[datensicherheit.de, 03.03.2026] Laut Medienberichten von Ende Februar 2026 soll eine finanziell motivierte Bedrohungsgruppe – „Diesel Vortex“ – Anmeldedaten von Transport- und Logistikunternehmen in den USA und Europa durch Phishing-Angriffe unter Verwendung von 52 Domains entwenden. Im Rahmen dieser demnach seit September 2025 laufenden Phishing-Kampagne sollen 1.649 eindeutige Anmeldedaten von Web-Plattformen und Dienstleistern gestohlen worden sein, welche für die Frachtbranche von entscheidender Bedeutung seien. Shane Barney, „Chief Information Security Officer“ bei Keeper Security, betont in seiner aktuellen Stellungnahme, dass Transport und Logistik von Geschwindigkeit und Vertrauen abhängen – daher müssten Sicherheitskontrollen so gestaltet sein, dass sie beides so schützten, dass selbst gestohlene Anmeldedaten eben nicht zum schwächsten Glied in einem global vernetzten System werden.

Keeper Security

Shane Barney rät zur Verringerung der Gefährdung zum strukturellen Wandel hin zu identitätszentrierter Sicherheit

Gezielte Konzentration der Phishing-Angriffe auf Identitäten im Bereich Transport und Logistik

„Die gemeldeten Phishing-Aktivitäten, die mit ,Diesel Vortex’ in Verbindung gebracht werden, zeigen eine gezielte Konzentration der Angriffe auf die Identitäten im Transport- und Logistik-Ökosystem“, berichtet Barney.

• Seit September 2025 habe diese Gruppe Berichten zufolge 52 gefälschte Domains eingesetzt, um 1.649 einzigartige, mit zentralen Branchenplattformen verbundene Anmeldedaten zu sammeln – darunter bei „DAT Truckstop“, „TIMOCOM“, „Teleroute“, „Penske Logistics“, „Girteka“ und „Electronic Funds Source“.

Hierbei handele es sich nicht um einen klassischen Perimeter-Einbruch: „Vielmehr geht es um die systematische und gezielte Sammlung legitimer Zugriffe. In hochgradig vernetzten Logistikumgebungen – in denen Frachtbörsen, Flottenmanagementsysteme und Zahlungsplattformen nahtlos interagieren müssen – bieten kompromittierte Anmeldedaten einen direkten Zugang zu operativen Arbeitsabläufen.“

Sicherheit von Anmeldedaten zentrale Resilienzfrage für Lieferketten

Barney warnt: „Sobald ein Angreifer als vertrauenswürdiger Nutzer authentifiziert ist, kann er unentdeckt agieren und sich lateral mit geringerer Entdeckungsgefahr bewegen.“ Die Auswirkungen seien für Unternehmen oder öffentliche Verwaltungen eher operativer als technischer Natur. Identität sei in den Bewegungen von Gütern, Geldern und Daten verankert. „Das macht die Sicherheit von Anmeldedaten zu einer zentralen Resilienzfrage für Lieferketten!“

• Um die Gefährdung zu verringern, sei ein struktureller Wandel hin zu identitätszentrierter Sicherheit erforderlich: „Phishing-resistente Multi-Faktor-Authentifizierung, strenge Kontrolle privilegierter Zugriffe, kontinuierliche Überwachung auf offengelegte Anmeldedaten und die Durchsetzung des Prinzips der geringsten Rechte für interne und externe Konten sind grundlegend.“ Eine Zero-Trust-Architektur müsse diesen Ansatz untermauern und sicherstellen, dass keinem Nutzer, keinem Gerät bzw. keiner Session implizit vertraut wird.

Barney betont abschließend: „Transport und Logistik hängen von Geschwindigkeit und Vertrauen ab. Sicherheitskontrollen müssen so gestaltet sein, dass sie beides schützen, ohne dass gestohlene Anmeldedaten zum schwächsten Glied in einem global vernetzten System werden!“

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security: Keeper Security transformiert Cybersicherheit für Menschen und Organisationen auf der ganzen Welt…

KEEPER
Keeper Security Author Shane Barney

SC Media, SC Staff, 25.02.2026
Identity, Threat Intelligence, Phishing / Diesel Vortex phishing campaign targets freight and logistics operators

BLEEPINGCOMPUTER, Bill Toulas, 24.02.2026
Phishing campaign targets freight and logistics orgs in the US, Europe

datensicherheit.de, 14.11.2025
Logistik: Cybersicherheit rückt ins Zentrum strategischer Entscheidungen / Eine Befragung unter Cybersicherheitsverantwortlichen in der Logistik hat laut Sophos gezeigt, dass mit zunehmendem Grad digitaler Vernetzung sowohl eine höhere Angreifbarkeit einhergeht als auch eine zunehmende Professionalität des Cyberschutzes

datensicherheit.de, 19.10.2025
Cyberangriffe auf Logistikbranche: Partner und Personal als Einfallstor / Sophos ist im Rahmen einer Befragung unter Logistik-Fachleuten der Frage nachgegangen, wie es um die Cybersicherheit in dieser Branche steht – diese wurde im September 2025 von techconsult im Auftrag von Sophos durchgeführt

datensicherheit.de, 24.03.2019
Logistik: Vorsichtsmaßnahmen zur Sicherung der digitalisierten Supply Chain / Lieferketten im Netzwerk werden zur Zielscheibe von Cyberkriminellen

Von unserem Gastautor Kay Ernst, Manager DACH von Zero Networks

[datensicherheit.de, 01.03.2026] Die NIS2-Richtlinie der EU ist mehr als nur eine Dokumentationsaufgabe. Sie wurde entwickelt, um die Lücken von NIS1 zu schließen und der sich ständig weiterentwickelnden Bedrohungslandschaft Rechnung zu tragen. Die NIS2-Compliance erfordert von CISOs, dass sie Resilienz und Verantwortlichkeit gegenüber einmaligen Checkbox-Aufgaben priorisieren.

Kay Ernst, Manager DACH von Zero Networks, Foto: Zero Networks

Speziell für CISOs bedeutet NIS2 auch veränderte Compliance-Erwartungen. Kay Ernst, Manager DACH von Zero Networks erläutert Hintergründe und präsentiert eine 5-Punkte Checkliste:

NIS2 erhöht die grundlegenden Cybersicherheitserwartungen für wesentliche und wichtige Unternehmen: die Verantwortung der Geschäftsleitung und des Vorstands für das Cyber-Risikomanagement, nachweisbare operative Resilienz, nicht nur präventive Kontrollen, und nachweisbare Eindämmung und Reduzierung der Auswirkungen von Vorfällen. Im Gegensatz zu vielen anderen Vorschriften geht NIS2 davon aus, dass Sicherheitsverletzungen auftreten werden. Sie zielt darauf ab, die potenziellen Auswirkungen dieser unvermeidlichen Vorfälle zu mindern, und fordert die Führungskräfte auf, nachzuweisen, dass sie proaktive (und sinnvolle) Maßnahmen zur Verbesserung der Cyber-Resilienz ergriffen haben.

Umsetzung von NIS2 – Wo die meisten Unternehmen Probleme haben

Lücken, die die Resilienz von Unternehmen und die Einhaltung der NIS2-Vorschriften beeinträchtigen, treten in vielen Unternehmen tendenziell in denselben Betriebsbereichen auf:

• Unkontrollierte laterale Bewegung: Viele Unternehmen verfügen nach wie vor nicht über robuste interne Kontrollen und behandeln den Ost-West-Verkehr als implizit vertrauenswürdig. Für Angreifer ist es dadurch ein Leichtes, einen kleinen Einstiegspunkt in eine weitreichende Sicherheitsverletzung zu verwandeln.
• Privilegierte Zugriffspfade: Nur ein Prozent der Ports sind für 90 Prozent der Sicherheitsverletzungen verantwortlich, aber die meisten Unternehmen lassen privilegierte Admin-Ports wie SSH, RDP und RPC permanent offen, wodurch das Netzwerk anfällig bleibt.
• Übermäßiger Zugriff durch Anbieter und Dritte: Breiter VPN-Zugriff, persistente Anmeldedaten und unzureichende identitätsbasierte Zugriffskontrollen ermöglichen es externen Konten, sich frei zu bewegen und den Explosionsradius zu vergrößern.
• Ausufernde Altsysteme: Altsysteme, die moderne Identitätskontrollen nicht unterstützen können, werden häufig aus Zero-Trust-Initiativen ausgeschlossen, bleiben jedoch für den Betrieb von entscheidender Bedeutung und fallen eindeutig in den Geltungsbereich der Vorschriften.
• Erkennung ausgerichtete Strategien zur Reaktion auf Vorfälle: Viele Incident-Response-Strategien basieren nach wie vor auf Erkennung und Wiederherstellung statt auf Eindämmung, obwohl damit im Falle eines Angriffs ganze Umgebungen abgeschaltet werden müssen.

