Technology-Threat-Landscape-Report 2026: China stiehlt KI-Kompetenzen, die es selbst nicht entwickeln kann

Crowdstrike veröffentlicht den „CrowdStrike 2026 Technology Threat Landscape Report“, der aufzeigt, dass China-nahe Angreifer ihre Spionageaktivitäten gegen Technologieunternehmen ausweiten, um KI-Kompetenzen und geistiges Eigentum zu stehlen, die sie selbst nicht schnell genug entwickeln können. Da die weltweit wertvollsten KI-Ressourcen in Technologieunternehmen konzentriert sind, ist der Sektor inzwischen die am stärksten ins Visier genommene Branche der Welt. Mehr als 58% der staatlich geförderten Angriffe auf den Technologiesektor gingen auf China-nahe Angreifer zurück.
Gleichzeitig intensivieren Bedrohungsakteure mit Verbindungen zur DVRK (Nordkorea) betrügerische IT-Arbeiter-Kampagnen, um Geldmittel in das Regime zu lenken. Währenddessen instrumentalisieren E-Crime-Akteure KI für offensive Zwecke und verwandeln die dahinterstehenden Entwickler-Ökosysteme in Angriffsvektoren. Der Report macht deutlich: Dieselbe Innovation, die Technologie wertvoll macht, macht sie auch zum Hauptziel von Angreifern.

Relevante Erkenntnisse des „CrowdStrike 2026 Technology Threat Landscape Report“

Basierend auf Frontline-Erkentnissen von Crowdstrikes-Counter-Adversary-Operations, die mehr als 280 namentlich bekannte Gegner verfolgen, zeigt der Report:
China-nahe Angreifer stehlen Technologie, um Pekings KI-Ambitionen voranzutreiben: China-nahe Angreifer – darunter MURKY PANDA, MUSTANG PANDA, OVERCAST PANDA, SUNRISE PANDA und WARP PANDA – hatten es vor allem auf die Technologiebranche abgesehen. Allein die Password-Spraying-Kampagne von MURKY PANDA traf mehr als 340 US-amerikanische Organisationen.
Nordkorea setzt KI ein, um Mitarbeiter in Technologieunternehmen einzuschleusen: FAMOUS CHOLLIMA nutzte KI-gestützte Fake-Identitäten und US-amerikanische Tarnfirmen, um sich Remote-Positionen in der IT von Technologieunternehmen zu sichern. Dies machte 47% aller staatlich geförderten interaktiven Angriffe auf den Sektor aus und leitete illegale Einnahmen direkt in die Waffenprogramme des Regimes.
Cyberkriminelle beschleunigen den Zugriff für Erpressungszwecke: Finanziell motivierte Angriffe machten 65% aller interaktiven Operationen gegen den Sektor aus. Initial Access Broker boten den Zugriff auf 277 Technologieunternehmen an, was einem Anstieg von fast 30% entspricht, während auf Big-Game-Hunting spezialisierte Angreifer 572 Technologieunternehmen auf dedizierten Leak-Seiten für Erpressungszwecke nannten.
● ECrime-Gruppen instrumentalisieren KI, um Angriffe zu skalieren: Angreifer setzten KI-generierte Skripte ein, um Anmeldedaten abzugreifen und forensische Beweise mit maschineller Geschwindigkeit zu löschen, wodurch die Reaktionszeit, die Verteidigern zur Verfügung steht, drastisch verkürzt wurde. Akteure im gesamten eCrime-Spektrum nutzen die zunehmende Verbreitung von KI aus und setzen gefälschte OpenClaw-Erweiterungen sowie gefälschte Download-Webseiten ein, um Skrawl – einen neuartigen Information Stealer für macOS – zu verbreiten.
Angreifer infiltrieren Entwickler-Lieferketten: STARDUST CHOLLIMA kompromittierte das Axios-NPM-Paket – das wöchentlich 100 Millionen Mal heruntergeladen wird – und gefährdete damit wahrscheinlich Millionen von nachgelagerten Nutzern, indem Open-Source-Lieferketten vergiftet wurden. Unabhängig davon kompromittierten Malware-Betreiber, bevor Crowdstrike das Glassworm-Botnetz zerschlug, 350 GitHub-Repositorys, um bösartigen Code in Javascript- und Python-Projekte einzuschleusen, wobei sie Ökosysteme der Softwareentwicklung ins Visier nahmen.
Technologieunternehmen schaffen die wertvollsten und am stärksten angegriffenen Assets der Welt. Jeder KI-Durchbruch schafft zugleich einen Wettbewerbsvorteil und eine neue Angriffsfläche“, sagt Adam Meyers, Head of Counter Adversary Operations bei Crowdstrike. „China betreibt Cyberspionage als Industriepolitik, um die Lücke bei KI-Innovationen zu schließen, was zeigt, dass KI-Fähigkeiten das Ziel sind, hinter dem Angreifer her sind. Unabhängig davon, ob sie KI entwickeln oder einsetzen, muss Sicherheit von Anfang an integriert werden.“