[datensicherheit.de, 24.03.2026] Der Entwickler von „BloodHound“, SpecterOps – ein Lösungsanbieter für „Identity Attack Path Management“ (APM) –, hat am 20. März 2026 gemeldet, dass dessen Lösung ab sofort um die Unterstützung für „Okta“, „GitHub“ und „Mac“-Umgebungen erweitert wird. Dank fundierter Kenntnisse über die Vorgehensweisen von Angreifern ermöglicht SpecterOps globalen Organisationen, kritische Angriffspfade zu erkennen und zu beheben, eben noch bevor raffinierte Angreifer diese ausnutzen können – eine als APM bezeichnete Praxis. SpecterOps entwickelt und pflegt weit verbreitete Open-Source-Sicherheitstools – allen voran „BloodHound“ als „das Tool für effektives ,Attack Path Management’“. „BloodHound Enterprise“ ist demnach die verwaltete SaaS-Lösung für Identitäts- und Sicherheitsteams, welche die Priorisierung von Angriffspfaden, Anleitungen zur Behebung sowie Berichterstellung ermöglicht, um Risiken zu reduzieren und die Abwehr zu stärken.

Foto: SpecterOps

Justin Kohler warnt: Angreifer nutzen zunehmend Identitäten und die Vertrauensbeziehungen zwischen Plattformen, Personen und Agenten aus, um Zugriff auf kritische Ressourcen zu erlangen

Angriffspfade gezielt reduzieren und kritische Unternehmenswerte in hybriden Umgebungen schützen

Mit den neuen „OpenGraph“-Erweiterungen in „BloodHound Enterprise“ sollen Identity- und Sicherheitsteams plattformübergreifende Angriffspfade (Attack Paths) gezielt erkennen und schließen können. Darüber hinaus sorgten privilegierte Zugriffszonen für den Schutz kritischer Unternehmenswerte wie Code-Repositorys und sensibler Kundendaten. SpecterOps präsentiert diese Neuerungen derzeit auf der „RSAC 2026“ (Stand N-6277) in San Francisco.

• „Angreifer nutzen zunehmend Identitäten und die Vertrauensbeziehungen zwischen Plattformen, Personen und Agenten aus, um Zugriff auf kritische Ressourcen zu erlangen“, beschreibt Justin Kohler, „Chief Product Officer“ bei SpecterOps, die bedrohliche Herausforderung.

Er führt hierzu weiter aus; „Mit der Einführung von ,OpenGraph’ für ,BloodHound Enterprise’ können Identity- und Sicherheitsteams das ,Attack Path Management’ auf ,Okta’, ,GitHub’ und ,Mac’-Systeme ausweiten.“ So ließen sich Angriffspfade gezielt reduzieren und kritische Unternehmenswerte in hybriden Umgebungen schützen.

Handlungsempfehlungen zur Beseitigung der Angriffspfade, bevor diese ausgenutzt werden

Das neue „BloodHound Enterprise“ stehe für mehr Transparenz und schnellere Behebung von „Identity Attack Paths“:

• „BloodHound Enterprise“ soll es Unternehmen ermöglichen, hybride Angriffspfade über Anbieter von „Identity Security“, Anwendungen und Repositorys hinweg zu identifizieren und zu priorisieren.

Gleichzeitig erhielten sie präzise Handlungsempfehlungen, um diese Angriffspfade zu beseitigen, bevor sie ausgenutzt werden könnten. Die neuen Funktionen unterstützten Kunden zudem dabei, den Reifegrad ihrer APM-Strategie kontinuierlich zu steigern.

Die aktuellen Features im Überblick:

• Erweiterte „Identity Security“ für „Okta“, „GitHub“ und „Jamf“
  Erkennung und Behebung von Identity-Fehlkonfigurationen, Privilege-Escalation-Pfaden und Risiken durch unbefugten Zugriff in „Okta“, „GitHub“-Repositorys und „Jamf“-verwalteten „Mac“-Endpunkten. Dies schütze hybride Umgebungen effektiv vor identitätsbasierten Angriffen.
• Konsequente Umsetzung des Least-Privilege-Prinzips mittels Analyse privilegierter Zugriffszonen
  Definition mehrerer Privilegienstufen (Tiers) und Identifikation von Regelverstößen in geschäftskritischen Anwendungen sowie regulierten Systemen. Risiken ließen sich so auch jenseits der klassischen Identity-Infrastruktur minimieren.
• Durchsetzung von Zugriffskontrollen auf Umgebungsebene
  Erweiterte rollenbasierte Zugriffskontrollen zur strikten Beschränkung des Benutzerzugriffs auf ausschließlich autorisierte Domänen, Mandanten (Tenants), Konten und Organisationen, um die Gefährdung von Daten zu verringern und die „Identity Governance“ zu stärken.
• Volle Verschlüsselungskontrolle dank „Bring Your Own Key“ (BYOK)
  Eigenständige Verwaltung der Verschlüsselungsschlüssel für „BloodHound Enterprise“ zur optimalen Erfüllung interner Sicherheitsrichtlinien und „Compliance“-Vorgaben.
• Operationalisierung von „Identity Risks“ in bestehenden „Security-Workflows“ durch Integrationen mit „Palo Alto“, „Microsoft Sentinel“ und „ServiceNow“
  Neue Integrationen mit „Palo Alto Cortex XSOAR“, „Microsoft Sentinel“ und „ServiceNow VRM“ überführten die von „BloodHound Enterprise“ erkannten Angriffspfade direkt in „Incidents“, korrelierten „Identity Risks“ innerhalb von SIEM-Workflows und beschleunigten die Behebung (Remediation) in den „Security Operations“.

Diese Funktionen steigerten zudem den Mehrwert von „BloodHound Scentry“: Dieser Service soll die tiefgreifende Security-Expertise (Tradecraft) von SpecterOps mit „BloodHound Enterprise“ bündeln, um die Reifegrad-Entwicklung im „Identity Attack Path Management“ zu beschleunigen.

Weitere Informationen zum Thema:

SPECTEROPS
Know your adversary: Attackers don’t go through your tools – they go around them, leveraging gaps in your program and exploiting identities to reach your critical assets. Our mission is to demystify tradecraft and stop adversaries in their tracks.

SPECTEROPS
Justin Kohler – Chief Product Officer

SPECTEROPS
Expand Identity Attack Path Management to Okta, Github, and Mac / Apply for early access to BloodHound Enterprise with OpenGraph to expand visibility across your environment and eliminate hybrid identity attack paths

RSAC 2026 Conference
San Francisco – Moscone Center | March 23 – 26, 2026

datensicherheit.de, 10.01.2026
Cloud-Migration und Identity Security: Digitale Transformation, Benutzerfreundlichkeit und Sicherheit sind vereinbar / Henning Dittmer erörtert zum Jahresbeginn 2026, wie Unternehmen beim Wechsel in die „Cloud“ Sicherheit, Datenschutz und ein reibungsloses Nutzererlebnis gewährleisten können

datensicherheit.de, 10.03.2023
Identity Lifecycle Management – das A und O der IT-Sicherheit / Von Audit bis zum Onboarding

[datensicherheit.de, 24.03.2026] TXOne Networks hat seinen Annual OT/ICS Cybersecurity Report 2026 veröffentlicht. Daraus wird ersichtlich, dass Angreifer nicht mehr nur auf Datenabfluss, sondern gezielt auf die Stabilität ganzer Produktionslinien abzielen. Innerhalb von zwölf Monaten registrierten 60 Prozent der befragten Firmen mindestens einen Cybervorfall in ihrer OT-Umgebung (Operational Technology), wobei knapp die Hälfte sogar mehrfachen Attacken ausgesetzt war. Die Ergebnisse zeigen deutlich, wie wichtig es ist, die eigene Betriebskontinuität präventiv zu schützten, um existenzgefährdende Produktionsausfälle zu vermeiden.

IT-Schwachstellen als primäres Einfallstor für OT-Angriffe

Obwohl im vergangenen Jahr keine neuartige, speziell auf industrielle Steuerungssysteme zugeschnittene Malware beobachtet wurde, stieg die Zahl der Sicherheitsvorfälle branchenübergreifend an. Bemerkenswert ist dabei der Ursprung der Angriffe: 96 Prozent der OT-Sicherheitsvorfälle sind auf Kompromittierungen in der klassischen IT zurückzuführen. Diese verteilen sich auf direkte Penetrationen (56 Prozent) und Kollateralschäden (40 Prozent). Ransomware dominiert weiterhin das Bedrohungsfeld und betraf 52 Prozent der Unternehmen. Professionelle Tätergruppen wie Qilin und Akira agieren zunehmend raffinierter, indem sie legitime Tools – wie etwa vertrauenswürdige Windows-Treiber – missbrauchen, um etablierte Schutzmechanismen lautlos zu unterlaufen. Darüber hinaus geraten komplexe Lieferkettenplattformen verstärkt in den Fokus, um über deren Schwachstellen tief in kritische Betriebssysteme vorzudringen.

