Ein Kommentar von Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

[datensicherheit.de, 31.07.2025] Je mehr Aufmerksamkeit Cyberkriminelle erhalten, desto erfolgreicher scheinen sie zu sein. Scattered Spider ist aufgrund seines gekonnten Einsatzes von Social Engineering besonders interessant. Das liegt daran, dass Abwehrmaßnahmen sich oft zu sehr auf technische Angriffe und technische Lösungen konzentrieren. Die Angreifer wie Scattered Spider setzen jedoch einfache Telefonanrufe oder SMS-Nachrichten und in einigen Fällen sogar Bestechungsgelder ein, um Insider zur Mithilfe zu bewegen. Die Gruppe agiert laut Informationen der CISA ähnlich wie „Lapsus$“ vor zwei Jahren, allerdings konnte Lapsus$ inzwischen im Wesentlichen zerschlagen  werden und einige Mitglieder wurden verhaftet.

Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute, Bild: SANS

Herausforderung Drittanbietersoftware

Die Herausforderung für Sicherheitsteam ist, dass sich Unternehmen zu oft auf Drittanbieter verlassen, um wichtige Sicherheitsfunktionen wie Identitäts- und Zugriffskontrolle bereitzustellen. Infolgedessen ist es schwierig, schnelle taktische Änderungen zur Bekämpfung aktueller Bedrohungen vorzunehmen. Detaillierte Einblicke in Autorisierungsaktivitäten sind oft begrenzt, was die ordnungsgemäße Erkennung und Abwehr dieser Bedrohungen verlangsamt oder sogar verhindert.

Qualifiziertes internes Fachwissen nötig

Eine genaue Identitätsverwaltung und -überwachung muss eng auf die Geschäftsprozesse eines Unternehmens abgestimmt sein, was in der Regel am besten mit ausreichend qualifiziertem internem Fachwissen erreicht werden kann. Moderne, segmentierte Netzwerke verkomplizieren die Sache noch weiter und machen die detaillierte Überwachung, die erforderlich ist, um diese Angriffe frühzeitig zu erkennen, fast unmöglich. Einige Unternehmen profitieren davon, dass aufrichtige Insider verdächtige Aktivitäten melden, beispielsweise einen erhaltenen Anruf. Schulungen für Security Awareness legen oft mehr Wert auf die Meldefunktionen als auf altmodische Anti-Phishing-Schulungen.

Weitere Informatione zum Thema:

datensicherheit.de, 11.05.2025
SANS Institute benennt Top 5 der gefährlichsten neuen Angriffstechniken

Von unserem Gastautor Tim Pfaelzer, Senior Vice President & General EMEA Manager bei Veeam

[datensicherheit.de, 30.07.2025] Viel zu lange haben Führungskräfte die Datensicherheit ihrer Unternehmen aus der Ferne betrachtet und sich auf theoretische Pläne und eine -Checklisten-Mentalität verlassen. Diese „2D-Perspektive“ – bei der technische Maßnahmen einfach auf einer To-Do-Liste abgehakt werden – wird der tatsächlichen, organisationsübergreifenden Komplexität von Cyber-Bedrohungen nicht gerecht. Insbesondere Ransomware lässt sich auf dem Papier nicht vollständig simulieren.

Falsche Gefühl der Sicherheit

Diese Mentalität hat zu einem gefährlichen falschen Gefühl der Sicherheit geführt. Studien zeigen, dass mehr als 30 % der Unternehmen glauben, sie seien widerstandsfähiger als sie tatsächlich sind. Sie mögen zwar über die richtigen Komponenten verfügen, aber wenn diese Elemente nicht in einem rigoros getesteten, realitätsnahen Notfallplan zusammenarbeiten, laufen sie Gefahr, im Falle einer echten Krise angreifbar zu sein.

Tim Pfaelzer, Senior Vice President & General EMEA Manager bei Veeam, Bild: Veeam

Angesichts der Tatsache, dass 69 % der Unternehmen im vergangenen Jahr mit einer Ransomware-Bedrohung konfrontiert waren, ist die Zeit des blinden Vertrauens vorbei. Führungskräfte dürfen sich nichts vormachen und müssen sinnvolle, proaktive Maßnahmen ergreifen.

Falsches Vertrauen, echte Konsequenzen

Die Widerstandsfähigkeit von Daten kann trügerisch komplex sein und Lücken bleiben oft verborgen, bis es zu spät ist. Viele Unternehmen tappen in die Falle, dass sie glauben, sie seien vorbereitet, nur um dann bei einem Angriff das Gegenteil herauszufinden. Von den Unternehmen, die im letzten Jahr Opfer eines Ransomware-Angriffs wurden, waren 69 % der Meinung, dass sie vorher gut vorbereitet waren. Nachdem sie einen Angriff erlitten hatten, sank das Vertrauen in die Vorbereitung und Maßnahmen um mehr als 20 %.

Obwohl die Mehrheit der Unternehmen über ein Ransomware-Playbook verfügte, enthielt weniger als die Hälfte dieser wesentliche technische Komponenten wie Sicherungskopien und Pläne zur Eindämmung oder Isolierung der Schadsoftware im Ernstfall. Oberflächlich betrachtet schien alles in Ordnung zu sein, doch bei näherer Betrachtung zeigten sich erhebliche Schwachstellen.

Die Folgen von solch falschem Vertrauen sind schwerwiegend: Nur 10,5 % der Unternehmen waren im vergangenen Jahr in der Lage, sich nach einem Ransomware-Angriff erfolgreich zu erholen, was zu erheblichen geschäftlichen und betrieblichen Beeinträchtigungen führte. Der jüngste Ransomware-Vorfall bei M&S ist ein viel beachtetes Beispiel, das nicht nur zu Serviceausfällen für die Kunden, sondern auch zu einem geschätzten Verlust von etwa 346 Millionen Euro (300 Millionen Pfund) führte.

Datensicherheit – Die Bedrohungslandschaft entwickelt sich stetig weiter

Einige Unternehmen haben vielleicht gehofft, dass die Zerschlagung großer Ransomware-Gruppen wie BlackCat und LockBit durch die Strafverfolgungsbehörden die Bedrohungslandschaft überschaubarer machen würde. In Wirklichkeit hat die Gefahr jedoch nicht abgenommen, sondern sich weiterentwickelt. Kleinere Gruppen und „einsame Wölfe“ haben die Lücke schnell gefüllt und neue Methoden und Taktiken entwickelt, die die Widerstandsfähigkeit von Unternehmen weiter herausfordern.

Von „2D“ zu „3D“: Der Weg zu echter Resilienz

Unabhängig davon, wie zuversichtlich ein Unternehmen in Bezug auf die Resilienz der eigenen Daten sein mag, ist eine gründliche, kritische Prüfung des eigenen Ransomware-Playbooks unerlässlich. Man kann nicht mehr davon ausgehen, dass das, was auf dem Papier funktioniert, auch unter realen Bedingungen Bestand hat. Führungskräfte müssen von einer flachen, 2D-Perspektive zu einem dynamischen 3D-Ansatz übergehen.

Beginnen sollte man dabei mit dem Gesamtüberblick: Es sollte klar sein, welche Daten besonders schützenswert sind und wo sie sich befinden. Wichtige Ausfallsicherheitsmaßnahmen wie eine vordefinierte Befehlskette und regelmäßige Überprüfungen der Backups sollten vorhanden sein. Darüber hinaus ist es essenziell, dass Sicherheitsteams über die neuesten Angriffstrends informiert sind. Da 89 % der Unternehmen berichten, dass ihre Backup-Repositories gezielt von Bedrohungsakteuren angegriffen wurden, ist die Sicherstellung von Redundanz für Backups heute von entscheidender Bedeutung.

