Ismet Koyun über Cybersecurity-Trends 2026

Wenn Sie auf das Jahr 2026 blicken: Welche Cybersecurity-Trends prägen Unternehmen und öffentliche Organisationen?

Ismet Koyun: Es gibt drei große Trends. Erstens: Der zunehmende Einsatz von SuperApps und autonomen KI-Agenten macht konsequent umgesetztes Security by Design zwingend erforderlich. Zweitens: Der über Jahre gewachsene Tool-Wildwuchs stößt an seine Grenzen, weshalb sich plattformbasierte Sicherheitsarchitekturen durchsetzen. Drittens: 2026 wird digitale Souveränität für viele Organisationen geschäftskritisch werden. Wenn wir das nicht schaffen, birgt das aus heutiger Sicht erhebliche Risiken für Europa. Diese Trends betreffen nahezu alle Branchen, von Industrie und Finanzwirtschaft bis hin zu Verwaltung und Gesundheitswesen.

Beginnen wir mit SuperApps. Welche Rolle spielen sie in puncto digitaler Sicherheit?

Ismet Koyun: SuperApps bündeln eine Vielzahl digitaler Services in einer zentralen Anwendung – von Identitätsverwaltung über Kommunikation bis hin zu Transaktionen und Fachprozessen. Das bietet enorme Vorteile: Prozesse werden schneller, Nutzerführung konsistenter, digitale Angebote effizienter nutzbar – und sind, richtig umgesetzt, hochsicher. Gleichzeitig entstehen Risiken. Wenn Identitäten, Rollen oder Schnittstellen nicht korrekt abgesichert sind, kann ein einzelner Sicherheitsvorfall weitreichende Auswirkungen auf das gesamte System haben. Deshalb ist es notwendig, Sicherheitsarchitektur, Rollenmodelle und Datenflüsse von Anfang an sauber zu definieren und technisch umzusetzen.

Was bedeutet Security by Design im Kontext von SuperApps, etwa in Behörden oder regulierten Organisationen?

Ismet Koyun: In SuperApps bedeutet Security by Design, dass jede Funktion auf einem dedizierten Identitäts- und Berechtigungsmodell aufsetzt. Nutzer dürfen ausschließlich auf die Daten und Prozesse zugreifen, die sie für ihre Rolle benötigen. Besonders in Verwaltungen, in denen Bürgerdienste, interne Fachverfahren und externe Partner zusammenkommen, ist dies essenziell. Zusätzlich müssen sensible Daten hochverschlüsselt und Zugriffe lückenlos protokolliert werden. Ergänzend braucht es eine laufende Überprüfung von Zugriffen auf Basis von Kontext und Risiko, etwa durch zeitlich begrenzte Berechtigungen und adaptive Authentifizierungsmechanismen. Ebenso wichtig ist die Absicherung aller Schnittstellen, damit externe Services und angebundene Systeme kontrolliert und nachvollziehbar mit der SuperApp interagieren. Dies gewährleistet Transparenz, Nachvollziehbarkeit und Vertrauen in zentrale digitale Plattformen: die Grundvoraussetzung für die Akzeptanz digitaler Dienste durch die Nutzer.

Sie erwähnten eingangs autonome KI-Agenten. Welche Sicherheitsrisiken gehen damit einher?

Ismet Koyun: Agentic AI, also KI-Systeme, die eigenständig Entscheidungen treffen und Prozesse auslösen können, verändert die Arbeitsweise von Organisationen von Grund auf. KI-Agenten arbeiten autonom. Sie agieren nicht nur mit Menschen, sondern auch untereinander. Das entlastet Mitarbeitende, reduziert Fehler und erhöht die Geschwindigkeit digitaler Abläufe. Besonders in Bereichen wie der Antragsbearbeitung, Schadensmanagement bei Versicherungen oder Terminvergabe entstehen erhebliche Effizienzgewinne. Organisationen können dadurch ihre Ressourcen gezielter einsetzen. Aber: Autonome Systeme benötigen Grenzen. KI-Agenten müssen im Grunde wie Mitarbeitende behandelt werden – mit eindeutiger Identität, definierten Berechtigungen und überprüfbaren Aktionen. Ohne diese Kontrolle besteht die Gefahr, dass Agenten ungewollt auf sensible Daten zugreifen oder Prozesse in falschen Kontexten auslösen. Zudem können Angreifer versuchen, Agenten zu manipulieren oder zu imitieren. Security by Design bedeutet hier, Handlungsspielräume technisch zu begrenzen und jede Aktion nachvollziehbar und überprüfbar zu machen.

Wo sehen Sie besonders kritische Anwendungsfälle?

