Deep Observability – Schritte zur NIS2-Konformität

Die unfreiwillige Schonfrist hält weiter an; noch immer gibt es kein genaues Datum, ab dem die EU-Richtlinie NIS2 offiziell greifen soll. Trotzdem müssen sich Unternehmen – sofern noch nicht geschehen – auf diesen Tag vorbereiten, denn es steht eine Menge auf der Maßnahmenagenda. Schließlich ist es das Ziel, das Cybersicherheits- und -resilienzniveau der EU möglichst schnell und effizient zu erhöhen.

Die NIS2-Richtlinie bzw. das NIS2-Umsetzungsgesetz gilt für alle Unternehmen, die mindestens 50 Mitarbeitende beschäftigen, über zehn Millionen Euro Umsatz erzielen und/oder in einer der 18 festgelegten kritischen Sektoren tätig sind. Ansonsten drohen ihnen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Wer unter diese Kriterien fällt, sollte also dringend mit den Vorbereitungen beginnen. Diese fünf Schritte, die die wesentlichen Vorgaben berücksichtigen, helfen bei der Umsetzung:

Risikobewusstsein stärken

Eines der Hauptbestandteile von NIS2 ist das Risikomanagement, mit dem kritische Dienste und Infrastrukturen geschützt, Störungen vermieden und Auswirkungen von Sicherheitsvorfällen minimiert werden sollen. Betroffene Einrichtungen müssen daher sowohl technische als auch organisatorische Prozesse und Technologien implementieren, die Risiken schnell identifizieren, analysieren, bewerten und effektiv bewältigen können. Das Thema Cybersicherheit darf sich jedoch nicht nur auf die eigenen vier Wände beschränken. So sieht NIS2 vor, dass betroffene Einrichtungen diese auch entlang ihrer Lieferketten zu gewährleisten haben. Regelmäßige Sicherheitsbewertungen und entsprechende Maßnahmen für alle Lieferanten und Partner sind demnach ein Muss.

Auf den Ernstfall vorbereiten

Es geht schon lange nicht mehr darum, das eigene Netzwerk lediglich zu isolieren, damit Cyberangreifer keine Chance auf einen Vorstoß haben. Vielmehr müssen sich Unternehmen auf die Eventualität eines Angriffs vorbereiten und mit den richtigen Mitteln dessen Auswirkungen auf kritische Dienste so niedrig wie möglich zu halten. Ein effektives Incident-Management hilft dabei, sowohl anormale Aktivitäten als auch akute Angriffe schnell zu erkennen und angemessen zu reagieren. Dies vereinfacht im Falle einer erfolgreichen Attacke die Wiederherstellung betroffener Systeme und Daten, was sowohl der allgemeinen Resilienz als auch der Geschäftskontinuität zugutekommt. Tatsächlich schreibt NIS2 vor, dass Einrichtungen im Rahmen ihres Business-Continuity-Managements entsprechende Maßnahmen treffen – einschließlich Krisen- und Recovery-Pläne sowie regelmäßige Backups.

NIS2: Dokumentations-, Nachweis- und Meldepflichten nicht vergessen

Ein strukturiertes Incident-Management hat noch einen weiteren Vorteil: Mit ihm können IT- und Sicherheitsteams Sicherheitsvorfällen und ihren Ursachen detailliert auf den Grund gehen. Das ist wichtig, denn mit der Einführung von NIS2 sind Unternehmen dazu verpflichtet, diese der zuständigen Behörde innerhalb von 24 Stunden erstmals zu melden. Sowohl Erst- und Folgemeldungen als auch der Abschlussbericht müssen alle notwendigen Informationen wie eine Verlaufsbeschreibung, mögliche Ursache, angewandte Maßnahmen sowie Auswirkungen beinhalten. Neben der Meldepflicht müssen Betreiber kritischer Anlagen alle drei Jahre zusätzliche Nachweise aller umgesetzten Vorgaben erbringen; das Pendant für (besonders) wichtige Einrichtungen sind die Dokumentationspflicht sowie Stichproben. Um den Mehraufwand so gering wie möglich zu halten, sollten Unternehmen entsprechende Lösungen in Betracht ziehen, die die Berichterstattung und das Dokumentenmanagement wesentlich effizienter machen.

Sicherheitsmaßnahmen in den Alltag integrieren

In der Regel stellen die Mitarbeitenden selbst kritische Schwachstellen dar und werden von Cyberangreifern unter anderem mittels Social Engineering und Phishing gezielt ins Visier genommen. NIS2 stellt deshalb verschiedene Anforderungen an sämtliche Prozesse und Technologien, die Teil des Arbeitsalltags eines jeden Kollegen sind. Kommunikation muss mittels Kryptografie verschlüsselt werden. Zugriffe auf Unternehmenssysteme müssen sowohl mithilfe von Multi-Faktor-Authentifizierung zusätzlich geschützt und zum Beispiel auf Grundlage des Zero-Trust-Konzepts gesteuert und eingeschränkt werden (Least Privilege). Darüber hinaus helfen regelmäßige Security-Schulungen dabei, das Sicherheitsbewusstsein der Belegschaft zu schärfen und sie für aktuelle Bedrohungen zu sensibilisieren.

Netzwerksichtbarkeit boosten

Auf Sichtbarkeit geht die NIS-2-Richtlinie nicht konkret ein. Sprich: Unternehmen sind nicht explizit dazu verpflichtet, die Sichtbarkeit innerhalb ihrer System- und Datenlandschaft zu erhöhen. Allerdings lassen sich Risiken, Schwachstellen und Vorfälle nur dann erkennen, bewerten und managen, wenn diese bekannt sind. Heutzutage ist das leichter gesagt als getan. Denn die IT-Umgebung von Unternehmen wächst mit jeder neuen Technologie und Lösung weiter, wird immer komplexer und bewegt sich zunehmend vom eigentlichen Kern weg. Dies wiederum macht es IT- und Sicherheitsteams nicht gerade einfach, den Überblick zu behalten und den umfassenden Schutz aller Systeme und Daten zu gewährleisten. Das Risiko von Blind Spots – zum Beispiel in Form lateralen East-West-Traffics oder verschlüsselten Datenverkehrs – wächst.

