Incident-Response-Bericht 2026

4.1. Typische beitragende Faktoren: Warum Angriffe erfolgreich sind

Der Erfolg von Angreifern beruht selten auf Zero-Day-Exploits. Bei den Vorfällen, auf die wir im Jahr 2025 reagiert haben, haben wir festgestellt, dass in mehr als 90 % der Fälle vermeidbare Lücken in der Abdeckung und uneinheitlich angewandte Kontrollen direkt zum Eindringen beigetragen haben.

Diese Lücken bestimmen, wie leicht ein Angreifer den Erstzugriff erhält, wie schnell er sich im Netzwerk ausbreitet und ob die Sicherheitsbeauftragten ihn rechtzeitig erkennen und reagieren können. Bei den diesjährigen Untersuchungen traten drei systemische Bedingungen wiederholt auf.

1. Lücken in der Transparenz: Fehlender Kontext verzögert Erkennung

Viele Unternehmen versäumen es, die Telemetrie zu nutzen, die erforderlich ist, um das Verhalten von Angreifern im Frühstadium zu beobachten. Kritische Indikatoren für den Erstzugriff und frühe Angreiferaktivitäten bleiben oft unbemerkt, weil das SOC keine Signale über Endpunkt-, Netzwerk-, Cloud- und SaaS-Ebenen hinweg operationalisiert hat. Das Ergebnis ist ein fehlender Kontext: Sicherheitsbeauftragte sehen vielleicht einzelne Ereignisse, aber es fehlt der Zusammenhang, um ein aktives Eindringen zu erkennen.

Diese Fragmentierung zwingt die Experten dazu, Angriffe manuell aus unterschiedlichen Tools zu rekonstruieren, was zu Verzögerungen führt, die Angreifer ausnutzen. In 87 % der Vorfälle prüften die Ermittler des Unit 42 Beweise aus zwei oder mehr verschiedenen Quellen, um den Sachverhalt zu klären, in komplexen Fällen sogar aus bis zu 10 Quellen. Der Mangel an einheitlicher Transparenz verlangsamte die Erkennung und ermöglichte es den Angreifern, sich im Netzwerk auszubreiten, bevor die Sicherheitsbeauftragten das gesamte Bild sehen konnten.

2. Umgebungskomplexität: Inkonsequenz schafft den Weg des geringsten Widerstands

Sicherheitsgrundlagen werden selten universell angewandt. Im Laufe der Zeit wird es aufgrund von Altsystemen, Technologieübernahmen oder Fusionen und Übernahmen immer schwieriger, einen einheitlichen Standard im gesamten Unternehmen durchzusetzen.

Bei mehreren Untersuchungen wurde festgestellt, dass kritische Kontrollen wie der Schutz von Endgeräten in einer Geschäftseinheit vollständig implementiert waren, während sie in einer anderen fehlten oder unzureichend waren. Diese Inkonsistenz schafft einen Weg des geringsten Widerstands. Über 90 % der Datenschutzverletzungen wurden durch Fehlkonfigurationen oder Lücken in der Sicherheitsabdeckung ermöglicht und nicht durch neuartige Exploits.

3. Identitäten: Übermäßiges Vertrauen führt zur Ausbreitung im Netzwerk

Bei unseren Untersuchungen haben Identitätsschwächen immer wieder dazu geführt, dass aus einem anfänglichen Fußabdruck ein breiterer Zugang wurde. Das Hauptproblem waren oft übermäßige Vertrauensrechte und Zugriffspfade, die zu großzügig waren oder lange nach Bedarf bestehen blieben.

Die Angreifer erweiterten ihre Privilegien, indem sie nicht beendete Legacy-Rollen und übermäßig berechtigte Dienstkonten missbrauchten. Sie brachen nicht ein, sondern verschafften sich dort Zugang, wo die Organisation zu viel Vertrauen hatte walten lassen.

Diese Misserfolge spiegeln den Wandel hin zum Identitätsmissbrauch wider. Je mehr Berechtigungen und Ausnahmen es gibt, desto weniger Hindernisse gibt es für Eindringlinge. Nahezu 90 % der Vorfälle lassen sich auf ein identitätsbezogenes Element als kritische Quelle für die Untersuchung oder als primärer Angriffsvektor zurückführen.

4.2. Empfehlungen für Sicherheitsbeauftragte

Die folgenden Empfehlungen konzentrieren sich auf praktische Schritte zur Beseitigung der oben beschriebenen systemischen Bedingungen.

