<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Firma InfoGuard, Autor bei Presseradar</title>
	<atom:link href="https://www.presseradar.de/author/firma_infoguard/feed/" rel="self" type="application/rss+xml" />
	<link>https://www.presseradar.de/author/firma_infoguard/</link>
	<description>Warum lange suchen – Wir finden die passenden Leser.</description>
	<lastBuildDate>Thu, 25 Jun 2026 10:15:00 +0000</lastBuildDate>
	<language>de</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=6.5.8</generator>
	<item>
		<title>Cyberangriffe ohne Hollywood-Hacking: 350 analysierte Fälle. Drei Muster.</title>
		<link>https://www.presseradar.de/2026/06/25/cyberangriffe-ohne-hollywood-hacking-350-analysierte-flle-drei-muster/</link>
		
		<dc:creator><![CDATA[Firma InfoGuard]]></dc:creator>
		<pubDate>Thu, 25 Jun 2026 10:15:00 +0000</pubDate>
				<category><![CDATA[Allgemein]]></category>
		<category><![CDATA[ads]]></category>
		<category><![CDATA[antivirus]]></category>
		<category><![CDATA[backup]]></category>
		<category><![CDATA[cloud]]></category>
		<category><![CDATA[dmarc]]></category>
		<category><![CDATA[dns]]></category>
		<category><![CDATA[ghost]]></category>
		<category><![CDATA[mfa]]></category>
		<category><![CDATA[open]]></category>
		<category><![CDATA[privileged]]></category>
		<category><![CDATA[ransomware]]></category>
		<category><![CDATA[sbom]]></category>
		<category><![CDATA[security]]></category>
		<category><![CDATA[server]]></category>
		<category><![CDATA[vpn]]></category>
		<guid isPermaLink="false">https://www.presseradar.de/2026/06/25/cyberangriffe-ohne-hollywood-hacking-350-analysierte-flle-drei-muster/</guid>

					<description><![CDATA[<p>Warum werden Unternehmen trotz hoher Investitionen in Cybersicherheit kompromittiert? Die Analyse von rund 350 Incident-Response-Fällen aus dem vergangenen Jahr zeigt: [&#8230;]</p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/06/25/cyberangriffe-ohne-hollywood-hacking-350-analysierte-flle-drei-muster/" data-wpel-link="internal">Cyberangriffe ohne Hollywood-Hacking: 350 analysierte Fälle. Drei Muster.</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></description>
										<content:encoded><![CDATA[<div class="pb-text"><b>Warum werden Unternehmen trotz hoher Investitionen in Cybersicherheit kompromittiert? Die Analyse von rund 350 Incident-Response-Fällen aus dem vergangenen Jahr zeigt: Erfolgreiche Cyberangriffe beginnen weder mit unbekannten Zero-Days noch mit Hollywood-Hacking. Stattdessen kombinieren sie bekannte Schwachstellen, organisatorische Lücken und fehlende Transparenz. Dabei wiederholt sich das ewig gleiche Muster: Angreifer wählen den Weg des geringsten Widerstands. Drei aktuelle Angriffsszenarien aus der IR-Praxis zeigen typische Schwachstellen und wirksame Schutzmassnahmen.</b></p>
<p>Cybersicherheit scheitert selten daran, dass irgendwo ein einzelnes Tool fehlt. Weitaus häufiger liegen die Ursachen in gewachsenen Strukturen, stillen Annahmen und blinden Flecken, die über Jahre niemand mehr hinterfragt. Warum Sichtbarkeit dabei entscheidend ist, haben wir <a href="https://www.infoguard.ch/de/blog/cyber-threat-intelligence-exposures-erkennen" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">in einem weiteren Beitrag</a> zum Thema beleuchtet. Was im Alltag als logisch, effizient oder historisch gewachsen gilt, kann im Ernstfall zum Einfallstor für Angreifer werden. Drei Szenarien zeigen, wo Unternehmen besonders häufig angreifbar bleiben – und wie sich die grössten Risiken gezielt entschärfen lassen.</p>
<p><b>Szenario 1: Ransomware über VPN-Zugang und gestohlene Zugangsdaten</b></p>
<p>Ein Mitarbeitender verwendet dieselben Zugangsdaten über Jahre hinweg sowohl privat wie auch geschäftlich. Das Passwort im Geschäft wird gemäss den internen Richtlinien zwar regelmässig geändert, aber eigentlich ist die Basis des Passworts immer gleich, nur werden die Zahlen jeweils ein wenig geändert.</p>
<p>Für den Mitarbeitenden ist es üblich, dass er ab und zu von seinem privaten Computer die Geschäfts-E-Mails überprüft und aus Gründen der Bequemlichkeit, wird das Passwort im Browser gespeichert, damit er es nicht jedes Mal erneut abtippen muss. Der Mitarbeitende lädt sich aus Versehen aus dem Internet einen InfoStealer herunter und installiert diesen. Der <a href="https://www.infoguard.ch/de/blog/geleakte-credentials-wie-black-basta-in-netzwerke-eindringt" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">InfoStealer ist Teil einer legitimen Software</a>, welche der Mitarbeitende für private Zwecke nutzen möchte.</p>
<p>Völlig unbemerkt kann dieser InfoStealer erfolgreich ausgeführt werden, wodurch sämtliche gespeicherten Passwörter an Cyberkriminelle übermittelt werden. Welche diese Zugangsdaten für ein paar wenige Dollar auf <a href="https://www.infoguard.ch/de/angebot/darknet-untersuchung" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Cybercrime-Marktplätzen zum Verkauf anbieten</a>.</p>
<p>Ransomware-Affiliates sind auf Unternehmenszugänge angewiesen, und greifen hierfür gerne auf Cybercrime-Marktplätze zurück, wo sie bei der Durchsicht der neuesten Stealer Logs ein lohnenswertes Ziel identifizieren, nämlich den E-Mail-Zugriff auf ein bekanntes Unternehmen, welche zuvor auf dem privaten Gerät des Mitarbeitenden entwendet wurde.</p>
<p>Mit wenig Aufwand identifiziert der Angreifer, den VPN-Einstiegspunkt des Unternehmens und probiert die zuvor erlangten Zugangsdaten aus: Welch ein Wunder, es wird kein zweiter Faktor bei der Authentifizierung abgefragt und der Ransomware Affiliate hat sich den Zugang zu seinem nächsten Ransomware-Opfer mit wenig Aufwand gesichert.</p>
<p>Nach erfolgreicher Anmeldung findet der Angreifer:</p>
<ul class="bbcode_list">
<li>ein flaches Netzwerk ohne Segmentierung</li>
<li>administrative Freigaben</li>
<li>zentrale Dateiserver</li>
<li>Backup-Systeme</li>
<li>Hypervisor-Management</li>
<li>weitere privilegierte Konten</li>
</ul>
<p>Innerhalb weniger Stunden entwickelt sich aus einem einzelnen VPN-Login ein unternehmensweiter Ransomware-Vorfall.</p>
<p><b>3 zentrale Massnahmen gegen Ransomware-Vorfälle</b></p>
<ol class="bbcode_list">
<li>Identitäten härten<br />
&#8211;<a href="https://www.infoguard.ch/de/blog/security-gaps-wenn-mfa-bei-privileged-local-service-accounts-fehlt" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"> MFA für sämtliche Remote-Zugänge</a><br />
<a href="https://www.infoguard.ch/de/phishing-poster" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">&#8211; Phishing-resistente MFA-Verfahren</a> bevorzugen<br />
&#8211; Conditional Access und risikobasierte Anmeldungen</li>
<li>Externe Angriffsfläche überwachen<br />
&#8211; Sichtbarkeit über exponierte Unternehmenseinstiege<br />
&#8211; Kontinuierliche Überwachung von Stealer Logs<br />
&#8211; Kontinuierliches Vulnerability Management</li>
<li>Laterale Bewegung begrenzen<br />
&#8211; Netzwerksegmentierung<br />
&#8211; Trennung von Benutzer-, Server- und Managementzonen<br />
&#8211; Separater Zugriff auf Hypervisoren und Backups</li>
</ol>
<p><b>Szenario 2: Supply-Chain-Angriff durch kompromittierte Software</b></p>
<p>Ein Administrator kümmert sich um seine Serverlandschaft und möchte sämtliche Systeme auf den neusten Stand bringen. Hierzu lädt er sich direkt die notwendigen Updates aus dem Internet herunter, installiert diese und kümmert sich um den nächsten Server.</p>
<p>Auf der Suche nach aktuellen Security Patches landet er auf einer über Google-Ads beworbenen Webseite eines Threat Actors. Dort werden mehrere Business-Applikationen zum Download angeboten. Tatsächlich sind sie mit einer Remote-Management-Lösung gebündelt, die nach der Installation direkten Fernzugriff auf den Server ermöglicht.</p>
<p>Da die Installation durch einen autorisierten Administrator erfolgt, wirken viele Sicherheitskontrollen zunächst unauffällig:</p>
<ul class="bbcode_list">
<li>Die aktualisierte Software ist auf dem neusten Stand</li>
<li>Die Antivirus-Software hat die legitime Remote-Management-Lösung nicht detektiert</li>
<li>Der Proxyserver hat den Download ohne Hinweis zugelassen.</li>
</ul>
<p>In zahlreichen aktuellen Kampagnen wurden genau solche Mechanismen genutzt:</p>
<ul class="bbcode_list">
<li>kompromittierte Open-Source-Komponenten</li>
<li>kompromittierte Entwicklersoftware und Plugins</li>
<li>infizierte Softwarepakete/Betriebssystem-Images</li>
</ul>
<p>Das Gefährliche an dieser Art der Kompromittierung ist, dass der Angreifer einen privilegierten und persistenten Zugriff ins Unternehmen erhält. Je nach kompromittiertem System kann er auch direkt auf kritische Geschäftsdaten zugreifen und diese exfiltrieren. Weitere Angriffstechniken braucht es kaum und genau deshalb bleibt der Vorfall für das Security Monitoring oft lange unauffällig. Wird die Datenexfiltration erkannt, ist es unter realistischen Bedingungen meist bereits zu spät: Kritische Informationen haben das Unternehmen dann längst verlassen.</p>
<p>Solche Angriffsmuster beobachten wir sowohl bei <a href="https://www.infoguard.ch/de/blog/threat-intelligence-report-cybereskalation-gegen-europa" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Nation-State-Akteuren</a> wie auch bei Initial-Access-Brokern und Ransomware-Gruppierungen. Sie nutzen diese Techniken zunehmend, weil sie effizient, schwer erkennbar und sehr wirkungsvoll sind.</p>
<p><b>4 zentrale Massnahmen gegen Supply-Chain-Angriffe</b></p>
<ol class="bbcode_list">
<li>Privilegierte Zugriffe reduzieren<br />
&#8211; Least Privilege konsequent umsetzen<br />
&#8211; Separate Administrationskonten<br />
&#8211; Privileged Access Management</li>
<li>Software-Lieferkette absichern<br />
&#8211; Herkunft von Software überprüfen<br />
&#8211; Kritische Updates vor Rollout validieren<br />
&#8211; Software Bill of Materials (SBOM) nutzen</li>
<li>Verhalten statt Signaturen überwachen<br />
&#8211; EDR-Abdeckung auf allen kritischen Systemen<br />
&#8211; Monitoring von Build-Servern<br />
&#8211; Monitoring von <a href="https://www.infoguard.ch/de/blog/devsecops-ki-cyberresilient-nutzen" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Entwickler-Workstations</a> <br />
&#8211; Erkennung ungewöhnlicher Netzwerkkommunikation</li>
<li>
Kritische Systeme isolieren<br />
&#8211; Segmentierung von Management- und Produktionssystemen<br />
&#8211; Einschränkung direkter Internetzugriffe<br />
&#8211; Kontrollierte Software-Verteilung </li>
</ol>
<p>Bewerten Sie die relevanten Cyberrisiken für Ihr Unternehmen und priorisieren Sie die passenden Schutzmassnahmen. Das <a href="https://www.infoguard.ch/de/threat-intelligence-insights-2025" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Whitepaper «InfoGuard Threat Intelligence Insights 2025»</a> liefert dazu das Know-how für Ihren Realitätscheck.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=d749ffec-a557-49e6-8f75-51cc089b11d2&amp;signature=AHFS_avfCUg41wIcXxwBvPl8WxLxLMVwUA&amp;portal_id=1865239&amp;pageId=424737894644&amp;placement_guid=55a67a83-42c7-40b3-a3f2-b2deadbcce80&amp;click=9cc12976-f531-4eac-b3ce-a015fcc43618&amp;redirect_url=AD7p6W8pyK6St1PQGbR14UMyU1RJNnWYlGf-IadHP7ihyT8gPzrzQ_17Z4MRxcQZXS7uoz9suodj_wBZB6fNntFT-b8uj1h_2qSRDBxy1aTMNSDrpPMufNZChWZ3V6zL_yxKXCnIWkB-aUFZIowI3N72eY0OuahvQA&amp;hsutk=8537a33d4ef7d5731edbc49b87827733&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fcyber-incidents-haeufigste-angriffsmuster&amp;ts=1782382511812&amp;__hstc=18037222.8537a33d4ef7d5731edbc49b87827733.1782382512389.1782382512389.1782382512389.1&amp;__hssc=18037222.1.1782382512389&amp;__hsfp=dbb6ef9431b306900e8b2131f9dd7437&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Zum Whitepaper</b></a></p>
<p><b>Szenario 3: Ghost Sender – Wenn Konfigurationsfehler zum Sicherheitsrisiko werden</b></p>
<p>Beim Threat Hunting stösst das Analyseteam auf Anomalien in den E-Mail-Logs. Die Analyse zeigt mehrere ungewöhnliche E-Mail-Absenderadressen, über die Links zu unbekannten Webseiten an hochprivilegierte Konten versendet wurden.</p>
<p>Eine vertiefte Analyse der Logs zeigt zunächst ein irritierendes Bild: Die E-Mails scheinen aus der eigenen Organisation zu stammen. Der Verdacht einer Kompromittierung steht im Raum, entsprechend wird eine Taskforce einberufen, welche den Sachverhalt prüfen soll.</p>
<p>Die ersten Analysen zeigen keine Kompromittierung des on-prem Exchange Servers. Es wurden keine kompromittierten Endgeräte identifiziert und auch sonst gibt es keine verdächtigen Logins, welche den Sachverhalt erklären würden. Das Analyseteam stellt zudem fest, dass der Sachverhalt bereits seit einigen Monaten andauert. Zunächst fielen jedoch nur Testnachrichten, Fehlzustellungen und vereinzelte E-Mails auf, die nicht plausibel wirkten, aber nicht weiter untersucht wurden.</p>
<p>Die Taskforce bespricht die aktuellen Findings. Hinweise auf eine Kompromittierung gibt es nicht. Die E-Mail-Konfiguration wurde seit Jahren nicht verändert und scheint nicht manipuliert worden zu sein. Auch Hinweise auf die <a href="https://www.infoguard.ch/de/blog/sichere-supply-chain-tprm" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Kompromittierung eines Drittanbieters</a> lässt sich nicht nachweisen. Dann formuliert jemand aus dem Team die Hypothese, dass das Email Security Gateway möglicherweise umgangen wurde.</p>
<p><b>Wie konnte diese E-Mail-Fehlkonfiguration entstehen?</b></p>
<p>Die Organisation betreibt eine moderne E-Mail-Sicherheitsarchitektur und hat vor Exchange Online ein etabliertes Secure E-Mail Gateway vorgeschaltet. Die Annahme des Unternehmens? Sämtliche E-Mails müssen diese Kontrollpunkte passieren. Genauso war es in der Architektur auch definiert.</p>
<p>Die Analyse zeigt jedoch, dass Exchange Online weiterhin direkte Zustellungen aus dem Internet zulässt. Der Gateway ist also vorhanden, die Sicherheitskontrollen für den definierten Mailfluss sind implementiert und auch die entsprechenden Prozesse sind korrekt etabliert. Doch zusätzlich existiert ein alternativer Pfad, der womöglich bei der Einführung notwendig war, aber in keinem Architekturdiagramm auftaucht und nie Teil des Bedrohungsmodells war. Diese Bedrohung hat nun einen Namen <a href="https://www.infoguard.ch/de/blog/fehlkonfiguration-in-exchange-online" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">«Ghost Sender»</a>.</p>
<p><b>Welche Lehren lassen sich daraus ziehen?</b></p>
<p>Ghost Sender ist technisch betrachtet eine Fehlkonfiguration und organisatorisch ein blinder Fleck. In diesem Fall hat niemand fahrlässig gehandelt: Der Gateway ist korrekt installiert, die Umgebung korrekt betrieben, die Sicherheitsverantwortlichen haben ihre Aufgaben erfüllt. Doch ist die Architektur über die Jahre komplexer geworden.</p>
<p>Spamfilter wurden implementiert, E-Mail Archivierung integriert, diverse Partneranbindungen geschaffen, Cloud-Migrationen umgesetzt, Ausnahmeregeln definiert und temporäre Workarounds implementiert. Jede dieser Änderungen ist nachvollziehbar. Doch jede zusätzliche Komponente erhöht die Komplexität des Gesamtsystems und genau dort entstehen Risiken. Sicherheitsarchitekturen altern. Deshalb müssen sie regelmässig validiert und kritisch hinterfragt werden. Denn die gefährlichsten Schwachstellen sind nicht die, die man kennt, sondern jene von denen man überzeugt ist, dass sie gar nicht existieren können.</p>
<p>Die Komplexität ist nicht nur ein Problem bei der Erkennung solcher Schwachstellen, sondern auch in der Behebung davon. So konnte beispielsweise in der Praxis beobachtet werden, dass einige Unternehmen mehrere Wochen benötigten, um die Fehlkonfiguration zu beheben, während sie in dieser Zeit anfällig für entsprechende Phishingangriffe waren. </p>
<p><b>3 zentrale Massnahmen gegen Ghost Sender</b></p>
<ol class="bbcode_list">
<li>Konfigurationshygiene etablieren<br />
&#8211; Regelmässige Überprüfung von SPF<br />
&#8211; DKIM korrekt implementieren<br />
&#8211; DMARC Enforcement aktivieren</li>
<li>Externe Sicht einnehmen<br />
&#8211; Kontinuierliche Überwachung der eigenen Angriffsfläche<br />
&#8211; Validierung von DNS- und Mail-Konfigurationen<br />
&#8211; Regelmässige Exposure-Assessments</li>
<li>Prozesse für schnelle Reaktion schaffe<br />
&#8211; Veranwortlichkeiten definieren<br />
&#8211; Kritische Änderungen priorisieren<br />
&#8211; Standardisierte Risikoanalysen etablieren</li>
</ol>
<p><b>Das gemeinsame Angriffsmuster hinter allen drei Vorfällen</b></p>
<p>Auf den ersten Blick wirken diese Angriffe völlig unterschiedlich.</p>
<ul class="bbcode_list">
<li>Ransomware über VPN</li>
<li>Supply-Chain-Kompromittierung</li>
<li>Ghost-Sender-Fehlkonfiguration</li>
</ul>
<p><b>Tatsächlich teilen sie dieselbe Ursache</b></p>
<p>Fehlende Transparenz über Risiken, die ausserhalb des direkten Blickfelds liegen.</p>
<p>Der VPN-Zugang ohne MFA war exponiert. Die Lieferkette wurde ungeprüft als vertrauenswürdig behandelt. Die Mail-Infrastruktur enthielt unbekannte Schwachstellen oder Fehlkonfigurationen. Keiner dieser Angriffe begann mit einem hochkomplexen technischen Exploit. Sie begannen mit einer Sicherheitslücke in der Sichtbarkeit, Kontrolle oder der Governance.</p>
<p><b>Cyberrisiken sehen, bevor sie zum Angriffspfad werden</b></p>
<p>Die entscheidende Frage lautet heute nicht mehr: «Haben wir genügend Security-Produkte?» Sondern: «Wissen wir, welche Risiken ausserhalb unseres aktuellen Sichtfelds existieren?» Wer seine Identitäten schützt, die Software-Lieferkette überwacht und externe Angriffsflächen kontinuierlich versteht, reduziert und nicht nur die Wahrscheinlichkeit erfolgreicher Cyberangriffe, sondern erkennt Bedrohungen deutlich früher.</p>
<p>Diese drei Beispiele zeigen dabei nur einen kleinen Ausschnitt aktueller Angriffsmuster.</p>
<p>In unserem aktuellen <a href="https://www.infoguard.ch/de/threat-intelligence-insights-2025" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">InfoGuard Threat Intelligence Whitepaper</a> analysieren wir:</p>
<ul class="bbcode_list">
<li>die wichtigsten Angriffsvektoren des vergangenen Jahres</li>
<li>aktuelle Entwicklungen im Bereich Ransomware, Supply Chain und Identity Attacks</li>
<li>teilen konkrete Incident-Response-Erkenntnisse aus der Praxis</li>
<li>und priorisierte Schutzmassnahmen für Unternehmen und Behörden</li>
</ul>
<p>Nutzen Sie das kostenlose <a href="https://www.infoguard.ch/de/threat-intelligence-insights-2025" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Whitepaper «InfoGuard Threat Intelligence Insights 2025»</a> als Realitätscheck: Prüfen Sie, welche Angriffsmuster jetzt besonders relevant sind und welche Massnahmen für Ihre Organisation Priorität haben. </p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=df2c377b-4fc0-4b9b-aca1-c99b71780b32&amp;signature=AHFS_au6zp_h-BY7EPlPivQDaZ0t5ZKKaQ&amp;portal_id=1865239&amp;pageId=424737894644&amp;placement_guid=737c8012-ca28-40f4-a441-863d24ef5701&amp;click=75820dd7-0f45-46de-8930-b7d921682415&amp;redirect_url=AD7p6W9vud1TYtny8hQ-hAneRb20P_LDqFv-EEUREh0QCf7vNmuWVmfO0J5JKyrk0Ww3edLTmzTBUCghkxGQomx0HDVfTEjikP3VKOJloslfhWUffVcAae-2-mv0V5z2VmiQi8rkjdCA7yT1V4bTMJH5sbqyqb6d-w&amp;hsutk=8537a33d4ef7d5731edbc49b87827733&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fcyber-incidents-haeufigste-angriffsmuster&amp;ts=1782382511846&amp;__hstc=18037222.8537a33d4ef7d5731edbc49b87827733.1782382512389.1782382512389.1782382512389.1&amp;__hssc=18037222.1.1782382512389&amp;__hsfp=dbb6ef9431b306900e8b2131f9dd7437&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Zum Whitepaper</b></a></p>
<p>Sie möchten keine wichtigen Entwicklungen verpassen? <a href="https://www.infoguard.ch/de/cyber-security-blog-updates" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Abonnieren Sie unsere Blog-Updates</a> und profitieren Sie von regelmässigen Einblicken in aktuelle Bedrohungstrends, Sicherheitsrisiken und relevante Marktbewegungen.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=bec381bd-09b1-450e-aa7c-508b761a56bc&amp;signature=AHFS_avRXN_A4uDCzPir0A6W1XJqpsn8sA&amp;portal_id=1865239&amp;pageId=424737894644&amp;placement_guid=3a0c3f53-ae1a-4b80-b0b3-9a75ba6ca8ce&amp;click=0099b58e-b78c-43bd-a498-13abda44501f&amp;redirect_url=AD7p6W8kMz1sPl5yT0-mtxhXipuefSr8Nnwolcw-yMwu9jHE4SWYm8O_WA53iySxnFjH816sUYleSxY41FHpPkZHOhDEUQZaNKdRPM0rXlYWKKFv-PbGd7BhaHVF5G9wLk8IEy0t8IBDqXMKg2-TC4BSbf8Anq7Czw&amp;hsutk=8537a33d4ef7d5731edbc49b87827733&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fcyber-incidents-haeufigste-angriffsmuster&amp;ts=1782382511842&amp;__hstc=18037222.8537a33d4ef7d5731edbc49b87827733.1782382512389.1782382512389.1782382512389.1&amp;__hssc=18037222.1.1782382512389&amp;__hsfp=dbb6ef9431b306900e8b2131f9dd7437&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Blog Updates abonnieren</b></a></div>
<div class="pb-company">
<div>Firmenkontakt und Herausgeber der Meldung:</div>
<p>InfoGuard AG<br />
Lindenstrasse 10<br />
CH6340 Baar<br />
Telefon: +41 (41) 7491900<br />
<a href="https://www.infoguard.ch" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.infoguard.ch</a></div>
<div class="pb-contacts">
<div>Ansprechpartner:</div>
<div class="pb-contact-item">Estelle Ouhassi<br />
Marketing Manager<br />
Telefon: +41 (41) 74919-00<br />
E-Mail: &#101;&#115;&#116;&#101;&#108;&#108;&#101;&#046;&#111;&#117;&#104;&#097;&#115;&#115;&#105;&#064;&#105;&#110;&#102;&#111;&#103;&#117;&#097;&#114;&#100;&#046;&#099;&#104;
</div>
<div class="pb-links">
<div>Weiterführende Links</div>
<ul>
<li>
                        <a href="https://www.pressebox.de/pressemitteilung/infoguard-ag/cyberangriffe-ohne-hollywood-hacking-350-analysierte-flle-drei-muster/boxid/1302794" target="_blank" rel="noopener nofollow" data-wpel-link="external">Originalmeldung der InfoGuard AG</a>
                    </li>
<li>
                        <a href="https://www.pressebox.de/newsroom/infoguard-ag" target="_blank" rel="noopener nofollow" data-wpel-link="external">Alle Stories der InfoGuard AG</a>
                    </li>
</ul></div>
<div class="pb-disclaimer">Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
            </div>
<p>        <img decoding="async" src="https://www.pressebox.de/presscorner/cpix/tp---14/1302794.gif" alt="counterpixel" width="1" height="1" /></p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/06/25/cyberangriffe-ohne-hollywood-hacking-350-analysierte-flle-drei-muster/" data-wpel-link="internal">Cyberangriffe ohne Hollywood-Hacking: 350 analysierte Fälle. Drei Muster.</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>AI Trust statt Bauchgefühl: Warum KI verifizierbare Trust-Architekturen braucht</title>
		<link>https://www.presseradar.de/2026/06/18/ai-trust-statt-bauchgefhl-warum-ki-verifizierbare-trust-architekturen-braucht/</link>
		
		<dc:creator><![CDATA[Firma InfoGuard]]></dc:creator>
		<pubDate>Thu, 18 Jun 2026 09:04:00 +0000</pubDate>
				<category><![CDATA[Allgemein]]></category>
		<category><![CDATA[agenten]]></category>
		<category><![CDATA[c2pa]]></category>
		<category><![CDATA[cisos]]></category>
		<category><![CDATA[cloud]]></category>
		<category><![CDATA[content]]></category>
		<category><![CDATA[digicert]]></category>
		<category><![CDATA[dns]]></category>
		<category><![CDATA[domain]]></category>
		<category><![CDATA[infoguard]]></category>
		<category><![CDATA[Krypto]]></category>
		<category><![CDATA[passport]]></category>
		<category><![CDATA[pki]]></category>
		<category><![CDATA[security]]></category>
		<category><![CDATA[software]]></category>
		<category><![CDATA[whitepaper]]></category>
		<guid isPermaLink="false">https://www.presseradar.de/2026/06/18/ai-trust-statt-bauchgefhl-warum-ki-verifizierbare-trust-architekturen-braucht/</guid>

