Security-Trends: KI, Souveränität und Cyberresilienz

KI: Zwischen innovativem Verteidiger und unberechenbarem Angreifer

Das beherrschende Thema der it-sa 2025 war ohne Zweifel die künstliche Intelligenz in all ihren Facetten. Die Branche befindet sich in einem Zwiespalt: Einerseits wird KI zum unverzichtbaren Werkzeug für die Abwehr, andererseits ermöglicht sie Angriffe von bisher ungekannter Skalierbarkeit und Raffinesse.

Unternehmen wie Cloudflare machen deutlich, dass die massive Zunahme von DDoS-Angriffen, die sich innerhalb von Monaten verdreifachten, nur noch mit KI-gestützter, automatisierter Anomalie Erkennung zu bewältigen ist. Diese Entwicklung stützen auch Zahlen von Palo Alto Networks, das mittlerweile täglich 8,9 Millionen neue, zuvor unbekannte Angriffe vermeldet. Angesichts dieser Dynamik ist klar, dass Unternehmen ohne den Einsatz von KI und Automatisierung kaum noch mit der Geschwindigkeit der Angreifer Schritt halten können. Gleichzeitig, so die Beobachtung von Ping Identity, explodiert die Anzahl maschineller Identitäten, die menschliche bereits um das 80-fache übersteigen. Jede dieser KI-Instanzen benötigt eine klare Identität und Regulierung, um kontrollierbar zu bleiben. Hier setzt SailPoint mit seiner Lösung an, die speziell für das Identitätsmanagement von KI-Agenten und Maschinen entwickelt wurde. Damit können Verantwortlichkeiten für KI-Instanzen genauso wie für menschliche Identitäten festgelegt und überwacht werden. So lassen sich Risiken in einer immer stärker automatisierten IT-Landschaft gezielt minimieren. Check Point geht noch einen Schritt weiter und schützt mit der Akquisition des Schweizer KI-Start Ups Lakera Sprachmodelle (LLMs) selbst vor Missbrauch und Manipulation.

Dass KI auch die internen Prozesse optimieren kann, zeigte Omada. Durch intelligente Automatisierung können Genehmigungsprozesse beschleunigt und die Sicherheit durch Mustererkennung erhöht werden, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

Die Suche nach digitaler Souveränität

Eng verknüpft mit der globalen Technologiedebatte ist das wachsende Bedürfnis nach digitaler Souveränität. Getrieben durch regulatorische Vorgaben wie NIS2 und geopolitische Unsicherheiten, steigt die Nachfrage nach europäischen IT-Lösungen spürbar an. EUC-Spezialist Omnissa, seit Mitte 2024 als eigenständiges Unternehmen nach der Trennung von VMware aktiv, stellte zeitgleich mit seinem Auftritt auf der it-sa die Omnissa Sovereign Solution for Workspace ONE zusammen mit der GEMA International AG als Technologiepartner vor, die genau diese Nachfrage bedienen soll. Und diese ist aktuell groß: Proliance berichtet von einem fundamentalen Wandel am Markt, da Unternehmen gezielt nach europäischen Alternativen suchen und Kooperationsmodelle zwischen US-Hyperscalern und europäischen Partnern kritisch hinterfragen. Die eigene Migration von AWS zu einem europäischen Anbieter unterstreicht diesen Trend. Auch FTAPI betont die wachsende Bedeutung sicherer Datenübertragung und automatisierter Prozesse für die digitale Souveränität. Im Fokus stehen dabei Lösungen, mit denen sich Geschäftsprozesse in einem Schritt revisionssicher digitalisieren, dokumentieren und automatisieren lassen.

