Im Kern der Rapid7-Analyse steht die These, dass Risiken heute fast unmittelbar real werden, sobald eine Schwachstelle einsatzfähig gemacht wird. “Es sind nur wenige Tage von der Veröffentlichung einer Schwachstelle bis zur Ausnutzung in freier Wildbahn”, erklärt Christiaan Beek, VP of Cyber Intelligence bei Rapid7. Die klassische Reaktionskette aus Patch-Bereitstellung und -Installation komme dieser Geschwindigkeit nicht mehr hinterher.
Als wesentlichen Treiber benennt der Bericht nicht in erster Linie KI, sondern die Industrialisierung der Cyberkriminalität. Internet-Zugangsbroker (IABs) arbeiten effizienter, und Kriminelle setzen verstärkt auf das Muster des leisen Eindringens und Abgreifens: eindringen, Daten exfiltrieren, wieder verschwinden. Schlüssel zur Effizienz der IABs ist laut Beek der Erfolg von Infostealern: “Infostealer liefern eine Goldgrube an Informationen, die Angreifer nutzen können.”
Dieselben Logdaten lassen sich allerdings in beide Richtungen verwenden. Verteidiger können erkennen, dass ihre Zugangsdaten im Darknet kursieren, und diese sofort ändern oder rotieren – ein nachrichtendienstlich gestütztes, präventives Handeln statt einer vorhersagenden Reaktion. Zur Prävention zählt Rapid7 zudem grundlegende Sicherheitshygiene, die vielerorts weiterhin vernachlässigt werde: korrekt umgesetzte Mehrfaktor-Authentifizierung, Rotation von Zugangsdaten, Kontrolle von OAuth-Tokens, Verschlüsselung und die automatische Prüfung neuer Komponenten wie SaaS-Anwendungen.
Hygiene allein ist jedoch kein Garant: KI-gestütztes Spear-Phishing wird laut Bericht ausgefeilter und erfolgreicher, und auf diesem Weg gestohlene Zugangsdaten tauchen womöglich nie in den von IABs gesammelten Logs auf – besonders dann, wenn ein staatlicher APT-Akteur allein und für eigene Zwecke handelt. APT-Aktivität nehme stets zu, wenn geopolitische Spannungen steigen; diese seien seit Jahren hoch und wüchsen weiter.
Eine autonome Fortsetzung erfolgreicher Phishing-Angriffe durch eigene agentische Systeme der Kriminellen hat Beek nach eigener Aussage bislang nicht beobachtet: “Das habe ich nicht gesehen. Vorerst geben sich Kriminelle damit zufrieden, Zugänge über Darknet-Logs zu kaufen.” Kevin Mandia wird mit der Einschätzung zitiert, dass innerhalb der nächsten Jahre praktisch alle Cyberangriffe KI-basiert sein würden – “schwärmend, maßgeschneidert und unerbittlich” sowie in einem nie dagewesenen Ausmaß.
Für die Gegenwart verweist Rapid7 auf den anhaltenden Anstieg von Ransomware: Die Zahl der Ransomware-Leak-Einträge stieg von 6.034 im Jahr 2024 auf 8.835 im Jahr 2025 – ein Plus von 46,4 Prozent. Die Zahl der Gruppen wachse weiter, häufig kombiniert mit Datenerpressung. “Es ist nicht mehr rein klassische Ransomware”, sagt Beek. “Kriminelle greifen die Daten ab, installieren die Ransomware nicht einmal, sondern versuchen dann, die Daten auf mehreren Foren oder öffentlichen Seiten zu verkaufen.”
Für Verteidiger könnte ein Umstand hilfreich sein: Die Angreifer setzen keine grundlegend neuen Methoden ein, sie tun das Gewohnte nur effizienter und schneller. Präventive Sicherheit setze deshalb voraus, Angriffe als gegeben anzunehmen und ihnen zuvorzukommen. Organisationen müssten 2026 von einem reaktiven, volumenorientierten Schwachstellenmanagement zu einem Expositionsmanagement mit informierter Priorisierung übergehen und KI-gestützte Abläufe an die Maschinengeschwindigkeit der Gegner anpassen. Zugleich, betont Beek, gehe es um die Rückbesinnung auf grundlegende Hygiene: “Wir sehen immer noch dieselben Schwächen.”
