[datensicherheit.de, 10.11.2025] Laut einer aktuellen Stellungnahme von ONEKEY entwickeln sich erweiterte Software-Stücklisten zum Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen. Die EU-Verordnung „Cyber Resilience Act“ (CRA) schreibt vor, dass die Hersteller und Inverkehrbringer digitaler Produkte mit Internetanschluss künftig eine „Software Bill of Materials“ (SBOM), also eine Software-Stückliste, vorweisen müssen – mit dem Ziel, mögliche Software-Schwachstellen, die Hackern als Angriffsfläche dienen könnten, zu identifizieren, um sie zeitnah beheben zu können.

Derzeit noch viele SBOMs unvollständig, veraltet oder ohne Kontext zu Schwachstellen

Der CRA verlange daher für vernetzte Geräte, Maschinen und Anlagen ausnahmslos eine detaillierte Auflistung aller Programme, Bibliotheken, „Frameworks“ und Abhängigkeiten mit genauen Versions­nummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten Schwachstellen und Sicherheitslücken.

• Diese Anforderungen zu erfüllen falle noch vielen Herstellern schwer – und sei es nur, weil sie von ihren Vorlieferanten nicht die gewünschten Informationen in der notwendigen Vollständigkeit erhielten.

Aus diesem Grund seien viele SBOMs unvollständig, veraltet oder ohne Kontext zu Schwachstellen. Für die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht von Seiten der Hersteller seien diese lückenhaften und teilweise überholten SBOMs somit unbrauchbar.

Angereicherte SBOMs – Software- Stücklisten auf dem Weg zum Sicherheitspass

Jetzt hat ONEKEY seine Plattform zur Überprüfung von Gerätesoftware (Firmware) auf Sicherheitsmängel nach eigenen Angaben mit einer neuen Funktion versehen, um sogenannte angereicherte SBOMs zu erzeugen.

• Die stark erweiterten Software-Stücklisten enthielten alle relevanten Informationen zu Schwachstellen – die damit erzeugten SBOMs erfüllten alle Anforderungen der Branche vollumfänglich. Sie enthielten nicht nur die Schwachstellen mit Risikoeinordnung, sondern stellten auch die Nachweise und Begründungen in einer einzigen leicht handhabbaren Datei bereit.

„Somit wird die SBOM von der bloßen Stückliste zu einer Art Sicherheitspass mit integrierter Risiko­bewertung“, unterstreicht Jan Wendenburg, CEO von ONEKEY. Seine Erkenntnis auf Basis vieler Gespräche mit Herstellern: „Die häufig komplexen Lieferketten und das oftmals mangelnde Verständnis von Lieferanten außerhalb der Europäischen Union für EU-spezifische Regulierungen erschweren es, den Anforderungen des ,Cyber Resilience Act’ nachzukommen.“ Die neue Funktionalität stelle nun einen entscheidenden Beitrag dar, diese Hürde zu überwinden.

Umfassendes Schwachstellen-Management statt bloßer -Erkennung mittels ONEKEY-Plattform

Das jüngste Feature sei Teil einer Offensive zum Ausbau der Plattform von ONEKEY, so dass diese das umfassende Management von Schwachstellen in Software noch besser unterstützen könne. Bislang sie diese Plattform vor allem auf die bloße Erkennung von Software-Schwachstellen ausgerichtet gewesen.

• „Mängel zu identifizieren ist nur der erste Schritt“, so Wendenburg. Er führt weiter aus: „Jetzt gehen wir die weiteren Schritte, um die Hersteller soweit wie möglich von aufwändigen manuellen Tätigkeiten zur Erlangung der CRA-Konformität zu entlasten.“

Durch automatisierte „Workflows“, kontextuelle Bewertungen und audit-fertige Dokumentationen sollen Sicherheits- und „Compliance“-Teams demnach in die Lage versetzt werden, schneller zu reagieren und regulatorisch korrekt zu agieren. „Indem wir der Plattform ermöglichen, immer mehr Routineaufgaben zu übernehmen, geben wir den Spezialisten mehr Zeit, sich auf ihre wichtigste Aufgabe zu konzentrieren, die Sicherheit ihrer Geräte, Maschinen und Anlagen zu maximieren“, kommentiert Wendenburg in Anlehnung an die Unternehmensstrategie.

Weitere Informationen zum Thema:

ONEKEY
wir ermöglichen Produkt Cybersicherheit und Compliance in einer vernetzten Welt

ONEKEY
Automatisiertes Schwachstellenmanagement / Reduzieren Sie die time-to-fix und dringen Sie durch den Lärm

Linkedin
Jan C. Wendenburg – ONEKEY

Bundesamt für Sicherheit in der Informationstechnik
SBOM-Anforderungen: TR-03183-2 stärkt Sicherheit in der Software-Lieferkette

Bundesamt für Sicherheit in der Informationstechnik
Cyber Resilience Act / Cybersicherheit EU-weit gedacht

datensicherheit.de, 18.06.2025
SBOM for AI: BSI-geleitete G7-Arbeitsgruppe veröffentlicht gemeinsames Konzept / Im Rahmen des jüngsten G7-Arbeitstreffens in Ottawa hat das BSI mit den -Partnern ein gemeinsames Konzept für eine „Stückliste“ für KI-Systeme abgestimmt

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 31.10.2025] KnowBe4 hat nach eigenen Angaben mit seiner „Student Edition“ einen Meilenstein von einer Million geschulten Schülern bzw. Studenten erreicht. Das „KnowBe4 Student Edition“-Sicherheitstraining, konzipiert für Schüler ab 16 Jahren, behandelt demnach wichtige Themen wie Phishing und Diebstahl von Zugangsdaten, „Sextortion“ und „Doxing“, „Oversharing“ und digitale Privatsphäre sowie Finanzbetrug und „Campusbetrug“. Es soll Schüler und Studenten darauf vorbereiten, heute und in ihrer zukünftigen Karriere „cyberfit“ zu sein – und somit sie selbst und ihre Einrichtungen gleichzeitig vor aktuellen Angriffen zu schützen.

Abbildung: KnowBe4

„KnowBe4 Student Edition“: Cybersicherheitstraining für Schüler ab 16 Jahren

Training soll echte Sicherheitskultur an Schulen und Universitäten weltweit aufbauen

„Die Bedeutung dieses Meilensteins geht über die reine Schulung von Schülern und Studenten hinaus; das Training trägt dazu bei, eine echte Sicherheitskultur an Schulen und Universitäten auf der ganzen Welt aufzubauen“, erläutert Ben Syn, „Director University and Career Education“ bei KnowBe4.

• Er führt zur Motivation aus: „Unser Engagement für Bildung geht über unsere branchenführende Plattform hinaus, denn wir glauben daran, dass jeder in die Lage versetzt werden sollte, sich im Cyberspace zu behaupten.“

Mit über 100 Millionen Lernenden in 70.000 Organisationen weltweit habe sich KnowBe4 zum Ziel gesetzt, Menschen jeden Alters zu befähigen, sich sicher im Internet zu bewegen.

Cybersicherheitstrainings: Spaß haben gestattet

Tina Rebello, Informationssicherheitsanalystin an der Bridgewater State University, zu ihren positiven Erfahrungen mit der „KnowBe4 Student Edition“: „Die Studenten brachten sich gegenseitig die Warnsignale von Phishing-Nachrichten bei und hatten viel Spaß dabei, diese auseinanderzunehmen. Das hat unsere Studenten auch ein wenig näher zusammengebracht, was wirklich spannend zu beobachten war.“

• Syn hat zudem auf der diesjährigen „EDUCAUSE Annual Conference“ an einer Podiumsdiskussion zum Thema „Beyond Borders: Transforming Student Cybersecurity from Obligation to Campus Culture“ (Über Grenzen hinweg: Die Cybersicherheit von Studenten von einer Verpflichtung zu einer Campus-Kultur machen) teilgenommen.

Diese Sitzung hat umsetzbare Strategien zur Verbesserung der Engagement-Raten von Studenten vorgestellt und aufgezeigt, wie das Bewusstsein für Cybersicherheit von einer alltäglichen Pflicht zu einer lebendigen Campus-Kultur werden könnte. Darüber hinaus bietet KnowBe4 ein kostenloses interaktives Cybersicherheits-Aktivitäten-Kit für Kinder im Alter von fünf bis 15 Jahren an. Dieses soll Eltern und Pädagogen eine unterhaltsame und ansprechende Möglichkeit bieten, die Grundlagen der Online-Sicherheit zu vermitteln.

