2025 im Rückblick. 2026 im Ausblick: KI, NIS2 und die wichtigsten Cybersecurity-Trends

Show Notes

In dieser Folge von Cybersecurity Basement sprechen Michael und Andreas über die wichtigsten Cybersecurity-Trends des Jahres 2025 und darüber, was Unternehmen 2026 wirklich erwartet.

Gemeinsam ordnen sie ein, wie KI in der Cybersecurity Angriffe und Verteidigung verändert hat, warum NIS2 für viele Organisationen mehr als nur ein Gesetz ist und welche Trends sich in der Praxis tatsächlich durchgesetzt haben. Dabei geht es nicht um Buzzwords, sondern um reale Vorfälle, konkrete Beobachtungen aus dem Alltag von Security-Teams und ehrliche Einschätzungen zur aktuellen Lage der IT-Sicherheit.

Michael und Andreas diskutieren unter anderem:

• KI-Agenten auf Angreifer- und Verteidigerseite
• NIS2 und die Auswirkungen auf Unternehmen und Entscheider
• Cyberangriffe, Lieferkettenrisiken und kritische Infrastrukturen
• Warum Strategie wichtiger ist als Tools
• Welche Entwicklungen 2026 an Relevanz gewinnen werden

Ein fundierter Rückblick auf 2025 und ein realistischer Ausblick auf das, was kommt.

 👉 Ergänzend zur Folge:
Im begleitenden Blog werfen wir einen strukturierten Blick auf alle Podcastfolgen aus 2025 und fassen zentrale Themen, Learnings und Entwicklungen zusammen. Ideal, wenn ihr das Jahr noch einmal kompakt nachlesen oder einzelne Episoden gezielt vertiefen möchtet: Cybersecurity Basement: Die Themen, die unser Jahr geprägt haben

Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:

Cybersecurity Basement - Media Kit

Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok

Transcript

Michael
Hallo und herzlich willkommen zu einer neuen Ausgabe von Cybersecurity Basement, dem Podcast für echten Security Content. Und heute ist die letzte Folge des Jahres. Wir blicken zurück auf das Jahr 2025. Was hat die Cybersecurity-Industrie bewegt? Was hat uns bewegt? Was hat euch bewegt? Und darüber möchte ich heute mit meinem Stammgast sprechen. Andreas Papadaniil, herzlich willkommen.

Andreas
Ja, danke dir. Schön, dass ich mal wieder hier sein darf.

Michael
Ja, es ist unglaublich. Es ist schon wieder ein Jahr rum. Wir haben es wieder mal geschafft, alle zwei Wochen eine Folge rauszubringen. In diesem Zusammenhang vielleicht auch noch mal Danke an alle, die zuhören und Feedback geben, Fragen stellen. Das motiviert uns, hier weiterzumachen. Und wir haben auch 2026 nicht vor, damit aufzuhören. Ich denke auch, dass wir dich, Andreas, nächstes Jahr noch das eine oder andere Mal als Gast begrüßen dürfen.

Andreas
So viel zur Konsistenz.

Michael
King, King. Ja, dann lass uns doch mal zurückblicken. Erstes Quartal 2025: Gibt es ein Thema, was dir direkt in den Sinn kommt?

Andreas
Du weißt, dass ich sehr schlecht bin darin, Zeiten und Dinge zusammenzubringen, über eine Timeline zu gehen und dann zu sagen, erstes Quartal war genau diese Nummer. Nur Sicherheitsvorfälle vielleicht, aber die gibt es ja jedes Quartal.

Michael
So nah dran. Wir haben uns im Januar verstärkt mit dem Thema Strategien rund um Cybersecurity beschäftigt. Also was ist eigentlich eine Cybersecurity-Strategie? Warum braucht man das? Warum ist es wichtig? Und vielleicht als kleine Einstiegsfrage an dich: Warum ist Cybersecurity nicht unbedingt ein alleiniges Thema der IT-Abteilung?

Andreas
Da IT nicht zum Selbstzweck existiert, sondern wir damit Geschäftsprozesse abbilden wollen, muss man schon sagen, dass das zusammengehört. IT ist dafür da, dass Businessprozesse laufen, und IT-Sicherheit ist im Endeffekt nicht nur da, um IT sicherer zu machen, sondern um die Businessprozesse am Laufen zu halten. Wenn man sich die vielen Verschlüsselungstrojaner anschaut, die jedes Jahr erfolgreich Umgebungen in die Knie zwingen, also den Betrieb lahmlegen, dann sieht man genau, was passiert, wenn man Sicherheit nicht im Griff hat. Und damit du deine Sicherheit im Griff hast, empfehle ich natürlich eine angemessene Strategie und das nicht dem Zufall zu überlassen.

Michael
Gute Antwort, fundierte Antwort. Hast du denn, wenn du an 2025 denkst, irgendeinen Sicherheitsvorfall im Kopf, der dir besonders in Erinnerung geblieben ist?

Andreas
Tatsächlich waren einige krasse Nummern dabei, gerade auch in letzter Zeit. Aber wenn ich so historisch rangehe, war es das Thema Updates, ein Thema, dem ich mich sehr gerne widme.

Michael
Ah ja, stimmt, dazu haben wir auch mal eine Folge gemacht.

Andreas
Wo ich morgens aufgewacht bin und dachte: What the fuck? Was ist denn hier los? Die Flugzeuge bleiben am Boden, Flughäfen funktionieren nicht, kritische Infrastrukturen sind betroffen. Und das alles im Endeffekt wegen Updates, die uns sicher machen sollten, aber das Gegenteil bewirkt haben.

Michael
Ja, das war tatsächlich ein Moment, der die Branche ziemlich durchgerüttelt hat. Komischerweise gab es ja auch schnell Kommentare dazu, dass so etwas durchaus mal passieren kann und natürlich nicht passieren sollte und im besten Fall auch nicht so oft. Und ich glaube, nachhaltig geschadet hat es jetzt gar nicht so sehr, wie wir vielleicht am Anfang dachten oder hätten denken können. Dennoch glaube ich, dass die Hersteller daraus gelernt haben und ihre Prozesse noch einmal sorgfältiger geprüft haben, wenn es darum geht, Updates live zu stellen.

Andreas
Ja, ich glaube auch, der Aktienkurs ist dann noch mal ein bisschen runtergerutscht, aber danach auch schnell wieder hoch. Das heißt, der Impact war überschaubar. Ich hoffe, dass Qualitätssicherungsprozesse noch mal überdacht wurden. Und auf der anderen Seite natürlich auch die kritischen Infrastrukturen. Man muss überlegen, das sehe ich sehr oft: zurück zum Thema Strategie. Du hast irgendeinen Pain oder Bedarf und sagst, ich möchte meine IT-Sicherheit verbessern. Und dann ist sehr viel toolgetrieben. Du sagst zum Beispiel, ich möchte Netzwerksegmentierung machen, ich möchte da sicherer werden. Ja, dann ist Scaler einer der Marktführer. Das gucke ich mir an, mache zwei, drei Vergleiche, um mir Alternativen anzuschauen.

Andreas
Aber das ist dann die Lösung. Ich will irgendwas in dem Bereich machen, ihr seid die Besten, also nehme ich das Tool. Sehr viel ist toolgesteuert. Aber im Endeffekt ist die Software einer der kleinsten Teile, weil alle sagen, wir bleiben bei diesem Beispiel Endpoint. Die meisten haben dieselben Intelligence-Quellen, dieselben Datenbanken, Schwachstellen. Die meisten funktionieren relativ ähnlich. Selbst wenn du dir Tests bei AV-Labs und Co anschaust, hat der eine 98, der andere 95. Diese Tools sind super effizient und alle ziemlich gut. Aber viel wichtiger ist die Konfiguration. Wie ist dieses Tool konfiguriert und wie passt es im Detail zu meiner Infrastruktur?

Andreas
Und da muss man sagen, wenn ich eine kritische Infrastruktur betreibe, ist es vielleicht nicht ratsam, automatische Updates einzuspielen, ohne die vorher zu testen. In dem Fall war es, glaube ich, so, dass der Kunde gar keine Wahl hatte. Die Updates wurden automatisch eingespielt und man konnte kein Häkchen setzen. Kann sein, dass mittlerweile ein Feature dafür eingebaut wurde. Aber dann muss man sagen, dieser Virenscanner ist an der Stelle nicht für kritische Infrastrukturen geeignet. Für Bürokommunikation ist das kein Thema. Und die Punkte liegen im Detail. Ich glaube sogar, dass in den Lizenzbedingungen stand, dass das nicht in kritischen Infrastrukturen genutzt werden sollte oder keine Haftung übernommen wird.

Andreas
Das ist natürlich auch ein bisschen aus der Affäre ziehen. Aber was ich sagen will: Schau nicht nur auf Marketingversprechen, sondern habe Berater oder Inhouse-Leute, die sich damit auseinandersetzen und das richtige Tool für die richtige Infrastruktur auswählen, mit korrekter Konfiguration und Ressourcen für den täglichen Betrieb. Das passiert, wenn du strategisch rangehst. Du unterscheidest normale Infrastruktur von kritischer Infrastruktur und definierst Anforderungen. Und nicht einfach: Ich brauche Virenscanner für alle PCs, mache drei Angebote und nehme den Marktführer. Dann passiert dir so eine Nummer.

Michael
Marketingversprechen und kritische Infrastrukturen sind eine super Überleitung zum nächsten Punkt. Denn das Thema wirst du schon erahnen: NIS2. Fast jeder Provider und Hersteller hat es in seiner Marketingkommunikation eingebaut. Es gab Referentenentwürfe, Kritik, Anpassungen. Und jetzt sieht es zum Ende des Jahres so aus, als würden wir im Januar mit einem fertigen Gesetz konfrontiert werden. Für viele Unternehmen heißt das: Wir müssen schauen, inwieweit wir die Anforderungen schon erfüllen. Glaubst du, das wird nächstes Jahr ein Treiber? Und wie hast du die Diskussionen rund um NIS2 erlebt?

Andreas
Es war bereits ein Treiber, gerade bei Großkonzernen, die sich seit Monaten vorbereiten, weil sie wissen, dass Veränderungen dort lange dauern. Viele Gesellschaften, große Entscheidungskreise, riesige Infrastrukturen über Länder hinweg. Da musst du früh starten. Was schade ist: kleinere Unternehmen, die sowieso nicht gut ausgestattet sind. Große haben eigene Security-Ressourcen, internationale Erfahrung. Kleinere müssen ohnehin viele Regularien stemmen. Und dann stellt man sich Fragen: Bin ich betroffen? Wann kommt das Gesetz? Was muss umgesetzt werden?

Andreas
Gerade im SMB-Bereich nimmt das jetzt Tempo auf. Geschäftsführer wissen, dass die Haftung kommt. Dinge werden klarer. Ich denke, es geht schnell in die Umsetzung. Und ich bin ein Fan davon, was gefordert wird. Anders als bei der DSGVO haben wir konkrete Maßnahmen. Das ist gut umsetzbar.

Michael
Ja, es stehen Dinge drin, aber nicht immer so konkret, dass ein Unternehmer genau weiß, was zu tun ist. Ich denke, die Praxis wird zeigen, was ausreichend ist. Systeme zur Früherkennung: Welche genau? Aber ich hoffe, dass sich das schnell klärt.

Andreas
Ich denke, das ist bewusst offener gehalten. Das BSI hat ja auch Dokumente veröffentlicht, die das konkretisieren. Wenn du dich daran hältst, bist du gut aufgestellt. Und ich sehe immer wieder: Unternehmen, die verschlüsselt wurden, hätten mit Früherkennung früh reagieren können. Das ist eine Maßnahme mit extrem hoher Wirkung. Und man sieht gerade, dass halb Deutschland nach Managed Security Providern sucht, um genau das abzudecken.

Michael
Ein weiterer Punkt: KI-Agenten. PwC prognostizierte für 2025 neue Player im Bereich Cybersecurity. Denkst du, der Trend ist gestartet oder sehen wir den Peak erst 2026?

Andreas
Ich gehe stark davon aus, dass es 2026 noch mal zunimmt. Wir haben erste Angriffe gesehen, etwa Berichte von Anthropic. Die Frage ist, wie viele unentdeckt geblieben sind. Die Sichtbarkeit ist nach wie vor schlecht. Aber wir sehen, dass es funktioniert. Angriffe werden effizienter. Früher war ein Angreifer 180 Tage im Netzwerk. KI-Agenten verkürzen das auf Minuten. Das macht Reaktion extrem schwer.

