[datensicherheit.de, 15.04.2026] Über Jahre war die Einstellung „assume a breach“ – also „von einem Sicherheitsvorfall auszugehen“ – bereits eine nützliche Denkweise in der IT-Sicherheit, um eine bessere Erkennung und Reaktion zu fördern. Mit Initiativen wie „Project Glasswing“ von Anthropic sei diese Annahme nicht mehr nur theoretisch, sondern nunmehr Ausgangspunkt jeglicher Sicherheitsüberlegungen im Zeitalter Künstlicher Intelligenz (KI). In der vergangenen Woche hätten Meldungen rund um „Anthropic Mythos“ weltweit für Hektik in den IT-Sicherheitsabteilungen gesorgt, so Benny Lakunishok, Mitbegründer und CEO von Zero Networks, in seiner aktuellen Stellungnahme.

Foto: Zero Networks

Benny Lakunishok erörtert den Wandel von Prävention als Perfektion hin zu Prävention als Eindämmung

Bisherige IT-Sicherheitsstrategie auf Erkennung und Reaktion konzentriert

Lakunishok unterstreicht: „Wir treten in eine Welt ein, in der KI sehr viele Schwachstellen aufdecken, miteinander verknüpfen und funktionierende Exploits generieren kann – schneller, als jedes menschliche Team reagieren kann. Dies bedeutet nicht nur etwas schneller, sondern um ein Vielfaches schneller.“

• Dies verändere die Natur des Problems und zwinge zu einer neuen Frage, welche sich jede Führungskraft stellen werde: „Wenn Angriffe schneller, kostengünstiger und automatisierter sind als je zuvor, was hält dann Unternehmen im Ernstfall tatsächlich am Laufen?“

In den letzten zehn Jahren habe sich die IT-Sicherheitsstrategie auf Erkennung und Reaktion konzentriert – die Bedrohung finden, untersuchen, eindämmen und das betroffene System wiederherstellen. „Dieses Modell funktionierte, solange Angriffe mit menschlicher Geschwindigkeit abliefen“, so Lakunishok.

Strukturelle Lücke der IT-Sicherheit

KI verändere nun diese Gleichung: „Wenn Angriffe autonom generiert und ausgeführt werden können, gibt es keine Garantie für ein frühes Signal und kein verlässliches Zeitfenster für Untersuchungen!“

• Ebenso gebe es keinen Grund mehr zu der Annahme, dass auf vergangenes Verhalten trainiert Erkennungssysteme etwas völlig Neues erkennen würden. Dies sei keine Lücke in den „Tools“, sondern eine strukturelle Lücke.

„Ab einem bestimmten Punkt müssen sich Sicherheitsverantwortliche einer einfachen Realität stellen: Wenn der Angreifer schneller ist als ihre Fähigkeit zur Erkennung und Reaktion, spielen sie auf verlorenem Posten!“

IT-Sicherheit für Unternehmen neu zu definieren

Die Herausforderung sei eben nicht nur technischer Natur – es gehe darum, wie Risiken kommuniziert in Unternehmen werden. IT-Sicherheitsverantwortliche müssten Komplexität in eine Sprache übersetzen, welche bei Führungskräften Gehör findet, die in Begriffen wie „Verfügbarkeit“, „Umsatz“ und „Betriebskontinuität denken“.

• Lakunishok betont: „Die alte Story – ,Wir müssen Bedrohungen schneller erkennen!‘ – zieht nicht mehr!“

Die neue Logik sei einfacher und ehrlicher: „Wir sollten davon ausgehen, dass etwas eindringen wird, und die eigentliche Frage ist, ob es das Unternehmen lahmlegen kann.“ Diese Neudefinition verschiebe Sicherheit von einer technischen Disziplin hin zu einer Strategie für die Resilienz des Unternehmens und mache sie damit unmittelbar relevant für das gesamte Führungsteam.

IT-Sicherheit im KI-Zeitalter: Eindämmung und Resilienz

Wenn IT-Sicherheitsverletzungen unvermeidbar sind, verschiebe sich der Kontrollpunkt. Es gehe nicht mehr darum, jedes Eindringen zu stoppen oder jede Bedrohung abzufangen – es gehe darum, was nach dem Eindringen geschieht:

• „Kann sich ein Angreifer lateral durch die Umgebung bewegen? Kann er Berechtigungen eskalieren oder kritische Systeme erreichen?“

Wenn ja, werde der Vorfall zu einer Betriebsstörung. Wenn nicht, bleibe es ein eingedämmtes technisches Ereignis. „Dies ist der Wandel von Prävention als Perfektion hin zu Prävention als Eindämmung.“

IT-Sicherheitsverantwortliche müssen auf Schadensbegrenzung und Betriebliches Kontinuitätsmanagement fokussieren

„Praktisch bedeutet dies, Umgebungen zu gestalten, in denen der Zugriff streng kontrolliert, die Bewegungsfreiheit eingeschränkt und der Wirkungsradius eines Sicherheitsvorfalls von vornherein begrenzt ist.“ Für nicht-technische Stakeholder sei die Erkenntnis klar: „Wir müssen nicht garantieren, dass nichts eindringt – wir müssen garantieren, dass sich nichts ausbreiten kann!“

• Lakunishok führt weiter aus: „Sicherheitsvorfälle werden passieren, die Erkennung wird Mühe haben, Schritt zu halten, und Geschwindigkeit allein wird die Lücke nicht schließen. Die entscheidende Frage für jeden Sicherheitsverantwortlichen ist nun einfach: ,Wenn morgen etwas eindringt, bleibt das Geschäft dann am Laufen?‘“

Wenn die Antwort „Ja“ lautet, sei die Strategie auf die aktuelle globale Entwicklung abgestimmt. Wenn nicht, sei dies der Moment, das Modell zu überdenken. „Im Zeitalter KI-gesteuerter Angriffe geht es bei der Sicherheit nicht mehr darum, Sicherheitsverletzungen zu stoppen – es geht darum, sicherzustellen, dass sie keine Rolle spielen!“, so Lakunishoks Fazit

Weitere Informationen zum Thema:

ZERO NETWORKS
About Us: Radical Simplicity, Uncompromising Security

kuppingercole ANALYSIS
Benny Lakunishok / CEO & Co-Founder Zero Networks

ANTHROPIC
Project Glasswing: Securing critical software for the AI era

manager magazin, 08.04.2026
„Beunruhigende Verhaltensweisen“ – Anthropics neue KI ist zu gefährlich für die Öffentlichkeit / Die neue KI von Anthropic, Mythos, soll Software-Schwachstellen erkennen und schließen. Sie ist aber genauso gut darin, diese auszunutzen. Weil sie als Cyberwaffe missbraucht werden könnte, stellt CEO Amodei die KI nur ausgewählten Kunden zur Verfügung.

datensicherheit.de, 15.04.2026
Spontane Reaktion auf Mythos: SANS Institute veröffentlicht mit Partnern kostenloses Strategie-Briefing / Dieses Strategie-Briefing soll CISOs und Sicherheitsverantwortlichen ein umsetzbares Rahmenwerk an die Hand geben, um auf das zunehmende Tempo der Entdeckung und Ausnutzung von Schwachstellen durch KI zu reagieren

datensicherheit.de, 20.03.2026
Cyberangriffe: Weltweite Studie zeigt kritische Lücke zwischen Erkennung und Eindämmung auf / Zwar sind 98 Prozent der deutschen Organisationen überzeugt, Cyberangriffe erkennen zu können – doch fast 40 Prozent haben Schwierigkeiten, diese auch zu stoppen

datensicherheit.de, 03.03.2026
Vier Säulen der Cyber-Resilienz / In einer Erhebung von Absolute Security gaben 83 Prozent der befragten CISOs an, dass Cyber-Resilienz wichtiger sei als traditionelle Cybersicherheitsmaßnahmen, und 90 Prozent hätten bereits eine Resilienzstrategie in ihrem Unternehmen umgesetzt.

datensicherheit.de, 27.01.2026
Cohesity-Studie zur Cyberresilienz deutscher Unternehmen / Für die Studie wurden 400 Entscheidungsträger aus dem IT- und Sicherheitsbereich in Deutschland und insgesamt 3.200 weltweit befragt. Basierend auf den Ergebnissen gibt der Autor in einem „Fünf-Punkte-Aktionsplan“ Empfehlungen, wie Unternehmen ihre Cyberresilienz steigern können.

