Hartnäckig hält sich die Annahme, Cloud-Infrastrukturen seien per se sicherer als klassische On-Premise-Umgebungen. Tatsächlich gilt: Sowohl lokale als auch cloudbasierte Infrastrukturen müssen gezielt und regelmässig auf Sicherheitslücken geprüft werden, allerdings mit unterschiedlichen Schwerpunkten. Architektur als Ausgangspunkt der Sicherheitsprüfung Ein fundiertes Verständnis der Systemarchitektur ist die Grundlage jeder wirksamen Sicherheitsstrategie. On-Premise-Umgebungen bieten volle Kontrolle über Hardware, Software und Konfigurationen. Das ermöglicht passgenaue Sicherheitsmassnahmen und erleichtert die Einhaltung regulatorischer Vorgaben – insbesondere bei sensiblen Daten. Gleichzeitig bleibt die Verantwortung vollständig beim Unternehmen: Wartung, Patching und physische Sicherheit müssen konsequent umgesetzt werden. Cloud-Umgebungen punkten durch Skalierbarkeit und flexible Zugänglichkeit. Diese Vorteile erhöhen jedoch auch die Komplexität. Fehlkonfigurationen, unzureichende Zugriffskontrollen oder ungeschützte Schnittstellen zählen zu den häufigsten Risiken. Cloud-native Sicherheitsmechanismen und regelmässige Prüfungen öffentlich erreichbarer Ressourcen sind daher unverzichtbar. Unterschiedliche Umgebungen, unterschiedliche Testansätze Auch bei Penetrationstests unterscheiden sich die Anforderungen deutlich. In On-Premise-Umgebungen stehen neben klassischen Netzwerk- und Protokollschwachstellen insbesondere physische Risiken und Insider-Bedrohungen im Fokus. Regelmässige Updates, der Rückbau veralteter Systeme sowie Awareness-Trainings für Mitarbeitende sind zentrale Schutzfaktoren.

Ransomware bleibt ein Dauerbrenner, KI mischt Angriffe wie Verteidigung auf und neue Vorgaben wie NIS2 erhöhen den Druck: 2026 wird für IT- und Security-Teams eine Herausforderung. Studien von ENISA, Gartner & Co. zeigen, wohin die Reise geht und was das für Unternehmen in der Schweiz und im DACH-Raum bedeutet. Was bedeuten die aktuellen Entwicklungen konkret für Ihre Security-Strategie, Ihre Projekte und Ihren Alltag? Die neue Angriffsrealität 2026: Mehr KI, mehr Erpressung, mehr Tempo Aktuelle Reports zeigen, dass Ransomware, Datenklau und Social Engineering weiterhin zu den häufigsten Vorfällen in Europa gehören. E-Mail bleibt der wichtigste Angriffsvektor, mit deutlich steigenden Zahlen bei Malware und Phishing. Neu ist nicht die Art der Angriffe, sondern Qualität und Geschwindigkeit: Angreifer nutzen KI, um Mails besser zu formulieren, Stimmen und Gesichter zu fälschen oder automatisch Passwörter zu knacken. Gleichzeitig verkürzt sich die Zeit von Erstzugang bis Verschlüsselung deutlich. Was heisst das praktisch für Unternehmen? E-Mail-Security und MFA sind Pflicht, nicht Kür – inklusive Schutz für Microsoft 365 und andere. Klassische Awareness-Kampagnen reichen nicht mehr: Mitarbeitende müssen Deepfakes, KI-Phishing und CEO-Fraud erkennen. Notfallpläne (Incident Response, Ransomware-Playbooks, Kommunikationsleitlinien) sollten konkret und getestet sein. Zero Trust, Identity und OT: Wer darf was und wie lange? Zero Trust bleibt auch 2026 auf jeder Trendliste. Der Fokus verschiebt sich allerdings: Identity First Security: Zugriffe basieren auf Identität, Kontext und Risiko, nicht auf IP-Adressen und Netzsegmenten. Privileged Access Management (PAM) stellt sicher, dass Adminrechte nur zeitlich begrenzt und nachvollziehbar vergeben werden. OT-Umgebungen (Produktionsanlagen, Gebäudeleittechnik, Energie) rücken stärker in den Fokus, weil Angriffe vermehrt dort ansetzen. Was heisst das praktisch für Unternehmen?