Die Behebung dieser Schwachstellen ist allerdings nur der Anfang. Unternehmen müssen ihre Notfallpläne mit Simulationen unter realen Bedingungen testen. Es reicht nicht aus, sich auf Plan A zu verlassen – auch Pläne B, C, D müssen getestet werden, einschließlich Szenarien, in denen wichtige Mitarbeiter nicht verfügbar sind oder mehrere Krisen gleichzeitig auftreten. Dieser Prozess deckt oft blinde Flecken auf, die in einem theoretischen Plan unbemerkt bleiben würden.

Aus Zuversicht wird Sicherheit

Der Einsatz von Frameworks wie dem Veeam Data Resilience Maturity Model (DRMM), das in Zusammenarbeit mit McKinsey entwickelt wurde, kann Unternehmen dabei helfen, nicht mehr blind zu vertrauen. Die Ergebnisse zeigen, dass Unternehmen mit einem hohen Grad an Data Maturity sich siebenmal schneller von Ransomware-Vorfällen erholen als ihre weniger resilienten Konkurrenten und dreimal weniger Ausfallzeiten haben.

Indem Unternehmen die Kontrolle über ihre Datensicherheit übernehmen – durch rigorose Tests, kontinuierliche Optimierung und gemeinsames Fachwissen – können sie blindes Vertrauen durch bewährte Kompetenzen ersetzen. In der heutigen Bedrohungslandschaft ist es nicht die Frage „ob“ Ihr Unternehmen zum Ziel wird, sondern „wann“. Der beste Zeitpunkt für die Vorbereitung ist jetzt – denn bei der Datenresilienz entscheidet ausschließlich echte Einsatzbereitschaft über Erfolg oder Misserfolg.

Weitere Informationen zum Thema:

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber

Ein Gastkommentar von Nadir Izrael, Mitbegründer und CTO von Armis

[datensicherheit.de, 27.05.2025] Laut einer aktuellen Studie von Armis sind fast neun von zehn (87 Prozent) der IT-Führungskräfte besorgt über die Auswirkungen von Cyberwarfare auf ihr Unternehmen. Es gibt immer mehr Belege dafür, dass staatliche Akteure weiterhin Kritische Infrastrukturen in den USA angreifen. Die Wurzeln dieser staatlichen Cyberangriffe, die als ATPs (Advanced Persistent Threats) bezeichnet werden, reichen dabei fast zwei Jahrzehnte zurück.

APT – Verhinderung solcher Angriffe eine enorme Herausforderung für Unternehmen

Die Verhinderung solcher Angriffe ist eine enorme Herausforderung für Unternehmen, da die Gegner im Vergleich zu einem durchschnittlichen Sicherheitsteam über deutlich bessere Ressourcen verfügen. APTs müssen nur eine Schwachstelle finden, beispielsweise ein anfälliges Gerät oder ungeschützte Anmeldedaten. Sicherheitsteams hingegen müssen jeden Tag Hunderte von Warnmeldungen bearbeiten. Obwohl 81 Prozent der IT-Führungskräfte angeben, dass die Umstellung auf eine proaktive Cybersicherheitsstrategie ein Hauptziel ihres Unternehmens für dieses Jahr ist, geben 58 Prozent der Unternehmen zu, dass sie derzeit nur auf Bedrohungen reagieren, wenn diese auftreten, oder nachdem bereits ein Schaden entstanden ist.

KI ändert die Dynamik moderner Cyberangriffe

Künstliche Intelligenz verändert die Dynamik moderner Cyberangriffe grundlegend – sie macht sie schneller, effizienter und schwerer erkennbar. Fast drei Viertel (73 Prozent) der IT-Führungskräfte zeigen sich besonders besorgt darüber, dass staatliche Akteure KI einsetzen, um hochgradig raffinierte und gezielte Attacken zu entwickeln. Für Sicherheitsverantwortliche ist es daher unerlässlich, die Mechanismen KI-gestützter Cyberkriegsführung zu verstehen – und zu wissen, wie sie ihr Unternehmen künftig wirksam schützen können.

APTs – eine globale Gefahr

APTs und Cyberwarfare gehen Hand in Hand. Die Bedrohunsakteure von Volt Typhoon werden China, Cozy Bear Russland und Reaper Nordkorea zugeschrieben, um nur einige zu nennen. „Volt Typhoon“ kundschaftet Netzwerkarchitekturen aus, verschafft sich über Schwachstellen einen ersten Zugang und zielt darauf ab, administrative Rechte zu erhalten. Um diese Angriffe zu verhindern, ist es wichtig, die gängigsten TTPs (Tactics, Techniques, and Procedures) der staatlichen und halbstaatlichen Angreifer zu kennen.

Nadir Izrael, Mitbegründer und CTO von Armis, Foto: Armis

Die Bedrohung durch Cyberwarfare ist ein globales Phänomen. Ein prominentes Beispiel ist Cozy Bear – eine russische APT-Gruppe, die seit über einem Jahrzehnt gezielt Systeme der US-Regierung angreift. Die Kompromittierung von SolarWinds, die das Bewusstsein für Risiken in der Lieferkette deutlich geschärft hat, wird ebenfalls dieser Gruppe zugeschrieben. Cozy Bear setzt bevorzugt auf Phishing und zwischengespeicherte RDP-Zugänge, um Anmeldedaten zu stehlen. Inzwischen nutzen solche Angreifer zunehmend künstliche Intelligenz, um ihre Methoden noch effektiver zu machen – sei es beim Ausnutzen verwundbarer Systeme, dem Abgreifen ungeschützter Zugangsdaten oder durch ausgefeilte Social-Engineering-Techniken.

APTs und KI: Eine neue Qualität der Bedrohung

KI-gestützte Angriffe heben Cyberbedrohungen auf ein neues Niveau – sie sind anpassungsfähiger, schwerer zu erkennen und potenziell deutlich wirksamer als bisherige Angriffsmethoden. Sicherheitsforscher haben bereits nachgewiesen, wie effektiv künstliche Intelligenz im Kontext von Phishing-Angriffen eingesetzt werden kann. Angesichts der bekannten Social-Engineering-Strategien von Cozy Bear ist es besonders alarmierend, dass diese Gruppe KI nutzen könnte, um hochgradig personalisierte Phishing-Kampagnen im großen Stil zu automatisieren – etwa gegen Regierungsbehörden.

Auch Volt Typhoon, bekannt für das Ausnutzen verwundbarer Betriebstechnologien, könnte künftig von KI profitieren. Entsprechende Modelle lassen sich gezielt darauf trainieren, Schwachstellen in spezifischen Zielumgebungen zu identifizieren – oder sogar selbstständig zu attackieren, sobald sie eine Angriffsfläche erkennen. Die Angriffe können dann ohne menschliches Zutun ausgelöst werden. Darüber hinaus kann KI die Entwicklung und Variation von Malware automatisieren und dynamisch Schadcode generieren, der klassischen Erkennungsmethoden entgeht. Und das ist nur der Anfang: Diese Einsatzmöglichkeiten sind bereits Realität – und stellen erst den sichtbaren Teil eines viel größeren Problems dar.

Frühzeitig handeln – bevor der Schaden entsteht

Der richtige Zeitpunkt zum Handeln ist jetzt. Zwar können Unternehmen die Bedrohungslage durch Cyberwarfare nicht beeinflussen – sehr wohl aber, wie gut sie darauf vorbereitet sind. Viele reagieren noch immer erst dann, wenn ein Angriff bereits erfolgreich war. Um das zu ändern, müssen Sicherheitsstrategien proaktiv ausgerichtet werden – also auf die Phase vor dem eigentlichen Vorfall. Prävention beginnt mit vollständiger Transparenz über alle digitalen Infrastrukturen: IT, OT, IoT, IoMT und Cloud. Doch es reicht nicht aus, nur zu wissen, welche Assets vorhanden sind. Entscheidend ist, zu verstehen, wie sie miteinander vernetzt sind, wo potenzielle Schwachstellen liegen und wie sich Risiken priorisieren lassen.