					<description><![CDATA[<p>Künstliche Intelligenz verändert, wie Unternehmen arbeiten und wem sie digital vertrauen. KI-Agenten führen Aufgaben zunehmend autonom aus, während KI-Modelle sensible [&#8230;]</p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/06/18/ai-trust-statt-bauchgefhl-warum-ki-verifizierbare-trust-architekturen-braucht/" data-wpel-link="internal">AI Trust statt Bauchgefühl: Warum KI verifizierbare Trust-Architekturen braucht</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></description>
										<content:encoded><![CDATA[<div class="pb-text"><b>Künstliche Intelligenz verändert, wie Unternehmen arbeiten und wem sie digital vertrauen. KI-Agenten führen Aufgaben zunehmend autonom aus, während KI-Modelle sensible Daten verarbeiten und geschäftskritische Entscheidungen unterstützen. Zugleich wird es schwieriger, echte von manipulierten oder vollständig künstlich erzeugten Inhalten zu unterscheiden. Der Beitrag zeigt anhand konkreter Handlungsempfehlungen, wie Unternehmen Transparenz schaffen, KI-Systeme kontrollierbar machen und Vertrauen technisch absichern können.</b></p>
<p>Durch die wachsende Autonomie von KI-Systemen darf Vertrauen kein Bauchgefühl bleiben. Unternehmen müssen wissen, welche KI-Systeme aktiv sind, welche Rechte sie besitzen und ob ihre Ergebnisse nachvollziehbar bleiben. Klassische Security- und Governance-Modelle stossen hier an Grenzen. Sie wurden vor allem für Menschen, Geräte, Applikationen und bekannte Softwareprozesse entwickelt.</p>
<p>KI-Systeme verhalten sich jedoch dynamischer. Sie können Daten verarbeiten, Aktionen auslösen, externe Tools einbinden und über Systemgrenzen hinweg agieren. Unternehmen brauchen deshalb eine neue Vertrauensarchitektur: AI Trust. Gemeint ist ein Ansatz, der Identität, Berechtigungen, Integrität und Herkunft von KI-Systemen und KI-generierten Inhalten technisch überprüfbar macht.</p>
<p><b>Von Digital Trust zu AI Trust</b></p>
<p>Digital Trust basiert seit Jahren auf bewährten Prinzipien wie Public Key Infrastructure, Zertifikaten, DNS und Verschlüsselung. Diese Mechanismen sorgen dafür, dass digitale Kommunikation geschützt, Identitäten überprüft und Systeme authentifiziert werden können.</p>
<p>Mit KI erweitert sich dieser Vertrauensraum. Unternehmen müssen künftig nicht nur wissen, wer auf ein System zugreift, sondern auch:</p>
<ul class="bbcode_list">
<li>Welche <a href="https://www.infoguard.ch/de/blog/human-ai-teaming-gegen-ki-agenten" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">KI-Agenten</a> aktiv sind</li>
<li>Welche Daten sie verarbeiten</li>
<li>Welche Berechtigungen sie besitzen</li>
<li>Ob ein Inhalt echt, verändert oder KI-generiert wurde</li>
</ul>
<p>AI Trust überträgt bewährte Vertrauensmechanismen auf KI. Ziel ist es, KI-Agenten, Modelle und Inhalte nicht nur zu regulieren, sondern technisch kontrollierbar zu machen.</p>
<p><b>Shadow AI: Wenn KI der Governance davonläuft</b></p>
<p>Viele Unternehmen nutzen KI bereits produktiv – teils offiziell, teils informell. Besonders kritisch ist sogenannte <a href="https://www.infoguard.ch/de/blog/ki-nutzen-nach-iso-42001" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Shadow AI</a>: der Einsatz von KI-Tools oder Agenten ausserhalb freigegebener Prozesse.</p>
<p>Dadurch entstehen <a href="https://www.infoguard.ch/de/blog/cyber-threat-intelligence-exposures-erkennen" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">blinde Flecken</a>. Sensible Daten können unkontrolliert verarbeitet werden. Agenten erhalten möglicherweise zu weitreichende Rechte. Und Security-Teams wissen nicht immer, welche KI-Systeme tatsächlich im Einsatz sind.</p>
<p>Für CISOs wird Shadow AI damit zum Transparenztest. Entscheidend sind fünf Fragen:</p>
<ol class="bbcode_list">
<li>Welche KI-Agenten werden im Unternehmen genutzt?</li>
<li>Welche Daten fliessen an diese Systeme?</li>
<li>Welche Agenten besitzen Zugriff auf interne Systeme?</li>
<li>Können kompromittierte Agenten sofort gestoppt werden?</li>
<li>Lässt sich ein Vorfall nachvollziehbar dokumentieren?</li>
</ol>
<p>Die Antwort darauf kann nicht allein in Richtlinien liegen. KI-Governance muss technisch durchsetzbar werden.</p>
<p><b>Drei Bereiche, in denen Vertrauen neu gedacht werden muss</b></p>
<p>AI Trust betrifft vor allem drei Ebenen: Agenten, Modelle und Inhalte.</p>
<ol class="bbcode_list">
<li><b>Vertrauen in KI-Agenten &#8211; AI Agent Passport</b><br />
KI-Agenten sind keine menschlichen Benutzer. Passwörter oder klassische Login-Prozesse greifen hier zu kurz. Agenten benötigen eindeutige, kurzlebige und überprüfbare Identitäten. So lässt sich kontrollieren, welche Aktionen sie ausführen dürfen, auf welche Daten sie zugreifen können und wann ein Zugriff beendet werden muss.<br />
Ein Ansatz dafür ist der AI Agent Passport. Er verbindet die Identität eines Agenten kryptographisch mit seinen Berechtigungen. Damit wird nachvollziehbar, was ein Agent tun darf, in welcher Umgebung er aktiv ist und wer dafür verantwortlich ist.</li>
<li><b>Vertrauen in KI-Modelle &#8211; Confidential Computing</b><br />
KI-Modelle werden zunehmend zu kritischen Unternehmensressourcen. Sie unterstützen Diagnosen, erkennen Betrug, automatisieren Compliance-Prozesse oder beeinflussen geschäftsrelevante Entscheidungen.<br />
Deshalb müssen Unternehmen sicherstellen, dass Modelle nicht manipuliert, unerlaubt verändert oder in unsicheren Umgebungen ausgeführt werden. Dazu braucht es unter anderem kryptographisches Signieren, Integritätsprüfungen und nachvollziehbare Modellherkunft. Besonders relevant ist Confidential Computing. Dabei werden Modelle in geschützten Ausführungsumgebungen betrieben. So bleiben Daten und Modellinformationen auch während der Verarbeitung geschützt.</li>
<li><b>Vertrauen in KI-generierte Inhalte &#8211; C2PA</b><br />
KI kann heute Texte, Bilder, Videos und strukturierte Daten in hoher Qualität erzeugen oder verändern. Für Unternehmen wird deshalb die Frage zentral: Woher stammt ein Inhalt? Wurde er verändert? Und kann seine Echtheit unabhängig geprüft werden? Metadaten oder Plattformhinweise reichen dafür nicht aus. Sie können entfernt oder verändert werden. Standards wie C2PA schaffen eine Grundlage, um digitale Inhalte mit signierten Herkunftsnachweisen zu versehen. So wird überprüfbar, wer einen Inhalt erstellt hat und ob er seitdem verändert wurde.</li>
</ol>
<p><b>Identität, Kryptographie und DNS als Vertrauensanker</b></p>
<p>Eine <a href="https://www.infoguard.ch/de/blog/zero-trust-2026-cyberabwehr-ki-compliance" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">tragfähige AI-Trust-Architektur</a> braucht technische Kontrollpunkte. Dazu gehören DNS-basierte Richtlinien, kryptographische Identitäten, kurzlebige Credentials, Attestation und Integritätsnachweise.</p>
<p>Ein Beispiel: Bevor ein KI-Agent eine externe Verbindung aufbaut, kann geprüft werden, ob die Ziel-Domain erlaubt ist. Ist sie nicht freigegeben, wird die Verbindung blockiert, bevor Daten abfliessen oder unerlaubte Aktionen ausgelöst werden.</p>
<p>Solche Mechanismen machen aus abstrakter Governance konkrete Kontrolle. Unternehmen können festlegen, welche Agenten was tun dürfen – und diese Regeln technisch durchsetzen.</p>
<p><b>Von Transparenz zu Kontrolle: 5 Schritte für AI Trust</b></p>
<p>Am Anfang steht die Bestandesaufnahme. Unternehmen sollten erfassen, welche KI-Tools, Agenten und Modelle bereits genutzt werden und welche Datenflüsse damit verbunden sind.</p>
<p>Darauf aufbauend sollten sie definieren:</p>
<ul class="bbcode_list">
<li>Welche KI-Systeme erlaubt sind</li>
<li>Welche Daten verarbeitet werden dürfen</li>
<li>Welche Identitäten und Berechtigungen erforderlich sind</li>
<li>Wie Modelle geschützt und überprüft werden</li>
<li>Wie KI-generierte Inhalte gekennzeichnet und verifiziert werden können</li>
</ul>
<p>So wird AI Trust zu einem praktischen Sicherheits- und Governance-Thema – nicht zu einem theoretischen Konzept.</p>
<p><b>DigiCert als Leader für Intelligent Trust</b></p>
<p>Moderne Ansätze für Digital Trust setzen genau hier an. DigiCert positioniert sich als globaler Leader für Intelligent Trust und erweitert bewährte Prinzipien wie PKI, DNS, Certificate Lifecycle Management, Attestation und kryptographische Identität auf die Anforderungen moderner KI-Umgebungen.</p>
<p>Die <a href="https://www.digicert.com/content/dam/digicert/pdfs/whitepaper/the-new-trust-architecture-for-AI-whitepaper-en.pdf" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Plattform DigiCert ONE </a>vereint zentrale Trust-Funktionen in einer integrierten Architektur und unterstützt Unternehmen dabei, digitale Vertrauensanker sichtbar, steuerbar und automatisierbar zu machen. Dazu gehören unter anderem PKI, DNS, Zertifikatsmanagement, Software Trust, Device Trust und Content Trust.</p>
<p>Für AI Trust entsteht daraus eine technische Grundlage, mit der Organisationen KI-Systeme nicht nur nutzen, sondern kontrolliert, nachvollziehbar und verantwortungsvoll betreiben können. </p>
<p><b>InfoGuard &amp; DigiCert – Vertrauen für die nächste KI-Ära</b></p>
<p>Mit DigiCert erweitert InfoGuard bewährte Digital-Trust-Prinzipien auf die Anforderungen moderner KI-Umgebungen. Bereits beim automatisierten Zertifikatsmanagement zeigt sich, wie wichtig Transparenz, Automatisierung und Krypto-Agilität für stabile und sichere digitale Infrastrukturen sind. Im KI-Kontext gewinnen dieselben Prinzipien zusätzlich an Bedeutung: Identitäten müssen überprüfbar, Berechtigungen kontrollierbar und Integrität kontinuierlich nachweisbar sein.</p>
<p>So entsteht die Grundlage, um KI nicht nur produktiv einzusetzen, sondern sicher, nachvollziehbar und kontrollierbar zu betreiben. <a href="https://www.digicert.com/content/dam/digicert/pdfs/whitepaper/the-new-trust-architecture-for-AI-whitepaper-en.pdf" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Erfahren Sie im Whitepaper</a>, wie die «Trust Architecture for AI» von DigiCert Unternehmen dabei unterstützt, Vertrauen in KI-Systeme technisch überprüfbar zu machen. </p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=b95bd595-396c-48ce-9b71-75eadef3a11e&amp;signature=AHFS_au61Lqq5OI4jHjCJQsFyoOg1giEnw&amp;portal_id=1865239&amp;pageId=421783943416&amp;placement_guid=c247ca08-82fb-4dd7-a5dc-3121a1d56f1f&amp;click=055cebff-f1e9-4d8f-a3f0-15814246adde&amp;redirect_url=AD7p6W_tY7TGJ8RzJgNc8CQ-an8t-Jqzcn-s8yjVjk6gZ3yzCSJ7mVwWKrxIEJaY53RoggDQwib-zHvPAgN3XgPIaKBZ1Zn6RhgVse_hU7AA_fbYJMTT3xoECyMduKObb4sv_lY1L6VfCUXEPSdYvUHQpzCM9xPUAc52RJkiMBC_63GvzW9PwH3WqUeQReL4ayjQSJkYmZKmd6cwfrzE_3J1j_LGJs5ZfanM3A6UX4ad0sVvMYfbgNm2cGlfmHsSmkpXtHwR8uZMmf2fSwyj7Lp5tfIr43-IVzelDib1PXp0hJlP3841zH6Pt3paYiCXfO7IsPzf7mywfKgl7q53XRz19eqVHhpaT0M2M0IkEvdEbAKnOF573_E&amp;hsutk=c161b3d5da227374db4143000d8c01cf&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fai-trust-verifizierbare-architekturen&amp;ts=1781773500313&amp;__hstc=18037222.c161b3d5da227374db4143000d8c01cf.1781773463132.1781773463132.1781773463132.1&amp;__hssc=18037222.2.1781773463132&amp;__hsfp=193762c826520c0034a2d503750ec8fb&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Zum Whitepaper</b></a></p>
<p><a href="https://www.infoguard.ch/de/iso-iec-42001-2023-gap-analyse" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">InfoGuard begleitet Unternehmen</a>, ihre AI Trust von Anfang an als Sicherheits- und Architekturthema zu denken – von Governance-Fragestellungen über technische Integration bis zur Absicherung von Identitäten, Daten, Cloud- und KI-Umgebungen. Unsere Expert:innen freuen sich auf den unverbindlichen Austausch!</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=4b2c6632-b34a-4a3b-a056-493987d1b866&amp;signature=AHFS_avJl_1NIe_9kDxunsPeoVsWtqkmbA&amp;portal_id=1865239&amp;pageId=421783943416&amp;placement_guid=264ab9e0-7ff9-44a4-a6dd-bbbb566aadb1&amp;click=38945e4d-d388-410b-a748-fd5ffda36969&amp;redirect_url=AD7p6W8itqpNEAPCFMHKXN7W2nKsdnQZiRKPqGLi78ejNYhfHAk9FcITt4kyz8LaKev-6H9-NF5OjuA06aHW2DpQ-03LmvBFTYn9C8IRbwQptLIK4TEvVNjCNqalhFO3WnRrJ7lFjobErODLVoVVzfE5sv7Dzmom21H8RdaXgArrHpad5OT65-YCPMyAfw9u_mKPT0PZNndRejZuMSLT15wls2heCfihwU9nchrRXOVYhX6NWbH6gZoLUwz7RNGtw6eS-tamw3-K-l8eR1zV7ZIyLbcnU8bcJIQrE9nM1mBnz64u-vQ0wkI&amp;hsutk=c161b3d5da227374db4143000d8c01cf&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fai-trust-verifizierbare-architekturen&amp;ts=1781773500317&amp;__hstc=18037222.c161b3d5da227374db4143000d8c01cf.1781773463132.1781773463132.1781773463132.1&amp;__hssc=18037222.2.1781773463132&amp;__hsfp=193762c826520c0034a2d503750ec8fb&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>AI-Gap-Analyse nach ISO 42001 </b></a></div>
<div class="pb-company">
<div>Firmenkontakt und Herausgeber der Meldung:</div>
<p>InfoGuard AG<br />
Lindenstrasse 10<br />
CH6340 Baar<br />
Telefon: +41 (41) 7491900<br />
<a href="https://www.infoguard.ch" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.infoguard.ch</a></div>
<div class="pb-contacts">
<div>Ansprechpartner:</div>
<div class="pb-contact-item">Estelle Ouhassi<br />
Marketing Manager<br />
Telefon: +41 (41) 74919-00<br />
E-Mail: &#101;&#115;&#116;&#101;&#108;&#108;&#101;&#046;&#111;&#117;&#104;&#097;&#115;&#115;&#105;&#064;&#105;&#110;&#102;&#111;&#103;&#117;&#097;&#114;&#100;&#046;&#099;&#104;
</div>
<div class="pb-links">
<div>Weiterführende Links</div>
<ul>
<li>
                        <a href="https://www.pressebox.de/pressemitteilung/infoguard-ag/ai-trust-statt-bauchgefhl-warum-ki-verifizierbare-trust-architekturen-braucht/boxid/1301949" target="_blank" rel="noopener nofollow" data-wpel-link="external">Originalmeldung der InfoGuard AG</a>
                    </li>
<li>
                        <a href="https://www.pressebox.de/newsroom/infoguard-ag" target="_blank" rel="noopener nofollow" data-wpel-link="external">Alle Stories der InfoGuard AG</a>
                    </li>
</ul></div>
<div class="pb-disclaimer">Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
            </div>
<p>        <img decoding="async" src="https://www.pressebox.de/presscorner/cpix/tp---14/1301949.gif" alt="counterpixel" width="1" height="1" /></p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/06/18/ai-trust-statt-bauchgefhl-warum-ki-verifizierbare-trust-architekturen-braucht/" data-wpel-link="internal">AI Trust statt Bauchgefühl: Warum KI verifizierbare Trust-Architekturen braucht</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>API-Security: So schützen Sie Schnittstellen effektiv vor KI-Angriffen</title>
		<link>https://www.presseradar.de/2026/06/11/api-security-so-schtzen-sie-schnittstellen-effektiv-vor-ki-angriffen/</link>
		
		<dc:creator><![CDATA[Firma InfoGuard]]></dc:creator>
		<pubDate>Thu, 11 Jun 2026 09:38:00 +0000</pubDate>
				<category><![CDATA[Allgemein]]></category>
		<category><![CDATA[cloud]]></category>
		<category><![CDATA[commerce]]></category>
		<category><![CDATA[connect]]></category>
		<category><![CDATA[devsecops]]></category>
		<category><![CDATA[discovery]]></category>
		<category><![CDATA[iot]]></category>
		<category><![CDATA[jwt]]></category>
		<category><![CDATA[logic]]></category>
		<category><![CDATA[openid]]></category>
		<category><![CDATA[report]]></category>
		<category><![CDATA[schema]]></category>
		<category><![CDATA[security]]></category>
		<category><![CDATA[soc]]></category>
		<category><![CDATA[token]]></category>
		<category><![CDATA[vcs]]></category>
		<guid isPermaLink="false">https://www.presseradar.de/2026/06/11/api-security-so-schtzen-sie-schnittstellen-effektiv-vor-ki-angriffen/</guid>

					<description><![CDATA[<p>APIs bilden das digitale Nervensystem moderner Unternehmen. Sie verbinden Cloud-Dienste, KI-Anwendungen, Partnerplattformen und IoT-Systeme und sind damit geschäftskritisch für Verfügbarkeit [&#8230;]</p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/06/11/api-security-so-schtzen-sie-schnittstellen-effektiv-vor-ki-angriffen/" data-wpel-link="internal">API-Security: So schützen Sie Schnittstellen effektiv vor KI-Angriffen</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></description>
										<content:encoded><![CDATA[<div class="pb-text">APIs bilden das digitale Nervensystem moderner Unternehmen. Sie verbinden Cloud-Dienste, KI-Anwendungen, Partnerplattformen und IoT-Systeme und sind damit geschäftskritisch für Verfügbarkeit und Datenflüsse. Als Schnittstelle zwischen Systemen, Daten und Geschäftsprozessen sind sie häufig nur unzureichend sichtbar und kontrolliert. Mit ihrer wachsenden Bedeutung wächst also auch die Angriffsfläche, beschleunigt durch KI. Dieser Artikel zeigt Ihnen die wichtigsten Risiken moderner APIs, inklusive eines praxisnahen Leitfadens zur strukturierten Verbesserung Ihrer API-Sicherheit.</p>
<p><b>Wenn zentrale Schnittstellen zur Schwachstelle werden</b></p>
<p>Die Anzahl der API-Angriffe steigt signifikant. Der Einsatz von KI fungiert dabei als Beschleuniger für Angriffe und <a href="https://www.infoguard.ch/de/blog/cyber-threat-intelligence-exposures-erkennen" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">erschwert zugleich die Erkennung von Sicherheitslücken</a>. Laut Akamais State of the Internet Report 2026 stieg die durchschnittliche Anzahl täglicher API-Angriffe pro Unternehmen von 121 (2024) auf 258 im Jahr 2025, was einem Anstieg von 113 % entspricht. Betroffen sind auch Finanzdienstleister, E-Commerce-Plattformen sowie KMU, die häufig veraltete oder undokumentierte APIs betreiben.</p>
<p>API-Security ist damit kein technisches Spezialthema mehr, sondern ein geschäftskritischer Faktor für Verfügbarkeit, Datenschutz und Compliance.</p>
<p>APIs verbinden zentrale Prozesse, Daten und Systeme, bei häufig fehlender Transparenz und Kontrolle. <a href="https://www.infoguard.ch/de/blog/game-over-fuer-schwachstellen-mit-exposure-management" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Genau daraus entstehen neue Angriffsflächen.</a></p>
<p>Drei Risikobereiche sind dabei besonders relevant: Shadow APIs, Business Logic Abuse und KI-gestützte Angriffe auf APIs.</p>
<p><b>Drei Risikobereiche, die API-Security unverzichtbar machen</b></p>
<p><b>1. Shadow APIs: Das unsichtbare Risik</b></p>
<p>Viele Unternehmen betreiben mehr APIs als dokumentiert. Undokumentierte oder vergessene Schnittstellen („Shadow APIs“) entziehen sich oft der Sicherheitsüberwachung und werden gezielt angegriffen. Die Folgen reichen von <a href="https://www.infoguard.ch/de/blog/sicheres-cloud-computing-ohne-compliance-verstoesse" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">unkontrollierten Datenzugriffen und Compliance-Verstössen</a> bis hin zu einer erheblich vergrösserten Angriffsfläche.</p>
<p><b>Handlungsempfehlungen:</b></p>
<ul class="bbcode_list">
<li>
Regelmässige API-Discovery-Scans durchführen
</li>
<li>
Ein zentrales API-Inventar mit klaren Verantwortlichkeiten etablieren
</li>
<li>
APIs in regelmässige Sicherheitsprüfungen und Penetrationstests einbeziehen 
</li>
</ul>
<p><b>Zentrale Erkenntnis für Unternehmen:</b></p>
<p>Fehlende API-Transparenz ist kein technisches Randproblem, sondern vor allem ein Governance-Thema. Was nicht bekannt ist, kann weder bewertet noch geschützt werden. Der erste Schritt wirksamer API-Security besteht deshalb darin, Transparenz über die eigene API-Landschaft zu schaffen.</p>
<p><b>2. Business Logic Abuse: Wenn legitime APIs missbraucht werden</b></p>
<p>Beim Business Logic Abuse greifen Angreifer nicht technische Schwachstellen an, sondern missbrauchen die Geschäftslogik einer API selbst. Typische Szenarien sind Preismanipulationen im E-Commerce durch manipulierte Rabattcodes, das Umgehen von Zahlungsprozessen durch veränderte Parameter, automatisiertes Daten-Scraping für Wettbewerbsanalysen oder Identitätsmissbrauch durch variierte Anfragen.</p>
<p><b>Handlungsempfehlungen:</b></p>
<ul class="bbcode_list">
<li>Validierung von API-Schemas und Geschäftsregeln</li>
<li>Systematische Tests der Business Logic (inkl. Missbrauchsszenarien) </li>
<li>Durchgängiges Rate Limiting und Throttling </li>
</ul>
<p><b>Zentrale Erkenntnis für Unternehmen:</b></p>
<p>Business Logic Abuse ist primär ein Anwendungs- und Prozessrisiko. Angriffe erfolgen über legitime Funktionen, ohne dass klassische Schwachstellen notwendig sind. Entscheidend ist daher nicht nur die Absicherung der API, sondern das Verständnis und die kontinuierliche Überwachung der zugrunde liegenden Geschäftslogik.</p>
<p><b>3. KI-gestützte Angriffe auf APIs: Wenn Angriffe skalierbar und adaptiv werden</b></p>
<p>Künstliche Intelligenz verändert die Angriffslandschaft grundlegend. Angreifer setzen zunehmend KI-gestützte Tools ein, um Schwachstellen automatisiert zu identifizieren, Angriffe zu skalieren und ihr Verhalten dynamisch an legitimen API-Traffic anzupassen.<br />
Dadurch steigt das Tempo der Angriffe, während ihre Erkennbarkeit sinkt. Klassische, regelbasierte Sicherheitsmechanismen stossen dabei zunehmend an ihre Grenzen.</p>
<p><b>Handlungsempfehlungen:</b></p>
<ul class="bbcode_list">
<li>Einsatz KI-basierter Anomalieerkennung </li>
<li>Integration von API-Monitoring ins Security Operations Center (SOC)</li>
<li>Stärkung von Credential- und Token-Sicherheit</li>
</ul>
<p>Zentrale Erkenntnis für Unternehmen:</p>
<p><a href="https://www.infoguard.ch/de/blog/agentic-ai-sicherheitsrisiko" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">KI-gestützte Angriffe stellen ein dynamisches Bedrohungsrisiko dar. </a>Sie erhöhen Geschwindigkeit, Skalierung und Tarnfähigkeit von Angriffen erheblich. Wirksam begegnen lässt sich dieser Entwicklung nur durch eine <a href="https://www.infoguard.ch/de/security-consulting#service-2" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">innovative Sicherheitsarchitektur</a> sowie <a href="https://www.infoguard.ch/de/blog/xdr-effiziente-abwehr-moderner-cyberangriffe-teil-2" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">verhaltensbasierte Erkennung und kontinuierliches Monitoring</a> von API-Aktivitäten.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=d989ad87-9807-4825-af0f-50070323ce9c&amp;signature=AHFS_aspCPqUTgRTv-v7Jto_kVijIOBy7A&amp;portal_id=1865239&amp;pageId=417631377633&amp;placement_guid=6cde0bc8-4f5c-43c0-85ac-27df621487c2&amp;click=e2b43d32-360e-459d-a7cf-ef06a6017b3c&amp;redirect_url=AD7p6W_yq9MF2qIsJoBvUcOqCMm0oT2pXQZil3hbOYygRNxvXpOjbfN6LdlRpxS5wQlIsyPiW5hJo_X8Hy43NL9hqtjQkR9AsWF-JPTwWXMXM2ISz3EHiO_imLwWXuF9XuU5cMz9jGAzzOPvYsldnzT8eWaYDM9pAQ&amp;hsutk=d88afe6756fcce9a90144f30e78d457d&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fapi-security-schnittstellen-sch%C3%BCtzen&amp;ts=1781170715737&amp;__hstc=18037222.d88afe6756fcce9a90144f30e78d457d.1781170716348.1781170716348.1781170716348.1&amp;__hssc=18037222.1.1781170716348&amp;__hsfp=7e145eb490b30bab178d7b5928358b29&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Security Architecture &amp; Design entdecken</b></a></p>
<p><b>API-Sicherheit: Schritt-für-Schritt Anleitung </b></p>
<p>Mit zunehmender Komplexität moderner API-Landschaften reicht punktuelle Absicherung nicht mehr aus. Professionelle API-Security ist weit mehr als die reine Absicherung einzelner Schnittstellen. Sie muss entlang des gesamten API-Lifecycles gedacht werden. Somit ist sie kein Einzelprojekt, sondern ein kontinuierlicher Prozess, der Technologie, Entwicklung und Governance verbindet.</p>
<p>Der folgende Leitfaden zeigt, wie Unternehmen ihre API-Sicherheit strukturiert verbessern und Risiken nachhaltig reduzieren können.</p>
<p><b>1. API-Discovery &amp; Inventory</b></p>
<p>Transparenz ist die Grundlage jeder wirksamen API-Sicherheit. Nur wer alle APIs kennt, kann sie schützen.</p>
<ul class="bbcode_list">
<li>
Automatisierte Erkennung aller APIs
</li>
<li>
Aufbau eines zentralen, gepflegten API-Inventars
</li>
<li>
Klare Verantwortlichkeiten für jede API (z. B. Product Owner) 
</li>
</ul>
<p><b>2. Moderne Authentifizierung &amp; Autorisierung</b></p>
<p>Veraltete Authentifizierungsverfahren erhöhen das Risiko unnötig. Moderne Standards schaffen hier deutlich mehr Sicherheit und Kontrolle. </p>
<ul class="bbcode_list">
<li>
Ablösung einfacher API-Keys und Basic Auth
</li>
<li>
Einsatz von OAuth 2.0 und OpenID Connect
</li>
<li>
Granulare Zugriffskontrollen (ABAC) auf Objektebene 
</li>
<li>Vermeidung von Broken Object Level Authorization (BOLA) </li>
</ul>
<p><b>3. Schutz durch Rate Limiting &amp; Schema Validation</b></p>
<p>Viele Angriffe auf APIs sind automatisiert – und damit hochskalierbar.<br />
Entsprechende Schutzmechanismen reduzieren diese Risiken deutlich.</p>
<ul class="bbcode_list">
<li>
Rate Limiting für alle APIs aktivieren (z. B. 100 Requests/Minute pro Benutzer) 
</li>
<li>
Nutzung von OpenAPI-Spezifikationen als „Positive Security Model“ 
</li>
<li>
Integration von Schema-Validierung in CI/CD-Pipelines 
</li>
</ul>
<p><b>4. KI-basierte Abwehr &amp; SOC-Integration</b></p>
<p>Die Angriffsgeschwindigkeit steigt – klassische Reaktionsmodelle reichen oft nicht mehr aus. Daher gewinnen <a href="https://www.infoguard.ch/de/blog/soc-360-grad-cyberresilienz" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">automatisierte Erkennung und SOC-Integration</a> an Bedeutung.</p>
<ul class="bbcode_list">
<li>
API-spezifische Use Cases im SOC etablieren 
</li>
<li>
Dedizierte Alerts für API-Missbrauch definieren  
</li>
<li>
Security-Teams im Umgang mit KI-gestützten Angriffen schulen 
</li>
</ul>
<p><b>5. DevSecOps &amp; automatisierte Compliance</b></p>
<p>API-Security muss <a href="https://www.infoguard.ch/de/blog/devsecops-sichert-sdlc" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">früh im Entwicklungsprozess</a> verankert sein – nicht erst im Betrieb.</p>
<ul class="bbcode_list">
<li>
Security-Kontrollen früh in der Entwicklung integrieren
</li>
<li>
Automatisierte Compliance-Checks implementieren 
</li>
<li>
Entwickler gezielt in API-Security schulen
</li>
</ul>
<p><b>Tokens und Verifiable Credentials als strategische Ergänzung</b></p>
<p>Die Kombination aus Tokens und Verifiable Credentials (VCs) entwickelt sich zunehmend zu einer wichtigen Erweiterung moderner API-<a href="https://www.infoguard.ch/de/security-consulting#service-2" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Sicherheitsarchitekturen</a>.<br />
Während Tokens (z. B. JWT) für die Echtzeit-Authentifizierung und -Autorisierung von API-Zugriffen eingesetzt werden, ermöglichen VCs die Verifikation von Identitäts- oder Qualifikationsnachweisen.</p>
<p><b>Zusammenspiel in der Praxis:</b></p>
<ul class="bbcode_list">
<li>
API-Keys durch Token-basierte Verfahren (z. B. JWT) ersetzen
</li>
<li>
Verifiable Credentials für Identitäts- und Mitarbeiternachweise nutzen
</li>
<li>
API-Gateways zur Validierung von VCs integrieren
</li>
<li>
Kunden-APIs durch Kombination aus Token und VC absichern
</li>
</ul>
<p><b>Warum die Kombination aus Tokens &amp; VCs entscheidend ist</b></p>
<p>Tokens allein bestätigen lediglich eine Zugriffsberechtigung – nicht jedoch die dahinterliegende Identität oder deren Eigenschaften. Verifiable Credentials hingegen sind nicht für die dynamische Echtzeit-Autorisierung von API-Requests ausgelegt.</p>
<p>Erst die Kombination beider Ansätze schafft eine moderne Sicherheitsarchitektur:</p>
<ul class="bbcode_list">
<li>
kryptografisch abgesicherte Identität (VCs)
</li>
<li>
kurzlebige, dynamische Zugriffsrechte (Tokens)
</li>
<li>
datensparsame Authentifizierung im Sinne von Datenschutz und DSGVO 
</li>
</ul>
<p><b>API-Security: Strategischer Mehrwert für Unternehmen</b></p>
<p>API-Security ist eine grundlegende Voraussetzung für skalierbare digitale Geschäftsmodelle. Richtig umgesetzt, entsteht daraus klarer geschäftlicher Mehrwert:</p>
<ul class="bbcode_list">
<li>
Schutz sensibler Daten und kritischer Geschäftsprozesse
</li>
<li>
Reduktion von Betriebsunterbrüchen und Sicherheitsvorfällen
</li>
<li>
Erfüllung regulatorischer Anforderungen
</li>
<li>Stärkung von Vertrauen bei Kunden und Partnern</li>
</ul>
<p> API-Security entwickelt sich damit vom technischen Detail zu einem strategischen Enabler moderner Digitalisierung. </p>
<p><b>Fazit &amp; Ausblick: API-Sicherheit als strategische Daueraufgabe</b></p>
<p>API-Security ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess entlang des gesamten API-Lifecycles. Entscheidend ist die konsequente Verankerung in Entwicklung, Betrieb und Governance. Zentrale Grundlage ist dabei eine API-Security-Roadmap, die Security frühzeitig in den Entwicklungs- und Betriebsprozess integriert (DevSecOps) und Sicherheit nicht nachgelagert, sondern systematisch verankert. Ergänzend gewinnen Automatisierung und <a href="https://www.infoguard.ch/de/blog/zero-trust-2026-cyberabwehr-ki-compliance" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Zero-Trust-Prinzipien</a> zunehmend an Bedeutung.</p>
<p>Wer API-Security strategisch denkt, schafft nicht nur mehr Sicherheit, sondern auch die Grundlage für skalierbare digitale Innovation.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=a592f037-38a1-418a-86a0-2ea914ef7db3&amp;signature=AHFS_avpNXr29Yhwak6IWH-QpY0-r61Xog&amp;portal_id=1865239&amp;pageId=417631377633&amp;placement_guid=83182dd0-57d4-466e-a114-e0a20e125603&amp;click=bfd66232-3b7a-49ee-9165-5e4fb6013875&amp;redirect_url=AD7p6W9xm27f4t-kr0xJDdBfxx-h8uxvLQ6ATvYpKrnKjdqkGAzd5rh-xkyyFarxIDM0AYIFROHuY1W5t7QCMEMgU41fxihjsiD0X15F5798lLjNGJpNzzytgl7ecRjlxGXBVtKlFTyXp8PtU0xnxQ1TRhOhKz3bKA&amp;hsutk=d88afe6756fcce9a90144f30e78d457d&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fapi-security-schnittstellen-sch%C3%BCtzen&amp;ts=1781170715740&amp;__hstc=18037222.d88afe6756fcce9a90144f30e78d457d.1781170716348.1781170716348.1781170716348.1&amp;__hssc=18037222.1.1781170716348&amp;__hsfp=7e145eb490b30bab178d7b5928358b29&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Security Architecture &amp; Design entdecken</b></a></div>
<div class="pb-company">
<div>Firmenkontakt und Herausgeber der Meldung:</div>
<p>InfoGuard AG<br />
Lindenstrasse 10<br />
CH6340 Baar<br />
Telefon: +41 (41) 7491900<br />
<a href="https://www.infoguard.ch" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.infoguard.ch</a></div>
<div class="pb-contacts">
<div>Ansprechpartner:</div>
<div class="pb-contact-item">Estelle Ouhassi<br />
Marketing Manager<br />
Telefon: +41 (41) 74919-00<br />
E-Mail: &#101;&#115;&#116;&#101;&#108;&#108;&#101;&#046;&#111;&#117;&#104;&#097;&#115;&#115;&#105;&#064;&#105;&#110;&#102;&#111;&#103;&#117;&#097;&#114;&#100;&#046;&#099;&#104;
</div>
<div class="pb-links">
<div>Weiterführende Links</div>
<ul>
<li>
                        <a href="https://www.pressebox.de/pressemitteilung/infoguard-ag/api-security-so-schtzen-sie-schnittstellen-effektiv-vor-ki-angriffen/boxid/1301061" target="_blank" rel="noopener nofollow" data-wpel-link="external">Originalmeldung der InfoGuard AG</a>
                    </li>
<li>
                        <a href="https://www.pressebox.de/newsroom/infoguard-ag" target="_blank" rel="noopener nofollow" data-wpel-link="external">Alle Stories der InfoGuard AG</a>
                    </li>
</ul></div>
<div class="pb-disclaimer">Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
            </div>
<p>        <img decoding="async" src="https://www.pressebox.de/presscorner/cpix/tp---14/1301061.gif" alt="counterpixel" width="1" height="1" /></p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/06/11/api-security-so-schtzen-sie-schnittstellen-effektiv-vor-ki-angriffen/" data-wpel-link="internal">API-Security: So schützen Sie Schnittstellen effektiv vor KI-Angriffen</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Email Spoofing: Weit verbreitete Fehlkonfiguration in Exchange Online</title>
		<link>https://www.presseradar.de/2026/06/09/email-spoofing-weit-verbreitete-fehlkonfiguration-in-exchange-online/</link>
		
		<dc:creator><![CDATA[Firma InfoGuard]]></dc:creator>
		<pubDate>Tue, 09 Jun 2026 14:57:00 +0000</pubDate>
				<category><![CDATA[Software]]></category>
		<category><![CDATA[bec]]></category>
		<category><![CDATA[cyber]]></category>
		<category><![CDATA[DKIM]]></category>
		<category><![CDATA[dmarc]]></category>
		<category><![CDATA[fraud]]></category>
		<category><![CDATA[gateway]]></category>
		<category><![CDATA[ghost]]></category>
		<category><![CDATA[hybrid]]></category>
		<category><![CDATA[infoguard]]></category>
		<category><![CDATA[labs]]></category>
		<category><![CDATA[microsoft]]></category>
		<category><![CDATA[phishing]]></category>
		<category><![CDATA[ransomware]]></category>
		<category><![CDATA[red]]></category>
		<category><![CDATA[security]]></category>
		<guid isPermaLink="false">https://www.presseradar.de/2026/06/09/email-spoofing-weit-verbreitete-fehlkonfiguration-in-exchange-online/</guid>

