Erstmals liefert der Bericht zudem Daten aus der neuen „Attack Path Prediction“-Funktion der Cybersicherheitsplattform TrendAI Vision One™, die zeigen, über welche konkreten Wege Angreifer vorgehen - vom ersten Eindringen in eine Infrastruktur bis hin zu wertvollen Daten und Systemen.
Das sind die wichtigsten Erkenntnisse des Berichts im Überblick:
- Cyberrisiko sinkt, bleibt aber im mittleren Risikobereich: Der Cyber Risk Index (CRI) fiel im Jahresdurchschnitt 2025 auf 35,8 Punkte, nach 38,5 im Vorjahr.* Der Verlauf war jedoch deutlich volatiler als 2024: von 34,6 im Januar über einen Ausreisser von 37,4 im April (vermutlich bedingt durch neue IT-Projekte zum Start eines neuen Geschäftsjahrs für viele Unternehmen) bis zu einem Tief von 34,1 im Juli. Unabhängig von Branche oder Unternehmensgrösse bewegen sich die untersuchten Unternehmen im mittleren Risikobereich.
- Risikoniveau im Branchenvergleich: Bergbau führte 2025 mit einem CRI von 42,5 erstmals die Rangliste der Branchen mit dem höchsten Risiko an, gefolgt vom Gesundheitswesen und der Landwirtschaft (je 40,3), der Telekommunikation (39,9) und dem Bildungswesen (39,8) sowie Behörden und öffentlichen Einrichtungen (39,7).
- Kleine Unternehmen zunehmend als Einfallstor im Visier: Unternehmen mit bis zu 100 Mitarbeitenden sind zwar weiterhin die Gruppe mit dem niedrigsten Risiko, zugleich aber das einzige Grössensegment, dessen CRI 2025 gestiegen ist. Dies deutet darauf hin, dass Angreifer kleine Unternehmen zunehmend als Einfallstor in grössere Lieferketten nutzen.
- Cloud-Zugriffe und veraltete Konten bleiben Hauptrisikofaktoren: Wie im Vorjahr führen riskante Zugriffe auf Cloud-Applikationen und veraltete Microsoft Entra ID-Konten die Liste der am häufigsten erkannten Risikoereignisse an. Konten mit deaktivierter Multi-Faktor-Authentifizierung (MFA) zählen weiterhin zu den grössten Schwachstellen. Neu in den Top 5: Verstösse gegen Zero-Trust- Zugriffsregeln (ZTSA), ein Zeichen für die wachsende, aber noch nicht überall konsequent durchgesetzte Zero-Trust-Adoption.
- Schwachstellenmanagement braucht mehr als CVSS-Werte: Unter den zehn am häufigsten erkannten, ungepatchten Schwachstellen (CVEs) befinden sich drei mit lediglich mittlerem Schweregrad, die jedoch im Zusammenspiel mit hochkritischen Sicherheitslücken für Remote- Codeausführung und Rechteausweitung besonders gefährliche Angriffsketten ermöglichen. Virtuelles Patching über TrendAI™ TippingPoint™ Intrusion-Prevention-Systeme verschaffte Kunden im Schnitt 115 Tage Schutz, bevor ein offizieller Patch verfügbar war.
- Attack Path Prediction zeigt reale Angriffswege auf: Die erstmals ausgewertete Attack Path Prediction-Funktion von TrendAI Vision One™ zeigt, dass ungepatchte Schwachstellen mit Abstand am häufigsten den Ausgangspunkt vollständiger Angriffspfade bilden (über 2,3 Millionen erkannte Pfade), gefolgt von Password-Spraying- und Password-Guessing-Angriffen auf schwach abgesicherte Konten (zusammen über 2 Millionen Pfade). Am Ende der Angriffskette steht in den meisten Fällen ein Benutzerkonto als Ziel – mit durchschnittlich rund 33.000 anvisierten Konten pro Tag nahezu doppelt so häufig wie Endgeräte auf Platz zwei.