Da herkömmliche Sicherheitslösungen in dieser Umgebung schnell an ihre Grenzen stoßen, kommen Unternehmen langfristig nicht umhin, ihre Netzwerksichtbarkeit zu erhöhen. Am besten funktioniert das mit Deep Observability, das weit über traditionelles metrik-, event-, log- und tracebasiertes Monitoring hinausgeht. Sämtliche Daten, die sich durch das Netzwerk bewegen (einschließlich des verschlüsselten und lateralen Datenverkehrs), werden in einem Layer zusammengeführt, der sich zwischen dem Netzwerk und den Sicherheits- und Monitoring-Lösungen befindet. Dort werden sie analysiert und erst dann an die Lösungen weitergeleitet. Im Zuge dessen werden auch bislang unbekannte Blind Spots aufgedeckt. Ein solch hoher Grad an Sichtbarkeit bildet zudem die Grundlage für Zero-Trust- und auf Least Privilege aufbauende Identity-and-Access-Management-Konzepte.

Online-Zertifikate bergen Sicherheitsrisiken – Unternehmen müssen handeln

Eine neue Studie von Keyfactor zeigt, dass fast ein Fünftel der analysierten Online-Zertifikate erhebliche Sicherheitsrisiken aufweist. Die Untersuchung von 500.000 im Internet verwendeten Zertifikaten deckt schwerwiegende Schwachstellen auf, die nicht nur Compliance-Probleme verursachen, sondern auch das Risiko von Cyberangriffen und Systemausfällen erhöhen.

Warum unsichere Online-Zertifikate ein Problem für Unternehmen sind

Zertifikate sind essenzielle Sicherheitsbausteine für die digitale Kommunikation, Authentifizierung und Datenverschlüsselung. Fehlerhafte oder unsichere Zertifikate können deshalb weitreichende Folgen haben:

  • Unterbrechung geschäftskritischer Prozesse: Abgelaufene oder fehlerhafte Zertifikate können zu Ausfällen von Websites, internen Systemen oder Anwendungen führen. Dies beeinträchtigt nicht nur den Geschäftsbetrieb, sondern kann auch Umsatzeinbußen und Reputationsschäden verursachen.
  • Angriffsfläche für Cyberkriminelle: Unsichere Zertifikate können von Angreifern ausgenutzt werden, um Man-in-the-Middle-Angriffe oder Identitätsdiebstahl zu begehen. Besonders in Cloud- und IoT-Umgebungen können sie gravierende Sicherheitsrisiken mit sich bringen.
  • Compliance-Verstöße und regulatorische Strafen: Viele Branchen unterliegen strengen Sicherheitsvorgaben, wie NIS2 oder PCI-DSS. Unternehmen, die diese Vorschriften nicht einhalten, riskieren hohe Geldstrafen und rechtliche Konsequenzen.

Zentrale Ergebnisse der Studie

  • Negative Seriennummern: 3,7 Prozent der Zertifikate enthalten negative Seriennummern. Dies kann zu Problemen bei der Validierung führen, insbesondere bei Systemen, die solche Werte nicht korrekt verarbeiten können.
  • Überlange Laufzeiten: 7,7 Prozent der Zertifikate haben eine Laufzeit von mehr als zwei Jahren – ein Risiko, da längere Laufzeiten die regelmäßige Erneuerung erschweren und veraltete Kryptographie länger im Einsatz bleibt.
  • Fehlende Definition der Schlüsselverwendung: 3,4 Prozent der Zertifikate spezifizieren nicht ihre Schlüsselverwendung, was zu Fehlkonfigurationen führen kann und es Angreifern ermöglicht, ein Zertifikat zu missbrauchen.

Sicherheitsrisiken minimieren mit robuster PKI

Eine Public Key Infrastructure (PKI) ist das Rückgrat einer sicheren digitalen Identitätsverwaltung. Sie ermöglicht es Unternehmen,

  • Zertifikate automatisiert zu verwalten: Durch den Einsatz einer modernen PKI können Zertifikatsprozesse automatisiert werden, um manuelle Fehler zu vermeiden und Abläufe effizienter zu gestalten.
  • die Laufzeiten von Zertifikaten zu verkürzen und sie regelmäßig zu erneuern: Eine gut verwaltete PKI sorgt dafür, dass Zertifikate regelmäßig erneuert werden, um Sicherheitsrisiken durch veraltete Verschlüsselungsmethoden zu minimieren.
  • Compliance-Vorschriften einzuhalten: Unternehmen können ihre Sicherheitsrichtlinien konsequent umsetzen und Nachweise über die Einhaltung ihrer regulatorischen Vorgaben führen.
  • Transparenz und Kontrolle zu erhöhen: Eine zentralisierte PKI gewährt Unternehmen die vollständige Kontrolle über die Ausstellung, Nutzung und Verwaltung von Zertifikaten in ihrer gesamten IT-Umgebung.

Online-Zertifikate: Unternehmen müssen handeln

Die Ergebnisse der Keyfactor-Studie zeigen, dass Unternehmen ihre Zertifikatsverwaltung dringend überdenken müssen. Ohne eine klare Strategie für das Management digitaler Zertifikate setzen sich Organisationen unnötigen Risiken aus – von operativen Störungen bis hin zu ernsthaften Sicherheitsvorfällen. Eine robuste PKI und automatisierte Prozesse helfen, die Sicherheitslage zu verbessern, Cyberbedrohungen zu reduzieren und langfristig das Vertrauen in digitale Identitäten zu stärken.

Den vollständigen Bericht mit detaillierten Analysen finden Sie hier.

