Cybersecurity Trends 2026 ISC2

Von Reaktion zu Resilienz: Lieferketten im Fokus

Das Jahr 2025 markierte einen Einschnitt in der Wahrnehmung von Lieferkettenrisiken. Vorfälle bei Unternehmen wie Land Rover und Marks & Spencer zeigten deutlich, wie fragil globale Lieferketten geworden sind. Eine aktuelle Studie belegt: 70 Prozent der Organisationen sind besorgt über Cybersicherheitsrisiken in ihren Lieferketten. In einigen Fällen mussten sogar staatliche Stellen eingreifen, um größere Zusammenbrüche zu verhindern.

Jon France, Chief Information Security Officer bei ISC2, sieht 2026 einen Paradigmenwechsel: „Die entscheidende Frage ist nicht, ob Ihre Lieferkette gestört wird, sondern ob Organisationen über die nötige Transparenz verfügen, um trotz solcher Störungen zu funktionieren.“ Der Fokus verschiebt sich vom Krisenmanagement zum Aufbau systematischer Resilienz.

Organisationen werden künftig mehr Ressourcen darauf verwenden, ihre digitale Lieferkette zu verstehen und kontinuierlich zu bewerten. Dabei rechnen Experten mit einem Anstieg identitätsbasierter Angriffe und Attacken auf Zugriffs-Infrastrukturen. Auch KI-Modell-Pipelines geraten verstärkt ins Visier von Angreifern, die strategische Schwachstellen systematisch ausnutzen.

Die Diskussion über Third-Party-Risk-Management (TPRM) wird sich intensivieren – als direkte Reaktion auf die Ereignisse des vergangenen Jahres. Eine besondere Herausforderung: Die Einführung neuer Technologien schreitet weiterhin schneller voran als entsprechende Governance-Rahmenwerke entstehen können.

Kompetenzen statt Köpfe: Workforce-Transformation

Die Cybersecurity-Belegschaft steht weiterhin unter Druck. Budgetbeschränkungen und Einstellungsstopps prägten 2024 und 2025, wie die Workforce-Studie 2025 von ISC2 zeigt. Für 2026 erwarten Analysten jedoch keine weitere Verschlechterung, sondern eine Stagnation auf diesem Niveau.

Der Paradigmenwechsel ist deutlich: Statt die Mitarbeiterzahl zu erhöhen, konzentrieren sich Organisationen auf kompetenzbasierte Einstellungen und die Weiterqualifizierung bestehender Teams. Fähigkeiten in KI- und Cloud-Security werden zu unverzichtbaren Anforderungen für Cybersicherheitsfachkräfte.

KI selbst wird dabei als Unterstützung verstanden, ersetzt jedoch nicht grundlegendes Wissen, Urteilsvermögen und praktische Erfahrung. France betont: „Organisationen, die in ihre Mitarbeitenden und deren Kompetenzentwicklung investieren, werden die größten Erfolgschancen haben.“

Agentische KI: Vom Experiment zum operativen Risiko

Die Einführung von KI erfolgte schneller als bei jeder anderen Technologie zuvor. In vielen Fällen sicherten Sicherheitsteams die Systeme erst nachträglich ab. 2026 wird die Diskussion von Experimenten hin zum verantwortungsvollen Management im großen Maßstab übergehen.

Ein zentraler Schwerpunkt ist agentische KI – Systeme, die eigenständig Handlungen ausführen können, statt lediglich Empfehlungen zu geben. Organisationen müssen entscheiden, welche Handlungsfreiheit sie solchen Systemen einräumen. Dies stellt eine neue Klasse operativer Risiken dar.

Retrieval-Augmented Generative AI (RAG), die Kontextinformationen in Echtzeit abruft, wird zusammen mit Agent-Chaining über Protokolle wie MCP häufiger zum Einsatz kommen. Das erfordert deutlich mehr Aufmerksamkeit für Kontrolle und Transparenz in der Kommunikation zwischen Modellen und Agenten.

Die Integrität der KI-Lieferkette rückt ebenfalls in den Fokus: Wie fließen Daten zwischen verschiedenen KI-Komponenten? Welche Vertrauenssignale sind verlässlich? 2026 wird zeigen, welche Organisationen Effizienz, Geschwindigkeit und verantwortungsvollen KI-Einsatz in Einklang bringen können.

Persönliche Haftung: Die rechtliche Zäsur steht bevor

Die rechtliche Verantwortung von Sicherheitsverantwortlichen verschärft sich. Regulierungsbehörden und Staatsanwaltschaften zeigen zunehmendes Interesse daran, CISOs persönlich zur Rechenschaft zu ziehen. France prognostiziert für 2026 einen wegweisenden Präzedenzfall.

