Security

Kritische Infrastruktur: Sicherheitsbereitschaft 2026

3 Min. Lesezeit

Zusammenfassung

Microsoft sagt, dass sich das Bedrohungsmodell für kritische Infrastruktur von opportunistischen Angriffen zu dauerhaftem, identitätsbasiertem Zugriff verlagert hat, der auf spätere Störungen ausgelegt ist. Für IT- und Sicherheitsverantwortliche ist die Botschaft klar: Angriffsfläche reduzieren, Identitäten absichern und die operative Bereitschaft jetzt validieren, da Regulierung und Aktivitäten von Nationalstaaten zunehmen.

Audio-Zusammenfassung

0:00--:--
Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einführung

Organisationen der kritischen Infrastruktur sind 2026 einer anderen Art von Cyberrisiko ausgesetzt. Laut Microsoft Threat Intelligence konzentrieren sich Angreifer nicht mehr nur auf Datendiebstahl oder kurzfristige Störungen – sie etablieren dauerhaften Zugriff, der später für maximale operative Auswirkungen genutzt werden kann.

Das ist für Security- und IT-Administratoren relevant, weil Identitäten, Cloud-Dienste und Remotezugriff heute traditionelle IT-Systeme mit Operational Technology (OT) verbinden. Eine einzelne Schwachstelle in dieser Kette kann reale Serviceunterbrechungen verursachen.

Was ist neu in Microsofts aktueller Bewertung

Microsoft hebt fünf zentrale Realitäten hervor, die 2026 die Resilienz kritischer Infrastruktur prägen:

  • Identity ist jetzt der primäre Angriffsweg. Mehr als 97 % der identitätsbasierten Angriffe zielen auf passwortbasierte Authentifizierung ab, häufig durch Password Spray und Brute-Force-Versuche.
  • Hybrid- und Cloud-Umgebungen erweitern die Reichweite von Angreifern. Microsoft berichtet, dass Cloud- und Hybridvorfälle Anfang 2025 um 26 % zugenommen haben, wobei webbasiert erreichbare Assets und exponierte Remote-Dienste weiterhin häufige Einstiegspunkte sind.
  • Prepositioning durch Nationalstaaten läuft fortlaufend. Kampagnen wie Volt Typhoon zeigen, wie Bedrohungsakteure gültige Anmeldeinformationen und Living-off-the-land-Techniken nutzen, um unauffälligen, langfristigen Zugriff aufrechtzuerhalten.
  • Fehlkonfigurationen begünstigen weiterhin Kompromittierungen. Inaktive privilegierte Konten, exponierte VPNs, veraltete Auftragnehmer-Identitäten und fehlkonfigurierte Cloud-Tenants ermöglichen weiterhin den Erstzugriff.
  • Operative Störung ist das Endziel. Angreifer zielen zunehmend auf Systeme, die Verfügbarkeit, physische Prozesse und kritische Dienste beeinflussen – nicht nur auf sensible Daten.

Warum das für Administratoren wichtig ist

Für Administratoren in der kritischen Infrastruktur unterstreicht der Artikel, dass Cybersecurity-Bereitschaft heute eine Frage der operativen Resilienz ist. Identity-Systeme bilden die Steuerungsebene über Cloud, IT und OT hinweg, sodass schwache Authentifizierung und übermäßig exponierte Zugriffswege überproportionale Folgen haben können.

Microsoft verweist außerdem auf den wachsenden regulatorischen Druck in den USA, Europa, Japan und Kanada. Das bedeutet, dass Organisationen über bloßes Bewusstsein hinausgehen und zu nachweisbarer Bereitschaft mit messbaren Kontrollen, praxisnahen Übungen und getesteten Reaktionsplänen übergehen müssen.

Empfohlene nächste Schritte

Security-Teams sollten einige unmittelbare Maßnahmen priorisieren:

  1. Identity-Risiken reduzieren, indem passwortabhängiger Zugriff, wo immer möglich, abgelöst und privilegierte Konten überprüft werden.
  2. Die Exponierung von Remotezugriff prüfen, einschließlich VPNs, webbasiert erreichbarer Systeme und Auftragnehmerkonten.
  3. Cloud- und Hybrid-Konfigurationen überprüfen, um Drift, übermäßige Berechtigungen und nicht verwaltete Assets zu identifizieren.
  4. Die IT-OT-Transparenz stärken, damit verdächtige Aktivitäten mit legitimen Tools leichter erkannt werden.
  5. Operative Resilienz testen durch Tabletop-Übungen, Validierung der Incident Response und sektorspezifisches Bereitschaftstraining.

