Mandiant veröffentlicht M-Trends Report 2026: Mittels KI konnten Angreifer Operationen ausweiten

500.000 Stunden haben Mandiant und die „Google Threat Intelligence Group“ 2025 auf die Untersuchung von Sicherheitsvorfällen verwendet, um nun einen umfassenden Überblick über die aktuelle Bedrohungslage zu liefern

[datensicherheit.de, 26.03.2026] Mandiant hat seinen jährlichen „M-Trends“-Bericht veröffentlicht, welcher die Erkenntnisse aus über 500.000 Stunden zusammenfassen soll, die Mandiant und die „Google Threat Intelligence Group“ (GTIG) im Jahr 2025 auf die Untersuchung von Sicherheitsvorfällen aufgewendet haben, um nun einen umfassenden Überblick über die aktuelle Bedrohungslage zu liefern. Der Report zeigt laut Mandiant auf: „Dank KI konnten Angreifer ihre Operationen ausweiten. Dennoch lässt sich der Großteil der Angriffe weiterhin auf Sicherheitslücken bei Menschen, Prozessen und Systemkontrollen zurückführen.“

Abbildung: Mandiant

„M-Trends“-Bericht: Großteil der Angriffe weiterhin auf Sicherheitslücken bei Menschen, Prozessen und Systemkontrollen zurückzuführen

Mandiant warnt vor Aufstieg des sprachbasierten „Social Engineering“

Voice-Phishing (Vishing) habe sich mit elf Prozent rasant zum zweithäufigsten Vektor für Erstinfektionen entwickelt. Sicherheitslücken seien mit 32 Prozent bereits das sechste Jahr in Folge der häufigste Angriffsvektor.

• Sicherheitsteams sollten sich auf diesen Trend einstellen. „Zum Vergleich: E-Mail-Phishing nutzt nicht-interaktive technischen Köder und setzt auf Masse sowie eine breit gestreute Zustellung ohne besonderen Anlass.“

Bei interaktiven Methoden wie dem Vishing dagegen lenke eine reale Person das Gespräch in Echtzeit. Daher seien diese Angriffe deutlich widerstandsfähiger gegenüber automatisierten technischen Kontrollen und erforderten andere Erkennungsstrategien. Speziell in der EMEA-Region (Europa-Arabien-Afrika) sei jedoch E-Mail-Phishing im Vergleich zum globalen Trend, wo dessen Gesamtanteil weiter sinke, weiterhin präsenter geblieben.

Mandiant-Bericht zeigt auch, dass Ransomware-Gruppen versuchen, Daten-Wiederherstellung absichtlich zu verhindern

Im Jahr 2025 geriet laut den Untersuchungen von Mandiant die Tech-Branche am häufigsten ins Visier von Bedrohungsakteuren: Diese überhole damit den Finanzdienstleistungssektor, welcher in den Jahren 2023 und 2024 an erster Stelle gestanden habe.

• „Es zeichnet sich ein wachsender Trend ab, bei dem ein Angreifer sich zunächst Zugang verschafft, diesen dann aber schnell an einen anderen weitergibt, der Angriffe mit größerer Wirkung wie Ransomware durchführt.“ Cyberkriminelle agierten zunehmend wie hocheffiziente Unternehmen und gingen Partnerschaften ein. Damit könnten sie das Zeitfenster, innerhalb dessen Verteidiger eingreifen könnten, von mehreren Stunden auf Sekunden verkürzen. Die Zugangsübergabe zwischen Angreifern erfolge so schnell – manchmal in weniger als 30 Sekunden –, dass Warnmeldungen, die traditionell als „weniger wichtig“ eingestuft würden, sehr schnell zu schwerwiegenden Sicherheitsverletzungen führen könnten.

Der Bericht zeige auch auf, dass sich Ransomware-Gruppen zunehmend darauf konzentrierten, die Wiederherstellung der Daten absichtlich zu verhindern, anstatt nur Daten zu stehlen. Sie griffen systematisch Backup-Infrastrukturen, Identitätsdienste und die Verwaltungsebene der Virtualisierung an. Indem sie die Möglichkeit der Datenwiederherstellung zunichtemachten, übten die Angreifer enormen Druck auf die Unternehmen aus, das geforderte Lösegeld zu zahlen.

Laut Mandiant stieg globale mittlere Verweildauer von Angreifern im System im Durchschnitt auf 14 Tage an

Im Jahr 2025 sei die globale mittlere Verweildauer von Angreifern im System im Durchschnitt auf 14 Tage angestiegen. „Dieser Wert ist vor allem auf Cyberspionage zurückzuführen sowie auf Vorfälle mit nordkoreanischen IT-Mitarbeitenden:

• Diese lassen sich mit gefälschten oder gestohlenen Identitäten in westlichen Unternehmen anstellen, um zusätzliches Kapital für das nordkoreanische Regime zu generieren.“ Bei diesen Fällen habe die mittlere Verweildauer jeweils 122 Tage betragen.

Die mittlere Verweildauer in der EMEA-Region liege über dem globalen Durchschnitt von 14 Tagen mit hier 20 Tagen im Jahr 2025 – wobei dies immer noch einen Rückgang um sieben Tage gegenüber 2024 bedeute.

Mandiant-Bericht zeigt: 60 Prozent der Vorfälle in der EMEA-Region zuerst intern erkannt

Im Jahr 2025 seien 60 Prozent der Vorfälle in der EMEA-Region zuerst intern durch eigene Mitarbeiter, eigene Sicherheitslösungen oder verdächtige Aktivitäten identifiziert worden.

• 40 Prozent der Vorfälle seien durch externe Benachrichtigung erkannt worden – etwa von Strafverfolgungsbehörden, CERTs oder Cybersicherheitsunternehmen bzw. auch durch Angreifer selbst, in Form einer Lösegeldforderung.

Dies stelle eine Umkehrung der Trends von 2024 dar. Im weltweiten Vergleich (52 Prozent der Vorfälle intern erkannt, 48 Prozent extern) lägen Unternehmen der EMEA-Region damit hinsichtlich der internen Erkennung von Vorfällen vorne.

Weitere Informationen zum Thema:

Google Cloud, Mandiant Cybersecurity Consulting
Verbessern Sie Ihre Cyberabwehr – von der Reaktion auf Vorfälle bis hin zur Ausfallsicherheit

Google Cloud, Jurgen Kutscher, 23.03.2026
Threat Intelligence / M-Trends 2026: Data, Insights, and Strategies From the Frontlines

Google Cloud, Mandiant
M-Trends 2026 Report: Real-world investigations and actionable defense insights / A definitive look into the threats and tactics used in breaches, grounded in over 500k hours of incident investigations in 2025 by Mandiant

datensicherheit.de, 23.04.2025
Data Breach Investigations Report (DBIR) 2025 von Verizon: Systemangriffe in der EMEA-Region verdoppeln sich / Der aktuelle Bericht analysiert mehr als 22.000 Sicherheitsvorfälle

datensicherheit.de, 31.09.2020
EMEA-Region: Finanzindustrie im Visier / NETSCOUT kommentiert die zunehmende Anzahl der Cyber-Angriffe auf die Finanzindustrie im Wirtschaftsraum Europa-Arabien-Afrika