[datensicherheit.de, 14.09.2025] Der Digitalverband Bitkom e.V. hat am 12. September 2025 zu dem an diesen Tag endgültig in Kraft getretenen „Data Act“ Stellung genommen und moniert, dass viele Fragen offen geblieben seien. Nach 20 Monaten Übergangsfrist fehle es in Deutschland weiter an Verfahrensvorgaben und Aufsichtsbehörden. Der Bitkom hat einen eigenen Praxisleitfaden mit Hilfen für Unternehmen veröffentlicht.

Foto: Bitkom

Dr. Ralf Wintergerst zum „Data Act“: Wer in Europa Gesetze beschließt, muss auch für ihre Umsetzung sorgen!

Betroffene Unternehmen in Deutschland müssen nun europäischen „Data Act“ vollständig umgesetzt haben

Ab dem 12. September 2025 müssen die betroffenen Unternehmen in Deutschland den europäischen „Data Act“ vollständig umgesetzt haben. Doch die Bundesregierung habe es in der 20 Monate langen Übergangsfrist seit dem Beschluss nicht geschafft, Verfahrensfragen zu klären und Aufsichtsbehörden zu benennen.

• „Wer in Europa Gesetze beschließt, muss auch für ihre Umsetzung sorgen. Dazu gehört, die Betroffenen ausreichend zu informieren und zu unterstützen!“, betont der Bitkom-Präsident, Dr. Ralf Wintergerst.

Auch wegen vieler neuer und ungeklärter Rechtsbegriffe und fehlenden Ansprechpartnern in der Verwaltung habe in einer Bitkom-Studie im Frühjahr erst jedes hundertste Unternehmen (1%) den „Data Act“ vollständig umgesetzt und gerade einmal weitere vier Prozent immerhin teilweise. Bitkom Research habe hierzu im Auftrag 605 Unternehmen in Deutschland ab 20 Beschäftigten telefonisch in den Kalenderwochen 10 bis 16 2025 repräsentativ befragt.

Deutschland als Bremsklotz für einheitliche europäische Auslegung des „Data Act’“

„Deutschland manövriert sich nicht nur in einen Europarechtsbruch, sondern wird auch zu einem Bremsklotz für eine einheitliche europäische Auslegung des ,Data Act’“, kritisiert Wintergerst.

• Er fordert: „Die Bundesregierung muss jetzt zügig ein Durchführungsgesetz zum ,Data Act’ verabschieden und perspektivisch eine ,Digitalagentur’ unter dem Digitalministerium gründen, die auch die Aufsicht zum ,Data Act’ übernimmt!“

Bis dahin sollten die Bundesnetzagentur und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für den „Data Act“ zuständig sein – auch um eine Zersplitterung der Aufsicht in die einzelnen Landesdatenschutzbehörden zu vermeiden.

„EU Data Act“ bereits im Januar 2024 in Kraft getreten

Der „EU Data Act“ ist im Januar 2024 in Kraft getreten und wurde nach einer Übergangsfrist nun grundsätzlich anwendbar. Er beinhaltet eine Vielzahl von unterschiedlichen Regelungen, die etwa den Wechsel zwischen „Cloud“-Anbietern erleichtern oder den Zugriff von Verwaltungen auf Unternehmensdaten in einem Notfall ermöglichen sollen.

• Er mache aber auch Vorgaben für Vertragsklauseln rund um Daten und gibt Unternehmen und Nutzern Rechte an Daten von vernetzten Geräten, was die Entwicklung neuer Dienstleistungen unterstützen könne.

Um konkrete Hilfestellung für die Unternehmen zu geben, hat der Bitkom am 12. September 2025 zudem einen „Praxisleitfaden“ mit Antworten auf die wichtigsten Fragen zum „Data Act“ veröffentlicht.

Bitkom hat „Praxisleitfaden“ zum „Data Act“ publiziert

Unter anderem soll der vorliegende „Praxisleitfaden“ die Regelungen erklären und Praxis-Tipps geben, um bei der Umsetzung im Unternehmen zu helfen. Der „Umsetzungsleitfaden zum Data Act: Hilfestellungen zur Umsetzung von (EU) 2023/2854 – aus der Praxis für die Praxis“ steht kostenlos zum Download bereit.

• Darüber hinaus hatte der Bitkom bereits im Vorjahr, 2024, Beispiele veröffentlicht, wie sich die Chancen im „Data Act“ nutzen lassen.

Dabei gehe es unter anderem um Möglichkeiten, Daten für wirtschaftliche und gesellschaftliche Ziele zu nutzen, Transparenz über Daten zu erhalten oder KI-Modelle zu trainieren. Der Leitfaden „Chancen im Data Act“ ist ebenfalls online verfügbar.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Ralf Wintergerst / Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

bitkom
Data Act: Umsetzung & Stolpersteine

bitkom
Leitfaden: Umsetzung des Data Act

bitkom
Leitfaden: Chancen im Data Act

datensicherheit.de, 10.09.2025
Data Act: Geltungsbeginn am 12. September 2025 mit neuen Aufgaben für den HmbBfDI /Verbraucher und Wirtschaftsakteure profitieren von neuen Zugangsansprüchen auf Daten vernetzter Geräte, denn der „Data Act“ ermöglicht es sowohl Benutzern als auch Dritten, Sensordaten anzufordern

datensicherheit.de, 30.05.2025
Data Act – Frank Lange sieht Herausforderungen und Chancen für Unternehmen / „Data Act“ betrifft nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 14.09.2025] Der „Bundesweite Warntag“ soll jedes Jahr am zweiten Donnerstag im September stattfinden und hat laut dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) das Ziel, die verschiedenen Warnkanäle in Deutschland zu testen und die Bevölkerung für Warnung und Eigenvorsorge zu sensibilisieren. Das BBK hat den diesjährigen, den fünften bisherigen „Bundesweiten Warntag“ am 11. September 2025 in einer Bilanz als „positiv“ bewertet. Bund, Länder und Kommunen hatten gemeinsam ihre Warnsysteme für Krisen- und Katastrophenfälle erprobt.

Foto: © Schacht

Ralph Tiesler: Wir haben gezeigt, dass unser Bundeswarnsystem und die angeschlossenen Kanäle funktionieren und haben Millionen von Menschen erreicht

Bürger konnten Warnmeldung aus dem Bundeswarnsystem über zahlreiche Kanäle empfangen

Am fünften „Bundesweiten Warntag“ wurden in ganz Deutschland wieder die Warnsysteme für Krisen- und Katastrophenfälle erprobt. Hierzu wurde um 11 Uhr eine Probewarnung ausgelöst – und um 11.45 Uhr folgte die Entwarnung über die meisten Warnkanäle.

