Cybersecurity 2026: Navigieren durch Zero Trust, NIS2 und die Resilienz kritischer Infrastrukturen

Cybersecurity 2026: Navigieren durch Zero Trust, NIS2 und die Resilienz kritischer Infrastrukturen

Pro­to­koll Tag-Defi­ni­tio­nen | 2025-09-21 09:27 (CEST)

Arti­kel URL: https://www.automation.com/en-us/articles/august-2025/ot-cybersecurity-2026-six-trends-state-smart

Initi­al con­tent for the pri­va­te post.

2025-09-21 09:29 (CEST) Tag=„2026“ | Status=OK | Aktion=keine | Hinweis=Definition vor­han­den­Die digi­ta­le Land­schaft ver­än­dert sich rasant, und mit ihr die Bedro­hungs­vek­to­ren für Unter­neh­men und kri­ti­sche Infra­struk­tu­ren. Die nächs­ten Jah­re, ins­be­son­de­re bis 2026, wer­den eine ent­schei­den­de Pha­se für die Ent­wick­lung und Imple­men­tie­rung fort­schritt­li­cher Cyber­si­cher­heits­stra­te­gien dar­stel­len. Dabei rücken Kon­zep­te wie Zero Trust, die Stär­kung der Sup­p­ly Chain Cyber­se­cu­ri­ty, der Schutz von Ope­ra­tio­nal Tech­no­lo­gy (OT) und dem Inter­net der Din­ge (IoT) sowie die umfas­sen­de Cyber-Resi­li­enz in den Fokus, maß­geb­lich beein­flusst durch regu­la­to­ri­sche Rah­men­wer­ke wie die NIS2-Richt­li­nie.

Die Evolution der Zero Trust Architektur bis 2026

Die Zero Trust Archi­tek­tur (ZTA) hat sich von einem optio­na­len Sicher­heits­an­satz zu einer geschäft­li­chen Not­wen­dig­keit ent­wi­ckelt. Getrie­ben durch Remo­te- und Hybrid­ar­beit, Mul­ti-Cloud-Imple­men­tie­run­gen, immer aus­ge­feil­te­re Bedro­hun­gen und ver­schärf­te regu­la­to­ri­sche Anfor­de­run­gen, wird ZTA bis 2026 eine zen­tra­le Rol­le spie­len. Gart­ner pro­gnos­ti­ziert, dass 70 % der Vor­stän­de bis 2026 die Inte­gra­ti­on von Zero Trust Prin­zi­pi­en in die Risi­ko­ma­nage­ment­stra­te­gien ihrer Unter­neh­men for­dern wer­den.

Grund­prin­zi­pi­en und tech­no­lo­gi­sche Fort­schrit­te: Im Kern basiert Zero Trust auf dem Para­dig­ma „nie­mals ver­trau­en, immer veri­fi­zie­ren“. Das bedeu­tet, jeder Benut­zer, jedes Gerät und jede Anwen­dung muss kon­ti­nu­ier­lich authen­ti­fi­ziert und auto­ri­siert wer­den, wobei stets das Prin­zip des gerings­ten Pri­vi­legs ange­wen­det wird.
Beson­ders in Cloud-Umge­bun­gen wird sich die ZTA wei­ter­ent­wi­ckeln. Es ent­ste­hen Cloud-nati­ve Zero Trust Archi­tek­tu­ren, die kon­ti­nu­ier­li­che Authen­ti­fi­zie­rung, Least-Pri­vi­le­ge-Zugriff und Mikro­seg­men­tie­rung direkt in Cloud-Diens­te inte­grie­ren. Dyna­mi­sche Zugriffs­richt­li­ni­en, die auf Kon­text­fak­to­ren wie Gerä­te­zu­stand, Geo­lo­ka­li­sie­rung und Benut­zer-Risi­ko­be­wer­tung basie­ren, wer­den die Fle­xi­bi­li­tät und Sicher­heit wei­ter erhö­hen. Zudem wird die Inte­gra­ti­on von Künst­li­cher Intel­li­genz (KI) und Maschi­nel­lem Ler­nen (ML) die ZTA revo­lu­tio­nie­ren, indem sie Echt­zeit-Bedro­hungs­er­ken­nung und ‑reak­ti­on ver­bes­sert, Authen­ti­fi­zie­rungs­me­cha­nis­men durch kon­ti­nu­ier­li­che Anpas­sung an Benut­zer­ver­hal­ten opti­miert und die Com­pli­ance durch auto­ma­ti­sier­te Über­wa­chung ver­ein­facht.

