[datensicherheit.de, 27.03.2026] Auf Künstlicher Intelligenz (KI) beruhende Technologie wird nach aktuellen ISACA-Erkenntnissen in europäischen Unternehmen in rasantem Tempo eingeführt – aber viele hätten sie ohne die passende „Governance“- und Sicherheitsinfrastruktur implementiert. Dies geht demnach aus einer neuen ISACA-Studie hervor: Die Ergebnisse basierten auf einer Vorabveröffentlichung der „ISACA AI Pulse Poll 2026“, wofür Fachleute für digitales Vertrauen in Europa befragt worden seien. Diese verdeutlichten eine signifikante und wachsende Kluft zwischen der schnellen KI-Einführung und der organisatorischen Bereitschaft, die damit verbundenen Risiken zu managen.

Foto: ISACA

Chris Dimitriadis: Die Kluft zwischen Implementierung und „Governance“ schließt sich nicht, sie wird größer. Unternehmen müssen schnell handeln!

Kontrollproblem: Bei der Mehrheit der Unternehmen könnte ein kompromittiertes bzw. fehlerhaftes KI-System länger als eine halbe Stunde unkontrolliert weiterarbeiten

Auf die Frage, wie schnell ihr Unternehmen ein KI-System im Falle eines Sicherheitsvorfalls stoppen könnte, hätten fast drei Fünftel (59%) der Befragten angegeben, dies nicht zu wissen. Nur ein Fünftel (21%) habe gesagt, sie könnten dies innerhalb einer halben Stunde tun.

• Dies deute darauf hin, dass bei der Mehrheit der Unternehmen ein kompromittiertes oder fehlerhaftes KI-System länger als eine halbe Stunde unkontrolliert weiterarbeiten könnte.

Angesichts der zunehmenden Integration von KI-Systemen in zentrale Geschäftsprozesse stellten diese Ergebnisse die operative Vorbereitung infrage. Das Fehlen klarer Reaktionsverfahren habe direkte Auswirkungen auf das regulatorische Risiko, den Ruf des Unternehmens und die Kontinuität der Prozesse sowie jene diese Systeme unterstützenden Dienstleistungen.

Verständnisproblem: Unternehmen oft nicht in der Lage zu verstehen und zu erklären, was vorgefallen ist

Die Studie decke noch eine weitere Lücke auf: „Unternehmen können nicht nur ein KI-System im Notfall kaum stoppen, sie sind oft auch nicht in der Lage, danach zu verstehen und zu erklären, was vorgefallen ist.“ Weniger als die Hälfte (42%) der Befragten äußerten Vertrauen in die Fähigkeit ihres Unternehmens, einen schwerwiegenden KI-Vorfall zu untersuchen und der Führungsebene oder den Aufsichtsbehörden zu erklären, und nur elf Prozent seien vollkommen zuversichtlich.

• Dies sei besonders bedeutsam, da die Regulierung nun in Kraft trete: Das sich nun in der Durchsetzungsphase befindliche EU-KI-Gesetz stell explizite Anforderungen an Erklärbarkeit und Rechenschaftspflicht.

Diese Verpflichtungen erforderten nicht nur technische Kontrollen, sondern auch „Governance“-Strukturen, Audit-Pfade und – was am wichtigsten ist – Fachleute mit den Fähigkeiten, das Verhalten von KI-Systemen zu interpretieren und zu kommunizieren. „Die ISACA-Befragung legt nahe, dass diese Fähigkeiten noch nicht in großem Umfang vorhanden sind.“

KI-„Governance“ muss stets Schritt mit der Entwicklung der -Anwendung halten

Die vorliegenden Ergebnisse deuteten auf ein tieferliegendes strukturelles Problem hin. In einem Drittel der Unternehmen (33%) müssten Mitarbeiter nicht offenlegen, wann sie KI für ihre Arbeit nutzen. Dies führe zu erheblichen Transparenzlücken, da unklar bleibe, wo und wie KI tatsächlich eingesetzt wird.

• Weitere 20 Prozent der Befragten wüssten nicht, wer zur Rechenschaft gezogen würde, wenn ein KI-System Schaden verursacht. Nur 38 Prozent identifizierten dafür den Vorstand oder eine Führungskraft. Diese Erkenntnis stehe im Widerspruch zur Ausrichtung der Regulierung, die weitgehend darauf abziele, die Rechenschaftspflicht bei der obersten Führungsebene anzusiedeln.

Auf den ersten Blick scheine die Lage bei der Aufsicht durchaus beruhigend. 40 Prozent der Befragten gäben an, dass die meisten KI-generierten Aktionen vor der Ausführung durch Menschen genehmigt würden. Weitere 26 Prozent überprüften Entscheidungen im Nachhinein. Ohne die unterstützende breitere „Governance“-Infrastruktur könnte die menschliche Aufsicht allein jedoch nicht ausreichen, um Probleme zu erkennen oder zu beheben, bevor sie eskalieren.

Werkzeuge zur verantwortungsvollen KI-Steuerung existieren bereits

Die Daten deuteten jedoch darauf hin, dass viele Unternehmen das KI-Risiko weiterhin als ein technologisches Problem und eben nicht als eine unternehmensweite „Governance“-Herausforderung betrachteten. Dies sei nicht nachhaltig – insbesondere in einer Zeit, in der KI zunehmend Entscheidungen, Ergebnisse und Kundeninteraktionen in allen Unternehmensbereichen präge.

• Chris Dimitriadis, „Chief Global Strategy Officer“ bei ISACA, kommentiert: „Die Studie spiegelt wider, dass unser Innovationsdrang nicht von unserem Willen begleitet wird, den Wandel zu steuern. Das setzt uns kritischen Risiken aus. Die Werkzeuge zur verantwortungsvollen Steuerung von KI existieren bereits. Risikomanagement, präventive Kontrollen, Erkennungsmechanismen, Reaktion auf Vorfälle und Wiederherstellungsstrategien sind die Grundlagen guter Cybersicherheitspraktiken.“

Diese Werkzeuge müssten indes mit der gleichen Strenge und Dringlichkeit auf KI angewendet werden. „Die Kluft zwischen Implementierung und ,Governance’ schließt sich nicht, sie wird größer. Unternehmen müssen schnell handeln!“

Es gilt, eine Kultur der sinnvollen Aufsicht zu fördern

Dimitriadis führt hierzu aus: „Das beginnt damit, festzulegen, wer rechenschaftspflichtig ist, die Fähigkeit zur Reaktion auf Vorfälle aufzubauen und durch Audits die nötige Transparenz über die KI-Nutzung zu schaffen, um eine Kultur der sinnvollen Aufsicht zu fördern.“

• Aber die Lücke wirklich zu schließen, könne nicht allein durch Prozessänderungen erreicht werden. „Vielmehr erfordert es Fachleute, die das Fachwissen haben, KI-Risiken rigoros zu bewerten, die Aufsicht über den gesamten Lebenszyklus zu verankern und dies in Entscheidungen umzusetzen, die vor dem Vorstand und den Aufsichtsbehörden bestehen.“

Abschließend legt Dimitriadis nahe: „Die Unternehmen, die dies richtig machen, sind diejenigen, die sich auf das Vertrauen der Kundinnen, Kunden und aller Stakeholder konzentrieren und die durch nachhaltige Innovationen führen werden.“

Weitere Informationen zum Thema:

ISACA
The principles behind our purpose / Our mission and vision reflect the core values that drive everything we do

ISACA
Meet ISACA’s Leadership Team / Chris Dimitriadis – Chief Global Strategy Officer

datensicherheit.de, 08.11.2025
Einsatz von KI-Agenten: Lückenlose Governance für Unternehmen mittlerweile unerlässlich / Unternehmen vertrauen KI-Agenten immer mehr sensible Aufgaben an – von Genehmigungen für Investitionen bis zum Managen von Sicherheitsrisiken

datensicherheit.de, 19.08.2025
KI-Agenten breiten sich aus – aber Governance-Lücken gefährden Vertrauen der Verbraucher / Laut Genesys-Studie wünschen sich vier von fünf Verbrauchern eine klare „Governance“ für KI-Interaktionen – indes verfügt weniger als ein Drittel der Unternehmen über umfassende Richtlinien

datensicherheit.de, 04.07.2025
Intensive KI-Nutzung in Unternehmen – Entwicklung von Richtlinien und Governance fällt zurück / Nicht einmal ein Drittel der Unternehmen verfügt über eine formelle, umfassende KI-Richtlinie

datensicherheit.de, 24.02.2025
Responsible AI: Vertrauen, Security und Governance sind Voraussetzungen / Immer mehr Unternehmen setzen auf die Implementierung von KI als Kernbestandteil ihrer Geschäftsstrategie

[datensicherheit.de, 27.03.2026] Am 25. März 2026 meldeten die „Bitdefender Labs“, dass opportunistisch agierende Cyberkriminelle den gegenwärtigen USA-Iran-Israel-Konflikt für Phishing-Mail-Kampagnen ausnutzen. So stellten sie eine Zunahme von Phishing-Mails zu geschäftlichen Vorgängen vor dem Hintergrund der aktuellen Eskalation fest: Seit dem 28. Februar 2026, dem Beginn der Auseinandersetzungen zwischen den USA und Israel mit dem Iran, ist demnach ein deutlicher Anstieg von Malware-Kampagnen in der Region am Persischen Golf zu verzeichnen: „Im Schnitt wuchs dabei das Volumen von E-Mail-Phishing um mehr als 130 Prozent im Vergleich zum Aufkommen vor dem Beginn der kriegerischen Eskalation.“

Golfregion als Umschlagplatz für Finanzen und Kraftstoffe im Malware-Visier

Die Inhalte dieser eher opportunistisch motivierten E-Mails bezögen sich häufig auf geschäftliche Abläufe wie Rechnungen, Verträgen, finanzielle Angelegenheiten und Lieferungen.