Die Bürger konnten die Warnmeldung aus dem Bundeswarnsystem über zahlreiche Kanäle empfangen – darunter Fernsehen, Radio, Smartphones, „Cell Broadcast“, Warn-Apps sowie digitale Stadtinformationstafeln. Zusätzlich kamen vielerorts Sirenen und weitere lokale Warnkanäle wie Lautsprecherwagen zum Einsatz.

Partner liefern Warnungen, die täglich problemlos über das Bundeswarnsystem laufen

Der BBK-Präsident, Ralph Tiesler, kommentierte im Anschluss: „Nach ersten Erkenntnissen war der heutige fünfte ,Bundesweite Warntag’ erfolgreich. Wir haben gezeigt, dass unser Bundeswarnsystem und die angeschlossenen Kanäle funktionieren und haben Millionen von Menschen erreicht. Die Arbeit und Investitionen der vergangenen Jahre haben sich gelohnt. Wir werten nun die Rückmeldungen aller Beteiligten und auch aus der Bevölkerung aus, um gezielt Optimierungen vorzunehmen. Denn wir werden die Warnsysteme weiterentwickeln – etwa mit der zentralen Auslösung der Sirenen, einer Entwarnungsfunktion für ,Cell Broadcast’ und der Integration weiterer neuer Technologien, um den bestehenden Warnmix zu ergänzen.“

Der BBK-Vizepräsident, Dr. René Funk, ergänzte: „Die Warnkette hat heute wie vorgesehen gearbeitet. Entscheidend ist nun für uns, die technischen Messwerte mit den Erfahrungen aus Ländern und Kommunen sowie den Rückmeldungen der Bürgerinnen und Bürger abzugleichen. Ich danke den Ländern, Kommunen und Warnmultiplikatoren sowie allen unseren weiteren Partnern – von den Mobilfunknetzbetreibern bis hin zu Partnerbehörden, Unternehmen und technischen Dienstleistern. Sie machen nicht nur diese Erprobung zum ,Bundesweiten Warntag’ gemeinsam mit uns möglich, sondern auch die Warnungen, die täglich problemlos über das Bundeswarnsystem laufen.“

BBK arbeitet bundesweit mit 59 „Warnmultiplikatoren“ zusammen

Die Probewarnung wurde in diesem Jahr demnach an sechs Warn-Apps (inkl. Warn-App „NINA“) und rund 8.700 Stadtinformationstafeln ausgesteuert. Außerdem arbeite das BBK mit 59 sogenannten Warnmultiplikatoren zusammen. „Dahinter verbergen sich beispielsweise Rundfunk- und Fernsehanstalten, die ebenfalls die Probewarnung erhalten und an ihre Nutzerinnen und Nutzer weitergegeben haben.“

Die Online-Umfrage für die Bevölkerung läuft: Auch in diesem Jahr bittet das BBK die Bevölkerung, ihre Erfahrungen bis zum 18. September 2025 unter auf der Website „warntag-umfrage.de“ mitzuteilen. Die Ergebnisse sollen dann wissenschaftlich ausgewertet werden und in die weitere Optimierung der Warnsysteme einfließen .

Weitere Informationen zum Thema:

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Wie funktioniert der deutsche Bevölkerungsschutz­?

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Leitung des BBK

warntag-umfrage.de
Umfrage zum Bundesweiten Warntag 2025 / Zum Bundesweiten Warntag 2025 bitten wir um Ihr Feedback. An dieser Stelle können Sie uns ab dem 11.09.2025 um 11:00 Uhr Ihre Erfahrungen und Wahrnehmungen zum Warntag mitteilen. Vielen Dank!

datensicherheit.de, 05.09.2025
Bundesweiter Warntag 2025: Systemtest für Bund, Länder und Kommunen am 11. September / Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe wird am 11. September 2025 gegen 11 Uhr über das Modulare Warnsystem des Bundes die diesjährige bundesweite Probewarnung auslösen

datensicherheit.de, 03.04.2025
Litfaßsäule 4.0: Resiliente Krisenkommunikation in Darmstadt / Die energieautarke „Litfaßsäule 4.0“ soll Menschen in den Städten auch im Krisenfall weiterhin informieren

datensicherheit.de, 13.09.2024
Lokal angepasste Warnkonzepte: Leitfaden für Praktiker der Warnung vorgestellt / Warn-Leitfaden als Ergebnis der Zusammenarbeit des BBK mit Rheinland-Pfalz und Baden-Württemberg sowie den lokalen Feuerwehren der Städte Ludwigshafen und Mannheim

datensicherheit.de, 08.12.2023
Taxi-Dachmonitore: BBK richtet neuen Kommunikationsweg für Warnungen ein / Bund, Länder und Kommunen können nun auch Taxi-Dachmonitore nutzen, um die Bevölkerung zu warnen

datensicherheit.de, 23.02.2023
Cell Broadcast endgültig im Wirkbetrieb / Cell Broadcast laut BBK als weiteres Warnmittel etabliert

[datensicherheit.de, 13.09.2025] Stimmfälschung mittels Künstlicher Intelligenz (KI) – sogenanntes Voice Phishing („Vishing“) – gehört inzwischen zu den wirkungsvollsten Täuschungsmethoden im Bereich „Social Engineering“. Angreifer nutzen diese Deepfake-Technologie gezielt, um sich als vertrauenswürdige Führungspersonen oder Kollegen auszugeben – ihr offensichtliches Ziel ist es, an vertrauliche Informationen zu gelangen oder finanzielle Transaktionen zu provozieren.

Abbildung: Screenshot v. YT-Video „CEO Deepfake Call“

Video der Swiss Infosec zur Mitarbeiter-Sensibilisierung: Bereits wenige Sekunden Original-Sprachmaterial genügen, um täuschend echte synthetische Stimmen zu erzeugen!

„CEO Deepfake Call“ soll Mitarbeiter proaktiv für Gefahren KI-basierter Anrufsimulationen sensibilisieren

„Die Zeiten, in denen Ihre Organisation solchen Angriffen unvorbereitet ausgeliefert war, sind vorbei!“, verkündet die Swiss Infosec AG. Mit deren neuem Angebot „CEO Deepfake Call“ sollen jetzt Mitarbeiter proaktiv für die Gefahren KI-basierter Anrufsimulationen (Voice AI Deepfakes) sensibilisiert werden können – „ohne Täuschungsabsicht, aber mit ,Wow’-Effekt“.

