Downtime-Ära: Wenn Cyberkriminelle zwei Monate pro Jahr mitlesen

Laut dem brandaktuellen Resilience Risk Index 2026 von Absolute Security herrscht auf den Firmen-PCs dieser Welt ein erschreckender Zustand. Die Studie, die Telemetriedaten von über 16 Millionen Endgeräten weltweit analysiert hat, kommt zu einem vernichtenden Urteil: Endpoint-Sicherheitssoftware versagt in fast 21 % der Fälle.

Mathematisch heruntergebrochen bedeutet das, dass Unternehmens-PCs an 76 Tagen im Jahr faktisch schutzlos gegenüber KI-gesteuerten Angriffen und Cyber-Vorfällen sind. Diese Sicherheitslücke führt global zu geschätzten Ausfallkosten von rund 400 Milliarden US-Dollar.

Patch-Management am Abgrund

Was mich technisch besonders schockiert, ist der massive Rückschritt beim Patch-Management. Während der durchschnittliche Patch-Verzug im Jahr 2025 noch bei etwa 56 Tagen lag, ist er 2026 auf sage und schreibe 127 Tage (einige Quellen sprechen sogar von bis zu 256 Tagen) explodiert.

Hier sind die kritischen Punkte:

Noch immer läuft rund jeder zehnte Firmen-PC mit Windows 10, obwohl Microsoft den offiziellen Support bereits im Oktober 2025 beendet hat. Das ist ein echtes Problem, denn diese Systeme erhalten keine regulären Sicherheitsupdates mehr und bleiben damit dauerhaft anfälliger für Angriffe.

Auch beim Umgang mit sensiblen Daten zeigen sich deutliche Schwächen. Etwa 20 Prozent der vernetzten Geräte speichern vertrauliche Informationen. Besonders kritisch ist dabei, dass rund 30 Prozent dieser Daten nicht verschlüsselt sind. Dadurch steigt das Risiko erheblich, dass Inhalte bei einem Vorfall in falsche Hände geraten.

Dazu kommt ein weiteres Problem, das in vielen Unternehmen unterschätzt wird: die sogenannte Schatten-IT. Rund 25 Prozent der Geräte werden von der zentralen IT überhaupt nicht erfasst. Das bedeutet, dass ein beträchtlicher Teil der eingesetzten Technik außerhalb der eigentlichen Kontrolle läuft — und genau das schafft zusätzliche Sicherheitslücken.

Die KI-Falle: DeepSeek und unkontrollierte Browser-Sessions

Ein weiterer Brandbeschleuniger ist die unregulierte Nutzung von GenAI-Plattformen. Die Anzahl der Browser-Sitzungen zu KI-Seiten ist im Jahresvergleich von 150 Millionen auf 350 Millionen hochgeschossen.

Besonders riskant:

Nutzer greifen vermehrt auf Plattformen wie DeepSeek zu, oft ohne jegliche Governance oder Sicherheitskontrollen. Da die Endpoint-Tools bei jedem fünften Versuch versagen, wandern sensible Firmendaten im Sekundentakt ungeprüft in externe KI-Modelle.

Management-Versagen par excellence

Meiner Meinung nach ist dieser Bericht ein Armutszeugnis für die C-Level-Ebene. Christy Wyatt, CEO von Absolute Security, trifft den Nagel auf den Kopf:

„Cyberangriffe sind unvermeidlich, Ausfallzeiten hingegen nicht.“

Dass wir 2026 noch immer über fehlende Verschlüsselung auf 30 % der Endgeräte diskutieren, ist ein administratives Versagen.

Wir investieren Milliarden in glitzernde KI-Tools, aber die Basics – Patches einspielen und die Funktionsfähigkeit der Sicherheitssoftware überwachen – kriegen wir nicht hin. Wir arbeiten mit dem „digitalen Klebeband“ des letzten Jahrzehnts, während die Angreifer bereits automatisierte KI-Exploits nutzen. Wer seine IT-Infrastruktur 2026 so vernachlässigt, handelt schlichtweg grob fahrlässig.

Sicherheit ist kein „Set and Forget“-Produkt. Der Resilience Risk Index zeigt, dass wir uns in einer falschen Sicherheit wiegen. Wenn die Tools in 21 % der Fälle nicht funktionieren, ist das System als Ganzes korrumpiert. Wir müssen weg von der reinen Prävention hin zur echten Cyber-Resilienz – also der Fähigkeit, auch bei einem Treffer sofort wieder handlungsfähig zu sein.