Der jährliche **Verizon Data Breach Investigations Report (DBIR)** dient als wichtiger Maßstab für die Cybersicherheitsbranche und liefert Einblicke aus einer Vielzahl unabhängiger Datenquellen. In diesem Jahr signalisiert der **DBIR** 2026 eine signifikante strukturelle Verschiebung in den Angriffsmethoden der Angreifer und betont die wachsende Bedeutung der Sichtbarkeit auf Browser-Ebene. Als Mitwirkender am **DBIR** 2026 erhielt das Team von **Keep Aware** frühzeitig Einblick in diese konvergierenden Signale. Ihre Browser-Telemetrie stimmt mit den **DBIR**-Daten überein und deckt weitere kritische Bereiche auf, in denen herkömmliche Netzwerk- und Endpunkt-Tools versagen. ### Shadow AI: Ein Mainstream-Risiko für Unternehmen **Shadow AI** hat sich zu einem Hauptanliegen entwickelt und wird im **Verizon DBIR** als die dritthäufigste nicht-bösartige Insider-Aktion in Data Loss Prevention (DLP)-Datensätzen identifiziert. Dies stellt eine Vervierfachung gegenüber dem Vorjahr dar. Mitarbeiter nutzen zunehmend persönliche KI-Dienste wie **ChatGPT**, um Aufgaben zu beschleunigen, und fügen oft interne Dokumente oder Quellcode in nicht autorisierte Sitzungen ein, bevor unternehmensgenehmigte Alternativen verfügbar sind. Das Ausmaß dieser nicht autorisierten KI-Nutzung ist erstaunlich: 67 % der Benutzer greifen über persönliche, nicht-unternehmensbezogene Konten auf KI-Dienste auf Unternehmensgeräten zu. Darüber hinaus sind 45 % der Mitarbeiter mittlerweile regelmäßige KI-Nutzer. Die Browser-Telemetrie von **Keep Aware** liefert eine entscheidende Detailtiefe und zeigt, dass über die Hälfte der KI-Prompt-Eingaben an persönliche Konten gesendet werden. Bei 23 % der sensiblen Prompt-Uploads werden Daten über persönliche oder nicht verifizierte Konten übertragen, wodurch Unternehmens-DLP-Richtlinien und Protokollierungsinfrastrukturen effektiv umgangen werden.  ### Missbrauch von Anmeldedaten und die Erkennungslücke des Browsers Der **DBIR** 2026 ergab, dass 39 % der Sicherheitsverletzungen den Missbrauch von Anmeldedaten betrafen. Die Angriffsdaten von **Keep Aware** aus dem Jahr 2025 bestätigen dies und identifizieren browserbasierte Diebstahl von Anmeldedaten als den führenden browserbasierten Angriff, der etwa 41 % der beobachteten Bedrohungsaktivitäten ausmacht. Dies deutet darauf hin, dass der Diebstahl von Anmeldedaten, der im Browser stattfindet, oft erfolgreichen Sicherheitsverletzungen vorausgeht. Eine kritische Erkenntnis ist die Unsichtbarkeit dieser Angriffe für herkömmliche Sicherheitstools. Die Analyse von **Keep Aware** ergab, dass 63 % der **Microsoft**-bezogenen Phishing-Seiten zum Zeitpunkt der Exposition der Mitarbeiter von keinem **VirusTotal**-Anbieter markiert wurden. Alarmierender ist, dass 100 % der beobachteten Versuche, Anmeldedaten zu stehlen, bestehende nicht-browserbasierte Sicherheitskontrollen umgingen, darunter Netzwerk-Proxys, DNS-Filter und Endpunkt-Agenten. Die Erkennung scheint zuverlässig nur innerhalb des Browsers selbst möglich zu sein, wo die Seite gerendert und die Benutzerinteraktion stattfindet. ### Browser-Erweiterungen: Privilegiert, unkontrolliert und wachsende Bedrohung Browser-Erweiterungen arbeiten mit einem hohen Maß an Privilegien und können Daten im Browser-Kontext lesen, ändern und exfiltrieren. Trotzdem