Auch im Jahr 2026 blicken viele Unternehmen beim Thema Cybersecurity nach wie vor nicht durch. Die Folge: Potenziell gefährliche Fehlannahmen halten sich hartnäckig. Biren Patel, Experte für Managed Extended Detection and Response (MXDR), falsifiziert fünf davon und stellt sie richtig.
Symbolbild Copilot
Man sollte meinen, dass die zahlreichen Medienberichte über Cyberattacken das Gespür der Unternehmen für die IT-Sicherheit geschärft haben. Dennoch spuken längst widerlegte Annahmen noch immer in den Köpfen vieler Entscheidungsträger und gefährden die Sicherheit. Das sind sie:
Fehlannahme #1: „Alle Cyberattacken sind im Grunde genommen gleich“
Die gefährlichste Fehlannahme ist, dass alle Cyberattacken gleichwertig sind. Es stimmt zwar, dass viele von ihnen ähnlichen Mustern folgen, doch Tier-1-, Tier-2- und Tier-3-Attacken unterscheiden sich erheblich, was die Motivation, Zielauswahl, Ressourcen und technische Raffinesse angeht.
Für T1-Attacken verwenden Threat Actors meist frei verfügbare Informationen und bekannte Tool-Kits, zudem sind die Akteure auf Angreiferseite meist Laien oder Einzelkämpfer und die Ziele wahllos.
Hinter T2-Attacken stecken in der Regel semiprofessionelle Hackergruppen, die gezielt bestimmte Branchen oder Unternehmen ins Visier nehmen. Dafür verwenden sie bekannte Tools, die sie mit individuell angepassten Komponenten erweitern.
T3-Attacken führen typischerweise staatlich unterstützte APT (Advanced Persistent Threat)-Gruppen aus, die geopolitische Ziele verfolgen. Sie setzen dafür massgeschneiderte, oft völlig unbekannte Malware ein und umgehen so herkömmliche Schutzmassnahmen.
Fehlannahme #2: „Gibt es keinen Grossalarm, ist es keine Tier-2- oder Tier-3-Attacke“
Die bereits erwähnten massgeschneiderten Malware-Varianten und individuellen Angriffstaktiken sind bei manchen T2- und praktisch allen T3-Attacken darauf ausgelegt, gängige Sicherheitslösungen nicht nur zu umgehen. Ziel ist es, mittels bislang unbekannter Tools und Zero-Day-Exploits gar nicht erst auf dem Radar der Tools aufzutauchen.
Entsprechend ist es keineswegs ungewöhnlich, dass selbst leistungsfähige EDR (Endpoint Detection and Response)- oder SIEM (Security Incident and Event Management)-Systeme keinen High-Severity-Alarm bei T2- oder T3-Attacken auslösen. Daher kann auch eine kleine, zunächst unkritisch aussehende Anomalie bedeuten, dass eine gross angelegte und brandgefährliche Cyberattacke stattfindet. Oder anders ausgedrückt: Gerade das Fehlen eines Grossalarms kann auf höchste Gefahr hinweisen.
Fehlannahme #3: „Unsere Cybersecurity-Tools sind ausreichend“
Tools sind fein, aber gerade im Kontext von T2- oder T3-Attacken greifen sie als alleinige Massnahme natürlich zu kurz. Selbst teure Sicherheitslösungen wie EDR-Tools oder SIEM-Lösungen können saubere Sicherheitskontrollen durch Analysten, klare Prozesse und gelebte Best Practices nur ergänzen. Und auch das „One in a Million“-Sicherheitstool verliert seine Wirkung, wenn es falsch konfiguriert ist, Ausnahmen unkontrolliert gesetzt werden oder grundlegende Cybersecurity-Massnahmen fehlen.
Gerade komplexe T2- oder T3-Attacken offenbaren, dass Fehlkonfigurationen und mangelnde Sicherheitsdisziplin oft der eigentliche Einstiegspunkt sind. Es bedarf also einer holistischen und auf die eigene Situation abgestimmten Strategie bestehend aus Technologie, Kultur und Fachpersonal, um wirklich sicher zu sein.
Fehlannahme #4: „Tier-3-Attacken betreffen nur grosse Unternehmen und Regierungen“
Es ist wahr, dass gerade staatlich geförderte Hackerkollektive insbesondere Global Player und Regierungsorganisationen im Fokus haben. Allerdings können T3-Attacken, deren Fokus eben auf diesen spezifischen Primärzielen liegen, auch kleinere und mittelständische Unternehmen betreffen. Etwa dann, wenn die Cyberkriminellen weit verbreitete Open-Source-Bibliotheken mit Schadcode oder Malware verseuchen oder ihre Taktiken im Darknet öffentlich zugänglich machen.
Fehlannahme #5: „Tiefgreifende Analysen sind optional, Hauptsache das Ticket ist zu“
Die Vorstellung, man müsse als Cybersecurity-Analyst nur Tickets schliessen, verkennt den Kern professioneller Incident Response. Massnahmen wie das Zurücksetzen von Passwörtern oder das Isolieren eines Endpunkts sind zwar wichtige Sofortreaktionen, ersetzen jedoch keine Ursachenanalyse.
Gerade bei T2- oder T3-Attacken platzieren Angreifer Schadcode und Malware, deren destruktive Wirkung sich erst mit Verzögerung zeigt, oder sie nutzen gehackte Zugangsdaten zu einem strategisch sinnvollen Zeitpunkt. Einen Incident zu schliessen, kann also zuweilen lediglich der erste Schritt sein, um eine tiefgreifende T2- oder T3-Attacke wirklich abzuwehren.
Dass sich so grobe Fehlannahmen im Cybersecurity-Kontext auch 2026 noch vielerorts halten, ist besorgniserregend. Unternehmen benötigen daher dringend Nachhilfe, um das Verständnis für die aktuelle Bedrohungslandschaft zu etablieren. Bestenfalls sollte zudem jedes Unternehmen ein dediziertes Security Operations Center betreiben, bestückt mit Spezialisten für die Threat-Analyse, Threat Intelligence und die proaktive Verteidigung.
Der Autor
Biren Patel ist Senior Manager, AMER SOC bei Ontinue (Quelle: Ontinue)
Über Ontinue
Ontinue, der Experte für KI-gestützte Managed Extended Detection and Response (MXDR), ist ein rund um die Uhr verfügbarer Sicherheitspartner mit Hauptsitz in Zürich. www.ontinue.com