[datensicherheit.de, 28.02.2026] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zum Web-Seminar „Das Ende klassischer Kryptographie? IT-Sicherheit vor dem Quantenumbruch“ ein. Seit Jahrzehnten schützen kryptographische Verfahren u.a. digitale Identitäten, VPN-Verbindungen, E-Mails und geschäftskritische Daten. Doch mit dem Fortschritt auf dem Gebiet des Quantencomputings gerät genau dieses bisher noch so sicher geltende Fundament ins Wanken: „Was heute als sicher gilt, könnte morgen berechenbar sein!“, warnt der it’s.BB.

Abbildung: it’s.BB e.V.

Referent: Jonas Schubert, IT-Security-Experte, M&H IT-Security

„Das Ende klassischer Kryptographie? IT-Sicherheit vor dem Quantenumbruch“

Web-Seminar am Mittwoch, dem 11. März 2026, von 16.00 bis 17.00 Uhr.
via „MS-Teams“
Die Teilnahme ist kostenlos – eine Online-Anmeldung erforderlich.

Agenda (ohne Gewähr)

– Einführung und Übersicht über klassische Kryptographie
– Erläuterungen:

• symmetrische und asymmetrische Verschlüsselungsmethoden,
• wann und wie Quantencomputer ein reales Risiko für klassische Kryptographie darstellen,
• welche erfahren konkret betroffen sind,
• was „Post-Quanten-Kryptographie“ bedeutet,
• welche strategischen Schritte Unternehmen bereits jetzt einleiten sollten.

– „Q&A“

Online-Anmeldung und weitere Informationen zum Thema:

eventbrite.de, it’sBB e.V ITSicherheitsnetzwerk BerlinBrandenburg
Das Ende klassischer Kryptographie? IT-Sicherheit vor dem Quantenumbruch

it’s.BB DAS IT_SICHERHEITSNETZWERK BERLIN-BRANDENBURG
it´s.BB – über uns / IT-Sicherheit für Berlin und Brandenburg

datensicherheit.de, 01.11.2025
Bedrohung der Datensicherheit durch Fortschritte bei Quantencomputern / Unternehmen stehen weitreichende Veränderungen hinsichtlich des Schutzes sensibler Informationen und Daten bevor – Quantencomputer rechnen immer schneller und bedrohen Public-Key-Verschlüsselungen

datensicherheit.de, 16.09.2025
Daten als Beute auf Vorrat: Cyberkriminelle setzen auf Fortentwicklung der Quantencomputer / US-Behörde NIST empfiehlt neue Kryptographie-Standards: Quantencomputer werden bald heute noch als sicher geltende Verschlüsselungen in Sekunden knacken können

datensicherheit.de, 16.07.2025
Fortschritte des Quantencomputings: Aktuelle Verschlüsselungsverfahren drohen obsolet zu werden / Innerhalb der nächsten fünf bis zehn Jahre wird vielfach der Eintritt des „Q-Day“ befürchtet – also der Zeitpunkt, an dem Quantencomputer leistungsfähig genug sind, heute gängige kryptographische Algorithmen zu brechen

datensicherheit.de, 16.05.2025
Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen / Rückblick auf das „FrühlingsForum 2025“ des VDI/VDE-AK Sicherheit und des ETV in Berlin mit Dr. Jan Goetz als Sprecher zum Thema „Quantencomputer – Was kommt nach KI? Wie Quantencomputer die Welt verändern können“

datensicherheit.de, 12.05.2025
Q-Day: Utimaco rät Unternehmen zur rechtzeitigen Vorbereitung auf quantengestützte Cyberangriffe / Aktueller Utimaco-Report zu Quantenbedrohungen erschienen – um weiterhin digitale Sicherheit zu gewährleisten, muss sich die heutige Kryptographie drastisch verändern

[datensicherheit.de, 28.02.2026] ESET meldet in eigener Sache: „Die beste IT-Sicherheit kommt aus der EU!“ Zu diesem Ergebnis kommen demnach Tester der Stiftung Warentest. „In der aktuellen Ausgabe des Magazins hat die ,ESET HOME Security Essential’ unter insgesamt 16 getesteten Lösungen für ,Windows’ einen Spitzenplatz erreicht.“ Die Ergebnisse sprächen eine klare Sprache: Mit der Note 1,4 („sehr gut“) liege dieses Lösungspaket auf dem ersten Platz. Besonders die Performanz und die Handhabung hätten die Tester überzeugt.

Schutzwirkung der ESET-Lösung gegen Malware und Phishing

„Der Testsieg bei Stiftung Warentest bestätigt unser konstantes Streben nach technischer Perfektion in der IT-Sicherheit“, kommentiert Juraj Malcho, „Chief Technology Officer“ von ESET.

• Er unterstreicht: „Unser Ziel ist es, Nutzern und Unternehmen auf der ganzen Welt den bestmöglichen Schutz zu bieten – ganz ohne unnötige Komplexität. Dass unsere Bemühungen nun ausgezeichnet werden, macht uns besonders stolz.“

Besonders überzeugt seien die unabhängigen Tester der Stiftung Warentest von der sehr hohen Schutzwirkung gegen Schadsoftware und Phishing sowie der geringen Systembelastung. Features wie der eingebaute abgesicherte Browser schützten die Online-Aktivitäten von Nutzern.

Auch ESET-Preispolitik gewürdigt

Auch die Preispolitik habe bei den Testern gepunktet: Im Gegensatz zu anderen Herstellern gebe es bei den „ESET HOME Security“-Lösungen keine versteckten Preiserhöhungen bei Verlängerungen.

• Während einige Anbieter Neukunden mit geringen Kosten für das erste Jahr lockten und im Folgejahr die Preise kräftig anzögen, sehe ESET von solchen Praktiken ab.

„In unserer Preispolitik gibt es für Nutzer keine bösen Überraschungen“, so Stefan Heitkamp, „Director of Retail, Etail & OEM Partnerships“ bei ESET. Er führt aus:„Im Gegensatz zu vielen Mitbewerbern setzen wir auf umfassende Transparenz bei allem, was wir tun – vom exzellenten Datenschutz bis hin zu einer verständlichen Preisgestaltung.“

Deutschsprachige ESET-Support durch eigene Mitarbeiter in Jena

Auch in der IT-Sicherheit gebe es bei Herstellern nichts kostenlos, so auch das Ergebnis der Stiftung Warentest. Viele Anbieter nutzten ihre Gratisversionen, um kostenpflichtige Lösungen und Funktionen zu bewerben. Die Tester schreiben dazu: „In den Gratisversionen spielen sie dann häufig Werbung für kostenpflichtige Zusatzfunktionen aus.“

• Nutzer von Gratis-Tools müssten im Ernstfall oder bei Problemen einen KI-Chatbot, ein Forum oder einen FAQ-Artikel befragen. Indes warteten meist nur bezahlte IT-Sicherheitslösungen mit einem echten menschlichen Support auf.

Eben genau dies könnten ESET-Kunden erwarten: „Im Vergleich zu vielen Mitbewerbern bieten wir unseren Kunden deutschsprachigen Support an, den wir mit eigenen Mitarbeitern in Jena realisieren“, ergänzt Heitkamp.

ESET-Selbstverpflichtung: IT-Sicherheit aus der EU in der Spitzenklasse

Der vorliegende Produkttest zeige: „ESETs IT-Sicherheit ist in technischer Hinsicht ausgezeichnet.“ Darüber hinaus setze ESET als europäischer Hersteller auf höchste Datenschutzstandards und innovative Schutztechnologien.

• Organisationen und Anwender könnten sich darauf verlassen, dass sie mit ESET-Lösungen nicht nur leistungsstarke Sicherheit erhielten, sondern auch eine bedingungslose Gesetzeskonformität. Dank „No-Backdoor“-Garantie enthielten die Produkte zudem keine verborgenen „Hintertüren“.