Das wünscht sich der Bundesverband deutscher Banken von Politik und Industrie

Die Bedrohung durch IT-Angriffe hat stark zugenommen und betrifft nicht nur Banken und den Finanzsektor insgesamt, sondern auch staatliche Einrichtungen, gesellschaftliche Organisationen und Unternehmen aller Branchen. Die Banken verbessern ihre Sicherheitssysteme seit jeher kontinuierlich und passen sich der veränderten Bedrohungslage an. Da diese technischen Sicherheitsvorkehrungen für Angreifer kaum zu überwinden sind, nehmen Kriminelle zunehmend Bankkunden ins Visier, um an sensible Daten und Geld zu kommen. Neue technische Entwicklungen wie der missbräuchliche Einsatz von künstlicher Intelligenz (KI) machen die Betrugsmaschen raffinierter und gefährlicher.

Da diese Angriffe in der Regel außerhalb des Einflussbereichs der Banken stattfinden, brauchen wir mehr gemeinsame Anstrengungen von Wirtschaft, Politik und Gesellschaft zum Schutz vor Cyberkriminellen. Gesetzgeber, Social-Media-Plattformen, Telekommunikationsunternehmen, Strafverfolgungsbehörden, Verbraucherschutzverbände und Kreditinstitute müssen enger zusammenarbeiten. Cyberkriminelle sind oft hochprofessionell und über Grenzen hinweg arbeitsteilig organisiert. Internationale Zusammenarbeit gegen Cyberkriminelle ist daher ebenso wichtig. Insbesondere der Austausch von Informationen über Angriffsmuster hilft, die Abwehr von Cyber-Angriffen zu stärken. Dies erhöht die IT-Sicherheit und -Resilienz und hilft, Cyberkriminalität wirksam zu bekämpfen.

Die derzeit vom europäischen Gesetzgeber diskutierte Haftungsverlagerung auf Banken würde sich jedoch als kontraproduktiv erweisen. Im Rahmen der Beratungen zum Verordnungsvorschlag zu Zahlungsdienstleistungen (Payment Service Regulation) wird eine Haftungserweiterung diskutiert, wonach Kreditinstitute für Betrugsschäden aufkommen sollen. Die Motivation der Kunden, vorsichtig zu sein, würde dadurch eher sinken. Und es ist zu befürchten, dass damit Cyberkriminelle aus aller Welt angelockt und Betrüger ermutigt werden, ihre Betrugsmodelle bevorzugt bei uns einzusetzen. Das Gegenteil des angestrebten Ziels wird eintreten, mit der Folge, dass die steigenden Kosten von allen getragen werden müssen.

Der beste Schutz vor Betrug ist Aufklärung und Wachsamkeit: Verbraucher müssen vorsichtig handeln und Warnhinweise beachten. Auf dieser Grundlage können die verschiedenen Maßnahmen der Telekommunikationsanbieter und Social-Media-Plattformen aufbauen. Zusammen mit den Sicherheitsvorkehrungen der Kreditinstitute kann so eine größtmögliche Betrugsprävention erreicht werden. Die Verankerung von digitaler Kompetenz im Bildungssystem von frühester Kindheit an kann ebenfalls einen wichtigen Beitrag leisten.

Cyberkriminalität muss als gesamtgesellschaftliches Problem verstanden werden, das nur durch gemeinsame Anstrengungen und internationale Zusammenarbeit wirksam bekämpft werden kann.

Mishing: Angreifer setzen beim Phishing auf Smartphones, Smartwatches, Tablets

Vor kurzem ist eine interessante Studie zu Phishing-Angriffen auf mobile Endgeräte, die sogenannten Mishing-Angriffe, erschienen, die Aufmerksamkeit verdient. Immer häufiger kommen in Unternehmen mobile Endgeräte zum Einsatz. Zum Beispiel im Rahmen einer Multi-Faktor-Authentifizierung oder um eine Mobile First-Anwendung nutzen zu können.

Cyberkriminelle machen sich diesen Umstand, so die Studie, immer häufiger zu Nutze, da mobile Endgeräte, in aller Regel, mit schwächeren Verteidigungslösungen ausgestattet sind als etwa Desktop-Lösungen.

Mishing – das Phishing über mobile Endgeräte – ist nicht nur eine Weiterentwicklung herkömmlicher mobiler Phishing-Taktiken, sondern eine völlig neue Angriffskategorie, die darauf abzielt, die spezifischen Schwachstellen und Features eines mobilen Endgeräts, zum Beispiel die Kamera und das Mikrofon eines Smartphones, in einen Angriff mit einzubeziehen. Angriffe können dabei über SMS, QR-Codes, Sprachnachrichten oder auch E-Mails eingeleitet werden. Laut den Autoren der Studie ist Smishing (SMS-/Text-basiertes Phishing) nach wie vor der häufigste mobile Phishing-Angriffsvektor. Quishing (QR-Code-Phishing) ist auf dem Vormarsch. Ebenso wie das traditionelle Phishing über E-Mails. Letzteres allerdings hält für Mobilfunknutzer eine besondere Überraschung parat.

Opfer erhalten eine typische Standard-Phishing-Mail – versehen mit einer verborgenen bösartigen Nutzlast oder ausgestattet mit Links, die sie zu einer getarnten Phishing-Webseite weiterleiten sollen. Das Besondere daran: die bösartige Nutzlast wird, ebenso wie die Weiterleitung zur getarnten Phishing-Webseite, nur dann ausgelöst, wenn die E-Mail auf einem mobilen Endgerät geöffnet wird. Trifft die E-Mail dagegen auf einer traditionellen Desktop-Umgebung ein, wird die Angriffskette nicht ausgelöst. Opfer werden dann beispielsweise, klicken sie auf den Link, automatisch zu einem legitimen Dienst, wie Google oder Facebook, weitergeleitet. Erkennung und Analyse des Phishing-Angriffs durch Standard-E-Mail- und Netzwerksicherheitslösungen werden so bedeutend erschwert. Angreifer können lange Zeit im Verborgenen agieren, was die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöht.

