Identitätsdiebstahl wird zur größten Bedrohung für Unternehmen

71 Prozent aller Firmen weltweit wurden im vergangenen Jahr Opfer von Identitätsangriffen – die Kosten pro Vorfall liegen bei durchschnittlich 1,64 Millionen Euro.

Die neue Studie „State of Identity Security 2026" des Sicherheitsanbieters Sophos zeichnet ein alarmierendes Bild: Identitätsbasierte Schwachstellen haben sich zum Haupttreiber von Sicherheitsverletzungen in Unternehmen entwickelt. Besonders betroffen ist der Energiesektor, wo 80 Prozent der Organisationen entsprechende Vorfälle meldeten. In Deutschland bleibt die Erkennung solcher Angriffe eine Herausforderung – 17,4 Prozent der heimischen Firmen identifizieren Eindringlinge nicht rechtzeitig.

Der Mensch als Schwachstelle

Die Untersuchung zeigt einen grundlegenden Wandel der Angriffsmethoden. Zwar spielen technische Lücken weiterhin eine Rolle, doch 43 Prozent aller Sicherheitsvorfälle gehen auf menschliches Versagen zurück. Weitere 41 Prozent betreffen schlecht verwaltete „nicht-menschliche Identitäten" – etwa Servicekonten oder automatisierte Systemzugänge.

Besonders perfide: Social Engineering bleibt die effektivste Waffe der Angreifer. Eine Analyse von KnowBe4 zu Phishing-Angriffen auf Mitglieder des Deutschen Bundestags im April 2026 offenbarte, dass selbst verschlüsselte Messenger wie Signal oder WhatsApp nicht durch technische Lücken, sondern durch Manipulation der Nutzer kompromittiert wurden. Die Täter setzten manipulierte QR-Codes und Schadsoftware ein – ein klarer Trend zu mehrkanaligem Social Engineering.

Angriffe über QR-Codes und Messenger wie WhatsApp zeigen, wie verwundbar mobile Endgeräte heute sind. Dieser kostenlose Ratgeber zeigt in 5 einfachen Schritten, wie Sie Ihr Smartphone effektiv gegen Hacker absichern. 5 Schutzmaßnahmen jetzt entdecken

Dringende Sicherheitsupdates und neue Handy-Gefahren

Die Softwarekonzerne reagieren mit umfangreichen Updates auf die wachsende Bedrohungslage. Apple veröffentlichte iOS 26.5 mit mehr als 50 Sicherheitspatches, darunter ein Fix für eine kritische Kernel-Schwachstelle (CVE-2026-28951). Google kündigte auf der Android Show I/O am 13. Mai 2026 neue Schutzmechanismen an: „Verified Financial Call Protection" soll gegen Caller-ID-Spoofing helfen, unterstützt von Banken wie Revolut, Itaú und Nubank.

Der Zeitpunkt ist kein Zufall. Die Zahl der sogenannten „Quishing"-Angriffe – Phishing über QR-Codes – stieg im ersten Quartal 2026 um 150 Prozent. Rund 70 Prozent aller schädlichen PDF-Dateien enthalten mittlerweile QR-Codes, die zu betrügerischen Websites führen. Alarmierend auch: 28 gefälschte Apps der „CallPhantom"-Serie wurden insgesamt 7,3 Millionen Mal heruntergeladen.

NIS-2: Deutsche Firmen drohen Strafen

Im regulatorischen Bereich geraten deutsche Unternehmen zunehmend unter Druck. Die europäische NIS-2-Richtlinie verlangt, dass Cybersicherheit zur Chefsache wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt spezielle Schulungen für Geschäftsführer vor. Bei Verstößen drohen empfindliche Geldstrafen und persönliche Haftung für die Unternehmensleitung.

Doch die Registrierungszahlen sind ernüchternd. Obwohl die Frist bereits im März 2026 ablief, haben nur wenige der rund 30.000 betroffenen deutschen Firmen den Prozess abgeschlossen. Die Richtlinie gilt für kleine und mittlere Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro. Die Nachfrage nach externer Beratung – etwa zu Informationssicherheits-Managementsystemen (ISMS) oder Governance, Risk und Compliance (GRC) – dürfte daher stark steigen.

Sicherheit als Renditefaktor

Eine aktuelle Bitkom-Umfrage zeigt: 81 Prozent der deutschen Unternehmen waren im vergangenen Jahr Opfer von Cyberangriffen. Diese hohe Quote verändert das Denken über Sicherheitsausgaben. In einem Webinar am 13. Mai 2026 diskutierten Experten das Konzept des „Return on Security Investment" (ROSI). Für Betreiber kritischer Infrastrukturen (KRITIS) kann eine einzige Stunde Ausfall in der Betriebstechnologie (OT) Verluste in Millionenhöhe bedeuten.

Da Cybersicherheit heute maßgeblich über die Profitabilität von Unternehmen entscheidet, wird IT-Sicherheit ohne teure Investitionen zur existenziellen Frage. Dieses Gratis-E-Book enthüllt, wie Unternehmer Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. E-Book zum Schutz vor Cyberangriffen kostenlos herunterladen

Die Folge: Sicherheit wird zunehmend nicht mehr als Kostenfaktor, sondern als Treiber für Profitabilität durch Betriebskontinuität verstanden. Neue Tools wie der „Patch Reliability Score" von Qualys nutzen maschinelles Lernen, um die Stabilität von Software-Updates vor dem Einsatz vorherzusagen – und damit Ausfälle durch fehlerhafte Patches zu verhindern.

Ausblick: Die Jagd nach der Sicherheitslücke

Der Kampf gegen Cyberkriminalität geht in eine proaktivere Phase. Auf staatlicher Ebene bauen Behörden ihre Hilfsangebote aus. Die hessische Beratungsstelle für Opfer von Online-Hass und Hetze meldete am 15. Mai 2026 mehr als 450 Anfragen in den ersten drei Monaten – ein Zeichen für die gesellschaftliche Dimension digitaler Sicherheit.

Für die Privatwirtschaft stehen Identitätssicherheit und Lieferketten-Integrität im Fokus. Bei durchschnittlichen Wiederherstellungskosten von 1,64 Millionen Euro pro Identitätsvorfall werden Unternehmen verstärkt auf Multi-Faktor-Authentifizierung (MFA) und regelmäßige Sicherheitsschulungen setzen. Mit der drohenden NIS-2-Durchsetzung und möglichen GDPR-Strafen von bis zu vier Prozent des Jahresumsatzes ist die Integration von Sicherheitskontrollen mit robusten Backup- und Wiederherstellungsstrategien längst keine technische Spielerei mehr – sondern eine geschäftliche Notwendigkeit.

de | wirtschaft | 69341902 |