Der aktuelle Testsieg bestätige ESETs Engagement für europäische IT-Sicherheit. „Wer ein ausgezeichnetes, leistungsstarkes und kosteneffektives IT-Security-Paket sucht, wird bei ESET HOME Security Lösungen fündig.“

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

Stiftung Warentest, 26.02.2026
ESET Home Security Essential

eseT
eseT HOME Security edition 2026: Rundum-Schutz für Ihr digitales Leben / Für Windows, macOS, Android und iOS…

datensicherheit.de, 25.02.2026
Digital Independence Day: Emanzipation mittels Cybersecurity „Made in EU“ / Am 1. März 2026 findet wieder der europäische „Digital Independence Day“ (DI.Day) statt – er soll auf die Abhängigkeit von außereuropäischen Tech-Lösungen hinweisen und zugleich europäische Alternativen aufzeigen

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

datensicherheit.de, 09.09.2025
„Made in EU“ strategischer Erfolgsfaktor für IT-Sicherheit bei Unternehmen, Behörden und KRITIS / Wer IT-Systeme zuverlässig schützen will, muss sicher sein, auf welche Technologien er sich rechtlich, technisch und strategisch verlassen kann

Von unserem Gastautor Max Heinemeyer, Global Field CISO, Darktrace

[datensicherheit.de, 26.02.2026] Die Einführung der ISO/IEC 42001 markiert einen wichtigen Meilenstein für die sichere und verantwortungsvolle Nutzung von Künstlicher Intelligenz (KI). Als weltweit erste Managementsystem-Norm für KI schafft sie einen strukturierten Rahmen – insbesondere für sicherheitskritische Bereiche wie die Cybersicherheit.

Max Heinemeyer, Global Field CISO, Darktrace, Bild: Darktrace

In einer Zeit, in der KI nicht nur Prozesse automatisiert, sondern zunehmend eigenständig Entscheidungen vorbereitet oder trifft, ist ein klar definiertes Governance-Modell unerlässlich. Gerade in sensiblen Umfeldern wie der Datenverarbeitung und IT-Sicherheit bietet ISO/IEC 42001 eine dringend benötigte Orientierung.

Warum ein KI-Standard notwendig ist

KI-Systeme sind heute weit mehr als unterstützende Werkzeuge. Sie priorisieren Sicherheitsvorfälle, analysieren große Datenmengen in Echtzeit und reagieren automatisiert auf Bedrohungen. Diese Fähigkeiten erhöhen die Geschwindigkeit und Effektivität der Cyberabwehr erheblich. Gleichzeitig entstehen neue Risiken: mangelnde Transparenz, algorithmische Verzerrungen, unklare Entscheidungslogiken oder zusätzliche Angriffsflächen für Manipulation.

Bis zur Einführung der ISO/IEC 42001 existierte kein global einheitlicher Standard, der Governance, Risikomanagement und Verantwortlichkeiten für KI-Systeme systematisch definiert. Die Norm schließt diese Lücke und bietet Organisationen einen strukturierten Rahmen, um KI sicher, nachvollziehbar und regulatorisch konform zu betreiben.

Die Struktur der ISO/IEC 42001

Im Kern definiert die Norm Anforderungen an ein „Artificial Intelligence Management System“ (AIMS). Die Struktur orientiert sich an etablierten ISO-Managementsystemen wie ISO/IEC 27001 und umfasst sieben zentrale Elemente:

Kontext der Organisation: Unternehmen müssen interne und externe Faktoren identifizieren, die Einfluss auf ihr KI-Managementsystem haben.

• Führung: Die Unternehmensleitung trägt Verantwortung für Governance-Strukturen und stellt sicher, dass KI-Strategien klar definiert und umgesetzt werden.
• Planung: Risiken und Chancen im Zusammenhang mit KI-Systemen müssen systematisch identifiziert, bewertet und dokumentiert werden.
• Unterstützung: Ressourcen, Kompetenzen, Schulungen und Kommunikationsstrukturen sind bereitzustellen, um eine wirksame Steuerung des KI-Managementsystems zu gewährleisten.
• Betrieb: Organisationen müssen Prozesse etablieren, die Entwicklung, Einsatz und Nutzung von KI-Systemen gemäß den definierten Richtlinien sicherstellen.
  Leistungsbewertung: Regelmäßige Überprüfung und Bewertung der Wirksamkeit des KI-Managementsystems sind verpflichtend.
• Verbesserung: Das System muss kontinuierlich weiterentwickelt und an neue Risiken oder regulatorische Anforderungen angepasst werden.

Darüber hinaus enthält Annex A konkrete Kontrollziele, unter anderem zur Datennutzung, zum Lebenszyklus von KI-Systemen, zur Bewertung gesellschaftlicher Auswirkungen sowie zum Management von Drittanbieterrisiken.

Ein zentraler Aspekt der Norm ist die Kompatibilität mit bestehenden Standards wie ISO/IEC 27001 (Informationssicherheit) und ISO/IEC 27018 (Schutz personenbezogener Daten in Cloud-Umgebungen). Dadurch lässt sich KI-Governance in bestehende Compliance-Strukturen integrieren.

ISO/IEC 42001-Zertifizierung in der Praxis

Nach rund elf Monaten Implementierungsphase und erfolgreichen Stage-1- und Stage-2-Audits durch das British Standards Institute (BSI) gehört Darktrace zu den ersten Cybersicherheitsunternehmen weltweit mit ISO/IEC 42001-Zertifizierung.

Im Rahmen der Auditierung wurden Menschen, Prozesse und Technologien umfassend geprüft. Die Zertifizierung umfasst ein breites Spektrum an KI-Technologien – von maschinellen Lernverfahren über Bayes’sche Modelle und neuronale Netze bis hin zu graphentheoretischen Analysen und spezialisierten Large-Language-Models.

Diese Technologien kommen unter anderem bei Anomalieerkennung, autonomer Reaktion, Bedrohungsanalyse und forensischen Untersuchungen zum Einsatz.

Ein wesentlicher Unterschied liegt dabei im Ansatz der selbstlernenden KI: Systeme lernen das individuelle Normalverhalten jeder Kundenumgebung – von der Cloud über das Netzwerk bis zum E-Mail-Verkehr – ohne auf statische Regeln oder bekannte Angriffssignaturen angewiesen zu sein. Dadurch lassen sich auch bislang unbekannte Angriffe in Echtzeit identifizieren.

Bedeutung für Verantwortliche in der Datensicherheit

Für Fachkräfte im Bereich Datenschutz und Informationssicherheit bietet ISO/IEC 42001 konkrete Vorteile:

• Strukturierte Dokumentation und Auditfähigkeit: Die Norm stellt ein prüfbares Rahmenwerk zur Bewertung von KI-Systemen bereit.
• Regulatorische Vorbereitung: Mit zunehmender Regulierung – etwa durch den EU AI Act – gewinnt nachweisbare Governance an strategischer Bedeutung.
• Vertrauensbildung: Eine Zertifizierung signalisiert Kunden, Partnern und Aufsichtsbehörden, dass KI nicht nur leistungsfähig, sondern auch verantwortungsvoll eingesetzt wird.

Damit fungiert ISO/IEC 42001 als internes Steuerungsinstrument und externes Vertrauenssignal zugleich.

Fazit: Ein notwendiger Schritt in die Zukunft

KI wird in der Cybersicherheit künftig eine noch zentralere Rolle einnehmen. Doch technologische Leistungsfähigkeit allein reicht nicht aus. Entscheidend ist ein Governance-Rahmen, der Transparenz, Kontrolle und kontinuierliche Verbesserung sicherstellt.

ISO/IEC 42001 ist kein rein regulatorisches Konstrukt, sondern ein praxisnahes Instrument für Organisationen, die KI verantwortungsvoll einsetzen möchten. Für Unternehmen im Bereich Datenschutz und Informationssicherheit empfiehlt es sich, die Norm frühzeitig in bestehende Managementsysteme zu integrieren – als Grundlage für eine nachhaltige und vertrauenswürdige KI-Strategie.

Über den Autor:

Max Heinemeyer ist ein Cyber-Sicherheitsexperte mit mehr als zehn Jahren Erfahrung in diesem Bereich. Sein Fokus liegt auf einer Vielzahl von Bereichen wie Penetrationstests, Red-Teaming, SIEM- und SOC-Beratung und die Jagd auf Advanced Persistent Threat (APT)-Gruppen. Bei Darktrace ist Heinemeyer eng mit den strategischen Kunden und Interessenten verbunden. Er arbeitet mit dem F&E-Team von Darktrace zusammen und gestaltet die Forschung zu neuen KI-Innovationen sowie deren verschiedenen defensiven und offensiven Anwendungen. Seine Erkenntnisse werden regelmäßig in internationalen Medien wie der BBC, Forbes und WIRED veröffentlicht. Er hat seinen Master of Science an der Universität Duisburg-Essen und seinen Bachelor of Science an der Dualen Hochschule Stuttgart in internationaler Wirtschaftsinformatik absolviert.