Unternehmen setzen zunehmend auf hybride Multicloud-Strukturen – doch viele kämpfen mit isolierten Tools, fragmentierten IP-Adressräumen und inkonsistenten Sicherheitsrichtlinien. Mit wachsender Komplexität steigt das Risiko für Fehlkonfigurationen und Sicherheitslücken. Der Schlüssel zu mehr Kontrolle und Effizienz liegt in der Vereinheitlichung des Netzwerkmanagements – und hier spielt DDI (DNS, DHCP, IPAM) eine zentrale Rolle. Zu diesen Ergebnissen kommt der EMA-Bericht «Enterprise Strategies for Hybrid, Multi-Cloud Networks». Laut EMA nutzen über 90 % der Unternehmen mehr als einen Cloud-Anbieter. Das schafft Flexibilität, aber auch neue Herausforderungen: Leistungsprobleme, IP-Konflikte und inkonsistente Sicherheitsrichtlinien gehören zu den häufigsten Stolpersteinen. Hinzu kommt die Abhängigkeit von proprietären Cloud-Tools, die Transparenz und zentrale Steuerung erschweren. Parallel treiben Digitalisierung, IoT und KI den Ausbau hybrider Architekturen weiter voran. Workloads werden verteilt, Datenverarbeitung erfolgt näher an der Quelle und der Bedarf an konsistenter Netzwerksteuerung wächst. Warum DDI entscheidend ist In zunehmend verteilten Infrastrukturen bietet DDI den notwendigen Ordnungsrahmen: Zentralisierte Verwaltung: Einheitliche Kontrolle von IP-Adressräumen, DNS-Diensten und Sicherheitsrichtlinien reduziert Fehlerquellen und stärkt die Konsistenz. Network Source of Truth (NSoT): Eine zentrale Datenbasis für netzwerkbezogene Informationen schafft Transparenz, beschleunigt Prozesse und verbessert die Automatisierung.

Operative Technologie (OT) galt lange als sicher, weil sie isoliert lief. Doch diese Zeiten sind vorbei. Vernetzung, Fernzugriffe und Cloud-Analysen machen heute alle Unternehmenssysteme angreifbar – von Produktionsanlagen über Finanz- und Verwaltungsprozesse bis hin zu kundenorientierten Services – und oft fehlt es an Schutzmechanismen, die in der IT schon Standard sind. Warum OT besonders verwundbar ist Was früher isoliert war, ist heute vernetzt. Ob Maschinen, Datenbanken oder ganze Geschäftsprozesse – Fernzugriffe und Cloud-Services schaffen Effizienz, öffnen aber auch neue Türen für Angreifende. Viele Systeme, die heute noch im Einsatz sind, wurden ursprünglich für Stabilität und eine lange Lebensdauer entwickelt, nicht aber für Cybersicherheit. Updates und Patches lassen sich in solchen Umgebungen nur schwer umsetzen, weil Ausfälle unbedingt vermieden werden müssen. Gleichzeitig setzen viele Unternehmen ihre Prioritäten nach wie vor auf Verfügbarkeit und Effizienz. Immer noch ist das Bewusstsein für Cyberrisiken in der Praxis oft gering ausgeprägt – insbesondere dort, wo Mitarbeitende nicht täglich mit IT-Sicherheit zu tun haben. All das führt dazu, dass Angreifende mit gestohlenen Zugangsdaten oder übermässigen Berechtigungen leichtes Spiel haben, um sich unbemerkt durch Systeme zu bewegen und Schaden anzurichten.

