Cyberkriminelle benötigen durchschnittlich nur 29 Minuten, um nach dem Eindringen in ein Netzwerk lateral zu pivotieren – eine Beschleunigung um 65% gegenüber dem Vorjahr. KI und der Missbrauch legitimer Zugangsdaten treiben die Angriffsgeschwindigkeit dramatisch in die Höhe.
Die Geschwindigkeit, mit der Cyberkriminelle 2025 Netzwerke übernehmen, hat ein alarmierende Geschwindigkeit erreicht: Laut einer Analyse von CrowdStrike benötigen Angreifer durchschnittlich nur 29 Minuten, um nach der initialen Kompromittierung eines Systems zu anderen Systemen lateral zu pivotieren. Das stellt eine Beschleunigung von 65% gegenüber 2024 dar. Im schnellsten dokumentierten Fall gelang einem Angreifer der Übergang in gerade einmal 27 Sekunden, in einem anderen Fall begannen Täter bereits vier Minuten nach dem Eindringen mit der Datenexfiltration.
“Geschwindigkeit ist nun das bestimmende Merkmal von Angriffen und hat grundlegend verändert, wie Gegner der Erkennung entgehen”, heißt es in CrowdStrikes “Global Threat Report” 2026. Das stellt eine existenzielle Herausforderung für Verteidiger dar: Das Zeitfenster für Erkennung und Reaktion ist auf einen Bruchteil dessen zusammengeschrumpft, was noch vor wenigen Jahren zur Verfügung stand.
Adam Meyers, Senior Vice President für Counter Adversary Operations bei CrowdStrike, bezeichnet die Breakout-Statistik als das “alarmierende Ergebnis” des Reports. Noch vor einigen Jahren betrug die durchschnittliche Breakout-Zeit 62 Minuten. Der verstärkte Einsatz von KI-Systemen durch Angreifer hat diesen Prozess exponentiell beschleunigt.
Mehrere Faktoren erklären diese dramatische Beschleunigung: Der häufigste ist der Missbrauch legitimer Zugangsdaten. In 35% der untersuchten Cloud-Incidents nutzen Angreifer gültige Anmeldedaten, um unbemerkt in Umgebungen zu navigieren. Statt traditionelle Abwehrmaßnahmen durch Malware und Exploits zu durchbrechen, infiltrieren Angreifer einfach Netzwerke durch die Impersonation vertrauenswürdiger Identitäten, Systeme und SaaS-Integrationen.
Ein beeindruckendes 82% aller CrowdStrike-Erkennungen 2025 waren malware-frei – Angreifer bewegen sich also über autorisierte Pfade und vertraute Systeme, völlig unauffällig für traditionelle Erkennungssysteme. “Bedrohungsakteure nutzen Identitäten deutlich effektiver”, erklärt Meyers, besonders für laterale Bewegungen über Cloud-, SaaS-, On-Premises- und virtuelle Umgebungen. In Cloud-Umgebungen, wo Angriffe um 37% zunahmen, verwenden Angreifer bevorzugt Single-Sign-On-Anmeldedaten als Eingangspunkt.
Unverwaltete Geräte ohne Endpoint-Detection-and-Response-Systeme sind ein weiterer Anziehungspunkt: VPNs, Firewall-Appliances, persönliche Geräte von Mitarbeitern, Webcams und virtuelle Maschinen. Besonders China-gesteuerte Gruppen wie Blockade Spider und Scattered Spider haben sich auf diese schwachstellen konzentriert. “China investiert systematisch in die Fähigkeit, unverwaltete Geräte anzugreifen”, sagt Meyers. Das Land betreibt zudem koordinierte Anstrengungen zur Beschleunigung der Exploitierung neu offenbarter Schwachstellen – das Ziel: zwei Tage vom Disclosure zur Ausnutzung.
KI ist für Cyberkriminelle sowohl Werkzeug als auch Angriffsfläche geworden. Organisierte Kriminalität und staatliche Akteure nutzen KI zur Beschleunigung von Aufklärung, Erstellung von Phishing-Inhalten, Exploitentwicklung und Umgehung von Abwehrmaßnahmen. Gruppen wie Punk Spider, North Koreas Famous Chollima und Fancy Bear setzen massiv auf KI-gestützte Techniken. Insgesamt steigerten KI-nutzende Angreifer ihre Aktivitäten 2025 um 89% gegenüber dem Vorjahr.
Doch der KI-Einsatz wirkt teilweise noch experimentell. Fancy Bears Malware LameHug mit integriertem Language Model zur Aufklärung funktioniert nicht wesentlich anders als traditionelle Tools. CrowdStrike vermutet, dass Fancy Bear hier noch in der Testphase ist. “Wir befinden uns noch in den frühen Phasen der KI-Nutzung durch Angreifer”, so Meyers.
Gleichzeitig wurde KI selbst zur Angriffsöberfläche: Angreifer zielten auf Sicherheitslücken ab, die durch verstärkte KI-Integration entstanden. Die Schwachstelle CVE-2025-3248 in Langflow war ein bevorzugtes Ziel zur Diebstahl von Anmeldedaten und Ransomware-Deployment. Angreifer experimentierten auch mit LLM-Prompt-Injection-Attacken gegen KI-gestützte Sicherheitsworkflows. In einem beispiellosen Fall veröffentlichte eine Bedrohungsgruppe eine gefälschte Version eines legitimen Postmark-Servers, um API-Schlüssel und sensible Daten zu stehlen.
In mindestens 90 Organisationen beobachtete CrowdStrike Angreifer, die bösartige Prompts in legitime generative KI-Plattformen einschleusten, um Credentials zu stehlen. Die von Angreifern am häufigsten diskutierten Modelle in Underground-Foren sind dieselben, die Unternehmen nutzen: ChatGPT, Claude, Grok und Gemini.
Quelle: Dark Reading