Mishing – Unternehmen brauchen Sicherheitsstrategien für mobile Endgeräte

Die Studie hält fest, dass Unternehmen spezifische Sicherheitsstrategien für mobile Endgeräte einführen müssen, um diese immer raffinierteren Angriffsstrategien und -taktiken erfolgreich zu bekämpfen. Angreifer seien nachweislich dabei, zu einer „Mobile-First“-Strategie überzugehen, um ungestört in Unternehmensnetzwerke eindringen und sensible Daten entwenden zu können. Dabei würden sie sich auch den Umstand zu Nutze machen, dass Mitarbeiter ihre mobilen Endgeräte, zum Beispiel Smartphones, häufig sowohl beruflich als auch privat nutzen. Unternehmen sollten deshalb dringend umdenken. Sie sollten erkennen, dass traditionelle Anti-Phishing-Maßnahmen, die ursprünglich einmal in erster Linie für Desktop- und Unternehmensnetzwerkumgebungen entwickelt worden sind, gegenüber Mishing-Angriffsvektoren allenfalls unzureichenden Schutz bieten.

Dem kann nur zugestimmt werden. Wollen Unternehmen hier effektiv – und effizient – gegensteuern, werden sie das Risiko, dass ihre Mitarbeiter Opfer eines Phishing- oder Spear Phishing-Angriffs werden, aktiv reduzieren müssen. Das wird ihnen nur gelingen, wenn sie die ‚Human Risks‘, die Risiken, denen die Unternehmens-IoT und -IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, endlich umfassend in den Blick bekommen und zu managen beginnen. Menschliche Risiken müssen, genau wie die technischen ja auch, kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden.

Die eigenen Mitarbeiter, wie in den vergangenen Jahren in vielen Unternehmen vielfach geschehen, nur von Zeit zu Zeit einer Anti-Phishing-Trainingseinheit zu unterziehen, genügt nicht mehr. Human Risk Management muss professioneller, zielgerichteter, kontinuierlicher erfolgen.

Auf individuelle Schwachstellen jedes einzelnen Mitarbeiters zugeschnittene Schulungen

Längst lassen sich Phishing-Trainings, -Schulungen und -Tests, KI sei Dank, personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert – eben kontinuierlich – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Lösungen kombinieren KI mit Crowdsourcing, um so selbst neueste Zero Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen. Mit solchen und ähnlichen Lösungen wird es Unternehmen auch in Zukunft gelingen, die unzähligen Human Risks, die jedem Unternehmen nun einmal naturgemäß innewohnen, im Blick zu behalten und so zu managen, dass sie für das Unternehmen allenfalls noch eine vertretbare Gefahr darstellen können.

Data Governance-Strategien: CISOs und CIOs auf dem Weg zur Cyber-Resilienz

Keepit hat einen neuen Berichts veröffentlicht: „Intelligent Data Governance: Why taking control of your data is key for operational continuity and innovation“ (Intelligente Data Governance: Warum die Kontrolle über Ihre Daten entscheidend für betriebliche Kontinuität und Innovation ist). Der Bericht befasst sich mit der grundlegenden Bedeutung der Datenkontrolle im Zeitalter der KI, wobei der Schwerpunkt auf der Sicherstellung der Cyber-Resilienz und Compliance moderner Unternehmen liegt. 

„Daten sind die Grundlage für Innovation und Bereitschaft. Indem CISOs und CIOs sich auf Data Governance konzentrieren, legen sie den Grundstein für die effektive Verwaltung und das Wachstum ihrer modernen, datengesteuerten Unternehmen. Wir hoffen, dass unser neuer Bericht mit seinem praktischen Ansatz die notwendigen Einblicke in Daten, ihre Bedeutung und die entscheidende Rolle, die intelligente Data Governance in der heutigen Cybersicherheitslandschaft spielen kann, vermittelt“, sagt Kim Larsen, CISO bei Keepit.

Data Governance als Antwort auf wichtige IT-Trends

Keepit befragte kürzlich 30 leitende IT-Führungskräfte aus verschiedenen Branchen und Regionen. Die Gespräche ergaben eine Reihe von Trends, die für die heutigen IT-Organisationen der Unternehmen von Bedeutung sind, darunter die Flexibilität der Cloud, der Aufstieg der künstlichen Intelligenz und der stetig zunehmende Budgetdruck.

Die Ergebnisse zeigen, dass CIOs und CISOs eine immer wichtigere Rolle bei der Sicherstellung der Resilienz von Unternehmen spielen und ihre Bemühungen um die Ausstattung ihrer Organisationen mit Tools zur Schaffung einer nachhaltigen Grundlage für die Geschäftskontinuität priorisieren müssen. Für diese IT-Entscheidungsträger ist die Datenkontrolle eine Voraussetzung, um dieses Ziel zu erreichen.

„Data Governance ebnet den Weg für Data Resilience. Durch die Datenklassifizierung können Unternehmen Lücken in ihren Business-Continuity-Plänen aufdecken und als zusätzlichen Vorteil ihre laufenden Tagesabläufe verbessern“, fügt Kim Larsen hinzu.

Ein Eckpfeiler der Compliance

Der neue Bericht kommt zu dem Schluss, dass Data Governance ein wichtiges Instrument ist, wenn es darum geht, die Einhaltung von Vorschriften wie NIS2, DORA und GDPR in Unternehmen zu gewährleisten. „Data Governance ist der Eckpfeiler der Compliance. Zu wissen, wo sich ihre Daten befinden, welche Daten für den Geschäftsbetrieb wichtig sind und wer Zugriff darauf hat, sind alles Fragen, die moderne Unternehmen beantworten müssen, um cyber-resilient zu sein“, sagt Kim Larsen.

Resilienz gegen Datenverlust und -beschädigung aufbauen

Der neue Bericht stellt fest, dass CIOs und CISOs letztendlich dafür verantwortlich sind, die Resilienz von Daten zu gewährleisten, damit Benutzer, Anwendungen und andere Abteilungen bei Bedarf auf Unternehmensdaten zugreifen können. Die drei Hauptkomponenten der Resilienz sind Prävention, Erkennung und Wiederherstellung.