Auch Bitdefender hat Souveränität auf dem Radar und stellte ein neues Angebot zum Hosting seiner Plattform für Cybersicherheit, Risikomanagement und Compliance in einer deutschen Cloud der secunet-Tochter und Cloud-Plattformanbieterin SysEleven vor. Das Angebot will aktuelle Bedürfnisse der Cybersicherheitsverantwortlichen aufgreifen: In jüngsten Diskussionen wurde hervorgehoben, dass US-amerikanische Unternehmen unter bestimmten Umständen verpflichtet sein können, Regierungsanfragen zum Datenzugriff nachzukommen (Cloud Act). Dies hat zu Verunsicherung bei Organisationen in der EU geführt, die auf Cloud- und Software-Dienste angewiesen sind, welche zwar in Deutschland beziehungsweise der EU gehostet, aber von US-Unternehmen betrieben werden.

Deshalb räumen laut Bitdefender viele europäische Unternehmen Initiativen zur digitalen Souveränität eine zunehmende Priorität ein. Letztlich geht es vor allem um die Kontrolle und Verarbeitung nicht nur von Kundendaten. Auch Informationen zu Konfigurationen, Sicherheitsereignissen und Telemetriedaten dürfen unter keinen Umständen US-Behörden zugänglich gemacht werden. Selbst wenn die Daten verschlüsselt und aktuell nicht nutzbar sind, besteht inzwischen die Gefahr, dass Daten gesammelt und erst in einigen Jahren, wenn die Computing-Performance ausreicht, entschlüsselt und ausgewertet werden. Ein ähnliches Angebot wurde parallel mit einem französischen Partner (OVH) angeboten.

Thales positioniert sich nach der Übernahme von Imperva mit einem breiten Portfolio. Zentrales Thema ist die strikte Trennung von Daten und deren Verschlüsselungsschlüsseln. Auch Hardware-Anbieter wie Yubico betonen den Wert einer europäischen Lieferkette, von der Produktion in Schweden bis zum Chip-Element aus Deutschland. Trotz des Wunsches nach mehr Unabhängigkeit warnen Stimmen wie DigiCert und SpaceNet vor überstürztem Aktionismus. Der Nachbau des über Jahrzehnte gewachsenen US-Software-Ökosystems sei unrealistisch. Vielmehr sei ein pragmatischer, langfristiger Aufbau eines europäischen Ökosystems von unten nach oben der vielversprechendere Weg.

Paradigmenwechsel: Vom Endpunkt zu den Daten

Die Komplexität moderner IT-Architekturen erzwingt ein Umdenken in der Sicherheitsstrategie. Skaylink identifiziert einen klaren Paradigmenwechsel weg vom klassischen Endgerätemanagement, hin zu einer datenzentrischen Betrachtung. Unternehmen müssen verstehen, welche Daten sie haben, wo diese fließen und wie sie klassifiziert sind, um sie effektiv schützen zu können. Dies wird umso wichtiger, da Mitarbeiter über KI-Tools wie Copilot unkontrolliert sensible Unternehmensinformationen mit öffentlichen Daten vermischen könnten.

Diese datenzentrische Sichtweise ist auch für Zscaler die Grundlage für zukünftige Sicherheitsthemen wie KI-Readiness und die Vorbereitung auf Post-Quantum-Verschlüsselung. Nur wer seine Daten kennt, kann sie vor den Store Now, Decrypt Later-Angriffen schützen, bei denen verschlüsselte Daten heute abgegriffen und für eine spätere Entschlüsselung durch Quantencomputer gespeichert werden. Keepit unterstreicht diesen Fokus mit Lösungen, die speziell auf den Schutz geschäftskritischer SaaS-Daten in einer unabhängigen europäischen Cloud abzielen.

Neue Fronten: OT-Sicherheit und die menschliche Firewall

Während die IT-Welt konsolidiert, rücken spezielle Anwendungsfelder in den Fokus. TXOne Networks beleuchtet die besonderen Herausforderungen der Operational Technology (OT). Hier geht es nicht nur um Sichtbarkeit, sondern um aktiven Schutz, der den laufenden Betrieb unter allen Umständen aufrechterhält. Gerade in gewachsenen Produktionsumgebungen mit jahrzehntealten, ungepatchten Systemen sind Ansätze wie virtuelle Segmentierung und Intrusion Prevention entscheidend, um die wertvollen, aber verwundbaren Anlagen zu schützen.