Weitere Informationen zum Thema:

knowbe4
Anpassbares, KI-gestütztes Security Awareness Training / Wir integrieren KI in die weltweit größte Bibliothek mit Security Awareness Training und Social-Engineering-Simulationen, um das Verhalten von Nutzerinnen und Nutzern nachhaltig zu ändern

knowbe4
Student edition: Empower Your Students for a Secure Digital Future and a Strong Security Culture

Linkedin
Ben Syn / CISSP | Education Sector Director @ KnowBe4

YouTube, KnowBe4 | Human Risk Management, 12.02.2025
KnowBe4 Cybersecurity Awareness Month | Bridgewater State University

EDUCAUSE Annual Conference 2025
Presenter Directory: Ben Syn / Director University and Career Education, KnowBe4

knowbe4
KnowBe4 Children’s Interactive Cybersecurity Activity Kit

idwatchdog from Equifax
Back to Campus: 9 Scams for College Students to be Aware of as They Head Back to School

datensicherheit.de, 06.09.2025
E-Mail Threat Landscape Report: Zunahme dynamischer Phishing-Angriffe auf Unternehmen / Der vorliegende Bericht zeigt ganz klar auf, dass E-Mails ein Haupteinfallstor für Cyberangriffe bleiben – dabei setzen Cyberkriminelle verstärkt auf Quishing

datensicherheit.de, 27.08.2025
Kreditkartenbetrug im Internet: Zunahme der Bedrohung für Verbraucher / In Deutschland wurden 24 Prozent der Verbraucher Opfer von Online-Betrug – 15 Prozent durch Kreditkarten-Missbrauch

datensicherheit.de, 07.06.2025
Verbraucherzentrale NRW: Erste Hilfe bei Datendiebstahl und Geldverlust / Die Verbraucherzentrale NRW erläutert häufige Betrugsmaschen und gibt Tipps zur Rettung von Daten und Geld

datensicherheit.de, 08.06.2024
Soziale Netzwerke: KnowBe4 warnt vor Cyber-Gefahren übermäßigen Teilens / Cyber-Stalking bedauerliche Realität in der heutigen digitalen Landschaft

datensicherheit.de, 14.02.2023
45 Jahre Bundesbeauftragter für den Datenschutz: Schutz der Privatsphäre der Bürger / Seit 2006 neben dem Datenschutz auch die Informationelle Selbstbestimmung im Fokus

datensicherheit.de, 02.04.2021
kaspersky-Warnung: Doxing-Angriffe auf Unternehmen / Experten von kaspersky beobachten besonders viele Attacken mit Hilfe gefälschter, geschäftlicher E-Mails

datensicherheit.de, 11.03.2019
Sextortion: Cybererpressung mit angeblich kompromittierenden Videos / Doppelt so wahrscheinlich wie BEC-Angriffe

[datensicherheit.de, 22.10.2025] Der Master-Studiengang „Digital Transformation Management“ der IST-Hochschule soll Fachkräfte auf die Zukunft vorbereiten – dabei wird betont, dass die Digitale Transformation weit mehr ist als bloß ein technischer Wandel: „Sie verlangt nach Menschen, die strategisch denken, empathisch führen und Innovationen verantwortungsvoll gestalten.“ Philipp Heinrich, Qualitätsmanager und in der Stabsstelle der Geschäftsführung bei Lufthansa Seeheim beschäftigt, zeigt auf, wie dies gelingen kann: Der 38-Jährige studiert demnach berufsbegleitend „Master Digital Transformation Management“ an der IST-Hochschule für Management – und verbindet Theorie und Praxis auf beispielhafte Weise.

© Philipp Heinrich (privat)

Philipp Heinrich: Technologie kann uns entlasten – aber Transformation gelingt nur, wenn wir Menschen mitnehmen und ihnen Orientierung geben!

Zunehmende Digitalisierung erweitert Verantwortungsbereiche

Seit über 15 Jahren in der Hotellerie tätig war Heinrich zunächst als „F&B-Manager“ bei Hilton und A-Rosa tätig, heute ist er als Qualitätsmanager bei der Lufthansa Seeheim GmbH, einem der größten Konferenzhotels Deutschlands, beschäftigt.

• In seiner aktuellen Position verantwortet der 38-Jährige zentrale Themen wie Datenschutz, Informationssicherheit, „Business Continuity Management“ und Nachhaltigkeit. Somit bewegt er sich an der Schnittstelle zwischen „Technik“, „Strategie“ und „Mensch“.

„Die zunehmende Digitalisierung hat meinen Verantwortungsbereich enorm erweitert“, berichtet Heinrich. Er hebt hervor: „Gerade in der Hotellerie ist es spannend, wie schnell Prozesse digitalisiert werden – vom automatisierten Garprozess in der Küche über Check-in-Terminals bis hin zu Chatbots im Gästeservice.“ Doch für Heinrich ist es ganz klar: „Hospitality lebt vom persönlichen Kontakt! Die Kunst liegt darin, Technologie gezielt einzusetzen, ohne die Seele der Branche zu verlieren.“

Lufthansa Seeheim versteht sich als Vorreiter digitaler Hotellerie

Als Teil der Lufthansa Group steht dieses Konferenzhotel unter besonderen Anforderungen – insbesondere bei Datenschutz, IT-Sicherheit und Risikomanagement. „Wir erfüllen als eines der wenigen Hotels in Deutschland die ISO-27001-Standards“, so Heinrich. Diese hohe Sicherheitsstufe schaffe Vertrauen und biete zugleich Chancen:

• „Durch die enge Zusammenarbeit mit der Lufthansa Industry Solutions oder dem Lufthansa Innovation Hub können wir digitale Trends direkt in den Hotelbetrieb übertragen – und werden so zu einem Innovationsmotor in der Branche.“

Der Master-Studiengang „Digital Transformation Management“ an der IST-Hochschule soll nun genau diese Kompetenzen vermitteln: Er bereite Berufstätige darauf vor, Veränderungsprozesse strategisch zu planen, zu kommunizieren und umzusetzen – von der Unternehmensführung bis zur Organisationsentwicklung.

„Digital Transformation Management“ soll Balance aus akademischer Tiefe und praxisnaher Relevanz beiten

Für Heinrich sei das flexible Studienkonzept der entscheidende Faktor gewesen: „Ich kann das Gelernte sofort anwenden und mit meinen beruflichen Projekten verknüpfen.“ Die Kombination aus Online-Vorlesungen, Praxisaufgaben und persönlichem Austausch mit Dozenten sei optimal für Berufstätige.

• Bereits zuvor hatte der gebürtige Zwingenberger mehrere Weiterbildungen am IST absolviert – darunter den „Hotelbetriebswirt“, den „F&B Manager“ und das Hochschulzertifikat im „Hospitality Controlling“.

Diese schrittweise Qualifikation habe ihn schließlich zum Bachelor in „Hotel Management“ und anschließend zum Master-Studium geführt. „Das IST-Lernkonzept begleitet mich seit Jahren. Es bietet die perfekte Balance aus akademischer Tiefe und praxisnaher Relevanz“, so seine Erfahrung.

Digitalisierung sollte als persönliche – menschliche – Entwicklungschance gesehen werden

Neben seiner verantwortungsvollen Führungsposition ist Heinrich zweifacher Vater. Dass er dennoch Zeit für ein Master­-Studium findet, liege an seiner klaren Motivation: „Ich wollte Neues lernen – nicht, ich musste…“

• Für ihn bedeutet die Digitale Transformation keinen Selbstzweck – sondern ein Werkzeug, um Arbeitsprozesse und Zusammenarbeit menschlicher und effizienter zu gestalten.

„Technologie kann uns entlasten – aber Transformation gelingt nur, wenn wir Menschen mitnehmen und ihnen Orientierung geben!“ Mehr Informationen zum berufsbegleitenden Master-Studium „Digital Transformation Management“ gibt es auf der Website der IST-Hochschule.