Viele Unternehmen führen Penetrationstests in festen Intervallen durch: laut dem Kaseya Cybersecurity Survey Report 2024 29 Prozent zweimal jährlich, gefolgt von drei- bis viermal jährlich (23 Prozent). Jedes fünfte Unternehmen führt sogar nur einmal jährlich einen Pentest durch. Diese Prüfungen erfüllen zwar Compliance-Anforderungen und geben einen Überblick über den aktuellen Stand. Doch sie reichen nicht aus, um die eigene Infrastruktur wirksam zu schützen. Denn Pentests sind nur eine Momentaufnahme. Ein einmal durchgeführter Test bildet lediglich den Zustand zum Zeitpunkt der Durchführung ab. In dynamischen IT-Umgebungen ändern sich Systeme, Anwendungen und Konfigurationen jedoch laufend. Jede neue Software-Version, jede Cloud-Anpassung oder jede Integration externer Dienste kann neue Schwachstellen schaffen. Angreifende nutzen diese Gelegenheiten, ohne auf den nächsten geplanten Test zu warten. Automatisierte Penetrationstests: Flexibel und effizient Automatisierte Penetrationstests ermöglichen es, Tests jederzeit und ohne grossen organisatorischen Aufwand durchzuführen. Ergebnisse liegen innerhalb weniger Tage vor, sodass Schwachstellen frühzeitig erkannt und behoben werden können. Die Vorteile: Schnelligkeit – neue Risiken werden zeitnah sichtbar. Regelmässigkeit – Tests können monatlich oder nach Bedarf angesetzt werden. Kosteneffizienz – Automatisierung macht häufigere Tests wirtschaftlich. Compliance – Vorgaben von Aufsichtsbehörden und Versicherungen werden zuverlässig erfüllt. Mit External Attack Surface Management (EASM) den Überblick behalten Viele Unternehmen wissen gar nicht genau, welche Systeme und Dienste öffentlich im Internet erreichbar sind und damit potenziell von Hacker:innen ausgenutzt werden können. Hier setzt External Attack Surface Management (EASM) an. Es erfasst alle extern sichtbaren Systeme, Anwendungen und Dienste eines Unternehmens – auch solche, die oft übersehen werden (zum Beispiel veraltete Testserver, vergessene Domains oder Schatten-IT). Diese Angriffsfläche wird kontinuierlich überwacht, sodass neue Risiken sofort erkannt werden. Zusätzlich prüft EASM, ob sensible Informationen wie Zugangsdaten im Darknet auftauchen. So behalten Unternehmen jederzeit den Überblick darüber, welche Angriffsflächen tatsächlich existieren und wie sich deren Risiko entwickelt.

Es gibt heute für viele Sicherheitslücken Patches oder Workarounds, dennoch werden Unternehmen immer wieder Opfer von Cyberattacken. Entscheidend ist der gezielte Umgang mit den gefährlichsten Schwachstellen und somit eine Priorisierung, damit Unternehmen ihre Risiken senken und ihre Abwehr nachhaltig stärken können. Entscheidend aus unserer Sicht ist die Kombination mit geschäftsrelevanten Kriterien, um echte Risiken zu erkennen. Denn nur ein kleiner Bruchteil aller Schwachstellen (2–5 %) ist tatsächlich gefährlich. Empfohlene Massnahmen: Fokus auf Geschäftsrisiken: Priorisierung der Schwachstellen, die kritische Assets gefährden. Automatisierung: Zur Effizienzsteigerung und Entlastung von Sicherheitsteams. Orchestrierung: Um die Behebung von Schwachstellen strukturiert und zeiteffizient umzusetzen. Exploit-Simulationen: Zur realitätsnahen Bewertung von Schwachstellen im Kontext eines echten Angriffs. GENESIS SWISS TEAM AG setzt auf Pentera, um Sicherheitslücken realitätsnah zu bewerten, Prioritäten richtig zu setzen und die Wirksamkeit von Massnahmen zu validieren. Warum CTEM mit Pentera die beste Lösung ist:

Obwohl es heute für nahezu jede Sicherheitslücke Patches oder Workarounds gibt, werden Unternehmer immer wieder Opfer von Cyberattacken. Ein lückenloses Patch-Management ist in der Praxis kaum realisierbar und auch nicht immer sinnvoll. Entscheidend ist der gezielte Umgang mit den gefährlichsten Schwachstellen. So können Unternehmen ihre Risiken senken und ihre Abwehr nachhaltig stärken. Angesichts der schieren Menge an Schwachstellen ist eine gezielte Priorisierung entscheidend. Zwar liefern viele Anbieter Bewertungssysteme zur Unterstützung, doch bleibt es herausfordernd, jene Schwachstellen zu identifizieren, deren Ausnutzung konkrete geschäftliche Auswirkungen haben könnte. Priorisierung ist ein proaktiver Sicherheitsansatz, bei dem nicht automatisch die Schwachstellen mit dem höchsten CVSS-Score im Fokus stehen. Es geht vielmehr darum, jene Lücken zu identifizieren, die das grösste Risiko für das eigene Unternehmen darstellen. So können IT-Teams ihre Ressourcen gezielt einsetzen und die Sicherheitslage effektiv verbessern. Strategien zur Priorisierung von Schwachstellen Beim risikobasierten Ansatz werden Schwachstellen anhand ihres potenziellen Schadens und der Wahrscheinlichkeit ihrer Ausnutzung bewertet. Nicht jede Schwachstelle ist automatisch gefährlich – entscheidend ist, ob und wie Angreifende sie tatsächlich ausnutzen könnten. In die Bewertung fliessen auch die Kritikalität der betroffenen Assets sowie die Motivation möglicher Hacker:innen ein. Bei der asset-zentrierten Priorisierung stehen Schwachstellen in unmittelbarer Nähe zu geschäftskritischen Systemen und Daten, wie beispielsweise Finanzanwendungen oder Kundendatenbanken, im Fokus, deren Ausnutzung wesentliche Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit dieser Ressourcen hätte. Durch das Einbinden aktueller Threat-Intelligence-Daten lassen sich Schwachstellen im Gesamtkontext bewerten.

Am 13. Juni dieses Jahres kam es weltweit zu massiven Ausfällen bei zwei der grössten Cloud-Infrastruktur-Anbieter: Google Cloud und Cloudflare. Betroffen waren nicht nur interne Dienste wie die Google-Cloud-Konsole oder Speicherdienste, sondern auch zahlreiche Drittanbieter, die auf diese Plattformen bauen: Spotify, YouTube, Discord, GitHub, Mailchimp und viele mehr. Google identifizierte ein zentrales Problem im Bereich Identity and Access Management (IAM) als Ursache für die Störung. Auch Cloudflare meldete Ausfälle, unter anderem bei seinen Zero-Trust-Komponenten, Edge-Diensten und KI-Funktionen. Die kaskadierenden Effekte dieser Störung betrafen weltweit Millionen von Nutzer:innen und Unternehmen. Die wichtigsten Erkenntnisse aus diesem Zwischenfall Auch Hyperscaler sind verwundbar Trotz Milliardeninvestitionen in Redundanz und Verfügbarkeit können zentrale Dienste ausfallen und tun es auch. IAM als Single Point of Failure Wenn Authentifizierung und Zugriffssteuerung zentralisiert sind, reicht ein Fehler, um komplette Strukturen unzugänglich zu machen. Cloud-Dienste sind oft voneinander abhängig Viele Dienste basieren auf anderen Cloud Services. Fällt eine Komponente aus, folgen Dominoeffekte in ganz anderen Anwendungen. Globale Reichweite bedeutet globale Störung Was in den USA beginnt, betrifft Sekunden später Europa, Asien und Australien. Wie können sich Unternehmen auf dieses Szenario vorbereiten? Fakt ist: Einen vollständigen Schutz vor Cloud-Ausfällen gibt es nicht. Aber Sie können Risiken minimieren und Handlungsfähigkeit zurückgewinnen. Zu den effektivsten Massnahmen zählen: Hybride Architekturen: Kombinieren Sie die Cloud und eigene Infrastruktur (On-Prem- oder Private Cloud). Lokale Authentifizierung: Betreiben Sie einen eigenen Identity Provider als Backup oder für kritische Zugänge (zum Beispiel mit OpenLDAP oder lokalem AD). Failover-Strategien: Arbeiten Sie mit Fallback-Lösungen für Mail, Authentifizierung, Backup-Services oder kritische Daten. Edge-Sicherheit vor Ort: Achten Sie auf Netzwerksegmentierung, physisch getrennte Zonen, unabhängige Firewalls und IDS/IPS-Lösungen, die nicht von Cloud-Diensten abhängen. Externes Monitoring: Nutzen Sie unabhängige Monitoring-Dienste zur schnellen Erkennung von Ausfällen (beispielsweise UptimeRobot oder StatusCake). Kommunikation doppelt absichern: Bieten Sie zusätzliche Kommunikationswege wie Signal, Matrix oder Out-of-Band-VPNs an. Sie können im Ernstfall entscheidend sein.