Die Konsequenzen könnten weitreichend sein: Vorstände würden Cyber-Verantwortung ernster nehmen, formelle Schutzmechanismen für Sicherheitsverantwortliche – ähnlich denen für Finanzverantwortliche – würden etabliert. Organisationen müssten Entscheidungsbefugnisse, Berichtserwartungen und Risikotoleranzen dokumentieren statt auf informelle Absprachen zu vertrauen.

Der Fall würde eine zentrale Botschaft unterstreichen: Cybersicherheit ist keine individuelle, sondern eine gemeinsame unternehmerische Verantwortung. Politik, Kultur und Praxis in vielen Organisationen müssten grundlegend überdacht werden.

Y2Q: Der Countdown zum Quantenzeitalter läuft

Quantencomputing bewegte sich 2025 von theoretischer Forschung in Richtung kommerzieller Realität. Leistungsstärkere Prozessoren und Fortschritte in der Fehlerkorrektur markieren einen Wendepunkt. 2026 wird die Dringlichkeit unübersehbar: Regierungen und Aufsichtsbehörden veröffentlichen konkrete Zeitpläne und Roadmaps.

Quantenbasierte Bedrohungen betreffen jedes digitale System, das auf asymmetrischer Verschlüsselung basiert. France warnt: „Ehrlich gesagt habe ich seit mindestens einer Generation keine Technologie gesehen, welche die Cybersicherheit so flächendeckend bedrohen könnte.“ Wo früher von Zeithorizonten von zehn Jahren die Rede war, sprechen Experten nun von einstelligen Jahreszahlen.

Ein Problem ist die Bereitschaftslücke: Während sich große Unternehmen vorbereiten, haben viele kleinere Organisationen noch nicht begonnen. Die Workforce-Studie 2025 zeigt, dass Quantencomputing mit 17 Prozent nahe dem unteren Ende der benötigten Fähigkeiten in Sicherheitsteams rangiert.

Die Parallele zu Y2K ist offensichtlich – jedoch umfassender, mit höherem Risiko und ohne klares Stichtagsdatum. Organisationen müssen von bloßer Neugier zu strukturierter Planung übergehen, um spätere Störungen zu vermeiden.

Deepfakes: Von Propaganda zu operativen Angriffen

Deepfakes entwickeln sich von einem Problem der Desinformation zu einer direkten Bedrohung für Geschäftsprozesse. Bedrohungsakteure kombinieren überzeugende Audio- und Videoinhalte mit autonomen Werkzeugen, um Mitarbeitende zu imitieren, Identitätsprüfungen zu umgehen und Betrug in bisher nicht gekanntem Ausmaß zu skalieren.

Die Folgen gehen über Sicherheitsfragen hinaus: Debatten über Persönlichkeitsrechte, Authentizitätsprüfungen und Standards für digitale Identitäten werden zunehmen. Gesellschaften müssen klären, wie Vertrauen in einer Welt synthetischer Medien aussehen kann.

Organisationen sollten Mitarbeitende schulen, Verifikationen über mehrere Kanäle hinweg durchsetzen und Deepfake-Erkennungstools testen. Die Technologie dient nicht mehr nur der Einflussnahme, sondern wird zum praktischen Werkzeug für Kompromittierung.

Nachhaltigkeit: Energie als strategische Ressource

Der Energiebedarf von KI und Quantencomputing entwickelt sich zu einem strategischen Faktor. 2026 wird Nachhaltigkeit stärker in den Fokus rücken, da der Ressourcenverbrauch fortschrittlicher Rechentechnologien sichtbarer wird und Regulierungsbehörden, Investoren und Unternehmensführungen zunehmend Aufmerksamkeit darauf richten.

Das Tempo der kommerziellen Einführung von Quantencomputing wird stark von verfügbarer Energie abhängen – möglicherweise sogar stärker als von technischer Reife. Energieplanung entwickelt sich von einer Back-Office-Frage zu einem zentralen Bestandteil der Technologie- und Sicherheitsstrategie.

Die Konsequenzen betreffen Entscheidungen über Cloud-Partner, Datenarchitekturen und Infrastrukturmodelle, insbesondere in KI-intensiven Umgebungen. Energie wird zur strategischen Ressource, deren Verfügbarkeit über Wettbewerbsfähigkeit mitentscheidet.

From reaction to resilience: focus on supply chains

The year 2025 marked a turning point in the perception of supply chain risks. Incidents at companies such as Land Rover and Marks & Spencer clearly demonstrated how fragile global supply chains have become. A recent study shows that 70 percent of organizations are concerned about cybersecurity risks in their supply chains. In some cases, government agencies even had to intervene to prevent major disruptions.

