Verizon 2026 DBIR: Patching ist jetzt ein Kapazitätsproblem

Jeden Jahr Ende Mai bekommt die Security-Szene ihr Äquivalent zum Transferfenster im Fußball: Der Verizon DBIR erscheint, und alle verbringen eine Woche damit, über die Veränderungen zu diskutieren. Man sollte ihn weniger als Wetterbericht und mehr als Gezeitentabelle betrachten – die Art, die Hafenmeister früher an die Wand geheftet haben. Sie sagt nichts über den heutigen Sturm aus, aber sie zeigt, in welche Richtung das Wasser sich die letzten zwölf Monate bewegt hat. Und dieses Jahr hat sich die Tide in eine Richtung gedreht, die Verteidigern keinen Spaß machen wird.

Was passiert ist

Der Help Net Security-Artikel von Brian Honan, CEO von BH Consulting, geht durch die wichtigsten Erkenntnisse des Verizon 2026 Data Breach Investigations Report, der auf mehr als 31.000 Sicherheitsvorfällen und über 22.000 bestätigten Datenpannen in 145 Ländern basiert. Die Quellen umfassen Polizeibehörden, Cybersicherheitsunternehmen und CSIRTs – das macht diesen Bericht zum nächsten, was die Branche an einer herstellerneutralen Ausgangsbasis hat.

Die wichtigste Verschiebung: Schwachstellen-Exploitation hat gestohlene Zugangsdaten als häufigsten initialen Angriffsvektor überholt. Exploits sind jetzt für 31 % der Datenpannen verantwortlich. Credential-Missbrauch ist auf 13 % eingebrochen. Für jeden, der die letzten fünf Jahre seine gesamte Sicherheitsstrategie rund um Phishing-Decks und MFA-Rollouts aufgebaut hat, ist das ein Schlag mit dem kalten Fisch.

Ransomware ist ebenfalls gestiegen und an 48 % der Datenpannen beteiligt, gegenüber 44 % im Vorjahr. Der kleine Trost: 69 % der Opfer verweigerten die Zahlung. Supply-Chain-Pannen stiegen um 60 %, und Drittparteien tauchen inzwischen in 48 % der Datenpannen auf. Mit anderen Worten: Bei der Hälfte aller Vorfälle steht irgendwo das Logo eines anderen drauf.

Der KI-Abschnitt bestätigt, was jeder CISO bereits ahnte. 45 % der Mitarbeitenden nutzen KI-Tools bei der Arbeit regelmäßig, gegenüber 15 % im Vorjahr. 67 % derjenigen, die KI auf Unternehmensgeräten nutzen, verwenden dabei keine Unternehmenskonten. Quellcode, interne Dokumente, strukturierte Daten und technische Dokumentation werden alle in Plattformen hochgeladen, die niemand in der Sicherheitsabteilung genehmigt hat. Der Mensch ist immer noch Teil des Problems – beteiligt an 62 % der Datenpannen. Die Besetzungsliste ist einfach größer geworden.

Technische Anatomie

Das Interessante ist nicht, dass Schwachstellen-Exploitation gestiegen ist. Es ist das Warum. Nur 26 % der kritischen Schwachstellen im CISA KEV-Katalog wurden im Jahr 2025 vollständig behoben, gegenüber 38 % im Vorjahr. Die mediane Zeit bis zur vollständigen Behebung stieg auf 43 Tage. Das ist der Gezeitentabellen-Teil. Das Wasser bewegt sich gleichzeitig in die falsche Richtung auf beiden Achsen: weniger wird behoben, und was behoben wird, dauert länger.

Honan nennt das ein Kapazitätsproblem statt eines Disziplinproblems – und ich denke, diese Einordnung ist wichtig. Die alte Geschichte handelte von faulen Ops-Teams, die den Patch-Tuesday ignorierten. Die neue Geschichte ist, dass das Volumen an bekannt gewordenen und ausgenutzten Schwachstellen die Personalkapazität der Menschen überholt hat, die sie triagieren sollen. Anthropics Mythos wird im Bericht namentlich erwähnt als die KI, die Schlagzeilen damit macht, Schwachstellen in großem Maßstab zu finden. Was auch immer man vom Marketing rund um KI-gestütztes Bug-Hunting hält: Die Asymmetrie ist real – Maschinen können Offenlegungen schneller erzeugen als Menschen Change-Tickets erstellen können.

