Was der DBIR 2026 ist – und warum er für jeden IT-Verantwortlichen relevant ist
Der Data Breach Investigations Report (DBIR) erscheint seit 19 Jahren jährlich und gilt als eine der umfassendsten Auswertungen realer Sicherheitsvorfälle weltweit. Für die aktuelle Ausgabe wurden mehr als 31 000 Sicherheitsvorfälle und über 22 000 bestätigte Datenschutzverletzungen aus 145 Ländern analysiert – die größte Datenmenge in der Geschichte des Reports. Der Untersuchungszeitraum erstreckt sich von November 2024 bis Oktober 2025.
Für uns als Anbieter von Cloud- und Server-Lösungen und für mich als Systemadministrator im Besonderen ist der DBIR keine rein akademische Übung, sondern ein Realitätscheck: Welche Angriffsmuster setzen sich gerade durch, und wo sollten wir unsere Verteidigungsmaßnahmen anpassen? Genau diese praktische Perspektive möchte ich hier teilen.
Schwachstellen-Ausnutzung überholt Credential-Diebstahl
Die wohl wichtigste Verschiebung in diesem Jahr: Die Ausnutzung von Schwachstellen (Exploitation of vulnerabilities) ist mit 31 % zum häufigsten initialen Angriffsvektor geworden. Credential-Missbrauch, jahrelang die Nummer eins, ist als erster Angriffsschritt auf 13 % zurückgegangen.

Das bedeutet aber nicht, dass Passwörter plötzlich unwichtig geworden sind. Betrachtet man nicht nur den allerersten Schritt eines Angriffs, sondern den gesamten Verlauf einer Sicherheitsverletzung, bleibt der Diebstahl von Zugangsdaten mit 39 % weiterhin der bedeutendste Einzelfaktor. Credentials werden also nach wie vor exzessiv genutzt – nur seltener als allererste Tür ins System. Wer sich näher mit dem Thema beschäftigen möchte: In unserem Beitrag zu sicheren Passwörtern gehen wir auf konkrete Schutzmaßnahmen ein.
Was die Schwachstellen-Problematik besonders macht: Nur 26 % der kritischen Schwachstellen aus dem Cybersecurity Infrastructure and Security Agency Known Exploited Vulnerabilities (CISA KEV) Katalog wurden im Berichtsjahr vollständig behoben – ein Rückgang gegenüber 38 % im Vorjahr. Die mediane Zeit bis zur vollständigen Behebung stieg auf 43 Tage, fast zwei Wochen mehr als im Vorjahr.
Eine genauere Einordnung des Reports relativiert dieses Bild allerdings, ohne es zu entschärfen: Der Vierjahresvergleich zeigt, dass Organisationen nicht grundsätzlich schlechter im Patchen geworden sind, sondern dass das absolute Volumen an gemeldeten Schwachstellen massiv gestiegen ist. 2022 umfasste der ausgewertete Datensatz rund 68,7 Millionen Schwachstellen-Instanzen, 2025 bereits 527,3 Millionen. Also nahezu das Achtfache, bei einer im Vergleich stabilen Anzahl an Organisationen. Defensivteams patchten 2025 in absoluten Zahlen tatsächlich mehr als je zuvor, nämlich 63,7 Millionen Instanzen, proaktiv noch vor Aufnahme in den KEV-Katalog, ein Plus von 30 % gegenüber dem Vorjahr. Das Problem ist also weniger nachlassende Disziplin als eine schlicht nicht mehr mitwachsende Verarbeitungskapazität: Selbst die leistungsfähigsten Organisationen schaffen es laut Report in der ersten Woche nach Bekanntwerden einer Schwachstelle, nur 30 bis 40 % der KEV-Einträge zu beheben – unabhängig von Tooling, Prozessreife oder Ressourceneinsatz. Patch-Management ist damit kein lästiges Nebenthema, sondern eine der wirksamsten Verteidigungslinien überhaupt. Allerdings eine, bei der die schiere Menge mittlerweile zum limitierenden Faktor wird, nicht der Wille zur Umsetzung.
