Zu Beginn des Jahres veröffentlichte das Sans Institute die „Top 5 der gefährlichsten Angriffstechniken für 2025“. Dies waren schon damals keine Vorhersagen theoretischer Natur. Sie basierten auf den Beobachtungen bei forensischen Ermittlungen, SOC-Operationen und in industriellen Umgebungen. Ein Jahr später haben sich diese Vorhersagen zur Cybersicherheit weitgehend bewahrheitet.
Unkontrollierte Zugriffe auf Cloud-Anwendungen sind nach wie vor einer der häufigsten Angriffspunkte für Angreifer. Ransomware, die auf ICS-Systeme abzielen, sind in Bezug auf das Ausmaß als auch die Absichten geradezu eskaliert. KI hat sich sogar noch mehr zu einer Gefahr entwickelt, als dies angenommen wurde und ist dennoch eine der größten Chancen auf Besserung der Cybersicherheit. Mit Blick auf das Jahr 2026 berichten Cybersicherheits-Experten in den Bereichen Security-Management, Cyber Defense, Offensive Operations, Digitale Forensik und Incident Response (DFIR) und Cloud Security, was sich geändert hat, was gleich geblieben ist und worauf sich Teams der Cybersicherheit als Nächstes vorbereiten müssen.
Security-Management: KI-Konsolidierung und die Notwendigkeit von Effizienz
Mark Orlando ist Instructor beim Sans Institute.
(Bild: Sans Institute)
Mark Orlando, Instructor beim Sans Institute und Field CTO bei Push Security, erklärt: „Im Jahr 2025 überschwemmten KI-Tools für das SOC den Markt, aber für 2026 erwarte ich eine umfassende Konsolidierung, genau wie vor zehn Jahren auf dem SOAR-Markt. Die größeren Anbieter integrieren KI direkt in ihre bestehenden Plattformen, und die kleineren Akteure werden aufgrund ihrer Nischenkompetenzen übernommen werden. Effizienz ist jedoch nicht gleichbedeutend mit Autonomie.
Viele frühe Versprechungen, Tier-1-Analysten zu ersetzen, stoßen an die Grenzen der Komplexität der realen Welt. Stattdessen werden wir Tools sehen, die Menschen unterstützen sollen – und nicht ersetzen. Für CISOs heißt 2026 jedoch auch, dass die Budgets knapp bleiben, die Aufsichtsbehörden immer strengere Regeln aufstellen und die Vorstände weiterhin Ergebnisse erwarten. Sicherheitsverantwortliche müssen die messbare Wirksamkeit ihrer bestehenden Maßnahmen nachweisen.“
Cybersicherheit: Deepfakes, Detection und intelligente Angriffsemulation
Nick Mitropoulos ist Instructor beim Sans Institute.
(Bild: Sans Institute)
Nick Mitropoulos, SANS-Instructor, erklärt im Hinblick auf die Cyber Defense, dass Vertrauen zerbrechlich ist: „Wir beobachten, dass Angreifer generative KI einsetzen, um E-Mails, Chats und Videos zu erstellen, die absolut authentisch wirken. Es geht nicht mehr nur um Text. Es geht um Tonfall, Sprachrhythmus und sogar Mimik. Detection Engineering wird zur neuen Normalität.
Wir schreiben Erkennungsmechanismen als Code, testen sie wie Software und validieren sie ständig anhand simulierter Angriffe. So vermeidet man, in Warnmeldungen zu versinken, und kann sich auf die Signale konzentrieren, die wirklich wichtig sind. Mit KI-generierten Playbooks können wir Tausende von Angriffsvarianten innerhalb von Stunden statt Wochen emulieren. Das ist die Art von Skalierbarkeit, die die Cybersicherheit seit Jahren benötigt.“
Offensive Operationen: KI im Toolkit des Red Teams
Jonathan Reiter ist Lead Instructor für Offensive Operations beim Sans Institute.