[datensicherheit.de, 08.04.2026] Genetec versteht sich als „der weltweit führende Anbieter von Software für die physische Sicherheit in Unternehmen“ – laut einer aktuellen Stellungnahme wird auf eine Diskrepanz zwischen gängigen Modellen zur Einführung der „Cloud“ im Bereich physischer Sicherheit sowie den „Governance“- und Betriebsanforderungen großer Unternehmen hingewiesen. Diese müssen demnach beim Einstieg in die „Cloud Governance“ Risikomanagement und betriebliche Anforderungen mitdenken. Viele Umgebungen erstreckten sich über zahlreiche Standorte, unterlägen strengen Anforderungen an Regulatorik und Cybersicherheit und stützten sich auf eine Infrastruktur, welche über Jahre hinweg betriebsbereit bleiben müsse. „Wer die Einführung der ,Cloud’ als einfachen Wechsel darstellt, blendet häufig die betriebliche Praxis großer Unternehmen aus, mit Folgen für die Flexibilität und langfristige Ausfallsicherheit.“

Unternehmen mit parallelem Betrieb von „Cloud“-, „On-Prem“- und Hybridumgebungen

„Die physische Sicherheit in Unternehmen basiert selten auf nur einer Art der Bereitstellung. Dieser Tatsache müssen ,Cloud’-Strategien gerecht werden!“, erläutert Francis Lachance, „Senior Director, Product“ bei Genetec. Er führt weiter aus: „Unternehmen betreiben ,Cloud’-, ,On-Prem’- und Hybridumgebungen parallel. Ihre Systeme müssen dabei nahtlos ineinandergreifen. So sichern sie ,Governance’, Transparenz und Kontrolle über langfristig ausgelegte Betriebsumgebungen.”

Laut dem aktuellen Report zur Lage der physischen Sicherheit 2026, für den laut Genetec mehr als 7.300 Fachleute befragt wurden, ist die Einführung der Hybrid-„Cloud“ eine strategische Entscheidung, die von langfristigen betrieblichen Anforderungen bestimmt wird:

• 39 Prozent der Befragten würden Skalierbarkeit als einen der Hauptgründe für die Einführung von Hybrid-„Cloud“-Umgebungen nennen.
• Für 38 Prozent sei Redundanz ein zentraler Treiber für Hybrid-„Cloud“-Umgebungen – dies unterstreiche die Bedeutung langfristiger Ausfallsicherheit und Geschäftskontinuität.

Unternehmen müssen „Governance“ und Kontinuität langfristig gewährleisten

„Für Unternehmen ist die ,Cloud’ ein Modell, das den ständigen Herausforderungen an Betrieb, Regulatorik und Sicherheitsbedrohungen standhalten muss“, ergänzt Lachance. Das Ziel bestehe nicht darin, vollständig auf die „Cloud“ umzusteigen, sondern diese so zu nutzen, „dass ,Governance’ und Kontinuität langfristig gewährleistet sind“.

Um eine sichere und widerstandsfähige „Cloud“-Einführung zu unterstützen, empfiehlt Genetec vier Handlungsschritte:

1. „Governance“ ins Zentrum aller Entscheidungen zum Thema Cloud stellen!
   In Unternehmen sollte die Einführung der „Cloud“ stärker von Verantwortlichkeit als Komfort geleitet sein. Anforderungen an Cybersicherheit, „Compliance“ und Aufsicht seien von Beginn an zu berücksichtigen und sollten nicht erst nachträglich ergänzt werden.
2. Auf hybride Umgebungen setzen!
   Die Einführung der „Cloud“ erfolge in Unternehmen selten in einem Schritt. Stattdessen betrieben sie „Cloud“-, „On-Prem“- und „Edge“-Systeme parallel, oft über längere Zeiträume hinweg. Hybride Ansätze ermöglichten es, die Modernisierung im eigenen Tempo voranzutreiben und zugleich die Kontrolle über kritische Infrastrukturen und sensible Daten zu wahren.
3. Die „Cloud“ als Betriebsmodell verstehen, nicht als Endzustand!
   „Cloud“-Implementierungen sollten Transparenz und Kontrolle über physische Sicherheitssysteme hinweg stärken, statt bestehende Infrastrukturen vollständig zu ersetzen. Im Fokus stehe die Integration von „Cloud“-Funktionen in umfassendere Umgebungen – nicht die Durchsetzung einheitlicher Bereitstellungsmodelle.
4. Auf langfristige Ausfallsicherheit achten!
   Physische Sicherheitsinfrastrukturen müssten über Jahre hinweg zuverlässig funktionieren – auch bei Netzwerkstörungen, Service-Ausfällen oder veränderten wirtschaftlichen Rahmenbedingungen. Architekturen, welche den autonomen Betrieb und eine kontrollierte Leistungsreduzierung über „Cloud“-, „On-Prem“- und „Edge“-Systeme hinweg ermöglichen, unterstützten Unternehmen dabei, den Betrieb aufrecht zu erhalten, regulatorische Anforderungen zu erfüllen und auf veränderte Risiken ohne Unterbrechungen zu reagieren.

Weitere Informationen zum Thema:

Genetec
Den Alltag schützen: Die tägliche Aufgabe, Personen und Orte zu schützen, ändert sich fortlaufend. Mit unseren Lösungen für die physische Sicherheit bleiben Sie einen Schritt voraus.

Genetec
Report zur Lage der physischen Sicherheit 2026: Wir haben über 7.000 Endnutzer physischer Sicherheitslösungen, Vertriebspartner und Planer befragt, um mehr über die neuen Technologien und die damit verbundenen Herausforderungen zu erfahren. Der Bericht zeigt, in welche Technologien Unternehmen investieren und wie sich Technologien zum Schutz von Menschen und Vermögenswerten weiterentwickeln.

Genetec
Security Center SaaS: Software-as-a-Service für vereinheitlichte physische Sicherheit

Genetec
Den Alltag schützen: Die tägliche Aufgabe, Personen und Orte zu schützen, ändert sich fortlaufend. Mit unseren Lösungen für die physische Sicherheit bleiben Sie einen Schritt voraus.

sourcesecurity.com
Francis Lachance – Director of Product Management, Genetec, Inc.

datensicherheit.de, 08.03.2021
Multi-Technologie-Zutrittskontrolle: 2N stellt Access Unit M vor / Das Unternehmen präsentiert eine neue, intelligente Zutrittskontrolleinheit für mehr Geschwindigkeit, Zuverlässigkeit und Sicherheit beim Zutritt zu Gebäuden mit einer Bluetooth-basierten mobilen Technologie

datensicherheit.de, 09.07.2018
Zutritt 5.0: Zeitenwende bei der Zutrittskontrolle / Viele Unternehmen setzen bereits elektro­nische Ausweise für die ­Zutrittskontrolle, Zeiterfassung und weitere Anwendungen ein

Von unserem Gastautor Roman Spitzbart, VP Solutions Engineering EMEA bei Dynatrace

[datensicherheit.de, 24.03.2026] Cloud-Infrastrukturen sind heute das digitale Rückgrat von Behörden, Unternehmen und Organisationen – und damit auch ein attraktives Ziel für Angriffe und Missbrauch. Wer moderne Systeme betreibt, muss nicht nur für Leistung und Verfügbarkeit sorgen, sondern auch für Kontrolle, Nachvollziehbarkeit und Sicherheit. Dabei ist die Grundlage jeder Entscheidung eine verlässliche Datenbasis: präzise, vollständig und strukturiert erfassbar. Genau hier kommt OpenTelemetry ins Spiel – ein offener Standard, der sich zunehmend als technische Basis für Observability durchsetzt.

Roman Spitzbart, VP Solutions Engineering EMEA bei Dynatrace, Bild: Dynatrace

OpenTelemetry – Transparenz ist Voraussetzung für sichere, auditierbare und steuerbare IT-Prozesse

OpenTelemetry ermöglicht es, Metriken, Logs und Traces aus unterschiedlichsten Systemen konsistent zu erfassen, unabhängig von Sprache, Anbieter oder Infrastruktur. Das schafft eine gemeinsame Sprache für Betriebsdaten, die besonders in hybriden oder stark regulierten Umgebungen essenziell ist. Denn Transparenz ist keine Option mehr, sondern Voraussetzung für sichere, auditierbare und steuerbare IT-Prozesse.

Insbesondere im Hinblick auf Sicherheitsanforderungen ist die Offenheit von OpenTelemetry ein zentraler Vorteil. Statt auf abgeschottete Monitoring-Tools mit proprietären Formaten angewiesen zu sein, lassen sich mit OTel standardisierte Datenpfade etablieren. Sie dienen als Grundlage für nachvollziehbares Security-Monitoring, sowohl im Tagesbetrieb als auch im Fall forensischer Analysen. So entsteht ein verlässliches Fundament für Transparenz, das technologische Offenheit mit operativer Sicherheit verbindet.