1. Schnellere Erkennung und Reaktion bei Sicherheitsmaßnahmen

Angesichts der Tatsache, dass die schnellsten Angriffe Daten in etwa einer Stunde ausschleusen, müssen die Sicherheitsmaßnahmen mit Maschinengeschwindigkeit erfolgen. Dies ist möglich, wenn das SOC über einen umfassenden Überblick über das Unternehmen verfügt, KI das Signal im Rauschen erkennt und die Automatisierung eine sofortige Reaktion und Abhilfe ermöglicht. Durch die Übernahme dieser sechs Fähigkeiten ist Ihr SOC in der besten Position, um erfolgreich zu sein:

• Aufnahme aller relevanten Sicherheitsdaten. Angreifer arbeiten nicht in Silos, aber Sicherheitsbeauftragte führen die Überwachung oft darin durch. Im Jahr 2025 waren Lücken in der Transparenz – insbesondere bei SaaS-, Cloud-Identitäts- und Automatisierungsschichten – ein Hauptgrund für den Erfolg der Angreifer. Kritische Telemetriedaten waren oft vorhanden, blieben aber in unterschiedlichen Systemen gefangen und hinderten die Sicherheitsbeauftragten daran, Identitätsveränderungen mit Automatisierungsergebnissen oder in Browsern gespeicherten Artefakten wie Sitzungs-Tokens zu korrelieren.

  Um moderne Eindringlinge zu erkennen, müssen Organisationen Signale von Identitätsanbietern, Cloud-Plattformen und SaaS-Anwendungen in eine einheitliche Ansicht aufnehmen und normalisieren. Diese Konsolidierung schließt die Schwachstellen, die Angreifer ausnutzen, und ermöglicht es den Sicherheitsbeauftragten, Eskalationswege frühzeitig zu erkennen. Ob regelbasierte Erkennung oder künstliche Intelligenz – die Qualität der Erkenntnisse hängt ganz von der Vollständigkeit der Daten ab, die als Grundlage dienen.

• Vorbeugung, Erkennung und Priorisierung von Bedrohungen mit KI-gesteuerten Funktionen. Ein hohes Alarmaufkommen und fragmentierte Tools ermöglichen es Angreifern, sich zu verstecken, indem sie ihre Aktivitäten auf mehrere Systeme verteilen. Ohne Korrelation scheinen diese Aktionen nicht miteinander verbunden zu sein, was die Eskalation verzögert. KI-gesteuerte Funktionen sind unverzichtbar, um diese unterschiedlichen Signale zu einer einheitlichen operativen Ansicht zusammenzufügen.

  Verhaltensanalysen helfen dabei, subtile Anomalien aufzudecken, wie z. B. die ungewöhnliche Verwendung von Token oder die Ausbreitung im Netzwerk durch Cloud-Automatisierung, die von der regelbasierten Erkennung oft nicht erkannt werden.

  Die KI stärkt den Schutz durch die Korrelation von Ereignissen über Identitäts-, Endpunkt-, Cloud- und Netzwerkebenen hinweg, wobei Vorfälle mit hohem Wahrheitsgehalt gegenüber Hintergrundgeräuschen priorisiert werden. Auf diese Weise können Sicherheitsteams koordinierte Angriffe sofort von Routineaktivitäten unterscheiden und sicherstellen, dass die Analysten ihre Bemühungen auf die Bedrohungen konzentrieren, die das größte Risiko darstellen, anstatt falschen Positivmeldungen nachzujagen.

• Ermöglichen von Echtzeit-Reaktionen auf Bedrohungen durch Automatisierung. Verzögerungen bei der Eindämmung sind häufig auf unklare Eigentumsverhältnisse und manuelle Validierungsschritte zurückzuführen, die mit der Automatisierung durch Angreifer nicht Schritt halten können. Eine wirksame Reaktion erfordert die Zuweisung ausdrücklicher Befugnisse für automatisierte Eindämmungsmaßnahmen, wie z. B. den Entzug von Token oder die Isolierung von Workloads, damit die Ausführung sofort fortgesetzt werden kann.

  Indem sie Ad-hoc-Entscheidungen durch standardisierte, validierte Playbooks ersetzen, stellen Organisationen sicher, dass die Reaktion in einer auditfähigen Reihenfolge erfolgt. Um jedoch der Geschwindigkeit moderner Bedrohungen gerecht zu werden, muss die agentenbasierte KI als ultimative Verteidigungsbeschleunigung eingesetzt werden. Diese autonomen Systeme untersuchen dynamisch komplexe Warnungen und korrelieren Daten über verschiedene Bereiche hinweg mit Maschinengeschwindigkeit, um ein vollständiges Bild zu erhalten.

  Nach der Validierung sind die Agenten autorisiert, dynamische, chirurgische Eindämmungsmaßnahmen auszuführen, von der Isolierung betroffener Systeme über Mikrosegmentierung bis hin zum automatischen Entzug kompromittierter Anmeldedaten. Durch diesen disziplinierten, intelligenten Ansatz werden die operativen Auswirkungen drastisch reduziert, die Verweildauer der Angreifer begrenzt und verhindert, dass sich einzelne Kompromittierungen zu größeren Vorfällen ausweiten.

