SANS Institute: Fünf Cybersicherheitsvorhersagen für 2026
17.12.2025
Zu Beginn des Jahres veröffentlichte das SANS Institute seine „Top 5 der gefährlichsten Angriffstechniken für 2025“. Dies waren schon damals keine Vorhersagen theoretischer Natur. Sie basierten auf den täglichen Beobachtungen bei forensischen Ermittlungen, SOC-Operationen und in industriellen Umgebungen. Ein Jahr später haben sich diese Vorhersagen weitgehend bewahrheitet.
Unkontrollierte Zugriffe auf Cloud-Anwendungen sind nach wie vor einer der häufigsten Angriffspunkte für Angreifer. Ransomware, die auf ICS-Systeme abzielen, sind in Bezug auf das Ausmaß als auch die Absichten geradezu eskaliert. KI hat sich sogar noch mehr zu einer Gefahr entwickelt, als dies angenommen wurde und ist dennoch eine der größten Chancen auf Besserung der Cybersicherheit.
Mit Blick auf das Jahr 2026 berichten Branchen-Experten für die Bereiche Security-Management, Cyber Defense, Offensive Operations, Digitale Forensik und Incident Response (DFIR) und Cloud Security, was sich geändert hat, was gleich geblieben ist und worauf sich Cybersicherheitsteams als Nächstes vorbereiten müssen.
- Security-Management: KI-Konsolidierung und die Notwendigkeit von Effizienz
Mark Orlando, SANS-Instructor und Field CTO bei Push Security erklärt: „Im Jahr 2025 überschwemmten KI-Tools für das SOC den Markt, aber für 2026 erwarte ich eine umfassende Konsolidierung, genau wie vor zehn Jahren auf dem SOAR-Markt. Die größeren Anbieter integrieren KI direkt in ihre bestehenden Plattformen, und die kleineren Akteure werden aufgrund ihrer Nischenkompetenzen übernommen werden. Effizienz ist jedoch nicht gleichbedeutend mit Autonomie. Viele frühe Versprechungen, Tier-1-Analysten zu ersetzen, stoßen an die Grenzen der Komplexität der realen Welt. Stattdessen werden wir Tools sehen, die Menschen unterstützen sollen – und nicht ersetzen. Für CISOs heißt 2026 jedoch auch, dass die Budgets knapp bleiben, die Aufsichtsbehörden immer strengere Regeln aufstellen und die Vorstände weiterhin Ergebnisse erwarten. Sicherheitsverantwortliche müssen die messbare Wirksamkeit ihrer bestehenden Maßnahmen nachweisen.“
- Cyber Defense: Deepfakes, Detection und intelligente Angriffsemulation
Nick Mitropoulos, SANS-Instructor erklärt im Hinblick auf die Cyber Defense, dass Vertrauen zerbrechlich ist: „Wir beobachten, dass Angreifer generative KI einsetzen, um E-Mails, Chats und Videos zu erstellen, die absolut authentisch wirken. Es geht nicht mehr nur um Text. Es geht um Tonfall, Sprachrhythmus und sogar Mimik. Detection Engineering wird zur neuen Normalität. Wir schreiben Erkennungsmechanismen als Code, testen sie wie Software und validieren sie ständig anhand simulierter Angriffe. So vermeidet man, in Warnmeldungen zu versinken, und kann sich auf die Signale konzentrieren, die wirklich wichtig sind. Mit KI-generierten Playbooks können wir Tausende von Angriffsvarianten innerhalb von Stunden statt Wochen emulieren. Das ist die Art von Skalierbarkeit, die die Cybersicherheit seit Jahren benötigt.“
- Offensive Operationen: KI im Toolkit des Red Teams