Die gute Nachricht: KI-gestützte Sicherheitslösungen bieten heute leistungsfähige Werkzeuge, um Cyberangriffe frühzeitig zu erkennen und abzuwehren. So kann etwa die Analyse von Verhaltensmustern helfen, ungewöhnliche Aktivitäten aufzudecken – noch bevor es zu Störungen kommt. Genau wie Angreifer ihre Angriffe mithilfe von KI automatisieren, können Unternehmen dieselbe Technologie nutzen: um Schwachstellen aufzuspüren, Bedrohungen schneller zu erkennen und Schutzmaßnahmen in Echtzeit anzupassen.

Weitere Informationen zum Thema:

datensicherheit.de, 26.04.2025
Armis Vulnerability Intelligence Database soll präventive Cyber-Sicherheit unterstützen

datensicherheit.de, 04/27/2025
Armis Vulnerability Intelligence Database to support preventive Cyber Security

Von unserem Gastautor Christian Dallmayer, General Manager united-domains GmbH

[datensicherheit.de, 13.05.2025] Hinter jeder Domain steckt mehr als eine Webadresse – sie ist Aushängeschild, strategisches Asset und genießt das höchste Vertrauen der Kunden. Umso schwerwiegender sind Angriffe, die auf die Kontrolle einer Domain abzielen. Beim sogenannten Domain-Hijacking verschaffen sich Angreifer den Zugriff auf die Verwaltungsrechte – mit potenziell weitreichenden Folgen: von Phishing-Kampagnen über Reputationsschäden bis hin zu Angriffen auf interne Systeme.

Die Angriffe erfolgen häufig unbemerkt, sind in ihrer Wirkung aber gravierend: Von der Umleitung des Webverkehrs auf gefälschte Inhalte bis hin zum Verlust geschäftskritischer E-Mail-Kommunikation. Unternehmen sollten deshalb dringend prüfen, ob ihre Domain-Sicherheitsstrategie heutigen Anforderungen noch gerecht wird.

Typologie und Abgrenzung von Domain-Hijacking

Im Gegensatz zu verwandten Bedrohungsszenarien wie DNS-Hijacking oder klassischem Phishing zielt Domain-Hijacking unmittelbar auf die Kontrolle über die Domain selbst. Angreifer versuchen, sich durch Täuschung, Manipulation oder gar juristische Verfahren Zugang zur Verwaltung der Domain zu verschaffen – sei es durch Login-Daten, technische Lücken oder gezielte Missbrauchsversuche bei Registraren.

Typische Angriffsvektoren reichen von Social Engineering bis hin zu operativen Schwachstellen. Häufig setzen Angreifer auf Täuschungstaktiken, um Mitarbeitende zur Preisgabe sensibler Zugangsdaten zu bewegen. Oder es wird versucht, Prozesse in der Domainverwaltung auszunutzen – etwa durch unautorisierte Änderungen oder gezielte Anfragen. Auch sogenannte Reverse Domain Hijacking-Verfahren, bei denen unberechtigte Markenansprüche vorgegaukelt werden, zählen zu den bekannten Methoden. Zwar bleibt der tatsächliche Erfolg solcher Versuche begrenzt, doch bereits der Aufwand zur Abwehr kann für Unternehmen erheblich sein.

Praxisbeispiele mit Signalwirkung

Bereits seit den frühen Jahren des Internets ist Domain-Hijacking ein reales Risiko. So erlangten Angreifer bereits 1999 über Social Engineering kurzzeitig Kontrolle über die Domain microsoft.com, indem sie bei dem Domain-Registrar Network Solutions administrative Änderungen veranlassten. Der Fall gilt bis heute als mahnendes Beispiel für strukturelle Schwächen bei Domainverwaltern.

Auch Google musste in mehreren Ländern erfahren, wie schnell Domains ohne ausreichenden Schutz in falsche Hände geraten können. In Argentinien wurde die Domain google.com.ar 2021 kurzzeitig von einer Privatperson registriert, nachdem Google die Verlängerung versäumt hatte. Ein vergleichbarer Vorfall betraf zuvor bereits die vietnamesische Landesdomain. Die Auswirkungen waren jeweils temporär, aber reputationsschädigend – und unterstreichen die Notwendigkeit konsequenter Erneuerungs- und Überwachungsprozesse.

Ein weiterer Fall, der die Verwundbarkeit selbst etablierter Open-Source-Projekte offenlegte, betraf die Domain perl.com. Nach der Übernahme wurde sie durch Dritte für Wochen auf fragwürdige Inhalte umgeleitet. Ebenfalls aufhorchen ließ im letzten Jahr ein Streit um die Domain fritz.box: Nachdem die neue Top-Level-Domain .box eingeführt wurde, sicherte sich ein Dritter die Adresse – AVM musste die Domain über ein UDRP-Verfahren wieder erkämpfen.

Konsequenzen bei Domain-Verlust

Die Auswirkungen eines erfolgreichen Domain-Hijackings sind vielfältig und reichen weit über den unmittelbaren Kontrollverlust hinaus. Für Unternehmen bedeutet der Verlust ihrer Domain nicht nur eine potenzielle Unterbrechung digitaler Geschäftsprozesse, sondern auch eine massive Gefährdung der Außenwahrnehmung. Kunden, Partner und Dienstleister können im Ernstfall nicht mehr zwischen legitimem und betrügerischem Angebot unterscheiden.

Neben den unmittelbaren finanziellen Schäden drohen langfristige Reputationsverluste. Wird die Domain für Phishing, Malware-Verbreitung oder betrügerische Inhalte verwendet, kann dies das Vertrauen in die betroffene Marke dauerhaft beschädigen. Hinzu kommen juristische Herausforderungen bei der Rückgewinnung – insbesondere wenn internationale Registrierungsstellen involviert sind oder Verfahren wie die UDRP eingeleitet werden müssen.

Sicherheitsvorkehrungen auf technischer Ebene

Ein wirksamer Schutz beginnt mit der Sicherung des Zugangs zu den Domain-Verwaltungskonten. Komplexe, regelmäßig aktualisierte Passwörter und die konsequente Nutzung von Zwei-Faktor-Authentifizierung sollten heute als Standard gelten. Zusätzlich empfiehlt sich die klare Definition interner Zuständigkeiten:

• Wer ist für welche Domains verantwortlich?
• Wo sind die Zugänge dokumentiert?
• Gibt es Notfallroutinen?

Technische Schutzmaßnahmen wie Registrar Locks oder Registry Locks verhindern unautorisierte Domaintransfers und erhöhen die Integrität des Domainbesitzes. Auch die Implementierung von DNSSEC, das die Authentizität von DNS-Antworten verifiziert, stellt eine wichtige Ergänzung der Sicherheitsarchitektur dar. Besonders für Unternehmen mit hoher Markenbekanntheit ist diese Maßnahme essentiell, um gezielte Manipulationen im DNS-System auszuschließen. Wir empfehlen deshalb dringend, die Hauptdomain(s) einem zusätzlichen Schutz zu unterziehen und nur wenigen autorisierten Personen den Zugriff auf die DNS-Einstellungen einzuräumen.

Frühwarnsysteme und Monitoring

Ein weiterer zentraler Baustein der Sicherheitsstrategie ist die kontinuierliche Überwachung von Domain-bezogenen Daten. Dazu gehören regelmäßige WHOIS-Kontrollen ebenso wie die Überwachung von DNS-Einstellungen und Traffic-Strukturen. Auffällige Aktivitäten – etwa unautorisierte Nameserver-Änderungen – lassen sich so frühzeitig erkennen.

