Ein Kommentar von unserem Gastautor Sam Curry, VP und CISO in Residence bei Zscaler

[datensicherheit.de, 09.03.2026] OpenClaw ist eines dieser Tools, das wie ein Produktivitäts-Hack aussieht und sich wie ein Betriebsmodell verhält. Sobald es installiert ist, klinkt es sich übergreifend in Anwendungen und Kernfunktionen des Betriebssystems ein, sodass es im Namen eines Users agieren kann. Es ermöglicht dem Benutzer ein Umdenken von der Bedienung von Menüs und einer Abfolge von Arbeitsschritten hin zu gewünschten Absichten. Ein Sprachbefehl, eine Abstraktionsschicht, und plötzlich fühlt sich der Computer weniger wie eine Maschine an, sondern eher wie eine Erweiterung des Menschen. Alle Macht wird an einem Ort gebündelt und die Komplexität verschwindet. Der User erhält eine neue Dimension für die Umsetzung seiner Ziele und Absichten, die zuvor nicht denkbar war. Der Funktionsumfang und die versprochene Produktivitätssteigerung durch OpenClaw haben etwas Magisches an bisher nicht denkbarer Automatisierung an sich.

Sam Curry, VP und CISO in Residence bei Zscaler, Bild: Zscaler

Openclaw – Die Sicherheit bleibt auf der Strecke

Das Problem dabei: die gleiche Konsolidierung der Fähigkeiten konsolidiert auch die Risiken. Die Installation eines solchen Tools auf einem persönlichen Gerät bedeutet die Übergabe von Administratorrechten für Unix-ähnliche Systeme oder vollständige Administratorberechtigungen unter Windows. Ausgestattet mit diesen Rechten kann OpenClaw umsetzen, was normalerweise Aufwand beim User verursacht: Prompts, Passwörter, Genehmigungen.

Einfach ausgedrückt: Die Sicherheitsvorkehrungen, die den Menschen zum Innehalten zwingen, werden damit unterlaufen. Das Tool ist so konzipiert, dass es für den User entscheiden und in seinem Namen handeln kann.

Dieses Ausmaß an gewährten Berechtigungen auf einem System kann jedoch katastrophale Folgen haben, wenn ein Malware-Akteur sich Zugang zum Tool verschaffen kann. Cyberkriminelle profitieren auf diese Weise von den gleichen Berechtigungen. Sie müssen sich nicht mehr durch verschiedene Kontrollen und Tools kämpfen, ihnen fällt der unbegrenzte Zugriff auf die Abstraktionsebenen gewissermaßen in den Schoß.

Für Unternehmen läuten Alarmglocken

Es wundert nicht, dass die erste Reaktion von Unternehmen zu einem Verbot eines solch leistungsfähigen, aber gefährlichen Tool führt. OpenClaw macht das User-Gerät  zum ultimativen Perimeter. Und die meisten Unternehmen haben bereits Schwierigkeiten, den eigentlichen Perimeter um das Unternehmensnetzwerk sicher zu gestalten. OpenClaw führt zum genauen Gegenteil der Kontrollfunktion auf Basis der geringstmöglichen Zugriffsberechtigungen innerhalb des Computers: maximales Vertrauen, maximaler Zugriff, verpackt auf einer userfreundlichen Oberfläche.

Ein erfahrener Angreifer könnte sich zwar auf herkömmliche Weise Zugang zu einem System verschaffen. Ein solcher Prozess geht in aller Regel jedoch mit einem zeitaufwändigen Durchforsten des Systems voller Hindernisse und potenzieller Fehlerquellen einher, die zur Entdeckung führen können. Ein Toolkit wie OpenClaw verwandelt jedes User-Gerät in eine Tür – durchschreitet sie ein Angreifer, ist die Privatsphäre dahin. Das Tool hat die Macht eines Tors zur  IT-Umgebung, und genau das ist es, was Unternehmen zu Recht fürchten.

Die agentenbasierte KI-Zukunft geht mit Gefahren einher

Darüber hinaus gibt es ein weiteres potenzielles Risiko bei der Verwendung des Tools. Heutzutage führen KI-Agenten nicht nur Aktionen aus, sondern erwerben auch Fähigkeiten. Wenn das Tool dazu gebracht werden kann, Pakete herunterzuladen, auf Repositories zuzugreifen und Abhängigkeiten zu installieren, könnte auf der Ebene jeder einzelnen Maschine eine Lieferketten-Angriffsfläche entstehen. Laut der aktuellen Zscaler Resilienz-Umfrage rechnen fast zwei Drittel (62 Prozent) der deutschen IT-Führungskräfte damit, dass es innerhalb der nächsten zwölf Monate zu einer größeren Störung durch einen Lieferanten oder Drittanbieter kommen wird. OpenClaw hat das Potenzial, diese Störung innerhalb eines Lieferanten-Ökosystems in großem Maßstab zu beschleunigen und damit die Widerstandsfähigkeit eines Unternehmens zu untergraben. Es hat die Fähigkeiten, mehr als nur den einzelnen User zu phishen. Es versetzt den KI-Agenten in die Lage, die Arbeit des Angreifers von der Installation eines Trojaners im Gebäude bis hin zu Administratorrechten zu erledigen und dies über eine userfreundliche Oberfläche.

Unternehmen sollten nicht in Panik geraten, sondern Maßnahmen ergreifen. Diese Tools versprechen ein beispielloses Produktivitätsniveau und IT-Teams müssen sich langfristig betrachtet damit arrangieren. Für die Unternehmens-IT gilt es, der Bedrohung einen Schritt voraus zu sein und Agenten als neue Arbeitskräfte mit eigener Identität zu behandeln, die gegen unberechtigten Zugang abgesichert werden. Dazu ist eine Verschärfung der Installations- und Berechtigungsgrenzen notwendig. Mit einer Zero Trust-basierten Sicherheitsplattform können IT-Teams Verteidigungsmaßnahmen ergreifen, die nicht zu Produktivitätsverlusten für die User führen. Auf diese Weise erhält die IT die Möglichkeit, die Authentifizierung zu modernisieren und nachzuweisen, wer Aktionen durchführt – selbst wenn es sich um KI-Agenten handelt, die anstelle von Menschen agieren.

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2019
Zero Trust: Warum die Zeit gerade jetzt dafür reif ist

[datensicherheit.de, 09.03.2026] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit Blick auf die aktuelle Cybersicherheitslage in Deutschland einen mehrdimensionalen Lösungsansatz vorgestellt. Auf der „Cyber Security Conference“ (CSC) von Schwarz Digits hat die BSI-Präsidentin, Claudia Plattner, am 5. März 2026 demnach einem Fachpublikum aus den Bereichen IT-Sicherheit, Wirtschaft, Politik und Wissenschaft das „Wheel of Motion“ – eine Konzeptskizze für Lösungsstrategien im Umgang mit Cyberaggression – vorgestellt.

