Laut dem Bericht stieg die Zahl der Angriffe, die mit der Ausnutzung öffentlich zugänglicher Anwendungen begannen, um 44 %. Hauptursachen waren fehlende Authentifizierungskontrollen und KI-gestützte Schwachstellenscans. Weltweit war die Ausnutzung von Sicherheitslücken 2025 mit 40 % die häufigste Ursache für Sicherheitsvorfälle.

Mark Hughes, Global Managing Partner für Cybersecurity Services bei IBM, sagte: „Angreifer erfinden keine Playbooks neu, sondern beschleunigen sie mit KI“.

Ransomware-Gruppen nehmen um 49 % zu

Die Zahl aktiver Ransomware- und Erpressungsgruppen stieg im Jahresvergleich um 49 %. Gleichzeitig erhöhten sich die öffentlich bekanntgegebenen Opferzahlen um rund 12 %. Laut X-Force handelt es sich zunehmend um kleinere, kurzlebige Gruppierungen, deren Zuordnung erschwert ist. Niedrigere Markteintrittsbarrieren, wiederverwendete geleakte Werkzeuge und KI-gestützte Automatisierung tragen zu dieser Entwicklung bei.

Lieferketten viermal häufiger kompromittiert

Seit 2020 haben sich größere Kompromittierungen von Lieferketten und Drittanbietern nahezu vervierfacht. Angreifer nutzten insbesondere Vertrauensbeziehungen sowie CI/CD-Automatisierung in Entwicklungsumgebungen und SaaS-Integrationen. Mit dem verstärkten Einsatz KI-gestützter Programmierwerkzeuge rechnet IBM für 2026 mit weiter steigendem Druck auf Software-Pipelines und Open-Source-Ökosysteme.

Über 300.000 offengelegte ChatGPT-Zugangsdaten

Infostealer-Malware führte 2025 zur Offenlegung von mehr als 300.000 Zugangsdaten zur Plattform ChatGPT. Der Bericht verweist darauf, dass KI-Plattformen damit vergleichbare Identitätsrisiken wie andere zentrale SaaS-Anwendungen aufweisen. Neben dem Kontozugriff bestehen zusätzliche Risiken durch Manipulation von Ausgaben, Exfiltration sensibler Daten oder das Einschleusen schädlicher Prompts.

Europa dritthäufigste Zielregion weltweit

Europa war 2025 Ziel von 25 % der von IBM untersuchten Angriffe und lag damit hinter Nordamerika mit 29 % sowie der Region Asien-Pazifik. 2024 hatte Europas Anteil noch bei 23 % gelegen.

In Europa war die Ausnutzung öffentlich zugänglicher Anwendungen mit 40 % die häufigste Angriffsursache. Malware kam in 43 % der Fälle zum Einsatz, die Nutzung legitimer Tools sowie unbefugter Serverzugriff jeweils in 26 %. Credential Harvesting stellte mit 40 % die häufigste Angriffsfolge dar, gefolgt von Datenlecks mit 27 % und Datendiebstahl mit 13 %.

Der Finanz- und Versicherungssektor war 2025 mit 39 % der Vorfälle am stärksten betroffen, nach 18 % im Vorjahr. Professional-, Geschäfts- und Verbraucherdienstleistungen sanken im gleichen Zeitraum von 38 auf 18 %. Die Fertigungsindustrie blieb mit 27,7 % der weltweit beobachteten Vorfälle im fünften Jahr in Folge der am häufigsten angegriffene Sektor.