- Ransomware-Landschaft fragmentiert sich weiter und wird aktiver: Die Zahl bestätigter Opfer der zehn aktivsten Ransomware-Gruppen (laut beobachteten Leak-Seiten von Cyberkriminellen) stieg 2025 um 236 Prozent auf 5.096 Unternehmen. Qilin (von TrendAI™ als Agenda erkannt) katapultierte sich von Platz zehn im Jahr 2024 auf Platz eins mit 1.262 bestätigten erfolgreichen Angriffen – ein Plus von 1.270 Prozent. Akira folgte mit 857 Fällen (+708 Prozent). Gleich fünf Gruppen stiegen 2025 neu in die Top Ten ein, darunter INC Ransom, SafePay, Lynx, DragonForce und Sinobi, während zuvor dominante Gruppen wie LockBit deutlich an Bedeutung verloren haben. Diese Fragmentierung hat erhebliche Auswirkungen für Unternehmen: Eine Verteidigungsstrategie, die sich lediglich auf bekannte Taktiken, Techniken und Vorgehensweisen etablierter Gruppen stützt, wird in einer sich so rasant wandelnden Landschaft stets hinterherhinken. Die wirksamste Verteidigung besteht nicht in Informationen über bestimmte Gruppen, sondern in der Reduzierung der zugrunde liegenden Schwachstellen – unabhängig davon, wer sie ausnutzt.
Empfehlungen für Unternehmen
Um das Cyberrisiko nachhaltig zu senken, rät der japanische Sicherheitsanbieter Unternehmen zu einem konsequent risikobasierten Sicherheitsansatz:
- Sicherheitskonfigurationen aktiv optimieren statt nur implementieren: Einstellungen wie Web-Reputation, Geräte- und Anwendungskontrolle oder Anti-Malware-Scans müssen kontinuierlich überprüft und nachgeschärft werden, da bereits einzelne Fehlkonfigurationen vorhandene Schutzmechanismen erheblich schwächen können.
- Identitäts- und Zugriffsmanagement konsequent durchsetzen: Veraltete Konten inventarisieren und löschen, riskante Konten deaktivieren, sichere Passwörter erzwingen und Multi-Faktor- Authentifizierung flächendeckend aktivieren – insbesondere, da Password-Spraying- und Password- Guessing-Angriffe laut den neuen Attack-Path-Daten zu den häufigsten Einstiegspunkten für vollständige Angriffsketten zählen.
- Schwachstellen risikobasiert statt ausschliesslich nach CVSS-Score priorisieren: Auch Schwachstellen mit mittlerem Schweregrad müssen berücksichtigt werden, wenn sie im Zusammenspiel mit anderen Sicherheitslücken hochkritische Angriffsketten ermöglichen. Virtuelles Patching kann die Lücke bis zum offiziellen Herstellerpatch schliessen, ersetzt eine reguläre Patch- Strategie aber nicht.
- Angriffspfade statt Einzelrisiken betrachten: Lösungen wie Attack Path Prediction helfen dabei, Risiken danach zu priorisieren, wie wahrscheinlich sie tatsächlich zu einem erfolgreichen Angriff führen, und nicht nur danach, wie häufig sie auftreten.
- Vorhandene Sicherheitsplattformen konsequent nutzen: Die Fähigkeiten zur Risikoreduzierung sind in vielen Unternehmen bereits vorhanden; entscheidend ist, sie durch automatisierte Playbooks, KI-gestützte Priorisierung und kontinuierliches Monitoring auch tatsächlich im Alltag zu operationalisieren.
TrendAI Vision One Cyber Risk Exposure Management (CREM) verwendet einen Risikoereigniskatalog, um eine Risikobewertung für jeden Anlagentyp und eine Indexbewertung für Unternehmen zu formulieren. Dazu werden die Gefährdungs- und Sicherheitskonfiguration einer Anlage mit der Kritikalität der Anlage multipliziert. Das Ergebnis ist eine ganze Zahl zwischen null und 100, die in eine von drei Stufen fällt: Geringes Risiko (0-30), mittleres Risiko (31-69) und hohes Risiko (70-100).
Weitere Informationen:
Den vollständigen Bericht finden Sie in englischer Sprache hier: https://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat- reports/roundup/trendai-2026-cyber-risk-report
Pressestelle TrendAI™
c/o
BRAND AFFAIRS AG
Mischa Keller / MSc Business Administration Partner
Telefon: +41 44
254 80 00
E-Mail: trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8 / 8008 Zürich /
Switzerland

Lesedauer: 5 Minuten