Professionelle Domain-Monitoring-Lösungen ermöglichen es darüber hinaus, neu registrierte Domains zu identifizieren, die der eigenen Marke ähneln oder auf gezielte Täuschung ausgelegt sind. Auf dieser Basis können rechtliche Schritte frühzeitig vorbereitet oder – bei Bedarf – automatisiert eingeleitet werden.

Strategischer Schutz beginnt mit Prävention

Neben den technischen Komponenten erfordert eine ganzheitliche Sicherheitsstrategie auch organisatorische Maßnahmen. Hierzu zählt eine strukturierte Domain-Portfoliopflege, die sowohl die fristgerechte Verlängerung bestehender Domains als auch die Registrierung möglicher Tippfehler- oder Typosquatting-Varianten umfasst.

Schulungen für Mitarbeiter – insbesondere in den Bereichen IT, Marketing und Recht – erhöhen das Bewusstsein für die Relevanz von Domain-Sicherheit und reduzieren das Risiko, Opfer von Social-Engineering-Angriffen zu werden. Sensibilisierung und Prozesse müssen Hand in Hand gehen, um Domain-Sicherheit nicht dem Zufall zu überlassen.

Reaktionsfähigkeit im Ernstfall

Kommt es dennoch zu einem Vorfall, ist eine strukturierte Incident-Response-Strategie entscheidend. Der betroffene Registrar sollte umgehend informiert und in die Wiederherstellung der Domain eingebunden werden. Parallel ist eine transparente Kommunikation mit relevanten Stakeholdern empfehlenswert, um Vertrauen zu wahren und Missverständnisse zu vermeiden.

Rechtlich stehen Unternehmen verschiedene Mittel zur Verfügung. Besonders relevant ist das UDRP-Verfahren, das von der Internetverwaltung ICANN für gTLDs etabliert wurde und nicht auf lokale Gerichtsbarkeit, sondern bei akkreditierten Schlichtungsstellen wie der WIPO durchführbar ist. Es ermöglicht eine vergleichsweise schnelle Klärung von Domain-Streitigkeiten – sofern die Voraussetzungen erfüllt sind. In Deutschland bietet zudem der sogenannte Dispute-Eintrag bei der DENIC eine Möglichkeit, .de-Domains bis zur gerichtlichen Klärung zu sichern.

Digitale Identität braucht rechtlichen und technischen Schutz

Domain-Hijacking ist keine hypothetische Gefahr, sondern eine reale Herausforderung für Unternehmen in der vernetzten Wirtschaft. Der Schutz der eigenen Domain ist integraler Bestandteil einer ganzheitlichen Sicherheits- und Markenstrategie. Er erfordert nicht nur technisches Know-how, sondern auch juristische Weitsicht und organisatorische Klarheit.

Unternehmen, die ihre Domain-Assets als strategisches Gut begreifen und entsprechende Schutzmaßnahmen implementieren, stärken ihre digitale Resilienz – und setzen ein klares Zeichen für Verlässlichkeit, Sicherheit und Kundenorientierung im digitalen Raum.

Über den Autor:

Christian Dallmayer, General Manager united-domains GmbH, Bild: united domains

Christian Dallmayer bringt über 15 Jahre Erfahrung in Web-, Technologie- und E-Commerce-Unternehmen mit, darunter gutefrage.net, equinux AG und 1-2-3.tv. Seit 2022 ist er bei united-domains und verantwortet als General Manager die Bereiche B2B und B2C.

Weitere Informationen zum Thema:

datensicherheit.de, 02.09.2020
Cybersquatting: Angreifer imitieren Domains großer Marken

Ein Kommentar von unserem Gastautor Andre Schindler, General Manager EMEA und SVP Global Sales bei NinjaOne

[datensicherheit.de, 08.05.2025] Laut des ifo-Instituts arbeiten 24,5 Prozent der Beschäftigten in Deutschland zumindest teilweise von zu Hause aus. Diese Zahl ist in den letzten Jahren stabil geblieben und trotz mancher Diskussion ist das Thema Homeoffice in vielen Unternehmen fest etabliert. Im Zuge dessen hat sich die Anzahl von Endpunkten entsprechend erhöht und auch die Möglichkeit für potenzielle Schwachstellen für die IT-Systeme.

Bedrohungen rechtzeitig erkennen

Reaktive Sicherheitsansätze und komplexe und ineffiziente Patch-Prozesse erhöhen diese Risiken und viele Unternehmen haben Schwierigkeiten, Schwachstellen – bevor sie eine ernsthafte Bedrohung darstellen – zu erkennen. Deshalb sind effiziente und effektive Prozesse für das Patch- und Schwachstellenmanagement wichtiger denn je.  Nur so können IT-Teams einen proaktiven, risikobasierten Ansatz verfolgen, mit dem sie Schwachstellen erkennen, bewerten, priorisieren und beheben können, bevor sie eskalieren.

Automatisierung und Priorisierung senken das Risiko von Cyberangriffen

Durch automatisiertes Patch-Management wird die Belastung der IT-Abteilungen deutlich reduziert und Fehler im Zusammenhang mit umständlichen, manuellen Prozessen minimiert. Das händische Einspielen von Patches ist zeitaufwendig und birgt Sicherheitsrisiken, wohingegen automatisierte Patch-Management-Lösungen Zeit für die Erkennung, das Testen und die Bereitstellung kritischer Updates einsparen und so eine schnellere Reaktion auf eventuelle Schwachpunkte ermöglichen.

Priorisierung von Schwachstellen wichtig

Die gute Nachricht ist hier, dass nicht alle Schwachstellen das gleiche Maß an Bedrohung darstellen. Deshalb können sie priorisiert werden, was wiederum noch mehr Zeit und Ressourcen schont. Automatisierte Risikobewertungen ermöglichen IT-Abteilungen, zuerst die kritischsten Schwachstellen anzugehen und dadurch Gefährdung durch schwerwiegende Sicherheitsbedrohungen zu verringern.   Der Einsatz künstlicher Intelligenz kann den Patch-Prozess noch weiter optimieren. KI-gesteuerte Tools liefern IT-Teams kontextbezogene Empfehlungen dazu, welche Patches wann installiert werden sollten, wodurch der Aufwand für die Fehlerbehebung und die Systemausfallzeiten weiter minimiert werden.

Fazit

Ohne effektives Patch-Management bleibt die Bewältigung von Cybersicherheitsrisiken eine ständige Herausforderung. Durch die Automatisierung des Patch-Managements können Unternehmen nicht nur das Risiko von Cyberangriffen verringern, sondern auch Ressourcen in den IT-Abteilungen für strategische Aufgaben freisetzen. Dadurch wird das Unternehmen effizienter, produktiver und letztlich sicherer.

Weitere Informationen zmum Thema:

NinjaOne
Automate the hardest parts of IT

datensicherheit.de, 31.07.2020
Das VPN nicht überlasten – wie moderne Patchvorgänge auch Homeoffices abdecken

Ein Beitrag von unseren Gastautoren Nischal Khadgi und Ujwal Thapa, Sicherheitsforscher bei Logpoint

[datensicherheit.de, 05.04.2025] ClickFix wird bereits von einer Reihe von nationalstaatlichen Akteuren wie APT 28 und Kimsuky genutzt. Besonders beliebt ist die Verbreitung von Stealer-Malware wie Lumma Stealer über die Social Engineering-Kampagne. Die Betreiber verleiten Benutzer dazu, bösartigen Code auf ihren Systemen auszuführen. Angreifer locken ihre Opfer auf scheinbar legitime, aber kompromittierte Websites, auf denen täuschen echt wirkende Pop-ups erscheinen. Diese Pop-ups fordern die Benutzer auf, auf Schaltflächen mit der Aufschrift „Reparieren“ oder „Ich bin kein Roboter“ zu klicken. Sobald sie angeklickt werden, wird automatisch ein Befehl in die Zwischenablage des Benutzers kopiert und der Benutzer dazu gebracht, ihn manuell zu kopieren und in sein Systemterminal einzufügen.

