Ich war gerade dabei, meinen Kaffee nach Weihnachten zu trinken, als die erste Nachricht eintraf.
Kein „Frohe Weihnachten“. Keine Erinnerung an einen Rückstand.
Eine CVE-Warnung.
Innerhalb weniger Minuten war Slack voll. Analysten, die eigentlich offline sein sollten, waren plötzlich wieder online. Dashboards wurden aktualisiert. Risiken wurden bewertet. Systeme wurden identifiziert. Isolierung. Patching. Alles in aller Eile.
So beginnt das Jahr 2026 für Sicherheitsteams wirklich.
Nicht mit Vorsätzen.
Nicht mit Strategiedecks. Aber mit der Erinnerung, dass Angreifer keine Ferien machen.
Jetzt, zu Beginn des neuen Jahres, ist es an der Zeit, über Neujahrsvorsätze nachzudenken. Für mich persönlich bedeutet das in der Regel weniger Kaffee und mehr Schlaf. Beruflich bedeutet es etwas ganz anderes: Prognosen!
Spoiler-Alarm: 2025 drehte sich schon alles um KI. Aber wenn Sie glauben, dass wir den Höhepunkt des Hypes (oder der Auswirkungen) erreicht haben, haben Sie nicht richtig aufgepasst.
2026 wird noch größer werden. Die Dynamik hat nicht nachgelassen. Wenn überhaupt, dann beschleunigt sie sich sogar. KI erschließt fast täglich neue Möglichkeiten, auf beiden Seiten des Schlachtfeldes. Und obwohl das spannend ist, ist es auch zutiefst beunruhigend.
Also, lassen Sie uns darüber sprechen, was auf uns zukommt.
Prognose Nr. 1: KI-gestützte Angriffe werden zunehmen (und sehr beängstigend sein)
Beginnen wir mit der offensichtlichen Warnung.
Offensive Sicherheit mit KI wird Verteidigern das Leben schwer machen.
Im Jahr 2025 haben wir eine wichtige Schwelle überschritten: Zum ersten Malerreichte ein vollständig autonomer, KI-gesteuerter Penetrationstester – XBOW –Platz 1 bei HackerOne. Das allein sollte jeden, der sich mit Sicherheit befasst, zum Nachdenken anregen. Dies war kein Proof-of-Concept. Es war ein Signal.
Im Laufe des Jahres haben wir eine explosionsartige Zunahme der Forschung und der Entwicklung von Tools im Bereich AI Red Teams beobachtet:
· Benutzerdefinierte LLMs
· Einwirkstoffsysteme
· Multi-Agenten-Architekturen
· Langfristige Speicher-Workarounds für LLM-Kontextbeschränkungen und andere Einschränkungen.
Und das Tempo hat sich nicht verlangsamt. Tatsächlich sind einige dieser Systeme mittlerweile so leistungsfähig, dass sie menschliche Fachkräfte übertreffen. In Verbindung mit immer intelligenteren Modellen werden diese Tools immer ausgereifter und komplexer, sodass KI in jeder Phase der Kill Chain eingesetzt werden kann.
Gleichzeitig haben wir ernüchternde Forschungsergebnisse von großen KI-Anbietern selbst gesehen. Anthropic beispielsweise hat detaillierte Erkenntnisse veröffentlicht, die zeigen, wie ihre Modelle bereits in der Praxis missbraucht wurden – von malware bis hin zu Social Engineering in großem Maßstab (hier und hier! Es lohnt sich, dies zu lesen, um zu erfahren, womit wir heute konfrontiert sind!!).
Leitplanken helfen. Aber sie sind noch nicht robust genug! Open-Source-Modelle haben sie überhaupt nicht. Das Ergebnis?
KI-Angriffe sind:
· Einfacher auszuführen (geringere Qualifikationsanforderungen)
· Komplexer (mehrstufig, mehrere Bereiche)
· Ausweichender (polymorphe Nutzlasten, adaptives Verhalten)
· Autonom (selbstfahrend)
· Anpassungsfähig
· Unerbittlich (kein Schlaf nötig! Weiter versuchen!)
· Massiv skalierbar!!
Da KI-gesteuerte Angriffe immer weiterentwickelt werden und immer effizienter werden, ist davon auszugehen, dass sowohl die Anzahl der Angriffe als auch die Geschwindigkeit ihrer Ausführung deutlich zunehmen werden. Die Zeitspanne zwischen dem ersten Zugriff und einer Sicherheitsverletzung wird wahrscheinlich noch kürzer sein als im Jahr 2025.
Gegner brauchen kein Team mehr. Sie können eine ganze Armee von Agenten aufstellen. Dies unterstreicht etwas, was Verteidiger bereits wissen, aber nicht länger ignorieren können: KI-gesteuerte Erkennung, Triage und Priorisierung sind nicht mehr optional. Sie sind entscheidend, um mit der zunehmenden Anzahl von Angriffen schnell fertig zu werden!
