Warum der WEF Cybersecurity Outlook 2026 ein starkes Argument für UEBA liefert
In der Vergangenheit ging es bei der Cybersicherheit hauptsächlich darum, Angreifer fernzuhalten.
Heute gilt dieses Paradigma nicht mehr.
Laut demGlobal Cybersecurity Outlook 2026 des Weltwirtschaftsforums, der diese Woche während des WEF-Jahrestreffens in Zusammenarbeit mit Accenture veröffentlicht wurde, werden die schädlichsten Cybervorfälle zunehmend durch legitime Identitäten, gültige Anmeldedaten und vertrauenswürdige Zugriffspfade verursacht – und nicht durch durchbrochene Perimeter oder exotische Exploits.
Diese Veränderung hat tiefgreifende Auswirkungen darauf, wie Unternehmen Bedrohungen erkennen, untersuchen und eindämmen.
Warum das wichtig ist: Was sich in der Bedrohungslandschaft verändert
Der Ausblick für 2026 hebt mehrere Trends hervor, die zusammengenommen auf eine grundlegende Erkennungslücke hindeuten.
1. Identitätsbasierte Angriffe nehmen zu
- Cyberbetrug und Phishing sind mittlerweile das größte Cyber-Problem für CEOs und haben Ransomware vom ersten Platz verdrängt.
- Insider-Bedrohungen und der Missbrauch von Zugangsdaten gehören zu den Risiken, die von Jahr zu Jahr am schnellsten zunehmen.
- 73 % der Befragten geben an, in den letzten 12 Monaten direkt oder indirekt von Cyberbetrug betroffen gewesen zu sein.
Diese Angriffe wirken auf den ersten Blick selten „bösartig“. Sie werden ausgeführt mit:
- legitime Benutzerkonten
- Standardanwendungen (ERP, CRM, HR, Collaboration-Tools)
- zugelassene APIs und Automatisierung
Herkömmliche Sicherheitskontrollen wurden nicht dafür entwickelt, diese identitätsbasierten Angriffe zu erkennen.
2. KI verstärkt Angreifer und Verteidiger
KI ist nicht mehr nur eine defensive Fähigkeit.
Der Bericht zeigt, dass:
- 77 % der Unternehmen setzen bereits KI im Bereich Cybersicherheit ein, darunter auch zur Analyse des Nutzerverhaltens.
- Gleichzeitig identifizieren 87 % KI-bezogene Schwachstellen als das am schnellsten wachsende Risiko.
- KI-Agenten, Automatisierung und nicht-menschliche Identitäten vervielfachen die Zugriffspfade – und potenzielle blinde Flecken.
Dadurch nehmen das Ausmaß, die Geschwindigkeit und die Subtilität verdächtiger Aktivitäten dramatisch zu. Erkennungsansätze, die sich allein auf statische Regeln oder manuelle Korrelationen stützen, können da einfach nicht mithalten.
3. Resiliente Organisationen investieren in Analysen, nicht nur in Kontrollen.
Eines der aussagekräftigsten Ergebnisse des Outlook ist der Unterschied zwischen hoch resilienten und unzureichend resilienten Organisationen.
Widerstandsfähigere Organisationen:
- Bedrohungsinformationen und Verhaltensdaten priorisieren
- Fokus auf Früherkennung und Kontext, nicht nur auf Prävention
- Investieren Sie in Analysen, die Störsignale reduzieren und Untersuchungen beschleunigen.
Im Gegensatz dazu haben weniger widerstandsfähige Unternehmen mit Alarmmüdigkeit, fragmentierter Sichtbarkeit und langsamen Reaktionszeiten zu kämpfen – selbst wenn sie über SIEMs und SOCs verfügen.