ClickFix-Angriffsvektoren, Bild: Logpont

ClickFix erstmalig Mitte 2024 entdeckt

Diese Technik wurde erstmals Mitte 2024 entdeckt und wird seither immer häufiger eingesetzt. Neben Phishing wurden auch Malvertising und SEO-Poisoning als Verbreitungstechniken beobachtet.

Die folgenden Tipps sollen Sicherheitsverantwortlichen bei der Erkennung und Behebung helfen:

ClickFix-InfektionsketteClickFix-Kampagnen stützen sich in hohem Maße auf Social Engineering-Techniken wie Phishing. Benutzer sollen dazu verleitet werden, auf Webseiten zu gehen, die bösartige Software herunterlädt. Daher müssen Unternehmen Wert auf regelmäßige Mitarbeiterschulungen legen, die sich auf das Erkennen von und die Reaktion auf Bedrohungen wie Phishing konzentrieren. Darüber hinaus sollten Unternehmen ein Verfahren für Mitarbeiter einrichten, die den Verdacht haben, Opfer eines Phishing-Angriffs geworden zu sein. Dies sollte eine Meldung an die zuständigen Behörden und der sofortigen Einleitung von Maßnahmen zur Eindämmung des Vorfalls und zur Minimierung möglicher Schäden behinhalten.

ClickFix-Infektionskette, Bild: Logpoint

„Defense-in-Depth“-Strategie für robuste Sicherheit

Unternehmen sollten eine „Defense-in-Depth“-Strategie anwenden, um eine robuste Sicherheit zu schaffen. Dazu gehören mehrere unabhängige Sicherheitskontrollen wie EDR, SIEM, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement sowie E-Mail-/Web-Filterung in der gesamten Infrastruktur. Dieser mehrschichtige Ansatz hilft dabei, Bedrohungen frühzeitig zu erkennen und zu neutralisieren und so den potenziellen Schaden zu minimieren.

Überblick behalten

Eine Protokollierung, Asset-Transparenz und ein kontinuierliches Monitoring der Systems sind unerlässlich, um Bedrohungen wie ClickFix zu erkennen und darauf zu reagieren. Diese Funktionen bieten einen ganzheitlichen Überblick über das Netzwerk und erleichtern die Identifizierung von Anomalien, die einen bevorstehenden Angriff signalisieren können. Ein konsequentes Monitoring des Endpunkt- und Netzwerkverkehrs kann helfen, verdächtige Verhaltensweisen zu erkennen.

Unternehmen müssen über einen gut definierten Incident Response-Plan verfügen, um sicherzustellen, dass sie schnell und effektiv auf Sicherheitsvorfälle reagieren können. Ebenso wichtig ist die Durchführung regelmäßiger Übungen zur Reaktion auf sicherheitsrelevante Vorfälle. Diese Übungen tragen dazu bei, Lücken in der Reaktionsstrategie aufzudecken und die Benutzer bei der Erkennung sowie der richtigen Reaktion zu befähigen.

Weitere Informationen zum Thema:

datensicherheit.de, 26.03.2025
2024/2025: Alle 14 Sekunden ein Cyber-Angriff auf Unternehmen

Logpoint
ClickFix: Another Deceptive Social Engineering Technique

Von unserem Gastautor Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

[datensicherheit.de, 04.04.2025] Cyberangriffe entwickeln sich stetig weiter, und klassische Abwehrmaßnahmen allein reichen oft nicht mehr aus. Threat Intelligence ist ein Schlüssel zur frühzeitigen Erkennung und Abwehr von Angriffen. Sie stellt Unternehmen jedoch vor die Herausforderung, relevante Erkenntnisse aus der schieren Menge an Bedrohungsinformationen zu identifizieren, zu verstehen und klare Maßnahmen abzuleiten.

Threat Intelligence – Den Angreifern einen Schritt voraus

Unter Threat Intelligence versteht man die systematische Sammlung, Analyse und Nutzung von Bedrohungsdaten, die dabei hilft, Angriffsmuster sowie häufig ausgenutzte Schwachstellen und aktuelle Bedrohungen in IT-Infrastrukturen zu erkennen und Sicherheitsmaßnahmen entsprechend anzupassen. Ohne sie wäre es für Unternehmen schwierig, zu verstehen, wie sich Angriffstaktiken verändern und welche Sicherheitsmaßnahmen erforderlich sind. Denn sie gibt z. B. Aufschluss darüber, wie Ransomware-Taktiken sich verändern, welche kriminellen Gruppen am aktivsten sind und wie häufig Phishing in bestimmten Branchen vorkommt.

Threat Intelligence basiert u. a. auf Darknet-Analysen, Indicators of Compromise (IOCs) wie schadhaften IPs, Security Operations Center (SOC)-Erkenntnissen, Informationen zu Angriffsmustern von Cyberkriminellen und allgemeinen Bedrohungstrends. Die Bedrohungsdaten können aus verschiedensten Quellen stammen, etwa aus Foren der Cybersecurity-Community, aus Sicherheitsprotokollen von Unternehmen, aus Publikationen von Forschern oder auch aus kostenpflichtigen Abonnements entsprechender Anbieter.

Entscheidend ist dabei jedoch, dass die Menge an technischen Details – wie IP-Adressen, Hashwerte, Domains, URLs oder Angriffstechniken – ebenfalls konsolidiert und in eine für Unternehmen nutzbare Form überführt werden. Denn Threat Intelligence muss handlungsorientiert sein. Für Unternehmen müssen sich aus der Nutzung konkrete Maßnahmen ableiten lassen. Andernfalls bleiben die Informationen lediglich von theoretischem Interesse und stellen rein technische Daten dar, ohne einen tatsächlichen Beitrag zur Verbesserung der Cybersicherheit des Unternehmens zu leisten.

Security- und IT-Verantwortliche in Unternehmen können diese Daten dann nutzen, um Bedrohungen in ihren jeweiligen IT-Landschaften zu erkennen, darauf zu reagieren und proaktive Sicherheitsmaßnahmen gezielt umzusetzen. Dadurch minimieren sie nicht nur Sicherheitsrisiken, sondern nutzen auch Budget, Ressourcen und Technologien effizienter.

Aktuelle Insights in die Cybersicherheitslandschaft

So gibt beispielsweise der aktuelle Threat Report von Arctic Wolf Einblicke in die aktuelle Bedrohungslage und leitet konkrete Handlungsempfehlungen ab. Der Security-as-a-Service-Anbieter betreibt eines der größten kommerziellen SOCs weltweit und erstellt den Bericht auf Basis von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Daten. Die Ergebnisse zeigen, wie Cyberkriminelle ihre Methoden weiterentwickeln, um stärkere Sicherheitsmaßnahmen zu umgehen: Ransomware-Angreifer setzen verstärkt auf Datendiebstahl, Business-E-Mail-Compromise-Taktiken werden raffinierter, und bekannte Schwachstellen sind weiterhin Einfallstor für Cyberkriminelle.

Beim Schwachstellenmanagement zeigt sich beispielsweise: Wenige Schwachstellen werden überproportional oft ausgenutzt. 2024 wurden über 40.000 Sicherheitslücken verzeichnet, doch in 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus – für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Dies macht deutlich, wie wichtig proaktives Patch-Management ist.

Trotz verfügbarer Sicherheitsupdates zögern viele Unternehmen, Patches zeitnah einzuspielen – sei es mangels klarer Prozesse oder aufgrund personeller Engpässe. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle. Ein auf Threat Intelligence basierendes effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren.