Was das für deinen Server-Betrieb bedeutet
Wer Rootserver oder vServer betreibt, sollte Patch-Zyklen nicht aufschieben. Besonders Edge-Geräte wie VPN-Gateways, Firewalls und Management-Interfaces stehen laut Report im Fokus der Angreifer, da Schwachstellen dort oft wochenlang unentdeckt oder ungepatcht bleiben. Wer diese Verantwortung nicht selbst tragen möchte, findet im Managed Service von hosttech eine Lösung, bei der Patch-Management und Systempflege durch unser Team übernommen werden. Das Server-Management kannst du bei all unseren vServern, Premium+ Servern sowie im virtual Datacenter optional dazubuchen.
Ransomware wächst weiter – Zahlungsbereitschaft sinkt
Ransomware ist 2026 in 48 % aller analysierten Breaches präsent, ein erneuter Anstieg gegenüber 44 % im Vorjahr. Gleichzeitig zeigt sich ein interessanter Gegentrend: 69 % der Ransomware-Opfer haben nicht bezahlt, und auch der mediane Lösegeldbetrag sank weiter, von 150 000 US-Dollar im Vorjahr auf 139 875 US-Dollar.
Besonders auffällig: Rund 96 % der Ransomware-Opfer im Datensatz waren kleine und mittlere Unternehmen. Viele dieser Angriffe sind opportunistisch – es geht den Angreifern weniger um Branche oder Umsatz des Opfers, sondern schlicht darum, wer kompromittierte Zugangsdaten oder ungepatchte Schwachstellen in Edge-Geräten aufweist. Der Report liefert dazu konkrete Zahlen aus der gesonderten KMU-Auswertung: Bei 38 % der untersuchten Ransomware-Fälle in kleinen und mittleren Unternehmen waren kompromittierte Zugangsdaten der Einstiegspunkt, bei 29 % ungepatchte Schwachstellen in Edge-Geräten wie VPN-Gateways oder Firewalls.
Wer seine Backups nicht konsequent pflegt und testet, läuft Gefahr, bei einem erfolgreichen Ransomware-Angriff ohne Wiederherstellungsoption dazustehen.
Third-Party-Risiken nehmen massiv zu
Die Abhängigkeit von Drittanbietern – Cloud-Dienste, Software-Lieferanten, Service-Provider – ist eine der größten Schwachstellen im aktuellen Bedrohungsbild. Breaches mit Third-Party-Beteiligung sind um 60 % gegenüber dem Vorjahresdatensatz gestiegen und betreffen inzwischen 48 % aller Sicherheitsverletzungen.
Ein konkretes Problem dabei: Lediglich 23 % der Drittanbieter-Organisationen hatten fehlende oder unzureichend gesicherte Multi-Faktor-Authentifizierung (MFA) auf ihren Cloud-Konten vollständig behoben. Bei schwachen Passwörtern und falsch konfigurierten Berechtigungen dauerte die Behebung von 50 % aller gefundenen Probleme im Schnitt fast acht Monate.
Auch bei der Third-Party-Problematik trifft es KMU überdurchschnittlich: Hier weisen 55 % aller Breaches eine Drittanbieter-Beteiligung auf. Das deckt sich mit einer naheliegenden Vermutung: KMU verlassen sich aus Ressourcengründen stärker auf externe Dienstleister und Cloud-Anbieter, was die eigene Angriffsfläche zusätzlich vergrößert. Beim gestohlenen Datentyp dominieren bei KMU interne Unternehmensdaten und Zugangsdaten, während personenbezogene Daten in diesem Jahr aus den Top-Kategorien verschwunden sind – ein Hinweis darauf, dass es den Angreifern hier oft primär um Erpressungspotenzial geht, nicht um den Weiterverkauf von Personendaten.
