Mehr als die Hälfte aller IT-Projekte hat kritische Sicherheitslücken

Insgesamt haben wir 3.293 Schwachstellen identifiziert – 17 % mehr als im Jahr 2024. Dieser Report bietet einen Einblick in die Cybersicherheitslage, so wie wir sie wahrnehmen: als Team zertifizierter ethischer Hacker, deren Ziel es ist, Schwachstellen aufzudecken, bevor sie von echten Angreifern ausgenutzt werden können.

             — Gabriel Lachmann, CEO, Citadelo

Grundsätzlich gilt: Je geringer die Schwere eines Risikos, desto häufiger tritt es auf. Im Durchschnitt bildeten als „Note“ eingestufte Schwachstellen mit 32 % den zweitgrößten Anteil aller Befunde. Obwohl ihre Behebung empfohlen wird, stellen sie keine unmittelbare Bedrohung für den Projektbetrieb dar. Schwachstellen der Kategorie „Low“ machten 33 % aller identifizierten Schwachstellen aus.

Im Jahresvergleich stiegen kritische Schwachstellen um 42 % – sie repräsentieren 6 % aller Befunde und erfordern sofortige Maßnahmen. Schwachstellen der Kategorie "High" nahmen um 14 % zu, während "Medium"-Risiken im Vergleich zu 2024 um 44 % anstiegen.

Click HIER um unseren vollständigen Report herunterzuladen.

Ein besorgniserregendes Signal ist das trügerische Sicherheitsgefühl im Bereich der internen Infrastruktur und Cloud-Umgebungen – genau diese Kategorien wiesen im Durchschnitt die höchste Anzahl an Schwachstellen pro Projekt unter allen getesteten Typen auf.

Ein bedeutender Trend ist der starke Anstieg bei der Sicherheitsprüfung von KI-gestützten Lösungen und großen Sprachmodellen (LLMs). Die Anzahl solcher Tests hat sich im Jahresvergleich verdoppelt. Während KI die Arbeitsweise von Unternehmen grundlegend verändert, bringt sie auch neue Arten von Schwachstellen mit sich – etwa Prompt Injection, den Abfluss sensibler Daten oder unzureichendes Zugriffsmanagement.

Häufigste Risiken nach Projekttyp

Webprojekte waren mit Abstand der am häufigsten getestete Typ und machten 55 % aller Projekte aus. Infrastrukturprojekte belegten mit 17 % den zweiten Platz, gefolgt von API-Projekten mit 8 % sowie Cloud- und mobilen Anwendungen mit je 6 %.

Web

In der heutigen digitalen Landschaft sind Webanwendungen der am häufigsten getestete Lösungstyp – und sie verzeichneten auch die höchste Anzahl identifizierter Schwachstellen über alle Kategorien hinweg. Dieses Segment wies zudem den zweithöchsten Anteil an mittel- und hochgradigen Schwachstellen unter allen Projekttypen auf.

Mobile und Desktop-Anwendungen

Mit dem wachsenden Einsatz mobiler Apps steigt auch die Anzahl der bestätigten Schwachstellen. Das häufigere Auftreten von "Medium"-Befunden ist hauptsächlich darauf zurückzuführen, dass wir bei der Analyse mobiler Anwendungen auch die Client-seitigen Schichten (APK/AAB und IPA) untersuchen. Bei Desktop-Anwendungen verzeichneten wir einen Anstieg von 25 % bei kritischen Schwachstellen und einen Anstieg von 66 % bei "High"-Befunden. 

Red Teaming

Red Teaming ist die umfassendste und realistischste Simulation eines echten Cyberangriffs – es testet die Sicherheit eines Unternehmens ganzheitlich und umfasst nicht nur Systeme, sondern auch Menschen, Prozesse und physische Sicherheit. Im Jahr 2025 verzeichneten Red-Teaming-Projekte einen Anstieg der Schwachstellen um 33 %, bei kritischen Schwachstellen sogar um 50 %. 

Infrastruktur

Infrastrukturprojekte machten 17 % aller Aufträge aus. Diese Kategorie wies die höchste Anzahl an kritischen und "High"-Schwachstellen auf – sogar mehr als Webprojekte. Ein beunruhigendes Muster ist das trügerische Sicherheitsgefühl: Unternehmen gehen davon aus, dass ihre interne Infrastruktur sicher ist, nur weil sie nicht direkt über das Internet erreichbar ist, und testen sie daher seltener. Die Realität sieht anders aus – 71 % der Infrastrukturprojekte enthielten eine kritische Schwachstelle, ebenso wie 42 % der Cloud-Projekte. Beide Kategorien wiesen zudem die höchste durchschnittliche Anzahl an Schwachstellen pro Projekt auf. 

Cloud

Ähnlich wie bei der internen Infrastruktur neigen Kunden, die Cloud-Umgebungen nutzen, zu einem trügerischen Sicherheitsgefühl. Der irrtümliche Glaube, dass die in Cloud-Diensten standardmäßig enthaltenen Audits ausreichend sind, hat in der Praxis dazu geführt, dass kritische Schwachstellen übersehen wurden – solche, die wir erst bei unseren eigenen Tests aufgedeckt haben. 

Social Engineering

Im Jahr 2025 haben wir viermal so viele Social-Engineering-Projekte getestet wie im Vorjahr – und 57 % davon enthielten eine kritische Schwachstelle. Unsere Daten zeigen, dass es bei erstmalig getesteten Unternehmen in bis zu 40 % der Fälle zu einem erfolgreichen Einbruch kommt. Regelmäßige Tests in Kombination mit gezielten Mitarbeiterschulungen können diese Quote jedoch deutlich senken. 

             — Tomáš Horváth, Sales Director, Citadelo

Wir testen branchenübergreifend. Im Jahr 2025 entfielen 54 % unserer Projekte auf den Finanzsektor. Softwareentwicklung war das zweitgrößte Segment mit einem Anteil von mehr als 11 % aller bewerteten Projekte. 

Die mehr als 3.293 von uns identifizierten Schwachstellen spiegeln den aktuellen Stand der Cybersicherheit wider – und unterstreichen, warum systematisches Penetrationstesting im Jahr 2026 wichtiger ist denn je. Während Befunde geringerer Schwere den Großteil unserer Entdeckungen ausmachten, bargen 187 kritische Schwachstellen das Potenzial für schwerwiegende Sicherheitsvorfälle, wenn sie nicht rechtzeitig behoben worden wären. 

Unsere Daten weisen auch auf einen entscheidenden gemeinsamen Nenner hin: Dort, wo Sicherheit unterschätzt wird, finden wir konsequent mehr Schwachstellen. Dies gilt insbesondere für interne Infrastruktur und Cloud-Umgebungen. Die Schlussfolgerung ist eindeutig: Sicherheit darf nicht auf die leichte Schulter genommen werden. 

Möchten Sie wissen, wie viele Schwachstellen in Ihren Systemen stecken?