Im Active Adversary Report 2026 analysiert Sophos 661 reale Incident-Response- und Managed-Detection-and-Response-Fälle. Das Ergebnis zeigt eine klare Verschiebung beim Erstzugriff hin zu Identitäten. Zugleich steigen Angriffstempo und Off-Hours-Aktivität, während fehlende MFA und kurze Log-Aufbewahrung die Aufklärung ausbremsen.

Passwörter und Identitäten öffnen Angreifern inzwischen häufiger die Tür als klassische Schwachstellen-Exploits. Im Active Adversary Report 2026 wertet Sophos 661 Fälle aus Incident-Response- und Managed-Detection-and-Response-Einsätzen aus dem Zeitraum von November 2024 bis Oktober 2025 aus und beschreibt eine deutliche Verschiebung beim Erstzugriff. Der Datensatz stammt zudem überwiegend aus kleineren und mittleren Umgebungen. 84 Prozent der Fälle entfallen auf Organisationen mit weniger als 1.000 Beschäftigten, 56 Prozent auf Unternehmen mit höchstens 250 Beschäftigten.

In 2025 entfielen 67,32 Prozent der Ursachen auf identitätsbezogene Kompromittierungen. Dazu zählt Sophos unter anderem kompromittierte Zugangsdaten, Brute-Force-Angriffe, Credential-Phishing, Token-Diebstahl und missbrauchte Vertrauensbeziehungen. Der Report beschreibt damit einen mehrjährigen Trend, der sich weiter verfestigt.

Die beunruhigendste Erkenntnis des Reports hat sich bereits über Jahre hinweg entwickelt: »Die Dominanz identitätsbezogener Ursachen für einen erfolgreichen ersten Zugriff«, mahnt John Shier, Field CISO und Hauptautor des Berichts. »Kompromittierte Anmeldedaten, Brute-Force-Angriffe, Phishing und andere Taktiken nutzen Schwächen aus, die sich nicht einfach durch Patch-Hygiene lösen lassen. Organisationen müssen einen proaktiven Ansatz zur Identitätssicherung verfolgen.«

Anzeige

Brute-Force-Angriffe liegen fast gleichauf mit Exploits

Besonders auffällig ist das Verhältnis zwischen Brute-Force und Schwachstellen-Ausnutzung. Brute-Force-Angriffe kamen im Datensatz auf 15,58 Prozent der Ursachen und lagen damit nahezu auf dem Niveau von Exploits mit 16,04 Prozent. Gleichzeitig entfielen 42,06 Prozent auf die Sammelkategorie kompromittierter Zugangsdaten, bei denen sich der genaue Ursprung nicht immer rekonstruieren ließ. Das unterstreicht, wie stark sich Angriffe auf Identitäten verlagern und wie sehr fehlende Telemetrie die Ursachenanalyse begrenzt.

Angreifer beschleunigen den Weg zu Active Directory

Das Angriffstempo bleibt hoch. Die typische Verweildauer stabilisierte sich im Datensatz bei drei Tagen. Sophos sieht dabei eine doppelte Bewegung, weil Angreifer schneller arbeiten und Verteidiger zugleich schneller erkennen. Zwischen den Falltypen bleiben Unterschiede bestehen, mit längeren Verweildauern in Incident-Response-Fällen und kürzeren in MDR-Fällen.

Besonders kritisch ist der frühe Zugriff auf Active-Directory. Angreifer versuchten 2025 im Schnitt bereits nach 3,40 Stunden nach dem Eindringen, AD-Systeme anzugehen. Das entspricht einer Beschleunigung um 70 Prozent gegenüber dem Vorjahr. Gleichzeitig stieg die Zeitspanne zwischen AD-Zugriffsversuch und Erkennung um 16 Prozent.

Ransomware und Exfiltration wandern in die Randzeiten

Ransomware-Angriffe finden weiterhin überwiegend außerhalb der Geschäftszeiten statt. Im Datensatz wurden 88,10 Prozent der Ransomware-Deployments in lokalen Off-Hours beobachtet. Auch Datenexfiltration folgt diesem Muster mit 78,85 Prozent außerhalb der üblichen Arbeitszeiten. Angreifer nutzen damit weiterhin Zeitfenster, in denen Reaktionsteams oft dünner besetzt sind.

Fehlende MFA und kurze Log-Aufbewahrung bremsen die Abwehr

Auf der Verteidigungsseite bleiben zwei alte Baustellen erstaunlich wirksam. In 59 Prozent der Fälle fehlte MFA oder war nicht wirksam umgesetzt. Der Report beschreibt dabei verschiedene Muster, von gar nicht aktivierter MFA bis zu Fehlkonfigurationen. Gerade bei identitätsgetriebenen Angriffen wirkt diese Lücke wie ein Beschleuniger.

Hinzu kommt ein Log-Problem, das die Aufklärung erschwert. Fehlende Logs zählen zu den häufigsten Begleitbefunden. Besonders bei Firewalls treiben kurze Standard-Aufbewahrungszeiten die Lücken, teils mit nur sieben Tagen und in einzelnen Fällen sogar 24 Stunden. Gleichzeitig zeigt der Report an mehreren Stellen, dass fehlende Firewall-Logs die sichere Bewertung von Exfiltration erschweren.

Bekannte Schwachstellen bleiben über Monate ausnutzbar

Die Dominanz identitätsbezogener Ursachen bedeutet nicht, dass Schwachstellen an Bedeutung verlieren. In den bestätigten Exploit-Fällen lag der Schnitt zwischen Hersteller-Hinweis oder Patch und tatsächlicher Ausnutzung bei 322 Tagen. Zwischen veröffentlichtem Proof-of-Concept und Ausnutzung vergingen im Median 296,50 Tage. Angreifer greifen also nicht nur neue Lücken auf, sondern nutzen auch lange offene Angriffsfenster bei bekannten Schwachstellen.

KI erhöht Tempo und Volumen, aber nicht die Angriffsprinzipien

Beim Thema generative KI beschreibt der Report keinen grundlegenden Bruch im Angriffsverhalten. Sophos sieht vor allem mehr Tempo, mehr Volumen und mehr Rauschen, etwa bei Phishing und Social-Engineering-Kampagnen. Die grundlegenden Schutzmaßnahmen ändern sich dadurch nicht. Identitätsschutz, belastbare Telemetrie, saubere MFA-Umsetzung und konsequentes Patch-Management bleiben die zentralen Hebel.