Foto: Schwarz Digits

Claudia Plattner am 5. März 2026 auf der „Cyber Security Conference“ by Schwarz Digits, das „Wheel of Motion“ präsentierend

Cybersicherheit durch „Cyber Crime“, „Cyber Dominance“ und „Cyber Conflict“ bedroht

Laut Plattner stehen Deutschland und Europa unter dem permanenten Druck von „Cyber Crime“ (d.h. Straftaten im Digitalen Raum, welche vorrangig aus finanziellen Motiven begangen werden), „Cyber Dominance“ (also Einflussnahme mittels digitaler Produkte, welche Herstellern Zugriff auf Informationen und Funktionen ermöglichen) und „Cyber Conflict“ (mithin staatlich gelenkte Angriffe mit ideologischem, politischem oder militärischem Hintergrund).

• Gegen diese drei Hauptkategorien von Cyberaggression soll nun das „Wheel of Motion“ drei Maßnahmenarten ins Feld führen.

Plattner führt aus: „Als Cybersicherheitsbehörde Deutschlands ist es unser Anspruch, nicht nur Probleme zu skizzieren, sondern auch Lösungen dafür zu entwickeln. Den Spielarten von Cyberaggression müssen wir im Jahr 2026 mit einem 360-Grad-Blick begegnen, denn Deutschland darf nicht darin verharren, seine Sicherheitsmaßnahmen ausschließlich von den Motiven und Handlungen seiner Angreifer abhängig zu machen!“

Abbildung: BSI

„Wheel of Distortion“ zur Analyse der Welt(un)ordnung im Digitalen Raum

Abbildung: BSI

„Wheel of Motion“ soll einen 360-Grad-Blick auf die Sicherheit im Digitalen Raum ermöglichen

Richtungsweisung für Deutschland und Europa in Cybersicherheitsfragen

Das „Wheel of Motion“ zeige auf, in welche Richtung sich Deutschland und Europa aus Cybersicherheitssicht bewegen müssten, um echte Cybersicherheit, nachhaltige Resilienz und digitalen Erfolg zu erreichen.

• So ist aus Sicht des BSI eine gezielte Automatisierung von Sicherheitsmaßnahmen („Cyber Automation“) der aktuell wichtigste Schritt gegen solche Gefahren, welche von „Cyber Crime“ ausgehen.

In diesem Zusammenhang baue das BSI im Auftrag des Bundesinnenministeriums einen „Cyberdome“ für Deutschland auf – einen digitalen Schutzschirm, um Angriffe automatisiert abzuwehren. Mit Blick auf Bedrohungen durch „Cyber Conflict“ setze das BSI auf eine starke Abwehr („Cyber Defense“) mit effizienten Strukturen, definierten Schnittstellen und einer verbesserten Kooperationsstrategie innerhalb der staatlichen Cybersicherheitsarchitektur.

BSI verfolgt Doppelstrategie für Cybersicherheit

Um „Cyber Dominance“ im Sinne Digitaler Souveränität und Kontrolle („Cyber Control“) etwas entgegenzusetzen, verfolge das BSI eine Doppelstrategie für die Cybersicherheit: Diese werbe in erster Linie für eine signifikante Stärkung der europäischen Digitalindustrie, wobei das BSI Unterstützung in puncto Sicherheit leiste.

• Das „Wheel of Motion“ zeige, in welchen Technologiefeldern diese Stärkung in besonderem Maße geboten sei. Des Weiteren müssten außereuropäische Produkte mit Hilfe technischer Kontrollschichten so abgesichert werden, dass eine selbstbestimmte Nutzung möglich wird.

Mit Schwarz Digits, der IT-Sparte der Schwarz-Gruppe und Veranstalterin der CSC hatte das BSI nach eigenen Angaben vor wenigen Wochen im Rahmen der „Münchner Sicherheitskonferenz“ eine strategische Partnerschaft geschlossen. Das gemeinsame Ziel bestehe darin, die Digitalisierung in Deutschland strategisch voranzutreiben und gleichzeitig abzusichern: „Im Rahmen konkreter Projekte für die Bundesverwaltung sollen innovative und hochperformante Produkte mit zeitgemäßen Sicherheits- und Souveränitätseigenschaften entwickelt werden.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.

Bundesamt für Sicherheit in der Informationstechnik
Die Leitung des BSI: Die Präsidentin – Claudia Plattner

Bundesamt für Sicherheit in der Informationstechnik, Cybernation-Blog, Claudia Plattner, 06.03.2026
Wheel of Motion: Ein 360-Grad-Blick auf die Sicherheit im digitalen Raum

Bundesamt für Sicherheit in der Informationstechnik, Cybernation-Blog, Claudia Plattner, 13.02.2026
Wheel of Distortion: Welt(un)ordnung im digitalen Raum

CYBER SECURITY CONFERENCE BY SCHWARZ DIGITS
Knowledge Transfer at the Highest Level: Exclusive Insights in an Inspiring Setting

schwarz digits
Höchste Zeit für digitale Unabhängigkeit – BE INDEPENDENT

Die Bundesregierung, 27.08.2025
Eckpunkte für mehr Cybersicherheit beschlossen: Die Bundesregierung will für mehr Sicherheit im Internet sorgen. Dafür hat das Bundeskabinett nun entsprechende Eckpunkte beschlossen. Diese sehen einen sogenannten Cyberdome zur Verteidigung im Netz vor – und zielen auf mehr Befugnisse und Übungen ab.

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden

[datensicherheit.de, 09.03.2026] Der Bundestag hatte das „KRITIS-Dachgesetz“ Ende Januar 2026 auf den Weg gebracht, doch bei den Ländern gibt es laut einer Meldung vom Digitalverband Bitkom e.V. weitere Nachbesserungswünsche – unter anderem eine Ausweitung des Anwendungsbereichs auf weitere Unternehmen. Das „KRITIS-Dachgesetz“ soll die Umsetzung der europäischen CER-Richtlinie in deutsches Recht ermöglichen und schreibt unter anderem den Betreibern Kritischer Infrastruktur (KRITIS) eine Risikobewertung für hybride Bedrohungen vor.

Foto: Bitkom

Dr. Ralf Wintergerst: Gerade in der aktuell angespannten Sicherheitslage brauchen wir zügig einen praxistauglichen Rechtsrahmen für den Schutz kritischer Infrastrukturen!

Absenkung des Schwellenwerts würde „KRITIS-Dachgesetz“ auf kleine Betreiber ausdehnen

Die Umsetzungsfrist ist bereits seit dem 18. Oktober 2024 verstrichen, weswegen gegen die Bundesrepublik Deutschland ein sogenanntes Vertragsverletzungsverfahren der EU-Kommission eingeleitet wurde.

• Der Bitkom-Präsident, Dr. Ralf Wintergerst, kommentiert: „Kritische Infrastrukturen müssen besser geschützt werden! Das erfordert verlässliche Regelungen und Planungssicherheit, neue kurzfristige Vorgaben sind eher schädlich.“

Eine pauschale Absenkung des Schwellenwerts von 500.000 auf 150.000 versorgte Einwohner würde demnach den Kreis der betroffenen Unternehmen schlagartig massiv vergrößern und insbesondere auch kleinere Betreiber betreffen, ohne dass diese eine ausreichende Vorbereitungszeit haben.

Breiterer Anwendungsbereich des „KRITIS-Dachgesetzes“ bringt nicht automatisch mehr Sicherheit

Wintergerst betont: „Ein breiterer Anwendungsbereich bedeutet nicht automatisch mehr Sicherheit!“ Wirksamer Schutz kritischer Infrastrukturen gelinge mit einem risikobasierten Ansatz – kritische Knotenpunkte gezielt identifizieren und Resilienz durch Investitionsanreize stärken.

