Digitale Sicherheit am Wendepunkt: drei kritischen Sicherheitstrends für 2026

Die Weichen für die Zukunft der digitalen Sicherheit werden gerade neu gestellt. Die Schäden durch Cyberangriffe alleine auf deutsche Unternehmen wurden in den vergangenen zwölf Monaten auf rund 289 Milliarden Euro geschätzt und liegen damit so hoch wie nie zuvor. Die Bedrohungslage verändert sich durch neue Technologien wie Künstliche Intelligenz und – perspektivisch – Quantencomputing weiter, wodurch Angriffe komplexer und schwerer vorhersehbar werden. Selbst vertrauliche Daten, die heute durch Verschlüsselung geschützt sind, können in den falschen Händen nach dem Motto „Harvest now, decrypt later“ missbraucht werden.

Angesichts dieser Bedrohungslage betont Nils Gerhardt, CTO bei Utimaco die Notwendigkeit strategischen Handelns und nennt drei Trends, die 2026 maßgeblich über die Resilienz von Organisationen entscheiden werden.

1) Digitale Souveränität: Der Weg zur kryptographischen Unabhängigkeit

Die jüngsten Cyberangriffe auf kritische Infrastrukturen, darunter mehrere europäische Flughäfen, verdeutlichen die Abhängigkeit von großen Technologieanbietern. Die Dominanz einer Handvoll von Anbietern in schlüsselkritischen Bereichen wie der Kryptographie birgt Risiken, insbesondere dort, wo sicherheitskritische Kernfunktionen betroffen sind. Digitale Souveränität muss daher zu einer technisch abgesicherten Realität werden.  Eine breite Basis vertrauenswürdiger Lösungen bildet dafür die Grundlage, insbesondere bei der Kryptographie, die nicht als intransparente Blackbox eingesetzt werden darf.

Regierungen und Regulierungsbehörden erkennen die Dringlichkeit – das zeigen internationale Initiativen, wie die Cyber Security and Resilience Bill in Großbritannien, die EU-Richtlinie NIS2, die europäischen IPCEI-Projekte, oder der Singapore Cybersecurity Act. Unternehmen sollten die geopolitische Realität in ihre strategische Planung aufnehmen als Kriterium für sicherheitskritische Komponenten, insbesondere im Bereich der Verschlüsselung, in ihren Beschaffungsrichtlinien verankern. Dies bedeutet eine aktive Abkehr von der bloßen Preisorientierung zugunsten transparenter und überprüfbare Lieferketten. Darüber hinaus sollten Organisationen die Anforderungen von Verordnungen wie NIS2 nicht als reine Compliance-Pflicht, sondern als Chance begreifen, die interne Cybersicherheit durch strategische Investitionen in Sicherheitstechnologien zu erhöhen und die digitale Resilienz des gesamten Ökosystems zu stärken.

2) Post-Quanten-Kryptographie (PQC). Die Uhr bis 2035 tickt

Der ständige Fortschritt in der Entwicklung kommerzieller Quantencomputer birgt die Gefahr, dass die gängige asymmetrische Kryptographie in weniger als einem Jahrzehnt geknackt werden kann –einige Prognosen setzen die Frist sogar früher an. Besonders relevant ist der „Harvest Now, Decrypt Later“-Ansatz: Digitale Identitäten werden nicht mehr sicher sein und Angreifer sammeln heute schon sensible, verschlüsselte Daten, um sie später mit Quantencomputern zu entschlüsseln. Für Unternehmen mit langfristig schützenswerten Daten, etwa im Bereich der kritischen Infrastruktur oder dem Finanzsektor, entsteht dadurch ein unmittelbarer Handlungsauftrag. Die Post-Quanten-Kryptographie (PQC) bietet hier die strategische Antwort, doch die Zeit drängt: Die EU PQC Roadmap fordert von allen Mitgliedstaaten bis Ende 2026 die Entwicklung eines umfassenden nationalen Plans zur Implementierung von PQC, während gleichzeitig die NIST-Richtlinie die Unterstützung für heute gängige Verfahren ab 2035 untersagt. Laut Forrester werden die Ausgaben für Quantensicherheit in den kommenden Jahren voraussichtlich mehr als fünf Prozent des gesamten IT-Sicherheitsbudgets ausmachen.

