Sophos hat mit seinem Bericht „State of Ransomware 2026“ eine Entwicklung herausgearbeitet, die den typischen Einstiegspunkt bei Ransomware verändert: Nicht mehr die Ausnutzung von Schwachstellen ist laut der Umfrage der wichtigste Ausgangspunkt, sondern Identitätsangriffe. Befragt wurden 2.158 IT- und Cybersicherheitsverantwortliche in 17 Ländern aus Organisationen, die im vergangenen Jahr von Ransomware getroffen wurden.
Nach Angaben von Sophos waren bösartige E-Mails in 26 Prozent der Fälle die häufigste Ursache von Ransomware-Angriffen, dicht gefolgt von Phishing mit 24 Prozent. Zusammen machen beide Vektoren damit die Hälfte aller in dem Bericht erfassten Grundursachen aus. Schwachstellen kamen nur noch auf 18 Prozent, nachdem ihr Anteil zuvor bei 32 Prozent gelegen hatte.
Der dritthäufigste Auslöser war ebenfalls identitätsbezogen: In 23 Prozent der Fälle wurden kompromittierte Zugangsdaten genutzt. Besonders auffällig ist dabei ein weiteres Ergebnis des Berichts: In 97 Prozent der Fälle, in denen kompromittierte Zugangsdaten die Grundursache eines Ransomware-Angriffs waren, war Multifaktor-Authentifizierung bereits im Einsatz.
Als am häufigsten eingesetzte zweite Faktoren nennt Sophos Einmalpasswörter, Push-basierte Anwendungen und Passkeys. FIDO2-Token, die im Text als Maßstab für phishing-resistente Authentifizierung beschrieben werden, lagen auf dem vierten Platz. Sophos nennt zwei mögliche Erklärungen dafür, warum MFA in diesen Fällen nicht ausreichte.
Zum einen deute der hohe Anteil von Ransomware-Opfern mit aktivierter MFA darauf hin, dass sie möglicherweise nicht auf allen relevanten Systemen vollständig ausgerollt war und dadurch Lücken für Angreifer entstanden. Zum anderen zeige das Ergebnis, dass MFA zwar ein unverzichtbarer Bestandteil wirksamer Cyberabwehrstrategien bleibe, für sich allein aber nicht genüge, weil sich Umgehungstechniken für anmeldebasierte Angriffe weiterentwickelten.
Sophos verbindet diese Ergebnisse mit konkreten Empfehlungen. Wenn Phishing und bösartige E-Mails inzwischen für die Hälfte aller Ursachen verantwortlich seien, sollten Unternehmen nach Angaben des Herstellers erweiterte E-Mail-Filter einsetzen, DMARC-, DKIM- und SPF-Protokolle implementieren und regelmäßig Schulungen zur Sensibilisierung für Phishing durchführen. Die Verlagerung hin zu E-Mail-basierten Angriffen zeige, dass technisches Patch-Management allein nicht mehr ausreiche.
Zugleich betont Sophos, dass das Einspielen von Sicherheitsupdates weiterhin wichtig bleibe. Der Schwerpunkt der Abwehr verschiebe sich jedoch von der reinen Pflege von Schwachstellen hin zum Schutz von Identitäten. Der Hersteller empfiehlt deshalb, die Erkennung und Reaktion auf Identitätsbedrohungen zu priorisieren, Multifaktor-Authentifizierung an allen Zugangspunkten durchzusetzen und Zugangsdaten sowohl menschlicher als auch nicht-menschlicher Identitäten regelmäßig zu überprüfen.
Chet Wisniewski, Director und Global Field Chief Information Security Officer bei Sophos, sagte Dark Reading, besonders erfolgreiche Organisationen setzten zusätzlich auf eine „aggressive Tiefenverteidigung“. Jede Verteidigungsebene könne, selbst wenn sie umgangen werde, als Bremse, Warnsignal oder Hinweis für eine Bedrohungssuche dienen. Konkret nannte er Segmentierung zur Verlangsamung von Angreifern, den Einsatz von ZTNA als Ersatz für ältere VPNs zur Eindämmung von Anwendungs-Exploits sowie Fähigkeiten zur Bedrohungserkennung und -reaktion rund um die Uhr.