• Eine Anrufung des Vermittlungsausschusses könne nun weitere monatelange Verzögerungen bei der Stärkung der Abwehr von hybriden Angriffen bedeuten.

„Und das, obwohl Deutschland bei der Umsetzung bereits deutlich im Rückstand ist und ein Vertragsverletzungsverfahren der EU läuft. Gerade in der aktuell angespannten Sicherheitslage brauchen wir zügig einen praxistauglichen Rechtsrahmen für den Schutz kritischer Infrastrukturen!“, gibt Wintergerst abschließend zu bedenken.

Weitere Informationen zum Thema:

bikom
Über uns

bitkom
Dr. Ralf Wintergerst: Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

OpenKRITIS
KRITIS-Dachgesetz

OpenKRITIS
EU CER Resilienz

datensicherheit.de, 03.02.2026
KRITIS-Dachgesetz verabschiedet: Deutschland muss dringend seine Kritischen Infrastrukturen besser schützen / Die Umsetzungsfrist für das „KRITIS-Dachgesetz“ lief am 18. Oktober 2024 ab – gegen die Bundesrepublik wurde bereits ein „Vertragsverletzungsverfahren“ der EU-Kommission eingeleitet

datensicherheit.de, 01.02.2026
KRITIS-Dachgesetz: eco begrüßt Verabschiedung bundesweit einheitlichen Rahmens für den Schutz Kritischer Infrastrukturen / Für die Internetwirtschaft sind stabile Stromversorgung, funktionierende Netze und verlässliche Rahmenbedingungen essenziell – das „KRITIS-Dachgesetz“ setzt hierzu grundsätzlich an der richtigen Stelle an

datensicherheit.de, 07.01.2026
Nach Stromausfall in Berlin: eco fordert zügige Verabschiedung des KRITIS-Dachgesetzes / Der eco – Verband der Internetwirtschaft e.V. weist angesichts des jüngsten Stromausfalls im Südwesten Berlins abermals warnend auf die Verwundbarkeit Kritischer Infrastruktur (KRITIS) hin

datensicherheit.de, 13.09.2025
Bitkom betont herausragende Bedeutung des KRITIS-Dachgesetzes für Deutschland / Die Umsetzungsfrist für das „KRITIS-Dachgesetz“ ist bereits am 18. Oktober 2024 verstrichen – gegen Deutschland läuft bereits ein „Vertragsverletzungsverfahren“ der EU-Kommission

datensicherheit.de, 12.09.2025
Kabinettsbeschluss zum KRITIS-Dachgesetz: eco sieht Eile geboten – aber ohne doppelte Pflichten / Der eco begrüßt das Voranschreiten in geopolitisch angespannten Zeiten, moniert aber fehlende Rechtsverordnung zu Schwellenwerten, drohende Doppelregulierungen sowie unklare Zuständigkeiten

[datensicherheit.de, 08.03.2026] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat am 6. März 2026 gemeldet, dass private Krankenversicherungen Diagnosen, welche sie aus eingereichten Rechnungen ihrer Versicherten zur Erstattung erhalten, nicht ohne Einwilligung der Versicherten für die Empfehlung von Vorsorgeprogrammen auswerten dürfen. Dies hat das Bundesverwaltungsgericht (BVerwG) in seiner Entscheidung im Revisionsverfahren (Az. 6 C 7.24) vom 6. März 2026 entschieden.

Foto: © LfDI, Andrea Schombara

Prof. Dr. Dieter Kugelmann: Für den Schutz der Gesundheitsdaten von Versicherten ist dies ein sehr gutes Signal!

Aktueller Entscheidung des Bundesverwaltungsgerichts ging Verwarnung mit Anordnung des LfDI RLP voraus

Dem Verfahren liegt laut LfDI RLP ein Fall zugrunde, bei dem eine Krankenversicherung die zur Kostenübernahme eingereichten Rechnungen ihrer Versicherten dahingehend analysiert hatte, ihnen passende Vorsorgeprogramme (z.B. zur Vorbeugung von Rückenleiden oder Coaching beim Umgang mit Diabetes oder Asthma) zu empfehlen.

• Der aktuellen Entscheidung des BVerwG war eine Verwarnung mit Anordnung des LfDI RLP im Jahr 2022 vorausgegangen: Darin ordnete der LfDI gegenüber einem privaten Krankenversicherer an, künftig Einwilligungen für diese Analyse einzuholen.

Das Verwaltungsgericht Mainz sowie das Oberverwaltungsgericht Koblenz waren indes zunächst der Argumentation der klagenden Krankenkasse gefolgt, welche sich gegen diesen Bescheid gewandte.

Bundesverwaltungsgericht hat Selbstbestimmungsrechte der Versicherten gestärkt

Der LfDI RLP, Prof. Dr. Dieter Kugelmann, sah in dem Vorgehen dieser Krankenkasse eine „zu weitreichende Verarbeitung von medizinischen Daten ohne ausreichende Rechtsgrundlage“.

• Kugelmann kommentiert: „Es geht hier um die Verarbeitung besonders schützenswerter Gesundheitsdaten nach Art. 9 DSGVO. Patienten müssen sich hierbei darauf verlassen können, dass diese nicht ohne ihre Einwilligung zu anderen Zwecken verarbeitet werden, dass sie hinreichend informiert und keine darüber hinausgehenden Zwecke verfolgt werden.“

Durch das vorliegende Urteil des BVerwG bestehe nun Rechtssicherheit über die Verarbeitung der Patientendaten, ohne gesundheitliche Vorsorgemaßnahmen zu behindern. Kugelmanns Fazit: „Das Bundesverwaltungsgericht hat die Selbstbestimmungsrechte von Versicherten gestärkt und die Praxis meiner Behörde bestätigt. Für den Schutz der Gesundheitsdaten von Versicherten ist dies ein sehr gutes Signal!“

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Über uns

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Der Landesbeauftragte

Bundesverwaltungsgericht
Das Bundesverwaltungsgericht

Bundesverwaltungsgericht, 06.03.2026
Keine Verarbeitung der Diagnosen in zur Erstattung eingereichten Rechnungen durch private Krankenversicherung zum Zweck des Angebots von Vorsorgeprogrammen

Bundesverwaltungsgericht
Entscheidungsvormerkung AZ. 6 C 7.24

datensicherheit.de, 05.05.2020
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

datensicherheit.de, 03.11.2019
Patientendaten: Bundesregierung plant Weiterleitung / Anja Hirschel warnt vor „gläsernem Patienten“ und Ausverkauf an zentrales Forschungszentrum

[datensicherheit.de, 08.03.2026] Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lädt zu einer Online-Diskussion im Rahmen ihrer Reihe „Perspektivwechsel“ am 18. März 2026 ein: „Immer mehr Daten für US-Behörden – Wie gläsern werden USA-Reisende?“ Die Veranstaltung wird moderiert von Dr. Alexander Dix, stv. EAID-Vorsitzender.

Immer mehr Daten für US-Behörden – Wie gläsern werden USA-Reisende?

