SentinelOne kartiert 8-Phasen-Angriffskette, SANS meldet KI-Umgestaltung der Cyber-Arbeitskräfte, Kaspersky verbindet Coruna mit Triangulation-Framework
SentinelOnes Jahresbedrohungsbericht 2026 dokumentiert eine neue 8-Phasen-Angriffskette, bei der Angreifer MFA umgehen, Cloud-Automatisierung als Waffe einsetzen und vollständige Kampagnen in unter 4 Stunden abschließen. Der SANS-Bericht zur Cyber-Arbeitswelt 2026 zeigt, dass KI die erforderlichen Fähigkeiten grundlegend verändert und die Talentlücke vergrößert. Kaspersky-Forscher bestätigen, dass Coruna-iOS-Exploits Code-Abstammung mit dem berüchtigten Operation-Triangulation-Framework teilen. Sansec entdeckt einen neuartigen WebRTC-basierten Zahlungs-Skimmer, der herkömmliche Sicherheitskontrollen umgeht.
1. SentinelOne Jahresbedrohungsbericht 2026 — Die 8-Phasen-Angriffskette
SentinelOne hat seinen Jahresbedrohungsbericht 2026 veröffentlicht, untertitelt „A Defender's Playbook From the Front Lines", und die Haupterkenntnis ist ein neu dokumentiertes Angriffsmodell: Moderne Bedrohungsakteure führen Angriffe über eine 8-Phasen-Angriffskette durch, die früher wochenlange Aktivitäten in eine einzige koordinierte Kampagne von unter 4 Stunden komprimiert.
Die traditionelle Lockheed-Martin-Kill-Chain (Aufklärung → Waffenentwicklung → Zustellung → Ausnutzung → Installation → Command & Control → Zielerreichung) ist seit 2011 das Standardmodell. SentinelOnes Forschung zeigt, dass reale Angriffe weit über diesen linearen Rahmen hinaus evolviert sind.
Die 8 Phasen
Basierend auf der Analyse tausender Vorfälle in Unternehmens-, Cloud- und Hybrid-Umgebungen im Jahr 2025 identifiziert SentinelOne:
- Aufklärung & Zielauswahl: Automatisiertes Scannen kombiniert mit Dark-Web-Intelligence zur Identifizierung hochwertiger Ziele mit bekannten verwundbaren Diensten
- Erstzugang: Hauptsächlich über gestohlene Anmeldedaten, MFA-Umgehungstechniken (Adversary-in-the-Middle-Proxys, SIM-Swaps und Push-Fatigue) sowie Supply-Chain-Kompromittierungen
- MFA-Umgehung & Session-Hijacking: Eine eigenständige Phase — nicht bloß Teil des Erstzugangs — in der Angreifer gezielt Multi-Faktor-Authentifizierung überwinden
- Cloud-Pivot: Sofortige laterale Bewegung von kompromittierter Identität in Cloud-Dienste (Azure AD, AWS IAM, Google Workspace), unter Ausnutzung von SSO-Vertrauensbeziehungen
- Automatisierungs-Weaponisierung: Nutzung der eigenen Automatisierungswerkzeuge des Opfers — CI/CD-Pipelines, Infrastructure-as-Code, Orchestrierungsplattformen — zur Bereitstellung bösartiger Payloads
- Daten-Staging & Exfiltration: Selektive Datensammlung, optimiert für Erpressungswert, exfiltriert über legitime Cloud-Speicherdienste
- Persistenz & Absicherung: Etablierung mehrerer Persistenzmechanismen über Identitäts-, Cloud- und Endpunkt-Ebenen, um partielle Bereinigung zu überleben
- Monetarisierung: Gleichzeitige Ausführung von Ransomware-Bereitstellung und Erpressungsforderungen, oft kombiniert mit Drohungen zur Datenveröffentlichung
Wichtige Statistiken aus dem Bericht
- MFA-Umgehung war bei 73% der Unternehmensintrusions präsent — gegenüber 41% im Jahr 2024
- Cloud-to-Ground-Angriffe stiegen um 340% im Jahresvergleich
- Durchschnittliche Verweildauer sank auf 3,8 Stunden für finanziell motivierte Angreifer
- Automatisierungsmissbrauch trat in 58% der Cloud-originierten Vorfälle auf
- 8-Phasen-Kampagnen zeigten eine 92%ige Erfolgsrate bei mindestens teilweiser Datenexfiltration
KENSAI-Perspektive
Das 8-Phasen-Modell bestätigt, was Verteidiger vermutet haben: Angriffe folgen keinem linearen Pfad mehr. Sie sind parallel, automatisiert und darauf ausgelegt, menschliche Reaktionen zu übertreffen. KENSAIs kontinuierliches Penetration Testing zielt speziell auf die Schwachstellen ab, die Angreifer in den Phasen 1-4 ausnutzen.
2. SANS Institut Cyber-Arbeitskräftebericht 2026 — KI verändert den Sicherheitsberuf
Das SANS Institut hat seinen Bericht 2026 Cyber Workforce: Skills, Shortages, and Shifts in the Age of AI veröffentlicht — die bislang umfassendste Analyse darüber, wie künstliche Intelligenz den Cybersicherheits-Arbeitsmarkt transformiert.