Supply Chain Cybersecurity und Vierte-Partei-Risiken

Die Sicher­heit der Lie­fer­ket­te ist zu einem kri­ti­schen Schwach­punkt gewor­den. Zahl­rei­che Angrif­fe nut­zen Schwach­stel­len bei Zulie­fe­rern aus, oft durch Mal­wa­re oder Mani­pu­la­ti­on von Code. Die NIS2-Richt­li­nie der EU legt einen star­ken Fokus auf die Cyber­si­cher­heit der Lie­fer­ket­te und die Bezie­hun­gen zu Lie­fe­ran­ten, wodurch Unter­neh­men ver­pflich­tet wer­den, ent­spre­chen­de Risi­ken zu iden­ti­fi­zie­ren und zu mana­gen.

Umgang mit Risi­ken: Unter­neh­men müs­sen umfas­sen­de Risi­ko­be­wer­tun­gen durch­füh­ren, die gesam­te Lie­fer­ket­te abbil­den und die Zugriffs­rech­te von Lie­fe­ran­ten auf Daten und Sys­te­me ver­ste­hen. Die Imple­men­tie­rung stren­ger Sicher­heits­kon­trol­len, wie ver­trag­li­che Anfor­de­run­gen, Sicher­heits­au­dits und Zugangs­kon­trol­len, ist uner­läss­lich. Das Zero Trust Modell, mit sei­nem Fokus auf kon­ti­nu­ier­li­che Veri­fi­zie­rung, unter­stützt die­se Anfor­de­run­gen maß­geb­lich und bie­tet bes­se­ren Schutz für kri­ti­sche Infra­struk­tu­ren inner­halb der Lie­fer­ket­te. Obwohl „Vier­te-Par­tei-Risi­ken“ nicht expli­zit als sepa­ra­ter Punkt in den Such­ergeb­nis­sen auf­tau­chen, sind sie impli­zit Teil der erwei­ter­ten Lie­fer­ket­ten-Sicher­heit, da Dritt­an­bie­ter oft selbst viert­klas­si­ge Dienst­leis­ter nut­zen. Die NIS2-Richt­li­nie for­dert, dass Risi­ken in den Bezie­hun­gen zu direk­ten Lie­fe­ran­ten und Dienst­leis­tern adres­siert wer­den, was eine Kas­ka­die­rung der Sorg­falts­pflich­ten nach sich zieht.

OT-Sicherheit 2026: Schutz industrieller Steuerungssysteme

Ope­ra­tio­nal Tech­no­lo­gy (OT), die indus­tri­el­le Steue­rungs­sys­te­me und Feld­ge­rä­te, die Fabri­ken, Ver­sor­gungs­un­ter­neh­men und Ver­kehrs­sys­te­me am Lau­fen hal­ten, ist nicht län­ger ein iso­lier­ter Bereich der Unter­neh­mens-IT. Die zuneh­men­de Digi­ta­li­sie­rung und Ver­net­zung expo­nie­ren die­se oft ver­al­te­ten und ursprüng­lich nicht für Netz­werk­kon­nek­ti­vi­tät kon­zi­pier­ten Sys­te­me gegen­über Cyber­be­dro­hun­gen, die frü­her nur IT-Sys­te­me betra­fen. Die Zahl der Ran­som­wa­re-Angrif­fe auf OT-Sys­te­me ist stark gestie­gen, was die Dring­lich­keit von Schutz­maß­nah­men unter­streicht.