Geschwindigkeit und Umfang sind entscheidend. Und Menschen allein können da nicht mithalten!
Vorhersage Nr. 2: Das KI-SOC ist Realität
KI-Agenten sind 2025 nicht still und leise im SOC angekommen – sie haben eine regelrechte Explosion ausgelöst.
Das Aufkommen agentenbasierter Architekturen in Verbindung mit dem Aufstieg des Model Context Protocol (MCP) hat die Möglichkeiten grundlegend verändert. KI-Agenten können sich nun mit Tools verbinden, Live-Daten abfragen, den Kontext anreichern und sogar Maßnahmen ergreifen. Bei Vectra AI haben wir uns dieser Realität gestellt und MCP-Server für unsere Plattformen (hier und hier) veröffentlicht, denn wenn KI beim Betrieb des SOC helfen soll, benötigt sie einen erstklassigen, programmatischen Zugriff auf Sicherheitsdaten.
Im Jahr 2025 haben wir Folgendes gesehen:
· Etablierte SIEM- und SOAR-Anbieter positionieren sich neu rund um das Thema „KI-gesteuerte SOCs“
· Neue Startups, die sich als reine KI-SOC-Plattformen etablieren
· Wachsendes Interesse seitens der CISOs und Vorstände aufgrund des ungelösten Problems der Alarmflut, der Untersuchungsdauer und der Überlastung/Fluktuation von Analysten.
Der Bedarf ist offensichtlich, und laut der Umfrage „2025 Cybersecurity Innovations“ von Gartner planen 46 % der Unternehmen, ab 2026 KI-Agenten im Sicherheitsbereich einzusetzen.
Aber hier ist der Haken.
Die Einführung wird hinter der Reife zurückbleiben – nicht weil die Technologie noch nicht bereit ist, sondern weil Vertrauen, Governance und Kompetenzen noch nicht vorhanden sind!
Ich habe im letzten Jahr mit genügend Sicherheitsverantwortlichen gesprochen, um das Muster klar zu erkennen. Alle sind sich einig, dass KI in das SOC gehört. Nur sehr wenige fühlen sich wohl dabei, damit anzufangen und sie autonom in der Produktion arbeiten zu lassen.
Und dieses Zögern ist gerechtfertigt.
Der Aufbau, die Bereitstellung, die Sicherung und die Wartung einer agentenbasierten SOC-Infrastruktur ist schwierig. MCP wird schneller eingeführt, als es gesichert werden kann. Fast jeder SaaS-Anbieter bietet mittlerweile irgendeine Form von MCP-Funktionalität an. KI-Agenten erhalten Zugriff auf Tools, die nie für den Einsatz von Agenten konzipiert wurden. Im Jahr 2025 gab es bereits erste Warnsignale: Die Asana-MCP-Sicherheitslücke war ein Weckruf.
Die Vorstände stellen nun unbequeme, aber notwendige Fragen:
· Welche Berechtigungen haben unsere KI-Agenten tatsächlich?
· Wer kann ihre Handlungen überprüfen?
· Wie groß ist der Schadensradius, wenn ein Agent kompromittiert wird?
· Können wir überhaupt sehen, welche Tools sie aufrufen?
An dieser Stelle ändert sich der Gesprächsverlauf.
Im Jahr 2026 wird die Governance von KI-Agenten zu einem eigenen Sicherheitsproblem – und zu einer eigenen Produktkategorie.
Wir sehen bereits erste Anzeichen dafür:
· Startups wie RunLayer und Aira Security, die sich auf die Sichtbarkeit und Kontrolle von MCPs konzentrieren
· Fähigkeiten mit Schwerpunkt auf:
o Überprüfen der MCP-Serververbindungen
o Überwachung von Agent-Tool-Aufrufen
o Durchsetzung des Prinzips der geringsten Privilegien für KI-Agenten
Genauso wie cloud schnell ausgereift sein musste, wird auch die Agent-Infrastruktur Folgendes benötigen:
· Leitplanken
· Durchsetzung von Richtlinien
· Beobachtbarkeit
· Compliance durch Design
Wenn es 2025 darum ging, KI-Agenten mit allem zu verbinden, wird es 2026 darum gehen, die Kontrolle zurückzugewinnen.
Für Plattformen wie Vectra AI ist diese Entwicklung von großer Bedeutung. Die Vectra-Plattform verfügt bereits über eine Fülle von hochpräzisen Daten, Angriffssignalen, Netzwerk-Metadaten, Identitätsverhalten und Untersuchungskontexten. All diese Daten programmgesteuert zugänglich machen
und effizient auf LLMs zu übertragen, ist nicht nur eine Frage der Architektur, sondern eine Voraussetzung für einen funktionsfähigen KI-SOC. Lesen Sie meinen Blogbeitrag von vor einigen Wochen über die Wirksamkeit von LLMs für SOC-Anwendungsfälle!