Aus wenigen Sprachproben entsteht demnach eine täuschend echte, synthetische Stimme, welche in Echtzeit über einen KI-basierten Voicebot zum Einsatz kommt. „Während des Anrufs erkennt dieser gesprochene Antworten und reagiert unmittelbar mit passenden, natürlich klingenden Sprachantworten in der erzeugten Stimme – automatisch, skalierbar und absolut dialogfähig.“

Deepfake-Konzept für verschiedenste Szenarien wie CEO-Fraud-Simulationen, fiktive Helpdesk-Anrufe u.a. anwendbar

Die Umsetzung erfolge über eine Anrufplattform auf „Cloud“-Basis – indes „ohne Eingriff in Ihre IT“. Swiss Infosec erhalte von Kunden nur eine Liste geschäftlich genutzter Telefonnummern (keine Personendaten). Das Konzept lasse sich auf verschiedenste Szenarien wie CEO-Fraud-Simulationen, fiktive Helpdesk-Anrufe und individuelle „Use Cases“ anwenden.

„CEO Deepfake Call“ – Vorteile dieses „Awareness“-Formats:

• Realitätsnahe Erfahrung aktueller Bedrohungen durch KI-basierte Stimmfälschungen
• Sensibilisierung für glaubwürdig klingende, aber potenziell schädliche Anrufe
• Förderung einer kritischen Haltung gegenüber vermeintlich vertrauten Stimmen
• Sicherer und datenschutzkonformer Einsatz ohne technischen Eingriff in Ihre Infrastruktur
• Skalierbar für KMU ebenso wie für große Organisationen mit mehreren tausend Mitarbeitern
• Erweiterbar durch optionale Auswertungen, Berichte oder weiterführende Trainings

Weitere Informationen zum Thema:

SWISS INFOSEC
Security@its best seit 1989

SWISS INFOSEC
CEO Deepfake Call – Wenn eine vertraute Stimme zum Sicherheitsrisiko wird / Proaktive Sensibilisierung mit KI-basierter Anrufsimulation

YouTube, Swiss Infosec AG, 03.09.2025
CEO Deepfake Call

datensicherheit.de, 11.09.2025
KI-Vishing: Bekannte Stimmen werden zum Sicherheitsrisiko / Beim Vishing inszenieren Cyberkriminelle mit KI-generierten Stimmen täuschend echte Anrufe, um Mitarbeiter zu Zahlungen oder zur Herausgabe sensibler Informationen zu bewegen

datensicherheit.de, 17.08.2025
Deepfakes 2025: Zuvor KI-Spielerei und heute bedrohliches Hacker-Tool / Marco Eggerling warnt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, dass diese auf KI basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist

datensicherheit.de, 14.07.2025
KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen / Ein neuer Bericht von Trend Micro zeigt Methoden hinter deepfake-gestützter Cyberkriminalität auf

datensicherheit.de, 12.07.2025
Deepfake-Betrug verursacht finanziellen Schaden in Millionen-Höhe / Einer aktuellen Studie von Surfshark zufolge gab es in der ersten Hälfte des Jahres 2025 fast viermal so viele Deepfake-Vorfälle wie im gesamten Jahr 2024

datensicherheit.de, 26.03.2025
Vorsicht Vishing: Zahl der Voice-Phishing-Angriffe steigt stark an​ / Neuer Threat Intelligence Report von Ontinue enthüllt alarmierende Entwicklung​

[datensicherheit.de, 13.09.2025] Das Bundeskabinett hat am 10. September 2025 das „KRITIS-Dachgesetz“ beschlossen, mit dem die entsprechende EU-Richtlinie in deutsches Recht überführt werden soll. Unter anderem werde Betreibern Kritischer Infrastruktur (KRITIS) eine Risikobewertung für hybride Bedrohungen vorgeschrieben. Die Umsetzungsfrist dafür ist bereits am 18. Oktober 2024 verstrichen – gegen Deutschland läuft deshalb bereits ein „Vertragsverletzungsverfahren“ der EU-Kommission.

Foto: Bitkom

Dr. Ralf Wintergerst: Entscheidung des Bundeskabinetts ist längst überfällig, denn Deutschland steht beim „KRITIS-Dachgesetz“ unter Zeitdruck!

„KRITIS-Dachgesetz“ mit herausragende Bedeutung für den Schutz Kritischer Infrastrukturen in Deutschland

Der Bitkom-Präsident, Dr. Ralf Wintergerst, kommentiert: „Das ,KRITIS-Dachgesetz’ hat herausragende Bedeutung für den Schutz Kritischer Infrastrukturen in Deutschland.

• Die Entscheidung des Bundeskabinetts ist längst überfällig, denn Deutschland steht beim ,KRITIS-Dachgesetz’ unter Zeitdruck!“

Dies dürfe bei diesem für die Sicherheit so wichtigen Projekt aber keine Entschuldigung für handwerkliche Nachlässigkeiten sein. So gebe es viele Überschneidungen mit der NIS-2-Richtlinie, die derzeit ebenfalls umgesetzt werde.

Kritik: Erhebliche Teile der Bundesverwaltung und Landesverwaltungen vom „KRITIS-Dachgesetz“ ausgenommen

Dabei würden allerdings Begriffe unterschiedlich verwendet und Anforderungen an die Unternehmen unterschiedlich ausgestaltet. „Zusammen mit drohenden Doppelregulierungen für Branchen, die bereits heute spezifischen Sicherheitsanforderungen unterliegen, drohen hier Rechtsunsicherheiten und ein unnötig hoher bürokratischer Aufwand“, warnt Wintergerst.

• Unverständlich sei auch, dass erhebliche Teile der Bundesverwaltung vom Gesetz ausgenommen würden – „und Landesverwaltungen überhaupt nicht berücksichtigt werden“.

Dies bedeute, dass staatliche Behörden und Verwaltungs-Infrastruktur weiterhin physischen und hybriden Risiken ausgesetzt blieben. „Bequemlichkeit und Kosten dürfen nicht dazu führen, dass wir auf ein höheres Sicherheitsniveau im Kernbereich des Staats verzichten!“, stellt Wintergerst klar.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Ralf Wintergerst / Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

bitkom
Stellungnahme: KRITIS-Dachgesetz (2025)

datensicherheit.de, 12.09.2025
Kabinettsbeschluss zum KRITIS-Dachgesetz: eco sieht Eile geboten – aber ohne doppelte Pflichten / Der eco begrüßt das Voranschreiten in geopolitisch angespannten Zeiten, moniert aber fehlende Rechtsverordnung zu Schwellenwerten, drohende Doppelregulierungen sowie unklare Zuständigkeiten

datensicherheit.de, 07.11.2024
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf / Laut Bitkom in Fragen der Sicherheit keine Trendwende – 86 Prozent der KRITIS-Unternehmen in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen betroffen

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

datensicherheit.de, 06.12.2022
KRITIS-Dachgesetz geplant: Sinnvolle Regulierung mit Augenmaß gefordert / Verabschiedung von Eckpunkten für einheitliche Schutzstandards in KRITIS-Unternehmen am 7. Dezember 2022 geplant

[datensicherheit.de, 12.09.2025] Der eco – Verband der Internetwirtschaft e.V. nimmt Stellung zu dem am 10. September 2025 vom Bundeskabinett beschlossen Referentenentwurf für das „KRITIS-Dachgesetz“ (KRITIS DG): Damit sei der Weg für das weitere parlamentarische Verfahren freigemacht. Erstmals würden nun bundesweit einheitliche Vorgaben für den physischen Schutz Kritischer Infrastrukturen (KRITIS) geschaffen und die europäische CER-Richtlinie (Critical Entities Resilience Directive) in deutsches Recht umgesetzt.