Für Unternehmen heißt das konkret: Die eigene Sicherheitsstrategie endet nicht an der eigenen Infrastruktur. Wer Hosting-Dienstleister, Plugins oder externe APIs einbindet, sollte deren Sicherheitsstandards aktiv hinterfragen – ein blindes Vertrauen in die Lieferkette ist 2026 keine Option mehr.
Generative KI verändert die Angreiferseite – und die Verteidigung gleich mit
Ein Schwerpunktthema dieses Jahrgangs: Bedrohungsakteure setzen generative KI nachweislich in verschiedenen Phasen ihrer Angriffe ein – bei der Auswahl von Zielen, beim initialen Zugriff und bei der Entwicklung von Malware. Im Median nutzten oder recherchierten Angreifer KI-Unterstützung für 15 verschiedene dokumentierte Techniken, einige sogar für 40 bis 50.
Interessant ist dabei: Die meiste KI-unterstützte Malware-Entwicklung war mit bereits bekannten, klar definierten Angriffstechniken verknüpft. Im Median existierten bereits 55 bekannte Malware-Beispiele mit vergleichbarer Funktion. Wirklich neuartige, KI-generierte Angriffstechniken ohne Vorbild blieben mit unter 2,5 % der beobachteten Fälle die Ausnahme.
Der DBIR-Datensatz endet im Oktober 2025. Seither hat sich auf der KI-Seite einiges bewegt, was die hier beschriebene Dynamik weiter beschleunigen dürfte. Anthropic hat im April 2026 mit Claude Mythos Preview ein Modell vorgestellt, das laut eigenen Angaben in der Lage ist, Schwachstellen in einem Tempo und Umfang zu identifizieren, das menschliche Sicherheitsteams nicht erreichen. Eine unabhängige Einschätzung des UK AI Security Institute bestätigt, dass das Modell bei mehrstufigen Cyberangriffs-Simulationen einen deutlichen Sprung gegenüber bisherigen Modellen zeigt. Anthropic hat das Modell bislang nicht öffentlich zugänglich gemacht, sondern stellt es im Rahmen von Project Glasswing gezielt für die Schwachstellenfindung und -behebung bereit – also primär als Werkzeug der Verteidigung, nicht als frei verfügbares Angriffstool.
Das ändert die Ausgangslage für beide Seiten. Wenn KI-Modelle Schwachstellen schneller finden können als menschliche Teams sie patchen, verschärft das genau das Problem, das der DBIR 2026 bereits aufzeigt: lange Behebungszeiten bei kritischen Schwachstellen. Gleichzeitig zeigt der restriktive Rollout von Mythos, dass die Fähigkeiten offenbar real genug sind, um eine kontrollierte Freigabe zu rechtfertigen statt eines offenen Releases. Für die Praxis heißt das: Patch-Zyklen werden sich nicht verlangsamen lassen, sondern müssen sich an ein Tempo anpassen, das bisher nur in der Theorie diskutiert wurde. Wer heute noch mit monatlichen Patch-Fenstern arbeitet, sollte sich fragen, ob das 2026 noch ausreicht.
Social Engineering wird mobiler und raffinierter
Der menschliche Faktor war in 62 % aller Breaches beteiligt, ein leichter Anstieg gegenüber 60 % im Vorjahr. Social Engineering bleibt mit 16 % der dritthäufigste Angriffsmuster-Typ.
Bemerkenswert ist die Verschiebung hin zu mobilen Kanälen: Bei simulierten Phishing-Tests lag die Erfolgsquote bei mobilen Vektoren wie Sprach- und Textnachrichten im Median 40 % höher als bei klassischen E-Mail-Angriffen. Zudem hat sich Pretexting – der Aufbau einer vermeintlichen Vertrauensbeziehung durch konstruierte Szenarien, häufig per Telefon – zu einem eigenständig erfassten initialen Angriffsvektor entwickelt und erreichte 6 % aller Breaches, mit deutlicher Relevanz bei hochkarätigen Ransomware-Fällen.