Trotz aller technologischen Fortschritte bleibt der Mensch ein zentraler Faktor. Der Security Awareness Report des SANS Institute zeigt, dass Social Engineering weiterhin die Top-Bedrohung darstellt. KnowBe4 erweitert daher den Ansatz von Security Awareness hin zu einem ganzheitlichen Human Risk Management, das den Menschen in den Mittelpunkt stellt. Gleichzeitig steigt der Bedarf an einfachen und robusten Authentifizierungsmethoden. Yubico adressiert dies mit Phishing-resistenten Hardware-Sicherheitsschlüsseln, die durch eine verbesserte Logistik und Vorinitialisierung nun auch in großem Stil einfach auszurollen sind.

Ebenfalls um die Cybersicherheit von kritischen Infrastrukturen in den Bereichen IT, OT und ICS kümmert sich OPSWAT, das seine Sicherheitslösungen nach dem Prinzip Trust no file. Trust no device entwickelt. „Unser Ziel ist der Schutz kritischer IT- und OT-Infrastrukturen durch einen mehrstufigen Perimeterschutz, der als erste Verteidigungslinie noch vor dem Endpoint fungiert“, erklärt Holger Fischer, Director Sales EMEA Central bei OPSWAT. Die MetaDefender-Plattform ist das Herzstück dieser Lösung und vereint patentiertes Multiscanning mit über 30 parallel arbeitenden Engines, Content Disarm and Reconstruction (CDR) sowie emulativer Sandbox-Analyse. So können Unternehmen eingehende Dateien bereits an der Netzwerkperipherie auf bekannte und unbekannte Bedrohungen, Zero-Day-Exploits und Malware überprüfen und sicherstellen, dass nur geprüfte Inhalte sicher in IT- und OT-Umgebungen einfließen – und das auch in hochsensiblen Bereichen wie Industrie, Energieversorgung und Gesundheitswesen.

Prävention und Professionalisierung als neue Zielsetzung

Quer durch alle Themen zieht sich der Appell, von einer reaktiven zu einer proaktiven Sicherheitskultur zu gelangen. Mondoo fordert eine Renaissance der Prävention, bei der Schwachstellen geschlossen werden, bevor sie ausgenutzt werden können. Diesen Gedanken verfolgt auch Zscaler mit seiner Zero-Trust-Everywhere-Initiative, die Sicherheit unabhängig vom Netzwerk bis in die Peripherie des Ökosystems bringt, etwa auf SIM-Karten in mobilen Scannern oder vernetzten Fahrzeugen. Angesichts der Komplexität und des Fachkräftemangels wird die Auslagerung an Managed Services für viele Unternehmen zur einzig realistischen Option. Anbieter wie Cloudflare oder Proliance betonen, dass kaum ein Unternehmen die Bedrohungslage noch allein bewältigen kann. Der Trend geht klar zu konsolidierten Plattformen und spezialisierten Dienstleistern, die es Unternehmen ermöglichen, sich auf ihr Kerngeschäft zu konzentrieren, während die Sicherheit im Hintergrund von Experten gemanagt wird.

Cyberresilienz als unverzichtbares Rückgrat der IT-Sicherheit

Ein weiteres beherrschendes Thema der Messe war Cyberresilienz. Darunter versteht man die Fähigkeit eines Systems, einer Organisation oder einer Infrastruktur, Cyberbedrohungen, -Angriffe oder -Störungen zu widerstehen, sich schnell anzupassen und nach einem Vorfall wiederherzustellen. Im Kern geht es darum, nicht nur Bedrohungen zu verhindern (wie bei traditioneller Cybersicherheit), sondern die Kontinuität von Geschäftsprozessen auch unter Angriffen aufrechtzuerhalten. Der Begriff stammt aus dem englischen cyber resilience und wird in Normen wie dem NIST Cybersecurity Framework oder der EU-NIS-2-Richtlinie verwendet.

