SentinelOne legt jährlichen Threat Report vor: Wie Unternehmen sich gegen die Industrialisierung moderner Cyberangriffe verteidigen können
Neue Analysen der SentinelLABS- und Wayfinder-Teams zeigen, wie Angreifer gezielt die Reibungsflächen zwischen IT-Sicherheit und operativem Betrieb ausnutzen
MÜNCHEN/SAN FRANCISCO, 09. April 2026 – SentinelOne® (NYSE: S) hat seinen aktuellen Annual Threat Report veröffentlicht. Der Report zeigt eine zentrale Verschiebung im Cyberraum: Angreifer konzentrieren sich längst nicht mehr nur darauf, initialen Zugriff zu erlangen. Sie gehen einen Schritt weiter und nutzen systematisch genau jene Identitäts-, Infrastruktur- und Automatisierungssysteme aus, auf denen moderne Unternehmen aufgebaut sind.
Im Zeitalter industrialisierter Angriffe stehen Sicherheitsteams vor einem wachsenden Problem. Sie verfügen über enorme Mengen an Telemetriedaten, doch oft fehlt der Kontext, um echte Angriffe von harmlosen Anomalien zu unterscheiden. Noch nie war der Zugang zu Bedrohungsinformationen so umfassend. Die eigentliche Herausforderung liegt darin, diese Erkenntnisse in konkrete Maßnahmen für die eigene Umgebung zu übersetzen.
Der Report versteht sich als strategisches Arbeitsinstrument für alle, die sich vor Angriffen schützen. Er verbindet globale Bedrohungsdaten mit konkreten Verhaltensmustern aus der Praxis und zeigt entlang von acht Phasen moderner Angriffe, wie sich Sicherheitsstrategien weiterentwickeln müssen. Ziel ist es, den Übergang von reaktiver Abwehr hin zu einer proaktiven, kontextbasierten Resilienz zu ermöglichen und so die operative Stabilität zu sichern.
Das sind die Zentrale Erkenntnisse des Annual Threat Reports
Identität wird zum Einfallstor und zur Herausforderung zugleich
Identitäten erstrecken sich heute über SaaS-Anwendungen, Cloud-Infrastrukturen und autonome Systeme. Ein einzelnes Konto kann Zugriff auf eine Vielzahl von Diensten haben. Unternehmen sammeln mehr Identitätsdaten als je zuvor, dennoch gehören identitätsbasierte Angriffe zu den schwersten zu erkennenden. Angreifer nutzen gestohlene Tokens, Phishing und kompromittierte Accounts, um sich mit gültigen Zugangsdaten im System zu bewegen. Der Fokus der Verteidigung muss sich daher verschieben. Nicht allein die Authentifizierung ist entscheidend, sondern die kontinuierliche Überwachung des Verhaltens nach dem Login.
Angriffe verlagern sich in Entwicklungsprozesse
Statt produktiver Systeme geraten zunehmend Build- und Deployment-Prozesse ins Visier. Angreifer kompromittieren CI- und CD-Pipelines, schleusen Schadcode ein oder greifen vertrauliche Informationen ab, noch bevor Software überhaupt in Produktion geht. Sie bewegen sich damit innerhalb vertrauenswürdiger Entwicklungsabläufe und umgehen klassische Schutzmechanismen. Wirksame Erkennung erfordert Transparenz entlang des gesamten Softwareentwicklungsprozesses und die Fähigkeit, Aktivitäten über längere Zeiträume hinweg zu korrelieren.
Die Angriffsfläche verschiebt sich an den Rand des Netzwerks
Edge-Systeme entwickeln sich zu zentralen Angriffspunkten. Fast die Hälfte der jüngsten Zero-Day-Schwachstellen betrifft diese Bereiche. Gleichzeitig bleiben sie oft unzureichend überwacht und bilden blinde Flecken in der Sicherheitsarchitektur. Häufig sind sie der Einstiegspunkt für weitergehende Angriffe. Abhilfe schafft kein neues Konzept, sondern die konsequente Umsetzung grundlegender Maßnahmen: veraltete Systeme ersetzen, Logdaten zentral auswerten, kritische Systeme klar segmentieren und Mehrfaktor-Authentifizierung für alle externen Zugriffe verbindlich einführen.
Automatisierung entscheidet über Tempo und Wirkung
Der entscheidende Faktor moderner Angriffe ist nicht allein der Einsatz von KI, sondern die Kombination mit ausgereifter Automatisierung. Sie ermöglicht es Angreifern, Prozesse wie Schwachstellenscans, Credential Harvesting oder laterale Bewegungen massiv zu beschleunigen, oft in Sekundenbruchteilen. Gleichzeitig hat sich die defensive Automatisierung weiterentwickelt und kann Angriffe zunehmend ausbremsen. Entscheidend ist, automatisierte Reaktionen so auszurichten, dass hochwahrscheinliche Bedrohungen unmittelbar gestoppt werden, statt lediglich weitere Warnmeldungen zu erzeugen.
„Die Bedrohungslage verändert sich ständig, doch die grundlegenden Muster bleiben“, sagt Erhan Oezmen, Area Vice President for Central and Eastern Europe bei SentinelOne. „Angreifer verlassen sich immer weniger auf einzelne Exploits oder Malware und konzentrieren sich stattdessen auf die Lücken zwischen Sicherheit und Betrieb, auf blinde Flecken in vertrauenswürdigen Systemen und auf die Tatsache, dass Verteidiger oft langsamer reagieren als die Angreifer automatisieren. Diese Lücke zu schließen bedeutet nicht, jedem neuen Angriffswerkzeug hinterherzulaufen. Es bedeutet, kontinuierlich zu prüfen, ob die eigenen Schutzmechanismen dem Druck moderner Angriffe standhalten.“
Hier geht´s zum Download des Annual Threat Reports.
Über SentinelOne
SentinelOne ist ein weltweit führender Anbieter von KI-Sicherheit. Die Singularity-Plattform erkennt, verhindert und reagiert auf Cyberangriffe in Maschinengeschwindigkeit – und ermöglicht es Unternehmen, ihre Endpunkte, Cloud-Workloads, Container, digitalen Identitäten sowie mobilen und mit dem Netzwerk verbundenen Geräte schnell, präzise und einfach abzusichern. Über 11.000 Kunden – darunter Fortune-10-, Fortune-500- und Global-2000-Unternehmen sowie namhafte Regierungen – vertrauen auf SentinelOne, um die Zukunft schon heute zu sichern. www.sentinelone.de
Milk & Honey PR Patrizia Heun Sr. Client Director Email: Sentinelone@milkandhoneypr.com Milk & Honey PR – B Corp, Best for the World Honouree | Investors in People Employer of the Year '20 | UK's Best Agency to Work For '20 & '21