Weitere Informationen zum Thema:

datensicherheit.de, 21.01.2026
DAX-40-Unternehmen: Cybersicherheit von einer Randnotiz zum strategischen Kernthema

datensicherheit.de, 05.07.2016
KRITIS: TÜV Rheinland beschreibt fünf Vorteile der ISO 27001 für Betreiber

[datensicherheit.de, 26.02.2026] Immer mehr „Security Operation Centers“ (SOC) setzten im Kampf gegen Hacker und „Downtimes“ auf die Hilfe Künstlicher Intelligenz (KI) – KI-Agenten, welche wie SOC-Teams miteinander autonom kollaborierten, seien in diesem Zusammenhang die neueste Evolutionsstufe. Ontinue geht in einer aktuellen Stellungnahme auf die Besonderheiten solcher Multi-Agenten-Systeme (MAS) ein. Diese fänden vor allem im Cybersecurity-Kontext zunehmend Verbreitung.

Foto: Ontinue

Theus Hossmann: Es werden immer Fälle bleiben, bei denen menschliche Analysten unabdingbar sind!

MAS gliedern komplexe Aufgaben selbstständig in Teilprozesse

MAS, bestehend aus hochspezialisierten KI-Agenten, welche im Verbund miteinander arbeiteten, seien vor allem im Cybersecurity-Kontext auf dem Vormarsch. Als integraler Bestandteil mancher KI-basierter „SecOps“-Plattformen übernähmen sie mittlerweile eigenständig „Tier 2“- und „Tier 3“-Incident-Untersuchungen, erstellten detaillierte Analyseberichte und formulierten Handlungsempfehlungen, welche dann menschliche Security-Analysten validierten.

• Dafür zerlegten MAS komplexe Aufgaben selbstständig in Teilprozesse und replizierten damit die Arbeitsweise eines gesamten SOC-Teams.

Der Unterschied sei folgender: Sie lieferten Ergebnisse innerhalb weniger Minuten, wofür menschliche Analysten 30 Minuten bis zu mehrere Stunden benötigten.

Ontinue erläutert Schritt für Schritt, wie genau MAS vorgehen:

• Schritt 1: Erstellung einer ersten Hypothese
  Ähnlich wie ein menschlicher Analyst werte ein KI-Agent die initial verfügbaren Informationen aus. Dazu gehörten beispielsweise ausgelöste Alarme und Meldungen über beteiligte Entitäten, welche IT-Umgebungen betroffen sind sowie aktuell offene oder abgeschlossene Incidents. Auf dieser Basis stelle der Agent eine erste Hypothese auf, was passiert sein könnte.
• Schritt 2: Beginn der Untersuchung
  Auf Grundlage der ersten Hypothese entwickele der KI-Agent einen strukturierten Untersuchungsplan, um den tatsächlichen Vorfall zu rekonstruieren. Im Zuge dessen validiere oder verwerfe das MAS die ursprüngliche Annahme und ergänze sie bei Bedarf durch neue Hypothesen.
• Schritt 3: Aktivierung des Gedächtnises
  Zur Erstellung eines effektiven Untersuchungsplans greife das MAS auf frühere Erfahrungen zurück und analysiere proaktiv, wie menschliche Analysten vergleichbare Szenarien bearbeitet haben. Dazu zählten typische Prüfschritte, die Interpretation der damaligen Ergebnisse sowie die Anpassung der Vorgehensweise auf Basis von Zwischenerkenntnissen.
• Schritt 4: Durchführung einer gezielten Investigation
  Zur Umsetzung des Untersuchungsplans setze der KI-Agent Abfragen, API-Aufrufe und weitere Werkzeuge ein, um belastbare Beweise zu sammeln, welche die Hypothese stützen und zur Aufklärung des Sachverhalts beitragen könnten.
• Schritt 5: Kontinuierliche Reflexion
  Während der Untersuchung reflektiere das MAS kontinuierlich die gewonnenen Erkenntnisse und verfeinere den Untersuchungsplan bei Bedarf auf Basis neuer Beweise und fortlaufend erlernter Informationen.
• Schritt 6: Lieferung vorläufiger Ergebnisse
  Sobald ausreichend Evidenz zur Untermauerung eines Szenarios und einer konkreten Hypothese vorliegt, beende das MAS die Untersuchung. Anschließend erstelle der entsprechende KI-Agent einen detaillierten Bericht mit nachvollziehbaren, reproduzierbaren Ergebnissen sowie einer transparenten Darstellung des Analyseprozesses.
• Schritt 7: Anpassung der Logik in Echtzeit
  Fortschrittliche Systeme wie z.B. der „Autonomous Investigator“ von Ontinue erfassten sowohl explizite Signale (wie das Feedback von Analysten) als auch implizite Signale (wie das Nutzerverhalten), um die zugrunde liegende Logik gezielt an die individuellen und differenzierten Anforderungen unterschiedlicher IT-Umgebungen anzupassen.

KI als Erfolgsbasis für Cybersecurity-Teams

„Ohne den Einsatz von KI wären Cybersecurity-Teams heute konstant überlastet“, betont Theus Hossmann, „Chief Technology Officer“ bei Ontinue.

• Zu viele Sicherheitsvorfälle, zu viele Informationsquellen und zu viel zu beachtender Kontext lähmten Verteidigungsmaßnahmen. KI-Agenten und MAS schafften hierzu massiv Abhilfe, indem sie viele Aufgaben automatisiert übernähmen.

„Doch auch wenn bis zu 97 Prozent aller Incidents im vergangenen Jahr bei uns bereits ohne menschliches Zutun gelöst werden konnten, werden immer Fälle bleiben, bei denen menschliche Analysten unabdingbar sind“, so Hossmann abschließend.

Weitere Informationen zum Thema:

Ontinue
Our Story of Nonstop Security / Born in the cloud, built to be the best, engineered to deliver, and backed by the newest technology and the sharpest minds. Ontinue is all of this … and so much more.

Ontinue
Leading the Way to Security Success: A team is only as good as its leadership. And we’ve got some of the best in the industry. / Leadership

WIKIPEDIA
Multiagentensystem

[datensicherheit.de, 26.02.2026] Sicherheitsforscher von „Check Point Research“ (CPR) haben eine neue Forschungsanalyse veröffentlicht, welche auf KI-Assistenten als verdeckte Befehls- und Kontrollkanäle sowie KI-gesteuerte Malware fokussiert. Diese stehen demnach für einen Wendepunkt im modernen Cyberrisiko – mit Auswirkungen auf alle Branchen, welche die Einführung Künstlicher Intelligenz (KI) vorantreiben. In dieser neuen Realität seien KI-Sicherheit und Unternehmenssicherheit untrennbar miteinander verbunden – und Unternehmen müssten sicherstellen, dass die beschleunigte Einführung von KI nicht versehentlich Schwachstellen schafft, welche Angreifer ausnutzen könnten.

Foto: Check Point

Eli Smadja rät Unternehmen, agentenbasierte KI-Funktionen zu nutzen, um den Datenverkehr zu und von KI-Diensten zu überprüfen und zu kontextualisieren sowie böswillige Kommunikationsversuche zu blockieren

Malware-Entwicklung von statischer, signaturbasierter Logik hin zu KI-gesteuerten Implantaten

KI-Assistenten wie z.B. „Microsoft Copilot“ und „Grok“ unterstützten Webbrowsing- oder URL-Abruf-Funktionen. Sie könnten als verdeckte C2-Proxys missbraucht werden, so dass Malware Daten mit der Infrastruktur des Angreifers austauschen könne, während sie sich nahtlos in den normalen KI-Datenverkehr des Unternehmens einfüge.

• Malware gehe von statischer, signaturbasierter Logik zu KI-gesteuerten Implantaten über, welche in der Lage seien, Entscheidungen in Echtzeit zu treffen – darunter die Einstufung von Opfern, die Priorisierung von Dateien, die Auswahl von Befehlen, die Umgehung von „Sandboxes“ und die Anpassung von Taktiken während des Betriebs. Zusammen zeigten diese Erkenntnisse eine Zukunft, in der KI nicht mehr nur den Angreifer unterstütze, „sondern Teil seiner Infrastruktur ist“.

