In vielen Sicherheitsprogrammen galt lange eine unausgesprochene Reihenfolge: zuerst Identitäten absichern, dann Phishing-Schulungen ausbauen, anschließend Patch-Management verbessern. Das war plausibel. Gestohlene Zugangsdaten und Social Engineering dominierten über Jahre viele Breach-Analysen. Der neue Verizon Data Breach Investigations Report 2026 verschiebt diese Prioritäten nicht vollständig. Er setzt aber einen klaren Akzent: Ausgenutzte Software-Schwachstellen sind laut Verizon inzwischen der wichtigste Einstiegspunkt in bestätigte Datenpannen. Für Unternehmen ist das kein statistisches Detail, sondern ein operatives Problem. Die Zeit zwischen Veröffentlichung einer Schwachstelle, Proof-of-Concept, automatisiertem Scanning und realer Ausnutzung schrumpft. Interne Patch-Prozesse denken dagegen oft noch in Wochen oder Monaten.
Was der DBIR 2026 konkret zeigt
Verizon nennt auf der offiziellen DBIR-Seite mehrere zentrale Befunde: 31 Prozent der Breaches beginnen inzwischen mit Software-Schwachstellen. Ransomware spielt bei 48 Prozent aller Breaches eine Rolle. Zudem unterstützt generative KI laut Report 15 unterschiedliche Angriffstechniken — von der Suche nach Sicherheitslücken bis zur Malware-Entwicklung. SecurityWeek berichtet ergänzend, Verizon habe für die aktuelle Ausgabe rund 31.000 Sicherheitsvorfälle ausgewertet, darunter mehr als 22.000 bestätigte Datenpannen. Im Vorjahr waren es laut SecurityWeek 12.195 bestätigte Breaches.
Besonders wichtig ist der Wechsel beim initialen Zugriffsweg. SecurityWeek fasst den DBIR so zusammen: Vulnerability Exploitation habe mit rund 31 Prozent Credential Abuse als wichtigsten Angriffsvektor überholt. Der Missbrauch von Zugangsdaten liege bei 13 Prozent. Das macht Identitätssicherheit nicht weniger relevant. Es zeigt aber: Ein reines „Identity-first“-Programm reicht nicht mehr, wenn öffentlich erreichbare Systeme, Cloud-Dienste, Appliances, Webanwendungen oder Drittanbieter-Komponenten ungepatcht bleiben.
Warum diese Verschiebung technisch plausibel ist
Der Trend hat mehrere Ursachen. Erstens ist die Angriffsfläche breiter und unübersichtlicher geworden. Unternehmen betreiben klassische Server, SaaS-Integrationen, Cloud-Workloads, Container, Edge-Appliances, Entwicklerplattformen, CI/CD-Systeme und zunehmend KI-gestützte Werkzeuge parallel. Jede zusätzliche Komponente bringt Versionen, Konfigurationen, Abhängigkeiten und Berechtigungen mit, die jemand inventarisieren und pflegen muss.
Zweitens hat sich die Ökonomie der Angreifer verändert. Sobald eine kritische Schwachstelle in einem weit verbreiteten Produkt bekannt wird, entsteht schnell ein Markt aus Exploit-Code, Scanner-Modulen, Botnet-Automatisierung und Initial Access Brokern. Generative KI ersetzt dabei nicht die technische Expertise. Sie kann aber Routinearbeit beschleunigen: Code analysieren, Varianten generieren, Fehlermeldungen interpretieren, Suchabfragen formulieren, Phishing- oder Malware-Bausteine anpassen. Verizon formuliert auf der DBIR-Seite entsprechend vorsichtig, dass Angreifer KI nutzen, um in jeder Phase schneller zu arbeiten — vom Finden von Lücken bis zur Malware-Erstellung.
Drittens sind Patches organisatorisch schwieriger als Scans. Eine Schwachstelle zu finden, ist oft deutlich einfacher, als sie zu schließen. Patchen kann Downtime verursachen, Tests erfordern, Legacy-Abhängigkeiten brechen oder von einem Drittanbieter abhängen. Genau dort entsteht die Lücke zwischen „bekannt“ und „behoben“. Für Angreifer ist diese Lücke ein verwertbares Zeitfenster.
Drittanbieter und Cloud-Exposures verschärfen das Problem
Ein weiterer Punkt aus der SecurityWeek-Zusammenfassung des DBIR ist der starke Anstieg von Breaches mit Drittanbieter-Bezug. Demnach stieg die Beteiligung von Third Parties um 60 Prozent und erreichte 48 Prozent der Breaches. Das passt zu vielen realen Vorfällen der vergangenen Jahre. Nicht immer kompromittieren Angreifer das eigentliche Ziel direkt. Oft genügt ein schwacher Dienstleister, ein kompromittiertes Softwarepaket, eine falsch konfigurierte Cloud-Integration oder ein SaaS-Konto mit zu breiten Rechten.
