Das vergangene Jahr 2025 war, neben dem AI-Hype und dessen Produkten, die neue Sicherheitslöcher in die IT-Infrastruktur gerissen haben, durch zahlreiche und leider erfolgreiche Cyberangriffe geprägt. Was bringt uns 2026? Anbieter Claroty stellt die Frage, ob 2026 das Jahr des Umbruchs in der Cybersecurity wird.
Mit dem Inkrafttreten der NIS-2-Verordnung in Deutschland dürften einige rechtliche Anforderungen im Hinblick auf die Cybersicherheit auf Verantwortliche zukommen. Sicherheitsanbieter Claroty hat folgende Aussagen als Ausblick für 2026 formuliert.
1. CPS-Security wird zur Pflichtaufgabe für alle CISOs
Die Zeit, in der sich Sicherheitsverantwortliche ausschließlich auf klassische IT-Infrastrukturen konzentrieren konnten, sei, so Claroty, endgültig vorbei. 2026 werde das Jahr, in dem CPS-Sicherheit vom Nischenthema zur Kernkompetenz jedes CISO werden muss. Aus einem ganz einfachen Grund: Cyber-physische Systeme (CPS) sind allgegenwärtig.
Gebäudemanagement-Systeme (GMS) steuern moderne Bürokomplexe, IoT-Sensoren durchziehen Produktionshallen, vernetzte Medizintechnik bestimmt den Klinikalltag. Diese Systeme sind keine isolierten Insellösungen mehr, sondern integraler Bestandteil der Unternehmens-Infrastruktur. Fast jedes moderne Netzwerk weist mittlerweile eine CPS-Komponente auf. Mit potenziell gravierenden Folgen: Ein kompromittiertes GMS legt den gesamten Standort lahm, manipulierte Sensordaten stören Produktionsprozesse, sabotierte vernetzte Medizintechnik gefährdet Menschenleben.
Die Angriffsfläche hat sich so dramatisch vergrößert: Während die IT-Seite der Cybersecurity den Löwenanteil der Aufmerksamkeit erhält, bleiben CPS oft der blinde Fleck in der Sicherheitsarchitektur. Viele dieser Systeme wurden mit Fokus auf Verfügbarkeit und Funktionalität und weniger auf Security entwickelt. Standardpasswörter, fehlende Verschlüsselung und jahrelang nicht gepatchte Firmware sind immer noch üblich.
2026 müssen CISOs ihre Strategie fundamental erweitern: Asset-Discovery muss OT-Netze einschließen, Netzwerksegmentierung wird zum Standard und kontinuierliches Schwachstellenmanagement erstreckt sich auf alle cyber-physischen Komponenten. Wer CPS-Security weiterhin vernachlässigt, riskiert nicht nur Datenverluste, sondern physische Schäden und Betriebsunterbrechungen mit existenzbedrohenden Konsequenzen.
2. Kontinuierliche Cyber-Kriegsführung: Die neue Normalität
Und es gibt eine weitere Aussage, die nicht positiv klingt, aber unterschrieben werden kann. Es gibt keinen Begriff wie "Friedenszeit", wenn es um Cyber-Sicherheit und -Angriffe geht. Was wir in DACH erleben, ist eine kontinuierliche, hybride Kriegsführung, die niemals endet – sie eskaliert lediglich unterschiedlich stark.
Staatlich unterstützte Akteure operieren permanent in den Netzwerken von Unternehmen, Behörden und Regierungen. Sie platzieren Backdoors, kartieren Infrastrukturen und bereiten Angriffe vor, die im Krisenfall aktiviert werden können. Die Grenze zwischen Spionage, Sabotage-Vorbereitung und aktivem Angriff verschwimmt dabei zunehmend.
Dabei besonders im Fokus: die kritische Infrastruktur. Ein erfolgreicher Angriff auf Energieversorger, Wasserwerke, Gesundheitseinrichtungen oder Transportnetze gefährdet die Versorgungssicherheit ganzer Regionen.
Die Konsequenz für 2026: KRITIS-Betreiber müssen von einer reaktiven zu einer proaktiven Security-Haltung übergehen. Da Angreifer systematisch bekannte, ausgenutzte Schwachstellen (Known Exploited Vulnerability, KEV) für ihre Attacken nutzen, kommt dem intelligenten Vulnerability-Management eine Schlüsselrolle zu. Ebenso muss jedes Unternehmen über einen Incident-Response-Plan verfügen und regelmäßig den Ernstfall proben. Denn die Frage ist nicht ob, sondern wann er eintritt.
3. Sicherheitstreiber Compliance: NIS-2 und CRA verändern alles
2026 wird zum Wendejahr für Cybersecurity-Compliance in Europa. Mit NIS-2 und dem Cyber Resilience Act (CRA) greifen zwei regulatorische Instrumente, die Security endgültig zur Chefsache machen und die Verantwortlichkeiten fundamental neu verteilen.
NIS-2 beendet die Ära der Delegation: Die persönliche Haftung des Managements für Cybersecurity-Vorfälle macht Security zum Thema im Vorstandsbüro. CISOs berichten zunehmend direkt an die Geschäftsführung, Security-Budgets werden aufgestockt, und Risiko-Assessments werden mit derselben Ernsthaftigkeit behandelt wie Finanzprüfungen.
Parallel revolutioniert der CRA die Herstellerverantwortung. Produzenten cyber-physischer Systeme und IoT-Geräte müssen nun über den gesamten Produktlebenszyklus für die Sicherheit ihrer Geräte einstehen – inklusive verpflichtender Schwachstellenmeldungen und Patch-Bereitstellung.
Die Konsequenz: Hersteller benötigen Zugriff auf bereits im Betrieb befindliche Geräte, um sie kontinuierlich auf Schwachstellen scannen und Updates einspielen zu können. Dies erfordert neue vertragliche Regelungen, klare Zugriffsrechte und robuste Change-Management-Prozesse.
Compliance ist 2026 nicht mehr die bloße Abarbeitung von Anforderungen, sondern wird zum aktiven Treiber für Security-Verbesserungen. Unternehmen, die regulatorische Anforderungen ernst nehmen, werden automatisch ihre Security-Posture stärken – und diejenigen, die dies versäumen, sehen sich rechtlichen und finanziellen Konsequenzen gegenüber, die weit über bisherige Bußgelder hinausgehen.
Wie seht ihr Euch im Umfeld Cyber-Sicherheit in den Unternehmen aufgestellt?
Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.