Mittwoch, 18. März 2026, 16.00 bis 17.00 Uhr
Online-Diskussion mit Malte Spitz, Generalsekretär der Gesellschaft für Freiheitsrechte
via „GoTo“
Teilnahme kostenlos, Anmeldung per E-Mail erbeten unter anmeldung_18_03_26@eaid-berlin.de

Nach einem kurzen Impuls des Referenten besteht Gelegenheit zur Diskussion.

US-Einreiseregeln sehen künftig vor, dass Touristen bei visumfreier Einreise zahlreiche persönliche Daten preiszugeben haben

Die von der Trump-Administration geplanten verschärften Einreiseregeln sehen demnach vor, dass die Reisenden bei der visumfreien Einreise im Rahmen der Beantragung einer elektronischen Einreisegenehmigung auch ihre Social-Media-Konten der letzten fünf Jahre (z.B. Benutzername), Telefonnummern, E-Mail-Adressen, Namen und Kontaktinformationen von Familienmitgliedern und andere persönliche Kontakte) offenlegen müssen.

• Darüber hinaus sollen die Herkunftsländer – soweit verfügbar – erweiterte biometrische Angaben über die Reisenden liefern (z.B. Gesichtsdaten, Fingerabdrücke).

„Es ist zweifelhaft, inwieweit diese zusätzlichen Datenerhebungen mit dem deutschen und dem europäischen Recht vereinbar sind. Wir wollen darüber sprechen, ob es Möglichkeiten gibt, den mit Sicherheits-Argumenten begründeten Datenhunger der US-Behörden zu stoppen und wie die Europäische Union und Deutschland darauf reagieren sollten.“

Weitere Informationen zum Thema und Zugang zur Online-DIskussion:

Europäische Akademie für Informationsfreiheit und Datenschutz e.V.
Willkommen auf der Website der Europäischen Akademie für Informationsfreiheit und Datenschutz e.V.

GoTo, Karsten Neumann | EAID e.V.
Datenzugriff von US-Behörden bei Einreiseanträgen

Linkedin
Alexander Dix / Stellvertretender Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz

GFF GESELLSCHAFT FÜR FREIHEITSRECHTE
Wer wir sind

GFF GESELLSCHAFT FÜR FREIHEITSRECHTE
Malte Spitz: „Tag für Tag kämpfen wir für die Verteidigung unserer Grund- und Menschenrechte, wir sind die Rechtsschutzversicherung des Grundgesetzes.“

Handelsblatt, 18.02.2026
Vereinigte Staaten: Unsicherheiten um USA-Einreise: Was Urlauber wissen müssen

tagesschau, 15.02.2026
Neue Visaregeln: Was Reisende in die USA jetzt wissen müssen

datensicherheit.de, 11.04.2025
Eine variable Größe: Wie die USA, China und die EU mit dem Datenschutz umgehen​ / Datenschutz ein wichtiger Indikator für das Werteverständnis eines Landes oder eines Staatenbundes

Ein Kommentar von unserer Gastautorin Theresa Lettenmeier, Sales Manager New Business bei Paessler

[datensicherheit.de, 07.03.2026] Die Datenspeicherung hat sich in den letzten Jahren erheblich verändert. In klassischen IT-Umgebungen waren Rechenzentren voller physischer Server in Racks, die viel Platz in klimatisierten Räumen beanspruchten und rund um die Uhr von Teams aus Datenbankadministratoren überwacht wurden.
Im Fokus der aktuellen digitalen Infrastruktur steht jedoch das Management von Cloud-Datenbanken. Unternehmen verarbeiten Arbeitslasten in einem bislang unbekannten Umfang – Cloud-Datenbank-Management macht das möglich, indem es den Wartungsaufwand reduziert und zudem Flexibilität und Effizienz erhöht.

Theresa Lettenmeier, Sales Manager New Business bei Paessler, Bild: Paessler

Gleichzeitig ist auch das Monitoring ein wichtiger Bestandteil beim Management von Cloud-Datenbanken und hilft dabei, Probleme, Engpässe und Anomalien frühzeitig zu erkennen.Cloud-Datenbanken unterscheiden sich grundlegend von herkömmlichen Datenbanken. Schließlich sind sie nicht einfach lokale (On-Premises-)Datenbanken, die in die Cloud verlagert wurden. Cloud-Datenbanken laufen in virtualisierten Umgebungen, die auf der Infrastruktur und den Services von Cloud-Anbietern wie AWS, Google Cloud oder Azure basieren. Zwar erfüllen Cloud-Datenbanken weiterhin die Kernfunktionen eines Datenbankmanagementsystems (DBMS), also das Speichern, Organisieren und Abrufen von strukturierten und unstrukturierten Daten. Gleichzeitig sind sie jedoch speziell für den Betrieb in Cloud-Umgebungen konzipiert. Der administrative Aufwand für Hardware, Serverwartung sowie für Updates von Datenbank- und Infrastruktursoftware liegt in der Verantwortung der Cloud-Anbieter. Interne Teams können sich dadurch stärker auf die Anwendungsentwicklung, das Schreiben von Code und die Geschäftslogik konzentrieren. Cloud-Datenbanken ermöglichen zudem eine automatische Skalierung der Ressourcen innerhalb weniger Minuten, exakt angepasst an den tatsächlichen Bedarf.

Vorteile und Herausforderungen von Cloud-Datenbanken

Ganzheitliches Cloud-Datenbank-Management bietet zahlreiche klare Vorteile im Vergleich zu klassischen Modellen. Dazu gehören unter anderem flexible Skalierbarkeit, kosteneffizienter Betrieb, hohe Verfügbarkeit, Disaster Recovery sowie verbesserte Sicherheit und Compliance.

Gleichzeitig bringt Cloud-Datenbank-Management auch Herausforderungen mit sich, auf die Unternehmen vorbereitet sein müssen. So wird beispielsweise die Anbindung von Netzwerken häufig unterschätzt, stellt jedoch eine kritische Abhängigkeit dar. Schließlich erfolgt der Zugriff auf Cloud-Datenbanken im Gegensatz zu On-Premises-Datenbanken über das Internet. Wenn die Netzwerkverbindung abbricht, können Cloud-Datenbanken unter Umständen nicht mehr erreicht werden. Daher sollten Unternehmen redundante Internetanbindungen einrichten und hybride Architekturen in Betracht ziehen.

Migration von On-Premises-Datenbankservern in die Cloud wird oft unterschätzt

Häufig unterschätzt wird auch die Migration von On-Premises-Datenbankservern in die Cloud, weil dies viel Zeit in Anspruch nehmen kann. Die Umstellungen von Datenbankschemata, der Datentransfer, die Anpassung von Anwendungen sowie umfangreiche Tests erfordern sorgfältige Planung und kontinuierliches Monitoring. Zudem müssen Kosten genau im Blick behalten und optimiert werden. Unternehmen sollten den Ressourcenverbrauch genau beobachten und die Abfrage-Performance kontinuierlich optimieren, um die benötigte Rechenzeit zu reduzieren.

