Ausnutzen von SaaS-Anwendungen
Laut Forescout-Bericht verlagern Angreifer ihren Fokus von gestohlenen Passwörtern auf die Berechtigungen, die verbundenen Anwendungen gewährt werden. Durch den Missbrauch von OAuth-Zustimmungen und Aktualisierungstoken aus legitimen Integrationen in Plattformen wie Microsoft 365, Salesforce oder Slack können sie sich unbemerkt zwischen Mandanten bewegen und auch nach dem Zurücksetzen von Passwörtern weiterhin Zugriff behalten. Forescout geht davon aus, dass diese ‘Token-Hopping’-Kampagnen 2026 mit traditionellen Phishing-Angriffen um den Titel des effektivsten Angriffswegs konkurrieren werden. Verteidiger sollten ein Verzeichnis autorisierter Apps erstellen, deren Funktionen einschränken und regelmäßig ungenutzte oder verdächtige Token widerrufen.
KI-Einsatz wird zur Dienstleistung
Im Jahr 2026 wird SEaaS – ‘Social Engineering as a Service’ – zum beliebtesten Abonnementmodell der kriminellen Welt werden, so die ForeScout-Prognose. Demnach wird SEaaS mit vorgefertigten, käuflichen Kits, die KI-Stimmklone, vorgefertigte Anrufabläufe und gefälschte ‘Autorisierungs-App’-Links enthalten, einen Aufschwung erleben. Teurere Optionen bieten die Dienste erfahrener Social-Engineering-Experten, die sich von späteren Vorfällen und dem Interesse der Strafverfolgungsbehörden distanzieren möchten. Mit diesen schlüsselfertigen Paketen können selbst unerfahrene Angreifer sich als Mitarbeiter ausgeben und die Multi-Faktor-Authentifizierung durch überzeugende Helpdesk- oder Chat-Interaktionen umgehen. Angesichts der zunehmenden Verbreitung von Sprach- und Chat-Automatisierung rät Forescout dazu, jede Konversation als nicht vertrauenswürdige Eingabe behandeln und eine Verifizierung in jeden Workflow integrieren.
Vorbereitung auf Quantencomputer
Das Quantenrisiko ist nicht mehr nur theoretischer Natur. Und laut Forescout werden viele Unternehmen im nächsten Jahr erkennen, dass jedes nicht verwaltete Gerät, das sie heute einsetzen, ein zukünftiger Notfall sein kann. Netzwerke mit einer Hardware-Lebensdauer von mindestens fünf Jahren müssen mit der Planung der Krypto-Migration beginnen, indem sie ermitteln, welche Assets keine Post-Quanten-Algorithmen unterstützen, krypto-anfällige Systeme isolieren und mit Anbietern PQC-fähige Roadmaps besprechen.
Ransomware in der Lieferkette
Angreifer lernen, dass der schnellste Weg, Geld zu verdienen, nicht immer darin besteht, Dateien zu verschlüsseln oder zu veröffentlichen, sondern darin, Lieferketten als Geiseln zu nehmen. Im Jahr 2026 werde man die Entstehung von ‘Reverse-Ransom’-Kampagnen erleben, so Forescourt. Legen kleinere vorgelagerte Hersteller, Logistikdienstleister oder Service-Hubs lahm, um dann nachgelagerte Partner unter Druck zu setzen, zu zahlen, um den Betrieb aufrechtzuerhalten. Diese Taktik ermöglicht es dem Angreifer, kleinere Unternehmen mit möglicherweise schwächeren Sicherheitsvorkehrungen ins Visier zu nehmen und Geld von dem Unternehmen zu verlangen, das am ehesten in der Lage ist, zu zahlen. Dadurch wird auch die finanzielle und funktionale Abhängigkeit zwischen Unternehmen ausgenutzt, sodass ein einzelner Sicherheitsverstoß zu einer branchenweiten Krise wird. Der Schutz Ihrer Partner ist nun Teil Ihres eigenen Schutzes. Ein Beispiel für einen solchen Angriff sowie weitere Prognosen finden sie online.
