Die Cybersicherheit ist kein Schutz mehr: Jetzt ist es Produktionskosten in einem bewaffneten Internet
Cloudflare hat Zahlen zu einem Gefühl geliefert, das viele technische Teams täglich erleben, das im Vorstand jedoch noch als Notfall betrachtet wird: Angriffe sind industrialisiert worden. Es gibt nicht nur mehr Vorfälle; die wirtschaftliche Einheit des digitalen Verbrechens hat sich geändert. Laut ihrem Threat Report 2026 blockiert das Unternehmen 230 Milliarden Bedrohungen pro Tag, verzeichnet einen „Boden“ von 31,4 Tbps bei DDoS-Attacken und stellt fest, dass 94 % der Anmeldeversuche von Bots stammen. Parallel dazu betrafen 63 % der Logins in den letzten drei Monaten bereits an anderer Stelle kompromittierte Zugangsdaten.
Diese Kombination erklärt, warum die richtige Gesprächsführung nicht mehr „Wie verhindern wir den nächsten großen Angriff“ lautet, sondern wie wir eine digitale Operation gestalten, die unter permanentem Beschuss funktioniert. Das Internet wird in praktischen Begriffen „bewaffnet“: Sein Umfang, seine Automatisierung und seine Geschwindigkeit werden als Waffe eingesetzt. Und wenn die Grenzkosten eines Angriffs nahezu null sind, hört der Verteidiger auf, mit individuellem Talent zu konkurrieren, und beginnt mit Prozessengineering.
Die Industrialisierung des Angriffs ändert die Risikowirtschaft
In der Unternehmenswelt ist eine handhabbare Bedrohung oft episodisch: Sie taucht auf, wird behandelt und geschlossen. Das, was Cloudflare zeigt, ist etwas anderes: ein Produktionssystem. 230 Milliarden blockierte Bedrohungen pro Tag beschreiben nicht eine Welle; sie beschreiben ein Fließband, bei dem das Volumen die Arbeit erledigt.
Dieser Skalensprung zeigt sich bei DDoS. Ein „Baseline“ von 31,4 Tbps normalisiert eine Art Aggression, die zuvor als extrem galt. Die geschäftlichen Konsequenzen sind direkt: Ausfallzeiten und Serviceverschlechterungen hören auf, eine Seltenheit zu sein, und werden zu einer operationalen Variablen, die genauso modelliert werden muss wie Nachfrage oder Betrug.
Auch der Zugang wird industrialisiert. Wenn 94 % der Anmeldeversuche Bots sind, hört das Login auf, ein Vertrauensakt zu sein, und wird zu einem unvermeidlichen Reibungspunkt. Und wenn 63 % der Logins auf bereits kompromittierten Zugangsdaten basieren, wird die Identität des Kunden zu einer „wiederverwendeten“ Information von Dritten in großem Umfang. Die relevante Lesart für einen CFO ist nicht technisch; sie ist buchhalterisch: Die kostenversierten Betrügereien, Supportanfragen, Rückbuchungen, Reputation und Compliance kosten dazu tendieren zu wachsen, wenn das Unternehmen weiterhin die Authentifizierung als bloße Hürde und nicht als System ansieht.
Das aufschlussreichste Detail des Berichts ist die Zeit. Cloudflare dokumentiert einen Fall, in dem eine Schwachstelle 22 Minuten nach der Veröffentlichung des Proof of Concept ausgenutzt wurde. Diese Information zerstört eine gängige Annahme in mittelgroßen Organisationen: die Idee, dass „wir Zeit haben“, um uns zu informieren, Prioritäten zu setzen und dann erst zu patchen. Bei Zeitfenstern von Minuten liegt der Vorteil nicht mehr in der Absicht, sondern in der defensiven Automatisierung und der vorherigen Vorbereitung.
KI beschleunigt nicht nur: Sie macht digitale Kriminalität billiger
Der Bericht argumentiert, dass böswillige Akteure generative KI für Aufgaben wie das Mappen von Netzwerken, die Entwicklung von Exploits und Deepfakes verwenden, wodurch Hochgeschwindigkeitsoperationen mit weniger erforderlicher Fähigkeit ermöglicht werden. Die Marktaussage ist unbequem: Durch die Senkung der Eintrittsbarrieren steigt die Zahl potenzieller Angreifer und die „Versuche“ vervielfachen sich, auch wenn die individuelle Erfolgsquote niedrig ist.
