• Rik Ferguson, VP of Security Intelligence bei Forescout Technologies 
• Daniel dos Santos, Head of Research bei Forescout Vedere Labs
• Kristian von Mejer, Director Central & Eastern Europe bei Forescout Technologies – Prognose für den DACH-Markt

1. Angreifer werden statt Passwörtern die Berechtigungen von SaaS-Anwendungen ausnutzen

Angreifer verlagern ihren Fokus von gestohlenen Passwörtern auf die Berechtigungen, die verbundenen Anwendungen gewährt werden. Durch den Missbrauch von OAuth-Zustimmungen und Aktualisierungstoken aus legitimen Integrationen in Plattformen wie Microsoft 365, Salesforce und Slack können sie sich unbemerkt zwischen Mandanten bewegen und auch nach dem Zurücksetzen von Passwörtern weiterhin Zugriff behalten. Im Jahr 2026 werden diese „Token-Hopping”-Kampagnen mit traditionellen Phishing-Angriffen um den Titel des effektivsten Angriffswegs konkurrieren – und da die passwortlose Authentifizierung immer mehr an Bedeutung gewinnt, rückt der Tag, an dem der Missbrauch von OAuth Phishing überholt, immer näher. Verteidiger sollten ein Verzeichnis autorisierter Apps erstellen, deren Funktionen einschränken und regelmäßig ungenutzte oder verdächtige Token widerrufen.

2. Angreifer werden KI nicht nur für Social Engineering einsetzen – sie werden sie auch als Dienstleistung verkaufen.

Im Jahr 2026 wird SEaaS – „Social Engineering as a Service“ – zum beliebtesten Abonnementmodell der kriminellen Welt werden. Wir werden erleben, wie SEaaS mit vorgefertigten, käuflichen Kits, die KI-Stimmklonen, vorgefertigte Anrufabläufe und gefälschte „Autorisierungs-App“-Links enthalten, einen Aufschwung erleben wird. Teurere Optionen bieten die Dienste erfahrener Social-Engineering-Experten, die sich von späteren Vorfällen und dem Interesse der Strafverfolgungsbehörden distanzieren möchten. Mit diesen schlüsselfertigen Paketen können selbst unerfahrene Angreifer sich als Mitarbeiter ausgeben und die Multi-Faktor-Authentifizierung durch überzeugende Helpdesk- oder Chat-Interaktionen umgehen. Angesichts der zunehmenden Verbreitung von Sprach- und Chat-Automatisierung müssen Verteidiger jede Konversation als nicht vertrauenswürdige Eingabe behandeln und eine Verifizierung in jeden Workflow integrieren.

3. Die Vorbereitung auf die Quantencomputer wird (endlich) in den Vordergrund rücken.

Das Quantenrisiko ist nicht mehr nur theoretischer Natur, und wer es weiterhin als solches betrachtet, wird bald eines Besseren belehrt werden. Im nächsten Jahr werden zukunftsorientierte Unternehmen endlich erkennen, dass jedes nicht verwaltete Gerät, das sie heute einsetzen, ein zukünftiger Notfall ist, der nur darauf wartet, zu passieren. Netzwerke mit einer Hardware-Lebensdauer von mindestens fünf Jahren müssen mit der Planung der Krypto-Migration beginnen, indem sie ermitteln, welche Assets keine Post-Quanten-Algorithmen unterstützen, krypto-anfällige Systeme isolieren und mit Anbietern PQC-fähige Roadmaps besprechen.

4. Ransomware wird Lieferketten ins Visier nehmen, um maximale Wirkung zu erzielen

Angreifer lernen, dass der schnellste Weg, Geld zu verdienen, nicht unbedingt darin besteht, Dateien zu verschlüsseln oder zu veröffentlichen, sondern darin, Lieferketten als Geiseln zu nehmen.  Im Jahr 2026 werden wir die Entstehung von „Reverse-Ransom”-Kampagnen erleben, die kleinere vorgelagerte Hersteller, Logistikdienstleister oder Service-Hubs lahmlegen und dann nachgelagerte Partner unter Druck setzen, zu zahlen, um den Betrieb aufrechtzuerhalten. Diese Taktik ermöglicht es dem Angreifer, kleinere Unternehmen mit möglicherweise schwächeren Sicherheitsvorkehrungen ins Visier zu nehmen und Geld von dem Unternehmen zu verlangen, das am ehesten in der Lage ist, zu zahlen.  Dadurch wird auch die finanzielle und funktionale Abhängigkeit zwischen Unternehmen ausgenutzt, sodass ein einzelner Sicherheitsverstoß zu einer branchenweiten Krise wird. Der Schutz Ihrer Partner ist nun Teil Ihres eigenen Schutzes.