Weitere Informationen zum Thema:

iST HOCHSCHULE für Management
Die IST-Hochschule

iST HOCHSCHULE für Management
Master Digital Transformation Management

Linkedin
Philipp Heinrich – Qualitätsmanager / DPC / ISO

Lufthansa Seeheim
Showtime: ein Tagungshotel stellt sich vor

Lufthansa Industry Solutions
Ihr Partner für die digitale Transformation

Lufthansa Innovation Hub
Unsere Kultur

datensicherheit.de, 19.08.2025
Abkehr von Technik-Zentrierung: Digitale Transformation beginnt mit Menschen / Wer die Digitale Transformation aktiv mitgestalten möchte, braucht mehr als nur technisches Know-how – strategisches Denken, moderne Führungskompetenz und betriebswirtschaftliches Verständnis gelten als zentrale Voraussetzungen für wirksames Handeln

datensicherheit.de, 11.05.2025
Neue Herausforderungen für die Cybersicherheit: KI und der menschliche Faktor / Für eine effektive Verteidigung sind integrierte, sorgfältig geplante und implementierte Strategien erforderlich. Zero Trust, Threat-Intelligence, Mitarbeitersensibilisierung und die Einführung vertrauenswürdiger Lösungen sind nur einige der Eckpfeiler einer effizienten Strategie.

datensicherheit.de, 29.01.2025
GenAI und Menschlicher Faktor wichtigste Datenschutzaspekte / Ein Prozent der Benutzer für 88 Prozent der Datenverlustwarnungen verantwortlich

datensicherheit.de, 02.05.2024
Faktor Mensch bleibt der am häufigsten genutzte Angriffsvektor / Je mehr Menschen vor dem Öffnen einer E-Mail nachdenken, desto geringer das Cyber-Infektionsrisiko für die gesamte Organisation

datensicherheit.de, 07.10.2023
Cybersecurity: Sicherheitsfaktor Mensch trotz KI unersetzlich / Mensch und KI sollten einander sinnvoll ergänzen

[datensicherheit.de, 13.09.2025] Stimmfälschung mittels Künstlicher Intelligenz (KI) – sogenanntes Voice Phishing („Vishing“) – gehört inzwischen zu den wirkungsvollsten Täuschungsmethoden im Bereich „Social Engineering“. Angreifer nutzen diese Deepfake-Technologie gezielt, um sich als vertrauenswürdige Führungspersonen oder Kollegen auszugeben – ihr offensichtliches Ziel ist es, an vertrauliche Informationen zu gelangen oder finanzielle Transaktionen zu provozieren.

Abbildung: Screenshot v. YT-Video „CEO Deepfake Call“

Video der Swiss Infosec zur Mitarbeiter-Sensibilisierung: Bereits wenige Sekunden Original-Sprachmaterial genügen, um täuschend echte synthetische Stimmen zu erzeugen!

„CEO Deepfake Call“ soll Mitarbeiter proaktiv für Gefahren KI-basierter Anrufsimulationen sensibilisieren

„Die Zeiten, in denen Ihre Organisation solchen Angriffen unvorbereitet ausgeliefert war, sind vorbei!“, verkündet die Swiss Infosec AG. Mit deren neuem Angebot „CEO Deepfake Call“ sollen jetzt Mitarbeiter proaktiv für die Gefahren KI-basierter Anrufsimulationen (Voice AI Deepfakes) sensibilisiert werden können – „ohne Täuschungsabsicht, aber mit ,Wow’-Effekt“.

Aus wenigen Sprachproben entsteht demnach eine täuschend echte, synthetische Stimme, welche in Echtzeit über einen KI-basierten Voicebot zum Einsatz kommt. „Während des Anrufs erkennt dieser gesprochene Antworten und reagiert unmittelbar mit passenden, natürlich klingenden Sprachantworten in der erzeugten Stimme – automatisch, skalierbar und absolut dialogfähig.“

Deepfake-Konzept für verschiedenste Szenarien wie CEO-Fraud-Simulationen, fiktive Helpdesk-Anrufe u.a. anwendbar

Die Umsetzung erfolge über eine Anrufplattform auf „Cloud“-Basis – indes „ohne Eingriff in Ihre IT“. Swiss Infosec erhalte von Kunden nur eine Liste geschäftlich genutzter Telefonnummern (keine Personendaten). Das Konzept lasse sich auf verschiedenste Szenarien wie CEO-Fraud-Simulationen, fiktive Helpdesk-Anrufe und individuelle „Use Cases“ anwenden.

„CEO Deepfake Call“ – Vorteile dieses „Awareness“-Formats:

• Realitätsnahe Erfahrung aktueller Bedrohungen durch KI-basierte Stimmfälschungen
• Sensibilisierung für glaubwürdig klingende, aber potenziell schädliche Anrufe
• Förderung einer kritischen Haltung gegenüber vermeintlich vertrauten Stimmen
• Sicherer und datenschutzkonformer Einsatz ohne technischen Eingriff in Ihre Infrastruktur
• Skalierbar für KMU ebenso wie für große Organisationen mit mehreren tausend Mitarbeitern
• Erweiterbar durch optionale Auswertungen, Berichte oder weiterführende Trainings

Weitere Informationen zum Thema:

SWISS INFOSEC
Security@its best seit 1989

SWISS INFOSEC
CEO Deepfake Call – Wenn eine vertraute Stimme zum Sicherheitsrisiko wird / Proaktive Sensibilisierung mit KI-basierter Anrufsimulation

YouTube, Swiss Infosec AG, 03.09.2025
CEO Deepfake Call

datensicherheit.de, 11.09.2025
KI-Vishing: Bekannte Stimmen werden zum Sicherheitsrisiko / Beim Vishing inszenieren Cyberkriminelle mit KI-generierten Stimmen täuschend echte Anrufe, um Mitarbeiter zu Zahlungen oder zur Herausgabe sensibler Informationen zu bewegen

datensicherheit.de, 17.08.2025
Deepfakes 2025: Zuvor KI-Spielerei und heute bedrohliches Hacker-Tool / Marco Eggerling warnt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, dass diese auf KI basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist

datensicherheit.de, 14.07.2025
KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen / Ein neuer Bericht von Trend Micro zeigt Methoden hinter deepfake-gestützter Cyberkriminalität auf

datensicherheit.de, 12.07.2025
Deepfake-Betrug verursacht finanziellen Schaden in Millionen-Höhe / Einer aktuellen Studie von Surfshark zufolge gab es in der ersten Hälfte des Jahres 2025 fast viermal so viele Deepfake-Vorfälle wie im gesamten Jahr 2024

datensicherheit.de, 26.03.2025
Vorsicht Vishing: Zahl der Voice-Phishing-Angriffe steigt stark an​ / Neuer Threat Intelligence Report von Ontinue enthüllt alarmierende Entwicklung​

[datensicherheit.de, 04.09.2025] Sogenannte Quantencomputer werden künftig vermutlich vieles möglich machen, was bis heute noch unerreichbar scheint – dies gilt dann leider auch für Cyberkriminalität: Denn wenn Quantencomputer dann vollständig einsatzbereit werden, droht eine Vielzahl der bisherigen technischen Bemühungen für den Datenschutz obsolet zu werden. Da dies auch Bedrohungsakteure wissen, liegt es nahe, dass von ihnen gestohlene, heute noch geschützte Daten erst einmal „geparkt“ werden und auf den richtigen Zeitpunkt gewartet wird, um diese mittels Quantencomputern zu entschlüsseln. – eperi warnt in einer aktuellen Stellungnahme vor diesem „Harvest-now-decrypt-later“-Szenario und erörtert folgende Problematik: „Viele warten mit Datenschutzmaßnahmen für die Quantencomputer-Ära, bis es so weit ist. Doch was ist, wenn die verheerendsten Datenschutzverletzungen bereits heute und damit ,Pre-Quantum’ passieren?“

Datenschutz-„Supergau“ bereits heute ernstzunehmende Herausforderung

Die Widersprüchlichkeit in den Prognosen zur Einsatzfähigkeit von Quantencomputern sei nun ein historisches Merkmal sogenannter disruptiver Technologien. „Die einen sprechen von baldigen ersten Ergebnissen, die anderen von einem Zeithorizont von 15 Jahren oder mehr.“

• Dabei wäre eine möglichst genaue Eingrenzung der Verfügbarkeit von Quantencomputern für den operativen Einsatz entscheidend.

Denn ab dem Zeitpunkt, zu dem Quantencomputer der reinen Entwicklung und Forschung dann entwachsen sind, sei die Mehrzahl der bisherigen technischen Bemühungen für den Datenschutz obsolet. „Und das ist nur die halbe Wahrheit, denn der Datenschutz-,Supergau’ passiert vermutlich bereits heute.“

Diebstahl verschlüsselter Daten eben nicht mehr egal

Seit einiger Zeit gelte das Credo, dass Unternehmen und Organisationen ihre Daten sowohl „at-rest“ als auch „in-transit“ ordentlich verschlüsseln müssten, damit ein potenzieller Diebstahl oder ein Abfangen durch Cyberkriminelle bzw. staatlich gesteuerte Spionage ins Leere laufe. Aus der heutigen Perspektive betrachtet sei dies zutreffend: Denn aktuell könnten die Cyberkriminellen verschlüsselte Daten nicht lesen, was diese gegenwärtig noch nutzlos mache.

• Bösartige Akteure wüssten indes sehr genau, „welche Art von Daten interessant sind und auch, welche Brisanz in diesen steckt“. Da viele Daten auch in einigen Jahren noch relevant für kriminelle Handlungen sein könnten, liege es nahe, diese Daten erst einmal zu „parken“ und auf den richtigen Zeitpunkt zu warten. Insbesondere asymmetrisch verschlüsselte Daten seien wie „Rohdiamanten“: Man bekomme sie einfach und günstig.