Mehrere Hersteller zeigten hier neue und vielversprechende Ansätze auf der it-sa: so demonstrierte der Anbieter für Identitätssicherheit Semperis, dass Identitätsmanagement ein wichtiger Faktor für die Resilienz darstellt, denn nach einem Cyberangriff spielen die Qualität des Krisenmanagements und die Unversehrtheit zentraler Identitätsverzeichnisse für die Dauer einer Systemwiederherstellung eine bedeutende Rolle. Dazu hat Semperis seine Recovery- sowie Incident-Response-Services für Microsoft Active Directory und Entra ID in seine Plattform Ready1 for Identity Crisis Management integriert.

Backup Spezialist Commvault warnt ausdrücklich vor einer Lücke zwischen Wunsch und Realität, denn erfolgreiche Angriffe lassen sich leider nicht immer verhindern. Das ist eine Lehre der massiv zunehmenden Cybervorfälle der letzten zwölf Monate. Viele Organisationen schätzen ihren Sicherheitsstatus zu optimistisch ein. Wie Commvault in seiner Studie State of Data Readiness 2025 herausgefunden hat, erwarten 72 Prozent der befragten Führungskräfte, dass der Betrieb nach einem Sicherheitsereignis in spätestens fünf Tagen wieder hergestellt ist. Die durchschnittliche Zeit, die ein IT-Team für die Wiederherstellung des Minimalbetriebs braucht, liegt im Schnitt aber bei drei bis vier Wochen.

Cyberresilienz stellt laut Commvault zudem neue Ansprüche an eine Cyber Recovery. Die Wiederherstellung von Daten, Systemen, Prozessen und Applikationen in der Cloud und On Premises nach einem Cyberangriff unterscheidet sich fundamental von alten Disaster-Recovery-Prozessen. Im Fall eines Angriffs können Firmen ihren Daten und damit den Backups nicht mehr uneingeschränkt vertrauen. Bevor sie wiederhergestellt werden, müssen IT- und Security-Teams eng zusammenarbeiten, Malware-freie und vertrauenswürdige Datensätze finden, diese abhärten und dann kontrolliert und priorisiert in die Produktion zurück überführen. Commvault hat auf der it-sa Wege gezeigt, wie dieser komplexe Prozess dank moderner Konzepte wie Clean Rooming, KI-gesteuerter Automatisierung und Integration mehrerer Security Partner vereinfacht und vor allem zuverlässig beschleunigt werden kann.

Zentral für die Cyber Recovery ist laut Commvault auch das Vorabtesten: Digitale Reinräume erlauben es den Anwendern, einen Ernstfall im Alltag mit echten Daten in einer Cloud zu testen, um Lücken in den Prozessen und Verantwortlichkeiten zu finden. Auf diese Weise bauen Firmen elementare Kompetenzen für Cyberresilienz auf, dank derer sie während eines Angriffs den Betrieb ihrer IT im Idealfall aufrechterhalten und die Folgen einer erfolgreichen Attacke schneller und effizienter eindämmen können.