Der Report führt diese separate Erfassung bewusst ein, weil sich Phishing und Pretexting in einem entscheidenden Punkt unterscheiden, und genau deshalb auch unterschiedliche Abwehrmaßnahmen brauchen. Phishing ist asynchron: Das Opfer erhält eine E-Mail oder Nachricht, die zu einer Handlung verleiten soll – etwa zur Eingabe eines Passworts oder zum Download einer Datei. Der Angreifer ist beim Auslösen dieser Reaktion nicht live beteiligt. Pretexting läuft dagegen synchron ab: Der Angreifer befindet sich in Echtzeit im Dialog mit dem Opfer, meist am Telefon, in einem Chat oder per Videoanruf, und baut dabei gezielt eine vermeintlich vertrauenswürdige Situation auf, um eine Handlung oder Information zu entlocken. Diese Live-Komponente macht Pretexting deutlich schwerer zu trainieren als klassische Phishing-Awareness: Eine Checkliste wie „Prüfe Absenderadresse und Sprache“ funktioniert bei einem Telefonanruf naturgemäß nicht. Wer Mitarbeitende schulen will, braucht hier klare, geschäftsbezogene Verhaltensregeln. Etwa feste Verifikationsprozesse für Helpdesk- und Support-Teams, bevor sensible Aktionen ausgeführt werden.
Hast du dich bei einem Anruf bei unserem Support-Team schon einmal darüber geärgert, dass du erst noch deinen Support-Code heraussuchen musstest, bevor dir irgendeine Auskunft erteilt wurde? Genau das ist ein solcher Mechanismus, welcher sicherstellen soll, dass keine Unbefugten an deine Daten kommen.
Für die Praxis bedeutet das: Phishing-Awareness-Trainings, die sich ausschließlich auf E-Mails konzentrieren, greifen zu kurz. Mitarbeitende in Support- und IT-Help-Desk-Funktionen sollten gezielt auch auf Voice-Phishing und Pretexting-Szenarien vorbereitet werden.
Shadow AI: Das unterschätzte Datenleck im eigenen Haus
Ein Aspekt des menschlichen Faktors, der oft übersehen wird: die unautorisierte Nutzung von KI-Diensten durch Mitarbeitende, im Report als „Shadow AI“ bezeichnet in Anlehnung an das bekanntere Problem der Schatten-IT. Die Zahlen sind deutlich: 45 % der Mitarbeitenden gelten inzwischen als regelmäßige KI‑Nutzer auf ihren Firmengeräten, ein massiver Anstieg gegenüber 15 % im Vorjahr. Gleichzeitig nutzen 67 % davon nicht-geschäftliche Accounts auf Firmengeräten, um auf KI-Plattformen zuzugreifen – außerhalb jeder organisatorischen Kontrolle.
Besonders aufschlussreich: Shadow AI ist inzwischen die dritthäufigste nicht bösartige Insider-Aktion in den ausgewerteten Data-Loss-Prevention (DLP)-Datensätzen – eine Vervierfachung gegenüber dem Vorjahr. Am häufigsten gelangt dabei Quellcode an externe KI-Modelle, gefolgt von Bildern und anderen strukturierten Daten. In 3,2 % der erfassten DLP‑Verstöße wurden sogar interne Forschungsdaten und technische Dokumentationen an nicht autorisierte KI-Systeme hochgeladen – mit dem Risiko, dass geistiges Eigentum unbemerkt das Unternehmen verlässt.

Auch der Browser selbst wird zum Einfallstor: Durchschnittlich hatten über 15 % der Nutzer eines Unternehmens nicht autorisierte KI-Erweiterungen installiert, von denen viele den Browserverlauf zur Kontextgewinnung mitlesen – auch dann, wenn dabei interne, nicht öffentliche Inhalte erfasst werden.