Wer dann zu einem späteren Zeitpunkt die passenden Entschlüsselungswerkzeuge hat, könne sie Jahre nach dem eigentlichen Diebstahl, quasi im „geschliffenen“ Zustand, für ein Zigfaches der ursprünglichen Investition missbrauchen. Daher werde es kaum Cyberkriminelle geben, welche erbeutete verschlüsselte Daten „wegwerfen“. Vielmehr sei anzunehmen, dass diese ihre Beute massenhaft archivierten, um die asymmetrische Verschlüsselung bei verfügbarer „Quantum Computing“-Leistung zu entschlüsseln und zu Geld zu machen – ähnlich einer Wertanlage oder Altersvorsorge.

Klare Zielvorgabe erforderlich, denn Experten erwarten um 2029 cyberkriminelle Entschlüsselung

Laut Gartner könnten die bisher als sicher geltenden asymmetrischen Verschlüsselungsmethoden wie RSA oder ECC durch „Quantum Computing“ ab dem Jahr 2029 entschlüsselt werden. „Das sind gerade einmal vier Jahre, ein Wimpernschlag in der IT-Technologie und gleichzeitig eine Zeitspanne, in der gerade in der IT sehr viel Potenzial für Neuerungen steckt.“

• Organisationen, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), die EU-Kommission und das NIST (National Institute of Standards and Technology in den USA) forderten daher dazu auf, den künftigen cyberkriminellen Entschlüsselungsmöglichkeiten vorzubeugen und bereits heute quantensichere Verschlüsselungsverfahren einzusetzen.

Die Grundlage dafür liefere die im Juni 2025 veröffentlichte „Roadmap“ der NIS-Kooperationsgruppe, welche auf eine koordinierte „Post Quantum Kryptographie“- Transition (PQC) in allen Mitgliedstaaten mit klar definierten Meilensteinen abziele:

• Bis 31.12.2026:
  – Entwicklung nationaler „PQC-Roadmaps“
  – Einbindung von Stakeholdern und Durchführen von Risikoanalysen
  – Start der Pilotprojekte für „High- & Medium-Risk“-Anwendungen
• Bis 31.12.2030:
  – Abschluss der PQC-Umstellung für „High-Risk“-Anwendungsfälle
  – Finalisierung der Umsetzungspläne für „Medium-Risk“-Szenarien
• Bis 31.12.2035:
  – Abschluss der PQC-Transition für möglichst viele Medium- und „Low-Risk“-Systeme

Unternehmen bereits heute aufgerufen, für Datenschutz im Kontext der „Post Quantum Kryptographie“ zu sorgen

Eine Verschlüsselung von Daten sei nur dann wirksam, wenn die Verschlüsselung für den Weg der Übertragung und in der „Cloud“ funktioniere, ohne Funktionen in den angestammten Anwendungen einzuschränken. Die Lösung für dieses Problem liege in einem Verschlüsselungs-„Gateway“ (wie z.B. „eperi sEcure“), welches „die relevanten Daten mit zukunftssicheren Algorithmen verschlüsselt und trotz einer ununterbrochenen Verschlüsselung die Ver- und Bearbeitung der Daten in ihren Anwendungen zulässt“.

• Durch das neue Erweiterungsmodul „eperi QuantumEdge“ ließen sich die Vorbereitungen für die „Post-Quantum“-Ära maßgeblich abkürzen. Unternehmen profitierten von einer sicheren, schrittweisen Migration hin zu einer hybriden oder vollständig postquanten-resistenter Transportverschlüsselung. Damit erhielten Unternehmen nicht nur ein Werkzeug für eine sicher „Post-Quantum“-Verschlüsselung, sondern gleichzeitig auch ein Migrations-„Tool“, mit welchem bisherige verschlüsselte Datenbestände auf das quantensichere Schutzniveau mit einem hohen Grad an Automatisierung angehoben werden könnten. Mit Hilfe eines „Dashboards“ hätten Unternehmen zudem über ihren gesamten Datenverkehr hinweg Klarheit, „welche Verschlüsselungsalgorithmen von eingesetzten Anwendungen, Diensten und Endpunkten genutzt werden – unabhängig davon, ob sie bekannt oder Teil der ,Schatten-IT’ sind“.

Durch die Analyse bestehender Verbindungen erkenne diese Lösung PQC-kompatible Systeme und ermögliche hybride TLS-Verbindungen (klassisch sowie postquanten-resistent). Auf diese Weise werde die PQC-Transition transparent, steuerbar und ohne Eingriff in bestehende Anwendungen umsetzbar – ideal zur Einhaltung aktueller und kommender „Compliance“-Vorgaben. Die zusätzliche „Reporting“-Funktion diene auch als Nachweis für Stakeholder wie Versicherungen, Banken oder Kunden und Partner.

Weitere Informationen zum Thema:

EPERI
eperi® – Und Ihre Daten sind sicher. Punkt.

EPERI
Quantenbedrohung voraus – Wie Sie Ihre Cloud-Daten zukunftssicher schützen / Zukunftssichere Cloud-Sicherheit beginnt heute

EPERI, Ricardo Izzi, 05.08.2025
Post-Quantum Cryptography (PQC): Warum jetzt der richtige Zeitpunkt für Ihre Transition ist / Quantencomputer stehen kurz davor, klassische Verschlüsselung obsolet zu machen. Erfahren Sie, wie Ihr Unternehmen mit Post-Quantum Cryptography jetzt sicher in die Zukunft startet.

Gartner, Mark Horvath, 30.09.2024
Begin Transitioning to Post-Quantum Cryptography Now / Quantum computing will render traditional cryptography unsafe by 2029. It’s worth starting the post-quantum cryptography transition now.

NIST NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, Dustin Moody, März 2025
NIST PQC – The Road Ahead

Europäische Kommission
NIS-Kooperationsgruppe

datensicherheit.de, 16.07.2025
Fortschritte des Quantencomputings: Aktuelle Verschlüsselungsverfahren drohen obsolet zu werden / Innerhalb der nächsten fünf bis zehn Jahre wird vielfach der Eintritt des „Q-Day“ befürchtet – also der Zeitpunkt, an dem Quantencomputer leistungsfähig genug sind, heute gängige kryptographische Algorithmen zu brechen

datensicherheit.de, 16.05.2025
Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen / Rückblick auf das „FrühlingsForum 2025“ des VDI/VDE-AK Sicherheit und des ETV in Berlin mit Dr. Jan Goetz als Sprecher zum Thema „Quantencomputer – Was kommt nach KI? Wie Quantencomputer die Welt verändern können“

datensicherheit.de, 25.03.2025
Colt: Test zur quantengesicherten Verschlüsselung im optischen Netz abgeschlossen / Technologiepartner erforschen gemeinsam neue Möglichkeiten, um den von Quantencomputern ausgehenden Risiken für Verschlüsselung zu begegnen

datensicherheit.de, 15.09.2022
Wenn Quantencomputer praxistauglich werden, ist Post-Quantenkryptographie erforderlich / Bereits jetzt sollten Algorithmen und Hardware entwickelt werden, die diesen leistungsfähigen Quanten-Superrechnern standhalten

[datensicherheit.de, 19.08.2025] Laut einer aktuellen Stellungnahme von Cato Networks entwickelt sich die Künstliche Intelligenz (KI) in ihrer Ausprägung als KI-Agenten rasant zu einer der zentralen Technologien, welche demnach das Potenzial haben, nahezu alle Bereiche der Informationstechnologie (IT) grundlegend zu verändern: „Von automatisierten Geschäftsprozessen über smarte Datenanalyse bis hin zu intelligenten ,Cloud’-Diensten halten autonome, miteinander kommunizierende KI-Agenten überall Einzug.“ Diese Entwicklung eröffne nun ungeahnte Möglichkeiten, stelle Unternehmen indes aber vor völlig neue Herausforderungen in Bezug auf die Sicherheit, Skalierbarkeit und Steuerbarkeit ihrer IT-Infrastruktur.

IT-Lösungen müssen komplexen Anforderungen moderner „Agentischer KI“ genügen

Cato Networks möchte diese Dynamik bewusst aufgreifen und -zeigen, warum gerade jetzt ein Umdenken bei der technischen Basis notwendig ist. Während viele Organisationen noch auf lokale MCP-Setups („Model Communication Protocol“) setzten, werde deutlich, dass solche bisherigen Lösungen den komplexen Anforderungen moderner „Agentischer KI“ nicht mehr gerecht würden.

