Weltweites Cyberrisiko sinkt, doch Ransomware-Fälle nehmen zu
Wallisellen - TrendAI™, der Enterprise-Cybersecurity-Geschäftsbereich von Trend Micro, veröffentlicht
seinen Cyber Risk Report 2026. Der Bericht zeichnet ein zwiespältiges Bild der globalen
Bedrohungslage: Während sich Unternehmen in Cybersicherheitsfragen messbar besser aufstellen,
nimmt gleichzeitig die Zahl erfolgreicher Ransomware-Angriffe weltweit deutlich zu.
Erstmals liefert der Bericht zudem Daten aus der neuen „Attack Path Prediction“-Funktion der
Cybersicherheitsplattform TrendAI Vision One™, die zeigen, über welche konkreten Wege Angreifer
vorgehen - vom ersten Eindringen in eine Infrastruktur bis hin zu wertvollen Daten und Systemen.
Das sind die wichtigsten Erkenntnisse des Berichts im Überblick:
Cyberrisiko sinkt, bleibt aber im mittleren Risikobereich: Der Cyber Risk
Index (CRI) fiel im Jahresdurchschnitt 2025 auf 35,8 Punkte, nach 38,5 im Vorjahr.* Der Verlauf war
jedoch deutlich volatiler als 2024: von 34,6 im Januar über einen Ausreisser von 37,4 im April
(vermutlich bedingt durch neue IT-Projekte zum Start eines neuen Geschäftsjahrs für viele
Unternehmen) bis zu einem Tief von 34,1 im Juli. Unabhängig von Branche oder
Unternehmensgrösse bewegen sich die untersuchten Unternehmen im mittleren Risikobereich.
Risikoniveau im Branchenvergleich: Bergbau führte 2025 mit einem CRI von 42,5
erstmals die Rangliste der Branchen mit dem höchsten Risiko an, gefolgt vom Gesundheitswesen
und der Landwirtschaft (je 40,3), der Telekommunikation (39,9) und dem Bildungswesen (39,8) sowie
Behörden und öffentlichen Einrichtungen (39,7).
Kleine Unternehmen zunehmend als Einfallstor im Visier: Unternehmen mit bis zu 100
Mitarbeitenden sind zwar weiterhin die Gruppe mit dem niedrigsten Risiko, zugleich aber das einzige
Grössensegment, dessen CRI 2025 gestiegen ist. Dies deutet darauf hin, dass Angreifer kleine
Unternehmen zunehmend als Einfallstor in grössere Lieferketten nutzen.
Cloud-Zugriffe und veraltete Konten bleiben Hauptrisikofaktoren: Wie im Vorjahr führen riskante
Zugriffe auf Cloud-Applikationen und veraltete Microsoft Entra ID-Konten die Liste der am häufigsten
erkannten Risikoereignisse an. Konten mit deaktivierter Multi-Faktor-Authentifizierung (MFA) zählen
weiterhin zu den grössten Schwachstellen. Neu in den Top 5: Verstösse gegen Zero-Trust-
Zugriffsregeln (ZTSA), ein Zeichen für die wachsende, aber noch nicht überall konsequent
durchgesetzte Zero-Trust-Adoption.
Schwachstellenmanagement braucht mehr als CVSS-Werte: Unter den zehn am häufigsten
erkannten, ungepatchten Schwachstellen (CVEs) befinden sich drei mit lediglich mittlerem
Schweregrad, die jedoch im Zusammenspiel mit hochkritischen Sicherheitslücken für Remote-
Codeausführung und Rechteausweitung besonders gefährliche Angriffsketten ermöglichen. Virtuelles
Patching über TrendAI™ TippingPoint™ Intrusion-Prevention-Systeme verschaffte Kunden im Schnitt
115 Tage Schutz, bevor ein offizieller Patch verfügbar war.
Attack Path Prediction zeigt reale Angriffswege auf: Die erstmals ausgewertete Attack Path
Prediction-Funktion von TrendAI Vision One™ zeigt, dass ungepatchte Schwachstellen mit Abstand
am häufigsten den Ausgangspunkt vollständiger Angriffspfade bilden (über 2,3 Millionen erkannte
Pfade), gefolgt von Password-Spraying- und Password-Guessing-Angriffen auf schwach
abgesicherte Konten (zusammen über 2 Millionen Pfade). Am Ende der Angriffskette steht in den
meisten Fällen ein Benutzerkonto als Ziel – mit durchschnittlich rund 33.000 anvisierten Konten pro
Tag nahezu doppelt so häufig wie Endgeräte auf Platz zwei.