• „Die Phishing-Kampagnen lassen sich in diesem Stadium des Konflikts keiner Gruppierung mit staatlichem Hintergrund zuschreiben.“

Die sogenannte Golfregion sei durch ihre Rolle als Umschlagplatz für Finanzen und Kraftstoffe sowie als Schaltzentrale für globale wirtschaftliche Netzwerke, Projekte und internationalen Handel ein attraktives Ziel für cyberkriminelle Trittbrettfahrer.

Hacker können kurzfristig Malware-Kampagnen an aktuelle Ereignisse in einer Region anpassen

Das Aufkommen bösartiger Korrespondenzen habe an Spitzentagen das Volumen vor Beginn der Auseinandersetzungen um das Vierfache überschritten. Dieser schnelle Anstieg beweise, wie Hacker kurzfristig ihre Kampagnen zum Ausspielen von Malware an aktuelle Ereignisse in einer Region anpassen könnten.

• Dabei nutzten sie opportunistisch auch geschäftliche Themen als Aufhänger: „Es geht scheinbar darum, Kredite zu genehmigen, Garantien einzuhalten oder finanziellen Arrangements zuzustimmen.“

Weitere Anlässe für die Trittbrettfahrer seien Nachrichten über ausbleibende Lieferungen. Hacker würden dann mit hoher Dringlichkeit um ein Tracking oder Aktionen zur Freigabe der Ware bitten.

Ausspielen der Malware über angebliche Rechnungen als infizierte Anhänge

Hacker nutzten dabei verschiedene Angriffstechniken wie etwa „Java“-basierte Remote-Access-Trojaner (etwa der „STRRAT“-Familie) oder mehrstufige Fileless-Angriffe mit „PowerShell“.

• Das Ausspielen der Malware erfolge in den analysierten Fällen über angebliche Rechnungen als infizierte Anhänge. In anderen Fällen zeige die Malware eine graphische Nutzeroberfläche an, welche das schädliche „Tool“ als legitime „Java“-Utility oder als Software-Tool tarne.

Eine persistente, dauerhafte Präsenz im Opfersystem sichere sich die Malware, indem sie einen alle dreißig Minuten auszuführenden Task „Skype“ anlege. In anderen Beispielen platzierten Hacker ihre Malware im Autostart-Ordner, so dass die Schadsoftware mit jedem Hochfahren des Rechners ihre Tätigkeit neu aufnehme.

Tipps für Unternehmen zum Schutz vor Malware-Angriffen

Nutzer können sich laut „Bitdefender Labs“ schützen, indem sie

• unerwartete Anhänge kritisch prüfen,
• E-Mail-Anhängen nicht aufgrund formaler Kriterien, wie einer legitimen Dateierweiterung (.eml, .jar, .rar oder etwa .hta), vertrauen,
• Zip-Archive von unbekannten Quellen nicht akzeptieren,
• Links vor dem Klicken überprüfen,
• finanzielle und rechtliche Anfragen unabhängig überprüfen sowie
• ihre IT regelmäßig aktualisieren und Lösungen zur Cybersicherheit nutzen.

Weitere Informationen zum Thema:

Bitdefender
Auf Vertrauen gebaut. Mit Sicherheit bewährt.

Bitdefender, Alina BÎZGĂ, 25.03.2026
War in the Middle East Triggers Surge in Phishing and Malware Campaigns Targeting Gulf Countries

datensicherheit.de, 08.01.2026
Bitdefender-Rat an Unternehmen: 2026 von Reaktion zur Prävention wechseln / Laut Bitdefender könnte bzw. sollte sogar 2026 zum „Schaltjahr in der Cyberdefensive“ werden

[datensicherheit.de, 26.03.2026] TrendAI, ein Geschäftsbereich von Trend Micro, veröffentlicht neue Forschungsergebnisse, die zeigen, dass Unternehmen weltweit den Einsatz von künstlicher Intelligenz vorantreiben, obwohl bekannte Sicherheits- und Compliance-Risiken bestehen.

Eine neue globale Befragung von 3.700 Business- und IT-Entscheidern, davon 200 in Deutschland, ergab, dass 70 Prozent der Entscheider in Deutschland (67 Prozent weltweit) bereits unter Druck standen, KI-Projekte trotz Sicherheitsbedenken zu genehmigen. 17 Prozent von ihnen (14 Prozent global) bezeichneten diese Bedenken sogar als „extrem“, wurden aber dennoch übergangen, um mit Wettbewerbern und internen Anforderungen Schritt zu halten.

Der Druck zu einer schnellen KI-Einführung wird außerdem durch uneinheitliche Governance-Strukturen und unklare Verantwortlichkeiten für KI-Risiken verstärkt. Cybersecurity-Verantwortliche können häufig nur noch auf Entscheidungen zur KI-Einführung reagieren, die von der Unternehmensführung getroffen werden. Das führt oftmals zu Behelfslösungen und einer verstärkten Nutzung nicht genehmigter, sogenannter „Schatten-KI“-Tools.

KI-Einführung überholt Sicherheitsmaßnahmen

Unternehmen implementieren KI schneller, als sie die damit verbundenen Risiken verwalten können. Dadurch entsteht eine wachsende Lücke zwischen Ambitionen und Kontrolle. 56 Prozent der deutschen Befragten (57 Prozent weltweit) geben an, dass sich KI schneller entwickelt, als sie sie absichern können. Gleichzeitig äußern 46 Prozent (64 Prozent weltweit), dass sie nur geringes bis mittleres Vertrauen in ihre Kenntnisse der rechtlichen Rahmenbedingungen für den Einsatz von KI im Unternehmen haben.

Auch die Reife von Governance-Strukturen bleibt niedrig. Nur 41 Prozent der deutschen Unternehmen verfügen bereits über umfassende KI-Richtlinien; 56 Prozent befinden sich noch in der Ausarbeitung entsprechender Vorgaben oder haben gerade erst damit begonnen. Rund ein Drittel der deutschen Befragten nennt zudem unklare regulatorische oder Compliance-Anforderungen als Hindernis für eine sichere KI-Nutzung. In der Praxis bedeutet dies, dass KI bereits im operativen Geschäft ausgerollt wird, bevor die Regeln für ihren Einsatz vollständig festgelegt sind.

Richard Werner, Security Advisor bei TrendAI, Foto: TrendAI

„Unternehmen fehlt es nicht am Bewusstsein für Risiken, sondern an den Voraussetzungen, um diese wirksam zu managen“, sagt Richard Werner, Security Advisor bei TrendAI. „Wenn die Einführung von KI eher durch Wettbewerbsdruck als durch reife Governance-Strukturen getrieben wird, entsteht eine Situation, in der KI in kritische Systeme integriert wird, ohne dass die notwendigen Kontrollen vorhanden sind. Wir müssen Unternehmen deshalb dabei unterstützen, mit KI solide Ergebnisse zu erzielen und gleichzeitig ihre Geschäftsrisiken im Griff zu behalten.“

Sicherheitsbedenken – Vertrauen in autonome KI bleibt begrenzt

Das Vertrauen in fortschrittliche, autonome KI-Systeme befindet sich weiterhin in einer Reifungsphase. Lediglich 36 Prozent der deutschen Entscheider sind der Ansicht, dass agentische KI die Cyberabwehr kurzfristig deutlich verbessern wird. Damit sind die Deutschen skeptischer als die weltweiten Befragten, von denen immerhin 44 Prozent diese Hoffnung hegen. Zudem bestehen weiterhin Bedenken beim KI-Einsatz: Mehr als ein Drittel der Befragten hierzulande (36 Prozent) sehen den Zugriff von KI-Agenten auf sensible Daten als größtes Risiko. 39 Prozent von ihnen warnen davor, dass manipulierte Prompts die Sicherheit gefährden könnten, während ein Viertel (26 Prozent) eine zusätzliche Angriffsfläche für Cyberkriminelle sieht. Ein ähnlich großer Anteil (28 Prozent) befürchtet den Missbrauch des Vertrauensstatus von KI-Systemen sowie Risiken durch autonome Codebereitstellung (25 Prozent).

Gleichzeitig gibt knapp ein Drittel der deutschen Unternehmen (31 Prozent) an, dass ihnen die notwendige Transparenz oder Auditierbarkeit dieser Systeme fehlt. Das wirft grundlegende Fragen darüber auf, wie Unternehmen eingreifen oder Kontrolle ausüben können, sobald autonome Agenten im Einsatz sind. 35 Prozent der deutschen Befragten unterstützen die Einführung von „Kill-Switch“-Mechanismen für KI, mit denen Systeme im Fall von Fehlfunktionen oder Missbrauch abgeschaltet werden können. Etwa die Hälfte (49 Prozent) ist sich hierzu noch unsicher. Hier zeigt sich ein grundlegendes Problem: Unternehmen bewegen sich in Richtung autonomer KI, ohne sich darüber einig zu sein, wie Kontrolle in kritischen Situationen gewährleistet werden soll.

Rachel Jin, Chief Platform and Business Officer und Head of TrendAI, Bild: TrendAI

„Agentic AI bringt Unternehmen eine neue Kategorie von Risiken“, ergänzt Rachel Jin, Chief Platform and Business Officer und Head of TrendAI. „Unsere Studie zeigt, dass die zentralen Bedenken bereits klar sind – von der Offenlegung sensibler Daten bis hin zum Verlust von Kontrolle. Ohne Transparenz und Kontrollmechanismen setzen Unternehmen Systeme ein, die sie nicht vollständig verstehen oder steuern können. Dieses Risiko wird weiter zunehmen, wenn sie keine Gegenmaßnahmen ergreifen.“

Über die Studie

TrendAI beauftragte SAPIO Research mit der Befragung von 3.700 IT- und Business-Entscheidern in 23 Ländern, die in Unternehmen mit mehr als 250 Mitarbeitern tätig sind. An der Befragung im Februar 2026 nahmen 200 Geschäfts- und IT-Entscheider aus Deutschland sowie je 100 aus Österreich und der Schweiz teil.

