Das vergangene Jahr 2025 war, neben dem AI-Hype und dessen Produkten, die neue Sicherheitslöcher in die IT-Infrastruktur gerissen haben, durch zahlreiche und leider erfolgreiche Cyberangriffe geprägt. Was bringt uns 2026? Anbieter Claroty stellt die Frage, ob 2026 das Jahr des Umbruchs in der Cybersecurity wird.
Mit dem Inkrafttreten der NIS-2-Verordnung in Deutschland dürften einige rechtliche Anforderungen im Hinblick auf die Cybersicherheit auf Verantwortliche zukommen. Sicherheitsanbieter Claroty hat folgende Aussagen als Ausblick für 2026 formuliert.
1. CPS-Security wird zur Pflichtaufgabe für alle CISOs
Die Zeit, in der sich Sicherheitsverantwortliche ausschließlich auf klassische IT-Infrastrukturen konzentrieren konnten, sei, so Claroty, endgültig vorbei. 2026 werde das Jahr, in dem CPS-Sicherheit vom Nischenthema zur Kernkompetenz jedes CISO werden muss. Aus einem ganz einfachen Grund: Cyber-physische Systeme (CPS) sind allgegenwärtig.
Gebäudemanagement-Systeme (GMS) steuern moderne Bürokomplexe, IoT-Sensoren durchziehen Produktionshallen, vernetzte Medizintechnik bestimmt den Klinikalltag. Diese Systeme sind keine isolierten Insellösungen mehr, sondern integraler Bestandteil der Unternehmens-Infrastruktur. Fast jedes moderne Netzwerk weist mittlerweile eine CPS-Komponente auf. Mit potenziell gravierenden Folgen: Ein kompromittiertes GMS legt den gesamten Standort lahm, manipulierte Sensordaten stören Produktionsprozesse, sabotierte vernetzte Medizintechnik gefährdet Menschenleben.
Die Angriffsfläche hat sich so dramatisch vergrößert: Während die IT-Seite der Cybersecurity den Löwenanteil der Aufmerksamkeit erhält, bleiben CPS oft der blinde Fleck in der Sicherheitsarchitektur. Viele dieser Systeme wurden mit Fokus auf Verfügbarkeit und Funktionalität und weniger auf Security entwickelt. Standardpasswörter, fehlende Verschlüsselung und jahrelang nicht gepatchte Firmware sind immer noch üblich.
2026 müssen CISOs ihre Strategie fundamental erweitern: Asset-Discovery muss OT-Netze einschließen, Netzwerksegmentierung wird zum Standard und kontinuierliches Schwachstellenmanagement erstreckt sich auf alle cyber-physischen Komponenten. Wer CPS-Security weiterhin vernachlässigt, riskiert nicht nur Datenverluste, sondern physische Schäden und Betriebsunterbrechungen mit existenzbedrohenden Konsequenzen.
2. Kontinuierliche Cyber-Kriegsführung: Die neue Normalität
Und es gibt eine weitere Aussage, die nicht positiv klingt, aber unterschrieben werden kann. Es gibt keinen Begriff wie "Friedenszeit", wenn es um Cyber-Sicherheit und -Angriffe geht. Was wir in DACH erleben, ist eine kontinuierliche, hybride Kriegsführung, die niemals endet – sie eskaliert lediglich unterschiedlich stark.
Staatlich unterstützte Akteure operieren permanent in den Netzwerken von Unternehmen, Behörden und Regierungen. Sie platzieren Backdoors, kartieren Infrastrukturen und bereiten Angriffe vor, die im Krisenfall aktiviert werden können. Die Grenze zwischen Spionage, Sabotage-Vorbereitung und aktivem Angriff verschwimmt dabei zunehmend.
Dabei besonders im Fokus: die kritische Infrastruktur. Ein erfolgreicher Angriff auf Energieversorger, Wasserwerke, Gesundheitseinrichtungen oder Transportnetze gefährdet die Versorgungssicherheit ganzer Regionen.
