Die Illusion der technologischen Omnipotenz bröckelt. Zwar bleiben SIEM-Systeme, EDR-Clients und Sicherheits-Orchestrierungsplattformen unverzichtbar — doch sie bilden längst nicht das komplette Abwehrschild, das viele Unternehmen sich erhoffen. Eine Analyse des aktuellen Threat Landscape zeigt: Zehn der kritischsten Cyberangriffe werden gezielt so konstruiert, dass sie technische Kontrollen umgehen oder missbrauchen.
Business Email Compromise dominiert die Schadenbilanz
Die Zahlen sind erschreckend: Laut Microsofts “Digital Defense Report” 2025 machten BEC-Attacken nur 2% aller versuchten Angriffe aus, waren aber für 21% aller erfolgreichen Kompromittierungen verantwortlich. Zum Vergleich: Ransomware — das Thema, das in Medien und auf Fachkonferenzen dominiert — verursachte nur 16% der erfolgreichen Angriffe. Der Grund ist simpel: BEC ist reine Sozialtechnik. Es gibt kein Malware-Erkennungssignal, keinen bösartigen Link zum Blockieren, keine verdächtige ausführbare Datei. Stattdessen wird ein berechtigter Mitarbeiter psychologisch manipuliert, Geld zu überweisen — oft mit perfekt imitierter Dringlichkeit eines Vorstandes oder Lieferanten. Ein EDR-System sieht nur eine völlig normale Geschäftstransaktion.
Die Lösung ist nicht technisch, sondern organisatorisch: Unternehmen müssen klare Policies für “Out-of-Band”-Verifizierungen etablieren und — entscheidend — Mitarbeiter schützen, die Zahlungsanfragen von der CEO-E-Mail am Freitagabend hinterfragen. Diese Pause ist die Kontrolle, nicht das Hindernis.
Shadow AI: Die unsichtbare Datenfalle
Ein zweites kritisches Feld ist Shadow AI. In Kundenumgebungen zeigt sich: 51% der Mitarbeiter verbinden unauthorized KI-Tools mit Arbeitssystemen, und fast ein Drittel davon lädt proprietäre Finanzinformationen in diese unkontrollierten Plattformen. Besonders brisant für deutsche Unternehmen: Das verstößt nicht nur gegen interne Policies, sondern könnte unter DSGVO-Perspektive problematisch werden, wenn personenbezogene oder geschäftskritische Daten die EU verlassen.
DLP-Tools (Data Loss Prevention) sind dafür nicht ausgelegt — sie erkennen, was Inhalt ist, nicht, ob der Kontext passend ist. Mit einer durchschnittlichen False-Positive-Rate von 47% schrecken sich Sicherheitsteams vor aggressiven Maßnahmen zurück. Die menschliche Ebene ist hier irreplazierbar: Mitarbeiter müssen verstehen, welche Daten sensibel sind und welche AI-Tools erlaubt sind — nicht aus Compliance-Gründen, sondern als entscheidender Schutzfaktor vor jedem Alert.
Mit Agenten-AI wird dieses Risiko exponentiell. Autonome Systeme erben Berechtigungen und können von Prompts manipuliert werden. Bekannte Vorfälle zeigen Horror-Szenarien: Ein Coding-Agent verursachte angeblich 13 Stunden AWS-Ausfallzeit; Hacker kompromittierten Password Manager durch manipulierte Prompts in Browser-AI-Agenten.
Phishing gegen Token und Quantum-Ablenkung
Die ShinyHunters-Gruppe demonstrierte im Januar 2026 einen Bypass für Authentifizierungsapps über mehr als 100 Organisationen. Forscher betonten: “Es gibt keinen Ersatz für Phishing-Resistenz.” Yubikeys, IAM-Systeme oder passwortlose Lösungen sind optimal — doch sie sind teuer und dauern. Die sofortige menschliche Kontrolle kostet nichts: Kein legitimes IT-Team fordert je One-Time-Passwords per E-Mail, Telefon oder Slack an. Ein geschulter Mitarbeiter, der das weißt, ist verlässlicher als die Technologie, die der Angreifer gerade umgangen hat.
Zum Schluss eine Warnung vor Ablenkung: Ja, Quantum-Computing bedroht künftig die Verschlüsselung. Aber 85% der erfolgreichen Angriffe nutzten 2025 alte geleakte Credentials. Bevor man sich auf Q-Day vorbereitet, sollten Unternehmen ihre Mitarbeiter lehren, Passwortmanager richtig zu nutzen — schneller, günstiger und deutlich wirksamer gegen die Angriffe, die gerade jetzt stattfinden.