Vom Datenstrom zum Systemverständnis

Doch mit der bloßen Erfassung ist wenig gewonnen. Erst wenn Telemetriedaten intelligent analysiert und in Zusammenhang gestellt werden, entsteht ein vollständiges Lagebild. Das betrifft nicht nur Performance oder Verfügbarkeit, sondern erfassen vermehrt auch sicherheitsrelevante Zusammenhänge innerhalb der Systemarchitektur. Wo treten ungewöhnliche Zugriffsmuster auf? Welche Services interagieren unerwartet miteinander? Wurden in einer bestimmten Umgebung neue Konfigurationsdateien geladen?

Moderne Observability-Plattformen übernehmen hier die Aufgabe, Signale zu verknüpfen, Systemtopologien zu verstehen und Muster in Echtzeit zu erkennen. Dadurch werden Zusammenhänge sichtbar, die mit klassischen Monitoring-Lösungen oft verborgen bleiben. Ein einzelner Logeintrag oder ein auffälliger Metrikwert erhält erst dann Bedeutung, wenn er in Beziehung zu Traces, Deployments oder User-Verhalten gesetzt wird.

Gerade in sicherheitsrelevanten Systemlandschaften ist diese Fähigkeit zentral. Sie ermöglicht es, verdeckte Risiken zu erkennen, operative Unregelmäßigkeiten zu bewerten und technische Schwachstellen nicht nur zu vermuten, sondern nachzuweisen. Das reduziert die Reaktionszeit im Ernstfall und stärkt zugleich die strategische Fähigkeit, Systeme resilient und kontrollierbar zu betreiben.

Causal AI im Dienst der Ursachenanalyse

Mit wachsender Systemkomplexität steigen auch die Anforderungen an die Analyse. Die manuelle Rekonstruktion von Ursache-Wirkung-Zusammenhängen wird schnell zur Überforderung – vor allem im Kontext sicherheitsrelevanter Zwischenfälle, bei denen schnelle Ursachenklärung gefragt ist. Hier setzt Causal AI an: ein Analyseansatz, der nicht nur Muster erkennt, sondern gezielt nach den zugrunde liegenden Auslösern sucht.

Causal AI unterscheidet sich von herkömmlicher Künstlicher Intelligenz vor allem durch die Nachvollziehbarkeit ihrer Ergebnisse. Sie analysiert nicht nur Korrelationen, sondern rekonstruiert kausale Zusammenhänge. In einigen Szenarien ist das besonders entscheidend – etwa zur präzisen Rekonstruktion eines Datenlecks oder zur forensischen Aufarbeitung einer kompromittierenden Systemaktivität.

Die Bedeutung dieser Technologie zeigt sich auch in der Praxis: Statt pauschale Alarmmeldungen zu erzeugen, liefert Causal AI konkrete, priorisierte Ursachenketten. So lässt sich etwa nachvollziehen, dass ein Konfigurationsfehler in einer spezifischen Build-Umgebung zu einer Eskalation im Zugriffssystem geführt hat, verbunden mit klaren Zeitstempeln, Systempfaden und Benutzerinteraktionen. Für Sicherheitsteams bedeutet das: weniger Aufwand bei der Ursachenanalyse, höhere Verlässlichkeit in der Bewertung und eine bessere Grundlage für Berichte, Audits und Reaktionen.

Von reaktiv zu präventiv

Sicherheitsarbeit beginnt heute nicht mehr mit dem Alarm, sondern mit der systematischen Vermeidung von Risiken. Wer erst reagiert, wenn der Schaden bereits entstanden ist, handelt zu spät. Präventive Sicherheit erfordert die Fähigkeit, Anomalien frühzeitig zu erkennen, Risiken automatisch zu bewerten und proaktiv gegenzusteuern. AI-gestützte Observability-Plattformen liefern dafür die technische Grundlage.

Wenn Telemetriedaten nicht nur gesammelt, sondern kontinuierlich analysiert und bewertet werden, entsteht ein Frühwarnsystem, das sowohl technische als auch sicherheitsbezogene Abweichungen zuverlässig erkennt. Beispielsweise kann eine Plattform registrieren, dass ein bestimmter Authentifizierungsmechanismus in mehreren Regionen ungewöhnlich oft scheitert – ein potenzieller Hinweis auf ein Brute-Force-Szenario. Oder sie stellt fest, dass sich die Latenz eines internen Services in Verbindung mit einer neuen Container-Version signifikant verändert, mit möglichen Auswirkungen auf die Zugriffssteuerung.

Der entscheidende Fortschritt liegt jedoch nicht nur in der Erkennung, sondern in der Handlungsfähigkeit: moderne Systeme liefern konkrete Empfehlungen für Gegenmaßnahmen, basierend auf bekannten Mustern und kontextuellen Bewertungen. Diese Vorschläge lassen sich in automatisierte Reaktionspfade integrieren – von der Priorisierung über das Alert-Routing bis hin zur Umsetzung durch integrierte Workflows. Damit wird Sicherheit nicht zur Reaktion, sondern zum kontinuierlich lernenden System.

Offenheit trifft Automatisierung – auch in der Security

Der zentrale Gewinn liegt in der Verbindung von Offenheit und Automatisierung. OpenTelemetry liefert die Grundlage für eine einheitliche Datenerhebung, moderne DevOps-Prozesse schaffen die Flexibilität für dynamische Infrastrukturen – und intelligente Plattformen übersetzen diese Daten in belastbare Entscheidungen. Für Sicherheitsverantwortliche entsteht daraus eine Infrastruktur, die Transparenz, Kontrolle und Reaktion in einem integrierten Prozess vereint.

Gerade in verteilten oder regulierten Umgebungen zeigt sich der Vorteil eines solchen Ansatzes: Statt mühsam Informationen aus Einzelsystemen zusammenzutragen, liegt ein vollständiges, strukturiertes und jederzeit nachvollziehbares Bild vor – für Audits ebenso wie für den operativen Alltag. Das reduziert die Fehleranfälligkeit, entlastet Personalressourcen und erhöht die Fähigkeit, auch unter Druck sicherheitsrelevante Entscheidungen zu treffen.

Die klassische Trennung zwischen Security, Operations und Development wird dadurch zunehmend obsolet. Statt in isolierten Fachdisziplinen zu arbeiten, greifen Prozesse, Daten und Verantwortlichkeiten ineinander. Und genau darin liegt der eigentliche Fortschritt: Observability wird zum Bindeglied zwischen Technologie und Sicherheit, zwischen Erkennen und Handeln, zwischen operativer Realität und strategischer Steuerung.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2026
Software mit bekannten Sicherheitslücken bei 87 Prozent der Unternehmen in Betrieb

datensicherheit.de, 17.02.2026
Cybersicherheit – Wenn eine verzerrte Selbstwahrnehmung zum Sicherheitsrisiko wird

[datensicherheit.de, 17.03.2026] Karsten Hauffe, „Head of Public, Defense & Energy“ bei NTT DATA DACH, kommentiert die gegenwärtige geopolitische Situation wie folgt: „Ukraine, Grönland, Iran – die geopolitischen Umbrüche der vergangenen Tage, Wochen und Monate haben eines deutlich gemacht: Die alte Weltordnung existiert nicht mehr – Europa muss sich von Abhängigkeiten befreien und selbst für seine Sicherheit sorgen. Rüstung und Verteidigung sind daher keine Tabuthemen mehr, sondern stehen in Brüssel, Berlin und den anderen europäischen Hauptstädten inzwischen wieder ganz weit oben auf der Agenda!“

Foto: NTT DATA

Karsten Hauffe: Souveränität bedeutet dabei Kontrolle und Unabhängigkeit, wobei zu dieser Unabhängigkeit auch zählt, Lösungen frei auswählen und bei Bedarf auch verändern oder austauschen zu können

In Europa fließen viele Milliarden in Lösungen für zuverlässige digitale Kommunikation und KI-Auswertung

„Fast alle EU-Staaten haben ihre Verteidigungsausgaben erhöht und investieren kräftig in neues Material und moderne Technologien. Viele Milliarden fließen dabei auch in Lösungen für die zuverlässige digitale Kommunikation und die KI-Auswertung von Aufklärungsdaten, in softwaregesteuerte Waffensysteme und natürlich in eine effiziente digitale Verwaltung“, so Hauffe.

• Schließlich benötige eine schlagkräftige Truppe auch schnelle und reibungslose Beschaffungs- und Versorgungsprozesse.

Mehr noch als die Wirtschaft und die öffentliche Verwaltung seien das Militär, seine Dienstleister und seine Zulieferer allerdings auf robuste, sichere und souveräne Lösungen angewiesen. Jede digitale Komponente müsse jederzeit absolut zuverlässig funktionieren, „damit die europäischen Staaten im Verteidigungs- und Bündnisfall handlungsfähig bleiben“.