					<description><![CDATA[<p>Vertrauen Sie darauf, dass eingehende E-Mails immer Ihr Mail-Gateway durchlaufen? Das InfoGuard Red Team hat eine weit verbreitete Fehlkonfiguration bei [&#8230;]</p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/06/09/email-spoofing-weit-verbreitete-fehlkonfiguration-in-exchange-online/" data-wpel-link="internal">Email Spoofing: Weit verbreitete Fehlkonfiguration in Exchange Online</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></description>
										<content:encoded><![CDATA[<div class="pb-text"><b>Vertrauen Sie darauf, dass eingehende E-Mails immer Ihr Mail-Gateway durchlaufen? Das InfoGuard Red Team hat eine weit verbreitete Fehlkonfiguration bei Exchange Online identifiziert, bei der E-Mails unter bestimmten Voraussetzungen direkt im Tenant landen – vorbei an SPF, DKIM, DMARC und Spamfiltern. Mit der eigens entwickelten Plattform ghost-sender.com können Sie Ihre Mail-Domänen jetzt gezielt auf diese Problematik prüfen und innert Kürze feststellen, ob Handlungsbedarf besteht.</b></p>
<p>Phishing, Business Email Compromise (BEC), CEO-Fraud, Ransomware – nahezu jede grössere Cyberkampagne beginnt mit einer E-Mail. Entsprechend hoch sind die Investitionen von Unternehmen in Mail-Gateways, Spamfilter und Protokolle wie SPF, DKIM und DMARC.</p>
<p>Im Rahmen aktueller Sicherheitsanalysen hat das InfoGuard Red Team jedoch eine weit verbreitete Fehlkonfiguration bei Microsoft Exchange Online identifiziert. Unter bestimmten Voraussetzungen können Angreifende E-Mails direkt an den Tenant zustellen, ohne die vorgelagerte E-Mail-Sicherheitslösung zu durchlaufen. Dadurch lassen sich etablierte Schutzmechanismen umgehen und E-Mails mit beliebigen internen oder externen Absenderadressen zustellen.</p>
<p>Die Folgen können gravierend sein: Gezielte Phishing-Angriffe lassen sich dadurch über die eigene Maildomäne des Unternehmens durchführen. So könnten sich Angreifende beispielsweise als CEO ausgeben und Mitarbeitende mit täuschend echten internen E-Mails zur Preisgabe von Informationen oder zur Ausführung von Aktionen verleiten.</p>
<p><b>Ghost-Sender in Exchange Online: Was passiert konkret?</b></p>
<p>Bei bestimmten Exchange-Online-Konfigurationen können E-Mails unter Umständen direkt an den Tenant zugestellt werden, ohne dass sie die vorgelagerte E-Mail-Sicherheitslösung durchlaufen. Dadurch werden etablierte Schutzmechanismen wie SPF, DKIM, DMARC und Spamfilter umgangen und externe Angreifer können wahlweise interne und externe Absender impersonieren.</p>
<p>Nach Einschätzung von Microsoft handelt es sich nicht um eine Produktschwachstelle, sondern um eine Konfigurationssituation im Zusammenspiel von Exchange Online und vorgelagerten Mail-Gateways.</p>
<p><b>Wer ist betroffen von Ghost-Sendern?</b></p>
<p>Typischerweise betroffen sind Organisationen, die:</p>
<ul class="bbcode_list">
<li>Exchange Online (auch im Hybrid-Modus mit Exchange On-Premises) einsetzen, und</li>
<li>eingehende E-Mails über ein externes Mail-Gateway oder eine Drittanbieter-Sicherheitslösung führen.</li>
</ul>
<p>Nach unseren Beobachtungen betrifft dies eine Vielzahl von Umgebungen, inklusive grosser und sicherheitstechnisch gut aufgestellter Organisationen.</p>
<p><b>Ghost-Sender-Risiken: So schliessen Sie blinde Flecken in Exchange Online</b></p>
<p>E-Mail-Sicherheit endet nicht beim Produktkauf, sondern beginnt bei der präzisen Konfiguration und dem kontinuierlichen Monitoring. Das Ghost-Sender-Szenario zeigt exemplarisch, wie schnell sich blinde Flecken in komplexen Architekturen einschleichen – selbst in Organisationen mit hohen Security-Ansprüchen.</p>
<p>Wer jetzt handelt, kann:</p>
<ul class="bbcode_list">
<li>kritische Konfigurationslücken schliessen,</li>
<li>Impersonation-Angriffe wirksam erschweren</li>
<li>und die eigene Cyberresilienz nachhaltig stärken.</li>
</ul>
<p>Um eine schnelle Erstprüfung zu ermöglichen, hat InfoGuard <a href="http://www.ghost-sender.com/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">ghost-sender.com</a> entwickelt.</p>
<p><b>Ghost-Sender-Test: Mail-Domänen in drei Schritten prüfen</b></p>
<p>Unsere eigens für dieses Szenario entwickelte Plattform erlaubt es, Mail-Domänen gezielt auf mögliche Ghost-Sender-Risiken zu testen. Zusätzlich steht ein ausführlicher technischer <a href="https://labs.infoguard.ch/posts/ghost-sender/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Artikel im InfoGuard-Labs-Blog</a> zur Verfügung.</p>
<p><b>Wir empfehlen folgende 3 Schritte:</b></p>
<ol class="bbcode_list">
<li><b>Domänenprüfung</b><br />
Prüfen Sie Ihre Mail-Domänen auf <a href="https://ghost-sender.com/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">ghost-sender.com</a>.</li>
<li><b>Fachstellen einbinden</b><br />
Wird eine Betroffenheit festgestellt, wenden Sie sich an Ihren Microsoft-Partner, E-Mail-Provider oder den Betreiber Ihrer Mail-Infrastruktur, um die empfohlenen Schutzmassnahmen zu prüfen und umzusetzen.</li>
<li><b>Verantwortliche informieren</b><br />
Informieren Sie die für Ihre E-Mail-Infrastruktur verantwortlichen Personen innerhalb Ihrer Organisation über die Ergebnisse.</li>
</ol>
<p><b>Wichtig:</b> Beachten Sie, dass die notwendigen Konfigurationsanpassungen von Ihrer individuellen Exchange-Online- und Mail-Gateway-Umgebung abhängen und nicht zentral durch InfoGuard vorgenommen werden können.</p>
<p><a href="https://ghost-sender.com/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Prüfen Sie jetzt Ihre Mail-Domänen</a>. So verschaffen Sie sich umgehend Klarheit darüber, ob Ihre Organisation von der beschriebenen Konfigurationssituation betroffen ist, erkennen frühzeitig Handlungsbedarf und leiten gemeinsam mit Ihren verantwortlichen Fachstellen gezielt die nächsten Schritte ein.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=21805071-81d1-4af9-a084-b20c67180600&amp;signature=AHFS_athKKRO2r6LBwluF3Mj41roHoEfDw&amp;portal_id=1865239&amp;pageId=417935520984&amp;placement_guid=cce2a59d-f426-4405-b9ce-3346f35b2699&amp;click=469c7982-430e-445c-8e01-4ea0ffdd953c&amp;redirect_url=AD7p6W_nkNzXMxxFhOgGXqVX1DypuAzCxMjNRevfmfCv3pvrOBwawoJod1jSjwpoImgj4k5M2BKR-V0jD1vf0BpcZ_rBYJqxCFI7C9zZ017OW8DMVHPcS6VHMPdVvf93FBdyF-Oua2aKQrO0oeMVlhBAAxmJjWSZsFT5XZHprbz-16j4ZzO-4ekiPxLXGZOPUqV_e9_08jEYEWWLf0qwSElXQThc16BDd8aM1EXf57dYIiDJRHH-pHyDfaEtQYFIyDAkD_C_N54Z&amp;hsutk=8c7ea58001b4e3acc7e97be45dfa6ac0&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Ffehlkonfiguration-in-exchange-online&amp;ts=1781017132776&amp;__hstc=18037222.8c7ea58001b4e3acc7e97be45dfa6ac0.1781017098068.1781017098068.1781017098068.1&amp;__hssc=18037222.2.1781017098068&amp;__hsfp=4a6bd5f3ff0cb6a9ea9858d11c578cff&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Mail-Domänen testen</b></a></p>
<p><b>Deep Dive: Ghost-Sender in Exchange Online verstehen</b></p>
<p>Im InfoGuard Labs Blog beleuchten wir die technischen Hintergründe des Ghost-Sender-Szenarios im Detail: von den relevanten Exchange-Online- und Mail-Gateway-Konfigurationen bis zu den konkreten Angriffspfaden und Schutzmassnahmen.</p>
<p>Der technische <a href="https://labs.infoguard.ch/posts/ghost-sender/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Deep Dive liefert eine fundierte Einordnung</a> der beschriebenen Cyberrisiken und zeigt auf, welche Massnahmen Sie in Ihrer Umgebung prüfen sollten.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=a1fd16dd-f3ba-46b2-83d2-632d44616e1b&amp;signature=AHFS_av4Cj_0daP_adJibgOSTmikqkh7gQ&amp;portal_id=1865239&amp;pageId=417935520984&amp;placement_guid=4f1168c0-7bae-42f9-ba56-15093217338b&amp;click=8925186a-f5f4-44a4-a4a1-c172c99a8357&amp;redirect_url=AD7p6W-Q2StaP5YsiAWA1Kw7Xe9z7oPFZdDDw1vfbqya5ZUUTKO47aiEIVBb4CaiBPMzfE_gQstlLkygDKSoz2Qezf7DcnSohqKJqlqTe7Lb_lwGm26MYLn7pJTMKTx3ROjwOvMrdLJ3b_lDSF5RoNU-nfTs8LqkCqeuehqQvdBqQH1ldGYaMyyE5VMAxzJ6me3TxtdW72P7nQD_fL0Vg0juxVhw100XNz1cfTdOr48Krucwfk0hj98OvjfXQ26ngXSNznw0eqRsDKlBNHvElsyuX_jNedkIDg&amp;hsutk=8c7ea58001b4e3acc7e97be45dfa6ac0&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Ffehlkonfiguration-in-exchange-online&amp;ts=1781017132770&amp;__hstc=18037222.8c7ea58001b4e3acc7e97be45dfa6ac0.1781017098068.1781017098068.1781017098068.1&amp;__hssc=18037222.2.1781017098068&amp;__hsfp=4a6bd5f3ff0cb6a9ea9858d11c578cff&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Zum Deep Dive</b></a></p>
<p><b>Quellen &amp; Referenzen</b><br />
• <a href="https://ghost-sender.com/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Ghost-Sender</a><br />
• InfoGuard LABS: <a href="https://labs.infoguard.ch/posts/ghost-sender/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Universal Email Spoofing against Exchange Online</a><br />
• NCSC, Cyber Security Hub (CSH): <a href="https://security-hub.ncsc.admin.ch/#/posts/12619" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">[Advisory] Microsoft Exchange: Arbitrary Email Spoofing</a></div>
<div class="pb-company">
<div>Firmenkontakt und Herausgeber der Meldung:</div>
<p>InfoGuard AG<br />
Lindenstrasse 10<br />
CH6340 Baar<br />
Telefon: +41 (41) 7491900<br />
<a href="https://www.infoguard.ch" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.infoguard.ch</a></div>
<div class="pb-contacts">
<div>Ansprechpartner:</div>
<div class="pb-contact-item">Estelle Ouhassi<br />
Marketing Manager<br />
Telefon: +41 (41) 74919-00<br />
E-Mail: &#101;&#115;&#116;&#101;&#108;&#108;&#101;&#046;&#111;&#117;&#104;&#097;&#115;&#115;&#105;&#064;&#105;&#110;&#102;&#111;&#103;&#117;&#097;&#114;&#100;&#046;&#099;&#104;
</div>
<div class="pb-links">
<div>Weiterführende Links</div>
<ul>
<li>
                        <a href="https://www.pressebox.de/pressemitteilung/infoguard-ag/email-spoofing-weit-verbreitete-fehlkonfiguration-in-exchange-online/boxid/1300772" target="_blank" rel="noopener nofollow" data-wpel-link="external">Originalmeldung der InfoGuard AG</a>
                    </li>
<li>
                        <a href="https://www.pressebox.de/newsroom/infoguard-ag" target="_blank" rel="noopener nofollow" data-wpel-link="external">Alle Stories der InfoGuard AG</a>
                    </li>
</ul></div>
<div class="pb-disclaimer">Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
            </div>
<p>        <img loading="lazy" decoding="async" src="https://www.pressebox.de/presscorner/cpix/tp---14/1300772.gif" alt="counterpixel" width="1" height="1" /></p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/06/09/email-spoofing-weit-verbreitete-fehlkonfiguration-in-exchange-online/" data-wpel-link="internal">Email Spoofing: Weit verbreitete Fehlkonfiguration in Exchange Online</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>InfoGuard Threat Intelligence Report Q2/26: Europas Cyberrisiko, Salt Typhoon &#038; Irans Rückkehr</title>
		<link>https://www.presseradar.de/2026/06/04/infoguard-threat-intelligence-report-q2-26-europas-cyberrisiko-salt-typhoon-irans-rckkehr/</link>
		
		<dc:creator><![CDATA[Firma InfoGuard]]></dc:creator>
		<pubDate>Thu, 04 Jun 2026 09:02:00 +0000</pubDate>
				<category><![CDATA[Allgemein]]></category>
		<category><![CDATA[agentic]]></category>
		<category><![CDATA[Armis]]></category>
		<category><![CDATA[aws]]></category>
		<category><![CDATA[cloud]]></category>
		<category><![CDATA[ddos]]></category>
		<category><![CDATA[defence]]></category>
		<category><![CDATA[domains]]></category>
		<category><![CDATA[eid]]></category>
		<category><![CDATA[factorytalk?]]></category>
		<category><![CDATA[fury]]></category>
		<category><![CDATA[iranisch]]></category>
		<category><![CDATA[microsoft]]></category>
		<category><![CDATA[rational]]></category>
		<category><![CDATA[storage]]></category>
		<category><![CDATA[typhoon]]></category>
		<guid isPermaLink="false">https://www.presseradar.de/2026/06/04/infoguard-threat-intelligence-report-q2-26-europas-cyberrisiko-salt-typhoon-irans-rckkehr/</guid>

					<description><![CDATA[<p>Drei Monate nach dem Q1-Report hat die digitale Bedrohungslage Europas eine neue Qualität erreicht: Iran ist nach 47 Tagen digitaler [&#8230;]</p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/06/04/infoguard-threat-intelligence-report-q2-26-europas-cyberrisiko-salt-typhoon-irans-rckkehr/" data-wpel-link="internal">InfoGuard Threat Intelligence Report Q2/26: Europas Cyberrisiko, Salt Typhoon &amp; Irans Rückkehr</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></description>
										<content:encoded><![CDATA[<div class="pb-text"><b>Drei Monate nach dem Q1-Report hat die digitale Bedrohungslage Europas eine neue Qualität erreicht: Iran ist nach 47 Tagen digitaler Isolation wieder operativ, Salt Typhoon wurde erstmals offiziell in Skandinavien bestätigt und Russland testet destruktive OT-Angriffe unterhalb der NATO-Schwelle. Parallel entsteht eine neue Eskalationsstufe: Vollautonome Angriffssysteme ohne menschliche Aufsicht sind keine Prognose mehr, sondern operative Realität. Auch die Rolle der USA muss nüchtern eingeordnet werden: Sie agieren als Weltmacht im eigenen Interesse – normal und legitim, aber für europäische Organisationen eine strategische Variable. Der Artikel ordnet die geopolitische Lage ein, liefert konkrete Takeaways und kommt zu einem klaren Befund: Cyberabwehr entscheidet sich heute im frühzeitigen Erkennen realer Risikoexposition.</b></p>
<p>Die geopolitische Cyberlage hat im zweiten Quartal gegenüber dem <a href="https://www.infoguard.ch/de/blog/threat-intelligence-report-cybereskalation-gegen-europa" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Bericht zum ersten Quartal 2026</a> deutlich an Schärfe gewonnen. Iran, Salt Typhoon, destruktive OT-Angriffe und autonome KI-Systeme machen deutlich: Europas Cyberrisiko entsteht nicht nur durch neue Angriffe, sondern durch immer schwerer sichtbare Abhängigkeiten, Exponierungen und Detektionslücken. Eine Analyse der wichtigsten Verschiebungen zeigt, wo und inwiefern sich die Lage seit Q1/26 verändert hat.</p>
<p><b>Seit Q1/2026 verschiebt sich Europas Cyberrisiko</b></p>
<p>Die Übersicht zeigt die Veränderungen auf einen Blick. Anschliessend ordnen wir die fünf Entwicklungen ein und leiten konkrete Takeaways für die Cyberabwehr ab.</p>
<p><b>1. Iran nach Epic Fury: Vom Hacktivismus zu APT-Operationen1.1  Weshalb ist Irans digitale Rückkehr ein Cyberrisiko für Europa?</b></p>
<p>Iran ist seit dem 17. April 2026 nach 47 Tagen digitaler Isolation wieder schrittweise vernetzt – und damit können auch <a href="https://www.infoguard.ch/de/blog/infoguard-innovation-day-2026" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">hochspezialisierte APT-Einheiten</a> wieder koordinierter agieren. Im Q1-Report haben wir den 28. Februar 2026 als Zäsur beschrieben: Operation Epic Fury löste sofort eine mehrstufige iranische Cyber-Vergeltungswelle aus, koordiniert durch den neu gegründeten Electronic Operations Room mit über 60 aktiven Gruppen. Was die Situation damals vorübergehend technisch entschärfte: Israel und die USA führten gleichzeitig die grösste Cyberoperation gegen Iran durch, die je dokumentiert wurde. Sie reduzierten damit Irans Internetkonnektivität auf 1-4 %. Auch Akteure hochspezialisierter APT-Einheiten waren damit de facto vom Rest der Welt abgeschnitten.</p>
<p>Das hat sich geändert. Was im Q1 noch als chaotischer, dezentraler Hacktivismus sichtbar wurde, droht nun in koordinierte Cyberoperationen überzugehen. Die Reconnection Irans ist deshalb kein Entwarnungssignal. Sie markiert weit mehr den Beginn der gefährlicheren Phase.</p>
<p><b>1.2 Warum zielen iranische Akteure auf Rockwell Automation?</b></p>
<p>Iranisch-affiliierte Gruppen verschieben ihren Fokus von Unitronics-PLCs auf Rockwell Automation FactoryTalk – und damit auf eine grössere Angriffsfläche in Industrie, Energieversorgung und Wasserinfrastruktur. Ende März 2026 identifizierte Unit 42 einen neuen Angriffscluster (CL-STA-1128 / CyberAv3ngers), der diese Zielverschiebung sichtbar macht. Bisher hatten die Gruppen primär Unitronics-PLCs angegriffen – israelische Fabrikate, die vergleichsweise begrenzt eingesetzt werden. Nun rückt mit Rockwell Automation FactoryTalk eine OT-Plattform in den Fokus, die deutlich weiter verbreitet ist.</p>
<p>Aus europäischer Sicht ist das relevant: Denn Rockwell-Systeme sind in der Industrieautomation weltweit flächendeckend im Einsatz – in Produktionsanlagen, Energieversorgung und Wasserinfrastruktur, auch in der DACH-Region. Die Angreifer wählen damit eine Angriffsoberfläche, die grösser und potenziell weniger gehärtet ist als die bisher fokussierten Unitronics-Systeme.</p>
<p>Für Unternehmen mit Rockwell-Umgebungen ist das keine abstrakte Warnung. CyberAv3ngers hat bewiesen, dass sie OT-Systeme nicht nur kompromittieren, sondern auch aktiv manipulieren. In früheren Kampagnen wurden Konfigurationen verändert und Prozesse gestört, ohne dass Wiper oder Ransomware notwendig waren.</p>
<p><b>1.3 RedKitten: Der neue technisch hochentwickelte Akteur</b></p>
<p>Parallel zu CyberAv3ngers ist ein neu identifizierter iranischer Akteur aufgetaucht, der sich technisch deutlich von den bisherigen Gruppen unterscheidet: RedKitten. Die Gruppe nutzt eine Angriffsmethodik, die explizit darauf ausgelegt ist, unter dem Radar normaler Sicherheitstools zu bleiben.</p>
<p>Die Kernmechanik: Die Angreifenden nutzen präparierte Dokumente, um die SloppyMIO-Backdoor auszuführen. Diese liest per Steganografie Konfigurationsdaten aus Bilddateien auf legitimen Code-Repositories aus. Payloads werden über Cloud-Storage nachgeladen. Die gesamte Kommunikation läuft ausschliesslich über Messaging-Platform-APIs – eine sogenannte Dead-Drop-Resolver-Architektur, die bösartigen Traffic in gewöhnlichem Cloud-Rauschen versteckt.</p>
<p>Das Ergebnis: Traditionelle signaturbasierte Erkennung und netzwerkbasierte Anomalie-Detection greifen nicht, weil der Traffic wie normales SaaS-Nutzungsverhalten wirkt. Nach der öffentlichen Exposition Ende 2025 tauschte RedKitten seine Infrastruktur rasch aus und weitete das Targeting auf über 20 Länder aus – inklusive Westeuropa.</p>
<p><b>1.4 Europa im Fokus koordinierter Cyberangriffe</b></p>
<p>Ein für Europa besonders relevantes Muster des laufenden Konflikts: Pro-iranische und pro-russische Hacktivisten-Gruppen koordinieren ihre Cyberoperationen opportunistisch. SOCRadar hat für den ersten Kriegsmonat (28. Februar bis 31. März 2026) 1.357 dokumentierte Incidents in über 25 Ländern und 15 Sektoren erfasst. Zypern wurde mit 68 Incidents zum zweitgrössten europäischen Ziel – nicht zufällig, sondern weil es US-Militärinfrastruktur beherbergt und geographisch exponiert ist. Rumänien folgt mit 58 Incidents.</p>
<p>NoName057(16) nutzt die Iran-Operationen für sogenannte Double-Benefit-Hits: dieselbe DDoS-Welle trifft gleichzeitig iranische Gegner und NATO-Mitglieder im Kontext des Ukraine-Kriegs. Für betroffene europäische Organisationen ist die Attribution dabei oft unklar – und das ist gewollt.</p>
<p><b>Einschätzung Q2/2026</b></p>
<p>Wir befinden uns jetzt in der Phase, vor der Analysten seit Februar 2026 gewarnt haben: koordinierte APT-Operationen, keine Ablenkungsmanöver. Organisationen in den Sektoren Energie, Industrie, Telekommunikation und öffentliche Verwaltung sollten ihre Exponierung gegenüber Rockwell-Systemen, VPN-Gateways und exponierten OT-Umgebungen neu bewerten. Die Reconnection Irans ist kein Entwarnungssignal – sie markiert das Ende der Aufwärmphase.</p>
<p><b>2. China: Salt Typhoon erreicht Nordeuropa</b></p>
<p>In unserem Q1-Report haben wir Chinas Strategie als Pre-Positioning für einen möglichen Taiwan-Konflikt beschrieben: eine stille, jahrelange Kompromittierung kritischer Infrastruktur, ohne Alarm zu schlagen. Q2/2026 bringt die europäische Bestätigung dessen, was viele bereits ahnten.</p>
<p><b>2.1 Norwegen: Die erste skandinavische Bestätigung</b></p>
<p>Im Februar 2026 veröffentlichte Norwegen seinen jährlichen Bedrohungsbericht. PST-Direktorin Beate Gangås bestätigte darin explizit: Salt Typhoon hat Netzwerkgeräte in norwegischen Organisationen kompromittiert – die erste offizielle skandinavische Bestätigung, dass die lange als US-Problem wahrgenommene Kampagne Nordeuropa erreicht hat.</p>
<p>Die Formulierung der PST war bemerkenswert direkt: Norwegen stehe vor seiner schwersten Sicherheitslage seit dem Zweiten Weltkrieg. Norwegens Sicherheitsbehörden beschreiben China, Russland und Iran nicht als abstrakte Bedrohungen, sondern als aktiv operierende Geheimdienste auf norwegischem Boden.</p>
<p><b>2.2 Die strategische Neubewertung durch ODNI 2026</b></p>
<p>Das US Office of the Director of National Intelligence stuft chinesische Cyberoperationen im Annual Threat Assessment 2026 neu ein: Volt Typhoon und Salt Typhoon gelten nicht mehr primär als Spionagekampagnen, sondern als Pre-Positioning in kritischer Infrastruktur – mit dem Ziel, Sabotage für potenzielle Konflikte vorzubereiten.</p>
<p>Diese Neubewertung ist für Europa relevant, weil sie die Stossrichtung klarstellt: China baut keine Nachrichtendienstlichen Fähigkeiten auf, es baut Schalter ein. Schalter, die in einer geopolitischen Krise – Taiwan, Handelskrieg, militärische Eskalation – aktiviert werden können. Die europäische Infrastruktur ist dabei nicht Ziel, sondern Hebel: Wer Europa destabilisieren kann, schwächt westliche Unterstützung für Taiwan.</p>
<p><b>2.3 LOTL in Nordeuropa: Warum Salt Typhoon so schwer zu finden ist</b></p>
<p>Salt Typhoon und Volt Typhoon teilen eine Methodik, die sie für traditionelle Sicherheitsarchitekturen nahezu unsichtbar macht: Living-off-the-Land. Keine Malware, nur native Systemtools. Keine Command-and-Control-Server mit auffälligen Domains, nur kompromittierte SOHO-Router als Relay-Infrastruktur. In mehreren dokumentierten Fällen blieben die Gruppen bis zu fünf Jahre unentdeckt.</p>
<p>Für Organisationen in Skandinavien, den Niederlanden, Deutschland und Österreich bedeutet das: Die Frage ist nicht mehr nur, ob chinesische Akteure bereits in europäischen Netzwerken präsent sind, sondern ob diese Präsenz bekannt ist. Die Wahrscheinlichkeit dafür ist, basierend auf den verfügbaren Daten, erheblich.</p>
<p><b>Einschätzung Q2/2026</b></p>
<p>Die norwegische Bestätigung ist kein Einzelfall. Sie ist die erste öffentlich bestätigte Spitze eines europäischen Eisbergs. Telekommunikations-, Energie- und Verteidigungsunternehmen in Europa sollten davon ausgehen, dass Netzwerkgeräte an der Perimeter – Firewalls, VPN-Concentrators, Switches – primäre Angriffsflächen sind. Diese Geräte sind systematisch unzureichend überwacht und haben typischerweise keine EDR-Abdeckung.</p>
<p><b>3. Russland: «Below Threshold» als permanente Kriegsführung</b></p>
<p>Russlands Cyberstrategie gegen Europa ist keine Reaktion auf aktuelle Ereignisse. Sie ist eine dauerhaft angelegte Zermürbungskampagne mit klar definiertem Ziel: maximalen Schaden verursachen, ohne die Article-5-Schwelle der NATO zu überschreiten und eine kollektive militärische Reaktion auszulösen. Q2/2026 macht dieses Kalkül an einem konkreten Fall sichtbar.</p>
<p><b>3.1 Polen Dezember 2025: Der erste bestätigte destruktive OT-Angriff in der EU</b></p>
<p>Im Dezember 2025 &#8211; einem Monat mit unterdurchschnittlicher Gesamtzahl an Sicherheitsvorfällen &#8211; wurde Polen Ziel einer der schwerwiegendsten Cyberoperationen gegen EU-Infrastruktur. Russisch-affiliierte Angreifer kompromittierten Kontrollsysteme im Energiesektor. Kritische Steuerungssysteme wurden gestört, und Industrieausrüstung wurde dauerhaft beschädigt – physisch, nicht «nur» digital. Reparatur statt Wiederherstellung.</p>
<p>Doch entscheidend ist, was nicht passierte: Kein weitreichender Blackout, keine Todesopfer, kein Anlass für eine Article-5-Konsultation. Das Ereignis bleibt genau unterhalb der Eskalationsschwelle, kostet aber polnische Energieversorger Millionen, destabilisiert Vertrauen in kritische Systeme und sendet eine unmissverständliche Botschaft an NATO-Mitglieder, die die Ukraine unterstützen.</p>
<p>Der <a href="https://www.atlanticcouncil.org/dispatches/dispatches-from-the-front-lines-of-russia-linked-cyberattacks-on-europe/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Atlantic Council dokumentiert in einem Report</a> vom April 2026 über 150 Sabotage-, Cyber- und Influence-Incidents in Europa seit 2022 – mit zunehmender Frequenz und zunehmender Destruktivität. Das Muster ist konsistent: testen, eskalieren, einfrieren, wiederholen.</p>
<p><b>3.2 Das Vakuum der US-Cyber-Abschreckung</b></p>
<p>Wenn US-Cyber-Abschreckung nachlässt, steigt für Europa der Druck, eigene Cyberkapazitäten strategischer zu denken. <a href="https://cepa.org/article/a-joint-cyber-defense-for-europe/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">CEPA stellt in einem Bericht vom März 2026</a> einen Zusammenhang fest: Wo Intelligence-Sharing eingeschränkt wird, koordinierte Reaktionen ausbleiben und Operationen ohne NATO-Vorabinformation erfolgen, sinken die Kosten für russische hybride Angriffe.</p>
<p>Die Logik ist simpel: Wenn die Kosten sinken, steigt die Aktivität. Aus Sicht europäischer Sicherheitsarchitekten ist das ein Wendepunkt. Europa kann nicht mehr davon ausgehen, dass US-Cyber-Kapazitäten als verlängerte Abschreckung wirken. Das ist keine Katastrophe – es ist eine strategische Realität, die Europas eigene Kapazitäten in den Vordergrund rückt.</p>
<p><b>Einschätzung Q2/2026</b></p>
<p>Russlands Below-Threshold-Modell ist keine Übergangsphase. Es ist die neue Normalität. Energieversorger, Infrastrukturbetreiber und staatliche Stellen müssen damit rechnen, dass OT-Systeme nicht mehr nur als Spionageziele gelten. Sie gelten zunehmend als Ansatzpunkte für physische Sabotage. Der Dezember-Angriff auf Polen ist ein «Proof of Concept», kein Einzelfall.</p>
<p><b>4. Warum Angreifer keinen Co-Piloten brauchen4.1  KI-Angriffe und Asymmetrie – ein Flugzeugvergleich</b></p>
<p>Ein modernes Verkehrsflugzeug kann heute vollständig autonom fliegen. Autopilot, automatische Landung, Kollisionswarnung – technisch gesehen, wäre kein menschlicher Pilot nötig. Trotzdem sitzt in jedem kommerziellen Flugzeug mindestens ein ausgebildeter Mensch im Cockpit. Der Grund ist simpel: Bei 300 Passagieren an Bord sind die Konsequenzen eines Fehlers katastrophal und irreversibel. Das System kann 9.999 Flüge perfekt durchführen, beim 10.000sten muss ein Mensch eingreifen können.</p>
<p>Cyber Defence funktioniert nach exakt demselben Prinzip: Ein unbemerkter Angriff, ein ungeblockter Payload oder ein False Negative auf einem produktiven System kann reichen. Die Verteidigung muss immer gewinnen. Deshalb ist <a href="https://www.infoguard.ch/de/blog/human-ai-teaming-gegen-ki-agenten" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Human-in-the-Loop</a> zwingend: erfahrene Analysten, die Kontext einordnen, Anomalien bewerten und Entscheidungen verantworten.</p>
<p>Für den Angreifer gilt exakt das Gegenteil. Wenn ein autonomer Angriff scheitert, kostet das nichts. Keine menschlichen Stunden, kein Operator, der Konsequenzen trägt. Einfach den nächsten starten – schneller, billiger, mit angepasster Methodik. Die Asymmetrie ist fundamental: Die Verteidigung muss immer, ein Angriff muss nur einmal gewinnen. KI macht den Angriff beliebig skalierbar und wiederholbar: Was scheitert, wird angepasst und erneut gestartet. Für die Verteidigung bleibt die Fehlertoleranz gering. Sie muss automatisieren, aber menschliches Urteilsvermögen in der Beurteilungsschleife behalten.</p>
<p><b>4.2 Vom KI-Tool zur autonomen Cyberattacke</b></p>
<p>KI in Cyberangriffen ist nicht neu. Seit Jahren wird KI für Spear-Phishing-Personalisierung, automatisierte Vulnerability-Scans und Malware-Varianten genutzt. Was sich in Q2/2026 verändert hat, ist die Qualität: von KI als Werkzeug zu KI als autonomem Akteur.</p>
<p>Armis-Threat-Intelligence-Chef, Michael Freeman, hat es konkret formuliert: Bis Mitte 2026 wird mindestens ein globales Unternehmen durch ein vollständig autonomes agentic AI-System kompromittiert – mit Reinforcement Learning und Multi-Agent-Koordination für den kompletten Angriffs-Lifecycle ohne menschliche Aufsicht. Reconnaissance, Exploitation, Laterale Bewegung, Datenexfiltration – alles automatisiert, alles ohne menschliches Eingreifen. Das <a href="https://www.weforum.org/publications/global-cybersecurity-outlook-2026/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">WEF Global Cybersecurity Outlook 2026</a> zeigt: 87 % der befragten Sicherheitsverantwortlichen weltweit nennen KI-Schwachstellen als die am schnellsten wachsende Bedrohung.</p>
<p>Nation-State-Akteure sind hier nicht Nachzügler, sondern Treiber: Berichte aus der Threat-Intelligence-Community zeigen, dass staatlich gesteuerte Gruppen bereits 90 % ihrer Intrusion-Kampagnen automatisieren. Chinesische Akteure haben laut <a href="https://www.anthropic.com/news/disrupting-AI-espionage" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Anthropic-Bericht (November 2025)</a> vollständig automatisierte Angriffsketten gegen Technologieunternehmen und Regierungsstellen eingesetzt. Iran arbeitet nachweislich an AI-gestützten Spear-Phishing-Systemen.</p>
<p><b>4.3 RaaS goes Autonomous: Wenn Ransomware nicht verhandelt, sondern vernichtet</b></p>
<p>Auch in der kriminellen Ransomware-Szene zeigt sich das Muster. Q1/2026 brachte eine Rekonsolidierung des Marktes: Qilin, LockBit und The Gentlemen expandieren. Qilin hat inhouse Legal Services eingeführt, um Druck auf Opfer zu erhöhen. Die Global Group lancierte AI-Chatbots für Verhandlungen – autonome Systeme, die Lösegeldforderungen anpassen, Fristen setzen und kommunizieren, ohne menschliche Intervention.</p>
<p>Die Sicarii-Gruppe geht noch weiter: Ihre Ransomware löscht die eigenen Entschlüsselungsschlüssel nach der Verschlüsselung – eine Waffe, die nicht auf Erpressung abzielt, sondern auf permanente Zerstörung. Eine Zahlung ist sinnlos. Wiederherstellung ist unmöglich. Das ist der Übergang von Ransomware als Geschäftsmodell zu Ransomware als Sabotagewaffe.</p>
<p><b>4.4 KI-Asymmetrie: Cyberabwehr erfordert Human-in-the-Loop</b></p>
<p>Die KI-Asymmetrie stellt Sicherheitsarchitekturen vor ein strukturelles Problem: Je mehr Automatisierung auf der Angreiferseite, desto höher ist der Druck, auf der Verteidigerseite ebenfalls zu automatisieren – aber die Fehlertoleranz bleibt asymmetrisch. Automatisierte Defense-Systeme können false positives produzieren, die den Betrieb stören, oder false negatives, die Angriffe durchlassen. Jede Fehlentscheidung in der Abwehr birgt Konsequenzen. Für Angreifende hingegen bedeutet ein Fehlversuch nur Trainingsmaterial für den nächsten Angriff.</p>
<p>Das führt zu einer Konsequenz, die kontraintuitiv erscheint, aber operativ richtig ist: Je autonomer Angriffe werden, desto wichtiger wird der menschliche Threat Hunter. Nicht als Reaktion auf Alarme, sondern als proaktiver Jäger in Umgebungen, in denen automatisierte Systeme systematisch umgangen werden.</p>
<p><b>Einschätzung Q2/2026</b></p>
<p>Autonome KI-Angriffe sind kein Zukunftsszenario mehr. Sie sind operativ. Die Verteidigung muss diese Asymmetrie akzeptieren: Automatisierung auf der Verteidigerseite ist notwendig, aber nicht ausreichend. Das <a href="https://www.infoguard.ch/de/blog/cyberangriffe-mit-crm-prinzipien-meistern" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Co-Piloten-Modell</a> gilt weiterhin – technische Systeme fliegen das Flugzeug, aber ein erfahrener Mensch muss eingreifen können, wenn es darauf ankommt. </p>
<p>In die Welt der Cybersecurity übersetzt, heisst dieses Co-Piloten-Modell: Threat Hunting. Gemeint ist eine <a href="https://www.infoguard.ch/de/threat-intelligence" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">vertiefte Analyse der Exponierungsrisiken</a> durch erfahrene Incident Responder, die sichtbar macht, was automatisierte Systeme oft übersehen – Spuren, Anomalien und Angriffsmuster, die erst im Kontext der aktuellen Bedrohungslage erkennbar werden.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=e3ab4cf3-0fa4-46cd-a521-eb838b58fb45&amp;signature=AHFS_asu-zcf0xGawpPqJSXRacc7k0VFSw&amp;portal_id=1865239&amp;pageId=413762277614&amp;placement_guid=14e03e4c-96ac-4cfe-8dc8-6522c0e06b1b&amp;click=420f745e-9910-46da-82e2-3b97426a0663&amp;redirect_url=AD7p6W_MUcXgtvvX0Qv8EWD4zl40qQZM1FnPLuPriLwdBv01qz7qt5xvNgvhfgjuTSwOmGIoNqWISMLumiWJcy9VkuoT-VK2N3xAU4jdyltuZ_sNpITU8JGX8YdV5y1xigiCp2T9sMt9&amp;hsutk=f1026adfa87f57a6e74158480ecd4867&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fthreat-intelligence-report-europas-cyberrisiko-salt-typhoon-iran&amp;ts=1780563791607&amp;__hstc=18037222.f1026adfa87f57a6e74158480ecd4867.1780563792537.1780563792537.1780563792537.1&amp;__hssc=18037222.1.1780563792537&amp;__hsfp=dddbb462c61eb28ee9d99b0fae0c646f&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Proaktives Threat Hunting</b></a></p>
<p><b>5. Der unbequeme Verbündete: Die USA aus europäischer Sicht</b></p>
<p><i>Vorbemerkung zum Ton dieses Kapitels: Was folgt, ist keine Kritik an den USA als Land oder Verbündeten. Es ist die nüchterne Anwendung einer Grundregel internationaler Politik, die seit dem Westfälischen Frieden 1648 gilt: Jeder Staat handelt primär im eigenen Interesse. Das ist weder überraschend noch verwerflich – es ist die Realität jedes souveränen Akteurs, inklusive der europäischen Staaten selbst. Die Frage ist nur, ob Europa das als gegeben akzeptiert und entsprechend handelt.</i></p>
<p><b>5.1 CYBERCOM 2.0 und die Normalisierung offensiver Cyberoperationen</b></p>
<p>Im Januar 2026 wurde vor dem US-Senatsausschuss für Streitkräfte die bisher grösste Transformation des US Cyber Command präsentiert: <a href="https://www.armed-services.senate.gov/imo/media/doc/cybercom_public_summary.pdf" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">CYBERCOM 2.0</a>. Die zuständige Assistant Secretary of War for Cyber Policy beschrieb es als «die bedeutendste Transformation des USCYBERCOM seit seiner Gründung vor über 15 Jahren» – eine fundamentale Neuaufstellung, die offensive Dauerpräsenz in gegnerischen Netzwerken als Routineinstrument etabliert.</p>
<p>Im März 2026 folgte Trumps neue Nationale Cyberstrategie: explizit aggressiver als alle Vorgänger, mit dem Ziel, Bedrohungen «vor» dem Erreichen amerikanischer Netzwerke zu begegnen. Das Konzept des «Persistent Engagement» – kontinuierliche offensive Operationen in gegnerischer Infrastruktur – wird zur offiziellen Doktrin.</p>
<p>Was bedeutet das für Europa? Zwei Dimensionen: Zum einen stärkt eine leistungsfähigere US-Cyberkapazität die kollektive Abschreckung gegen Russland, China und Iran – davon profitiert Europa indirekt. Zum anderen normalisiert die USA offensive Cyberoperationen als legitimes Staatsmittel auf einer neuen Ebene. Europa wird sich fragen müssen, wie es mit diesem Präzedenzfall umgeht – und ob die gleiche Doktrin, die gegen Moskau vertretbar erscheint, auch das Vertrauen in US-Technologieinfrastruktur beeinflusst.</p>
<p><b>5.2 CLOUD Act: Das strukturelle Souveränitätsproblem</b></p>
<p>Das vielleicht konkreteste Risiko für die europäische Cybersicherheit geht nicht von einem Angriff aus, sondern von einem Gesetz. Der <a href="https://www.congress.gov/bill/115th-congress/senate-bill/2383/text" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">US CLOUD Act (Clarifying Lawful Overseas Use of Data Act)</a> erlaubt US-Behörden, von US-amerikanischen Unternehmen Zugang zu Daten zu verlangen – unabhängig davon, wo diese Daten physisch gespeichert sind.</p>
<p>Im Juni 2025 wurde Microsoft France in einer Anhörung vor dem französischen Senat direkt gefragt: Können Sie garantieren, dass europäische Kundendaten nie von US-Behörden angefordert werden? Die Antwort war eindeutig und unter Eid: Nein. Diese Garantie kann nicht gegeben werden. Nicht weil Microsoft das nicht will, sondern weil Microsoft eine US-amerikanische Gesellschaft ist und US-Recht für US-Gesellschaften überall auf der Welt gilt.</p>
<p>Das betrifft nicht nur Microsoft. AWS kann dieselbe Garantie nicht geben. Google auch nicht. Jeder US-Hyperscaler, jede US-basierte Sicherheitslösung, jedes US-EDR – sie alle unterliegen demselben rechtlichen Rahmen. Ein europäisches Rechenzentrum ändert die Geografie der Daten, aber nicht die Jurisdiktion über das Unternehmen.</p>
<p>Für die Cybersecurity-Architektur europäischer Organisationen hat das konkrete Implikationen: Wer US-basierte Sicherheitstools einsetzt – und das ist die grosse Mehrheit – hat potenziell einen dritten Akteur im Netzwerk. Nicht zwangsläufig böswillig, aber ausserhalb europäischer Kontrolle und europäischen Rechts. In einer Zeit, in der sich die Interessen der USA und Europas in Handelsfragen, Geopolitik und Verteidigung zunehmend auseinanderbewegen, ist das eine strategische Variable, die ins Kalkül gehört.</p>
<p><b>5.3 Drei Incidents – ein Muster</b></p>
<p><b>Drei öffentlich dokumentierte Incidents der letzten 15 Monate illustrieren das Muster:</b></p>
<ul class="bbcode_list">
<li><b>Signal-Leak (März 2025)</b>: US-Verteidigungsminister Pete Hegseth besprach Militärpläne über eine nicht klassifizierte kommerzielle App und teilte sie versehentlich mit einem Journalisten. Intern bezeichnete er Europa als «Freeloaders». Europäische Verbündete erfuhren von den Militäraktionen aus der Presse statt über sichere Kanäle.</li>
<li><b>Grönland (August 2025)</b>: Dänischer Rundfunk DR berichtete, gestützt auf Geheimdienstquellen, dass mindestens drei Trump-nahe Personen verdeckte Einflussoperationen auf dänischem Territorium (Grönland) durchführten. Dänemarks Aussenminister bestellte den US-Botschafter ein. Dänemarks Premierminister formulierte öffentlich: «You cannot spy against an ally.»</li>
<li><b>Operation «Epic Fury» (Februar 2026)</b>: Die USA und Israel starteten eine Militäroperation gegen Iran, die zur Tötung des Obersten Führers führte und die gesamte Golfregion destabilisierte – ohne vorherige Information an NATO-Verbündete. Der Atlantic Council schreibt explizit: «Trump apparently caught NATO, Gulf, and Asian allies off guard, reportedly providing no advance warning.» Das ist keine Kommunikationspanne. Das ist eine strategische Entscheidung.</li>
</ul>
<p>Diese drei Incidents sind keine Ausreisser. Sie sind das Muster einer Administration, die «Amerika First» konsequent umsetzt – rational aus US-Perspektive, herausfordernd aus europäischer. Was sie gemeinsam haben: Europa war in keinem dieser Fälle eine gleichwertige strategische Variable in der US-Kalkulation.</p>
<p><b>5.4 Europas Cybersicherheit verlangt digitale Souveränität</b></p>
<p>Die Antwort auf diese Analyse ist weder Feindbildkonstruktion noch naiver Vertrauensverlust, sie ist strategische Mündigkeit. Europa sollte von der US-Allianz profitieren, wo sie Vorteile bietet – und gleichzeitig aufhören, US-Interessen mit europäischen Interessen gleichzusetzen.</p>
<p>Konkret bedeutet das für die Cybersicherheit: Europäische digitale Souveränität ist keine Anti-Amerika-Politik. Es ist die logische Konsequenz aus der Erkenntnis, dass Abhängigkeit von fremder Infrastruktur, ob chinesisch, russisch oder amerikanisch, ein Sicherheitsrisiko darstellt. Die EU hat mit dem <a href="https://commission.europa.eu/document/download/09579818-64a6-4dd5-9577-446ab6219113_en" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Cloud Sovereignty Framework (Oktober 2025)</a>, dem <a href="https://www.infoguard.ch/de/blog/nis2-cra-kritis-umsetzung" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Cyber Resilience Act</a> und <a href="https://eurostack.eu/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">EuroStack</a> erste Schritte in diese Richtung gemacht. Es ist nicht genug – aber es ist die richtige Richtung.</p>
<p><b>Einschätzung Q2/2026</b></p>
<p>Jeder Staat handelt im eigenen Interesse. Das ist keine Kritik. Es ist die Grundregel, nach der jede Sicherheitsstrategie gebaut sein sollte. Für europäische Organisationen bedeutet das praktisch: US-Technologie dort einsetzen, wo sie die beste Lösung ist – aber mit dem Wissen um den rechtlichen Rahmen (CLOUD Act, <a href="https://bja.ojp.gov/program/it/privacy-civil-liberties/authorities/statutes/1286" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">FISA</a>) und mit Architekturentscheidungen, die kritische Daten und Systemzugänge unter europäischer Kontrolle halten.</p>
<p><b>6. Die Detektionslücke bleibt – das Expositionsdefizit wächst</b></p>
<p>Die <a href="https://www.infoguard.ch/de/blog/threat-intelligence-report-cybereskalation-gegen-europa" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Kernerkenntnis aus unserem Q1-Report</a> hat sich deutlich verschärft: 57 % aller Kompromittierungen werden nicht durch eigene Sicherheitssysteme entdeckt, sondern durch externe Hinweise. Die mediane Verweildauer eines Angreifers in europäischen Netzwerken liegt bei 22 Tagen (EMEA-Median, Mandiant M-Trends 2025).</p>
<p>Im Q2/2026 verschärft sich vor allem die Detektionsfrage: LOTL-Angriffe (Living-off-the-Land) waren bereits für signaturbasierte Systeme unsichtbar. Autonome KI-Angriffe ohne festes Timing, ohne menschliches Verhaltensmuster und ohne statische Infrastruktur stellen auch verhaltensbasierte Anomalie-Detection vor neue Herausforderungen. RedKittens Dead-Drop-Resolver-Architektur, die vollständig über legitime Cloud-APIs kommuniziert, zeigt, wohin die Entwicklung geht: Angriffs-Traffic, der von normalem SaaS-Traffic nicht mehr zu unterscheiden ist.</p>
<p>Zur Detektionslücke tritt die Risikoexposition in den Vordergrund: Exponierte Systeme, übersehene Abhängigkeiten, falsch priorisierte Schwachstellen und unzureichend überwachte Zugänge schaffen Bedingungen, in denen Angriffe leichter vorbereitet und verborgen werden können.</p>
<p>Genau dieses Muster bestätigt sich in der Incident-Response-Praxis: Staatliche Angreifer fallen selten durch Alarme auf, sondern durch externe Hinweise, Zufallsfunde oder ältere Zugangspfade, die erst bei einem anderen Vorfall sichtbar werden.</p>
<p><b>6.1 Proaktives Threat Hunting: Suchen, bevor ein Alarm entsteht</b></p>
<p>Proaktives Threat Hunting durch erfahrene Incident Responder ist in der aktuellen Bedrohungslage – Iran Phase 2, China in Nordeuropa, Russland destruktiv in Polen, autonome KI-Angriffe operativ – keine optionale Ergänzung zur bestehenden Sicherheitsarchitektur. Es setzt genau dort an, wo automatisierte Systeme an Grenzen stossen: bei Spuren, Hypothesen und Angriffsmustern, für die es noch keinen Alarm gibt.</p>
<p>Der Unterschied zu automatisierten Systemen liegt im Ansatz: Threat Hunter starten nicht mit einem Alarm. Sie starten mit einer Hypothese – basierend auf aktueller Threat Intelligence, dem Profil der Organisation und dem Wissen, wie staatliche Angreifer in vergleichbaren Umgebungen operieren. Sie suchen nicht nach bekannten Mustern. Sie suchen nach dem, was sichtbar sein müsste, wenn die aktuelle Bedrohungslage bereits in der eigenen Umgebung angekommen ist.</p>
<p>CISAs eigenes Threat-Hunting-Team hat gezeigt, was das bedeutet: Es hat Volt Typhoon in US-Infrastruktur gefunden – in Umgebungen, in denen alle anderen automatisierten Systeme versagt hatten. Nicht weil das Team bessere Tools hatte. Sondern weil erfahrene Incident Responder wissen, wo man sucht.</p>
<p><b>6.2 Compromise Assessment: Kompromittierung und Exponierung erkennen</b></p>
<p>Für Organisationen, die noch kein regelmässiges Threat Hunting betreiben, kann ein Compromise Assessment eine sinnvolle Standortbestimmung sein: eine forensische Überprüfung, ob bereits Hinweise auf eine Kompromittierung vorliegen – methodisch, mit aktuellem Wissen über die Taktiken der relevanten Bedrohungsakteure.</p>
<p>Als Momentaufnahme reicht das jedoch nur begrenzt. Wer die aktuelle Bedrohungslage ernst nimmt, betrachtet Kompromittierung und Exponierung gemeinsam: Gibt es Anzeichen für laufende oder frühere Angriffe? Und welche Angriffsflächen erhöhen das Risiko, dass daraus der nächste Vorfall entsteht?</p>
<p>Angesichts der Lage im Q2/2026 – Iran Phase 2 online, China in Nordeuropa bestätigt, Russland destruktiv aktiv, autonome KI-Angriffe operativ – geht es nicht um Aktionismus, sondern um belastbare Entscheidungsgrundlagen. Je später Organisationen Klarheit über Kompromittierung und Risikoexposition gewinnen, desto stärker hängen sie von externen Hinweisen, Zufallsfunden oder dem nächsten Vorfall ab.</p>
<p><b>Fazit: Cyberresilienz braucht Detektion und Risikoklarheit</b></p>
<p>Q2/2026 ist kein Fortsetzungsartikel. Es ist eine Zuspitzung. Iran ist nach 47 Tagen wieder online und wechselt von Hacktivismus zu koordinierten APT-Operationen mit neuen OT-Zielen. China hat Skandinavien erreicht. Russland hat in Polen erstmals Industrieanlagen dauerhaft zerstört, ohne eine NATO-Reaktion zu provozieren. Autonome KI-Angriffe sind operativ. Und der Blick auf die eigene Allianz zeigt: Strategische Eigenständigkeit ist keine Isolation – es ist die notwendige Konsequenz aus der Erkenntnis, dass kein Verbündeter die eigenen Interessen über die eigenen stellt.</p>
<p>Für Organisationen folgt daraus: Proaktives Threat Hunting und die kontinuierliche Bewertung der Risikoexposition gehören zusammen. So entsteht kein Versprechen absoluter Sicherheit, sondern ein belastbarer Umgang mit einer Angriffsfläche, die sich laufend verändert.</p>
<p>Ob bereits Spuren einer Kompromittierung bestehen und welche Angriffsflächen das reale Risiko erhöhen, lässt sich nur beantworten, wenn Threat Hunting und Managed Risk Exposure zusammengedacht werden. Die Erkenntnisse aus Threat Hunting, Incident Response und Threat Intelligence der letzten Monate liefern dafür eine fachliche Grundlage.</p>
<p>Am Anfang einer Caberrisikoanalyse steht eine nüchterne Standortbestimmung: Was ist kompromittiert, was ist exponiert – und was muss zuerst reduziert werden? Nutzen Sie das <a href="https://www.infoguard.ch/de/threat-intelligence-insights-2025" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Whitepaper «InfoGuard Threat Intelligence Insights 2025»</a> als Realitätscheck: Erfahren Sie, welche Angriffsmuster jetzt besonders relevant sind und welche Schritte für Ihre Organisation jetzt Priorität haben.</div>
<div class="pb-company">
<div>Firmenkontakt und Herausgeber der Meldung:</div>
<p>InfoGuard AG<br />
Lindenstrasse 10<br />
CH6340 Baar<br />
Telefon: +41 (41) 7491900<br />
<a href="https://www.infoguard.ch" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.infoguard.ch</a></div>
<div class="pb-contacts">
<div>Ansprechpartner:</div>
<div class="pb-contact-item">Estelle Ouhassi<br />
Marketing Manager<br />
Telefon: +41 (41) 74919-00<br />
E-Mail: &#101;&#115;&#116;&#101;&#108;&#108;&#101;&#046;&#111;&#117;&#104;&#097;&#115;&#115;&#105;&#064;&#105;&#110;&#102;&#111;&#103;&#117;&#097;&#114;&#100;&#046;&#099;&#104;
</div>
<div class="pb-links">
<div>Weiterführende Links</div>
<ul>
<li>
                        <a href="https://www.pressebox.de/pressemitteilung/infoguard-ag/infoguard-threat-intelligence-report-q2-26-europas-cyberrisiko-salt-typhoon-irans-rckkehr/boxid/1300239" target="_blank" rel="noopener nofollow" data-wpel-link="external">Originalmeldung der InfoGuard AG</a>
                    </li>
<li>
                        <a href="https://www.pressebox.de/newsroom/infoguard-ag" target="_blank" rel="noopener nofollow" data-wpel-link="external">Alle Stories der InfoGuard AG</a>
                    </li>
</ul></div>
<div class="pb-disclaimer">Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
            </div>
<p>        <img loading="lazy" decoding="async" src="https://www.pressebox.de/presscorner/cpix/tp---14/1300239.gif" alt="counterpixel" width="1" height="1" /></p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/06/04/infoguard-threat-intelligence-report-q2-26-europas-cyberrisiko-salt-typhoon-irans-rckkehr/" data-wpel-link="internal">InfoGuard Threat Intelligence Report Q2/26: Europas Cyberrisiko, Salt Typhoon &amp; Irans Rückkehr</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Kürzere TLS-Zyklen: Automatisiertes Zertifikatsmanagement wird Pflicht</title>
		<link>https://www.presseradar.de/2026/05/27/krzere-tls-zyklen-automatisiertes-zertifikatsmanagement-wird-pflicht/</link>
		