Wie ein Beispiel für eine Lösegeldforderung aussehen könnte, beschreibt Forescout im folgenden Beispiel: In der industriellen Bildverarbeitung stellen PC-basierte Systeme oft eine technische Hürde dar. Die Trennung von Bildaufnahme und Datenverarbeitung führt häufig zu Latenzen, erhöhtem Platzbedarf und einem komplexen Wartungsaufwand. Besonders in schnellen Produktionslinien erschwert die Synchronisation zwischen Sensor und externem Rechner eine stabile Prozesskontrolle. ‣ weiterlesen
Präzise 2D-Inspektion mit nativer Edge-Intelligenz
An: Geschäftsleitung und Lieferkette, [DownstreamBrand] Cc: Betrieb, [CompromisedSupplierName]
Hallo [DownstreamBrand],
wir haben wichtige Arbeitsabläufe bei [ComprimisedSupplierName], die Ihre Bestellungen bearbeiten, ausgesetzt. Infolgedessen sind die Auftragserfassung und die Ausgangsverarbeitung für Ihr Konto vorübergehend ausgesetzt. Wenn Sie dies lesen, wird es in Ihrer [Region/Fabrik/DC] ab [DATUM/ZEIT, Zeitzone] zu Verzögerungen kommen.
Dies ist ein Fall von kommerzieller Erpressung.
Wir verlangen keine Zahlung von [CompromisedSupplierName]. Es handelt sich um einen kleinen Partner mit begrenzten Mitteln. Das Kontinuitätsrisiko liegt bei Ihnen, und Sie haben die Möglichkeit, es schnell zu beheben.
Lösung: Zahlen Sie eine Gebühr für die Wiederherstellung des Dienstes, um die Sperren aufzuheben und den normalen Betrieb wiederherzustellen. Betrag: [BETRAG] Frist: [DATUM/ZEIT, Zeitzone]
Kontakt: [URL des Verhandlungsportals / Fall-ID / Platzhalter für sicheren Posteingang]
Nach der Bestätigung werden wir:
– Die Sperren aufheben und den normalen Verarbeitungsstatus wiederherstellen.
– Ihren Teams eine Checkliste für die Zeit nach dem Vorfall zur Verfügung stellen, damit sie die Integrität der Abläufe überprüfen können.
– Keine öffentliche Erwähnung dieses Vorfalls vornehmen.
Mehr Edge-Geräte und IoT werden ausgenutzt
Forescout erwartet, dass Router, Firewalls, VPN-Geräte und andere Edge-Geräte sowie IP-Kameras, Hypervisoren, NAS und VoIP im internen Netzwerk – die alle außerhalb der Reichweite von Endpunkt-Erkennungs- und Reaktionssystemen liegen – zunehmend zu Hauptzielen werden. Individuelle Malware für Netzwerk- und Edge-Geräte nimmt zu und missbraucht häufig legitime Admin-Tools für heimliche Befehls- und Kontrollfunktionen. Im Jahr 2025 betrafen mehr als 20% der neu ausgenutzten Schwachstellen Netzwerkinfrastrukturgeräte. Im Jahr 2026 könnte diese Zahl auf über 30% ansteigen, da die Ausnutzung nicht verwalteter Ressourcen den perfekten Einstiegspunkt für den ersten Zugriff und die seitliche Bewegung bietet. Die Ausweitung der Bestandsaufnahme und Durchsetzung auf jedes Gerät, unabhängig davon, ob es mit einem Agenten ausgestattet ist oder nicht, wird die nächste Phase des Expositionsmanagements bestimmen.
Weitere Spezialisierung, gemeinsame Toolkits
Eine weitere Entwicklung sieht Forescout darin, dass sich im nächsten Jahr die Cyberkriminalität weiter in eine Branche von Spezialisten aufteilen wird, wobei Initial Access Broker, Datenwäscher und Erpresser die Arbeit untereinander aufteilen und Zugänge untereinander handeln. Wie der Lockbit-Leak bereits andeutet, werden sich viele der Gruppen, die Schlagzeilen machen, in Franchise-ähnliche Marken aufteilen und nicht mehr als einheitliche Organisationen auftreten. Trotz dieser Vielfalt geht Forescout davon aus, dass die meisten Gruppen jedoch weiterhin in hohem Maße auf die Wiederverwendung derselben kleinen Auswahl an Frameworks, Toolchains und Exploits angewiesen sein werden. Im Jahr 2026 wird diese Mischung aus Spezialisierung und gemeinsamen Tools die Grenzen zwischen den Bedrohungsgruppen verwischen, sodass nicht mehr Markennamen, sondern gemeinsame Verhaltensweisen der beste Indikator dafür sind, wer hinter einem Angriff steckt.