Legt man die Supply-Chain-Zahlen oben drauf, wird das Engineering-Bild noch hässlicher. Ein Anstieg der Supply-Chain-Pannen um 60 % bedeutet, dass die Patch-Oberfläche nicht mehr nur die eigene Infrastruktur ist. Es ist das Zeug des SaaS-Anbieters, das des Managed Service Providers, das ausgelagerte Gehaltsabrechnungssystem, in das niemand im Security-Team SSO hat. Die MTTR-Uhr beginnt zu ticken, sobald ein CVE erscheint, aber für die Hälfte der Angriffsfläche besitzt man nicht einmal die Ticket-Queue.

Und dann ist da noch das Shadow-AI-Problem. 67 % der Nutzer auf Unternehmensgeräten, die KI-Dienste über persönliche Konten aufrufen, bedeutet, dass das eigene DLP bestenfalls dekorativ ist. Der DBIR weist ausdrücklich auf Quellcode und technische Dokumentation hin, die auf nicht autorisierte Plattformen hochgeladen werden. Aus der Bedrohungsmodell-Perspektive sollte jede nicht sanktionierte KI-Sitzung als Exfiltrationskanal behandelt werden, der den Nutzer anlächelt. Jeder, der versucht hat, eine sinnvolle Egress-Richtlinie für eine Engineering-Organisation mit 5.000 Plätzen zu schreiben, kennt die Lücke zwischen „wir haben eine Richtlinie" und „der Traffic hält sich tatsächlich daran".

Wer es erwischt

Die Branchen, die RiverCore-Leser interessieren, befinden sich direkt in der Schusslinie. iGaming-Betreiber unterhalten weitläufige Landschaften internetexponierter Systeme – von KYC-Anbietern über Game-Integrationen bis hin zu Affiliate-Plattformen –, und die regulatorische EU-Uhr hält dabei nicht inne, während man den Patch-Rückstand abarbeitet. Ein medianes Behebungsfenster von 43 Tagen gegen Angreifer, die öffentliche PoCs in Stunden weaponisieren, ist ein schlechtes Tauschgeschäft.

Fintech- und Zahlungsdienstleister sind möglicherweise noch schlechter dran. EU DORA ist nun operativ in Kraft und verlangt, dass Drittanbieter-ICT-Risiken genauso behandelt werden wie die eigene Infrastruktur. Ein DBIR-Befund, dass Drittparteien inzwischen in 48 % der Datenpannen vorkommen, ist kein abstraktes Risikotheater – es ist eine direkte Vorlage für den nächsten Fragebogen des Regulators. Kombiniert man das mit EU NIS2, das die Definition wesentlicher und wichtiger Einrichtungen ausweitet, und EU GDPR, das weiterhin munter Bußgelder verhängt, stapelt sich die rechtliche Exposition schnell.

Krypto- und DeFi-Shops stehen und fallen mit der Smart-Contract-Sicherheit, aber der Off-Chain-Perimeter ist der Ort, an dem die meisten tatsächlichen Vorfälle passieren – und dieser Perimeter ist jetzt ein ungepatchtes-CVE-Problem. Ad-Tech läuft auf Drittanbieter-SDKs und DSP-Integrationen, was im Grunde das Supply-Chain-Risikoprofil in Neon geschrieben ist.

Kleinere Betreiber trifft es am härtesten. Der DBIR macht deutlich, dass allein die Betriebsunterbrechung durch Ransomware – ganz unabhängig vom Lösegeld – schädlicher sein kann als die Forderung selbst. KMU in diesen Branchen haben nicht die personellen Ressourcen, um ein 24/7-Schwachstellenmanagementprogramm neben einem regulatorischen Compliance-Programm neben einem KI-Governance-Programm zu betreiben. Irgendetwas gibt nach. Normalerweise der langweilige Teil – die Patch-Queue –, der gerade zum häufigsten Angriffsvektor geworden ist.