		<dc:creator><![CDATA[Firma InfoGuard]]></dc:creator>
		<pubDate>Wed, 27 May 2026 09:16:00 +0000</pubDate>
				<category><![CDATA[Allgemein]]></category>
		<category><![CDATA[azure]]></category>
		<category><![CDATA[clm]]></category>
		<category><![CDATA[cloud]]></category>
		<category><![CDATA[digicert]]></category>
		<category><![CDATA[discovery]]></category>
		<category><![CDATA[healthcare]]></category>
		<category><![CDATA[idc]]></category>
		<category><![CDATA[infoguard]]></category>
		<category><![CDATA[marketscape]]></category>
		<category><![CDATA[pqc]]></category>
		<category><![CDATA[quantencomputing]]></category>
		<category><![CDATA[quantum]]></category>
		<category><![CDATA[security]]></category>
		<category><![CDATA[server]]></category>
		<category><![CDATA[software]]></category>
		<guid isPermaLink="false">https://www.presseradar.de/2026/05/27/krzere-tls-zyklen-automatisiertes-zertifikatsmanagement-wird-pflicht/</guid>

					<description><![CDATA[<p>Digitale Zertifikate bilden das Rückgrat einer sicheren digitalen Infrastruktur. Sie verifizieren die Authentizität von Geräten, Websites und Organisationen und ermöglichen [&#8230;]</p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/05/27/krzere-tls-zyklen-automatisiertes-zertifikatsmanagement-wird-pflicht/" data-wpel-link="internal">Kürzere TLS-Zyklen: Automatisiertes Zertifikatsmanagement wird Pflicht</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></description>
										<content:encoded><![CDATA[<div class="pb-text">Digitale Zertifikate bilden das Rückgrat einer sicheren digitalen Infrastruktur. Sie verifizieren die Authentizität von Geräten, Websites und Organisationen und ermöglichen so erst sichere Verbindungen in unserer vernetzten Welt. Neue Vorgaben des CA/Browser Forums verkürzen die Gültigkeit von TLS-Zertifikaten nun drastisch. Für Unternehmen bedeutet das: mehr Komplexität, wachsende Cyberrisiken und Handlungsdruck. Der Beitrag zeigt, was dieser Paradigmenwechsel für das Zertifikatsmanagement bedeutet, welche Fristen künftig gelten und wie sich diese praxisnah einordnen lassen.</p>
<p><b>Das Ende langer TLS-Zertifikatslaufzeiten</b></p>
<p>Bisher waren <a href="https://www.digicert.com/de/tls-ssl/tls-ssl-certificates" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">TLS-Zertifikate (Transport Layer Security)</a> oft über ein Jahr gültig. Das gab IT-Teams ausreichend Zeit für manuelle Erneuerungsprozesse. Doch nun geht diese Ära ihrem Ende entgegen. Das <a href="https://cabforum.org/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">CA/Browser-Forum</a> (CA/B), das Gremium, das die globalen Standards für Zertifikate festlegt, hat offiziell dafür gestimmt, die Gültigkeitsdauer von TLS-Zertifikaten schrittweise drastisch zu verkürzen.</p>
<p>Der Zeitplan für diese Umstellung ist bereits fixiert:</p>
<ul class="bbcode_list">
<li><b>Bis März 2026:</b> Die maximale Laufzeit beträgt noch 398 Tage.</li>
<li><b>Ab März 2026:</b> Reduzierung auf 200 Tage.</li>
<li><b>Ab März 2027:</b> Reduzierung auf 100 Tage.</li>
<li><b>Ab März 2029:</b> Die maximale Laufzeit wird nur noch 47 Tage betragen.</li>
</ul>
<p><b>Warum kürzere TLS-Laufzeiten notwendig sind</b></p>
<p>Die drastische Verkürzung der Zertifikatslaufzeiten adressiert ein reales und wachsendes Problem. Denn viele Unternehmen haben heute nur begrenzte Transparenz über ihre Fare-Zertifikatslandschaft und reagieren oft erst, wenn ein Zertifikat abläuft oder ein Vorfall eintritt. In komplexen IT-Umgebungen mit hunderten oder tausenden Zertifikaten führt dies regelmässig zu Ausfällen, Sicherheitslücken oder Compliance-Problemen.</p>
<p>Je länger ein Zertifikat gültig ist, desto grösser ist das Risiko, dass kompromittierte oder veraltete kryptographische Verfahren unbemerkt im Einsatz bleiben. Gleichzeitig nimmt die Geschwindigkeit, mit der neue Bedrohungen und Anforderungen entstehen, stetig zu.</p>
<p>Genau hier setzt die Verkürzung der Laufzeiten an. Sie zwingt Unternehmen, ihre Prozesse zu modernisieren und von reaktiven, manuellen Ansätzen auf automatisierte und kontrollierte Abläufe umzustellen.</p>
<p>Kürzere Laufzeiten bringen damit klare Vorteile:</p>
<ul class="bbcode_list">
<li><b>Erhöhte Sicherheit:</b> Kompromittierte Zertifikate können deutlich kürzer missbraucht werden</li>
<li><b>Schnellere Reaktionsfähigkeit:</b> Unternehmen müssen neue Standards und Algorithmen rascher umsetzen</li>
<li><b>Vorbereitung auf Post-Quantum-Kryptographie:</b> <a href="https://www.infoguard.ch/de/blog/crypto-agility-aktiv-meistern" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Krypto-Agilität wird zur Pflicht</a></li>
</ul>
<p>Gerade im Hinblick auf zukünftige Bedrohungen durch Quantencomputing wird es entscheidend, kryptographische Verfahren schnell austauschen zu können.</p>
<p><b>Certificate Lifecycle Management (CLM): Automation ist Pflicht</b></p>
<p>Für Unternehmen bedeutet dies einen deutlich steigenden Administrationsaufwand. Wenn ein Zertifikat nur noch 47 Tage gültig ist, muss der Erneuerungsprozess faktisch alle paar Wochen fehlerfrei durchlaufen werden. Eine manuelle Verwaltung, die bei hunderten oder gar tausenden Zertifikaten bereits heute fehleranfällig ist, wird bei diesem Tempo zu einem erhöhten Risiko für Ausfälle.</p>
<p>Ungeplante Zertifikatsabläufe führen zu:</p>
<ul class="bbcode_list">
<li><b>Service-Downtimes:</b> Websites und Anwendungen sind nicht mehr erreichbar.</li>
<li><b>Sicherheitslücken:</b> Ungeschützte Datenübertragungen und <a href="https://www.infoguard.ch/de/blog/ttx-cyber-krisen-simulieren" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Compliance-Verstösse</a>.</li>
<li><b>Überlastung der IT-Teams:</b> Mitarbeitende werden durch repetitive Routineaufgaben von strategischen Projekten abgezogen.</li>
</ul>
<p>Kurz gesagt: Ohne <a href="https://www.infoguard.ch/de/blog/automatisierung-als-game-changer-fuer-ihre-cyberabwehr" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Automatisierung</a> wird Zertifikatsmanagement zum Betriebsrisiko.</p>
<p>DigiCert als Leader im Zertifikatsmanagement</p>
<p>Moderne Lösungen für Certificate Lifecycle Management (CLM) setzen genau hier an. Um der Herausforderung immer kürzerer Zertifikatslaufzeiten effektiv zu begegnen, setzen wir auf unseren Partner DigiCert.</p>
<p>DigiCert ist ein weltweit führender Anbieter für Digital Trust und sichert Menschen, Daten und Geräte mit KI-gestützten Lösungen, um Bedrohungen zu stoppen und eine quantensichere Zukunft zu ermöglichen. Mehr als 100’000 Organisationen, darunter 90 % der Fortune 500, vertrauen auf DigiCert, um ihre digitale Infrastruktur zu sichern und sich auf zukünftige Bedrohungen vorzubereiten.</p>
<p>Warum DigiCert?</p>
<ul class="bbcode_list">
<li><b>Vollständige Transparenz:</b> Zentrale Übersicht über alle Zertifikate durch CA-agnostische Discovery, kontinuierliches Monitoring sowie Alerts in Echtzeit – für volle Kontrolle über die gesamte Zertifikatslandschaft.</li>
<li><b>Automatisierung:</b> End-to-End-Automatisierung des gesamten Zertifikatslebenszyklus – reduziert Fehler und verhindert Ausfälle.</li>
<li><b>Skalierbarkeit:</b> Nahtlose Integration in Multi-Cloud- und Hybrid-Umgebungen sowie bestehende IT- und <a href="https://www.infoguard.ch/de/blog/devsecops-ki-cyberresilient-nutzen" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">DevOps-Prozesse</a>.</li>
<li><b>Sicherheit &amp; Kontrolle:</b> Durchsetzung von Richtlinien, klare Auditierbarkeit und frühzeitige Erkennung von Risiken.</li>
<li><b>Zukunftssicherheit:</b> PQC-Ready (<a href="https://www.infoguard.ch/de/blog/crypto-agility-in-post-quantum-aera-schluessel-zur-it-der-zukunft" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Post-Quantum-Kryptographie</a>) und flexibel anpassbar an neue Standards und Anforderungen. </li>
</ul>
<p><b>Praxisbeispiel – Zertifikatsmanagement auf Knopfdruck</b></p>
<p>Wie gross der Effekt der Automatisierung sein kann, zeigt ein Praxisbeispiel von DigiCert aus dem Schweizer Healthcare-Bereich. In einer komplexen Infrastruktur mit über 10’000 Zertifikaten war das Zertifikatsmanagement früher stark manuell geprägt. Heute wird die gesamte Umgebung von nur einer Person überwacht.</p>
<p>Dort, wo früher manuell eingegriffen werden musste, nutzt das Unternehmen heute die DigiCert-API.</p>
<ul class="bbcode_list">
<li>Über 450 interne Anwendungs-Endpunkte wurden erfolgreich für die automatische Registrierung (Auto-Enrollment) konfiguriert.</li>
<li>Auch für interne Webserver läuft der Prozess nun vollautomatisch ab.</li>
<li>Das Beste daran: Für die Server-Administratoren war keine Schulung erforderlich, da die bestehenden Workflows im Hintergrund effizienter wurden.</li>
</ul>
<p>Durch den Wechsel auf die containerisierte DigiCert ONE-Plattform ist das Unternehmen nicht nur bereit für die Cloud (Azure-Migration), sondern auch für die kommende Ära der Post-Quantum-Kryptographie (PQC). Die Plattform ermöglicht es, schnell auf neue kryptographische Standards zu reagieren, ohne die gesamte Infrastruktur umbauen zu müssen.</p>
<p><b>InfoGuard &amp; DigiCert – eine Partnerschaft für Ihr CLM</b></p>
<p>Mit DigiCert setzt InfoGuard auf einen der weltweit führenden Anbieter im Bereich Digital Trust. Im aktuellen IDC MarketScape «Worldwide Certificate Lifecycle Management Software 2026 Vendor Assessment» wurde DigiCert erneut als Leader positioniert.</p>
<p>Unsere Expert:innen unterstützten Sie gemeinsam mit DigiCert dabei, Ihr Zertifikatsmanagement nachhaltig zu transformieren.</p>
<p>Ihre Vorteile:</p>
<ul class="bbcode_list">
<li>Analyse bestehender Zertifikate und Prozesse</li>
<li>Einführung automatisierter CLM-Lösungen</li>
<li>Integration in bestehende IT- und Security-Architekturen</li>
<li>Vorbereitung auf zukünftige Anforderungen wie PQC</li>
</ul>
<p>So schaffen Sie die Grundlage für eine Zertifikatsinfrastruktur, die nicht nur heute zuverlässig funktioniert, sondern auch langfristig sicher, skalierbar und effizient betrieben werden kann.</p>
<p>Erfahren Sie mehr über den <a href="https://www.infoguard.ch/hubfs/infoguard%20new%20website%202024/content/digicert-trust-lifecycle-manager-datasheet-de.pdf" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Trust Lifecycle Manager von DigiCert</a> oder sprechen Sie mit unseren Expert:innen über Ihre CLM-Strategie.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=ebb01a7c-2935-4d6c-9c54-a45ecbe2a403&amp;signature=AHFS_aswV1uNEavpwXAMgKDieGh6-w8JgQ&amp;portal_id=1865239&amp;pageId=411029061832&amp;placement_guid=e42ee9c4-a19d-4e38-8c29-f982d9473b8e&amp;click=affe27a2-a4a7-42fd-ab02-05e96f5e3635&amp;redirect_url=AD7p6W_jxS2zLGvPg3WxWLunerrg1y3FVXwkZR_QWMvlIrbEpDIqLR81RJmYSQyV075o_MeBQTcAsMMjJgeKin6B1ITJnr4roVt3KTuYcg_XDc9LlHr0ZXnNY0P9wOHn8w0aUCFOtL29EoM6_FMUawOoC8_BajW8USHsqc3FOdpOAsqY3SwceYSLJY3EGVpGP-Jnro72fl670NPjxiyleqoQpCZYPPxFrAt9v0g058JZenXZ7NWdLW4&amp;hsutk=32f1f84f613c8b9580164f0e3c963d8d&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fkurze-zertifikats-laufzeiten-pflicht&amp;ts=1779873430054&amp;__hstc=18037222.32f1f84f613c8b9580164f0e3c963d8d.1779873430414.1779873430414.1779873430414.1&amp;__hssc=18037222.1.1779873430414&amp;__hsfp=7e145eb490b30bab178d7b5928358b29&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Mehr zum automatisierten CLM</b></a></p>
<p>Autor: Natacha Suter</p></div>
<div class="pb-company">
<div>Firmenkontakt und Herausgeber der Meldung:</div>
<p>InfoGuard AG<br />
Lindenstrasse 10<br />
CH6340 Baar<br />
Telefon: +41 (41) 7491900<br />
<a href="https://www.infoguard.ch" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.infoguard.ch</a></div>
<div class="pb-contacts">
<div>Ansprechpartner:</div>
<div class="pb-contact-item">Estelle Ouhassi<br />
Marketing Manager<br />
Telefon: +41 (41) 74919-00<br />
E-Mail: &#101;&#115;&#116;&#101;&#108;&#108;&#101;&#046;&#111;&#117;&#104;&#097;&#115;&#115;&#105;&#064;&#105;&#110;&#102;&#111;&#103;&#117;&#097;&#114;&#100;&#046;&#099;&#104;
</div>
<div class="pb-links">
<div>Weiterführende Links</div>
<ul>
<li>
                        <a href="https://www.pressebox.de/pressemitteilung/infoguard-ag/krzere-tls-zyklen-automatisiertes-zertifikatsmanagement-wird-pflicht/boxid/1299163" target="_blank" rel="noopener nofollow" data-wpel-link="external">Originalmeldung der InfoGuard AG</a>
                    </li>
<li>
                        <a href="https://www.pressebox.de/newsroom/infoguard-ag" target="_blank" rel="noopener nofollow" data-wpel-link="external">Alle Stories der InfoGuard AG</a>
                    </li>
</ul></div>
<div class="pb-disclaimer">Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
            </div>
<p>        <img loading="lazy" decoding="async" src="https://www.pressebox.de/presscorner/cpix/tp---14/1299163.gif" alt="counterpixel" width="1" height="1" /></p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/05/27/krzere-tls-zyklen-automatisiertes-zertifikatsmanagement-wird-pflicht/" data-wpel-link="internal">Kürzere TLS-Zyklen: Automatisiertes Zertifikatsmanagement wird Pflicht</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Cyber Threat Intelligence: Risikoexpositionen erkennen, bevor Angreifer es tun</title>
		<link>https://www.presseradar.de/2026/05/21/cyber-threat-intelligence-risikoexpositionen-erkennen-bevor-angreifer-es-tun/</link>
		
		<dc:creator><![CDATA[Firma InfoGuard]]></dc:creator>
		<pubDate>Thu, 21 May 2026 09:58:00 +0000</pubDate>
				<category><![CDATA[Allgemein]]></category>
		<category><![CDATA[backup]]></category>
		<category><![CDATA[cloud]]></category>
		<category><![CDATA[crm]]></category>
		<category><![CDATA[defence]]></category>
		<category><![CDATA[devops]]></category>
		<category><![CDATA[domain]]></category>
		<category><![CDATA[fido2]]></category>
		<category><![CDATA[gitlab]]></category>
		<category><![CDATA[iam]]></category>
		<category><![CDATA[infoguard]]></category>
		<category><![CDATA[Kubernetes]]></category>
		<category><![CDATA[mdm]]></category>
		<category><![CDATA[ransomware]]></category>
		<category><![CDATA[security]]></category>
		<category><![CDATA[storage]]></category>
		<guid isPermaLink="false">https://www.presseradar.de/2026/05/21/cyber-threat-intelligence-risikoexpositionen-erkennen-bevor-angreifer-es-tun/</guid>