(Bild: Sans Institute)
Jonathan Reiter, Lead Instructor für Offensive Operations beim Sans Institute erklärt, dass KI mittlerweile in fast jede Phase des Offensive Testing integriert ist: „Wir sind davon abgekommen, KI als Hilfsmittel zu nutzen, und setzen sie nun als Teammitglied ein. Ich kann ein Codierungsmodell um einen C++-Proof-of-Concept bitten, es kompilieren und es funktioniert – das ist der Stand der Dinge. Man braucht immer noch den User, um zu leiten, zu validieren und anzupassen. Die Teams werden reüssieren, die wissen, wie man KI-Ergebnisse formt, um sie in nutzbaren, testbaren Code umzuwandeln. Red Teams werden KI nutzen, um Tools in kurzen Zyklen zu entwickeln, zu testen und zu verfeinern, genau wie Softwareentwickler. Das ist schneller, intelligenter und wird letztendlich auch die Messlatte für Verteidiger höher legen.“
Digitale Forensik und Incident Response: Intelligenter und schwerer zu verbergen
Mari DeGrazia ist Senior Instructor und Principal Forensic Examiner beim Sans Institute.
(Bild: Sans Institute)
Mari DeGrazia, Senior Instructor und Principal Forensic Examiner beim Sans Institute, sieht fehlende forensische Artefakte als wichtigen Trend, weil Angreifer lernen, diese Lücke auszunutzen: „Der Unterschied besteht nun darin, dass sie nach der Kompromittierung KI einsetzen. Wir haben Fälle gesehen, in denen Angreifer KI-gesteuerte Tools einsetzen, um gestohlene Posteingänge zu durchsuchen und zu bewerten, welche Kontakte am ehesten vertrauen oder reagieren. Das ist Social Engineering mit Data Science im Hintergrund. Angreifer lassen exfiltrierte Daten durch KI laufen, um wertvolle persönliche oder medizinische Informationen zu identifizieren. Sie können diese Daten bündeln und für Erpressungszwecke nutzen, bevor die meisten Opfer überhaupt bemerken, was gestohlen wurde. Teams müssen deshalb in forensische Bereitschaft investieren. Gute Protokollierung und Transparenz sind keine Compliance-Checkboxen, sondern der Unterschied zwischen Reagieren und Raten.“
Cybersicherheit von KI und Cloud sowie die wachsende Angriffsfläche
Ahmed Abugharbia ist Senior Instructor und Cloud-Sicherheitsarchitekt beim Sans Institute.
(Bild: Sans Institute)
Ahmed Abugharbia, Senior Instructor und Cloud-Sicherheitsarchitekt beim Sans Institute, sieht, dass immer mehr Unternehmen ihre Umgebungen neu aufbauen und absichern. „KI ist mittlerweile Teil fast jedes Workflows, Anwendungen, Modelle und Agenten verbinden sich mit Datenspeichern und Produktionssystemen, und jede Verbindung erhöht das Risiko. Sicherheitsteams müssen diese Systeme genau verstehen und Abwehrmaßnahmen entwickeln, die sich mit ihnen weiterentwickeln. Unternehmen werden ihre eigenen Modelle trainieren oder optimieren, was bedeutet, dass sie ihre MLOps-Pipelines sichern müssen. Andere werden sich auf etablierte Anbieter wie OpenAI oder Anthropic verlassen, was zu Bedenken hinsichtlich der Lieferkette und des Datenschutzes führt. Die meisten werden beides tun, und diese Komplexität wird neue Angriffswege eröffnen.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Die Beziehung zwischen KI und Cloud-Sicherheit wird weiter gestärkt. Die lokale Ausführung von KI ist teuer und begrenzt, sodass die Cloud-Nutzung schnell zunimmt. Aus Sicherheitsperspektive sind KI- und Cloud-Sicherheit nun ein und dasselbe Problem. Man kann sie nicht mehr voneinander trennen. KI macht auch Cybersicherheits-Maßnahmen effizienter, wir sehen neue Tools für Red Teaming, Incident Response und Detection Engineering, die KI nutzen, um repetitive Arbeiten zu automatisieren. Dadurch haben Verteidiger mehr Zeit, sich auf Strategie und Kreativität zu konzentrieren. Mit zunehmender Leistungsfähigkeit der KI werden sich die Organisationsstrukturen verändern. Einige Rollen werden wachsen, andere werden sich weiterentwickeln, und Sicherheitsteams müssen genauso schnell lernen wie die Systeme, die sie schützen.“
Cyberbedrohungen sind bereits heute schneller, automatisierter und gleichzeitig effektiver geworden. Der nächste Schritt beinhält mehr als nur Vorhersagen, es ist vielmehr die Messung der Cybersicherheitsinvestitionen anhand klar definierter Parameter.
