Cloudflare warnt im Threat Report vor Bot-Logins, kompromittierten Konten und DDoS-Spitzen bis 31,4 Tbps

Cloudflare nutzt seinen ersten großen Threat Report des Jahres 2026, um eine deutliche Verschiebung in der Logik moderner Angriffe zu beschreiben. Das Unternehmen argumentiert, dass viele Akteure nicht mehr primär auf aufwendige Einzelhacks setzen, sondern auf einen hohen operativen Wirkungsgrad. Dafür führt Cloudflare den Begriff Measure of Effectiveness, kurz MOE, als Leitmetrik ein. Gemeint ist die kalte Kosten-Nutzen-Rechnung eines Angreifers: Welche Methode liefert mit dem geringsten Aufwand den größten Effekt. In der Praxis führt das laut Report zu einer Welt, in der Identitäten, Tokens, SaaS-Verknüpfungen und legitime Cloud-Infrastruktur oft wertvoller sind als der spektakuläre Zero-Day.

Die Zahlen, die Cloudflare dazu veröffentlicht, sind entsprechend drastisch. Das Unternehmen spricht von durchschnittlich 230 Milliarden blockierten Bedrohungen pro Tag. In den vergangenen drei Monaten seien 94 Prozent aller Login-Versuche von Bots gekommen, und 63 Prozent aller Logins hätten Zugangsdaten verwendet, die bereits an anderer Stelle kompromittiert waren. Für Sicherheitsteams ist das eine unbequeme Botschaft. Der klassische Gedanke, verdächtige Aktivität als Ausnahmeereignis zu behandeln, passt immer schlechter zu einer Lage, in der automatisierte Login-Tests und Credential-Missbrauch praktisch Dauerverkehr geworden sind.

Hinzu kommt die Netzwerkebene. Cloudflare nennt eine DDoS-Basis von 31,4 Tbps und macht daraus bewusst mehr als einen einzelnen Rekordwert. Der Konzern beschreibt solche Volumina als Bereich, in dem menschliche Reaktionsketten strukturell zu langsam werden. Wer bei Angriffsspitzen erst manuell prüft, eskaliert und umschaltet, verliert im Zweifel schon vor der Gegenmaßnahme. Daraus leitet Cloudflare seine zentrale Empfehlung ab: Verteidigung müsse deutlich autonomer werden. Das ist auch ein ökonomisches Argument. Je schneller Angriffe laufen, desto mehr Wert verschiebt sich von zusätzlichem Personal zu Automatisierung, Telemetrie und Identitätskontrollen.

Die acht im Bericht zusammengefassten Trends zeigen, wie breit der Umbau der Angriffsfläche inzwischen ist. Cloudflare verweist auf KI-gestützte Kartierung und Ausnutzung, auf staatliche Vorpositionierung in kritischer Infrastruktur, auf überprivilegierte SaaS-Integrationen mit großem Dominoeffekt, auf die Tarnung über vertrauenswürdige Cloud-Dienste, auf Deepfake-Personas in Unternehmensprozessen und auf Token-Diebstahl, der Mehrfaktorauthentifizierung praktisch umgeht. Das gemeinsame Muster dahinter ist nicht technische Eleganz um ihrer selbst willen, sondern maximale Anschlussfähigkeit an bestehende digitale Abläufe. Angreifer nutzen die Systeme, die Unternehmen selbst für Effizienz und Skalierung gebaut haben.

Für Technologieunternehmen und IT-Abteilungen bedeutet der Report vor allem eine Prioritätenverschiebung. Sichtbarkeit über Identitäten, Sitzungen, API-Verknüpfungen und cloudübergreifende Bewegungen wird wichtiger als eine rein perimetrierte Abwehrlogik. Gleichzeitig dürften Anbieter profitieren, die Erkennung und Reaktion enger automatisieren können, etwa im Identitätsmanagement, bei Bot-Abwehr, Zero-Trust-Architekturen oder API-Sicherheit. Cloudflare verfolgt mit dem Bericht natürlich auch eine klare Produktagenda. Die zugrunde liegende Diagnose ist dennoch plausibel: Wenn Angriffe billiger, schneller und stärker automatisiert werden, muss Verteidigung ihren Takt anpassen. Nicht der spektakulärste Hack setzt dann die Standards, sondern der Angriff, der sich millionenfach am effizientesten wiederholen lässt.