					<description><![CDATA[<p>Die Cyber Defence ist ausgebaut, das Budget investiert – und trotzdem bleiben viele Organisationen an entscheidenden Stellen blind. Einfallstore sind [&#8230;]</p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/05/21/cyber-threat-intelligence-risikoexpositionen-erkennen-bevor-angreifer-es-tun/" data-wpel-link="internal">Cyber Threat Intelligence: Risikoexpositionen erkennen, bevor Angreifer es tun</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></description>
										<content:encoded><![CDATA[<div class="pb-text"><b>Die Cyber Defence ist ausgebaut, das Budget investiert – und trotzdem bleiben viele Organisationen an entscheidenden Stellen blind. Einfallstore sind kompromittierte Identitäten, exponierte Services, Fehlkonfigurationen oder Assets, die niemand auf dem Radar hatte. Was fehlt, ist Klarheit: Was ist erreichbar, was kritisch und was muss zuerst behoben werden? Wer seine Angriffsflächen 2026 sichtbar macht, kann Cyberrisiken richtig einordnen und daraus Massnahmen ableiten, die Cyberresilienz wirksam stärken.</b></p>
<p>Rein hypothetisch: Wo würden Sie als Cyberkriminelle:r Ihren Angriff starten? Mit Sicherheit dort, wo der Aufwand klein und die Wirkung gross ist. Die meisten Angriffe entstehen nicht aus hochspezialisierten Einzeloperationen, sondern aus Opportunitäten. Cyberkriminelle suchen skalierbare Eintrittspunkte, automatisieren die Suche und verwerten erfolgreiche Zugänge weiter. So wird ein kompromittierter Unternehmenszugang zum verwertbaren Einstiegspunkt.</p>
<p><b>Angriffsflächen 2025 in Zahlen: von Phishing bis zur Supply ChainPhishing ungeschlagen: 43 % aller Angriffe beginnen hier</b></p>
<p>Cyberkriminelle versuchen durch kompromittierte E-Mail-Accounts, weitere Benutzer:innen zu phishen. Mit LLMs lassen sich Phishing-Szenarien mit geringem Aufwand skalieren. So sind die meisten <a href="https://www.infoguard.ch/de/phishing-poster" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Phishingangriffe</a> weniger gezielt als opportunistisch: Entscheidend ist die Quantität der versendeten E-Mails.</p>
<p><b>25 % schlecht geschützte Remote Services</b></p>
<p>Angreifer testen exponierte Login Prompts systematisch mit <a href="https://www.infoguard.ch/de/blog/geleakte-credentials-wie-black-basta-in-netzwerke-eindringt" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Brute Force oder Password Spraying</a>. Dabei nutzen sie bekannte Benutzername-Passwort-Kombinationen, geleakte Passwörter, typische Varianten und erkennbare Muster in der Passwortwahl von Mitarbeitenden. Entsprechend zählen Brute Force und Password Spraying zu den <a href="https://www.infoguard.ch/de/blog/cyber-security-radar-2026" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">häufigen Angriffsvektoren</a>, die 2025 im InfoGuard Security Operations Center (SOC) als True Positive erkannt wurden.</p>
<p><b>20 % exponierte Schwachstellen: Patchfenster schrumpfen weiter!</b></p>
<p>Gemäss <a href="https://zerodayclock.com/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Zerodayclock</a> werden Schwachstellen 2026 im Schnitt bereits nach 2,1 Tagen ausgenutzt gegenüber 21,5 Tagen im Vorjahr. Diese Beschleunigung setzt klassische Patchprozesse massiv unter Druck. Ein wesentlicher Treiber sind KI-Tools, die sowohl die Erkennung von Schwachstellen als auch die Entwicklung von Exploits erleichtern.</p>
<p><b>12 % Supply Chain: Wenn Vertrauen zur Angriffsfläche wird</b></p>
<p>Partner und Lieferanten stellen Software, Services und Hardware bereit, warten Systeme über Remotezugänge oder unterstützen geschäftskritische Prozesse. Genau dadurch wird die eigene Sicherheit zunehmend von der Sicherheit Dritter abhängig. <a href="https://www.infoguard.ch/de/blog/sichere-supply-chain-tprm" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Supply-Chain-Risiken</a> entstehen dort, wo Vertrauen, technische Abhängigkeiten und externe Zugriffe zusammenkommen.</p>
<p><b>Krimineller Markt: Wenn Unternehmenszugänge handelbar werden</b></p>
<p>Die häufigsten Eintrittspunkte zeigen: Der erste Zugriff auf eine Unternehmensumgebung ist längst nicht mehr nur ein technisches Problem, sondern Teil eines kriminellen Markts. Initial Access Broker beschaffen, prüfen und verkaufen solche Zugänge weiter. Was früher der Auftakt eines einzelnen Cyberangriffs war, ist heute Teil der cyberkriminellen Wertschöpfungskette.</p>
<p>Dabei zählt Skalierbarkeit. Cyberkriminelle sammeln möglichst viele Zugänge, bewerten deren Schadenpotenzial und verkaufen besonders lohnende Einstiege weiter. Ein kompromittiertes VPN-Konto, ein gültiger Remote-Zugang, ein gekaperter Cloud-Account oder Zugriff auf ein internes System kann bereits genügen – etwa für Ransomware, Datendiebstahl, Erpressung oder Spionage.</p>
<p>Für Unternehmen bedeutet das: Der eigentliche Angriff beginnt oft lange bevor Ransomware ausgeführt oder Daten gestohlen werden – nämlich dann, wenn ein Zugang unbemerkt kompromittiert und in kriminellen Lieferketten weitergereicht wird.</p>
<p><b>«Gehandelt werden nicht blosse Logins, sondern Zugriffschancen und damit die Möglichkeit, ein Unternehmen für Erpressung, Betrug oder Spionage verwertbar zu machen.»</b></p>
<p><b>Gestohlene Zugangsdaten: Warum die Rolle über den Schaden entscheidet</b></p>
<p>Welche Zugänge abfliessen und wie sie missbraucht werden, hängt vom Kompromittierungsweg und der betroffenen Rolle ab.</p>
<p>Die folgenden Beispiele zeigen, wie unterschiedlich das Schadenspotenzial je nach Funktion ausfällt:</p>
<p>Mitarbeitende</p>
<ul class="bbcode_list">
<li><b>E-Mail-Konten:</b> Business E-Mail Compromise, internes Phishing, Zugriff auf vertrauliche Kommunikation, Passwort-Resets</li>
<li><b>M365/Google Workspace Account:</b> SharePoint, OneDrive, Teams/Chat, Kalender, interne Dokumente</li>
<li><b>Session Cookies und Browser Tokens:</b> Zugriff ohne Passwort ohne erneute MFA-Abfrage</li>
<li><b>VPN-Konten:</b> Einstieg ins interne Netzwerk</li>
<li><b>Passwort-Manager-Inhalt:</b> Zugriff auf weitere interne und externe Dienste</li>
</ul>
<p>Vertrieb/Verkauf</p>
<ul class="bbcode_list">
<li><b>CRM-Zugänge: </b>Kundendaten, Pipeline, Verträge, Kontaktlisten</li>
<li><b>E-Mail-Konten:</b> Rechnungsbetrug</li>
<li><b>Signierungs-Lösungen:</b> Manipulation oder Missbrauch von Vertragsprozessen</li>
<li><b>Kundenportal-Zugang:</b> Kundendaten, Servicefälle, Bestellungen</li>
</ul>
<p>Helpdesk/IT-Support</p>
<ul class="bbcode_list">
<li><b>Helpdesk-Accounts:</b> Passwort-Resets, Account-Recovery, Benutzerinformationen</li>
<li><b>Ticketing-System:</b> interne Probleme, Systemnamen, laufende Projekte</li>
<li><b>Remote-Support-Zugänge:</b> Direkt-Zugriff auf Endgeräte und Server</li>
<li><b>MDM- und Endpoint-Management-Zugänge:</b> Geräteverwaltung, Softwareverteilung, Policy-Änderungen</li>
<li><b>MFA-Reset oder MFA-Registrierungsrechte:</b> Übernahme fremder Accounts</li>
</ul>
<p>Engineering / IT-Betrieb</p>
<ul class="bbcode_list">
<li><b>VPN- und Jumphost-Zugänge:</b> Zugriff auf interne Administrationszonen</li>
<li><b>SSH-Keys:</b> Zugriff auf Linux-Server, Netzwerkgeräte, Appliances</li>
<li><b>Domänen-Admin:</b> Vollständige Kompromittierung der Windows-Umgebung</li>
<li><b>Cloud-Admin-Zugänge:</b> Zugriffe auf virtuelle Geräte, Storage, IAM, Datenbanken, Backup</li>
<li><b>Kubernetes-Admin-Zugänge:</b> Zugriff auf Cluster, Secrets, Workloads, Container</li>
</ul>
<p>Softwareentwicklung / DevOps</p>
<ul class="bbcode_list">
<li><b>GitHub-/GitLab-/Bitbucket-Zugänge:</b> Quellcode-Diebstahl, Suche nach Secrets, Codemanipulation</li>
<li>CI/CD-Secrets: Manipulation von Builds und Deployments</li>
<li><b>Deployment Tokens:</b> Veröffentlichung manipulierte Software in Produktion</li>
<li><b>Container-Registry-Zugänge:</b> Einschleusen bösartiger Images</li>
<li><b>Package-Registry-Zugänge:</b> Supply-Chain Angriffe über manipulierte Pakete</li>
<li><b>Signing-Zertifikate:</b> Signieren manipulierte Software</li>
<li><b>Secrets auf lokalen Entwicklermaschinen:</b> Seiteneinstieg in Build-, Test-, Produktionsumgebungen</li>
<li><b>Webhook-Secrets:</b> Manipulation von Integrationen und Automationen</li>
</ul>
<p><b>Identitäten härten und überwachen: 7 Massnahmen gegen kompromittierte Identitäten</b></p>
<p>Identitäten gehören heute zu den wichtigsten Angriffszielen. Oft brauchen Angreifer keine Malware und keine komplexe Schwachstelle. Ein gültiges Passwort, ein gestohlener Session-Cookie oder ein manipulierter MFA-Prozess genügt. Identitätsschutz muss deshalb als eigene Sicherheitsdisziplin verstanden werden, nicht als reine IT-Administrationsaufgabe.</p>
<p>Folgende sieben Massnahmen zeigen, wie Organisationen Identitäten, Zugriffe und Sessions wirksam absichern:</p>
<ol class="bbcode_list">
<li><b>Benutzerkonten mit phishing-resistenter MFA absichern </b><br />
Alle Benutzerkonten brauchen starke Authentifizierung. <a href="https://www.infoguard.ch/de/blog/security-gaps-wenn-mfa-bei-privileged-local-service-accounts-fehlt" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">MFA ist Pflicht</a>, aber nicht jede MFA ist phishing-resistent: SMS-Codes und einfache Push-Bestätigungen lassen sich umgehen. Wirksamer sind FIDO2 Security Keys, Passkeys oder zertifikatsbasierte Verfahren – besonders für privilegierte Konten, Helpdesk-Rollen sowie Zugriffe auf Cloud-, VPN- und Remote-Access-Systeme.</li>
<li><b>Anmeldungen mit Conditional Access bewerten </b><br />
Conditional Access bewertet nicht nur Benutzername, Passwort und MFA, sondern auch den Kontext der Anmeldung: Gerät, Standort, Browser, Zugriffsmuster und Sensibilität der Daten. So lassen sich riskante Logins blockieren, zusätzliche Prüfungen erzwingen oder Zugriffe auf vertrauenswürdige Geräte beschränken.</li>
<li><b>Privilegierte Identitäten streng kontrollieren </b><br />
Admin-Konten brauchen getrennte Zugänge, starke MFA, «Just-in-Time»-Zugriff, rollenbasierte Berechtigungen und lückenloses Logging. Dauerhaft aktive Global-Admin-, Domain-Admin- oder Cloud-Admin-Rechte erhöhen das Risiko unnötig. Privilegien sollten nur bei Bedarf vergeben und danach automatisch wieder entzogen werden.</li>
<li><b>Passwörter nicht unterschätzen</b><br />
Passwörter bleiben relevant, besonders ohne phishing-resistente Authentifizierung. Entscheidend sind starke Passwörter oder Passphrases, keine Wiederverwendung, keine geleakten oder Standard-Passwörter und keine gemeinsam genutzten Konten. Passwortmanager helfen bei der sicheren Verwaltung; langfristig sollten passwortlose Verfahren zum Zielbild werden.</li>
<li><b>Session-Schutz: MFA endet nicht nach dem Login </b><br />
Angreifer stehlen zunehmend Browser-Cookies und Tokens, um MFA zu umgehen. Deshalb sollten Unternehmen riskante Sessions erkennen, Token-Lebenszeiten begrenzen, Re-Authentication bei sensiblen Aktionen verlangen und Zugriffe von nicht verwalteten Geräten einschränken. Der Schutz endet nicht nach dem Login</li>
<li><b>Helpdesk-Prozesse absichern</b><br />
Cyberkriminelle umgehen technische Schutzmassnahmen oft über den Support, etwa durch manipulierte MFA-Resets, neue Geräte-Registrierungen oder Passwortänderungen. Helpdesk-Prozesse brauchen deshalb klare Identitätsprüfungen, Vier-Augen-Prinzipien und Alarme bei sensiblen Änderungen. Ein schwach abgesicherter Helpdesk kann selbst starke MFA aushebeln.</li>
<li><b>Identity Use Cases für Monitoring und Detection definieren</b><br />
Logs allein reichen nicht. Entscheidend sind konkrete Identity-Use-Cases für Monitoring und Detection: unmögliche Reisebewegungen, ungewöhnliche Herkunftsländer, gehäufte Login-Fehler, unübliche MFA-Registrierungen, neue Geräte, verdächtige OAuth-Freigaben, Passwort-Reset-Anomalien, privilegierte Rollenänderungen oder massenhafte Dateizugriffe. Identitäten müssen geschützt und laufend überwacht werden.</li>
</ol>
<p><b>«Nicht jede Anmeldung ist vertrauenswürdig, nur weil das Passwort stimmt.»</b></p>
<p>Eine starke Identity-Sicherheitsstrategie wirkt erst im Zusammenspiel: robuste Authentifizierung, kontextbasierte Zugriffe, minimale Rechte, sichere Admin-Prozesse, Session-Schutz, laufendes Monitoring und schnelle Reaktion bei verdächtigen Anmeldungen.</p>
<p>Wie stark Identitäten 2025 ins Zentrum realer Cybervorfälle gerückt sind, zeigt das <a href="https://www.infoguard.ch/de/threat-intelligence-insights-2025" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Whitepaper «InfoGuard Threat Intelligence Insights 2025»</a>. Es ordnet aktuelle Angriffsmuster ein und zeigt, welche Massnahmen Organisationen priorisieren sollten, um Account Takeover früher zu erkennen und gezielter zu verhindern.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=d8d442e3-f151-4ea6-afd5-7a360059ad50&amp;signature=AHFS_av089YTeQbdfk7Hc7A9oRTkmkpaNw&amp;portal_id=1865239&amp;pageId=408228757732&amp;placement_guid=bc314436-951a-41ac-9301-f30cd33c70a7&amp;click=c268e20d-d0bf-4d64-98dc-c02dd613134f&amp;redirect_url=AD7p6W9r5e4ZbR6aLdZ-ibXTyoMz7T92ptCXWGAWXPZvBxyXTvIpBrgczNukYy23UQoxKnFXOW2BavaqjE6AkQfFoA81tIqzlKrsvEGb8i3m20nwIRC6IKBl_xdjUJpwxff6v03DAf9VbubvoMXY5rv2QUW2MeMxmw&amp;hsutk=a2bc9698a235348042146a4cd51c1835&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fcyber-threat-intelligence-exposures-erkennen&amp;ts=1779357610131&amp;__hstc=18037222.a2bc9698a235348042146a4cd51c1835.1779357610198.1779357610198.1779357610198.1&amp;__hssc=18037222.1.1779357610198&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Whitepaper jetzt downloaden</b></a></p>
<p><b>Endpunkte und Server überwachen: Angriffe erkennen, bevor sie eskalieren</b></p>
<p>Auch starke Identity Security schliesst nicht jede Lücke. Angreifer können über Schwachstellen, gestohlene Sessions, kompromittierte Lieferanten oder bereits vorhandene Zugänge in eine Umgebung gelangen. Ab diesem Moment entscheidet Sichtbarkeit darüber, ob ein Angriff früh erkannt wird oder ob sich Angreifer ungestört weiterbewegen.</p>
<p><b>EDR-Abdeckung: Sensorik auf den entscheidenden Systemen</b></p>
<p>Systeme mit Zugriff auf Unternehmensdaten oder interne Infrastrukturen brauchen eine möglichst <a href="https://www.infoguard.ch/de/edr-as-a-service" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">vollständige EDR-Abdeckung</a>: Arbeitsplätze, Notebooks, Server, virtuelle Maschinen, Terminalserver, Admin-Systeme und kritische Applikationsserver. Besonders wichtig sind Systeme, auf denen privilegierte Benutzer:innen arbeiten oder über die auf geschäftskritische Daten zugegriffen wird.</p>
<p>EDR ist dabei nicht einfach ein weiteres Tool, sondern die Sensorik auf dem System selbst. Sie erkennt verdächtige Prozessketten, ungewöhnliche Skriptausführung, Credential Dumping, laterale Bewegung, Ransomware-Verhalten oder Manipulationen an Sicherheitstools. Ohne diese Sichtbarkeit erkennt ein Unternehmen oft nur noch die Folgen – nicht aber den eigentlichen Ablauf des Angriffs.</p>
<p><b>Wenn EDR nicht möglich ist: Sichtbarkeit anders herstellen</b></p>
<p>Nicht jedes System lässt sich mit einem EDR-Agenten ausstatten. Legacy-Systeme, Produktionsanlagen, Appliances, Netzwerkgeräte, Mainframes, OT-Systeme oder hochkritische Plattformen mit Stabilitätsanforderungen brauchen kompensierende Kontrollen. Wo EDR nicht möglich ist, müssen mindestens administrative Zugriffe kontrolliert, protokolliert und überwacht werden – etwa über gehärtete Jump Hosts oder Admin Workstations mit EDR-Abdeckung.</p>
<p>Zusätzlich braucht es Netzwerksichtbarkeit durch Network Detection and Response (NDR) sowie zentrale Logs im SIEM. NDR hilft, laterale Bewegung, ungewöhnliche Verbindungen, Command-and-Control-Kommunikation, Scans oder Datenabfluss zu erkennen. Gerade dort, wo kein Endpoint-Agent installiert werden kann.</p>
<p><b>Kritische Server: Keine blinden Flecken in der Eskalationszone</b></p>
<p>Besonders kritisch ist die Überwachung von Servern mit hoher Bedeutung. Domain Controller, Identity-Systeme, Backup-Server, Virtualisierungsplattformen, File Server, Datenbanken, Applikationsserver, CI/CD-Systeme, Management-Server, EDR-/SIEM-Komponenten und Cloud Connectoren. Wer nur Benutzer-Endgeräte überwacht, aber Server, Linux-Systeme, virtuelle Umgebungen oder Admin-Infrastruktur vernachlässigt, erkennt möglicherweise den Einstieg –verpasst aber die Eskalation.</p>
<p>Der entscheidende Punkt: Jede Ausnahme braucht Transparenz. Unternehmen müssen wissen, welche Systeme existieren, welche davon EDR haben, welche Ausnahmen bestehen und welche kompensierenden Kontrollen greifen. «Fast überall» reicht nicht, wenn ausgerechnet kritische Systeme blind bleiben.</p>
<p><b>Managed Risk Exposure: Welche Risiken zuerst reduziert werden müssen</b></p>
<p>Neben Identitätsschutz sowie Endpunkt- und Server-Monitoring braucht es eine dritte zentrale Fähigkeit, die eigene Angriffsfläche kontinuierlich zu prüfen. Denn viele Angriffe beginnen nicht mit hochkomplexen Exploits, sondern damit, was nach aussen sichtbar, falsch konfiguriert, vergessen oder nicht sauber verantwortet ist.</p>
<p>Dazu gehören unmanaged Assets, exponierte Systeme, Shadow IT, Fehlkonfigurationen, ungepatchte Schwachstellen und technische Angriffspfade, die Angreifer schneller finden als die eigene Organisation. Genau hier entsteht ein gefährlicher blinder Fleck: Organisationen schützen häufig, was sie kennen – kompromittiert werden sie über das, was niemand mehr auf dem Radar hatte.</p>
<p><b>Von Schwachstellenlisten zu echten Cyberrisiken</b></p>
<p>Managed Risk Exposure erweitert klassisches Vulnerability Management um den entscheidenden Kontext: Es geht nicht nur darum, CVEs zu scannen und Tickets zu erstellen. Entscheidend ist die tatsächliche Angriffsfläche: Welche Systeme sind von aussen erreichbar? Welche Identitäten haben kritische Rechte? Welche Cloud-Ressourcen sind falsch konfiguriert? Welche Lieferanten- oder Remote-Zugänge existieren? Welche Schwachstellen lassen sich realistisch zu einem Angriffspfad kombinieren?</p>
<p>Der wichtigste Punkt: Nicht alles kann gleichzeitig behoben werden. Deshalb braucht es risikobasierte Priorisierung. Eine kritische Schwachstelle auf einem isolierten Testsystem ist nicht automatisch wichtiger als eine mittlere Schwachstelle auf einem exponierten System mit Zugriff auf produktive Daten. Entscheidend sind Erreichbarkeit, Kritikalität, vorhandene Kontrollen, mögliche Auswirkungen und Wahrscheinlichkeit zur Ausnutzung.</p>
<p>Identifizierte Risiken sollten deshalb laufend priorisiert werden. Diese Liste ist kein statisches Reporting-Artefakt, sondern ein operatives Steuerungsinstrument. Sie zeigt, welche Risiken mit den verfügbaren Ressourcen zuerst reduziert werden müssen und welche Massnahmen den grössten Sicherheitsgewinn bringen.</p>
<p>Die typischen Bereiche sind:</p>
<ul class="bbcode_list">
<li><b>Unmanaged Assets:</b> Systeme ohne Besitzer, EDR, Patch-Prozess oder Inventarisierung</li>
<li><b>Exposed Assets:</b> Internet-erreichbare Server, VPN-Portale, Remote-Zugänge, Admin-Oberflächen, Cloud-Dienste</li>
<li><b>Shadow IT:</b> Nicht freigegebene SaaS-Dienste, private Cloud-Ressourcen, vergessene Subdomains, inoffizielle Tools</li>
<li><b>Fehlkonfigurationen:</b> Offene Storage Buckets, zu breite Firewall-Regeln, schwache IAM-Rollen, unsichere Standardkonfigurationen</li>
<li><b>Schwachstellen:</b> Ungepatchte Systeme, veraltete Software, bekannte Exploit-Pfade, fehlende Härtung</li>
<li><b>Angriffspfade:</b> Kombinationen aus Exponierung, Identitäten, Berechtigungen, Netzwerkzugriff und Schwachstellen</li>
</ul>
<p><b>Findings übersetzen: Was technisch auffällt, muss geschäftlich relevant sein</b></p>
<p>Besonders wertvoll wird dieser Ansatz, wenn technische Findings nicht isoliert betrachtet werden. Ein offener Port ist noch kein Risiko in verständlicher Sprache. Ein exponiertes Admin-Interface ohne MFA auf einem geschäftskritischen System dagegen schon. Genau diese Übersetzung ist entscheidend: Aus technischen Findings werden priorisierte Risiken, die Management und Technik gemeinsam verstehen und bearbeiten können.</p>
<p><b>Cyberresilienz beginnt mit einem realistischen Lagebild</b></p>
<p>Ein jährlicher Blick auf die Angriffsfläche reicht nicht. Neue Systeme, Cloud-Projekte, Lieferanten, Software-Releases, Berechtigungen, Akquisitionen oder Schatten-IT verändern die Sicherheitslage laufend. Wer seine Angriffsfläche nur einmal jährlich prüft, ist praktisch immer zu spät. Entscheidend ist ein wiederkehrender Prozess: Risiken identifizieren, bewerten, priorisieren, Massnahmen umsetzen und deren Wirkung überprüfen.</p>
<p>Das <b>InfoGuard Whitepaper «Threat Intelligence Insights 2025»</b> vertieft diese Perspektive auf Basis von über 350 realen Cybervorfällen, die wir im Jahr 2025 bearbeitet haben. Es zeigt, welche Angriffspfade besonders relevant sind, warum Identitäten, Sichtbarkeit und Reaktionsfähigkeit 2026 weiter an Bedeutung gewinnen. Im Mittelpunkt stehen konkrete Erkenntnisse aus realen Angriffsmustern. So entsteht ein Lagebild, das nicht bei der Analyse stehen bleibt, sondern hilft, Monitoring gezielt auszubauen, Prozesse zu testen und Entscheidungen fundierter zu treffen.</p>
<p>Nutzen Sie das <a href="https://www.infoguard.ch/de/threat-intelligence-insights-2025" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Whitepaper «InfoGuard Threat Intelligence Insights 2025»</a> als Realitätscheck: Prüfen Sie, welche Angriffsmuster jetzt besonders relevant sind – und welche Massnahmen für Ihre Organisation Priorität haben.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=b32b9adb-7325-46bc-b905-acb6d73bcb3c&amp;signature=AHFS_atJd3iqkK41S4GxTB56qshNnPFvkg&amp;portal_id=1865239&amp;pageId=408228757732&amp;placement_guid=d813ac40-1d98-43af-abfa-eac4889e94b6&amp;click=a61e1817-f057-4278-857b-77cd54ca6685&amp;redirect_url=AD7p6W-GWPWoigtGzSOmCfTQJ2TYLVg2Wch2a-GmiPDdZMEN8Tba8iZ77n4_Nif5ZNHhZgxpv_tDcYkCxoJpDNGrIVGTVKqGSQ7_zPWPfcVgyB1_do1vKXD5A41yxQE1aP6R_HEyhpfARU_S8XIR8NqpErhli8W7bw&amp;hsutk=a2bc9698a235348042146a4cd51c1835&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fcyber-threat-intelligence-exposures-erkennen&amp;ts=1779357610180&amp;__hstc=18037222.a2bc9698a235348042146a4cd51c1835.1779357610198.1779357610198.1779357610198.1&amp;__hssc=18037222.1.1779357610198&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Whitepaper jetzt downloaden</b></a></p>
<p><b>Ein Angriff. Ein blinder Fleck. Eine Chance, das zu ändern.</b></p>
<p>Sandro Bachmann, Principal Threat Intelligence Analyst, weiss aus täglicher Praxis: Ein Angriff läuft selten so ab, wie man ihn erwartet.</p>
<p>Im <b>«Cyber Threat Intelligence Webinar» </b>vom 27. Mai 2026 zeigt er, wie moderne Bedrohungen wirklich funktionieren und woran Organisationen Risikoexpositionen frühzeitig erkennen. </p>
<ul class="bbcode_list">
<li><b>Wann:</b> Mittwoch, 27. Mai 2026 | 10.00 &#8211; 10.45 Uhr</li>
<li><b>Wo:</b> virtuell</li>
</ul>
<p>Sind Sie dabei? Einfach <a href="https://www.infoguard.ch/de/webinar-cyber-threat-intelligence-2026" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">anmelden und teilnehmen</a>. Wir freuen uns auf Sie!</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=14556d2e-f946-476f-86fc-563d55d4663b&amp;signature=AHFS_auB2FBsKwOLVCMfOdzHJq0zBZ9faA&amp;portal_id=1865239&amp;pageId=408228757732&amp;placement_guid=2588eb50-504b-4a72-84ed-980980b5e4ff&amp;click=bfe11f60-a201-495b-80eb-d595966d9efe&amp;redirect_url=AD7p6W9Rrs-OweSgk3Jb6t_kIxhI8ySBr53UFWsRUmhDQoENpbpSJSL3_w5fi4kav6b3QRLax_XpqsUitY5ynk9Tbccj2od2t_3dRRmKbv8BMyPBGE2n_m0GoiS78nn20icWY6vJBGP-_T-jVi91z7dD7qtvJ_u4-HokdMKUETXOPXSsYwZNabA&amp;hsutk=a2bc9698a235348042146a4cd51c1835&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fcyber-threat-intelligence-exposures-erkennen&amp;ts=1779357610105&amp;__hstc=18037222.a2bc9698a235348042146a4cd51c1835.1779357610198.1779357610198.1779357610198.1&amp;__hssc=18037222.1.1779357610198&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Anmelden und teilnehmen</b></a></div>
<div class="pb-company">
<div>Firmenkontakt und Herausgeber der Meldung:</div>
<p>InfoGuard AG<br />
Lindenstrasse 10<br />
CH6340 Baar<br />
Telefon: +41 (41) 7491900<br />
<a href="https://www.infoguard.ch" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.infoguard.ch</a></div>
<div class="pb-contacts">
<div>Ansprechpartner:</div>
<div class="pb-contact-item">Estelle Ouhassi<br />
Marketing Manager<br />
Telefon: +41 (41) 74919-00<br />
E-Mail: &#101;&#115;&#116;&#101;&#108;&#108;&#101;&#046;&#111;&#117;&#104;&#097;&#115;&#115;&#105;&#064;&#105;&#110;&#102;&#111;&#103;&#117;&#097;&#114;&#100;&#046;&#099;&#104;
</div>
<div class="pb-links">
<div>Weiterführende Links</div>
<ul>
<li>
                        <a href="https://www.pressebox.de/pressemitteilung/infoguard-ag/cyber-threat-intelligence-risikoexpositionen-erkennen-bevor-angreifer-es-tun/boxid/1298623" target="_blank" rel="noopener nofollow" data-wpel-link="external">Originalmeldung der InfoGuard AG</a>
                    </li>
<li>
                        <a href="https://www.pressebox.de/newsroom/infoguard-ag" target="_blank" rel="noopener nofollow" data-wpel-link="external">Alle Stories der InfoGuard AG</a>
                    </li>
</ul></div>
<div class="pb-disclaimer">Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
            </div>
<p>        <img loading="lazy" decoding="async" src="https://www.pressebox.de/presscorner/cpix/tp---14/1298623.gif" alt="counterpixel" width="1" height="1" /></p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/05/21/cyber-threat-intelligence-risikoexpositionen-erkennen-bevor-angreifer-es-tun/" data-wpel-link="internal">Cyber Threat Intelligence: Risikoexpositionen erkennen, bevor Angreifer es tun</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Anthropic’s «Claude Mythos»: Was CISOs jetzt im Threat Model anpassen</title>
		<link>https://www.presseradar.de/2026/04/21/anthropics-claude-mythos-was-cisos-jetzt-im-threat-model-anpassen/</link>
		
		<dc:creator><![CDATA[Firma InfoGuard]]></dc:creator>
		<pubDate>Tue, 21 Apr 2026 09:18:00 +0000</pubDate>
				<category><![CDATA[Allgemein]]></category>
		<category><![CDATA[aussagen]]></category>
		<category><![CDATA[cloud]]></category>
		<category><![CDATA[cobol]]></category>
		<category><![CDATA[cra]]></category>
		<category><![CDATA[delphi]]></category>
		<category><![CDATA[Delta]]></category>
		<category><![CDATA[easm]]></category>
		<category><![CDATA[jagged]]></category>
		<category><![CDATA[mitigator]]></category>
		<category><![CDATA[psi]]></category>
		<category><![CDATA[ransomware]]></category>
		<category><![CDATA[statements]]></category>
		<category><![CDATA[ttx]]></category>
		<category><![CDATA[vex]]></category>
		<category><![CDATA[vLLM]]></category>
		<guid isPermaLink="false">https://www.presseradar.de/2026/04/21/anthropics-claude-mythos-was-cisos-jetzt-im-threat-model-anpassen/</guid>