Die Herausforderung: Zu viele Daten, zu wenig Ressourcen

Wie das Beispiel Schwachstellenmanagement zeigt, mangelt es Unternehmen oft nicht an der Verfügbarkeit von relevanten Bedrohungsdaten, sondern an den Ressourcen, diese sinnvoll zu nutzen. Besonders kleinere Security-Teams stehen vor der Herausforderung, die Masse an Informationen effizient zu analysieren und zu verwalten. Hier kommen externe Sicherheitspartner ins Spiel, die Unternehmen mit gezielten Threat-Intelligence-Maßnahmen unterstützen können, z. B. durch:

• Risikobasiertes Schwachstellenmanagement: Identifikation und Priorisierung von Sicherheitslücken nach Dringlichkeit
• Kuratiertes Reporting: Bereitstellung relevanter Informationen anstelle einer unübersichtlichen Flut an Rohdaten
• Echtzeit-Warnungen: Automatische Benachrichtigung über kritische Bedrohungen

Ein weiterer Vorteil der Zusammenarbeit mit externen Partnern ist ihr breiter Datenzugang: Sie analysieren Bedrohungstrends über zahlreiche Unternehmen hinweg und können dadurch präzisere, praxisnahe Empfehlungen ableiten. Von diesem Wissen profitieren wiederum Unternehmen und können ihre Sicherheitsmaßnahmen gezielt anpassen.

Fazit: Kuratierte Threat Intelligence als Schlüssel zum Erfolg

Threat Intelligence ist essenziell, doch ohne strukturierte Analysen bleiben wertvolle Informationen ungenutzt. Nur mit kuratierter Threat Intelligence lässt sich die Flut an Bedrohungsdaten sinnvoll auswerten, Sicherheitsstrategien optimieren und fundierte Entscheidungen treffen. Fehlen die internen Ressourcen, um dies abzudecken, kann die Zusammenarbeit mit einem spezialisierten Security-Partner wie Arctic Wolf Unternehmen dabei unterstützen, ihre Sicherheitslage nachhaltig zu verbessern.

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, Bild: Arctic Wolf

Über den Autor

Dr. Sebastian Schmerl ist Vice President Security Services EMEA und verantwortlich für Cyber Security Operations bei Arctic Wolf. Er unterstützt Kunden bei der Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle in komplexen IT-Landschaften und Cloud- oder ICS-Umgebungen.

Ein Kommentar von unserem Gastautor Yunus Bulut, Managing Director von Validaitor

„Google hat mit der Einführung seines neuen KI-Tools ‚Gemini 2.0 Flash Experimental‘ in der Entwickleroberfläche AI Studio einen bedeutenden Schritt in der Bildbearbeitung gemacht. Erstmals können Nutzer KI-generierte Bilder durch einfache Texteingaben nachbearbeiten, bestehende Bilder hochladen, künstlich erzeugte Objekte mit realen kombinieren und diese einfach und schnell nur durch Textbefehle verändern und selbst Wasserzeichen entfernen.

Diese bisher nie dagewesene Einfachheit in der Bedienung kann jedoch auch die Tore für eine massenhafte Erstellung von manipuliertem Bildmaterial öffnen, die von bösartigen Akteuren für Fehlinformationskampagnen und andere kriminelle Handlungen wie Betrug oder Rufschädigung missbraucht werden.

Die zunehmenden Fähigkeiten generativer KI sind bemerkenswert, doch sie bergen erhebliche Risiken. Deepfakes, voreingenommener Output gegenüber bestimmten Bevölkerungsgruppen und der Missbrauch urheberrechtlich geschützter Inhalte sind besonders besorgniserregend. Deshalb ist eine umfassende Prüfung von KI-Modellen auf Sicherheit, Halluzinationen, Toxizität, Vorurteile sowie die Einhaltung der Urheberrechtsgesetze entscheidend, um die Fähigkeiten von KI-Modellen zu verbessern, während gleichzeitig ihre Sicherheit gewährleistet wird. Unsere umfangreiche Erfahrung in der Prüfung von KI-Systemen zeigt, dass fast alle Modelle inhärente Mängel aufweisen. Um das Vertrauen in diese KI-Modelle zu erhalten, ist daher eine externe Prüfung durch Dritte unerlässlich.

Unabhängige KI-Bewerter spielen eine entscheidende Rolle für das reibungslose Funktionieren der Branche. Denn ohne eine solche Aufsicht besteht die Gefahr, dass die Dominanz der Technologiegiganten zur Verbreitung fehlerhafter KI-Modelle führt, was potenziell zu weit verbreitetem Missbrauch und ethischen Verstößen führen kann.“

Yunus Bulut, Managing Director von Validaitor, © Validator

Yunus Bulut ist KI-Forscher, KI-Praktiker und mehrfacher Gründer von daten-wissenschaftlichen Technologieunternehmen. Als Mitgründer und CEO von Validaitor ist es sein Ziel, vertrauenswürdige und verantwortungsvolle KI-Nutzung zu unterstützen, indem er KI-Anwendungen testet, zerlegt und repariert. Bulut hält Master-Abschlüsse für Wirtschaftswissenschaften und Computerwissenschaften. Seit dem Jahr 2020 beschäftigt sich Bulut am Karlsruher Institut für Technologie (KIT) mit der Sicherheit von KI-Modellen, mit Angriffsmethoden gegen Maschinelles Lernen (Adversarial Machine Learning) sowie mit Robustheit und Vertrauenswürdigkeit von KI. Daraus entstand im Jahr 2022 die Firma Validaitor als Spin-off des KIT.

Von unserem Gastautor Rick Vanover, Vice President of Product Strategy, Veeam

[datensicherheit.de, 24.03.2025] Die Führungsetage hat die Themen Datenresilienz und Cybersecurity lange Zeit den Sicherheits- und IT-Teams überlassen. Es galt das Motto „Das lassen wir die Experten machen“, und für die längste Zeit fuhr man mit dieser Philosophie gut. Unternehmen sind zunehmend von Technologie abhängig und Sicherheitsvorfälle sind eine Frage des „Wann“ statt des „Ob“. Cybersicherheit ist zu einem Thema geworden, das ausnahmslos die gesamte Belegschaft und jede Abteilung im Unternehmen angeht.

Rick Vanover, Vice President of Product Strategy, Veeam, © Veeam

Vorschriften verankern die Rechenschaftspflicht von Unternehmen in Rechtsklauseln

Die jüngsten Vorschriften zur Cybersicherheit (einschließlich NIS2 und DORA) spiegeln dies wider und verankern die Rechenschaftspflicht von Unternehmen in Rechtsklauseln. Die gesamte Führungsebene, und nicht nur der CISO, kann nun im Falle eines Verstoßes zur Verantwortung gezogen werden. Sie sind direkt für das Management und die Schulung zu Cybersicherheitsmaßnahmen verantwortlich und müssen bei Nichteinhaltung mit Strafen rechnen.

Führungskräfte werden sich nun langsam aber sicher der Tatsache bewusst, dass es jetzt ein Risiko darstellt, einfach davon auszugehen, dass ihre Sicherheitsteams und Drittanbieter alles im Griff haben. Wenn Sicherheitslücken klaffen oder sie als Verantwortliche die Transformationsprozesse hin zu stärkerer Datenresilienz nicht ausreichend unterstützen, steht ihr Ruf auf dem Spiel. Der Ball liegt in Sachen IT-Sicherheit also im Feld der Führungsriege und das bedeutet, dass diese sich proaktiv einbringen und selbst mit den Prozessen befassen muss.

Die Führungsetage im Fokus: Vom Beobachter zum Entscheider

Natürlich ist es realitätsfern, zu erwarten, dass die meisten Führungskräfte Experten für Cybersicherheit und -resilienz sind. Viele von ihnen setzen sich im Zuge der sich verändernden Rechtslage womöglich das erste Mal überhaupt mit Plänen für Datenresilienz und die Reaktion auf Vorfälle auseinander und hinterfragen diese. Angesichts zunehmender Cyber-Bedrohungen und strengerer Vorschriften müssen Führungskräfte nicht nur hinnehmen, dass Sicherheitsvorfälle unvermeidlich sind, sondern auch proaktive Maßnahmen ergreifen, um ihre Verteidigung zu stärken und die Einhaltung von Gesetzen sicherzustellen.