• Übergang von reaktiver zu proaktiver Sicherheit. Um von der reaktiven Verteidigung wegzukommen, müssen Organisationen von den herkömmlichen Penetrationstests zu kontinuierlichen, gegnerischen Tests übergehen. Audits erfassen nur selten das Zusammenspiel von Identitätslücken und Cloud-Fehlkonfigurationen, das Angreifer bei realen Angriffen ausnutzen. Die Sicherheitsbeauftragten müssen überprüfen, wie die Kontrollen unter realistischen Bedingungen funktionieren und sicherstellen, dass Telemetrie-Pipelines und Reaktions-Workflows wie vorgesehen funktionieren.

  Proaktivität gilt auch für die Wiederherstellung. Widerstandsfähige Organisationen überprüfen vor der Wiederherstellung von Diensten, ob auch wirklich für keine Systeme mehr unberechtigter Zugriff besteht, wie z. B. durch kompromittierte Anmeldedaten oder geänderte Konfigurationen. Wenn sichergestellt wird, dass die Abhilfemaßnahmen an der Wurzel ansetzen und nicht einfach nur veraltete Snapshots wiederherstellen, kann eine schnelle Neuinfektion verhindert und die langfristige Ausfallsicherheit unterstützt werden.

• Optimieren des SOC für leistungsstarke Ergebnisse. Bei aktiven Vorfällen schafft eine uneinheitliche Eindämmung oder unklare Besitzverhältnisse Möglichkeiten für Angreifer, sich erneut Zugang zu verschaffen. Leistungsstarke SOCs eliminieren diese Varianz, indem sie sicherstellen, dass die Reaktionsmaßnahmen unabhängig vom Analysten oder der Tageszeit einheitlich durchgeführt werden.

  Konsequenz auch in Drucksituationen ist entscheidend; sie verhindert, dass einzelne Kompromittierungen zu größeren Krisen eskalieren.

  Um dies zu erreichen, müssen operative Silos zwischen Sicherheit, IT und DevOps überbrückt werden. Playbooks sollten die heutige Funktionsweise der Systeme widerspiegeln und nicht die ursprüngliche Konzeption, damit die automatisierten Aktionen mit der tatsächlichen Geschäftslogik übereinstimmen. Die Beauftragung von Analysten mit umfassenderen Aufgaben, wie z. B. einer durchgängigen Reaktion auf Vorfälle anstelle einer reinen Einstufung und Priorisierung von Warnmeldungen, verbessert die Kundenbindung, erhöht die Vielseitigkeit und führt zu messbaren Geschäftsergebnissen.

• Unterstützen des Teams mit einem IR-Retainer. Der richtige Retainer erweitert Ihre Möglichkeiten über die Notfallhilfe hinaus. Um die Nase vorn zu haben, müssen Organisationen ihre Kontrollmaßnahmen gegenüber den spezifischen Verhaltensweisen testen und validieren, die Bedrohungsakteure in freier Wildbahn einsetzen. Wiederkehrende Bewertungen in den Bereichen offensive Sicherheit, KI-Sicherheit, SOC-Prozesse und Cloud-Sicherheit helfen zu bestätigen, dass Telemetrie-Pipelines und Reaktions-Workflows unter realistischen Angriffsbedingungen wie vorgesehen funktionieren.

  Ihr IR-Retainer-Partner sollte schnellen Zugang zu Spezialisten für proaktive Bereitschaftsprüfungen, Erkennungstechniken und Validierung bieten, um sicherzustellen, dass die defensiven Verbesserungen im Laufe der Zeit Bestand haben. Durch die Verknüpfung von kontinuierlichen Tests mit der Beibehaltung von Fachwissen verbessern Organisationen ihre Ausfallsicherheit.

Indem Sie Ihr SOC an diesen Grundprinzipien ausrichten, verwandeln Sie Ihre Verteidigung in eine Hochgeschwindigkeits-Reaktionsmaschine, die in der Lage ist, Angreifer zu überlisten und Bedrohungen zu stoppen, bevor sie eskalieren.

2. Einführen von Zero Trust, um die Auswirkungen einzuschränken

Zero Trust ist eine strategische Notwendigkeit in einem Umfeld, in dem die Identität zur primären Angriffsfläche geworden ist. Ziel ist es, implizite Vertrauensbeziehungen zwischen Nutzern, Geräten und Anwendungen zu beseitigen und jede Phase einer digitalen Interaktion kontinuierlich zu überprüfen.