Hyperscaler für Europa ungeeignet – zu großes Risiko, von anderen Mächten fremdbestimmt zu werden

Anders als in den meisten Unternehmen, in denen ein Hacker-Angriff oder der Ausfall eines „Cloud“-Dienstes vor allem finanzielle Schäden verursache und schlimmstenfalls Arbeitsplätze kosten könne, stünden bei kompromittierten oder nicht zur Verfügung stehenden Militärsystemen schnell Menschenleben und die nationale Unabhängigkeit auf dem Spiel.

• Hyperscaler sowie proprietäre Architekturen und Plattformen seien deshalb ungeeignet – „zu groß ist das Risiko, dass fremde Mächte ihre Abschaltung veranlassen, die Funktionalitäten einschränken oder auf die gespeicherten Daten zugreifen“.

„Combat Clouds“ beispielsweise, „in denen Daten von Sensoren, Verteidigungssystemen und Kommandoeinheiten zusammenfließen und in Echtzeit über Satelliten oder 5G ausgetauscht werden“, müssten daher auf Basis souveräner Plattformen als „Private Cloud“ oder sogar „Air-Gapped Cloud“ gestaltet werden.

Aufbau Souveräner Umgebungen in Europa – große Sorgfalt bei Auswahl der Anbieter sowie sicherer Implementierung

Aber auch in anderen Bereichen wie der Verwaltung sei es unerlässlich, „dass Anwendungen auf eigenen, unabhängigen Infrastrukturen laufen und wichtige Daten den Perimeter nie verlassen“.

• Dabei erfordere der Aufbau solcher Souveränen Umgebungen nicht nur große Sorgfalt bei der Auswahl der Anbieter, sondern auch bei der sicheren Implementierung – „stehen sie doch ganz besonders im Visier von (oft staatlich organisierten) Hacker-Gruppierungen“. 2025 seien nämlich Regierungs- und Militärorganisationen die am zweithäufigsten via Ransomware attackierte „Branche“ gewesen.

Der Schutz militärischer Netzwerke und Systeme erfordere weit mehr als verschlüsselte Verbindungen und Firewalls: Notwendig seien mehrstufige Sicherheitsansätze mit Echtzeit-Bedrohungsanalysen, autonomen Reaktionen und „Zero Trust“-Prinzipien – sowie der Aufbau einer modernen Sicherheitskultur. „In dieser werden alle Beteiligten mit Trainings für sicherheitsbewusstes Verhalten sensibilisiert und betrachten Fehler als Chance für Verbesserungen statt für Schuldzuweisungen.“

Europa kann nur mittels sicherer und souveräner Lösungen verteidigungsfähig werden

Anwender müssten akzeptieren, dass bei der Nutzung digitaler „Tools“ viel Disziplin notwendig sei – und übergeordnete Stellen in der Beschaffung müssten den Fokus weg von Preis- und „Feature“-Vergleichen auf Kriterienkataloge richten, welche auch Portabilität, Auditierbarkeit, Lieferketten-Transparenz und Exit-Strategien berücksichtigten.

• Letztlich könne sich Europa nur mit sicheren und souveränen Lösungen verteidigungsfähig machen. Hauffe: „Souveränität bedeutet dabei Kontrolle und Unabhängigkeit, wobei zu dieser Unabhängigkeit auch zählt, Lösungen frei auswählen und bei Bedarf auch verändern oder austauschen zu können.“

Souveränität bedeute hingegen nicht, alles in Eigenregie stemmen zu müssen, denn dafür sei der Modernisierungsbedarf einfach zu groß und die moderne IT- und KI-Welt zu komplex. Vielmehr könne es durchaus sinnvoll sein, Expertise von außen hinzuzuziehen, „solange die Partner unabhängig und vertrauenswürdig sind“. Hauffe gibt abschließend zu bedenken: „Schließlich muss nicht nur eine robuste, sichere und souveräne Verteidigungslandschaft aufgebaut, sondern diese auch langfristig gepflegt und kontinuierlich an neue Bedrohungsszenarien sowie technologische Neuerungen angepasst werden!“

Weitere Informationen zum Thema:

NTT DATA
NTT DATA Technology Foresight 2026 / Nachhaltiges Wachstum im Zeitalter allgegenwärtiger Intelligenz

Linkedin
Karsten Hauffe

EUROPEAN DEFENCE AGENCY, 02.09.2025
EU defence spending hits €343 bln in 2024, EDA data shows

CHECK POINT
Was ist Ransomware?

datensicherheit.de, 11.02.2026
Bitkom-Podcast: Verfassungsschutz-Präsident fordert, Digitale Souveränität mit massiven Mitteln voranzutreiben / Bitkom-Präsident Dr. Ralf Wintergerst sprach mit BfV-Präsident Sinan Selen im Vorfeld der diesjährigen „Münchner Sicherheitskonferenz“

datensicherheit.de, 08.02.2026
Strategische Notwendigkeit: Die drei Grundpfeiler Digitaler Souveränität Europas / Digitale Souveränität ist die Fähigkeit, als Organisation in Europa handlungsfähig zu bleiben – selbst wenn globale Lieferketten reißen oder politische Spannungen digitale Datenflüsse unterbrechen

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

datensicherheit.de, 01.01.2026
Cybersicherheit und Digitale Souveränität: Wie Europa die Kontrolle zurückgewinnen kann / Pierre-Yves Hentzen kommentiert aktuelle Entwicklungen und skizziert Wege zur Digitalen Souveränität Europas

[datensicherheit.de, 10.03.2026] Laut einer Meldung der Technischen Universität Dresden (TUD) vom 9. März 2026 startete dort mit einem Kick-off-Meeting jetzt offiziell das Forschungsprojekt „ALL#HANDS – Robustes Daten-Ökosystem für ein kooperatives Internet-Lage- und Informationszentrum“. In dem Verbund arbeiten werden demnach in den kommenden drei Jahren acht Partner aus Wissenschaft und Wirtschaft zusammenarbeiten, um die digitale Resilienz in Deutschland nachhaltig zu stärken.

Foto: © Thomas Liske

„ALL#HANDS“: Nach dem Kick-off-Meeting an der TUD startet das Forschungsprojekt

„ALL#HANDS“ soll sicheres und vertrauenswürdiges Daten-„Ökosystem“ ermöglichen

Ziel des Projekts sei es, die digitale Widerstandsfähigkeit in Deutschland zu verbessern: „Das heißt: Internet- und Datensysteme sollen besser mit Störungen, Ausfällen oder Angriffen umgehen können!“

• Dazu erfolge der Aufbau leistungsfähiger, betreiberübergreifender Lage-Analysen für digitale Infrastrukturen. Diese sollen laut TUD Störungsverläufe und gegenseitige Abhängigkeiten transparent machen, datenbasierte Reaktionen im Ereignisfall unterstützen und eine abgestimmte Notfallplanung ermöglichen.

Insbesondere Kleine und Mittlere Unternehmen (KMU) sollen so im Krisenfall besser unterstützt werden. „Dazu schafft ,ALL#HANDS’ ein sicheres und vertrauenswürdiges Daten-,Ökosystem’, um Netzdaten der deutschen Internet-Wirtschaft risikoarm zusammenzuführen.“

„ALL#HANDS“ unter 90 Einreichungen zusammen mit sechs weiteren Projekten ausgewählt

Ein weiterer zentraler Aspekt dieses Projekts sei die Entwicklung eines Digitalen Zwillings zur Simulation von Netzstörungen und Krisenszenarien – etwa bei Software-Fehlern oder Stromausfällen. Darauf aufbauend entstehe ein Bürgerinformationssystem, um komplexe Lagen verständlich aufzubereiten. „Rechtliche, organisatorische und menschliche Rahmenbedingungen werden begleitend untersucht.“

• „ALL#HANDS“ sei in der Fördermaßnahme „Nutzen in Daten-Ökosystemen: Wettbewerb – Kommunikation – Kooperation“ unter 90 Einreichungen zusammen mit sechs weiteren Projekten durch das Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR) ausgewählt worden und werde mit rund 2,9 Millionen Euro gefördert.

Projektpartner sind laut TUD: Leitwert GmbH, IBH IT-Service GmbH, IPB Internet Provider in Berlin GmbH, BCIX Management GmbH, eco Service GmbH, Hochschule für Angewandte Wissenschaften Hamburg, Technische Universität Dresden, Technische Universität München.

