Thought Leadership
Im Jahr 2025 endete die Ära, in der wir über die Sicherheit von Lieferketten nur sprachen. Sie wurde zu einem der wichtigen Themen, das wir alle ganz konkret zu spüren bekamen.
Tatsächlich zeigt eine aktuelle Studie, dass 70 Prozent der Organisationen sehr oder extrem besorgt über Cybersicherheitsrisiken in ihren Lieferketten sind. Wir haben gesehen, wie Angreifer tiefer eindringen, zentrale digitale Dienste störten und reale Konsequenzen über diverse Branchen hinweg auslösten. Vorfälle wie beispielsweise bei Land Rover und Marks & Spencer machten sehr deutlich, wie fragil Lieferketten geworden sind und wie schnell die Geschäftskontinuität von externen Partnern abhängen kann. Wir haben sogar staatliche Eingriffe gesehen, um einen größeren Zusammenbruch zu verhindern, was die Tragweite dieser Risiken noch deutlicher macht. 2025 ließ Cybersicherheit unmittelbarer und stärker vernetzt erscheinen als je zuvor, insbesondere im Kontext von Lieferketten. In diesem Zusammenhang werden wir viele Diskussionen über Third-Party-Risk-Management (TPRM) als direkte Reaktion darauf sehen.
Im Jahr 2026 wird sich der Fokus von der Reaktion auf solche Ereignisse hin zum Aufbau robuster Resilienz verlagern – in einer Welt, in der die Einführung neuer Technologien weiterhin schneller voranschreitet, als Governance-Rahmenwerke Schritt halten können. Organisationen werden deutlich mehr Wert darauf legen, ihre digitale Lieferkette zu verstehen, ihre Resilienz Stresstests zu unterziehen und ihre Exponierung kontinuierlich zu bewerten. Zudem werden wir einen Anstieg identitätsbasierter Angriffe und Attacken auf Zugriffs-Infrastrukturen sehen sowie mehr Versuche, KI-Modell-Pipelines zu kompromittieren, da Angreifer die entscheidenden Hebelpunkte kennen.
Die entscheidende Frage für die Zukunft ist nicht, ob Ihre Lieferkette gestört wird. Sie lautet, ob Organisationen über die nötige Transparenz verfügen, um auch – im Fall des Falles – trotz solcher Störungen zu funktionieren.
In einer schwierigen Wirtschaft rückt die Entwicklung von Fachkompetenzen in den Mittelpunkt
Ähnlich wie 2025 wird sich die Cybersecurity-Belegschaft weiterhin einer Vielzahl von Herausforderungen, von wirtschaftlicher Unsicherheit über den Umgang mit neuen Technologien bis hin zu Kompetenzlücken, stellen müssen. Unsere Workforce-Studie 2025 zeigt, dass Budgetbeschränkungen und Einstellungsstopps die Belegschaft in den Jahren 2024 und 2025 maßgeblich beeinflusst haben. Für 2026 erwarten wir jedoch keine weitere Verschlechterung, sondern vielmehr eine weitgehende Stagnation auf diesem Niveau.
Der Fokus verlagert sich zunehmend von der Mitarbeiterzahl hin zu benötigten Kompetenzen und dieser Trend dürfte sich in 2026 fortsetzen. Infolgedessen werden Organisationen weiterhin kompetenzbasierte Einstellungen und die Weiterqualifizierung ihrer bestehenden Belegschaft priorisieren, statt den Personalbestand auszubauen. Fähigkeiten wie KI- und Cloud-Security werden für Cybersicherheitsfachkräfte essenziell sein.
KI wird Sicherheitsteams weiterhin unterstützen, sie jedoch nicht von der Notwendigkeit grundlegenden Wissens, Urteilsvermögens und praktischer Fähigkeiten befreien. KI wird auch 2026 eher als Chance, denn als Bedrohung gesehen werden, und diese Denkweise wird bestehen bleiben.
Organisationen, die in ihre Mitarbeitenden und deren Kompetenzentwicklung investieren, werden die größten Erfolgschancen haben. Dieser Ansatz ermöglicht es ihnen, ihre Belegschaft mit den notwendigen Fähigkeiten auszustatten, um den Anforderungen neuer und sich weiterentwickelnder Technologien und Arbeitsweisen gerecht zu werden.
KI-Reife verlagert sich hin zu agentischen Risiken, dem neuen Buzzword „RAG“, KI-Agent-Chaining und der Integrität der KI-Lieferkette
Die Einführung von KI ist schneller vorangeschritten als jede andere Technologie, die wir bisher gesehen haben. In vielen Fällen sicherten Sicherheitsteams die Systeme erst ab, nachdem diese bereits produktiv im Einsatz waren. Wir haben KI schnell angenommen – nun muss unsere Governance nachziehen.