Weitere Informationen zum Thema:

TrendAI
Securing the AI-Powered Enterprise

datensicherheit.de, 26.03.2026
Mandiant veröffentlicht M-Trends Report 2026: Mittels KI konnten Angreifer Operationen ausweiten

[datensicherheit.de, 26.03.2026] Mandiant hat seinen jährlichen „M-Trends“-Bericht veröffentlicht, welcher die Erkenntnisse aus über 500.000 Stunden zusammenfassen soll, die Mandiant und die „Google Threat Intelligence Group“ (GTIG) im Jahr 2025 auf die Untersuchung von Sicherheitsvorfällen aufgewendet haben, um nun einen umfassenden Überblick über die aktuelle Bedrohungslage zu liefern. Der Report zeigt laut Mandiant auf: „Dank KI konnten Angreifer ihre Operationen ausweiten. Dennoch lässt sich der Großteil der Angriffe weiterhin auf Sicherheitslücken bei Menschen, Prozessen und Systemkontrollen zurückführen.“

Abbildung: Mandiant

„M-Trends“-Bericht: Großteil der Angriffe weiterhin auf Sicherheitslücken bei Menschen, Prozessen und Systemkontrollen zurückzuführen

Mandiant warnt vor Aufstieg des sprachbasierten „Social Engineering“

Voice-Phishing (Vishing) habe sich mit elf Prozent rasant zum zweithäufigsten Vektor für Erstinfektionen entwickelt. Sicherheitslücken seien mit 32 Prozent bereits das sechste Jahr in Folge der häufigste Angriffsvektor.

• Sicherheitsteams sollten sich auf diesen Trend einstellen. „Zum Vergleich: E-Mail-Phishing nutzt nicht-interaktive technischen Köder und setzt auf Masse sowie eine breit gestreute Zustellung ohne besonderen Anlass.“

Bei interaktiven Methoden wie dem Vishing dagegen lenke eine reale Person das Gespräch in Echtzeit. Daher seien diese Angriffe deutlich widerstandsfähiger gegenüber automatisierten technischen Kontrollen und erforderten andere Erkennungsstrategien. Speziell in der EMEA-Region (Europa-Arabien-Afrika) sei jedoch E-Mail-Phishing im Vergleich zum globalen Trend, wo dessen Gesamtanteil weiter sinke, weiterhin präsenter geblieben.

Mandiant-Bericht zeigt auch, dass Ransomware-Gruppen versuchen, Daten-Wiederherstellung absichtlich zu verhindern

Im Jahr 2025 geriet laut den Untersuchungen von Mandiant die Tech-Branche am häufigsten ins Visier von Bedrohungsakteuren: Diese überhole damit den Finanzdienstleistungssektor, welcher in den Jahren 2023 und 2024 an erster Stelle gestanden habe.

• „Es zeichnet sich ein wachsender Trend ab, bei dem ein Angreifer sich zunächst Zugang verschafft, diesen dann aber schnell an einen anderen weitergibt, der Angriffe mit größerer Wirkung wie Ransomware durchführt.“ Cyberkriminelle agierten zunehmend wie hocheffiziente Unternehmen und gingen Partnerschaften ein. Damit könnten sie das Zeitfenster, innerhalb dessen Verteidiger eingreifen könnten, von mehreren Stunden auf Sekunden verkürzen. Die Zugangsübergabe zwischen Angreifern erfolge so schnell – manchmal in weniger als 30 Sekunden –, dass Warnmeldungen, die traditionell als „weniger wichtig“ eingestuft würden, sehr schnell zu schwerwiegenden Sicherheitsverletzungen führen könnten.

Der Bericht zeige auch auf, dass sich Ransomware-Gruppen zunehmend darauf konzentrierten, die Wiederherstellung der Daten absichtlich zu verhindern, anstatt nur Daten zu stehlen. Sie griffen systematisch Backup-Infrastrukturen, Identitätsdienste und die Verwaltungsebene der Virtualisierung an. Indem sie die Möglichkeit der Datenwiederherstellung zunichtemachten, übten die Angreifer enormen Druck auf die Unternehmen aus, das geforderte Lösegeld zu zahlen.

Laut Mandiant stieg globale mittlere Verweildauer von Angreifern im System im Durchschnitt auf 14 Tage an

Im Jahr 2025 sei die globale mittlere Verweildauer von Angreifern im System im Durchschnitt auf 14 Tage angestiegen. „Dieser Wert ist vor allem auf Cyberspionage zurückzuführen sowie auf Vorfälle mit nordkoreanischen IT-Mitarbeitenden:

• Diese lassen sich mit gefälschten oder gestohlenen Identitäten in westlichen Unternehmen anstellen, um zusätzliches Kapital für das nordkoreanische Regime zu generieren.“ Bei diesen Fällen habe die mittlere Verweildauer jeweils 122 Tage betragen.

Die mittlere Verweildauer in der EMEA-Region liege über dem globalen Durchschnitt von 14 Tagen mit hier 20 Tagen im Jahr 2025 – wobei dies immer noch einen Rückgang um sieben Tage gegenüber 2024 bedeute.

Mandiant-Bericht zeigt: 60 Prozent der Vorfälle in der EMEA-Region zuerst intern erkannt

Im Jahr 2025 seien 60 Prozent der Vorfälle in der EMEA-Region zuerst intern durch eigene Mitarbeiter, eigene Sicherheitslösungen oder verdächtige Aktivitäten identifiziert worden.

• 40 Prozent der Vorfälle seien durch externe Benachrichtigung erkannt worden – etwa von Strafverfolgungsbehörden, CERTs oder Cybersicherheitsunternehmen bzw. auch durch Angreifer selbst, in Form einer Lösegeldforderung.

Dies stelle eine Umkehrung der Trends von 2024 dar. Im weltweiten Vergleich (52 Prozent der Vorfälle intern erkannt, 48 Prozent extern) lägen Unternehmen der EMEA-Region damit hinsichtlich der internen Erkennung von Vorfällen vorne.

Weitere Informationen zum Thema:

Google Cloud, Mandiant Cybersecurity Consulting
Verbessern Sie Ihre Cyberabwehr – von der Reaktion auf Vorfälle bis hin zur Ausfallsicherheit

Google Cloud, Jurgen Kutscher, 23.03.2026
Threat Intelligence / M-Trends 2026: Data, Insights, and Strategies From the Frontlines

Google Cloud, Mandiant
M-Trends 2026 Report: Real-world investigations and actionable defense insights / A definitive look into the threats and tactics used in breaches, grounded in over 500k hours of incident investigations in 2025 by Mandiant

datensicherheit.de, 23.04.2025
Data Breach Investigations Report (DBIR) 2025 von Verizon: Systemangriffe in der EMEA-Region verdoppeln sich / Der aktuelle Bericht analysiert mehr als 22.000 Sicherheitsvorfälle

datensicherheit.de, 31.09.2020
EMEA-Region: Finanzindustrie im Visier / NETSCOUT kommentiert die zunehmende Anzahl der Cyber-Angriffe auf die Finanzindustrie im Wirtschaftsraum Europa-Arabien-Afrika

[datensicherheit.de, 25.03.2026] Seit mehr als einem Jahrzehnt gilt die Keynote des SANS Institutes auf der RSA Conference als das zuverlässigste Frühwarnsystem der Sicherheitsbranche. Sie deckt Angriffstechniken auf, die die Bedrohungslandschaft prägen, noch bevor die meisten Unternehmen damit konfrontiert werden.

SANS-Experten (v.l.n.r.): Ed Skoudis, Joshua Wright, Heather Barnhart und Rob T. Lee

Die diesjährige Veranstaltung, moderiert von Ed Skoudis, Präsident des SANS Technology Institute, sendet ein wichtiges Signal aus: Zum ersten Mal in der Geschichte dieser Keynote weist jede einzelne der fünf gefährlichsten Angriffstechniken eine KI-Komponente auf.

„Wir würden euch belügen, wenn wir einen Angriffstrend auflisten würden, bei dem keine KI im Spiel ist. Genau da stehen wir in dieser Branche.“

Skoudis beschreibt das übergreifende Thema als Zusammenprall zweier Kräfte: Die Komplexität moderner Infrastrukturen sprengt die Grenzen des menschlichen Verständnisses. Angreifer wie auch Verteidiger setzen mittlerweile KI ein, um jenseits dieser Grenzen zu agieren. Geschwindigkeit und Verständnis sind die beiden Herausforderungen, denen sich jedes Unternehmen stellen muss. Die folgenden fünf Angriffstechniken zeigen genau, wo diese Krisen zum Tragen kommen.

Angriffstechnik #1: KI generierte Zero Day-Exploits: Von der Knappheit zum Überfluss

Joshua Wright, Faculty Fellow und Senior Technical Director beim SANS Institute | Counter Hack Innovations

Früher erforderte die Entwicklung von Zero Day-Exploits monatelange spezialisierte Forschung und kostete Millionen bei Brokern, wodurch diese Tools ausschließlich finanzstarken staatlichen Akteuren vorbehalten waren, die sie nur sparsam einsetzten. Die KI hat diese Barriere vollständig beseitigt. Unabhängige Forscher haben bereits durch KI entdeckte Zero Day-Exploits in weit verbreiteter Produktionssoftware für nur 116 US-Dollar an KI-Token-Kosten demonstriert. Wenn in der Folge ein Zero Day 50 US-Dollar in Token kostet statt Millionen bei einem Broker, ändert sich die strategische Logik, wie Angreifer sie einsetzen. Breite, opportunistische Exploit-Kampagnen werden zum ersten Mal wirtschaftlich rentabel, und Fähigkeiten, die einst Nationalstaaten vorbehalten waren, stehen nun weit weniger versierten Bedrohungsakteuren zur Verfügung.