In der Realität ist das Erreichen von Zero Trust komplex. Doch selbst kleine Fortschritte reduzieren die Angriffsfläche, schränken die Ausbreitung im Netzwerk ein und minimieren die Auswirkungen eines Erstzugriffs auf Ihre Umgebung. Durch die Erhöhung der Sicherheit innerhalb des Perimeters sind Angreifer dazu gezwungen, sich jeden Zentimeter Zugang mühsam zu erkämpfen, wodurch deren Geschwindigkeit verlangsamt wird und mehr Möglichkeiten zur Erkennung entstehen.

• Benutzer, Geräte und Anwendungen sollten kontinuierlich geprüft werden. Angreifer nutzen häufig die statische Vertrauensstellung aus, die nach der ersten Anmeldung fortbesteht. Wenn sie sich erst einmal Zugang verschafft haben, verwenden sie gestohlene Sitzungs-Token oder gültige Anmeldedaten, um sich als legitime Benutzer auszugeben, wobei sie die Kontrollen am Netzwerkrand oft vollständig umgehen. Statische Kontrollpunkte im Eintrittsbereich sind nicht mehr ausreichend.

  Bei der kontinuierlichen Überprüfung wird das Vertrauen als dynamisch betrachtet, wobei Entscheidungen überprüft werden, wenn sich die Bedingungen während einer Sitzung ändern. Durch die Validierung des Identitätskontexts, des Gerätezustands und des Anwendungsverhaltens in Echtzeit können Unternehmen erkennen, wenn eine legitime Sitzung missbraucht wird oder wenn das Benutzerverhalten von der Norm abweicht. Infolgedessen bleiben kompromittierte Konten oder Geräte für Angreifer nur für einen begrenzten Zeitraum nutzbar, wodurch sich die Möglichkeiten zur Ausweitung des Zugriffs oder zur Verbreitung von Daten verringern.

• Durchsetzung des Prinzips der geringsten Rechte, um die Bewegungsfreiheit der Angreifer einzuschränken. Übermäßig viele Berechtigungen wirken wie ein Multiplikator für Angreifer. Bei vielen Vorfällen im Jahr 2025 umgingen Eindringlinge interne Kontrollen, indem sie Identitätslücken ausnutzten und sich akkumulierte Berechtigungen und nicht abgeschaffte Rollen zunutze machten, die Organisationen nicht entfernt hatten. Anstatt sich auf komplexe Exploits zu stützen, breiteten sie sich im Netzwerk mithilfe von gültigen, aber übermäßig vergebenen Berechtigungen aus.

  Die Durchsetzung des Prinzips der geringsten Rechte reduziert diese Angriffsfläche, indem Benutzer, Dienste und Anwendungen auf den für ihre Funktion erforderlichen Zugriff beschränkt werden. Dies muss über menschliche Benutzer hinausgehen und auch Maschinenidentitäten und Dienstkonten einbeziehen, die oft weitreichende, schlecht überwachte Berechtigungen haben. Durch das Entfernen unnötiger Rechte werden die einfachen Zugriffswege, auf die sich Angreifer verlassen, eliminiert, sodass sie zu sichtbareren und schwierigeren Techniken gezwungen werden, die leichter zu erkennen sind.

• Einheitliche Prüfung von vertrauenswürdigem und nicht vertrauenswürdigem Datenverkehr. Einheitliche Prüfung von vertrauenswürdigem und nicht vertrauenswürdigem Datenverkehr. Angreifer wissen, dass der interne „Ost-West“-Verkehr zwischen den Workloads oft unkontrolliert bleibt, während der Perimeter bewacht wird. Sie nutzen verschlüsselte interne Verbindungen aus, um sich im Netzwerk auszubreiten und Daten zu übermitteln, ohne einen Alarm auszulösen.

  Um eine konsistente, durchgängige Bedrohungsanalyse zu erreichen, müssen Organisationen die gesamte Netzwerk-, Cloud- und Secure Access Service Edge (SASE)-Sicherheit auf einer einzigen, einheitlichen Plattform konsolidieren. Diese einheitliche Struktur bietet überall eine konsistente Layer-7-Inspektion und setzt Richtlinien automatisch über eine Verwaltungsebene durch.

  Diese Konsolidierung ermöglicht den strategischen Wechsel zu fortschrittlichen Cloud-Delivered Security Services. Diese Umstellung ermöglicht eine Inline-Analyse des gesamten Datenverkehrs in Echtzeit, einschließlich der wichtigen Entschlüsselung und Überprüfung des Datenverkehrs zwischen internen Workloads. Diese Fähigkeit entfernt die Verstecke für Angreifer und stoppt proaktiv unbekanntes Phishing, Zero-Day-Malware und nicht erfassbare C2-Aktivitäten.