Ransomware-Landschaft fragmentiert sich weiter und wird aktiver: Die Zahl bestätigter Opfer der
zehn aktivsten Ransomware-Gruppen (laut beobachteten Leak-Seiten von Cyberkriminellen) stieg
2025 um 236 Prozent auf 5.096 Unternehmen. Qilin (von TrendAI™ als Agenda erkannt) katapultierte
sich von Platz zehn im Jahr 2024 auf Platz eins mit 1.262 bestätigten erfolgreichen Angriffen – ein
Plus von 1.270 Prozent. Akira folgte mit 857 Fällen (+708 Prozent). Gleich fünf Gruppen stiegen 2025
neu in die Top Ten ein, darunter INC Ransom, SafePay, Lynx, DragonForce und Sinobi, während
zuvor dominante Gruppen wie LockBit deutlich an Bedeutung verloren haben. Diese Fragmentierung
hat erhebliche Auswirkungen für Unternehmen: Eine Verteidigungsstrategie, die sich lediglich auf
bekannte Taktiken, Techniken und Vorgehensweisen etablierter Gruppen stützt, wird in einer sich so
rasant wandelnden Landschaft stets hinterherhinken. Die wirksamste Verteidigung besteht nicht in
Informationen über bestimmte Gruppen, sondern in der Reduzierung der zugrunde liegenden
Schwachstellen – unabhängig davon, wer sie ausnutzt.
Empfehlungen für Unternehmen
Um das Cyberrisiko nachhaltig zu senken, rät
der japanische Sicherheitsanbieter Unternehmen zu einem konsequent risikobasierten
Sicherheitsansatz:
Sicherheitskonfigurationen aktiv optimieren statt nur implementieren:
Einstellungen wie Web-Reputation, Geräte- und Anwendungskontrolle oder Anti-Malware-Scans
müssen kontinuierlich überprüft und nachgeschärft werden, da bereits einzelne Fehlkonfigurationen
vorhandene Schutzmechanismen erheblich schwächen können.
Identitäts- und Zugriffsmanagement konsequent durchsetzen: Veraltete Konten inventarisieren
und löschen, riskante Konten deaktivieren, sichere Passwörter erzwingen und Multi-Faktor-
Authentifizierung flächendeckend aktivieren – insbesondere, da Password-Spraying- und Password-
Guessing-Angriffe laut den neuen Attack-Path-Daten zu den häufigsten Einstiegspunkten für
vollständige Angriffsketten zählen.
Schwachstellen risikobasiert statt ausschliesslich nach CVSS-Score priorisieren: Auch
Schwachstellen mit mittlerem Schweregrad müssen berücksichtigt werden, wenn sie im
Zusammenspiel mit anderen Sicherheitslücken hochkritische Angriffsketten ermöglichen. Virtuelles
Patching kann die Lücke bis zum offiziellen Herstellerpatch schliessen, ersetzt eine reguläre Patch-
Strategie aber nicht.
Angriffspfade statt Einzelrisiken betrachten: Lösungen wie Attack Path Prediction helfen dabei,
Risiken danach zu priorisieren, wie wahrscheinlich sie tatsächlich zu einem erfolgreichen Angriff
führen, und nicht nur danach, wie häufig sie auftreten.
Vorhandene Sicherheitsplattformen konsequent nutzen: Die Fähigkeiten zur Risikoreduzierung
sind in vielen Unternehmen bereits vorhanden; entscheidend ist, sie durch automatisierte Playbooks,
KI-gestützte Priorisierung und kontinuierliches Monitoring auch tatsächlich im Alltag zu
operationalisieren.
TrendAI Vision One Cyber Risk Exposure Management (CREM) verwendet einen
Risikoereigniskatalog, um eine Risikobewertung für jeden Anlagentyp und eine Indexbewertung für
Unternehmen zu formulieren. Dazu werden die Gefährdungs- und Sicherheitskonfiguration einer
Anlage mit der Kritikalität der Anlage multipliziert. Das Ergebnis ist eine ganze Zahl zwischen null und
100, die in eine von drei Stufen fällt: Geringes Risiko (0-30), mittleres Risiko (31-69) und hohes Risiko
(70-100).
Weitere Informationen:
Den vollständigen Bericht finden Sie in
englischer Sprache hier: https://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat-
reports/roundup/trendai-2026-cyber-risk-report
www.kmu-press.ch ist ein Angebot von www.help.ch. Nutzen Sie KMU-Press.ch, die spezialisierte Plattform für Pressemitteilungen von Schweizer KMU.
Als Betreiber von KMU-Press.ch steht HELP.ch für hohe Reichweite, professionelle Veröffentlichung und maximale Sichtbarkeit Ihrer Unternehmensnews.
Mit einer Vielzahl an Ressourcen und Lösungen, die gezielt auf die Bedürfnisse von Schweizer KMU zugeschnitten sind, bietet HELP.ch eine leistungsstarke Plattform für Unternehmenskommunikation und Online-Sichtbarkeit.
Trusted Brands, Portale, Mitgliedschaften
Cookie-Einstellungen
Wir verwenden Cookies, um Ihre Erfahrung zu verbessern. Details finden Sie in unserer Cookie Policy.