Cyber Security bleibt auch zum Jahreswechsel ein Thema mit hoher Dynamik: neue Bedrohungen, steigende Komplexität und wachsende Anforderungen an Unternehmen prägen das Bild. Zwischen Rückblick und Ausblick stellt sich die Frage, was wir aus dem vergangenen Jahr mitnehmen – und worauf wir uns einstellen müssen.

Heute im Gespräch: Fabian Mittermair, Head des Offensive Security Teams & COO

So schnell ist auch das Jahr 2025 wieder vorbei. Zeit, auf die letzten Monate zurückzublicken: Was waren deiner Meinung nach die größten Herausforderungen für Unternehmen aus der Perspektive der Cyber -Sicherheit?

Fabian Mittermair: In der ersten Hälfte des Jahres 2025 haben wir eine vergleichsweise ruhige Phase erlebt, mit deutlich weniger erfolgreichen Cyber-Angriffen. Spätestens zur Jahresmitte hat sich dieses Bild jedoch gewandelt. Seitdem konnten wir wieder eine Zunahme an Angriffen beobachten – sowohl in der Häufigkeit als auch in ihrer Professionalität.

Dabei wurde deutlich, dass sich Angreifer weiterentwickelt und ihre Methoden gezielt an neue Rahmenbedingungen angepasst haben. Besonders sichtbar war dies bei Angriffen entlang von Software-Lieferketten und im SaaS-Umfeld. Diese Incidents – die teilweise auch prominent in den Medien vertreten waren – haben gezeigt, wie groß die Auswirkungen sein können, wenn Abhängigkeiten nicht ausreichend berücksichtigt werden. Ein zentrales Thema blieben dabei Identitäten. Gestohlene Zugangsdaten zählen weiterhin zu den wichtigsten Angriffsvektoren. Gleichzeitig hat sich klar gezeigt, dass Multifaktor-Authentifizierung kein Allheilmittel ist. In zahlreichen Angriffssimulationen, die von unserem Offensive-Team durchgeführt wurden, konnten wir feststellen, dass auch MFA-geschützte Zugänge erfolgreich angegriffen werden konnten. Besonders häufig war dies im Zusammenhang mit simplen Phishing-Emails der Fall. Technische Maßnahmen allein reichen daher nicht aus; Nutzer:innenverhalten und Prozesse müssen immer mitgedacht werden.

Zuletzt muss auch das Thema Compliance erwähnt werden. Dieses hat im Jahr 2025 viele Unternehmen stark beschäftigt. Die Unsicherheit rund um die Umsetzung neuer regulatorischer Vorgaben hat spürbaren Druck erzeugt und die strategische Planung erschwert.

Wir befinden uns am Anfang von 2026 - welche Cyber-Bedrohungen schätzt du für dieses Jahr als besonders gefährlich ein?

Fabian Mittermair: Ich erwarte für 2026 weniger völlig neue Angriffstechniken, sondern eine weitere Professionalisierung bereits bekannter Bedrohungen. Besonders relevant bleiben identitätsbasierte Angriffe. Gestohlene Zugangsdaten, MFA-Umgehungen und Social-Engineering werden weiterhin zentrale Einstiegspunkte sein, weil sie vergleichsweise einfach umzusetzen und sehr effektiv sind. Ein weiteres großes Risiko sehe ich in Angriffen entlang der Software- und Cloud-Lieferketten. Die zunehmende Abhängigkeit von SaaS-Anbietern, Managed Services und externen Komponenten schafft attraktive Angriffspunkte mit potenziell großer Wirkung. Zusätzlich werden geopolitische Spannungen Cyber-Angriffe weiter begünstigen. Staatlich motivierte oder unterstützte Akteure sowie ideologisch getriebene Gruppen werden gezielter vorgehen und Angriffe strategischer einsetzen, etwa zur Störung von Geschäftsprozessen oder zur Einflussnahme.

Welche relevanten regulatorischen Veränderungen stehen uns bevor und wie können sich Unternehmen darauf vorbereiten?

Fabian Mittermair: Mit Blick auf die kommenden Jahre werden insbesondere NIS2 und der Cyber Resilience Act eine zentrale Rolle spielen. Beide Regelwerke erhöhen den Druck auf Unternehmen, Cyber-Sicherheit strukturierter und nachvollziehbarer umzusetzen – nicht nur technisch, sondern auch organisatorisch und auf Management-Ebene. Wichtig ist aus meiner Sicht, diese Regulierung nicht als reine Compliance-Pflicht zu betrachten. Sie bietet vielmehr einen sinnvollen Rahmen, um Verantwortlichkeiten zu klären, Risiken transparent zu machen und Sicherheitsmaßnahmen nachhaltig zu verankern. Unternehmen sollten frühzeitig prüfen, in welchen Bereichen sie betroffen sind, und daraus realistische Umsetzungsfahrpläne ableiten. Entscheidend ist dabei der Fokus auf Wirksamkeit. Es reicht nicht, Anforderungen formal zu erfüllen oder Dokumentation zu erzeugen. Sicherheitsmaßnahmen müssen im Alltag funktionieren und im Ernstfall greifen. Wer Regulierung als Anlass nutzt, bestehende Prozesse kritisch zu hinterfragen und gezielt zu verbessern, ist langfristig besser aufgestellt – unabhängig von der nächsten Prüfung oder Aufsichtsbehörde. Und Ja – ich verstehe das es manchmal schwierig ist 😉.

