Skyhigh Security : 2026 ist das Jahr, in dem künstliche Intelligenz einen neuen Entwurf für die Unternehmenssicherheit vorantreibt.

Von Thyaga Vasudevan - EVP für Produkte

12. Dezember 2025 7 Minuten Lesezeit

Mit dem Eintritt der Unternehmen in das Jahr 2026 verschiebt sich die Diskussion rasch. Das vergangene Jahrzehnt war geprägt von der digitalen Transformation. Das nächste Jahrzehnt wird von der KI-Transformation. Diese Umstellung ist jedoch nicht so einfach wie die Einführung großer Sprachmodelle oder die Einführung interner KI-Copiloten. Sie erfordert ein Umdenken in Bezug auf die Arbeitsweise von Unternehmen und wie sie Daten schützenund wie sie Innovation mit Vertrauen und Sicherheit in Einklang bringen.

In den Bereichen Architektur, Produkt- und Sicherheitsforschung zeichnen sich bereits mehrere Themen ab. Nachfolgend finden Sie die Skyhigh Security für das kommende Jahr.

1. Die digitale Transformation hinter sich lassen: 2026 wird zum Jahr der KI-Transformation

Im Jahr 2026 werden Unternehmen erkennen, dass die Einführung von KI kein technologischer Wettlauf, sondern eine operativer Wandel. Mitarbeiter nutzen KI-Tools schneller, als die Unternehmensführung mithalten kann, und ohne starke Datenschutzmaßnahmen verlieren Unternehmen den Überblick darüber, welche sensiblen Informationen geteilt werden, wohin sie gelangen und wie lange sie gespeichert bleiben.

Da KI-Modelle, Copiloten und Agenten zunehmend in Arbeitsabläufe integriert werden, wird eine entscheidende Tatsache deutlich: KI ist lediglich ebenso sicher und genau wie die Daten, mit denen es interagiertHerkömmliche Sicherheitslösungen können den Datenverkehr überwachen, jedoch nicht den Inhalt, die Sensibilität, die Herkunft oder die hoheitlichen Anforderungen, die KI-Systeme verarbeiten und auf deren Grundlage sie handeln.

Sicherheitslösungen müssen nun Folgendes berücksichtigen:

• Welche Daten werden in Eingabeaufforderungen eingegeben und ob dies erforderlich ist
• Wie agentenbasierte KI-Systeme Absichten interpretieren und autonome Entscheidungen treffen
• Welche Inhalte dürfen von MCP- oder API-gesteuerten Workflows bearbeitet, verschoben oder generiert werden?
• Ob sensible oder vertrauliche Daten an externe Modelle gesendet werden
• Wie KI Informationen im Laufe der Zeit speichert, aufbewahrt oder wiederverwendet

Im Jahr 2026 werden Unternehmen erkennen, dass eine sichere Einführung von KI weit mehr als nur den Schutz des Zugriffs erfordert. Es ist notwendig:

• Sichtbarkeit und Durchsetzung auf Prompt-Ebene
• Inhaltsklassifizierung zum Zeitpunkt der Interaktion
• Intentionsbewusste Steuerelemente, die sichere von riskanten Aktionen unterscheiden
• Governance für agentenbasierte KI-Workflows, die im Namen der Benutzer agieren
• Kontinuierliche Überwachung der Modelleingaben, -ausgaben und langfristigen Aufbewahrung
• Einheitliche Richtlinien für Browser-, SaaS-, Cloud-, On-Premise- und KI-Umgebungen

Organisationen, die erfolgreich sind, betrachten die KI-Transformation als disziplinierte, datenorientierte Aufgabe , die sicherstellt, dass KI nur mit kontrollierten, genauen und konformen Inhalten interagiert. Diejenigen, die dies nicht tun, werden mit Vertrauensproblemen, Datenlecks und unzureichenden KI-Ergebnissen konfrontiert sein.

2. Die Kosten, Komplexität und Datenrückführung der Cloud-Sicherheit werden die Architekturen im Jahr 2026 neu gestalten.