„Ein Datenverlust oder ein Ausfall kann ein Unternehmen zum Stillstand bringen. Unser Bericht unterstreicht, dass die Fähigkeit zur Wiederherstellung kritischer Systeme niemals Annahmen oder dem Zufall überlassen werden sollte. Die Bereitschaft zur Datensicherung und -wiederherstellung sollte in jedem Unternehmen eine Überlegung auf Vorstandsebene sein“, fügt Kim Larsen hinzu.

Laden Sie den Bericht zu Data Governance hier herunter.

Prof. Christof Paar über Cybersecurity – Herausforderungen und Lösungen

Mit der zunehmenden Digitalisierung wächst auch das Risiko für Cyberangriffe. Datenlecks, Ransomware und gezielte Attacken bedrohen Unternehmen und Privatpersonen gleichermaßen. Doch wie steht es um die IT-Sicherheit in Deutschland, und welche Lösungsansätze gibt es? Darüber spricht Prof. Christof Paar Direktor am Max-Planck-Institut für Sicherheit und Privatsphäre in Bochum,  im aktuellen Podcast “Köpfe der IT-Sicherheit”.

Die wachsende Bedrohungslage

„Wir sehen eine stetige Zunahme von Cyberangriffen, insbesondere durch Ransomware. Unternehmen müssen sich darauf einstellen, dass sie permanent Ziel solcher Attacken sein können“, betont Christof Paar. Der Grund hierfür liegt in der steigenden Vernetzung und dem hohen wirtschaftlichen Wert von Daten.

Neben gezielten Angriffen auf Unternehmen und staatliche Institutionen gibt es auch eine zunehmende Bedrohung für Privatpersonen. „Phishing-Attacken und Identitätsdiebstahl sind ernsthafte Risiken. Nutzer müssen sich bewusst sein, dass sie täglich Ziel solcher Versuche sein können.“

Technologische Antworten auf neue Herausforderungen

Ein großer Forschungsschwerpunkt liegt in der Kryptographie. Hier arbeiten Wissenschaftler daran, bestehende Verfahren zu verbessern und neue Verschlüsselungstechniken zu entwickeln. „Quantencomputer werden in den nächsten Jahren vieles verändern. Wir müssen jetzt schon damit beginnen, zukunftssichere Verfahren zu etablieren“, erklärt Professor Paar.

Ein weiteres Thema ist die Benutzerfreundlichkeit von Sicherheitsmaßnahmen. Viele Unternehmen setzen auf komplexe Authentifizierungsverfahren, die für Nutzer schwer verständlich sind. „Wir müssen eine Balance zwischen Sicherheit und Nutzerfreundlichkeit finden. Sicherheit darf nicht dazu führen, dass sich Nutzer überfordert fühlen.“

Der gesellschaftliche Aspekt der IT-Sicherheit

Neben der technischen Entwicklung spielt auch die gesellschaftliche Dimension eine Rolle. Datenschutz und digitale Privatsphäre sind zunehmend wichtige Themen. „Die DSGVO war ein wichtiger Schritt, aber wir müssen weiterdenken. Wie gehen wir mit Daten um? Welche Verantwortung tragen Unternehmen und Staaten?“, fragt Christof Paar.

Die vollständige Diskussion gibt es im Podcast “Köpfe der IT-Sicherheit” – jetzt reinhören!

Unternehmen versäumen Datenschutzschulungen zu aktualisieren

Laut dem „State of Privacy 2025“-Report von ISACA bieten zwar 87 Prozent der Unternehmen ihren Mitarbeitenden Datenschutzschulungen an, aber nur 68 Prozent aktualisieren diese Materialien regelmäßig

ISACA warnt vor den Risiken, denen Unternehmen aufgrund unzureichender Datenschutzschulungen ausgesetzt sind. Der Bericht State of Privacy 2025 zeigt, dass zwar 87 Prozent der Unternehmen Datenschutzschulungen anbieten, aber nur 68 Prozent die Inhalte regelmäßig aktualisieren, so dass sie aufgrund der Lücken anfällig für neue Bedrohungen sind. Diese besorgniserregende Erkenntnis wird durch Daten der Weltbank noch untermauert, aus denen hervorgeht, dass Cybervorfälle in den letzten zehn Jahren um durchschnittlich 21 Prozent pro Jahr zugenommen haben.

Obwohl 74 Prozent der Befragten angaben, dass ihre Datenschutzstrategien mit den Unternehmenszielen übereinstimmen, aktualisieren nur 59 Prozent die Schulungen jährlich, während neun Prozent dies alle zwei bis fünf Jahre tun. Das bedeutet, dass etwa 32 Prozent der Mitarbeitenden nicht ausreichend geschult werden, um neue Datenschutzbedrohungen am Arbeitsplatz zu bekämpfen.

Datenschutzschulungen – eine strategische Herausforderung

Cybersicherheit und Datenschutz sind nicht mehr nur technische Fragen, sondern haben sich zu strategischen Herausforderungen entwickelt, bei denen es um den Schutz des digitalen Vertrauens geht. Wie sich in den Ergebnissen von ISACA zeigt, sind regelmäßige Schulungen ein entscheidendes Element für zwei wichtige Cybersicherheitsstrategien: Risikominderung und Datenschutz. Mehrere Studien beweisen, dass Unternehmen, die in diesem Bereich bewährte Praktiken anwenden, in der Regel weniger Cyber-Vorfälle erleben und ein größeres Vertrauen bei Kunden und Partnern genießen.

Neue Technologien wie künstliche Intelligenz (KI) und das Internet der Dinge (IoT) vergrößern die Angriffsfläche, so dass sowohl Mitarbeitende als auch Unternehmensleitungen darauf vorbereitet sein müssen, auf mögliche Vorfälle zu reagieren.

Eines der Hauptprobleme für Unternehmen ist die wachsende Rolle von KI bei der Verwaltung des Datenschutzes. Laut dem Bericht State of Privacy 2025 nutzen bereits elf Prozent der Unternehmen KI für datenschutzrelevante Aufgaben wie die Automatisierung von Risikobewertungen, die Erkennung von Anomalien und die Einhaltung gesetzlicher Vorschriften.