Weitere Informationen zum Thema:

ALL#HANDS
Robustes Daten-Ökosystem für ein kooperatives Internet-Lage- und Informationszentrum (ALL-HANDS)

Bundesministerium für Forschung, Technologie und Raumfahrt
Nutzen in Daten-Ökosystemen: Wettbewerb – Kommunikation – Kooperation (DigiNutzenDat) | Stichtag: 28. Februar 2025

WIKIPEDIA
Digitaler Zwilling

datensicherheit.de, 25.02.2025
Neue Maßstäbe für dynamische Planungssicherheit: Digital Zwillinge und Daten-Streaming / Digitale Zwillinge bilden Objekte oder Prozesse in einer virtuellen Umgebung ab und nutzten umfangreiche Echtzeitdaten zur realistischen Simulation

datensicherheit.de, 05.02.2026
Moderne OT-Resilienz: Digitale Zwillinge als wichtige Bausteine / Neben kontinuierlichem „Exposure Management“ braucht operative Resilienz in OT-Umgebungen konkrete technische und organisatorische Hebel: Zugangskontrollen, belastbare Testumgebungen und kompensierende Maßnahmen für „Legacy“-Systeme

Ein Kommentar von unserem Gastautor Sam Curry, VP und CISO in Residence bei Zscaler

[datensicherheit.de, 09.03.2026] OpenClaw ist eines dieser Tools, das wie ein Produktivitäts-Hack aussieht und sich wie ein Betriebsmodell verhält. Sobald es installiert ist, klinkt es sich übergreifend in Anwendungen und Kernfunktionen des Betriebssystems ein, sodass es im Namen eines Users agieren kann. Es ermöglicht dem Benutzer ein Umdenken von der Bedienung von Menüs und einer Abfolge von Arbeitsschritten hin zu gewünschten Absichten. Ein Sprachbefehl, eine Abstraktionsschicht, und plötzlich fühlt sich der Computer weniger wie eine Maschine an, sondern eher wie eine Erweiterung des Menschen. Alle Macht wird an einem Ort gebündelt und die Komplexität verschwindet. Der User erhält eine neue Dimension für die Umsetzung seiner Ziele und Absichten, die zuvor nicht denkbar war. Der Funktionsumfang und die versprochene Produktivitätssteigerung durch OpenClaw haben etwas Magisches an bisher nicht denkbarer Automatisierung an sich.

Sam Curry, VP und CISO in Residence bei Zscaler, Bild: Zscaler

Openclaw – Die Sicherheit bleibt auf der Strecke

Das Problem dabei: die gleiche Konsolidierung der Fähigkeiten konsolidiert auch die Risiken. Die Installation eines solchen Tools auf einem persönlichen Gerät bedeutet die Übergabe von Administratorrechten für Unix-ähnliche Systeme oder vollständige Administratorberechtigungen unter Windows. Ausgestattet mit diesen Rechten kann OpenClaw umsetzen, was normalerweise Aufwand beim User verursacht: Prompts, Passwörter, Genehmigungen.

Einfach ausgedrückt: Die Sicherheitsvorkehrungen, die den Menschen zum Innehalten zwingen, werden damit unterlaufen. Das Tool ist so konzipiert, dass es für den User entscheiden und in seinem Namen handeln kann.

Dieses Ausmaß an gewährten Berechtigungen auf einem System kann jedoch katastrophale Folgen haben, wenn ein Malware-Akteur sich Zugang zum Tool verschaffen kann. Cyberkriminelle profitieren auf diese Weise von den gleichen Berechtigungen. Sie müssen sich nicht mehr durch verschiedene Kontrollen und Tools kämpfen, ihnen fällt der unbegrenzte Zugriff auf die Abstraktionsebenen gewissermaßen in den Schoß.

Für Unternehmen läuten Alarmglocken

Es wundert nicht, dass die erste Reaktion von Unternehmen zu einem Verbot eines solch leistungsfähigen, aber gefährlichen Tool führt. OpenClaw macht das User-Gerät  zum ultimativen Perimeter. Und die meisten Unternehmen haben bereits Schwierigkeiten, den eigentlichen Perimeter um das Unternehmensnetzwerk sicher zu gestalten. OpenClaw führt zum genauen Gegenteil der Kontrollfunktion auf Basis der geringstmöglichen Zugriffsberechtigungen innerhalb des Computers: maximales Vertrauen, maximaler Zugriff, verpackt auf einer userfreundlichen Oberfläche.

Ein erfahrener Angreifer könnte sich zwar auf herkömmliche Weise Zugang zu einem System verschaffen. Ein solcher Prozess geht in aller Regel jedoch mit einem zeitaufwändigen Durchforsten des Systems voller Hindernisse und potenzieller Fehlerquellen einher, die zur Entdeckung führen können. Ein Toolkit wie OpenClaw verwandelt jedes User-Gerät in eine Tür – durchschreitet sie ein Angreifer, ist die Privatsphäre dahin. Das Tool hat die Macht eines Tors zur  IT-Umgebung, und genau das ist es, was Unternehmen zu Recht fürchten.

Die agentenbasierte KI-Zukunft geht mit Gefahren einher

Darüber hinaus gibt es ein weiteres potenzielles Risiko bei der Verwendung des Tools. Heutzutage führen KI-Agenten nicht nur Aktionen aus, sondern erwerben auch Fähigkeiten. Wenn das Tool dazu gebracht werden kann, Pakete herunterzuladen, auf Repositories zuzugreifen und Abhängigkeiten zu installieren, könnte auf der Ebene jeder einzelnen Maschine eine Lieferketten-Angriffsfläche entstehen. Laut der aktuellen Zscaler Resilienz-Umfrage rechnen fast zwei Drittel (62 Prozent) der deutschen IT-Führungskräfte damit, dass es innerhalb der nächsten zwölf Monate zu einer größeren Störung durch einen Lieferanten oder Drittanbieter kommen wird. OpenClaw hat das Potenzial, diese Störung innerhalb eines Lieferanten-Ökosystems in großem Maßstab zu beschleunigen und damit die Widerstandsfähigkeit eines Unternehmens zu untergraben. Es hat die Fähigkeiten, mehr als nur den einzelnen User zu phishen. Es versetzt den KI-Agenten in die Lage, die Arbeit des Angreifers von der Installation eines Trojaners im Gebäude bis hin zu Administratorrechten zu erledigen und dies über eine userfreundliche Oberfläche.

Unternehmen sollten nicht in Panik geraten, sondern Maßnahmen ergreifen. Diese Tools versprechen ein beispielloses Produktivitätsniveau und IT-Teams müssen sich langfristig betrachtet damit arrangieren. Für die Unternehmens-IT gilt es, der Bedrohung einen Schritt voraus zu sein und Agenten als neue Arbeitskräfte mit eigener Identität zu behandeln, die gegen unberechtigten Zugang abgesichert werden. Dazu ist eine Verschärfung der Installations- und Berechtigungsgrenzen notwendig. Mit einer Zero Trust-basierten Sicherheitsplattform können IT-Teams Verteidigungsmaßnahmen ergreifen, die nicht zu Produktivitätsverlusten für die User führen. Auf diese Weise erhält die IT die Möglichkeit, die Authentifizierung zu modernisieren und nachzuweisen, wer Aktionen durchführt – selbst wenn es sich um KI-Agenten handelt, die anstelle von Menschen agieren.

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2019
Zero Trust: Warum die Zeit gerade jetzt dafür reif ist

[datensicherheit.de, 09.03.2026] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit Blick auf die aktuelle Cybersicherheitslage in Deutschland einen mehrdimensionalen Lösungsansatz vorgestellt. Auf der „Cyber Security Conference“ (CSC) von Schwarz Digits hat die BSI-Präsidentin, Claudia Plattner, am 5. März 2026 demnach einem Fachpublikum aus den Bereichen IT-Sicherheit, Wirtschaft, Politik und Wissenschaft das „Wheel of Motion“ – eine Konzeptskizze für Lösungsstrategien im Umgang mit Cyberaggression – vorgestellt.

Foto: Schwarz Digits

Claudia Plattner am 5. März 2026 auf der „Cyber Security Conference“ by Schwarz Digits, das „Wheel of Motion“ präsentierend

Cybersicherheit durch „Cyber Crime“, „Cyber Dominance“ und „Cyber Conflict“ bedroht

Laut Plattner stehen Deutschland und Europa unter dem permanenten Druck von „Cyber Crime“ (d.h. Straftaten im Digitalen Raum, welche vorrangig aus finanziellen Motiven begangen werden), „Cyber Dominance“ (also Einflussnahme mittels digitaler Produkte, welche Herstellern Zugriff auf Informationen und Funktionen ermöglichen) und „Cyber Conflict“ (mithin staatlich gelenkte Angriffe mit ideologischem, politischem oder militärischem Hintergrund).

• Gegen diese drei Hauptkategorien von Cyberaggression soll nun das „Wheel of Motion“ drei Maßnahmenarten ins Feld führen.

