Security Trends 2026 Arctic Wolf

Entwickler nutzen KI-Technologie zunehmend für das sogenannte „Wipe Coding“, also das automatisierte Erstellen von Skripten und Programmcode. Cyberkriminelle setzen die gleiche Technologie für „Wipe Hacking“ ein. Zwar lassen sich mithilfe von LLMs noch keine vollständigen Exploits generieren, doch die Systeme identifizieren potenzielle Angriffsflächen in kürzester Zeit. Sie unterstützen Hacker beim Kompromittieren von Systemen, beim Erweitern von Zugriffsrechten und beim Einschleusen von Malware.

Phishing erreicht neue Qualitätsstufe

Besonders deutlich zeigt sich der Einfluss von KI beim Phishing. Angreifer, die ein E-Mail-Konto übernommen haben, nutzen bestehende Konversationen, um sich in laufende Kommunikation einzuklinken. Die KI generiert Antworten mit passendem Kontext und stimmigem Tonfall. Diese Man-in-the-Middle-Angriffe sind kaum noch als Cyberattacken zu erkennen. Die Wahrscheinlichkeit steigt, dass Empfänger auf eingebettete Links klicken und dabei Zugangsdaten sowie MFA-Tokens preisgeben.

Parallel funktionieren einfache Standardmails mit Nachrichten wie „Ihr Paket verspätet sich“ weiterhin. Solche Angriffe ohne vorherigen Kontakt werden als „Cold Phishing“ bezeichnet. Beim „Spear-Phishing“ – gezielten Angriffen auf Einzelpersonen – und beim „Big Whaling“, Attacken auf Führungskräfte, steigert KI die Effizienz erheblich. Öffentliche Profile auf Business-Plattformen liefern detaillierte Informationen zu Position, Verantwortungsbereich und persönlichen Vorlieben. Diese Daten fließen automatisiert in KI-gestützte Workflows ein und erzeugen E-Mails, die kaum von echter Kommunikation zu unterscheiden sind.

Datenauswertung und Erpressungsstrategie

Bei der Analyse gestohlener Daten spielt KI eine wachsende Rolle. Angreifer bringen große Datenmengen in Textform und durchsuchen sie mithilfe von LLMs nach sensiblen Informationen und relevanten Dokumenten. So finden sie gezielt geeignete Druckmittel und schätzen die erwartbare Zahlungsbereitschaft anhand von Unternehmensdaten, Brancheninformationen, Mitarbeiterzahlen und Finanzberichten ein.

KI als Verteidigungswerkzeug

Sicherheitsteams setzen KI dort ein, wo umfangreiche Daten aus realen Kundenumgebungen vorliegen. Werden KI-Modelle mit tatsächlichen Incident-Daten trainiert, erkennen sie typische Angriffsmuster, Anomalien und Risikoindikatoren deutlich präziser. Durch die Analyse historischer Alerts, Logdaten und Vorfälle identifizieren Detection-Modelle Verhaltensmuster, die auf kompromittierte Identitäten, unberechtigte laterale Bewegungen oder Ransomware-Vorbereitungen hindeuten. KI reichert Events mit Kontext an, priorisiert Alerts und klassifiziert verdächtige Aktivitäten automatisiert – was zu fundierten Entscheidungen und schnelleren Reaktionszeiten führt.

Identität rückt in den Fokus

Mit dem anhaltenden Wandel zu Cloud- und SaaS-Anwendungen verschieben sich Cyberangriffe von Endgeräten zu Nutzerkonten. Sobald eine Identität kompromittiert ist, erhält der Angreifer Zugriff auf sämtliche SaaS-Lösungen des betroffenen Nutzers. Der Schutz der Browser-Umgebung, über die diese Anwendungen laufen, gewinnt dadurch an Bedeutung.

Security-Anwendungen als Zielscheibe

Eine steigende Zahl kritischer Schwachstellen in Firewalls und anderen Sicherheitslösungen zeigt: Angreifer und staatlich motivierte Akteure betreiben umfassendes Reverse Engineering, um Schwachstellen zu ermitteln. Besonders weit verbreitete Lösungen geraten ins Fadenkreuz, da erfolgreiche Exploits dort eine hohe Wirkung entfalten. Beunruhigend ist, dass nationalstaatliche Akteure entdeckte Schwachstellen teils über längere Zeiträume zurückhalten, um sie für nachrichtendienstliche Zwecke zu nutzen – was die Verfügbarkeit von Patches verzögert.

Geopolitik behindert Zusammenarbeit

Das sich verändernde geopolitische Umfeld beeinträchtigt die für wirksame Cybersicherheit erforderliche globale Zusammenarbeit. Länder versuchen, ihre technologische Widerstandsfähigkeit gegenüber anderen Nationen zu stärken. Sicherheitsrelevante Informationen werden zurückgehalten und Kenntnisse über Schwachstellen nicht international weitergegeben – eine erhebliche Herausforderung für globale Cyberabwehrbemühungen.