Eli Smadja, CPR-Leiter, erläutert hierzu: „KI wird nicht nur in alltägliche Geschäftsabläufe integriert, sondern genauso wird sie auch in die Abläufe von Angreifern integriert. Angreifer benötigen keine hochentwickelte Infrastruktur mehr, sondern lediglich Zugang zu allgemein vertrauenswürdigen KI-Diensten.“

KI-Datenverkehr mit derselben Sorgfalt überwachen wie jeden anderen risikoreichen Kanal

Um also sicher zu bleiben, müssten Unternehmen den KI-Datenverkehr mit derselben Sorgfalt überwachen wie jeden anderen risikoreichen Kanal, strengere Kontrollen für KI-gestützte Funktionen durchsetzen und Sicherheitsmaßnahmen ergreifen, „die nicht nur verstehen, was KI tut, sondern auch warum“.

• Smadja legt nahe: „Dazu sollten sie agentenbasierte KI-Funktionen nutzen, um den Datenverkehr zu und von KI-Diensten zu überprüfen und zu kontextualisieren und böswillige Kommunikationsversuche zu blockieren, bevor sie als verdeckte Kanäle missbraucht werden können.“

Zentrale aktuelle CPR-Erkenntnisse:

• KI-Assistenten können als heimliche C2-Relays missbraucht werden
  Angreifer könnten KI-Assistenten dazu veranlassen, von Angreifern kontrollierte URLs abzurufen und eingebettete Befehle zurückzugeben – ohne API-Schlüssel oder Benutzerkonten –, wodurch Malware die Kommunikation innerhalb des legitimen KI-Datenverkehrs verbergen könne.
• Anonymer KI-Webzugriff macht herkömmliche Kill-Switches überflüssig
  Wenn keine Konten oder Schlüssel erforderlich sind, könnten sich Verteidiger nicht auf herkömmliche Mechanismen zum Abschalten verlassen; der Datenverkehr sehe identisch aus wie bei der alltäglichen KI-Nutzung.
• Malware wird adaptiv und promptgesteuert und nutzt KI als Remote-Gehirn
  Zukünftige AID-Malware könne die Entscheidungsfindung an KI-Modelle auslagern, das Verhalten über infizierte Hosts hinweg dynamisch anpassen und während eines Eindringens dynamische Anweisungen erhalten – wodurch Angriffe schwieriger vorherzusagen, zu erkennen und zu analysieren seien.
• KI wird Targeting, Datendiebstahl und Ransomware-Operationen beschleunigen
  Anstatt alles zu verschlüsseln, könnte KI-gesteuerte Ransomware bald nur noch hochwertige „Assets“ identifizieren und mit minimal beobachtbarer Aktivität agieren – wodurch sich das Zeitfenster für die Erkennung von Minuten auf Sekunden verkürze.
• KI-Datenverkehr wirde zu einem blinden Fleck für Unternehmen
  Wenn Unternehmen KI in ihre alltäglichen Arbeitsabläufe integrierten, verließen sich Angreifer zunehmend auf dieselben Dienste, da sie wüssten, dass dieser Datenverkehr erlaubt, vertrauenswürdig und selten überprüft sei.

KI-Tools könnten Teil der Angriffsfläche werden

KI-Tools würden schnell Teil der Angriffsfläche, da sie sich in den legitimen Datenverkehr einfügten – „und in einigen Fällen sogar Teil der Angriffsinfrastruktur selbst werden“. KI-gestützte Kommunikation werde oft als vertrauenswürdig angesehen, sei weit verbreitet und werde selten überprüft, was Angreifern die Möglichkeit gebe, sich im alltäglichen KI-Datenverkehr zu verstecken, so dass sie mit herkömmlichen Erkennungsmethoden nicht ohne Weiteres entdeckt werden könnten.

• Für Unternehmen bedeute dies, dass Bereiche mit KI nun als hochwertige und risikoreiche Ausgangspunkte behandelt werden müssten, wobei der KI-Datenverkehr überprüft und kontextualisiert werden müsse, anstatt ihn als standardmäßig sicheren Datenverkehr zu betrachten, „der denselben Kontrollen unterliegt wie jeder andere kritische Kommunikationskanal“.

Gleichzeitig verändere die Entwicklung hin zu KI-gesteuerter Malware grundlegend die Art und Weise, wie Verteidiger über Cyberbedrohungen denken müssten. Da diese Implantate sich auf KI-Modelle stützen könnten, um Hosts zu triagieren, Ziele auszuwählen, ihr Verhalten anzupassen und beobachtbare Aktivitäten zu minimieren, verlören Verteidigungskontrollen, die auf Signaturen, volumenbasierten Schwellenwerten oder Sandbox-Triggern basierten, erheblich an Wirksamkeit, insbesondere da Malware-Verhalten adaptiv und kontextsensitiv werde.

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH
ABOUT US: Check Point Research provides leading cyber threat intelligence to Check Point Software customers and the greater intelligence community. The research team collects and analyzes global cyber attack data stored on ThreatCloud to keep hackers at bay, while ensuring all Check Point products are updated with the latest protections…

Linkedin
Eli Smadja – Check Point, CP<R>, Research Group Manager

cp<r> CHECK POINT RESEARCH, 17.02.2026
AI in the Middle: Turning Web-Based AI Services into C2 Proxies & The Future Of AI Driven Attacks

datensicherheit.de, 28.01.2026
KI-Agenten und IT-Sicherheit: Zwei Seiten einer Medaille / Für viele Unternehmen steht derzeit die Frage im Raum, ob KI-Agenten auch in sensiblen Bereichen wie der Cybersicherheit eingesetzt werden sollen. Während stetig wachsende Bedrohungen, Überlastung von Mitarbeitern und Fachkräftemangel dafür sprechen, gibt es auch große Vorbehalte. Um Entscheidungen von KI-Assistenten nachvollziehen zu können, sind Sichtbarkeit im Netzwerk und eine zuverlässige Datengrundlage oberste Priorität. Auf der anderen Seite könnten Unternehmen überdies von böswilligen Agenten angegriffen werden – auch hier hilft nur, genau hinzusehen.

Ein Kommentar von unserem Gastautor Eduardo Moreno, Executive Industry Consultant bei Hexagon

[datensicherheit.de, 25.02.2026] 2025 hat KI Schätzungen zufolge rund 40 Prozent des Codes auf der ganzen Welt geschrieben. Dieses sogenannte „Vibe Coding“, das viele Unternehmen als Produktivitätssprung feiern, kann auf Kosten der Cybersicherheit gehen.

Eduardo Moreno, Executive Industry Consultant bei Hexagon, Bild: Hexagon

So zeigt eine aktuelle Studie von Apiiro: Mit ChatGPT-5 oder Claude schreiben Entwickler drei- bis viermal mehr Code als Kollegen ohne KI-Unterstützung. Gleichzeitig schleusen sie die zehnfache Menge an Risiken ein: durch ungeprüfte Open-Source-Abhängigkeiten, falsch gesetzte Cloud-Berechtigungen oder versehentlich veröffentlichte Zugangsdaten.

Slopsquatting: Wenn die KI Pakete erfindet

Neuerdings machen sich Hacker DIE Achillesferse der KI zunutze: Halluzinationen. Beim sogenannten „Slopsquatting“ nutzen Angreifer aus, dass Chatbots in Codebeispielen manchmal Bibliotheken oder Pakete, also wiederverwendbare Code-Bausteine, empfehlen, die plausibel klingen, aber nicht existieren. Sie sammeln die Namen solcher erfundenen Pakete, registrieren sie in den üblichen Paket-Ökosystemen und füllen sie mit Schadcode. Wer den KI-Vorschlag unkritisch übernimmt, hat eine Hintertür für Hacker installiert.

Fast 20 Prozent der von Chatbots empfohlenen Pakete existierten nicht, zeigte eine Untersuchung von über 500.000 Code-Samples. Das testete der Sicherheitsforscher Bar Lanyado anhand des am häufigsten halluzinierten Paketnamens. Innerhalb von drei Monaten luden 30.000 User Lanyados „Trojaner“ herunter.

