Berichte

Black Kites 2026-Finanzdienstleistungsbericht warnt vor einer wachsenden Cybersicherheitskrise in der Banken- und Investmentbranche

mm
Veröffentlicht am

Ein neuer Bericht von Black Kite legt nahe, dass der Finanzsektor in eine gefährlichere Phase des Cyberrisikos eintritt, in der traditionelle Ransomware-Angriffe und schnell expandierende Drittanbieter-Schwachstellen zu dem verschmelzen, was das Unternehmen als “doppelten Sturm” bezeichnet. In seinem neu veröffentlichten 2026-Finanzdienstleistungsbericht: Der doppelte Sturm von Ransomware und Vendor-Ecosystem-Risiko fand das Forschungsteam von Black Kite heraus, dass Finanzinstitute gleichzeitig einer Rückkehr direkter Ransomware-Angriffe gegenüberstehen und durch die Lieferanten und Dienstleister, die ihre Betriebe unterstützen, zunehmend exponiert werden.

Der Bericht basiert auf Ransomware-Intelligenz, die zwischen Januar 2023 und dem ersten Quartal 2026 gesammelt wurde, sowie auf einer Analyse von über 17.000 Lieferanten, die von Black Kite überwacht werden, darunter 140 Unternehmen, deren Kundenbasis stark in der Finanzbranche konzentriert ist. Die Ergebnisse deuten auf eine Bedrohungslandschaft hin, die über isolierte Vorfälle hinausgegangen ist und nun eine systemische Herausforderung für Banken, Investmentgesellschaften, Vermögensverwalter und andere Finanzinstitute darstellt.

Ransomware kehrt nach einer kurzen Pause zurück

Finanzinstitute erlebten 2024 einen vorübergehenden Rückgang der Ransomware-Aktivität, größtenteils aufgrund internationaler Polizeioperationen gegen große Ransomware-Gruppen wie LockBit und Clop. Allerdings zeigt die Forschung von Black Kite, dass der Rückgang nur von kurzer Dauer war.

Die gemeldeten Ransomware-Vorfälle, die Finanzorganisationen betrafen, stiegen von 156 im Jahr 2024 auf 202 im Jahr 2025, was einer Steigerung von 30% entspricht. Die Beschleunigung scheint sich auch 2026 fortzusetzen. Im ersten Quartal allein dokumentierten Forscher 65 Ransomware-Vorfälle, was einer Steigerung von 76% gegenüber dem gleichen Zeitraum im Jahr 2025 entspricht.

Anstatt zu verschwinden, reorganisierten sich die Ransomware-Betreiber. Die Anzahl der unterschiedlichen Bedrohungsgruppen, die die Finanzbranche angriffen, stieg von 37 im Jahr 2023 auf 45 im Jahr 2024 und dann auf 48 im Jahr 2025. Neue Anführer traten auf, und Qilin, Akira und Kill Security wurden zu den aktivsten Gruppen, die Finanzinstitute angriffen. Qilin allein war für 59 Vorfälle im Finanzsektor in den letzten 12 Monaten verantwortlich.

Investmentgesellschaften sind zum primären Ziel geworden

Eine der bemerkenswerteren Veränderungen, die im Bericht dokumentiert werden, ist die veränderte Profil der Ransomware-Opfer.

Im Jahr 2023 waren Banken die am häufigsten angegriffene Finanzsubbranche, mit 71 gemeldeten Vorfällen. Investmentgesellschaften verzeichneten in diesem Jahr 44 Vorfälle. Bis 2025 hatte sich die Situation jedoch umgekehrt. Investmentgesellschaften wurden zur am häufigsten angegriffenen Gruppe, mit 84 Vorfällen, was 41,6% aller Ransomware-Meldungen im Finanzsektor entspricht. Die Anzahl der Bankvorfälle sank auf 36.

Laut dem Bericht war ein wesentlicher Treiber hinter dieser Veränderung eine Kampagne gegen südkoreanische Vermögensverwalter im September 2025. Diese einzelne Kampagne führte zu 32 Meldungen und machte mehr als 38% aller Ransomware-Vorfälle im Investmentmanagement-Segment aus.

Die geografische Verteilung der Angriffe zeigt auch, wie konzentriert bestimmte Kampagnen sein können. Während die Vereinigten Staaten während des gesamten Untersuchungszeitraums das am häufigsten angegriffene Land blieben, trat Südkorea als wichtiger Hotspot nach einem großen Supply-Chain-Angriff auf, der Dutzende von Finanzorganisationen betraf.

Vendor-Risiken eskalieren schneller als direkte Angriffe

Während Ransomware-Schlagzeilen oft auf Angriffe gegen einzelne Institutionen fokussieren, argumentiert Black Kite, dass Vendor-Ökosysteme nun eine ebenso wichtige Risikoquelle darstellen.

Der Bericht hebt ein Ereignis im September 2025 hervor, bei dem die Kompromittierung eines einzelnen Managed-Service-Providers in Südkorea zu 28 Finanzinstituten führte und zur Diebstahl von mehr als zwei Terabyte Daten führte. Forscher beschreiben das Ereignis als Beispiel dafür, wie ein einzelner Sicherheitsverstoß systemische Konsequenzen über einen gesamten Sektor haben kann.