Aufbau einer resilienten Sicherheitsarchitektur

Um die Anforderungen von NIS2 zu erfüllen, müssen die Grundlagen der Sicherheit nicht neu erfunden werden. Stattdessen sollten sich CISOs darauf konzentrieren, ihre Netzwerkarchitektur widerstandsfähig zu gestalten, sodass die Einhaltung von Vorschriften zu einem Nebenprodukt und nicht zu einer wiederkehrenden Aufgabe wird. Durch die Priorisierung von vier Hauptzielen können Sicherheitsverantwortliche ihre Sicherheitslage verbessern, um sich an veränderte gesetzliche Anforderungen anzupassen:

Standardmäßig laterale Bewegungen verhindern

Laterale Bewegungen eskalieren kleinere Vorfälle zu vollständigen Ausfällen. Wenn Angreifer niemals über den Punkt des ersten Zugriffs hinauskommen, führen Sicherheitsvorfälle niemals zu Geschäftsunterbrechungen. In der Praxis bedeutet die Verhinderung lateraler Bewegungen, dass durch umfassende Mikrosegmentierung eine Kommunikation mit minimalen Berechtigungen zwischen allen Netzwerkressourcen durchgesetzt wird – und nicht nur Aktivitäten überwacht und Warnmeldungen verfolgt werden. Ost-West-Datenverkehr sollte nur auf der Grundlage ausdrücklicher geschäftlicher Anforderungen zugelassen werden.

Durchsetzung privilegierter Zugriffsrechte auf Netzwerkebene

Der Missbrauch von Anmeldedaten ist nach wie vor eine der zuverlässigsten Methoden, mit denen Angreifer sich ersten Zugriff verschaffen und die Auswirkungen eskalieren können. Granulare identitätsbasierte Kontrollen stellen sicher, dass Anmeldedaten nur auf ausdrücklich genehmigten Pfaden verwendet werden können, selbst für Dienstkonten oder Altsysteme, die nicht mit den meisten modernen Identitäts- oder MFA-Technologien integriert werden können. Privilegierte Ports und administrative Aktivitäten sollten mit Just-in-Time-MFA gesichert werden, die die Berechtigungen nach der Überprüfung kurzzeitig erhöht, um sicherzustellen, dass ein gestohlenes Passwort oder ein zu freizügiges Dienstkonto Angreifern nicht mehr uneingeschränkten Zugriff auf das Netzwerk gewährt.

Zugriff durch Dritte und Lieferanten einschränken

Externer Zugriff umgeht oft interne Sicherheitsvorkehrungen. Dritte sollten nur auf die notwendigen internen Ressourcen zugreifen können – mehr nicht. Durch die Forderung nach einer Just-in-Time-MFA-Überprüfung für den Fernzugriff können Sicherheitsverantwortliche konsistente, detaillierte Zugriffsrichtlinien für Lieferanten, Auftragnehmer und andere Dritte durchsetzen.

Auf Eindämmung statt Abschaltung ausgelegt

Die Resilienz unter NIS2 wird an der Kontinuität gemessen. Wenn die Isolierung einer Bedrohung die Abschaltung großer Teile der Umgebung erfordert, bleibt das Ziel der Richtlinie, die Betriebskontinuität aufrechtzuerhalten, unerreichbar. Die Eindämmung von Bedrohungen sollte präzise, automatisch und mit minimalen Störungen erfolgen, wobei betroffene Ressourcen gezielt isoliert werden, ohne kritische Dienste zu unterbrechen.

NIS2-Checkliste: Prüfung der Betriebsbereitschaft

CISOs können die Strategie ihres Unternehmens schnell anhand der NIS2-Anforderungen messen, indem sie sich einige wichtige Fragen stellen:

1. Wird laterale Bewegung verhindert?
   Unbefugte Ost-West-Kommunikation sollte standardmäßig blockiert werden, um sicherzustellen, dass Angreifer nicht über die anfängliche Kompromittierung hinauskommen.
2. Wird privilegierter Zugriff im Netzwerk durchgesetzt?
   Anmeldedaten sollten nur auf ausdrücklich genehmigten Pfaden verwendet werden können, und MFA sollte durchgesetzt werden – auch für Dienstkonten und Altsysteme.
3. Ist die Eindämmung in die Umgebung integriert?
   Sicherheitsvorfälle sollten ohne manuelle Isolierung oder Abschaltung eingedämmt werden, um sicherzustellen, dass kritische Dienste dennoch betriebsbereit bleiben.
4. Ist der Zugriff durch Dritte eingeschränkt?
   Der Zugriff von Anbietern und Lieferanten sollte auf Netzwerkebene segmentiert werden, um den Zugriff auf nicht zugehörige Systeme zu blockieren.
5. Sind Kontrollen nachweisbar?
   Unternehmen müssen nachweisen können, wie Segmentierung und Zugriffskontrollen durchgesetzt werden, und Belege für deren Auswirkungen auf den Explosionsradius vorlegen.

NIS2-Compliance durch automatisierte, identitätsbasierte Mikrosegmentierung

Anstatt zusätzliche Überwachungsmaßnahmen einzuführen, ist eine dynamische Eindämmungs- und Durchsetzungsebene innerhalb des Netzwerks nötig. Unternehmen können damit nachweisen, dass sie die Ausbreitung und die betrieblichen Auswirkungen aktiv begrenzen können, was für die NIS2-Compliance von zentraler Bedeutung ist.

Automatisierte, identitätsbasierte Mikrosegmentierung verhindert laterale Bewegungen in großem Maßstab. MFA auf Netzwerkebene erzwingt privilegierten Zugriff für alle Systeme, einschließlich Legacy-Umgebungen. Dieser Ansatz minimiert die Auswirkungen von Sicherheitsverletzungen und blockiert laterale Bewegungen, indem sie Bedrohungen automatisch in Echtzeit eindämmt und gleichzeitig das Risiko in der Lieferkette und durch Dritte durch die Einschränkung externer Zugriffspfade reduziert. Nicht zuletzt bietet dieser Ansatz die erforderliche Sichtbarkeit hinsichtlich Zugriffspfaden, Segmentierungsgrenzen und Eindämmungszonen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2025
NIS-2 offiziell in Kraft: Proliance-Handlungsempfehlungen für Unternehmen

[datensicherheit.de, 01.03.2026] Clare Loveridge, „Vice President & General Manager EMEA“ von Arctic Wolf, kommentiert die Auswirkungen der aktuellen Weltlage auf Fragen der Cybersecurity und Souveränität: „Die geopolitischen Spannungen weltweit bleiben nicht ohne Auswirkungen auf die Cybersicherheit! Während Staaten ihre technologische und strategische Souveränität ausbauen, gerät der internationale Austausch sicherheitsrelevanter Informationen zunehmend unter Druck.“ Sie warnt: „Werden Erkenntnisse zu Schwachstellen oder aktuellen Angriffsmustern nicht länderübergreifend geteilt, schwächt dies die kollektive Verteidigungsfähigkeit aller verbündeter Staaten! Denn Cyberkriminalität operiert unabhängig von Landesgrenzen, Zeitzonen oder regulatorischen Zuständigkeiten.“

Foto: Arctic Wolf

Clare Loveridge: Die geopolitischen Spannungen weltweit bleiben nicht ohne Auswirkungen auf die Cybersicherheit!