Fachkräftemangel als Brandbeschleuniger

Dass solche Kniffe funktionieren, liegt nicht nur an der KI. Viele Unternehmen können den Output schlicht nicht zuverlässig prüfen. Es fehlt an Routine im Security-Audit von Code und Abhängigkeiten, an sauberem Berechtigungsmanagement und an Prozessen, die Fehlkonfigurationen früh abfangen. Durch den Fachkräftemangel wird auch Grundwissen, etwa über Zugriffskontrollen, Malware-Erkennung und einem verlässlichen Patch-Management, zum raren Gut.

Neben Attacken von außen können auch schlechte Softwarequalität und alltägliche Codierungsfehler verheerend wirken: ein Update zur falschen Zeit, eine fehlerhafte Policy, eine Konfiguration, die im IT-Netz harmlos wirkt und in der Operational Technology (OT) alles kippt. Wie schnell aus einem Fehler ein Flächenbrand wird, zeigte sich im Juli 2024: Ein fehlerhaftes Update von Crowdstrike führte weltweit zu Ausfällen bei Fluggesellschaften, Banken und Krankenhäusern.

Gefahrenquelle OT

Am heikelsten wird es an der Schnittstelle zwischen der digitalen und physischen Welt: in der Operational Technology. Das Institute for Homeland Security an der Sam Houston State University dokumentierte Vorfälle wie einen Cybersecurity-Patch an einer Gasturbine, der das kontrollierte Herunterfahren über das Leitsystem verhinderte. In einem anderen Fall legte ein Netzwerk-Scan mehrere kritische Umspannwerke lahm, weil Steuergeräte den Scan als Denial-of-Service-Angriff interpretierten.

Neben knappen Ressourcen, zusätzlich verschärft durch den Fachkräftemangel, ist ein häufiger Auslöser für Angriffe auf OT-Umgebungen banal: Unternehmen exponieren industrielle Steuerungssysteme im Internet.

Resilienz ist die neue Prävention

Ressourcenknappheit, unsaubere Prozesse rund um den Betrieb von Anlagen, fehlende OT-Governance und schlicht Unachtsamkeit zählen zu den größten Quellen für Ausfälle, Fehlfunktionen und Angriffe von außen. Angesichts dieser komplexen Gemengelage muss Cybersicherheit weiter gedacht werden als „Hackerabwehr“.

Die Maßnahmen für Cyberresilienz sind in der Theorie bekannt, in der Praxis oft lückenhaft: saubere Backups, dokumentierte Konfigurationsstände, Change Detection, mehrere verlässliche Wiederherstellungspunkte.

Solche Prozesse aufzusetzen ist mühsam und zeitintensiv, weil sie eine hochkomplexe Welt abbilden, Unmengen an Daten benötigen und ständig aktualisiert werden müssen. Dafür entsteht am Ende ein digitaler Zwilling sämtlicher Assets im Unternehmen. Mit diesem lässt sich planen, was, wann, wo wie aktualisiert werden muss, es lassen sich Angriffsszenarien simulieren und auch ein KI-generierter Code kann in einer virtuellen Umgebung sicher getestet werden.

Fehler, Angriffe und Ausfälle lassen sich nicht zu 100 Prozent verhindern. Aber das Risiko für gravierende Schäden sinkt, wenn alle Assets über ihren Lebenszyklus digital abgebildet sind. Dann lassen sich potenzielle Einfallstore identifizieren, Systeme wieder herstellen und sicherheitsrelevante Policies überprüfen. Der initiale Aufwand lohnt sich immer.

Weitere Informationenzum Thema:

datensicherheit.de, 20.01.2026
OT-Sicherheit: Mittels KI Verunsicherung überwinden und Vertrauen begründen

[datensicherheit.de, 25.02.2026] Laut einer ESET-Meldung vom 24. Februar 2026 hat in Frankreich vor Kurzem ein einziger kompromittierter Login dazu geführt, dass über eine Million Zugangsdaten von Bankkonten in den Händen eines Hackers gelandet sind – kein einziger Server habe dafür gehackt, keine Schadsoftware installiert werden müssen. Mit solchen erbeuteten Informationen könnten Cyberkriminelle in Zukunft Identitäten stehlen und Finanzbetrug begehen. ESET sieht in diesem Vorfall einen „Weckruf für den gesamten DACH-Raum“ und gibt IT-Verantwortlichen Empfehlungen, um die eigene IT-Sicherheit ihrer Organisationen härten zu können.

Angreifer konnte mithilfe gestohlener Zugangsdaten eines Regierungsbeamten Zugang zu FICOBA erlangen

Das französische Wirtschaftsministerium hat demnach bestätigt, dass sich ein Angreifer mithilfe gestohlener Zugangsdaten eines Regierungsbeamten Zugang zur nationalen Datenbank FICOBA verschaffte.

• Dadurch habe der Hacker Zugang zu Daten von rund 1,2 Millionen Bankkonten erlangen können – betroffen seien Kontonummern (IBANs), Namen, Adressen und in Teilen Steueridentifikationsnummern. Kein einziger Server sei dafür gehackt, kein technisches System überwunden worden – ein einziger kompromittierter Login habe genügt.

Benoît Grunemwald, „Cyber Security Evangelist“ bei ESET France, berichtet: „Der Vorfall rund um die FICOBA-Datenbank zeigt keine klassische technische Schwachstelle, sondern etwas Beunruhigendes: Der Zugang zu hochsensiblen Daten erfordert nicht immer einen direkten Angriff auf Server. Organisatorische Lücken in der Identitätsverwaltung, Authentifizierung und Zugriffskontrolle können genauso effektiv ausgenutzt werden.“ Die betroffenen Datenkategorien – von IBANs bis zu Steueridentifikationsnummern – seien eine gefährliche Grundlage für Finanzbetrug und Identitätsdiebstahl, so Grunemwalds Warnung.

Aktuelle Erkenntnisse der ESET-Forschung zur „Infostealer“-Bedrohung

Der FICOBA-Fall sei indes kein Einzelphänomen, sondern das Lehrbuchbeispiel einer Angriffsmethode, welche ESET-Forscher seit Jahren beobachteten und dokumentierten. Informationsdiebe wie „SnakeStealer“ extrahierten gezielt Passwörter aus Browsern, E-Mail-Clients und Datenbanken, schnitten Tastatureingaben mit und fertigten Screenshots an.

Zahlen aus ESETs eigener Telemetrie:

• +111 Prozent
  Anstieg von „SnakeStealer“-Detektionen im ersten Halbjahr 2025 gegenüber dem zweiten Halbjahr 2024. „SnakeStealer“ sei derzeit der am häufigsten detektierte „Infostealer“ in ESETs weltweiter Telemetrie und mache rund 20 Prozent aller „Infostealer“-Detektionen aus (Quelle: „ESET Threat Report H1 2025“, welivesecurity.com).
• 2,1 Milliarden
  Zugangsdaten – welche allein 2024 durch „Infostealer“-Malware gestohlen wurden – seien über 60 Prozent aller weltweit kompromittierten „Credentials“ (Quelle: „Flashpoint Global Threat Intelligence Report“).
• -86 Prozent
  Rückgang der „Lumma Stealer“-Detektionen im zweiten Halbjahr 2025, „nachdem ESET gemeinsam mit globalen Strafverfolgungsbehörden die Infrastruktur dieses Infostealers zerschlagen hat“ (Quelle: „ESET Threat Report H2 2025“, welivesecurity.com).

ESET zur Relevanz des FICOBA-Vorfalls für die DACH-Region

Dieser Vorfall in Frankreich sei ein Warnsignal auch für den gesamten DACH-Raum (Deutschland-Österreich-Schweiz). ESET empfiehlt IT-Verantwortlichen in Behörden, Finanzinstituten und KRITIS-Betreibern, daher folgende Maßnahmen kritisch zu prüfen:

• „Privileged Access Management“ (PAM)
  Wer hat Zugriff auf welche Systeme und wird dieser Zugriff regelmäßig überprüft und entzogen, wenn er nicht mehr benötigt wird?
• Multi-Faktor-Authentifizierung (MFA)
  Sind alle privilegierten Konten mit einem zweiten Faktor gesichert? Damit gestohlene Passwörter allein für einen Zugang nicht ausreichen!
• Zero-Trust-Prinzip
  Kein Nutzer, kein Gerät oder kein System sollten pauschal als vertrauenswürdig gelten – weder innerhalb noch außerhalb des eigenen Netzwerks.
• NIS-2-Konformität
  Für betroffene Unternehmen und Behörden in Deutschland und Österreich gelten mit Umsetzung der NIS‑2‑Richtlinie strengere Meldepflichten bei Sicherheitsvorfällen und Datenpannen!
• „Infostealer“-Schutz:
  Klassische „Endpoint Protection“ allein bietet gegen moderne „Infostealer“ in der Regel keinen ausreichenden Schutz: Ergänzend sollten mindestens EDR-Lösungen und idealerweise ein mehrschichtiger, auf „Threat Intelligence“ gestützter Ansatz zum Einsatz kommen!

