Starker Start ins Jahr: 10 wichtige Fragen, die sich jedes IT-Team stellen sollte

Kritische Security-Prioritäten und strategische Maßnahmen für IT-Führungskräfte im Jahr 2026

Die wichtigsten Erkenntnisse

• Überprüfen und verstärken Sie regelmäßig Ihre Sicherheitslage am Jahresbeginn, um neuen und sich entwickelnden Bedrohungen immer einen Schritt voraus zu sein.
• Ermitteln Sie die Angriffsvektoren, die Ihr Unternehmen am ehesten treffen könnten, indem Sie Branchentrends, Personal und Nutzerverhalten berücksichtigen.
• Bewerten Sie die Veränderungen in Ihrer IT-Umgebung im Verlauf des letzten Jahres, insbesondere die Einführung von Technologien wie KI, die neue Risiken mit sich bringen können.
• Achten Sie auf neu entstandene Bedrohungen wie Prompt Injection und Vibe-Coding-Schwachstellen in KI-gestützten Anwendungen.
• Implementieren Sie Tools zur automatischen Code-Überprüfung für KI-generierten Code, um Sicherheitsrisiken zu minimieren.
• Verfolgen Sie Strategien, um kompromittierte Zugangsdaten frühzeitig zu erkennen und die Auswirkungen von Kontoverletzungen zu minimieren.

Neues Jahr, neues Glück – also gibt es keinen besseren Zeitpunkt, um Ihre Sicherheitslage zu überprüfen. Nutzen Sie die neue Energie, um Ihre Schwachstellen, Erkennungsmethoden und organisatorischen Abläufe grundlegend zu analysieren. Beantworten Sie diese 10 Fragen, um sich bestmöglich auf ein weiteres Jahr mit voraussichtlich rekordverdächtigen Cyberangriffen vorzubereiten.

Frage 1: Welche Angriffsvektoren haben derzeit die größten Erfolgsaussichten bei uns?

Um diese Frage zu beantworten, müssen Sie sich Ihre Branche, Ihre Mitarbeiter und Ihre Nutzer genau ansehen. 2025 dominierten Angriffe per Ausnutzung von Schwachstellen, allerdings nicht bei allen Unternehmen. Wenn Sie ein extrem gut entwickeltes Patch-Programm haben, ist ein anderer Angriffsvektor wahrscheinlicher. Sie sollten beispielsweise eher nach Insider-Bedrohungen Ausschau halten.

Frage 2: Was hat sich in den letzten 12 Monaten in unserem Umfeld verändert, sodass sich das Risiko erhöht hat?

Vielleicht haben Sie einen neuen CISO bekommen oder Ihre Abteilung wurde verkleinert. Vielleicht haben Sie eine Altanwendung modernisiert oder Ihren Serverraum in die Cloud verlegt. Wenn Ihre Organisation so ist wie die 88 % der Unternehmen, die diese Technologie 2025 eingeführt haben, hängt Ihr größter neuer Risikogenerator wahrscheinlich mit KI zusammen. Hier gibt es Folgendes zu bedenken:

• Prompt-Injection-Angriffe nutzen das KI-Äquivalent von Social Engineering, um Chatbots zur Preisgabe von Informationen wie Passwörtern zu bringen.
• Vibe-Coding bedeutet, dass KI-Agenten automatisch Code generieren, wobei bis zu 50 % der Vibe-Coding-Beispiele Schwachstellen enthalten.

Kodieren Sie eine Ihrer Apps mit KI oder verwenden Sie Apps, die möglicherweise KI-generierten Code enthalten? Wenn ja, müssen Sie geeignete Technologien einsetzen, wie zum Beispiel automatisierte Code-Überprüfungen.

Frage 3: Wie sicher sind wir, dass wir kompromittierte Zugangsdaten frühzeitig erkennen können?

