieder. CrowdStrike verzeichnete einen 37-prozentigen Anstieg<\/strong> bei “Cloud-Conscious Intrusions”, also Angriffen, die spezifisch auf Cloud-Infrastruktur abzielen. Bei staatlichen Akteuren war der Anstieg mit 266 %<\/strong> dramatisch h\u00f6her, was auf ein systematisches Interesse an der strategischen Informationsgewinnung \u00fcber Cloud-Plattformen hindeutet.<\/p>\n\n\n\n

35 %<\/strong> aller Cloud-Vorf\u00e4lle resultierten aus dem Missbrauch g\u00fcltiger Accounts, also legitimer Zugangsdaten, die durch Phishing, Credential-Stuffing oder K\u00e4ufe in Darknet-Foren erlangt wurden. Dieser Befund passt zur \u00fcbergeordneten Beobachtung von 82 % malware-freier Angriffe: Angreifer stehlen keine Schl\u00fcssel mehr, sie klingeln einfach an der T\u00fcr.<\/p>\n\n\n\n

BSI-Pr\u00e4sidentin Claudia Plattner<\/strong> betonte bei der Pr\u00e4sentation des BSI-Lageberichts 2025, dass k\u00fcnftig nicht nur Bedrohungen, sondern auch die Wirksamkeit von Gegenma\u00dfnahmen messbar sein m\u00fcssen, “ein entscheidender Schritt hin zu einer strategisch kontrollierbaren Cybersicherheit.” F\u00fcr Cloud-Sicherheit bedeutet das konkret: Nicht ausreichend ist, den Zugang zu sichern. Anomalien im Verhalten legitimer Accounts m\u00fcssen kontinuierlich \u00fcberwacht werden.<\/p>\n\n\n\n

Deutschland im Fokus: Was der CrowdStrike-Bericht f\u00fcr den DACH-Raum bedeutet<\/h2>\n\n\n\n

Der CrowdStrike Global Threat Report enth\u00e4lt keine Deutschland-spezifischen Aufschl\u00fcsselungen, aber in Kombination mit deutschen Quellen ergibt sich ein klares Bild. Deutschland ist 2025 besonders exponiert:<\/p>\n\n\n\n