					<description><![CDATA[<p>Mit «Claude Mythos» hat Anthropic ein KI-Modell vorgestellt, das das Unternehmen selbst als zu gefährlich für eine öffentliche Freigabe einstuft [&#8230;]</p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/04/21/anthropics-claude-mythos-was-cisos-jetzt-im-threat-model-anpassen/" data-wpel-link="internal">Anthropic’s «Claude Mythos»: Was CISOs jetzt im Threat Model anpassen</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></description>
										<content:encoded><![CDATA[<div class="pb-text"><b>Mit «Claude Mythos» hat Anthropic ein KI-Modell vorgestellt, das das Unternehmen selbst als zu gefährlich für eine öffentliche Freigabe einstuft – und bereits Behörden und Unternehmen alarmiert. KI-gestützte Cyberangriffe werden damit schneller, skalierbarer und breiter nutzbar. Für CISOs entsteht unmittelbarer Handlungsbedarf: Das eigene Threat Model muss überprüft und gezielt angepasst werden. Dieser Beitrag ordnet die Entwicklung datenbasiert ein – jenseits von Hype und Verharmlosung – und zeigt mit einem konkreten 90-/180-/365-Tage-Playbook, worauf es jetzt ankommt.</b></p>
<p>Am 7. April 2026 kündigte Anthropic mit «Claude Mythos Preview» ein neues KI-Modell an. Parallel dazu entstand mit Project Glasswing ein exklusives Konsortium ausgewählter Technologie- und Infrastrukturanbieter mit Zugang für defensive Sicherheitsarbeit. Während US-Finanzminister und Fed-Chef intern gebrieft wurden, äusserte der IWF öffentlich Zweifel an der Verteidigungsfähigkeit des globalen Finanzsystems. Auch deutsche Banken suchten umgehend den Schulterschluss mit ihren <a href="https://www.cfr.org/articles/six-reasons-claude-mythos-is-an-inflection-point-for-ai-and-global-security" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Aufsichtsbehörden</a>.</p>
<p><a href="https://www.scientificamerican.com/article/what-is-mythos-and-why-are-experts-worried-about-anthropics-ai-model/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Die Reaktionen in der Security-Community</a> reichen seither von «AGI ist da» bis «reines PR-Theater». Für CISOs taugt beides nicht: Wer in Panik verfällt, trifft teure Fehlentscheidungen. Wer abwinkt, verpasst einen realen Shift im Threat Model.</p>
<p><b>Was «Claude Mythos» ist – und was es nicht</b></p>
<p><a href="https://red.anthropic.com/2026/mythos-preview/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Die Ankündigung</a> liest sich zunächst wie ein Paradigmenwechsel: «Claude Mythos» soll eigenständig tausende Zero-Day-Schwachstellen in grossen Betriebssystemen und Browsern identifiziert haben – darunter ein 27 Jahre alter Bug in OpenBSD, einem der sichersten Systeme der Branche. 99 % dieser Schwachstellen waren zum Zeitpunkt der Veröffentlichung ungepatcht. Das <a href="https://www.aisi.gov.uk/blog/our-evaluation-of-claude-mythos-previews-cyber-capabilities" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">UK AI Security Institute (AISI)</a> bestätigte zudem eine Erfolgsrate von 73 % bei Expert-Level-Hacking-Aufgaben. Gleichzeitig ist Mythos das erste Modell, dessen Veröffentlichung primär aus Cybersecurity-Gründen zurückgehalten wird.</p>
<p>Das ist jedoch erst eine Hälfte der Geschichte. So geht die Geschichte weiter:</p>
<p>AISI weist selbst darauf hin, dass Mythos in den Testszenarien gegen nahezu nicht vorhandene Verteidigungsebenen antrat. Der Vergleich eines AISI-Gutachters ist entsprechend pointiert: ein Stürmer gegen den schlechtesten Torhüter der Welt. Im produktiven Enterprise-Kontext sieht das Setup anders aus. Auch die auf KI-gestützte Schwachstellenforschung spezialisierte Organisation <a href="https://aisle.com/blog/system-over-model-zero-day-discovery-at-the-jagged-frontier" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">AISLE relativiert die öffentliche Erzählung</a>: Sie hat die von Anthropic veröffentlichten Mythos-Findings gegen kleine, günstige Open-Weight-Modelle gegengeprüft. Acht von acht getesteten Modellen entdeckten den FreeBSD-Flagship-Exploit, den Anthropic als Beleg für die Überlegenheit von Mythos präsentierte. Eines dieser Modelle verfügt über 3,6 Mrd. aktive Parameter und kostet rund 0,11 USD pro Million Tokens.</p>
<p>Auch aus der Forschung kommt Einordnung. Peter Swire, Professor an der Georgia Tech und früherer Berater der Clinton- und Obama-Administrationen, beschreibt den Release nach Gesprächen mit akademischen Kolleg:innen nicht als Zäsur, sondern als Fortsetzung eines erwartbaren Trends. Zugleich weist er darauf hin, dass auch CISOs und Security-Vendors einen rationalen Anreiz haben, die Tragweite neuer Capabilities zu überzeichnen – nicht zuletzt zur Rechtfertigung eigener Budgets.</p>
<p>Die nüchterne Zusammenfassung lautet deshalb: Mythos ist leistungsfähig und eine ernstzunehmende Capability. Für ein verändertes Threat Model ist aber nicht die reine Fähigkeit entscheidend – die gab es in Teilen bereits. Relevant ist die Kombination aus Zugänglichkeit, Geschwindigkeit, Skalierung und der parallel laufenden Demokratisierung vergleichbarer Fähigkeiten in Open-Weight-Modellen.</p>
<p>Das ist der Shift, über den wir reden müssen. Nicht: «KI kann jetzt hacken.» Sondern: KI-gestützte Offensiv-Capability nimmt Commodity-Trajectory an. </p>
<p><b>Was sich am Threat Model real verändert: Diese Grundannahmen sind zu prüfen</b></p>
<p>Vier Dimensionen, in denen der CISO seine Grundannahmen prüfen sollte.</p>
<ol class="bbcode_list">
<li><b>Time-to-Exploit kollabiert</b><br />
Die klassische Annahme, dass zwischen Disclosure und weaponisiertem Exploit-Code Wochen bis Monate liegen, ist nicht mehr tragfähig. PwC formuliert es im jüngsten Threat-Report so: KI-gestützte Angreifer verkürzen Attack-Timelines und skalieren Operationen gleichzeitig. Für die Risk-Quantifizierung heisst das: Exposure-Fenster sind tendenziell kürzer als die Patch-Fenster der Hersteller.</li>
<li><b>Low-Skill-Enablement</b><br />
Der gravierendste Effekt ist nicht, dass APT-Gruppen besser werden – die sind es ohnehin. Entscheidend ist vielmehr, dass mittelmässige Angreifer deutlich gefährlicher werden. Ein Ransomware-Affiliate ohne tiefe OS-Kenntnisse kann künftig strukturiert nach Exploit-Chains suchen, statt ausschliesslich auf gekaufte Exploits angewiesen zu sein. Das verschiebt die Verteilung der realen Bedrohung messbar nach oben – und zwar genau im Segment, das für mittelständische Unternehmen am häufigsten relevant ist.</li>
<li><b>Skalierung und Breite</b><br />
Mythos hat im Test laut Anthropic tausende Findings parallel produziert. Selbst wenn nur ein Bruchteil davon in reale Exploits überführbar ist, verändert das die Annahmen über «gleichzeitig aktive Vulns». Klassisches Vulnerability-Management geht davon aus, dass man priorisieren kann, weil man weiss, welche Schwachstellen aktiv ausgenutzt werden. Signale wie CISA KEV und EPSS werden verrauschter (unzuverlässiger), je mehr parallel entdeckte Zero-Days in den Umlauf kommen.</li>
<li><b>Asymmetrie in Glasswing</b><br />
Das Programm ist nicht neutral. Ausgewählte Unternehmen, darunter JPMorgan Chase, Goldman Sachs und einige Cloud-/OS-Vendor, bekommen Mythos-Zugang für defensive Zwecke. Der Rest der Wirtschaft bekommt ihn nicht. Gleichzeitig ist keineswegs garantiert, dass Angreifer kein vergleichbares Tooling beschaffen können; die AISLE-Findings zu Open-Weight-Modellen zeigen, dass Teile der Capability bereits ausserhalb kontrollierter Kanäle existieren. Für mittelständische und kleinere Unternehmen – den typischen Kunden eines europäischen IR-Teams – verschiebt sich die Asymmetrie zu Ungunsten der Verteidigung.</li>
</ol>
<p>Mythos ist weder Revolution noch PR-Theater, sondern ein klares Signal: KI-gestützte Offensiv-Capabilities werden zur Commodity – und das <a href="https://www.infoguard.ch/de/threat-intelligence" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">bestehende Threat Model gehört jetzt geschärft</a>. Entscheidend ist nicht ein neues Tool, sondern die ehrliche Überprüfung der eigenen Annahmen – im Betrieb, in der Priorisierung und im Austausch mit dem Vorstand.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=bd087d59-9aa9-4390-b5bc-11473dc00150&amp;signature=AHFS_auum7tr-Jx02zeOvuGZYYCosF9kZQ&amp;portal_id=1865239&amp;pageId=394239964367&amp;placement_guid=9ab238fa-0860-418e-a1d8-c5dce3255152&amp;click=d3fe6081-096b-4161-9c92-e4a63af490ed&amp;redirect_url=AD7p6W-bFTLGHnPUvwdxfTBoCjpwfhCroCc7l4FhPhY_MzBl2GTSuhhn0oFX8rBJQC-S8gXB6x7ttzqWr6QMmT4BV4agqFNBWb1SqRbg8f0dEpkKT9UrjCgAKZepLdMPCWpwHI-wtHGL7e4JGKhaLYGWGn1PEqaAfwjDiD2g2TDOjcq2IBFYWVI6o3up7rL16s4TpP5I8vYEH5TLVmtnFv5kLoS0zIqU5eetATQoMTm_SfHZKmQ4hCGMTa3Qt-2cDAxcqTEl7NmT&amp;hsutk=599b96b87313a878fadb6a1e684e9d15&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fanthropics-claude-mythos-das-playbook&amp;ts=1776763139897&amp;__hstc=18037222.599b96b87313a878fadb6a1e684e9d15.1776329902689.1776329902689.1776763140417.2&amp;__hssc=18037222.1.1776763140417&amp;__hsfp=dbb6ef9431b306900e8b2131f9dd7437&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Threat Modeling</b></a></p>
<p><b>Risk Quantification: Must-have-Anpassung im Threat-Modell</b></p>
<p>Wer mit FAIR, Cyber-Risk-Quantifizierung oder Heatmap-Ansätzen arbeitet, muss drei Parameter überarbeiten.</p>
<p><b>Probability of Successful Compromise pro Asset-Klasse</b>. Die Prios auf ältere, wenig gepflegte Systeme (ICS/OT, Legacy-Web-Anwendungen, interne Java-Backends, Delphi-Tools aus den späten Neunzigern, vergessene VB6-Anwendungen) steigen überproportional. Ein 27-Jahre-Bug in OpenBSD ist kein Einzelfall, sondern ein Proof-of-Concept für das, was in jedem Enterprise-COBOL-Stack und jeder halb-vergessenen internen Anwendung latent schlummert. Legacy-Risiko, das drei Jahrzehnte unterhalb der Realisierungsschwelle lag, rückt in Reichweite plausibler Angreifer.</p>
<p><b>Time-to-Detect versus Time-to-Exploit.</b> Viele Organisationen operieren mit MTTD-Werten von Tagen bis Wochen. Wenn Time-to-Exploit auf Stunden kollabiert, ist das Delta das eigentliche Risiko. Die Kennzahl, die ab sofort getrackt wird, ist nicht MTTD per se, sondern MTTD minus geschätzte TTE – negative Werte sind rote Flaggen und gehören ins Board-Reporting.</p>
<p><b>Patch-SLA-Modelle.</b> Klassische 30/60/90-Tage-Fenster wurden in einer Welt entworfen, in der Disclosure-zu-Exploit im Median mehrere Wochen brauchte. Dieses Modell braucht entweder deutlich schärfere Tiers für «critical exposed assets» oder eine Erweiterung um eine Compensating-Controls-Dimension: Virtual Patching, WAF-Rules, Netzsegmentierung als zeitkritische Zwischenmassnahme, nicht als Option.</p>
<p>Konkret für die Quantifizierung:</p>
<ul class="bbcode_list">
<li>CVSS-Base allein reicht nicht mehr; EPSS-Score plus Exposure-Kontext wird zur Standardschicht.</li>
<li>Für Risk-Akzeptanz-Entscheidungen zu nicht gepatchten Systemen ist eine explizite Angabe der kompensierenden Controls notwendig. Eine Management-Unterschrift reicht nicht mehr aus.</li>
<li>Threat-Modeling-Sessions führen «AI-enabled attacker» als Standard-Threat-Actor, nicht als Sonderfall.</li>
</ul>
<p><b>SOC und IR-Operations: Was sich im Alltag ändert</b></p>
<p>Hier wird es konkret – und für IR-Teams am relevantesten.</p>
<ol class="bbcode_list">
<li><b>Signatur-basierte Erkennung verliert weiter an Gewicht</b><br />
Das ist kein neuer Trend, aber er beschleunigt sich. Wenn ein Angreifer mit minimalem Aufwand funktional äquivalente, aber IOC-freie Varianten bekannter Malware-Familien generieren kann, ist Signatur-Detection primär noch für Noise-Reduction tauglich. Investitionen sollten sich auf Verhaltensdetektion (EDR-Behavioral, UEBA), Abuse-of-Legitimate-Tools-Pattern (Living-off-the-Land) und Anomaly-Detection im Netzwerk- und Identity-Layer verschieben.</li>
<li><b>Alert-Triage muss maschinell assistiert werden</b><br />
Wenn die Angreiferseite KI-gestützt skaliert, kann die Verteidigerseite das nicht manuell ausgleichen. Konkret: LLM-gestützte First-Line-Triage, die Alert-Cluster bildet, Kontext anreichert (Asset, Owner, letzte Änderungen, historische False Positives) und Priorisierungs-Vorschläge macht. Das ist keine Ablösung von Analyst:innen, sondern eine Verlagerung ihrer Arbeit – weg von «was ist das?» hin zu «stimmt die Hypothese, und was ist das Playbook?».</p>
<p>Zwei architektonische Entscheidungen gehören direkt mit auf den Tisch.</p>
<p><img src="https://s.w.org/images/core/emoji/15.0.3/72x72/25aa.png" alt="▪" class="wp-smiley" style="height: 1em; max-height: 1em;" /><b>Deployment-Modell</b>. Der LLM-Layer im SOC braucht ein sauberes Deployment. On-Prem oder dedicated-tenant, mit klaren Data-Boundaries. Alert-Daten sind privilegiert; sie gehören nicht in einen generischen Cloud-LLM-Endpunkt.</p>
<p><img src="https://s.w.org/images/core/emoji/15.0.3/72x72/25aa.png" alt="▪" class="wp-smiley" style="height: 1em; max-height: 1em;" /><b>Model Drift als operatives Risiko</b>. Wer LLM-gestützte Detection oder Triage einsetzt, erbt ein Problem, das in klassischen Detection-Engineering-Lehrbüchern nicht vorkommt: Frontier-Modelle hinter APIs verändern ihr Verhalten auf identischen Inputs lautlos und ohne Changelog. Thresholds, die gegen eine bestimmte Confidence-Verteilung kalibriert wurden, wandern unter dem eigenen Dashboard weg – stille Erhöhung der False-Negative-Rate, ohne dass irgendwo eine Version gebumpt wäre.</p>
<p>Selbst self-hosted Stacks sind nicht immun: ein vLLM-Update, eine neue Quantisierung oder ein subtiler Tokenizer-Change verschiebt Outputs messbar, ohne dass jemand eine Änderung geflaggt hat. Für detection-kritische Workloads ist deshalb ein gepinntes lokales Modell häufig die operativ bessere Wahl als das stärkste Frontier-Modell: reproduzierbar, auditierbar, immun gegen silent Updates.</p>
<p>Für die eigentliche Analyst:innen-Arbeit (Zusammenfassungen, Hypothesenbildung, Client-Kommunikation) bleibt das Frontier-Modell sinnvoll. Diesen Split zwischen maschinenseitiger Entscheidung (lokal, gepinnt) und menschenzugewandter Generierung (frontier, drift-tolerant) samt Monitoring-Werkzeugkasten – Golden Corpus, PSI/JS-Divergence, Refusal-Rate-Tracking – habe ich an anderer Stelle ausführlicher beschrieben: Your AI Detections Are Rotting: Model Drift as a Hidden Risk in Security Operations.<br />
Die regulatorische Pointe dort ist hier noch wichtiger: Unter NIS2 und DORA ist ein LLM, dessen Verhalten man nicht festhalten kann, eine Compliance-Schuld, keine Capability.</p>
<p>Das ist der Punkt, an dem der Mythos-Reflex «wir brauchen jetzt mehr KI im SOC» in die Irre führen kann. Mehr KI ohne Drift-Monitoring erzeugt das nächste Blind-Spot-Problem – nur jetzt mit hübscherem UI.</li>
<li><b>IR-Playbooks: Zero-Day-Assumption als Default</b><br />
Die klassische Trennung zwischen «bekannte Schwachstelle, Standardplaybook» und «Zero-Day, eskaliere an Senior-Responder» erodiert. Wenn Angreifer häufiger Zero-Days im Portfolio haben – weil das Finden billiger geworden ist – muss das Standardplaybook mit dieser Möglichkeit rechnen.<br />
Konkret:<br />
<img src="https://s.w.org/images/core/emoji/15.0.3/72x72/25aa.png" alt="▪" class="wp-smiley" style="height: 1em; max-height: 1em;" /> <b> Erst-Hypothese im Major-Incident</b>: «unbekannter Initial Access Vector» bekommt mehr Gewicht, bevor sie abgeräumt wird.<br />
<img src="https://s.w.org/images/core/emoji/15.0.3/72x72/25aa.png" alt="▪" class="wp-smiley" style="height: 1em; max-height: 1em;" />  <b>Forensik-Preservation wird früher getriggert</b>, auch wenn die Incident-Klassifikation noch unsicher ist.<br />
<img src="https://s.w.org/images/core/emoji/15.0.3/72x72/25aa.png" alt="▪" class="wp-smiley" style="height: 1em; max-height: 1em;" />  <b>Tabletop-Exercises führen «AI-enabled adversary» als Standard-Szenario</b>, nicht als Spezialübung. In unseren Hybrid Crisis Simulations sehen wir, dass dieser Szenario-Typ bisher häufig als Sonderfall behandelt wird. Das Timing, ihn zu normalisieren, ist jetzt.</li>
<li><b><a href="https://www.infoguard.ch/de/threat-intelligence" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Threat Hunting proaktiv</a> auf Legacy-Assets</b><br />
Wenn Mythos-Klassen-Tooling in Angreiferhand ist, verschiebt sich die Hunting-Priorität auf Assets, bei denen bislang «zu alt, zu langweilig für einen Attacker» angenommen wurde. Die proprietäre Inhouse-Anwendung aus 2007, die seit zwei CISO-Generationen «eigentlich abzulösen» ist, wird zum plausiblen Initial-Access-Vektor. Hunting-Hypothesen sind entsprechend zu priorisieren.</li>
</ol>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=853e3fac-f12c-4361-9555-0e11cf3cc591&amp;signature=AHFS_avvq4oC7CktUC3vtakWIEUNoJj58g&amp;portal_id=1865239&amp;pageId=394239964367&amp;placement_guid=3a21be67-5a5d-4866-8e12-b0805c9df41c&amp;click=4b55d657-7fe9-46b8-9cc2-8b434bbabd9d&amp;redirect_url=AD7p6W9IqezF6N4jgdY3klbt0PAU16L_dpcql6XICOOOJwezDQIDdtl3sXVdGmCxE20itTjPB0tC_ai4yk3EASKYLT6mfHnobbnmY9CwnDsOqgHIwJ6p5b8ggvJw2JWGrsEdkwEk7hrlwo4uvpNsTe2APPWIb8i4ekdezw7ydcYjrf88dSVba-tXvSbdjUHEhWrbhlPZUQzYZwRbYVnRe8LSLmYlsBqKalaxXOlxfwtcYa6SS4JHhSpmI9-__9bNsN2Nk4TgL6xR&amp;hsutk=599b96b87313a878fadb6a1e684e9d15&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fanthropics-claude-mythos-das-playbook&amp;ts=1776763139890&amp;__hstc=18037222.599b96b87313a878fadb6a1e684e9d15.1776329902689.1776329902689.1776763140417.2&amp;__hssc=18037222.1.1776763140417&amp;__hsfp=dbb6ef9431b306900e8b2131f9dd7437&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Proaktives Threat Hunting</b></a></p>
<p><b>Patch- und Vulnerability-Management: Der eigentliche Schmerzpunkt</b></p>
<p>Dieser Bereich ändert sich am stärksten, weil er am stärksten auf den alten Annahmen gebaut war.</p>
<ol class="bbcode_list">
<li><b>Exposure Management ersetzt Vulnerability Management</b><br />
Die Branche redet seit Jahren davon, der Mythos-Moment beschleunigt es. Vulnerability-Management fragt: welche CVEs betreffen mich? Exposure-Management fragt: welche Angriffspfade sind realistisch nutzbar, und wo ist meine Verteidigung am schwächsten? Für die zweite Frage braucht es Attack-Path-Analyse, reachability-aware SCA und kontinuierliche External-Attack-Surface-Management-Capabilities (EASM).</li>
<li><b>Virtual Patching wird Default, nicht Option</b><br />
Wenn Patch-Zyklen des Herstellers länger brauchen als die Exploit-Entwicklung, muss die Lücke überbrückbar sein. WAFs, IPS, Deception-Tech, Netzsegmentierung und Micro-Perimeter-Policies sind nicht länger «nice to have». Für kritische Assets muss eine Compensating-Control im Werkzeugkasten sein, die schneller aktivierbar ist, als der Vendor patchen kann. Das ist ein architektonischer Punkt, kein Tooling-Punkt – und er muss vor dem nächsten grossen Zero-Day geklärt sein, nicht während.</li>
<li><b>SBOM plus VEX: Von Compliance zu Operations</b><br />
SBOMs waren in vielen Organisationen bislang ein Compliance-Artefakt – für EU Cyber Resilience Act, Executive Order 14028 oder Sektorregulierungen. Nach Mythos ist die operative Frage: wie schnell kann ich eine neu disclosed Library-Vulnerability in meinem gesamten Software-Portfolio lokalisieren? Ohne SBOM: Tage bis Wochen. Mit SBOM plus VEX (Vulnerability Exploitability eXchange): Minuten. Diese Geschwindigkeitsdifferenz entscheidet künftig über Incident-Kosten.</li>
<li><b>Priorisierung umbauen</b><br />
Die typische Frage «welche Critical-CVEs muss ich diese Woche patchen?» wird ersetzt durch «welche Kombinationen aus Exposure, Exploitability und Business-Impact haben aktuell das schlechteste Risk-Profil?». CISA KEV, EPSS und exposure-aware Scoring werden zur Standardschicht. Monatsbasierte Patch-Boards reichen nicht mehr; Patch- und Mitigation-Entscheidungen werden zu einem kontinuierlichen Prozess mit wenigen klar priorisierten Eskalationspfaden.</li>
</ol>
<p><b>Vendor- und Supply-Chain-Strategie</b></p>
<p>Hier liegt einer der unangenehmsten Effekte. Glasswing schafft eine Zwei-Klassen-Wirtschaft.</p>
<ol class="bbcode_list">
<li><b>Vendor Due Diligence: Neue Fragen</b><br />
Lieferanten-Fragebögen brauchen neue Punkte:<br />
<img src="https://s.w.org/images/core/emoji/15.0.3/72x72/25aa.png" alt="▪" class="wp-smiley" style="height: 1em; max-height: 1em;" />Nutzt der Vendor <b>KI-gestützte Security-Analyse</b> in der eigenen Entwicklung? Seit wann? Welche Coverage (Code, Dependencies, Build-Pipeline)? <br />
<img src="https://s.w.org/images/core/emoji/15.0.3/72x72/25aa.png" alt="▪" class="wp-smiley" style="height: 1em; max-height: 1em;" /><b>Gibt es SBOMs </b>für alle bezogenen Produkte und Versionen? In welchem Format (SPDX, CycloneDX)? <br />
<img src="https://s.w.org/images/core/emoji/15.0.3/72x72/25aa.png" alt="▪" class="wp-smiley" style="height: 1em; max-height: 1em;" />Existieren <b>VEX-Statements</b> für bekannte CVEs? <br />
<img src="https://s.w.org/images/core/emoji/15.0.3/72x72/25aa.png" alt="▪" class="wp-smiley" style="height: 1em; max-height: 1em;" /><b>Time-to-Patch-SLA</b> für Critical-Findings, die durch automatisierte Analyse entdeckt werden? <br />
<img src="https://s.w.org/images/core/emoji/15.0.3/72x72/25aa.png" alt="▪" class="wp-smiley" style="height: 1em; max-height: 1em;" /><b>Für kritische Vendors</b>: Teilnahme an Programmen vom Glasswing-Typ oder vergleichbare AI-assisted-defense-Capability? Wenn nein – warum nicht, und welche Alternative bietet sich an? </li>
<li><b>Konzentrationsrisiko wird sichtbar</b><br />
Glasswing-Partner sind bei Anthropic namentlich gelistet. Für europäische Unternehmen ist die operative Frage: wie viel des eigenen Risiko-Stacks hängt an Vendors mit dieser Capability, versus an Vendors ohne? Das ist kein moralisches Argument, sondern ein Risiko-Argument: Defensive-AI-Capability wird Teil der Vendor-Risikobewertung.</li>
<li><b>Regulatorische Hebel nutzen</b><br />
Für den DACH-Raum relevant: NIS2 (EU-weit), DORA (Finanzsektor), CRA (Produkt-Security) und in Österreich das NISG 2024 bieten bereits heute Hebel, um von kritischen Lieferanten strukturierte Antworten zu diesen Fragen einzufordern. Die Werkzeuge existieren; sie müssen nur auf die neue Bedrohungslage geschärft werden. Wer CRA-Anforderungen bislang als Compliance-Kosten gesehen hat, sollte sie nun als Risk-Mitigation-Hebel reframen.</li>
<li><b>Open-Source-Abhängigkeiten</b><br />
Die andere Seite der Glasswing-Medaille: Anthropic hat 100 Mio. USD an Usage Credits und 4 Mio. USD direkt an Open-Source-Security-Organisationen zugesagt. Wenn die eigene Organisation Open-Source-Upstream-Beiträge liefert oder auf kritische OSS-Infrastruktur angewiesen ist, ist aktive Beteiligung an diesen defensive efforts – OpenSSF-Initiativen, direkter Kontakt zu Upstream-Maintainern, Contributor-Backing für kritische Libraries – ein direkter Risk-Mitigator für die eigene Supply Chain.</li>
</ol>
<p><b>Ein pragmatisches 90-/180-/365-Tage-Playbook</b></p>
<p>Genug Analyse. Was sollte jetzt konkret getan werden?</p>
<p><b>Playbook: Die ersten 90 Tage</b></p>
<ol class="bbcode_list">
<li><b>Assumption Update</b>. Threat-Model-Review-Session, in der «AI-enabled adversary» als Standard-Threat-Actor-Profil eingeführt wird. Betroffen: alle kritischen Assets, alle Tier-1-Prozesse.</li>
<li><b>Tabletop</b>. <a href="https://www.infoguard.ch/de/tabletop-exercises-ttx" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Mindestens eine TTX-Übung</a> mit Szenario «mittelmässig kompetenter Angreifer, AI-assisted, unbekannte Initial-Access-Methode gegen Legacy-Asset». Playbook-Gaps dokumentieren.</li>
<li><b>Legacy-Inventar</b>. Liste aller Assets älter als zehn Jahre, insbesondere intern entwickelte Software. Klassifizierung nach Exposure und Business-Criticality. Wahrscheinlichste erste Angriffsfläche.</li>
<li><b>Detection-Engineering-Backlog prüfen</b>. Anteil signaturbasierter vs. verhaltensbasierter Detections messen. Zielwert für Verschiebung setzen.</li>
<li><a href="https://www.infoguard.ch/de/cyber-third-party-risk-management" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Vendor-Liste der Top-20-Kritischen</b>.</a> Fragebogen um die Punkte aus Abschnitt 6.1 ergänzen. Versenden.</li>
</ol>
<p><b>Playbook: Monate 3 bis 6</b></p>
<ol class="bbcode_list">
<li><b>Virtual-Patching-Capability etablieren</b>. Wenn nicht vorhanden: WAF-Rule-Pipeline, schnelle IPS-Signature-Deployment-Prozesse, Netzsegmentierungs-Playbook für kritische Assets.</li>
<li><b><a href="https://www.infoguard.ch/de/soc" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Exposure Management</a>.</b> Pilot mit einem EASM- oder Attack-Path-Analysis-Tool. Ziel: Umstieg von «welche CVEs?» zu «welche Pfade?».</li>
<li><b>SBOM-Programm</b>. Für intern entwickelte Produkte automatisiertes SBOM-Generation im Build. Für extern bezogene Software: systematische SBOM-Anforderung, gestaffelt nach Kritikalität.</li>
<li><b>LLM-assistierte SOC-Triage – mit Drift-Monitoring ab Tag eins</b>. Pilot mit dedizierter, datenschutzkonformer LLM-Integration in SIEM/SOAR. Data-Boundaries vor dem Pilot definieren, nicht danach. Zwingend begleitend: Golden Corpus mit 200-2.000 Referenzinputs, Output-Distribution-Monitoring (PSI, JS-Divergence), Refusal-Rate-Tracking und eine klare Trennung zwischen maschineller Entscheidung (gepinntes lokales Modell) und analyst-facing Generierung (Frontier-Modell). Ohne diese Schicht ist jede Aussage zu Detection-Qualität nach drei Monaten Produktion unbelegt.</li>
<li><a href="https://www.infoguard.ch/de/incident-response-plan" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>IR-Playbook-Review.</b></a> Zero-Day-Assumption als Default in Major-Incident-Procedures. Preservation-Trigger früher.</li>
</ol>
<p><b>Playbook: Monate 6 bis 12</b></p>
<ol class="bbcode_list">
<li><b>Risk-Quantification-Modell anpassen</b>. Time-to-Exploit-Schätzungen revidieren, SLA-Tiers entsprechend neu strukturieren.</li>
<li><b>Vendor-Rescoring</b>. Auf Basis der Antworten aus Phase 1 Top-Vendors neu bewerten. Kritisch sind insbesondere unklare Aussagen zu KI-gestützter Security-Analyse, fehlende SBOM-/VEX-Nachweise oder unrealistische Patch-SLAs. Bei solchen Lücken gezielte Eskalationsgespräche führen und Konzentrationsrisiken im Board-Reporting sichtbar machen.</li>
<li><a href="https://www.infoguard.ch/de/threat-intelligence" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Threat Hunting auf Legacy</b>.</a> Dedizierte Hunting-Kampagnen auf den identifizierten Legacy-Assets. Hypothesen: unbekannter Initial Access via alter Library-Vulnerability, Lateral Movement über deprekatiertes Admin-Protokoll.</li>
<li><b>Participation</b>. Teilnahme an branchenspezifischen Information-Sharing-Initiativen prüfen (ISACs, CERT.at, sektorale CSIRTs), die AI-enabled-threat-Intelligenz austauschen. Isoliertes Arbeiten wird teurer.</li>
<li><b>Board-Reporting neu aufsetzen</b>. Metriken, die vor zwei Jahren aussagekräftig waren (Anzahl gepatchter CVEs, Anzahl gehandhabter Alerts), sind es weniger denn je. Ersetzen durch Exposure-Metriken, MTTD-minus-TTE-Proxies, Vendor-Risk-Heatmaps.</li>
</ol>
<p><b>Fehlreaktionen nach Anthropic&#8217;s Claude Mythos, die teuer werden</b></p>
<p>Drei häufige Reaktionsmuster, die in den nächsten Monaten teuer werden:</p>
<ol class="bbcode_list">
<li><b>Panik-Prozess-Neubau</b>. Wer jetzt das komplette Vulnerability-Management-Programm «wegen Mythos» neu ausschreibt, verschenkt sechs Monate auf einen Prozess, der zwei Iterationen zu weit von der aktuellen Realität entfernt ist. Inkrementelle Anpassungen sind fast immer überlegen.</li>
<li><b>AI-Security-Snake-Oil kaufen</b>. Die nächsten Marketingwellen werden «Mythos-proof»-Labels tragen. Das Wort hat keine technische Bedeutung. Die Gegenfragen, die man einem Vendor stellt: wie behandelt das Produkt AI-generierte Malware-Varianten? Was ist die False-Positive-Rate bei LLM-assistierten Detections? Welche Trainingsdaten, welche Adversarial-Robustness-Tests?</li>
<li><b>Alles ignorieren</b>. «Haben wir immer schon so gemacht, wird schon nicht so schlimm.» Mag stimmen, doch die Grundannahmen, auf welchen «immer so gemacht» basiert, haben sich verschoben. Ein Review der Annahmen ist günstig; ein Incident auf Basis veralteter Annahmen teuer.</li>
<li><b>LLM-gestützte Detection als Fire-and-Forget behandeln</b>. Ein LLM-Klassifikator sieht aus wie eine Korrelationsregel, verhält sich aber nicht so. Hosted-Modell-Verhalten driftet ohne Ankündigung; self-hosted Stacks driften bei vLLM-Updates, Quantisierungswechseln oder Tokenizer-Changes. Ohne Golden-Corpus-Regression und Drift-Monitoring ist jede produktive AI Detection nach wenigen Monaten schlecht kalibriert – und die Operating-Point-Verschiebung bemerkt man typischerweise erst nach dem Incident, der sie sichtbar gemacht hat.</li>
</ol>
<p><b>Takeaways und CISOs Antworten auf Anthropic&#8217;s Claude Mythos</b></p>
<p>Mythos ist keine Revolution und keine PR-Nummer. Es ist ein deutliches Signal, dass KI-gestützte Offensiv-Capability eine Commodity-Trajektorie genommen hat und die defensive Seite entsprechend anpassen muss – nicht über Nacht, nicht in Panik, aber auch nicht später als 2026.</p>
<p>Der pragmatische CISO operiert in drei Modi gleichzeitig:</p>
<ul class="bbcode_list">
<li>Tagesgeschäft weiterführen</li>
<li>an den Stellen inkrementell anpassen, an denen sich die Grundannahmen messbar verschoben haben </li>
<li>mit dem Vorstand ehrlich über die verbleibende Unsicherheit sprechen.</li>
</ul>
<p>Alle drei sind wichtiger als die perfekte Antwort auf die Frage, ob Mythos «wirklich» AGI ist.</p>
<p>Die eigentliche Arbeit beginnt nicht mit einem neuen Tool. Sie beginnt mit einer harten <a href="https://www.infoguard.ch/de/threat-intelligence" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Review der eigenen Annahmen.</a></p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=de0c5745-ee3e-4094-b997-14a8482ab719&amp;signature=AHFS_asxznBkF53FRvd0KIaWd_yM6_9kBg&amp;portal_id=1865239&amp;pageId=394239964367&amp;placement_guid=74fbe1f3-e951-463f-a1d3-d3f2a172fa95&amp;click=22a5e41b-abae-4da5-a151-17ff5d96b33c&amp;redirect_url=AD7p6W_00LFFeYhUc7zGzAw0MRcA2qS8N9TKTA1g3t2ScL2BaCPW84K6DHhoe_3cYwTDseFUG7WUqCRtCCX2pXfZ8V96SCD08xzuqyVRITzNfsL1DG-Sdi0FPPOnJYe1cDld9IeHgIQpHcPWmJjJW4BfQMUssgIH-lTW5mSWvIXd-4RFCvizkpu9_hLz7EWIhPsAPCughIyWtcdV-FPUJSl9RI3k90iL2LkQin9BmvJWBV88a3BvNOY6yfEwtLUf5l5fXXqJy_Np&amp;hsutk=599b96b87313a878fadb6a1e684e9d15&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fanthropics-claude-mythos-das-playbook&amp;ts=1776763139893&amp;__hstc=18037222.599b96b87313a878fadb6a1e684e9d15.1776329902689.1776329902689.1776763140417.2&amp;__hssc=18037222.1.1776763140417&amp;__hsfp=dbb6ef9431b306900e8b2131f9dd7437&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Threat Modeling</b></a></p>
<p>Bleiben Sie am Puls der digitalen Sicherheit: Entdecken Sie spannende Entwicklungen, fundierte Analysen und die wichtigsten News aus der Welt der Cybersicherheit. <a href="https://www.infoguard.ch/de/cyber-security-blog-updates" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Abonnieren Sie unsere Blog-Updates</a> und lassen Sie sich die neuesten Insights direkt in Ihr Postfach liefern – kompakt, relevant und immer einen Schritt voraus.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=bec381bd-09b1-450e-aa7c-508b761a56bc&amp;signature=AHFS_atWMyip-K2Om8y8h5OJljL4aOMQAQ&amp;portal_id=1865239&amp;pageId=394239964367&amp;placement_guid=3a0c3f53-ae1a-4b80-b0b3-9a75ba6ca8ce&amp;click=1f023580-6f81-4f18-b002-f91846cabdae&amp;redirect_url=AD7p6W-7NIq9TkpaONykm3vynzpL2HVE5Ut-KuOMsRHOBKNL2ODcXdLqjph-bec5cCDFfD49fQfKHBLABFPZWLEviIK7LbaOwy_qDuEeINg0rCJRFixCKdpoc4GgH6iuNgttAnVJgOzYDfnI-veFy94cxmcI1fiGvoxzJGvGIscEZ5UpkIAl-CwiLwLnVjFlwb_DVxHf6YxcqWTI3ozB_A6StjalUW-NDh85F0VZoor4Ziy9xfekgrVWlqPY-hVFRs7MNBfwXMep&amp;hsutk=599b96b87313a878fadb6a1e684e9d15&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fanthropics-claude-mythos-das-playbook&amp;ts=1776763139931&amp;__hstc=18037222.599b96b87313a878fadb6a1e684e9d15.1776329902689.1776329902689.1776763140417.2&amp;__hssc=18037222.1.1776763140417&amp;__hsfp=dbb6ef9431b306900e8b2131f9dd7437&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Blog Updates abonnieren</b></a></p>
<p><i>Quellenangabe:</i><br />
<i>•    Anthropic: Ankündigung Claude Mythos Preview und Project Glasswing, 7. April 2026. <a href="https://red.anthropic.com/2026/mythos-preview/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://red.anthropic.com/&#8230;</a></i><br />
<i>•    UK AI Security Institute (AISI): Unabhängige Mythos-Evaluierung. <a href="https://www.aisi.gov.uk/blog/our-evaluation-of-claude-mythos-previews-cyber-capabilities" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.aisi.gov.uk/&#8230;</a></i><br />
<i>•    AISLE: AI Cybersecurity After Mythos: The Jagged Frontier — <a href="https://aisle.com/blog/ai-cybersecurity-after-mythos-the-jagged-frontier" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://aisle.com/&#8230;</a></i><br />
<i>•    Scientific American: What is Mythos and why are experts worried about Anthropic&#8217;s AI model — <a href="https://www.scientificamerican.com/article/what-is-mythos-and-why-are-experts-worried-about-anthropics-ai-model/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.scientificamerican.com/&#8230;</a></i><br />
<i>•    Council on Foreign Relations: Six Reasons Claude Mythos Is an Inflection Point for AI and Global Security — <a href="https://www.cfr.org/articles/six-reasons-claude-mythos-is-an-inflection-point-for-ai-and-global-security" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.cfr.org/&#8230;</a></i><br />
<i>•    Bloomberg: How Anthropic Discovered Mythos AI Was Too Dangerous For Release — <a href="https://www.bloomberg.com/news/features/2026-04-16/how-anthropic-discovered-mythos-ai-was-too-dangerous-for-release" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.bloomberg.com/&#8230;</a></i><br />
<i>•    The Hill: Anthropic&#8217;s Mythos model sparks cybersecurity concerns — <a href="https://thehill.com/policy/technology/5829315-anthropic-mythos-ai-cybersecurity-risks/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://thehill.com/&#8230;</a></i><br />
<i>•    CBS News: Anthropic&#8217;s Mythos AI can spot weaknesses in almost every computer on Earth — <a href="https://www.cbsnews.com/news/mythos-anthropic-ai-project-glasswing-hacker-threat/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.cbsnews.com/&#8230;</a></i><br />
<i>•    PwC: Global Digital Trust Insights 2026 (AI-enabled threat dynamics).</i><br />
<i>•    Mat Fuchs: Your AI Detections Are Rotting: Model Drift as a Hidden Risk in Security Operations — <a href="https://medium.com/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://medium.com/</a>@mathias.fuchs/your-ai-detections-are-rotting-model-drift-as-a-hidden-risk-in-security-operations-cac014477248</i></div>
<div class="pb-company">
<div>Firmenkontakt und Herausgeber der Meldung:</div>
<p>InfoGuard AG<br />
Lindenstrasse 10<br />
CH6340 Baar<br />
Telefon: +41 (41) 7491900<br />
<a href="https://www.infoguard.ch" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.infoguard.ch</a></div>
<div class="pb-contacts">
<div>Ansprechpartner:</div>
<div class="pb-contact-item">Estelle Ouhassi<br />
Marketing Manager<br />
Telefon: +41 (41) 74919-00<br />
E-Mail: &#101;&#115;&#116;&#101;&#108;&#108;&#101;&#046;&#111;&#117;&#104;&#097;&#115;&#115;&#105;&#064;&#105;&#110;&#102;&#111;&#103;&#117;&#097;&#114;&#100;&#046;&#099;&#104;
</div>
<div class="pb-links">
<div>Weiterführende Links</div>
<ul>
<li>
                        <a href="https://www.pressebox.de/pressemitteilung/infoguard-ag/anthropics-claude-mythos-was-cisos-jetzt-im-threat-model-anpassen/boxid/1294569" target="_blank" rel="noopener nofollow" data-wpel-link="external">Originalmeldung der InfoGuard AG</a>
                    </li>
<li>
                        <a href="https://www.pressebox.de/newsroom/infoguard-ag" target="_blank" rel="noopener nofollow" data-wpel-link="external">Alle Stories der InfoGuard AG</a>
                    </li>
</ul></div>
<div class="pb-disclaimer">Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
            </div>
<p>        <img loading="lazy" decoding="async" src="https://www.pressebox.de/presscorner/cpix/tp---14/1294569.gif" alt="counterpixel" width="1" height="1" /></p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/04/21/anthropics-claude-mythos-was-cisos-jetzt-im-threat-model-anpassen/" data-wpel-link="internal">Anthropic’s «Claude Mythos»: Was CISOs jetzt im Threat Model anpassen</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>DevSecOps: 3 Frameworks und ein 4-Stufen-Plan beenden jeden Cyber-Blindflug</title>
		<link>https://www.presseradar.de/2026/04/13/devsecops-3-frameworks-und-ein-4-stufen-plan-beenden-jeden-cyber-blindflug/</link>
		