Sobald Sie Ihre Angriffsfläche definiert haben, ist es an der Zeit, sich zu fragen, was passiert, wenn bösartige Akteure Ihre Schwachstellen als Waffe einsetzen. Dies geschieht oft in Form eines kompromittierten Kontos, das Angreifern die Möglichkeit gibt:

1. die Identität von Mitarbeitern, Anwendungen und Infrastruktur zu missbrauchen
2. ihre Berechtigungen zu eskalieren
3. Verbreiten Sie Malware in Ihrem gesamten Netzwerk
4. kritische Daten zu verschlüsseln oder zu exfiltrieren.

Im Idealfall erkennen Sie ein kompromittiertes Konto bereits in der Phase des Identitätsmissbrauchs oder der Eskalation. Dazu ist eine Verhaltenserkennung nötig, die sich sowohl auf Personen als auch auf Software bezieht. Sind Sie in der Lage, zuvor als vertrauenswürdig eingestufte Apps zu erkennen, die über eine hohe Portanzahl mit C2-Servern kommunizieren? Können Sie feststellen, wenn sich einer Ihrer Mitarbeiter außerhalb der Arbeitszeit von einem neuen Gerät an einem anderen Ort einloggt?

Frage 4: Welche Nutzer, Systeme oder Identitäten würden im Falle einer Kompromittierung den größten Schaden anrichten?

Das ist die logische Folgerung von Frage 3. Gemeint ist damit eigentlich: „Wenden Sie derzeit das Prinzip der geringsten Privilegien an?“ Jetzt haben Sie die Gelegenheit, Ihre Konten zu überprüfen und herauszufinden, ob jemand Zugriff auf Admin-Ebene hat, den er nicht benötigt. Im Idealfall haben nicht einmal Ihre C-Level-Konten Administratorrechte. Stattdessen gilt als Best Practice, Administratorberechtigungen nur vorübergehend zuzuweisen, die automatisch ablaufen, wenn sie nicht mehr benötigt werden.

Frage 5: Wissen wir, wer in den ersten 24 Stunden nach einem schwerwiegenden Vorfall etwas unternimmt?

Sicherheitsvorfälle – selbst schwerwiegende Vorfälle – sind nahezu unvermeidlich. Was nicht unvermeidlich ist, sind die Auswirkungen eines schwerwiegenden Vorfalls. Eine gut geplante Reaktion kann die Auswirkungen eines großen Datenlecks erheblich abmildern. Eine gute Reaktion wäre beispielsweise:

• Aufsichtsbehörden, Strafverfolgungsbehörden und betroffene Kunden benachrichtigen
• Die Verschlüsselung der von Ransomware betroffenen Daten rückgängig machen
• Dokumentenverluste und möglicherweise den Verkauf gestohlener Informationen verfolgen
• Forensische Daten von betroffenen Anwendungen, Endpunkten und Infrastruktur erfassen
• Betroffene Systeme unter Quarantäne stellen, um die weitere Verbreitung von Malware zu verhindern
• Zusammenarbeit mit Sicherheitsforschern, um neuartige Exploits zu identifizieren.

Alles hängt davon ab, dass die Verantwortlichen ihre Rollen nach den Folgen einer Datenschutzverletzung kennen. Wenn alles nach Plan läuft, können Sie möglicherweise Ihre Daten wiederherstellen, die Verschlüsselung rückgängig machen und Informationen liefern, die zur Verhaftung Ihrer Angreifer führen. Ohne einen Plan geraten Sie in Schwierigkeiten mit den Aufsichtsbehörden, in Konflikt mit Ihren Kunden und laufen Gefahr eines erneuten Angriffs.

Frage 6: Wie sichern Sie Ihre sensibelsten Daten?

Sie führen doch sicher Backups durch. Obwohl die meisten Unternehmen ihre Daten sichern, sind Backups allein nicht ausreichend, um sich vor Ransomware, Naturkatastrophen oder Geräteausfällen zu schützen. Das liegt daran, dass viele Unternehmen ihre Daten nicht an Remote-Standorten oder Offline-Stellen sichern.

Deshalb ist es ratsam, eine Variante der 3-2-1-Regel zu verwenden, die besagt:

• Drei: Bewahren Sie drei Backups Ihrer Daten auf
• Zwei: Nutzen Sie dafür zwei unterschiedliche Medien, z. B. eines in der Cloud und eines auf Band
• Eins: Ein Offsite-Backup

Vielleicht gehen Sie bereits so vor, aber es schadet nie zu überprüfen, ob das theoretische Schema tatsächlich in der Praxis anwenden. Dadurch werden Backup-Fehler vermieden und die Wahrscheinlichkeit erhöht, dass das Gros der Daten im Falle eines Vorfalls wiederhergestellt werden kann.