Herausforderungen beim Schutz von OT-Umgebungen vor Malware, Bild: TXOne

OT – Technologische Altlasten und überlastete Sicherheitsteams

Die zügige Umsetzung notwendiger Sicherheitsmaßnahmen scheitert in der betrieblichen Praxis oft an strukturellen und personellen Hürden. Für 15 Prozent der Betriebe stellen veraltete Legacy-Systeme nach wie vor die größte Schwachstelle dar. Dennoch behalten 88 Prozent diese Altanlagen bei und versuchen, sie lediglich durch kompensatorische Maßnahmen abzusichern, anstatt in einen vollständigen Hardware-Austausch zu investieren. Auch beim Patch-Management zeigen sich gefährliche Lücken: Zwar führen 90 Prozent der Firmen regelmäßig Updates durch, aber lediglich 24 Prozent erreichen dabei eine Abdeckung von mehr als 90 Prozent ihrer Anlagen. Kompatibilitätsprobleme und eine mangelnde Sichtbarkeit in die vernetzten Anlagen gelten als die größten technischen Hindernisse. Gleichzeitig stehen die Fachkräfte massiv unter Druck: Zwar verfügen 55 Prozent der großen Organisationen inzwischen über mehr als 100 Mitarbeitende im OT-Sicherheitsbereich, doch die Verwaltung der komplexen, heterogenen Infrastrukturen bleibt eine enorme Belastung.

Häufigkeit von Cybervorfällen im OT-Bereich nach Branchen, Bild: TXOne

Unternehmen erhöhen ihre Ausgaben für Cybersicherheit

Um dieser wachsenden Bedrohungslage zu begegnen, haben 89 Prozent der Unternehmen im Jahr 2025 ihre Budgets für die OT-Sicherheit um mindestens zehn Prozent erhöht (28 Prozent sogar um mehr als 20 Prozent). Die Industrie vollzieht dabei einen klaren Wandel hin zu einem durchsetzbaren Schutz, der die Aufrechterhaltung der Produktion über alles stellt. Für 94 Prozent der IT-Sicherheitsverantwortlichen (CISOs) ist die Sicherheitslage inzwischen als positiv zu bewerten, solange der Betriebsablauf nicht spürbar gestört wird. Ergänzend setzen die Organisationen verstärkt auf Managed Security Service Provider (MSSPs) und externe Experten, um akute Qualifikationslücken zu schließen und den steigenden regulatorischen Vorgaben gerecht zu werden.

Fazit: „Operations-First“ als neues strategisches Fundament

Der Report dokumentiert einen entscheidenden Wendepunkt für die Cybersicherheit im industriellen Sektor. Die bloße Identifikation von Systemressourcen und Schwachstellen im Netzwerk reicht heutzutage nicht mehr aus, um moderne Bedrohungen abzuwehren. Industrieunternehmen müssen die OT-Sicherheit als zentrale strategische Säule ihrer industriellen Governance begreifen und von reaktiven Erkennungsstrategien zu einem präventiven „Operations-First“-Ansatz wechseln. Nur wenn Bedrohungen proaktiv gestoppt werden, bevor sie den eigentlichen Betrieb erreichen, lassen sich kostspielige Ausfallzeiten vermeiden und eine echte Geschäftsresilienz in einer zunehmend konvergenten IT/OT-Welt gewährleisten.

Zur Methodik der Studie

Die Ergebnisse des „OT Cybersecurity Annual Report 2026“ basieren auf einer global angelegten Untersuchung, die TXOne Networks in Zusammenarbeit mit dem Analystenhaus Frost & Sullivan im November 2025 durchgeführt hat. Im Rahmen der Studie wurden weltweit 200 C-Level-Entscheidungsträger aus dem Bereich der OT-Sicherheit befragt. Die Teilnehmer stammen aus den USA, Japan, Deutschland, Taiwan und Südkorea sowie Frankreich, Saudi-Arabien, den Vereinigten Arabischen Emiraten und Brasilien. Die Umfrage konzentrierte sich auf große Unternehmen mit komplexen Betriebs- und Produktionsumgebungen (zwischen 2.000 und 5.000+ Mitarbeiter) aus den Bereichen Halbleiterfertigung, Lebensmittelindustrie, Automobilbranche, Arzneimittelproduktion, Öl und Gas sowie dem Transportsektor.

Weitere Informationen zum Thema:

TXOne
OT Cybersecurity Annual Report 2026

datensicherheit.de, 23.03.2026
CPS im Visier: Cyberkriminelle Attacken zunehmend auf KRITIS

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention

Von unserem Gastautor Roman Spitzbart, VP Solutions Engineering EMEA bei Dynatrace

[datensicherheit.de, 24.03.2026] Cloud-Infrastrukturen sind heute das digitale Rückgrat von Behörden, Unternehmen und Organisationen – und damit auch ein attraktives Ziel für Angriffe und Missbrauch. Wer moderne Systeme betreibt, muss nicht nur für Leistung und Verfügbarkeit sorgen, sondern auch für Kontrolle, Nachvollziehbarkeit und Sicherheit. Dabei ist die Grundlage jeder Entscheidung eine verlässliche Datenbasis: präzise, vollständig und strukturiert erfassbar. Genau hier kommt OpenTelemetry ins Spiel – ein offener Standard, der sich zunehmend als technische Basis für Observability durchsetzt.

Roman Spitzbart, VP Solutions Engineering EMEA bei Dynatrace, Bild: Dynatrace

OpenTelemetry – Transparenz ist Voraussetzung für sichere, auditierbare und steuerbare IT-Prozesse

OpenTelemetry ermöglicht es, Metriken, Logs und Traces aus unterschiedlichsten Systemen konsistent zu erfassen, unabhängig von Sprache, Anbieter oder Infrastruktur. Das schafft eine gemeinsame Sprache für Betriebsdaten, die besonders in hybriden oder stark regulierten Umgebungen essenziell ist. Denn Transparenz ist keine Option mehr, sondern Voraussetzung für sichere, auditierbare und steuerbare IT-Prozesse.

Insbesondere im Hinblick auf Sicherheitsanforderungen ist die Offenheit von OpenTelemetry ein zentraler Vorteil. Statt auf abgeschottete Monitoring-Tools mit proprietären Formaten angewiesen zu sein, lassen sich mit OTel standardisierte Datenpfade etablieren. Sie dienen als Grundlage für nachvollziehbares Security-Monitoring, sowohl im Tagesbetrieb als auch im Fall forensischer Analysen. So entsteht ein verlässliches Fundament für Transparenz, das technologische Offenheit mit operativer Sicherheit verbindet.

Vom Datenstrom zum Systemverständnis

Doch mit der bloßen Erfassung ist wenig gewonnen. Erst wenn Telemetriedaten intelligent analysiert und in Zusammenhang gestellt werden, entsteht ein vollständiges Lagebild. Das betrifft nicht nur Performance oder Verfügbarkeit, sondern erfassen vermehrt auch sicherheitsrelevante Zusammenhänge innerhalb der Systemarchitektur. Wo treten ungewöhnliche Zugriffsmuster auf? Welche Services interagieren unerwartet miteinander? Wurden in einer bestimmten Umgebung neue Konfigurationsdateien geladen?

Moderne Observability-Plattformen übernehmen hier die Aufgabe, Signale zu verknüpfen, Systemtopologien zu verstehen und Muster in Echtzeit zu erkennen. Dadurch werden Zusammenhänge sichtbar, die mit klassischen Monitoring-Lösungen oft verborgen bleiben. Ein einzelner Logeintrag oder ein auffälliger Metrikwert erhält erst dann Bedeutung, wenn er in Beziehung zu Traces, Deployments oder User-Verhalten gesetzt wird.

Gerade in sicherheitsrelevanten Systemlandschaften ist diese Fähigkeit zentral. Sie ermöglicht es, verdeckte Risiken zu erkennen, operative Unregelmäßigkeiten zu bewerten und technische Schwachstellen nicht nur zu vermuten, sondern nachzuweisen. Das reduziert die Reaktionszeit im Ernstfall und stärkt zugleich die strategische Fähigkeit, Systeme resilient und kontrollierbar zu betreiben.