„Die Angreifer waren schon schneller als wir. Die KI hat diesen Vorsprung bei unserem derzeitigen Tempo unüberbrückbar gemacht.“

Die Verteidigungsseite dieser Gleichung hat nicht Schritt gehalten. Die Ergebnisse des Verizon DBIR 2024-Reports zeigen, dass die Hälfte aller kritischen Schwachstellen auch 55 Tage nach Verfügbarkeit eines Patches noch ungepatcht bleibt. Dieses Zeitfenster war so lange noch überbrückbar wie Zero Day-Angriffe selten und aufwendig waren. Es ist jedoch nicht mehr überbrückbar, wenn KI neue Exploits schneller generieren kann, als Anbieter Patches bereitstellen können. Um Schritt zu halten, müssen Unternehmen jede Phase des Patch-Lebenszyklus beschleunigen, wo immer möglich automatisieren und KI-gestützte Erkennungstools einsetzen, um mit der Geschwindigkeit Schritt zu halten, mit der Angreifer bereits operieren.

Angriffstechnik #2: Risiken in der Lieferkette

Joshua Wright, Faculty Fellow und Senior Technical Director, SANS Institute | Counter Hack Innovations

Angriffe auf die Lieferkette sind längst kein seltenes Risiko mehr, das nur eine Handvoll hochkarätiger Ziele betrifft. Zwei von drei Unternehmen waren im vergangenen Jahr von einem Angriff auf die Software-Lieferkette betroffen, die Beteiligung von Drittanbietern an Sicherheitsverletzungen hat sich auf 30 Prozent verdoppelt, und allein im Jahr 2025 wurden mehr als 454.000 bösartige Pakete in Open Source Registries veröffentlicht – ein Anstieg von 75 Prozent gegenüber dem Vorjahr. Gleichzeitig ermöglichen KI-generierte Patches böswilligen Akteuren, kompromittierten Code in großem Umfang zu erstellen und zu verbreiten. Die Angriffsfläche erstreckt sich mittlerweile weit über manipulierte Bibliotheken hinaus und umfasst Build-Systeme, Update-Kanäle sowie die Entwicklertools, die Teams täglich nutzen. Ein Beispiel dafür ist der Shai Hulud-Wurm, der mehr als 1.000 Open-Source-Pakete infizierte und 14.000 Anmeldedaten in 487 Organisationen offen legte. Ein weiteres Beispiel ist eine mit China verbundene Gruppe, die sechs Monate lang die Update-Infrastruktur von Notepad++ kompromittierte und gezielt Backdoors an Ziele in den Bereichen Energie, Finanzen, Regierung und Fertigung verteilte.

„Die Angriffsfläche ist nicht die Software, für die sich ein Unternehmen entschieden hat. Es ist das gesamte Ökosystem der dahinterstehenden Anbieter.“ 

Unternehmen müssen sich auf Sicherheitsverletzungen bei Lieferanten vorbereiten, bevor diese eintreten, nachprüfbare Nachweise darüber verlangen, wie Software entwickelt wurde, und ihre Definition der Lieferkette auf alle Update-Kanäle und Entwicklertools ausweiten, auf die ihre Teams täglich angewiesen sind. Bei 79 Prozent der Unternehmen decken Cybersicherheitsprogramme weniger als die Hälfte ihres Lieferanten-Ökosystems ab. Genau in dieser Lücke bahnt sich bereits die nächste große Sicherheitsverletzung an.

Angriffstechnik #3: Die Komplexität der OT und die Ursachen der Krisen

Robert M. Lee, SANS Institute Fellow | CEO & Gründer bei Dragos, Inc.

Wenn es in einer Kritischen Infrastruktur zu einem Ausfall kommt, lautet die dringlichste Frage nicht, wie der Betrieb so schnell wie möglich wiederhergestellt werden kann. Die Frage ist vielmehr, was tatsächlich passiert ist und ob es sich um eine vorsätzliche Handlung handelte. Eine Anlage wiederherzustellen, ohne zu verstehen, was sie zum Ausfall gebracht hat, birgt das Risiko, dass die Wiederherstellung fehlerhaft erfolgt, dabei weiterer Schaden entsteht oder der Betrieb direkt in einer kompromittierten Umgebung wieder aufgenommen wird. Robert Lee beschäftigt sich seit Jahren mit der Reaktion auf OT-Vorfälle, und was er beobachtet, ist eine sich verschärfende Krise der Nachvollziehbarkeit: Der Netzwerkverkehr und die Befehle, die als Beweismaterial für die Geschehnisse in einer industriellen Umgebung dienen, sind nur verfügbar, wenn sie vor dem Ausfallereignis erfasst wurden. Wurden sie nicht gesammelt, sind sie einfach verloren.

Dragos war in der Aufklärung des Angriffs auf Polens dezentrale Energiequellen im Dezember 2025 beteiligt. Die Ermittler konnten zwar bestätigen, dass eine Störung aufgetreten war, aber nicht feststellen konnten, was der Angreifer in den betroffenen Umgebungen tat, da die Organisationen über keine OT-Überwachung verfügten. In einem anderen Fall hatte ein staatlicher Angreifer mit der dokumentierten Absicht, Anlagen zu zerstören und Menschen zu töten, eine Anlage ins Visier genommen, die über keine Infrastruktur zur Sichtbarkeit verfügte. Einen Monat später explodierte die Anlage. Ob es sich um einen Unfall oder einen erfolgreichen Angriff handelte, bleibt unbekannt.

„Regierungen werden sich nicht damit abfinden, nicht zu wissen, was in ihrer kritischen Infrastruktur passiert ist und warum jemand ums Leben gekommen ist. Ein solches Szenario ist inakzeptabel, und es spielt sich bereits ab.“

Agentische KI hält schneller Einzug in OT-Umgebungen, als den meisten Unternehmen bewusst ist, und erhöht damit die Komplexität von Systemen, die ohnehin schon undurchsichtig sind. Außerhalb der regulierten Sektoren fehlt es weltweit bei der überwiegenden Mehrheit der kritischen Infrastrukturen nach wie vor an der erforderlichen Überwachungsinfrastruktur, um bei Störungen die Verantwortlichen ausmachen zu können. Die fünf Critical Controls von SANS ICS und NERC CIP-015 bieten einen bewährten Weg in die Zukunft. Die Investitionsentscheidung darf nicht erst durch den nächsten Vorfall erzwungen werden.

Angriffstechnik #4: Die Schattenseiten der KI: Verantwortungsloser Einsatz in der digitalen Forensik und bei der Reaktion auf Sicherheitsvorfälle

Heather Barnhart, Head of Faculty und Senior Forensic Expert, SANS Institute | Cellebrite

Jedes Sicherheitsteam steht unter dem Druck, KI einzuführen, und in vielen Fällen spiegelt dieser Druck echte Leistungssteigerungen wider. Doch Heather Barnhart, eine der weltweit führenden DFIR-Expertinnen, argumentiert, dass der Einsatz von KI ohne die erforderlichen Schulungen, Validierungsrahmen und die Ermittlungsdisziplin, die für einen zuverlässigen Einsatz notwendig sind, eine gefährliche neue Fehlerquelle von innen heraus schafft. KI kann keine Warnungen zu Hinweisen ausgeben, nach denen sie nicht suchen soll, und sie kann die Bedeutung fehlender Daten nicht so interpretieren, wie es ein geschulter Ermittler kann. Bei Untersuchungen mit hohem Einsatz ist ein KI-System, das eine sichere falsche Antwort liefert, ohne Unsicherheit zu signalisieren, kein Effizienzgewinn. Es ist ein Risiko, das den Ausgang von Fällen auf eine Weise beeinflussen kann, die außerordentlich schwer zu erkennen oder zu korrigieren ist.

„Die meisten Sicherheitsverletzungen scheitern nicht an den Tools. Sie scheitern an den Entscheidungsprozessen. KI kann nicht der Entscheidungspunkt sein.“

Die Bedrohung geht über die Genauigkeit von Ermittlungen hinaus. KI wird auch über Kanäle gegen Organisationen eingesetzt, die niemand überwacht: Ein externer Rechtsberater, der vertrauliche Dokumente auf einen kommerziellen KI-Dienst ohne Sicherheitsvorkehrungen hochlädt, oder ein Therapeut, der ohne Zustimmung des Patienten oder Sicherheitskontrollen ein KI-Tool zur Notizenerstellung nutzt. Die Folge in beiden Fällen ist, er wird zum Vektor, über den ein Angreifer sensible persönliche Informationen über die Familie eines Sicherheitsverantwortlichen erlangte und diese zur Erpressung des Arbeitgebers des Verantwortlichen nutzte. Die Angriffsfläche beschränkt sich nicht nur auf das Netzwerk. KI ist ein Kraftmultiplikator, und das bedeutet, dass sie in jedem Schritt geschulte Menschen als Entscheidungsinstanz erfordert – nicht umgekehrt.

Angriffstechnik #5: Die Angreifer aufspüren: Der Wettlauf um autonome Verteidigung

Rob T. Lee, Chief AI Officer & Chief of Research, SANS Institute

Die Geschwindigkeit von Cyberangriffen hat sich dramatisch verändert, und Sicherheitsforscher schätzen mittlerweile, dass KI-gesteuerte Angriffsabläufe bis zu 47-mal schneller ablaufen als traditionelle, von Menschen gesteuerte Ansätze. Das Zeitfenster für die Ausnutzung einer bekannten Schwachstelle, dass früher im Durchschnitt mehr als zwei Jahre betrug, kann sich nun auf einen einzigen Tag verkürzen.