		<dc:creator><![CDATA[Firma InfoGuard]]></dc:creator>
		<pubDate>Mon, 13 Apr 2026 07:05:00 +0000</pubDate>
				<category><![CDATA[Allgemein]]></category>
		<category><![CDATA[app]]></category>
		<category><![CDATA[atlas]]></category>
		<category><![CDATA[bericht]]></category>
		<category><![CDATA[chatbot]]></category>
		<category><![CDATA[data]]></category>
		<category><![CDATA[devops]]></category>
		<category><![CDATA[devsecops]]></category>
		<category><![CDATA[injection]]></category>
		<category><![CDATA[itl]]></category>
		<category><![CDATA[machine]]></category>
		<category><![CDATA[MLOps]]></category>
		<category><![CDATA[mlq]]></category>
		<category><![CDATA[red]]></category>
		<category><![CDATA[security]]></category>
		<category><![CDATA[wwwinfoguardch]]></category>
		<guid isPermaLink="false">https://www.presseradar.de/2026/04/13/devsecops-3-frameworks-und-ein-4-stufen-plan-beenden-jeden-cyber-blindflug/</guid>

					<description><![CDATA[<p>Künstliche Intelligenz entfesselt Innovationen in ungeahntem Masse, während sich bewährte Sicherheitslogiken zur Variablen wandeln. Obwohl DevSecOps klassische Entwicklungsprozesse wirksam absichert, [&#8230;]</p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/04/13/devsecops-3-frameworks-und-ein-4-stufen-plan-beenden-jeden-cyber-blindflug/" data-wpel-link="internal">DevSecOps: 3 Frameworks und ein 4-Stufen-Plan beenden jeden Cyber-Blindflug</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></description>
										<content:encoded><![CDATA[<div class="pb-text"><b>Künstliche Intelligenz entfesselt Innovationen in ungeahntem Masse, während sich bewährte Sicherheitslogiken zur Variablen wandeln. Obwohl DevSecOps klassische Entwicklungsprozesse wirksam absichert, entstehen mit KI laufend neue Cyberrisiken, die bestehende Modelle nicht vollständig erfassen. Die Lösung: Eine Erweiterung von DevSecOps um drei gezielte KI-Frameworks sowie ein konkreter 4-Stufen-Plan, der Risiken priorisiert und in praxisnahe DevSecOps-Massnahmen überführt.</b></p>
<p>DevSecOps hat Entwicklungsprozesse über Jahre hinweg robuster gemacht: CI/CD-Pipelines sind abgesichert, Infrastrukturen stabiler, Sicherheitsprüfungen fest integriert. Doch mit dem Einsatz von Künstlicher Intelligenz verschiebt sich die Ausgangslage jetzt grundlegend.</p>
<p>Entwickler:innen integrieren LLMs in bestehende Applikationen, Data Analysts trainieren Machine-Learning-Modelle, KI-Tools werden unternehmensweit produktiv eingesetzt – und die Angriffsfläche wächst schneller, als bestehende Sicherheitsmodelle nachziehen können. Plötzlich zeigen sich Lücken dort, wo Prozesse als bewährt galten.</p>
<p><b>Warum Scanner, Firewalls und Pentests bei KI versagen</b></p>
<p>Die harte Wahrheit ist: KI-Systeme sind mit herkömmlichen Sicherheitsmassnahmen nur unzureichend geschützt. Schwachstellenscanner übersehen sogenannt vergiftete, manipulierte Trainingsdaten, klassische Firewalls greifen bei Prompt-Injection-Angriffen auf KI-Lösungen ins Leere, und selbst <a href="https://www.infoguard.ch/de/penetration-test" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Penetrationstests</a> erfassen keine Schwachstellenrisiken in der Modellextraktion. KI ohne spezialisierte Sicherheitsmassnahmen bedeutet Kontrollverlust. Wer sie dennoch ohne KI-spezifische Schutzmassnahmen einsetzt, operiert im Blindflug.</p>
<p><b>KI-Sicherheit beginnt nicht im Code, sondern im Management</b></p>
<p>Sie kennen die <a href="https://www.infoguard.ch/de/blog/devsecops-als-business-booster" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">DevSecOps-Philosophie</a>: Sicherheit gehört von Anfang in jeden Prozess, wird konsequent automatisiert und als gemeinsame Verantwortung verankert. Mit KI entstehen völlig neue Angriffsmuster, die ausserhalb der bisherigen Erfahrungswerte und Schutzmechanismen liegen.</p>
<p>Die neuen Cyberrisiken zeigen sich auf folgenden drei Ebenen: in der Data Science, im operativen Betrieb von KI-Systemen und in strategischen Entscheidungsprozessen.</p>
<p><b>Data Science und KI: Wie Machine-Learning-Modelle neue Angriffsflächen schaffen</b></p>
<p>Im Bereich «Data Analysts &amp; Scientists» können unbeabsichtigt folgende, neue Sicherheitsrisiken entstehen:</p>
<ul class="bbcode_list">
<li>
Einsatz nicht verifizierter Trainingsdaten, potenziell manipuliert von Angreifern oder Wettbewerbern.
</li>
<li>
Verwendung von vorab trainierten Modellen aus öffentlichen Repositories ohne Überprüfung ihrer Sicherheit oder Urheberschutz.
</li>
<li>
Offenlegung von Modell-APIs ohne Rate Limitation oder Extraktionsschutz.
</li>
<li>
Bereitstellung von Modellen ohne Rücksicht auf Angriffe durch böswillige Akteure.
</li>
</ul>
<p><b>MLOps: Deshalb versagt ein klassischer Schutz bei ML-Systemen</b></p>
<p>Der Betrieb von ML-Systemen folgt einer anderen Sicherheitslogik als klassische Applikationen mit konkreten Auswirkungen auf <a href="https://www.infoguard.ch/de/blog/crypto-agility-rueckt-it-architektur-ins-rampenlicht" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Architektur</a>, <a href="https://www.infoguard.ch/de/blog/sichere-supply-chain-tprm" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Lieferkette</a> und <a href="https://www.infoguard.ch/de/soc" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Monitoring</a>:</p>
<ul class="bbcode_list">
<li>
Anwendungscode und ML-Pipelines erfordern unterschiedliche Arten von Sicherheit.
</li>
<li>
Die Infrastruktur für die Bereitstellung von Modellen benötigt besonderen Schutz.
</li>
<li>
Kontinuierliches Training von KI-Modellen birgt neue Risiken für die Lieferkette.
</li>
<li>Bei der Drift-Erkennung (Überwachen von Daten- oder Modellveränderungen) geht es nicht nur um Leistung, sondern auch um Sicherheit.</li>
</ul>
<p><b>Wenn fehlende Risikoanalyse zum Business-Risiko wird</b></p>
<p>Fehlende Transparenz über KI-Risiken kann dazu führen, dass strategische Entscheidungen auf unsicherer Basis getroffen werden:</p>
<ul class="bbcode_list">
<li>
Welche KI-Systeme sind für Ihr Unternehmen am gefährlichsten?
</li>
<li>
Halten wir die neuen KI-Vorschriften (<a href="https://www.infoguard.ch/en/blog/ai-and-cybersecurity-part-1-fine-tuning-between-potential-and-risk" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.infoguard.ch/&#8230;</a>) ein (z. B. <a href="https://www.infoguard.ch/de/blog/ai-act-eu-leitplanken-sichern-ki-einsatz" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">EU-KI-Gesetz</a>, Vorschriften für bestimmte Branchen)?
</li>
<li>
Wie wahrscheinlich ist es, dass unsere Modelle gestohlen werden, unsere Daten nach aussen geleakt werden oder unsere Algorithmen voreingenommen sind?
</li>
<li>
Wie viel Geld sollten wir für KI-Sicherheit ausgeben und wo?
</li>
</ul>
<p>Eine <a href="https://www.infoguard.ch/de/iso-iec-42001-2023-gap-analyse" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">KI-Sicherheitsbewertung</a> hilft Ihnen alle diese Fragen zu beantworten, bevor sie zu Problemen werden.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=5db7831e-e1fc-4045-889c-6afac0408c64&amp;signature=AHFS_avjqEEPkX9wCVP33Ctu4f50NfkYUQ&amp;portal_id=1865239&amp;pageId=380042620103&amp;placement_guid=eb8cb9f3-61fd-4928-bb2e-cf36e981dbfc&amp;click=acc832b8-25a5-4af1-948b-4d8d79047477&amp;redirect_url=AD7p6W8XsfDPQqe_0UrhoFn77t0rsuBl9WVBtPavvV5H95wk2jgx3YGMudEvzSLQ96cL_zeOU4vxfpjRAwa8E0ABFlsbOwd_xt9RrqtU1LvG4OrrxA2l3i26BpvwbmaJgP4Bsx-XVswbdJdIwX9mL5WdlcraGKMmIQ&amp;hsutk=4bf9e9f248e129641c3106503e5c1982&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fdevsecops-ki-cyberresilient-nutzen&amp;ts=1776063968862&amp;__hstc=18037222.4bf9e9f248e129641c3106503e5c1982.1776063970046.1776063970046.1776063970046.1&amp;__hssc=18037222.1.1776063970046&amp;__hsfp=7243f9fc96844e40b6072fe0bce183f2&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Mehr zur KI-Sicherheitsbewertung</b></a></p>
<p><b>Das Drei-Framework-Modell: Was macht es so erfolgreich?</b></p>
<p>Wir haben das <a href="https://www.infoguard.ch/de/blog/devsecops-sichert-sdlc" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">DevSecOps-Modell</a>, dem Sie bereits vertrauen, um drei Frameworks erweitert, die gut zusammenarbeiten:</p>
<p><b>Strategische Ebene: NIST AI Risk Management Framework</b></p>
<p><b>Was das NIST AI Risk Management Framework leistet:</b></p>
<p>Das <a href="https://www.nist.gov/itl/ai-risk-management-framework" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">NIST AI Risk Management Framework</a> übersetzt KI-Risiken in eine für Führungskräfte verständliche Governance-Sprache; wie Sicherheit, Datenschutz, Fairness, Transparenz und Einhaltung von regulatorische Anforderungen. Es unterstützt dabei, das KI-Portfolio systematisch zu klassifizieren und Prioritäten anhand von Risikostufen zu setzen.</p>
<p><b>Warum Sie es brauchen:</b></p>
<p>Verwaltungsräte interessieren sich zunehmend dafür, wie KI im Unternehmen eingesetzt wird. Regulierungsbehörden beobachten deren Anwendung genau, und auch Kunden erwarten Transparenz. Das NIST AI RMF schafft die notwendige Governance-Struktur, um diese Anforderungen systematisch und nachvollziehbar zu adressieren.</p>
<p><b>Taktische Ebene: MITRE ATLAS Threat Intelligence</b></p>
<p><b>Was MITRE ATLAS Threat Intelligence für Sie leistet:</b></p>
<p>Das <a href="https://atlas.mitre.org/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">MITRE ATLAS Threat Intelligence</a> zeigt genau, wie KI-Systeme angegriffen werden,¬ mit realen Techniken, die Wettbewerber, Staaten und Cyberkriminelle in der Vergangenheit eingesetzt haben. Nicht nur hypothetische, sondern auch reale und verifizierte Angriffe: Vom Modell-Diebstahl durch API-Abfragen bis hin zur Vergiftung von Trainingsdaten über Monate hinweg.</p>
<p><b>Warum Sie es brauchen:</b></p>
<p>Ein Red Team kennt die Methoden, in klassische Apps einzudringen. Es weiss jedoch noch nicht, wie man Modelle extrahiert oder ML-Pipelines vergiftet. ATLAS füllt diese Wissenslücke mit Angriffsmustern, die speziell für KI entwickelt wurden.</p>
<p><b>Operative Ebene: CRISP-ML(Q) Development Lifecycle</b></p>
<p><b>Was das CRISP-ML(Q) Development Lifecycle leistet:</b></p>
<p>Das <a href="https://arxiv.org/pdf/2003.05155.pdf" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">CRISP-ML(Q) Development Lifecycle</a> fügt Sicherheitskontrollen in jedem Schritt der ML-Entwicklung hinzu, von der Datenerfassung über die Bereitstellung bis hin zur Überwachung. Es überträgt das aus DevSecOps bekannte «Shift Left»-Prinzip auf den Entwicklungszyklus von KI-Systemen.</p>
<p><b>Warum Sie es brauchen:</b></p>
<p>Die Kompetenz zur sicheren Softwareentwicklung ist etabliert, während der sichere Aufbau von ML-Systemen häufig noch nicht vergleichbar verankert ist. CRISP-ML(Q) schliesst diese Lücke mit einem strukturierten Prozess, der Sicherheit nicht nur in der Theorie, sondern auch in der Praxis gewährleistet.</p>
<p><b>Praktische Umsetzung: Do’s und Dont’s beim Aufspüren von Betrugsfällen mit KI</b></p>
<p>Angenommen, Sie entwickeln ein KI-System zur Betrugserkennung. Was passiert, wenn Sicherheitsmechanismen nicht von Anfang an integriert sind?</p>
<p><b>Ohne integrierte DevSecOps-Frameworks (Worst-case-Szenario)</b></p>
<p>Fehlen integrierte Frameworks, entfaltet sich das Risiko entlang der gesamten Wertschöpfungskette:</p>
<ul class="bbcode_list">
<li>
Datenwissenschaftler trainieren mit den verfügbaren Daten, wodurch sie mit höherer Wahrscheinlichkeit «vergiftet» sein werden.
</li>
<li>
Ein DevOps-Team stellt es wie jede andere App bereit, was bedeutet, dass es keine KI-spezifischen Kontrollen gibt.
</li>
<li>
Das Sicherheitsteam testet es wie normale Software, was bedeutet, dass es keine Betrachtung von KI-Angriffsvektoren gibt.
</li>
<li>
Sechs Monate später stehlen Wettbewerber das Modell durch API-Abfragen, Aufsichtsbehörden verhängen Geldstrafen wegen Voreingenommenheit und Führungskräfte fragen sich, warum die Sicherheit «das nicht bemerkt hat».
</li>
</ul>
<p><b>KI mit integrierter KI-Sicherheitsbewertung</b></p>
<p>Basierend auf den Kriterien des NIST AI RMF wird dies als ein System mit hohem Risiko eingestuft, das strengen Kontrollen unterliegt, da es die Finanzen der Kunden betrifft und unter behördlicher Aufsicht steht.</p>
<p>Die Bedrohungsmodellierung nach MITRE ATLAS zeigt, dass die grössten Bedrohungen die Modell-Extraktion (durch Wettbewerber), Datenvergiftung (durch Gegner, die eine Entdeckung vermeiden wollen) und «Bias Incidents» (durch Aufsichtsbehörden) sind.</p>
<p>Die Integration von CRISP-ML(Q) stellt sicher, dass die Datenvalidierung das Verfälschen verhindert, Fairness-Tests entsprechende Verzerrungen aufdecken und die kontinuierliche Überwachung Angriffe in der Produktion erkennt.</p>
<p>Das Ergebnis? Die Betrugserkennung geht planmässig live, besteht die behördliche Überprüfung und funktioniert sicher, da die Sicherheitsmechanismen von Anfang an integriert war und Schwachstellen nicht erst bei der Einführung sichtbar werden.</p>
<p><b>«Mehr KI, mehr Risiko. Wer Sicherheit nicht entlang des ML-Lebenszyklus denkt, verliert die Kontrolle.» </b></p>
<p>Eine <a href="https://www.infoguard.ch/de/iso-iec-42001-2023-gap-analyse" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">KI-Sicherheitsbewertung</a> beantwortet die brennendsten Governance-Fragen, bevor sie Ihre Innovation ausbremsen.</p>
<p><b>Von der Analyse zur Umsetzung: Der 4-Stufen-Plan für sichere KI</b></p>
<p>Unsere KI-Sicherheitsbewertung schafft für DevSecOps-Teams Klarheit darüber, welche Massnahmen prioritär umzusetzen sind und worauf der Fokus beim Einsatz von KI liegen sollte.</p>
<p><b>Schritt 1: Finden Sie heraus, wie hoch Ihr KI-Risiko ist</b></p>
<p>Wir erstellen eine <a href="https://www.infoguard.ch/de/blog/ai-cybersecurity-fine-tuning-potenzial-und-risiko" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Karte aller KI-Systeme</a>, einschliesslich derjenigen, die der IT bekannt sind, und derjenigen, die <a href="https://www.infoguard.ch/de/blog/ki-nutzen-nach-iso-42001" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">«Schatten-KI»</a> sind. Durch die systematische Risikoklassifizierung wird transparent, welche KI-Projekte ein erhöhtes Sicherheitsrisiko darstellen und welche weniger kritisch sind.</p>
<p><b>Was Sie potenziell sehen werden: </b>«Das Data-Science-Team verwendet 12 verschiedene KI-Tools. Drei davon verarbeiten personenbezogene Daten von Kunden. Eines ist mit der Datenbank verbunden, in der der Betrieb Produktionsdaten speichert. Zwei davon sind gemäss dem EU-KI-Gesetz mit einem hohen Risiko behaftet.» Jetzt wissen Sie, wo Sie ansetzen müssen.</p>
<p><b>Schritt 2: Wissen, wie Angreifer vorgehen werden</b></p>
<p>Wir verwenden MITRE ATLAS, um dem Sicherheitsteam genau zu zeigen, wie Angreifer die KI-Systeme angreifen werden. Dabei handelt es sich nicht um allgemeine Bedrohungen, sondern um spezifische Angriffsszenarien, die auf dokumentierten Methoden aus der Praxis basieren.</p>
<p><b>Was Sie potenziell sehen werden: </b>«Prompt-Injection-Angriffe können in den Kundenservice-Chatbot eindringen und Kundendaten stehlen. Durch eine Vielzahl von API-Abfragen lässt sich die Funktionsweise eines Betrugserkennungsmodells rekonstruieren. Eine KI-gestützte Lösung im Bereich Personalbeschaffung kann zudem ins Visier von Aufsichtsbehörden geraten, wenn Anzeichen für Voreingenommenheit bestehen.» Jetzt weiss Ihr Sicherheitsteam, worauf es achten muss.</p>
<p><b>Schritt 3: Suchen Sie nach Lücken in Ihrer Sicherheit</b></p>
<p>Wir vergleichen die aktuelle KI-Sicherheitslage mit den Branchenstandards. Welche Kontrollmechanismen sind etabliert? Wo gibt es Lücken? Wie hoch ist die Risikobewertung für jede Lücke?</p>
<p><b>Was Sie potenziell sehen werden: </b>«Die API-Sicherheit ist robust, jedoch fehlt ein wirksamer Schutz gegen Modellextraktion. Für Trainingsdaten bestehen Qualitätsprüfungen, aber keine Abwehrmassnahmen gegen Datenvergiftung (Poisoning). Die Überwachung identifiziert Probleme mit der Leistung, aber erkennt keine sicherheitsrelevanten Angriffe.» Jetzt wissen Sie genau, was Sie verbessern können.</p>
<p><b>Schritt 4: Etablieren Sie Ihren Aktionsplan als prioritär</b></p>
<p>Wir geben Ihnen einen Plan mit drei Implementierungsphasen: Kritisch (Monate 1–2), Hohe Priorität (Monate 3–4) und Mittlere Priorität (Monate 5–6). Jede Phase hat ihre eigenen Kontrollen sowie Schätzungen zum Arbeitsaufwand für die Umsetzung.</p>
<p><b>Was Sie potenziell sehen werden:</b> «In Phase 1 arbeiten Sie an fünf wichtigen Kontrollen, die Ihre grössten Risiken innerhalb acht Wochen Arbeit senken. Für zusätzliche Einsatz von Experten über acht Wochen fügt Phase 2 eine tiefgreifende Verteidigung hinzu. Phase 3 erreicht einen hohen Reifegrad.» Jetzt können Sie Ihre Pläne erstellen, budgetieren und umsetzen.</p>
<p>Eine <a href="https://www.infoguard.ch/de/iso-iec-42001-2023-gap-analyse" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">KI-Sicherheitsbewertung</a> deckt Schatten-Ki sowie Angriffsszenarien auf und liefert in einem 4-Stufen-Plan die fünf entscheidenden Kontrollmechanismen für sofortige Risikosenkung.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=5db7831e-e1fc-4045-889c-6afac0408c64&amp;signature=AHFS_avjqEEPkX9wCVP33Ctu4f50NfkYUQ&amp;portal_id=1865239&amp;pageId=380042620103&amp;placement_guid=eb8cb9f3-61fd-4928-bb2e-cf36e981dbfc&amp;click=acc832b8-25a5-4af1-948b-4d8d79047477&amp;redirect_url=AD7p6W8XsfDPQqe_0UrhoFn77t0rsuBl9WVBtPavvV5H95wk2jgx3YGMudEvzSLQ96cL_zeOU4vxfpjRAwa8E0ABFlsbOwd_xt9RrqtU1LvG4OrrxA2l3i26BpvwbmaJgP4Bsx-XVswbdJdIwX9mL5WdlcraGKMmIQ&amp;hsutk=4bf9e9f248e129641c3106503e5c1982&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fdevsecops-ki-cyberresilient-nutzen&amp;ts=1776063968862&amp;__hstc=18037222.4bf9e9f248e129641c3106503e5c1982.1776063970046.1776063970046.1776063970046.1&amp;__hssc=18037222.1.1776063970046&amp;__hsfp=7243f9fc96844e40b6072fe0bce183f2&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Mehr zur KI-Sicherheitsbewertung</b></a></p>
<p><b>KI-Security-Assessment abgeschlossen: Vom Bericht zur operativen Umsetzung</b></p>
<p>Die Bewertung ist nicht nur ein Bericht, sondern die Grundlage dafür, wie Teams KI-Modelle künftig sicher entwickeln können:</p>
<p><b>Sofort zu ergreifende Massnahmen (erste 90 Tage)</b></p>
<ul class="bbcode_list">
<li>
Einrichtung zentraler Kontrollen zur Reduktion der kritischsten Schwachstellen
</li>
<li>
Implementierung von Abwehrmassnahmen gegen Datenvergiftung (Poisoning)
</li>
<li>
Begrenzung und Überwachung von API-Aufrufen zum Schutz vor Modellextraktion
</li>
<li>
Prüfung und Sicherstellung der Modellintegrität
</li>
<li>
Schliessen identifizierter Sicherheitslücken mit unmittelbarem Schadenspotenzial.
</li>
</ul>
<p><b>Grundlagen schaffen (3–6 Monate)</b></p>
<ul class="bbcode_list">
<li>
Integration von KI-spezifischen Sicherheitskontrollen in bestehende DevSecOps-Pipelines
</li>
<li>
Automatisierte Tests zur Erkennung potenziell schädlicher Eingaben
</li>
<li>
Überprüfung von Modellartefakten und -integrität innerhalb der CI/CD-Prozesse
</li>
<li>
Monitoring zur Identifikation ungewöhnlicher oder sicherheitsrelevanter Abfragen
</li>
<li>
Verankerung von KI-Sicherheit als kontinuierlicher Bestandteil des operativen Betriebs statt als reaktive Massnahme im Vorfallfall.
</li>
</ul>
<p><b>Reifephase (6–12 Monate)</b></p>
<ul class="bbcode_list">
<li>
Aufbau organisationaler Kompetenz zum Schutz von KI-Systemen
</li>
<li>
Etablierung sicherer Entwicklungspraktiken im Bereich Machine Learning
</li>
<li>
Souveräner und kontrollierter Einsatz von KI im operativen Betrieb
</li>
<li>
Spezifische Abwehrmechanismen gegen KI-bezogene Bedrohungen
</li>
<li>
Verankerung von KI-Sicherheit als Bestandteil der Unternehmenskultur
</li>
</ul>
<p><b>Kontinuierliche Optimierung</b></p>
<p>Mit entsprechenden Frameworks lässt sich flexibel auf veränderte Bedrohungen reagieren. Neue MITRE-ATLAS-Methoden werden in bestehende Abwehrmassnahmen integriert. Anpassungen gemäss NIST AI RMF stärken die Governance-Strukturen, während Weiterentwicklungen im CRISP-ML(Q)-Prozess die sichere KI-Entwicklung kontinuierlich verbessern. Sicherheit bleibt damit anpassungsfähig, ohne die Sicherheitsstrategie jeweils von Grund auf neu definieren zu müssen.</p>
<p><b>Von DevSecOps zu MLSecOps: Warum sichere KI ein Wettbewerbsvorteil ist</b></p>
<p>DevSecOps hat dieses Problem gelöst, indem es Sicherheit von Anfang an zu einem Teil des Prozesses gemacht hat. Dank Automatisierung konnte es wachsen. Es hat sich eine Kultur entwickelt, in der jeder Verantwortung trägt.</p>
<p>KI ist dasselbe, nur mit anderen Werkzeugen. Die Teams, welche heute DevSecOps-Ideen auf KI anwenden, werden sich durchsetzen. Wenn Sie KI-Sicherheit als «etwas, um das wir uns später kümmern werden» betrachten, werden Unternehmen gegenüber Wettbewerbern, Aufsichtsbehörden oder Angreifern den Kürzeren ziehen.</p>
<p><b>Jetzt handeln: DevSecOps um KI-Governance und ML-Security erweitern</b></p>
<p>KI erweitert die Angriffsfläche – und verlangt nach einer Sicherheitslogik, die über klassische DevSecOps-Modelle hinausgeht. Entscheidend ist nicht die Anzahl einzelner Kontrollen, sondern eine strukturierte Bewertung der Risiken, eine klare Priorisierung und die konsequente Integration von Sicherheitsmechanismen entlang des gesamten ML-Lebenszyklus. Nur so wird KI steuerbar, auditierbar und nachhaltig resilient. Ist Ihre Innovation nicht zu wertvoll, um sie Cyberangriffen schutzlos auszusetzen?</p>
<p>Lassen Sie uns gemeinsam für die Sicherheit Ihrer Kronjuwelen sorgen und eine fundierte, nachvollziehbare Einschätzung erstellen.</p>
<ul class="bbcode_list">
<li>
Analyse laufender KI-Initiativen
</li>
<li>
Identifikation konkreter Risikotreiber
</li>
<li>
Definition einer gezielten Erweiterung von DevSecOps um KI-spezifische Sicherheitsmechanismen
</li>
</ul>
<p>Gemeinsam ordnen wir Ihre <a href="https://www.infoguard.ch/de/iso-iec-42001-2023-gap-analyse" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">KI-Sicherheitsanforderungen</a> ein und definieren die nächsten Schritte zu einem individuellen Massnahmenpaket.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=da9225cb-187a-4315-a7af-564e9d02920c&amp;signature=AHFS_auG1qQpw1EAnqWxHZ-JgGfIk7Ps-w&amp;portal_id=1865239&amp;pageId=380042620103&amp;placement_guid=f0cb07a4-bd85-4ab4-80fd-825d5631067a&amp;click=7b17693a-1065-40fe-9bfc-0a7027d10924&amp;redirect_url=AD7p6W8sL3NB3nXgTWFYSfFcd5u-Yzey2gCW3FtSH6qsk_EtsSuNuUPgiUcg7qDUUK8TvKZyPHr0EB5mSg9HXYkvUrHy4OjruPoP5q9sVwGw2xSyy6h64JgxGzbstljXCFGWHnmqCca73dAxu4B02_eEGMt-VNYcRw&amp;hsutk=4bf9e9f248e129641c3106503e5c1982&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fdevsecops-ki-cyberresilient-nutzen&amp;ts=1776063968855&amp;__hstc=18037222.4bf9e9f248e129641c3106503e5c1982.1776063970046.1776063970046.1776063970046.1&amp;__hssc=18037222.1.1776063970046&amp;__hsfp=7243f9fc96844e40b6072fe0bce183f2&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Mehr zur KI-Sicherheitsbewertung</b></a></p>
<p><b>Quellenverzeichnis</b></p>
<ul class="bbcode_list">
<li>NIST AI Risk Management Framework:</li>
<li><a href="https://www.nist.gov/itl/ai-risk-management-framework" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.nist.gov/itl/ai-risk-management-framework </a>MITRE ATLAS:</li>
<li><a href="https://atlas.mitre.org" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://atlas.mitre.org</a>CRISP-ML(Q):</li>
<li><a href="https://arxiv.org/pdf/2003.05155.pdf" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://arxiv.org/pdf/2003.05155.pdf</a>Cloud Security Alliance AI Controls Matrix:</li>
<li><a href="https://cloudsecurityalliance.org/artifacts/ai-controls-matrix" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://cloudsecurityalliance.org/artifacts/ai-controls-matrix</a>EU AI Act: Regulation 2024/1689</li>
<li>ISO/IEC 23894:2023 &#8211; AI Risk Management</li>
<li>ISO/IEC 42001:2023 &#8211; AI Management Systems</li>
</ul>
<p>Bildlegende: mit KI generiertes Bild</p></div>
<div class="pb-company">
<div>Firmenkontakt und Herausgeber der Meldung:</div>
<p>InfoGuard AG<br />
Lindenstrasse 10<br />
CH6340 Baar<br />
Telefon: +41 (41) 7491900<br />
<a href="https://www.infoguard.ch" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.infoguard.ch</a></div>
<div class="pb-contacts">
<div>Ansprechpartner:</div>
<div class="pb-contact-item">Estelle Ouhassi<br />
Marketing Manager<br />
Telefon: +41 (41) 74919-00<br />
E-Mail: &#101;&#115;&#116;&#101;&#108;&#108;&#101;&#046;&#111;&#117;&#104;&#097;&#115;&#115;&#105;&#064;&#105;&#110;&#102;&#111;&#103;&#117;&#097;&#114;&#100;&#046;&#099;&#104;
</div>
<div class="pb-links">
<div>Weiterführende Links</div>
<ul>
<li>
                        <a href="https://www.pressebox.de/pressemitteilung/infoguard-ag/devsecops-3-frameworks-und-ein-4-stufen-plan-beenden-jeden-cyber-blindflug/boxid/1293353" target="_blank" rel="noopener nofollow" data-wpel-link="external">Originalmeldung der InfoGuard AG</a>
                    </li>
<li>
                        <a href="https://www.pressebox.de/newsroom/infoguard-ag" target="_blank" rel="noopener nofollow" data-wpel-link="external">Alle Stories der InfoGuard AG</a>
                    </li>
</ul></div>
<div class="pb-disclaimer">Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
            </div>
<p>        <img loading="lazy" decoding="async" src="https://www.pressebox.de/presscorner/cpix/tp---14/1293353.gif" alt="counterpixel" width="1" height="1" /></p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/04/13/devsecops-3-frameworks-und-ein-4-stufen-plan-beenden-jeden-cyber-blindflug/" data-wpel-link="internal">DevSecOps: 3 Frameworks und ein 4-Stufen-Plan beenden jeden Cyber-Blindflug</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Threat Intelligence Report Q1/26: Die geopolitische Cyberlage Europas nach «Epic Fury»</title>
		<link>https://www.presseradar.de/2026/03/10/threat-intelligence-report-q1-26-die-geopolitische-cyberlage-europas-nach-epic-fury/</link>
		