Cloudflare berichtet zudem vom „ersten KI-basierten Angriff“, der von der Firma beobachtet wurde, bei dem ein Akteur KI einsetzte, um hochpreisige Daten zu lokalisieren und Hunderte von „Tenants“ zu kompromittieren, was als ein hochwirksamer Lieferkettenangriff beschrieben wird. Über den spezifischen Fall hinaus ist das Muster von Bedeutung für die Strategie: KI funktioniert als Kostenkompressor. Sie senkt die Kosten der Erkundung, reduziert die Kosten der Personalisierung und senkt die Kosten der Iteration.
In digitalen Geschäften kommt fast jeder Conversion-Umsatz durch die Reduzierung von Reibung. Angewandte KI im Verbrechen tut dasselbe, jedoch auf der anderen Seite: Sie reduziert die Reibung, um es zu versuchen und zu wiederholen. Diese Asymmetrie zwingt Unternehmen, von handwerklichen Abwehrmaßnahmen zu standardisierten Abwehrmaßnahmen überzugehen.
Hier zeigt sich ein typischer Managementfehler: Sicherheit als „Technologie zu kaufen“ zu behandeln, anstatt als „Verhalten neu zu gestalten“. Mit Bots, die den Zugang dominieren, wird jede Wachstums-KPI, die auf Registrierungen, Anmeldungen oder Traffic basiert, kontaminiert. Monetarisiert das Unternehmen Werbung, degradieren sich die Metriken der Zielgruppe; monetarisiert es Abonnements, füllt sich der Pipeline mit Lärm; monetarisiert es Transaktionen, steigen die Kosten für Überprüfungen und die Kosten für Betrug. KI schafft nicht nur einen neuen Angreifer; sie schafft ein neues Umfeld, in dem traditionelle Indikatoren unzuverlässig werden, wenn sie nicht gegen böswillige Automatisierung instrumentiert sind.
Wenn das Login das Produkt ist: Der Verbraucher kauft Kontinuität und Kontrolle
Meine berufliche Besessenheit besteht darin zu verstehen, welchen „Fortschritt“ der Nutzer kauft, wenn er für einen Dienst bezahlt. Und in dieser Nachricht ist der Fortschritt klar: Der Kunde kauft keine „Sicherheit“ als abstraktes Attribut, sondern er kauft Kontinuität, Kontrolle und Abwesenheit von Reibung.
Die Informationen von Cloudflare über kompromittierte Zugangsdaten und Bots verwandeln die Identität in ein alltägliches Schlachtfeld. Die Konsequenzen für das Kundenerlebnis sind paradox: Um zu verteidigen, wird zusätzliche Reibung hinzugefügt; aber diese Reibung bestraft den legitimen Nutzer. Das ist das Dilemma, das Unternehmen trennt, die skalieren, von Unternehmen, die teuer und langsam bleiben.
Die besten geschäftlichen Antworten basieren nicht darauf, „mehr Schritte“ der Authentifizierung blind hinzuzufügen, sondern darauf, Abwehrmaßnahmen zu gestalten, die aggressiv gegen Bots und sanft gegen Menschen sind. Wenn das Unternehmen diese Unterscheidung nicht erreicht, beginnt der Verbraucher, den Dienst als instabil oder feindlich zu empfinden. Und wenn das Vertrauen schwindet, hinterfragt der Kunde nicht die Architektur: Er wechselt.
Die Industrialisierung verändert auch die Wettbewerbsmappe. Sektoren, die von Cloudflare als besonders anfällig für DDoS-Angriffe identifiziert werden – Gaming und Glücksspiel, IT und Internet, Kryptowährungen, Software, Marketing und Werbung – operieren oft mit Verkehrsspitzen, hoher Exposition und Empfindlichkeit auf Latenz. Wenn der Angriff „normal“ wird, wird die Resilienz zu einem kommerziellen Differenzierer. Es ist kein Marketing; es ist Überleben. Am Rand ist die Verfügbarkeit Teil des Wertangebots.
Für digitale Startups und KMUs ist das Risiko doppelt. Erstens, weil sie die Komplexität eines traditionellen Sicherheitsprogramms nicht bewältigen können. Zweitens, weil sie beim Wachstum böswillige Automatisierung anziehen, bevor sie interne Stärke aufbauen. Dies eröffnet Raum für Gewinner, die Verteidigung als Dienstleistung bündeln und einfache Implementierungen und variable Kosten anbieten. Nicht aus Mode, sondern weil der Markt einen Wechsel in der Finanzarchitektur erzwingt: von festen Kosten für Spezialisten zu variablen Kosten für Plattformen und Automatisierung.
