Die IT-Security wird 2026 von drei Themen maßgeblich geprägt: Supply-Chain-Angriffe in Software, der Missbrauch von Steam und der massive Einfluss von KI auf die Art, wie Schadsoftware entsteht und verteilt wird. Sie treffen genau die Stellen, an denen sich Unternehmen eigentlich sicher fühlen sollten.
1. Supply-Chain-Angriffe: Würmer im Baukasten der Entwickelnden
Supply-Chain-Attacken zielen verstärkt auf Paketmanager und Open-Source-Bibliotheken, die Entwicklerinnen und Entwickler täglich nutzen. Dabei schleusen Cyberkriminelle sich selbst verbreitende Malware in Ökosysteme wie den Node.js-Paketmanager NPM ein.
„Oftmals steht am Anfang der Infektionskette ein kompromittierter Entwickler-Account, über den ein Wurm eingeschleust wird“, sagt Karsten Hahn. „Der Wurm infiziert alle erreichbaren NPM-Pakete, die auf dem System entwickelt werden und initialisiert Updates. Sobald diese bösartigen Pakete von anderen Entwicklersystemen heruntergeladen werden, infizieren sie weitere Pakete.“
So gelangen sie in eine Vielzahl von Anwendungen. Wie beim bekannten Schneeball-Effekt landet dann eine einzige Schadsoftware schnell in Tausenden von Projekten. Diese Attacken machen deutlich, wie anfällig Software-Lieferketten sind. Und somit lautet die entscheidende Kernfrage: Wie gut wissen Verantwortliche, was in ihren Build-Prozessen steckt?
2. Steam und Co.: Patches als Einfallstor
Ein zweiter Trend sind Angriffe über die Gaming-Plattform Steam. Spannend ist dabei der Mechanismus dahinter. Die Spiele waren bei der ersten Veröffentlichung in den Analysen von Viren-Analystinnen und -Analysten noch unauffällig. Erst spätere Updates und Patches enthielten Schadcode. Offensichtlich nutzen Cyberkriminelle dabei Folgendes aus: Während eine Ersteinreichung noch vergleichsweise gründlich auf der Plattform geprüft wird, laufen tägliche Patch-Fluten oft durch deutlich schlankere Prozesse. In den untersuchten Fällen haben die Angreifer Stealer installiert, um Geld aus Krypto-Wallets oder persönliche Daten zu stehlen.
Das beschriebene Vorgehen ist auch für Unternehmen interessant. Die eigentliche Lehre daraus geht über Steam hinaus: Jede Update-Infrastruktur – ob für Spiele, Business-Software oder interne Tools – wird zum attraktiven Angriffsvektor, wenn Patches nicht mit der gleichen Sorgfalt behandelt werden wie eine Neuinstallation.
3. KI verändert Malware – und senkt die Einstiegshürde
KI ist längst im Werkzeugkasten der Angreifenden angekommen. Die Anlysten-Teams bei G DATA sehen immer häufiger denselben Schadcode in verschiedenen Programmiersprachen. Tätergruppen lassen eine vorhandene Malware von einer KI in eine andere Sprache übersetzen. Für klassische, signaturbasierte Erkennung ein Problem: Denn statische Signaturen greifen nicht mehr.
Damit verlieren zurzeit Packer an Bedeutung. Sie werden zwar immer noch verwendet, aber es gibt einen deutlichen Anstieg von nicht gepackter Malware. Kriminelle nutzen Packer üblicherweise, um auf Pattern basierte Erkennungen von Antivirensoftware zu umgehen. Da sie aber mit Hilfe von Copilot und Co. die Schadsoftware mit weniger Aufwand neu schreiben können, ist das Packen nicht immer nötig.
Gleichzeitig ist dabei eine andere Entwicklung erkennbar: sehr fehlerhafte, technisch schlecht gemachte Malware, die trotzdem reale Systeme infiziert. Das wirkt, als ob unerfahrene Personen – man könnte sagen „Script-Kiddies 2.0“ – mit KI experimentieren, ohne den generierten Code wirklich zu verstehen. Die Einstiegshürde sinkt also deutlich.
4. Fake-Webseiten: Wenn die falsche Download-Seite ganz oben steht
Ein weiterer Trend betrifft die Verteilung von Malware über gefälschte Webseiten. Originalseiten werden teilweise von Fake-Seiten im Google-Ranking „überholt“. Also Domains, die wie offizielle Seiten aussehen, inklusive fiktiver Firmenbeschreibung. Diese bieten anfänglich sogar legitime Software an, allerdings ohne kommerzielle Version. Und sobald genug Vertrauen aufgebaut ist und die Seite genügend Traffic hat, werden manipulierte Downloads nachgeschoben.
„Problematisch ist, dass diese Fake-Webseiten in Suchmaschinen-Resultaten oft vor den legitimen Quellen auftauchen“, sagt Karsten Hahn. „Viele Menschen klicken den ersten Treffer an und halten ihn automatisch für vertrauenswürdig. Hier lohnt sich ein genauerer Blick: Stimmt die Domain mit der offiziellen Projektseite überein? Gibt es die ausgewiesene Firma überhaupt? Enthält die Seite eine Datenschutzerklärung und ein Impressum mit Adresse und Telefonnummer der Firma? Ist echter Inhalt auf der Seite oder wirkt der Text größtenteils nichtssagend und allgemein? Funktionieren alle Links und Tabs im Header und Footer der Seite?“
5. Was heißt das für Unternehmen?
Für 2026 zeichnet sich eines ab: IT-Sicherheit beginnt bei der Frage, welchen Code Unternehmen nutzen, welchen Updates sie vertrauen und aus welchen Quellen Downloads stammen. Ein paar konkrete Ansatzpunkte für mehr IT-Sicherheit sind:
- Software-Lieferketten härten: Paketquellen und -manager in Riskmanagement und Monitoring einbeziehen, nicht nur das fertige Produkt.
- Patches ernst nehmen: Update-Prozesse als potenziellen Angriffsvektor betrachten und Kontrollen etablieren.
- Erkennung modernisieren: Verhaltensbasierte Detection und KI-gestützte Analyse ergänzen klassische Signaturen, statt sie zu ersetzen.
- Awareness erweitern: Nicht nur „Klick nicht auf Links in Phishing-Mails“, sondern auch: „Lade Tools nur von verifizierten Quellen“ und „prüfe Domains und Repositories bewusst“.
Karsten Hahn ist Principal Malware Researcher und ist seit 2015 bei G DATA CyberDefense im Bereich Forschung und Entwicklung tätig. Karsten spürt bei G DATA neuartige Malware auf und arbeitet an der Verbesserung der Erkennungstechnologien.