Stra­te­gi­sche Neu­aus­rich­tung: Bis 2026 wird OT-Sicher­heit nicht mehr als blo­ßer Kos­ten­fak­tor, son­dern als Rück­grat der Pro­duk­ti­on und ein Kern­leis­tungs­in­di­ka­tor betrach­tet wer­den. Die Ver­ant­wor­tung für OT-Sicher­heit wird auf Vor­stands­ebe­ne ankom­men. Her­stel­ler pla­nen mas­si­ve Inves­ti­tio­nen in OT-Sicher­heits­platt­for­men. Zu den zen­tra­len Trends gehö­ren:

  • Ubi­qui­tä­re Platt­formad­op­ti­on: Umfas­sen­de OT-Sicher­heits­platt­for­men wer­den zum Stan­dard.
  • Secu­re-by-Design Hard­ware: Hard­ware mit inte­grier­ten Sicher­heits­kon­trol­len, signier­ter Firm­ware und Tele­me­trie wird ver­stärkt ein­ge­setzt.
  • Cyber-lite­ra­te Work­force: Schu­lun­gen für Mit­ar­bei­ter sind ent­schei­dend, um Sicher­heits­vor­fäl­le zu ver­hin­dern.
  • Inte­gra­ti­on von Sicher­heit und Safe­ty: Eine Kul­tur, in der phy­si­sche Sicher­heit und Cyber­si­cher­heit Hand in Hand gehen, ist uner­läss­lich.
  • Ein­bin­dung in SOCs: Die Inte­gra­ti­on von OT- und IoT-Pro­to­koll­da­ten in ein Secu­ri­ty Ope­ra­ti­ons Cen­ter (SOC) ermög­licht eine umfas­sen­de Bedro­hungs­ana­ly­se und schnel­le­re Reak­ti­on.

IoT-Sicherheit: Die wachsende Angriffsfläche

Bis 2027 wird die Zahl der ver­netz­ten Gerä­te vor­aus­sicht­lich über 41 Mil­li­ar­den errei­chen, was eine mas­si­ve Erwei­te­rung der Angriffs­flä­che dar­stellt. IoT-End­punk­te sind auf­grund ihrer schie­ren Anzahl und oft man­gel­haf­ten Sicher­heits­kon­trol­len belieb­te Zie­le für Angrei­fer. Zu den häu­figs­ten Bedro­hun­gen zäh­len Bot­nets, DNS-Angrif­fe und phy­si­sche Mani­pu­la­ti­on.

Her­aus­for­de­run­gen und Lösungs­an­sät­ze: Vie­le IoT-Gerä­te wei­sen grund­le­gen­de Sicher­heits­män­gel auf, wie alte Betriebs­sys­te­me, feh­len­de inte­grier­te Sicher­heits­funk­tio­nen und ver­nach­läs­sig­te Updates und Patches. Zudem ver­wen­den sie oft unsi­che­re Pro­to­kol­le.
Eine wirk­sa­me IoT-Sicher­heit erfor­dert einen inte­grier­ten Ansatz mit voll­stän­di­ger Netz­werk­trans­pa­renz, Authen­ti­fi­zie­rung, Klas­si­fi­zie­rung, Seg­men­tie­rung und richt­li­ni­en­ge­stütz­tem Schutz. Das Kon­zept „Secu­re by Design“ – die Inte­gra­ti­on von Sicher­heits­maß­nah­men bereits in der Ent­wick­lungs­pha­se – gewinnt ent­schei­dend an Bedeu­tung. Auch regu­la­to­ri­sche Rah­men­wer­ke wie die ISO 27001, das NIST Cyber­se­cu­ri­ty Frame­work, die NIS2-Richt­li­nie und der kom­men­de EU Cyber Resi­li­ence Act set­zen neue Maß­stä­be für die Absi­che­rung von IoT-Sys­te­men. Zukünf­ti­ge Ent­wick­lun­gen sehen gene­ra­ti­ve KI und Block­chain-Tech­no­lo­gie als Weg­be­rei­ter für ver­bes­ser­te IoT-Sicher­heit.