Für Unternehmen ist das heikel, weil klassische Patch-KPIs häufig nur interne Assets erfassen. Wer nicht weiß, welche externen Systeme Zugriff auf Daten, Build-Pipelines, Ticketsysteme, Kundenportale oder Cloud-Umgebungen haben, unterschätzt sein tatsächliches Risiko. Third-Party-Risk-Management darf deshalb nicht bei Fragebögen enden. Entscheidend sind technische Kontrollen: SSO-Erzwingung, MFA, Conditional Access, minimale Berechtigungen, Logging, API-Schlüssel-Rotation, SBOMs, Sicherheitszusagen von Lieferanten und saubere Exit-Prozesse für nicht mehr genutzte Integrationen.
Was Unternehmen jetzt praktisch ändern sollten
Erstens braucht Patch-Management eine risikobasierte Triage statt nur einer monatlichen Routine. Kritische, aktiv ausgenutzte Schwachstellen auf internetexponierten Systemen dürfen nicht im normalen Change-Kalender hängen bleiben. Dafür braucht es eine verbindliche Notfallspur: Asset-Verantwortliche, Testfenster, Rollback-Pläne, Kommunikationswege und klare Entscheidungsrechte.
Zweitens sollte Exposure Management stärker mit Angriffspfaden arbeiten. Eine CVSS-10-Lücke auf einem isolierten Testsystem ist nicht dasselbe wie eine CVSS-8-Lücke auf einem VPN-Gateway, einer Identitätskomponente oder einer CI/CD-Plattform. Gute Priorisierung verbindet Schwachstellendaten mit Erreichbarkeit, Exploit-Verfügbarkeit, betroffenen Daten, Berechtigungen und Geschäftsprozess.
Drittens müssen Unternehmen Entwickler- und Build-Umgebungen wie Produktionssysteme behandeln. Die jüngsten Vorfälle rund um kompromittierte Entwickler-Tools, Extensions und Tokens zeigen, dass Angreifer nicht nur Server attackieren. Sie zielen auch auf Workstations, Paketquellen und Automatisierungsketten. Patch- und Update-Prozesse für IDE-Erweiterungen, Build-Runner, Container-Basisimages und Dependencies gehören deshalb in denselben Governance-Rahmen wie Server-Patches.
Viertens sollte KI-Sicherheit nicht als separates Sonderthema laufen. Wenn generative KI Angreifer schneller macht, muss Verteidigung vor allem Geschwindigkeit und Kontext verbessern: schnellere Asset-Erkennung, automatische Korrelation von Exploit-Intelligence mit eigenen Systemen, sichere Codeprüfung, bessere Priorisierung und nachvollziehbare Remediation-Workflows. KI kann dabei helfen. Sie ersetzt aber weder saubere Inventare noch klare Ownership.
Risiken und Grenzen der Interpretation
Der DBIR zählt zu den wichtigsten empirischen Quellen der Branche. Eine vollständige Abbildung aller Angriffe liefert aber auch er nicht. Die Datenbasis hängt von gemeldeten, untersuchten und klassifizierbaren Vorfällen ab. Branchen, Regionen und Incident-Typen können unterschiedlich stark vertreten sein. Außerdem bedeutet „KI unterstützt Angriffstechniken“ nicht, dass jeder konkrete Angriff autonom von KI-Agenten durchgeführt wird. Unternehmen sollten den Report deshalb nicht als Paniksignal lesen, sondern als Priorisierungshilfe.
Credential Abuse bleibt ebenfalls relevant. MFA, Passkey-Strategien, Privileged Access Management und Monitoring ungewöhnlicher Logins verlieren nicht an Bedeutung. Die eigentliche Botschaft lautet: Identitätssicherheit und Vulnerability Management müssen enger zusammenrücken. Ein ungepatchtes System mit privilegiertem Service-Account ist ein anderes Risiko als eine isolierte Anwendung ohne sensible Daten.
Fazit
Der Verizon DBIR 2026 zeigt, dass Unternehmen ihre Sicherheitsprogramme an die Geschwindigkeit moderner Ausnutzung anpassen müssen. Wenn 31 Prozent der Breaches mit Software-Schwachstellen beginnen und Ransomware in 48 Prozent der Fälle eine Rolle spielt, reicht es nicht, Schwachstellen nur zu zählen. Entscheidend ist, welche Lücke morgen realistisch ausgenutzt wird, welches System erreichbar ist und wer im Unternehmen sofort handeln darf.
Für Entscheider heißt das: Patch-Management ist kein IT-Hygienethema mehr, sondern ein Kernprozess der Unternehmensresilienz. Wer Inventar, Priorisierung, Drittanbieter-Kontrolle und schnelle Remediation beherrscht, reduziert nicht nur technische Risiken. Er verkürzt das Zeitfenster, in dem Angreifer aus bekannten Schwachstellen echte Datenpannen machen.
Quellen
- Verizon: 2026 Data Breach Investigations Report (DBIR), offizielle Report-Seite, veröffentlicht am 19. Mai 2026:
- SecurityWeek: „Verizon DBIR 2026: Vulnerability Exploitation Overtakes Credential Theft as Top Breach Vector“, 19./20. Mai 2026:
