News & Blog

Die Nachweis- und Meldepflichten nach NIS-2 sind aktiv: Jährliche Überprüfungen, interne Audits und ein aussagekräftiges Reporting (etwa über Cert+) sind Pflicht und werden von Behörden eingefordert. Ein aktuelles und auditierbares Informationssicherheits-Managementsystem (ISMS) stellt den etablierten Standard zur Erfüllung der NIS-2-Anforderungen dar. Die Richtlinie schreibt ein ISMS nicht explizit vor, verlangt jedoch vergleichbare, dokumentierte Sicherheitsmaßnahmen und deren regelmäßige Überprüfung.

2026-Timeline:

• Q1: Letztes NIS-2-Gap beseitigen und Auditfähigkeit prüfen
• Q2: Deckung von Awareness-Pflichten durch automatisierte, individuell ausgesteuerte Trainings
• Q3/Q4: Kontinuierliche Nachweisführung für Audits/Behörden durch Dokumentation sicherstellen

Ransomware-Incidents gehören weiterhin zu den kritischsten Geschäftsrisiken. Die entscheidende Frage lautet: „Können wir morgen weiterarbeiten, wenn heute alle Systeme verschlüsselt werden?“ Ein Setup aus aktuellen, getesteten Backups (Offline & Cloud), regelmäßig geübten Notfallplänen und einer guten Vorbereitung aller Entscheider ist Pflicht.

2026-Timeline:

• Q1: Vollständige Notfallpläne/Sofortmaßnahmen erstellen, prüfen und regelmäßig üben
• Q2: Backup-Konzept prüfen (Isolation, Restore-Tests, Cloud/Hybrid)
• laufend: Lessons Learned aus Incidents regelmäßig in Prozesse zurückspielen

Viele Unternehmen tragen noch Altlasten aus der Corona-Zeit. VPN-Zugänge, die unsauber oder mit veralteter Software aufgesetzt wurden – oft noch aktiv und ohne Multi-Faktor-Authentifizierung (MFA). Diese offenen Einfallstore sind ein gefundenes Fressen für Angreifer. MFA an jeder externen Schnittstelle ist die Maßnahme mit bestmöglicher Kosten-Nutzen-Bilanz. Nicht mehr benötigte Zugänge müssen konsequent entfernt werden.

2026-Timeline:

• sofort: Altlasten-Inventur und Risk Assessment aller Remote-Zugänge
• Q2: Schnelles Durchsetzen von MFA für sämtliche externen Interfaces
• laufend: Firmware-/Patchmanagement der Zugangsgateways, regelmäßige Zugriffsreviews

Die Komplexität und Geschwindigkeit der Angriffe sind kaum noch rein intern zu stemmen – besonders in Zeiten von Fachkräftemangel. Managed Security Service Provider (MSSP) sichern Betrieb, entlasten das Team und halten die Security-Qualität hoch. Der Wechsel bzw. die Ausweitung von MSSP-Services ist ein strategisches Gebot für 2026 und wirkt auch als Risikopuffer gegen Personalengpässe.

2026-Timeline:

• Q1/Q2: MSSP-Modelle prüfen und passende Partner auswählen/ausbauen
• Q2/Q3: Betriebskritische Dienste absichern, Service-Level-Kontrollen etablieren
• Q4: MSSP-Services und Verträge regelmäßig reviewen und anpassen

KI-basierte Phishing-Angriffe, raffinierte Quishing- (QR-Code) und Smishing-Versuche (über Messengerdienste) sind inzwischen Standard. Zukunftsfähige Konzepte verlangen eine Kombination aus Awareness-Trainings, präziser Mail Security und fortgeschrittener Mobile Security mit Echtzeit-Updates durch Threat Intelligence. Menschliche Aufmerksamkeit, lernende Spam-Filter sowie geregelt vergebene Zugriffsrechte auf Mobilgeräten bieten gemeinsam den bestmöglichen Schutz.

2026-Timeline:

• Q1/laufend: Abwehrmechanismen für E-Mail und Mobilgeräte auf den aktuellen Stand der Angriffsmethoden bringen
• Q2/Q3: Simulierte Angriffe (Phishing, Quishing, Smishing) als Kontrollinstanz fest einplanen
• Q4: Review aller Schutzkonzepte für mobilen und Mailverkehr anhand echter Vorfälle und Lessons Learned

Eine unangenehme Wahrheit: Der IT-Dienstleister oder das Systemhaus kann zur Schwachstelle werden, typischerweise über Fernwartungstools. Wenn das Systemhaus kompromittiert wird, sind potenziell hunderte Unternehmen gleichzeitig betroffen. Ein gesundes Risikobewusstsein und klare Kontrollmechanismen für Drittzugriffe sind Pflicht: Wie ist der Zugriff technisch geregelt? Nutzt der Dienstleister selbst MFA? Gibt es Notfallpläne bei Incident beim Dienstleister? Wie dokumentiert und prüfbar ist der Zugriff?

2026-Timeline:

• Q1: Überblick zu allen aktiven Dienstleister-Zugängen (inkl. Fernwartungs-Lösungen) herstellen
• Q2: Vertrags- und Kontrollmechanismen für Auftragsdatenverarbeitung/Drittwartung nachziehen
• Q3/Q4: Dienstleister regelmäßig technisch und organisatorisch überprüfen, mindestens halbjährlich Audits oder Zugangstests durchführen

Quantensichere Verschlüsselung & umfassende KI-Governance sind 2026 wichtige, mittelfristige Projekte: Migration sensibler Daten, Ablösung alter Verschlüsselungsverfahren und die lückenlose Kontrolle produktiver KI-Systeme gehören jetzt auf die Roadmap. Compliance-Checks und Guideline-Updates sollten laufend geplant werden.

• MFA ist an allen Zugängen unverzichtbar, Backups müssen isoliert und getestet sein
• MSSP-Partnerschaften professionalisieren Abläufe und entlasten das eigene Team
• Awareness-Kampagnen und Security-Schutztechnik immer am Stand der Angreifer halten
• Notfallhandbuch immer aktuell halten, nicht nur „für die Schublade“
• Drittzugriffe und Dienstleister regelmäßig technisch und organisatorisch reviewen

• Priorität auf vollständiger Nachweisbarkeit aller Maßnahmen und Dokumentationen
• MSSP als strategischen Partner verstehen und aktiv einbinden
• Investitionen in Quantenkryptografie und KI-Compliance gezielt steuern
• Risiko- und Notfallbewusstsein in die gesamte Organisation tragen
• Regelmäßige Reviews und Anpassungen an veränderte Bedrohungslagen fest einplanen

2026 entscheidet sich, ob Security und Compliance nur auf dem Papier stehen oder im Alltag tragen. Wer Grundlagen wie MFA, Notfallbereitschaft und Partnerkontrolle beherrscht, Awareness und Technologie aktuell hält und den Betrieb intelligent mit MSSP ergänzt, minimiert Risiken bei maximalem Ressourcenschutz. Das Team von Securepoint steht bereit, um als erfahrener Sparringspartner und Technologieanbieter die Umsetzung konsequent zu begleiten.