Hier ist ein Beispiel für eine Lösegeldforderung, um zu veranschaulichen, wie dies funktionieren könnte:

„An: Geschäftsleitung und Lieferkette, [DownstreamBrand]
Cc: Betrieb, [CompromisedSupplierName]

Hallo [DownstreamBrand],

wir haben wichtige Arbeitsabläufe bei [ComprimisedSupplierName], die Ihre Bestellungen bearbeiten, ausgesetzt. Infolgedessen sind die Auftragserfassung und die Ausgangsverarbeitung für Ihr Konto vorübergehend ausgesetzt. Wenn Sie dies lesen, wird es in Ihrer [Region/Fabrik/DC] ab [DATUM/ZEIT, Zeitzone] zu Verzögerungen kommen.

Dies ist ein Fall von kommerzieller Erpressung. 

Wir verlangen keine Zahlung von [CompromisedSupplierName]. Es handelt sich um einen kleinen Partner mit begrenzten Mitteln. Das Kontinuitätsrisiko liegt bei Ihnen, und Sie haben die Möglichkeit, es schnell zu beheben.

Lösung:

Zahlen Sie eine Gebühr für die Wiederherstellung des Dienstes, um die Sperren aufzuheben und den normalen Betrieb wiederherzustellen. 

Betrag: [BETRAG] 

Frist: [DATUM/ZEIT, Zeitzone]

Kontakt: [URL des Verhandlungsportals / Fall-ID / Platzhalter für sicheren Posteingang]

Nach der Bestätigung werden wir:

Die Sperren aufheben und den normalen Verarbeitungsstatus wiederherstellen.

Ihren Teams eine Checkliste für die Zeit nach dem Vorfall zur Verfügung stellen, damit sie die Integrität der Abläufe überprüfen können.

Keine öffentliche Erwähnung dieses Vorfalls vornehmen.”

5. Angreifer werden die Ausnutzung von Edge-Geräten und IoT beschleunigen

Es ist zu erwarten, dass Router, Firewalls, VPN-Geräte und andere Edge-Geräte sowie IP-Kameras, Hypervisoren, NAS und VoIP im internen Netzwerk – die alle außerhalb der Reichweite von Endpunkt-Erkennungs- und Reaktionssystemen liegen – zunehmend zu Hauptzielen werden. Maßgeschneiderte Malware für Netzwerk- und Edge-Geräte nimmt zu und missbraucht häufig legitime Admin-Tools für heimliche Befehls- und Kontrollfunktionen. Im Jahr 2025 betrafen über 20 % der neu ausgenutzten Schwachstellen Netzwerk-Infrastrukturgeräte. Im Jahr 2026 könnte diese Zahl auf über 30 % ansteigen, da die Ausnutzung nicht verwalteter Ressourcen den perfekten Einstiegspunkt für den ersten Zugriff und die seitliche Bewegung bietet. Die Ausweitung der Bestandsaufnahme und Durchsetzung auf jedes Gerät, unabhängig davon, ob es mit einem Agenten ausgestattet ist oder nicht, wird die nächste Phase des Expositionsmanagements bestimmen.

6. Cyberkriminalität wird sich weiter spezialisieren – aber auf gemeinsame Toolkits zurückgreifen

Im nächsten Jahr wird sich die Cyberkriminalität weiter in eine Branche von Spezialisten aufteilen, wobei Initial Access Broker, Datenwäscher und Erpresser die Arbeit untereinander aufteilen und Zugänge untereinander handeln. Wie der Lockbit-Leak bereits andeutet, werden sich viele der Gruppen, die Schlagzeilen machen, in Franchise-ähnliche Marken aufteilen und nicht mehr als einheitliche Organisationen auftreten. Trotz dieser Vielfalt werden die meisten Gruppen jedoch weiterhin in hohem Maße auf die Wiederverwendung derselben kleinen Auswahl an Frameworks, Toolchains und Exploits angewiesen sein. Im Jahr 2026 wird diese Mischung aus Spezialisierung und gemeinsamen Tools die Grenzen zwischen den Bedrohungsgruppen verwischen, sodass nicht mehr Markennamen, sondern gemeinsame Verhaltensweisen der beste Indikator dafür sind, wer hinter einem Angriff steckt.

