Die Zeitspanne zwischen erstem Eindringen und vollständiger Kompromittierung eines Unternehmensnetzwerks ist auf 22 Sekunden geschrumpft. Was vor vier Jahren noch Stunden dauerte, geschieht heute in der Zeit, die man braucht, um einen Kaffee zu holen. Der soeben veröffentlichte M-Trends 2026 Report von Mandiant, basierend auf über 500.000 Stunden Incident-Response-Untersuchungen im Jahr 2025, dokumentiert eine fundamentale Verschiebung der Bedrohungslandschaft – und stellt etablierte Sicherheitskonzepte radikal in Frage.
Von acht Stunden auf 22 Sekunden: Die Industrialisierung der Cyberkriminalität
Der dramatischste Befund des Reports: Die mediane Zeit zwischen Initial Access und dem Handoff an sekundäre Angreifergruppen ist von über acht Stunden im Jahr 2022 auf 22 Sekunden in 2025 kollabiert. Diese Entwicklung spiegelt nicht etwa schnellere Technologie wider, sondern eine grundlegende Reorganisation der Cybercrime-Ökonomie.
Initial Access Broker – spezialisierte Gruppen, die sich ausschließlich auf das erste Eindringen konzentrieren – nutzen zunehmend Low-Impact-Techniken wie manipulierte Werbeanzeigen oder die „ClickFix"-Social-Engineering-Methode. Während des ersten Zugriffs wird bereits die bevorzugte Malware oder Tunnel-Infrastruktur der sekundären Gruppe vorinstalliert. Wenn Ransomware-Operatoren oder Datendiebe die Kontrolle übernehmen, finden sie eine vollständig ausgestattete Umgebung vor – bereit für sofortigen Zugriff.
Diese Arbeitsteilung erklärt auch, warum „Prior Compromise" – die Ausnutzung bereits kompromittierter Systeme – zum dritthäufigsten Initial Infection Vector (10%) aufstieg und bei Ransomware-Operationen sogar den ersten Platz belegt (30%), eine Verdopplung gegenüber 2024.
Voice Phishing verdrängt E-Mail: 442 Prozent Anstieg in zwölf Monaten
Während technische Kontrollen gegen E-Mail-Phishing immer effektiver werden – der Anteil sank 2025 auf nur noch 6% – verlagern sich Angreifer auf hochinteraktive, sprachbasierte Social-Engineering-Angriffe. Vishing (Voice Phishing) erreichte 11% aller Initial Infection Vectors und damit den zweiten Platz. Externe Studien dokumentieren einen Anstieg um 442% innerhalb eines Jahres.
Besonders besorgniserregend: Die Kampagne von ShinyHunters/Scattered Spider kompromittierte zwischen 2025 und 2026 über 760 Organisationen durch Vishing. Angreifer kontaktieren IT-Helpdesks, geben sich als Mitarbeiter aus und umgehen so Multifaktor-Authentifizierung (MFA). Einmal im System, ernten sie langlebige OAuth-Tokens und Session-Cookies.
Die kaskadierende Wirkung zeigt sich beim Angriff auf Third-Party-SaaS-Anbieter: Durch Kompromittierung dieser Systeme stehlen Angreifer hardcodierte Keys und Personal Access Tokens, mit denen sie nahtlos in nachgelagerte Kundenumgebungen pivotieren können – ohne je die eigentlichen Perimeter-Verteidigungen anzugreifen.
Recovery Denial: Wenn Ransomware die Wiederherstellung zerstört
Ransomware-Gruppen verschlüsseln nicht mehr nur Daten – sie zerstören systematisch die Fähigkeit zur Wiederherstellung. Mandiant beobachtete 2025 eine strategische Verschiebung: Operatoren wie REDBIKE (Akira) und AGENDA (Qilin) zielen gezielt auf Backup-Infrastruktur, Identity Services und Virtualisierungs-Management-Plattformen.
Die Taktiken umfassen:
- Active Directory Certificate Services (AD CS) Exploitation: Falsch konfigurierte Templates ermöglichen die Erstellung von Admin-Accounts, die Passwort-Rotationen überleben
- Cloud Backup Deletion: Systematisches Löschen von Backup-Objekten aus Cloud-Storage
- Hypervisor-Layer-Angriffe: Exploitation der „Tier-0"-Natur von Hypervisoren, um alle assoziierten virtuellen Maschinen gleichzeitig unbrauchbar zu machen
Diese Entwicklung transformiert Ransomware von einem Verschlüsselungsproblem zu einer fundamentalen Resilience-Herausforderung. Organisationen stehen vor der binären Wahl: Zahlen oder komplett neu aufbauen.
Edge Devices und Zero-Days: Die unsichtbare Bedrohung
Während Cybercrime-Gruppen auf Geschwindigkeit optimieren, setzen Espionage-Gruppen auf extreme Persistenz. Threat Clusters wie UNC6201 und UNC5807 zielen bewusst auf Edge- und Core-Network-Devices – VPNs, Router, Storage-Appliances –, die typischerweise keine Endpoint Detection and Response (EDR) Telemetrie bieten.
Der Report dokumentiert einen alarmierenden Trend: Die mittlere Time-to-Exploit sank auf -7 Tage. Exploitation findet routinemäßig statt, bevor ein Patch überhaupt veröffentlicht wird. Die BRICKSTORM-Backdoor, die direkt auf Netzwerkgeräten eingesetzt wird, erreichte Dwell Times von fast 400 Tagen – weit jenseits der üblichen 90-Tage-Log-Retention.
