Active Adversary Report

Sophos veröffentlicht den Active Adversary Report 2026

, Sophos | Autor: Herbert Wieler

Sophos veröffentlicht den Active Adversary Report 2026

Identitätsangriffe im Vormarsch, KI bleibt im Hintergrund, Bedrohungsgruppen im Wettstreit

Zwei Drittel aller Sicherheitsvorfälle lassen sich mittlerweile auf Schwachstellen rund um Identitäten zurückführen. Angreifer werden dabei schneller, und viele Attacken finden weiterhin außerhalb der regulären Geschäftszeiten statt.

Sophos veröffentlicht heute den Active Adversary Report 2026 , der die Analyse von über 600 realen Cyberangriffen zusammenfasst. Die Untersuchungen der Sophos Incident Response (IR)- und Managed Detection and Response (MDR)-Teams zeigen: Identitätsdiebstahl bleibt der bevorzugte Angriffsvektor. 67 Prozent aller untersuchten Vorfälle waren identitätsbezogen. Die Angreifer nutzen vor allem gestohlene Anmeldedaten, schwache oder fehlende Multifaktor-Authentifizierung (MFA) und schlecht geschützte Identitätssysteme – meist ohne neue Tools oder komplexe Techniken.

Zentrale Erkenntnisse des Reports:

  • Von Schwachstellen zu Anmeldedaten: Kompromittierte Logins nehmen als Angriffsmethode zu. Brute-Force-Angriffe machen 15,6 Prozent der initialen Zugriffe aus – fast gleichauf mit Exploits (16 Prozent).
  • Schneller Zugriff, kürzere Verweildauer: Angreifer bleiben im Schnitt nur noch drei Tage unentdeckt. Besonders in MDR-Umgebungen zeigt sich dieser Rückgang deutlich.
  • Active Directory schnell erreicht: Nach einem erfolgreichen Einstieg in die Organisation brauchen Angreifer durchschnittlich nur 3,4 Stunden, um den AD-Server zu kompromittieren.
  • Angriffe außerhalb der Geschäftszeiten: 88 Prozent der Ransomware-Angriffe und 79 Prozent der Datenexfiltration erfolgen zu Unternehmensschließzeiten.
  • Fehlende Telemetrie erschwert die Abwehr: Die Zahl fehlender Protokolle hat sich im Vergleich zum Vorjahr verdoppelt, vor allem bei Firewalls, deren Log-Einstellungen oft nur sieben oder sogar 24 Stunden speichern.
  • MFA immer noch unterrepräsentiert: In 59 Prozent der Fälle fehlte eine wirksame Multifaktor-Authentifizierung, was gestohlene Zugangsdaten besonders anfällig macht.

Die alarmierendste Erkenntnis: Identitätsbezogene Angriffe dominieren nach wie vor. Brute-Force, Phishing oder gestohlene Anmeldedaten lassen sich nicht allein durch Patches verhindern. Organisationen müssen aktiv ihre Identitätssysteme schützen“, erklärt John Shier, Field CISO und Hauptautor des Berichts.

Bedrohungsgruppen: Mehr Akteure, höheres Risiko

Sophos beobachtete so viele aktive Bedrohungsgruppen wie nie zuvor. Die Bedrohungslandschaft wird komplexer, die Zuordnung krimineller Aktivitäten schwieriger. Am aktivsten waren die Ransomware-Gruppen Akira (GOLD SAHARA) und Qilin (GOLD FEATHER), wobei Akira für 22 Prozent der zugeordneten Vorfälle verantwortlich war. Insgesamt tauchten 51 verschiedene Gruppen auf – 27 altbekannte und 24 neue. Nur vier Gruppen oder Techniken bestehen seit 2020 dauerhaft: LockBit, MedusaLocker, Phobos und der Missbrauch von BitLocker.

„Strafverfolgung stört weiterhin das Ransomware-Ökosystem. Alte Platzhirsche wie LockBit verlieren an Dominanz, gleichzeitig entstehen viele neue Gruppen. Für Verteidiger ist es entscheidend, diese Dynamik zu verstehen, um Organisationen effektiv zu schützen“, so Shier.

KI-Hype vs. Realität

Entgegen vieler Prognosen konnte Sophos bisher keine signifikanten, KI-getriebenen Veränderungen im Angriffsmuster beobachten. Generative KI steigert zwar die Geschwindigkeit und Raffinesse bei Phishing und Social Engineering, hat aber keine grundlegend neuen Angriffstechniken hervorgebracht.

„KI erzeugt mehr Volumen und Lärm, ersetzt aber keine Angreifer. Aktuell zählen noch die Grundlagen: starker Identitätsschutz, verlässliche Telemetrie und schnelle Reaktion im Ernstfall“, so Shier.

Aus den Erkenntnissen des Reports leitet Sophos fünf zentrale Maßnahmen ab:

  1. MFA implementieren und regelmäßig auf Phishing-Resistenz prüfen
  2. Risiken für Identitätsinfrastruktur und Internetdienste minimieren
  3. Bekannte Schwachstellen sofort patchen, besonders an Edge-Geräten
  4. 24/7-Monitoring über MDR oder vergleichbare Lösungen sicherstellen
  5. Sicherheitsprotokolle sichern und aufbewahren, um schnelle Erkennung und Analyse zu ermöglichen

Für den Active Adversary Report 2026 wurden 661 IR- und MDR-Fälle zwischen 1. November 2024 und 31. Oktober 2025 analysiert. Betroffen waren Organisationen aus 70 Ländern und 34 Branchen.