Best Practices für das Monitoring von Cloud-Datenbanken

Ein wichtiger Bestandteil des Managements von Cloud-Datenbanken ist auch das Monitoring der Datenbanken. So lassen sich Performance, Sicherheit und Zuverlässigkeit sicherstellen. Ohne ein geeignetes Monitoring können sich Performance-Probleme lange unbemerkt entwickeln, bevor sie schließlich zu Ausfällen mit schwerwiegenden Folgen führen. Als Grundlage für einen stabilen und zuverlässigen Betrieb macht Datenbank-Monitoring IT-Teams frühzeitig auf potenzielle Probleme und Anomalien aufmerksam. So können entsprechende Maßnahmen zur Behebung ergriffen werden, bevor sich die Probleme ausbreiten. Außerdem lassen sich Ressourcen effizient steuern und kostspielige Ausfallzeiten vermeiden.

Für ein ganzheitliches und zuverlässiges Monitoring von Cloud-Datenbanken sollten Sie Folgendes im Blick haben:

• Umfassende Sichtbarkeit implementieren: Beim Monitoring sollten zentrale Kennzahlen wie Abfrage-Performance, Anzahl der Verbindungen, Speicherauslastung oder Replikationsverzögerungen kontinuierlich überwacht werden. So lassen sich Probleme erkennen, bevor sie sich auf Anwender auswirken.
• Datenbankschemata optimieren: Schemata sollten konsequent an die jeweiligen Datenzugriffsmuster angepasst werden. Saubere Indizierung, Partitionierung und Normalisierung verbessern die Abfrage-Performance erheblich.
• Automatisierung nutzen: Infrastructure-as-Code-Tools ermöglichen die automatisierte Bereitstellung, Konfiguration und Skalierung von Datenbanken und reduzieren so manuelle Fehlerquellen.
• Disaster Recovery einplanen: Backup- und Wiederherstellungsprozesse sollten regelmäßig getestet werden. Für geschäftskritische Datenbanken empfiehlt sich zudem eine Replikation über mehrere Regionen hinweg.
• Zugriffe konsequent absichern: Das Prinzip der minimalen Rechtevergabe (Least Privilege) sollte konsequent umgesetzt werden. Regelmäßige Credential-Rotationen sowie Netzwerkisolation tragen zusätzlich zum Schutz sensibler Daten bei.

Fazit

Angesichts von exponentiell wachsenden Datenmengen und der Erwartungen an immer geringere Antwortzeiten von Anwendungen wird sich das Cloud-Datenbank-Management weiter rasant entwickeln. Um sicherzustellen, dass die Cloud-Datenbank jederzeit zuverlässig funktioniert, und um Probleme frühzeitig zu erkennen, sollten IT-Teams auch das Monitoring von Cloud-Datenbanken berücksichtigen. Monitoring-Tools ermöglichen die Überwachung von Performance, Konnektivität und Ressourcen-Nutzung von Cloud-Datenbanken zentral und in Echtzeit. Dies hilft dabei, Cloud-Datenbank-Infrastrukturen zu optimieren und Kosten zu senken.

Weitere Information zum Thema:

datensicherheit.de, 12.09.2025
OT-Monitoring: Die fünf größten Herausforderungen und Lösungsansätze

[datensicherheit.de, 07.03.2026] Der eco – Verband der Internetwirtschaft e.V. hat in seiner Stellungnahme vom 2. März 2026 gewarnt, dass der vorliegende Entwurf zum „Cybersicherheitsgesetz“ staatliche Eingriffe in Netzinfrastrukturen zur Normalität machen würde: Sicherheitsbehörden sollen demnach weitreichende Befugnisse bis hin zur Umleitung und Veränderung von Datenverkehr erhalten – mithin bislang scharf kritisierte Mechanismen vor allem autoritärer Staaten.

Foto: eco

Klaus Landefeld kritisiert: Cybersicherheit wird in dem geplanten Gesetz nicht mehr in erster Linie als Frage von Schutz, Prävention und Resilienz verstanden, sondern als Legitimation für staatliche Eingriffe in Netze und Systeme

Erhebliche Kompetenz- und Machtverschiebung: BKA, BPOL und BSI

Der Referentenentwurf für ein „Gesetz zur Stärkung der Cybersicherheit“ („Cybersicherheitsgesetz“) greife tief in die Architektur und Steuerungslogik digitaler Infrastrukturen ein und verschiebe das Verständnis von Cybersicherheit grundlegend. Der eco kritisiert diesen Paradigmenwechsel deutlich:

• „Cybersicherheit wird in dem geplanten Gesetz nicht mehr in erster Linie als Frage von Schutz, Prävention und Resilienz verstanden, sondern als Legitimation für staatliche Eingriffe in Netze und Systeme. Diese Verschiebung ist ordnungspolitisch hoch problematisch!“, betont eco-Vorstand Klaus Landefeld.

Der Entwurf sieht laut eco vor, dass mit Bundeskriminalamt (BKA), Bundespolizei (BPOL) und Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig drei Bundesakteure teils neue und deutlich erweiterte Anordnungs- und Eingriffsbefugnisse erhalten. Damit gehe eine erhebliche Kompetenz- und Machtverschiebung einher.

„Cybersicherheitsgesetz“ würde Datenlöschung und -veränderung zulassen

Wenn mehrere Sicherheitsbehörden parallel weitreichende Eingriffsrechte in digitale Infrastrukturen erhielten, stelle sich die Frage nach klaren Zuständigkeitsabgrenzungen und wirksamen rechtsstaatlichen Kontrollmechanismen.

• Besonders kritisch bewertet der eco, dass die vorgesehenen Maßnahmen weit über die bisherige Praxis der Abschaltung eindeutig maliziöser Infrastruktur hinausgingen. Der Entwurf erlaube nicht nur Sperren, sondern ausdrücklich auch die Umleitung oder Unterbindung von Datenverkehr. Zudem sollten BKA und BPOL künftig befugt sein, Daten in IT-Systemen zu erheben, zu löschen oder sogar zu verändern.

„Das ist ein qualitativ neuer Eingriff in die Integrität informationstechnischer Systeme. Hier wird eine Schwelle überschritten: Es geht nicht mehr nur um Gefahrenabwehr an der Peripherie, sondern um aktive Eingriffe in laufende Kommunikations- und Datenverarbeitungsprozesse!“, so Landefelds Warnung.

eco-Positionierung: Cybersicherheit darf nicht zum Einfallstor für staatliche Netzlenkung und Systemmanipulation werden

In der Begründung des Referentenentwurfs werde ausdrücklich beschrieben, dass Datenverkehr auf polizeilich kontrollierte Systeme – sogenannte Sinkholes – umgeleitet werden könne. Ein staatlich angeordnetes Umlenken von „Traffic“ schaffe damit eine technische Infrastruktur, welche strukturell geeignet sei, Kommunikationsflüsse zentral zu beeinflussen. Instrumente wie DNS- und Routing-Eingriffe sowie staatlich angeordnete „Traffic“-Umleitungen seien Bausteine, welche bislang vor allem im Kontext von Zensur- und Kontrollregimen diskutiert worden seien.