Für die Praxis heißt das: Eine reine Verbots- oder Sperrpolitik für KI-Tools wird angesichts dieser Adoptionsrate kaum greifen. Wirksamer ist eine klare, kommunizierte Richtlinie, welche Tools erlaubt sind, kombiniert mit technischen Maßnahmen wie DLP-Lösungen, die das Hochladen sensibler Daten an unautorisierte Drittsysteme erkennen und unterbinden.
Fazit
Der Verizon DBIR 2026 zeichnet kein Bild radikaler Umwälzung, sondern eine Verschiebung von Gewichtungen: Schwachstellen-Management wird wichtiger, Third-Party-Risiken nehmen messbar zu, und Angreifer nutzen generative KI, um bestehende Methoden effizienter zu machen – nicht, um sie neu zu erfinden. Wer die Grundlagen konsequent umsetzt – Patch-Management, Backup-Strategien, Zugriffskontrollen und Schulung der Mitarbeitenden – ist auch 2026 gut aufgestellt. Wenn du Unterstützung bei der Absicherung deiner Server-Infrastruktur suchst, schau dir unsere Managed-Server-Lösungen an, damit Patch-Management und Systempflege bei uns in guten Händen sind.
FAQ zum Verizon DBIR 2026
Was ist der Verizon Data Breach Investigations Report?
Der DBIR ist ein jährlich erscheinender Bericht von Verizon, der reale Sicherheitsvorfälle und bestätigte Datenschutzverletzungen weltweit auswertet. Für die Ausgabe 2026 wurden über 31 000 Vorfälle und mehr als 22 000 bestätigte Breaches aus 145 Ländern analysiert. Der Report gilt als eine der umfassendsten und am häufigsten zitierten Datenquellen zur aktuellen Bedrohungslage in der IT-Sicherheit.
Was ist der häufigste Angriffsweg laut DBIR 2026?
Die Ausnutzung von Schwachstellen ist mit 31 % erstmals der häufigste initiale Angriffsvektor, noch vor Credential-Missbrauch mit 13 %. Über den gesamten Verlauf einer Sicherheitsverletzung betrachtet bleibt der Diebstahl von Zugangsdaten mit 39 % jedoch weiterhin der bedeutendste Einzelfaktor.
Wie stark ist Ransomware 2026 verbreitet?
Ransomware ist in 48 % aller analysierten Breaches präsent, ein erneuter Anstieg gegenüber dem Vorjahr. Gleichzeitig sinkt die Zahlungsbereitschaft der Opfer: 69 % zahlten kein Lösegeld, und der mediane Zahlungsbetrag ist weiter gesunken. Besonders betroffen sind kleine und mittlere Unternehmen, die rund 96 % der Ransomware-Opfer im Datensatz ausmachen.
Welche Rolle spielt künstliche Intelligenz bei Cyberangriffen?
Generative KI wird von Angreifern aktiv zur Zielauswahl, für den initialen Zugriff sowie zur Entwicklung von Malware und Angriffstools eingesetzt. Die meisten KI-unterstützten Techniken basieren dabei auf bereits bekannten Angriffsmustern – komplett neuartige, KI-generierte Bedrohungen ohne Vorbild bleiben mit unter 2,5 % der Fälle weiterhin selten.
Sind kleine Unternehmen genauso gefährdet wie große Konzerne?
Ja, sogar überproportional bei Ransomware: Rund 96 % der Ransomware-Opfer im DBIR-2026-Datensatz waren kleine und mittlere Unternehmen. Die Hauptangriffsmuster – System Intrusion, Social Engineering und Basic Web Application Attacks – entsprechen dabei weitgehend denen größerer Organisationen, allerdings verfügen KMU oft über weniger Ressourcen zur Abwehr und Wiederherstellung.