In einigen Fällen können Angreifer innerhalb von nur acht Minuten von gestohlenen Anmeldedaten zur vollständigen administrativen Kontrolle über eine Cloud-Umgebung wie AWS gelangen. Dies sind keine theoretischen Szenarien; sie finden bereits heute statt. Im November 2025 dokumentierte Anthropic eine Kampagne namens „GTG 1002“, die einer von China staatlich geförderten Gruppe zugeschrieben wird. Die Operation richtete sich gegen mehr als 30 Regierungs- und Finanzorganisationen und nutzte KI-Tools, um bis zu 90 Prozent des Angriffsprozesses zu automatisieren, einschließlich Aufklärung, Ausnutzung und lateraler Bewegung innerhalb von Netzwerken. Ein Großteil der Aktivitäten wurde ohne direkten menschlichen Eingriff durchgeführt. Dieser Wandel zwingt zu einem grundlegenden Umdenken hinsichtlich der Reaktion der Verteidiger.

„Die haben ihre künstliche Intelligenz. Jetzt bauen wir unsere.“

Dieser Gedanke bildet die Grundlage für Protocol SIFT, eine Open Source-Initiative des SANS Institutes, die Sicherheitsverantwortlichen dabei helfen soll, mit der Geschwindigkeit von KI-Attacken Schritt zu halten. Der Ansatz ist bewusst begrenzt: KI wird zwar zur Organisation von Arbeitsabläufen, zur Gewinnung von Erkenntnissen und zur Koordination von Tools eingesetzt, doch die Verantwortung für die Validierung der Ergebnisse und das Treffen von Entscheidungen liegt weiterhin beim Menschen. Das Ziel besteht darin, die Arbeit der Analysten zu beschleunigen, nicht sie zu ersetzen, und erste Ergebnisse deuten darauf hin, dass das Modell die Reaktionszeiten erheblich verkürzen kann. In einer Proof-of-Concept-Übung mit einem komplexen, zweiwöchigen Angriffsszenario schloss ein durch Protocol SIFT unterstützter Analyst eine vollständige Untersuchung in etwas mehr als 14 Minuten ab. Dazu gehörten die Identifizierung von Malware, die Nachverfolgung der Angreiferbewegungen, die Zuordnung der Aktivitäten zu bekannten Bedrohungsmodellen und die Priorisierung der nächsten Schritte. Die gleiche Arbeit würde einen menschlichen Analysten normalerweise mehrere Tage kosten. Hier haben die Verteidiger nach wie vor einen Vorteil. Zwar können Angreifer ihre Tools skalieren, doch können sie die kollektive Koordination der globalen Sicherheitsgemeinschaft nicht ohne Weiteres nachbilden.

Weitere Informationen zum Thema:

datensicherheit.de, 30.10.2025
Vermeintliche Behörden als Köder: SANS Institute warnt vor Zunahme überzeugender Betrugsfälle und erläutert -taktiken

[datensicherheit.de, 24.03.2026] Der Entwickler von „BloodHound“, SpecterOps – ein Lösungsanbieter für „Identity Attack Path Management“ (APM) –, hat am 20. März 2026 gemeldet, dass dessen Lösung ab sofort um die Unterstützung für „Okta“, „GitHub“ und „Mac“-Umgebungen erweitert wird. Dank fundierter Kenntnisse über die Vorgehensweisen von Angreifern ermöglicht SpecterOps globalen Organisationen, kritische Angriffspfade zu erkennen und zu beheben, eben noch bevor raffinierte Angreifer diese ausnutzen können – eine als APM bezeichnete Praxis. SpecterOps entwickelt und pflegt weit verbreitete Open-Source-Sicherheitstools – allen voran „BloodHound“ als „das Tool für effektives ,Attack Path Management’“. „BloodHound Enterprise“ ist demnach die verwaltete SaaS-Lösung für Identitäts- und Sicherheitsteams, welche die Priorisierung von Angriffspfaden, Anleitungen zur Behebung sowie Berichterstellung ermöglicht, um Risiken zu reduzieren und die Abwehr zu stärken.

Foto: SpecterOps

Justin Kohler warnt: Angreifer nutzen zunehmend Identitäten und die Vertrauensbeziehungen zwischen Plattformen, Personen und Agenten aus, um Zugriff auf kritische Ressourcen zu erlangen

Angriffspfade gezielt reduzieren und kritische Unternehmenswerte in hybriden Umgebungen schützen

Mit den neuen „OpenGraph“-Erweiterungen in „BloodHound Enterprise“ sollen Identity- und Sicherheitsteams plattformübergreifende Angriffspfade (Attack Paths) gezielt erkennen und schließen können. Darüber hinaus sorgten privilegierte Zugriffszonen für den Schutz kritischer Unternehmenswerte wie Code-Repositorys und sensibler Kundendaten. SpecterOps präsentiert diese Neuerungen derzeit auf der „RSAC 2026“ (Stand N-6277) in San Francisco.

• „Angreifer nutzen zunehmend Identitäten und die Vertrauensbeziehungen zwischen Plattformen, Personen und Agenten aus, um Zugriff auf kritische Ressourcen zu erlangen“, beschreibt Justin Kohler, „Chief Product Officer“ bei SpecterOps, die bedrohliche Herausforderung.

Er führt hierzu weiter aus; „Mit der Einführung von ,OpenGraph’ für ,BloodHound Enterprise’ können Identity- und Sicherheitsteams das ,Attack Path Management’ auf ,Okta’, ,GitHub’ und ,Mac’-Systeme ausweiten.“ So ließen sich Angriffspfade gezielt reduzieren und kritische Unternehmenswerte in hybriden Umgebungen schützen.

Handlungsempfehlungen zur Beseitigung der Angriffspfade, bevor diese ausgenutzt werden

Das neue „BloodHound Enterprise“ stehe für mehr Transparenz und schnellere Behebung von „Identity Attack Paths“:

• „BloodHound Enterprise“ soll es Unternehmen ermöglichen, hybride Angriffspfade über Anbieter von „Identity Security“, Anwendungen und Repositorys hinweg zu identifizieren und zu priorisieren.

Gleichzeitig erhielten sie präzise Handlungsempfehlungen, um diese Angriffspfade zu beseitigen, bevor sie ausgenutzt werden könnten. Die neuen Funktionen unterstützten Kunden zudem dabei, den Reifegrad ihrer APM-Strategie kontinuierlich zu steigern.

Die aktuellen Features im Überblick:

• Erweiterte „Identity Security“ für „Okta“, „GitHub“ und „Jamf“
  Erkennung und Behebung von Identity-Fehlkonfigurationen, Privilege-Escalation-Pfaden und Risiken durch unbefugten Zugriff in „Okta“, „GitHub“-Repositorys und „Jamf“-verwalteten „Mac“-Endpunkten. Dies schütze hybride Umgebungen effektiv vor identitätsbasierten Angriffen.
• Konsequente Umsetzung des Least-Privilege-Prinzips mittels Analyse privilegierter Zugriffszonen
  Definition mehrerer Privilegienstufen (Tiers) und Identifikation von Regelverstößen in geschäftskritischen Anwendungen sowie regulierten Systemen. Risiken ließen sich so auch jenseits der klassischen Identity-Infrastruktur minimieren.
• Durchsetzung von Zugriffskontrollen auf Umgebungsebene
  Erweiterte rollenbasierte Zugriffskontrollen zur strikten Beschränkung des Benutzerzugriffs auf ausschließlich autorisierte Domänen, Mandanten (Tenants), Konten und Organisationen, um die Gefährdung von Daten zu verringern und die „Identity Governance“ zu stärken.
• Volle Verschlüsselungskontrolle dank „Bring Your Own Key“ (BYOK)
  Eigenständige Verwaltung der Verschlüsselungsschlüssel für „BloodHound Enterprise“ zur optimalen Erfüllung interner Sicherheitsrichtlinien und „Compliance“-Vorgaben.
• Operationalisierung von „Identity Risks“ in bestehenden „Security-Workflows“ durch Integrationen mit „Palo Alto“, „Microsoft Sentinel“ und „ServiceNow“
  Neue Integrationen mit „Palo Alto Cortex XSOAR“, „Microsoft Sentinel“ und „ServiceNow VRM“ überführten die von „BloodHound Enterprise“ erkannten Angriffspfade direkt in „Incidents“, korrelierten „Identity Risks“ innerhalb von SIEM-Workflows und beschleunigten die Behebung (Remediation) in den „Security Operations“.

Diese Funktionen steigerten zudem den Mehrwert von „BloodHound Scentry“: Dieser Service soll die tiefgreifende Security-Expertise (Tradecraft) von SpecterOps mit „BloodHound Enterprise“ bündeln, um die Reifegrad-Entwicklung im „Identity Attack Path Management“ zu beschleunigen.

Weitere Informationen zum Thema:

SPECTEROPS
Know your adversary: Attackers don’t go through your tools – they go around them, leveraging gaps in your program and exploiting identities to reach your critical assets. Our mission is to demystify tradecraft and stop adversaries in their tracks.

SPECTEROPS
Justin Kohler – Chief Product Officer

SPECTEROPS
Expand Identity Attack Path Management to Okta, Github, and Mac / Apply for early access to BloodHound Enterprise with OpenGraph to expand visibility across your environment and eliminate hybrid identity attack paths

RSAC 2026 Conference
San Francisco – Moscone Center | March 23 – 26, 2026

datensicherheit.de, 10.01.2026
Cloud-Migration und Identity Security: Digitale Transformation, Benutzerfreundlichkeit und Sicherheit sind vereinbar / Henning Dittmer erörtert zum Jahresbeginn 2026, wie Unternehmen beim Wechsel in die „Cloud“ Sicherheit, Datenschutz und ein reibungsloses Nutzererlebnis gewährleisten können

datensicherheit.de, 10.03.2023
Identity Lifecycle Management – das A und O der IT-Sicherheit / Von Audit bis zum Onboarding

[datensicherheit.de, 24.03.2026] TXOne Networks hat seinen Annual OT/ICS Cybersecurity Report 2026 veröffentlicht. Daraus wird ersichtlich, dass Angreifer nicht mehr nur auf Datenabfluss, sondern gezielt auf die Stabilität ganzer Produktionslinien abzielen. Innerhalb von zwölf Monaten registrierten 60 Prozent der befragten Firmen mindestens einen Cybervorfall in ihrer OT-Umgebung (Operational Technology), wobei knapp die Hälfte sogar mehrfachen Attacken ausgesetzt war. Die Ergebnisse zeigen deutlich, wie wichtig es ist, die eigene Betriebskontinuität präventiv zu schützten, um existenzgefährdende Produktionsausfälle zu vermeiden.