• „Was einst als praktikabel galt, erweist sich im Kontext wachsender Automatisierung und Vernetzung als zunehmend riskant und ineffizient.“

Im neuesten Blog-Beitrag von Cato werde anschaulich erläutert, wie klassische Insellösungen durch fehlende zentrale Steuerung, manuelle Updates und schwache Authentifizierung schnell an ihre Grenzen stießen. Die Folgen reichten von Sicherheitslücken über einen hohen Wartungsaufwand bis hin zu mangelnder Transparenz bei der Nutzung und Kontrolle von KI-Anwendungen.

„Secure & Scalable MCPSaaS Framework” verfügt über eine von Cato speziell für „Agentische KI“ konzipierte Architektur

Gerade weil „Agentische KI“ in immer mehr Branchen zum Einsatz komme – von Finanzdienstleistungen über Industrie 4.0 bis zur öffentlichen Verwaltung – sei ein robustes, zukunftsfähiges Fundament entscheidend. Mit dem neuen „Secure & Scalable MCPSaaS Framework” präsentiert Cato nach eigenen Angaben daher eine speziell für die Ära der „Agentischen KI“ konzipierte Architektur.

• Das Unternehmen zeigt, „wie moderne Protokolle, containerisierte Laufzeitumgebungen und fortschrittliche Autorisierungslösungen dafür sorgen, dass Sicherheit, Verfügbarkeit und Nutzerfreundlichkeit selbst bei dynamisch wachsenden KI-Landschaften gewährleistet bleiben“.

Im Fokus würden dabei die konsequente Verschlüsselung sensibler Daten, die strikte Isolation von Nutzern und automatisierte Prozesse stehen, welche eine reibungslose Skalierung ermöglichten. All dies sei für jede auf KI setzende Organisation von entscheidender Bedeutung.

Paradigmenwechsel erforderlich für alle, die mit „Agentischer KI“ arbeiten

Cato nutze diese neue Architektur bereits intern, um Innovation, Effizienz und Sicherheit in all seinen Teams voranzutreiben. Die Erfahrungen aus Forschung, Betrieb und Produktmanagement zeigten, wie die neue Plattform die Integration und Weiterentwicklung „Agentischer KI-Lösungen“ erheblich vereinfache und beschleunige.

• Damit liefere Cato eben nicht nur theoretische Konzepte, sondern auch ganz konkrete „Best Practices“ für Unternehmen, „die den Schritt in die KI-Zukunft aktiv gestalten wollen“. Die vorgestellten Neuerungen seien weit mehr als ein technisches Update – sie markierten einen Paradigmenwechsel für alle, „die mit ,Agentischer KI’ arbeiten oder dies künftig planen“.

Ob IT-Leitung, IT-Security-Verantwortliche oder Entwickler: Die Weichen für nachhaltigen Erfolg gelte es heute zu stellen. Der vorliegende Blog-Beitrag solle wertvolle Impulse dafür liefern, „wie Unternehmen jeder Größe und Branche ihre IT-Infrastruktur für die nächste Generation autonomer, sicherer und skalierbarer KI-Anwendungen fit machen können“.

Weitere Informationen zum Thema:

CATO NETWORKS
Why Cato?

CATO NETWORKS, Zvi Fried & Guy Waizel, 06.08.2025
Designing the Future of Agentic AI: Cato Engineering Details a New Practical, Secure, and Scalable MCP Server Framework

datensicherheit.de, 19.08.2025
KI-Agenten breiten sich aus – aber Governance-Lücken gefährden Vertrauen der Verbraucher / Laut Genesys-Studie wünschen sich vier von fünf Verbrauchern eine klare „Governance“ für KI-Interaktionen – indes verfügt weniger als ein Drittel der Unternehmen über umfassende Richtlinien

datensicherheit.de, 24.05.2025
Agenten-KI und die Wechselwirkungen mit der Cybersicherheit / Marco Eggerling stellt eine strategische Betrachtung für Führungskräfte an – Agenten-KI als Wendepunkt der Informationssicherheit

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

[datensicherheit.de, 19.08.2025] Die IST-Hochschule für Management bietet branchenspezifische Fernstudiengänge in den Bereichen „Kommunikation & Wirtschaft“, „Tourismus & Hospitality“, „Sport & Management“ sowie „Fitness & Gesundheit“ an – mit den Abschlüssen „Bachelor“ und „Master“. Die Angebote sollen sich durch „eine hohe Flexibilität, eine moderne Wissensvermittlung mit Online-Vorlesungen und Online-Tutorien, eine ausgesprochene Praxisnähe sowie die Möglichkeit, persönliche Wahl-Themenschwerpunkte zu setzen“ auszeichnen. Studenten könnten so anerkannte akademische Abschlüsse erzielen und sich für Führungspositionen im mittleren und gehobenen Management qualifizieren. Betont wird in einer Stellungnahme vom 1. August 2025, dass die Digitale Transformation eben nicht mit Technik, sondern mit Menschen beginnt. Nach dieser Erkenntnis sollen sich demnach die Studienangebote richten.

Foto: Klaus Bißler privat

Klaus Bißler ist Mitgestalter der Digitalen Transformation im Öffentlichen Dienst

Digitale Transformation erfordert Kultur, Führung und Kommunikation

Ob im Öffentlichen Dienst, in der Wirtschaft oder im Bildungssektor: Wer die Digitale Transformation aktiv mitgestalten möchte, brauche mehr als nur technisches Know-how. Strategisches Denken, moderne Führungskompetenz und betriebswirtschaftliches Verständnis seien heute zentrale Voraussetzungen für wirksames Handeln – genau dort setze der berufsbegleitende „MBA Business Administration“ der IST-Hochschule für Management an.

• „Einer, der diesen Weg bewusst geht, ist Klaus Bißler. Der 32-Jährige aus Neckarsulm ist Dozent beim Landeszentrum für Datenverarbeitung (LZfD) der Oberfinanzdirektion Karlsruhe.“ Dort sei er verantwortlich für die Planung, Durchführung und Nachbereitung von Schulungen für Finanzbeamte – insbesondere im Kontext der Einführung digitaler Fachverfahren. Ein Schwerpunkt seiner Tätigkeit liege im Gesamtvorhaben „KONSENS“, welches die Digitalisierung der deutschen Steuerverwaltung bundesweit vorantreibe.

Bißler bringe hier nicht nur Fach- und IT-Kompetenz ein, sondern begleite aktiv Veränderungsprozesse in der Organisation. Die Digitale Transformation sei kein reines IT-Thema. „Es geht um Kultur, Führung und Kommunikation!“, unterstreicht Bißler und führt weiter aus: „Wer Menschen durch Wandel führen will, braucht strategisches Denken und Empathie! Genau dafür liefert der MBA die richtige Grundlage.“

Viele MBA-Inhalte sollen sich unmittelbar auf Arbeitsalltag der Digitalen Transformation übertragen lassen

Seit Oktober 2023 studiert er demnach berufsbegleitend den „MBA Business Administration“ an der IST-Hochschule – mit dem Ziel, sich für höhere Aufgaben im Öffentlichen Dienst zu qualifizieren. Die Kombination aus wirtschaftswissenschaftlichem Know-how, modernen „Leadership“-Modulen und flexibler Studienstruktur habe ihn sofort überzeugt: „Ich wollte Organisationen auch aus betriebswirtschaftlicher Perspektive verstehen“, so Bißler.

• Ob „Change Management“, „Schulungsdidaktik“ oder „Strategisches Projektverständnis“ – viele Inhalte des MBA sollten sich unmittelbar auf seinen Arbeitsalltag übertragen lassen. Gleichzeitig profitiere Bißler vom hohen Maß an Flexibilität: Online-Vorlesungen, digitale Lernmaterialien und individuell planbare Prüfungsformate ermöglichten ein Studium parallel zum Vollzeitjob.

Zusätzlich ist er als Lehrbeauftragter an der Hochschule für öffentliche Verwaltung und Finanzen Ludwigsburg (HVF) engagiert – auch dort sollen die im MBA erworbenen Kompetenzen unmittelbar in die Lehre einfließen.

Erfolgsfaktor der Digitalen Transformation: Lebenslanges Lernen als Haltung und Grundlage

Bißlers Fazit: „Das Studium ist praxisnah, fundiert und hervorragend betreut. Die Flexibilität hilft mir enorm, die Inhalte in meinen Alltag zu integrieren.“ Seine Motivation sei Lebenslanges Lernen als Haltung und Grundlage für modernes Verwaltungshandeln.

• Langfristig strebe er eine Position mit mehr Verantwortung im Bereich Bildung oder Personalentwicklung an – oder auch eine erweiterte Tätigkeit in der akademischen Lehre. „Bildung ist heute so flexibel wie nie. Egal, wo man steht – man kann jederzeit anfangen. Es lohnt sich!“, unterstreicht Bißler.