:quality(80)/p7i.vogel.de/wcms/26/7f/267fe7086a35a99a8746d5328bc34387/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "(Bild: © Antto-AI/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e2/fe/e2fecc72262f24cdac5e7d269cbc19af/it-trends-imageflow-adobestock-1767411415-neu-1200x675v1.jpeg "(Bild: © ImageFlow/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/06/7306fe7290414df91b2a4f5a89eee7ee/easy-20software-dms-teaser-16-9-1133x637v1.jpeg "(Bild: Easy Software)")
:quality(80)/p7i.vogel.de/wcms/fc/92/fc9219fe63a11cbd77472b28798c7e73/stackit-cybus-partnerschaft-16-9-727x409v1.jpeg "Stackit und Cybus vereinbaren eine strategische Partnerschaft für europäische Smart-Factory-Lösungen. (Bild: Cybus)")
:quality(80)/p7i.vogel.de/wcms/fa/a3/faa35b3be508b1bafeae8e481dad808c/hr-ipopba-adobestock-451361135-neu-780x439v1.jpeg "(Bild: © ipopba/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/10/851074900a9e0eabf32944642cc2272f/adobestock-1270513612-vectorwin-colocation-996x560v1.jpeg "(Bild: © vectorwin/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/06/cc06928e9d81a3ae02f66889f453bb00/aws-modell-20availability-20zone-16-9-1200x675v1.jpeg "Die AWS European Sovereign Cloud basiert auf dem Modell der AWS Availability Zone. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/1d/ef/1def8868f8b42a11d18bd5e94167fd5e/adobestock-216443774-peterschreiber-media-hosting-plattformen-889x500v1.jpeg "(Bild: © peterschreiber.media/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/c3/4ac353ac9ecdfc9c07cb9cd559a578a0/genai-krot-studio-adobestock-1335835272-neu-1200x675v1.jpeg "(Bild: © Krot_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/35/af35b7a70474e8d447c57993e0146b38/kit-quantentechnologien-karlsruhe-1230x691v1.jpeg "Die optische Schnittstelle für einen Quantenspeicher wird ein wichtiger Bestandteil von künftigen Quantennetzwerken sein. Der erste Teil davon wurde Anfang 2025 am KIT gebaut. (Bild: Markus Breig/KIT)")
:quality(80)/p7i.vogel.de/wcms/aa/09/aa0954018ba5f37cfdfcfa30ad809da7/quantenc--20www-freund-foto-de-adobestock-652196310-mitki-1067x600v1.jpeg "(Bild: © www.freund-foto.de/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/97/7c9771d964d17b3b15df85b23b81f41f/bundesdruckerei-pqc-personalausweis-16-9-1200x674v1.jpeg "Demonstrator des quantensicheren Personalausweises. (Bild: Bundesdruckerei GmbH)")
:quality(80)/p7i.vogel.de/wcms/1d/6f/1d6fa6c8604a36abf5a0bf7679e44c1b/genua-genuline-bild-3390x1908v1.jpeg "Mit einer FPGA-Hardwarebeschleunigung verbindet das BSI-zugelassene VPN-Gateway genuline von genua Standorte mit quantensicherer Verschlüsselung. (Bild: genua GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/77/167784e2707d79bd104241764b3c370d/cyberresilienz-delques-adobestock-783757721-neu-996x560v1.jpeg "(Bild: © Delques/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e3/5d/e35d5bd9186efb6fc898124edcab7216/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/34/5134975c97cebf7549b21b05454f4cec/cybersecurity-elnur-adobestock-394674637-neu-900x506v1.jpeg "(Bild: © Elnur/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/88/9e884cac1f5ea1b21159ac7c3bf73b76/flexera-it-management-2026-freepik-7360x4142v1.jpeg "(Bild: Freepik)")
:quality(80)/p7i.vogel.de/wcms/9c/3a/9c3a866def18ca8aebbe659276a18b81/consense-release-2025-2-16-9-1400x787v1.jpeg "Praktische Funktionen und die KI-Integration in der ConSense Release 2025.2 optimiert die Arbeit mit QMS- und IMS-Systemen. (Bild: insta_photos)")
:quality(80)/p7i.vogel.de/wcms/22/dd/22dd3877ab935747f146a760d14315d6/ki-agent-thapana-studio-adobestock-1281084264-neu-1200x675v1.jpeg "(© Thapana_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/aa/b3aa340d5ac168ee0fee01f42035ff4d/dji-20mavic-204-20pro-bild-16-9-1680x944v1.jpeg "Die Drohne Mavic 4 Pro von DJI ermöglicht neue Perspektiven von Luftaufnahmen.
