Deutschland im Fadenkreuz: Die Zahlen sprechen eine deutliche Sprache
Am 26. Februar 2026 veröffentlichte der britische Cybersecurity-Spezialist Darktrace seinen Annual Threat Report – und für deutsche Unternehmen enthält er eine unbequeme Wahrheit: Deutschland ist das am häufigsten angegriffene Land in der gesamten EMEA-Region. Durchschnittlich 1.223 Cyberangriffe treffen deutsche Organisationen pro Woche. Ein Anstieg von elf Prozent allein im Februar 2026 gegenüber dem Vormonat unterstreicht, dass die Bedrohungslage nicht stagniert – sie beschleunigt sich.
Die Zahlen sind keine abstrakte Statistik. Sie stehen für reale Betriebsunterbrechungen, gestohlene Geschäftsgeheimnisse und Millionenschäden. Das Bundesamt für Sicherheit in der Informationstechnik beziffert die jährlichen Wirtschaftsschäden durch Cyberangriffe auf über 202 Milliarden Euro. Wer diese Entwicklung als entfernte Bedrohung abtut, die nur Konzerne betrifft, liegt falsch: Der Mittelstand steht längst im Zentrum des Geschehens.
Der Paradigmenwechsel: Von Exploits zu gestohlenen Identitäten
Die vielleicht wichtigste Erkenntnis des Reports betrifft nicht das „Wie viel", sondern das „Wie". 58 Prozent aller untersuchten Sicherheitsvorfälle in Europa begannen mit kompromittierten Cloud- oder E-Mail-Konten – nicht mit dem klassischen Ausnutzen technischer Schwachstellen. Nur 42 Prozent der Angriffe folgten noch dem traditionellen Muster netzwerkbasierter Einbrüche.
Diese Verschiebung ist fundamental. Während Unternehmen in den letzten Jahren massiv in Firewalls, Endpoint Detection und Patch-Management investiert haben, haben Angreifer ihre Strategie angepasst. Warum eine aufwändig gehärtete Infrastruktur knacken, wenn man sich einfach mit gültigen Zugangsdaten einloggen kann? „Logging in is the new breaking in", fasst es Darktrace zusammen.
Konkret bedeutet das: Phishing-Kampagnen werden immer ausgefeilter. Der Report dokumentiert 32 Millionen Phishing-E-Mails weltweit, mit einem 28-prozentigen Anstieg von QR-Code-basierten Angriffen. Über 8,2 Millionen Phishing-Mails zielten gezielt auf Führungskräfte und VIPs – also genau jene Personen mit den weitreichendsten Zugriffsrechten.
Staatliche Akteure im deutschen Netz: Salt Typhoon und Volt Typhoon
Besonders beunruhigend sind die Erkenntnisse zu staatlich gesteuerten Hackergruppen. Salt Typhoon, eine China-nahe Gruppe, hat erfolgreich Telekommunikationsinfrastruktur in Europa infiltriert – einschließlich eines europäischen Telekommunikationsanbieters, bei dem Darktrace die Aktivitäten direkt beobachten konnte. Das Ziel: langfristige Spionage und Informationsgewinnung.
Volt Typhoon verfolgt eine noch bedrohlichere Strategie. Die Gruppe positioniert sogenannte „Implants" – also versteckte Zugangspunkte – in Energieversorgungsinfrastruktur. Diese dienen nicht der sofortigen Datenexfiltration, sondern der Vorbereitung potenzieller Sabotageakte gegen operative Technologie (OT). Für Betreiber kritischer Infrastrukturen in Deutschland, die ohnehin unter dem Druck des KRITIS-Dachgesetzes und der NIS2-Richtlinie stehen, verschärft sich die Lage damit erheblich.
Fertigungsindustrie im Visier
Der Report identifiziert die Fertigungsindustrie als besonders betroffenen Sektor in Deutschland. Das überrascht wenig: Der deutsche Maschinen- und Anlagenbau ist technologisch führend, international vernetzt und damit ein lohnendes Ziel sowohl für Industriespionage als auch für Ransomware-Erpressung. Unternehmen wie BMW, Volkswagen und Rheinmetall werden im Report namentlich als Ziele staatlicher Akteure genannt.
Doch während große Konzerne über spezialisierte Security Operations Center und dedizierte CISO-Teams verfügen, fehlen diese Ressourcen im Mittelstand oft. Ein mittelständischer Zulieferer mit 200 Mitarbeitenden, der Präzisionsteile für die Automobilindustrie fertigt, verfügt über ebenso wertvolles geistiges Eigentum – aber selten über vergleichbare Schutzmechanismen. Genau diese Asymmetrie nutzen Angreifer aus.