Unternehmen erkennen zunehmend, dass eine ausschließlich cloudbasierte Inspektion finanziell und betrieblich nicht mehr tragbar ist. Im Jahr 2026 treffen vier Kräfte aufeinander:

• Steigende Kosten für Cloud-Inspektionen aufgrund des durch KI bedingten Datenwachstums
• Souveränitäts- und Compliance-Regeln, die die Weiterleitung sensibler Daten außerhalb der Region verhindern
• KI-Workloads generieren weitaus mehr Inhalte und Datenverkehr, als Cloud-Tools für die Überprüfung ausgelegt sind.
• Ein Anstieg der Datenrückführung ist zu beobachten, da Unternehmen sensible oder umfangreiche Workloads aus Gründen der Kontrolle, Kostenvorhersagbarkeit und Leistung wieder in ihre lokalen Rechenzentren zurückholen.
• Dieser Druck führt zu einem Wendepunkt: Die Weiterleitung aller Inspektionen über zentralisierte Cloud-Engines wird zu kostspielig, zu riskant und zu restriktiv, insbesondere für regulierte Branchen.

Hybrid Security wird im Jahr 2026 das vorherrschende Modell sein. Unternehmen werden Folgendes erwarten:

• Kontrollen lokal oder regional durchsetzen , wenn erforderlich
• Bitte nutzen Sie die Cloud-Inspektion selektiv, nicht universell
• Eine einheitliche Richtlinie aufrechterhalten eine einheitliche Richtlinie für Cloud, On-Premise, Browser, SaaS und KI
• Setzen Sie die Durchsetzung dort um, wo sie am konform und kosteneffizient

Hybrid ist nicht veraltet – es ist die neue Architektur für Souveränität, Kosteneffizienz und KI-Sicherheit.

3. Die Welt funktioniert heute über den Browser – dessen Sicherheit ist unverzichtbar.

Bis 2026 wird der Browser zum primären Arbeitsbereich für moderne Unternehmen entwickelt. Die Einführung von SaaS, die Cloud-Migration und der rasante Aufstieg von KI-Assistenten bedeuten, dass mehr Geschäftsaktivitäten, Zusammenarbeit, Datenanalyse, Codegenerierung, Dokumentenbearbeitung und sogar regulierte Arbeitsabläufe nun im Browser stattfinden als in jeder herkömmlichen Anwendung.

Diese Veränderung macht den Browser zur wahrhaftige letzte Meile des Unternehmensrisikos. Sensible Inhalte werden über eine Browsersitzung angezeigt, bearbeitet, kopiert, hochgeladen, in KI-Tools eingefügt und über integrierte SaaS-Ökosysteme hinweg geteilt. Infolgedessen ist der Browser nicht mehr nur ein Bereitstellungsmechanismus für Webanwendungen, sondern hat sich zu einem zentralen Kontrollpunkt für Datenverwaltung, KI-Sicherheit, Einblicke in das Benutzerverhalten und die Durchsetzung von Richtlinien in Echtzeit.

Diese neue Situation birgt mehrere neue Risiken:

• KI und SaaS-Copiloten, die direkt mit sensiblen Inhalten interagieren
• Die Verwendung von Schatten-KI, die bestehende Netzwerk- oder Endpunktkontrollen
• Unüberwachter Datenverkehr durch Uploads, Downloads, Kopieren/Einfügen oder Bildschirmfreigabe
• Regulierte oder hoheitliche Daten, die in globale Cloud-KI-Dienste einfließen
• Auftragnehmer und Drittanbieter, die sensible Daten über nicht verwaltete Geräte verarbeiten über nicht verwaltete Geräte

Große Unternehmen nennen immer wieder Herausforderungen wie Widerstand seitens der Benutzer, den operativen Aufwand für die vorgeschriebene Browser-Migration und die eingeschränkte Abdeckung für Nicht-Browser-Workflows oder Altsysteme.