Foto: eco

Ulrich Plate: Seine Wirkung wird das „KRITIS-Dachgesetz“ nur dann entfalten, wenn Zuständigkeiten klar geregelt sind und unnötige Doppelarbeit vermieden wird!

eco sieht noch „erhebliche Baustellen“

Der eco begrüßt die „schnelle Gesetzgebung angesichts geopolitischer Turbulenzen und des bereits laufenden Vertragsverletzungsverfahrens der EU“. Allerdings sieht er noch „erhebliche Baustellen“ – so fehlende Rechtsverordnungen, drohende Überschneidungen mit dem „NIS-2-Umsetzungsgesetz“ und unklare Zuständigkeiten zwischen Bund, Ländern sowie den Behörden Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und Bundesamt für Sicherheit in der Informationstechnik (BSI).

• „Eile ist notwendig, aber es darf nicht zu doppelten Pflichten für Unternehmen kommen!“, unterreicht Ulrich Plate, Leiter der eco-Kompetenzgruppe „Kritische Infrastrukturen“.

Kritisch bewertet der Verband zudem die vorgesehenen Sanktionsmechanismen, welche bislang noch „zu unbestimmt“ seien. Der eco fordert stattdessen ein „transparentes Stufenmodell“, welches zunächst Nachbesserungen ermögliche und erst danach Sanktionen vorsehe.

eco lobt einheitlichen Rahmen für den KRITIS-Schutz

Positiv hebt der Verband hervor, dass mit diesem Gesetz ein „einheitlicher Rahmen für den Schutz Kritischer Infrastrukturen“ geschaffen werde – über die Cybersicherheit hinaus auch gegen physische Gefahren wie Naturkatastrophen, Sabotage oder Terrorismus.

Entscheidend für die weitere Debatte sind laut eco nun folgende drei Punkte:

1. Rechtsverordnung zu kritischen Dienstleistungen und Schwellenwerten,
   damit Unternehmen ihre Pflichten klar einschätzen können.
2. Harmonisierung mit NIS-2,
   um Doppelregulierungen bei Risikoanalysen, Prüfungen und Meldepflichten zu vermeiden.
3. Klare Rollenverteilung zwischen Bund, Ländern, BBK und BSI,
   um Schnittstellenprobleme zu verhindern.

„Das ,KRITIS-Dachgesetz’ ist ein wichtiger Schritt für mehr Resilienz in Deutschland. Seine Wirkung wird aber nur dann entfaltet, wenn Zuständigkeiten klar geregelt sind und unnötige Doppelarbeit vermieden wird!“, so Plates aktuelles Fazit.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Über uns / eco – Verband der Internetwirtschaft e.V. Wir gestalten das Internet.

eco VERBAND DER INTERNETWIRTSCHAFT
KRITIS / KG-Leiter Ulrich Plate

datensicherheit.de, 07.11.2024
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf / Laut Bitkom in Fragen der Sicherheit keine Trendwende – 86 Prozent der KRITIS-Unternehmen in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen betroffen

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

datensicherheit.de, 06.12.2022
KRITIS-Dachgesetz geplant: Sinnvolle Regulierung mit Augenmaß gefordert / Verabschiedung von Eckpunkten für einheitliche Schutzstandards in KRITIS-Unternehmen am 7. Dezember 2022 geplant

[datensicherheit.de, 12.09.2025] Das neue „HRM-Framework“ von KnowBe4 soll Unternehmen dabei helfen, Mitarbeiter durch datengestützte Erkenntnisse, kulturelles Verständnis und gezielte Maßnahmen aktiv in die Cyberverteidigung miteinzubeziehen. KnowBe4 hat am 10. September 2025 das Whitepaper „A Strategic Framework for Human Risk Management” veröffentlicht. Dieses beschreibt die Grundprinzipien eines modernen Ansatzes für „Human Risk Management“ (HRM) und wie Unternehmen dieses Rahmenwerk anwenden können, um ihre Sicherheitskultur zu stärken und messbare Veränderungen im Verhalten der Mitarbeiter zu bewirken.

Abbildung: KnowBe4

KnowBe4-Whitepaper: „A Strategic Framework for Human Risk Management“

KnowBe4-Whitepaper soll Unternehmen zum grundsätzlichen Umdenken motivieren

Plattformunabhängig agiere das „HRM-Framework“ als strategischer, auf Menschen zentrierter Ansatz für Cybersicherheit, um durch menschliches Verhalten verursachte Sicherheitsrisiken zu messen, zu verwalten und zu reduzieren.

• Dieses neue Rahmenwerk sei eine direkte Reaktion auf die zunehmenden Risiken und Anforderungen im Cyberraum – „wo menschliches Verhalten weiterhin ein primärer Angriffsvektor ist“.

Das Whitepaper mache deutlich, dass bei Unternehmen ein grundsätzliches Umdenken notwendig sei. Über den Einsatz traditioneller Security-Awareness-Programme hinaus müssten Organisationen die Art und Weise, wie der „Faktor Mensch“ innerhalb ihrer IT-Security-Strategie gemessen und verwaltet wird, reevaluieren.

Ein effektiver HRM-Ansatz setzt sich laut Knowbe4 aus den folgenden Kernprinzipien zusammen:

• Messung und Benchmarking
  Erfassen des von menschlichem Verhalten ausgehenden aktuellen Risikos innerhalb einer Organisation auf Grundlage einer Basisbewertung. 
• Einbeziehung und Unterstützung
  Etablieren einer Firmenkultur, in der Sicherheit als gemeinsame Verantwortung verstanden wird und nicht ausschließlich als Anliegen der IT-Abteilung. 
• Anpassung und Personalisierung
  Schaffen eines Angebots an maßgeschneiderten Schulungen und Coachings auf Basis individueller Risikoprofile. 
• Künstliche Intelligenz (KI) und Automatisierung
  Einsatz intelligenter KI-gestützter Technologien zur Bereitstellung von Echtzeit-Feedback, personalisierten Einblicken und automatisierten Interventionen. 
• Verdeutlichung der Vorteile
  Messbare Auswirkungen des Programms auf die allgemeine Sicherheitskultur des Unternehmens darstellen und kommunizieren.