Das geopolitische Brett gelangt in die Infrastruktur: Sicherheit als Betriebsbedingungen
Der Bericht erwähnt auch Aktivitäten staatlicher Akteure aus China, darunter Gruppen wie Salt Typhoon und Linen Typhoon, die Priorität auf nordamerikanische Telekommunikation sowie auf kommerzielle, staatliche und IT-Dienstleistungssektoren legen, mit „verankerten“ Präsenz für langfristige geopolitische Vorteile. Die vernünftige Lesart in geschäftlicher Hinsicht ist, dass die Bedrohung nicht mehr nur kriminell und transaktional ist; sie kann auch strategisch und beständig sein.
Wenn es ein „Pre-Positioning“ in kritischer Infrastruktur gibt, ist der Preis für eine Unterbrechung nicht nur die Ausfallzeit. Es ist operationale Unsicherheit. Für regulierte Industrien oder solche mit essentieller Infrastruktur erfordert dies eine Erhöhung des Mindeststandards für Resilienz und Monitoring.
Cloudflare beschreibt einen Übergang von heimlicher Ausbeutung zu Versuchen von Stromausfallszenarien, wobei DDoS als potenzieller Vorläufer für schädlichere Operationen fungiert. In Bezug auf Corporate Governance drängt dies dazu, Cybersicherheit von einem IT-Bericht zu einer transversalen Fähigkeit zu verschieben: Geschäftskontinuität, Lieferantenmanagement und Reaktionsvorbereitung.
Die harte Lehre ist, dass das schwache Glied oft der Dritte ist. Der von Cloudflare zitierte Fall eines Lieferkettenangriffs, der mehrere „Tenants“ betrifft, verdeutlicht das systematische Risiko: Ein kompromittierter Anbieter wird zum Multiplikator von Schäden. Auf vertraglicher Ebene erfordert dies eine Überprüfung der Mindestanforderungen, gemeinsame Überwachung und Notfallpläne. Auf Produktebene zwingt es dazu, die Abhängigkeit von fragilen Integrationen zu verringern und eine Segmentierung zu gestalten, damit Fehler sich nicht ausbreiten.
Was das C-Level annehmen sollte: Ständige Verteidigung, kein „Sicherheitsprojekt“
Das Muster, das sich aus dem Bericht ergibt, ist operationell: automatisierte Angriffe, massive Versuche, komprimierte Ausnutzungsfenster und durch Bots kontaminierten Verkehr. In diesem Kontext produziert die Behandlung der Cybersicherheit als Projekt mit Anfang und Ende das gleiche Resultat wie die Behandlung der Buchhaltung als Projekt.
Für einen CEO ist die relevante Entscheidung, welchen Teil des Geschäfts zu „Vertrauensinfrastruktur“ wird. Wenn das Unternehmen von Konten lebt, sind Login und Sitzung Vermögenswerte. Wenn es von Transaktionen lebt, ist die Verifizierung ein Vermögenswert. Wenn es von Verfügbarkeit lebt, ist die DDoS-Minderung ein Vermögenswert. Die Investition rechtfertigt sich nicht aus Angst; sie rechtfertigt sich durch den Schutz von Einnahmen, die Reduzierung von Betrug, die Verringerung der operativen Unterstützungslast und den Erhalt der Marke.
Für einen CFO ist die nützliche Sprache nicht „mehr Werkzeuge“, sondern vermiedene Kosten und umgewandelte Kosten: Automatisierung von Erkennung und Minderung, um menschliche Stunden zu reduzieren; Standardisierung von Kontrollen zur Reduzierung wiederkehrender Vorfälle; und vor allem, die Sicherheit zu einem Bestandteil der Kosten des digitalen Kundenservices zu machen.
Der Cloudflare-Bericht beschreibt keine hypothetische Zukunft. Er beschreibt die Gegenwart eines Internets, in dem der Angriff bereits Prozesse, Skalierung und Automatisierung hat. Das Unternehmen, das überlebt, wird dasjenige sein, das diese Realität in Design umsetzt.
Der Erfolg der nächsten Gewinner wird von einer einfachen Wahrheit über das Verbraucherverhalten abhängen: Der Nutzer kauft Kontinuität und Kontrolle über seine digitale Identität und wird jeden Dienst bestrafen, der ihm die unsichtbaren Kosten eines bewaffneten Internets überträgt.