Mittelstand im Visier

Der aktuelle BSI-Jahresbericht zur IT-Sicherheit in Deutschland bestätigt die verschärfte Bedrohungslage auf nationaler Ebene. Mittelständische Unternehmen sind besonders attraktive Angriffsziele: Sie sind groß genug für lohnende Lösegeldforderungen, aber oft unzureichend geschützt. Das produzierende Gewerbe gehört zu den Hauptzielen für Cyberangriffe.

Basismaßnahmen bleiben entscheidend

Trotz aller technologischen Entwicklungen bleiben Cyberhygiene und Basismaßnahmen unverzichtbar. Offene Management-Interfaces, veraltete VPNs, Standard-Passwörter und fehlende Multi-Faktor-Authentifizierung erleichtern Angriffe erheblich. Erfolgreiche Cyberangriffe erfordern keine ausgefeilte Technologie, wenn grundlegende Sicherheitsmaßnahmen fehlen.

Eine umfassende Cybersicherheitsstrategie ist unabdingbar. Detection-and-Response-Maßnahmen, Endpoint Security und detaillierte Incident-Response-Pläne reduzieren die Wahrscheinlichkeit erfolgreicher Angriffe. Organisationen, die solche Maßnahmen aufgrund fehlender Kenntnisse oder Ressourcen nicht selbst umsetzen können, sollten auf externe Sicherheitsdienstleister zurückgreifen.

Developers are increasingly using AI technology for “wipe coding,” i.e., the automated creation of scripts and program code. Cybercriminals are using the same technology for “wipe hacking.” Although LLMs cannot yet be used to generate complete exploits, the systems identify potential vulnerabilities in a very short time. They help hackers compromise systems, expand access rights, and inject malware.

Phishing reaches a new level of sophistication

The influence of AI is particularly evident in phishing. Attackers who have taken over an email account use existing conversations to tap into ongoing communications. AI generates responses with appropriate context and tone. These man-in-the-middle attacks are hardly recognizable as cyberattacks. The likelihood increases that recipients will click on embedded links and reveal access data and MFA tokens.

At the same time, simple standard emails with messages such as “Your package is delayed” continue to work. Such attacks without prior contact are referred to as “cold phishing.” AI significantly increases the efficiency of “spear phishing” – targeted attacks on individuals – and “big whaling” – attacks on executives. Public profiles on business platforms provide detailed information about position, area of responsibility, and personal preferences. This data is automatically fed into AI-supported workflows and generates emails that are almost indistinguishable from real communication.

Data analysis and blackmail strategy

AI is playing an increasing role in the analysis of stolen data. Attackers bring large amounts of data in text form and use LLMs to search for sensitive information and relevant documents. This allows them to find suitable leverage and estimate the expected willingness to pay based on company data, industry information, employee numbers, and financial reports.

AI as a defense tool

Security teams use AI where extensive data from real customer environments is available. When AI models are trained with actual incident data, they recognize typical attack patterns, anomalies, and risk indicators much more accurately. By analyzing historical alerts, log data, and incidents, detection models identify behavior patterns that indicate compromised identities, unauthorized lateral movements, or ransomware preparations. AI enriches events with context, prioritizes alerts, and automatically classifies suspicious activities – leading to informed decisions and faster response times.

Identity in focus

With the ongoing shift to cloud and SaaS applications, cyberattacks are shifting from endpoints to user accounts. Once an identity is compromised, the attacker gains access to all of the affected user’s SaaS solutions. This makes it increasingly important to protect the browser environment on which these applications run.

Security applications as targets

A growing number of critical vulnerabilities in firewalls and other security solutions shows that attackers and state-sponsored actors are conducting extensive reverse engineering to identify vulnerabilities. Particularly widespread solutions are being targeted, as successful exploits have a high impact there. It is worrying that nation-state actors sometimes hold back discovered vulnerabilities for long periods of time in order to use them for intelligence purposes, which delays the availability of patches.

Geopolitics hinders cooperation

The changing geopolitical environment is hampering the global cooperation required for effective cybersecurity. Countries are trying to strengthen their technological resilience against other nations. Security-related information is being withheld and knowledge about vulnerabilities is not being shared internationally – a significant challenge for global cyber defense efforts.

Small and medium-sized businesses in the crosshairs

The latest BSI annual report on IT security in Germany confirms the heightened threat situation at the national level. Small and medium-sized businesses are particularly attractive targets: they are large enough to warrant ransom demands, but often inadequately protected. The manufacturing industry is one of the main targets for cyberattacks.

Basic measures remain crucial

Despite all the technological developments, cyber hygiene and basic measures remain indispensable. Open management interfaces, outdated VPNs, standard passwords, and a lack of multi-factor authentication make attacks much easier. Successful cyberattacks do not require sophisticated technology if basic security measures are lacking.

A comprehensive cybersecurity strategy is essential. Detection and response measures, endpoint security, and detailed incident response plans reduce the likelihood of successful attacks. Organizations that are unable to implement such measures themselves due to a lack of knowledge or resources should turn to external security service providers.