Jon France, Chief Information Security Officer at ISC2, sees a paradigm shift in 2026: “The key question is not whether your supply chain will be disrupted, but whether organizations have the transparency they need to function despite such disruptions.” The focus is shifting from crisis management to building systematic resilience.

In the future, organizations will devote more resources to understanding and continuously evaluating their digital supply chain. Experts anticipate an increase in identity-based attacks and attacks on access infrastructures. AI model pipelines are also increasingly becoming the target of attackers who systematically exploit strategic vulnerabilities.

The discussion about third-party risk management (TPRM) will intensify – as a direct response to the events of the past year. A particular challenge is that the introduction of new technologies continues to advance faster than the corresponding governance frameworks can be developed.

Skills instead of heads: workforce transformation

The cybersecurity workforce remains under pressure. Budget constraints and hiring freezes characterized 2024 and 2025, as shown by ISC2’s 2025 Workforce Study. However, analysts do not expect further deterioration in 2026, but rather stagnation at this level.

The paradigm shift is clear: instead of increasing headcount, organizations are focusing on competency-based hiring and upskilling existing teams. Skills in AI and cloud security are becoming essential requirements for cybersecurity professionals.

AI itself is seen as a support tool, but it does not replace fundamental knowledge, judgment, and practical experience. France emphasizes: “Organizations that invest in their employees and their skills development will have the greatest chance of success.”

Agentic AI: From experiment to operational risk

AI was adopted more quickly than any other technology before it. In many cases, security teams secured the systems only after the fact. In 2026, the discussion will shift from experimentation to responsible management on a large scale.

A key focus is agentic AI – systems that can perform actions independently rather than merely making recommendations. Organizations must decide how much freedom of action to grant such systems. This represents a new class of operational risks.

Retrieval-augmented generative AI (RAG), which retrieves contextual information in real time, will be used more frequently in conjunction with agent chaining via protocols such as MCP. This requires significantly more attention to control and transparency in communication between models and agents.

The integrity of the AI supply chain is also coming into focus: How does data flow between different AI components? Which trust signals are reliable? 2026 will show which organizations can balance efficiency, speed, and responsible AI use.

Personal liability: A legal turning point is imminent

The legal responsibility of security officers is increasing. Regulatory authorities and public prosecutors are showing growing interest in holding CISOs personally accountable. France predicts a landmark precedent for 2026.

The consequences could be far-reaching: executives would take cyber responsibility more seriously, and formal protection mechanisms for security officers – similar to those for financial officers – would be established. Organizations would have to document decision-making powers, reporting expectations, and risk tolerances instead of relying on informal agreements.

The case would underscore a key message: cybersecurity is not an individual responsibility, but a shared corporate responsibility. Politics, culture, and practices in many organizations would have to be fundamentally rethought.

Y2Q: The countdown to the quantum age is on

In 2025, quantum computing moved from theoretical research toward commercial reality. More powerful processors and advances in error correction mark a turning point. In 2026, the urgency becomes impossible to ignore: governments and regulatory authorities publish concrete timetables and roadmaps.

Quantum-based threats affect every digital system based on asymmetric encryption. France warns: “Honestly, I haven’t seen a technology in at least a generation that could threaten cybersecurity so comprehensively.” Where time horizons of ten years were once discussed, experts are now talking about single-digit years.

One problem is the readiness gap: while large companies are preparing, many smaller organizations have not yet begun. The 2025 Workforce Study shows that quantum computing ranks near the bottom of the list of required skills in security teams, at 17 percent.

The parallel to Y2K is obvious – but more comprehensive, with higher risk and no clear deadline. Organizations must move from mere curiosity to structured planning to avoid disruption later on.

Deepfakes: From propaganda to operational attacks

Deepfakes are evolving from a disinformation problem to a direct threat to business processes. Threat actors are combining convincing audio and video content with autonomous tools to impersonate employees, bypass identity checks, and scale fraud to unprecedented levels.

The consequences go beyond security issues: Debates about personal rights, authenticity checks, and standards for digital identities will increase. Societies must clarify what trust can look like in a world of synthetic media.

Organizations should train employees, enforce verification across multiple channels, and test deepfake detection tools. The technology is no longer just a means of influence, but is becoming a practical tool for compromise.

Sustainability: Energy as a strategic resource

The energy requirements of AI and quantum computing are becoming a strategic factor. In 2026, sustainability will come into sharper focus as the resource consumption of advanced computing technologies becomes more visible and regulatory authorities, investors, and corporate management pay increasing attention to it.

The pace of commercial adoption of quantum computing will depend heavily on available energy – possibly even more than on technical maturity. Energy planning is evolving from a back-office issue to a central component of technology and security strategy.

The consequences affect decisions about cloud partners, data architectures, and infrastructure models, especially in AI-intensive environments. Energy is becoming a strategic resource whose availability is a key factor in competitiveness.