Der KI-SOC ist real, aber im Jahr 2026 wird die Unternehmensführung Experimente von der Produktion und Ambitionen von Resilienz trennen.
Vorhersage Nr. 3: Shadow AI und Agentic IAM definieren die Angriffsfläche neu
Im Jahr 2025 kam es zu zwei Herausforderungen, die sich still und leise zuspitzten. Sie werden nicht einfach verschwinden.
· Agentisches IAM
· Schatten-KI
Mitarbeiter setzen Copiloten, LLMs und autonome Agenten ein – oft ohne Einbeziehung der Sicherheitsabteilung. Diese Systeme greifen auf Daten zu, treffen Entscheidungen und handeln im Namen der Benutzer auf eine Weise, für die herkömmliche IAM-Systeme nicht ausgelegt sind.
Die Auswirkungen sind tiefgreifend.
Identität ist nicht mehr nur Mensch gegen Maschine.
Es ist ein Agent, der im Namen von ... etwas anderem handelt.
Shadow AI ist nicht nur ein Governance-Problem.
Es ist ein Multiplikator für Angriffsflächen.
Wenn Sie Bedrohungen immer noch wie folgt modellieren:
Benutzer → Gerät → Anwendung
Du bist schon im Rückstand.
Im Jahr 2026 werden Sicherheitsteams gezwungen sein:
· Identitäten von Agenten explizit nachverfolgen
· Verstehen, auf welche Daten Agenten zugreifen und welche sie verschieben können
· Missbrauch erkennen, der nicht wie eine Kompromittierung aussieht
Diese Veränderung zu unterschätzen, wäre … eine Untertreibung.
Und wieder einmal wird die vollständige Netzwerktransparenz zum Sicherheitsnetz – dem einzigen Ort, an dem „unbekannte Unbekannte“ letztendlich zum Vorschein kommen.
Vorhersage Nr. 4: Hybride Multi-Vektor-Angriffe werden zur Norm
Zum Schluss fassen wir alles noch einmal zusammen.
Angreifern ist Folgendes egal:
· Ihr Organigramm
· Ihre Werkzeuggrenzen
· Ihre SOC-Silos
Sie sehen eine riesige Angriffsfläche.
Das ist nichts Neues – aber im Jahr 2025 wurde es unbestreitbar.
Wir haben beobachtet, wie Gruppen wie Scattered Spider, Storm-0501, APT41 und Volt Typhoon Kampagnen Volt Typhoon , die folgende Elemente kombinierten:
· Kompromiss Cloud Vor-Ort-Lösung
· Identitätsmissbrauch und malware
· Betrugstechniken und Eindringungsmethoden
Ransomware entwickeln sich zu vollautomatisierten Erpressungsplattformen:
· Ziele automatisch entdecken
· Ketten-Exploits
· Verschlüsseln und exfiltrieren
· Bei Bedarf DDoS-Druck ausüben
Mehrere Kräfte treiben diesen Wandel voran:
· Allgegenwärtige hybride Umgebungen mit fragmentierter Sichtbarkeit
· KI-gestützte Koordination komplexer Kampagnen
· Leben auf Kosten der Gemeinschaft und Missbrauch von Berechtigungsnachweisen, der sich in normale Aktivitäten einfügt
Prognose für 2026:
Sichtbarkeit und Verteidigung müssen über die gesamte Kill Chain hinweg vereinheitlicht werden.
Siloartige Tools – und siloartige Teams – werden diesen Wandel nicht überstehen.
Hybride Angriffe erfordern hybrides Denken.
Abschließender Gedanke
Mit Blick auf das Jahr 2026 ist eines sicher: Das Sicherheitsproblem ist nicht mehr nur technischer Natur. Es ist architektonischer Natur.
KI verändert gleichzeitig Angriff, Verteidigung, Identität und Abläufe. Die alten Annahmen – klare Grenzen, Untersuchungen im menschlichen Tempo, statische Vertrauensmodelle – brechen schneller zusammen, als die meisten Organisationen ihre Strategien anpassen können.
Der Erfolg in dieser nächsten Phase wird nicht durch den Einsatz weiterer Tools erzielt werden. Er wird durch die Entwicklung von Sicherheitsprogrammen erreicht werden, die von Grund auf beobachtbar, anpassungsfähig und widerstandsfähig sind – selbst wenn Teile davon von Maschinen ausgeführt werden.
KI ist da. Die Frage ist, ob Ihre Sicherheitsstrategie damit Schritt gehalten hat.