Ransomware zählt zu den größten Profiteuren gestohlener Zugangsdaten. Über das Jahr 2025 hinweg wurden mehr als 7.000 Vorfälle und 129 aktive Gruppen erfasst. Gleichzeitig sanken die gezahlten Lösegelder leicht – von 892 Millionen US-Dollar im Jahr 2024 auf 820 Millionen US-Dollar 2025. Dieser scheinbare Widerspruch ist laut Trey Ford, Chief Strategy and Trust Officer bei Bugcrowd, durchaus logisch: Große Ziele mit hohem Zahlungspotenzial hätten am aggressivsten in Prozesse und Technik zur Abwehr investiert und stünden zudem stärker unter staatlichem Druck, nicht zu zahlen. Die Gruppen reagierten mit mehr Angriffen auf eine größere Zahl kleinerer Unternehmen bei niedrigeren Forderungen.

Parallel haben die Akteure die Schmerzgrenze erhöht. Datendiebstahl zur Erpressung wird zunehmend durch Betriebsstörungen ergänzt: Neben der Verschlüsselung von Endgeräten löschen Angreifer Systeme und Backups, sabotieren Virtualisierung, attackieren OT/ICS-nahe Dienste oder zerstören Identitäts- und Verwaltungsebenen. Selbst wer nicht zahle, habe mit Ausfallzeiten, regulatorischen Folgen, Störungen bei Dritten und langen Wiederherstellungszyklen zu kämpfen. Nathaniel Jones, VP of Security & AI Strategy und Field CISO bei Darktrace, verweist auf die zunehmende Verbreitung doppelter oder dreifacher Erpressung: Daten werden nicht nur verschlüsselt, sondern es wird auch mit deren Veröffentlichung oder Verkauf gedroht.

Auch der Einsatz von KI durch Angreifer wächst. Neben überzeugenden Phishing-Kampagnen beobachtete Ontinue im zweiten Halbjahr 2025 erste deutliche Anzeichen für die KI-gestützte Entwicklung von Malware. Autonome Schadsoftware sei das noch nicht, doch die großen Sprachmodelle hätten große Teile des Codes geschrieben. Das senke die Einstiegshürde drastisch: Akteure mit geringen Programmierkenntnissen lieferten Werkzeuge, die professioneller wirkten, aber weiterhin grundlegende Sicherheitsmängel enthielten.

Gestohlene Zugangsdaten treiben zudem Angriffe auf Lieferketten und SaaS-Dienste an. Als zentrale Beispiele aus 2025 nennt der Bericht die Salesloft-Drift-OAuth-Kampagne mit mehr als 700 betroffenen Organisationen sowie den npm-Wurm Shai-Hulud. Beide missbrauchten das Vertrauen moderner Geschäftsinfrastruktur – durch legitime, aber gestohlene Anmeldedaten.

Die wachsende geopolitische Spannung verschärft das Bild. Der finanziell motivierte Shai-Hulud-Akteur versucht laut Ontinue, das Home-Verzeichnis eines Ziels zu löschen, wenn dort wenig zu erbeuten ist – ein neuer, nihilistischer “verbrannte Erde”-Mechanismus, der die Bereitschaft zu irreversiblem Schaden signalisiere. Solches Verhalten galt bislang als typisch für staatlich motivierte Akteure. Ontinue führt drei Beispiele an: den Kryptowährungsdiebstahl der nordkoreanischen Lazarus-Gruppe über 1,5 Milliarden US-Dollar, Wiper-Angriffe auf polnische zivile Infrastruktur durch Ghost Blizzard sowie rekordverdächtige DDoS-Aktivität mit einem Spitzenwert von 31,4 Tbps über Botnetze mit mehr als 500.000 IP-Adressen. Ausgelöst durch den Krieg der USA und Israels gegen den Iran setzten iranische Akteure in diesem Jahr Wiper beim Angriff auf Stryker ein.

Die Basis dieser umgekehrten Pyramide bilden die Infostealer. Da sich Social Engineering bislang nicht zuverlässig unterbinden lässt, müsse mehr Energie darauf verwendet werden, den Missbrauch von Zugangsdaten während der Nutzung zu erkennen und zu blockieren. Mark McClain, CEO von SailPoint, plädiert für einen Ansatz der “adaptiven Identität”: Moderne Werkzeuge müssten reguläres von auffälligem Verhalten unterscheiden und Zugriff entsprechend gewähren oder verweigern, gestützt auf Identität, Datenkontext und Sicherheitssignale. Ontinue fasst zusammen, erfolgreich seien künftig nicht die mit den stärksten Perimetern, sondern jene, die Identität als zentrale Steuerungsebene behandelten, Authentifizierungsaktivität ebenso genau überwachten wie Endgeräteverhalten und menschliche wie nicht-menschliche Identitäten gleichermaßen absicherten.