• Kontrollieren Sie den Datenzugriff und die Datenbewegung, um die Auswirkungen zu verringern. Der größte Schaden entsteht bei vielen Vorfällen nicht bei der anfänglichen Kompromittierung, sondern beim anschließenden Datenzugriff, der Bereitstellung und der Ausschleusung. Angreifer suchen oft nach Repositorys mit schwachen Kontrollen oder unzureichend überwachten Datenströmen, um unbemerkt sensible Informationen zu sammeln, bevor sie entdeckt werden.

  Eine stärkere Kontrolle darüber, wie auf Daten zugegriffen wird, wie sie gemeinsam genutzt werden und wie sie übertragen werden, verringert diese Möglichkeiten, indem sie einschränkt, wohin sensible Informationen gelangen können und unter welchen Bedingungen. Wenn die Datenpfade streng kontrolliert und konsequent überwacht werden, haben Angreifer weniger Möglichkeiten, wertvolle Daten vorzubereiten oder zu extrahieren, was das Ausmaß und die Schwere des potenziellen Verlusts verringert, selbst wenn eine Kompromittierung stattfindet.

Durch die systematische Beseitigung impliziten Vertrauens entziehen Sie Angreifern die Mobilität, auf die sie sich verlassen, und stellen sicher, dass eine einzige Kompromittierung zu einem begrenzten Vorfall und nicht zu einer unternehmensweiten Krise führt.

3. Stoppen Sie Identitätsangriffe mit einem stärkeren Identitäts- und Zugriffsmanagement

Die Identität ist jetzt die Sicherheitsgrenze, aber sie wird noch zu oft unzureichend abgesichert. Bei mehr als der Hälfte der untersuchten Eindringversuche im Jahr 2025 waren Identitätsschwachstellen ein entscheidender Faktor, vor allem weil die Identitätsspeicher schneller expandierten als die dafür vorgesehenen Kontrollen.

Die Angreifer nutzten die Lücken, die durch diese mangelnde Governance entstanden waren, konsequent aus: Legacy-Berechtigungen und nicht überwachte Dienstkonten machten eine Umgehung des Perimeterschutzes möglich. Um dies zu verhindern, müssen Organisationen die Identität nicht als statische Liste von Anmeldedaten, sondern als dynamisches operatives Asset über den gesamten Lebenszyklus hinweg verwalten.

• Zentralisieren Sie das Identitätsmanagement für Menschen und Maschinen. Sie können nichts kontrollieren, was Sie nicht sehen. Wenn Identitätsdaten über alte Verzeichnisse, Cloud-Anbieter und SaaS-Umgebungen hinweg fragmentiert sind, nutzen Angreifer die daraus resultierenden Schwachstellen aus.

  Die Zentralisierung von Benutzer- und Maschinenidentitäten in maßgeblichen Verzeichnissen vereinfacht die Authentifizierung und beseitigt versteckte Zugriffspfade, die sich nur schwer konsequent überwachen lassen. Diese Konsolidierung sollte auch Integrationen von Drittanbietern und API-Konnektoren umfassen, damit jede Entität, die Zugriff beantragt, ob eine Person, ein Dienstkonto oder ein KI-Agent, für die Sicherheitsteams sichtbar ist. Mit einer einheitlichen Steuerungsebene kann defensive KI Anmeldeanomalien mit verdächtigen Aktivitäten korrelieren und die Identität in ein aktives operatives Signal verwandeln, anstatt in eine statische Liste von Anmeldedaten.

• Bekämpfen Sie mangelnde Governance mit kontinuierlichem Lifecycle-Management. Governance-Lücken, d. h. operative Veränderungen, die schneller vonstatten gehen als die Kontrollen, die sie steuern sollen, sind nach wie vor eine wesentliche Zielscheibe für Angreifer.

  Rollenwechsel, schnelle Bereitstellungszyklen und alltägliche Zwischenlösungen haben die Kluft zwischen schriftlichen Richtlinien und tatsächlichen Zugriffsrechten vergrößert. Die von Workflow-Tools und Dienstkonnektoren vergebenen Berechtigungen übersteigen häufig die von den Richtlinien vorgesehenen Berechtigungsebenen. Dadurch entstehen Eskalationspfade, die Angreifer in Form von veralteten Berechtigungen und nicht überwachten Dienstkonten ausnutzen können. Betrachten wir die Identität als Lebenszyklus und beschränken wir die Automatisierung auf den aktuellen Bedarf und entfernen wir überflüssige Zugriffe, können wir diese Lücken schließen und die Bewegungsfreiheit von Angreifern nach dem Erstzugriff einschränken.

