Der auf Endpoint- und Cloud-Sicherheit spezialisierte Anbieter Sentinelone zeigt im Threat Report 2026, wie sich Angriffe verändern.
Im Zentrum steht eine klare Verschiebung, da Angreifer weniger den ersten Zugriff ins Visier nehmen, sondern gezielt jene Systeme ausnutzen, auf denen Unternehmen bereits arbeiten, insbesondere Identitäten, Entwicklungsprozesse und Infrastrukturen, die im Alltag als vertrauenswürdig gelten und gerade deshalb angreifbar sind. Für Sicherheitsteams wird damit nicht die Menge der Daten zum Problem, sondern deren Einordnung. Telemetrie ist vorhanden, oft in grossem Umfang, doch der Zusammenhang fehlt, um daraus schnell und zuverlässig konkrete Massnahmen abzuleiten. Eine zentrale Rolle spielen Identitäten, die sich heute über zahlreiche Dienste und Plattformen erstrecken, sodass ein kompromittiertes Konto weitreichende Folgen haben kann. Angreifer bewegen sich mit gültigen Zugangsdaten durch Systeme und bleiben dabei häufig lange unentdeckt. Gleichzeitig verlagern sich Angriffe weiter nach vorne in den Entwicklungsprozess, da zunehmend Build- und Deployment-Umgebungen ins Visier geraten und Schadcode bereits vor dem produktiven Einsatz eingeschleust wird. Die Angriffsfläche verschiebt sich zudem an den Rand des Netzwerks, wo Systeme oft weniger konsequent überwacht werden und damit als Einstiegspunkt für weitergehende Angriffe dienen, während gleichzeitig das Tempo deutlich zunimmt, da automatisierte Abläufe bestimmen, wie schnell und gezielt Angriffe durchgeführt werden und Verteidigungsmechanismen diese Dynamik aufnehmen und wirksam darauf reagieren müssen. Der Bericht zeigt damit, dass klassische Abwehr allein nicht mehr ausreicht, sondern Ansätze gefragt sind, die Zusammenhänge erkennen, Prioritäten setzen und Angriffe früh unterbrechen, bevor sie sich im System festsetzen. (aso)