Diese Instrumente verbessern zwar die betriebliche Effizienz, bergen aber auch Risiken, wenn ethische Grundsätze und „Privacy by Design“ nicht angewandt werden. Ein Mangel an Transparenz in Bezug auf die Funktionsweise von Algorithmen kann das Vertrauen untergraben und zu Verstößen gegen Vorschriften führen, insbesondere im Hinblick auf den kürzlich erlassenen EU AI Act.

Daher empfiehlt ISACA Unternehmen, die ihre Schulungsprogramme verbessern wollen, einen kontinuierlichen Verbesserungsansatz zu verfolgen. Dazu gehören nicht nur die Aktualisierung von Schulungsinhalten und das Erlangen von Zertifizierungen, sondern auch das Durchführen von Simulationen und praktischen Übungen, um die Reaktionsfähigkeit auf Vorfälle zu stärken.

Unternehmen finden Ressourcen zum Datenschutz in ISACAs Datenschutz-Hub. Darüber hinaus bietet ISACA die Zertifizierung Certified Data Privacy Solutions Engineer (CDPSE) und On-Demand-Schulungen zu einer Reihe von AI-bezogenen Themen an.

197-prozentiger Anstieg bei E-Mail-basierten Angriffen

Unternehmen weltweit sind mit einer zunehmend gefährlichen Cyberbedrohungslandschaft konfrontiert. So ist die durchschnittliche Zahl der pro Unternehmen verzeichneten Angriffe um 21 Prozent gestiegen. Die Gefahr geht dabei unter anderem von E-Mail-basierten Angriffen aus, die im Vergleich zum Vorjahr weltweit um 197 Prozent zugenommen haben. Im Visier von Cyberkriminellen sind unter anderem Managed Service Provider. Diese Erkenntnisse gehen aus dem aktuellen Cyberthreats Report der Acronis Threat Research Unit (TRU) hervor.

Der Acronis Cyberthreats Report für das zweite Halbjahr 2024 beleuchtet die weltweite Bedrohungslage im Bereich der Cybersicherheit. Die Situation ist angespannt: Die durchschnittliche Anzahl an Angriffen pro Unternehmen ist um 21 Prozent gestiegen. Besonders auffällig ist der Anstieg von E-Mail-basierten Angriffen, die im Vergleich zum Vorjahr weltweit um 197 Prozent zugenommen haben. Zudem handelte es sich bei nahezu jeder dritten empfangenen E-Mail (31,4 Prozent) um Spam und 1,4 Prozent enthielten sogar Malware oder Phishing-Links. Phishing stand generell im Fokus der Cyberkriminellen: Mit einem Anteil von 74 Prozent im zweiten Halbjahr 2024 stellten solche Angriffe die größte Cyberbedrohung dar, gefolgt von Social Engineering mit 22 Prozent.

 MSPs im Visier von Cyberkriminellen: E-Mail-Phishing, Remote-Exploits und APT-Ransomware

Im Allgemeinen waren Managed Service Provider einer Vielzahl an Cybergefahren ausgesetzt, wobei Cyberkriminelle vor allem auf Phishing-Angriffe setzen. 33 Prozent der 185 zwischen Januar und Dezember 2024 gemeldeten Sicherheitsvorfälle bei MSPs griffen auf diesen Angriffsvektor zurück. Am zweithäufigsten (22 Prozent) nutzten Cyberkriminelle Exploits, die auf Schwachstellen im Remote Desktop Protocol (RDP) und anderen Tools für den Remote-Zugriff abzielen. Weitere Angriffsvektoren umfassten:

  • offene Schwachstellen (19 Prozent)
  • Trusted Relationships (14 Prozent)
  • Kompromittierungen von Accounts/Zugangsdaten (12 Prozent)

Zudem wurden MSPs zunehmend von Ransomware-Gruppen angegriffen, die in Verdacht stehen, Advanced Persistent Threats, zu nutzen. Diese Gruppen nutzen spionageähnliche Taktiken wie gestohlene Anmeldedaten, Social Engineering und Supply-Chain-Angriffe, um MSP-Netzwerke zu infiltrieren und Ransomware auf Kundensysteme zu übertragen.

„Der halbjährliche Report unserer Acronis Threat Research Unit bietet wichtige Einblicke in die Angriffsmethoden und Schwachstellen der aktuellen Cybersicherheitslandschaft“, kommentiert Gerald Beuchelt, CISO von Acronis. „Im zweiten Halbjahr 2024 zeigte sich ein besorgniserregender Anstieg von KI-generierten Angriffen und eine zunehmende Raffinesse von Ransomware-Kampagnen. Das TRU bietet dabei auch konkrete Handlungsempfehlungen, mit denen Unternehmen, MSPs und die gesamte Cybersicherheitsbranche ihre Abwehrkräfte proaktiv stärken können und so den drängenden Risiken von heute einen Schritt voraus zu sein.“

State of Malware 2025-Report: KI-Agenten revolutionieren Cyberkriminalität

 Malwarebytes hat seinen State of Malware 2025-Report veröffentlicht. Der Report bietet Einblicke in die wichtigsten Cyberbedrohungen und Taktiken von Cyberkriminellen im Jahr 2025, darunter die vermehrte Nutzung von KI-Agenten. Darüber hinaus beschreibt der Report einen deutlichen Anstieg bei der Anzahl bekannter Ransomware-Angriffe, gibt Einblick in den Gesamtwert der im Jahr 2024 gezahlten Lösegelder und zeigt auf, wie IT-Teams bestmöglich mit Ransomware-Angriffen umgehen können.

„Wie unser State of Malware 2025-Report zeigt, wird Ransomware auch in diesem Jahr eine signifikante Bedrohung für Unternehmen darstellen“, sagt Marcin Kleczynski, Gründer und CEO von Malwarebytes. „Anstatt der bekannten, großen Ransomware-Gruppen stellen inzwischen kleinere, unberechenbare Bedrohungsakteure, die zunehmend die Möglichkeiten von KI nutzen, Unternehmen vor neue Herausforderungen. Unternehmen müssen ihre Cybersicherheitsmaßnahmen deshalb noch einmal neu denken und ganzheitliche Endpunktsicherheit priorisieren.“

State of Malware 2025-Report: Auf KI-gestützte Ransomware-Angriffe vorbereitet sein

Neue KI-Agenten, die selbstständig analysieren, planen und handeln können, werden die Taktiken von Cyberkriminellen weiter revolutionieren und Angriffe im Jahr 2025 noch effizienter und skalierbarer gestalten. Insbesondere zum aktuellen Zeitpunkt, zu dem Unternehmen zunehmend KI zur Steigerung von Produktivität und Sicherheit verwenden, nutzen auch Cyberkriminelle die Technologie immer öfter, um ihre Phishing-Kampagnen zu verbessern, unentdeckt zu bleiben und ihre Angriffstaktiken zu optimieren.

Dies markiert einen Wendepunkt: Das technologische Wettrüsten zwischen KI-gestützten Angriffen und KI-gestützten Cybersicherheitsmaßnahmen beschleunigt sich und zwingt Unternehmen dazu, ihre traditionellen Verteidigungsstrategien zu überdenken. Da sich jedoch auch die KI selbst rasant weiterentwickelt, sollten IT-Sicherheitsteams die Möglichkeiten KI-gestützter Bedrohungserkennung und -reaktion in ihre Sicherheitsstrategien integrieren, um mit der zunehmenden Geschwindigkeit und technologischen Komplexität von KI-gestützten Cyberangriffen Schritt zu halten und diese effektiv abzuwehren.

Höhere Ransomware-Lösegeldzahlungen und verschiedene Opfertypen

Die Zahl der bekannten Ransomware-Angriffe stieg im Vergleich zum Vorjahr um 13 Prozent, obwohl zwei der bekanntesten Ransomware-Gruppen – LockBit und ALPHV – ihre Vormachtstellung verloren haben. Stattdessen wurden kleinere, weniger bekannte „Dark Horse“-Ransomware-Gruppen zu einer immer größeren Bedrohung für kleine und mittlere Unternehmen. Darüber hinaus wurde im Jahr 2024 die bisher größte bekannte Ransomware-Lösegeldzahlung in Höhe von 75 Millionen US-Dollar verzeichnet. Die Summe wurde von einem nicht näher bekannten Opfer in eine Krypto-Wallet eingezahlt.

„Wenn uns das Jahr 2024 etwas gelehrt hat, dann ist es die Tatsache, dass sich auch Ransomware-Gruppen nicht auf ihren Lorbeeren ausruhen können“, sagt Lee Wie, SVP Customer & Product, Corporate Unit bei Malwarebytes zum State of Malware 2025-Report. „Der gesamte Angriffszyklus hat sich inzwischen von Wochen auf Stunden und in einigen Fällen sogar auf Minuten reduziert. Unternehmen müssen ihre Endpunkte daher rund um die Uhr im Auge behalten, um Cyberbedrohungen abzuwehren. Dies bedeutet in vielen Fällen, dass sie verwaltete Dienste wie Managed Detection and Response (MDR) nutzen müssen, um ihre Teams dabei zu unterstützen, Lücken in der Verteidigung zu schließen.“

 Weitere Informationen und den kompletten „State of Malware 2025-Report finden Sie hier.

 

Cybersicherheit – hohe Relevanz und dennoch ohne Impact?

Joachim Astel ist Mitbegründer und Vorstand von Noris Network, in der er als CRO die Bereiche Governance, Risk und Compliance, Zertifizierungen, Audits sowie die Interne Revision verantwortet. Im Interview erklärt er, warum Unternehmen – und Finanzinstitute im Besonderen – weniger Zeit für operative Cybersicherheit haben, die dann häufig an Dienstleister ausgelagert werden muss.

Cybersicherheit – hohe Relevanz und dennoch ohne Impact? Das ist ein sehr irritierender Titel für den Talk auf dem diesjährigen CIBI Innovationstag, da man meinen möchte, dass Bemühungen um die IT-Sicherheit auch Auswirkungen haben. Wie würden Sie dies einordnen?

Joachim Astel: Mein Hintergrund ist, dass unsere Kernkompetenz im Unternehmen schon immer IT-Security ist, und das Thema Cybersicherheit von Anfang an (also über 30 Jahre) eine Rolle gespielt hat. Wir haben seinerzeit schon unsere Kunden ins – damals in Deutschland noch recht neue – INTERNET gebracht.

Mein Slogan war schon 1996 „Internet – mit Sicherheit!“ – was zwei Bedeutungen hatte: klar, wir schaffen das bei Noris Network, und wir kümmern uns um die Sicherheit. Wir hatten schon 1996 erste Banken als Kunden.

Cybersicherheit – blinde Flecken bei Banken

Finanzinstitute haben traditionell einen großen Fokus auf die Sicherheit. Wo sind hier die „blinden Flecken“?

Joachim Astel: Da gibt’s zum Glück sehr wenige, weil Banken traditionell, und natürlich aufgrund der hohen Anforderungen der Bankenaufsicht, schon immer Milliarden in Sicherheit investieren.

Probleme sind hier typischerweise der Fachkräftemangel und entsprechende Nachwuchssorgen, mit gleichzeitig steigenden organisatorischen Anforderungen durch zunehmende Regulatoren-Vorgaben (siehe neu: DORA).

Die IT-Abteilungen haben zunehmend weniger Zeit, sich um das operative „Doing“ zu kümmern, weil sie mit Regulatirk, Compliance usw. ihre eigene Organisation in Trab halten.