Warum die herkömmliche Erkennung Schwierigkeiten hat
Die meisten Sicherheitsstacks sind nach wie vor optimiert für:
- bekannte Kompromittierungsindikatoren
- signaturbasierte oder schwellenwertbasierte Warnmeldungen
- isolierte Analyse pro System oder Protokollquelle
Identitätsbasierte Angriffe lösen diese Sicherheitsvorkehrungen jedoch nicht aus.
Häufige Fehlerarten sind:
- Gültige Anmeldedaten, die sich ungewöhnlich, aber nicht „illegal“ verhalten
- Benutzerdefinierte oder geschäftskritische Anwendungen, denen die Überwachungs- und Erkennungslogik für abnormales Benutzerverhalten wie die Exfiltration großer Datenmengen fehlt.
- Reizüberflutung, bei der schwache Signale im Rauschen untergehen
- Lange Verweildauer, da Verhalten erst im Nachhinein verdächtig erscheint
Das Ergebnis: Unternehmen erkennen Verstöße zu spät – wenn überhaupt.
Warum Verhaltensanalysen (UEBA) die Lücke schließen
Die Analyse des Verhaltens von Benutzern und Entitäten (User and Entity Behavior Analytics, UEBA) befasst sich mit den im WEF-Bericht hervorgehobenen Herausforderungen.
Anstatt zu fragen „Ist dies bekanntermaßen bösartig?“, fragt UEBA:
- Ist dieses Verhalten für diese Identität, Entität oder Anwendung normal?
- Entspricht diese Abfolge von Handlungen früheren Mustern oder denen von Gleichaltrigen?
- Tritt das Risiko systemübergreifend auf, nicht nur innerhalb einer Protokollquelle?
Dies ermöglicht:
- Erkennung von Insider-Missbrauch und Missbrauch von Anmeldedaten
- Sichtbarkeit über Benutzer, Anwendungen, APIs und Automatisierung hinweg
- frühere Warnungen mit höherer Zuverlässigkeit
- Reduzierung der Alarmmüdigkeit durch Verhaltensaggregation
Kurz gesagt: UEBA passt die Erkennung an die tatsächliche Vorgehensweise moderner Angriffe an.
Warum gerade Exeon.UEBA?
Während viele Anbieter Funktionen als „UEBA“ bezeichnen, variiert die praktische Fähigkeit zur Operationalisierung von Verhaltensanalysen stark.
Exeon.UEBA wurde für die in den Aussichten für 2026 hervorgehobenen Realitäten entwickelt:
- Ganzheitliche Abdeckung
Verhaltensanalysen über Benutzer, Anwendungen (einschließlich SAP und benutzerdefinierte Apps), Infrastruktur, APIs und KI-Agenten hinweg – nicht nur SaaS-Protokolle.
- Echtzeit-Stream-basierte Analysen
Die Erkennung erfolgt während des Verhaltens, nicht erst Stunden später in Batch-Jobs.
- Lärmreduzierung durch Design
Log-Normalisierung, Deduplizierung und Verhaltensaggregation reduzieren die SIEM-Last und die Ermüdung der Analysten.
- Datenschutz und Souveränität an erster Stelle
Integrierte Anonymisierung, Verschlüsselung und lokale oder souveräne Bereitstellung unterstützen die Anforderungen von DSGVO, DORA und NIS2 – besonders relevant für europäische und schweizerische Organisationen.
Diese Kombination ermöglicht es Unternehmen, die strategischen Erkenntnisse des WEF-Berichts in praktische Erkennungsfähigkeiten umzusetzen.
Von der Erkenntnis zur Tat
Der Global Cybersecurity Outlook 2026 macht eine Botschaft deutlich:
„Die Zukunft der Cybersicherheit liegt nicht in mehr Warnmeldungen, sondern in einem besseren Verständnis des Verhaltens.“
Unternehmen, die heute in die Transparenz von Verhaltensweisen investieren, sind besser in der Lage, die Bedrohungen von morgen zu erkennen – insbesondere solche, die durch die Vordertür, also von innen, hereinkommen.