IT-Schwachstellen als primäres Einfallstor für OT-Angriffe

Obwohl im vergangenen Jahr keine neuartige, speziell auf industrielle Steuerungssysteme zugeschnittene Malware beobachtet wurde, stieg die Zahl der Sicherheitsvorfälle branchenübergreifend an. Bemerkenswert ist dabei der Ursprung der Angriffe: 96 Prozent der OT-Sicherheitsvorfälle sind auf Kompromittierungen in der klassischen IT zurückzuführen. Diese verteilen sich auf direkte Penetrationen (56 Prozent) und Kollateralschäden (40 Prozent). Ransomware dominiert weiterhin das Bedrohungsfeld und betraf 52 Prozent der Unternehmen. Professionelle Tätergruppen wie Qilin und Akira agieren zunehmend raffinierter, indem sie legitime Tools – wie etwa vertrauenswürdige Windows-Treiber – missbrauchen, um etablierte Schutzmechanismen lautlos zu unterlaufen. Darüber hinaus geraten komplexe Lieferkettenplattformen verstärkt in den Fokus, um über deren Schwachstellen tief in kritische Betriebssysteme vorzudringen.

Herausforderungen beim Schutz von OT-Umgebungen vor Malware, Bild: TXOne

OT – Technologische Altlasten und überlastete Sicherheitsteams

Die zügige Umsetzung notwendiger Sicherheitsmaßnahmen scheitert in der betrieblichen Praxis oft an strukturellen und personellen Hürden. Für 15 Prozent der Betriebe stellen veraltete Legacy-Systeme nach wie vor die größte Schwachstelle dar. Dennoch behalten 88 Prozent diese Altanlagen bei und versuchen, sie lediglich durch kompensatorische Maßnahmen abzusichern, anstatt in einen vollständigen Hardware-Austausch zu investieren. Auch beim Patch-Management zeigen sich gefährliche Lücken: Zwar führen 90 Prozent der Firmen regelmäßig Updates durch, aber lediglich 24 Prozent erreichen dabei eine Abdeckung von mehr als 90 Prozent ihrer Anlagen. Kompatibilitätsprobleme und eine mangelnde Sichtbarkeit in die vernetzten Anlagen gelten als die größten technischen Hindernisse. Gleichzeitig stehen die Fachkräfte massiv unter Druck: Zwar verfügen 55 Prozent der großen Organisationen inzwischen über mehr als 100 Mitarbeitende im OT-Sicherheitsbereich, doch die Verwaltung der komplexen, heterogenen Infrastrukturen bleibt eine enorme Belastung.

Häufigkeit von Cybervorfällen im OT-Bereich nach Branchen, Bild: TXOne

Unternehmen erhöhen ihre Ausgaben für Cybersicherheit

Um dieser wachsenden Bedrohungslage zu begegnen, haben 89 Prozent der Unternehmen im Jahr 2025 ihre Budgets für die OT-Sicherheit um mindestens zehn Prozent erhöht (28 Prozent sogar um mehr als 20 Prozent). Die Industrie vollzieht dabei einen klaren Wandel hin zu einem durchsetzbaren Schutz, der die Aufrechterhaltung der Produktion über alles stellt. Für 94 Prozent der IT-Sicherheitsverantwortlichen (CISOs) ist die Sicherheitslage inzwischen als positiv zu bewerten, solange der Betriebsablauf nicht spürbar gestört wird. Ergänzend setzen die Organisationen verstärkt auf Managed Security Service Provider (MSSPs) und externe Experten, um akute Qualifikationslücken zu schließen und den steigenden regulatorischen Vorgaben gerecht zu werden.

Fazit: „Operations-First“ als neues strategisches Fundament

Der Report dokumentiert einen entscheidenden Wendepunkt für die Cybersicherheit im industriellen Sektor. Die bloße Identifikation von Systemressourcen und Schwachstellen im Netzwerk reicht heutzutage nicht mehr aus, um moderne Bedrohungen abzuwehren. Industrieunternehmen müssen die OT-Sicherheit als zentrale strategische Säule ihrer industriellen Governance begreifen und von reaktiven Erkennungsstrategien zu einem präventiven „Operations-First“-Ansatz wechseln. Nur wenn Bedrohungen proaktiv gestoppt werden, bevor sie den eigentlichen Betrieb erreichen, lassen sich kostspielige Ausfallzeiten vermeiden und eine echte Geschäftsresilienz in einer zunehmend konvergenten IT/OT-Welt gewährleisten.

Zur Methodik der Studie

Die Ergebnisse des „OT Cybersecurity Annual Report 2026“ basieren auf einer global angelegten Untersuchung, die TXOne Networks in Zusammenarbeit mit dem Analystenhaus Frost & Sullivan im November 2025 durchgeführt hat. Im Rahmen der Studie wurden weltweit 200 C-Level-Entscheidungsträger aus dem Bereich der OT-Sicherheit befragt. Die Teilnehmer stammen aus den USA, Japan, Deutschland, Taiwan und Südkorea sowie Frankreich, Saudi-Arabien, den Vereinigten Arabischen Emiraten und Brasilien. Die Umfrage konzentrierte sich auf große Unternehmen mit komplexen Betriebs- und Produktionsumgebungen (zwischen 2.000 und 5.000+ Mitarbeiter) aus den Bereichen Halbleiterfertigung, Lebensmittelindustrie, Automobilbranche, Arzneimittelproduktion, Öl und Gas sowie dem Transportsektor.

Weitere Informationen zum Thema:

TXOne
OT Cybersecurity Annual Report 2026

datensicherheit.de, 23.03.2026
CPS im Visier: Cyberkriminelle Attacken zunehmend auf KRITIS

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention

Von unserem Gastautor Roman Spitzbart, VP Solutions Engineering EMEA bei Dynatrace

[datensicherheit.de, 24.03.2026] Cloud-Infrastrukturen sind heute das digitale Rückgrat von Behörden, Unternehmen und Organisationen – und damit auch ein attraktives Ziel für Angriffe und Missbrauch. Wer moderne Systeme betreibt, muss nicht nur für Leistung und Verfügbarkeit sorgen, sondern auch für Kontrolle, Nachvollziehbarkeit und Sicherheit. Dabei ist die Grundlage jeder Entscheidung eine verlässliche Datenbasis: präzise, vollständig und strukturiert erfassbar. Genau hier kommt OpenTelemetry ins Spiel – ein offener Standard, der sich zunehmend als technische Basis für Observability durchsetzt.

Roman Spitzbart, VP Solutions Engineering EMEA bei Dynatrace, Bild: Dynatrace

OpenTelemetry – Transparenz ist Voraussetzung für sichere, auditierbare und steuerbare IT-Prozesse

OpenTelemetry ermöglicht es, Metriken, Logs und Traces aus unterschiedlichsten Systemen konsistent zu erfassen, unabhängig von Sprache, Anbieter oder Infrastruktur. Das schafft eine gemeinsame Sprache für Betriebsdaten, die besonders in hybriden oder stark regulierten Umgebungen essenziell ist. Denn Transparenz ist keine Option mehr, sondern Voraussetzung für sichere, auditierbare und steuerbare IT-Prozesse.

Insbesondere im Hinblick auf Sicherheitsanforderungen ist die Offenheit von OpenTelemetry ein zentraler Vorteil. Statt auf abgeschottete Monitoring-Tools mit proprietären Formaten angewiesen zu sein, lassen sich mit OTel standardisierte Datenpfade etablieren. Sie dienen als Grundlage für nachvollziehbares Security-Monitoring, sowohl im Tagesbetrieb als auch im Fall forensischer Analysen. So entsteht ein verlässliches Fundament für Transparenz, das technologische Offenheit mit operativer Sicherheit verbindet.

Vom Datenstrom zum Systemverständnis

Doch mit der bloßen Erfassung ist wenig gewonnen. Erst wenn Telemetriedaten intelligent analysiert und in Zusammenhang gestellt werden, entsteht ein vollständiges Lagebild. Das betrifft nicht nur Performance oder Verfügbarkeit, sondern erfassen vermehrt auch sicherheitsrelevante Zusammenhänge innerhalb der Systemarchitektur. Wo treten ungewöhnliche Zugriffsmuster auf? Welche Services interagieren unerwartet miteinander? Wurden in einer bestimmten Umgebung neue Konfigurationsdateien geladen?

Moderne Observability-Plattformen übernehmen hier die Aufgabe, Signale zu verknüpfen, Systemtopologien zu verstehen und Muster in Echtzeit zu erkennen. Dadurch werden Zusammenhänge sichtbar, die mit klassischen Monitoring-Lösungen oft verborgen bleiben. Ein einzelner Logeintrag oder ein auffälliger Metrikwert erhält erst dann Bedeutung, wenn er in Beziehung zu Traces, Deployments oder User-Verhalten gesetzt wird.

Gerade in sicherheitsrelevanten Systemlandschaften ist diese Fähigkeit zentral. Sie ermöglicht es, verdeckte Risiken zu erkennen, operative Unregelmäßigkeiten zu bewerten und technische Schwachstellen nicht nur zu vermuten, sondern nachzuweisen. Das reduziert die Reaktionszeit im Ernstfall und stärkt zugleich die strategische Fähigkeit, Systeme resilient und kontrollierbar zu betreiben.