Der berufsbegleitende „MBA Business Administration“ richtet sich laut IST-Hochschule für Management an Berufstätige mit erster akademischer Qualifikation, welche ihre Management- und Führungskompetenzen gezielt weiterentwickeln möchten. Studienstart sei jeweils im April und Oktober – Interessierte könnten sich ab sofort anmelden.

Weitere Informationen zum Thema:

iST HOCHSCHULE für Management
Die IST-Hochschule

iST HOCHSCHULE für Management
Master of Business Administration (MBA)

Baden-Württemberg, Oberfinanzdirektion
EDV – Landeszentrum für Datenverarbeitung

HOCHSCHULE FÜR ÖFFENTLICHE VERWALTUNG UND FINANZEN LUDWIGSBURG
zukunft.finanzenbw

KONSENS
Mit KONSENS werden Steuern digital / Einheitlich – Modern – Länderübergreifend

HOCHSCHULE FÜR ÖFFENTLICHE VERWALTUNG UND FINANZEN LUDWIGSBURG
Institut für Digitale Plattformen in Verwaltung und Gesellschaft (DPVG) / Kurzporträt Klaus Bißler

datensicherheit.de, 10.04.2025
Die Digitale Transformation im Blick: eco kommentiert neuen Koalitionsvertrag – Zustimmung und Bedenken / Digitalministerium als starkes, aber Vorratsdatenspeicherung als falsches, da grundrechtswidriges Signal

datensicherheit.de, 07.10.2023
Cybersecurity: Sicherheitsfaktor Mensch trotz KI unersetzlich / Mensch und KI sollten einander sinnvoll ergänzen

datensicherheit.de, 01.09.2023
Digitale Transformation: Mehrheit der Bevölkerung sieht keine Fortschritte / Vor einem Jahr vorgestellte sogenannte Digitalstrategie der Bundesregierung lässt Umsetzung vermissen

datensicherheit.de, 20.06.2023
Kommunale Cyber-Sicherheit: Proofpoint fordert stärkeren Fokus auf Risikofaktor Mensch / Technische Schutzmaßnahmen nach wie vor Rückgrat jeder Cyber-Sicherheitsstrategie – jedoch ohne den Menschen nur Teilaspekt der Gesamtbetrachtung

[datensicherheit.de, 07.08.2025] Im Kontext Digitaler Souveränität kommt der Frage „Wer hat Zugriff auf unsere Daten – und wo sind diese gespeichert?“ für immer mehr Unternehmen in Europa weitreichende Bedeutung zu: Angesichts zunehmender Cyberrisiken und globaler Spannungen ist offenbar das Bewusstsein der Entscheider-Ebene im Wandel begriffen. Insbesondere die Zusammenarbeit mit US-„Cloud“-Diensten führt daher europäische Unternehmen immer wieder zu Herausforderungen – sowohl operativ, rechtlich als auch sicherheitstechnisch. Die Bedeutung des europäischen Datenstandorts für Resilienz, Zukunfts- und Wettbewerbsfähigkeit ist daher wichtiger denn je. Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH, betont in seiner aktuellen Stellungnahme, dass dies gerade auch für das Vertragsmanagement gilt – denn dabei kämen hochsensible Informationen ins Spiel.

Foto: Fabasoft Contracts GmbH

Robin Schmeisser: Fehlende Digitale Souveränität bedeutet ein Risiko für die eigene, unabhängige Handlungsfähigkeit und die Kontrolle über kritische Systeme

Digitale Souveränität weit entfernt: 81% der deutschen Unternehmen bei digitalen Technologien von USA abhängig

81 Prozent der deutschen Unternehmen seien beim Bezug digitaler Technologien von den USA abhängig – so eine Erkenntnis der aktuellen Bitkom-Studie „Digitale Souveränität – Wie abhängig ist unsere Wirtschaft?“. „Vor dem Hintergrund des ,US Cloud Act’ ist dieses Ergebnis besonders alarmierend“, kommentiert Schmeisser.

Der „US Cloud Act“ verpflichtet „Cloud“-Anbieter in den USA zur Herausgabe von Daten internationaler Kunden – selbst dann, wenn sich diese Daten physisch außerhalb der USA befinden und durch Gesetze wie die DSGVO im Heimatland des Kunden geschützt sind. „Der Bezug von US-,Cloud’-Diensten führt für europäische Unternehmen zu einem unvermeidbaren Datenschutz- und Compliance-Risiko“, warnt Schmeisser.

IStGH-Souveränität in Zweifel gezogen: Microsoft sperrte E-Mail-Konto des Chefanklägers

Wie sich jene Abhängigkeit auch auf die Geschäftsfortführung und Resilienz der Unternehmen auswirkt, zeigt demnach ein aktuelles Beispiel: Im Mai 2025 sperrte Microsoft das E-Mail-Konto des Chefanklägers des Internationalen Strafgerichtshofs (IStGH), Karim Khan – Anlass war ein „Sanktionspaket“ der USA.

Infolge dieser Sanktionen kappte der Provider den Zugang zu einem der wichtigsten Kommunikationsdienste des Gerichts in Den Haag. „Der Vorfall zeigt deutlich, was fehlende Digitale Souveränität bedeutet – nämlich ein Risiko für die eigene, unabhängige Handlungsfähigkeit und die Kontrolle über kritische Systeme“, erläutert Schmeisser und führt weiter aus: „Die technologische Unabhängigkeit erhöht die Resilienz gegenüber geopolitischen Risiken, Sanktionen und Störungen globaler Lieferketten.“

„Cloud“-Souveränität basiert in Europa

In Europa gelten strenge Anforderungen an Datenschutz und IT-Sicherheit. „Nutzen Unternehmen europäische ,Cloud’-Provider, stellen sie die Compliance zur DSGVO sicher und bewahren die Kontrolle über ihre Daten“, so Schmeisser. Zudem fördere die EU kontinuierlich Initiativen und Projekte, um Europas Technologiekompetenz und Digitale Souveränität weiter zu stärken. Das EU-Forschungsprojekt „EMERALD“ beispielsweise befasst sich mit der Entwicklung einer kontinuierlichen und einheitlichen Zertifizierung von „Cloud“-Services in Europa.

„Digitale Souveränität schafft zugleich einen zunehmenden Wettbewerbsvorteil am Markt, denn auch kundenseitig steigt in Europa die Nachfrage nach Datenschutz und regionaler Datenhoheit“, unterstreicht Schmeisser. Er ergänzt: „Unternehmen, die europäische Technologien einsetzen, sichern sich dadurch einen Vertrauensvorsprung, der bei Ausschreibungen und der Kundenakquise entscheidend sein kann. Angesichts potenzieller US-Zölle und der von der EU diskutierten Digitalsteuer auf US-IT-Dienstleistungen kann der frühzeitige Wechsel zu europäischen Anbietern zudem zukünftige Mehrkosten vermeiden.“

Vertragsmanagement: Versteckte Abhängigkeiten, unklare Datenflüsse und unbefugte Zugriffe strikt zu vermeiden

Insbesondere im Kontext von Vertragsmanagement sei die Unabhängigkeit von US-„Cloud“-Anbietern ein entscheidender Faktor. Denn Verträge enthielten meist hochsensible Informationen. „Es gilt, versteckte Abhängigkeiten, unklare Datenflüsse oder unbefugte Zugriffe durch Dritte strikt zu vermeiden“, stellt Schmeisser klar.

Er rät dringend: „Der Einsatz einer Software für Vertragsmanagement muss eine sichere und DSGVO-konforme Datenspeicherung und -verarbeitung ermöglichen.“ Die österreichische Vertragsmanagement-Software „Fabasoft Contracts“ z.B. stelle ausschließlich Daten-Lokationen innerhalb Europas zur Verfügung – wahlweise in Deutschland, Österreich oder der Schweiz (international anerkannte Zertifikate unabhängiger Prüfungsinstanzen wie das C5-Testat des BSI, der „EU Cloud Code of Conduct“ auf Level 3 oder ISAE SoC 2 Type 2 bestätigten höchste Datenschutz- und Datensicherheitsstandards).

Verlagerung zu europäischen Providern zunehmend strategische Notwendigkeit

„Die US-Abhängigkeit stellt ein erhebliches Risiko für die Datenhoheit, Compliance und Innovationsfähigkeit europäischer Betriebe dar!“, resümiert Schmeisser. Umso wichtiger sei es, die eigene Digitale Souveränität zu stärken: „Die Nutzung von EU-,Cloud’-Dienstleistern für digitales Vertragsmanagement ist nicht nur unerlässlich für die Sicherung von Datenschutz und Compliance, sondern bietet auch massive wirtschaftliche und operative Vorteile.“

Angesichts der aktuellen politischen und technologischen Entwicklungen werde die Verlagerung zu europäischen Providern zunehmend zur strategischen Notwendigkeit für Unternehmen, welch ihre Datenhoheit bewahren und ihre Vertragsprozesse sicher und effizient gestalten möchten.