• Erkennen und Reagieren auf identitätsbasierte Bedrohungen. Defensive KI funktioniert am effektivsten in Umgebungen, in denen Identitäten als operative Assets und nicht als statische Anmeldedaten verwaltet werden. In unseren Untersuchungen zeigte sich, dass Organisationen mit einem starken Identitätsfundament schneller eine Verbindung zwischen Anmeldeanomalien, Automatisierungsaktivitäten und peripheren Identitätsereignissen herstellen konnten, was zu einer schnelleren Eindämmung beitrug.

  Dort, wo die Governance gut funktionierte, lieferten die Erkennungspipelines klarere und zuverlässigere Indikatoren, die den Teams halfen, Eskalationsverhalten früher zu erkennen. Eine schwache Governance führte dagegen zu einem Rauschen, das diese Signale verdeckte. Regelmäßige Überprüfungen sorgen dafür, dass die Genehmigungen mit den tatsächlichen Anforderungen übereinstimmen, die Genauigkeit der Erkennungssignale verbessert wird und die KI-gestützten Kontrollen effektiv funktionieren.

• Sichere Integrität von KI und Automatisierung. Wenn Organisationen KI-Agenten und automatisierte Arbeitsabläufe in ihre Kernprozesse einbinden, werden diese Systeme zu attraktiven Zielen für Manipulationen. Bei unseren Untersuchungen stellten wir fest, dass Assistentenkonten mit weitreichendem Standardzugriff und Automatisierungstools ohne Integritätsüberprüfung eingesetzt wurden.

  Um zu verhindern, dass diese Tools zu Angriffsvektoren werden, müssen die Sicherheitsteams die gleiche Governance auf KI-Systeme anwenden, die sie auch bei menschlichen Nutzern anwenden. Dazu gehört die explizite Validierung von Automatisierungsschritten, bevor sie in die Produktion gelangen, was bedeutet, dass Integritätsprüfungen auf KI-fähige Arbeitsabläufe angewendet werden und Assistentenkonten besser gegen Missbrauch abgesichert werden.

Indem Sie die Identität als dynamisches operatives System und nicht als statisches Verzeichnis behandeln, eliminieren Sie die versteckten Pfade, auf die sich Angreifer verlassen, und versetzen Sicherheitsteams in die Lage, Missbrauch in dem Moment zu erkennen, in dem er stattfindet.

4. Absicherung des Anwendungslebenszyklus vom Code bis zur Cloud

Der Schutz des modernen Unternehmens erfordert mehr als die Absicherung der Infrastruktur. Auch ihre Grundlagen müssen abgesichert werden.

Im Jahr 2025 nahmen Angreifer zunehmend die Software-Lieferkette und Cloud-APIs ins Visier, um herkömmliche Schutzmechanismen zu umgehen und Sicherheitslücken in den Code einzuschleusen oder schwache Integrationen auszunutzen, bevor sie überhaupt die Produktion erreichen. Um dem entgegenzuwirken, müssen Organisationen die Sicherheitsvorkehrungen von den frühesten Entwicklungsphasen bis zur Laufzeit ausweiten und KI-Modelle, Build-Pipelines und Code von Drittanbietern mit derselben Strenge behandeln wie interne Systeme.

• Verhindern Sie, dass Sicherheitsprobleme die Produktion erreichen. Die Sicherheit muss mit der Geschwindigkeit der Entwicklung Schritt halten. Durch die Integration von Schutzmaßnahmen in DevOps- und CI/CD-Pipelines (Continuous Integration and Continuous Deployment) können Sicherheitslücken in benutzerdefiniertem Code, Open-Source-Komponenten und KI-Konfigurationen vor der Bereitstellung identifiziert und behoben werden.

  Der gleiche Ansatz gilt für KI-Systeme, bei denen eine frühzeitige Bewertung der Modellsicherheit und -konfiguration das nachgelagerte Risiko verringert. Die Härtung von Entwicklungstools und die Kontrolle von Open-Source-Abhängigkeiten helfen, Schwachstellen zu beseitigen, die Angreifer ausnutzen, um Vertrauensstellungen in Geschäftsabläufen zu erben.

• Absicherung der Software- und KI-Lieferkette. Obwohl sie nicht der häufigste Angriffsvektor sind, haben Kompromittierungen in der Lieferkette die größten Auswirkungen, insbesondere für ansonsten gut aufgestellte Organisationen. Schwachstellen in Build-Systemen, Integrationsdiensten und KI-bezogenen Repositorys ermöglichen es Angreifern, nachgelagerte Umgebungen zu erreichen, ohne jemals mit einer Firewall zu interagieren.