Verwirrung als Waffe
Hacktivisten haben gelernt, dass das Säen von Zweifeln genauso störend sein kann wie das Verursachen von Ausfallzeiten. Im Jahr 2026 werden Hacktivisten, Faketivisten und staatlich gelenkte Akteure laut Forescout-Prognose zunehmend öffentliche Behauptungen mit leichten praktischen Eingriffen in OT-Systeme verbinden und Betreiber zu vorsorglichen Abschaltungen zwingen, selbst wenn kein tatsächlicher Schaden entsteht – insbesondere in kritischen Sektoren wie Wasser, Energie und Gesundheitswesen. Viele dieser ‚zuerst ankündigen, später beweisen‘-Operationen werden ihre Auswirkungen übertreiben, um Betreiber dazu zu drängen, Systeme freiwillig abzuschalten. Die einzige Verteidigung ist klare Sichtbarkeit, Bedrohungserkennung und Segmentierung, um Gerüchte von der Realität zu trennen.
Forsecout-Prognosen für den DACH-Markt: ‘Reverse-Ransom’-Kampagnen treffen den Mittelstand
Die DACH-Region mit ihrem starken industriellen Rückgrat wird 2026 verstärkt ins Visier von Angreifern geraten, die sich auf Lieferkettenerpressung spezialisiert haben. Besonders gefährdet sind kleine und mittelständische Zulieferer in Branchen wie Maschinenbau, Automotive und Logistik – also genau jene Unternehmen, die das Rückgrat der regionalen Wirtschaft bilden. Diese Betriebe verfügen häufig über schwächere Cyberhygiene, sind aber kritisch für die Produktion großer Marken. Laut Prognose werden Angreifer diese Asymmetrie ausnutzen, um durch die Lahmlegung von vorgelagerten Partnern Druck auf große Hersteller und Auftraggeber auszuüben – ganz im Sinne eines ‚Reverse-Ransom‘-Modells. Da in DACH-typischen Just-in-Time-Prozessen jeder Stillstand spürbare Folgen hat, wird der wirtschaftliche Schaden durch Ausfälle schnell existenzbedrohend. Zudem wächst der regulatorische Druck: Unternehmen müssen nach NIS2 künftig auch die Cyberresilienz ihrer Lieferanten nachweisen. Forsecout rät Unternehmen dazu, ihre Lieferkette als erweitertes Angriffs- und Schutzgebiet zu begreifen. Dazu gehöre, Lieferanten zu klassifizieren, Sicherheitsstandards in Einkaufsrichtlinien zu integrieren und technische Sichtbarkeit über alle Partner hinweg sicherzustellen. Der Schutz von Partnerunternehmen sieht Forescout künftig gleichbedeutend mit dem Schutz des eigenen Betriebs.
Veränderte Sicherheitsstrategien in DACH-Markt
Im Jahr 2026 werden Cybersecurity-Entscheidungen in der DACH-Region zunehmend durch regulatorische Anforderungen und den Ruf nach digitaler Souveränität bestimmt. Mit der Umsetzung von NIS2 und den verschärften Anforderungen des BSI müssen viele Unternehmen ihre Sicherheitsarchitekturen neu denken – insbesondere im Hinblick auf Transparenz, Auditierbarkeit und Datenresidenz. Während internationale Cloud-Anbieter mit ’EU-only’-Zonen und neuen Compliance-Zertifizierungen um Vertrauen werben, geraten lokale MSPs und IT-Dienstleister unter Druck, durchgängige Nachweise über Sicherheits- und Monitoringprozesse zu liefern. Gleichzeitig zwingt der Fachkräftemangel viele Organisationen dazu, kritische Sicherheitsfunktionen auszulagern – was wiederum neue Abhängigkeiten und Risiken schafft.
Nach Ansicht von Forescout sollten CISOs Compliance nicht als bürokratische Hürde, sondern als Wettbewerbsvorteil begreifen. Wer heute in automatisierte Sichtbarkeit, Agentless Detection und nachvollziehbares Expositionsmanagement investiert, erfüllt nicht nur gesetzliche Auflagen, sondern stärkt auch die eigene Position am Markt – denn 2026 wird Cyber-Compliance zu einem entscheidenden Kaufkriterium.