5G-Edge-Security: Schutz in der dezentralen Ära

Die Ein­füh­rung von 5G-Netz­wer­ken und Edge Com­pu­ting revo­lu­tio­niert die Daten­ver­ar­bei­tung, bringt aber auch grund­le­gen­de Ver­än­de­run­gen und Her­aus­for­de­run­gen für die IT-Sicher­heit mit sich. Die mas­si­ve Zunah­me ver­netz­ter Gerä­te und die dezen­tra­le Daten­ver­ar­bei­tung an der Netz­werk­pe­ri­phe­rie (Edge) ero­die­ren tra­di­tio­nel­le Sicher­heits­pe­ri­me­ter.

Risi­ken und Siche­rungs­stra­te­gien: 5G bie­tet zwar stär­ke­re Ver­schlüs­se­lung und Benut­zer­au­then­ti­fi­zie­rung, eröff­net aber auch neue Angriffs­vek­to­ren und eine grö­ße­re Angriffs­flä­che. Jedes Edge-Kno­ten wird zu einer poten­zi­el­len Schwach­stel­le, wenn es nicht ange­mes­sen gesi­chert ist.
Ein Zero Trust Ansatz ist für die 5G-Edge-Sicher­heit uner­läss­lich, um die Ska­lie­rung über ver­schie­de­ne Umge­bun­gen hin­weg zu gewähr­leis­ten. Eine platt­form­ba­sier­te Stra­te­gie, die regio­na­le Rechen­zen­tren, öffent­li­che und pri­va­te MEC (Mul­ti-access Edge Com­pu­ting) sowie mobi­le Gerä­te umfasst, ist am effek­tivs­ten. Die Auto­ma­ti­sie­rung von Sicher­heits­funk­tio­nen ist ent­schei­dend, um mit der Dyna­mik der 5G-Umge­bung Schritt zu hal­ten. Tech­ni­ken wie Net­work Slicing ermög­li­chen eine opti­mier­te Sicher­heits­kon­trol­le für unter­schied­li­che Netz­werk­seg­men­te. Die Absi­che­rung von Soft­ware-Defi­ned Net­work (SDN)-Controllern und Net­work Func­tions Vir­tua­liza­ti­on (NFV)-Komponenten ist dabei von höchs­ter Bedeu­tung.

Kritischer Infrastruktur-Schutz: Eine nationale Priorität

Der Schutz kri­ti­scher Infra­struk­tu­ren (KRITIS) ist ange­sichts zuneh­men­der Cyber­an­grif­fe und geo­po­li­ti­scher Span­nun­gen von höchs­ter Bedeu­tung. Die NIS2-Richt­li­nie ver­stärkt die Cyber­si­cher­heits­an­for­de­run­gen erheb­lich und wei­tet ihren Anwen­dungs­be­reich auf eine viel brei­te­re Palet­te von Sek­to­ren und Unter­neh­men aus, dar­un­ter öffent­li­che Ver­wal­tung, Raum­fahrt, Abfall­wirt­schaft, Lebens­mit­tel­pro­duk­ti­on, che­mi­sche Indus­trie und Gesund­heits­we­sen, ein­schließ­lich klei­ner und mitt­le­rer Unter­neh­men in die­sen Berei­chen.

Regu­la­to­ri­sche Ver­pflich­tun­gen und deren Umset­zung: In Deutsch­land wird das KRI­TIS-Dach­ge­setz, vor­aus­sicht­lich ab 2025/2026 in Kraft tre­tend, einen ein­heit­li­chen und recht­lich ver­bind­li­chen Schutz für kri­ti­sche Infra­struk­tu­ren eta­blie­ren. Es setzt die EU CER-Richt­li­nie für die phy­si­sche Sicher­heit kri­ti­scher Ein­rich­tun­gen um und ergänzt die NIS2-Richt­li­nie. Zu den Kern­pflich­ten gehö­ren ver­pflich­ten­de Risi­ko­ana­ly­sen, Mel­de­pflich­ten für Sicher­heits­vor­fäl­le und die Umset­zung spe­zi­fi­scher Schutz­maß­nah­men. Die Geschäfts­lei­tung der betrof­fe­nen Orga­ni­sa­tio­nen trägt eine kla­re Ver­ant­wor­tung und kann für Ver­stö­ße haft­bar gemacht wer­den. Ab 2026 wird das BSI deut­lich stren­ge­re Kon­trol­len durch­füh­ren. Unter­neh­men müs­sen früh­zei­tig prü­fen, ob und in wel­chem Umfang sie von die­sen Rege­lun­gen betrof­fen sind.