Diese Geräte bieten Angreifern fundamentale Vorteile:
- Native Packet-Capturing-Funktionalität zum Abfangen von Credentials im Klartext
- Minimaler Onboard-Storage, der forensische Analysen erheblich erschwert
- Persistenz, die Standard-Remediation und System-Reboots überlebt
- Vollständige Blindheit der Organisation bei Standard-Log-Retention-Policies
Investitionsimplikationen: Paradigmenwechsel bei Security-Architekturen
Die Erkenntnisse des M-Trends 2026 Reports haben weitreichende Konsequenzen für Investoren im Cybersecurity-Sektor:
1. Identity-First Security wird kritisch: Mit Voice Phishing als zweitwichtigstem Initial Vector und der systematischen Ausnutzung von OAuth-Tokens verschiebt sich der Schwerpunkt von Perimeter-Verteidigung zu kontinuierlicher Identity-Verifikation. Unternehmen wie Okta, CyberArk (Non-Human Identity Management) und Zero-Trust-Spezialisten profitieren.
2. Backup- und Recovery-Infrastruktur benötigt Neubewertung: Recovery Denial transformiert Backup von einer IT-Commodity zu einer kritischen Sicherheitskomponente. Immutable Storage, Air-Gapped Backups und Cyber Recovery Services werden zu Must-haves. Rubrik, Veeam und Cohesity adressieren diese Anforderungen direkt.
3. Edge Device Security erfordert neue Ansätze: Die 400-Tage-Persistenz auf Netzwerkgeräten zeigt die Grenzen traditioneller EDR-Tools. Specialized Network Detection and Response (NDR) und Firmware-Integrity-Monitoring gewinnen an Bedeutung.
4. Behavioral Analytics übertreffen statische IOCs: Mit Custom-Malware, In-Memory-Execution und sich ständig ändernder Infrastruktur sind statische Indicators of Compromise nicht mehr ausreichend. Behavior-basierte Anomalie-Erkennung und User Entity Behavioral Analytics (UEBA) werden essentiell.
5. Extended Log Retention wird Compliance-Anforderung: Die Multi-Year-Intrusions erfordern Log-Retention weit über 90 Tage hinaus. SIEM-Anbieter mit kosteneffizientem Long-Term Storage und Threat-Hunting-Capabilities profitieren.
Strategische Empfehlungen: Geschwindigkeit als Verteidigungsprinzip
Mandiant formuliert klare Handlungsempfehlungen für Organisationen:
Treat Low-Impact Alerts as Critical: Mit 22-Sekunden-Handoffs müssen Sicherheitsteams Response-Playbooks neu strukturieren. Routine-Malware-Alerts sind Frühindikatoren für bevorstehende sekundäre Intrusions und erfordern sofortige Remediation.
Isolate Tier-0 Assets: Virtualisierungs- und Management-Plattformen benötigen strikte Zugriffsbeschränkungen. Backup-Umgebungen sollten von der Corporate Active Directory Domain entkoppelt und mit immutablem Storage ausgestattet werden.
Shift to Continuous Identity Verification: Da interaktives Social Engineering traditionelle MFA umgeht, müssen Organisationen striktes Least Privilege durchsetzen, SaaS-Integrationen regelmäßig auditieren und alle SaaS-Applikationen über einen zentralen Identity Provider (IdP) routen.
Expand Visibility Beyond Endpoints: Kritische Netzwerkgeräte-Logs – insbesondere Application- und Administrative-Logs – sowie Hypervisor-Level-Telemetrie müssen in zentralisiertes Long-Term-Storage forwarded werden. Standard-90-Tage-Retention hinterlässt bei Multi-Year-Intrusions vollständige Blindheit.
Fazit: Das Ende der reaktiven Cybersecurity
Der M-Trends 2026 Report dokumentiert mehr als eine inkrementelle Verschlechterung der Bedrohungslage. Er zeigt eine fundamentale Reorganisation der Angreiferökonomie: arbeitsteilig, hochspezialisiert und auf Speed optimiert. Die 22-Sekunden-Handoff-Zeit ist keine technische Kuriosität, sondern Symptom einer industrialisierten Cybercrime-Infrastruktur.
Für Verteidiger bedeutet dies: Reaktive Strategien sind obsolet. Wer auf Alerts wartet, um zu reagieren, hat bereits verloren. Die neue Realität erfordert kontinuierliche Verifikation, verhaltensbasierte Anomalie-Erkennung und die Annahme, dass Initial Compromise bereits stattgefunden hat.
Die 500.000 Stunden Frontline-Untersuchungen, die Mandiant für diesen Report analysiert hat, liefern eine unmissverständliche Botschaft: Die Zeitfenster für effektive Reaktion sind kollabiert. Security-Architekturen, die auf Detektion und Response setzen, müssen durch Ansätze ergänzt werden, die Assume Breach, Zero Trust und kontinuierliche Verifikation in den Kern ihrer Strategie stellen.
In einer Welt, in der Kompromittierung in 22 Sekunden geschieht und Persistenz 400 Tage überdauert, ist Geschwindigkeit keine operative Metrik mehr – sie ist die fundamentale Voraussetzung für Survival.