Plattner führt aus: „Als Cybersicherheitsbehörde Deutschlands ist es unser Anspruch, nicht nur Probleme zu skizzieren, sondern auch Lösungen dafür zu entwickeln. Den Spielarten von Cyberaggression müssen wir im Jahr 2026 mit einem 360-Grad-Blick begegnen, denn Deutschland darf nicht darin verharren, seine Sicherheitsmaßnahmen ausschließlich von den Motiven und Handlungen seiner Angreifer abhängig zu machen!“

Abbildung: BSI

„Wheel of Distortion“ zur Analyse der Welt(un)ordnung im Digitalen Raum

Abbildung: BSI

„Wheel of Motion“ soll einen 360-Grad-Blick auf die Sicherheit im Digitalen Raum ermöglichen

Richtungsweisung für Deutschland und Europa in Cybersicherheitsfragen

Das „Wheel of Motion“ zeige auf, in welche Richtung sich Deutschland und Europa aus Cybersicherheitssicht bewegen müssten, um echte Cybersicherheit, nachhaltige Resilienz und digitalen Erfolg zu erreichen.

• So ist aus Sicht des BSI eine gezielte Automatisierung von Sicherheitsmaßnahmen („Cyber Automation“) der aktuell wichtigste Schritt gegen solche Gefahren, welche von „Cyber Crime“ ausgehen.

In diesem Zusammenhang baue das BSI im Auftrag des Bundesinnenministeriums einen „Cyberdome“ für Deutschland auf – einen digitalen Schutzschirm, um Angriffe automatisiert abzuwehren. Mit Blick auf Bedrohungen durch „Cyber Conflict“ setze das BSI auf eine starke Abwehr („Cyber Defense“) mit effizienten Strukturen, definierten Schnittstellen und einer verbesserten Kooperationsstrategie innerhalb der staatlichen Cybersicherheitsarchitektur.

BSI verfolgt Doppelstrategie für Cybersicherheit

Um „Cyber Dominance“ im Sinne Digitaler Souveränität und Kontrolle („Cyber Control“) etwas entgegenzusetzen, verfolge das BSI eine Doppelstrategie für die Cybersicherheit: Diese werbe in erster Linie für eine signifikante Stärkung der europäischen Digitalindustrie, wobei das BSI Unterstützung in puncto Sicherheit leiste.

• Das „Wheel of Motion“ zeige, in welchen Technologiefeldern diese Stärkung in besonderem Maße geboten sei. Des Weiteren müssten außereuropäische Produkte mit Hilfe technischer Kontrollschichten so abgesichert werden, dass eine selbstbestimmte Nutzung möglich wird.

Mit Schwarz Digits, der IT-Sparte der Schwarz-Gruppe und Veranstalterin der CSC hatte das BSI nach eigenen Angaben vor wenigen Wochen im Rahmen der „Münchner Sicherheitskonferenz“ eine strategische Partnerschaft geschlossen. Das gemeinsame Ziel bestehe darin, die Digitalisierung in Deutschland strategisch voranzutreiben und gleichzeitig abzusichern: „Im Rahmen konkreter Projekte für die Bundesverwaltung sollen innovative und hochperformante Produkte mit zeitgemäßen Sicherheits- und Souveränitätseigenschaften entwickelt werden.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.

Bundesamt für Sicherheit in der Informationstechnik
Die Leitung des BSI: Die Präsidentin – Claudia Plattner

Bundesamt für Sicherheit in der Informationstechnik, Cybernation-Blog, Claudia Plattner, 06.03.2026
Wheel of Motion: Ein 360-Grad-Blick auf die Sicherheit im digitalen Raum

Bundesamt für Sicherheit in der Informationstechnik, Cybernation-Blog, Claudia Plattner, 13.02.2026
Wheel of Distortion: Welt(un)ordnung im digitalen Raum

CYBER SECURITY CONFERENCE BY SCHWARZ DIGITS
Knowledge Transfer at the Highest Level: Exclusive Insights in an Inspiring Setting

schwarz digits
Höchste Zeit für digitale Unabhängigkeit – BE INDEPENDENT

Die Bundesregierung, 27.08.2025
Eckpunkte für mehr Cybersicherheit beschlossen: Die Bundesregierung will für mehr Sicherheit im Internet sorgen. Dafür hat das Bundeskabinett nun entsprechende Eckpunkte beschlossen. Diese sehen einen sogenannten Cyberdome zur Verteidigung im Netz vor – und zielen auf mehr Befugnisse und Übungen ab.

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden

[datensicherheit.de, 26.02.2026] Sicherheitsforscher von „Check Point Research“ (CPR) haben eine neue Forschungsanalyse veröffentlicht, welche auf KI-Assistenten als verdeckte Befehls- und Kontrollkanäle sowie KI-gesteuerte Malware fokussiert. Diese stehen demnach für einen Wendepunkt im modernen Cyberrisiko – mit Auswirkungen auf alle Branchen, welche die Einführung Künstlicher Intelligenz (KI) vorantreiben. In dieser neuen Realität seien KI-Sicherheit und Unternehmenssicherheit untrennbar miteinander verbunden – und Unternehmen müssten sicherstellen, dass die beschleunigte Einführung von KI nicht versehentlich Schwachstellen schafft, welche Angreifer ausnutzen könnten.

Foto: Check Point

Eli Smadja rät Unternehmen, agentenbasierte KI-Funktionen zu nutzen, um den Datenverkehr zu und von KI-Diensten zu überprüfen und zu kontextualisieren sowie böswillige Kommunikationsversuche zu blockieren

Malware-Entwicklung von statischer, signaturbasierter Logik hin zu KI-gesteuerten Implantaten

KI-Assistenten wie z.B. „Microsoft Copilot“ und „Grok“ unterstützten Webbrowsing- oder URL-Abruf-Funktionen. Sie könnten als verdeckte C2-Proxys missbraucht werden, so dass Malware Daten mit der Infrastruktur des Angreifers austauschen könne, während sie sich nahtlos in den normalen KI-Datenverkehr des Unternehmens einfüge.

• Malware gehe von statischer, signaturbasierter Logik zu KI-gesteuerten Implantaten über, welche in der Lage seien, Entscheidungen in Echtzeit zu treffen – darunter die Einstufung von Opfern, die Priorisierung von Dateien, die Auswahl von Befehlen, die Umgehung von „Sandboxes“ und die Anpassung von Taktiken während des Betriebs. Zusammen zeigten diese Erkenntnisse eine Zukunft, in der KI nicht mehr nur den Angreifer unterstütze, „sondern Teil seiner Infrastruktur ist“.

Eli Smadja, CPR-Leiter, erläutert hierzu: „KI wird nicht nur in alltägliche Geschäftsabläufe integriert, sondern genauso wird sie auch in die Abläufe von Angreifern integriert. Angreifer benötigen keine hochentwickelte Infrastruktur mehr, sondern lediglich Zugang zu allgemein vertrauenswürdigen KI-Diensten.“

KI-Datenverkehr mit derselben Sorgfalt überwachen wie jeden anderen risikoreichen Kanal

Um also sicher zu bleiben, müssten Unternehmen den KI-Datenverkehr mit derselben Sorgfalt überwachen wie jeden anderen risikoreichen Kanal, strengere Kontrollen für KI-gestützte Funktionen durchsetzen und Sicherheitsmaßnahmen ergreifen, „die nicht nur verstehen, was KI tut, sondern auch warum“.

• Smadja legt nahe: „Dazu sollten sie agentenbasierte KI-Funktionen nutzen, um den Datenverkehr zu und von KI-Diensten zu überprüfen und zu kontextualisieren und böswillige Kommunikationsversuche zu blockieren, bevor sie als verdeckte Kanäle missbraucht werden können.“

Zentrale aktuelle CPR-Erkenntnisse:

• KI-Assistenten können als heimliche C2-Relays missbraucht werden
  Angreifer könnten KI-Assistenten dazu veranlassen, von Angreifern kontrollierte URLs abzurufen und eingebettete Befehle zurückzugeben – ohne API-Schlüssel oder Benutzerkonten –, wodurch Malware die Kommunikation innerhalb des legitimen KI-Datenverkehrs verbergen könne.
• Anonymer KI-Webzugriff macht herkömmliche Kill-Switches überflüssig
  Wenn keine Konten oder Schlüssel erforderlich sind, könnten sich Verteidiger nicht auf herkömmliche Mechanismen zum Abschalten verlassen; der Datenverkehr sehe identisch aus wie bei der alltäglichen KI-Nutzung.
• Malware wird adaptiv und promptgesteuert und nutzt KI als Remote-Gehirn
  Zukünftige AID-Malware könne die Entscheidungsfindung an KI-Modelle auslagern, das Verhalten über infizierte Hosts hinweg dynamisch anpassen und während eines Eindringens dynamische Anweisungen erhalten – wodurch Angriffe schwieriger vorherzusagen, zu erkennen und zu analysieren seien.
• KI wird Targeting, Datendiebstahl und Ransomware-Operationen beschleunigen
  Anstatt alles zu verschlüsseln, könnte KI-gesteuerte Ransomware bald nur noch hochwertige „Assets“ identifizieren und mit minimal beobachtbarer Aktivität agieren – wodurch sich das Zeitfenster für die Erkennung von Minuten auf Sekunden verkürze.
• KI-Datenverkehr wirde zu einem blinden Fleck für Unternehmen
  Wenn Unternehmen KI in ihre alltäglichen Arbeitsabläufe integrierten, verließen sich Angreifer zunehmend auf dieselben Dienste, da sie wüssten, dass dieser Datenverkehr erlaubt, vertrauenswürdig und selten überprüft sei.