Für die meisten Unternehmen wird die Priorität im Jahr 2026 nicht die Einführung eines neuen Browsers sein, sondern die Einführung konsistenter, skalierbarer Kontrollen für den Browser, auf den sie bereits angewiesen sind. Das bedeutet, dass Folgendes gesichert werden muss:

• Wie nutzer mit daten interagieren
• Wie KI-Tools Inhalte verarbeiten und speichern
• Wie SaaS-Anwendungen sensible Informationen austauschen und speichern
• Wie nicht verwaltete oder hybride Geräte auf Unternehmens-Workloads zugreifen

Unternehmen werden zunehmend nach Sicherheitsmodellen suchen, die die bestehende Browserumgebung stärken, Echtzeit-Einblicke in das Benutzerverhalten und die Interaktion mit Inhalten bieten und die Zero-Trust-Prinzipien direkt auf den Punkt ausweiten, an dem die Daten verwendet werden. 

4. DSPM entwickelt sich von der Erkennung zur Prävention und wird zu einer zentralen Sicherheitsebene. 

Im Jahr 2026 wird sich DSPM von einem Sichtbarkeitstool zu einer Echtzeit-Compliance- und Präventionsschicht, angetrieben durch zunehmende geopolitische Spannungen, erweiterte Datenhoheitsregeln und eine Welle neuer Datenschutzbestimmungen weltweit.

Da Indiens DPDPA offiziell im Jahr 2025 in Kraft treten wird, passen sich Unternehmen bereits an strengere Anforderungen hinsichtlich Datenresidenz, Zweckbindung und Einwilligung an. Sie werden dabei nicht allein sein. Die EU verschärft die Governance im Rahmen der DSGVO und des KI-Gesetzes, die GCC-Länder führen aktualisierte nationale Datenschutzrahmenwerke ein, und APAC-Regionen wie Singapur, Japan, Australien und Südkorea verstärken ihre eigenen grenzüberschreitenden und Meldepflichten bei Datenschutzverletzungen. In den USA erlassen mehr als ein Dutzend Bundesstaaten Gesetze im Stil des CCPA mit immer strengeren Anforderungen an die Datenverwaltung.

Vor diesem globalen Hintergrund sehen sich CIOs und CISOs mit einer neuen Realität konfrontiert: Compliance bedeutet nicht mehr nur die Dokumentation von Kontrollen.  Es geht um kontinuierlich nachweisend Wo befinden sich die Daten, wie werden sie verwendet und bleiben sie innerhalb der durch Gesetze, Verträge und geopolitische Gegebenheiten definierten Grenzen?

DSPM ist unverzichtbar, da es Folgendes ermöglicht:

• Einheitliche Transparenz über Cloud-, SaaS- und lokale Datenspeicher hinweg
• Echtzeit-Verständnis der Datenbewegung, Sensibilität und Herkunft
• Automatische Durchsetzung auf Grundlage regionaler Souveränität und zweckgebundener Einschränkungen
• Kontinuierliche Compliance Nachweise für Wirtschaftsprüfer und Aufsichtsbehörden
• Proaktive Prävention – nicht erst nach einem Vorfall – von Offenlegung, Missbrauch oder grenzüberschreitendem Datenfluss

Da KI-Workloads zunehmen und hybride Architekturen wieder an Bedeutung gewinnen, werden Unternehmen DSPM nicht länger als passives Erkennungsinstrument akzeptieren. Sie werden DSPM fordern, das Richtlinien durchsetzt, riskante Bewegungen blockiert und Verstöße verhindert, bevor sie auftreten.

Im Jahr 2026 wird DSPM zu einer grundlegenden Sicherheits- und Compliance-Kontrolleund ermöglicht nicht nur die KI-Transformation, sondern stellt auch sicher, dass Unternehmen die nächste Welle geopolitischer, regulatorischer und souveränitätsbedingter Herausforderungen bewältigen können.

