Den auffälligsten Befund des diesjährigen RSAC-Treffens lieferte eine Abwesenheit: Keine Führungskraft der US-Bundesregierung war vor Ort. Bracken verwies auf einen Bericht ihres Kollegen Eric Geller von Cybersecurity Dive, wonach binnen acht Tagen die gesamte Rednerliste der Regierungsvertreter zurückgezogen wurde, nachdem RSAC die frühere CISA-Direktorin Jen Easterly — im Amt unter der Biden-Regierung — in eine Führungsrolle berufen hatte.

In die Lücke stießen europäische Vertreter. Dr. Richard Horn vom britischen Cyber-Zentrum hielt eine Keynote, in der er sich mit dem sogenannten Vibe Coding auseinandersetzte und davor warnte, bei der KI-gestützten Codegenerierung die Sicherheit zu vernachlässigen. Zudem präsentierten EU-Regulierer ihre Arbeit an der europäischen Cyber-Resilienz-Gesetzgebung, die im Dezember 2027 in Kraft treten soll. Sie verstünden ihre Regeln nicht als Innovationsbremse, sondern als Rahmen innerhalb ihrer Grenzen, und holten dafür aktiv Rückmeldungen aus dem Privatsektor ein.

Auf Brackens unbequeme Frage, ob die USA noch ein verlässlicher Partner seien, reagierten die drei Podiumsteilnehmer ausweichend: Der Leiter von Europol senkte den Kopf, ein weiterer Regulierer verweigerte die Antwort, der dritte zitierte die EU-Präsidentin mit den Worten, das amerikanische Volk werde immer ihr Freund bleiben.

Bracken berichtete von einer neu geschaffenen Stelle, dem Bureau of Emerging Threats, das beim US-Außenministerium angesiedelt sei und die politischen Implikationen von Cyberbedrohungen untersuchen solle — was sie mit Blick auf den Iran-Krieg für nachvollziehbar hielt. Offen bleibe, wie sich dessen Rolle zu der von CISA und der NSA verhalte; CISA wolle nach dem starken Stellenabbau über 330 Personen neu einstellen. Klar sei hingegen, dass keine Bundesbehörde zur Regulierung von KI geschaffen werde und nur minimale Regeln gelten sollten, um Innovation nicht zu behindern. Ein Redner der EU-Seite erinnerte daran, dass schon bei der Verabschiedung der DSGVO 2018 der Weltuntergang prophezeit worden sei — und die Welt weiterhin existiere.

Für Sicherheitsverantwortliche (CISOs) zählten solche regulatorischen Debatten weniger als die praktische Lage. Bracken verwies auf die SANS-Liste der fünf bedrohlichsten Angriffsvektoren, die diesmal sämtlich KI-bezogen ausfielen. CISOs säßen nun zwar häufiger im Vorstand, gerieten aber unter Druck, KI zur Kostensenkung einzusetzen, ohne neue Risiken zu schaffen. Als Beispiel nannte sie einen Fall, in dem eine Führungskraft aus dem Finanzbereich sämtliche Gewinn- und Verlustdaten in ChatGPT eingegeben habe.

Für die nahe Zukunft erwartet Bracken, dass Cyberfähigkeiten stärker in die konventionelle Kriegsführung einfließen und die Absicherung von Drohnen und solchen Systemen an Bedeutung gewinnt. Organisationen rät sie, sich auf Quantencomputing vorzubereiten, indem sie ihre Verschlüsselung prüfen und auf neue Standards umstellen. Bei KI sieht sie die realste Anwendung derzeit in der Automatisierung von Erkennung und Abwehr, da Angreifer in Maschinengeschwindigkeit attackierten. Noch dominiere KI-gestütztes Social Engineering durch überzeugende Phishing-Mails; erste Fälle zeigten jedoch bereits Schadsoftware, die sich im laufenden Betrieb anpasse, um Erkennung und Sperren zu umgehen.