		<dc:creator><![CDATA[Firma InfoGuard]]></dc:creator>
		<pubDate>Tue, 10 Mar 2026 14:03:00 +0000</pubDate>
				<category><![CDATA[Allgemein]]></category>
		<category><![CDATA[att]]></category>
		<category><![CDATA[citrix]]></category>
		<category><![CDATA[crowdstrike]]></category>
		<category><![CDATA[ddos]]></category>
		<category><![CDATA[dfs]]></category>
		<category><![CDATA[EcoStruxure]]></category>
		<category><![CDATA[fireeye]]></category>
		<category><![CDATA[fortigate]]></category>
		<category><![CDATA[fortinet]]></category>
		<category><![CDATA[halcyon]]></category>
		<category><![CDATA[iranisch]]></category>
		<category><![CDATA[mustang]]></category>
		<category><![CDATA[palo]]></category>
		<category><![CDATA[panda]]></category>
		<category><![CDATA[solarwinds]]></category>
		<guid isPermaLink="false">https://www.presseradar.de/2026/03/10/threat-intelligence-report-q1-26-die-geopolitische-cyberlage-europas-nach-epic-fury/</guid>

					<description><![CDATA[<p>Die geopolitische Cyberlage in Europa hat sich seit dem 28. Februar 2026 grundlegend verschärft. Mit der Operation «Epic Fury» (USA/Israel) [&#8230;]</p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/03/10/threat-intelligence-report-q1-26-die-geopolitische-cyberlage-europas-nach-epic-fury/" data-wpel-link="internal">Threat Intelligence Report Q1/26: Die geopolitische Cyberlage Europas nach «Epic Fury»</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></description>
										<content:encoded><![CDATA[<div class="pb-text"><b>Die geopolitische Cyberlage in Europa hat sich seit dem 28. Februar 2026 grundlegend verschärft. Mit der Operation «Epic Fury» (USA/Israel) gegen den Iran wurde aus einer latenten Bedrohung ein aktiver Cyberkonflikt. Währenddessen positionieren sich chinesische APT-Gruppen unbemerkt in kritischen Infrastrukturen. Als führender Incident-Response-Spezialist im DACH-Raum sehen wir in der Praxis: Staatliche Cyberangriffe operieren gezielt im toten Winkel moderner Sicherheitssysteme und werden oft erst durch Zufall entdeckt. Proaktives Threat Hunting durch erfahrene Incident Responder ist derzeit die wirksamste Methode, laufende APT-Kompromittierungen aufzudecken.</b></p>
<p>Cyberoperationen sind längst Teil geopolitischer Konflikte. Iranische Hacktivisten, chinesische APT-Gruppen und russische Angreifer erhöhen den Druck auf europäische Organisationen. Der <i>InfoGuard Threat Intelligence Report Q1/2026</i> analysiert die aktuelle Bedrohungslage und ihre Konsequenzen für Unternehmen.</p>
<p><b>Die Cyber-Bedrohungslage in Europa: angespannt wie nie</b></p>
<p>Die europäische Cyber-Bedrohungslage ist auf einem historischen Höchststand. Laut <a href="https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">ENISA Threat Landscape 2025</a> (Berichtszeitraum Juli 2024 bis Juni 2025) entfielen 76,7 % aller Vorfälle auf DDoS-Angriffe, getrieben durch staatlich gelenkten Hacktivismus. Der öffentliche Sektor war mit 38,2 % am stärksten betroffen, doppelt so hoch wie im Vorjahr. Phishing bleibt mit 60 % der häufigste Initialvektor, wobei über 80 % der Kampagnen nachweislich KI-generierte Inhalte nutzen.</p>
<p>Der <a href="https://www.crowdstrike.com/en-us/resources/reports/2025-european-threat-landscape-report/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">CrowdStrike European Threat Landscape Report 2025</a> zeigt: Ransomware trifft die Region auf Rekordniveau, während staatlich gesteuerte Angriffe (nation-state) um 150 % gestiegen sind. ENISA identifiziert 46 staatlich gesteuerte Intrusion-Sets, die aktiv gegen EU-Mitgliedstaaten operieren. Die Grenzen zwischen Cyberkriminalität, Hacktivismus und Staatsakteuren verschwimmen zusehends. Was früher klar trennbar war, ist heute ein komplexes Ökosystem aus Auftragsarbeit, ideologischer Motivation und staatlicher Instrumentalisierung.</p>
<p><b>Iran: Vom Cyber-Dschihad zur offenen digitalen Front – Lage März 2026</b></p>
<p><b>Der Eskalationspfad: Juni 2025 bis heut<a href="https://www.infoguard.ch/hubfs/infoguard%20new%20website%202024/content/infoguard-blog-260108_NIS-2-Kickoff%20BSI.pdf" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">e</a></b></p>
<p>Zum Verständnis der aktuellen Situation ist ein Blick auf den Eskalationspfad notwendig. Der zwölftägige Israel-Iran-Konflikt im Juni 2025 war die erste grosse Probe für Irans koordiniertes Cyber-Ökosystem im Kriegsfall. Das <a href="https://www.csis.org/" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Center for Strategic and International Studies (CSIS)</a> analysierte über 250.000 Telegram-Nachrichten aus mehr als 178 Hacktivist- und Proxygruppen und dokumentierte eine rasche Mobilisierung synchron zu den kinetischen Luftangriffen. Gruppen wie Fatimion Cyber Team, Cyber Fattah und Cyber Islamic Resistance koordinierten Aufklärung, DDoS-Angriffe, Website-Defacement und Datendiebstahl in direkter Abstimmung mit dem militärischen Geschehen – ein Muster, das auf institutionelle Führung hindeutet, nicht auf organischen Hacktivismus.</p>
<p>Parallel dazu setzte die iranische Regierung staatlich gesponserte Ransomware-Kampagnen ein und zahlte Prämien für Infektionen gegen US- und israelische Organisationen. MuddyWater (MOIS) initiierte mit Operation Olalampo eine strukturierte Cyber-Offensive gegen die META-Region (Naher Osten, Türkei, Afrika) mit Überlappungen zu einer parallel laufenden Kampagne namens RedKitten – ein Hinweis auf koordinierte Infrastruktur iranisch ausgerichteter Akteure.</p>
<p><b>28. Februar 2026: Operation «Epic Fury» und die digitale Reaktion</b></p>
<p>Am 28. Februar 2026 starteten die USA und Israel die koordinierte Militäroperation «Epic Fury» / «Operation Roaring Lion» mit Strikes auf iranische Führungsstrukturen, IRGC-Einrichtungen und nukleare Infrastrukturen. Innerhalb von Stunden begann Iran eine mehrstufige Vergeltungskampagne – sowohl kinetisch als auch im Cyberraum.</p>
<p>Ein technisch bemerkenswerter Faktor: Die israelische Gegenmassnahme war auch eine der grössten Cyberoperationen der Geschichte gegen Iran selbst und reduzierte die iranische Internetkonnektivität auf 1–4 % (Unit 42 / Palo Alto Networks, März 2026). Das bedeutet: Irans hochspezialisierte APT-Gruppen sind kurzfristig im Inland operativ eingeschränkt.</p>
<p>Daraus ergeben sich zwei parallele Bedrohungsszenarien:</p>
<ul class="bbcode_list">
<li>Ausserhalb Irans operierende Zellen und Proxy-Gruppen handeln jetzt mit taktischer Autonomie – ohne direkte Befehlsstruktur aus Teheran. Das macht ihre Aktionen schwerer vorhersagbar.</li>
<li>Mittelfristig – wenn die Konnektivität wiederhergestellt ist – ist mit einer intensivierten Welle staatlicher APT-Operationen zu rechnen, da die IRGC-Einheiten Zeit hatten, Prioritäten zu setzen und Zugänge zu aktivieren, die schon länger «dormant» vorhanden waren.</li>
</ul>
<p><b>Der «Electronic Operations Room» – koordinierter Cyber-Dschihad</b></p>
<p>Noch am 28. Februar 2026 wurde der «Electronic Operations Room» gegründet – ein Koordinationsgremium, das pro-iranische Hacktivist-Kollektive in einem strukturierten Cyber-Dschihad bündelt. Das Umbrella-Netzwerk «Cyber Islamic Resistance» (auch: Islamic Cyber Resistance Axis) koordiniert Gruppen wie RipperSec, Cyb3rDrag0nzz und zahlreiche weitere für synchronisierte DDoS-Wellen, Datenlöschoperationen und Defacements. Bis Anfang März 2026 wurden über 150 dokumentierte Hacktivismus-Vorfälle gezählt, wobei ca. 60 einzelne Gruppen aktiv sind – darunter auch pro-russische Kollektive (CloudSEK Situation Report, März 2026).</p>
<p>Europol warnte am 6. März 2026 explizit vor einer erhöhten Bedrohung für die EU: «Key risks are an elevated threat of terrorism and violent extremism, increased cyber-attacks targeting EU infrastructure, a rise in conflict-themed online fraud schemes, and the spread of disinformation and influence campaigns.» Frankreich, Deutschland und andere EU-Staaten haben ihre Sicherheitsmassnahmen erhöht, da iranische Netzwerke auch in Europa operativ sind.</p>
<p><b>Welche konkreten Cyberrisiken entstehen daraus für europäische Organisationen?</b></p>
<p>Das <a href="https://www.ncsc.gov.uk/cyber-governance-for-boards/overview" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">UK National Cyber Security Centre (NCSC)</a> hat Anfang März 2026 eine explizite Warnung herausgegeben: Auch wenn derzeit kein signifikanter Anstieg direkter Cyberangriffe auf britische Netzwerke zu beobachten ist, warnen die Behörden: Die Lage kann sich jederzeit und mit nur geringer Vorwarnung ändern. Historisch gesehen hat Irans Cyberaktivität Europa immer wieder getroffen – Deutschland, Frankreich, Niederlande, und das vereinigte Königreich – oft als Kollateralschaden oder gezielter Sekundärangriff auf Organisationen mit Nahostbezug.</p>
<p>Das primäre Cyberrisikoprofil für europäische Organisationen im aktuellen Kontext:</p>
<ul class="bbcode_list">
<li><b>Kritische Infrastruktur (Energie, Wasser, OT/ICS)</b>: Iran hat nachweislich ICS/SCADA-Systeme als Ziele priorisiert. Die Schwachstelle CVE-2025-1960 in Schneider Electric EcoStruxure WebHMI ist bereits in iranisch-affiliierten Kampagnen ausgenutzt worden.</li>
<li><b>Rüstung, Luft- und Raumfahrt, Telekommunikation</b>: UNC1549 (Tortoise Shell) war im zweiten Halbjahr 2025 der viertaktivste iranische Akteur mit Fokus auf genau diese Sektoren.</li>
<li><b>Regierungsstellen und diplomatische Einrichtungen</b>: MuddyWater verbrachte 8 Monate unentdeckt in einem nahöstlichen Regierungsnetzwerk – ähnliche Muster sind bei europäischen Stellen zu erwarten.</li>
<li><b>Supply-Chain-Risiko</b>: Organisationen, die israelische OT-Komponenten einsetzen (z. B. bestimmte Unitronics-Systeme), gelten als indirekte Ziele nach dem Angriffsmuster der CyberAv3ngers-Kampagnen von 2023–2024.</li>
<li><b>Organisationen mit Iran-nahen Mitarbeitern oder Diaspora</b>: Iranische Akteure führen aktiv Verfolgungsoperationen gegen Regime-Gegner in Europa durch, inklusive physischer Bedrohungen nach Cyber-Kompromittierung.</li>
</ul>
<p><b>Typische Angriffstechniken iranischer Cyberoperationen</b></p>
<p>Irans Cyberarsenal ist heterogen: Es reicht von hochkomplexen APT-Kampagnen bis zu kriminell genutzten Ransomware-Frameworks. Das Besondere ist die strukturelle Vermischung: Staatlich gesteuerter Zugang wird für kriminelle Zwecke monetarisiert, während gleichzeitig plausible Abstreitbarkeit staatlicher Beteiligung gewahrt bleibt. Sicarii – eine seit Dezember 2025 aktive RaaS-Operation – hat einen kritischen Defekt: Die Malware löscht ihre eigenen Entschlüsselungsschlüssel nach der Verschlüsselung, was eine Wiederherstellung dauerhaft unmöglich macht, unabhängig von einer Lösegeldzahlung (Halcyon, März 2026).</p>
<p>Technisch operieren iranische Gruppen bevorzugt über: Ausnutzung von VPN-Gateways und Firewalls (Pulse Secure, Fortinet, Palo Alto, F5, Citrix), ASPX-Webshells auf exponierten Servern, Living-off-the-Land-Techniken (LOLBins) für Persistenz und laterale Bewegung sowie KI-gestützte Spear-Phishing-Kampagnen mit hohem Personalisierungsgrad.</p>
<p><b>China: Stille Präsenz in staatlichen Netzwerken – eine unterschätzte Bedrohung</b></p>
<p>Während der Iran mit lautem Hacktivismus und politisch aufgeladenen Operationen auffällt, agiert China nach dem gegenteiligen Prinzip: maximale Stille, minimale Spuren, langfristige Positionierung. Dieser Paradigmenwechsel ist in den letzten zwei Jahren immer deutlicher geworden: China verschiebt seinen Fokus von klassischer Industrie- und IP-Spionage hin zu staatlichen Organisationen und kritischer Infrastruktur.</p>
<p>Volt Typhoon – die bekannteste chinesische APT-Gruppe für Infrastruktur-Targeting – wurde in einigen US-Netzwerken über fünf Jahre unentdeckt betrieben. CISA-Direktorin Jen Easterly formulierte es klar: Was bisher gefunden wurde, ist «wahrscheinlich nur die Spitze des Eisbergs.» Volt Typhoon nutzt ausschliesslich Living-off-the-Land-Techniken – keine Malware, nur native Systemtools. Das macht traditionelle signaturbasierte Erkennung weitgehend wirkungslos.</p>
<p>In Europa sind chinesische Cyberoperationen längst angekommen: Die niederländischen Dienste MIVD und AIVD bestätigten 2024 den ersten öffentlich attribuierten chinesischen Angriff auf das Verteidigungsministerium («Coathanger»-Malware für Fortinet FortiGate). Tschechien machte APT31 im Mai 2025 für die Kompromittierung des Aussenministeriums während der EU-Ratspräsidentschaft 2022 verantwortlich. Die EU-Aussenbeauftragte Kaja Kallas erklärte, die EU sei «bereit, Peking Kosten aufzuerlegen».</p>
<p>Salt Typhoon – eine weitere chinesische Gruppe – infiltrierte die Infrastruktur der Telekommunikation von über acht US-Anbietern, darunter CALEA-Abhörsysteme, und blieb in einigen Umgebungen bis zu drei Jahre unentdeckt. Das FBI informierte über 600 Organisationen in mehr als 80 Ländern über mögliche Kompromittierungen. ENISA warnt 2025 explizit vor sechs chinesischen APT-Gruppen (APT27, APT30, APT31, Ke3chang, GALLIUM, Mustang Panda) als «bedeutende und andauernde Bedrohungen für die EU». CrowdStrike identifiziert Vixen Panda als «die produktivste Bedrohung für europäische Regierungs- und Verteidigungseinrichtungen» (November 2025).</p>
<p>Der geopolitische Rahmen: Chinas zunehmende Abkopplung vom Westen und sein Anspruch auf Taiwan machen diese Positionierung strategisch: «Pre-Positioning» bedeutet, Zugänge zu kritischer Infrastruktur anzulegen, die im Ernstfall eines Taiwan-Konflikts aktiviert werden könnten – zur Ablenkung, Demoralisierung oder direkten Sabotage westlicher Unterstützungsstrukturen. Ein chinesischer Beamter deutete bei einem geheimen Treffen in Genf im Dezember 2024 an, dass die Infrastruktur-Hacks direkt mit der US-Militärunterstützung für Taiwan zusammenhingen.</p>
<p><b>Russland: Hybride Kriegsführung als Dauerzustand</b></p>
<p>Russland bleibt laut ENISA 2025 die aktivste staatlich gelenkte Bedrohung für die EU. APT28 (Fancy Bear, GRU) hat 2024 die SPD-Zentrale, tschechische Regierungsstellen und die Deutsche Flugsicherung (DFS) angegriffen, wobei letzteres allein Kosten von ca. 9 Mio. Euro verursachte. Frankreich machte im April 2025 die Gruppe APT28 für Cyberangriffe auf ein Dutzend Einrichtungen seit 2021 verantwortlich. Zu den betroffenen Zielen zählten unter anderen auch Strukturen der Olympischen Spiele 2024.</p>
<p>Sandworm (APT44) operiert mit seiner «BadPilot»-Kampagne seit 2022 global und war bis Dezember 2025 für destruktive Wiper-Angriffe auf Wind- und Solarparks sowie Kraftwerke in Polen verantwortlich – der erste bestätigte destruktive Angriff auf eine EU-Energieinfrastruktur. APT29 (Cozy Bear) nutzt weiterhin raffinierte <a href="https://www.infoguard.ch/de/blog/awareness-journey-zur-human-firewall" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Social-Engineering-Angriffe</a> gegen EU-Diplomaten, zuletzt mit gefälschten Weinverkostungseinladungen und der neuen WINELOADER-Backdoor. Pro-russischer Hacktivismus durch NoName057(16) – im Juli 2025 durch Europol/Eurojust in «Operation Eastwood» teilweise zerschlagen – hat in Deutschland allein 14 mehrtägige DDoS-Wellen gegen ca. 230 Organisationen verursacht.</p>
<p>Die geopolitische Lage hat sich in wenigen Wochen grundlegend verschärft. Iranische Cybermobilisierung, chinesisches Pre-Positioning und russische hybride Kriegsführung erhöhen den Cyberdruck auf Europa. Organisationen sollten nicht darauf warten, bis Angriffe entdeckt werden. <a href="https://www.infoguard.ch/de/threat-intelligence" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Threat Hunting bringt Klarheit</a>, bevor ein Angriff sichtbar wird.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=e3ab4cf3-0fa4-46cd-a521-eb838b58fb45&amp;signature=AHFS_avvPb1UrZPJRBy3YidteFOoXObJbA&amp;portal_id=1865239&amp;pageId=376313482444&amp;placement_guid=14e03e4c-96ac-4cfe-8dc8-6522c0e06b1b&amp;click=66c6d724-7abd-4610-85b2-42a0b7a7e384&amp;redirect_url=AD7p6W_9WpWpbKi8bkxg3QLp22GJKIKfwxg2iRyLzFF-4iOToXjcuQ0xzgTR29ASmTJzjXnZfcec5gFmW1B_onaXFyEJrQuA-pWXbQH3xOtPysV6tqzcFvXENu4Xy-_mJ7Ir6x_jlPejtp_gtM_N1qHzdG4lEO86o0s8b_On4bcckq_GpYAKf2KduwgaoTYxrp2P3GI-68sO5rsNsqPU5HTMk8FNGYztYCVHCb-suo4gu_1vOoYfexVPVbtGIcEDcfr9nqkh3PomJVAlN39g_2FS1rtRk97kVw&amp;hsutk=ad5ee06f65afb8f953a597a972d51915&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fthreat-intelligence-report-cybereskalation-gegen-europa&amp;ts=1773151452971&amp;__hstc=18037222.ad5ee06f65afb8f953a597a972d51915.1770891098281.1770891098281.1773151452221.2&amp;__hssc=18037222.2.1773151452221&amp;__hsfp=8f9038e6b066434dfd15bdab141e5fa6&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Proaktives Threat Hunting</b></a></p>
<p><b>Die unbequeme Wahrheit: Wie staatlich gesteuerte Cyberangriffe tatsächlich entdeckt werden</b></p>
<p>Im Alltag eines Incident Responders bestätigt sich immer wieder, was die Daten zeigen: Staatliche APT-Angriffe werden selten durch eigene Sicherheitssysteme erkannt. Mandiant M-Trends 2025 (basierend auf 450.000+ Untersuchungsstunden) zeigt: 57 % aller Kompromittierungen wurden durch externe Quellen entdeckt – nicht durch das eigene SOC oder die eigene Sicherheitsinfrastruktur. Nur 43 % der Fälle wurden intern detektiert.</p>
<p>Die mediane Verweildauer (Dwell Time) eines Angreifers im Netzwerk lag 2024 global bei 11 Tagen – in der EMEA-Region sogar bei 22 Tagen. Das bedeutet: Ein Angreifer bewegt sich im Schnitt fast drei Wochen unbemerkt durch Netzwerke, bevor eine Kompromittierung entdeckt wird. Bei Intrusionen, die erst durch externe Hinweise auffliegen, steigt die Dwell Time auf 26 Tage.</p>
<p><b>Warum viele Cyberangriffe nicht entdeckt werden?</b></p>
<p>Dafür gibt es drei strukturelle Ursachen:</p>
<ul class="bbcode_list">
<li><b>LOTL-Techniken</b>: 62 % aller Bedrohungserkennungen 2024 nutzten keine Malware (CrowdStrike). Angreifer verwenden native Systemtools – PowerShell, WMI, WMIC – die signaturbasierte Systeme schlicht nicht als bösartig flaggen.</li>
<li><b><a href="https://www.infoguard.ch/de/blog/vm-evasion-trotz-xdr-blindspots" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Blinde Flecken</a> an Perimetern</b>: 44 % der im Jahr 2024 ausgenutzten Zero-Days zielten auf Edge-Geräte wie VPNs und Firewalls – Systeme, auf welchen typischerweise kein EDR installiert ist (Mandiant M-Trends 2025).</li>
<li><b>Supply-Chain-Kompromittierungen</b>: Drittanbieter-bezogene Breaches haben sich 2025 laut Verizon DBIR auf 30 % aller Fälle verdoppelt. Die Kontrollen beim Endopfer werden vollständig umgangen.</li>
</ul>
<p>Das Präzedenzbeispiel schlechthin ist Volt Typhoon: Über fünf Jahre operierte die Gruppe unentdeckt in US-Infrastrukturen. Entdeckt wurde sie nicht durch ein SIEM, nicht durch ein EDR – sondern durch dedizierte <a href="https://www.infoguard.ch/de/blog/simulation-zentraler-als-tabletop-exercise-ttx" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Threat-Hunting-Teams</a> der CISA, die aktiv nach Kompromittierungsindikatoren gesucht haben. Der SolarWinds-Angriff (Verweildauer 8–9 Monate, 18.000 kompromittierte Organisationen) flog auf, weil FireEye beim Untersuchen eines anderen Sicherheitsvorfalls zufällig auf die Supply-Chain-Kompromittierung stiess.</p>
<p>Auch in realen Incident-Response-Einsätzen zeigt sich dasselbe Muster: Nation-State-Vorfälle werden fast nie durch Alarme der eigenen Sicherheitssysteme aufgedeckt. Sie werden meist im Zuge eines anderen Cybervorfalls entdeckt. Etwa wenn ein Incident-Response-Team im Zusammenhang mit einem Ransomware-Angriff gerufen wird und sich in der Analyse dann ein zweiter, deutlich älteren Zugangspfad zeigt. Nicht selten erfolgt die Entdeckung auch durch Hinweise von aussen: Ein CERT, eine Behörde oder ein ausländischer Partner meldet, dass die eigene Infrastruktur als Command-and-Control-Relay missbraucht wird. Das sind keine Ausnahmen, das ist der Normalfall.</p>
<p><b>Threat Hunting durch Incident Responder: Der proaktive Ausweg</b></p>
<p>Wenn reaktive Detektion systematisch versagt, braucht es einen anderen Ansatz: proaktives Threat Hunting. Threat Hunting ist die hypothesengetriebene, aktive Suche nach bösartiger Aktivität, die bestehende Sicherheitskontrollen umgangen hat – ohne auf einen Alarm zu warten.</p>
<p>Der Unterschied liegt im grundlegenden Ansatz: Statt «Wir reagieren, wenn etwas auffällt» gilt «Wir gehen davon aus, dass wir bereits kompromittiert sein könnten und suchen systematisch danach.»</p>
<p>Warum sind gerade Incident Responder die besten Threat Hunter? Weil sie wissen, wie Angreifer denken und agieren. IR-Teams kennen die Taktiken und Techniken realer Angreifer aus zahlreichen Einsätzen und verfügen über forensische Untersuchungskompetenz bei der Analyse  subtiler Anomalien. Gleichzeitig verstehen sie Persistenzmechanismen, die herkömmliche Sicherheitsteams oft übersehen. Aus demselben Grund gelang es dem Threat-Hunting-Team der CISA – einem Kreis erfahrener Incident Responder – die Gruppe Volt Typhoon zu entdecken, während automatisierte Sicherheitssysteme versagten.</p>
<p>Threat Hunting durch erfahrene Incident Responder erhöht in der aktuellen Lage die Chance, laufende APT-Angriffe zu entdecken – ob iranisch, chinesisch oder russisch.</p>
<p><b>Die zentrale Frage jeder Lagebeurteilung: «Sind wir kompromittiert?»</b></p>
<p>Incident Response beantwortet die Frage «Sind wir kompromittiert?» – forensisch, systematisch und mit Kenntnis der Taktiken, Techniken und Verfahren staatlicher Angreifer-TTPs.</p>
<p>IR-Teams suchen gezielt nach:</p>
<ul class="bbcode_list">
<li>LOTL-Artefakten und anomalem Verhalten nativer Systemtools, das durch signaturbasierte Systeme nicht detektiert wird.</li>
<li>Dormante Backdoors und C2-Channels in Perimeter-Geräten, Edge-Systemen und OT/ICS-Umgebungen.</li>
<li>Persistenzmechanismen nach iranischem, chinesischem und russischem TTP-Muster (MITRE ATT&amp;CK-basiert).</li>
<li>Supply-Chain-Kompromittierungen und vertrauensmissbräuchlichen Zugangspfaden über Drittanbieter.</li>
<li>Daten-Staging und Exfiltrations-Vorbereitung, oft wochenlang vor dem eigentlichen Angriff.</li>
</ul>
<p><b>Fazit: Proaktive Aufklärung statt reaktiver Sicherheit</b></p>
<p>Die Ergebnisse dieser Analyse bestimmen die nächsten Schritte. Organisationen, die in den kommenden Wochen und Monaten unter erhöhter Cyberbedrohung stehen – und das gilt angesichts der aktuellen geopolitischen Lage für jeden kritischen Sektor in Europa –, sollten nicht darauf warten, bis Behörden oder externe Partner sie auf eine Kompromittierung hinweisen.</p>
<p>Was Organisationen jetzt brauchen, ist keine weitere Schicht reaktiver Sicherheitstools, sondern der proaktive Blick erfahrener <a href="https://www.infoguard.ch/de/threat-intelligence" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external">Incident Responder, die Kompromittierungen gezielt aufdecken</a>.</p>
<p><a href="https://www.infoguard.ch/cs/c/?cta_guid=5c9087ce-8944-414f-abe2-1cdb35f3c56e&amp;signature=AHFS_asj0DAyYGZeUch1UbF1Ix2INA0D3g&amp;portal_id=1865239&amp;pageId=376313482444&amp;placement_guid=4943786a-b146-4444-b9a9-9dfe5251ec8c&amp;click=d01f1840-b97d-4450-9456-d2032a75855e&amp;redirect_url=AD7p6W8bG4qaa_y_b7F3I7q4iSKRMEtJ6qw8cw7SZqsNx_Jb_5-Xu6s5MX1AVrnHlq4colcrUenXqEJC_GvWIaUkJ_Nfs1cnaQIxxyQ4bF145YdGMCy_OV3LcCuQNhX3pV1jsT6wXq6d5sR8Sy-6Md0u40toZsIeW4myIZEzifmWeM59Kk854-ZGXK-QV75TCw9ouRGZHZbjNKijhEcaauXmaYaOjl8T1Az3oDY45XqkMskVmv9p4Rwt7iel9DG2hG_j1aeqRysbSluYX4JJWoHjf7GH6Km5vQ&amp;hsutk=ad5ee06f65afb8f953a597a972d51915&amp;canon=https%3A%2F%2Fwww.infoguard.ch%2Fde%2Fblog%2Fthreat-intelligence-report-cybereskalation-gegen-europa&amp;ts=1773151452943&amp;__hstc=18037222.ad5ee06f65afb8f953a597a972d51915.1770891098281.1770891098281.1773151452221.2&amp;__hssc=18037222.2.1773151452221&amp;__hsfp=8f9038e6b066434dfd15bdab141e5fa6&amp;contentType=blog-post" class="bbcode_url" target="_blank" rel="noopener nofollow" data-wpel-link="external"><b>Proaktives Threat Hunting</b></a></div>
<div class="pb-company">
<div>Firmenkontakt und Herausgeber der Meldung:</div>
<p>InfoGuard AG<br />
Lindenstrasse 10<br />
CH6340 Baar<br />
Telefon: +41 (41) 7491900<br />
<a href="https://www.infoguard.ch" target="_blank" rel="noopener nofollow" data-wpel-link="external">https://www.infoguard.ch</a></div>
<div class="pb-contacts">
<div>Ansprechpartner:</div>
<div class="pb-contact-item">Estelle Ouhassi<br />
Marketing Manager<br />
Telefon: +41 (41) 74919-00<br />
E-Mail: &#101;&#115;&#116;&#101;&#108;&#108;&#101;&#046;&#111;&#117;&#104;&#097;&#115;&#115;&#105;&#064;&#105;&#110;&#102;&#111;&#103;&#117;&#097;&#114;&#100;&#046;&#099;&#104;
</div>
<div class="pb-links">
<div>Weiterführende Links</div>
<ul>
<li>
                        <a href="https://www.pressebox.de/pressemitteilung/infoguard-ag/threat-intelligence-report-q1-26-die-geopolitische-cyberlage-europas-nach-epic-fury/boxid/1289474" target="_blank" rel="noopener nofollow" data-wpel-link="external">Originalmeldung der InfoGuard AG</a>
                    </li>
<li>
                        <a href="https://www.pressebox.de/newsroom/infoguard-ag" target="_blank" rel="noopener nofollow" data-wpel-link="external">Alle Stories der InfoGuard AG</a>
                    </li>
</ul></div>
<div class="pb-disclaimer">Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
            </div>
<p>        <img loading="lazy" decoding="async" src="https://www.pressebox.de/presscorner/cpix/tp---14/1289474.gif" alt="counterpixel" width="1" height="1" /></p>
<p>Der Beitrag <a href="https://www.presseradar.de/2026/03/10/threat-intelligence-report-q1-26-die-geopolitische-cyberlage-europas-nach-epic-fury/" data-wpel-link="internal">Threat Intelligence Report Q1/26: Die geopolitische Cyberlage Europas nach «Epic Fury»</a> erschien zuerst auf <a href="https://www.presseradar.de" data-wpel-link="internal">Presseradar</a>.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