Cybersecurity erfordert grenzüberschreitend enge Abstimmung und kontinuierliche Kooperation

Wirksame Cybersicherheit erfordere deshalb enge Abstimmung und kontinuierliche Kooperation über Regionen hinweg. „Vor allem, da sich Angriffe nicht an geographischer Nähe orientieren – im Cyberspace sind alle Ziele gleichermaßen erreichbar!“

• Die Intensität der Angriffe nehme in vielen (europäischen) Ländern spürbar zu, was auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Jahresbericht zur IT-Sicherheitslage in Deutschland bestätigt habe. Regierung, Wirtschaft und Unternehmen sehen sich demnach mit höheren Angriffszahlen, schnellerer Eskalation und teils erheblichen finanziellen Folgen konfrontiert.

So habe sich bei Angriffen im vergangenen Jahr Folgendes gezeigt: „Unternehmensdaten wurden teils in weniger als 90 Minuten verschlüsselt“ – dies sei eine Erkenntnis aus dem „Arctic Wolf Security Operations Report 2025“. Datensicherung biete folglich keine Garantie für Resilienz: Entscheidend sei daher nicht nur die Existenz technischer Schutzmaßnahmen, sondern die Fähigkeit, im Ernstfall koordiniert und zügig zu handeln.

Cybersecurity als Daueraufgabe: Cyberrisiken allgegenwärtig und ohne Ruhezeiten

Vor dem Hintergrund einer globalisierten und rund um die Uhr aktiven Bedrohungslandschaft werde deutlich: „Cybersicherheit muss international gedacht und kontinuierlich umgesetzt werden!“ Organisationen seien gefordert, ihre Sicherheitsarchitektur an diese Realität anzupassen.

• Professionelle „Security Operations“-Anbieter könnten Unternehmen dabei unterstützen, Bedrohungen stetig zu überwachen, Vorfälle schnell einzuordnen und im Krisenfall handlungsfähig zu bleiben – als ergänzende Instanz zu internen Teams und als wichtiger Baustein für nachhaltige Cyberresilienz.

Loveridges Fazit: „Schlussendlich sind Cyberrisiken heute jedoch allgegenwärtig und kennen keine Ruhezeiten. Die angemessene nachhaltige Antwort darauf ist ein Sicherheitsmodell, das dieser Realität gerecht wird – eines, das globale Transparenz, kontinuierliche Betriebsbereitschaft und menschliche Expertise vereint, um Bedrohungen in Echtzeit zu erkennen, zu analysieren und darauf zu reagieren.“

Weitere Informationen zum Thema:

ARCTIC WOLF
Wir sorgen dafür, dass die Sicherheit funktioniert.

Linkedin
Clare Loveridge

ARCTIC WOLF
2025 Security Operations Report

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2025

datensicherheit.de, 12.02.2026
eco-Forderung: EU sollte als Einheit auftreten und Europas digitale Wettbewerbsfähigkeit stärken / Der eco – Verband der Internetwirtschaft e.V. hat anlässlich des „EU-Gipfels“ vom 12. Februar 2026 appelliert, ein klares Signal für europäische Einheit und digitale Wettbewerbsfähigkeit zu setzen

datensicherheit.de, 08.02.2026
Strategische Notwendigkeit: Die drei Grundpfeiler Digitaler Souveränität Europas / Digitale Souveränität ist die Fähigkeit, als Organisation in Europa handlungsfähig zu bleiben – selbst wenn globale Lieferketten reißen oder politische Spannungen digitale Datenflüsse unterbrechen

datensicherheit.de, 30.11.2025
Handlungsbedarf: Digitale Souveränität von strategischer Relevanz für Unternehmen / Zunehmendes Streben nach echter Digitaler Souveränität – Unternehmen fordern die Kontrolle über ihre Daten, ihre „Cloud“-Infrastruktur und ihren technologischen Kurs zurück

[datensicherheit.de, 01.03.2026] Der aktuelle Bericht „State of DevSecOps Report 2026“ von Datadog geht auf die Probleme moderner IT-Sicherheitsteams ein: Diese steckten förmlich zwischen veralteter Software mit bekannten Schwachstellen und zu schneller Automatisierung, welche die Gefahr berge, bösartige oder kompromittierte Software gleich mit zu installieren. Das Ergebnis sei eine wachsende Lücke zwischen dem Sicherheitsgefühl vieler Organisationen und dem realen bereits in der Produktion erwachsenden Risiko. Der Report thematisiert außerdem, warum viele IT-Security-Teams trotz wachsender „Alert“-Flut nicht schneller werden: Sie gingen im Rauschen „kritischer“ Meldungen geradezu unter, denn 82 Prozent der als „kritisch“ eingestuften Schwachstellen seien tatsächlich unkritisch, sobald reale Laufzeitkontexte berücksichtigt werden.

Risiko zunehmend durch Software-Lieferkette und zum Erstellen und Bereitstellen von Anwendungen verwendeten „Tools“ geprägt

Die Datadog Inc., Anbieter einer KI-gestützte „Observability“- und Sicherheitsplattform für „Cloud“-Anwendungen, hat am 26. Februar 2026 seinen aktuellen „State of DevSecOps Report“ veröffentlicht. Demnach haben nahezu neun von zehn Unternehmen (87%) mindestens eine bekannte, ausnutzbare Schwachstelle in bereitgestellten Services.

• Der Bericht verweist auf einen breiteren Wandel in der Branche, bei dem Sicherheitsrisiken entlang des gesamten „Software Delivery“-Lebenszyklus zunähmen.

Da sich die Entwicklung beschleunige, stärker automatisiert ablaufe und sich stärker auf Drittanbieter-Komponenten stütze, werde das Risiko zunehmend durch die Software-Lieferkette und die zum Erstellen und Bereitstellen von Anwendungen verwendeten „Tools“ geprägt – und eben nicht nur durch den in der Produktion laufenden Code.

Sicherheitsrisiko nimmt an beiden Enden des Software-Lebenszyklus zu

Einerseits altere Software schneller, als Teams sie aktuell halten könnten. „Die mediane Software-Abhängigkeit, also wie lange die verwendeten Software-Bausteine veraltet sind, liegt inzwischen bei 278 Tagen und damit 63 Tagen mehr als im vergangenen Jahr.“

• Gleichzeitig beschleunige Drittanbieter-Software die Entwicklung, bringe jedoch Risiken mit sich, „wenn ihr komplett vertraut wird“. Die Hälfte der Unternehmen (50%) übernähmen neue Bibliotheksversionen innerhalb von 24 Stunden nach Veröffentlichung und nur vier Prozent aller Unternehmen legten „GitHub-Actions“ mithilfe von „Commit-Hashes“ auf eine spezifische Version fest.

Infolgedessen seien „Build- und Deployment-Pipelines“ zunehmend stillen Änderungen in Drittanbieter-Code ausgesetzt, was CI/CD-Systeme zu einem kritischen Lieferketten-Risiko mache.

Veraltete Software mit bekannten Schwachstellen vs. Automatisierung mit ungeprüftem Code

„Die Art und Weise, wie Software gebaut wird, hat sich grundlegend verändert, aber Sicherheitspraktiken haben nicht Schritt gehalten“, erläutert Andrew Krug, „Head of Security Advocacy“ bei Datadog.

• Ergibt zu bedenken: „,DevSecOps’-Teams sitzen zwischen den Stühlen – zu langsam oder zu schnell. Wer langsam vorgeht, sammelt veraltete Software mit bekannten Schwachstellen an. Wer schnell vorgeht, kann durch Automatisierung ungeprüften Code einführen.“

Die eigentliche Herausforderung sei jedoch nicht nur die Geschwindigkeit, sondern Klarheit. „Da Umgebungen immer komplexer werden, helfen KI-gestützte Workflows dabei, sicherzustellen, dass die wichtigsten Prioritäten zuerst Aufmerksamkeit bekommen“, so Krug.

Software-Schwachstellen: Warnmeldungsvolumen verdeckt tatsächliches Risiko

Während die Zahl der Warnmeldungen zu Schwachstellen weiter steige, zeige der Bericht auch, dass die meisten kein unmittelbares Geschäftsrisiko darstellten. Nur 18 Prozent der als „kritisch“ eingestuften Schwachstellen blieben tatsächlich kritisch, „sobald Laufzeitkontext berücksichtigt wird“.