Die Konsequenz für 2026: KRITIS-Betreiber müssen von einer reaktiven zu einer proaktiven Security-Haltung übergehen. Da Angreifer systematisch bekannte, ausgenutzte Schwachstellen (Known Exploited Vulnerability, KEV) für ihre Attacken nutzen, kommt dem intelligenten Vulnerability-Management eine Schlüsselrolle zu. Ebenso muss jedes Unternehmen über einen Incident-Response-Plan verfügen und regelmäßig den Ernstfall proben. Denn die Frage ist nicht ob, sondern wann er eintritt.
3. Sicherheitstreiber Compliance: NIS-2 und CRA verändern alles
2026 wird zum Wendejahr für Cybersecurity-Compliance in Europa. Mit NIS-2 und dem Cyber Resilience Act (CRA) greifen zwei regulatorische Instrumente, die Security endgültig zur Chefsache machen und die Verantwortlichkeiten fundamental neu verteilen.
NIS-2 beendet die Ära der Delegation: Die persönliche Haftung des Managements für Cybersecurity-Vorfälle macht Security zum Thema im Vorstandsbüro. CISOs berichten zunehmend direkt an die Geschäftsführung, Security-Budgets werden aufgestockt, und Risiko-Assessments werden mit derselben Ernsthaftigkeit behandelt wie Finanzprüfungen.
Parallel revolutioniert der CRA die Herstellerverantwortung. Produzenten cyber-physischer Systeme und IoT-Geräte müssen nun über den gesamten Produktlebenszyklus für die Sicherheit ihrer Geräte einstehen – inklusive verpflichtender Schwachstellenmeldungen und Patch-Bereitstellung.
Die Konsequenz: Hersteller benötigen Zugriff auf bereits im Betrieb befindliche Geräte, um sie kontinuierlich auf Schwachstellen scannen und Updates einspielen zu können. Dies erfordert neue vertragliche Regelungen, klare Zugriffsrechte und robuste Change-Management-Prozesse.
Compliance ist 2026 nicht mehr die bloße Abarbeitung von Anforderungen, sondern wird zum aktiven Treiber für Security-Verbesserungen. Unternehmen, die regulatorische Anforderungen ernst nehmen, werden automatisch ihre Security-Posture stärken – und diejenigen, die dies versäumen, sehen sich rechtlichen und finanziellen Konsequenzen gegenüber, die weit über bisherige Bußgelder hinausgehen.
Wie seht ihr Euch im Umfeld Cyber-Sicherheit in den Unternehmen aufgestellt?
MVP: 2013 – 2016
Der AI-Hype wird der Umbruchs in der Cybersecurity. Durch AI und Vibe Coding usw. werden die Grundsteine für zukünftige Angriffsszenarien gelegt, die dann nicht mehr gepatcht werden können, ohne grossflächig die auf AI usw. aufgebaute Infrastruktur lahmzulegen. Das wird lustig.
Betr. "… die dann nicht mehr gepatcht werden können … Das wird lustig.":
Hast Du hierzu einen Beleg aus berufenem Munde? Bis anhin schrieben Menschen fehlerhaften Code, der dann – von ggf. anderen – Menschen korrigiert wurde. Wieso sollte nicht auch KI KI-generierten Code – ggf. assistiert von einem Menschen – Code korrigieren können?
Dann würde eine KI gleich fehlerfreien Code schreiben.
Aber die Fehlerfreiheit ist ja nur eine Seite der Medaille.
Das ein Code fehlerfrei ist, heißt nicht, das er ressourcenschonend und/oder performant ist oder frei von Sicherheitslücken.
exakt
Betr. "Dann würde eine KI gleich fehlerfreien Code schreiben.":
Wieso denn das? Es ist doch nun wirklich zum Gemeinplatz geworden, dass KI
– nicht deterministisch ist
– in einer Vielzahl von Produkten resp. Modellen und Trainingszuständen dargeboten wird
– mit Unsicherheiten behaftet ist
Wie im übrigen Leben bedarf es auch hier ggf. einiger Iterationen.