Andreas
Wir hatten Fälle, wo Angreifer Daten exfiltriert haben und kurz vor der Verschlüsselung entdeckt wurden. Mit KI passiert das alles viel schneller. Ohne Automatismen hast du kaum noch eine Chance.

Michael
Gleichzeitig bauen Unternehmen eigene KI-Agenten für Produktivität. Wie groß ist das Risiko, dass diese manipuliert werden?

Andreas
Das passiert heute schon. Man speist gezielt Informationen ein, um Antworten zu beeinflussen. Es gibt erste Testing-Tools. Aber als Unternehmen kannst du wenig tun. Du musst dich auf die Anbieter verlassen und deren Sicherheitsmaßnahmen prüfen. Wir sind da noch in den Kinderschuhen.

Michael
Ein weiteres Thema: Third-Party Risks. PwC prognostizierte höhere Budgets für Lieferkettensicherheit. Mein Eindruck: Der Trend ist noch nicht richtig angelaufen. Wie siehst du das?

Andreas
Ich verstehe den Aufwand. Aber es gibt Möglichkeiten, Prozesse effizient zu gestalten, auch toolgestützt. Viele Anbieter spezialisieren sich darauf. Langfristig wird es mehr Automatisierung geben. Denn 200 PDFs mit Schulnoten helfen niemandem.

Michael
Eigentlich müsste man Feedback geben und Maßnahmen einfordern. Aber mit tausenden Lieferanten ist das kaum machbar.

Andreas
Wie bei allen Gesetzen: Erst kommt die Forderung, dann fühlt man sich alleingelassen. Aber mit der Zeit entstehen Best Practices. In ein paar Jahren läuft das effizient. Wichtig ist, anzufangen.

Michael
Nächster Trend: Digitale Souveränität. 2025 viel diskutiert. Wie ist dein Eindruck?

Andreas
Das Thema ist wichtig, aber man muss differenzieren. Komplett alles in Europa zu machen ist nicht praktikabel. Die IT-Welt findet in den USA statt. Aber für kritische Infrastrukturen macht Souveränität Sinn. Man wird nie zu 100 Prozent souverän sein, aber man kann bewusste Entscheidungen treffen.

Michael
Es gibt europäische Anbieter, Pilotprojekte, neue Rechenzentren. Das schafft mehr Auswahl.

Andreas
Genau. Wir werden souveräner, aber nicht vollständig. Und das ist okay.

Michael
Letzter Trend: Mehr Schutz für OT und IoT. Hast du 2025 hier einen Peak gesehen?

Andreas
Ehrlich gesagt nicht. OT-Security ist vielerorts schlecht. Alte Systeme, keine Budgets, unklare Verantwortlichkeiten. Ich glaube, der Schmerz kommt erst noch. Mit KI-gestützten Angriffen werden auch OT-Systeme gezielt angegriffen. Dann wird investiert werden.

Michael
Was wünschst du dir für 2026, einmal als Security-Verantwortlicher und einmal als Geschäftsführer?

Andreas
Als Geschäftsführer: Setzt euch mit Sicherheit auseinander. Neue KPIs, neue Reports. Als Security-Verantwortliche: Lernt, managementgerecht zu kommunizieren. Beziffert Risiken, zeigt Impact. NIS2 hilft dabei. Aber beide Seiten müssen aufeinander zugehen.

Michael
Wir sind ja selbst betroffen und müssen die Anforderungen erfüllen.

Andreas
Für uns ist es ein Heimspiel, weil wir alles, was wir verkaufen, selbst leben. ISO 27001, SOC, Plattformen. Wir haben uns extern zertifizieren lassen. Das kommt uns jetzt zugute.

Michael
Das klingt nach einem spannenden neuen Jahr. Vielen Dank fürs Zuhören. Wenn ihr Wunschthemen habt, schickt sie gerne rein. Wir haben spannende Gäste geplant. Bleibt dran, bereitet euch auf NIS2 vor. Andreas, danke dir.

Andreas
Sehr gerne.

Michael
Vielen Dank fürs Zuhören. Bleibt sicher und gesund.

Andreas
Tschüssi.