• „Wenn wir solche Mechanismen gesetzlich normalisieren, etablieren wir Instrumente, die strukturell für Inhaltslenkung missbraucht werden könnten und verlieren zugleich an Glaubwürdigkeit in der internationalen Debatte über digitale Freiheitsrechte“, unterstreicht Landefeld. Er führt weiter aus: „Um es einmal deutlich zu sagen: Exakt dieselben Mechanismen und Anordnungsbefugnisse mit identischen, niedrigen Begründungserfordernissen haben wir bisher als Gesetze in Russland oder der Türkei auf allen Ebenen massiv kritisiert. Soll das jetzt die neue Normalität auch bei uns in Deutschland werden?“

Abschließend stellt der eco klar, dass Cybersicherheit nicht zum Einfallstor für staatliche Netzlenkung und Systemmanipulation werden dürfe. Ziel müsse die Stärkung der Resilienz digitaler Infrastrukturen sein – nicht die Etablierung weitreichender staatlicher Steuerungs- und Eingriffsmöglichkeiten im Netz. Der Gesetzgeber sei jetzt gefordert, den Entwurf grundlegend zu überarbeiten und klare, rechtsstaatlich tragfähige Leitplanken einzuziehen.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Über uns: eco – Verband der Internetwirtschaft e.V. / Wir gestalten das Internet.

eco VERBAND DER INTERNETWIRTSCHAFT
Vorstand@eco: Klaus Landefeld – Stellv. Vorstandsvorsitzender, Vorstand Infrastruktur und Netze

Handelsblatt, Dietmar Neuerer, 27.02.2026
Cyberangriffe / Dobrindt rüstet Sicherheitsbehörden für digitale Abwehr: Der Innenminister will dem Bundeskriminalamt, der Bundespolizei und dem BSI weitreichende Eingriffsrechte im Cyberraum geben – bis hin zum heimlichen Löschen von Daten.

SPIEGEL Politik, Roman Lehberger und Andreas Niesmannm 27.02.2026
Abwehr von Cyberangriffen BKA und Bundespolizei sollen Hacker aktiv bekämpfen können / »Zukunftsfähige Cyberabwehr aufbauen«: Bundespolizei und BKA sollen Attacken im Netz künftig aktiv stoppen können. Was die Regierung den Behörden dazu alles erlauben will, zeigt ein Gesetzentwurf, der dem SPIEGEL vorliegt.

datensicherheit.de, 18.12.2025
eco-Warnung: Bundespolizeigesetz droht digitale Sicherheit zu untergraben / Der eco äußert Kritik an „Staatstrojanern“, Chat-Kontrolle und drohendem Vertrauensverlust in verschlüsselte Kommunikation

[datensicherheit.de, 07.03.2026] Am 4. März 2026 hat das Bundesverwaltungsgericht (BVerwG) im Rechtsstreit um das Einsichtsrecht der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) in Unterlagen des Bundesnachrichtendienstes (BND) die Klage als „unzulässig“ abgewiesen (6 A 2.24). Dieses Urteil erschwert eine datenschutzrechtliche Kontrolle des BND aus Sicht der BfDI erheblich.

Foto: Johanna Wittig

Prof. Dr. Louisa Specht-Riemenschneider befürchtet als Folge des Urteils, dass im Bereich der Nachrichtendienste kontrollfreie Räume entstehen

Bei verweigerter Einsichtnahme steht BfDI allein „Beanstandung beim Bundeskanzleramt“ zu

„Durch die Klage wollte ich erreichen, dass keine praktischen Kontrolllücken entstehen, damit Grundrechte wirksam geschützt werden können. Dem Bundesverwaltungsgericht zufolge kann ich meine unabhängigen Kontrollbefugnisse nicht gerichtlich durchsetzen, ich habe keine ‚wehrfähige Rechtsposition‘ für eine Klage“, berichtet die BfDI, Prof. Dr. Louisa Specht-Riemenschneider.

• Verweigert der BND nun der BfDI die Einsichtnahme, steht ihr nach Ansicht des Bundesverwaltungsgerichts allein die „Beanstandung beim Bundeskanzleramt“ zu.

Mit einer solchen „Beanstandung“ seien nach dem eindeutigen Willen des Gesetzgebers keine unmittelbar durchsetzbaren Abhilfe- bzw. Durchgriffsbefugnisse verbunden. Diese gesetzgeberische Entscheidung dürfe nicht durch die Einräumung einer wehrfähigen Rechtsposition der BfDI unterlaufen werden.

BfDI sieht durch Urteil Schwächung des Grundrechts auf Informationelle Selbstbestimmung

„Als Folge des Urteils befürchte ich, dass im Bereich der Nachrichtendienste kontrollfreie Räume entstehen. Die kontrollierte Stelle kann nunmehr faktisch selbst darüber entscheiden, was mir zur Einsicht gegeben und was damit durch mich kontrolliert wird. Die Gesetzeslage ist absurd und muss korrigiert werden!“, so Specht-Riemenschneider.

• Sie unterstreicht: „Aus meiner Sicht muss es immer eine Instanz geben, die über strittige Fragen entscheidet. Diese Instanz kann aber nicht das Bundeskanzleramt sein, denn innerhalb der Exekutive bin ich vollständig unabhängig und weisungsfrei. Ich muss meine Kontrollrechte im Interesse des Grundrechtsschutzes vor Gericht durchsetzen können. Ich appelliere an den Gesetzgeber, mir für Streitigkeiten über meine Kontrollrechte und -pflichten beim BND einen Rechtsweg zu geben!“

Specht-Riemenschneider sieht durch das Urteil eine Schwächung des Grundrechts auf Informationelle Selbstbestimmung: „Bürgerinnen und Bürger haben gegenüber den Nachrichtendiensten wegen der geheim stattfindenden Datenverarbeitungen kaum Möglichkeiten, sich selbst gegen nachrichtendienstliche Maßnahmen zur Wehr zu setzen, die tief in ihre Privatsphäre eingreifen können.“

BfDI-Kritik: Durchsetzung der Betroffenenrechte infolge des Urteils massiv beschränkt

Deshalb habe ihr das Bundesverfassungsgericht eine Kompensationsfunktion zugewiesen. Indes: „Meine Möglichkeiten zur Durchsetzung der Betroffenenrechte sind mit dem heutigen Urteil massiv beschränkt.“ Anlass für ihre Klage war demnach ein Kontrolltermin der BfDI, bei dem der BND die Einsichtnahme in Anordnungen individueller nachrichtendienstlicher Aufklärungsmaßnahmen verweigert hatte.

• In diesem Fall sei es um Anordnungen von sogenannten CNE-Maßnahmen gegangen, welche notwendig seien, um ein „Hacking“ von IT-Systemen von Ausländern im Ausland zu rechtfertigen. Es habe sich also um einen sensiblen Vorgang gehandelt, welcher aus Sicht der BfDI eine besonders gründliche Prüfung notwendig gemacht hätte.

Eine umfassende Kontrolle dieser Maßnahmen durch die BfDI könne als Folge des vorliegenden Urteils nun nicht erfolgen. Die BfDI beabsichtigt, die Auswirkungen des Urteils auf die Durchsetzung der bundes- und europarechtlichen Regelungen durch eine unabhängige Datenschutz-Aufsichtsbehörde eingehend zu prüfen.

