Tools / Neuigkeiten / Mandiant: Angreifer nutzen Cloud-Schwachstellen im Durchschnitt 7 Tage vor Verfügbarkeit von Patches aus
Presse

Mandiant: Angreifer nutzen Cloud-Schwachstellen im Durchschnitt 7 Tage vor Verfügbarkeit von Patches aus

· VaultTools

Der M-Trends 2026-Bericht von Mandiant, basierend auf 500.000 Stunden Incident Response, zeigt, dass die mittlere Zeit bis zur Ausnutzung von Schwachstellen bei minus 7 Tagen liegt. Cloud-Dateidienste laufen auf Infrastruktur, die kompromittiert wird, bevor ein Fix überhaupt verfügbar ist.

VaultTools · 25. März 2026

Eine dunkle digitale Oberfläche mit leuchtenden Indikatoren, die die Geschwindigkeit und Automatisierung moderner Cyberangriffe auf Cloud-Infrastruktur darstellt. Foto auf Unsplash

Inhaltsverzeichnis


Was Der Bericht Ergab

Am 24. März 2026 veröffentlichte Mandiant M-Trends 2026, seine jährliche Analyse der globalen Bedrohungslandschaft, basierend auf mehr als 500.000 Stunden Incident Response aus dem Jahr 2025. Der Bericht behandelt Angriffsgeschwindigkeit, Zeitlinien zur Ausnutzung von Schwachstellen, Cloud-spezifische Angriffsmuster und den wachsenden Einsatz von KI durch Bedrohungsakteure.

Der zentrale Befund für Organisationen, die auf Cloud-Infrastruktur setzen, ist eindeutig: Das traditionelle Modell, Schwachstellen durch Patches zu beheben, um Ausnutzung zu verhindern, ist bei den aktuellen Angriffsgeschwindigkeiten nicht mehr praktikabel.

Ausnutzung Vor Patches: Der Minus-7-Tage-Befund

Der Bericht verfolgt die Mean Time to Exploit (TTE), also die durchschnittliche Zeitspanne zwischen der öffentlichen Bekanntgabe einer Schwachstelle und der ersten beobachteten Ausnutzung in freier Wildbahn. Der Trend ist deutlich.

Im Jahr 2018 betrug die mittlere TTE 63 Tage, sodass Verteidigern nach der Bekanntgabe einer Schwachstelle fast zwei Monate blieben, um Patches zu bewerten und anzuwenden. Bis 2024 war dieser Wert auf minus 1 Tag gesunken, was bedeutete, dass die Ausnutzung bereits einen Tag vor der öffentlichen Bekanntgabe stattfand. Im Jahr 2025 erreichte der Wert minus 7 Tage.

Eine negative TTE bedeutet, dass Angreifer Systeme routinemäßig über Schwachstellen kompromittieren, die noch nicht öffentlich bekannt gegeben wurden und für die erst recht keine Patches existieren. Organisationen, die auf schnelle Patch-Zyklen stolz sind, schützen sich gegen ein Problem, das Angreifer eine Woche zuvor bereits gelöst haben. Exploits blieben in Mandiants Daten zum sechsten Mal in Folge der führende initiale Angriffsvektor und machten 32 % der im Jahr 2025 untersuchten Einbrüche aus.

22 Sekunden: Das Zeitfenster, Das Nicht Mehr Existiert

Ein zweiter Befund im Bericht befasst sich damit, was nach dem Erlangen des initialen Zugriffs geschieht. Im Jahr 2022 betrug die mittlere Zeit zwischen dem Erlangen des initialen Zugriffs durch einen Angreifer und der Übergabe dieses Zugriffs an einen sekundären Bedrohungsakteur mehr als acht Stunden. Bis 2025 war der Median auf 22 Sekunden gesunken.