KnowBe4 empfiehlt Unternehmen ganzheitlichen HRM-Ansatz

„Sicherheitsschulungen sind nach wie vor ein wichtiger Bestandteil jeder Verteidigungsstrategie, aber es ist an der Zeit, dass wir uns der Notwendigkeit eines ganzheitlichen Ansatzes für ,Human Risk Management‘ bewusst werden“, sagt Javvad Malik, leitender CISO-Berater bei KnowBe4.

• Er führt weiter aus: „Das bedeutet, dass Menschen in den Mittelpunkt jeder Sicherheitsentscheidung gestellt werden, dass Prozesse eingesetzt werden, die mit ihnen und nicht gegen sie arbeiten, und dass Strategien kontinuierlich auf der Grundlage von realem Verhalten angepasst werden!“

Anstatt also statische Regeln zu schaffen, versuche ein HRM-Ansatz, die Motivationen und täglichen Belastungen zu verstehen, welche die Entscheidungen der Mitarbeiter leiten, und sie zu befähigen, sicherheitsbewusste Entscheidungen zu treffen und zu einer modernen Sicherheitskultur beizutragen.

Weitere Informationen zum Thema:

knowbe4
About Us / KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day

knowbe4
Javvad Malik

knowbe4, 2025
Whitepaper: A Strategic Framework for Human Risk Management / What is Human Risk Management and Why Do Organizations Need it?

datensicherheit.de, 23.03.2025
State of Human Risk: Aktueller Mimecast-Report veröffentlicht / 75 Prozent der deutschen Unternehmen befürchten laut Report KI-gestützte Cyber-Attacken

datensicherheit.de, 17.08.2022
Zunahme der Human-Layer-Attacken: KnowBe4 stellt Informationen zur Abwehr bereit / KnowBe4 möchte Administratoren helfen, ihr Security Awareness Training zu intensivieren

[datensicherheit.de, 12.09.2025] Daniel Sukowski, „Global Business Developer“ bei der Paessler GmbH, beschreibt in seiner aktuellen Stellungnahme ein typisches Szenario: „Ein normaler Tag in der Fertigung eines Industrieunternehmens – alle Maschinen und Anlagen laufen auf Hochtouren. Plötzlich kommen die Maschinen jedoch zum Erliegen. Es kommt zu einem Produktionsstopp, weil ein unbekannter Sensor in der OT-Anlage unerwartet ausfällt…“ Damit dieses Szenario eben nicht zur Realität wird, ist laut Sukowski ein „ganzheitliches Monitoring für OT-Umgebungen“ wichtig. So ließen sich potenzielle Probleme im Netzwerk proaktiv und in Echtzeit erkennen und beheben – „bevor es zu Ausfällen kommt!“ Er erläutert in diesem Kontext die fünf größten Probleme und Herausforderungen beim OT-Monitoring und diesbezügliche Lösungsansätze:

Foto: Paessler GmbH

Daniel Sukowski erörtert die fünf größten Probleme und Herausforderungen beim OT-Monitoring und mögliche Lösungsansätze

OT-Sicherheit von gestern: SPS-Geräte von 1995 steuern mitunter noch immer wichtige Vorgänge

Veraltete Geräte mit Speicherprogrammierbarer Steuerung (SPS) aus dem Jahr 1995 steuerten mitunter noch immer wichtige Vorgänge und seien nach wie vor eine wichtige Infrastruktur in industriellen Betrieben – „obwohl sie in Protokollen kommunizieren, die moderne Monitoring-,Tools’ nicht verstehen können“.

• Eine Lösung dieses Problems sei nun die Nutzung von „Modbus TCP“ als primäres Kommunikationsprotokoll der Monitoring-Lösung für industrielle Steuerungssysteme. Mit diesem Protokoll könnten veraltete SPS und Steuerungen im Auge behalten werden, ohne in kostspielige Erneuerungen von Systemen investieren zu müssen.

Sukowski führt aus: „Verschiedene Metriken von jedem ,Modbus’-kompatiblen Gerät separat zu erfassen, ermöglicht einen Einblick in Geräte, die ansonsten außerhalb des Monitorings liegen. So lassen sich beispielsweise auch Temperatursensoren, Ventilpositionen, Motordrehzahlen, Fehlerzustände von Geräten und ganze Produktionslinien verfolgen, die bereits vor dem zunehmenden Wandel hin zur ,Cloud’ existierten.“

Inkompatibilität: Im OT-Bereich kommen zahlreiche Protokolle zum Einsatz

Im OT-Bereich kämen zahlreiche Protokolle zum Einsatz – von „Modbus TPC“ über „OPC UA“ bis hin zu „MQTT“. Jedes dieser Formate spreche gewissermaßen seine eigene „Sprache“. „In vielen Architekturen werden Daten zwischen diesen Protokollen ausgetauscht, etwa wenn ,Modbus’-Informationen über ,OPC UA’ bereitgestellt und anschließend via ,MQTT’ übertragen werden.“

• In anderen Fällen erfolge der Austausch direkt über Gateways oder Schnittstellenmodule. Auch eine Anbindung an auf dem „Simple Network Management Protocol“ (SNMP) basierende IT-Überwachungssysteme sei möglich – meist mithilfe spezieller Protokollkonverter.

„Diese Vielfalt lässt sich mit einem internationalen Meeting vergleichen: Jeder Teilnehmer spricht eine andere Sprache, und Übersetzer sorgen dafür, dass alle sich verstehen.“ Monitoring-Lösungen also, welche mehrere OT- und IoT-Protokolle nativ unterstützten, könnten hierbei den Übersetzungsaufwand deutlich reduzieren.

Ganzheitliches OT-Monitoring empfohlen

Einheitliche „Tools“ für ganzheitliches OT-Monitoring böten integrierte Funktionen für „Modbus TCP“, „OPC UA“ und „MQTT“, so dass Datenpunkte, Zustände und sicherheitsrelevante Informationen zentral erfasst würden.

• „OPC UA“-Sensoren ermöglichten es beispielsweise, neben Messwerten auch Zertifikatslaufzeiten zu überwachen – „eine entscheidende Komponente für sichere Kommunikation“.

„MQTT“-Sensoren lieferten wiederum Informationen über IoT-Geräte, Broker-Statistiken und Messaging-Integrität. Das Ergebnis laut Sukowski: „Eine zentrale Plattform, die Protokollgrenzen überwindet, den Einsatz vieler separater Tools vermeidet und sowohl OT- als auch IT-Umgebungen in einer einheitlichen Sicht zusammenführt – effizient, sicher und zukunftssicher.“

OT-Netzwerke strikt von IT-Netzwerken getrennt: Netzwerksegmentierung und „Air Gaps“

Aus betrieblichen und sicherheitstechnischen Gründen seien viele OT-Netzwerke strikt von IT-Netzwerken getrennt – häufig durch Netzwerksegmentierung oder in besonders sensiblen Bereichen durch nahezu vollständige „Air Gap“-Konzepte. Diese Trennung erhöhe die Sicherheit erheblich, bringe jedoch komplexe Herausforderungen für das Monitoring mit sich.