Causal AI im Dienst der Ursachenanalyse

Mit wachsender Systemkomplexität steigen auch die Anforderungen an die Analyse. Die manuelle Rekonstruktion von Ursache-Wirkung-Zusammenhängen wird schnell zur Überforderung – vor allem im Kontext sicherheitsrelevanter Zwischenfälle, bei denen schnelle Ursachenklärung gefragt ist. Hier setzt Causal AI an: ein Analyseansatz, der nicht nur Muster erkennt, sondern gezielt nach den zugrunde liegenden Auslösern sucht.

Causal AI unterscheidet sich von herkömmlicher Künstlicher Intelligenz vor allem durch die Nachvollziehbarkeit ihrer Ergebnisse. Sie analysiert nicht nur Korrelationen, sondern rekonstruiert kausale Zusammenhänge. In einigen Szenarien ist das besonders entscheidend – etwa zur präzisen Rekonstruktion eines Datenlecks oder zur forensischen Aufarbeitung einer kompromittierenden Systemaktivität.

Die Bedeutung dieser Technologie zeigt sich auch in der Praxis: Statt pauschale Alarmmeldungen zu erzeugen, liefert Causal AI konkrete, priorisierte Ursachenketten. So lässt sich etwa nachvollziehen, dass ein Konfigurationsfehler in einer spezifischen Build-Umgebung zu einer Eskalation im Zugriffssystem geführt hat, verbunden mit klaren Zeitstempeln, Systempfaden und Benutzerinteraktionen. Für Sicherheitsteams bedeutet das: weniger Aufwand bei der Ursachenanalyse, höhere Verlässlichkeit in der Bewertung und eine bessere Grundlage für Berichte, Audits und Reaktionen.

Von reaktiv zu präventiv

Sicherheitsarbeit beginnt heute nicht mehr mit dem Alarm, sondern mit der systematischen Vermeidung von Risiken. Wer erst reagiert, wenn der Schaden bereits entstanden ist, handelt zu spät. Präventive Sicherheit erfordert die Fähigkeit, Anomalien frühzeitig zu erkennen, Risiken automatisch zu bewerten und proaktiv gegenzusteuern. AI-gestützte Observability-Plattformen liefern dafür die technische Grundlage.

Wenn Telemetriedaten nicht nur gesammelt, sondern kontinuierlich analysiert und bewertet werden, entsteht ein Frühwarnsystem, das sowohl technische als auch sicherheitsbezogene Abweichungen zuverlässig erkennt. Beispielsweise kann eine Plattform registrieren, dass ein bestimmter Authentifizierungsmechanismus in mehreren Regionen ungewöhnlich oft scheitert – ein potenzieller Hinweis auf ein Brute-Force-Szenario. Oder sie stellt fest, dass sich die Latenz eines internen Services in Verbindung mit einer neuen Container-Version signifikant verändert, mit möglichen Auswirkungen auf die Zugriffssteuerung.

Der entscheidende Fortschritt liegt jedoch nicht nur in der Erkennung, sondern in der Handlungsfähigkeit: moderne Systeme liefern konkrete Empfehlungen für Gegenmaßnahmen, basierend auf bekannten Mustern und kontextuellen Bewertungen. Diese Vorschläge lassen sich in automatisierte Reaktionspfade integrieren – von der Priorisierung über das Alert-Routing bis hin zur Umsetzung durch integrierte Workflows. Damit wird Sicherheit nicht zur Reaktion, sondern zum kontinuierlich lernenden System.

Offenheit trifft Automatisierung – auch in der Security

Der zentrale Gewinn liegt in der Verbindung von Offenheit und Automatisierung. OpenTelemetry liefert die Grundlage für eine einheitliche Datenerhebung, moderne DevOps-Prozesse schaffen die Flexibilität für dynamische Infrastrukturen – und intelligente Plattformen übersetzen diese Daten in belastbare Entscheidungen. Für Sicherheitsverantwortliche entsteht daraus eine Infrastruktur, die Transparenz, Kontrolle und Reaktion in einem integrierten Prozess vereint.

Gerade in verteilten oder regulierten Umgebungen zeigt sich der Vorteil eines solchen Ansatzes: Statt mühsam Informationen aus Einzelsystemen zusammenzutragen, liegt ein vollständiges, strukturiertes und jederzeit nachvollziehbares Bild vor – für Audits ebenso wie für den operativen Alltag. Das reduziert die Fehleranfälligkeit, entlastet Personalressourcen und erhöht die Fähigkeit, auch unter Druck sicherheitsrelevante Entscheidungen zu treffen.

Die klassische Trennung zwischen Security, Operations und Development wird dadurch zunehmend obsolet. Statt in isolierten Fachdisziplinen zu arbeiten, greifen Prozesse, Daten und Verantwortlichkeiten ineinander. Und genau darin liegt der eigentliche Fortschritt: Observability wird zum Bindeglied zwischen Technologie und Sicherheit, zwischen Erkennen und Handeln, zwischen operativer Realität und strategischer Steuerung.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2026
Software mit bekannten Sicherheitslücken bei 87 Prozent der Unternehmen in Betrieb

datensicherheit.de, 17.02.2026
Cybersicherheit – Wenn eine verzerrte Selbstwahrnehmung zum Sicherheitsrisiko wird

[datensicherheit.de, 24.03.2026] Der neue „NETSCOUT DDoS Threat Intelligence Report“ dokumentiert laut NETSCOUT eine dramatische Verschärfung der Cyberbedrohungslage durch „hacktivistische Aktivitäten“ und die Nutzung von DDoS-Attacken als präzisionsgelenkte Waffen mit geopolitischem Einfluss: In der zweiten Jahreshälfte 2025 wurden demnach weltweit mehr als acht Millionen DDoS-Angriffe registriert. Besonders auffällig sei der Druck auf Kritische Infrastrukturen (KRITIS) – ausgelöst durch „Hacktivisten“, DDoS-for-hire-Dienste und Botnetze.

Abbildung: NETSCOUT

„NETSCOUT DDoS Threat Intelligence Report“: Dramatische Verschärfung der Cyberbedrohungslage durch „hacktivistische Aktivitäten“ und Nutzung von DDoS-Attacken als präzisionsgelenkte Waffen mit geopolitischem Einfluss

In Deutschland sind Rechenzentren und Hosting-Dienste am stärksten betroffen

Die DDoS-Bedrohungslage in der sogenannten DACH-Region (Deutschland-Österreich-Schweiz) zeige im Jahr 2025 eine deutliche strukturelle Verschiebung, bei der sich der Fokus zunehmend von massenhaften Volumenangriffen hin zu leistungsstärkeren und strategisch eingesetzten Angriffsszenarien verlagere.

• DDoS-Angriffe hätten es insbesondere auf digitale Kerninfrastrukturen abgesehen, wobei „Computing Infrastructure Provider“ wie Rechenzentren, Hosting- und Datenverarbeitungsdienste mit mehr als 70.000 registrierten Angriffen mit deutlichem Abstand an der Spitze stünden.

Dahinter folgten kabelgebundene Telekommunikationsanbieter mit 28.981 sowie Mobilfunkanbieter mit 21.524 Angriffen. Die Angriffsfrequenz sei damit eindeutig dort am höchsten, wo Störungen eine maximale Breitenwirkung entfalten können.

Unterschiedliche DDoS-Belastungsmuster in der DACH-Region

Dass auch transport- und mobilitätsnahe Infrastrukturen zunehmend ins Visier gerieten, habe Anfang 2026 der DDoS-Angriff auf die Deutsche Bahn (DB) gezeigt. Diese Attacke erfolgte laut Unternehmensangaben in mehreren Wellen. Betroffen gewesen seien insbesondere die Auskunfts- und Buchungssysteme – darunter die Website „bahn.de“ sowie die App „DB Navigator“.

• Zwar zähle der Mobilitätssektor nicht zu den drei dominierenden Telekommunikations- oder Hosting-Kategorien, gehöre jedoch in Deutschland zu den am stärksten angegriffenen Branchen außerhalb der klassischen Netz- und Infrastruktursegmente.

In der Schweiz sei im Jahr 2025 ein leichter Anstieg von rund vier Prozent vom ersten auf das zweite Halbjahr auf insgesamt 43.466 Angriffe zu verzeichnen. Deutlich markanter sei jedoch die Angriffsdauer im zweiten Halbjahr 2025 (106,45 Minuten), welche die Vergleichswerte in Österreich und Deutschland übertreffe.