KI-Tools könnten Teil der Angriffsfläche werden

KI-Tools würden schnell Teil der Angriffsfläche, da sie sich in den legitimen Datenverkehr einfügten – „und in einigen Fällen sogar Teil der Angriffsinfrastruktur selbst werden“. KI-gestützte Kommunikation werde oft als vertrauenswürdig angesehen, sei weit verbreitet und werde selten überprüft, was Angreifern die Möglichkeit gebe, sich im alltäglichen KI-Datenverkehr zu verstecken, so dass sie mit herkömmlichen Erkennungsmethoden nicht ohne Weiteres entdeckt werden könnten.

• Für Unternehmen bedeute dies, dass Bereiche mit KI nun als hochwertige und risikoreiche Ausgangspunkte behandelt werden müssten, wobei der KI-Datenverkehr überprüft und kontextualisiert werden müsse, anstatt ihn als standardmäßig sicheren Datenverkehr zu betrachten, „der denselben Kontrollen unterliegt wie jeder andere kritische Kommunikationskanal“.

Gleichzeitig verändere die Entwicklung hin zu KI-gesteuerter Malware grundlegend die Art und Weise, wie Verteidiger über Cyberbedrohungen denken müssten. Da diese Implantate sich auf KI-Modelle stützen könnten, um Hosts zu triagieren, Ziele auszuwählen, ihr Verhalten anzupassen und beobachtbare Aktivitäten zu minimieren, verlören Verteidigungskontrollen, die auf Signaturen, volumenbasierten Schwellenwerten oder Sandbox-Triggern basierten, erheblich an Wirksamkeit, insbesondere da Malware-Verhalten adaptiv und kontextsensitiv werde.

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH
ABOUT US: Check Point Research provides leading cyber threat intelligence to Check Point Software customers and the greater intelligence community. The research team collects and analyzes global cyber attack data stored on ThreatCloud to keep hackers at bay, while ensuring all Check Point products are updated with the latest protections…

Linkedin
Eli Smadja – Check Point, CP<R>, Research Group Manager

cp<r> CHECK POINT RESEARCH, 17.02.2026
AI in the Middle: Turning Web-Based AI Services into C2 Proxies & The Future Of AI Driven Attacks

datensicherheit.de, 28.01.2026
KI-Agenten und IT-Sicherheit: Zwei Seiten einer Medaille / Für viele Unternehmen steht derzeit die Frage im Raum, ob KI-Agenten auch in sensiblen Bereichen wie der Cybersicherheit eingesetzt werden sollen. Während stetig wachsende Bedrohungen, Überlastung von Mitarbeitern und Fachkräftemangel dafür sprechen, gibt es auch große Vorbehalte. Um Entscheidungen von KI-Assistenten nachvollziehen zu können, sind Sichtbarkeit im Netzwerk und eine zuverlässige Datengrundlage oberste Priorität. Auf der anderen Seite könnten Unternehmen überdies von böswilligen Agenten angegriffen werden – auch hier hilft nur, genau hinzusehen.

[datensicherheit.de, 21.02.2026] Chris Dimitriadis, „Chief Global Strategy Officer“ bei ISACA, kommentiert in seiner aktuellen Stellungnahme das paradox anmutende Phänomen, dass auf dem deutschen IT-Arbeitsmarkt demnach mehr arbeitslose Fachkräfte gibt, zugleich aber auch weniger IT-Sicherheit für Unternehmen. Er bewertet diesen Stellenabbau „als kurzsichtige Reaktion, welche die eigentliche Qualifikationslücke verschärft“. Er betont, dass die entscheidende Frage für jedes Unternehmen lauten müsse, ob sie gerade jetzt gezielt in die Fähigkeiten ihres IT-Sicherheits-Teams Investieren oder doch erst später – nämlich in die Bewältigung von Krisen.

Foto: ISACA

Chris Dimitriadis: Wir können noch nicht das Ende des Fachkräftemangels ausrufen. Was wir wirklich sehen, ist eine Verschiebung der gesuchten Profile!

Trügerischer Schein: Deutlicher Rückgang offener IT-Stellen nebst steigenden Arbeitslosenzahlen im IT-Sektor

Ein deutlicher Rückgang bei offenen IT-Stellen und steigende Arbeitslosenzahlen im IT-Sektor erweckten den Eindruck, der langjährige Fachkräftemangel in Deutschland sei überwunden. „Doch der Schein trügt!“

• ISACA, der globale „Berufsverband für IT-Revisoren, Information Security Officers und IT-Governance-Experten“, warnt davor, die aktuelle Marktlage falsch zu interpretieren.

Während Unternehmen aufgrund der angespannten Wirtschaftslage allgemeine IT-Projekte auf Eis legten und Stellen abbauten, wachse durch neue EU-Regularien ein akuter, nicht verhandelbarer Bedarf an hochspezialisierten Sicherheits- und „Compliance“-Experten – ein von viele Unternehmen bislang ignoriertes Paradoxon.

Verschiebung der gesuchten Profile: Weniger IT-Stellen, indes kein Ende des Mangels

Aktuelle Daten zeichneten ein auf den ersten Blick eindeutiges Bild: „Laut dem Institut der deutschen Wirtschaft (IW) sank die Zahl der offenen IT-Stellen im Jahr 2024 im Vergleich zum Vorjahr um 26,2 Prozent.“

• Gleichzeitig habe die Bundesagentur für Arbeit (BA) im Januar 2026 einen Anstieg der arbeitslosen IT-Fachkräfte um 23,2 Prozent gemeldet.

„Wir können noch nicht das Ende des Fachkräftemangels ausrufen. Was wir wirklich sehen, ist eine Verschiebung der gesuchten Profile. Der Bedarf an Expertinnen und Experten, welche die digitale Widerstandsfähigkeit eines Unternehmens sicherstellen, steigt weiterhin“, so Dimitriadis’ Einschätzung.

Regulatorischer Druck auf IT-Sektor erzeugt neuen, dringenden Bedarf

In dieser Phase der Zurückhaltung schafften EU-Vorschriften Anforderungen, welche Unternehmen nicht ignorieren könnten. Richtlinien wie DORA (Digital Operational Resilience Act) für den Finanzsektor, NIS-2 für Kritische Infrastrukturen (KRITIS) und der „EU AI Act“ verlangten von Unternehmen nachgewiesene Standards für Cybersecurity, Risikomanagement und KI-Governance.

• „Hier liegt die eigentliche Schwachstelle“, betont Dimitriadis. Er erläutert hierzu: „Es geht nicht mehr darum, ob man in Cybersicherheit investieren soll, sondern wie man die richtigen Investitionen tätigt – von der Prävention über die Erkennung bis hin zur Reaktion und Wiederherstellung.“

Dies beginne immer mit ganzheitlich ausgebildeten Fachkräften. Er gibt zu bedenken: „Unternehmen, die jetzt falsche Entscheidungen zur Kostensenkung treffen, riskieren nicht nur schwerwiegende Auswirkungen durch Cyberangriffe, sondern auch hohe Strafen und den Verlust ihrer Betriebserlaubnis.“

Datenschutz-Lücken werden zum existentiellen Risiko

Wie groß die Diskrepanz zwischen Bedarf und Realität bereits ist, belege die aktuelle repräsentative „State of Privacy“-Studie von ISACA. Diese zeige, dass über die Hälfte (51%) der technischen Datenschutz-Positionen in Europa unbesetzt seien, während 44 Prozent der Teams sich als unterfinanziert bezeichneten.

• „Dieser Mangel an Ressourcen ist das direkte Ergebnis eines ,Henne-Ei’-Problems. Ohne die richtigen Teams wird die Kosten-Nutzen-Analyse ungenau sein, und ohne Investitionen kann man nicht die richtigen Teams für diese Aufgabe zusammenstellen“, gibt Dimitriadis zu bedenken.