Weitere Informationen zum Thema:

BfDI, Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Unsere Mission: Datenschutz, Datenschutzaufsicht und Informationsfreiheit als Wegbereiter einer grundrechtssensiblen digitalen Transformation

BfDI, Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Prof. Dr. Louisa Specht-Riemenschneider / Der Lebenslauf der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

Bundesverwaltungsgericht
Das Bundesverwaltungsgericht

BND
Aufsicht & Kontrolle / Die Befugnisse des BND sind klar geregelt.

datensicherheit.de, 02.05.2021
ePrivacy-Verordnung 2021: Ausnahmen unterlaufen Schutz vor Überwachung durch Geheimdienste / Patrycja Schrenk kritisiert abgespeckte Schlüsselpassagen im aktuellen Entwurf der ePrivacy-Verordnung

datensicherheit.de, 24.07.2013
Die Datenschutzbeauftragten des Bundes und der Länder: Geheimdienste gefährden massiv den Datenverkehr / Kritik am umfassenden und anlasslosen Datenzugriff ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung

datensicherheit.de, 20.06.2013
Globale Internet-Überwachung durch Geheimdienste wird zum Politikum / Kritische transatlantische Anmerkungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

[datensicherheit.de, 06.03.2026] Die rasanten technologischen Entwicklungen der letzten Zeit haben auch die Prüfungsbranche vor erhebliche Veränderungen und neue Herausforderungen gestellt. Um Schritt zu halten, erhalten IT-Audit- und Assurance-Experten neue Werkzeuge an die Hand. Dazu gehört das von ISACA neu aufgelegte, kostenlose IT Audit Framework (ITAF): A Professional Practices Framework for IT Audit. Die überarbeitete 5. Auflage enthält eine aktualisierte Terminologie, neue Beispiele und einen erweiterten Anwendungsbereich. Damit trägt sie aufkommenden Technologien, Aspekten des digitalen Vertrauens und neuen Prüfungspraktiken besser Rechnung.

ITAF – Letzte Aktualisierung 2020

Als langjährige Grundlage für Audit- und Assurance-Experten wurde das ITAF zuletzt im Jahr 2020 aktualisiert. Das umfassende IT-Prüfungsrahmenwerk legt Standards fest, die Rollen und Verantwortlichkeiten, Ethik, erwartetes berufliches Verhalten sowie erforderliches Wissen und Fähigkeiten von IT-Prüfern und Assurance-Spezialisten behandeln. Es definiert Fachbegriffe und Konzepte für die IT-Prüfung und -Assurance und bietet Leitlinien sowie Techniken für die Planung, Durchführung und Berichterstattung von IT-Audit- und Assurance-Prüfungen.

Die 5. Auflage des ITAF erhöht nach eigenen Angaben  die Verständlichkeit und integriert die neuesten Ressourcen von ISACA, einschließlich Anleitungen zur KI-Prüfung. Sie zielt darauf ab, sowohl traditionelle Assurance-Funktionen als auch moderne Prüfungsteams zu unterstützen, die Datenanalyse, Automatisierung, agile Methoden und KI nutzen. Das neue Rahmenwerk legt einen stärkeren Schwerpunkt auf Governance, Transparenz und die Bereitschaft für fortschrittliche Technologien. Es bietet gleichzeitig praktischere, flexiblere und global relevantere Anleitungen.

Dies geschieht unter anderem durch:

• Modernisierung von Inhalt und Umfang: Die 5. Auflage aktualisiert Terminologie, Definitionen und Beispiele, um heutige Technologien – wie Cloud Computing, KI/maschinelles Lernen und Geschäftsautomatisierung – widerzuspiegeln. Sie geht damit über den traditionellen Fokus auf IT-Kontrollen der vorherigen Version hinaus.
• Integration von digitalem Vertrauen und neuen Technologien: Das neue Rahmenwerk integriert Konzepte des digitalen Vertrauens in Planung, Durchführung und Berichterstattung. Zudem fügt es Leitlinien für die Prüfung von KI/maschinellem Lernen hinzu, die auf die KI-Prüfungsleitlinien von ISACA und das umfassendere Ökosystem des digitalen Vertrauens abgestimmt sind.
• Erhöhte Flexibilität, Praktikabilität und Anwendbarkeit: Diese aktualisierte Ausgabe verwendet eine Sprache, die für Organisationen jeder Größe geeignet ist, ergänzt praktische Beispiele und verbessert die Übersichtlichkeit durch ein modernisiertes Layout.
• Erweiterte Prüfungspraktiken und Governance-Anforderungen: Die neue Version erweitert den Umfang der IT-Prüfung auf Datenanalyse, agile Prüfung, kontinuierliche Zusicherung (Continuous Assurance) und KI-Governance. Sie stellt zudem höhere Anforderungen an Transparenz, den ethischen Einsatz von Technologie und die Aufsicht über automatisierte Systeme.

„Da sich die Technologie rasant weiterentwickelt, müssen IT-Audit- und Assurance-Expertinnen und -Experten unbedingt mit den veränderten Technik- und Branchenstandards Schritt halten. Nur so können sie Prüfungen effektiv durchführen und sicherstellen, dass ihre Organisationen die gesetzlichen Anforderungen erfüllen“, so Mary Carmichael, Executive Advisor und Principal Director, Strategy and Risk bei Momentum Technology, Vorstandsmitglied des ISACA Vancouver Chapter und Hauptentwicklerin der 5. ITAF-Auflage. „Das erweiterte und aktualisierte ITAF gibt IT-Prüferinnen und -Prüfern ein robustes Werkzeug und eine verlässliche Orientierungshilfe an die Hand. Damit können sie die neuen Herausforderungen von heute meistern und in einem immer komplexeren und vernetzteren digitalen Ökosystem für Vertrauen sorgen.“

Weitere Informationen zum Thema:

ISACA
IT Audit Framework (ITAF), 5th Edition | Digital | English

ISACA
Expert guidance and practical tools to stay ahead of the curve in your IT audit and assurance career

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften

[datensicherheit.de, 06.03.2026] Die Zusammenarbeit mit externen Partnern stellt Unternehmen in Deutschland zwangsläufig vor erhöhte Herausforderungen auf dem Gebiet der Cybersicherheit: Knapp ein Drittel (29%) der Unternehmen in Deutschland war nach aktuellen Kaspersky-Erkenntnissen in den vergangenen zwölf Monaten von einem Angriff auf die Lieferkette betroffen; 26 Prozent zudem von sogenannten Trusted-Relationship-Angriffen. Die häufigste Konsequenz dieser Angriffe sind demnach: Betriebsunterbrechungen (50%), Reputationsschäden (46%) und finanzielle Verluste (34%). Dennoch stuften lediglich fünf Prozent „Supply Chain“-Angriffe beziehungsweise drei Prozent „Trusted Relationship“-Angriffe als größte Bedrohung für ihr Unternehmen ein. Dies spricht laut Kaspersky für eine „Diskrepanz zwischen wahrgenommenen Cyberrisiken und deren Priorisierung in der Praxis“.

Abbildung: Kaspersky

Diskrepanz: Betroffenheit vs. Wahrnehmung der Bedrohung der Lieferkette

Nur 5% der Befragten stufen Angriffe auf die Lieferkette als größte Bedrohung

29 Prozent der Unternehmen in Deutschland seien in den vergangenen zwölf Monaten von einem „Supply Chain“-Angriff, 26 Prozent von einem „Trusted Relationship“-Angriff betroffen gewesen.

• Als mögliche Konsequenz im Falle von „Supply Chain“- und „Trusted Relationship“-Angriffen habe die Hälfte (50%) der Befragten in Deutschland Betriebsunterbrechungen genannt – gefolgt von Reputationsschäden (46%) und finanziellen Verlusten (34%).