• „Wenn fast alles als ‚kritisch‘ gekennzeichnet ist, ist nichts mehr kritisch“, warnt Krug. Er kommentiert abschließend: „Teams sind mit einem Rauschen beschäftigt, während Bedrohungen, die ein echtes Risiko darstellen, durchrutschen. Ohne Kontext wird die Priorisierung schwieriger, was zu Burnout, langsameren Reaktionszeiten und angesammeltem Risiko führt. Teams brauchen bessere Transparenz darüber, was tatsächlich Maßnahmen erfordert.“

Datadog hat für den vorliegenden Bericht nach eigenen Angaben Telemetriedaten aus Zehntausenden von Anwendungen analysiert, um Sicherheitsrisiken in modernen Software-Umgebungen zu bewerten, sowie zusätzliche Datensätze, die für spezifische Ergebnisse genutzt wurden. Die Datenbasis sei global.

Weitere Informationen zum Thema:

DATADOG
AI-Powered Observability and Security / See inside any stack, any app, at any scale, anywhere.

DATADOG, Februar 2026
STATE OF DevSecOps

Andrew Krug
Hi, I’m Andrew Krug

datensicherheit.de, 24.11.2025
Software-Schwachstellen als Achillesferse moderner technischer Systeme / Statt Patchen „Security by Design“ der Software mit der richtigen Programmiersprache

datensicherheit.de, 10.11.2025
Erweiterte SBOM als Sicherheitheitspass: Software-Stücklisten zwischen Pflicht und Kür / Laut ONEKEY entwickeln sich erweiterte SBOMs zum Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen

datensicherheit.de, 23.10.2025
Wenn die Software-Lieferkette ins Visier gerät: Effektives Schwachstellen-Management vorhalten / Cyberangriffe gehören längst zur Normalität – besonders kritisch wird es indes, wenn Täter einzelne Komponenten der Software-Lieferkette attackieren

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus

[datensicherheit.de, 28.02.2026] KI-gestützte Deepfakes und Falschinformationen erhöhen die Wirksamkeit identitätsbasierter Angriffe. Der Diebstahl von Anmeldedaten ist mit 67 Prozent (58 % in Deutschland) die häufigste Angriffstechnik gegen Cloud-Infrastrukturen. Fast 60 Prozent (51 % in Deutschland) der Unternehmen melden Vorfälle im Zusammenhang mit Deepfakes. 48 Prozent (47 % in Deutschland) leiden unter Reputationsschäden aufgrund von KI-generierten Falschinformationen.

Zunehmende Investitionen in KI-Sicherheit

Die Investitionen in KI-Sicherheit nehmen zu: 30 Prozent (30 % in Deutschland) der Unternehmen stellen spezielle Budgets bereit, 53 Prozent (48 % in Deutschland) verlassen sich jedoch weiterhin auf bestehende Sicherheits-Tools.

Die Infographik verdeutlicht wie sich die Sicherheitsprioritäten durch KI verschieben (Quelle: Thales DTR 2026)

KI als Insider-Bedrohung

Nach Angaben des Thales 2026 Data Threat Reports erklären Organisationen aus verschiedenen Branchen, darunter die Automobilindustrie, der Energie-, der Finanzensektor und der Einzelhandel, dass das rasante Tempo der KI-getriebenen Transformation derzeit ihre größte Herausforderung im Bereich Sicherheit darstellt. Basierend auf der von S&P Global 451 Research im Jahr 2025 durchgeführten Studie nennen 71 Prozent (70 % in Deutschland) KI als ihr größtes Datensicherheitsrisiko. Die Sorge gilt nicht nur bösartiger KI, sondern auch dem Zugriff, der ihr gewährt wird, wenn sie sich von einem reinen Werkzeug zu einem vertrauenswürdigen „Insider“ wandelt.

Während Unternehmen die Einführung von KI beschleunigen, fällt es der Governance in Bezug auf Datentransparenz, Identität und Sicherheitskontrollen schwer, Schritt zu halten. Die Ergebnisse des Berichts für 2026 zeigen, dass KI-Systeme zunehmend, wie vertrauenswürdige Insider agieren. Dies geschieht oft mit umfassendem, automatisiertem Zugriff auf Unternehmensdaten, jedoch ohne die Überwachung oder Kontrollen, die traditionell für menschliche Benutzer gelten.

Sebastien Cano, Senior Vice President für Cybersicherheitsprodukte bei Thales, Bild: Thales

„Insider-Risiken betreffen nicht mehr nur Menschen. Sie betreffen auch automatisierte Systeme, denen zu schnell Vertrauen geschenkt wurde“, sagt Sebastien Cano, Senior Vice President für Cybersicherheitsprodukte bei Thales. „Selbst wenn KI innerhalb von Sicherheitskontrollen arbeitet, beschleunigt KI bei schwachen Zugriffsrichtlinien, Identitätsverwaltung oder Datenschutz diese Schwächen in Umgebungen weitaus schneller, als menschliche Benutzer dies jemals könnten.“

Sichtbarkeitslücken vergrößern sich, während KI die Reichweite von Daten erhöht

Der Bericht offenbart eine beunruhigende Diskrepanz zwischen der KI-Einführung und der Datenkontrolle. Nur 34 Prozent (33 % in Deutschland) der Unternehmen wissen, wo alle ihre Daten gespeichert sind.Lediglich 39 Prozent können ihre Daten vollständig klassifizieren. Gleichzeitig bleiben 47 Prozent (48 % in Deutschland) der sensiblen Cloud-Daten unverschlüsselt.

KI-Systeme erfassen und verarbeiten Daten aus Cloud- und SaaS-Umgebungen. Dabei erschwert die eingeschränkte Transparenz die Durchsetzung des Prinzips der geringsten Berechtigungen und erhöht das Risiko, wenn Anmeldedaten kompromittiert werden.

Die Identitätsinfrastruktur ist heute die primäre Angriffsfläche. Der Diebstahl von Anmeldedaten ist nach wie vor die häufigste Angriffstechnik gegen Cloud-Management-Infrastrukturen und wird von 67 Prozent (64 % in Deutschland) der Unternehmen genannt, die Cloud-Angriffe erlebt haben. Gleichzeitig stufen 50 Prozent (49 % in Deutschland) das Geheimnismanagement als eine ihrer größten Herausforderungen im Bereich der Anwendungssicherheit ein. Dies spiegelt die zunehmende Komplexität der Verwaltung von Maschinenidentitäten, API-Schlüsseln und Tokens in großem Maßstab wider.

KI ermöglicht schlagkräftigere Angriffe

Während Unternehmen sich beeilen, KI einzuführen, tun Angreifer dasselbe. Fast 60 Prozent (51 % in Deutschland) der Unternehmen geben an, dass sie Deepfake-basierte Angriffe erlebt haben. 48 Prozent (47 % in Deutschland) berichten von Reputationsschäden im Zusammenhang mit KI-generierten Falschinformationen oder Identitätsdiebstahlkampagnen.

KI bringt nicht nur neue Risiken mit sich, sondern verstärkt auch bereits bestehende. Menschliches Versagen ist bereits für 28 Prozent (32 % in Deutschland) aller Sicherheitsverletzungen verantwortlich. Durch die zusätzliche Automatisierung können sich kleine Fehler schneller ausweiten und weiterverbreiten.

Sicherheitsinvestitionen verschieben sich, jedoch nicht im gleichen Tempo wie die neuen Risiken

Unternehmen beginnen, ihre Sicherheitsausgaben anzupassen, um gegen KI-bezogene Bedrohungen zu bestehen. 30 Prozent (30 % in Deutschland) stellen nun spezielle Budgets für KI-Sicherheit bereit, gegenüber 20 Prozent (18 % in Deutschland) im Vorjahr. Allerdings verlassen sich 53 Prozent (48 % in Deutschland) weiterhin auf bestehende Sicherheitsinvestitionen, die nicht für maschinengesteuerte oder autonome Risikomodelle ausgelegt sind.

