RSA Conference 2026: PQC-Migration zwingt CISOs zur Kehrtwende
7 Min. Lesezeit
Die RSA Conference 2026 ist seit 1. Mai vorbei. 41.000 Teilnehmer, 670 Aussteller, 480 Sessions. Wer aus DACH zurückkommt, hat Eindrücke, Schwellgewebe in den Beinen und einen Stapel Visitenkarten. Wer eine Roadmap für 2026 mitbringt, hat fünf Themen sortiert: Post-Quantum-Cryptography als Migrations-Pflicht, Detection-as-Code als neuer Standard, KI im SOC-Workflow, Vendor-Konsolidierung als Board-Frage und Identity Threat Detection als überraschend dringliche Lücke. Diese fünf Themen werden in den nächsten zwölf Monaten DACH-CISO-Agenden prägen.
04.05.2026
Das Wichtigste in Kürze
- PQC ist Migrations-Pflicht, nicht Forschungsthema: NIST FIPS 203/204/205 sind final, BSI TR-02102-1 Post-Quantum-Empfehlung 2026 ist scharf. Wer 2027 Krypto-Inventur startet, ist zu spät.
- Detection-as-Code ist Standard geworden: Sigma-Rules, Detection-Library mit Git-Workflow und CI-Validierung haben in den großen Vendor-Demos den klassischen Korrelationsregel-Editor abgelöst. Wer SIEM 2026 ausschreibt, fragt nach Detection-Repo, nicht nach UI.
- Vendor-Konsolidierung als Board-Pflichtfrage: 47 Sicherheits-Tools im Schnitt pro DACH-Konzern (Gartner Q1/2026). Bis 2028 wollen 78 Prozent der CISOs auf 25 oder weniger konsolidieren. Das wird 2026/2027 Q-Reviews dominieren.
Verwandt:LiteLLM CVE-2026-42208: SQL-Injection im KI-Proxy / EU-AI-Act Hochrisiko-Stichtag 2. August 2026
Was 2026 wirklich neu ist
Was ist die RSAC 2026 als Indikator? Eine Branchenmesse mit 41.000 Teilnehmern, 670 Ausstellern und 480 Sessions, die seit 1995 jährlich in San Francisco stattfindet. Sie ist weniger Ankündigungs-Fest als Sortier-Mechanismus: was im Vendor-Hall in mehreren Stänen gleichzeitig auftaucht, wird in den nächsten zwölf Monaten Standard. Was nur in einer Booth läuft, ist Hype. Wer als CISO aus DACH zurückkommt, sortiert die Eindrücke nach Häufigkeit, nicht nach Bühnenbild.
Neu an 2026 ist die Konzentration auf operative Themen statt Plattform-Visionen. Vendor-Konsolidierung, Identity-Layer-Hardening und PQC-Migration sind keine Hype-Topics, sondern Roadmap-Punkte mit Kosten und Deadlines. Die Bühnen-Keynotes von Cisco, CrowdStrike und Wiz hatten weniger Disruption-Rhetorik als Architektur-Substanz.
Die fünf Hausaufgaben für DACH-CISOs
Erstens, Post-Quantum-Cryptography-Migration starten. NIST FIPS 203, 204 und 205 sind final, das BSI hat in TR-02102-1 die ersten PQC-Empfehlungen aktiv. RSAC-Sessions zur Crypto-Inventur waren ohne Ausnahme überfüllt. Die Hausaufgabe: Krypto-Inventur über TLS, VPN, Code-Signing, Hardware-Security-Module und identifizieren, welche Komponenten 2027 oder 2028 hybrid und ab 2030 reines PQC sprechen müssen. Realistische Migrations-Window: 18 bis 24 Monate für Inventur und Architektur-Anpassung.