Die C-Suite ist nun also für die Sicherheitsstrategie, das Risikomanagement und die Risikominderung in der Organisation sowie für Maßnahmen zur Meldung von Vorfällen verantwortlich. Darüber hinaus müssen sich Führungskräfte, die gegen die Vorschriften verstoßen, auf eine persönliche Haftung und potenzielle Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes für wichtige Unternehmen einstellen, je nachdem, welcher Betrag höher ist.

Die konkreten Konsequenzen im Detail

• Persönliche Haftung: Nicht mehr nur der CISO steht im Fokus
• Finanzielle Risiken: Strafen von bis zu 7 Millionen Euro oder 1,4% des Jahresumsatzes
• Umfassende Verantwortung: Jedes Vorstandsmitglied muss Cybersicherheit aktiv verstehen und managen

Der Druck ist entsprechend hoch. Die C-Levels müssen die Widerstandsfähigkeit und die Bereitschaft zur Reaktion auf Vorfälle in ihre Organisation integrieren. Es braucht sowohl Investitionen in Sicherheit und Schulungen als auch die Umsetzung der Rechenschaftspflicht interner Interessengruppen.

Hier fällt das entscheidende Wort: Rechenschaftspflicht.

Vorschriften wie NIS2 beziehen die oberste Führungsebene jedoch nicht in die Rechenschaftspflicht ein, damit man ihnen im Ernstfall die Schuld in die Schuhe schieben kann. Die NIS2-Vorschriften verpflichten die Führungskräfte als Entscheidungsträger. Sie sind diejenigen im Unternehmen, die die Entscheidungsgewalt haben, um sicherzustellen, dass jeder seiner Verantwortung nachkommt.

Verantwortliche im C-Level müssen diese Rechenschaftspflicht auch auf wichtige Partner und Lieferanten ausdehnen. Von Partnern in der Lieferkette bis hin zu IT- und Sicherheitsanbietern und BaaS-Anbietern (Backup-as-a-Service), können entscheidende Glieder in der Kette der Datenresilienz und -wiederherstellung nicht ignoriert werden.

Drittanbieter auf dem Prüfstand

Laut einer EY-Umfrage zum globalen Risikomanagement von Drittanbietern erwarten 44 Prozent der Unternehmen, dass sie in den nächsten fünf Jahren verstärkt mit Drittanbietern zusammenarbeiten werden. Da sich dieser Trend fortsetzt, ist davon auszugehen, dass Führungskräfte ihre Drittanbieter-Partner genauer unter die Lupe nehmen und jeden Aspekt ihrer Maßnahmen zur Datenresilienz und Reaktion auf Vorfälle untersuchen werden. Früher reichte eine Vereinbarung oder Zertifizierung aus, um der Führungsebene ausreichend Vertrauen zu vermitteln. Da die Rechenschaftspflicht von Unternehmen nun jedoch ein Faktor ist, wird die Forderung nach einer stärkeren Rechenschaftspflicht von Dritten lauter werden.

Konkret könnte das bedeuten: von Neuverhandlungen von Service Level Agreements (SLAs) bis hin zu eingehenderen Untersuchungen, bei denen Führungskräfte versuchen, die Kontrollkette im Sinne der Datenresilienz zu sichern und jeden Schritt des Prozesses zu untersuchen. Es ist zwar unmöglich, das Risiko und die Verantwortung an Dritte auszulagern, aber Führungskräfte benötigen Transparenz von ihren Drittanbietern. So kann im Falle eines Verstoßes der Fehlerpunkt identifiziert und umgehend gehandelt werden, um Strafen zu vermeiden.

Der Sprung ins kalte Wasser

Die Umsetzung der genannten Maßnahmen wird sicherlich die allgemeine Datenresilienz erhöhen. Dennoch ist es unmöglich, das Risiko eines Verstoßes vollständig zu eliminieren. Das verlangen Vorschriften wie NIS2 und DORA aber auch gar nicht. Stattdessen geht es darum, so viele Risiken wie möglich zu minimieren und vor allem darauf vorbereitet zu sein, auf Vorfälle zu reagieren, wenn sie auftreten – und das werden sie.

Selbst mit allen möglichen Vereinbarungen und Technologien bleibt eines entscheidend: Tests sind unerlässlich. Dies ist der wichtigste Schritt zur Verbesserung der Widerstandsfähigkeit. Die Führungsebene sollte alle erforderlichen Untersuchungen durchführen, um das Vertrauen in ihre Datenlieferkette durch die Lieferanten zu stärken.

Und sie muss dieses Vertrauen auf die Probe stellen. Konsistente, umfassende Tests, die Ihre Maßnahmen bis an die Grenzen bringen, und das nicht nur unter perfekten Bedingungen. Ein Verstoß kann jederzeit auftreten. Man sollte die Sicherheitsstrategie zum ungünstigsten Zeitpunkt Tests unterziehen, beispielsweise wenn die Sicherheitsteams beschäftigt oder bestimmte Interessengruppen im Urlaub sind.

Im Grunde geht es darum, über bloße hypothetische Szenarien und starre Pläne hinauszugehen. Man lernt nicht schwimmen, indem man ein Buch darüber liest. Der einzige Weg zu lernen, ist es, es zu versuchen. Natürlich kann es sein, dass man direkt in der Lage ist, den Kopf über Wasser zu halten. Aber man kann auch untergehen. Und es ist besser, das auszuprobieren, wenn man ein paar Schwimmflügel zur Hand hat, als während des Ernstfalls.

Von unserem Gastautor Henrik Hasenkamp, CEO von gridscale

[datensicherheit.de, 21.03.2025] Ständig zunehmende Angriffsrisiken und deutlich effektivere Monitoring- und Traffic-Analyse-Tools führen dazu, dass ein bekanntes und bewährtes Sicherheitskonzept wieder mehr Aufmerksamkeit erfährt: Zero Trust. Wenn dann der Cloud-Service zusätzlich Datensouveränität garantieren kann, entsteht ein umfassendes Sicherheitskonzept.

Grundprinzip einer Zero-Trust-Strategie

Grundsätzlich niemandem zu vertrauen und jede Zugriffsanfrage unabhängig von ihrer Herkunft zu prüfen – so lässt sich in wenigen Worten das Grundprinzip einer Zero-Trust-Strategie beschreiben. Obwohl das Konzept nicht neu ist und überzeugende Argumente mitbringt, eilt ihm der Ruf voraus, schwierig umsetzbar zu sein. Insbesondere mittelständische Unternehmen mit hybriden IT-Infrastrukturen scheuen den Implementierungsaufwand und den kontinuierlichen Betrieb.