Weitere Informationen zum Thema:

fabasoft
Contracts

bitkom, 2025
Studie: Digitale Souveränität 2025 | Studienbericht

EMERALD
Evidence Management for Continuous Compliance as a Service in the Cloud / THE PROJECT

datensicherheit.de, 07.08.2025
Digitale Souveränität statt Digitaler Naivität – Europas IT-Sicherheitsstrategie auf dem Prüfstand / Der aktuelle EU-Fortschrittsbericht zur „Digitalen Dekade 2030“ zeigt auf, dass vielen EU-Mitgliedstaaten das Verfehlen zentraler Ziele droht – gleichzeitig wächst die Abhängigkeit von nicht-europäischen Anbietern im Bereich der IT-Sicherheit

datensicherheit.de, 21.07.2025
Digitale Souveränität: Europäischer Datenspeicher zur Resilienzstärkung / Datensicherheit im geopolitischen Spannungsfeld – Digitale Souveränität keine theoretische Debatte, sondern strategische Notwendigkeit

datensicherheit.de, 11.07.2025
Cybersicherheit: Deutsche Unternehmen setzen zunehmend auf Digitale Souveränität / Laut einer neuen Studie von HarfangLab messen 81 Prozent der Führungsetagen in deutschen Unternehmen Digitaler Souveränität heute mehr Bedeutung zu als noch vor einem Jahr

datensicherheit.de, 12.06.2025
Blick über den eigenen Tellerrand: Cybersicherheit als Frage nationaler Souveränität / Ari Albertini warnt davor, die größte Schwachstelle im Alltag zu unterschätzen: Das aufgrund von Zeitdruck oft ungeschützte Teilen sensibler Informationen gefährdet die Cybersicherheit

datensicherheit.de, 15.05.2025
Digitale Souveränität: Europas Emanzipation voraus / Sowohl die wirtschaftlichen als auch die politischen Beziehungen zwischen Europa und den USA durchlaufen derzeit eine harte Belastungsprobe

datensicherheit.de, 03.04.2025
Digitale Souveränität Europas: IT-Sicherheit „Made in EU“ als Basis / ESET plädiert für eigenständige europäische Cyber-Sicherheitsstrategie

[datensicherheit.de, 05.08.2025] hensec hat nach eigenen Angabe „eine neue Generation ziviler Luftraumüberwachung vorgestellt, die vollständig passiv arbeitet und damit ohne aktive Aussendungen oder Lizenzpflichten auskommt“. Ebenfalls wichtig sei in diesem Zusammenhang, dass sämtliche Systeme aus der EU stammten, also keinen für hiesige Firmen relevanten Export- bzw. Import-Bestimmungen unterlägen. Die Lösung richte sich an Betreiber Kritischer Infrastrukturen (KRITIS) wie Flughäfen, Energieanlagen, Tanklager oder Forschungseinrichtungen und basiere auf einem mehrschichtigen Sensorprinzip. Erfasst und klassifiziert werden demnach Flugobjekte aller Art – darunter Drohnen, Ultraleichtflugzeuge, Helikopter und sogar große Vögel – gar in Echtzeit. Dieses System könne stationär installiert oder mobil betrieben werden.

Gemeinsames Lagebild auf Basis dreier Sensorquellen

„Im Zentrum der Technologie stehen komplementäre Sensorquellen: Funkanalyse, passives Radar und Radiotelemetrie. Drei mobile Sensor-Einheiten werden strategisch um das zu überwachende Gebiet platziert.“ Ohne selbst Signale auszusenden, erfassten sie alles, was sich im Luftraum bewegt – sei es eine funkgesteuerte Drohne, ein Segelflugzeug oder ein Vogelschwarm.

• Die Daten aus Funk-, Radar- und Telemetriequellen würden dann in Echtzeit zu einem gemeinsamen Lagebild zusammengeführt, welches ein kontinuierliches Monitoring des unteren Luftraums ermögliche. „Diese Dreier-Kombination ist in dieser Form neu auf dem Markt“, erläutert hensec-Firmengründer Kevin Heneka hervor.

Bei der Funkdetektion kooperiert hensec eng mit dem deutschen Unternehmen Aaronia aus der Pfalz, beim passiven Radar mit Parasol aus Schleswig-Holstein. Die Radiotelemetrie kommt von airsenso aus Niedersachsen. Die Rechenzentren in Hessen und Thüringen sowie die Lagezentren in Baden-Württemberg und in Bayern bieten echte Digitale Souveränität. Alle beteiligten Partner seien in der EU ansässig.

hensec-Lösung verzichtet vollständig auf aktive Signale

Ergänzt werde das System durch eine GNSS-Schutzkomponente, welche auf Sensorik des polnischen Herstellers GPSPatron basiere. Damit ließen sich gezielte Störmanöver wie „GPS-Jamming“ oder „Spoofing“ frühzeitig erkennen. Besonders im Umfeld sensibler Infrastrukturen, wo Präzision und Integrität satelliten­gestützter Navigation von hoher Bedeutung seien, ergebe dies einen entscheidenden Sicherheitsvorteil.

• Die von hensec entwickelte Lösung verzichte vollständig auf aktive Signale, was nicht nur regulatorische Vorteile biete, sondern auch die Einsatzmöglichkeiten erheblich erweitere. Betreiber könnten das System beispielsweise temporär auf Veranstaltungen oder dauerhaft in Sicherheitszonen einsetzen, ohne mit Frequenzvergabe oder Genehmigungsverfahren konfrontiert zu werden.

Da die gesamte Entwicklung und Fertigung in Europa erfolge, unterliege die Technologie keinen Exportbeschränkungen und sei rechtlich unproblematisch im Hinblick auf Datenschutz und Systemhoheit. Heneka betont: „Wir sind wohl der einzige Anbieter auf dem Markt, der keinen ausländischen Konzern hinter sich hat oder wesentliche Komponenten von außerhalb der EU bezieht.“

Erprobtes hensec-System in Produktion und Logistik

Erprobt worden sei und werde das System bereits an mehreren Standorten. Darunter in energieintensiven Produktionsanlagen sowie in Bereichen der KRITIS-Sektoren Verkehr und Energie. Dort hätten sowohl autorisierte als auch nicht genehmigte Drohnenflüge eindeutig klassifiziert und in Echtzeit dokumentiert werden können.

• Eine Besonderheit sei die Möglichkeit zur automatisierten Unterscheidung zwischen genehmigten Einsätzen – etwa durch Rettungsdienste oder Presse – und potenziellen Bedrohungen, was die Luftraumkoordination erheblich vereinfache. So würden beispielsweise bei einem Rettungseinsatz alle Multikopter der verschiedenen beteiligten Organisationen wie Polizei und Feuerwehr gemeinsam auf einem einheitlichen Lagebild visualisiert.

Im Kontext wachsender Bedrohungslagen durch Drohnen und gezielte Signalstörungen biete das neue hensec-System einen Beitrag zur robusteren Absicherung des zivilen Luftraums. „Wir bieten für Unternehmen ein modulares, skalierbares Sicherheitskonzept, das auf europäische Anforderungen zugeschnitten ist und gleichzeitig flexibel in unterschiedlichen Szenarien eingesetzt werden kann“, so Heneka.

Bedrohung durch immer mehr Drohnen im zivilen Luftraum

Das Thema sei indes drängend: Immer häufiger würden Drohnen im zivilen Luftraum gesichtet – vor allem über Bereichen, die zur KRITIS zählten. Die jüngsten Vorfälle über Industrie- und Hafengeländen in Niedersachsen hätten Behörden alarmiert und eine Debatte über Luftraumsicherheit ausgelöst.

• In Wilhelmshaven seien z.B. im Mai und Juni 2025 mehrfach Drohnen über einem abgeschirmten Hafengelände beobachtet worden. Die Polizei habe schließlich mehrere Hobbypiloten ermittelt, welche ihre Fluggeräte offenbar aus Unwissenheit oder Fahrlässigkeit über sensiblen Zonen gesteuert hätten.