Im Jahr 2026 wird sich die Diskussion, insbesondere in CISO-Kreisen, von Experimenten mit KI hin zu deren verantwortungsvollem Management im großen Maßstab verlagern. Agentische KI wird dabei ein zentraler Schwerpunkt sein. Organisationen müssen entscheiden, wie viel Handlungsfreiheit sie Systemen einräumen, die in ihrem Namen agieren können, statt lediglich Empfehlungen zu geben. Das ist eine neue Klasse operativer Risiken – und eine, die testen wird, wie gut wir wirklich vorbereitet sind.
Wir werden außerdem verstärkt darauf achten, wie Modelle und Agenten miteinander kommunizieren, wie Daten zwischen ihnen fließen und auf welche Vertrauenssignale wir uns stützen. Beispielsweise wird Retrieval-Augmented Generative AI, die KI die Fähigkeit gibt, Kontext in Echtzeit abzurufen und zu nutzen, zusammen mit Agent-Chaining über MCP oder ähnliche Mechanismen häufiger zum Einsatz kommen. Das bedeutet, dass wir deutlich sorgfältiger in Bezug auf Kontrolle und Transparenz vorgehen müssen.
Mit der allgemeinen Reifung und Weiterentwicklung von KI-Technologien wird 2026 zeigen, welche Organisationen Effizienz, Geschwindigkeit und verantwortungsvollen KI-Einsatz in Einklang bringen können und welche noch Aufholbedarf haben.
Die erste vielbeachtete Strafverfolgung eines CISO wird Realität
Ich habe letztes Jahr gesagt, dass wir die erste Verurteilung eines prominenten CISOs sehen würden. Das ist 2025 nicht passiert, doch der Druck hat sich weiter verstärkt.
Regulierungsbehörden und Staatsanwaltschaften zeigen inzwischen ein deutliches Interesse daran, Sicherheitsverantwortliche persönlich zur Rechenschaft zu ziehen, wenn etwas schiefläuft. Für 2026 erwarte ich, dass ein wegweisender Fall vorangetrieben wird – nicht, weil die Fachgemeinschaft dies wünscht, sondern weil die rechtliche Dynamik bereits in diese Richtung geht.
Wenn es dazu kommt, wird sich die Diskussion verändern. Vorstände werden Cyber-Verantwortung noch ernster nehmen. Wir werden eine stärkere Bewegung hin zu formellen Schutzmechanismen für Sicherheitsverantwortliche sehen, ähnlich denen, die Finanzverantwortliche bereits haben. Organisationen werden dazu gedrängt werden, Entscheidungsbefugnisse, Berichtserwartungen und Risikotoleranzen zu dokumentieren, anstatt sich auf informelle Absprachen zu verlassen.
Dieser Moment wird letztlich eine Wahrheit untermauern, über die die Branche seit Jahren spricht: Cybersicherheit ist nicht die Verantwortung einer einzelnen Person. Sie ist eine gemeinsame unternehmerische Verantwortung. Dieser Fall wird der Auslöser sein, der viele Organisationen dazu zwingt, Politik, Kultur und Praxis grundlegend zu reflektieren.
Die Dringlichkeit von Quantencomputing nimmt zu, da Regierungen auf Y2Q zusteuern
Quantencomputing bewegte sich 2025 mit einer Reihe von Ankündigungen zu leistungsstärkeren Prozessoren (höhere Qubit-Dichten) und erheblichen Fortschritten in der Fehlerkorrektur – einer zentralen Herausforderung der Quantentechnologie – von der Theorie und experimentellen Forschung hin zur kommerziellen Realität. In 2026 wird die Dringlichkeit nicht mehr zu ignorieren sein. Regierungen und Aufsichtsbehörden veröffentlichen Zeitpläne und Roadmaps. Dies ist das deutlichste Signal dafür, dass der Countdown zur praktischen Quantenfähigkeit tatsächlich begonnen hat.