ESET erläutert Hintergrund des unbefugten Zugriffs auf FICOBA-Datenbank

Am 18. Februar 2026 habe das französische Wirtschaftsministerium gegenüber der Tageszeitung „Le Monde“ bestätigt, dass ein Angreifer unbefugten Zugriff auf die FICOBA-Datenbank („Fichier national des Comptes Bancaires et Assimilés“) erlangt habe.

• FICOBA ist das nationale Bankkontenverzeichnis Frankreichs – eine zentrale Infrastruktur, auf welche Behörden im Rahmen von Steuerprozessen und Sozialleistungen zugreifen.

Der cyberkriminelle Zugang sei eben nicht über eine Sicherheitslücke im System selbst erfolgt, sondern über gestohlene Anmeldedaten eines Beamten mit legitimen Zugriffsrechten. Die Behörden hätten jedoch rasch reagiert: Zugangsbeschränkungen seien verhängt, Strafanzeige erstattet, die französische Datenschutzbehörde CNIL sowie ANSSI (Agence nationale de la sécurité des systèmes d’information) eingeschaltet worden.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

eseT, Presse & Média
Notre expert est à votre disposition pour commenter l’actualité, répondre à toutes vos questions et partager son analyse du marché ainsi que ses perspectives sur le secteur. / Benoît Grunemwald – Expert cybersécurité

RÉPUBLIQUE FRANÇAISE, Service Public, 06.01.2025
Fichier des comptes bancaires (Ficoba)

BORN/CITY, 22.02.2026
Massiv-Trojaner und FICOBA-Leck erschüttern Online-Banking / Sicherheitsforscher warnen vor einer Doppelkrise: Ein neuer Trojaner ermöglicht die Fernsteuerung von Smartphones, während in Frankreich Daten von 1,2 Millionen Konten gestohlen wurden.

datensicherheit.de, 13.01.2025
Cyber-Kriminellen bevorzugen Login statt Einbruch / Personenbezogene Daten Hauptziel der Cyber-Angreifer

[datensicherheit.de, 25.02.2026] Am 1. März 2026 findet nun zum dritten Mal der europäische „Digital Independence Day“ (DI.Day) statt. Zweck dieses neuen Aktionstags ist es demnach, auf die Abhängigkeit von außereuropäischen Tech-Lösungen hinzuweisen und Alternativen hierzu aufzuzeigen. Cybersicherheit aus Europa ist offensichtlich für die Digitale Souveränität europäischer Betriebe unabdingbar. Der „DI.Day“ ist eine offene Initiative, welche dazu aufruft, digitale Abhängigkeiten von großen Technologie-Anbietern bewusst zu hinterfragen – an jedem ersten Sonntag im Monat soll dieser Aktionstag Nutzer dazu ermutigen, einzelne Big-Tech-Dienste testweise durch unabhängige, datenschutzfreundliche Alternativen zu ersetzen. Ziel dieser Aktionen sei es, digitale Selbstbestimmung, Vielfalt und Resilienz zu stärken und einen nachhaltigen Beitrag zur digitalen Unabhängigkeit Europas zu leisten.

Abbildung: ESET

Cybersecurity: ESET-Umfrage zur gewünschten Herkunftsregion des Lieferanten

„Digital Independence Day“ zur Förderung leistungsfähiger, rechtlich transparenter und technisch souveräner Sicherheitslösungen aus der EU

Im Kontext des bevorstehenden „Digital Independence Day“ am 1. März 2026 unterstreicht ESET in einer aktuellen Stellungnahme die Bedeutung vertrauenswürdiger Cybersicherheit „Made in EU“.

• Nur leistungsfähige, rechtlich transparente und technisch souveräne Sicherheitslösungen aus der EU könnten Europa dabei helfen, die digitale Unabhängigkeit nachhaltig zu stärken. Die Initiative „DI.Day“ ruft daher Verbraucher, Unternehmen und Institutionen dazu auf, alternative digitale Angebote und Lösungen zu nutzen, um Europas Digitale Souveränität zu stärken.

„Digitale Souveränität ist untrennbar verbunden mit der Kontrolle über die Technologien, die unsere Gesellschaft, unsere Wirtschaft und unsere kritischen Infrastrukturen schützen“, betont Holger Suhl, „Country Manager DACH“ bei ESET. Er führt weiter aus: „Cybersicherheit ,Made in EU’ bedeutet nicht nur technische Exzellenz, sondern auch rechtliche und strategische Unabhängigkeit von externen Einflüssen. Europa braucht Vertrauen, Transparenz und technologische Autonomie!“

Der „Digital Independence Day“ gemahnt: Ein starkes Europa braucht starke Cybersicherheit

Viele europäische Unternehmen und Behörden seien auf globale Dienste angewiesen, deren Herkunft außerhalb der EU liegt. In Zeiten wachsender Cyberbedrohungen verstärkten diese Abhängigkeiten strategische Risiken.

• Sicherheitstechnologien mit Ursprung in Europa hingegen stünden für volle Kontrolle über Datenflüsse, nachvollziehbare Lieferketten und zuverlässige rechtliche Rahmenbedingungen. Diese seien damit entscheidende Faktoren für Vertrauen und Resilienz.

Mit seinen vollständig in Europa entwickelten Sicherheitslösungen möchte ESET Organisationen dabei unterstützen, Risiken proaktiv zu reduzieren, Angriffe frühzeitig zu erkennen und ihre digitale Infrastruktur nachhaltig abzusichern – und damit einen Beitrag zu Europas digitaler Stabilität und Unabhängigkeit leisten.

Allmonalicher „Digital Independence Day“ fördert Bewusstsein für Alternativen „Made in EU“

Eine repräsentative Umfrage von YouGov im Auftrag von ESET unter 536 Unternehmensentscheidern habe ergeben: „Bereits knapp die Hälfte der deutschen Unternehmen setzt auf IT-Sicherheitslösungen aus der EU.“

• Zudem planten drei Viertel der Befragten einen Wechsel hin zu einem EU-Hersteller.

Diese Ergebnisse unterstrichen, dass Vertrauen, Datenschutz und die Einhaltung europäischer Rechts- und „Compliance“-Standards entscheidende Kriterien für die Wahl von Cybersicherheitslösungen seien und dass „Made in EU“ zunehmend als Qualitäts- und Sicherheitsmerkmal angesehen werde.

Am „Digital Independence Day“ wird Bedeutung des gemeinsamen Rechtsrahmens für Anbieter und Kunden unterstrichen

Denn viele gute Gründe sprechen laut ESET aus Unternehmenssicht für einen Wechsel: „Sie reichen von einer hohen technischen Güte der Lösungen, über exzellenten Datenschutz bis hin zum gemeinsamen Rechtsrahmen, dem Hersteller und Kunden unterliegen.“

• Darüber hinaus fühlten sich hiesige Hersteller stärker der Region verbunden, während außereuropäische Anbieter anderen regulatorischen und geopolitischen Rahmenbedingungen unterlägen.

