Cyber Security bleibt auch zum Jahreswechsel ein Thema mit hoher Dynamik: neue Bedrohungen, steigende Komplexität und wachsende Anforderungen an Unternehmen prägen das Bild. Zwischen Rückblick und Ausblick stellt sich die Frage, was wir aus dem vergangenen Jahr mitnehmen – und worauf wir uns einstellen müssen.

Heute im Gespräch: Michael Brunner, Head des Security Engineering Teams

So schnell ist auch das Jahr 2025 wieder vorbei. Zeit, auf die letzten Monate zurückzublicken: Was waren deiner Meinung nach die größten Herausforderungen für Unternehmen aus der Perspektive der Cyber -Sicherheit?

Michael Brunner: Wir haben in 2025 sehr plakativ die akute Bedrohungslage im Bereich der Software Supply Chain aufgezeigt bekommen. Hier vor allem die wurmfähigen Angriffswerkzeuge, die via kompromittierter NPM-Packages Credentials von Entwicklern gestohlen und weitere Repositories infiziert haben – zuletzt war hier vor allem Shai Hulud 2.0 in den Medien. Die Herausforderung für Unternehmen besteht primär darin rasch die eigene Betroffenheit abzuklären und im erhärteten Verdachtsfall unverzüglich mitigierende Maßnahmen zu ergreifen. Um diese Handlungsfähigkeit überhaupt erst zu besitzen, bedarf es entsprechend reifer Prozesse in der Softwareentwicklung, dem Schwachstellenmanagement sowie Security Monitoring und der Vorfallsreaktion. Die sehr rasche Ausbreitung dieser Würmer hat gezeigt, dass es hier allgemein noch einiges zu tun gilt.

Wir befinden uns am Anfang von 2026 - welche Cyber-Bedrohungen schätzt du für dieses Jahr als besonders gefährlich ein?

Michael Brunner: Ich rechne mit einem weiteren Anstieg ähnlicher Software Supply Chain Security Vorfälle. Wir sind hier ganz offensichtlich einfach angreifbar und die hohe Agilität in Entwicklungsprozessen bei gleichzeitiger Vernachlässigung von sicheren Entwicklungspraktiken wird auch weiterhin zur raschen Ausbreitung derartiger Angriffe beitragen.

Welche relevanten regulatorischen Veränderungen stehen uns bevor und wie können sich Unternehmen darauf vorbereiten?

Michael Brunner: Unternehmen müssen sich nun zügig auf den European Cyber Resilience Act (CRA) vorbereiten. Ab September gilt die Verpflichtung zur raschen Meldung aktiv ausgenutzter Schwachstellen bei Behörden – wir sprechen hier von einer 24-Stunden-Frist, die vereinfacht gesagt alle Hersteller vernetzter Produkte mit digitalen Elementen (Software, Hardware) betrifft. Meine Wahrnehmung ist, dass nicht alle betroffenen Produkthersteller diesen Anforderungen aktuell entsprechen können … und der Aufbau der erforderlichen fachlichen und personellen Kapazitäten ist nicht zu unterschätzen.

KI hat auch bei uns im Unternehmen immer mehr Einzug gehalten - gibt es einen KI-Hack oder irgendeine coole Einsatzmöglichkeit, die du mit uns teilen könntest?

Michael Brunner: Nein, ich setzte auf die BI (biologische Intelligenz) zwischen meinen Ohren 😉 Ich finde natürlich immer wieder spannende Einsatzmöglichkeiten. Gerade die aktuellen Sprachmodelle und deren Integrationsfähigkeiten sind zunehmend beeindruckend. Diese können in einigen Use Cases extrem zur Effizienzsteigerung beitragen – geschicktes Prompting vorausgesetzt. Aber so einen richtigen „KI-Hack“, der es wert wäre zu teilen, habe ich nicht.

Organisierte Hacker-Gruppen waren dieses Jahr häufig in den Medien und auch wir haben waren aktiv an der Bearbeitung solcher Incidents beteiligt. Welche Rolle spielen organisierte Gruppen wie zum Beispiel NoName oder Qilin im Jahr 2026?

Michael Brunner: Da das Geschäft für diese Gruppen immer noch sehr attraktiv und lohnenswert ist, erwarte ich keine Entspannung. Auch der Umstand, dass viele Unternehmen noch immer nicht ihre Hausübungen im Bereich Cyber Security gemacht haben, wird hier im nächsten Jahr eher noch eine Verschärfung mit sich bringen.

Was würdest du Unternehmen raten, um gut auf das Jahr 2026 vorbereitet zu sein?

Michael Brunner: Nicht erst jetzt mit der Vorbereitung auf 2026 zu beginnen. In 2026 sind wir mit einer Reihe neuer Regularien konfrontiert – vor allem das NISG 2026 – deren Einhaltung nicht einfach nebenbei gewährleistet werden kann.

Was wünscht du dir für das Jahr 2026 aus Sicht deines Kompetenzbereichs?

Michael Brunner: Weniger lamentieren – mehr wirksame Sicherheit! Security Engineering als Standard für Software- und Produktentwicklung etablieren. D.h. Secure by Design, konsequentes Threat Modeling und messbare Risikoreduktion statt Tool Zoo.