Cyber Security Report 2026: Angriffe nehmen weiter zu

Check Point Software Technologies Ltd., ein Pionier und weltweit führender Anbieter von Cybersicherheitslösungen, veröffentlicht die 14. Auflage seines Cyber Security Reports. Darin fassen die Sicherheitsforscher die globalen Entwicklungen bei Cyberangriffen weltweit im Jahr 2025 im Vergleich zum Jahr 2024 zusammen. In der Schweiz zielten pro Woche 1138 Angriffe auf Organisationen und Unternehmen, dies entspricht einem Anstieg von sechs Prozent im Vergleich zum Vorjahr.

Auf den Telekommunikationssektor folgen in der Statistik der Einzelhandel mit 1440 sowie die öffentlichen Stellen mit durchschnittlich 1336 Angriffen pro Woche.

1. Telekommunikation: 1,662
2. Einzelhandel: 1,440
3. Öffentliche Verwaltung: 1,336

«Im Ländervergleich mit 14 Prozent Anstieg in Deutschland und zwölf Prozent Anstieg in Österreich, sind die Zahlen für die Schweiz fast schon moderat, von einer Entwarnung kann aber keine Rede sein», erklärt Marco Pierro, Country Manager Schweiz bei Check Point Software Technologies. «Die Bedrohungslage verschärft sich mit dem KI-Einsatz bei den Cyberkriminellen. Schweizer Organisationen und Unternehmen stellen für Cyberkriminelle Hochwertziele dar und besonders die Ergebnisse rund um den Einsatz von integrierten Kampagnen stechen heraus. Je professioneller die Gruppen agieren, desto erfolgreicher werden sie sein, und wir stellen eine laufende Professionalisierung fest. Cybersicherheit muss also bereits vor der Kompromittierung ansetzen, um das Abfliessen von Daten – selbst verschlüsselten – von vornherein zu verhindern.»

Die wichtigsten Erkenntnisse aus dem Cyber Security Report 2026

Im Bericht wird besonders die Verschiebung hin zu integrierten Angriffskampagnen über mehrere Kanäle hinweg hervorgehoben. Diese Vorgehensweise kombiniert Täuschung mit maschineller Automatisierung.

Weltweit waren im abgelaufenen Jahr Unternehmen durchschnittlich 1968 Cyberattacken pro Woche ausgesetzt: Ein Anstieg von 18 Prozent gegenüber 2024 und von bemerkenswerten 70 Prozent seit 2023. Die Angreifer nutzen die Möglichkeiten der Automatisierung und KI, um sich in Systemen schneller zu bewegen, leichter zu skalieren und über mehrere Angriffsflächen gleichzeitig zu operieren.

Künstliche Intelligenz treibt in der IT-Sicherheit eine der schnellsten Veränderungen voran, die die Branche je erlebt hat. Sie zwingt Unternehmen dazu, langjährige Annahmen zu überdenken, wie Angriffe entstehen, sich verbreiten und gestoppt werden können. Technologische Fähigkeiten, die früher auf hochgerüstete Bedrohungsakteure beschränkt waren, sind jetzt allgemein zugänglich und ermöglichen personalisierte, koordinierte und skalierbare Angriffe auf Unternehmen jeder Grösse.

«KI verändert die Mechanismen von Cyberangriffen und nicht nur deren Umfang», erklärt Lotem Finkelstein, VP of Research bei Check Point Software. «Wir beobachten, dass Angreifer von rein manuellen Operationen zu einem immer höheren Automatisierungsgrad übergehen. Wir finden auch erste Anzeichen für autonome Techniken. Um diesem Wandel standzuhalten und der KI-Ära anzupassen, müssen wir die bisherigen Sicherheitsgrundlagen komplett überarbeiten. Mehr denn je müssen Verteidiger in der Lage sein, Bedrohungen zu stoppen, bevor sie sich ausbreiten können.»

Check Point fasst die Taktiken so zusammen:

• KI-gesteuerte Angriffe werden autonomer: KI wird zunehmend in die Arbeitsabläufe von Angreifern integriert und beschleunigt Aufklärung, Social Engineering und die operative Entscheidungsfindung. Während eines dreimonatigen Zeitraums waren 89 Prozent der Unternehmen mit riskanten KI-Anfragen konfrontiert, wobei etwa eine von 41 Anfragen als hochriskant eingestuft wurde. Das bringt neue Risiken mit sich, da KI mehr und mehr in alltägliche Geschäftsabläufe eingebettet wird.
• Ransomware-Gruppen arbeiten fragmentiert und skalieren ihre Operationen: Das Ransomware-Ökosystem hat sich in kleinere, spezialisierte Gruppen dezentralisiert, was zu einem Anstieg der erpressten Opfer um 53 Prozent im Vergleich zum Vorjahr und einem Anstieg der neuen Ransomware-as-a-Service-Gruppen um 50 Prozent geführt hat. KI wird nun dafür eingesetzt, um die Zielfindung, die Verhandlungen mit den Opfern und die operative Effizienz zu beschleunigen.
• Social Engineering weitet sich über E-Mail hinaus aus: Angreifer koordinieren ihre Kampagnen zunehmend über E-Mail-, Web-, Telefon- und Kooperationsplattformen. ClickFix-Techniken sind im vergangenen Jahr um 500 Prozent gestiegen und nutzen betrügerische technische Aufforderungen, um Benutzer zu manipulieren. Gleichzeitig haben sich telefonbasierte Imitationen zu strukturierteren Infiltrationsversuchen in Unternehmen entwickelt. Mit der Einbettung von KI in Browser, SaaS-Plattformen und Tools für die Zusammenarbeit wird der digitale Arbeitsbereich zu einer kritischen Vertrauensschicht, die Angreifer ausnutzen können.
• Edge- und Infrastrukturschwächen erhöhen die Anfälligkeit: Unüberwachte Edge-Geräte, VPN-Appliances und IoT-Systeme werden zunehmend als operative Relaispunkte genutzt, um sich in den legitimen Netzwerkverkehr einzumischen.
• Neue Risiken entstehen in der KI-Infrastruktur: Eine von Lakera durchgeführte Analyse hat bei 40 Prozent von 10.000 untersuchten MCP-Servern (Model Context Protocol) Sicherheitsschwachstellen identifiziert, was die zunehmende Gefährdung durch die Einbettung von KI-Systemen, -Modellen und -Agenten in Unternehmensumgebungen deutlich macht.

Empfehlungen für Sicherheitsverantwortliche

Der Cyber Security Report 2026 zeigt, dass die Abwehr von KI-gesteuerten Bedrohungen ein Umdenken bei der Gestaltung und Durchsetzung von Sicherheit erfordert. Ein schnelles Reaktionsvermögen allein reicht nicht mehr aus.

Basierend auf den beobachteten Trends empfiehlt Check Point Unternehmen:

• Sicherheitsgrundlagen müssen für das Zeitalter der KI überarbeitet werden: KI-gesteuerte Angriffe nutzen Geschwindigkeit, Automatisierung und Vertrauen in Umgebungen aus, die nicht für maschinengesteuerte Bedrohungen ausgelegt sind. Unternehmen sollten die Kontrollen für Netzwerke, Endpunkte, Cloud, E-Mail und SASE neu bewerten, um autonome, koordinierte Angriffe frühzeitig zu stoppen.
• Sichere Einführung von KI ermöglichen: Da KI in die täglichen Arbeitsabläufe eingebettet wird, kann die Blockierung ihrer Nutzung das Risiko sogar erhöhen, da Nutzer sie dann schlicht heimlich und womöglich ausserhalb der Sichtweite der Sicherheitsteams nutzen werden. Deshalb sollten diese genehmigte und nicht genehmigte KI-Nutzung kontrollieren und transparent machen, um die Gefahr von riskanten Prompts, Datenlecks und Missbrauch zu verringern.
• Den digitalen Arbeitsbereich schützen: Social Engineering erstreckt sich heute über E-Mail, Browser, Collaboration-Tools, SaaS-Anwendungen und Sprachkanäle. Sicherheitsstrategien müssen den Arbeitsbereich schützen, in dem sich menschliches Vertrauen und KI-gesteuerte Automatisierung kreuzen.
• Absicherung von Edge und Infrastruktur: Unüberwachte Edge-Geräte, VPN-Appliances und IoT-Systeme werden zunehmend als heimliche Einfallstore missbraucht. Eine aktive Inventarisierung und Absicherung dieser Anlagen tragen dazu bei, versteckte Gefahren zu unterbinden und die Verweildauer von Angreifern im System bei einer Infiltration zu verringern.
• Den «Prevention First»-Ansatz in den Vordergrund stellen: Da Angriffe mit Maschinengeschwindigkeit ablaufen, ist präventive Sicherheit unerlässlich, um Bedrohungen zu stoppen, bevor es zu lateralen Bewegungen, Datenverlust oder Erpressung kommt.
• Einheitliche Sichtbarkeit über hybride Umgebungen hinweg: Konsistente Sichtbarkeit und Durchsetzung in lokalen, Cloud- und Edge-Umgebungen reduzieren blinde Flecken, verringern die Komplexität und stärken die Widerstandsfähigkeit.
  Verfügbarkeit