Cyberangriffe im Jahr 2026: Der Login als Waffe

Cyberkriminelle und nationalstaatliche Akteure verlagern ihren Fokus zunehmend weg vom aufwendigen Eindringen in Systeme, wie aus Cloudflares Bedrohungsbericht 2026 hervorgeht. Stattdessen setzen sie eher auf das effizientere Einloggen mit gestohlenen Zugangsdaten. Eigenen Angaben nach hat Cloudflare für seinen Bericht Billionen von Netzwerksignalen aus der globalen Infrastruktur analysiert, wobei der Anbieter täglich im Schnitt rund 230 Milliarden Bedrohungen blockiert.

Der Report führt ein neues Konzept ein: das Framework Measure of Effectiveness (MOE). Es beschreibt, wie Angreifer ihre Taktiken nach dem Verhältnis von Aufwand zu operativem Ergebnis auswählen. Gestohlene Session-Tokens haben demnach ein höheres MOE als teure Zero-Day-Exploits. Die gefährlichsten Akteure setzen auf automatisierte, industrialisierte Systeme, die ihre Ziele schnell erreichen.

Besonders alarmierend sind die Erkenntnisse zu KI-gestützten Angriffen. Angreifer nutzen Large Language Models für Echtzeit-Netzwerk-Mapping, Exploit-Entwicklung und Deepfakes. So können selbst weniger versierte Akteure komplexe Operationen durchführen. Ein Beispiel sind nordkoreanische Akteure, die mit KI-generierten Personas und gefälschten Identitätsdokumenten Einstellungsprozesse westlicher Unternehmen unterwandern.

Cloud-Dienste als Angriffswerkzeug

Ein weiterer Trend ist die Nutzung legitimer Cloud-Dienste für kriminelle Zwecke. Angreifer missbrauchen Tools wie Google Calendar, Dropbox, GitHub oder Microsoft Teams zur Maskierung von Command-and-Control-Traffic. Die chinesische Gruppe FrumpyToad etwa nutzt den Google Calendar für C2-Loops, während NastyShrew aus Russland Paste-Sites als Dead Drops einsetzt.

Chinesische Staatsakteure wie Salt Typhoon und Linen Typhoon konzentrieren sich auf nordamerikanische Telekommunikationsanbieter, Regierungsstellen und IT-Dienste. Sie verfolgen eine sogenannte Pre-Positioning-Strategie: dauerhafte Platzierung von Code in kritischer Infrastruktur für künftige Angriffe. Überprivilegierte APIs in SaaS-Integrationen erweitern den Blast Radius (Schadensumfang) erheblich – wie der GRUB1-Breach bei Salesloft, der Hunderte Unternehmen betraf.

Token-Diebstahl umgeht Multi-Faktor-Authentifizierung

Infostealer wie LummaC2 ernten Session-Tokens, um die Multi-Faktor-Authentifizierung zu umgehen. In den vergangenen drei Monaten stammten 94 Prozent der Login-Versuche von Bots. Unabhängig davon nutzten 63 Prozent aller Logins kompromittierte Zugangsdaten. Bei Phishing-Angriffen scheitern 46 Prozent der analysierten E-Mails an DMARC-Prüfungen; trotzdem ermöglichen Relay-Blind-Spots Brand-Spoofing.

Hyper-volumetrische DDoS-Angriffe erreichen neue Dimensionen. Botnets wie Aisuru schaffen Durchsatzraten von 31,4 Terabit pro Sekunde und erfordern autonome Verteidigungssysteme. Cloudflare entdeckte beim Dogfooding (Selbsttest) durch einen KI-Coding-Agenten (OpenCode) die Schwachstelle CVE-2026-22813 mit CVSS-Wert von 9.4 – eine nicht authentifizierte Remote-Code-Execution in Markdown-Rendering-Pipelines.

Der vollständige Report steht auf der Cloudflare-Website zur Verfügung.

(fo)