„KI wird zunehmend in Unternehmensabläufe integriert. Deshalb ist das Management der Datensicherheit nicht mehr nur ein Randthema, sondern eine strategische Notwendigkeit“, sagt Eric Hanselman, Chefanalyst bei S&P Global Market Intelligence 451 Research. „Unternehmen müssen Datensicherheit als Grundlage für Innovation betrachten und nicht als davon getrenntes Thema.“ [1]

Vertrauen muss sich weiterentwickeln, wenn Maschinen Zugang erhalten

KI ersetzt traditionelle Bedrohungen nicht, sondern verstärkt sie vielmehr, indem sie deren Geschwindigkeit, Umfang und Reichweite erhöht. Da automatisierte Systeme einen immer umfassenderen Zugang zu Unternehmensdaten erhalten, müssen Organisationen Identität, Verschlüsselung und Datentransparenz als Kerninfrastruktur neu überdenken. Diejenigen, die eine starke Governance in ihre KI-Strategien integrieren, sind besser in der Lage, sich sicher weiterzuentwickeln und zu vermeiden, dass KI zu ihrer neuesten Insider-Bedrohung wird.

[1] Thales 2026 Data Threat Report

Weitere Informationen zum Thema:

datensicherheit.de, 26.02.2026
ISO/IEC 42001: Verantwortungsvolle KI – ein neuer Standard für Cybersicherheit

datensicherheit.de, 26.02.2026
KI-Agenten für Cybersicherheit: Hintergründe zum Vorgehen

[datensicherheit.de, 28.02.2026] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zum Web-Seminar „Das Ende klassischer Kryptographie? IT-Sicherheit vor dem Quantenumbruch“ ein. Seit Jahrzehnten schützen kryptographische Verfahren u.a. digitale Identitäten, VPN-Verbindungen, E-Mails und geschäftskritische Daten. Doch mit dem Fortschritt auf dem Gebiet des Quantencomputings gerät genau dieses bisher noch so sicher geltende Fundament ins Wanken: „Was heute als sicher gilt, könnte morgen berechenbar sein!“, warnt der it’s.BB.

Abbildung: it’s.BB e.V.

Referent: Jonas Schubert, IT-Security-Experte, M&H IT-Security

„Das Ende klassischer Kryptographie? IT-Sicherheit vor dem Quantenumbruch“

Web-Seminar am Mittwoch, dem 11. März 2026, von 16.00 bis 17.00 Uhr.
via „MS-Teams“
Die Teilnahme ist kostenlos – eine Online-Anmeldung erforderlich.

Agenda (ohne Gewähr)

– Einführung und Übersicht über klassische Kryptographie
– Erläuterungen:

• symmetrische und asymmetrische Verschlüsselungsmethoden,
• wann und wie Quantencomputer ein reales Risiko für klassische Kryptographie darstellen,
• welche erfahren konkret betroffen sind,
• was „Post-Quanten-Kryptographie“ bedeutet,
• welche strategischen Schritte Unternehmen bereits jetzt einleiten sollten.

– „Q&A“

Online-Anmeldung und weitere Informationen zum Thema:

eventbrite.de, it’sBB e.V ITSicherheitsnetzwerk BerlinBrandenburg
Das Ende klassischer Kryptographie? IT-Sicherheit vor dem Quantenumbruch

it’s.BB DAS IT_SICHERHEITSNETZWERK BERLIN-BRANDENBURG
it´s.BB – über uns / IT-Sicherheit für Berlin und Brandenburg

datensicherheit.de, 01.11.2025
Bedrohung der Datensicherheit durch Fortschritte bei Quantencomputern / Unternehmen stehen weitreichende Veränderungen hinsichtlich des Schutzes sensibler Informationen und Daten bevor – Quantencomputer rechnen immer schneller und bedrohen Public-Key-Verschlüsselungen

datensicherheit.de, 16.09.2025
Daten als Beute auf Vorrat: Cyberkriminelle setzen auf Fortentwicklung der Quantencomputer / US-Behörde NIST empfiehlt neue Kryptographie-Standards: Quantencomputer werden bald heute noch als sicher geltende Verschlüsselungen in Sekunden knacken können

datensicherheit.de, 16.07.2025
Fortschritte des Quantencomputings: Aktuelle Verschlüsselungsverfahren drohen obsolet zu werden / Innerhalb der nächsten fünf bis zehn Jahre wird vielfach der Eintritt des „Q-Day“ befürchtet – also der Zeitpunkt, an dem Quantencomputer leistungsfähig genug sind, heute gängige kryptographische Algorithmen zu brechen

datensicherheit.de, 16.05.2025
Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen / Rückblick auf das „FrühlingsForum 2025“ des VDI/VDE-AK Sicherheit und des ETV in Berlin mit Dr. Jan Goetz als Sprecher zum Thema „Quantencomputer – Was kommt nach KI? Wie Quantencomputer die Welt verändern können“

datensicherheit.de, 12.05.2025
Q-Day: Utimaco rät Unternehmen zur rechtzeitigen Vorbereitung auf quantengestützte Cyberangriffe / Aktueller Utimaco-Report zu Quantenbedrohungen erschienen – um weiterhin digitale Sicherheit zu gewährleisten, muss sich die heutige Kryptographie drastisch verändern

[datensicherheit.de, 28.02.2026] ESET meldet in eigener Sache: „Die beste IT-Sicherheit kommt aus der EU!“ Zu diesem Ergebnis kommen demnach Tester der Stiftung Warentest. „In der aktuellen Ausgabe des Magazins hat die ,ESET HOME Security Essential’ unter insgesamt 16 getesteten Lösungen für ,Windows’ einen Spitzenplatz erreicht.“ Die Ergebnisse sprächen eine klare Sprache: Mit der Note 1,4 („sehr gut“) liege dieses Lösungspaket auf dem ersten Platz. Besonders die Performanz und die Handhabung hätten die Tester überzeugt.

Schutzwirkung der ESET-Lösung gegen Malware und Phishing

„Der Testsieg bei Stiftung Warentest bestätigt unser konstantes Streben nach technischer Perfektion in der IT-Sicherheit“, kommentiert Juraj Malcho, „Chief Technology Officer“ von ESET.

• Er unterstreicht: „Unser Ziel ist es, Nutzern und Unternehmen auf der ganzen Welt den bestmöglichen Schutz zu bieten – ganz ohne unnötige Komplexität. Dass unsere Bemühungen nun ausgezeichnet werden, macht uns besonders stolz.“

Besonders überzeugt seien die unabhängigen Tester der Stiftung Warentest von der sehr hohen Schutzwirkung gegen Schadsoftware und Phishing sowie der geringen Systembelastung. Features wie der eingebaute abgesicherte Browser schützten die Online-Aktivitäten von Nutzern.

Auch ESET-Preispolitik gewürdigt

Auch die Preispolitik habe bei den Testern gepunktet: Im Gegensatz zu anderen Herstellern gebe es bei den „ESET HOME Security“-Lösungen keine versteckten Preiserhöhungen bei Verlängerungen.

• Während einige Anbieter Neukunden mit geringen Kosten für das erste Jahr lockten und im Folgejahr die Preise kräftig anzögen, sehe ESET von solchen Praktiken ab.

„In unserer Preispolitik gibt es für Nutzer keine bösen Überraschungen“, so Stefan Heitkamp, „Director of Retail, Etail & OEM Partnerships“ bei ESET. Er führt aus:„Im Gegensatz zu vielen Mitbewerbern setzen wir auf umfassende Transparenz bei allem, was wir tun – vom exzellenten Datenschutz bis hin zu einer verständlichen Preisgestaltung.“

Deutschsprachige ESET-Support durch eigene Mitarbeiter in Jena

Auch in der IT-Sicherheit gebe es bei Herstellern nichts kostenlos, so auch das Ergebnis der Stiftung Warentest. Viele Anbieter nutzten ihre Gratisversionen, um kostenpflichtige Lösungen und Funktionen zu bewerben. Die Tester schreiben dazu: „In den Gratisversionen spielen sie dann häufig Werbung für kostenpflichtige Zusatzfunktionen aus.“

• Nutzer von Gratis-Tools müssten im Ernstfall oder bei Problemen einen KI-Chatbot, ein Forum oder einen FAQ-Artikel befragen. Indes warteten meist nur bezahlte IT-Sicherheitslösungen mit einem echten menschlichen Support auf.

Eben genau dies könnten ESET-Kunden erwarten: „Im Vergleich zu vielen Mitbewerbern bieten wir unseren Kunden deutschsprachigen Support an, den wir mit eigenen Mitarbeitern in Jena realisieren“, ergänzt Heitkamp.

ESET-Selbstverpflichtung: IT-Sicherheit aus der EU in der Spitzenklasse

Der vorliegende Produkttest zeige: „ESETs IT-Sicherheit ist in technischer Hinsicht ausgezeichnet.“ Darüber hinaus setze ESET als europäischer Hersteller auf höchste Datenschutzstandards und innovative Schutztechnologien.

• Organisationen und Anwender könnten sich darauf verlassen, dass sie mit ESET-Lösungen nicht nur leistungsstarke Sicherheit erhielten, sondern auch eine bedingungslose Gesetzeskonformität. Dank „No-Backdoor“-Garantie enthielten die Produkte zudem keine verborgenen „Hintertüren“.

Der aktuelle Testsieg bestätige ESETs Engagement für europäische IT-Sicherheit. „Wer ein ausgezeichnetes, leistungsstarkes und kosteneffektives IT-Security-Paket sucht, wird bei ESET HOME Security Lösungen fündig.“

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

Stiftung Warentest, 26.02.2026
ESET Home Security Essential

eseT
eseT HOME Security edition 2026: Rundum-Schutz für Ihr digitales Leben / Für Windows, macOS, Android und iOS…

datensicherheit.de, 25.02.2026
Digital Independence Day: Emanzipation mittels Cybersecurity „Made in EU“ / Am 1. März 2026 findet wieder der europäische „Digital Independence Day“ (DI.Day) statt – er soll auf die Abhängigkeit von außereuropäischen Tech-Lösungen hinweisen und zugleich europäische Alternativen aufzeigen

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

datensicherheit.de, 09.09.2025
„Made in EU“ strategischer Erfolgsfaktor für IT-Sicherheit bei Unternehmen, Behörden und KRITIS / Wer IT-Systeme zuverlässig schützen will, muss sicher sein, auf welche Technologien er sich rechtlich, technisch und strategisch verlassen kann

Von unserem Gastautor Max Heinemeyer, Global Field CISO, Darktrace

[datensicherheit.de, 26.02.2026] Die Einführung der ISO/IEC 42001 markiert einen wichtigen Meilenstein für die sichere und verantwortungsvolle Nutzung von Künstlicher Intelligenz (KI). Als weltweit erste Managementsystem-Norm für KI schafft sie einen strukturierten Rahmen – insbesondere für sicherheitskritische Bereiche wie die Cybersicherheit.

Max Heinemeyer, Global Field CISO, Darktrace, Bild: Darktrace

In einer Zeit, in der KI nicht nur Prozesse automatisiert, sondern zunehmend eigenständig Entscheidungen vorbereitet oder trifft, ist ein klar definiertes Governance-Modell unerlässlich. Gerade in sensiblen Umfeldern wie der Datenverarbeitung und IT-Sicherheit bietet ISO/IEC 42001 eine dringend benötigte Orientierung.

Warum ein KI-Standard notwendig ist

KI-Systeme sind heute weit mehr als unterstützende Werkzeuge. Sie priorisieren Sicherheitsvorfälle, analysieren große Datenmengen in Echtzeit und reagieren automatisiert auf Bedrohungen. Diese Fähigkeiten erhöhen die Geschwindigkeit und Effektivität der Cyberabwehr erheblich. Gleichzeitig entstehen neue Risiken: mangelnde Transparenz, algorithmische Verzerrungen, unklare Entscheidungslogiken oder zusätzliche Angriffsflächen für Manipulation.

Bis zur Einführung der ISO/IEC 42001 existierte kein global einheitlicher Standard, der Governance, Risikomanagement und Verantwortlichkeiten für KI-Systeme systematisch definiert. Die Norm schließt diese Lücke und bietet Organisationen einen strukturierten Rahmen, um KI sicher, nachvollziehbar und regulatorisch konform zu betreiben.

Die Struktur der ISO/IEC 42001

Im Kern definiert die Norm Anforderungen an ein „Artificial Intelligence Management System“ (AIMS). Die Struktur orientiert sich an etablierten ISO-Managementsystemen wie ISO/IEC 27001 und umfasst sieben zentrale Elemente:

Kontext der Organisation: Unternehmen müssen interne und externe Faktoren identifizieren, die Einfluss auf ihr KI-Managementsystem haben.

• Führung: Die Unternehmensleitung trägt Verantwortung für Governance-Strukturen und stellt sicher, dass KI-Strategien klar definiert und umgesetzt werden.
• Planung: Risiken und Chancen im Zusammenhang mit KI-Systemen müssen systematisch identifiziert, bewertet und dokumentiert werden.
• Unterstützung: Ressourcen, Kompetenzen, Schulungen und Kommunikationsstrukturen sind bereitzustellen, um eine wirksame Steuerung des KI-Managementsystems zu gewährleisten.
• Betrieb: Organisationen müssen Prozesse etablieren, die Entwicklung, Einsatz und Nutzung von KI-Systemen gemäß den definierten Richtlinien sicherstellen.
  Leistungsbewertung: Regelmäßige Überprüfung und Bewertung der Wirksamkeit des KI-Managementsystems sind verpflichtend.
• Verbesserung: Das System muss kontinuierlich weiterentwickelt und an neue Risiken oder regulatorische Anforderungen angepasst werden.

Darüber hinaus enthält Annex A konkrete Kontrollziele, unter anderem zur Datennutzung, zum Lebenszyklus von KI-Systemen, zur Bewertung gesellschaftlicher Auswirkungen sowie zum Management von Drittanbieterrisiken.

Ein zentraler Aspekt der Norm ist die Kompatibilität mit bestehenden Standards wie ISO/IEC 27001 (Informationssicherheit) und ISO/IEC 27018 (Schutz personenbezogener Daten in Cloud-Umgebungen). Dadurch lässt sich KI-Governance in bestehende Compliance-Strukturen integrieren.

ISO/IEC 42001-Zertifizierung in der Praxis

Nach rund elf Monaten Implementierungsphase und erfolgreichen Stage-1- und Stage-2-Audits durch das British Standards Institute (BSI) gehört Darktrace zu den ersten Cybersicherheitsunternehmen weltweit mit ISO/IEC 42001-Zertifizierung.

Im Rahmen der Auditierung wurden Menschen, Prozesse und Technologien umfassend geprüft. Die Zertifizierung umfasst ein breites Spektrum an KI-Technologien – von maschinellen Lernverfahren über Bayes’sche Modelle und neuronale Netze bis hin zu graphentheoretischen Analysen und spezialisierten Large-Language-Models.

Diese Technologien kommen unter anderem bei Anomalieerkennung, autonomer Reaktion, Bedrohungsanalyse und forensischen Untersuchungen zum Einsatz.

Ein wesentlicher Unterschied liegt dabei im Ansatz der selbstlernenden KI: Systeme lernen das individuelle Normalverhalten jeder Kundenumgebung – von der Cloud über das Netzwerk bis zum E-Mail-Verkehr – ohne auf statische Regeln oder bekannte Angriffssignaturen angewiesen zu sein. Dadurch lassen sich auch bislang unbekannte Angriffe in Echtzeit identifizieren.

Bedeutung für Verantwortliche in der Datensicherheit

Für Fachkräfte im Bereich Datenschutz und Informationssicherheit bietet ISO/IEC 42001 konkrete Vorteile:

• Strukturierte Dokumentation und Auditfähigkeit: Die Norm stellt ein prüfbares Rahmenwerk zur Bewertung von KI-Systemen bereit.
• Regulatorische Vorbereitung: Mit zunehmender Regulierung – etwa durch den EU AI Act – gewinnt nachweisbare Governance an strategischer Bedeutung.
• Vertrauensbildung: Eine Zertifizierung signalisiert Kunden, Partnern und Aufsichtsbehörden, dass KI nicht nur leistungsfähig, sondern auch verantwortungsvoll eingesetzt wird.

Damit fungiert ISO/IEC 42001 als internes Steuerungsinstrument und externes Vertrauenssignal zugleich.

Fazit: Ein notwendiger Schritt in die Zukunft

KI wird in der Cybersicherheit künftig eine noch zentralere Rolle einnehmen. Doch technologische Leistungsfähigkeit allein reicht nicht aus. Entscheidend ist ein Governance-Rahmen, der Transparenz, Kontrolle und kontinuierliche Verbesserung sicherstellt.

ISO/IEC 42001 ist kein rein regulatorisches Konstrukt, sondern ein praxisnahes Instrument für Organisationen, die KI verantwortungsvoll einsetzen möchten. Für Unternehmen im Bereich Datenschutz und Informationssicherheit empfiehlt es sich, die Norm frühzeitig in bestehende Managementsysteme zu integrieren – als Grundlage für eine nachhaltige und vertrauenswürdige KI-Strategie.

Über den Autor:

Max Heinemeyer ist ein Cyber-Sicherheitsexperte mit mehr als zehn Jahren Erfahrung in diesem Bereich. Sein Fokus liegt auf einer Vielzahl von Bereichen wie Penetrationstests, Red-Teaming, SIEM- und SOC-Beratung und die Jagd auf Advanced Persistent Threat (APT)-Gruppen. Bei Darktrace ist Heinemeyer eng mit den strategischen Kunden und Interessenten verbunden. Er arbeitet mit dem F&E-Team von Darktrace zusammen und gestaltet die Forschung zu neuen KI-Innovationen sowie deren verschiedenen defensiven und offensiven Anwendungen. Seine Erkenntnisse werden regelmäßig in internationalen Medien wie der BBC, Forbes und WIRED veröffentlicht. Er hat seinen Master of Science an der Universität Duisburg-Essen und seinen Bachelor of Science an der Dualen Hochschule Stuttgart in internationaler Wirtschaftsinformatik absolviert.

Weitere Informationen zum Thema:

datensicherheit.de, 21.01.2026
DAX-40-Unternehmen: Cybersicherheit von einer Randnotiz zum strategischen Kernthema

datensicherheit.de, 05.07.2016
KRITIS: TÜV Rheinland beschreibt fünf Vorteile der ISO 27001 für Betreiber

[datensicherheit.de, 26.02.2026] Immer mehr „Security Operation Centers“ (SOC) setzten im Kampf gegen Hacker und „Downtimes“ auf die Hilfe Künstlicher Intelligenz (KI) – KI-Agenten, welche wie SOC-Teams miteinander autonom kollaborierten, seien in diesem Zusammenhang die neueste Evolutionsstufe. Ontinue geht in einer aktuellen Stellungnahme auf die Besonderheiten solcher Multi-Agenten-Systeme (MAS) ein. Diese fänden vor allem im Cybersecurity-Kontext zunehmend Verbreitung.

Foto: Ontinue

Theus Hossmann: Es werden immer Fälle bleiben, bei denen menschliche Analysten unabdingbar sind!

MAS gliedern komplexe Aufgaben selbstständig in Teilprozesse

MAS, bestehend aus hochspezialisierten KI-Agenten, welche im Verbund miteinander arbeiteten, seien vor allem im Cybersecurity-Kontext auf dem Vormarsch. Als integraler Bestandteil mancher KI-basierter „SecOps“-Plattformen übernähmen sie mittlerweile eigenständig „Tier 2“- und „Tier 3“-Incident-Untersuchungen, erstellten detaillierte Analyseberichte und formulierten Handlungsempfehlungen, welche dann menschliche Security-Analysten validierten.

• Dafür zerlegten MAS komplexe Aufgaben selbstständig in Teilprozesse und replizierten damit die Arbeitsweise eines gesamten SOC-Teams.

Der Unterschied sei folgender: Sie lieferten Ergebnisse innerhalb weniger Minuten, wofür menschliche Analysten 30 Minuten bis zu mehrere Stunden benötigten.

Ontinue erläutert Schritt für Schritt, wie genau MAS vorgehen:

• Schritt 1: Erstellung einer ersten Hypothese
  Ähnlich wie ein menschlicher Analyst werte ein KI-Agent die initial verfügbaren Informationen aus. Dazu gehörten beispielsweise ausgelöste Alarme und Meldungen über beteiligte Entitäten, welche IT-Umgebungen betroffen sind sowie aktuell offene oder abgeschlossene Incidents. Auf dieser Basis stelle der Agent eine erste Hypothese auf, was passiert sein könnte.
• Schritt 2: Beginn der Untersuchung
  Auf Grundlage der ersten Hypothese entwickele der KI-Agent einen strukturierten Untersuchungsplan, um den tatsächlichen Vorfall zu rekonstruieren. Im Zuge dessen validiere oder verwerfe das MAS die ursprüngliche Annahme und ergänze sie bei Bedarf durch neue Hypothesen.
• Schritt 3: Aktivierung des Gedächtnises
  Zur Erstellung eines effektiven Untersuchungsplans greife das MAS auf frühere Erfahrungen zurück und analysiere proaktiv, wie menschliche Analysten vergleichbare Szenarien bearbeitet haben. Dazu zählten typische Prüfschritte, die Interpretation der damaligen Ergebnisse sowie die Anpassung der Vorgehensweise auf Basis von Zwischenerkenntnissen.
• Schritt 4: Durchführung einer gezielten Investigation
  Zur Umsetzung des Untersuchungsplans setze der KI-Agent Abfragen, API-Aufrufe und weitere Werkzeuge ein, um belastbare Beweise zu sammeln, welche die Hypothese stützen und zur Aufklärung des Sachverhalts beitragen könnten.
• Schritt 5: Kontinuierliche Reflexion
  Während der Untersuchung reflektiere das MAS kontinuierlich die gewonnenen Erkenntnisse und verfeinere den Untersuchungsplan bei Bedarf auf Basis neuer Beweise und fortlaufend erlernter Informationen.
• Schritt 6: Lieferung vorläufiger Ergebnisse
  Sobald ausreichend Evidenz zur Untermauerung eines Szenarios und einer konkreten Hypothese vorliegt, beende das MAS die Untersuchung. Anschließend erstelle der entsprechende KI-Agent einen detaillierten Bericht mit nachvollziehbaren, reproduzierbaren Ergebnissen sowie einer transparenten Darstellung des Analyseprozesses.
• Schritt 7: Anpassung der Logik in Echtzeit
  Fortschrittliche Systeme wie z.B. der „Autonomous Investigator“ von Ontinue erfassten sowohl explizite Signale (wie das Feedback von Analysten) als auch implizite Signale (wie das Nutzerverhalten), um die zugrunde liegende Logik gezielt an die individuellen und differenzierten Anforderungen unterschiedlicher IT-Umgebungen anzupassen.

KI als Erfolgsbasis für Cybersecurity-Teams

„Ohne den Einsatz von KI wären Cybersecurity-Teams heute konstant überlastet“, betont Theus Hossmann, „Chief Technology Officer“ bei Ontinue.

• Zu viele Sicherheitsvorfälle, zu viele Informationsquellen und zu viel zu beachtender Kontext lähmten Verteidigungsmaßnahmen. KI-Agenten und MAS schafften hierzu massiv Abhilfe, indem sie viele Aufgaben automatisiert übernähmen.

„Doch auch wenn bis zu 97 Prozent aller Incidents im vergangenen Jahr bei uns bereits ohne menschliches Zutun gelöst werden konnten, werden immer Fälle bleiben, bei denen menschliche Analysten unabdingbar sind“, so Hossmann abschließend.

Weitere Informationen zum Thema:

Ontinue
Our Story of Nonstop Security / Born in the cloud, built to be the best, engineered to deliver, and backed by the newest technology and the sharpest minds. Ontinue is all of this … and so much more.

Ontinue
Leading the Way to Security Success: A team is only as good as its leadership. And we’ve got some of the best in the industry. / Leadership

WIKIPEDIA
Multiagentensystem

[datensicherheit.de, 26.02.2026] Sicherheitsforscher von „Check Point Research“ (CPR) haben eine neue Forschungsanalyse veröffentlicht, welche auf KI-Assistenten als verdeckte Befehls- und Kontrollkanäle sowie KI-gesteuerte Malware fokussiert. Diese stehen demnach für einen Wendepunkt im modernen Cyberrisiko – mit Auswirkungen auf alle Branchen, welche die Einführung Künstlicher Intelligenz (KI) vorantreiben. In dieser neuen Realität seien KI-Sicherheit und Unternehmenssicherheit untrennbar miteinander verbunden – und Unternehmen müssten sicherstellen, dass die beschleunigte Einführung von KI nicht versehentlich Schwachstellen schafft, welche Angreifer ausnutzen könnten.

Foto: Check Point

Eli Smadja rät Unternehmen, agentenbasierte KI-Funktionen zu nutzen, um den Datenverkehr zu und von KI-Diensten zu überprüfen und zu kontextualisieren sowie böswillige Kommunikationsversuche zu blockieren

Malware-Entwicklung von statischer, signaturbasierter Logik hin zu KI-gesteuerten Implantaten

KI-Assistenten wie z.B. „Microsoft Copilot“ und „Grok“ unterstützten Webbrowsing- oder URL-Abruf-Funktionen. Sie könnten als verdeckte C2-Proxys missbraucht werden, so dass Malware Daten mit der Infrastruktur des Angreifers austauschen könne, während sie sich nahtlos in den normalen KI-Datenverkehr des Unternehmens einfüge.

• Malware gehe von statischer, signaturbasierter Logik zu KI-gesteuerten Implantaten über, welche in der Lage seien, Entscheidungen in Echtzeit zu treffen – darunter die Einstufung von Opfern, die Priorisierung von Dateien, die Auswahl von Befehlen, die Umgehung von „Sandboxes“ und die Anpassung von Taktiken während des Betriebs. Zusammen zeigten diese Erkenntnisse eine Zukunft, in der KI nicht mehr nur den Angreifer unterstütze, „sondern Teil seiner Infrastruktur ist“.

Eli Smadja, CPR-Leiter, erläutert hierzu: „KI wird nicht nur in alltägliche Geschäftsabläufe integriert, sondern genauso wird sie auch in die Abläufe von Angreifern integriert. Angreifer benötigen keine hochentwickelte Infrastruktur mehr, sondern lediglich Zugang zu allgemein vertrauenswürdigen KI-Diensten.“

KI-Datenverkehr mit derselben Sorgfalt überwachen wie jeden anderen risikoreichen Kanal

Um also sicher zu bleiben, müssten Unternehmen den KI-Datenverkehr mit derselben Sorgfalt überwachen wie jeden anderen risikoreichen Kanal, strengere Kontrollen für KI-gestützte Funktionen durchsetzen und Sicherheitsmaßnahmen ergreifen, „die nicht nur verstehen, was KI tut, sondern auch warum“.

• Smadja legt nahe: „Dazu sollten sie agentenbasierte KI-Funktionen nutzen, um den Datenverkehr zu und von KI-Diensten zu überprüfen und zu kontextualisieren und böswillige Kommunikationsversuche zu blockieren, bevor sie als verdeckte Kanäle missbraucht werden können.“

Zentrale aktuelle CPR-Erkenntnisse:

• KI-Assistenten können als heimliche C2-Relays missbraucht werden
  Angreifer könnten KI-Assistenten dazu veranlassen, von Angreifern kontrollierte URLs abzurufen und eingebettete Befehle zurückzugeben – ohne API-Schlüssel oder Benutzerkonten –, wodurch Malware die Kommunikation innerhalb des legitimen KI-Datenverkehrs verbergen könne.
• Anonymer KI-Webzugriff macht herkömmliche Kill-Switches überflüssig
  Wenn keine Konten oder Schlüssel erforderlich sind, könnten sich Verteidiger nicht auf herkömmliche Mechanismen zum Abschalten verlassen; der Datenverkehr sehe identisch aus wie bei der alltäglichen KI-Nutzung.
• Malware wird adaptiv und promptgesteuert und nutzt KI als Remote-Gehirn
  Zukünftige AID-Malware könne die Entscheidungsfindung an KI-Modelle auslagern, das Verhalten über infizierte Hosts hinweg dynamisch anpassen und während eines Eindringens dynamische Anweisungen erhalten – wodurch Angriffe schwieriger vorherzusagen, zu erkennen und zu analysieren seien.
• KI wird Targeting, Datendiebstahl und Ransomware-Operationen beschleunigen
  Anstatt alles zu verschlüsseln, könnte KI-gesteuerte Ransomware bald nur noch hochwertige „Assets“ identifizieren und mit minimal beobachtbarer Aktivität agieren – wodurch sich das Zeitfenster für die Erkennung von Minuten auf Sekunden verkürze.
• KI-Datenverkehr wirde zu einem blinden Fleck für Unternehmen
  Wenn Unternehmen KI in ihre alltäglichen Arbeitsabläufe integrierten, verließen sich Angreifer zunehmend auf dieselben Dienste, da sie wüssten, dass dieser Datenverkehr erlaubt, vertrauenswürdig und selten überprüft sei.

KI-Tools könnten Teil der Angriffsfläche werden

KI-Tools würden schnell Teil der Angriffsfläche, da sie sich in den legitimen Datenverkehr einfügten – „und in einigen Fällen sogar Teil der Angriffsinfrastruktur selbst werden“. KI-gestützte Kommunikation werde oft als vertrauenswürdig angesehen, sei weit verbreitet und werde selten überprüft, was Angreifern die Möglichkeit gebe, sich im alltäglichen KI-Datenverkehr zu verstecken, so dass sie mit herkömmlichen Erkennungsmethoden nicht ohne Weiteres entdeckt werden könnten.

• Für Unternehmen bedeute dies, dass Bereiche mit KI nun als hochwertige und risikoreiche Ausgangspunkte behandelt werden müssten, wobei der KI-Datenverkehr überprüft und kontextualisiert werden müsse, anstatt ihn als standardmäßig sicheren Datenverkehr zu betrachten, „der denselben Kontrollen unterliegt wie jeder andere kritische Kommunikationskanal“.

Gleichzeitig verändere die Entwicklung hin zu KI-gesteuerter Malware grundlegend die Art und Weise, wie Verteidiger über Cyberbedrohungen denken müssten. Da diese Implantate sich auf KI-Modelle stützen könnten, um Hosts zu triagieren, Ziele auszuwählen, ihr Verhalten anzupassen und beobachtbare Aktivitäten zu minimieren, verlören Verteidigungskontrollen, die auf Signaturen, volumenbasierten Schwellenwerten oder Sandbox-Triggern basierten, erheblich an Wirksamkeit, insbesondere da Malware-Verhalten adaptiv und kontextsensitiv werde.

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH
ABOUT US: Check Point Research provides leading cyber threat intelligence to Check Point Software customers and the greater intelligence community. The research team collects and analyzes global cyber attack data stored on ThreatCloud to keep hackers at bay, while ensuring all Check Point products are updated with the latest protections…

Linkedin
Eli Smadja – Check Point, CP<R>, Research Group Manager

cp<r> CHECK POINT RESEARCH, 17.02.2026
AI in the Middle: Turning Web-Based AI Services into C2 Proxies & The Future Of AI Driven Attacks

datensicherheit.de, 28.01.2026
KI-Agenten und IT-Sicherheit: Zwei Seiten einer Medaille / Für viele Unternehmen steht derzeit die Frage im Raum, ob KI-Agenten auch in sensiblen Bereichen wie der Cybersicherheit eingesetzt werden sollen. Während stetig wachsende Bedrohungen, Überlastung von Mitarbeitern und Fachkräftemangel dafür sprechen, gibt es auch große Vorbehalte. Um Entscheidungen von KI-Assistenten nachvollziehen zu können, sind Sichtbarkeit im Netzwerk und eine zuverlässige Datengrundlage oberste Priorität. Auf der anderen Seite könnten Unternehmen überdies von böswilligen Agenten angegriffen werden – auch hier hilft nur, genau hinzusehen.