Im Zentrum des DBIR 2026 steht die Verschiebung der Einfallswege. Mit 31 Prozent ist die Ausnutzung ungepatchter Schwachstellen nun der führende Vektor, während der Missbrauch von Zugangsdaten — im Vorjahr noch an erster Stelle — auf 13 Prozent zurückfällt. Die Zahl der bestätigten Datenschutzverletzungen hat sich auf über 22.000 nahezu verdoppelt.

Als treibende Kraft benennen die Verizon-Forscher den Einsatz von KI. „Die rasche Bewaffnung bekannter Schwachstellen durch KI kann eine Kapazitätskrise für Sicherheitsteams auslösen und unterstreicht die dringende Notwendigkeit, grundlegende Sicherheits- und Risikomanagementpraktiken zu priorisieren“, heißt es im Bericht.

Bei der Fehlerbehebung verlieren Organisationen an Boden. Die mittlere Zeit bis zum vollständigen Patchen stieg 2025 auf 43 Tage, nach 32 Tagen im Jahr zuvor. Von den im KEV-Katalog der CISA gelisteten, aktiv ausgenutzten Schwachstellen wurden im vergangenen Jahr nur 26 Prozent behoben — ein Rückgang gegenüber 38 Prozent im Jahr 2024. Zugleich lag die Zahl der als kritisch eingestuften Lücken, die Organisationen patchen mussten, im Median 50 Prozent höher als im Vorjahresdatensatz.

„Die Ergebnisse des Verizon DBIR 2026 sind bemerkenswert, weil sie bestätigen, was wir seit Jahren sagen: Ausnutzung ist inzwischen der führende Einbruchsweg, und Organisationen beheben Schwachstellen schlicht nicht schnell genug“, sagte Chris Wysopal, Mitgründer und Chief Security Evangelist von Veracode.

Ransomware war 2025 an 48 Prozent der bestätigten Datenschutzverletzungen beteiligt, nach 44 Prozent im Vorjahr. Die Lösegeldzahlungen gingen jedoch zurück: Der Median der gezahlten Summe fiel unter 140.000 US-Dollar, und nur 31 Prozent der Opfer zahlten überhaupt.

Auch Drittanbieter rücken stärker ins Bild. Die zunehmende Abhängigkeit von externer Software und externen Diensten vergrößerte die Angriffsfläche und führte zu einem Anstieg der Datenschutzverletzungen mit Drittanbieter-Beteiligung um 60 Prozent — auf einen Anteil von 48 Prozent. Laut Bericht behoben nur 23 Prozent der Drittanbieter fehlende oder unzureichend gesicherte Multi-Faktor-Authentifizierung (MFA) auf ihren Cloud-Konten vollständig; 50 Prozent aller Befunde wurden innerhalb eines Monats gelöst.

Angreifer greifen dem Bericht zufolge zunehmend auf generative KI für Zielauswahl, Erstzugang sowie die Entwicklung von Malware und Werkzeugen zurück. Der mittlere Angreifer recherchierte oder nutzte KI-Unterstützung bei 15 dokumentierten Techniken, einzelne bei bis zu 40 oder 50.

Beim menschlichen Faktor nennt Verizon einen Anteil von 62 Prozent an allen Datenschutzverletzungen; Social Engineering machte 16 Prozent aus. Phishing-Angriffe mit Fokus auf mobile Geräte waren im Median um 40 Prozent erfolgreicher als solche per E-Mail. Daneben bleibt „Shadow AI“ — die nicht autorisierte Nutzung generativer KI-Dienste — ein Problem: 67 Prozent der Nutzer greifen von Firmengeräten mit nicht-betrieblichen Konten auf KI-Dienste zu, und 45 Prozent der Beschäftigten nutzen KI regelmäßig, nach 15 Prozent im Vorjahr.