Jonathan Reiter, Lead Instructor für Offensive Operations beim SANS Institute erklärt, dass KI mittlerweile in fast jede Phase des Offensive Testing integriert ist: „Wir sind davon abgekommen, KI als Hilfsmittel zu nutzen, und setzen sie nun als Teammitglied ein. Ich kann ein Codierungsmodell um einen C++-Proof-of-Concept bitten, es kompilieren und es funktioniert – das ist der Stand der Dinge. Man braucht immer noch den User, um zu leiten, zu validieren und anzupassen. Die Teams werden reüssieren, die wissen, wie man KI-Ergebnisse formt, um sie in nutzbaren, testbaren Code umzuwandeln. Red Teams werden KI nutzen, um Tools in kurzen Zyklen zu entwickeln, zu testen und zu verfeinern, genau wie Softwareentwickler. Das ist schneller, intelligenter und wird letztendlich auch die Messlatte für Verteidiger höher legen.“
- Digitale Forensik und Incident Response: Schneller, intelligenter und schwerer zu verbergen
Mari DeGrazia, SANS Senior Instructor und Principal Forensic Examiner sieht fehlende forensische Artefakte als wichtigen Trend, weil Angreifer lernen, diese Lücke auszunutzen. „Der Unterschied besteht nun darin, dass sie nach der Kompromittierung KI einsetzen. Wir haben Fälle gesehen, in denen Angreifer KI-gesteuerte Tools einsetzen, um gestohlene Posteingänge zu durchsuchen und zu bewerten, welche Kontakte am ehesten vertrauen oder reagieren. Das ist Social Engineering mit Data Science im Hintergrund. Angreifer lassen exfiltrierte Daten durch KI laufen, um wertvolle persönliche oder medizinische Informationen zu identifizieren. Sie können diese Daten bündeln und für Erpressungszwecke nutzen, bevor die meisten Opfer überhaupt bemerken, was gestohlen wurde. Teams müssen deshalb in forensische Bereitschaft investieren. Gute Protokollierung und Transparenz sind keine Compliance-Checkboxen, sondern der Unterschied zwischen Reagieren und Raten.“
- Cloud-Sicherheit: KI, Cloud und die wachsende Angriffsfläche
Ahmed Abugharbia, Senior SANS Instructor und Cloud-Sicherheitsarchitekt sieht, dass immer mehr Unternehmen ihre Umgebungen neu aufbauen und absichern. „KI ist mittlerweile Teil fast jedes Workflows, Anwendungen, Modelle und Agenten verbinden sich mit Datenspeichern und Produktionssystemen, und jede Verbindung erhöht das Risiko. Sicherheitsteams müssen diese Systeme genau verstehen und Abwehrmaßnahmen entwickeln, die sich mit ihnen weiterentwickeln. Unternehmen werden ihre eigenen Modelle trainieren oder optimieren, was bedeutet, dass sie ihre MLOps-Pipelines sichern müssen. Andere werden sich auf etablierte Anbieter wie OpenAI oder Anthropic verlassen, was zu Bedenken hinsichtlich der Lieferkette und des Datenschutzes führt. Die meisten werden beides tun, und diese Komplexität wird neue Angriffswege eröffnen. Die Beziehung zwischen KI und Cloud-Sicherheit wird weiter gestärkt. Die lokale Ausführung von KI ist teuer und begrenzt, sodass die Cloud-Nutzung schnell zunimmt. Aus Sicherheitsperspektive sind KI- und Cloud-Sicherheit nun ein und dasselbe Problem. Man kann sie nicht mehr voneinander trennen.“
„KI macht auch Cybersicherheitsmaßnahmen effizienter, wir sehen neue Tools für Red Teaming, Incident Response und Detection Engineering, die KI nutzen, um repetitive Arbeiten zu automatisieren. Dadurch haben Verteidiger mehr Zeit, sich auf Strategie und Kreativität zu konzentrieren. Mit zunehmender Leistungsfähigkeit der KI werden sich die Organisationsstrukturen verändern. Einige Rollen werden wachsen, andere werden sich weiterentwickeln, und Sicherheitsteams müssen genauso schnell lernen wie die Systeme, die sie schützen.“
Fazit
Cyberbedrohungen sind bereits heute schneller, automatisierter und gleichzeitig effektiver geworden. Der nächste Schritt beinhält mehr als nur Vorhersagen, es ist vielmehr die Messung der Cybersicherheitsinvestitionen anhand klar definierter Parameter.