Ismet Koyun: In regulierten Branchen sind die Risiken besonders hoch. Hier dürfen keine Fehler passieren. In Finanz- oder Versicherungsunternehmen etwa können falsche KI-Entscheidungen direkte finanzielle oder rechtliche Konsequenzen haben. Im Gesundheitswesen haben automatisierte Prozesse unter Umständen sogar Auswirkungen auf die Versorgung von Menschen. Wenn Sicherheitsmechanismen fehlen, entstehen wirtschaftliche, aber auch gesellschaftliche Risiken. Deshalb muss der Einsatz von Agentic AI immer mit einer fundierten Sicherheits- und Governance-Struktur einhergehen.

Kommen wir zum zweiten Trend. Warum bringt der Einsatz vieler einzelner Tools für Unternehmen Sicherheitsrisiken mit sich?

Ismet Koyun: Typischerweise nutzen Unternehmen unterschiedliche Systeme für Kommunikation, Identitätsverwaltung, Fachanwendungen und die Zusammenarbeit mit externen Partnern. Zum Teil sind das 15 und mehr verschiedene Tools. Mitarbeitende erhalten beim Onboarding zahlreiche Zugänge, die beim Wechsel der Position oder Offboarding häufig nicht vollständig entzogen werden, weil Zuständigkeiten und Prozesse fragmentiert sind. Externe Dienstleister behalten Zugriffe oft länger als notwendig, da Berechtigungen nicht zentral überprüft werden. Dadurch entstehen Schattenberechtigungen, die zwar kaum sichtbar sind, aber ein erhebliches Missbrauchs- und Angriffsrisiko darstellen. Zusätzlich erschwert die Vielzahl isolierter Tools ein konsistentes Monitoring. Dadurch werden sicherheitsrelevante Ereignisse nicht ganzheitlich erkannt oder korreliert. Insgesamt verlieren Unternehmen die Kontrolle darüber, wer wann auf welche Systeme zugreift. Das weder sicherheitstechnisch noch regulatorisch tragfähig. Plattformbasierte Sicherheitsansätze, also echte Plattform-Security, schaffen hier Abhilfe, weil Identitäten, Zugriffe und Prozesse übergreifend und nachvollziehbar verwaltet werden können – und somit hochsicher sind.

Welche Vorteile bietet Plattform-Security?

Ismet Koyun: Plattform-Security sorgt für Konsistenz und Transparenz, indem sicherheitsrelevante Funktionen nicht mehr isoliert, sondern übergreifend gesteuert werden. Berechtigungen werden über den gesamten Lebenszyklus hinweg verwaltet – vom Onboarding bis zum Offboarding – und nicht nur punktuell in einzelnen Tools. Sicherheitsereignisse lassen sich zentral erfassen und priorisieren, sodass Vorfälle nicht nur schneller erkannt, sondern auch koordiniert bearbeitet werden können. Darüber hinaus ermöglichen Plattformansätze eine einheitliche Durchsetzung von Sicherheitsrichtlinien über alle Anwendungen und Schnittstellen hinweg, was Fehlkonfigurationen reduziert. Organisationen erhalten eine fundierte Übersicht über ihre tatsächlichen Zugriffs- und Risikostrukturen. Gleichzeitig vereinfacht sich die Zusammenarbeit zwischen IT, Security, Fachbereichen und Compliance, weil alle auf einer konsistenten Daten- und Steuerungsbasis arbeiten. Für Organisationen entsteht mehr Sicherheit bei geringerer Komplexität und besserer Steuerung.

Kommen wir zu Trend 3. Warum ist digitale Souveränität in Europa heute so entscheidend?

Ismet Koyun: Europa ist in vielen Bereichen – von Cloud-Infrastrukturen über Plattformtechnologien bis hin zu KI-Modellen – stark von Anbietern aus USA und China abhängig, also außerhalb der eigenen Rechts- und Werteordnung. Diese Abhängigkeit bedeutet ein wirtschaftliches Risiko und schränkt die politische und operative Handlungsfähigkeit ein. Mit dem Ausbau KI-basierter Systeme verschärft sich diese Situation. Wenn Trainingsdaten, Modelle und Steuerungsmechanismen außerhalb europäischer Kontrolle liegen, verlieren Unternehmen die Fähigkeit, Risiken selbst zu bewerten und zu steuern. Digitale Souveränität heißt daher nicht Abschottung, sondern die Fähigkeit, zentrale digitale Funktionen unabhängig, rechtskonform und resilient zu betreiben. Für Europa ist sie eine Voraussetzung, um wirtschaftliche Stabilität, demokratische Kontrolle und technologische Selbstbestimmung langfristig zu sichern.

Was bedeutet digitale Souveränität für Deutschland – und welche Risiken entstehen, wenn digitale Abhängigkeiten bestehen bleiben?