"Hersteller benötigen Zugriff auf bereits im Betrieb befindliche Geräte"
Das sehe ich nicht. Denn das würde eine Neubewertung des Produkts in Bezug auf Datenschutz wegen möglicherweise Einsicht in Internas des Betreibers des Geräts aus Drittstaaten ermöglichen. Gerade viele Hersteller im Bereich IT-Sec haben Abteilungen z.B. in Israel, mit dem kein Datenschutzabkommen existiert.
Übrigens, bei Spiegel-Online gibts gerade ein Interview mit Ex-Open-AI Mitarbeiter Daniel Kokotajlo, unbedingt lesen. Wenn das passiert, was der da an die Wand malt, ist eh alles egal.
Spiegel Online…
Was kommt als nächstes? Zeit, TAZ, Tagesspiegel?
Gesundes Neues;)
Verstehe ich nicht. Als Interviewer ist Spiegel Online doch nur der Überbringer der Nachricht. Vom Schiff aus halte ich Kokotajlo für integer. Immerhin soll er nach (1) bei seinem Aussscheiden unter Verzicht auf geschätzte 2 Mio. USD das Unterschreiben einer Maulkorbvereinbarung verweigert haben.
–
(1) https://en.wikipedia.org/wiki/Daniel_Kokotajlo_(researcher)
"Warum die Prediger des Weltuntergangs falschliegen"
Eine Kolumne von Sascha Lobo
als Antwort auf Daniel Kokotajlo bei Spiegel Netzwelt
Na ja – statistisch gesehen wird irgendwann irgendeiner einmal Recht behalten…
Sascha Lobo, der Dampfplauderer – den kann man bzw. sollte man nicht ernst nehmen;)
Dieses ganze Getöse um neue Vorschriften, ambitiöse Massnahmen und Paradigmenwechsel erinnert mich irgendwie an die Vorbereitungen des Unternehmens Barbarossa. Am Ende aber wird der sichere Untergang infolge massloser Selbstüberschätzung stehen. Eine Arbeitswelt in der schon die Abkehr von MS Office als Zumutung erlebt wird, ist nicht reif für Cyber. Informationstechnik hat sich zum Augiasstall entwickelt und ist zur Zivilisationsbedrohung mutiert. Frei nach den Cree: Erst wenn der letzte Server infiltriert, das letzte Storage-System verschlüsselt, der letzte Account übernommen ist, werdet ihr feststellen, dass man IT nicht essen kann.
In allerspätestens 10 Jahren wird in Sachen Informationstechnik mit einer Selbstverständlichkeit eine Abrüstung einsetzen, wie wir sie in den späten Achtzigern/frühen Neunzigern als Ausklang des Kalten Krieges erlebten oder 2023 mit dem finalen Atomausstieg. Vorboten (1) gibt es schon.
–
(1) https://borncity.com/blog/2025/12/26/im-switching-back-to-old-tech-bewegung-teil-1/
"Hersteller benötigen Zugriff auf bereits im Betrieb befindliche Geräte"
Nein! Tun sie nicht!
Dafür gibt es lediglich einen Grund: offizieller Datenklau. Auch Telemetriedaten sind Datenklau, wenn sie nicht freiwillig geliefert werden. All die genannten Systeme lassen sich genauso gut ohne „nach Hause telefonieren" betreiben und haben damit ein Einfallstor bzw. einen Angriffsvektor weniger.
Das setzt allerdings beim Hersteller voraus, dass er sein Handwerk versteht und ausgereifte Ware liefert und keine Bananenware, die erst beim Kunden reift.
Bedeutet halt auch: wiederr eine ordentliche QS!
Schließt außerdem eine Fernwartung nicht aus, eben nur nicht permanent Aktiv, sondern nur auf Kundenwunsch initiert.
