Berichte

Der 2026 Lumen Defender Threatscape Report: Warum Sichtbarkeit bei Verletzungen die Geschichte nicht erzÀhlt

mm
Veröffentlicht am
Aktualisiert am

Der 2026 Lumen Defender Threatscape Report von Lumen, unterstützt durch dessen Bedrohungsintelligenzarm Black Lotus Labs, übermittelt eine klare Botschaft, dass die meisten Organisationen Cyberangriffe immer noch zu spät bekämpfen. Der Bericht argumentiert, dass zum Zeitpunkt, an dem ein Verstoß innerhalb eines Netzwerks erkannt wird, die eigentliche Arbeit des Angriffs bereits abgeschlossen ist. Was wie ein plötzlicher Eindringling aussieht, ist normalerweise der letzte Schritt in einer viel längeren, sorgfältig konstruierten Operation.

Anstatt sich auf das zu konzentrieren, was nach einem Kompromiss passiert, lenkt der Bericht die Aufmerksamkeit auf das, was davor passiert. Diese Verschiebung verändert alles.

Cyberangriffe beginnen jetzt lange vor dem Verstoß

Moderne Cyberoperationen ähneln nicht mehr opportunistischen Einbrüchen. Sie sehen eher wie strukturierte Kampagnen aus, die über einen längeren Zeitraum hinweg Stück für Stück aufgebaut werden. Bedrohungsakteure beginnen damit, das Internet kontinuierlich zu scannen, nach exponierten Systemen, nicht gepatchten Geräten und schwachen Authentifizierungspunkten zu suchen. Sobald sie Gelegenheiten finden, bauen sie Infrastruktur darum herum auf.

Diese Vorbereitungsphase umfasst die Validierung gestohlener Anmeldeinformationen, das Einrichten von Proxy-Netzwerken, das Testen von Kommunikationskanälen und das Gewährleisten, dass Befehlssysteme ohne Unterbrechung funktionieren können. Zum Zeitpunkt, an dem eine Organisation verdächtige Aktivitäten erkennt, hat der Angreifer bereits die notwendigen Wege aufgebaut, um durch die Umgebung zu navigieren.

Was dies besonders gefährlich macht, ist, dass die meisten Organisationen diese frühe Phase nie sehen. Traditionelle Sicherheitswerkzeuge sind darauf ausgelegt, bekannte Bedrohungen oder verdächtige Aktivitäten innerhalb des Netzwerks zu erkennen. Sie sind nicht darauf ausgelegt, zu beobachten, wie ein Angriff im ersten Platz konstruiert wird.

Die Infrastrukturebene ist jetzt das eigentliche Schlachtfeld

Eine der wichtigsten Erkenntnisse des Berichts ist, dass Cyberangriffe nicht mehr allein durch Schadsoftware definiert werden. Stattdessen werden sie durch die Infrastruktur definiert, die sie unterstützt. Angreifer investieren mehr Mühe in den Aufbau widerstandsfähiger, anpassungsfähiger Systeme, die Disruptionen überstehen und sich schnell regenerieren können.

Diese Verschiebung ist sowohl in kriminellen Operationen als auch in Kampagnen von Nationen sichtbar. Proxy-Netzwerke sind zu einem Kernbestandteil fast jedes Angriffs geworden. Diese Netzwerke ermöglichen es Angreifern, den Datenverkehr über kompromittierte Geräte zu leiten, oft macht dies verdächtige Aktivitäten so aus, als ob sie von legitimen Benutzern stammen.

Gleichzeitig entfernen sich Angreifer von Endpunkten und bewegen sich in Richtung Randgeräte wie Router, VPN-Gateways und Firewalls. Diese Systeme befinden sich an kritischen Punkten im Netzwerk, haben oft eine schwächere Sichtbarkeit und bieten direkten Zugang zu internen Systemen. Sie haben auch tendenziell eine längere Betriebszeit und weniger Überwachungskontrollen, was sie zu idealen Fußpunkten macht.

Das Ergebnis ist eine Bedrohungslandschaft, in der Angreifer innerhalb des Bindegewebes des Internets operieren, anstatt an dessen Rändern.

Künstliche Intelligenz beschleunigt den gesamten Prozess

Der Bericht hebt hervor, wie generative künstliche Intelligenz die Geschwindigkeit von Cyberoperationen dramatisch erhöht. Aufgaben, die einst menschliche Koordination erforderten, können jetzt automatisiert werden. Angreifer verwenden künstliche Intelligenz, um nach Schwachstellen zu scannen, Infrastruktur zu generieren, Exploits zu testen und ihre Strategien in Echtzeit anzupassen.