• Die zentrale Frage laute: „Wie lässt sich eine isolierte Umgebung überwachen, ohne die vorgesehenen Schutzmechanismen zu umgehen?“

Eine bewährte Lösung sei der Einsatz einer verteilten Architektur mit sogenannten Remote-Probes. Diese Sonden würden innerhalb der abgesicherten OT-Segmente platziert, erfassten dort lokal die relevanten Daten und übertrügen sie über klar definierte, abgesicherte Kommunikationskanäle – etwa über eine „Demilitarisierte Zone“ (DMZ) – an den zentralen Monitoring-Server. In vollständigen „Air Gap“-Umgebungen könne die Datenübertragung auch manuell, beispielsweise über gesicherte Wechseldatenträger, erfolgen.

OT-Lösung sollte flexibel sein und alle relevanten Messwerte nebst Statusinformationen erfassen

Idealerweise liefen solche Monitoring-Komponenten auf unterschiedlichen Betriebssystemen – einschließlich ressourcenschonender „Linux“-Varianten, „wie sie in vielen industriellen Anwendungen und sicherheitskritischen Zonen üblich sind“.

• Die Lösung sollte so flexibel sein, „dass sie trotz strenger Netzwerk- und Sicherheitsvorgaben alle relevanten Messwerte und Statusinformationen erfassen kann“.

Fortschrittliche Mechanismen für Protokollierung, Alarmierung und detaillierte Berichterstattung unterstützten dabei die Einhaltung gängiger Normen und Standards in sensiblen Branchen – von der Industrieproduktion über Energieversorgung bis hin zur Kritischen Infrastruktur (KRITIS).

OT-Umgebungen mehrerer Anbieter hinterlassen Spuren

Viele OT-Umgebungen wiesen technologische Schichten auf, welche historische Fortschritte aus verschiedenen Industrieperioden widerspiegelten. „OT-Umgebungen könnten etwa SPS, HMI, RTU oder weitere kundenspezifische Lösungen von Herstellern enthalten, die nicht mehr auf dem Markt existieren.“

• Da zu jeder dieser Komponente unterschiedliche Verwaltungstools gehörten, könne beim Monitoring ein Netz aus unterschiedlichen Systemen entstehen, „das nicht mehr vereinheitlicht werden kann“.

Die Lösung dieser Herausforderung lieg in einem herstellerunabhängigen Ansatz für das Monitoring: „Indem ein ,Tool’ sehr viele unterschiedliche native Sensortypen mit umfangreichen Anpassungsfunktionen integriert, lässt sich die Systemvielfalt vereinen.“ Dann könnten auch spezialisierte Hardware für die Industrie und kundenspezifische Lösungen „gemonitort“ werden.

Zuverlässige Verbindung zwischen OT-Überwachung und Prozesssteuerung: SCADA-Integration ohne Betriebsunterbrechung

SCADA-Systeme steuerten zentrale Betriebsprozesse und reagierten sensibel auf Änderungen. Daher sei beim Datenaustausch mit Monitoring-Lösungen besondere Sorgfalt erforderlich. „Ein kontinuierlicher Informationsfluss zwischen SCADA-Systemen und Monitoring-,Tools’ trägt entscheidend dazu bei, die Stabilität und Verfügbarkeit der Anlagen zu sichern.“

• Durch den Einsatz von „OPC UA“-Servern innerhalb der Monitoring-Software ließen sich Daten sicher und standardkonform mit SCADA-, HMI- und DCS-Systemen austauschen. „Über geeignete Zugriffs- und Authentifizierungsmechanismen kann jeder berechtigte ,OPC UA’-Client – ob SCADA, HMI oder ,OPC UA’-fähige Steuerung – auf die Monitoring-Daten zugreifen.“

Eine bidirektionale, kontrollierte Kommunikation ermögliche es, dass SCADA-Systeme Monitoring-Daten wie Netzwerk- und Systemmetriken empfingen, während umgekehrt Monitoring-Tools ausgewählte Betriebsdaten aus den SCADA-Systemen in ihre Alarmierungs- und Reporting-Workflows integrieren könnten. „So entsteht eine zuverlässige Verbindung zwischen Überwachung und Prozesssteuerung – ohne den laufenden Betrieb zu beeinträchtigen“, betont Sukowski abschließend.

Weitere Informationen zum Thema:

PAESSLER
Wir sind Paessler. Wir übernehmen Verantwortung. / Wir entwickeln leistungsstarke und zuverlässige Monitoring-Lösungen, die Unternehmen dabei unterstützen, ihren Betrieb zu optimieren und Ausfallzeiten in IT-, OT- und IoT-Infrastrukturen zu vermeiden.

PAESSLER
Compatible Computer Solutions und Paessler / Viele Erfolgsfaktoren bedingen ein zukunftsorientiertes Gebäudemanagement – Projektplanung mit Kompetenz und Weitsicht für ein professionelles Condition-Monitoring

datensicherheit.de, 05.03.2025
Spear Phishing-Angriffe: OT-Systeme der Fertigungsbranche am häufigsten betroffen / „Spear Phishing“-E-Mails werden versandt, welche das Opfer zur Begleichung einer ausstehenden Rechnung auffordern

datensicherheit.de, 12.07.2022
Weiterhin lückenhafte Cyber-Sicherheit: Jedes 2. Fertigungsunternehmen rechnet mit Zunahme von -angriffen / Fast jeder zweite Hersteller gibt zu, dass Cyber-Sicherheit nicht im Fokus der höchsten Managementebene steht

datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung / Palo Alto Networks veröffentlicht branchenspezifischen Leitfaden

[datensicherheit.de, 11.09.2025] Ob sich Künstliche Intelligenz rechtssicher in der Praxis nutzen lässt, war Gegenstand einer Erörterung zwischen Experten des Deutschen Anwaltvereins (DAV) mit zahlreichen Landesdatenschutzbeauftragten am 9. September 2025. Der DAV setzt sich für einen „rechtssicheren Einsatz Künstlicher Intelligenz in den Anwaltskanzleien“ ein.

Abbildung: HmbBfDI

„Bridge-Blueprint“-Papier: Die „Notwendigkeit eines Brückenschlags“ wird betont – denn die europäische KI-Debatte scheine in einer Sackgasse festzustecken, weil sie die Thematik auf einen Zielkonflikt zwischen technologischem Fortschritt und dem Schutz von Grundrechten reduziere…

DAV-Forum „DSGVO und KI“ erörterte Zukunft der DSGVO im KI-Zeitalter

„Datenschutz hat keine Zukunft, wenn kein normaler Mensch ihn mehr versteht!“, warnte Rechtsanwalt Prof. Niko Härting, Vorstandsmitglied des Deutschen Anwaltvereins (DAV). Beim Forum „DSGVO und KI“ des DAV ging es demnach um die Zukunft der Datenschutzgrundverordnung (DSGVO) im Zeitalter Künstlicher Intelligenz (KI).

