Verifizierbare Sicherheit ist kein Wettbewerbsvorteil mehr, sondern eine Grundvoraussetzung für den Marktzugang. Diese Woche markiert eine Zeitenwende in der globalen Cybersicherheit. Auf der RSA-Konferenz in San Francisco zeichnet sich ab: Freiwillige Standards werden durch verbindliche Zertifizierungen abgelöst. Der Druck durch KI-gestützte Angriffe und regulatorische Vorgaben zwingt Unternehmen weltweit zum Handeln.
Da die EU-KI-Verordnung bereits in Kraft ist, stehen viele Unternehmen vor der Herausforderung, neue Compliance-Anforderungen und Risikoklassen zeitnah umzusetzen. Dieser kostenlose Leitfaden bietet Ihnen eine verständliche Übersicht über alle relevanten Fristen und Dokumentationspflichten. EU-KI-Verordnung kompakt: Jetzt Gratis-E-Book sichern
CMMC: US-Verteidigungsstandard wird zur Pflichthürde
Das Cybersecurity Maturity Model Certification (CMMC) tritt in seine entscheidende Phase. Ab November 2026 wird die Zertifizierung der Stufe 2 für US-Regierungsaufträge verpflichtend. Sie ersetzt die bisherige Selbstauskunft durch unabhängige Prüfungen.
Diese Woche erreichten mehrere Unternehmen diesen Meilenstein. Der Technologieanbieter REI Systems erhielt am 25. März als eines der ersten die finale CMMC Level 2-Zertifizierung. Sie bestätigt den Schutz sensibler, aber nicht klassifizierter Regierungsdaten. Bereits am 23. März folgten der Elektrogroßhändler Sonepar USA und der Umweltdienstleister Weston Solutions.
Die Botschaft ist klar: Die gesamte Lieferkette des Verteidigungssektors muss nachrüsten. „Selbst traditionelle Industriezweige werden nun in das Ökosystem der Cybersicherheit gezwungen“, kommentiert ein Branchenanalyst. Das Ziel der US-Behörden ist eine lückenlose Absicherung der kritischen Infrastruktur.
ISO 42001: Der globale Standard für KI-Sicherheit setzt sich durch
Während künstliche Intelligenz Unternehmensprozesse durchdringt, wächst der Bedarf an vertrauenswürdiger Governance. Der internationale Standard ISO/IEC 42001 für KI-Managementsysteme gewinnt rapide an Bedeutung.
Das Videotechnologie-Unternehmen Kaltura gab am 25. März seine Zertifizierung bekannt. Sie bescheinigt einen systematischen Rahmen zur Identifizierung und Eindämmung von KI-Risiken – von Datenlecks bis zum Missbrauch. „Für den Einsatz von KI in sensiblen Umgebungen reicht Genauigkeit allein nicht aus“, betont das Management. „Unternehmen brauchen den Nachweis, dass jedes Sicherheitsrisiko adressiert wird.“
Parallel erhielt die Cloud Security Alliance einen Preis für ihr Zertifizierungsprogramm „Trusted AI Security Expert“ (TAISE). Es fokussiert auf die sichere Entwicklung generativer KI und orientiert sich an Rahmenwerken wie dem EU AI Act. Die Botschaft: Wer KI einsetzt, muss ihre Sicherheit nachweisbar beherrschen.
Automatisierung: Der einzige Weg, mit der Geschwindigkeit von Angriffen Schritt zu halten
Die Angriffsgeschwindigkeit revolutioniert die Verteidigung. Am 24. März stellte das Unternehmen Hadrian die KI-gestützte Offensiv-Sicherheitsplattform „Nova“ vor. Sie führt kontinuierlich und autonom Penetrationstests durch – nicht mehr nur punktuell, sondern in Echtzeit.
„Angreifer nutzen KI, um Schwachstellen in Minuten zu weaponisieren“, erklärt der Hadrian-CEO. „Daher muss auch defensive Prüfung zu einer automatisierten Netzwerkfunktion werden.“
Ebenfalls am 23. März reagierte Palo Alto Networks mit seiner Next-Generation Trust Security (NGTS)-Plattform. Sie automatisiert die Verwaltung digitaler Zertifikate, deren Gültigkeitsdauer sich von bisher Jahren auf nur noch 47 Tage verkürzt. Manuelle Erneuerung ist für Großunternehmen unmöglich geworden; Automatisierung verhindert Ausfälle durch abgelaufene Zertifikate.
Angesichts der rasanten Entwicklung bei KI-basierten Bedrohungen müssen Geschäftsführer ihre Cyber-Security-Strategie für 2024 grundlegend neu bewerten. Erfahren Sie in diesem Experten-Report, wie Sie Ihr Unternehmen mit effektiven Maßnahmen proaktiv vor kostspieligen Angriffen schützen. Kostenlosen Cyber Security Report jetzt herunterladen
FCC: USA schotten kritische Infrastruktur weiter ab
Die regulatorische Schraube dreht sich weiter. Die US-Bundesbehörde FCC erweiterte am 26. März ihre „Covered List“ um neue Gerätekategorien. Betroffen sind nun auch bestimmte konsumentennahe Router und Drohnenteile ausländischer Produktion, die als Sicherheitsrisiko eingestuft werden. Sie erhalten keine FCC-Zulassung mehr und sind damit vom US-Markt ausgeschlossen.
Die Begründung: Ungesicherte Router sind ein primäres Einfallstor für Angreifer, um Botnetze für Spionage aufzubauen. Diese Maßnahme fällt mit alarmierenden Studien zusammen. Eine Untersuchung von Booz Allen Hamilton zeigt: KI komprimiert den Angriffszeitraum. Vom ersten Zugriff bis zur vollständigen Kompromittierung vergehen oft weniger als 30 Minuten.
Branchenblick: Sicherheitslücke wächst – Chancen für neue Anbieter
Auf der RSA-Konferierung warnten ehemalige NSA-Direktoren vor einer wachsenden Diskrepanz. Die Geschwindigkeit von KI-getriebenen Bedrohungen überfordere traditionelle Abwehrmechanismen. Eine „systemische Taubheit“ gegenüber häufigen Eindringversuchen behindere notwendige grundlegende Reformen.
Die Marktreaktion ist eindeutig: Über 40 Prozent der Organisationen planen, ihr Portfolio an Sicherheitsanbietern in diesem Jahr zu erweitern. Sie suchen innovative Anbieter, die KI-gestützten Schutz und nachweisbare Compliance liefern können. Dieser trend begünstigt Newcomer, wie die Auszeichnung des Unternehmens Red Piranha mit einem Global InfoSec Award am 26. März zeigt.
Ausblick: Der Weg führt zur „kontinuierlichen Compliance“
Die Richtung ist vorgegeben. Bis Ende 2026 wird die CMMC Level 2-Zertifizierung für US-Verteidigungsaufträge verpflichtend. Der 47-Tage-Zyklus für Zertifikate wird zum globalen Standard avancieren. Und die FCC-Liste wird voraussichtlich weitere IoT- und Edge-Geräte erfassen.
Die Konsequenz für Unternehmen: Jährliche Penetrationstests werden durch Echtzeit-Validierung ersetzt. Automatisierte Plattformen für Sicherheitstests und Zertifikatsmanagement wandern in den Kern der IT-Infrastruktur. Die nächsten zwölf Monate werden davon bestimmt sein, Sicherheitsprozesse so agil zu gestalten wie die technologische Innovation selbst.