7. Hacktivisten werden Verwirrung als Waffe einsetzen

Hacktivisten haben gelernt, dass das Säen von Zweifeln genauso störend sein kann wie das Verursachen von Ausfallzeiten. Im Jahr 2026 werden Hacktivisten, Faketivisten und staatlich gelenkte Akteure zunehmend öffentliche Behauptungen mit leichten praktischen Eingriffen in OT-Systeme verbinden und Betreiber zu vorsorglichen Abschaltungen zwingen, selbst wenn kein tatsächlicher Schaden entsteht – insbesondere in kritischen Sektoren wie Wasser, Energie und Gesundheitswesen. Viele dieser „zuerst ankündigen, später beweisen”-Operationen werden ihre Auswirkungen übertreiben, um Betreiber dazu zu drängen, Systeme freiwillig abzuschalten. Die einzige Verteidigung ist klare Sichtbarkeit, Bedrohungserkennung und Segmentierung, um Gerüchte von der Realität zu trennen. 

Prognosen für den DACH-Markt

8. „Reverse-Ransom“-Kampagnen treffen den DACH-Mittelstand – Lieferketten werden zum Erpressungshebel

Die DACH-Region mit ihrem starken industriellen Rückgrat wird 2026 verstärkt ins Visier von Angreifern geraten, die sich auf Lieferketten-Erpressung spezialisiert haben. Besonders gefährdet sind kleine und mittelständische Zulieferer in Branchen wie Maschinenbau, Automotive und Logistik – also genau jene Unternehmen, die das Rückgrat der regionalen Wirtschaft bilden. Diese Betriebe verfügen häufig über schwächere Cyberhygiene, sind aber kritisch für die Produktion großer Marken. Angreifer werden diese Asymmetrie ausnutzen, um durch die Lahmlegung von vorgelagerten Partnern Druck auf große Hersteller und Auftraggeber auszuüben – ganz im Sinne eines „Reverse-Ransom“-Modells. Da in DACH-typischen Just-in-Time-Prozessen jeder Stillstand spürbare Folgen hat, wird der wirtschaftliche Schaden durch Ausfälle schnell existenzbedrohend. Zudem wächst der regulatorische Druck: Unternehmen müssen nach NIS2 künftig auch die Cyberresilienz ihrer Lieferanten nachweisen. Unternehmen sollten ihre Lieferkette als erweitertes Angriffs- und Schutzgebiet begreifen. Dazu gehört, Lieferanten zu klassifizieren, Sicherheitsstandards in Einkaufsrichtlinien zu integrieren und technische Sichtbarkeit über alle Partner hinweg sicherzustellen. Der Schutz Ihrer Partner ist künftig gleichbedeutend mit dem Schutz Ihres eigenen Betriebs.

9. Regulatorischer Druck und Cloud-Souveränität verändern Sicherheitsstrategien in DACH

Im Jahr 2026 werden Cybersecurity-Entscheidungen in der DACH-Region zunehmend durch regulatorische Anforderungen und den Ruf nach digitaler Souveränität bestimmt. Mit der Umsetzung von NIS2 und den verschärften Anforderungen des BSI werden Unternehmen gezwungen, ihre Sicherheitsarchitekturen neu zu denken – insbesondere im Hinblick auf Transparenz, Auditierbarkeit und Datenresidenz. Während internationale Cloud-Anbieter mit „EU-only“-Zonen und neuen Compliance-Zertifizierungen um Vertrauen werben, geraten lokale MSPs und IT-Dienstleister unter Druck, durchgängige Nachweise über Sicherheits- und Monitoringprozesse zu liefern. Gleichzeitig zwingt der Fachkräftemangel viele Organisationen dazu, kritische Sicherheitsfunktionen auszulagern – was wiederum neue Abhängigkeiten und Risiken schafft. 
CISOs sollten Compliance nicht als bürokratische Hürde, sondern als Wettbewerbsvorteil begreifen. Wer heute in automatisierte Sichtbarkeit, Agentless Detection und nachvollziehbares Expositionsmanagement investiert, erfüllt nicht nur gesetzliche Auflagen, sondern stärkt auch die eigene Position am Markt – denn 2026 wird Cyber-Compliance zum entscheidenden Kaufkriterium.