Dazu müsste aber auch der Geiz‑ist‑geil-Primat endlich aufwachen und den Schice im Regal liegen lassen. Ordentliche „Offline"-Varianten kosten nun einmal etwas mehr!
Bei Firmen regelt sich das mehr oder weniger von allein, wenn die CIS2 greift und die Verantwortlichen haftbar gemacht werden. Diese müssen sich somit ihrer Veranwortung stellen und können keine Ausreden mehr bringen.
Ordentliche Offline Varianten kosten halt etwas mehr ist gut.
Ich habe über die Feiertage jemandem das Haus auf Solar umgebaut.
Diese etwas mehr Offline Lösung hätte das zehnfache gekostet.
Also ich weis ja nicht was du da so verbaut hast… Befestigungsmaterial; Solarzellen selbst; Verkabelung; Batteriespeicher sind bei ner ordentllichen Offline Lösung dieselbe, lediglich der Wechselrichter ist da teuerer.
Wenn das dann den zehnfachen Preis ausmacht, kanns ja nur China Schrott gewesen sein!
Ist halt das übliche Spiel der Geiz-ist-Geil Jünger… billig billig billig!
@Luzifer Zitat :"lediglich der Wechselrichter ist da teuerer. "
Hast Du mal ein paar Schlagworte oder Namen von Herstellern, die Wechselrichter für den autonomen Betrieb anbieten ?
Also ohne Cloud ?
Da wäre ich dankbar.
Es ist der Wechselrichter gewesen!
Das andere war ganz Normal van der Stang.
Es stinkt mal wieder vor ekelhaft er Polemik
Ob wohl Wörter, wie "stinkt" und "ekelhaft" hier besser platziert sind? 🙄
Ob die unqualifizierten Kommentare eines Users, der nichts Sinnvolles beiträgt, sich aber immer und überall einmischen muss, hier besser platziert sind?
Na ja, ob meine Beiträge "unqualifiziert" und/oder sinnvoll sind, mag wohl jeder Leser für sich selbst entscheiden, insofern war Dein obiger Beitrag genauso "sinnvoll", gell?!
Zumind. bediene ich mich in meinen Beiträgen aber nicht unangemessener Begrifflichkeiten und Formulierungen, die lediglich zum Zwecke mit moralisch erhobenem Zeigefinger andere anzuprangern verwendet werden. 🤷♂️
Deine stets geistreichen und themenbezogenen Beiträge sind natürlich hier immer bestens platziert. *rolleyes*
Betr. ""Hersteller benötigen Zugriff auf bereits im Betrieb befindliche Geräte" Nein Tun sie nicht!":
Doch, tun sie! Siehe in (1) insb. die Passage "Ein Hersteller von Produkten ist verpflichtet dann, wenn er Gefahren, die durch die Verwendung seines Produkts drohen, sei es aufgrund eines Produktionsfehlers, sei es aufgrund nachträglicher Erkenntnisse, verpflichtet im Rahmen seiner Verkehrssicherungspflicht für deren Vermeidung zu sorgen … Die Beklagte war unter diesem Gesichtspunkt zur Abschaltung bzw. Leistungsreduzierung jedenfalls berechtigt; ob sie dazu sogar verpflichtet war, kann dahinstehen."
–
(1) https://openjur.de/u/2531083.html
LG Traunstein, Endurteil vom 11.03.2025 – Aktenzeichen 2 O 312/24
Kommt der Hersteller dann zu mir und steckt den "Internet-Stecker" wieder rein?
Komplexe Materie. Im äussersten Fall kommen Kreisbrandmeister und/oder Versorgungsnetzbetreiber auf Dich zu. Bezüglich Abhängen von Erzeugungsanlagen vom Datennetz beachte insb. auch die Rechtsfolgen, die sich für Dich als privatem Häuslebauer mittelbar aus § 12 Abs. 2a Nr. 2 EnWG ergeben können. Das Verhältnis zu Deinem Sachversicherer lasse ich der Kürze halber aussen vor.