20 Prozent mehr Schwachstellen – und doch sind Credentials das größere Problem
Die Zahl öffentlich bekannter Schwachstellen stieg laut Darktrace im Jahresvergleich um 20 Prozent. Trotzdem verschieben Angreifer ihren Fokus weg von klassischen CVE-Exploits hin zu identitätsbasierten Angriffen. Der Grund liegt auf der Hand: Während Patches für bekannte Schwachstellen oft innerhalb von Tagen verfügbar sind, bleiben kompromittierte Zugangsdaten häufig wochenlang unentdeckt – besonders wenn keine Anomalie-Erkennung implementiert ist.
Das bedeutet keineswegs, dass Schwachstellenmanagement unwichtiger wird. Im Gegenteil: Die Kombination aus steigenden CVE-Zahlen und dem Shift zu Credential-Angriffen zwingt Unternehmen dazu, auf beiden Fronten gleichzeitig zu kämpfen. Wer sein Patch-Management vernachlässigt, um Identity Security aufzubauen, schafft neue Lücken, während er alte schließt.
Konkrete Handlungsempfehlungen für den Mittelstand
1. Multi-Faktor-Authentifizierung konsequent durchsetzen
MFA ist kein Nice-to-have mehr, sondern die wichtigste Einzelmaßnahme gegen Credential-basierte Angriffe. Dabei reichen SMS-basierte Verfahren nicht mehr aus – Phishing-resistente Methoden wie FIDO2-Security-Keys oder Passkeys sollten der Standard sein. Setzen Sie MFA nicht nur für externe Zugänge ein, sondern insbesondere für Cloud-Dienste, E-Mail-Systeme und administrative Konten.
2. Privilegierte Zugänge minimieren und überwachen
Wenn 8,2 Millionen Phishing-Mails gezielt Führungskräfte attackieren, dann deshalb, weil deren Konten die weitreichendsten Rechte besitzen. Implementieren Sie Least-Privilege-Prinzipien konsequent: Kein Mitarbeiter – und keine Führungskraft – sollte dauerhaft über mehr Zugriffsrechte verfügen, als für die aktuelle Aufgabe notwendig. Just-in-Time-Zugriffsvergabe und regelmäßige Access Reviews sind hier entscheidend.
3. Anomalie-Erkennung für Benutzerverhalten einführen
Klassische Perimeter-Sicherheit erkennt einen Angreifer mit gültigen Zugangsdaten nicht. User and Entity Behavior Analytics (UEBA) können ungewöhnliche Login-Muster, atypische Datenzugriffe oder verdächtige Lateral Movement erkennen – auch wenn der Angreifer technisch gesehen „autorisiert" ist. Diese Technologie ist heute auch für mittelständische Unternehmen erschwinglich und sollte priorisiert werden.
4. E-Mail-Sicherheit modernisieren
Angesichts von 32 Millionen Phishing-Mails und dem Boom von QR-Code-Phishing reichen traditionelle Spam-Filter nicht mehr aus. Investieren Sie in KI-gestützte E-Mail-Security-Lösungen, die den Kontext einer Nachricht analysieren – nicht nur bekannte Signaturen. Sensibilisieren Sie Mitarbeitende zudem gezielt für QR-Code-basierte Angriffe, die klassische URL-Prüfungen umgehen.
5. Incident-Response-Fähigkeiten aufbauen
Bei 1.223 Angriffen pro Woche ist die Frage nicht ob, sondern wann ein Vorfall eintritt. Unternehmen, die keinen getesteten Incident-Response-Plan haben, verlieren im Ernstfall wertvolle Stunden mit Koordination und Entscheidungsfindung. Definieren Sie klare Verantwortlichkeiten, üben Sie den Ernstfall regelmäßig und stellen Sie sicher, dass externe Unterstützung durch spezialisierte Dienstleister kurzfristig abrufbar ist.
Fazit: Die Bedrohung ist real – und sie wächst
Der Darktrace Report 2026 bestätigt, was viele IT-Verantwortliche längst ahnen: Die Bedrohungslage für deutsche Unternehmen hat eine neue Qualität erreicht. Die Kombination aus steigenden Angriffszahlen, der Professionalisierung durch KI-gestützte Werkzeuge und dem strategischen Shift zu identitätsbasierten Angriffen erfordert eine Neuausrichtung der Verteidigungsstrategie.
Wer sich ausschließlich auf technische Schwachstellen und Perimeter-Schutz konzentriert, adressiert nur noch einen Teil des Problems. Die moderne Verteidigung muss Identitäten ebenso schützen wie Systeme – und das in einer Geschwindigkeit, die mit den Angreifern Schritt hält. Für mittelständische Unternehmen bedeutet das konkret: Investitionen in Identity Security, Anomalie-Erkennung und Incident-Response-Fähigkeiten sind keine Option mehr, sondern Überlebensstrategie.
Sie möchten wissen, wie Ihr Unternehmen gegen identitätsbasierte Angriffe aufgestellt ist? Sprechen Sie mit unseren Sicherheitsexperten über eine individuelle Bedrohungsanalyse und die richtigen nächsten Schritte für Ihre Informationssicherheit.