Allerdings zeige sich eine Widersprüchlichkeit zwischen den Angriffszahlen, den Auswirkungen und der Einordnung als Bedrohung. Denn nur fünf Prozent der befragten technischen Experten stuften „Supply Chain“-Angriffe und drei Prozent „Trusted Relationship“-Angriffe als größte Bedrohung für ihr Unternehmen ein.

Mittelgroße Unternehmen in Deutschland am häufigsten von Angriffen auf die Lieferkette betroffen

Wie die Kaspersky-Umfrage gezeigt habe, steige in Deutschland die durchschnittliche Anzahl der Software- und Hardwarelieferanten mit der Unternehmensgröße: Bei Unternehmen mit 500 bis 1.499 Mitarbeitern liege sie bei 105, bei 1.500 bis 2.499 Mitarbeitern bei 192 und bei 2.500 oder mehr Mitarbeitern bei 536 Software- und Hardwarelieferanten.

• Betroffen von „Supply Chain“Angriffen seien jedoch am häufigsten Unternehmen mit 1.500 bis 2.499 Mitarbeitern (36%) gewesen, gefolgt von Unternehmen mit 500 bis 1.499 Mitarbeitern (30%). Bei Unternehmen mit 2.500 oder mehr Mitarbeitern habe der Anteil bei elf Prozent gelegen. Zusätzlich zeige sich, „dass sich die durchschnittliche Zahl externer Auftragnehmer mit Systemzugang je nach Unternehmensgröße unterscheidet“.

Diese steige von 45 bei Unternehmen mit 500 bis 1.499 Mitarbeitern auf 140 bei Unternehmen mit 2.500 Mitarbeitern oder mehr an. Eine hohe Zahl externer Auftragnehmer mit Systemzugang könne neben „Supply Chain“-Risiken potenziell auch „Trusted Relationship“-Angriffe begünstigen, bei denen legitime Verbindungen und Zugänge zwischen Organisationen missbraucht würden.

Lieferketten- und „Trusted Relationship“-Angriffe im internationalen Vergleich

International zeige sich ein vergleichbares, teils noch ausgeprägteres Bild: „Weltweit waren 31 Prozent der Unternehmen von ,Supply Chain’-Angriffen betroffen, 25 Prozent meldeten ,Trusted Relationship’-Angriffe. Besonders häufig berichteten Unternehmen in der Türkei (35%), Singapur (33%) und Mexiko (31%) von Angriffen über bestehende Geschäftsbeziehungen.“

• Gleichzeitig werde die Gefährlichkeit von „Supply Chain“-Angriffen in einigen Ländern deutlich stärker wahrgenommen als im globalen Durchschnitt: In Singapur stuften 38 Prozent der Unternehmen diese Angriffe als eine der drei gefährlichsten Cyberbedrohungen ein, in Brasilien und Kolumbien jeweils 36 Prozent, in Mexiko 35 Prozent. Weltweit hingegen sähen nur neun Prozent der befragten technischen Experten „Supply Chain“-Angriffe als größte Bedrohung, „lediglich acht Prozent nennen ,Trusted Relationship’-Angriffe als Top-Risiko – obwohl mehr als die Hälfte der Befragten (52%) angebe, dass solche Vorfälle erhebliche operative Störungen verursachen können“.

„Unternehmen agieren in einem digitalen ,Ökosystem’, in dem jede Verbindung, jeder Lieferant, jede Integration Teil der eigenen Sicherheit wird“, so Sergey Soldatov, „Head of Security Operations Center“ bei Kaspersky, in seinem Kommentar. Er führt aus: „Da Unternehmen immer stärker vernetzt sind, wächst auch ihre Anfälligkeit für Angriffe. Vor diesem Hintergrund erfordert der Schutz moderner Unternehmen heute einen ,ökosystem’-weiten Ansatz, der nicht nur einzelne Systeme stärkt, sondern das gesamte Beziehungsnetzwerk, das den Geschäftsbetrieb aufrechterhält!“

Kaspersky-Empfehlungen zur Reduzierung der Cyberrisiken entlang der Lieferkette:

• Lieferanten vor Vertragsabschluss gründlich prüfen!
  Sicherheitsrichtlinien, Informationen zu früheren Vorfällen sowie die Einhaltung relevanter Industriestandards bewerten. Bei Software- und Cloud-Services zusätzlich verfügbare Schwachstellendaten sowie Ergebnisse von Penetrationstests berücksichtigen.
• Sicherheitsanforderungen vertraglich festschreiben!
  Verbindliche IT-Security-Klauseln definieren, regelmäßige Audits einplanen und die Einhaltung interner „Policies“ sowie klarer „Incident Notification“-Prozesse sicherstellen.
• Präventive technische Maßnahmen etablieren!
  Prinzip der minimalen Rechtevergabe („Least Privilege“), Zero-Trust-Ansätze und ein reifes Identity- und Access-Management umsetzen, um die Auswirkungen bei einer Kompromittierung eines Zulieferers zu begrenzen.
• Kontinuierliches Monitoring sicherstellen!
  Laufende Überwachung der Infrastruktur und Anomalie-Erkennung in Software- sowie Netzwerkverkehr etablieren – je nach internen Ressourcen etwa mit XDR- oder MXDR-Ansätzen. („Kaspersky Next XDR Expert“ sowie „Kaspersky Managed Detection and Response“ können hierzu Unterstützung bieten).
• Incident-Response-Plan erweitern!
  Reaktionspläne explizit um „Supply Chain“-Szenarien ergänzen – inklusive klarer Schritte zur schnellen Identifikation, Eindämmung und Trennung kompromittierter Supplier-Zugänge, beispielsweise zur Entkopplung des Lieferanten von Unternehmenssystemen.
• Lieferanten in die eigene Sicherheit einbeziehen!
  Sicherheitsanforderungen und Verbesserungen beidseitig abstimmen, gemeinsame Prioritäten definieren und operative Zusammenarbeit wie Meldewege, Übungen und Lehren etablieren.

Weitere Informationen zum Thema:

kaspersky
Cyberimmunität ist unser erklärtes Ziel / Wir sind ein Team von über 5.000 Fachleuten mit einer über 25-jährigen Erfolgsgeschichte im Schutz von Privatpersonen und Unternehmen weltweit und haben uns die weltweite Cyberimmunität als ultimatives Ziel gesetzt.

Linkedin
Sergey Soldatov / Information Security Professional, vCISO

kaspersky
Supply chain reaction: securing the global digital ecosystem in an age of interdependence

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 02.06.2025
Die Angst vor dem schwächsten Glied: Cybersicherheit in der Lieferkette / Laut einer aktuellen Umfrage von Sophos haben die meisten der leitenden Manager Bedenken, dass die Integrität ihres Unternehmens durch Cybergefahren entlang der Lieferkette beeinträchtigt werden kann

datensicherheit.de, 20.04.2025
Kritische Infrastrukturen: Jede zweite Organisation unzureichend vor Cyber-Attacken in der Lieferkette geschützt / Erkenntnisse aus aktueller „DNV Cyber-Studie“ legen verstärkten Fokus auf Lieferanten nahe