_
(1) https://www.gesetze-im-internet.de/enwg_2005/index.html
Nein, ist er nicht!
Bei z.B. Autos gibts dann einen Rückruf und der Hersteller muss den Fehler beseitigen.
Der Hersteller muß die Fehlerbeseitigung dokumentieren und dem KBA melden.
Tut er das nicht, weil sich z.B. der Besitzer des Fahrzeugs weigert, wird das KBA aktiv und wendet sich dann direkt an den Besitzer.
Der Hersteller ist dann aus der Haftung raus.
Und dann droht die Zwangsstillegung durchs KBA.
Und ähnlich geht das auch bei anderen Produkten, nur gibt es da i.d.R. keine Dokumentation durch den Hersteller, da die Produkte meist im Einzelhandel gekauft werden und der Hersteller also gar nicht weiss, wer das Produkt gekauft hat und benutzt.
Insbesondere bei nicht elektrischen Produkten und Produkten ohne Internetzugang (z.B. Kühlschränke, Waschmaschinen, etc. etc. ohne Smart-Funktion. Und selbst wenn: Niemand kann den Besitzer zwingen, Smart-Geräte mit dem Internet zu verbinden).
Bei solchen Produkten gibts dann einen öffentlichen Produktrückruf, aber der Besitzer eines solchen Geräts muß den auch lesen und dann auch Willens sein, dem Produktrückruf nachzukommen.
Betr. "Nein, ist er nicht!:
Ich verstehe Dein Posting resp. Deinen Bezugspunkt nicht. Wer ist "er" und wozu soll dieser "er" nicht verpflichtet sein?
Im von mir zitierten Urteil des LG Traunstein steht doch unübersehbar "Ein Hersteller von Produkten ist verpflichtet …" und ein 'ich bring das Ding in die Werkstatt' kommt doch bei dem urteilsgegenständlichen "Batterieheimspeicher" – i. Ggs. zu einem PkW – doch eher nicht in Frage – was bei einer per Fernsteuerung nur wenige Minuten erfordernden Softwarekonfigurationsänderung ja auch jeglicher Verhältnismässigkeit entbehrte.
Das läuft dann über Rückrufaktionen, welche der Hersteller dann auch in öffentlichen Medien kundtun muss.
Wenn mich aber der Hertsteller über nen Rückruf informiert und ich diesen ignoriere bin ich damit in der Haftung. Je nach Art ist der Hersteller dann verpflichtet das zu melden und dann kann es sein das eine Behörde mir die Geräte stilllegt, wenn ich dem Rückruf nicht nachkomme.
Aber Zugriff auf Geräte in meinem Besitz muss ich keinem Hersteller gewähren!
In dem von dir aufgeführten Aktenzeichen geht es auch überhaupt nicht darum das man dem Hersteller Zugang gewähren muss… das steht da nirgends drin! Da gehts um Schadensersatz; Garantie etc. ob sein handeln rechtens war…
Als Betreiber hafte zuerst einmal ich!
Betr. "In dem von dir aufgeführten Aktenzeichen geht es auch überhaupt nicht darum das man dem Hersteller Zugang gewähren muss":
Aber selbstverständlich geht es darum. Im Urteil steht, wie von mir bereits zitiert, glasklar: "Die Beklagte war unter diesem Gesichtspunkt zur Abschaltung bzw. Leistungsreduzierung jedenfalls berechtigt …". Die Beklagte ist der Hersteller der "Batterieheimspeicher".
Aus deren Recht zur Abschaltung bzw. Leistungsreduzierung erwächst Deine Pflicht zur Duldung der Massnahmen.
Ja, aber wie will der Hersteller die Anlage abschalten, wenn die gar keine Verbindung ins Internet hat?
Das Urteil verpflichtet den Besitzer nicht dazu, dem Hersteller Zugang zur Anlage zu gewähren.