Diese Verschiebung komprimiert den Zeitplan eines Angriffs. Was einst Tage oder Wochen dauerte, kann jetzt in Stunden geschehen. In einigen Fällen können künstliche Intelligenz-Systeme Netzwerkbedingungen auswerten, den effektivsten Weg vorwärts identifizieren und Taktiken ohne menschliche Intervention anpassen.

Für Verteidiger stellt dies eine neue Herausforderung dar. Sicherheitsteams stehen nicht mehr vor statischen Bedrohungen. Sie stehen vor Systemen, die kontinuierlich evolvieren und auf Verteidigungen reagieren, wenn sie auf sie stoßen.

Cyberkriminalität ist zu einer professionellen Industrie geworden

Ein weiteres auffallendes Thema im Bericht ist, wie Cyberkriminalität zu einem strukturierten, professionellen Ökosystem herangewachsen ist. Viele Operationen ähneln jetzt legitimen Technologieunternehmen. Sie bieten Dienstleistungen an, unterstützen Kunden und verbessern kontinuierlich ihre Produkte.

Schadsoftware-Plattformen werden als Abonnementsdienste verkauft. Proxy-Netzwerke werden auf Abruf vermietet. Der Zugang zu kompromittierten Systemen kann über Märkte gekauft und weiterverkauft werden. Verschiedene Akteure spezialisieren sich auf verschiedene Teile des Angriffslebenszyklus, von der initialen Zugriffsmöglichkeit bis zur Datenexfiltration und Monetisierung.

Diese Ebene der Organisation ermöglicht es Cyberkriminellen, ihre Operationen effizient zu skalieren. Sie macht sie auch widerstandsfähiger. Wenn ein Komponente gestört wird, kann eine andere schnell an dessen Stelle treten.

Die gleiche Infrastruktur wird oft von mehreren Gruppen geteilt, was die Grenze zwischen krimineller Aktivität und staatlich geförderten Operationen verwischt. Dies macht es schwieriger, die wahre Natur eines Angriffs zu interpretieren, und erhöht das Risiko, die wahre Natur eines Angriffs falsch zu interpretieren.

Proxy-Netzwerke definieren das Vertrauen im Internet neu

Eine der wichtigsten Entwicklungen, die im Bericht beschrieben werden, ist der Aufstieg von Proxy-Netzwerken, die aus kompromittierten Geräten aufgebaut werden. Diese Netzwerke ermöglichen es Angreifern, von normalen Wohn- oder Geschäfts-IP-Adressen aus zu operieren.

Aus Sicht der Verteidiger ist dies ein großes Problem. Traditionelle Sicherheitsmodelle verlassen sich stark auf Vertrauenssignale wie Standort, IP-Ruf und Netzwerkeigentum. Proxy-Netzwerke untergraben all diese Signale.

Ein Angreifer kann wie ein legitimer Benutzer aussehen, der von einem Wohnnetzwerk aus verbunden ist. Er kann geografische Kontrollen umgehen, Erkennungssysteme vermeiden und sich nahtlos in normale Verkehrsstrukturen einfügen.

Dies bedeutet, dass das, was sauber aussieht, nicht unbedingt sicher ist. Das Internet selbst ist zu einer Verkleidung geworden.

Auch einfache Angriffe wurden neu erfunden

Der Bericht zeigt auch, dass ältere Techniken wie Brute-Force-Angriffe weit davon entfernt sind, veraltet zu sein. Stattdessen wurden sie durch Skalierbarkeit und Automatisierung transformiert.

Angreifer haben jetzt Zugang zu großen Datenbanken mit gestohlenen Anmeldeinformationen. Sie kombinieren dies mit verteilten Infrastrukturen und künstlicher Intelligenz-gesteuerten Werkzeugen, um Authentifizierungssysteme über Tausende von Zielen hinweg gleichzeitig zu testen. Diese Angriffe sind nicht mehr zufällig. Sie sind gezielt, persistent und sehr effizient.

Was sie besonders gefährlich macht, ist, dass sie oft als erster Schritt in einer größeren Operation dienen. Sobald der Zugang gewährt wird, können Angreifer tiefer in das Netzwerk eindringen, weitere Werkzeuge bereitstellen und langfristige Kontrolle etablieren.

Staatliche Operationen werden zu Infrastrukturplattformen

Der Bericht hebt hervor, wie staatliche Akteure langfristige Infrastrukturen aufbauen, die mehrere Kampagnen über einen längeren Zeitraum hinweg unterstützen. Diese Operationen sind für Flexibilität konzipiert. Sie können für Aufklärung, Ausbeutung oder Störung je nach Ziel verwendet werden.