Im Klartext bedeutet das: „Im Streitfall vor Gericht kommt es darauf an, wo der Anbieter herkommt. Hersteller aus der EU unterliegen den gleichen Gesetzen wie ihre Kunden, wie etwa der strengen DSGVO.“ Dieser gemeinsame Rechtsrahmen trage dazu bei, Rechtssicherheit, Effizienz und Fairness in komplexen Zusammenhängen zu schaffen.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

DI.DAY
Digital Independence Day / Jeden ersten Sonntag auf die gute Seite wechseln!

eseT, 29.04.2025
ESET Umfrage: Mehrheit deutscher Unternehmen setzt bei der IT-Sicherheit auf „Made in EU“

eseT
IT-Sicherheit ist Vertrauenssache / Warum „Made in EU“ mehr als ein Gütesiegel ist

eseT, 05.04.2018
ESET gibt Holger Suhl als neuen Country Manager DACH bekannt

datensicherheit.de, 12.02.2026
Europäische Souveränität auch bei Sozialen Medien: Aktionsbündnis-Aufruf an Hochschulen / Das „Aktionsbündnis neue soziale Medien“ hat am 10. Februar 2026 in einem Schreiben an deutsche Hochschulen zu mehr Unabhängigkeit von den großen Web-Plattformen geraten

datensicherheit.de, 11.02.2026
Bitkom-Podcast: Verfassungsschutz-Präsident fordert, Digitale Souveränität mit massiven Mitteln voranzutreiben / Bitkom-Präsident Dr. Ralf Wintergerst sprach mit BfV-Präsident Sinan Selen im Vorfeld der diesjährigen „Münchner Sicherheitskonferenz“

datensicherheit.de, 08.02.2026
Strategische Notwendigkeit: Die drei Grundpfeiler Digitaler Souveränität Europas / Digitale Souveränität ist die Fähigkeit, als Organisation in Europa handlungsfähig zu bleiben – selbst wenn globale Lieferketten reißen oder politische Spannungen digitale Datenflüsse unterbrechen

datensicherheit.de, 04.02.2026
Digitale Souveränität als Standortvorteil: Europa im Spannungsfeld Ethik vs. Innovation / Mit dem „EU AI Act“ und der NIS-2-Richtlinie möchte Europa zum Vorreiter für sichere und ethische Technologie werden

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

[datensicherheit.de, 24.02.2026] Sicherheitsforscher von KnowBe4s „Threat Lab“ haben nach eigenen Angaben eine Phishing-Kampagne untersucht, welche die Multi-Faktor-Authentifizierung (MFA) von „Microsoft 365“ umgehen kann. Diese komplexe Phishing-Kampagne zielt demnach auf US-amerikanische Unternehmen und Fachkräfte ab. Die Angriffe kompromittierten „Microsoft 365“-Konten („Outlook“, „Teams“, „OneDrive“), indem sie den „OAuth 2.0“-Geräteautorisierungsfluss missbrauchten und dadurch selbst starke Passwörter und die MFA überlisteten.

Abbildung: KnowBe4

Ablauf des Angriffs: Dieser ist in fünf verschiedene Phasen unterteilt, vom anfänglichen Ködern bis zur endgültigen Token-Exfiltration

Angreifer streben dauerhaften Zugriff auf „Microsoft 365“-Konten und Unternehmensdaten an

Das Opfer werde auf das legitime Microsoft-Portal „microsoft.com/devicelogin“ weitergeleitet, um einen vom Angreifer bereitgestellten Gerätecode einzugeben.

• Durch die Eingabe dieses Codes werde das Opfer authentifiziert und ein gültiger „OAuth“-Zugriffstoken an die Anwendung des Angreifers ausgegeben.

„Mit diesem ergaunerten Token verschafft sich der Angreifer dauerhaften Zugriff auf die ,Microsoft 365‘-Konten und Unternehmensdaten des Opfers.“

Kampagne auf „Microsoft 365“ zeichnet sich durch folgende Merkmale aus:

• Ausgeklügelter Angriffsmechanismus
  Die Kampagne umgehe herkömmliche Sicherheitsmaßnahmen, da sie nicht auf dem Diebstahl von Anmeldedaten basiere. Stattdessen werde der Benutzer dazu verleitet, sich auf der legitimen Microsoft-Domäne zu authentifizieren – und anschließend werde der Token-Endpunkt abgefragt, um die „OAuth“-Zugriffs- und Aktualisierungstoken zu erfassen.
• Umgehung der MFA
  Dieser Angriff sei hochwirksam, da der Token-Diebstahl erst erfolge, nachdem der Benutzer die legitime MFA-Prüfung erfolgreich abgeschlossen hat.
• Spezifische Zielgruppe
  Diese Kampagne sei erstmals im Dezember 2025 beobachtet worden und sei auch aktuell noch im Gange. Die Aktivitäten konzentrierten sich vor allem auf Nordamerika, wobei mehr als 44 Prozent der Opfer in den USA ansässig seien. Besonders betroffen seien Organisationen der Branchen Technologie, Fertigung und Finanzdienstleistungen.
• Bedrohung für Unternehmen
  Die gestohlenen Token gewährten Angreifern umfassenden und dauerhaften Zugriff auf die „Microsoft 365“-Umgebung ihrer Opfer, einschließlich vollständiger Lese-, Schreib- und Sende-Berechtigungen für E-Mails, Kalender und Dateien („OneDrive“, „SharePoint“) sowie Verwaltungsfunktionen.

Fünfphasiger Angriffsablauf auf „Microsoft 365“

Der Ablauf ist laut KnowBe4 in fünf verschiedene Phasen unterteilt:

1. „Microsoft 365“-„OAuth“-Gerätecode-Generierung und Köder
   Der Angreifer registriert eine „OAuth“-Anwendung (Open Authorization) in „Microsoft 365“ und generiert einen eindeutigen Gerätecode. Der Gerätecode wird dann über eine gezielte Phishing-E-Mail an das Opfer gesendet.
2. Opfer fällt auf Köder herein
   Das Opfer erhält die Phishing-E-Mail und klickt auf den in der Nachricht eingebetteten bösartigen Link.
3. Vom Angreifer kontrollierte „Landing Page“
   Das Opfer wird auf eine gefälschte Webseite weitergeleitet, wo es aufgefordert wird, eine E-Mail-Adresse einzugeben, und wo ihm der Gerätecode des Angreifers zusammen mit Anweisungen zum Abschluss der vermeintlich „sicheren Authentifizierung” angezeigt wird.

4. Authentifizierung auf dem legitimen Microsoft-Portal
   Das Opfer navigiert zum echten Microsoft-Portal („microsoft.com/devicelogin“), gibt den Gerätecode des Angreifers ein und authentifiziert sich erfolgreich mit legitimen Anmeldedaten und der MFA.
5. Token-Diebstahl und dauerhafter Zugriff
   Die „Microsoft Identity Platform“ stellt einen gültigen „OAuth“-Zugriffstoken aus, welchen der Angreifer sofort abfängt. Dadurch erhält der Angreifer dauerhaften Zugriff auf das „Microsoft 365“-Konto des Opfers.

Schutzmaßnahmen gegen Übernahme des „Microsoft 365“-Kontos

Sicherheitsteams könnten eine Reihe von Schutzmaßnahmen durchführen, um ihre Systeme und Nutzer vor dieser Art von Angriffen zu schützen. Darunter fallen laut KnowBe4 die z.B. folgenden sieben:

1. Blockieren von IoCs (Arten von Indikatoren / Indicators of Compromise)
   Alle bekannten bösartigen Domänen und URLs sollten zu den Blocklisten des E-Mail-Gateways und des Webproxys der Organisation hinzugefügt werden.
2. Lokalisierung von Bedrohungen
   E-Mail-Protokolle sollten nach dem Absendermuster mit den identifizierten Betreffbeispielen durchsucht werden.
3. Prüfung von „OAuth“-Anwendungen
   Im „Microsoft 365 Admin Center“ sollten die Berechtigungen für verdächtige oder unbekannte „OAuth“-Anwendungen dringend überprüft und widerrufen werden.
4. Überprüfen der Anmeldelogs
   „Azure AD“-Anmeldelogbücher sollten auf Ereignisse zur Gerätecode-Authentifizierung überprüft werden, und es sollten Abfragen durchgeführt werden, um Anmeldungen von ungewöhnlichen geografischen Standorten zu identifizieren.
5. Deaktivieren des Gerätecodeflusses
   Der Angriffsvektor kann vollständig eliminiert werden, wenn Unternehmen die Verwendung des Gerätecodeflusses für gemeinsam genutzte oder öffentliche Geräte nicht erfordern.
6. Bedingter Zugriff
   Es sollten Richtlinien für bedingten Zugriff eingesetzt werden, um streng zu regeln, wer den Gerätecodefluss wann und wo verwenden darf.
7. App-Zustimmung prüfen
   „Microsoft Defender“ für „Cloud“-Apps sollte eingesetzt werden, um die „OAuth“-App-Zustimmung zu überwachen und zu steuern.