Zweitens, Detection-as-Code als SIEM-Pflicht. Mehrere große SIEM-Vendor (Splunk, Elastic, Sumo Logic, Microsoft Sentinel) haben auf der RSAC offengelegt, dass ihr Detection-Content 2026 nativ in Sigma- oder YAML-Repos liegt, mit Git-Workflow, Pull-Requests und CI-Validierung. Das Operating Model im SOC verschiebt sich vom UI-Click-Operator zum Detection-Engineer. Die Hausaufgabe: SOC-Skill-Profil und Tooling-Pipeline anpassen, sonst läuft das Detection-Backlog 2027 leer.
Drittens, KI im SOC ist nicht mehr Demo, sondern Workflow. Microsoft Security Copilot, Google Security AI, CrowdStrike Charlotte und IBM watsonx Cybersecurity sind in produktiven Banken-SOCs sichtbar. Die operative Realität: Tier-1-Triage durch KI mit Mensch-Override im Eskalationsfall reduziert MTTR um 35 bis 50 Prozent. Die Hausaufgabe: Daten-Hygiene und Logging-Schema sortieren, denn die KI-Proxy-Layer ist auch eine Attack Surface.
Viertens, Vendor-Konsolidierung als Board-Frage. 47 Tools pro DACH-Konzern (Gartner Q1/2026), 78 Prozent wollen auf 25 oder weniger. Das ist keine Effizienz-Initiative, sondern ein operativer Eingriff: weniger Tools heißt weniger Skill-Spread, klarere Datenflüsse und besseres Vendor-Vertrauen pro Tool. RSAC-Vendor-Hall hatte mehrere Plattform-Konsolidierer (Palo Alto Networks Cortex, Microsoft Defender, CrowdStrike Falcon) deutlich sichtbarer als Punkt-Lösungen. Die Hausaufgabe: 90-Tage-Audit der Tool-Landschaft mit klaren Streich-Kandidaten.
Fünftens, Identity Threat Detection als überraschende Lücke. Mehrere RSAC-Sessions haben mit Daten unterlegt, dass aktuelle EDR/XDR-Stacks Identity-Bedrohungen (Token-Theft, Session-Hijacking, OAuth-Phishing) nur teilweise abdecken. Spezifische ITDR-Lösungen (Authomize, Silverfort, Crowdstrike Identity Protection) waren in jedem zweiten Boot präsent. Die Hausaufgabe: Identity-Layer im SOC-Stack prüfen, Gap-Analysen mit dem IAM-Team zusammen.
Migrations-Zeitachse: PQC und Detection-as-Code im DACH-CISO-Plan
| Phase | PQC-Migration | Detection-as-Code |
|---|---|---|
| Q2-Q3 2026 | Krypto-Inventur, Vendor-Anfragen, PQC-Roadmap-Entwurf | Detection-Repository anlegen, Sigma-Migration starten |
| Q4 2026 | Architektur-Pilot mit hybriden Algorithmen | CI-Pipeline mit Detection-Validierung scharf |
| H1 2027 | TLS-Migration kritischer Workloads | Detection-Engineer-Skill-Aufbau im SOC abgeschlossen |
| H2 2027 | Code-Signing und HSM-Migration | Detection-Coverage-Reporting auf Vorstands-Ebene |
| 2028+ | Crypto-Agility als Default in neuen Architekturen | Detection-Engineering im Standard-CISO-Reporting |
Quellen: NIST FIPS 203/204/205 Final, BSI TR-02102-1 Post-Quantum-Empfehlung 2026, RSAC 2026 Sessions zu Detection-as-Code (Splunk, Microsoft, Elastic), eigene Erhebungen aus zwei DACH-Großbanken-CISO-Interviews April 2026.
Zwei DACH-CISO-Stimmen aus San Francisco
Zwei CISOs deutscher Großbanken haben am Rande der Konferenz ihren Take geteilt, Stichworte aus den Gesprächen ohne Namen aus Compliance-Gründen.