Und wenn die Anlage keine Verbindung ins Internet hat, kann er die auch nicht aus der Ferne abschalten.
Es ist dann sogar zweifelhaft, ob der Hersteller überhaupt den Standort der Anlage kennt oder deren Besitzer.
JA, es ging da, weil es eben eine Verbindung gab und der Hersteller es dadurch konnte! Nur geht da nirgends hervor, dass eine Verbindung zum Hersteller überhaupt verpflichtend vorhanden sein muss! Das sagt das Urteil überhaupt nicht aus!
Da geht lediglich hervor, dass der Hersteller seine Möglichkeiten gesetzeskonform genutzt hat, was der Kläger ja anzweifelte!
Eine Verbindung zum Hersteller muss ich aber nicht gewähren, auch nicht mit dem Urteil! Wenn vorhanden, muss ich als Kunde allerdings hinnehmen, dass der diese auch nutzt, auch zu meinem Nachteil! Gerade das ist ein Grund, das eben nicht zu tun!
Das Urteil sagt absolut nirgends aus, dass eine Verbindung zum Hersteller verpflichtend ist!
/Edit/
Auch eine Fernabschaltung durch deinen Energieversorger ist lediglich relevant wenn du einspeisst… verbrauchst du eine erzeugte Energie selbst und/oder speicherst die in einer Batteriebank zum späteren Eigenverbrauch… hat eine Fernabschaltung keine Relevanz.
Du haftest natürlich als Betreiber und kannst dich da nur rauswinden, wenn du dem Hersteller grobe Sachfehler nachweisen kannst… da bist du "ohne nach Hause telefonieren" , natürlich auch selbst verantwortlich zu prüfen ob es Firmware Updates; Produktrückrufe etc. gibt.
********************************************
Seit Anfang 2025 gelten neue Vorgaben für Photovoltaikanlagen: Neuanlagen müssen nun mit einer Schnittstelle ausgestattet sein, über die Netzbetreiber die Einspeiseleistung aus der Ferne regeln oder bei Bedarf komplett abschalten können. Bisher galt diese Möglichkeit der Fernabschaltung nur für größere Anlagen ab etwa 30 Kilowatt – jetzt betrifft sie bereits Systeme mit einer Wechselrichterleistung von mehr als 800 Watt. Ausgenommen sind lediglich kleine Balkonkraftwerke.
Vorgeschrieben ist außerdem der Einbau einer Messeinheit im Verteilerkasten. Alternativ kann ein vorhandener Smart Meter genutzt werden, der Steuersignale an den Wechselrichter überträgt und so die Leistungsabgabe kontrolliert. Diese Signale erlauben es, die Stromproduktion bei Bedarf vollständig zu drosseln. Bestandsanlagen bleiben von der Regelung zunächst unberührt. Eine Nachrüstpflicht ist derzeit nicht vorgesehen – auch deshalb, weil ein solcher Eingriff in bestehende Verträge und den Bestandsschutz rechtlich umstritten wäre.
******************************************
Denke mir so, die Hersteller sollen notwendige Updates bereitstellen, ihnen aber unbeschränkten Zugriff auf die im Betrieb befindlichen Geräte zu gestatten, öffnet doch nur das nächste Scheunentor. Da war doch noch was mit der Brain.exe, die vor dem Monitor sitzt, wenn die nicht funktioniert, funktioniert der Rest doch auch nicht richtig.
Supply Chain Angriffe würde stark zunehmen, wenn ich jedem Hersteller Zugriffe gewähren würde. Das wird auf keinen Fall passieren.
von meiner Seite genau das Gleiche. Betreue OT und IT Umgebungen und werde alles daran setzen, dass die Hersteller absolut keine Backdoor in meine Netze bekommen – reicht schon was ich da im OT Bereich ständig erleben muss, die haben nämlich absolut keine Ahnung von CyberSecurity, die OT Hersteller "verkaufen" nur ihre Maschinen, alles andere ist lästiges Beiwerk für die.