Anstatt sich auf ein einzelnes Ziel zu konzentrieren, schaffen diese Systeme eine Grundlage, die über verschiedene Operationen hinweg wiederverwendet werden kann. Sie sind darauf ausgelegt, zu skalieren, sich anzupassen und auch unter Druck zu überstehen.

In einigen Fällen bauen Angreifer nicht einmal ihre eigene Infrastruktur auf. Sie übernehmen Systeme, die bereits von anderen Gruppen kontrolliert werden, und verwenden sie als Sprungbrett für ihre eigenen Operationen. Dies fügt eine weitere Schicht der Komplexität hinzu und macht es noch schwieriger, zu verstehen, wer hinter einem Angriff steckt.

Die Zukunft der Cybersicherheit wird durch Sichtbarkeit definiert

Wenn man in die Zukunft blickt, identifiziert der Bericht mehrere Verschiebungen, die die Bedrohungslandschaft in 2026 und darüber hinaus prägen werden. Die wichtigste davon ist die Idee, dass Risiken durch Exposition definiert werden.

Angreifer scannen das Internet kontinuierlich. Jedes System, das sichtbar und verletzlich ist, wird schließlich angegriffen. Es spielt keine Rolle, welcher Branche es angehört. Die Gelegenheit ist der treibende Faktor.

Gleichzeitig werden die wichtigsten Signale nicht von einzelnen Geräten kommen. Sie werden aus Mustern im Netzwerk kommen. Die Art und Weise, wie Systeme kommunizieren, wie Infrastruktur aufgebaut und aufgegeben wird und wie Datenverkehr über das Internet fließt, wird Angriffe vor ihrem Ziel enthüllen.

Dies erfordert einen anderen Ansatz zur Sicherheit. Anstatt sich nur auf Endpunkte und Warnungen zu konzentrieren, müssen Organisationen die umfassendere Umgebung verstehen, in der Angriffe Gestalt annehmen.

Ein neuer Ansatz zur Verteidigung

Der Bericht macht deutlich, dass traditionelle Verteidigungsstrategien nicht mehr ausreichen. Organisationen müssen früher im Angriffslebenszyklus eingreifen. Sie müssen sich auf die Erkennung und Unterbrechung der Infrastruktur konzentrieren, die Angriffe ermöglicht, und nicht nur auf die Angriffe selbst.

Dies bedeutet, Randgeräte als kritische Vermögenswerte zu behandeln. Es bedeutet, zu überwachen, wie Datenverkehr in und aus dem Netzwerk fließt. Es bedeutet, Beziehungen zwischen Systemen zu verstehen, anstatt sich auf statische Indikatoren zu verlassen.

Es bedeutet auch, zu akzeptieren, dass die Grenze zwischen krimineller Aktivität und staatlich geförderten Operationen immer mehr verschwimmt. Jeder Eindringling sollte als potenziell strategisch behandelt werden.

Die wahre Lektion des Berichts

Die wichtigste Erkenntnis aus dem 2026 Lumen Defender Threatscape Report ist, dass Cyberangriffe nicht mehr isolierte Ereignisse sind. Sie sind aufgebaute Systeme. Sie werden geplant, getestet und verfeinert, lange bevor sie ausgeführt werden.

Zum Zeitpunkt, an dem eine Warnung ausgelöst wird, ist der Angreifer bereits in der Umgebung in irgendeiner Form. Die Grundlage ist bereits gelegt.

Die Organisationen, die in dieser neuen Umgebung erfolgreich sein werden, sind diejenigen, die ihren Fokus verlagern. Sie werden über den Endpunkt hinaussehen. Sie werden über den Verstoß hinaussehen. Sie werden sich auf die Infrastruktur konzentrieren, die Angriffe ermöglicht.

Indem sie dies tun, werden sie den einen Vorteil erlangen, der in der modernen Cybersicherheit am meisten zählt. Sie werden den Angriff sehen, bevor er beginnt.

mm

Antoine ist ein visionĂ€rer Leader und GrĂŒndungspartner von Unite.AI, getrieben von einer unerschĂŒtterlichen Leidenschaft fĂŒr die Gestaltung und Förderung der Zukunft von KI und Robotik. Als Serienunternehmer glaubt er, dass KI fĂŒr die Gesellschaft so disruptiv sein wird wie ElektrizitĂ€t, und er wird oft dabei erwischt, wie er ĂŒber das Potenzial disruptiver Technologien und AGI schwĂ€rmt.

Als Futurist ist er darauf fokussiert, zu erkunden, wie diese Innovationen unsere Welt prĂ€gen werden. ZusĂ€tzlich ist er der GrĂŒnder von Securities.io, einer Plattform, die sich auf Investitionen in hochmoderne Technologien konzentriert, die die Zukunft neu definieren und ganze Branchen umgestalten.