Causal AI im Dienst der Ursachenanalyse

Mit wachsender Systemkomplexität steigen auch die Anforderungen an die Analyse. Die manuelle Rekonstruktion von Ursache-Wirkung-Zusammenhängen wird schnell zur Überforderung – vor allem im Kontext sicherheitsrelevanter Zwischenfälle, bei denen schnelle Ursachenklärung gefragt ist. Hier setzt Causal AI an: ein Analyseansatz, der nicht nur Muster erkennt, sondern gezielt nach den zugrunde liegenden Auslösern sucht.

Causal AI unterscheidet sich von herkömmlicher Künstlicher Intelligenz vor allem durch die Nachvollziehbarkeit ihrer Ergebnisse. Sie analysiert nicht nur Korrelationen, sondern rekonstruiert kausale Zusammenhänge. In einigen Szenarien ist das besonders entscheidend – etwa zur präzisen Rekonstruktion eines Datenlecks oder zur forensischen Aufarbeitung einer kompromittierenden Systemaktivität.

Die Bedeutung dieser Technologie zeigt sich auch in der Praxis: Statt pauschale Alarmmeldungen zu erzeugen, liefert Causal AI konkrete, priorisierte Ursachenketten. So lässt sich etwa nachvollziehen, dass ein Konfigurationsfehler in einer spezifischen Build-Umgebung zu einer Eskalation im Zugriffssystem geführt hat, verbunden mit klaren Zeitstempeln, Systempfaden und Benutzerinteraktionen. Für Sicherheitsteams bedeutet das: weniger Aufwand bei der Ursachenanalyse, höhere Verlässlichkeit in der Bewertung und eine bessere Grundlage für Berichte, Audits und Reaktionen.

Von reaktiv zu präventiv

Sicherheitsarbeit beginnt heute nicht mehr mit dem Alarm, sondern mit der systematischen Vermeidung von Risiken. Wer erst reagiert, wenn der Schaden bereits entstanden ist, handelt zu spät. Präventive Sicherheit erfordert die Fähigkeit, Anomalien frühzeitig zu erkennen, Risiken automatisch zu bewerten und proaktiv gegenzusteuern. AI-gestützte Observability-Plattformen liefern dafür die technische Grundlage.

Wenn Telemetriedaten nicht nur gesammelt, sondern kontinuierlich analysiert und bewertet werden, entsteht ein Frühwarnsystem, das sowohl technische als auch sicherheitsbezogene Abweichungen zuverlässig erkennt. Beispielsweise kann eine Plattform registrieren, dass ein bestimmter Authentifizierungsmechanismus in mehreren Regionen ungewöhnlich oft scheitert – ein potenzieller Hinweis auf ein Brute-Force-Szenario. Oder sie stellt fest, dass sich die Latenz eines internen Services in Verbindung mit einer neuen Container-Version signifikant verändert, mit möglichen Auswirkungen auf die Zugriffssteuerung.

Der entscheidende Fortschritt liegt jedoch nicht nur in der Erkennung, sondern in der Handlungsfähigkeit: moderne Systeme liefern konkrete Empfehlungen für Gegenmaßnahmen, basierend auf bekannten Mustern und kontextuellen Bewertungen. Diese Vorschläge lassen sich in automatisierte Reaktionspfade integrieren – von der Priorisierung über das Alert-Routing bis hin zur Umsetzung durch integrierte Workflows. Damit wird Sicherheit nicht zur Reaktion, sondern zum kontinuierlich lernenden System.

Offenheit trifft Automatisierung – auch in der Security

Der zentrale Gewinn liegt in der Verbindung von Offenheit und Automatisierung. OpenTelemetry liefert die Grundlage für eine einheitliche Datenerhebung, moderne DevOps-Prozesse schaffen die Flexibilität für dynamische Infrastrukturen – und intelligente Plattformen übersetzen diese Daten in belastbare Entscheidungen. Für Sicherheitsverantwortliche entsteht daraus eine Infrastruktur, die Transparenz, Kontrolle und Reaktion in einem integrierten Prozess vereint.

Gerade in verteilten oder regulierten Umgebungen zeigt sich der Vorteil eines solchen Ansatzes: Statt mühsam Informationen aus Einzelsystemen zusammenzutragen, liegt ein vollständiges, strukturiertes und jederzeit nachvollziehbares Bild vor – für Audits ebenso wie für den operativen Alltag. Das reduziert die Fehleranfälligkeit, entlastet Personalressourcen und erhöht die Fähigkeit, auch unter Druck sicherheitsrelevante Entscheidungen zu treffen.

Die klassische Trennung zwischen Security, Operations und Development wird dadurch zunehmend obsolet. Statt in isolierten Fachdisziplinen zu arbeiten, greifen Prozesse, Daten und Verantwortlichkeiten ineinander. Und genau darin liegt der eigentliche Fortschritt: Observability wird zum Bindeglied zwischen Technologie und Sicherheit, zwischen Erkennen und Handeln, zwischen operativer Realität und strategischer Steuerung.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2026
Software mit bekannten Sicherheitslücken bei 87 Prozent der Unternehmen in Betrieb

datensicherheit.de, 17.02.2026
Cybersicherheit – Wenn eine verzerrte Selbstwahrnehmung zum Sicherheitsrisiko wird

[datensicherheit.de, 24.03.2026] Der neue „NETSCOUT DDoS Threat Intelligence Report“ dokumentiert laut NETSCOUT eine dramatische Verschärfung der Cyberbedrohungslage durch „hacktivistische Aktivitäten“ und die Nutzung von DDoS-Attacken als präzisionsgelenkte Waffen mit geopolitischem Einfluss: In der zweiten Jahreshälfte 2025 wurden demnach weltweit mehr als acht Millionen DDoS-Angriffe registriert. Besonders auffällig sei der Druck auf Kritische Infrastrukturen (KRITIS) – ausgelöst durch „Hacktivisten“, DDoS-for-hire-Dienste und Botnetze.

Abbildung: NETSCOUT

„NETSCOUT DDoS Threat Intelligence Report“: Dramatische Verschärfung der Cyberbedrohungslage durch „hacktivistische Aktivitäten“ und Nutzung von DDoS-Attacken als präzisionsgelenkte Waffen mit geopolitischem Einfluss

In Deutschland sind Rechenzentren und Hosting-Dienste am stärksten betroffen

Die DDoS-Bedrohungslage in der sogenannten DACH-Region (Deutschland-Österreich-Schweiz) zeige im Jahr 2025 eine deutliche strukturelle Verschiebung, bei der sich der Fokus zunehmend von massenhaften Volumenangriffen hin zu leistungsstärkeren und strategisch eingesetzten Angriffsszenarien verlagere.

• DDoS-Angriffe hätten es insbesondere auf digitale Kerninfrastrukturen abgesehen, wobei „Computing Infrastructure Provider“ wie Rechenzentren, Hosting- und Datenverarbeitungsdienste mit mehr als 70.000 registrierten Angriffen mit deutlichem Abstand an der Spitze stünden.

Dahinter folgten kabelgebundene Telekommunikationsanbieter mit 28.981 sowie Mobilfunkanbieter mit 21.524 Angriffen. Die Angriffsfrequenz sei damit eindeutig dort am höchsten, wo Störungen eine maximale Breitenwirkung entfalten können.

Unterschiedliche DDoS-Belastungsmuster in der DACH-Region

Dass auch transport- und mobilitätsnahe Infrastrukturen zunehmend ins Visier gerieten, habe Anfang 2026 der DDoS-Angriff auf die Deutsche Bahn (DB) gezeigt. Diese Attacke erfolgte laut Unternehmensangaben in mehreren Wellen. Betroffen gewesen seien insbesondere die Auskunfts- und Buchungssysteme – darunter die Website „bahn.de“ sowie die App „DB Navigator“.

• Zwar zähle der Mobilitätssektor nicht zu den drei dominierenden Telekommunikations- oder Hosting-Kategorien, gehöre jedoch in Deutschland zu den am stärksten angegriffenen Branchen außerhalb der klassischen Netz- und Infrastruktursegmente.

In der Schweiz sei im Jahr 2025 ein leichter Anstieg von rund vier Prozent vom ersten auf das zweite Halbjahr auf insgesamt 43.466 Angriffe zu verzeichnen. Deutlich markanter sei jedoch die Angriffsdauer im zweiten Halbjahr 2025 (106,45 Minuten), welche die Vergleichswerte in Österreich und Deutschland übertreffe.

Kabelgebundene Anbieter in Österreich deutlich an erster Stelle

Für Österreich zeige sich ein etwas anderes Muster als in der Schweiz: Dort dominiere klar die Angriffsfrequenz bei kabelgebundenen Netzbetreibern, während die längsten Angriffe auf digitale Infrastruktur- und Hosting-Anbieter zielten. Mit 13.867 Angriffen stünden kabelgebundene Anbieter deutlich an erster Stelle und die Angriffe seien zahlreich, aber eher kurz bis mittellang angelegt.

• Dies spreche für wiederkehrende, volumenbasierte Störversuche gegen klassische Netzbetreiber. Anbieter von IT-Infrastruktur folgen auf Platz 2, mobile Netzbetreiber auf Platz 3 – das Muster entspreche damit dem regionalen Trend. Trotz unterschiedlicher Schwerpunkte konzentrierten sich DDoS-Angriffe in allen drei Ländern auf systemrelevante Telekommunikations- und Infrastruktursektoren.

Dass DDoS-Angriffe im Umfeld internationaler Großereignisse zusätzliche Dynamik entfalten könnten, hätten die Olympischen Winterspiele 2026 in Mailand-Cortina bestätigt: „Im Rahmen einer Angriffswelle der pro-russischen Gruppe ,NoName057‘ war unter anderem die Website des Österreichischen Olympischen Comités (ÖOC) zeitweise betroffen und für rund eine Stunde lahmgelegt.“

Qualitative Verschiebung der Bedrohungslage in der DACH-Region

Der aktuelle „NETSCOUT Threat Intelligence“-Bericht zeige, dass die DDoS-Entwicklung 2025 in der DACH-Region weniger von reiner Quantität, sondern mehr von qualitativer Eskalation geprägt gewesen sei. Multi-Vektor-Angriffe gehörten weiterhin zum festen Bestandteil des DDoS-Geschehens, so dass unterschiedliche Angriffsmethoden kombiniert und teils während der laufenden Attacke angepasst würden, um Erkennungs- und Abwehrmechanismen zu umgehen.