„Wir kamen mit drei Themen auf der Liste, gehen mit fünf zurück. Identity Threat Detection war nicht im Programm, ist jetzt Top-Priorität für Q3. Den Spread können wir aus dem laufenden Budget abdecken, weil wir bei der EDR-Konsolidierung sechsstellig einsparen.“
„PQC ist für uns nicht 2030, sondern 2027. Wir haben Aufsichts-Vorhalte bekommen, dass die Krypto-Inventur fehlt. Was uns aus San Francisco hilft, ist die Klarheit, dass NIST FIPS 203 produktiv eingesetzt wird, nicht im Forschungsstadium festhängt. Das macht das Geld locker.“
Was kippt: ehrliche Trade-Offs
Drei Reibungen sitzen in den fünf Hausaufgaben. Erstens, Vendor-Konsolidierung kostet Vertrauen: ein Zwei-Plattform-Stack hat weniger Resilienz gegen Vendor-Pleiten oder Supply-Chain-Vorfälle als ein Punkt-Tool-Mix. Wer konsolidiert, muss in Vendor-Diversität anders denken (zum Beispiel Multi-Region-Verträge oder Backup-Vendor für Detection-Content). Zweitens, Detection-as-Code verlangt Engineering-Skills im SOC, die heute nicht im Standard-Profil sind. Drei bis sechs Monate Skill-Aufbau pro Analyst sind realistisch. Drittens, KI im SOC reduziert Tier-1-Last, aber Tier-2 wird komplexer: weniger Routine-Triage, mehr Eskalations-Analyse mit unklarer Kausalität.
Die ehrliche Beobachtung aus den Sessions: niemand hat 2026 den vollständigen Plan, alle haben Roadmaps mit Annahmen. Wer das transparent kommuniziert, bekommt mehr Board-Vertrauen als wer fertige Antworten liefert.
Häufige Fragen
Welche Krypto-Komponenten sind am dringlichsten in der PQC-Migration?
TLS-Termination an externen Endpunkten und Code-Signing-Infrastruktur stehen ganz vorne, weil hier die Krypto-Provenienz auch nach Jahren auditierbar sein muss. VPN-Konzentratoren und HSMs folgen, oft mit längerer Hardware-Lebensdauer als geplant. JWT-Signing in API-Gateways und qualifizierte elektronische Signaturen ergänzen die kritische Liste.
Lohnt sich Detection-as-Code für mittelgroße SOCs (5 bis 15 Analysten)?
Ja, weil es das Onboarding neuer Detection-Inhalte beschleunigt und Versionierung erlaubt. Bei kleineren Teams reicht ein einzelnes Sigma-Repo mit GitHub-Actions-Validierung und manuellem Deployment. Der Aufwand für Aufbau und Pflege liegt erfahrungsgemäß zwischen 0,3 und 0,7 FTE im ersten Jahr, danach 0,2 FTE pro 100 Detection-Regeln.
Wie viele Sicherheits-Tools sind realistisches Ziel nach Konsolidierung?
Gartner sieht 25 als Median-Zielzustand für DACH-Großkonzerne 2028. Realistischer Korridor: 30 bis 35 Tools für Konzerne mit komplexen IT-Landschaften, 15 bis 20 für Mittelständler. Unter 10 wird die Konsolidierung gefährlich: zu viel Vendor-Konzentration und Verlust an Best-of-Breed-Vorteilen für spezifische Use-Cases.
Wo passt Identity Threat Detection in den bestehenden SOC-Stack?
ITDR sitzt zwischen IAM und SIEM. Es konsumiert Identity-Events (Logins, Token-Ausgaben, Privilege-Escalations) aus AD/Entra ID/Okta und korreliert sie mit SIEM-Daten. Implementations-Aufwand für ein mittelgroßes Setup: drei bis sechs Monate, mit Schwerpunkt auf Identity-Event-Schema und Token-Lifecycle-Analyse.
Über den Autor
Alec Chizhik schreibt für SecurityToday über Cybersecurity in Produktion. Schwerpunkt: Architektur-Entscheidungen und Operations-Realität, mit dem Maßstab Total Cost of Ownership statt Booth-Versprechen.
Mehr aus dem MBF Media Netzwerk
Quelle Titelbild: Pexels / Atlantic Ambience (px:9275222)