Joachim Astel vertritt die These: Cybersicherheit – hohe Relevanz und dennoch ohne Impact?
Joachim Astel ist Mitbegründer und Vorstand von Noris Network, in der er als CRO die Bereiche Governance, Risk und Compliance, Zertifizierungen, Audits sowie die Interne Revision verantwortet. Gemeinsam mit seinen Kollegen Ingo Kraupa und Matthias Urlichs gründete Joachim Astel 1993 Noris Network – als ersten Internet-Provider Nordbayerns. Früh erkannte der IT-Experte die wachsende Bedeutung des Themas IT-Security für Unternehmen und Gesellschaft. Neben den Kerninteressen Security Management, Firewall- und IT-Security-Technologien gilt sein Hauptaugenmerk heute der Automatisierung und Optimierung von Geschäftsprozessen.

Dementsprechend bleibt weniger Zeit für operative Cybersicherheit, die dann häufig an Dienstleister ausgelagert werden muss, und hier hängt es von der Leistungsfähigkeit des Dienstleisters ab, den Security-Prozess im ausgelagerten Umfeld zu beherrschen. Wir als noris network sind so ein Dienstleister, der das sehr gut verwirklicht. Blinde Flecken entstehen genau dann, wenn der Bankenkunde diese Dienstleistung nicht adäquat vergibt, und dabei blinde Felcken entstehen. Z. B. gibt es von der Bankenaufsicht die Anforderung, Systeme zur Angriffserkennung zu betreiben (also dass Hacker frühzeitig erkannt werden, bevor sie etwas anrichten können).

Wurde der Dienstleister beauftragt, diese Leistung durchzuführen? Oder gibt gibt es hier einen blinden Fleck? Ein guter Dienstleister hat ein Produkt-/Leistungs-/Service-Portfolio, das auf die entsprechenden Regulatorik-Themen im Zusammenhang mit dem Dienstleister hinweist, und entsprechende Moduloptionen (wie Systeme zur Angriffserkennung) anbietet. Es könnte nämlich auch sein, dass die Bank selbige Systeme bereits selbst betreibt (oder anderweitig betreiben lässt) und nur auf Log-Dateien der Systeme des Dienstleisters zugreifen muss, um den Focus entsprechend zu erweitern. Weiter gibt es aber auch potenziell blinde Flecken durch Nutzung von Cloud-Services.

Hat sich die Balance von Security-Aktivitäten bei Finanzinstitute und Impact in den letzten Jahren verändert und wenn ja, wie?

Joachim Astel: Durch verstärkte Nutzung von Cloud-Leistungen entstehen neue Cybersicherheit -Risiken, denen hauptsächlich technologisch begegnet wird. Dabei halten neue Konzepte Einzug (wie Zero Trust Prinzipien).

Bei Multicloudansätzen ist oft die Regulatorik nicht so stark im Focus wie bei klassischen Leistungen im Rechenzentrum der Bank. Hier ist es wichtig, dass Security-Architekten die Gesamtarchitektur im Blick haben und Schutzbedarfe entsprechende Würdigung in den umgesetzten Maßnahmen finden. Ist die Architektur nicht transparent, schleichen sich bei Nutzung von Cloud-Serivces (wie oben bereits angeführt) blinde Flecke ein. Bestimmte Systeme, die nicht einem geregelten Patch Management Prozess unterliegen oder ähnliches. Dadurch sind vereinzelt Einbrüche in solche, oft periphäre, Systeme möglich geworden. Das muss nicht sein. Ich empfehle hier, gesamtheitliches Service-Management auch auf Cloud-Services abzubilden. Wir nutzen hierfür für unsere Kunden daher gerne Service Management Lösungen wie ServiceNow, wo wir mit dem SecOps Modul die Sichtbarkeit der einzelnen Assets und CIs aus Kritikalitätssicht und Security-Maßgaben sehr genau im Kontext der aktuell vorliegenden Bedrohungslage einschätzen können.

IT-Sicherheit hat nicht nur Bedeutung für Unternehmen, sondern auch für die Gesellschaft als solche. Wie lässt sich das Cybersicherheit -Bestreben von Unternehmen mit Gesellschaft besser verzahnen?

Joachim Astel: Hier greift der Staat schon vor: Hier wird das neue Cyber Resilience Act der EU langfristig für Besserung sorgen. Hersteller von Hardware- und Softwarelösungen werden zu gehalten sein, aus Sicherheitssicht gestaltete Lösungen herauszubringen und diese auch für mehrere Jahre lang auf dem Stand der Sicherheit zu halten. Der Endanwender hat dadurch Vorteile, auch ohne technisch tiefen Einblick mit sicherer Umgebung zu arbeiten.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat seit letztem Jahr das Motto der „Cybernation Deutschland“, d. h. Firmen und öffentliche Verwaltung sind dazu gehalten, Deutschland zu einer führenden Nation in den Bereichen Cybersicherheit und Digitalisierung zu entwickeln. Diese Vision betont die enge Zusammenarbeit zwischen Staat, Wirtschaft und Gesellschaft, um digitale Risiken zu minimieren und innovative Technologien sicher zu gestalten. Daneben leisten wir als Unternehmen diverse Einzelthemen, um dem gesellschaftlichen Anspruch Rechnung zu tragen: ich leite den Arbeitskreis Security der NIK e. V. (Nürnberger Initiative für Kommunikationswirtschaft). Wir sind im Beirat der it-sa (Nürnberger IT Sicherheits-Messe). Wir gestalten mit an Open Source Sicherheitslösungen, die auch im Privatumfeld genutzt werden können. Wir bieten kostenlose Fachvorträge zu Cybersicherheits-Themen, wie z. B. mein Vortrag zu NIS2 vor zwei Monaten. Und wir berichten viel in Zeitschriften über Best Practices zum Stand der Technik im Bereich der Security.

CIBI Innovationstag 2025: Beim jährlich stattfindenden CIBI Innovationstag (26.03.2025 in München) ist Cybersecurity eines der Fokusthemen. Leser des Marktplatz IT-Sicherheit erhalten exklusiv Tickets mit 15 % Preisnachlass. Ticketcode: 15-CIBI-2025