Von Michael Kleist, Area Vice President CEE bei CyberArk Das aktuelle „Bundeslagebild Cybercrime 2024“ des Bundeskriminalamts hat es nochmal bestätigt: Die Gefährdungslage durch Cyberkriminalität bleibt in Deutschland unverändert hoch, teilweise ist sogar von steigenden Gefahren auszugehen. Ein Grund dafür ist die zunehmende KI-Nutzung durch Angreifer. Auch das Lagebild kommt zum Schluss, dass KI verstärkt für kriminelle Aktivitäten eingesetzt wird. Als Beispiel dafür werden Phishing-Kampagnen und -Attacken genannt, die KI-gestützt einfacher, schneller und vor allem qualitativ besser erstellt und durchgeführt werden können. Auch bei der Entwicklung von Malware-Code sei ein stärkerer KI-Einsatz zu beobachten. Außerdem sei es im Jahr 2024 häufiger vorgekommen, dass bekannte KI-Tools missbräuchlich für cyberkriminelle Handlungen genutzt wurden. Darüber hinaus sehen wir auch in dem verstärkten KI-Einsatz in den Unternehmen selbst eine neue Sicherheitsgefahr. So hat eine von uns kürzlich durchgeführte Untersuchung ergeben, dass 94 % der befragten Unternehmen in Deutschland inzwischen KI nutzen. 89 % bestätigen dabei, dass der KI-Zugriff auf große Mengen sensibler Daten für Trainingszwecke erhebliche Risiken mit sich bringt. Besonders problematisch ist dabei, dass 66 % nicht alle verwendeten „Schatten-KI“-Tools sichern und verwalten können.

Nur wenn Sie die grössten Hürden kennen, die Hacker:innen überwinden müssen, können Sie Ihr Unternehmen effektiv schützen, indem sie gezielte Sicherheitsmassnahmen implementieren, die auf diese Herausforderungen abzielen. Damit erhöhen Sie die Sicherheit erheblich und machen es Angreifenden deutlich schwerer, erfolgreich zu sein. In diesem Beitrag zeigen wir Ihnen die grössten Hindernisse aus Sicht der Angreifenden und wie Sie Ihre  IT-Sicherheit genau darauf ausrichten können. Starke Authentifizierung Passwörter allein genügen nicht. Hacker setzen gezielt auf gestohlene Zugangsdaten. Multi-Faktor-Authentifizierung (MFA) oder zumindest Zwei-Faktor-Authentifizierung (2FA) stellt hier eine wichtige Hürde dar: Angreifende brauchen zusätzlich zum Passwort ein weiteres Authentifizierungsmerkmal wie biometrische Daten oder ein Sicherheitstoken – das deutlich schwerer zu erbeuten ist. Tipp: Überprüfen Sie, wo in Ihrem Unternehmen MFA bereits Standard ist – und wo noch nicht. Verschlüsselung als digitale Festung Datenklau bleibt wertlos, wenn die Daten unlesbar sind. Datenverschlüsselung im Speicher und Transportverschlüsselung bei der Übertragung (z.B. per HTTPS oder VPN) sind entscheidend. Hacker:innen, die an verschlüsselte Daten gelangen, können damit nichts anfangen, sofern Schlüsselverwaltung und Verschlüsselung konsequent umgesetzt sind. Tipp: Prüfen Sie, ob sensible Daten in Ihrem Unternehmen durchgängig verschlüsselt sind – auch in Backups. Updates und Patch-Management – der einfache Schutz Bekannte Schwachstellen sind der einfachste Angriffsweg. Hacker:innen durchsuchen gezielt Systeme auf bekannte Lücken. Regelmässige Updates und automatisiertes Patch-Management schliessen diese Türen zuverlässig. Tipp: Automatisieren Sie so viele Update-Prozesse wie möglich – manuelle Prozesse sind fehleranfällig. Netzwerksegmentierung – Schadensbegrenzung im Ernstfall Wer das gesamte Netzwerk flutet, hat leichtes Spiel. Netzwerksegmentierung isoliert kritische Systeme und begrenzt im Fall eines Einbruchs die Ausbreitungsmöglichkeiten für Angreifende. Tipp: Prüfen Sie, ob besonders schützenswerte Systeme von produktiven Netzen oder offenen Umgebungen getrennt sind.