Die Bedrohung durch Credential-Theft ist so real wie nie zuvor. Während die traditionelle Cybersicherheit lange auf Abwehr von außen setzte, hat sich das Angriffsszenario fundamental verschoben: Kriminelle nutzen nicht mehr primär brutale Einbruchsmethoden, sondern die Hintertür echter Zugangsdaten.
Die Zahlen sprechen eine klare Sprache. Spezialisierte Infostealers extrahieren Millionen von Anmeldeinformationen, die dann in sogenannten “Logs” auf Darknet-Märkten gehandelt werden. Besonders wertvoll sind hochprivilegierte Cloud-Konsolen-Zugangsdetails – diese erzielen Preise zwischen 1.000 und 15.000 Euro pro Datensatz. Das ist ein lukratives Geschäftsmodell, das die gesamte Cyberkriminalität-Infrastruktur durchdrungen hat.
Ransomware-Gruppen profitieren massiv von diesem Ökosystem. Während die Anzahl der Anschläge 2025 bei über 7.000 Vorfällen lag, sank die durchschnittliche Lösegeldsumme paradoxerweise von 892 Millionen Dollar (2024) auf 820 Millionen Dollar. Das erklärt sich einfach: Große Unternehmen haben massiv in Abwehrmaßnahmen investiert und unterliegen politischem Druck, nicht zu zahlen. Deshalb haben die Cyberkriminellen ihre Taktik angepasst – mehr Anschläge auf kleinere Ziele mit kleineren Forderungen.
Moderne Ransomware ist längst mehr als nur Verschlüsselung. Sie ist eine mehrstöckige Erpressungsmaschine: Neben der Verschlüsselung löschen Angreifer Backups, sabotieren Virtualisierungsinfrastruktur und drohen mit Datenpublikation. Selbst wenn Opfer nicht zahlen, entsteht erheblicher Schaden durch Ausfallzeiten, regulatorische Konsequenzen und langwierige Wiederherstellung.
Ein neuer Faktor verschärft die Lage: Künstliche Intelligenz. Erste aussagekräftige Hinweise auf KI-gestützte Malware-Entwicklung haben sich in der zweiten Hälfte 2025 manifestiert. Large Language Models schreiben zwar nicht die gesamte Malware, aber wesentliche Teile davon. Das senkt die technische Eintrittsbariere dramatisch – auch Angreifer mit minimalen Programmierkenntnissen können nun professionell wirkende Tools ausliefern.
Geopolitische Spannungen verschärfen das Problem zusätzlich. Nordkoreas Lazarus Group stahl 1,5 Milliarden Dollar in Kryptowährungen, Ghost Blizzard setzte gegen polnische Zivilinfrastruktur Wiper-Malware ein, und DDoS-Attacken erreichten Spitzenwerte von 31,4 Terabit pro Sekunde. Beunruhigend ist auch die neue Brutalität: Politisch motivierte und kriminelle Akteure zeigen zunehmend “Scorched-Earth”-Verhalten – zerstörerischer Vandalismus ohne wirtschaftliches Motiv.
Die zentrale Erkenntnis lautet: Organisationen können Infostealers nicht verhindern, solange Social Engineering funktioniert. Deshalb muss der Sicherheitsfokus sich verschieben. Statt nur Credential-Diebstahl zu verhindern, müssen Unternehmen den Missbrauch legitimer Zugänge erkennen und blockieren. Moderne Identity-Management-Systeme müssen normale von abnormaler Aktivität unterscheiden und in Echtzeit adaptiv Zugriffe gewähren oder verweigern – basierend auf Benutzer-Kontext, Daten-Sensibilität und Sicherheitssignalen.
Für deutsche Unternehmen und Behörden heißt das: Identity ist die neue Kontrollebene. Wer in diesem neuen Bedrohungslandschaft bestehen will, braucht nicht die stärksten Mauern, sondern intelligente, adaptive Identitätssicherheit.