Thought Leadership
Neue Technologien, neues Tempo: Die Kompetenzen der Cyberkriminellen entwickeln sich schneller denn je. 2026 werden Unternehmen deshalb einen grundlegenden Wandel vollziehen: weg von einer reaktiven Defensive hin zu proaktiver und präventiver Gefahrenabwehr.
Zwingender Auslöser dieses Umschaltens sind Cyberkriminelle, die zunehmend Schwachstellen in Edge-Netzwerken ausnutzen sowie Living-off-the-Land-Techniken (LOTL) verwenden. Letztere zielen darauf ab, eine herkömmliche Abwehr für den Endpunktschutz unauffällig zu umgehen. Vor diesem Hintergrund sollten IT-Sicherheitsverantwortliche in den nächsten zwölf Monaten IT-Umgebungen schaffen, die bewusst so gestaltet sind, dass sie Angreifern feindlich gegenüberstehen und entgegentreten.
Hacker haben gelernt, die Erkennungsmechanismen einer herkömmlichen EDR oder XDR durch diese LOTL-Tools gezielt zu umgehen oder EDR- und XDR-Agenten bereits zu einem frühen Zeitpunkt der Angriffskette vollständig zu deaktivieren. Jüngste Analysen, die rund 700.000 Sicherheitsvorfälle analysiert haben, zeigen, dass bereits 84 Prozent der Angriffe auf LOTL-Techniken beruhen. Angreifer setzen dabei auf legitime Applikationen und vorhandene Tools innerhalb der Opfer-IT, anstatt klassische Malware einzusetzen. Da sich dadurch bösartige Aktivitäten kaum noch von normalem Nutzerverhalten unterscheiden lassen, müssen Unternehmen ihre Sicherheitsmodelle neu ausrichten: Präventionsorientierte Ansätze, die Angriffsflächen dynamisch reduzieren, Zugriffsrechte granular steuern und Bedrohungen stoppen, bevor sie überhaupt die Erkennungsebene erreichen, werden zur Notwendigkeit.
Nicht die Erkennungsgenauigkeit, sondern die Angriffsfläche selbst wird zum zentralen Schauplatz der Auseinandersetzung
Über Jahre hinweg folgten Sicherheitsstrategien der Annahme, dass das möglichst schnelle Erkennen und Reagieren einen Schaden begrenzen würde. Diese Logik greift jedoch zu kurz, sobald Angreifer nicht mehr auf Malware angewiesen sind und sich ihr Verhalten kaum von dem legitimer Nutzer unterscheidet. LOTL-Techniken erlauben es Angreifern, sich mithilfe nativer Betriebssystem-Tools unbemerkt im Netzwerk zu bewegen, Privilegien auszuweiten und sich lateral zu bewegen – ohne Sicherheitsalarme durch herkömmliche Endpoint Detection and Response (EDR) sowie Extended Detection and Response (XDR) auszulösen.
Endpoint Detection and Response (EDR) sowie Extended Detection and Response (XDR) sind heute ausgereift und weit verbreitet. Sie gelten zunehmend als selbstverständlich statt als Differenzierungsmerkmal. Auch wenn sie unverzichtbar bleiben, reichen sie allein aber nicht mehr aus.
Denn Cyberkriminelle automatisieren ihre eigenen Aufklärungsaktivitäten. Sie nutzen neu veröffentlichte Schwachstellen innerhalb weniger Stunden aus und bedienen sich legitimer Werkzeuge wie PowerShell, WMIC oder Certutil, um vertrauenswürdiges Verhalten zu imitieren. Da diese Aktionen oft keine Malware-Artefakte oder verdächtige Binärdateien hinterlassen, können selbst fortschrittliche EDR- und XDR-Plattformen eine Vielzahl von Alarmen mit geringem Aussagewert generieren. Für Sicherheitsteams wird es dadurch immer schwieriger, echte Angriffe von normalem Systemverhalten zu unterscheiden.
KI als Motor für die adaptive Prävention in Maschinengeschwindigkeit
Ein prägender und notwendiger Trend für 2026 wird daher der Einsatz KI-gestützter, adaptiver Präventionssysteme. Diese sichern IT-Umgebungen kontinuierlich auf Basis realen Nutzerverhaltens und aktueller Informationen zu Gefahren ab. Während Präventionskontrollen früher oft als starr oder einschränkend galten, gestaltet moderne KI sie präzise, dynamisch und skalierbar. Künstliche Intelligenz erlernt, wie einzelne Mitarbeitende Applikationen und Systemtools nutzen. Sie passt Zugriffsrechte flexibel an die Notwendigkeiten des Arbeitsalltags des einzelnen Nutzers oder einzelner Geräte und die daraus sich ergebenden Risikoprofile an und blockiert riskante Aktionen von vornherein. So kann ein Administrator beispielsweise den Zugriff auf PowerShell für Nutzer, die dieses Tool nie verwenden, vollständig verwehren. Für andere Anwender, die es regelmäßig für legitime Aufgaben nutzen, kann die KI typische Befehle erlauben, während sie verschlüsselte oder verschleierte Kommandos mit böswilligem Kontext ablehnt.
Das Ergebnis ist eine Sicherheitsarchitektur, die sich kontinuierlich anpasst. Angriffswege werden mit Maschinengeschwindigkeit geschlossen. Die Möglichkeiten, Privilegien zu eskalieren oder sich lateral im Opfernetz zu bewegen, sind deutlich reduziert. Da Systeme künstlicher Intelligenz autonom agieren und Muster über die gesamte IT hinweg erkennen können, erweist sich präventive Sicherheit als der effizientere Weg im Vergleich zum Einsatz menschlicher Analysten, der große Mengen an Alarmen manuell auswerten und gegebenenfalls bearbeiten muss.
2026 wird proaktive Prävention zur entscheidenden Disziplin
Erkennen und Reaktion bleiben auch künftig unverzichtbar. Präventive Technologien der nächsten Generation, die darauf ausgelegt sind, Angriffe zu stoppen, die auf vertrauensbasierte Techniken wie LOTL setzen, ergänzen diese Ausrichtung jedoch zunehmend. Diese Ansätze helfen Security-Teams, unnötige Tools und übermäßige Privilegien abzubauen und laterale Angriffswege zu minimieren. Zudem unterbinden sie wiederkehrende, automatisierte und skalierte Angriffsmuster cyberkrimineller Quasi-Playbooks, wenn sich jedes System dank individueller Regeln für Nutzer und Geräte bewusst unterschiedlich verhält. Gleichzeitig reduzieren sie durch das granulare Erkennen und Klassifizieren der Risiken die Alarmmüdigkeit. Teams können sich auf tatsächlich relevante Gefahren konzentrieren, während Sicherheitskontrollen laufend an Echtzeittempo und Nutzerverhalten angepasst werden.
Den Gefahren voraus sein – statt ihnen hinterherzulaufen
Unternehmen sind besser gegen neue Angriffsmethoden gewappnet, wenn sie nicht mehr davon ausgehen, dass Erkennung ausreicht, um hochautomatisierten und verdeckten Angriffen zu begegnen. Wer ausschließlich auf reaktive Maßnahmen setzt, akzeptiert unnötige Risiken und verlässt sich bei maschinengesteuerten Angriffen auf menschliche Reaktionszeiten. Wer aber die Angriffsfläche verkleinert, unnötige Werkzeuge einschränkt, Datenzugriffe konsequent steuert und adaptive Präventionsmechanismen einsetzt, schafft 2026 die Grundlage für eine widerstandsfähigere IT.