stellte der **DBIR** 2026 fest, dass das durchschnittliche Unternehmen über 15 % der Benutzer mit nicht autorisierten KI-Erweiterungen installiert hat. Das Problem reicht über KI-Tools hinaus. Die Telemetrie von **Keep Aware** zeigt, dass 13 % der eindeutigen Browser-Erweiterungen bei ihren Kunden als hoch oder kritisch eingestuft wurden. Eine besonders besorgniserregende Erkenntnis ist, dass 93 % dieser Erweiterungen mit schlechtem Ruf von den Browser-Marktplätzen als "Produktivitäts"-Tools bezeichnet wurden. Diese gängige Kategorisierung macht kategorienbasierte Whitelisting-Richtlinien für diese Bedrohungsklasse funktionslos. ### ClickFix und browserbasierte Social Engineering-Angriffe Sowohl der **DBIR** 2026 als auch der State of Browser Security Report von **Keep Aware** heben **ClickFix** als eine aufkommende Social-Engineering-Technik hervor. Der **Verizon DBIR** stellte fest, dass **ClickFix** für 2,7 % der browserbasierten Angriffe verantwortlich war, ein kleiner, aber signifikanter Indikator für sich entwickelndes browserbasiertes Social Engineering.  **ClickFix** ist eine irreführende Taktik, die darauf abzielt, Benutzer dazu zu verleiten, unwissentlich bösartigen Code vom Browser auf ihren Host-Computer auszuführen. Diese Angriffe stammen oft von kompromittierten Websites oder sogar von bösartigen LLM-Chat-Antworten. Während der Endpunkt letztendlich die Auswirkungen trägt, dient der Browser als anfängliches Social-Engineering-Medium und entscheidend als erste Verteidigungslinie. ### Das menschliche Element: Ein browserzentriertes Problem Der **DBIR** 2026 ergab, dass 62 % der Sicherheitsverletzungen das menschliche Element betrafen, wobei Phishing 16 % der Vorfälle auslöste. Die Daten von **Keep Aware** unterstreichen dies weiter und zeigen, dass Phishing und Social Engineering 2025 für 46 % der Browser-Angriffe verantwortlich waren. Obwohl oft als Schulungs- und Sensibilisierungsproblem dargestellt, verfeinern Angreifer ständig das browserbasierte Social Engineering. Taktiken umfassen Phishing-Links zu harmlosen Zwischenseiten, komplexe Weiterleitungsketten, Seiten, die für automatisierte Scanner unterschiedlich gerendert werden, Inhalte, die auf legitimen Websites gehostet werden, und stille Zwischenablage-Injektionen. Die Sichtbarkeit auf Browser-Ebene eliminiert nicht das menschliche Element, sondern verlagert die Erkennung auf den Interaktionspunkt und identifiziert Bedrohungen, bevor sie nachgelagert ausgenutzt werden. ### Implikationen für Sicherheitsteams **Shadow AI**, der Diebstahl von Anmeldedaten, bösartige Erweiterungen und browserbasierte Social-Engineering-Techniken wie **ClickFix** haben einen gemeinsamen Nenner: Sie alle laufen im Browser ab und erzeugen Artefakte, die am besten oder ausschließlich auf der Browser-Ebene sichtbar sind. Sicherheitsprogramme, die sich ausschließlich auf Netzwerk-, Endpunkt- und Identitäts-Telemetrie verlassen, werden weiterhin erhebliche blinde Flecken aufweisen, genau dort, wo Angreifer zunehmend operieren. Der Browser ist nicht länger nur eine Anwendung; für die meisten Unternehmensbenutzer ist er die primäre Arbeitsumgebung. Seine Sicherung ist keine Option mehr, sondern eine Notwendigkeit. Das Verständnis dieser Lücke ist entscheidend, bevor Angreifer sie ausnutzen.