Playbook für Security-Teams

Wenn man diese Woche eine Zahl lesen soll, dann: 43 Tage. Dann: 26 %. Die nächsten neunzig Tage an Sicherheitsinvestitionen sollten genau auf diese beiden Zahlen ausgerichtet sein.

Erstens: Akzeptieren, dass man nicht alles patchen kann. Eine Priorisierungs-Pipeline aufbauen, die mit dem CISA KEV-Katalog und der Teilmenge der eigenen Assets beginnt, die tatsächlich über das Internet erreichbar sind. Wer kein genaues Inventar der internetexponierten Systeme hat, hat dort das erste Ticket. Die gesamte Geschichte des DBIR lautet: Angreifer finden die vergessenen Systeme, bevor man sie selbst findet.

Zweitens: Schwachstellenmanagement als Kapazitätsproblem mit Kapazitätslösungen behandeln. Das bedeutet Automatisierung von Ticketing, SLA-Eskalation und Fix-Verifikation. Es bedeutet schonungslose Gespräche über End-of-Life-Software, die ohnehin nicht exponiert sein sollte. Hardening, Segmentierung und die Reduzierung der Angriffsfläche verschaffen Zeit, die reines Patching nicht kaufen kann.

Drittens: Drittanbieter-Risiko braucht Zähne. Vertragliche SLAs rund um Patching, Benachrichtigungsfristen bei Datenpannen und das Recht auf Prüfung sind unter DORA-ähnlichen Regimen keine Papierkram-Übungen mehr. Kritische Lieferanten kartieren und davon ausgehen, dass jeder von ihnen die nächste Ursache für einen Vorfall sein könnte.

Viertens: In diesem Quartal etwas gegen Shadow AI unternehmen. Kein Richtlinien-Memo, sondern eine tatsächliche Kontrolle. Eine unternehmenseigene KI-Ebene mit SSO und Logging sanktionieren, dann den Rest am Egress sperren. 67 % der Nutzer auf persönlichen Konten ist eine Zahl, die man mit einer gut implementierten Gateway-Regel bewegen kann.

Fünftens: Die Ransomware-Reaktion üben. 69 % ohne Zahlung ist ermutigend – aber die, die nicht zahlten, haben ihre Backups getestet, bevor sie sie brauchten.

Wichtigste Erkenntnisse

• Schwachstellen-Exploitation (31 %) hat Credential-Missbrauch (13 %) als häufigsten initialen Angriffsvektor überholt. Patch-Programme sind jetzt die erste Verteidigungslinie, nicht das Backoffice.
• Nur 26 % der kritischen CISA KEV-Schwachstellen wurden 2025 vollständig behoben, gegenüber 38 %. Die mediane Behebungszeit stieg auf 43 Tage. Verteidiger verlieren Boden bei Volumen und Geschwindigkeit.
• Ransomware war bei 48 % der Datenpannen beteiligt, gegenüber 44 %, aber 69 % der Opfer verweigerten die Zahlung. Die Wiederherstellungsfähigkeit ist die eigentliche Lösegeldverhandlung.
• Drittanbieter- und Supply-Chain-Pannen kommen in 48 % der Vorfälle vor, ein Anstieg von 60 % gegenüber dem Vorjahr. Anbieterrisiko ist unter DORA und NIS2 kein Beschaffungs-Kontrollkästchen mehr.
• 45 % der Mitarbeitenden nutzen KI-Tools bei der Arbeit (gegenüber 15 %), und 67 % davon über persönliche Konten. Sanktioniertes KI-Tooling mit protokolliertem Egress ist eine Q3-Priorität, kein Roadmap-Punkt für 2027.

Zurück zum Hafenmeister und der Gezeitentabelle. Das Wasser zieht seit einem Jahr stetig zurück, und wer die Markierungen an der Wand beobachtet, kann es sehen. Der kritische Punkt ist, wenn Verteidiger eine langsame Ebbe mit stabilem Boden verwechseln. Der DBIR hat seinen Job erledigt, indem er die Linie gezogen hat. Die Frage ist, ob die nächsten zwölf Monate an Patch-Queues, Lieferantenprüfungen und KI-Gateways dem entsprechen, was die Tabelle uns bereits sagt.