Zentrales Element jeder PQC-Migration ist ein vollständiges kryptographisches Inventar, das alle eingesetzten Verfahren, Schlüssellängen und Algorithmen erfasst. Auf dieser Basis muss der technologische Übergang über eine zentrale und manipulationssichere kryptographische Infrastruktur erfolgen, die als vertrauenswürdiger Anker (Root of Trust) dient.

Idealerweise setzen Unternehmen bereits heute krypto-agile Hardware ein: Geräte, die sich im Bedarfsfall mit den neuen PQC-Algorithmen updaten lassen, ohne dass die gesamte Infrastruktur ausgetauscht werden muss. Während PQC und andere quantenkryptographische Verfahren auf hochspezialisierte Szenarien beschränkt bleiben dürften, ermöglicht ein krypto-agiles Schlüssel- und Lifecycle-Management eine pragmatische und langfristig sichere Migration.

3) Gen-AI und das Datenschutzdilemma

Die exponentielle Zunahme von KI-Modellen und Datensätzen in Verbindung mit generativen KI-Systemen schafft eine neue Angriffsfläche und verschärft bestehende Datenschutzfragen. Laut einer Studie von 451 Research (Voice of the Enterprise (VotE): Data & Analytics, Generative AI Adoption 2025) zählt die Sorge um Datenschutz und Sicherheit zu den Haupthindernissen bei der Implementierung von GenAI-Tools. Risiken entstehen sowohl durch unbeabsichtigtes Einspeisen vertraulicher Informationen in Trainingsmodelle, als auch durch raffiniertere Angriffe wie „Prompt Injection“. Da die Sicherheit und Privatsphäre der wichtigste Entscheidungsfaktor bei der Auswahl von Large Language Models (LLMs) sind, müssen Unternehmen ihre Kontrollmechanismen dringend von der Perimeter-Sicherheit auf die Datenebene verlagern.

Vorrangig ist eine konsistente Verschlüsselung relevanter Daten, so dass Sicherheitskontrollen direkt zu den Daten selbst ansetzen, bevor diese in LLM-Umgebungen einfließen. Zudem bedarf es einer systematischen Erkennung und Klassifizierung sensibler Daten, um sicherzustellen, dass nur autorisierte und bereinigte Datensätze für KI-Anwendungen freigegeben werden. Da viele Angriffe den „Faktor Mensch“ adressieren, sind zudem klare Richtlinien für die Nutzung von GenAI-Tools und eine fortlaufende Schulung der Mitarbeitenden unverzichtbar, um „Shadow-GenAI“ zu verhindern und eine qualifizierte menschliche Überprüfung aller KI-generierten Inhalte sicherzustellen.

„Die digitale Zukunft wird von einem Wettlauf zwischen neuen Technologien und den notwendigen Sicherheitsvorkehrungen geprägt. Für Organisationen geht es nicht nur um die Abwehr aktueller Bedrohungen; es geht um die strategische Investition in eine unabhängige, quantensichere und KI-resistente Zukunft“, sagt Nils Gerhardt, CTO bei Utimaco. „Aus diesen Gründen sind wir davon überzeugt, dass digitale Souveränität kein Luxus, sondern eine Notwendigkeit ist. Sie ist der Sicherheitsanker in einer Zeit der exponentiellen Bedrohungen. Jetzt ist der Zeitpunkt für Unternehmen, diese strategischen Sicherheitstrends aktiv in ihre Unternehmensplanung für 2026 zu integrieren, um die Wettbewerbsfähigkeit und Resilienz ihrer Organisation langfristig zu sichern and Krypto-Agilität als strategische Kernkompetenz aufzubauen und Vertrauen durch europäische Technologie zu schaffen, um sensible Daten und kritische Systeme nachhaltig zu schützen.“