Frage 7: Was verlieren Sie im Falle eines Ransomware-Angriffs zuerst?

Entsprechend der obigen Frage ist es sinnvoll zu fragen, welche Teile Ihrer Arbeit am anfälligsten für Verschlüsselung sind. Viele Unternehmen erstellen täglich, wöchentlich und monatlich Backups nach dem sogenannten „Großvater-Vater-Sohn“-Prinzip. Aufgrund der Häufigkeit des „Sohn“-Backups (täglich) wird es normalerweise vor Ort oder in der Cloud gespeichert, damit es schnell abgerufen werden kann. Diese Backups sind jedoch anfällig für Ransomware.

Der Verlust eines täglichen Backup – oder einer ganzen Woche an täglichen Backups – mag auf den ersten Blick nicht so schlimm erscheinen. Aber es gibt definitiv Zeiten, in denen der Verlust einer Arbeitswoche extrem schädlich sein kann. Sind Systeme vorhanden, die sicherere Backups während arbeitsintensiver Phase durchführen?

Frage 8: Wie bekämpfen Sie „Alarmmüdigkeit“?

Hier ein hypothetisches Beispiel: Angenommen, Sie haben ein SIEM-Tool in Ihrem SOC. Das SIEM löst einmal am Tag eine Warnmeldung mit hoher Priorität aus, die Ihr Team bis zur Quelle zurückverfolgen muss. In 90 % der Fälle handelt es sich um einen Fehlalarm. Wie lange dauert es, bis Ihr Team die Warnmeldungen ignoriert?

Information-Security-Teams müssen mit einer erschreckenden Anzahl von Fehlalarmen umgehen – bis zu 20 % aller Warnungen. Das bedeutet oft, dass wirklich schwerwiegende Warnungen im Rauschen untergehen. Man sollte sich fragen, ob ein Tool genügend echte Meldungen liefert, um das Risiko eines Burnouts durch die Fehlalarme zu rechtfertigen. Oder gibt es automatisierte oder verwaltete Lösungen, die helfen können, die wichtigen Warnmeldungen zu identifizieren?

Frage 9: Wo verlassen wir uns auf Prozesse, die sich unter Druck nicht skalieren lassen?

Die Geschwindigkeit der Information-Security ist nicht auf manuelle Prozesse ausgelegt. Denken Sie zum Beispiel an das Aktualisieren von Zugriffsberechtigungen. Bei einem Unternehmen mit 10 Mitarbeitern ist es möglicherweise noch in Ordnung, die Zugriffskontrollen manuell zu aktualisieren. In einem Unternehmen, in dem das On- und Off-Boarding von Tausenden Mitarbeitern stattfindet, lässt sich dieser Prozess nicht skalieren. Am besten implementiert man rollenbasierte Zugriffskontrolle (RBAC).

Wenn Sie sich Ihr Unternehmen ansehen, finden Sie wahrscheinlich Dutzende von Beispielen, bei denen Sie immer noch mit Tabellen und E-Mail arbeiten. Fragen Sie sich, ob diese Aufgaben durch Software automatisiert werden kann, sodass Sie sich auf wichtigere Prioritäten konzentrieren können.

Frage 10: Können Sie mit Barracuda zusammenarbeiten, um schnell sinnvolle Verbesserungen zu erzielen?

Antwort: Ja.

Manchmal bedarf es einer externen Perspektive, um Blindflecken in der Security einer Organisation zu erkennen. Bei der Zusammenarbeit mit Barracuda schlagen Ihnen Experten im direkten Kontakt sinnvolle Verbesserungen vor, die schnell Wirkung zeigen. Vereinbaren Sie eine Demo unseres Managed XDR-Angebots und erfahren Sie, wie wir Ihnen 2026 zu einer sichereren Organisation verhelfen können.