• Der zunehmende Einsatz KI-gestützter Werkzeuge senke zudem die technische Einstiegshürde für bestimmte Angriffstypen, denn Botnet-Steuerung oder Schwachstellenanalysen ließen sich stärker automatisieren.

„Large Language Models“ (LLMs) – im DarkWeb-Umfeld als „Dark LLMs“ genutzt – beschleunigten diese Abläufe zusätzlich und erleichterten die operative Umsetzung. Angesichts der technologischen Fortschritte im Bedrohungsumfeld seien intelligente und zunehmend autonome Verteidigungsmaßnahmen erforderlich, um systemische Betriebsstörungen wirksam zu begrenzen.

Weitere Informationen zum Thema:

NETSCOUT
ABOUT US: We are the Guardians of the Connected World.

NETSCOUT
Unmasking the Swarm: The Evolving Tactics of Botnet-Driven DDoS Attacks / DDoS Threat Intelligence Report / Issue 16: Findings from 2H 2025

datensicherheit.de, 20.02.2026
DDoS-Angriffe wie vor Kurzem auf die DB können Vertrauen der Kunden untergraben / Der jüngste Cyberangriff auf die DB Bahn zeigte abermals, wie angreifbar selbst zentrale Akteure der Kritischen Infrastruktur im Digitalen Raum sind

datensicherheit.de, 09.05.2025
Welle von DDoS-Angriffen: Deutsche Stadtportale im Visier / Häufung von DDoS-Attacken, bei denen Server durch Flut automatisierter Anfragen gezielt überlastet werden

datensicherheit.de, 16.10.2024
DACH-Region: Alarmierende Zunahme der DDoS-Angriffe / Deutschland laut „NETSCOUT DDoS Threat Intelligence Report“ am stärksten von DDoS-Attacken betroffen

[datensicherheit.de, 23.03.2026] Nach aktuellen Erkenntnissen von Claroty werden Cyber-Physische Systeme (CPS) zunehmend zu einem bevorzugten Ziel „opportunistischer Angreifer“ – dabei seien viele dieser Attacken von geopolitischen Ereignissen beeinflusst und technisch nicht besonders ausgefeilt. Solche und weitere Ergebnisse sind dem neuen Report „Analyzing CPS Attack Trends” von Claroty zu entnehmen, der demnach auf der Analyse von mehr als 200 Angriffen von über 20 Hacker-Gruppen im Zeitraum Januar bis Dezember 2025 beruht. Der komplette Report mit den vollständigen Ergebnissen, einer detaillierten Analyse und gezielten Empfehlungen steht online zur Verfügung.

Abbildung: CLAROTY

„Analyzing CPS Attack Trends” – Analyse von mehr als 200 Angriffen von über 20 Hacker-Gruppen

Es drohen Betriebsunterbrechungen, physische Schäden an Anlagen sowie Gefährdung von Arbeitnehmern und Umwelt

82 Prozent der Angriffe auf CPS erfolgten über VNC-Protokoll-Clients (Virtual Network Computing), um aus der Ferne auf exponierte, mit dem Internet verbundene Ressourcen zuzugreifen. Bei zwei Drittel (66%) der Vorfälle seien Mensch-Maschine-Schnittstellen (HMI) oder SCADA-Systeme kompromittiert worden.

• Diese beiden Geräteklassen überwachten und steuerten industrielle Prozesse in Echtzeit. Jeder unrechtmäßige Zugriff oder jede Manipulation könne äußerst schwerwiegende Folgen für das Unternehmen und die Bevölkerung haben.

Diese reichten von Betriebsunterbrechungen über physische Schäden an Anlagen bis hin zur Gefährdung von Arbeitnehmern und Umwelt. Viele dieser Angriffe seien zudem ausgesprochen niedrigschwellig und erforderten weder Schwachstellen noch umfassende Kenntnisse der genutzten Geräte oder Protokolle.

CPS in KRITIS-Strukturen Opfer politischer oder gesellschaftlicher Ziele cyberkrimineller Akteure

Die Analyse habe zudem ergeben, dass die Attacken auf die Kritischen Infrastrukturen (KRITIS) größtenteils durch politische oder gesellschaftliche Ziele motiviert gewesen seien, welche mit den Motiven staatlich-unterstützter Angreifer übereinstimmten.

Angesichts der seit langem bestehenden geopolitischen Spannungen im Nahen Osten und des Krieges zwischen Russland und der Ukraine führten die Sicherheitsforscher viele der Vorfälle auf mit Russland und dem Iran verbundene Bedrohungsakteure zurück:

• 81 Prozent der von iranischen Gruppen durchgeführten Angriffe hätten sich gegen Einrichtungen in den USA und Israel gerichtet.
• 71 Prozent der von russischen Gruppen durchgeführten Angriffe hätten sich gegen Unternehmen in Ländern der Europäischen Union (EU) gerichtet.
• Die am häufigsten von mit Russland verbundenen Bedrohungsakteure angegriffenen EU-Länder seien Italien (18%), Frankreich (11%) und Spanien (9%).

Claroty-Report verweist auf klaren Bedarf, CPS-Sicherheitsmaßnahmen zu verstärken

„Unsere Untersuchungen zeigen eine erhebliche Zunahme der Angriffe auf die grundlegenden Systeme, die den täglichen Ablauf unserer Gesellschaft gewährleisten – von der Fertigung über die Wasser- und Abfallwirtschaft bis hin zur Stromerzeugung und zum Gesundheitswesen“, berichtet Thorsten Eckert, „Regional Vice President Sales Central“ von Claroty.

• Sie sähen vor allen immer mehr opportunistische Drive-by-Angriffe auch in diesem Bereich, welcher ja zuvor eher von gezielten Angriffen geprägt gewesen sei. Eckert führt hierzu aus: „Dabei nutzen die Angreifer relativ einfache technische Mittel, um kritische Sektoren anzugreifen, deren Störung schwerwiegende und teilweise gefährliche Folgen haben kann.“

Der vorliegende Report zeige einen klaren Bedarf, die Sicherheitsmaßnahmen für CPS zu verstärken. „Laxe Sicherheitspraktiken und eine mangelnde Cyberhygiene sind angesichts der sich im Vergleich zum letzten Jahr nochmals verschärften geopolitischen Situation nicht mehr hinnehmbar!“, so Eckert

Claroty-Tipps zum CPS-Schutz und Stärkung der Resilienz

Um ihre CPS besser zu schützen und ihre Resilienz zu erhöhen, sollten Unternehmen laut Claroty folgende Maßnahmen ergreifen:

• Mit dem Internet verbundene Geräte schützen!
  Sicherheitsverantwortliche sollten die Konfigurationen von Betriebstechnik (OT), smarten Geräten und vernetzten Medizingeräten (IoMT) überprüfen. Zudem müssten Vorkehrungen getroffen werden, um eine „Enumeration“ dieser Geräte zu verhindern, da diese zunehmend mit dem Internet verbunden seien.
• Unsichere Standardkonfigurationen beheben!
  Sicherheitsverantwortliche müssten Standard- oder schwachen Anmeldedaten erkennen und diese proaktiv ändern, wenn Geräte online eingesetzt werden. Sie müssten weitere unsichere Konfigurationen identifizieren, bewerten und beheben können, bevor die Geräte vernetzt werden.
• Unsichere Protokolle aktualisieren!
  Bei vielen der untersuchten Angriffe seien unsichere Protokolle wie VNC und „Modbus“ genutzt worden. Diesen fehlten grundlegende Sicherheitsfunktionen wie Authentifizierung und Verschlüsselung. Deshalb sollten Sicherheitsverantwortliche ihre kritischsten verbundenen Ressourcen inventarisieren und auf sicherere Kommunikationsprotokolle umsteigen.
• Den Gegner kennen!
  Es sei wichtig, die Motive und Taktiken von (politisch motivierten) Hacker-Gruppen zu verstehen. Auf diese Weise ließen sich deren nächste Schritte antizipieren – etwa nächste Ziele innerhalb einer bestimmten Branche. Zudem könne so erkannt werden, welche CPS bereits bei anderen Einrichtungen kompromittiert wurden, um entsprechende Gegenmaßnahmen zu priorisieren.

Weitere Informationen zum Thema:

CLAROTY
Claroty Named a Leader by Gartner® / Recognized for Ability to Execute and Completeness of Vision, Claroty has been named a Leader for the second consecutive year in the 2026 Gartner® Magic Quadrant for CPS Protection Platforms.

CLAROTY
Report: Analyzing CPS Attack Trends / Team82 examines 200 verified cyberattacks against cyber-physical systems (CPS) involving geopolitically and socially motivated hacktivist groups

TechTarget
Thorsten Eckert – Regional Vice President Sales Central, Claroty

www.it-visions.de Dr. Holger Schwichtenberg
Erklärung des Begriffs: Enumeration

datensicherheit.de, 27.03.2025
OT/ICS-Cybersicherheit: Wachsende Bedrohungslandschaft für Unternehmen weltweit / Annual Report 2024 von TXOne Networks veröffentlicht / Dringende Maßnahmen zum Schutz der industriellen Abläufe

datensicherheit.de, 12.02.2025
OT-Geräte: Zwei Drittel der Schwachstellen von Ransomware-Gruppen ausgenutzt / Neuer Claroty-Report zeigt OT-Bedrohungen durch Ransomware und unsichere Verbindungen in Produktion, Transport und Logistik sowie natürliche Ressourcen auf