KI hat auch bei uns im Unternehmen immer mehr Einzug gehalten - gibt es einen KI-Hack oder irgendeine coole Einsatzmöglichkeit, die du mit uns teilen könntest?

Fabian Mittermair: Ein Tipp abseits des klassischen Business-Kontexts, den ich gerne nutze, ist ein sehr einfacher: Ich sage meinem Chatbot, welche Zutaten ich im Kühlschrank habe, und lasse mir daraus ein passendes Abendessen vorschlagen. Der Bot kennt dabei meine üblichen Essgewohnheiten – viel Protein, gerne Krautsalat und kein Gorgonzola – und berücksichtigt diese entsprechend. Das spart Zeit, reduziert Entscheidungsaufwand und bringt oft neue Ideen. 😉 Gleichzeitig gilt hier wie im Unternehmensalltag: Man sollte die Vorschläge nicht ungeprüft übernehmen. Mengen, Zubereitung oder Kombinationen sind nicht immer sinnvoll. Genau deshalb ist der „Human in the loop“-Ansatz entscheidend. KI kann sehr gut unterstützen, strukturieren und Vorschläge liefern – die finale Bewertung und Entscheidung sollte aber immer beim Menschen liegen. Das gilt in der Küche genauso wie im Business.

Organisierte Hacker-Gruppen waren dieses Jahr häufig in den Medien und auch wir haben waren aktiv an der Bearbeitung solcher Incidents beteiligt. Welche Rolle spielen organisierte Gruppen wie zum Beispiel NoName oder Qilin im Jahr 2026?

Fabian Mittermair: Eine eindeutige Prognose ist mit den mir verfügbaren Mitteln schwierig. Ich gehe jedoch davon aus, dass organisierte Hacker-Gruppen auch 2026 eine relevante Rolle spielen werden. Geopolitische Spannungen wirken in diesem Umfeld meist als Verstärker. Angesichts der aktuellen globalen Entwicklungen ist daher eher von einer Zunahme solcher Aktivitäten auszugehen. Es würde mich nicht überraschen, wenn Cyber-Angriffe zunehmend gezielt eingesetzt werden – sei es aus ideologischen, wirtschaftlichen oder staatlichen Interessen heraus. Wir sehen bereits heute, dass sich bestehende Gruppen weiter professionalisieren. Das Risiko einer rechtlichen Verfolgung bleibt in vielen Fällen vergleichsweise niedrig, während die möglichen Erträge hoch sind. Das sind aus Sicht der Angreifer nahezu optimale Rahmenbedingungen. Gleichzeitig ist davon auszugehen, dass neue Akteure hinzukommen, teilweise auch mit staatlicher Unterstützung. Das erhöht sowohl die Schlagkraft als auch die Planbarkeit solcher Angriffe.

Was würdest du Unternehmen raten, um gut auf das Jahr 2026 vorbereitet zu sein?

Fabian Mittermair: Unternehmen sollten Cyber-Sicherheit 2026 als strategisches Thema verstehen und nicht als reine IT-Aufgabe. Die vergangenen Jahre haben gezeigt, wie kritisch Abhängigkeiten von einzelnen Anbietern sein können. Der AWS-Ausfall im Jahr 2025 war kein Cyber-Angriff, hat aber dennoch weltweit digitale Geschäftsprozesse beeinträchtigt. Solche Vorfälle verdeutlichen, dass Resilienz und bewusste Architekturentscheidungen immer wichtiger werden. Gerade in Europa gewinnt das Thema digitale Souveränität an Bedeutung. Unternehmen sollten bei zukünftigen Entscheidungen darauf achten, Abhängigkeiten von einzelnen Herstellern oder Plattformen zu begrenzen, wo dies möglich ist. Gleichzeitig entstehen hier Chancen für europäische IT-Anbieter, eigene Lösungen zu entwickeln und sich am Markt zu etablieren. Unabhängig davon bleiben klassische Maßnahmen hochwirksam. Awareness-Trainings, regelmäßige Penetrationstests und gut konfigurierte Systeme sind kosteneffiziente Mittel, um das Sicherheitsniveau nachhaltig zu erhöhen. Entscheidend ist nicht die Anzahl der eingesetzten Tools, sondern, ob Erkennung, Alarmierung und Reaktion im Alltag tatsächlich funktionieren. Parallel dazu sollten Unternehmen regulatorische Entwicklungen wie NIS2 oder den Cyber Resilience Act (CRA) aktiv begleiten. Viele Organisationen sind schneller betroffen, als sie erwarten, und Regulierung wird weiter zunehmen.

Was wünscht du dir für das Jahr 2026 aus Sicht deines Kompetenzbereichs?

Fabian Mittermair: Aus Sicht der Offensive Security wünsche ich mir einen stärkeren Fokus auf ganzheitliche Angriffssimulationen. Klassische Penetrationstests bleiben wichtig, liefern aber oft kein vollständiges Bild der realen Angreifbarkeit. Erfolgreiche Angriffe entstehen meist durch das Zusammenspiel von Technik, Mensch und Prozess. Methoden wie Red Teaming oder Purple Teaming ermöglichen es, genau diese Zusammenhänge realistisch zu testen – inklusive Alarmierung, Detection und Reaktion.

Mein Wunsch für 2026 ist, dass Unternehmen solche Angriffssimulationen stärker als strategisches Instrument begreifen. Nicht als einmalige Prüfung, sondern als Möglichkeit, die eigene Resilienz realistisch zu bewerten und die Wirksamkeit bestehender Schutzmaßnahmen messbar zu überprüfen.