Das Schwachstellenprofil der Lieferanten, die Finanzinstitute unterstützen, scheint sich rapide zu verschlechtern. Von den 140 analysierten Lieferanten stieg die Anzahl der Unternehmen mit kritischen Schwachstellen mit CVSS-Scores von 9 oder höher von 15 im Jahr 2024 auf 73 im Jahr 2025, was einer Steigerung von 4,9-fach entspricht. Die Anzahl der Lieferanten mit hochgradigen Schwachstellen mit Scores von 8 oder höher stieg von 31 auf 87 während des gleichen Zeitraums.

Forscher fanden auch heraus, dass 54% der finanzorientierten Lieferanten mindestens eine Schwachstelle aufwiesen, die im Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities) von CISA aufgeführt war, was bedeutet, dass Angreifer bereits diese Schwachstellen in realen Angriffen ausnutzen.

Patch-Management-Fehler bleiben weit verbreitet

Viele der im Bericht identifizierten Schwachstellen sind nicht exotische Zero-Day-Schwachstellen, sondern eher langfristige Sicherheitsprobleme, die Organisationen nicht angehen konnten.

Unter den 140 untersuchten Lieferanten zeigten 109 Organisationen, oder 78%, mindestens einen kritischen Patch-Management-Fehler. Falsch konfigurierte E-Mail-Authentifizierungssysteme waren ebenfalls häufig, mit 47 Lieferanten, die mit falsch konfigurierten DMARC-Records und 37 Lieferanten, die mit falsch konfigurierten DKIM-Implementierungen arbeiteten.

Der Bericht fand auch Hinweise auf umfassendere Sicherheitsprobleme in den Vendor-Ökosystemen. Fast 18% der finanzorientierten Lieferanten hatten ausgesetzte Anmeldedaten, die in öffentlichen Quellen aufgetaucht waren, während mehr als 42% Anzeichen von Anmeldedaten in Stealer-Logs aufwiesen. Forscher identifizierten auch Phishing-Infrastruktur-Indikatoren, schädliche IP-Kommunikationen und Botnet-Infektionen in großen Teilen der Lieferantengemeinschaft.

Die Schwachstellen-Explosion hat gerade erst begonnen

Die Ergebnisse kommen zu einem Zeitpunkt, an dem Organisationen einer rasch expandierenden Menge neu entdeckter Software-Schwachstellen gegenüberstehen.

Laut dem Bericht wurden im Jahr 2025 weltweit mehr als 48.000 Common Vulnerabilities and Exposures (CVEs) veröffentlicht, was einer Steigerung von 18% gegenüber dem Vorjahr entspricht. Die Forscher von Black Kite identifizierten 1.240 dieser Schwachstellen als hochprioritäre Risiken für Drittanbieter-Ökosysteme, was einer Steigerung von 59% gegenüber 2024 entspricht.

Der Bericht argumentiert, dass künstliche Intelligenz diesen Trend wahrscheinlich beschleunigen wird. AI-gestützte Schwachstellen-Entdeckungstools erhöhen die Geschwindigkeit, mit der Sicherheitslücken identifiziert werden können, während AI-Systeme selbst neue Angriffsflächen schaffen, die Organisationen sichern müssen. Als Ergebnis könnten Finanzinstitute bald einer größeren und schneller beweglichen Menge ausnutzbarer Schwachstellen gegenüberstehen, als traditionelle Risikomanagement-Prozesse designed sind, um sie zu bewältigen.

Finanz-Cybersicherheit wird zu einem Supply-Chain-Problem

Die zentrale Schlussfolgerung des 2026-Finanzdienstleistungsberichts von Black Kite ist, dass Finanzinstitute die Cybersicherheit nicht länger nur durch die Linse ihrer eigenen internen Verteidigung betrachten können. Die Analyse des Berichts zeigt, dass Ransomware-Aktivitäten wieder zunehmen, während gleichzeitig die Vendor-Ökosysteme anfälliger werden. Kritische Schwachstellen bei finanzorientierten Lieferanten sind stark gestiegen, Ausnutzungszeiträume werden immer kürzer, und ein einziger kompromittierter Lieferant kann gleichzeitig Dutzende von Institutionen beeinträchtigen.

Wie der Bericht feststellt, hängt die Widerstandsfähigkeit zunehmend von der Fähigkeit einer Organisation ab, kontinuierlich Risiken über ihr internes Umfeld und ihr erweitertes Lieferanten-Ökosystem hinweg zu identifizieren, zu priorisieren und darauf zu reagieren. Für eine Branche, die auf vernetzter Software, Dienstleistern und ausgelagerten Infrastrukturen basiert, ist das Risikomanagement von Drittanbietern nicht länger nur eine Compliance-Übung. Laut der Forschung von Black Kite wird es zu einem grundlegenden Bestandteil der Finanzsektorsicherheit.

mm

Antoine ist ein visionärer Leader und Gründungspartner von Unite.AI, getrieben von einer unerschütterlichen Leidenschaft für die Gestaltung und Förderung der Zukunft von KI und Robotik. Als Serienunternehmer glaubt er, dass KI für die Gesellschaft so disruptiv sein wird wie Elektrizität, und er wird oft dabei erwischt, wie er über das Potenzial disruptiver Technologien und AGI schwärmt.

Als Futurist ist er darauf fokussiert, zu erkunden, wie diese Innovationen unsere Welt prägen werden. Zusätzlich ist er der Gründer von Securities.io, einer Plattform, die sich auf Investitionen in hochmoderne Technologien konzentriert, die die Zukunft neu definieren und ganze Branchen umgestalten.