Cyber-Resilienz-Strategien: Überleben im digitalen Sturm

Ange­sichts der Tat­sa­che, dass ein hun­dert­pro­zen­ti­ger Schutz vor Cyber­an­grif­fen unrea­lis­tisch ist, ver­schiebt sich der Fokus von rei­ner Prä­ven­ti­on hin zur Cyber-Resi­li­enz. Cyber-Resi­li­enz ist die Fähig­keit eines Unter­neh­mens, Cyber-Vor­fäl­len stand­zu­hal­ten, sich davon zu erho­len und sich an sie anzu­pas­sen, um die Geschäfts­kon­ti­nui­tät sicher­zu­stel­len.

Ein ganz­heit­li­cher Ansatz: Eine effek­ti­ve Cyber-Resi­li­enz ist eine unter­neh­mens­wei­te, risi­ko­ba­sier­te Stra­te­gie, die über rei­ne IT-Sicher­heit hin­aus­geht und Mit­ar­bei­ter, Pro­zes­se, IT-Infra­struk­tur und exter­ne Part­ner umfasst. Sie beinhal­tet:

  • Pro­ak­ti­ves Risi­ko­ma­nage­ment: Kon­ti­nu­ier­li­che Ana­ly­se und Bewer­tung von Risi­ken, Schwach­stel­len und poten­zi­el­len Aus­wir­kun­gen.
  • Inci­dent Respon­se und Busi­ness Con­ti­nui­ty Manage­ment: Kla­re Stra­te­gien und geüb­te Not­fall­kon­zep­te für eine schnel­le Erken­nung, Ein­däm­mung und Wie­der­her­stel­lung nach einem Angriff.
  • Infor­ma­ti­ons­si­cher­heit und IT-Foren­sik: Maß­nah­men zum Schutz von Daten und die Fähig­keit, Angrif­fe zu unter­su­chen und dar­aus zu ler­nen.
  • Mit­ar­bei­ter­sen­si­bi­li­sie­rung: Der mensch­li­che Fak­tor bleibt eine der größ­ten Schwach­stel­len, daher sind regel­mä­ßi­ge Schu­lun­gen uner­läss­lich.

Die NIS2-Richt­li­nie und die zuneh­men­de Regu­lie­rungs­dich­te machen pro­ak­ti­ve Resi­li­enz nicht nur tech­nisch gebo­ten, son­dern auch recht­lich rat­sam, da die Unter­neh­mens­lei­tung für die Ein­hal­tung ver­ant­wort­lich ist. Die Inte­gra­ti­on von Cyber­si­cher­heit als zen­tra­ler Bestand­teil der Geschäfts­stra­te­gie ist ent­schei­dend, um Risi­ken früh­zei­tig zu erken­nen und adäquat dar­auf zu reagie­ren.

NIS2-Richtlinie: Der Katalysator für ein sichereres Europa

Die NIS2-Richt­li­nie, die im Janu­ar 2023 in Kraft getre­ten ist und bis Okto­ber 2024 (in Deutsch­land bis Anfang 2026) in natio­na­les Recht umge­setzt wer­den muss, ist ein Game Chan­ger für die euro­päi­sche Cyber­si­cher­heits­land­schaft. Sie löst die ursprüng­li­che NIS-Richt­li­nie ab und zielt dar­auf ab, ein hohes gemein­sa­mes Cyber­si­cher­heits­ni­veau in der gesam­ten EU zu gewähr­leis­ten.