Quantenbasierte Bedrohungen betreffen jedes digitale System, das auf asymmetrischer Verschlüsselung basiert. Daher werden Organisationen von bloßer Neugier zu strukturierter Planung übergehen. Man kann es sich wie einen Y2K-Moment vorstellen, jedoch umfassender, mit höherem Risiko und leider ohne ein klares Stichtagsdatum. Ehrlich gesagt habe ich seit mindestens einer Generation keine Technologie gesehen, welche die Cybersicherheit so flächendeckend bedrohen könnte wie Quantencomputing. Wo es früher hieß: „Das wird in zehn Jahren relevant“, sprechen wir nun von einstelligen Jahreszahlen. Große Unternehmen bereiten sich bereits vor, doch viele kleinere Organisationen haben noch nicht begonnen. Diese Bereitschaftslücke wird zu einem echten Problem. Unsere Workforce-Studie 2025 bestätigt dies: Quantencomputing rangiert mit 17 Prozent nahe dem unteren Ende der benötigten Fähigkeiten in Sicherheitsteams, was zeigt, dass sie außerhalb großer Unternehmen und der akademischen Welt noch keine breit zugängliche oder etablierte Technologie ist.
Quantencomputing wird außergewöhnliche Innovation ermöglichen, erfordert aber bereits jetzt konkretes Handeln. Die Organisationen, die frühzeitig mit der Vorbereitung beginnen, werden diejenigen sein, die spätere Störungen vermeiden.
Deepfakes entwickeln sich von Beeinflussung zu operativer Bewaffnung
Deepfakes erlebten 2025 einen starken Anstieg. In 2026 werden wir einen weiteren bedeutenden Wandel sehen. Was als Bedrohung für öffentliche Personen und politische Führungskräfte begann, verlagert sich nun direkt in Geschäftsprozesse. Zur Unterstützung identitätsbasierter Angriffe werden Bedrohungsakteure überzeugende Audio- und Videoinhalte mit autonomen Werkzeugen kombinieren, um Mitarbeitende zu imitieren, Identitätsprüfungen zu umgehen und Betrug in einem Umfang zu skalieren, den klassische Business-Email-Compromise-Methoden nie erreichen konnten.
Das wird neue Diskussionen über Persönlichkeitsrechte, Authentizitätsprüfungen und Standards für digitale Identitäten auslösen. Zudem werden tiefere Debatten über den ethischen Einsatz von KI sowie über Rechte an Identität und Abbild entstehen, während Gesellschaften klären, wie Vertrauen in einer Welt synthetischer Medien aussehen kann.
Organisationen, die vorausdenken, werden Mitarbeitende schulen, Verifikationen über mehrere Kanäle hinweg durchsetzen und aufkommende Deepfake-Erkennungstools testen, statt abzuwarten, bis die Technologie unvermeidbar wird. Deepfakes dienen nicht mehr nur der Einflussnahme. Sie entwickeln sich zu einem praktischen Werkzeug für Angreifer, um Menschen zu kompromittieren. Die Vorbereitung muss dem Rechnung tragen.
Energie- und Rechenkosten bringen die Nachhaltigkeit von KI und Quantencomputing in die Vorstandsebene
In 2025 war ich überrascht, dass Energieverbrauch und Energiebewusstsein bei KI und Quantencomputing zwar echte Themen sind, bisher aber noch nicht viel Aufmerksamkeit erhalten haben. Sie tauchen zunehmend in Gesprächen auf, sind jedoch noch keine Schlagzeilen – außer im Kontext großer Rechenzentren und Hochleistungs-Computing-Umgebungen. 2026 wird Nachhaltigkeit stärker in den Fokus rücken, da der Energiebedarf fortschrittlicher Rechentechnologien sichtbarer wird. Die Anforderungen von KI sowie die Kühlungsbedarfe von Quantensystemen werden erhebliche Aufmerksamkeit von Regulierungsbehörden, Investoren und Unternehmensführungen auf sich ziehen. Das Tempo der kommerziellen Einführung von Quantencomputing wird ebenso stark von verfügbarer Energie wie von technischer Reife abhängen und Organisationen werden beginnen, sich dieser Realität konkret zu stellen. Ich kann mir gut vorstellen, dass die Schlagzeile für 2026 lautet: „Die kommerzielle Verfügbarkeit von Quantencomputing wird durch Diskussionen über Energieverbrauch begrenzt.“
Energieplanung wird sich von einer Back-Office-Frage zu einem zentralen Bestandteil der Technologie- und Sicherheitsstrategie entwickeln. Sie wird Entscheidungen über Cloud-Partner, Datenarchitekturen sowie sogar Talent- und Infrastrukturmodelle prägen – insbesondere in KI-intensiven Umgebungen. Energie ist nicht mehr nur ein Kostenfaktor, sondern entwickelt sich zu einer strategischen Ressource. Organisationen, die dies frühzeitig erkennen, werden besser positioniert sein, verantwortungsvoll und wettbewerbsfähig Innovationen voranzutreiben und widerstandsfähiger bleiben, wenn die Nachfrage das Angebot übersteigt.
Autor: Jon France, Chief Information Security Officer (CISO) bei ISC2