• Im Rahmen der Veranstaltung stellten die Landesdatenschutzbeauftragten ihr neues „Bridge-Blueprint“-Papier vor – enthalten sind ihre Vorschläge, um DSGVO und „AI Act“ einheitlich anzuwenden.

„Der ‚Bridge Blueprint‘ ist ein großer Schritt zu einem pragmatischen Datenschutz mit Augenmaß, der Datennutzung und KI nicht verhindert, sondern grundrechtsschonend unterstützt“, kommentierte Härting. Im Resultat entstehe ein „Brückenschlag mit einiger Sprengkraft“ und der Kernthese, dass eine sorgsame Beachtung der Regeln des „AI Acts“ ausreiche, um etliche Klippen der DSGVO zu umschiffen.

Einbindung von Wirtschaft, Zivilgesellschaft und Anwaltschaft: DAV begrüßt „Bridge-Blueprint“-Papier

Welche praktischen Herausforderungen diese Fragen bei der Beratung mit sich bringen, habe die von Dr. Nina Herbort moderierte Anwaltsrunde mit Isabell Conrad und Peter Huppertz verdeutlicht. Ein „Wake Up Call aus Brüssel“ von Leonardo Cervera Navas, Generalsekretär des Europäischen Datenschutzbeauftragten (EDSB), habe die Notwendigkeit eines harmonisierten Rechtsrahmens untermauert, um Wettbewerbsfähigkeit und europäische Werte im KI-Zeitalter zu wahren.

• In der anschließenden Podiumsdiskussion mit Vertretern aus Aufsichtsbehörden (Dr. h.c. Marit Hansen, Meike Kamp), der Anwaltschaft (Marieke Merkle, Sebastian Schulz) und der europäischen Politik (Kai Zenner, Büroleiter von Axel Voss, MdEP) sei der Vorschlag intensiv diskutiert worden.

Das Autorenteam des „Bridge Blueprint“ stamme aus der Mitte der Aufsicht – „es umfasst den Hamburgischen Beauftragte für Datenschutz, Thomas Fuchs, und seinen Persönlichen Referenten für ,Policy und Digitalstrategie‘, Dr. Markus Wünschelbaum, sowie Dr. h.c. Marit Hansen und Benjamin Walczak von der Schleswig-Holsteinischen Datenschutzbehörde“. Härting erläuterte: „Das Papier setzt bewusst auf einen breiten Dialog und die Einbindung von Wirtschaft, Zivilgesellschaft und Anwaltschaft.“ Dieser Ansatz erfahre auch aus Brüssel Zuspruch – der Digitalpolitiker Axel Voss und sein Büroleiter, KI-Experte Kai Zenner, unterstützten das Vorhaben.

Weitere Informationen zum Thema:

DeutscherAnwaltVerein
Über uns / Der DAV stellt sich vor

DeutscherAnwaltVerein
DSGVO und KI: Wie kann das funktionieren? am 09. September 2025, 18:00 Uhr im DAV-Haus

DeutscherAnwaltVerein
Ausschuss Informationsrecht / Vorsitzender: Rechtsanwalt Prof. Niko Härting

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
The Bridge Blueprint: Thesen zur einheitlichen Anwendung von Datenschutz- und KI-Regulierung beim KI-Einsatz

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
The Bridge Blueprint: An Interpretive Guidance for AI Deployment / Aligning Data Protection and AI Regulation

datensicherheit.de, 05.09.2025
KI-Kontrolle: Scharfe Kritik der Landesdatenschutzbehörden am BMDS / Berliner Beauftragte für Datenschutz und Informationsfreiheit warnt vor Schwächung des Grundrechtsschutzes und verweist auf „KI-Verordnung“

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

[datensicherheit.de, 11.09.2025] Künstliche Intelligenz (KI) verändert offensichtlich die Bedrohungslage im Bereich „Social Engineering“ grundlegend – insbesondere durch sogenanntes Voice-Phishing, kurz „Vishing“. „Bei dieser Methode inszenieren Cyberkriminelle mit KI-generierten Stimmen täuschend echte Anrufe, um Mitarbeiter zu Zahlungen oder zur Herausgabe sensibler Informationen zu bewegen“, erläutert Patrick Lehnis, „Account based Marketing Manager“ für Specops (ein Unternehmen von Outpost24), in seinem aktuellen Kommentar.

Vishing raffiniert und gefährlich – KI kann Stimmen von Vorgesetzten imitieren

Die Methode sei ebenso raffiniert wie gefährlich: „Angreifer nutzen öffentlich zugängliche Sprachaufnahmen – etwa aus Videos, Webinaren, öffentlichen Auftritten wie Interviews oder Podcasts –, um innerhalb weniger Minuten eine täuschend echt klingende synthetische Stimme zu erzeugen.“

• Diese Angriffstechnik sei bereits jetzt so überzeugend, dass selbst geschulte Mitarbeiter kaum einen Unterschied erkennen könnten. „Was früher eine technische Spielerei war, wird heute gezielt für kriminelle Zwecke eingesetzt!“, warnt Lehnis.

Der psychologische Hebel dabei sei: „Eine vertraute Stimme suggeriert Legitimität.“ Kombiniert mit Zeitdruck („Es muss sofort gehen!“) oder Autorität („Ich bin’s – dein Chef!“), setzten Angreifer ihre Opfer massiv unter Druck. Diese emotionale Manipulation mache KI-Vishing so wirksam und gefährlich.

„Faktor Mensch“ bleibt Schwachstelle – insbesondere im Vishing-Kontext

So ausgeklügelt diese Technologie auch sein mag – am Ende zielten die Angriffe auf die menschliche Psyche. „Vertrauen, Autorität, Hilfsbereitschaft und Stress sind die Druckmittel, mit denen Cyberkriminelle arbeiten. Umso wichtiger ist es, Maßnahmen und Prozesse zu implementieren, die den Druck der Authentifizierung einer Anfrage vom Mitarbeiter fernhält.“

• Dabei gehe es zum einen darum, eine Unternehmenskultur zu schaffen, in der Mitarbeiter – wenn sie unsicher sind – solche Anfragen kritisch hinterfragen und Rückfragen stellen könnten.

Zum anderen auch, technische Maßnahmen zu ergreifen, um Anrufer mithilfe mehrerer Faktoren zu authentifizieren – ehe Aktionen wie Passwort-Resets, die Aufhebung von Kontosperrungen oder Deaktivierung von MFA-Faktoren für den Helpdesk-Mitarbeiter möglich werden.