Wesent­li­che Aus­wir­kun­gen:

  • Erwei­ter­ter Anwen­dungs­be­reich: Eine signi­fi­kant grö­ße­re Anzahl von Sek­to­ren und Unter­neh­men fällt unter die Richt­li­nie, dar­un­ter auch mitt­le­re und gro­ße Unter­neh­men in bis­her erfass­ten kri­ti­schen Sek­to­ren und neue Berei­che wie öffent­li­che Ver­wal­tung und Lie­fer­ket­ten.
  • Ver­schärf­te Sicher­heits­an­for­de­run­gen: Unter­neh­men müs­sen umfas­sen­de Risi­ko­ma­nage­ment­maß­nah­men ergrei­fen, die unter ande­rem Sicher­heit in der Lie­fer­ket­te, Busi­ness Con­ti­nui­ty Manage­ment, Ver­schlüs­se­lung und Zugangs­be­schrän­kun­gen umfas­sen. Die Prin­zi­pi­en von Zero Trust sind eng mit den Anfor­de­run­gen der NIS2-Richt­li­nie ver­bun­den und erleich­tern deren Ein­hal­tung.
  • Mel­de­pflich­ten und Sank­tio­nen: Strik­te­re Mel­de­pflich­ten für Sicher­heits­vor­fäl­le und har­mo­ni­sier­te, weit­rei­chen­de Sank­tio­nen, ein­schließ­lich hoher Buß­gel­der, wer­den ein­ge­führt.
  • Ver­ant­wor­tung der Unter­neh­mens­lei­tung: Die Richt­li­nie sieht eine kla­re Ver­ant­wor­tung und Haf­tung der Lei­tungs­or­ga­ne für die Ein­hal­tung der Cyber­si­cher­heits­maß­nah­men vor.

Die NIS2-Richt­li­nie ist ein ent­schei­den­der Trei­ber für not­wen­di­ge Inves­ti­tio­nen in Cyber­si­cher­heit und die Stär­kung der Cyber-Resi­li­enz in der EU.

Fazit

Die Cyber­si­cher­heits­land­schaft bis 2026 ist durch eine stei­gen­de Kom­ple­xi­tät der Bedro­hun­gen und eine sich ver­dich­ten­de regu­la­to­ri­sche Umge­bung gekenn­zeich­net. Die kon­se­quen­te Imple­men­tie­rung einer Zero Trust Archi­tek­tur ist nicht län­ger eine Opti­on, son­dern ein Fun­da­ment für den Schutz moder­ner, ver­teil­ter IT-Umge­bun­gen. Der Schutz von Sup­p­ly Chains vor zuneh­men­den Angrif­fen und die Absi­che­rung kri­ti­scher Infra­struk­tu­ren sind durch die NIS2-Richt­li­nie gesetz­lich fest­ge­schrie­ben und erfor­dern eine ganz­heit­li­che Betrach­tung, die auch Vier­te-Par­tei-Risi­ken ein­schließt. Die OT- und IoT-Sicher­heit wird von einer nach­ran­gi­gen Über­le­gung zu einem stra­te­gi­schen Schwer­punkt, wäh­rend 5G-Edge-Secu­ri­ty neue Her­aus­for­de­run­gen durch die Dezen­tra­li­sie­rung mit sich bringt. Unter­neh­men, die in die­sen Berei­chen eine robus­te Cyber-Resi­li­enz-Stra­te­gie ent­wi­ckeln und umset­zen, wer­den nicht nur regu­la­to­ri­sche Anfor­de­run­gen erfül­len, son­dern auch ihre digi­ta­le Zukunft sichern und ihre Hand­lungs­fä­hig­keit im Ange­sicht stän­di­ger Cyber-Bedro­hun­gen gewähr­leis­ten.

Weiterführende Quellen

https://www.fyld.pt/it-forum/zero-trust-architecture-cybersecurity-it/

https://dev.to/sm0k3/cybersecurity-trends-2025–2026-navigating-the-next-wave-of-digital-resilience-lmm

https://www.gminsights.com/industry-analysis/zero-trust-architecture-market

https://www.enisa.europa.eu/sites/default/files/publications/Good%20Practices%20for%20Supply%20Chain%20Cybersecurity.pdf

https://www.automation.com/en-us/articles/august-2025/ot-cybersecurity-2026-six-trends-state-smart