Kabelgebundene Anbieter in Österreich deutlich an erster Stelle

Für Österreich zeige sich ein etwas anderes Muster als in der Schweiz: Dort dominiere klar die Angriffsfrequenz bei kabelgebundenen Netzbetreibern, während die längsten Angriffe auf digitale Infrastruktur- und Hosting-Anbieter zielten. Mit 13.867 Angriffen stünden kabelgebundene Anbieter deutlich an erster Stelle und die Angriffe seien zahlreich, aber eher kurz bis mittellang angelegt.

• Dies spreche für wiederkehrende, volumenbasierte Störversuche gegen klassische Netzbetreiber. Anbieter von IT-Infrastruktur folgen auf Platz 2, mobile Netzbetreiber auf Platz 3 – das Muster entspreche damit dem regionalen Trend. Trotz unterschiedlicher Schwerpunkte konzentrierten sich DDoS-Angriffe in allen drei Ländern auf systemrelevante Telekommunikations- und Infrastruktursektoren.

Dass DDoS-Angriffe im Umfeld internationaler Großereignisse zusätzliche Dynamik entfalten könnten, hätten die Olympischen Winterspiele 2026 in Mailand-Cortina bestätigt: „Im Rahmen einer Angriffswelle der pro-russischen Gruppe ,NoName057‘ war unter anderem die Website des Österreichischen Olympischen Comités (ÖOC) zeitweise betroffen und für rund eine Stunde lahmgelegt.“

Qualitative Verschiebung der Bedrohungslage in der DACH-Region

Der aktuelle „NETSCOUT Threat Intelligence“-Bericht zeige, dass die DDoS-Entwicklung 2025 in der DACH-Region weniger von reiner Quantität, sondern mehr von qualitativer Eskalation geprägt gewesen sei. Multi-Vektor-Angriffe gehörten weiterhin zum festen Bestandteil des DDoS-Geschehens, so dass unterschiedliche Angriffsmethoden kombiniert und teils während der laufenden Attacke angepasst würden, um Erkennungs- und Abwehrmechanismen zu umgehen.

• Der zunehmende Einsatz KI-gestützter Werkzeuge senke zudem die technische Einstiegshürde für bestimmte Angriffstypen, denn Botnet-Steuerung oder Schwachstellenanalysen ließen sich stärker automatisieren.

„Large Language Models“ (LLMs) – im DarkWeb-Umfeld als „Dark LLMs“ genutzt – beschleunigten diese Abläufe zusätzlich und erleichterten die operative Umsetzung. Angesichts der technologischen Fortschritte im Bedrohungsumfeld seien intelligente und zunehmend autonome Verteidigungsmaßnahmen erforderlich, um systemische Betriebsstörungen wirksam zu begrenzen.

Weitere Informationen zum Thema:

NETSCOUT
ABOUT US: We are the Guardians of the Connected World.

NETSCOUT
Unmasking the Swarm: The Evolving Tactics of Botnet-Driven DDoS Attacks / DDoS Threat Intelligence Report / Issue 16: Findings from 2H 2025

datensicherheit.de, 20.02.2026
DDoS-Angriffe wie vor Kurzem auf die DB können Vertrauen der Kunden untergraben / Der jüngste Cyberangriff auf die DB Bahn zeigte abermals, wie angreifbar selbst zentrale Akteure der Kritischen Infrastruktur im Digitalen Raum sind

datensicherheit.de, 09.05.2025
Welle von DDoS-Angriffen: Deutsche Stadtportale im Visier / Häufung von DDoS-Attacken, bei denen Server durch Flut automatisierter Anfragen gezielt überlastet werden

datensicherheit.de, 16.10.2024
DACH-Region: Alarmierende Zunahme der DDoS-Angriffe / Deutschland laut „NETSCOUT DDoS Threat Intelligence Report“ am stärksten von DDoS-Attacken betroffen

[datensicherheit.de, 23.03.2026] Nach aktuellen Erkenntnissen von Claroty werden Cyber-Physische Systeme (CPS) zunehmend zu einem bevorzugten Ziel „opportunistischer Angreifer“ – dabei seien viele dieser Attacken von geopolitischen Ereignissen beeinflusst und technisch nicht besonders ausgefeilt. Solche und weitere Ergebnisse sind dem neuen Report „Analyzing CPS Attack Trends” von Claroty zu entnehmen, der demnach auf der Analyse von mehr als 200 Angriffen von über 20 Hacker-Gruppen im Zeitraum Januar bis Dezember 2025 beruht. Der komplette Report mit den vollständigen Ergebnissen, einer detaillierten Analyse und gezielten Empfehlungen steht online zur Verfügung.

Abbildung: CLAROTY

„Analyzing CPS Attack Trends” – Analyse von mehr als 200 Angriffen von über 20 Hacker-Gruppen

Es drohen Betriebsunterbrechungen, physische Schäden an Anlagen sowie Gefährdung von Arbeitnehmern und Umwelt

82 Prozent der Angriffe auf CPS erfolgten über VNC-Protokoll-Clients (Virtual Network Computing), um aus der Ferne auf exponierte, mit dem Internet verbundene Ressourcen zuzugreifen. Bei zwei Drittel (66%) der Vorfälle seien Mensch-Maschine-Schnittstellen (HMI) oder SCADA-Systeme kompromittiert worden.

• Diese beiden Geräteklassen überwachten und steuerten industrielle Prozesse in Echtzeit. Jeder unrechtmäßige Zugriff oder jede Manipulation könne äußerst schwerwiegende Folgen für das Unternehmen und die Bevölkerung haben.

Diese reichten von Betriebsunterbrechungen über physische Schäden an Anlagen bis hin zur Gefährdung von Arbeitnehmern und Umwelt. Viele dieser Angriffe seien zudem ausgesprochen niedrigschwellig und erforderten weder Schwachstellen noch umfassende Kenntnisse der genutzten Geräte oder Protokolle.

CPS in KRITIS-Strukturen Opfer politischer oder gesellschaftlicher Ziele cyberkrimineller Akteure

Die Analyse habe zudem ergeben, dass die Attacken auf die Kritischen Infrastrukturen (KRITIS) größtenteils durch politische oder gesellschaftliche Ziele motiviert gewesen seien, welche mit den Motiven staatlich-unterstützter Angreifer übereinstimmten.

Angesichts der seit langem bestehenden geopolitischen Spannungen im Nahen Osten und des Krieges zwischen Russland und der Ukraine führten die Sicherheitsforscher viele der Vorfälle auf mit Russland und dem Iran verbundene Bedrohungsakteure zurück:

• 81 Prozent der von iranischen Gruppen durchgeführten Angriffe hätten sich gegen Einrichtungen in den USA und Israel gerichtet.
• 71 Prozent der von russischen Gruppen durchgeführten Angriffe hätten sich gegen Unternehmen in Ländern der Europäischen Union (EU) gerichtet.
• Die am häufigsten von mit Russland verbundenen Bedrohungsakteure angegriffenen EU-Länder seien Italien (18%), Frankreich (11%) und Spanien (9%).

Claroty-Report verweist auf klaren Bedarf, CPS-Sicherheitsmaßnahmen zu verstärken

„Unsere Untersuchungen zeigen eine erhebliche Zunahme der Angriffe auf die grundlegenden Systeme, die den täglichen Ablauf unserer Gesellschaft gewährleisten – von der Fertigung über die Wasser- und Abfallwirtschaft bis hin zur Stromerzeugung und zum Gesundheitswesen“, berichtet Thorsten Eckert, „Regional Vice President Sales Central“ von Claroty.