Die Qualifikationslücke wächst
SANS schätzt weltweit 4,7 Millionen unbesetzte Cybersicherheitsstellen — gegenüber 3,9 Millionen im Jahr 2024. Aber die Art der Lücke hat sich grundlegend verändert:
- Traditionelle Fähigkeiten (Firewall-Management, signaturbasierte Erkennung, manuelle Log-Analyse) werden schneller automatisiert, als die Belegschaft umgeschult werden kann
- Neue gefragte Fähigkeiten: KI/ML-Sicherheit, Prompt Engineering für Sicherheitstools, autonome Systemüberwachung, Cloud-native Sicherheitsarchitektur
- Die „Mitte" verschwindet: Junior-Analysten, die repetitive Aufgaben erledigen, werden durch KI ersetzt, während die Nachfrage nach Senior-Architekten sich verdoppelt hat
Die neue Rolle: KI-Sicherheitsoperator
SANS identifiziert eine neue Rolle: den KI-Sicherheitsoperator — jemand, der nicht nur Sicherheitstools nutzt, sondern die KI-Systeme verwaltet, abstimmt und validiert, die zunehmend Sicherheitsentscheidungen treffen.
3. Kaspersky verbindet Coruna-iOS-Exploits mit Operation Triangulation
🔬 FORSCHUNG — Coruna-Exploit-Kit teilt Code-Abstammung mit Triangulation
Kaspersky-Forscher haben bestätigt, dass das Coruna-iOS-Exploit-Kit — kürzlich in CISAs KEV-Katalog aufgenommen — aktualisierte Code-Komponenten enthält, die direkt vom 2023 entdeckten Operation-Triangulation-Angriffsframework abstammen.
2023 entdeckte Kaspersky Operation Triangulation — eine der ausgeklügeltsten iOS-Angriffsketten aller Zeiten. Die neueste Forschung zeigt, dass das Coruna-iOS-Exploit-Kit signifikanten Code mit Triangulation teilt:
- Gemeinsame Exploit-Primitive: Speicherkorruptionstechniken und Sandbox-Escape-Methoden in Coruna verwenden verfeinerte Versionen von Triangulations Ansatz
- Aktualisiert aber erkennbar: Während die spezifischen Schwachstellen unterschiedlich sind, zeigt das Exploitation-Framework klare evolutionäre Abstammung
- Erweiterte Zielerfassung: Coruna zielt auf iOS 16 bis iOS 18.2 und mehr Gerätetypen ab
- Persistenz-Evolution: Coruna führt einen neuartigen Persistenzmechanismus ein, der Neustarts überlebt
4. Sansec entdeckt WebRTC-basierten Zahlungs-Skimmer
🔬 FORSCHUNG — WebRTC-Datenkanäle zur Exfiltration von Zahlungsdaten
Sansec-Forscher haben einen neuartigen Zahlungskarten-Skimmer entdeckt, der WebRTC-Datenkanäle verwendet, um gestohlene Zahlungsinformationen zu exfiltrieren und dabei Content-Security-Policy-Beschränkungen und traditionelle Netzwerküberwachung vollständig umgeht.
Funktionsweise
- Erstinjektion: Der Skimmer wird über eine kompromittierte Drittanbieter-JavaScript-Bibliothek in die Checkout-Seite injiziert
- Datenerfassung: Standard-Tastaturprotokollierung erfasst Kartennummern, CVVs und Rechnungsinformationen
- WebRTC-Kanalaufbau: Statt HTTP-Anfragen stellt der Skimmer eine WebRTC-Peer-Verbindung über einen STUN/TURN-Server her
- Datenexfiltration: Erfasste Zahlungsdaten werden über den WebRTC-Datenkanal übertragen — eine binäre, verschlüsselte Peer-to-Peer-Verbindung
Bedeutung
- CSP-Umgehung: Content-Security-Policy-Header blockieren typischerweise kein WebRTC-Traffic
- Unsichtbar für HTTP-Monitoring: WAFs und Proxy-Server sehen keinen WebRTC-Datenkanal-Traffic
- Standardmäßig verschlüsselt: WebRTC-Verbindungen sind mit DTLS verschlüsselt
- Keine serverseitigen Indikatoren: Keine HTTP-Artefakte bei der Exfiltration
5. Push Security — Status der Browser-basierten Angriffe 2026
Push Security hat eine Forschungsreihe zum Status der Browser-Sicherheit gestartet. Wichtige Erkenntnisse:
- AiTM-Phishing macht jetzt 47% der Credential-Theft-Angriffe gegen Unternehmen aus
- ConsentFix-Angriffe haben sich als wichtiger Vektor zur vollständigen MFA-Umgehung etabliert
- Session-Hijacking über gestohlene Browser-Cookies übertrifft traditionelles Credential-Stuffing als Erstzugangsvektor
- Browser-Erweiterungen bleiben ein blinder Fleck: 34% fordern Berechtigungen an, die Datenexfiltration ermöglichen könnten
6. Agentic GRC — Wachstumsschmerzen der Branche bei der Governance
Anecdotes' Analyse der Agentic GRC-Einführung zeigt: Die Hauptherausforderung ist nicht Technologie — sie ist organisatorisches Umdenken. GRC-Teams müssen sich von der Ausführung zur Risikoführung entwickeln.
Forschungs- und Branchenübersicht
| Forschung | Auswirkung | Typ | Kernaussage |
|---|---|---|---|
| SentinelOne Jahresbericht 2026 | KRITISCH | Threat Intelligence | 8-Phasen-Angriffe in <4 Stunden |
| SANS Cyber-Arbeitskräftebericht 2026 | HOCH | Branchenforschung | 4,7M unbesetzte Stellen; KI verändert Fähigkeiten |
| Kaspersky: Coruna ↔ Triangulation | HOCH | Bedrohungsforschung | Staatliche iOS-Exploit-Evolution bestätigt |
| Sansec: WebRTC-Zahlungs-Skimmer | HOCH | Bedrohungsentdeckung | Neue Umgehungstechnik umgeht CSP & WAFs |
| Push Security: Browser-Angriffsstatus | STRATEGISCH | Sicherheitsforschung | Browser ist primäre Angriffsfläche |
| Anecdotes: Agentic GRC | INFO | Branchenanalyse | Umdenken wichtiger als Technologie |