Er warnt: „Ein einziger schwerwiegender Datenverstoß kann ein Vielfaches dessen kosten, was durch Personalabbau eingespart wurde – ganz zu schweigen vom Verlust des Kundenvertrauens.“

ISACA rät Unternehmen. in Kompetenzen statt Krisen zu investieren

Durch die steigende Arbeitslosigkeit im IT-Sektor verschärfe sich der Wettbewerb um attraktive Positionen. Arbeitgeber könnten es sich leisten, wählerischer zu sein und suchten vermehrt nach Kandidaten, welche nicht nur technische Fähigkeiten, sondern auch strategisches Verständnis und zertifizierte Expertise nachweisen könnten.

• ISACA unterstützt Unternehmen und Fachkräfte nach eigenen Angaben dabei, diese Herausforderung zu bewältigen. Der Fokus liege darauf, die notwendigen Kompetenzen aufzubauen, um den neuen Anforderungen gerecht zu werden.

Dimitriadis unterstreicht: „Dabei ist es ebenso entscheidend, das vorhandene Personal weiterzubilden, wie neue Expertinnen und Experten zu gewinnen. Führungskräfte müssen verstehen, dass die Stärkung der eigenen Teams der nachhaltigste Weg ist, um digitale Resilienz zu schaffen.“

IT-Arbeitsmarkt bietet aktuell die strategische Chance, die Weichen richtig zu stellen

Anerkannte Zertifizierungen böten hier einen klaren „Fahrplan“: Diese belegten nicht nur Fachwissen, sondern auch die Fähigkeit, dieses strategisch anzuwenden. Der „Certified Information Security Manager“ (CISM) beispielsweise befähige Fachleute, ein ganzheitliches Sicherheitsprogramm zu managen, um Geschäftsziele und regulatorische Pflichten in Einklang zu bringen.

• Der „Certified Information Systems Auditor“ (CISA) bestätige wiederum die Kompetenz, die Wirksamkeit von Kontrollen zu prüfen und so das Vertrauen in die digitalen Prozesse zu untermauern.

Dimitriadis’ Fazit: „Die entscheidende Frage für jedes Unternehmen lautet: Investieren wir jetzt gezielt in die Fähigkeiten unserer Teams oder später in die Bewältigung von Krisen? Die aktuelle Lage am IT-Arbeitsmarkt bietet die strategische Chance, genau hier die richtigen Weichen zu stellen. Anstatt einfach Personal abzubauen, können vorausschauende Unternehmen jetzt die Spezialistinnen und Spezialisten an sich binden und eigene Mitarbeitende qualifizieren, die für den Schutz vor Cyberrisiken und die Einhaltung neuer Regularien unerlässlich sind. Wer diese Gelegenheit nutzt, begreift Sicherheit nicht als Kostenfaktor, sondern als Wettbewerbsvorteil und Basis für vertrauensvolle Kundenbeziehungen und Partnerschaften.“

Weitere Informationen zum Thema:

ISACA
The principles behind our purpose / Our mission and vision reflect the core values that drive everything we do

ISACA
Meet ISACA’s Leadership Team/ Chris Dimitriadis – Chief Global Strategy Officer

ISACA, 15.01.2026
State of Privacy 2026

datensicherheit.de, 06.09.2025
Cyberkrimineller Arbeitsmarkt: Warnendes Indiz für Angriffszunahme mittels Social Engineering / Vor allem Cyberkriminelle mit Expertise im Bereich „Social Engineering“ sind aktuell sehr nachgefragt

datensicherheit.de, 09.08.2025
Bitkom: Weiterhin fehlen mehr als 100.000 IT-Fachkräfte in Deutschland / Der Bitkom kommentiert die von Bitkom Research im Auftrag des Digitalverbands telefonisch durchgeführte repräsentative Umfrage in Unternehmen ab drei Beschäftigten in Deutschland

datensicherheit.de, 15.02.2022
Fachkräftemangel, Insiderbedrohungen und Home-Office – Cyber-Risiken mit Wurzeln in den Unternehmen / Hendrik Schless kommentiert die von Unternehmen viel zu häufig unterschätzten Risiken

[datensicherheit.de, 15.02.2026] Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands, geht in seiner aktuellen Stellungnahme auf das Treffen der internationale Sicherheitspolitik vom 13. bis 15. Februar 2026 München anlässlich der „62. Münchner Sicherheitskonferenz“ ein. Er unterstreicht in seinem Kommentar: „Sicherheit im 21. Jahrhundert bedeutet mehr als militärische Stärke! Zur Sicherheitsarchitektur eines Landes gehört auch das verlässliche Funktionieren unserer Gesellschaft – gerade in Krisen. Resilienz heißt: handlungsfähig bleiben – und dafür braucht es klare Regeln, regelmäßige Prüfungen und eine stärkere europäische Koordinierung.“

Foto: TÜV-Verband / Tobias Koch

Dr. Joachim Bühler kommentiert die „62. Münchner Sicherheitskonferenz“

Sicherheit im 21. Jahrhundert: Synergie aus militärischer Stärke und gesellschaftlicher Resilienz

„Die ,Münchner Sicherheitskonferenz’ zeigt, dass Sicherheitspolitik heute breiter gedacht werden muss. Sicherheit im 21. Jahrhundert heißt, militärische Stärke und gesellschaftliche Resilienz gemeinsam zu denken“, führt Bühler aus.

• Zur Sicherheit eines Landes gehöre auch das verlässliche Funktionieren der Gesellschaft – gerade in Krisen.

Krankenhäuser, Schulen, Pflegeeinrichtungen, Energie- und Wasserversorgung, Verkehr und digitale Netze müssten auch bei Stromausfällen, Cyberangriffen oder anderen Störungen funktional und stabil bleiben. Bühler betont: „Resilienz bedeutet: In kritischen Situationen handlungsfähig bleiben und grundlegende Versorgung aufrechterhalten!“

Plädoyer für grenzüberschreitende, kompatible und wirksame Sicherheitsstandards sowie Krisenmaßnahmen

Zwar verfüge Deutschland über wichtige Vorkehrungen, wie etwa Notstromsysteme und technische Sicherheitsanforderungen.

• Angesichts neuer Bedrohungen brauche es jedoch klarere und verbindlichere rechtliche Vorgaben, regelmäßige Prüf- und Nachweispflichten sowie konsequente Nachkontrollen.

Abschließend gibt Bühler zu bedenken: „Gleichzeitig ist eine stärkere europäische Koordinierung nötig, damit Sicherheitsstandards zusammenpassen und Krisenmaßnahmen grenzüberschreitend greifen!“

Weitere Informationen zum Thema:

TÜV VERBAND
Über uns

TÜV VERBAND
Anlagen: Elektro- und Gebäudetechnik / Stromversorgung als Fundament öffentlicher Sicherheit

mfm – future at work,
mfm – Interview: Drei Fragen an Joachim Bühler

datensicherheit.de, 15.02.2026
DefTech-Startups warnen vor verminderter Verteidigungsfähigkeit Deutschlands / Im Kontext der „Münchner Sicherheitskonferenz 2026“ haben deutsche DefTech-Startups gewarnt: Neun von zehn stufen die Verteidigungsfähigkeit Deutschlands als „gering“ oder „sehr gering“ ein

datensicherheit.de, 13.02.2026
Cybersicherheits-Direktorentreffen und Cyber Security Conference in München: Automatisierte Verteidigung im Fokus / Die Spitzen 32 europäischer Cybersicherheitsbehörden haben sich im Umfeld der „Munich Cyber Security Conference“ (MCSC) zu ihrem jährlichen „Cyber Security Directors‘ Meeting“ (CSDM) getroffen

datensicherheit.de, 09.01.2026
TÜV-Verband zum Stromausfall in Berlin: Deutschlands Infrastruktur braucht mehr Resilienz / Der großflächige Stromausfall vom 3. bis zum 7. Januar 2026 im Südwesten Berlins hat deutlich gemacht, wie verletzlich die technische Infrastruktur in Deutschland ist

datensicherheit.de, 07.01.2026
Nach Stromausfall in Berlin: eco fordert zügige Verabschiedung des KRITIS-Dachgesetzes / Der eco – Verband der Internetwirtschaft e.V. weist angesichts des jüngsten Stromausfalls im Südwesten Berlins abermals warnend auf die Verwundbarkeit Kritischer Infrastruktur (KRITIS) hin

datensicherheit.de, 12.02.2020
Münchner Sicherheitskonferenz: Cyber-Sicherheit wichtiger denn je / eco – Verband der Internetwirtschaft e.V. unterstreicht grundlegende Bedeutung der Digitalen Souveränität