Ebenfalls mit einem großen Stand auf der Messe war der Backup und Replikations-Pionier Veeam Software vertreten. Zur it-sa 2025 in Nürnberg hat Veeam bereits einen Teil seines Herzstücks in neuer Version vorgestellt: Veeam Backup & Replication v13 ist als Early Release bereits für neue Linux-Installationen verfügbar. Die große Neuerung diesmal lautet, dass kein Windows mehr notwendig ist, um das Backup-und-Wiederherstellungsprodukt betreiben zu können. Stattdessen handelt es sich um einen vollständig auf Linux basierenden Backup-Server. Ein vorgehärtetes und Pre-Built Rocky Linux System mit JeOS ist an Bord. Somit ist keine Linux Expertise für die Installation notwendig. Das stellt für den Hersteller einen Paradigmenwechsel dar, denn viele Jahre lang setzte man auf das Microsoft-Betriebssystem, um die Kernkomponenten zu befeuern. Viele Windows-only-Komponenten sind nun unter Linux verfügbar, wie Mount Server, Gateway Server und Guest Interaction Proxies. Daneben hat man eine http-basierte Web-Konsole eingebaut, die sechs Jahre lang entwickelt worden ist. Mit ihrer Hilfe kann sich der zuständige Mitarbeiter nun über jeden Browser und an jedem Standort bei der Veeam-Umgebung anmelden – sicher, zuverlässig und übersichtlich. Zudem kommt ein von Kunden lange ersehntes Feature zum Zug: High Availability Functions für Linux-Installationen des Produkts. Damit sollte ein Zugang zum Veeam Interface sogar möglich sein, wenn ein Datenzentrum ausfällt.

Thomas Sandner, Senior Regional Technical Sales Director, bei Veeam, erklärte auf der Fachmesse darüber hinaus: „Resilienz ist das Stichwort und wir wollen unseren Kunden mit diesen Neuerungen die Flexibilität an die Hand geben, die sie brauchen, um höchste Resilienz erreichen zu können. Gerade in diesen Zeiten, da mit NIS2, DORA und ähnlichen Regulierungen die Vorgaben der Gesetzgeber strenger werden, müssen Sicherheitsverantwortliche gute Werkzeuge an der Hand haben, um eine Backup-Strategie, die wirklich zuverlässig funktioniert, umsetzen zu können – ohne komplizierte Umwege gehen zu müssen. Wir sehen außerdem, dass Backup als Thema seit der letzten it-sa deutlich mehr in den Vordergrund der IT-Entscheider in den Unternehmen in Deutschland gerückt ist. Das Bewusstsein für eine gute Backup-and-Restore-Strategie als Baustein hoher Cyberresilienz wächst.“

Veeam betont, dass diese Abkehr von Microsoft als notwendiger Bedingungen ab der v13 nicht bedeutet, dass es eine Abkehr vom Microsoft-Betriebssystem allgemein wäre. Stattdessen wolle man nur das Portfolio breiter aufstellen, um eine reine Linux-Variante zusätzlich anbieten zu können. Windows bleibe fester Bestandteil des Produktangebots. „Da kommt sicherlich bald was, keine Sorge,“ so Sandner, der Gerüchte rund um das v13-Update präventiv zerstreuen möchte.

Einen spannenden anderen Ansatz verfolgt unter dem Motto We Stop Downtime das Unternehmen Absolute Security, das auf der diesjährigen it-sa am Stand von Aqaio seine neueste Lösung Rehydrate als Bestandteil der Absolute-Resilience-Plattform, die durch OEM-Partnerschaften mit mehr als 28 weltweit führenden PC-Herstellern in die Firmware von über 600 Millionen Windows-PCs integriert ist. Rehydrate unterstützt Unternehmen dabei, digitale Abläufe widerstandsfähiger gegen Cyberangriffe, technische Störungen und Manipulationen zu machen. Im Fokus stand die Frage, wie sich Systeme im Ernstfall nicht nur schützen, sondern auch schnell wiederherstellen lassen. Denn Ausfallzeiten führen unweigerlich zu Produktivitätsverlusten. Unternehmen, deren Geschäftsbetrieb zum Stillstand kam, können vernetzte Geräte mit Absolute Security Rehydrate automatisiert binnen weniger Minuten wieder voll funktionsfähig machen – mit einem einzigen Klick per Fernzugriff. Die Integration auf BIOS-Ebene sorgt zudem dafür, dass betroffene Geräte sich auch dann wiederherstellen lassen, wenn das Betriebssystem und andere Sicherheits- oder Verwaltungstools kompromittiert, beschädigt oder unzugänglich geworden sind.