Qualys veröffentlicht seine zentralen Predictions für das Jahr 2026. Die Analysen der Qualys-Threat-Research-Unit (TRU) und führender Qualys-Expertinnen und -Experten zeigen: Unternehmen müssen im kommenden Jahr mit deutlich schnelleren Angriffsketten, wachsender Komplexität im KI-Einsatz und einem klaren Paradigmenwechsel in der operativen Sicherheitssteuerung rechnen.
Attack-Path-Modeling wird 2026 erstmals voll nutzbar
April Lenhard, Principal Product Manager bei Qualys, sieht den Durchbruch einer technologischen Disziplin, die bisher eher theoretisch war: „2026 ist das Jahr, in dem Attack-Path-Modeling erwachsen wird. Statische Angriffspfade werden zu real nutzbaren digitalen Cyber-Ranges (virtuelle Cyber-Trainingsumgebungen), die Red-Teaming und what-if Simulationen in Echtzeit ermöglichen.“
Lenhard erwartet zudem einen Umschwung in der Branche, weg von der reinen Asset-Zählung hin zu risikobasierten Prozessen, die Störrauschen minimieren, damit sich Sicherheitsteams auf die Maßnahmen konzentrieren, die im realen Angriffskontext tatsächlich Wirkung erzielen.
Telemetrie, Tools und Technologie
Rich Seiersen, CRTO bei Qualys, beschreibt das Risikoumfeld deutlich differenzierter, als es Jahresprognosen üblicherweise tun: „CISOs stehen einem massiven Rauschen gegenüber: Telemetrie, eine unüberschaubare Tool-Landschaft und technologische Veränderungen durch KI und Digitalisierung. Das erzeugt nicht nur Komplexität, sondern verhindert oft, dass Unternehmen echte Prioritäten erkennen. Viele setzen KI inzwischen ohne zentrale Abstimmung ein – von generierten Inhalten bis hin zu automatisierten Entwicklungsprozessen. Das ist der Multiplikator für Schatten-IT, diesmal getrieben von Consumer-AI.“
Zudem entstehen neue technische Abhängigkeiten: „Unternehmen koppeln ihre Onprem- und SaaS-Systeme über sogenannte Model-Control-Protocols (MCPs), die theoretisch autonome Aktionen zwischen verschiedenen Agenten ermöglichen. Diese Vernetzung ist leistungsfähig, aber sicherheitstechnisch noch kaum durchdacht.
Leader wollen nicht mehr bloße Überwachung, sie müssen vielmehr wissen, wie ihre Assets, Risiken und Bedrohungen mit dem Geschäftswert zusammenhängen – und welche Maßnahmen den größten Risikobeitrag liefern.“
Unobserved-AI-Risk-Surface wird 2026 zur meist unterschätzten Angriffsfläche
Seiersen identifiziert hier einen neuen Schwerpunkt: „Viele Organisationen handeln aus FOMO. Sie wollen beim KI-Einsatz nicht zurückfallen. Gleichzeitig verlieren sie den Überblick darüber, wo KI überall zum Einsatz kommt. Genau diese fehlende Sichtbarkeit erzeugt eine schwer kontrollierbare Angriffsfläche.“
Er weist darauf hin, dass es dabei nicht um Technologiehype, sondern um klassische Risikosteuerung geht: „Unternehmen müssen 2026 ihre KI-Initiativen, Assets und Geschäftsbereiche systematisch kartieren. Nur so lässt sich ermitteln, welchen Beitrag bestehende Investitionen tatsächlich zur Risikoreduktion leisten.“
Threat-Hunting und Marathon-CVEs
Saeed Abbasi, Senior Manager Security Research bei der Qualys TRU, schildert die Lage so: „Angreifer schaffen keine echte Innovation, sie iterieren vielmehr. Erfolgreiches Hunting basiert weniger auf abstrakten Scores als auf realen Verhaltensmustern der Angreifer.“
Zudem werde Automatisierung unverzichtbar: „AI-basierte Hunting-Engines übernehmen die schnelle Durchsicht großer Datenmengen. Menschen konzentrieren sich darauf, systemische Risiken und strategische Entscheidungen abzuleiten.“
Manche Bedrohungen werden nie wirklich verschwinden, denn „viele Schwachstellen bleiben jahrelang relevant. Angreifer können sie ausnutzen, ihre Ziele erreichen und verschwinden – doch die Artefakte bleiben. Threat Hunting muss dauerhaft auf diese langfristige Spurensuche ausgerichtet sein.“
Cyberversicherung 2026
Rich Seiersen beschreibt einen Markt, der sich zwar verschiebt, aber nicht in alte Extreme zurückfällt: „Wir erwarten für 2026 ein moderates Hardening. Prämien steigen leicht, Underwriting wird selektiver und Sicherheitskontrollen rücken stärker in den Fokus. Dennoch gehen wir nicht von einer Rückkehr zu den stark restriktiven Marktphasen früherer Jahre aus.
Cyberversicherungen folgen Zyklen. Neben Verluststatistiken wirken auch makroökonomische Faktoren wie Zinspolitik und Kapitalverfügbarkeit. 2026 dürfte sich der Markt straffen, aber nicht überdrehen.“
Messbare Security-Posture wird zum Wettbewerbsvorteil
Seiersen sieht 2026 als günstigen Moment für Unternehmen, die ihre Sicherheitskontrollen klar nachweisen können: „Unternehmen mit einer nachvollziehbaren Security Posture können oft höhere Limits und bessere Konditionen erzielen, ohne dass die Kosten proportional steigen. Versicherer suchen aktiv nach guten Risiken und honorieren messbare Security-Posture.“
Weiter betont Seiersen, dass dies nicht nur eine technische, sondern auch eine finanzstrategische Frage ist: „CISOs und CFOs behandeln Cyberversicherungen zunehmend als Teil eines integrierten Risikoportfolios – mit klaren Abwägungen zwischen Risikotransfer und Risikoreduktion.“
Das eröffne Unternehmen Spielräume: „Wer strukturiert nachweisen kann, wie seine Sicherheitskontrollen wirken, kann Policen mit höheren Deckungen oftmals wirtschaftlich vorteilhaft abschließen – gerade in einem Markt, der sich allmählich strafft.“
Fazit
2026 wird für Security-Teams ein Jahr, in dem Risiko-Priorisierung, Transparenz und Kontext entscheidender werden als schiere Datenmengen oder Tool-Vielfalt. Unternehmen, die verstehen, wie sich Risiken, Assets und Geschäftsprozesse gegenseitig beeinflussen, und die ihre KI-Nutzung sowie technischen Kontrollen klar sichtbar machen, werden nicht nur resilienter, sondern auch wirtschaftlich besser aufgestellt sein. Qualys sieht dabei einen klaren Trend: Weg vom reaktiven Sammeln der Signale, hin zu strukturierten, risikoorientierten Sicherheitsprozessen, die echten Mehrwert liefern.
#Qualys