5. Post-Quanten-Risiken werden in die strategische Sicherheitsplanung einbezogen – lange bevor die Kryptografie migriert wird

Quantenresistente Kryptografie wird im Jahr 2026 noch nicht weit verbreitet sein, jedoch wird das Quantenrisiko zu einem strategischen Planungsthema werden, da Unternehmen die Auswirkungen des Ansatzes „jetzt sammeln, später entschlüsseln“ erkennen. Bedrohungsakteure stehlen bereits heute verschlüsselte Archive mit der Absicht, sie zu entschlüsseln, sobald die Quantencomputertechnik ausgereift ist. Damit werden langlebige, sensible oder hoheitliche Daten zum eigentlichen Schwachpunkt und nicht die Kryptografie selbst.

Unternehmen, die im Jahr 2026 mit den Vorbereitungen beginnen, werden sich weniger auf die Migration von Algorithmen konzentrieren, sondern vielmehr auf die Datenüberlebensfähigkeit und die Lebenszyklus-Governance, einschließlich:

• Reduzierung der Speicherung unnötiger Daten
• Identifizierung von Schatten- oder verwaisten Archiven
• Kennzeichnung von hoheitlichen oder regulierten Inhalten mit langfristiger Sensibilität
• Anwendung von Lebenszyklusrichtlinien und Minimierung des Zugriffs
• Kontrolle des Datenverkehrs über SaaS, Browser, KI-Eingabeaufforderungen und Dritte hinweg

Die Vorbereitung auf die Post-Quanten-Kryptografie (PQC) beginnt mit einer kontinuierlichen Datenhaltung und Lebenszyklusdurchsetzung, nicht nur mit zukünftigen Kryptografie-Standards. Unternehmen, die eine datenorientierte Governance und hybride Durchsetzung einführen, werden das langfristige Quantenrisiko erheblich reduzieren, lange bevor die Algorithmus-Upgrades abgeschlossen sind.

Zusammengefasst: PQC wird im Jahr 2026 keine Priorität bei der Implementierung haben, jedoch PQC-Bereitschaft wird zu einer Planungsnotwendigkeit in Branchen mit gesetzlichen Aufbewahrungspflichten, hoheitlichen Datenverpflichtungen oder hochsensiblen Archiven. Der früheste Weg zur Risikominderung ist klar: Verwalten Sie Ihre Daten, bevor Quantencomputer eine Rolle spielen.

Das Fazit: Sicherheit muss Daten und Anwendungen schützen, nicht nur die Netzwerkkonnektivität.

Die Kräfte, die das Jahr 2026 prägen werden – die Einführung von KI, steigende Kosten und Komplexität von Sicherheitslösungen, Datenrückführung, browserbasiertes Arbeiten, zunehmende globale Compliance und aufkommende PQC-Risiken – definieren neu, wie Unternehmen ihre Umgebungen sichern müssen. KI beschleunigt Innovationen, deckt jedoch Lücken in der Datenverwaltung auf.. Die Wirtschaftlichkeit der Cloud und der Druck zur Souveränität drängen Unternehmen zu hybriden Architekturen, bei denen die Durchsetzung an den tatsächlichen Speicherort der Daten angepasst werden muss. Da die meisten Arbeit findet heute im Browser statt, ist es unerlässlich, Benutzerinteraktionen, SaaS-Workflows und KI-Eingabeaufforderungen zu sichern. DSPM wird sich von der Sichtbarkeit hin zur kontinuierlichen Durchsetzung der Compliance verlagern , da weltweit Vorschriften in Kraft treten. Und obwohl PQC noch in den Kinderschuhen steckt, müssen Unternehmen damit beginnen sich auf langlebige Daten vorzubereiten, die einen zukunftssicheren Schutz erfordern.

Organisationen, die erfolgreich sind, werden Sicherheit als eine Datendisziplin– sie regeln, wie Informationen verwendet werden, wohin sie übertragen werden und wie lange sie in Cloud-, On-Prem-, Browser-, SaaS- und KI-Workflows gespeichert bleiben.

Zurück zu Blogs