(Bild: DJI)")
:quality(80)/p7i.vogel.de/wcms/62/1a/621a89cd2d07f631880e43cda889118b/adobestock-1644426553-karina-digital-health-969x545v1.jpeg "(Bild: © KARINA/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/cd/30cd86fcb5d329cc823b8a6114db8189/dmea-20berlin-202025-16-9-2000x1124v1.jpeg "Die diesjährige DMEA findet vom 21. bis 23. April 2026 in der Messe Berlin statt. (Bild: © Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/3a/d6/3ad6ea137cead57bf9d1d9517dd5f8d7/stackit-sana-20kliniken-16-9-1749x983v1.jpeg "Sana Kliniken setzt auf die souveräne Cloud-Infrastruktur von Stackit. (Bild: Sana Kliniken AG)")
:quality(80)/p7i.vogel.de/wcms/94/eb/94eb9f2fa3eda7c475bbc15ab0a37d7e/digital-20health-sdecoret-adobestock-178705480-neu-999x562v1.jpeg "(Bild: © sdecoret/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/f5/64f5013e4eedfa4f98b795e30cac7adc/it-sa-expo-26congress-eingang-3-2-1400x788v1.jpeg "(Bild: NürnbergMesse GmbH)")
:quality(80)/p7i.vogel.de/wcms/e6/db/e6dbf6cd77bbb7d46954d17450354c62/ot-oulaphone-adobestock-1069683089-5798x3264v1.jpeg "(Bild: © Oulaphone/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/b7/a2b78c24a10a843fe4456112371dff7d/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studios/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/07/b407aec50a1c555341b71483c58d954a/resilienz-srite-20khatun-adobestock-821261728-neu-880x495v1.jpeg "(Bild: © Srite Khatun/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/37/0c3795d561b32378f5a1728f3efcedaa/esker-scott-20mcdermott-16-9-1200x674v1.jpeg "Scott McDermott ist neuer Chief Financial Officer von Esker. (Bild: Esker)")
:quality(80)/p7i.vogel.de/wcms/46/b2/46b26d5ed883ada5b43309c2b4c76011/arbeitsplatz-exnoi-adobestock-808744861-mitki-996x560v1.jpeg "(Bild: © Exnoi/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e7/c2/e7c24ae49b93587a03e144ce71866eaf/digitalisierung-wrightstudio-adobestock-235419903-neu-1500x843v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/b9/65b918972f33e/logo-softeq.jpeg "logo-softeq (Softeq Development GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/fe/67fe14a4d78d3/esker-corporate-logo-c--002-.jpeg "esker-corporate-logo-c--002- (Esker Software)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/35/44/3544982fa0e741c14109df5d34f2c3d8/social-20engineering-beebright-adobestock-126204877-neuv1.jpeg "social-20engineering-beebright-adobestock-126204877-neuv1 (Bild: © beebrigh/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/16/3916e7f48ef2434e38d5ae2d05637e6e/data-20breach-mh-desing-adobestock-767198033-neu-1000x563v1.jpeg "data-20breach-mh-desing-adobestock-767198033-neu-1000x563v1 (Bild: mh.desing/Adobe Stock)")
:quality(80)/p7i.vogel.de/wcms/f7/5a/f75ac59c698cdad5b864af42a85cb6ab/cyberangriff-greenoptix-adobestock-795873778-neu-1200x675v1.jpeg "cyberangriff-greenoptix-adobestock-795873778-neu-1200x675v1 (Bild: © GreenOptix/stock.adobe.com)")