  Um dieses Risiko zu verringern, sind strenge Herkunftskontrollen erforderlich. Build-Umgebungen und Bereitstellungs-Pipelines müssen über klare Identitätskontrollen und Integritätsschutz verfügen. Externe Softwarebibliotheken, API-Konnektoren und KI-Komponenten sollten vor der Übernahme auf Zugriffsmuster und Aktualisierungspraktiken geprüft werden. Eine wirksame Lieferketten-Governance gibt den Erkennungsprozessen eine verlässliche Grundlage und macht es einfacher zu erkennen, wenn eine vertrauenswürdige Abhängigkeit ein unerwartetes Verhalten zeigt.

• Erkennung und Abwehr von Laufzeitangriffen. Sobald die Anwendungen in Betrieb sind, verlagert sich der Schwerpunkt auf die Eindämmung. Angreifer versuchen häufig, den Zugriff aufrechtzuerhalten und zu erweitern, indem sie legitime Cloud-Identitäten, APIs oder Workload-Berechtigungen missbrauchen.

  Die Erkennung in Echtzeit in Kombination mit konsequenten Laufzeitkontrollen wie Verhaltensüberwachung, klaren Netzwerkgrenzen und Beschränkungen für unerwartete API-Interaktionen hilft, diese Taktiken zu unterbinden. Die gleichen Schutzmaßnahmen sollten auch für KI-Hosting-Umgebungen gelten, in denen die Überwachung auf Modellabweichungen und unbefugten Datenzugriff die Bewegungsfreiheit von Angreifern auch nach einer ersten Kompromittierung einschränken kann.

• Automatisierung der Bedrohungserkennung und -abwehr in der Cloud. In der Cloud ist Geschwindigkeit die einzige Kennzahl, die zählt. Verzögerungen bei der Isolierung betroffener Workloads oder dem Entzug missbräuchlich verwendeter Identitäten geben Angreifern den nötigen Spielraum für eine Eskalation.

  Die Automatisierung ermöglicht es SecOps-Teams, Cloud-basierte Bedrohungen kontinuierlich zu erkennen und darauf zu reagieren, indem sie native Cloud-Kontrollen nutzen, um Vorfälle schnell einzudämmen. Maßnahmen wie das Isolieren von kompromittierten Containern oder das Entziehen verdächtiger Sitzungs-Tokens helfen dabei, zu verhindern, dass lokale Probleme zu größeren Ausfällen oder Datenverlusten führen.

• Aufbau einer Kultur der sicheren KI und Entwicklung. Die KI ist jetzt ein operatives Asset, nicht nur ein Tool. Wenn Assistenten und automatisierte Eingabeaufforderungen in die täglichen Arbeitsabläufe integriert werden, führen sie zu Verhaltensrisiken, die durch technische Kontrollen allein nicht gelöst werden können.

  Eine starke Sicherheitskultur behandelt KI-Systeme mit der gleichen Disziplin wie kritische Infrastrukturen. Dazu gehört die Überprüfung der Nutzung von Assistenten, die Vermeidung der Preisgabe sensibler Daten in Prompts und die Validierung von KI-generiertem Code. Wenn Teams verstehen, dass menschliches Urteilsvermögen für den effektiven Einsatz von KI von zentraler Bedeutung ist, werden Governance-Kontrollen eher verstärkt als umgangen, um sicherzustellen, dass das Streben nach Automatisierung nicht die Fähigkeit übersteigt, sie zu überwachen.

Indem Sie Sicherheitsaspekte in die Struktur Ihrer Entwicklungs- und Laufzeitumgebungen einbetten, tragen Sie dazu bei, dass die Geschwindigkeit von KI- und Cloud-Innovationen das Unternehmenswachstum vorantreibt und nicht zu systemischen Risiken führt.

5. Sichern Sie die Angriffsfläche und die menschliche Schnittstelle ab

Um eine Organisation abzusichern, muss heute über den Firmenlaptop hinaus geschaut werden. Die moderne Angriffsfläche hat sich auf nicht verwaltete Geräte von Auftragnehmern, öffentlich zugängliche Cloud-Ressourcen und den Webbrowser selbst ausgeweitet, der zum primären Arbeitsbereich des Unternehmens geworden ist.

Als Sicherheitsbeauftragte stehen wir vor einer doppelten Herausforderung. Wir müssen die externen Schwachstellen, nach denen Angreifer ständig suchen, rigoros verwalten und gleichzeitig die menschliche Schnittstelle absichern, über die Benutzer mit Daten, KI und dem offenen Web interagieren. Um diese weitläufige Umgebung zu schützen, muss die Sicherheit von der Außengrenze bis hinunter zur Browser-Sitzung reichen.

• Reduzieren Sie die Angriffsfläche durch ein aktives Management des Sicherheitsniveaus. Unit 42 fand heraus, dass Software-Sicherheitslücken in diesem Jahr 22 % des Erstzugriffs bei Vorfällen ausmachten, was die dringende Notwendigkeit unterstreicht, über die einfache Entdeckung hinaus zu einer aktiven Risikopriorisierung überzugehen. Ein effektives Management des Sicherheitsniveaus überbrückt diese Lücke, indem es eine vollständige, kontinuierliche Bestandsaufnahme des digitalen Fußabdrucks erstellt, einschließlich der Schatteninfrastruktur und der nicht autorisierten KI-Tools, die bei herkömmlichen Scans übersehen werden.

  Entscheidend ist, dass diese Strategie das „Rauschen“ herausfiltert und mithilfe von Threat Intelligence nur solche Assets priorisiert, die aktiv angegriffen werden (wie z. B. CISA KEVs) und für die es keine kompensierenden Kontrollen gibt. Durch die Konzentration begrenzter Ressourcen auf ausnutzbare, geschäftskritische Risiken können Teams das Zeitfenster schließen, bevor ein Angreifer eine offene Tür findet.

• Schützen Sie die menschliche Schnittstelle. Der Browser ist der neue Endpunkt und der neue Unternehmensdesktop. Hier greifen die Mitarbeiter auf Daten zu, hier verrichten Auftragnehmer ihre Arbeit, und hier sind leider auch Social-Engineering-Angriffe wie Phishing am effektivsten.

  Die Absicherung dieser Schnittstelle erfordert einen sicheren Browser der Enterprise-Klasse, in dem ein vollständig isolierter und gesicherter unternehmerischer Arbeitsbereich für verwaltete und nicht verwaltete Geräte eingerichtet wird. Diese leistungsstarke Schicht erzwingt Datenkontrollen in Echtzeit, unabhängig von der zugrunde liegenden Hardware. Es kann das Kopieren und Einfügen auf sensiblen Seiten deaktivieren, das Herunterladen von Dateien aus unbekannten Quellen verhindern und fortschrittliche Phishing-Seiten identifizieren, die Standard-E-Mail-Filter umgehen. Durch die Härtung des Browsers erhalten Organisationen einen detaillierten Einblick in die Nutzung von Schatten-KI und können direkt verhindern, dass sensible Unternehmensdaten in nicht autorisierte GenAI-Tools eindringen.

• Sicherer Zugriff durch Dritte und nicht verwalteter Zugriff. Das starre Modell, bei dem Unternehmenslaptops an jeden Auftragnehmer oder jedes Übernahmeziel geliefert werden, ist nicht länger tragbar oder sicher. Organisationen benötigen eine Möglichkeit, Zero-Trust-Zugriff auf nicht verwaltete Geräte zu erzwingen, ohne die Kosten und die Komplexität herkömmlicher VDI-Lösungen (Virtual Desktop Infrastructure).

  Durch die Absicherung des Arbeitsbereichs über den Browser können Unternehmen Auftragnehmern und BYOD-Benutzern sicheren Zugriff auf Unternehmensanwendungen gewähren und gleichzeitig Geschäftsdaten strikt von persönlichen Umgebungen trennen. Dieser Ansatz beschleunigt die Integration von Fusionen und Übernahmen sowie das Onboarding von Auftragnehmern und stellt gleichzeitig sicher, dass ein kompromittiertes persönliches Gerät nicht als Sprungbrett in das Unternehmensnetzwerk verwendet werden kann.

• Erfassen Sie einheitliche Telemetriedaten und automatisieren Sie die Reaktion. Für die Endpunkte, die Sie verwalten, sind Daten der Treibstoff für die Verteidigung. Die Erkennung ausgeklügelter Angriffe hängt von der Erfassung zuverlässiger Telemetriedaten über Prozesse, Netzwerkverbindungen und Identitätsverhalten ab, die dann in einer zentralen Plattform zusammengeführt werden.

  Wenn diese Daten von KI-gesteuerten Maschinen analysiert werden, werden Anomalien, die für sich genommen unsichtbar wären, zu eindeutigen Indikatoren für eine Gefährdung. Die Entdeckung ist jedoch nur die halbe Miete.

  Um den Schaden zu minimieren, müssen die Reaktionsmechanismen automatisiert werden. Sicherheitsteams müssen in der Lage sein, gefährdete Endpunkte zu isolieren, forensische Scans zu initiieren und Bedrohungen in Maschinengeschwindigkeit zu beseitigen, um sicherzustellen, dass eine lokale Infektion nicht zu einer systemischen Verletzung wird.

Indem Sie den Browser als primären Arbeitsbereich absichern und die externe Angriffsfläche rigoros verwalten, schützen Sie die Benutzer und Ressourcen, die mit herkömmlichen Endpunktkontrollen nicht mehr erreicht werden können.