Die Sperren aufheben und den normalen Verarbeitungsstatus wiederherstellen.
Ihren Teams eine Checkliste für die Zeit nach dem Vorfall zur Verfügung stellen, damit sie die Integrität der Abläufe überprüfen können.
Keine öffentliche Erwähnung dieses Vorfalls vornehmen.”
Mehr Edge-Geräte und IoT werden ausgenutzt
Forescout erwartet, dass Router, Firewalls, VPN-Geräte und andere Edge-Geräte sowie IP-Kameras, Hypervisoren, NAS und VoIP im internen Netzwerk – die alle außerhalb der Reichweite von Endpunkt-Erkennungs- und Reaktionssystemen liegen – zunehmend zu Hauptzielen werden. Individuelle Malware für Netzwerk- und Edge-Geräte nimmt zu und missbraucht häufig legitime Admin-Tools für heimliche Befehls- und Kontrollfunktionen. Im Jahr 2025 betrafen mehr als 20% der neu ausgenutzten Schwachstellen Netzwerk-Infrastrukturgeräte. Im Jahr 2026 könnte diese Zahl auf über 30% ansteigen, da die Ausnutzung nicht verwalteter Ressourcen den perfekten Einstiegspunkt für den ersten Zugriff und die seitliche Bewegung bietet. Die Ausweitung der Bestandsaufnahme und Durchsetzung auf jedes Gerät, unabhängig davon, ob es mit einem Agenten ausgestattet ist oder nicht, wird die nächste Phase des Expositionsmanagements bestimmen.
Weitere Spezialisierung, gemeinsame Toolkits
Eine weitere Entwicklung sieht Forescout darein, dass sich im nächsten Jahr die Cyberkriminalität weiter in eine Branche von Spezialisten aufteilen wird, wobei Initial Access Broker, Datenwäscher und Erpresser die Arbeit untereinander aufteilen und Zugänge untereinander handeln. Wie der Lockbit-Leak bereits andeutet, werden sich viele der Gruppen, die Schlagzeilen machen, in Franchise-ähnliche Marken aufteilen und nicht mehr als einheitliche Organisationen auftreten. Trotz dieser Vielfalt geht Forescout davon aus, dass die meisten Gruppen jedoch weiterhin in hohem Maße auf die Wiederverwendung derselben kleinen Auswahl an Frameworks, Toolchains und Exploits angewiesen sein werden. Im Jahr 2026 wird diese Mischung aus Spezialisierung und gemeinsamen Tools die Grenzen zwischen den Bedrohungsgruppen verwischen, sodass nicht mehr Markennamen, sondern gemeinsame Verhaltensweisen der beste Indikator dafür sind, wer hinter einem Angriff steckt.
Verwirrung als Waffe
Hacktivisten haben gelernt, dass das Säen von Zweifeln genauso störend sein kann wie das Verursachen von Ausfallzeiten. Im Jahr 2026 werden Hacktivisten, Faketivisten und staatlich gelenkte Akteure laut Forescout-Prognose zunehmend öffentliche Behauptungen mit leichten praktischen Eingriffen in OT-Systeme verbinden und Betreiber zu vorsorglichen Abschaltungen zwingen, selbst wenn kein tatsächlicher Schaden entsteht – insbesondere in kritischen Sektoren wie Wasser, Energie und Gesundheitswesen. Viele dieser „zuerst ankündigen, später beweisen”-Operationen werden ihre Auswirkungen übertreiben, um Betreiber dazu zu drängen, Systeme freiwillig abzuschalten. Die einzige Verteidigung ist klare Sichtbarkeit, Bedrohungserkennung und Segmentierung, um Gerüchte von der Realität zu trennen.
Forsecout-Prognosen für den DACH-Markt
‘Reverse-Ransom’-Kampagnen treffen den DACH-Mittelstand
Die DACH-Region mit ihrem starken industriellen Rückgrat wird 2026 verstärkt ins Visier von Angreifern geraten, die sich auf Lieferketten-Erpressung spezialisiert haben. Besonders gefährdet sind kleine und mittelständische Zulieferer in Branchen wie Maschinenbau, Automotive und Logistik – also genau jene Unternehmen, die das Rückgrat der regionalen Wirtschaft bilden. Diese Betriebe verfügen häufig über schwächere Cyberhygiene, sind aber kritisch für die Produktion großer Marken. Laut Prognose werden Angreifer diese Asymmetrie ausnutzen, um durch die Lahmlegung von vorgelagerten Partnern Druck auf große Hersteller und Auftraggeber auszuüben – ganz im Sinne eines „Reverse-Ransom“-Modells. Da in DACH-typischen Just-in-Time-Prozessen jeder Stillstand spürbare Folgen hat, wird der wirtschaftliche Schaden durch Ausfälle schnell existenzbedrohend. Zudem wächst der regulatorische Druck: Unternehmen müssen nach NIS2 künftig auch die Cyberresilienz ihrer Lieferanten nachweisen. Forsecout rät Unternehmen dazu, ihre Lieferkette als erweitertes Angriffs- und Schutzgebiet begreifen. Dazu gehöre, Lieferanten zu klassifizieren, Sicherheitsstandards in Einkaufsrichtlinien zu integrieren und technische Sichtbarkeit über alle Partner hinweg sicherzustellen. Der Schutz von Partnerunternehmen sieht Forescout künftig gleichbedeutend mit dem Schutz des eigenen Betriebs.
Veränderte Sicherheitsstrategien in DACH-Markt
Im Jahr 2026 werden Cybersecurity-Entscheidungen in der DACH-Region zunehmend durch regulatorische Anforderungen und den Ruf nach digitaler Souveränität bestimmt. Mit der Umsetzung von NIS2 und den verschärften Anforderungen des BSI müssen viele Unternehmen, ihre Sicherheitsarchitekturen neu zu denken – insbesondere im Hinblick auf Transparenz, Auditierbarkeit und Datenresidenz. Während internationale Cloud-Anbieter mit ’EU-only’-Zonen und neuen Compliance-Zertifizierungen um Vertrauen werben, geraten lokale MSPs und IT-Dienstleister unter Druck, durchgängige Nachweise über Sicherheits- und Monitoringprozesse zu liefern. Gleichzeitig zwingt der Fachkräftemangel viele Organisationen dazu, kritische Sicherheitsfunktionen auszulagern – was wiederum neue Abhängigkeiten und Risiken schafft.
Nach Ansicht von Forescout sollten CISOs Compliance nicht als bürokratische Hürde, sondern als Wettbewerbsvorteil begreifen. Wer heute in automatisierte Sichtbarkeit, Agentless Detection und nachvollziehbares Expositionsmanagement investiert, erfüllt nicht nur gesetzliche Auflagen, sondern stärkt auch die eigene Position am Markt – denn 2026 wird Cyber-Compliance zu einem entscheidenden Kaufkriterium.