Microsofts Kernbotschaft ist eindeutig: Organisationen der kritischen Infrastruktur sollten davon ausgehen, bereits Ziel zu sein, und sich jetzt auf kontinuierliche Bereitschaft konzentrieren – nicht später.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Sherrod DeGrippo lesen
critical infrastructurecybersecurityidentity securityoperational resilienceMicrosoft Threat Intelligence

Verwandte Beiträge

Security

AI-Sicherheitsleitfaden für CISOs: Praxisnah

Microsoft rät CISOs, AI-Systeme mit denselben grundlegenden Kontrollen abzusichern, die sie bereits für Software, Identitäten und Datenzugriff einsetzen. Die Empfehlungen betonen Least Privilege, Schutz vor Prompt Injection und den Einsatz von AI selbst, um Berechtigungsprobleme aufzudecken, bevor Angreifer oder Nutzer sie finden.

Security

WhatsApp-Malware-Kampagne mit VBS- und MSI-Backdoors

Microsoft Defender Experts haben eine Kampagne von Ende Februar 2026 aufgedeckt, die WhatsApp-Nachrichten nutzt, um schädliche VBS-Dateien auszuliefern, und anschließend unsignierte MSI-Pakete für Persistenz und Remotezugriff installiert. Der Angriff kombiniert Social Engineering, umbenannte Windows-Dienstprogramme und vertrauenswürdige Cloud-Dienste zur Umgehung der Erkennung, wodurch Endpoint-Kontrollen und Nutzeraufklärung entscheidend werden.

Security

Microsoft Copilot Studio gegen OWASP-AI-Risiken

Microsoft erläutert, wie Copilot Studio und die bevorstehende allgemeine Verfügbarkeit von Agent 365 Unternehmen dabei helfen können, die OWASP Top 10 für Agentic Applications zu adressieren. Die Hinweise sind wichtig, weil agentische AI-Systeme echte Identitäten, Daten und Tools nutzen können und dadurch Sicherheitsrisiken entstehen, die weit über ungenaue Ausgaben hinausgehen.

Security

Microsoft Defender HVA-Schutz blockiert Angriffe

Microsoft hat erläutert, wie Microsoft Defender mit High-Value-Asset-Erkennung Angriffe auf Domain Controller, Webserver und Identitätsinfrastruktur erkennt und stoppt. Durch die Kombination von Kontext aus Security Exposure Management mit differenzierten Erkennungen und automatischer Unterbrechung kann Defender das Schutzniveau für Tier-0-Assets erhöhen und die Auswirkungen komplexer Angriffe reduzieren.

Security

Microsoft Entra Identitätssicherheit: RSAC 2026

Microsoft positioniert Identitätssicherheit als eine einheitliche Steuerungsebene, die Identitätsinfrastruktur, Zugriffsentscheidungen und Bedrohungsschutz in Echtzeit zusammenführt. Auf der RSAC 2026 kündigte das Unternehmen neue Funktionen für Microsoft Entra und Defender an, darunter ein Dashboard für Identitätssicherheit, ein einheitliches Identitätsrisiko-Scoring und adaptive Risikobehebung, um Unternehmen dabei zu helfen, Fragmentierung zu reduzieren und schneller auf identitätsbasierte Angriffe zu reagieren.

Security

Trivy-Lieferkettenkompromittierung: Defender-Hinweise

Microsoft hat Hinweise zur Erkennung, Untersuchung und Eindämmung der Trivy-Lieferkettenkompromittierung vom März 2026 veröffentlicht, die die Trivy-Binärdatei und zugehörige GitHub Actions betraf. Der Vorfall ist relevant, weil vertrauenswürdige CI/CD-Sicherheitstools missbraucht wurden, um Anmeldeinformationen aus Build-Pipelines, Cloud-Umgebungen und Entwicklersystemen zu stehlen, während sie scheinbar normal ausgeführt wurden.