Dieser Zusammenbruch geht über seinen schlagzeilenträchtigen Schockwert hinaus. Im Jahr 2022 hatte ein Verteidiger, der verdächtige Aktivitäten innerhalb von Minuten nach dem initialen Zugriff erkannte, realistische Chancen, den Einbruch zu stoppen, bevor sekundäre Akteure handeln konnten. Bei 22 Sekunden ist dieses Fenster faktisch null. Bis eine Warnung ausgelöst wird und ein Mensch sie prüft, wurde der Zugriff bereits übertragen, und eine zweite Gruppe, häufig Spezialisten für Datendiebstahl oder Ransomware-Einsatz, ist bereits aktiv in der Umgebung tätig.

Mandiant führt dies auf die enge operative Koordination zwischen Initial-Access-Brokern und nachgelagerten Bedrohungsgruppen zurück und stellt fest, dass in einigen beobachteten Fällen Malware direkt im Auftrag sekundärer Gruppen zum Zeitpunkt der Kompromittierung eingesetzt wurde.

KI-Gestützter Dokumentendiebstahl Im Laufenden Betrieb

Der Bericht identifiziert eine neue Malware-Familie mit der Bezeichnung PROMPTSTEAL, die der russischen staatlich gesponserten Gruppe APT28 zugeschrieben wird, als das erste bestätigte staatlich gesponserte Tool, das während der Ausführung Large Language Models für den Zweck des Dokumentendiebstahls abfragt. Die Malware wurde bei Operationen gegen die Ukraine beobachtet.

Eine separate Malware-Familie, PROMPTFLUX, schreibt ihren eigenen VBScript-Quellcode stündlich neu, indem sie die Gemini-API abfragt, eine Fähigkeit, die dazu dient, signaturbasierte Erkennung zu umgehen.

Die Einschätzung von Mandiant lautet, dass 2025 nicht das Jahr war, in dem KI direkt größere Sicherheitsverletzungen verursacht hat. Was der Bericht stattdessen dokumentiert, ist die Integration von KI in Angriffs-Toolchains, um Aufgaben zu übernehmen, die zuvor menschliche Operatoren erforderten: Anpassung an Erkennungsmechanismen, Identifizierung wertvoller Dokumente und Beschleunigung der Post-Kompromittierungsphase.

Die globale mittlere Verweildauer, der Zeitraum zwischen initialem Einbruch und Erkennung, stieg im Jahr 2025 auf 14 Tage, gegenüber 11 Tagen im Jahr 2024. Bei Spionagefällen und Operationen mit nordkoreanischen IT-Arbeitern erreichte der Median 122 Tage.

Was Das Für Online-Datei-Tools Bedeutet

Die M-Trends-Daten haben eine direkte strukturelle Auswirkung auf jeden Dienst, der Dateien in der Cloud verarbeitet.

Wenn ein Benutzer ein Dokument in einen Online-Konverter, ein PDF-Tool, einen Bildeditor oder einen KI-gestützten Workflow hochlädt, wird diese Datei auf Cloud-Infrastruktur verarbeitet. Diese Infrastruktur betreibt Software. Im Jahr 2025 wurde die durchschnittliche Schwachstelle in dieser Software sieben Tage vor Existenz eines Patches ausgenutzt. Schnelles Patchen, Sicherheitsüberwachung und Incident Response operieren alle nachgelagert dieser sieben Tage. Kein Patch-Rhythmus adressiert eine Schwachstelle, die noch nicht offengelegt wurde.

Die einzige architektonische Reaktion, die diese Angriffsfläche beseitigt, besteht darin, die Verarbeitung vollständig aus der Cloud zu verlagern. Eine Datei, die im Browser mit WebAssembly verarbeitet wird, berührt niemals einen Remote-Server. Es gibt keine Infrastruktur, die kompromittiert werden könnte, keine Schwachstellen-Zeitlinie, gegen die man um die Wette laufen müsste, und kein 22-Sekunden-Fenster, in dem ein Angreifer vom initialen Zugriff zum Datendiebstahl wechseln kann. Die Datei wird lokal verarbeitet und das Ergebnis verbleibt auf dem Gerät. Die M-Trends-Ergebnisse machen das Argument für lokale Verarbeitung in Incident-Response-Begriffen greifbar: Das Risiko ist nicht theoretisch, es wird in negativen Tagen gemessen.


Quellen