Ismet Koyun: Für Deutschland bedeutet digitale Souveränität vor allem, die eigene Handlungsfähigkeit zu sichern. Viele zentrale Funktionen in Wirtschaft, Verwaltung und kritischer Infrastruktur hängen heute von wenigen, stark zentralisierten digitalen Diensten aus den USA und China ab, die außerhalb des europäischen Rechts- und Einflussraums betrieben werden. Jüngste großflächige IT-Störungen haben gezeigt, dass bereits Kleinigkeiten oder fehlerhafte Updates ausreichen können, um ganze Branchen, Verwaltungen oder Versorgungsprozesse weltweit lahmzulegen. Wenn Identitäten, Zugriffssteuerung oder zentrale Kommunikations- und Steuerungsmechanismen nicht unter eigener Kontrolle stehen, verlieren Organisationen im Ernstfall die Fähigkeit, schnell und souverän zu reagieren. Für Deutschland bedeutet das ein erhebliches Risiko für wirtschaftliche Stabilität und gesellschaftliches Vertrauen.

Wie kann Deutschland digitale Souveränität aufbauen – und welche Rolle spielen dabei europäische Plattform-Ökosysteme wie SuperApps?

Ismet Koyun: Der Weg zu digitaler Souveränität in Europa liegt im Aufbau eigener, integrierter Plattform-Ökosysteme, die Identitäten, Kommunikation, Services und Prozesse sicher zusammenführen. Plattformansätze wie SuperApps ermöglichen es, digitale Funktionen nicht fragmentiert, sondern konsolidiert und kontrollierbar zu betreiben. Dadurch lassen sich Abhängigkeiten von US- oder chinesischen Konzernen reduzieren. Entscheidend ist, dass solche Plattformen innerhalb europäischer Rechtsräume betrieben werden und alle hier geltenden Governance- sowie Sicherheitsvorschriften einhalten inklusive DSGVO. Dass dieser Ansatz nicht theoretisch ist, zeigt sich unter anderem in Deutschland: Solche Plattformmodelle wurden hier entwickelt und werden bereits produktiv eingesetzt, etwa in Worms. Dieses Beispiel macht deutlich, dass digitale Souveränität kein leeres Zukunftsversprechen ist, sondern durch Plattformarchitekturen und entsprechende Technologien schon heute möglich und praktisch umgesetzt ist.

Was müssen Unternehmen 2026 tun, um diesen Cybersecurity-Trends gerecht zu werden?

Ismet Koyun: Unternehmen müssen 2026 vor allem den Übergang von punktuellen Sicherheitsmaßnahmen zu ganzheitlichen, steuerbaren Sicherheitsarchitekturen vollziehen. Das beginnt mit einer fundierten Modellierung digitaler Prozesse: Welche Abläufe sind geschäftskritisch, welche Daten besonders schützenswert und welche Abhängigkeiten bestehen zwischen Systemen, Partnern und KI-Komponenten? Ein entscheidender Aspekt dabei ist die Plattform-Ökonomie, weil sie ermöglicht, diese Prozesse zentralisiert, konsistent und kontrollierbar abzubilden. Plattformbasierte Ansätze, sei es in Form von SuperApps, sei es innerhalb unternehmensinterner Prozesslandschaften, erhöhen die Wirksamkeit von Sicherheit, weil Identitäten, Zugriffe, Kommunikation und Transaktionen an einer Stelle orchestriert werden können. Darauf aufbauend müssen Sicherheits- und Governance-Mechanismen greifen. Für 2026 müssen deshalb Sicherheitsstrukturen entwickelt und implementiert werden, die digitale Systeme von Anfang an schützen.

Ihre abschließende Einordnung der Cybersecurity-Trends 2026?

Ismet Koyun: 2026 wird sich entscheiden, ob Organisationen komplexe digitale Prozesse beherrschen oder von ihnen beherrscht werden. SuperApps, KI-Agenten und Plattformansätze bieten enorme Chancen – aber nur, wenn Sicherheit von Anfang an integriert und vor dem Hintergrund digitaler Souveränität hier in Europa entwickelt und umgesetzt wird. Cybersecurity entwickelt sich dabei von reaktivem Schutz zu einem Ordnungsprinzip für digitale Systeme. Sie bestimmt, wie skalierbar und vertrauenswürdig digitale Geschäfts- und Verwaltungsmodelle tatsächlich sind. Wer diese Zusammenhänge versteht, verschafft sich Gestaltungsfreiheit in unserer regulierten und vernetzten digitalen Welt. Wer hingegen diese Entwicklung unterschätzt, wird im schlimmsten Fall handlungsunfähig und verliert die Kontrolle über digitale Prozesse. Damit wird Cybersecurity 2026 zu einem entscheidenden Kriterium für Zukunftsfähigkeit und Stabilität. Künstliche Intelligenz verstärkt diese Dynamik, weil sie einerseits neue Angriffsflächen und Abhängigkeiten schafft, andererseits aber enorme Effizienz-, Automatisierungs- und Innovationspotenziale eröffnet – vorausgesetzt, sie wird sicher, kontrolliert und verantwortungsvoll eingesetzt.