Dynamische Sicherheit erforderlich, um mit Vishing und anderen Deepfake-Bedrohungen Schritt zu halten

Aufgrund der rasanten Geschwindigkeit, mit der sich die Angriffstechniken weiterentwickelten, müssten Unternehmen ihre Schutzmaßnahmen immer weiter anpassen:

• „Dazu gehören weiterhin klare Kommunikationsrichtlinien (z.B. keine Zahlungsanweisungen per Telefon), verpflichtende Rückbestätigungen über Zweitkanäle, Tools und technische Authentifizierungsmaßnahmen sowie regelmäßige Schulungen zum Erkennen manipulativer Gesprächstechniken“, gibt Lehnis abschließend zu bedenken.

So könnten mögliche „Social Engineering“-Angriffe abgewehrt und schlimmere Konsequenzen vermieden werden.

Weitere Informationen zum Thema:

Outpost24
Exposure Management that makes business sense

Infosecurity Magazine
Patrick Lehnis: Marketing Manager, Outpost24 / Patrick Lehnis is Marketing Manager at Outpost24 and responsible for planning and executing practical and relevant marketing campaigns that address the challenges faced by cybersecurity managers and experts across the globe

datensicherheit.de, 17.08.2025
Deepfakes 2025: Zuvor KI-Spielerei und heute bedrohliches Hacker-Tool / Marco Eggerling warnt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, dass diese auf KI basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist

datensicherheit.de, 14.07.2025
KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen / Ein neuer Bericht von Trend Micro zeigt Methoden hinter deepfake-gestützter Cyberkriminalität auf

datensicherheit.de, 12.07.2025
Deepfake-Betrug verursacht finanziellen Schaden in Millionen-Höhe / Einer aktuellen Studie von Surfshark zufolge gab es in der ersten Hälfte des Jahres 2025 fast viermal so viele Deepfake-Vorfälle wie im gesamten Jahr 2024

datensicherheit.de, 26.03.2025
Vorsicht Vishing: Zahl der Voice-Phishing-Angriffe steigt stark an​ / Neuer Threat Intelligence Report von Ontinue enthüllt alarmierende Entwicklung​

[datensicherheit.de, 11.09.2025] Cyberkriminelle erzeugten in Phishing-Mails mit der Behauptung „Ich habe Bilder von dir beim Masturbieren“ lange ein typisches Drohszenario, um Angst zu erzeugen und von Nutzern Geld zu erpressen. Mit der Spyware „Stealerium“ sei diese Masche nun wieder zu einer aktuellen und realen Bedrohung geworden, warnt Kaspersky in einer aktuellen Meldung: „Die Schadsoftware kann heimlich Webcam-Bilder aufnehmen, sobald erotische Suchbegriffe erkannt werden!“ Kaspersky verzeichnete demnach allein zwischen dem 1. und dem 8. September 2025 einen massiven Anstieg entsprechender Angriffsversuche – von 1.824 im August 2025 (ganzer Monat) auf 21.963 Fälle in nur acht Tagen.

Kaspersky: Diese Spyware erkennt bestimmte Schlagwörter und explizites Bildmaterial

Bei „Stealerium“ handele es sich um einen „Info-Stealer“ auf Open-Source-Basis, „der private Daten abgreift und diese für digitale Erpressung nutzt“. Diese Spyware erkenne bestimmte Schlagwörter und explizites Bildmaterial – und könne daraufhin unbemerkt auf die Webcam zugreifen, um Aufnahmen zu machen.

• „Die gestohlenen Informationen, darunter Passwörter, Bankdaten, Key für Krypto-Wallets und eben auch intime Bildaufnahmen, dienen den Angreifern als Grundlage für Sextortion-Versuche.“

Am häufigsten erfolge die Infektion über Phishing-E-Mails mit manipulierten Anhängen oder Links – oft getarnt als Rechnungen oder dringende Mitteilungen. Dadurch könnten nahezu alle „Windows“-Nutzer betroffen sein.

Kaspersky gibt Tipps zum Schutz vor „Stealerium“

„Nutzer sollten sich bewusst sein, dass nicht nur klassische Erwachsenen-Websites betroffen sind. Selbst das Suchen nach nicht jugendfreien Inhalten auf Sozialen Netzwerken kann die Spyware aktivieren“, erläutert Anna Larkina, Expertin für „Web Content“ und Datenschutz bei Kaspersky.

Sie gibt folgende Tipps zum Schutz vor „Stealerium“:

• „Nutzer sollten in den Datenschutzeinstellungen ihres Geräts überprüfen, ob unbekannte Apps Zugriffsrechte auf die Kamera haben, und diese gegebenenfalls entziehen!“
• „Auch im Umgang mit E-Mails von unbekannten Absendern ist Vorsicht geboten: Die Absenderadresse sollte stets genau geprüft werden, Anhänge oder Links sollten nur geöffnet werden, wenn die Quelle eindeutig vertrauenswürdig ist!“
• „Wird nach dem Öffnen einer Datei zur Installation von Software aufgefordert, ist dringend davon abzuraten!“
• „Eine zuverlässige Sicherheitslösung hilft dabei, unbefugte Zugriffe auf die Kamera zu erkennen und zu blockieren. Zusätzlich kann ein physischer Kameraschutz – etwa in Form einer Abdeckung oder eines Schiebers – für mehr Sicherheit sorgen!“
• „Um sich umfassend zu schützen, sollten außerdem grundlegende Sicherheitsmaßnahmen wie die Aktivierung der Zwei-Faktor-Authentifizierung für sensible Konten sowie der Verzicht auf das Speichern von Passwörtern im Browser umgesetzt werden!“
• „Kommt es dennoch zu einem Erpressungsversuch, sollte dieser unbedingt den zuständigen Behörden gemeldet werden!“

Weitere Informationen zum Thema:

kaspersky
Cyberimmunität ist unser erklärtes Ziel / Wir sind ein Team von über 5.000 Fachleuten mit einer über 25-jährigen Erfolgsgeschichte im Schutz von Privatpersonen und Unternehmen weltweit und haben uns die weltweite Cyberimmunität als ultimatives Ziel gesetzt

DARKREADING
Anna Larkina: Web Content Analysis Expert, Kaspersky

datensicherheit.de, 03.09.2025
Stealerium: Proofpoint meldet Comeback einer Cyberbedrohung / Es gibt weitere Malware mit erheblichen Überschneidungen im Code – insbesondere „Phantom Stealer“ und „Warp Stealer“ –, welche Proofpoint unter dem Oberbegriff „Stealerium“ zusammenfasst

datensicherheit.de, 11.03.2019
Sextortion: Cybererpressung mit angeblich kompromittierenden Videos / Doppelt so wahrscheinlich wie BEC-Angriffe

datensicherheit.de, 11.12.2018
Sextortion: Erpressung und Ransomware-Angriff / Aktuell laufende Erpressungswelle scheint sehr erfolgreich zu sein