• Sie sähen vor allen immer mehr opportunistische Drive-by-Angriffe auch in diesem Bereich, welcher ja zuvor eher von gezielten Angriffen geprägt gewesen sei. Eckert führt hierzu aus: „Dabei nutzen die Angreifer relativ einfache technische Mittel, um kritische Sektoren anzugreifen, deren Störung schwerwiegende und teilweise gefährliche Folgen haben kann.“

Der vorliegende Report zeige einen klaren Bedarf, die Sicherheitsmaßnahmen für CPS zu verstärken. „Laxe Sicherheitspraktiken und eine mangelnde Cyberhygiene sind angesichts der sich im Vergleich zum letzten Jahr nochmals verschärften geopolitischen Situation nicht mehr hinnehmbar!“, so Eckert

Claroty-Tipps zum CPS-Schutz und Stärkung der Resilienz

Um ihre CPS besser zu schützen und ihre Resilienz zu erhöhen, sollten Unternehmen laut Claroty folgende Maßnahmen ergreifen:

• Mit dem Internet verbundene Geräte schützen!
  Sicherheitsverantwortliche sollten die Konfigurationen von Betriebstechnik (OT), smarten Geräten und vernetzten Medizingeräten (IoMT) überprüfen. Zudem müssten Vorkehrungen getroffen werden, um eine „Enumeration“ dieser Geräte zu verhindern, da diese zunehmend mit dem Internet verbunden seien.
• Unsichere Standardkonfigurationen beheben!
  Sicherheitsverantwortliche müssten Standard- oder schwachen Anmeldedaten erkennen und diese proaktiv ändern, wenn Geräte online eingesetzt werden. Sie müssten weitere unsichere Konfigurationen identifizieren, bewerten und beheben können, bevor die Geräte vernetzt werden.
• Unsichere Protokolle aktualisieren!
  Bei vielen der untersuchten Angriffe seien unsichere Protokolle wie VNC und „Modbus“ genutzt worden. Diesen fehlten grundlegende Sicherheitsfunktionen wie Authentifizierung und Verschlüsselung. Deshalb sollten Sicherheitsverantwortliche ihre kritischsten verbundenen Ressourcen inventarisieren und auf sicherere Kommunikationsprotokolle umsteigen.
• Den Gegner kennen!
  Es sei wichtig, die Motive und Taktiken von (politisch motivierten) Hacker-Gruppen zu verstehen. Auf diese Weise ließen sich deren nächste Schritte antizipieren – etwa nächste Ziele innerhalb einer bestimmten Branche. Zudem könne so erkannt werden, welche CPS bereits bei anderen Einrichtungen kompromittiert wurden, um entsprechende Gegenmaßnahmen zu priorisieren.

Weitere Informationen zum Thema:

CLAROTY
Claroty Named a Leader by Gartner® / Recognized for Ability to Execute and Completeness of Vision, Claroty has been named a Leader for the second consecutive year in the 2026 Gartner® Magic Quadrant for CPS Protection Platforms.

CLAROTY
Report: Analyzing CPS Attack Trends / Team82 examines 200 verified cyberattacks against cyber-physical systems (CPS) involving geopolitically and socially motivated hacktivist groups

TechTarget
Thorsten Eckert – Regional Vice President Sales Central, Claroty

www.it-visions.de Dr. Holger Schwichtenberg
Erklärung des Begriffs: Enumeration

datensicherheit.de, 27.03.2025
OT/ICS-Cybersicherheit: Wachsende Bedrohungslandschaft für Unternehmen weltweit / Annual Report 2024 von TXOne Networks veröffentlicht / Dringende Maßnahmen zum Schutz der industriellen Abläufe

datensicherheit.de, 12.02.2025
OT-Geräte: Zwei Drittel der Schwachstellen von Ransomware-Gruppen ausgenutzt / Neuer Claroty-Report zeigt OT-Bedrohungen durch Ransomware und unsichere Verbindungen in Produktion, Transport und Logistik sowie natürliche Ressourcen auf

[datensicherheit.de, 21.03.2026] Zimperiums aktueller Sicherheitsreport über Mobile-Banking hat demnach 34 Malware-Familien identifiziert, welche 1.243 Apps für Bank-, Finanz- und „Kryptogeld“-Geschäfte in 90 Ländern kompromittieren – diese neue Sicherheitsstudie zeige, dass Mobile-Banking-Apps die größte Gefahr für Finanzbetrug seien. So verbreite sich in Deutschland die neue Schadsoftware „Crocodilus“ besonders schnell – dieser „Android“-Banking-Trojaner habe sich auf die Geräteübernahme, Raub von Bankdaten und den Diebstahl von „Kryptowährungen“ spezialisiert.

Abbildung: Zimperium

„2026 Banking Heist Report“: Dokumentation einer gewachsenen Bedrohungslandschaft, welche klassische Verteidigungsmechanismen grundlegend aushebelt

Bedrohungsakteure entwickeln Angriffskampagnen kontinuierlich weiter

Im Laufe des Jahres 2025 habe das „zLabs“-Team von Zimperium 34 aktive Malware-Familien identifiziert, welche mobile Anwendungen von 1.243 Finanzinstitute in 90 Ländern gefährdeten.

• Die Zahl der mit „Android“-Malware gesteuerten Finanztransaktionen sei im Jahresvergleich um 67 Prozent gestiegen. Zimperium-Sicherheitsforscher sehen darin „keine isolierten Vorfälle“, sondern stufen solche Aktivitäten als „Bestandteil ausgeklügelter und skalierbarer Kampagnen“ ein.

Bedrohungsakteure entwickelten ihre Angriffskampagnen kontinuierlich weiter, um App-Sicherheitskontrollen zu umgehen und betroffene Organisationen sowie ihre Kunden zu schädigen.

Zentrale Ergebnisse der aktuellen Zimperium-Studie im Überblick:

• In Deutschland seien insgesamt 48 Malware-Familien aufgespürt worden – die Malware-Familie „Crocodilus“ stelle dabei eine neue Gefahr dar. Diese mobile Schadsoftware nutze „Blackout“-Modi, welche „Android“-Mobilgeräte im ausgeschalteten Zustand anzeigten, während tatsächlich heimlich Geldüberweisungen durchgeführt würden.
• Die meisten Mobilangriffe in Europa erfolgten über ausgeklügelte 2FA-Bypass-Tools wie „Teabot“ und „Godfather“.
• Hauptangriffsziel seien die USA: Dort gebe es weltweit die meisten attackierten Finanz-Apps – mittlerweile würden 162 Banking- und Fintech-Apps ins Visier genommen.
• „TsarBot“, „CopyBara“ und „Hook“: Diese drei Malware-Familien zusammen visierten mehr als 60 Prozent der weltweit untersuchten Banking- und Fintech-Apps an.
• Nach dem Betrug ist vor der Erpressung: In jedem zweiten Fall verfügten die analysierten Malware-Familien auch über Möglichkeiten zur finanziellen Erpressung – beispielsweise mit Ransomware-Funktionen zur Verschlüsselung aller Daten eines infizierten Endgeräts.

Foto: Zimperium

Krishna Vishnubhotla: KI-Technologien beschleunigen die Entwicklung von Schadsoftware, die zuvor hochqualifizierten Angreifer vorbehalten war

Weiterentwicklung der Mobile-Banking-Malware kann zu vollständiger Kontrolle über mobile Gerät führen

Der nun vorliegende „2026 Banking Heist Report“ dokumentiert laut Zimperium „eine gewachsene Bedrohungslandschaft, die klassische Verteidigungsmechanismen grundlegend aushebelt“. Die Ergebnisse verdeutlichten, dass Betrug nicht erst auf dem Server, sondern bereits auf mobilen Endgeräten beginne. Finanzinstitute könnten skalierbare Betrugsversuche verhindern und gesetzliche Sicherheitsregularien einhalten, „indem sie Mobil-Apps gegen ,Reverse Engineering’ härten, die Laufzeit-Integrität sicherstellen und Geräterisiken analysieren“.

• „KI-Technologien beschleunigen die Entwicklung von Schadsoftware, die zuvor hochqualifizierten Angreifer vorbehalten war. Die enorme Weiterentwicklung von Mobile-Banking-Malware bedeutet, dass nicht nur Passwörter gestohlen, sondern die vollständige Kontrolle über ein Gerät erreicht werden kann“, erläutert Krishna Vishnubhotla, „Vice President of Product Strategy“ bei Zimperium.

Abschließend gibt er warnend zu bedenken: „Moderne Banktrojaner fangen Authentifizierungscodes und Telefonate ab und verbergen sich vor Sicherheitssystemen. Sie täuschen legitime Online-Banking-Verbindungen vor, die weder auf Kunden- noch Bankseite verdächtig wirken. Wird der Betrug entdeckt, ist es bereits zu spät!“

Weitere Informationen zum Thema:

Zimperium
The World Leader in Mobile Device & Application Security

ZIMPERIUM
Krishna Vishnubhotla / Mobile App Security Expert

Zimperium
2026 Mobile Banking Heist Report

datensicherheit.de, 29.11.2025
Sturnus: Android-Banking-Trojaner eine weitere gefährliche Eskalation beim Mobil-Betrug / „Sturnus“ führt vor Augen, dass Ende-zu-Ende-Verschlüsselung Daten zwar während der Übertragung schützt – aber kein kompromittiertes Gerät

datensicherheit.de, 28.09.2023
Zanubis: Banking-Trojaner tarnt sich laut Kaspersky-Warnung als legitime App / Kaspersky deckt neue Bedrohungen gegen Krypto-Wallets auf

datensicherheit.de, 07.10.2021
PixStealer: Missbrauch von Zugangsdiensten durch neuen Android-Banking-Trojaner / Check Point Research entdeckt Attacken gegen PIX – ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem

[datensicherheit.de, 20.03.2026] Illumio hat auf Basis der von der CyberEdge Group im Auftrag von Illumio durchgeführten Studie „The Containment Gap – Exploring the Distance Between Detection and Resilience” gemeldet, dass zwar 98 Prozent der deutschen Organisationen überzeugt seien, Cyberangriffe erkennen zu können – doch fast 40 Prozent hätten Schwierigkeiten, diese zu stoppen, während die Anzahl der Attacken mittels Künstlicher Intelligenz (KI) weiter zunehme. Für die vorliegende Studie wurden demnach 700 IT- und Sicherheitsentscheider aus sieben Ländern (USA, Großbritannien, Deutschland, Frankreich, Japan, Australien und Brasilien) befragt – sämtliche teilnehmenden Organisationen beschäftigten mindestens 1.000 Mitarbeiter; ein signifikanter Anteil der befragten Organisationen habe mehr als 10.000 Beschäftigte.

Abbildung: Illumio

Aktuelle Illumio-Studie: „The Containment Gap – Exploring the Distance Between Detection and Resilience”

Viele Organisationen genau dann verwundbar, wenn schnelle Reaktionen gefragt sind

Eine neue weltweite Studie der CyberEdge Group zeige eine erhebliche Lücke zwischen der Fähigkeit von Organisationen, Cyberangriffe zu erkennen, und ihrer Fähigkeit, diese einzudämmen, auf. Dadurch seien viele Organisationen genau dann verwundbar, wenn schnelle Reaktionen entscheidend sind.

• Für die von der Illumio Inc. in Auftrag gegebene Studie seien 700 IT- und Sicherheitsentscheider in Nordamerika, Europa, dem Asiatisch-Pazifischen Raum und Lateinamerika befragt worden, darunter 100 in Deutschland.

Eine zentrale Erkenntnis sei: 98 Prozent der deutschen Organisationen (global: 95%) gäben an, unautorisierte laterale Bewegungen erkennen zu können, doch zugleich räumten 38 Prozent (global: 46%) ein, Schwierigkeiten zu haben, diese zu stoppen.

Kritische Lücke zwischen Selbsteinschätzung und realer Handlungsfähigkeit

Diese Ergebnisse zeigten eine kritische Lücke zwischen der Selbsteinschätzung deutscher Organisationen, Cyberangriffe zu erkennen, und ihrer realen Fähigkeit, sie einzudämmen, auf. Viele Organisationen seien also weiterhin nicht in der Lage, kompromittierte Systeme schnell genug zu isolieren, um eine Eskalation zu verhindern.

Zentrale Ergebnisse der Studie für Deutschland:

1. Verborgene Angriffswege bestehen trotz Visibilität
   74 Prozent der deutschen Organisationen entdeckten bislang unbekannte Kommunikationspfade nur wöchentlich oder noch seltener. Dadurch blieben potenzielle Angriffswege unentdeckt und könnten ausgenutzt werden.
2. „Blind Spots“ in der „Cloud“ sind das schwächste Glied
   Organisationen würden Verbindungen zwischen „Cloud“ und Rechenzentrum sowie „Multi-Cloud“-Umgebungen als Bereiche mit der geringsten Visibilität nennen. Dies erschwere die Erkennung lateraler Bewegungen über dynamische Infrastrukturen hinweg.
3. Verzögerte Eindämmung erhöht das Risiko
   Nur zwölf Prozent der deutschen Organisationen könnten eine kompromittierte „Workload“ nahezu in Echtzeit isolieren. Mehr als die Hälfte (52%) benötige dafür Stunden, Tage oder sogar Wochen – wodurch das Risiko von Betriebsunterbrechungen, Datenverlust oder Erpressung steige.

„Eine verzögerte Eindämmung ist eine verlorene Eindämmung!“, kommentiert Steve Piper, Gründer und CEO der CyberEdge Group. Er führt weiter aus: „Nur eine kleine Minderheit der befragten Organisationen kann kompromittierte ,Workloads’ nahezu in Echtzeit isolieren, während mehr als die Hälfte dafür Stunden oder Tage benötigt. Diese Verzögerung schafft ein kritisches Zeitfenster, in dem Angreifer sich lateral bewegen, Privilegien ausweiten und den Schaden eines Angriffs erheblich steigern können!“

Zentrale Cyberbedrohung: KI-gestützte Cyberangriffe überholen Ransomware

Die Studie zeige außerdem, dass KI-gestützte Angriffe – darunter Deepfake-Imitationen – inzwischen zu den drei größten Cyberbedrohungen in Deutschland zählten. Als größte Bedrohung werde am häufigsten Diebstahl von Daten und Geistigem Eigentum (61%) genannt, gefolgt von den KI-gestützten Angriffen (56%).

• Erst auf Platz 3 lägen nun Ransomware und Erpressung (52%), während gezielte Angriffe auf kritische Dienste von 50 Prozent der Befragten als größte Risiko genannt würden.

Trotz dieser Entwicklung bei den Cyberbedrohungen sähen Organisationen in Deutschland ihre größten Cyberrisiken weiterhin in Defiziten bei grundlegenden Kontrollen und weniger in neuen Technologien. Als größte Risiken würden Befragte IT-Schwachstellen (63%), Diebstahl von Zugangsdaten und Rechteausweitung („Privilege Escalation“, 47%) sowie menschliche Fehler, Unachtsamkeit oder Fehlverhalten von Mitarbeitern (41%) nennen. Dagegen betrachteten nur 19 Prozent die unkontrollierte Nutzung großer Sprachmodelle (LLMs) als erhebliches Risiko.

Mikrosegmentierung: Organisationen erkennen deren Nutzen

Um Risiken zu reduzieren und die Lücke zwischen Erkennung und Eindämmung von Cyberangriffen zu schließen, setzten Organisationen in Deutschland zunehmend auf Mikrosegmentierung. Als deren wichtigste Vorteile würden die Befragten höhere Visibilität (45%), schnellere Erkennung und Reaktion auf Cyberangriffe (43%) und stärkere Eindämmung von Sicherheitsvorfällen („Breach Containment“) sowie Risikoreduktion (41%) nennen.

• Bei der Umsetzung von Mikrosegmentierung stießen die deutschen Befragten auf diese Hürden: Kosten (40%), zu viele parallel laufende Sicherheitsinitiativen (36%) sowie unklare Zuständigkeiten zwischen Security-, IT-, Applikations- und Netzwerkteams (35%).

„Die meisten Organisationen erkennen einen Angriff – ihn zu stoppen ist jedoch eine andere Herausforderung!“, erläutert Raghu Nandakumara, „Vice President of Industry Strategy“ bei Illumio. Indem Cyberangreifer KI einsetzten, erschwerten sie die Interpretation und Eindämmung von Cyberangriffen, so dass selbst kleine Sicherheitsvorfälle schnell eskalieren könnten. Nandakumara gibt abschließend zu bedenken: „Mikrosegmentierung gehört zu den wenigen Kontrollen, die sowohl die Visibilität verbessern als auch die Bewegungsfreiheit eines Eindringlings begrenzen – vorausgesetzt, sie wird präzise, skalierbar und konsistent umgesetzt.“

Weitere Informationen zum Thema:

illumio
The world leader in breach containment / Illumio is the first and only platform built for breach containment. Powered by an AI security graph. Enabling your Zero Trust journey.

illumio
Raghu Nandakumara: Vizepräsident, Industriestrategie

illumio
The Containment Gap: Exploring the Distance Between Detection and Resilience / Uncover the containment gap between detecting threats and stopping breaches, and learn why fast isolation defines modern cyber resilience today worldwide.

CYBEREDGE GROUP
Company Overview: Marketing and Research Services for Cybersecurity Vendors

CYBEREDGE GROUP
Our Team / A Wealth of Security Industry Experience

datensicherheit.de, 29.08.2025
Best Practices für Unternehmen: 8 Cohesity-Tipps zum Schutz vor Cyberangriffen / Unternehmen sollten Cohesity-Tipps als „Leitplanken für die Stärkung ihrer Cyberresilienz“ nutzen

datensicherheit.de, 04.04.2025
Cyberangriffe: Threat Intelligence als Schlüssel zur frühzeitigen Erkennung und Abwehr / Bedrohungsdaten verstehen und effektiv nutzen

datensicherheit.de, 15.07.2020
Automatisierte Threat Intelligence: Bedrohungserkennung, -bewertung und -behebung gehören auf den Prüfstand / Die Operationalisierung von Informationen über Bedrohungen nimmt Zeit in Anspruch und erfordert eine gründliche Planung

Ein Kommentar von Gerald Eid, Regional Managing Director EMEA bei Getronics

[datensicherheit.de, 19.03.2026] Jüngste Medienberichte über den Energiekonzern E.ON zeichnen ein alarmierendes Bild: Dass täglich hunderte Cyberangriffe abgewehrt werden müssen und sich die Zahl der Attacken binnen fünf Jahren verzehnfacht hat, markiert einen kritischen Wendepunkt für den Wirtschaftsstandort Deutschland. Die Sicherheit unserer Energieversorgung ist kein stabiler Zustand mehr, sondern ein permanenter Abwehrkampf.

Gerald Eid, Regional Managing Director EMEA bei Getronics, Bild: Getronics

Geopolitische Spannung erzeugen Handlungsbedarf

Die aktuellen geopolitischen Spannungen verpflichten die deutsche Wirtschaft zum Handeln. Die Gefahr für die eigene Produktion kommt heute über die Steckdose: Ein erfolgreicher Angriff auf den Netzbetreiber führt unmittelbar zum Stillstand der physischen Abläufe. Jeder muss heute auf den Ernstfall einer Katastrophe wie einen langanhaltenden Stromausfall vorbereitet sein. Unternehmen, die diese Risiken nicht sehen oder gar verdrängen, handeln nicht nur fahrlässig, sondern schlichtweg nicht mehr wirtschaftlich.

Das Risiko-Duo: Instabile Stromnetze und digitale Einfallstore

Wir erleben gerade eine gefährliche Zuspitzung, bei der physische Instabilität auf digitale Verwundbarkeit trifft. Während die Belastbarkeit der Stromnetze durch extreme Wetterereignisse und schwankende Lasten ohnehin an ihre Grenzen stößt, vergrößert die rasant fortschreitende Vernetzung von Industrie und Gesundheitswesen die Angriffsfläche massiv. In diesem überreizten System wird jeder neue digitale Zugangspunkt zu einem kritischen Risiko, da schon minimale Störungen ausreichen, um eine systemweite Kettenreaktion auszulösen.

Ein systemischer Kollaps beginnt dabei fast nie im Kraftwerk selbst. Er startet an den digitalen Schnittstellen. Ein kompromittierter Zugang am Arbeitsplatz kann die Brücke schlagen, über die sich ein Angreifer bis in die sensiblen Steuerungssysteme der Netze vorarbeitet. Damit wird die Büroumgebung zum potenziellen Auslöser für einen großflächigen Blackout.

Strategien für eine krisenfeste Energieversorgung:

• Eigenständige Stromversorgung durch Insel-Lösungen: Unternehmen müssen in der Lage sein, ihre Standorte autark zu betreiben. Dezentrale Anlagen mit lokaler Energieerzeugung und intelligenter Steuerung ermöglichen es, sich bei Instabilitäten sofort vom Hauptnetz abzukoppeln und kritische Prozesse unterbrechungsfrei weiterzuführen.
• Aktive Laststeuerung als Schutzschild: Durch die enge Verknüpfung von IT und Gebäudetechnik lassen sich Stromflüsse in Echtzeit steuern. Wer seinen Bedarf über digitale Kontrollinstrumente überwacht und bei Bedarf senkt, entlastet nicht nur die eigenen Kosten, sondern stabilisiert aktiv das Gesamtsystem und verhindert so eine provozierte Überlastung der Netze.
• Gesetzliche Vorgaben als strategischer Anker: Die neuen EU-Richtlinien sind weit mehr als eine reine Pflichtübung. NIS2 und die CER-Richtlinie fordern zu Recht, dass Maßnahmen zur Katastrophenhilfe und zum Schutz kritischer Anlagen fester Bestandteil der Unternehmensführung werden. Es geht darum, das Risikomanagement über die eigenen Werkstore hinaus auf die gesamte Versorgungskette auszuweiten.
• Vorsorge für extreme Ausfallszenarien: Da absolute Sicherheit nicht existiert, entscheidet die Reaktionsfähigkeit im Ernstfall. Ausgearbeitete Notfallpläne für einen langanhaltenden Stromausfall sind heute das einzige Mittel, um die massiven Kosten eines kompletten Produktionsstopps abzufedern.

Die aktuelle Bedrohungslage beweist, dass Cybersicherheit und die physische Verfügbarkeit von Energie untrennbar zusammengehören. Echte Vorsorge beginnt beim Schutz des einzelnen Nutzers und endet erst bei einer Architektur, die auch ohne externe Stromzufuhr handlungsfähig bleibt.

Weitere Informationen zum Thema:

datensicherheit.de, 09.01.2026
TÜV-Verband zum Stromausfall in Berlin: Deutschlands Infrastruktur braucht mehr Resilienz

datensicherheit.de, 14.08.2023
Drohender Totalausfall: Sicherheitslücken in Rechenzentren könnten Energieversorgung lahmlegen

[datensicherheit.de, 18.03.2026] Die Qualys Threat Research Unit (TRU) hat eine hochkritische Schwachstelle (CVE-2026-3888) in Standardinstallationen von Ubuntu Desktop 24.04 und den neueren Versionen identifiziert. Die Lücke erlaubt es, einem lokal angemeldeten Angreifer mit geringen Rechten, diese auf vollständigen Root-Zugriff auszuweiten – und damit die vollständige Kontrolle über das System zu erlangen.

Schwachstelle (CVE-2026-3888) in Standardinstallationen von Ubuntu Desktop, Bild: Qualys

Schwachstelle durch Zusammenspiel zweier zentraler Systemkomponenten

Bemerkenswert an dieser Schwachstelle ist, dass sie nicht auf einen einzelnen Fehler zurückzuführen ist, sondern auf das Zusammenspiel zweier zentraler Systemkomponenten. Konkret entsteht die Lücke durch eine unbeabsichtigte Interaktion zwischen snap-confine, das mit erhöhten Rechten die Sandbox für Snap-Anwendungen aufsetzt, und systemd-tmpfiles, das für die automatische Bereinigung temporärer Verzeichnisse zuständig ist.

Unter bestimmten Bedingungen kann ein Angreifer genau diesen Mechanismus ausnutzen. Über einen Zeitraum von mehreren Tagen oder Wochen – abhängig von den Systemeinstellungen – löscht systemd-tmpfiles ein für snap-confine relevantes Verzeichnis. Wird dieses anschließend vom Angreifer mit manipulierten Inhalten neu angelegt, verarbeitet snap-confine diese Daten beim nächsten Start einer Snap-Anwendung mit Root-Rechten. Das Ergebnis ist die Ausführung beliebigen Codes mit maximalen Privilegien.

Auch wenn der Angriff aufgrund des erforderlichen Zeitfensters als technisch anspruchsvoll gilt, ist die potenzielle Auswirkung erheblich. Mit einem CVSS-Wert von 7,8 wird die Schwachstelle als „hoch“ eingestuft und unterstreicht, dass selbst etablierte Systemkomponenten zu kritischen Sicherheitsrisiken werden können, wenn ihre Interaktionen nicht vollständig berücksichtigt sind.

Aus sicherheitstechnischer Sicht verdeutlicht der Fund ein grundlegendes Problem moderner Linux-Umgebungen: Die zunehmende Modularität – etwa durch Snap, systemd oder containerisierte Architekturen – erweitert die Angriffsfläche auf eine Weise, die oft erst im Zusammenspiel einzelner Komponenten sichtbar wird. Die Schwachstelle entsteht hier nicht durch eine klassische Fehlkonfiguration, sondern durch die Kombination von Berechtigungsgrenzen und automatisierten Systemprozessen.

Patches für Ubuntu Desktop ab Version 24.04 umgehend einspielen

Unternehmen, die Ubuntu Desktop ab Version 24.04 einsetzen, sollten die verfügbaren Patches umgehend einspielen. Aktualisierte Versionen des snapd-Pakets stehen bereits bereit, und eine schnelle Behebung ist entscheidend, um potenzielle Angriffe zu verhindern.

Im Zuge der Analyse identifizierten die Forscher zudem eine weitere Schwachstelle in der Vorabprüfung von Ubuntu 25.10. Eine Race Condition im „rm“-Befehl der Rust-basierten uutils coreutils hätte es Angreifern ermöglichen können, Dateioperationen in privilegierten Cron-Jobs zu manipulieren. Diese Schwachstelle wurde noch vor der Veröffentlichung geschlossen, unter anderem durch die Rückkehr zur GNU-coreutils-Implementierung.

Unterstützung bei der Erkennung und Priorisierung betroffener Systeme bietet nach Unternehmensangaben z.B. die Qualys-Plattform, die entsprechende Assets identifizieren und gezielte Maßnahmen zur Behebung ermöglichen kann.

Die Entdeckung von CVE-2026-3888 zeigt einmal mehr, dass lokale Privilegieneskalation ein zentrales Risiko bleibt – und dass Sicherheitslücken zunehmend aus komplexen Wechselwirkungen innerhalb moderner IT-Umgebungen entstehen.

Weitere Informationen zum Thema:

datensicherheit.de, 13.03.2026
„CrackArmor“: Neun Sicherheitslücken in Millionen von Linux-Systemen entdeckt

[datensicherheit.de, 17.03.2026] Karsten Hauffe, „Head of Public, Defense & Energy“ bei NTT DATA DACH, kommentiert die gegenwärtige geopolitische Situation wie folgt: „Ukraine, Grönland, Iran – die geopolitischen Umbrüche der vergangenen Tage, Wochen und Monate haben eines deutlich gemacht: Die alte Weltordnung existiert nicht mehr – Europa muss sich von Abhängigkeiten befreien und selbst für seine Sicherheit sorgen. Rüstung und Verteidigung sind daher keine Tabuthemen mehr, sondern stehen in Brüssel, Berlin und den anderen europäischen Hauptstädten inzwischen wieder ganz weit oben auf der Agenda!“

Foto: NTT DATA

Karsten Hauffe: Souveränität bedeutet dabei Kontrolle und Unabhängigkeit, wobei zu dieser Unabhängigkeit auch zählt, Lösungen frei auswählen und bei Bedarf auch verändern oder austauschen zu können

In Europa fließen viele Milliarden in Lösungen für zuverlässige digitale Kommunikation und KI-Auswertung

„Fast alle EU-Staaten haben ihre Verteidigungsausgaben erhöht und investieren kräftig in neues Material und moderne Technologien. Viele Milliarden fließen dabei auch in Lösungen für die zuverlässige digitale Kommunikation und die KI-Auswertung von Aufklärungsdaten, in softwaregesteuerte Waffensysteme und natürlich in eine effiziente digitale Verwaltung“, so Hauffe.

• Schließlich benötige eine schlagkräftige Truppe auch schnelle und reibungslose Beschaffungs- und Versorgungsprozesse.

Mehr noch als die Wirtschaft und die öffentliche Verwaltung seien das Militär, seine Dienstleister und seine Zulieferer allerdings auf robuste, sichere und souveräne Lösungen angewiesen. Jede digitale Komponente müsse jederzeit absolut zuverlässig funktionieren, „damit die europäischen Staaten im Verteidigungs- und Bündnisfall handlungsfähig bleiben“.

Hyperscaler für Europa ungeeignet – zu großes Risiko, von anderen Mächten fremdbestimmt zu werden

Anders als in den meisten Unternehmen, in denen ein Hacker-Angriff oder der Ausfall eines „Cloud“-Dienstes vor allem finanzielle Schäden verursache und schlimmstenfalls Arbeitsplätze kosten könne, stünden bei kompromittierten oder nicht zur Verfügung stehenden Militärsystemen schnell Menschenleben und die nationale Unabhängigkeit auf dem Spiel.

• Hyperscaler sowie proprietäre Architekturen und Plattformen seien deshalb ungeeignet – „zu groß ist das Risiko, dass fremde Mächte ihre Abschaltung veranlassen, die Funktionalitäten einschränken oder auf die gespeicherten Daten zugreifen“.

„Combat Clouds“ beispielsweise, „in denen Daten von Sensoren, Verteidigungssystemen und Kommandoeinheiten zusammenfließen und in Echtzeit über Satelliten oder 5G ausgetauscht werden“, müssten daher auf Basis souveräner Plattformen als „Private Cloud“ oder sogar „Air-Gapped Cloud“ gestaltet werden.

Aufbau Souveräner Umgebungen in Europa – große Sorgfalt bei Auswahl der Anbieter sowie sicherer Implementierung

Aber auch in anderen Bereichen wie der Verwaltung sei es unerlässlich, „dass Anwendungen auf eigenen, unabhängigen Infrastrukturen laufen und wichtige Daten den Perimeter nie verlassen“.

• Dabei erfordere der Aufbau solcher Souveränen Umgebungen nicht nur große Sorgfalt bei der Auswahl der Anbieter, sondern auch bei der sicheren Implementierung – „stehen sie doch ganz besonders im Visier von (oft staatlich organisierten) Hacker-Gruppierungen“. 2025 seien nämlich Regierungs- und Militärorganisationen die am zweithäufigsten via Ransomware attackierte „Branche“ gewesen.

Der Schutz militärischer Netzwerke und Systeme erfordere weit mehr als verschlüsselte Verbindungen und Firewalls: Notwendig seien mehrstufige Sicherheitsansätze mit Echtzeit-Bedrohungsanalysen, autonomen Reaktionen und „Zero Trust“-Prinzipien – sowie der Aufbau einer modernen Sicherheitskultur. „In dieser werden alle Beteiligten mit Trainings für sicherheitsbewusstes Verhalten sensibilisiert und betrachten Fehler als Chance für Verbesserungen statt für Schuldzuweisungen.“

Europa kann nur mittels sicherer und souveräner Lösungen verteidigungsfähig werden

Anwender müssten akzeptieren, dass bei der Nutzung digitaler „Tools“ viel Disziplin notwendig sei – und übergeordnete Stellen in der Beschaffung müssten den Fokus weg von Preis- und „Feature“-Vergleichen auf Kriterienkataloge richten, welche auch Portabilität, Auditierbarkeit, Lieferketten-Transparenz und Exit-Strategien berücksichtigten.

• Letztlich könne sich Europa nur mit sicheren und souveränen Lösungen verteidigungsfähig machen. Hauffe: „Souveränität bedeutet dabei Kontrolle und Unabhängigkeit, wobei zu dieser Unabhängigkeit auch zählt, Lösungen frei auswählen und bei Bedarf auch verändern oder austauschen zu können.“

Souveränität bedeute hingegen nicht, alles in Eigenregie stemmen zu müssen, denn dafür sei der Modernisierungsbedarf einfach zu groß und die moderne IT- und KI-Welt zu komplex. Vielmehr könne es durchaus sinnvoll sein, Expertise von außen hinzuzuziehen, „solange die Partner unabhängig und vertrauenswürdig sind“. Hauffe gibt abschließend zu bedenken: „Schließlich muss nicht nur eine robuste, sichere und souveräne Verteidigungslandschaft aufgebaut, sondern diese auch langfristig gepflegt und kontinuierlich an neue Bedrohungsszenarien sowie technologische Neuerungen angepasst werden!“

Weitere Informationen zum Thema:

NTT DATA
NTT DATA Technology Foresight 2026 / Nachhaltiges Wachstum im Zeitalter allgegenwärtiger Intelligenz

Linkedin
Karsten Hauffe

EUROPEAN DEFENCE AGENCY, 02.09.2025
EU defence spending hits €343 bln in 2024, EDA data shows

CHECK POINT
Was ist Ransomware?

datensicherheit.de, 11.02.2026
Bitkom-Podcast: Verfassungsschutz-Präsident fordert, Digitale Souveränität mit massiven Mitteln voranzutreiben / Bitkom-Präsident Dr. Ralf Wintergerst sprach mit BfV-Präsident Sinan Selen im Vorfeld der diesjährigen „Münchner Sicherheitskonferenz“

datensicherheit.de, 08.02.2026
Strategische Notwendigkeit: Die drei Grundpfeiler Digitaler Souveränität Europas / Digitale Souveränität ist die Fähigkeit, als Organisation in Europa handlungsfähig zu bleiben – selbst wenn globale Lieferketten reißen oder politische Spannungen digitale Datenflüsse unterbrechen

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

datensicherheit.de, 01.01.2026
Cybersicherheit und Digitale Souveränität: Wie Europa die Kontrolle zurückgewinnen kann / Pierre-Yves Hentzen kommentiert aktuelle Entwicklungen und skizziert Wege zur Digitalen Souveränität Europas