Der Google Cloud Cybersecurity Forecast 2026 gehört zu den einflussreichsten Bedrohungsanalysen der Branche. Die zentrale These des diesjährigen Berichts ist unmissverständlich: „Threat actor use of AI has transitioned from the exception to the norm.“ Staatliche Akteure nutzen KI nicht mehr experimentell, sondern als Standardwerkzeug in ihren Cyberoperationen.
Russland: Narrative Manipulation vor Wahlen
Google dokumentiert, wie russische Akteure 2025 systematisch KI-gestützte Desinformationskampagnen gegen europäische Wahlen einsetzten. Betroffen waren die Wahlen in Polen, Deutschland und Moldawien. Die Methoden umfassten:
- KI-generierte Nachrichtenartikel auf gefälschten Nachrichtenportalen, die optisch von Qualitätsmedien nicht zu unterscheiden waren.
- Deepfake-Videos von Politikern mit manipulierten Aussagen, verbreitet über Telegram-Kanäle und Social Media.
- Automatisierte Social-Media-Kampagnen mit LLM-generierten Kommentaren in Landessprache, die Spaltungsthemen verstärkten.
Für Deutschland war die Bundestagswahl 2025 ein konkreter Anlass: BSI und Bundesamt für Verfassungsschutz (BfV) warnten im Vorfeld vor KI-gestützten Einflussoperationen. Google bestätigt, dass diese Warnungen berechtigt waren. Die Qualität der generierten Inhalte hat ein Niveau erreicht, das automatisierte Erkennung zunehmend erschwert.
China: Cyber-Spionage gegen westliche Infrastruktur
Chinesische Akteure intensivierten 2025 ihre Cyber-Spionage-Operationen gegen westliche Infrastrukturen. Google Cloud beobachtet eine Verschiebung: Neben dem klassischen Diebstahl von Intellectual Property zielten Kampagnen zunehmend auf kritische Infrastrukturen – Energienetze, Telekommunikation, Wasserversorgung.
Die Nutzung von KI zeigt sich hier weniger in der Propaganda als in der operativen Effizienz: LLMs werden eingesetzt, um Schwachstellen schneller zu analysieren, Angriffsketten zu optimieren und die Verweildauer in kompromittierten Netzwerken zu verlängern. Das BSI und CISA haben gemeinsam einen Schutzrahmen für KI in industriellen Steuerungssystemen entwickelt – eine direkte Reaktion auf diese Bedrohung.
Iran: Expansion im Nahen Osten und darüber hinaus
Iranische Cyberoperationen haben 2025 ihren geografischen Radius erweitert. Google dokumentiert die Erstellung inauthentischer Nachrichtenwebsites in arabischer und englischer Sprache, die KI-generierte Artikel mit pro-iranischer Perspektive veröffentlichen. Die Websites imitieren bestehende Medienmarken und sind auf den ersten Blick nicht als Fälschungen erkennbar.
Parallel dazu wurden Cyberangriffe auf israelische und saudi-arabische Infrastrukturen dokumentiert, bei denen KI-Tools für die Automatisierung von Reconnaissance und Phishing eingesetzt wurden.
Europa als Zielscheibe: 300 Milliarden Euro Schaden
Howden Insurance beziffert den kumulierten Schaden durch Cyberangriffe auf Frankreich, Deutschland, Italien und Spanien auf 300 Milliarden Euro in den letzten fünf Jahren. Deutschland trägt mit über 200 Milliarden Euro den größten Anteil – bestätigt durch die aktuellen BSI-Zahlen.
Google Cloud prognostiziert, dass die EU 2026 eine eigene Known-Exploited-Vulnerability-Datenbank einrichten wird – vergleichbar mit dem KEV-Katalog der CISA. Diese europäische Schwachstellendatenbank soll die Abhängigkeit von US-amerikanischen Quellen reduzieren und EU-spezifische Bedrohungen besser abbilden.
Geopolitische Flashpoints und Cyberwarfare
Forrester bezeichnet 2025 als „geopolitical flashpoint“ – ein Jahr, in dem geopolitische Spannungen direkt in Cyberoperationen übersetzt wurden. Google Cloud bestätigt diese Einschätzung und warnt vor einer weiteren Eskalation 2026.
Fortinet ergänzt die Analyse um einen konkreten Vektor: GPS-Interferenz wird zur „Standardpraxis“ in der Cyberkriegsführung. Störungen von GPS-Signalen betreffen nicht nur militärische Operationen, sondern auch zivile Luftfahrt, maritime Navigation, Logistikketten und zeitkritische Finanztransaktionen. Deutschland, mit seiner zentralen Rolle in europäischen Lieferketten, ist direkt betroffen.
Implikationen für deutsche Organisationen
Der Google Cloud Forecast zeichnet ein Bild, in dem staatlich unterstützte Cyberangriffe keine Ausnahme, sondern der Normalfall sind. Für deutsche Unternehmen und Behörden ergeben sich daraus konkrete Handlungsfelder:
- Desinformationsresistenz aufbauen: Medienunternehmen und öffentliche Institutionen brauchen KI-gestützte Erkennungssysteme für synthetische Inhalte.
- Threat Intelligence erweitern: Geopolitische Kontextinformationen müssen in die Bedrohungsbewertung einfließen.
- Supply Chain absichern: Abhängigkeiten von Anbietern aus Drittstaaten kritisch prüfen.
- Auf regulatorische Anforderungen vorbereiten: Die EU-KEV-Datenbank wird neue Compliance-Pflichten schaffen.
Wer die BSI-CISA-Analyse zu autonomen KI-Angriffen bereits gelesen hat, erkennt das Muster: Die Bedrohung kommt nicht irgendwann – sie ist hier.
Quellen
- Google Cloud – Cybersecurity Forecast 2026
- Howden Insurance – European Cyber Loss Report, 2025
- Forrester – Geopolitical Flashpoints and Cyber Risk, 2025
- Fortinet – GPS Interference in Modern Cyberwarfare, 2026 Predictions
- BSI / BfV – Gemeinsame Warnung vor Wahlbeeinflussung, 2025