Vorteile rechtfertigen den Aufwand

Dass eine gute Sicherheitsstrategie essenziell ist, ist unbestritten. Die Folgen von Sicherheitsvorfällen sind allgemein bekannt: von Produktionsausfällen und Imageschäden über Datenverluste bis hin zu Kosten für die Wiederherstellung und Strafen für Verstöße gegen Datenschutzvorgaben. IT-Sicherheit gehört demnach zu jeder IT-Infrastruktur-Überlegung dazu. Der ganzheitliche Ansatz von Zero Trust kann u.a. durch folgende Maßnahmen umgesetzt werden:

• Jede – wirklich jede – Anfrage wird geprüft: Multi-Faktor-Authentifizierung (MFA) für alle Nutzer:innen und ein rollenbasiertes Zugriffskonzept, bei dem jeweils nur ein Minimum an Rechten vergeben wird, sind die Basis eine Zero-Trust-Sicherheitsstrategie. Dabei ist es wichtig, dass das IAM (Identity and Access Management) sowohl lokale Netzwerk- als auch Cloud-basierte Identitäten verwalten kann. Jede Zugriffsanfrage, egal ob sie von außerhalb oder innerhalb des Netzwerkes kommt, wird durch ein Security Information and Event Management-System (SIEM) geprüft. So können nicht nur Angriffe von außen besser verhindert werden, sondern auch solche, bei denen sich die Angreifer:innen zum Beispiel über Phishing oder Social Engineering bereits Zugang zum Netzwerk verschafft haben.
• Monitoring, Traffic-Analysis und Anomalieerkennung: SIEM-Systeme prüfen nicht nur, sie analysieren auch: Durch die kontinuierliche Überwachung und Auswertung aller sicherheitsrelevanten Events können Bedrohungen frühzeitig erkannt werden. Heute arbeiten die Systeme mit Machine-Learning- und KI-Algorithmen, sodass sie intelligent und schnell Anomalien im Datenverkehr erkennen und potenzielle Risiken einschätzen können.
• Datenverschlüsselung und Endpoint-Security: Die Verschlüsselung aller Daten in jedem Zustand – also auch solcher, die sich zumeist im Ruhestand, sprich in Archiven oder an IoT-Geräten, befinden – zählt zu den grundsätzlichen Maßnahmen innerhalb einer IT-Security-Strategie. So lässt sich auch im Falle eines Datendiebstahls der Schaden zumindest begrenzen. Schlüsselmanagement-Systeme helfen bei der Verwaltung der Chiffrierschlüssel. Ebenso grundsätzlich wie wichtig ist es, dass stets alle Endgeräte, die auf das Netzwerk zugreifen, über aktuelle Sicherheitssoftware und Patches verfügen.
• Micro-Segmentierung und API-Management: Wenn ein Netzwerk in kleinere, weitgehend isolierte Segmente aufgeteilt wird, können die einzelnen Bestandteile besser kontrolliert werden. Sicherheitsrichtlinien etwa können dann pro Segment definiert werden, was den Schutz sensibler Daten vereinfacht. Um APIs besser zu managen, ist es sinnvoll, API-Gateways als Sicherheitsinstanz zwischen Front- und Backend zu setzen. Diese stellen sicher, dass nur autorisierte Nutzer:innen und Anwendungen auf die jeweiligen Schnittstellen zugreifen.

Von der Theorie zur Praxis: Zero Trust im Unternehmen

Bisweilen mag es einem Kulturwandel gleichkommen, wenn eine Zero-Trust-Strategie künftig alle vorhandenen Sicherheitsmaßnahmen ersetzen soll. Zwei Dinge sind zu Beginn besonders wichtig: die Mitarbeiter miteinzubeziehen und eine umfassende Bestandsaufnahme zu machen.

Eine Bestandsaufnahme der IT-Infrastruktur gibt nicht nur einen guten Überblick, sondern offenbart u.a. besonders schützenswerte, geschäftskritische Bereiche, Schwachstellen, veraltete und vernachlässigte Assets, genutzte und nicht-genutzte Anwendungen. Oft lassen sich daraus direkt erste Maßnahmen ableiten, die sich unkompliziert umsetzen lassen. Auf dieser Basis kann nun ein Sicherheitskonzept erarbeitet werden, das alle Bereiche – On-Premise, Cloud, Edge, etc. – abdeckt. Notwendige Integrationen können nun besser abgeschätzt und geplant werden.

Datensouveränität als Sicherheitsmaßnahme

Wer Zero Trust ernst nimmt, muss auch seinen Cloud-Provider hinterfragen. Denn zu Datenschutz und Compliance zählt auch das Thema Datensouveränität – ein herausforderndes Thema, gerade wenn die Infrastruktur hybrid ist, es also Übergänge zwischen verschiedenen Sourcing-Modellen zu schaffen gilt. gridscale (ein OVHcloud Unternehmen) adressiert als europäischer Cloud-Provider genau diese Herausforderung mit einer souveränen Cloud-Lösung.

Die Souveränität über die eigenen Daten zu haben, bedeutet, von der Erhebung und Speicherung über die Nutzung und Verarbeitung bis hin zur Vernichtung die volle Kontrolle auszuüben. Am einfachsten ist das natürlich im eigenen, abgeschotteten Rechenzentrum, welches an keine externen Ressourcen angebunden ist – ein Modell, das heute aus Kostengründen und dank mangelnder Flexibilität kaum noch anzutreffen ist. Doch auch manche Cloud-Dienstleister haben eine Lösung anzubieten: die souveräne Cloud.

Um eine Orientierung zu bieten, entwickelte das Bundesministerium für Sicherheit in der Informationstechnik (BSI) einen umfassenden Kriterienkatalog, den Cloud Computing Criteria Catalogue (C5). Insgesamt listet der Katalog 121 Sicherheitsmaßnahmen, z.B. aus den Bereichen Datenschutz, physische Sicherheit, Anwendungsmanagement und Interoperabilität, auf, an denen sich Cloud-Anbieter messen lassen. Provider, die ein C5-Zertifikat haben, erfüllen alle Kriterien und wurden durch eine unabhängige Instanz geprüft. Das BSI-C5-Zertifikat gilt als anerkannter Standard und gibt den Unternehmen rechtliche Sicherheit: Die Einhaltung der offiziellen europäischen und deutschen Datenschutz-Regelungen (z. B. DSGVO) ist damit seitens des Cloud-Dienstleisters garantiert.

Souveräne Clouds und Zero Trust

Cloud-Services sind für die meisten Unternehmen ein wichtiger oder sogar unersetzbarer Teil der IT-Infrastruktur. Ein wichtiges Argument für die Cloud war schon immer das hohe Sicherheitslevel, das Cloud-Provider bieten: neueste Technologien, stets aktueller Stand aller Software-Versionen und Patches, geografisch verteilte Redundanz, Management-Tools inklusive. Gute Voraussetzungen, um die Cloud nahtlos in die eigene Zero-Trust-Strategie zu integrieren.

Bei Providern aus dem nicht-europäischen Ausland bleibt jedoch stets ein Stück rechtliche Unsicherheit. Nach wie vor können etwa US-Behörden unter bestimmten, nicht immer ganz klar definierten Umständen die Herausgabe von Daten von den Providern verlangen. Die europäischen und deutsche Datenschutz-Vorgaben sind streng, insbesondere auch im Hinblick auf die Transparenz, die die Provider gegenüber ihren Kunden wahren müssen – hier können insbesondere amerikanische Anbieter nicht mithalten. Das C5-Zertifikat des BSI gibt zusätzliche Orientierung für mehr Sicherheit und Datensouveränität.

Über den Autor

Henrik Hasenkamp, CEO von gridscale, © gridscale

Henrik Hasenkamp verantwortet als CEO die Strategie und Ausrichtung von gridscale, einem Kölner Technologieanbieter, der Unternehmen eine schlüsselfertige Plug-and-Play Plattform für den schnellen und unkomplizierten Aufbau von Cloud- und Edge Computing-Services zur Verfügung stellt. Als einer der Pioniere und Vorreiter hat Henrik mit der Gründung von gridscale im Jahr 2014 das große Potenzial von Edge und Cloud Computing für die Digitalisierung in Deutschland früh erkannt und gridscale bis heute zu einem innovativen Softwareanbieter und Plattformbetreiber für mittlerweile tausende Mittelstandsunternehmen, IT-Dienstleister und Systemhäuser fortentwickelt. Seit August 2023 gehört das Unternehmen zur OVHcloud, dem europäischen Marktführer im Bereich Cloud. Gemeinsam und auf Basis der gridscale-Technologie entstehen derzeit weltweit 150 neue Standorte für OVHcloud, die unter dem Produktnamen Local Zone bereits erfolgreich vermarktet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa