2026 wird Jahr des Umbruchs in der Cybersecurity
17. Dezember 2025
Die Zeit, in der sich Sicherheitsverantwortliche ausschließlich auf klassische IT-Infrastrukturen konzentrieren konnten, ist endgültig vorbei. 2026 wird das Jahr, in dem CPS-Sicherheit vom Nischenthema zur Kernkompetenz jedes CISO werden muss. Aus einem ganz einfachen Grund: Cyber-physische Systeme (CPS) sind allgegenwärtig.
Gebäudemanagement-Systeme (GMS) steuern moderne Bürokomplexe, IoT-Sensoren durchziehen Produktionshallen, vernetzte Medizintechnik bestimmt den Klinikalltag. Diese Systeme sind keine isolierten Insellösungen mehr, sondern integraler Bestandteil der Unternehmens-Infrastruktur.
Fast jedes moderne Netzwerk weist mittlerweile eine CPS-Komponente auf. Mit potenziell gravierenden Folgen: Ein kompromittiertes GMS legt den gesamten Standort lahm, manipulierte Sensordaten stören Produktionsprozesse, sabotierte vernetzte Medizintechnik gefährdet Menschenleben.
Die Angriffsfläche hat sich so dramatisch vergrößert: Während die IT-Seite der Cybersecurity den Löwenanteil der Aufmerksamkeit erhält, bleiben CPS oft der blinde Fleck in der Sicherheitsarchitektur. Viele dieser Systeme wurden mit Fokus auf Verfügbarkeit und Funktionalität und weniger auf Security entwickelt. Standardpasswörter, fehlende Verschlüsselung und jahrelang nicht gepatchte Firmware sind immer noch üblich.
2026 müssen CISOs ihre Strategie fundamental erweitern: Asset-Discovery muss OT-Netze einschließen, Netzwerksegmentierung wird zum Standard und kontinuierliches Schwachstellenmanagement erstreckt sich auf alle cyber-physischen Komponenten. Wer CPS-Security weiterhin vernachlässigt, riskiert nicht nur Datenverluste, sondern physische Schäden und Betriebsunterbrechungen mit existenzbedrohenden Konsequenzen.
Kontinuierliche Cyber-Kriegsführung
Der Begriff „Friedenszeit“ hat im Cyber-Raum seine Bedeutung verloren. Was wir erleben, ist eine kontinuierliche, hybride Kriegsführung, die niemals endet – sie eskaliert lediglich unterschiedlich stark. Staatlich unterstützte Akteure operieren permanent in unseren Netzwerken. Sie platzieren Backdoors, kartieren Infrastrukturen und bereiten Angriffe vor, die im Krisenfall aktiviert werden können.
Die Grenze zwischen Spionage, Sabotage-Vorbereitung und aktivem Angriff verschwimmt dabei zunehmend. Dabei besonders im Fokus: die kritische Infrastruktur. Ein erfolgreicher Angriff auf Energieversorger, Wasserwerke, Gesundheitseinrichtungen oder Transportnetze gefährdet die Versorgungssicherheit ganzer Regionen.
Die Konsequenz für 2026: KRITIS-Betreiber müssen von einer reaktiven zu einer proaktiven Security-Haltung übergehen. Da Angreifer systematisch bekannte, ausgenutzte Schwachstellen (Known Exploited Vulnerability, KEV) für ihre Attacken nutzen, kommt dem intelligenten Vulnerability-Management eine Schlüsselrolle zu. Ebenso muss jedes Unternehmen über einen Incident-Response-Plan verfügen und regelmäßig den Ernstfall proben. Denn die Frage ist nicht ob, sondern wann er eintritt.
NIS2 und CRA verändern alles
2026 wird zum Wendejahr für Cybersecurity-Compliance in Europa. Mit NIS2 und dem Cyber Resilience Act (CRA) greifen zwei regulatorische Instrumente, die Security endgültig zur Chefsache machen und die Verantwortlichkeiten fundamental neu verteilen.
NIS2 beendet die Ära der Delegation: Die persönliche Haftung des Managements für Cybersecurity-Vorfälle macht Security zum Thema im Vorstandsbüro. CISOs berichten zunehmend direkt an die Geschäftsführung, Security-Budgets werden aufgestockt, und Risiko-Assessments werden mit derselben Ernsthaftigkeit behandelt wie Finanzprüfungen.
Parallel revolutioniert der CRA die Herstellerverantwortung. Produzenten cyber-physischer Systeme und IoT-Geräte müssen nun über den gesamten Produktlebenszyklus für die Sicherheit ihrer Geräte einstehen – inklusive verpflichtender Schwachstellenmeldungen und Patch-Bereitstellung.
Die Konsequenz: Hersteller benötigen Zugriff auf bereits im Betrieb befindliche Geräte, um sie kontinuierlich auf Schwachstellen scannen und Updates einspielen zu können. Dies erfordert neue vertragliche Regelungen, klare Zugriffsrechte und robuste Change-Management-Prozesse.
Compliance ist 2026 nicht mehr die bloße Abarbeitung von Anforderungen, sondern wird zum aktiven Treiber für Security-Verbesserungen. Unternehmen, die regulatorische Anforderungen ernst nehmen, werden automatisch ihre Security-Posture stärken – und diejenigen, die dies versäumen, sehen sich rechtlichen und finanziellen Konsequenzen gegenüber, die weit über bisherige Bußgelder hinausgehen.
Thorsten Eckert ist Regional Vice President Sales Central von Claroty.
