Fernzugriff und vertrauenswürdige administrative Tools stehen laut **Blackpoint Cyber**'s Jahresbericht zu Bedrohungen 2026 sowohl für den Geschäftsbetrieb als auch für Einbruchsstrategien im Mittelpunkt. Der Bericht, der auf Tausenden von Sicherheitsuntersuchungen basiert, unterstreicht eine signifikante Veränderung der Angreifertaktiken: eine Abkehr von der Ausnutzung von Schwachstellen hin zur Nutzung gültiger Anmeldedaten, legitimer Tools und routinemäßiger Benutzeraktionen. Der Bericht analysiert diese Muster, dokumentiert, wo Eindringaktivitäten unterbrochen wurden, und liefert Abwehrprioritäten basierend auf den im Laufe des Jahres 2025 beobachteten Ergebnissen der Vorfallreaktion. **➡️ [Registrieren Sie sich für das Webinar](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=sponsored_article&utm_content=episode-002)** ## Wichtige Erkenntnisse aus dem Jahresbericht zu Bedrohungen 2026 ### Angreifer dringen über legitime Zugriffspfade ein Der Bericht zeigt, dass Angreifer jetzt eher legitime Anmeldemethoden verwenden, als Schwachstellen auszunutzen, um sich initialen Zugang zu verschaffen. SSL VPN-Missbrauch war für 32,8 % aller identifizierbaren Vorfälle verantwortlich und stellte damit einen primären initialen Zugangsvektor dar. Angreifer authentifizieren sich oft mit kompromittierten Anmeldedaten, was zu VPN-Sitzungen führt, die für Sicherheitskontrollen legitim erscheinen. Diese Sitzungen gewähren oft breiten internen Zugriff und ermöglichen es Angreifern, sich schnell zu hochwertigen Systemen zu bewegen, ohne sofort Alarme auszulösen. ### Vertrauenswürdige IT-Tools werden gegen Organisationen eingesetzt Der Bericht hebt auch den häufigen Missbrauch legitimer Remote Monitoring and Management (RMM)-Tools für Zugriff und Persistenz hervor. RMM-Missbrauch war in 30,3 % der identifizierbaren Vorfälle vorhanden, wobei **ScreenConnect** in über 70 % der Fälle von unbefugten RMMs eine herausragende Rolle spielte. Diese Tools werden häufig für die IT-Administration verwendet, was unbefugte Installationen ohne starke Sichtbarkeit schwer erkennbar macht. Umgebungen mit mehreren Fernzugriffstools sind anfälliger für unbefugte Instanzen, die sich mit vorhandenen Werkzeugen vermischen. ### Social Engineering, nicht Exploits, trieb die Mehrheit der Vorfälle an Während legitime Zugriffspfade entscheidend sind, bleibt die Benutzerinteraktion der größte Treiber für das gesamte Vorfallvolumen. Fake CAPTCHA- und ClickFix-Kampagnen waren für 57,5 % aller identifizierbaren Vorfälle verantwortlich und stellten damit das häufigste Angriffsmuster dar. Diese Kampagnen basieren auf täuschenden Aufforderungen, die Benutzer anweisen, Befehle in das Windows-Ausführen-Dialogfeld einzufügen und integrierte Windows-Tools ohne traditionelle Malware-Downloads oder Exploit-Aktivitäten zu nutzen. ### Cloud-Einbrüche konzentrierten sich auf die Wiederverwendung von Sitzungen nach MFA Selbst mit aktivierter Multi-Faktor-Authentifizierung (MFA) in vielen Cloud-Umgebungen kam es immer noch zu Konto-Kompromittierungen. Adversary-in-the-Middle-Phishing war für etwa 16 % der Deaktivierungen von Cloud-Konten verantwortlich. Angreifer erfassten authentifizierte Sitzungstoken, die nach erfolgreicher MFA ausgestellt wurden, und verwendeten sie wieder, um auf Cloud-Dienste zuzugreifen. Aus Sicht der Cloud-Plattform erscheint diese Aktivität als legitime authentifizierte Sitzung. ## Vom initialen Zugriff zum Netzwerk-Pivoting Viele dieser Angriffe beginnen mit legitimen Zugriff, aber der eigentliche Schaden entsteht in den nachfolgenden Phasen. In einer kürzlichen Untersuchung identifizierte **Blackpoint Cyber**'s SOC ein neues Implantat namens Roadk1ll, das entwickelt wurde, um sich mithilfe von WebSocket-basierter Kommunikation über Systeme hinweg zu bewegen und den Zugriff aufrechtzuerhalten, während es sich in den Netzwerkverkehr einfügt. [Sichern Sie sich Ihren Platz](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=ctabox&utm_content=episode-002) ## Was diese Erkenntnisse für Sicherheitsteams bedeuten Der Bericht hebt ein konsistentes Muster über Branchen, Umgebungen und Angriffstypen hinweg hervor: Erfolgreiche Einbrüche beruhen oft auf Aktivitäten, die sich in den normalen Betrieb einfügen. Angreifer missbrauchen alltägliche Arbeitsabläufe wie Remote-Logins, vertrauenswürdige Tools und Standard-Benutzeraktionen, anstatt sich auf neuartige Exploits oder fortschrittliche Malware zu verlassen. Basierend auf den analysierten Angriffsketten identifiziert der Bericht mehrere Abwehrprioritäten: * Behandeln Sie Fernzugriff als risikoreiche, wirkungsvolle Aktivität. * Führen Sie eine vollständige Bestandsaufnahme der genehmigten RMM-Tools und entfernen Sie ungenutzte oder veraltete Agenten. * Beschränken Sie die Installation nicht genehmigter Software und begrenzen Sie die Ausführung aus beschreibbaren Benutzerverzeichnissen. * Wenden Sie Conditional Access-Steuerelemente an, die den Geräte-Status, den Standort und das Sitzungsrisiko bewerten. Diese Muster wurden in häufig angegriffenen Sektoren dokumentiert, darunter Fertigung, Gesundheitswesen, MSPs, Finanzdienstleistungen und Bauwesen. **➡️ [Registrieren Sie sich, um den Jahresbericht zu Bedrohungen 2026 zu erhalten](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=sponsored_article&utm_content=episode-002)**