SANS Institute: Fünf Cybersicherheitsvorhersagen für 2026
17.12.2025
Zu Beginn des Jahres veröffentlichte das SANS Institute seine „Top 5 der gefährlichsten Angriffstechniken für 2025“. Dies waren schon damals keine Vorhersagen theoretischer Natur. Sie basierten auf den täglichen Beobachtungen bei forensischen Ermittlungen, SOC-Operationen und in industriellen Umgebungen. Ein Jahr später haben sich diese Vorhersagen weitgehend bewahrheitet.
Unkontrollierte Zugriffe auf Cloud-Anwendungen sind nach wie vor einer der häufigsten Angriffspunkte für Angreifer. Ransomware, die auf ICS-Systeme abzielen, sind in Bezug auf das Ausmaß als auch die Absichten geradezu eskaliert. KI hat sich sogar noch mehr zu einer Gefahr entwickelt, als dies angenommen wurde und ist dennoch eine der größten Chancen auf Besserung der Cybersicherheit.
Mit Blick auf das Jahr 2026 berichten Branchen-Experten für die Bereiche Security-Management, Cyber Defense, Offensive Operations, Digitale Forensik und Incident Response (DFIR) und Cloud Security, was sich geändert hat, was gleich geblieben ist und worauf sich Cybersicherheitsteams als Nächstes vorbereiten müssen.
- Security-Management: KI-Konsolidierung und die Notwendigkeit von Effizienz
Mark Orlando, SANS-Instructor und Field CTO bei Push Security erklärt: „Im Jahr 2025 überschwemmten KI-Tools für das SOC den Markt, aber für 2026 erwarte ich eine umfassende Konsolidierung, genau wie vor zehn Jahren auf dem SOAR-Markt. Die größeren Anbieter integrieren KI direkt in ihre bestehenden Plattformen, und die kleineren Akteure werden aufgrund ihrer Nischenkompetenzen übernommen werden. Effizienz ist jedoch nicht gleichbedeutend mit Autonomie. Viele frühe Versprechungen, Tier-1-Analysten zu ersetzen, stoßen an die Grenzen der Komplexität der realen Welt. Stattdessen werden wir Tools sehen, die Menschen unterstützen sollen – und nicht ersetzen. Für CISOs heißt 2026 jedoch auch, dass die Budgets knapp bleiben, die Aufsichtsbehörden immer strengere Regeln aufstellen und die Vorstände weiterhin Ergebnisse erwarten. Sicherheitsverantwortliche müssen die messbare Wirksamkeit ihrer bestehenden Maßnahmen nachweisen.“
- Cyber Defense: Deepfakes, Detection und intelligente Angriffsemulation
Nick Mitropoulos, SANS-Instructor erklärt im Hinblick auf die Cyber Defense, dass Vertrauen zerbrechlich ist: „Wir beobachten, dass Angreifer generative KI einsetzen, um E-Mails, Chats und Videos zu erstellen, die absolut authentisch wirken. Es geht nicht mehr nur um Text. Es geht um Tonfall, Sprachrhythmus und sogar Mimik. Detection Engineering wird zur neuen Normalität. Wir schreiben Erkennungsmechanismen als Code, testen sie wie Software und validieren sie ständig anhand simulierter Angriffe. So vermeidet man, in Warnmeldungen zu versinken, und kann sich auf die Signale konzentrieren, die wirklich wichtig sind. Mit KI-generierten Playbooks können wir Tausende von Angriffsvarianten innerhalb von Stunden statt Wochen emulieren. Das ist die Art von Skalierbarkeit, die die Cybersicherheit seit Jahren benötigt.“
- Offensive Operationen: KI im Toolkit des Red Teams