KnowBe4-Fazit: Herkömmliche Perimeter-Abwehrmaßnahmen und einfache Anmeldedatenprüfungen allein nicht ausreichend

Angesichts sich rasch entwickelnder Taktiken wie dieser „OAuth“-Token-Diebstahlkampagne reiche ein passiver Sicherheitsansatz für Sicherheitsteams nicht mehr aus.

• Die Tatsache, dass Angreifer legitime Domains nutzten und MFA umgehen könnten, zeige, dass herkömmliche Perimeter-Abwehrmaßnahmen und einfache Anmeldedatenprüfungen nicht ausreichten. Um diesen komplexen Bedrohungen entgegenzuwirken, müssten sich Unternehmen anpassen.

„Es müssen die erforderlichen Rahmenbedingungen geschaffen werden, um über den herkömmlichen Silo-Ansatz hinauszugehen und sich stattdessen auf Echtzeit-Bedrohungsinformationen und das Bewusstsein der Benutzer zu konzentrieren.“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4, KnowBe4 Threat Lab, Jeewan Singh Jalal & Prabhakaran Ravichandhiran & Anand Bodke, 12.02.2026
Uncovering the Sophisticated Phishing Campaign Bypassing M365 MFA

WIKIPEDIA
Microsoft 365

[datensicherheit.de, 24.02.2026] Ransomware-Angriffe gelten längst nicht mehr als Einzelfälle, welche nur große Unternehmen betreffen. Laut Panda Security zählen sie im Jahr 2026 weltweit zu den hartnäckigsten und kostspieligsten Cyberbedrohungen – mit Auswirkungen auf Unternehmen, öffentliche Einrichtungen und Privatnutzer gleichermaßen. 74 Prozent der Vorfälle beinhalten demnach Datenexfiltration, also nicht nur Verschlüsselung. „Der weltweite Markt für Ransomware-Schutz soll von 32,6 Milliarden US-Dollar im Jahr 2024 auf nahezu 123 Milliarden US-Dollar bis 2034 wachsen.“

Abbildung: Panda Security

Panda Security – Empfehlungen für Schutzmaßnahmen gegen Ransomware-Attacken

Ransomware-Angriffe werden fortentwickelt: Von Doppel-Erpressungstaktiken zu Phishing-Kampagnen mittels KI

Aktuelle Ransomware-Statistiken zeigten, „wie weit verbreitet und finanziell belastend diese Angriffe inzwischen sind“. Von Doppel-Erpressungstaktiken bis hin zu Phishing-Kampagnen mittels Künstlicher Intelligenz (KI) entwickelten sich Cyberkriminelle schneller denn je weiter.

• Ransomware-Attacken sind spezielle Cyberangriffe, bei denen Täter Dateien verschlüsseln und dann Lösegeld für deren Freigabe verlangen. Moderne Cyberangreifer gehen indes noch weiter: Sie stehlen sensible Daten vor der Verschlüsselung und drohen mit deren Veröffentlichung, falls nicht gezahlt wird.

Panda Security benennt zentrale Ransomware-Trends 2026:

• Doppel-Erpressung ist inzwischen Standard: Daten werden gestohlen, bevor Systeme gesperrt werden.
• KI-gestütztes Phishing macht betrügerische Nachrichten deutlich schwerer erkennbar.
• Ransomware-as-a-Service (RaaS) senkt die Einstiegshürden für Cyberkriminelle, da fertige Angriffstools gemietet werden können.
• Schnellere Verschlüsselung verkürzt die Reaktionszeit auf wenige Minuten, bevor Systeme vollständig blockiert sind.

Besonders von Ransomware-Angriffen betroffene Branchen und die Folgen

Professionelle Dienstleistungen, Gesundheitswesen und verbrauchernahe Dienstleistungen zählten weiterhin zu den am häufigsten angegriffenen Branchen. Besonders im Gesundheitswesen könnten Systemausfälle unmittelbare Auswirkungen auf die Versorgung haben.

• Auch Finanzinstitute hätten 2024 weltweit Tausende Cybervorfälle gemeldet, von denen viele mit sensiblen Datenlecks verbunden gewesen seien.

Ransomware verursacht nicht nur finanzielle Schäden – die menschlichen Folgen:

• 100 Prozent der Organisationen mit verschlüsselten Daten hätten von direkten Auswirkungen auf Mitarbeiter berichtet.
• 41 Prozent der IT- und Sicherheitsteams hätten erhöhte Stressbelastung nach einem Angriff gemeldet.
• 31 Prozent hätten gar krankheitsbedingte Ausfälle aufgrund der psychischen Belastung verzeichnet.

Einschätzung und Handlungsempfehlungen zu Ransomware von Panda Security

„Ransomware bedeutet heute nicht nur Dateiverschlüsselung, sondern Druck, Geschwindigkeit und psychologischen Einfluss“, kommentiert Hervé Lambert, „Global Consumer Operations Manager“ bei Panda Security. Er legt nahe: „Mit KI-gestütztem Phishing und Datendiebstahl als Standardtaktiken muss Prävention proaktiv statt reaktiv erfolgen! Bewusstsein, mehrschichtige Sicherheitsmaßnahmen und schnelle Erkennung sind 2026 entscheidend, um finanzielle und menschliche Schäden zu reduzieren.“

So lässt sich laut Lambert das Risiko reduzieren:

• Systeme und Software regelmäßig aktualisieren!
• Starke, einzigartige Passwörter mit einem Passwort-Manager verwenden!
• Zwei-Faktor-Authentifizierung (2FA) aktivieren!
• Regelmäßige Datensicherungen durchführen!
• Vertrauenswürdige Anti-Ransomware-Lösungen einsetzen!
• Mitarbeiter für Phishing-Risiken sensibilisieren!

„Ransomware-Angriffe werden intelligenter, schneller und aggressiver. Wer die aktuellen Statistiken und Trends kennt, kann seine Sicherheitsstrategie gezielt stärken und Risiken im Jahr 2026 wirksam reduzieren.“ Prävention, Vorbereitung und Aufmerksamkeit blieben somit die wirksamsten Schutzmechanismen gegen eine sich ständig weiterentwickelnde Bedrohung.

Weitere Informationen zum Thema:

panda
So komplex es auch ist – wir machen es einfach.

Linkedin
Hervé Lambert

panda, 27.01.2026
45 Ransomware Statistics Vital for Security in 2026 / Ransomware statistics for 2026 reveal how widespread attacks have become and why awareness is your first line of defense

datensicherheit.de, 18.02.2026
Dragos’ Cybersecurity Report 2026 zur OT-Bedrohung: Ransomware-Angreifer erhöhen operativen Druck auf industrielle Infrastrukturen und KRITIS / Drei neue Ransomware-Angreifergruppen mit OT-Fokus identifiziert – Zahl der Ransomware-Gruppen mit OT-Reichweite um 49 Prozent zugenommen

datensicherheit.de, 31.12.2025
Ransomware-Angriffe auf Unternehmen: Zwischen den Jahren lauern viele Gefahren / Schlimme Bescherung „Cybercrime“ – die Tage „zwischen den Jahren“ sind für Unternehmen besonders riskant

datensicherheit.de, 04.10.2025
Qilin-Gruppe dominiert: Ransomware-Angriffe auf deutsche Industrie nehmen zu / „Die Ransomware-Lage in Deutschland und Europa bleibt angespannt“, unterstreicht Abdulrahman H. Alamri und verweist auf die „Dragos Industrial Ransomware Analysis Q2 2025“

datensicherheit.de, 29.08.2025
PromptLock: ESET-Warnung vor erster autonomer KI-Ransomware / ESET hat deren technische Details veröffentlicht, um die IT-Sicherheits-Community zu sensibilisieren, und stuft diese Ransomware unter dem Namen „Filecoder.PromptLock.A“ ein

datensicherheit.de, 29.08.2025
Sophos: Ransomware setzt Einzelhandel massiv unter Druck – IT-Teams gelangen ans Limit / Anteil der Einzelhandelsunternehmen, welche zur Datenwiederherstellung nach einem Ransomware-Angriff Lösegeld zahlen, im Vergleich zu Vorjahren stark angestiegen