Der Sophos Active Adversary Report 2026 zeigt, dass Angreifer sich immer öfter einloggen statt einzubrechen, weil Identitäten, Sessions und Fehlkonfigurationen rund um MFA in vielen Fällen den entscheidenden Hebel liefern. Auffällig ist außerdem ein sehr konkreter Praxis-Hinweis aus dem Report. „Block Python“ soll den Einsatz gängiger Toolchains erschweren, die in vielen Umgebungen unnötig offenstehen.

Active Adversary Report 2026: Identitätsangriffe als neuer Default

Der Sophos Active Adversary Report 2026 basiert auf ausgewählten Fällen zweier Quellen. Incident Response bildet reale Einsätze aus dem Umfeld von Kompromittierungen ab. Managed Detection and Response ergänzt diese Sicht um MDR Critical Response. Das Dataset ist damit keine reine Internet-Threat-Intel, sondern praxisnahe Fallarbeit aus dem Feld. Wir haben die wichtigsten Zahlen des Reports für Sie zusammengefasst.

Datengrundlage: 661 Fälle aus IR und MDR

  • Die durchschnittliche Dwell Time, also die Zeit vom ersten Zugriff bis zur Entdeckung, betrug im Report 3 Tage.
  • In Incident-Response-Fällen lag die mediane Dwell Time bei 5,00 Tagen, weil viele Vorfälle erst bei sichtbaren Auswirkungen eskalieren.
  • In MDR-Fällen lag die mediane Dwell Time bei 2,00 Tagen, was den Effekt von kontinuierlichem Monitoring und schneller Reaktion zeigt.
  • Bei Non-Ransomware Incident Response blieb ein Angriff im Median 6,00 Tage unentdeckt, weil der laute Impact häufig fehlt.
  • Die mediane Zeit bis zum Zugriff auf Active Directory lag bei 3,40 Stunden und war damit 70 Prozent schneller als im Vorjahr.
  • Ransomware wurde in 88,10 Prozent der Fälle außerhalb der Geschäftszeiten beobachtet, wodurch Alarmierung und Bereitschaft besonders wichtig werden.
  • Exfiltration fand in 78,85 Prozent der Fälle außerhalb der Geschäftszeiten statt, was Datenabfluss gezielt in ruhige Zeitfenster verlagert.
  • Exfiltration erfolgte im Median nach 78,83 Stunden ab Angriffsbeginn und damit deutlich früher als viele Teams es erwarten.
  • Zwischen Exfiltration und Entdeckung lagen im Median nur 1,87 Stunden, wodurch Containment oft unter starkem Zeitdruck stattfindet.
  • In Ransomware-Fällen wurde Exfiltration in 49,77 Prozent bestätigt, was das Erpressungsrisiko deutlich erhöht.
  • Mit potenzieller Exfiltration lag der Anteil bei 53,92 Prozent, was die Bedeutung vollständiger Logdaten für die Bewertung unterstreicht.
  • Wenn Exfiltration bestätigt war, kam es in 49,07 Prozent der Fälle innerhalb von 19,5 Tagen zu einem Leak.

Die gesamte Interpretation und Zusammenfassung der wichtigsten Inhalte finden Sie in unserem Experten-Artikel Sophos Active Adversary Report 2026: Identitätsangriffe, Impacket und MFA richtig priorisieren auf Firewalls24.de.