Jonathan Reiter, Lead Instructor für Offensive Operations beim SANS Institute erklärt, dass KI mittlerweile in fast jede Phase des Offensive Testing integriert ist: „Wir sind davon abgekommen, KI als Hilfsmittel zu nutzen, und setzen sie nun als Teammitglied ein. Ich kann ein Codierungsmodell um einen C++-Proof-of-Concept bitten, es kompilieren und es funktioniert – das ist der Stand der Dinge. Man braucht immer noch den User, um zu leiten, zu validieren und anzupassen. Die Teams werden reüssieren, die wissen, wie man KI-Ergebnisse formt, um sie in nutzbaren, testbaren Code umzuwandeln. Red Teams werden KI nutzen, um Tools in kurzen Zyklen zu entwickeln, zu testen und zu verfeinern, genau wie Softwareentwickler. Das ist schneller, intelligenter und wird letztendlich auch die Messlatte für Verteidiger höher legen.“
- Digitale Forensik und Incident Response: Schneller, intelligenter und schwerer zu verbergen
Mari DeGrazia, SANS Senior Instructor und Principal Forensic Examiner sieht fehlende forensische Artefakte als wichtigen Trend, weil Angreifer lernen, diese Lücke auszunutzen. „Der Unterschied besteht nun darin, dass sie nach der Kompromittierung KI einsetzen. Wir haben Fälle gesehen, in denen Angreifer KI-gesteuerte Tools einsetzen, um gestohlene Posteingänge zu durchsuchen und zu bewerten, welche Kontakte am ehesten vertrauen oder reagieren. Das ist Social Engineering mit Data Science im Hintergrund. Angreifer lassen exfiltrierte Daten durch KI laufen, um wertvolle persönliche oder medizinische Informationen zu identifizieren. Sie können diese Daten bündeln und für Erpressungszwecke nutzen, bevor die meisten Opfer überhaupt bemerken, was gestohlen wurde. Teams müssen deshalb in forensische Bereitschaft investieren. Gute Protokollierung und Transparenz sind keine Compliance-Checkboxen, sondern der Unterschied zwischen Reagieren und Raten.“
- Cloud-Sicherheit: KI, Cloud und die wachsende Angriffsfläche
Ahmed Abugharbia, Senior SANS Instructor und Cloud-Sicherheitsarchitekt sieht, dass immer mehr Unternehmen ihre Umgebungen neu aufbauen und absichern. „KI ist mittlerweile Teil fast jedes Workflows, Anwendungen, Modelle und Agenten verbinden sich mit Datenspeichern und Produktionssystemen, und jede Verbindung erhöht das Risiko. Sicherheitsteams müssen diese Systeme genau verstehen und Abwehrmaßnahmen entwickeln, die sich mit ihnen weiterentwickeln. Unternehmen werden ihre eigenen Modelle trainieren oder optimieren, was bedeutet, dass sie ihre MLOps-Pipelines sichern müssen. Andere werden sich auf etablierte Anbieter wie OpenAI oder Anthropic verlassen, was zu Bedenken hinsichtlich der Lieferkette und des Datenschutzes führt. Die meisten werden beides tun, und diese Komplexität wird neue Angriffswege eröffnen. Die Beziehung zwischen KI und Cloud-Sicherheit wird weiter gestärkt. Die lokale Ausführung von KI ist teuer und begrenzt, sodass die Cloud-Nutzung schnell zunimmt. Aus Sicherheitsperspektive sind KI- und Cloud-Sicherheit nun ein und dasselbe Problem. Man kann sie nicht mehr voneinander trennen.“
„KI macht auch Cybersicherheitsmaßnahmen effizienter, wir sehen neue Tools für Red Teaming, Incident Response und Detection Engineering, die KI nutzen, um repetitive Arbeiten zu automatisieren. Dadurch haben Verteidiger mehr Zeit, sich auf Strategie und Kreativität zu konzentrieren. Mit zunehmender Leistungsfähigkeit der KI werden sich die Organisationsstrukturen verändern. Einige Rollen werden wachsen, andere werden sich weiterentwickeln, und Sicherheitsteams müssen genauso schnell lernen wie die Systeme, die sie schützen.“
Fazit
Cyberbedrohungen sind bereits heute schneller, automatisierter und gleichzeitig effektiver geworden. Der nächste Schritt beinhält mehr als nur Vorhersagen, es ist vielmehr die Messung der Cybersicherheitsinvestitionen anhand klar definierter Parameter.