Auch an weiteren Standorten sei es in den vergangenen Monaten zu Zwischenfällen mit Drohnen gekommen, welche sich unautorisiert in als sicherheitsrelevant geltenden Lufträumen bewegt hätten. So habe es in Rheinland-Pfalz nach offiziellen Angaben in den ersten sechs Monaten dieses Jahres – 2025 – bereits fast genauso viele Meldungen wie im gesamten Vorjahr gegeben.

hensec empfiehlt umfassende Strategie zur Detektion potenziell gefährlicher Drohnen im zivilen Bereich

„Deutschland braucht eine umfassende Strategie zur Detektion potenziell gefährlicher Drohnen im zivilen Bereich“, fordert Heneka. Dabei müssten neben Flughäfen insbesondere Energieanlagen, große Industriekomplexe, Logistik-Knotenpunkte und Verkehrsinfrastruktur im Mittelpunkt stehen.

• In der Politik diskutiert würden derzeit vor allem technische Aufrüstungen, etwa durch stationäre Detektionssysteme, sowie mobile Überwachungseinheiten, die flexibel an sensiblen Orten eingesetzt werden könnten.

Heneka hebt abschließend hervor: „Genau das bieten wir heute schon an, und zwar komplett ,made in the EU’!“

Weitere Informationen zum Thema:

hensec secure solutions
In einer vernetzten und komplexen Welt muss Sicherheit ganzheitlich gedacht werden. / Ihre Sicherheit ist unsere Aufgabe.

LUFTRAUMÜBERWACHUNG
Unsichtbares sichtbar machen. / Zivile Luftraumüberwachung in Echtzeit. Komplett passiv. Lizenzfrei betreibbar. Made in EU. Ideal für kritische Infrastrukturen.

datensicherheit.de, 01.08.2025
Thailand: Plötzliches totales Drohnen-Verbot verhängt / Urlaubern drohten bei Missachtung Haft, hohe Strafen und Zerstörung der Drohne

datensicherheit.de, 10.07.2025
Schutz vor Auswirkungen von GNSS-Störungen: Kevin Heneka begrüßt EU-Vorschlag / Höchste Zeit, dass sich die Politik der zunehmenden Bedrohung durch GNSS-Störungen annimmt

datensicherheit.de, 15.04.2025
Luftfahrt-Infrastruktur unter Druck: Flugreisen in den Osterferien erhöhen Herausforderungen / Ostern als eine der Hauptreisezeiten könnte Probleme für Urlauber mit sich bringen, denn die Flugsicherungszentren haben u.a. mit Personalknappheit zu kämpfen

datensicherheit.de, 31.01.2025
Fokus der Unternehmen auf Cybersecurity vernachlässigt deren physische Sicherheit / Kevin Heneka warnt: Viele Unternehmen und Behörden konzentrieren ihre Sicherheits­maßnahmen zu einseitig auf Cybersecurity

datensicherheit.de, 21.08.2024
Cyber-Sicherheit in der Luftfahrt: Schutz vor digitalen Bedrohungen muss mit Transformation einhergehen / Untersuchungen von BlueVoyant zeigen deutlichen Anstieg digitaler Bedrohungen gegen die Luftfahrtindustrie

datensicherheit.de, 19.06.2018
Luftsicherheit in Deutschland: Einheitliche Standards und Vorgaben gefordert / Bundesverband für Luftsicherheit schlägt ständigen Bund-Länder-Ausschuss vor

datensicherheit.de, 28.06.2017
Bitkom-Positionspapier zur Cyber-Sicherheit in der Luftfahrt veröffentlicht / Branchenverband sieht bei der Pilotenausbildung Handlungsbedarf

[datensicherheit.de, 31.07.2025] IKT-Dienstleistungs-Lieferketten sind oft sehr komplex – eine Herausforderung für Finanzunternehmen, die unter DORA fallen, da eine adäquate Risikokontrolle anspruchsvoll ist. Aus diesem Grund legt die EU-Kommission auf knapp sieben Seiten in der sogenannten „delegierten Verordnung über technische Regulierungsstandards für die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen” – kurz RTS – dar, wie Finanzunternehmen mit ihren kritischen IKT-Dienstleistern und Unterdienstleistern umgehen müssen. Das am 2. Juli 2025 im Amtsblatt der Compliance AuditsEuropäischen Union veröffentlichte Dokument ist seit dem 22. Juli voll inkraftgetreten.
„Die Europäische Kommission erkennt an, dass Dienstleistungsketten im Bereich IKT schwer durchschaubar sein können. Für ein robustes Cyber-Resilienzniveau im Finanzsektor ist es jedoch unerlässlich, auch ausgelagerte kritische Funktionen und deren Risiken zu verstehen und zu steuern“, erklärt Richard Skalt, Advocacy Manager Cybersecurity bei TÜV SÜD. „Die RTS bieten hierfür einen verbindlichen Rahmen, der durch Best Practices ergänzt werden sollte, insbesondere wenn Transparenz und vertragliche Klarheit in Lieferketten fehlen. TÜV SÜD unterstützt Finanzunternehmen bei der Risikobeurteilung und IKT-Dienstleister bei der Nachweiserbringung.“

Vorgaben für den durch DORA regulierten Bereich

Die wichtigsten Vorgaben im Überblick:

• Vertragliche Regelungen: Verträge spielen eine zentrale Rolle in der Umsetzung der DORA-Anforderungen. So sollten vertragliche Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern insbesondere Regelungen zur Planung und Genehmigung von Unterauftragsvereinbarungen, zur Durchführung von Risikobewertungen sowie zur Erfüllung der Sorgfaltspflichten enthalten. Zudem empfielt es sich vertraglich festzulegen, ob entweder der weitervergebene Dienstleister oder das Finanzunternehmen selbst, die Fachkenntnisse, die Organisationsstruktur und das Risikomanagement potenzieller Unterauftragnehmer bewerten kann.
• Leistungsüberwachung und Informationsweitergabe: Um Sicherheitsrisiken in mehrstufigen IT-Lieferketten frühzeitig zu erkennen und zu minimieren, sollten Finanzunternehmen Vorkehrungen treffen, um über alle relevanten Änderungen rechtzeitig informiert zu werden bevor diese wirksam werden. Das gilt besonders bei neuen Untervergaben oder wesentlicher Anpassung bestehender Vereinbarungen. Stellt sich dabei heraus, dass diese Änderungen die Risikotoleranz des Unternehmens überschreiten, sollten Unternehmen das Recht auf Kündigung oder Anpassung des Vertrages sichern.
• Risikobasierte Analyse und Steuerung: Wer kritische IT-Dienstleistungen auslagert, muss über ausreichende Fachkenntnisse, Ressourcen und interne Prozesse verfügen, um damit verbundene Risiken wirksam zu überwachen. Dazu zählen etwa Maßnahmen zur Informationssicherheit, Notfallmanagement und interne Kontrollmechanismen. Unternehmen müssen außerdem bewerten, welche Auswirkungen ein Ausfall eines IT- Unterauftragnehmers sowohl auf ihre digitale Stabilität als auch auf ihre finanzielle Lage hätte. Zudem ist zu prüfen, ob der Standort des Dienstleisters oder seiner Muttergesellschaft zusätzliche Risiken birgt, die in die Bewertung einbezogen werden sollten.
• Bedingungen für Untervergaben: IT-Drittdienstleister, die Aufträge weitervergeben, sind angehalten, die damit verbundenen Risikensorgfältig zu bewerten. Dazu gehört insbesondere eine Analyse der Standortbedingungen, der Konzernstrukturen sowie der tatsächlichen Erbringungsorte der Leistungen. Auch wenn nicht alle Aspekte zwingend vertraglich geregelt werden müssen, empfiehlt es sich, Klarheit über diese Risiken herzustellen und gegebenenfalls vertraglich abzusichern.

Zukünftig werden die zuständigen Aufsichtsbehörden die Prüfung und Bewertung von kritischen Drittanbietern unter anderem durch Risikoanalysen und Vor-Ort-Prüfungen koordinieren. Orientierung bietet der ebenfalls kürzlich veröffentlichte DORA Oversight Guide der Europäischen Aufsichtsbehörden. Das Dokument liefert eine praxisorientierte Übersicht über das Aufsichtsverfahren für kritische IKT-Drittdienstleister im Rahmen des Digital Operational Resilience Act (DORA).

Risk Assessments und Compliance Audits

Finanzunternehmen, die vor dem Hintergrund der neuesten EU-Veröffentlichungen ihre bestehenden Verträge und bisher ergriffenen Maßnahmen von einem neutralen Dritten überprüfen lassen möchten, können mithilfe von Compliance Audits durch TÜV SÜD mögliche Lücken in der Umsetzung der Verordnung aufdecken und einen klaren Fahrplan zu deren Schließung entwickeln.

„Wir helfen sowohl bei der Identifikation von Umsetzungs- oder Dokumentationslücken als auch bei der Entwicklung eines praxisnahen Maßnahmenplans“, so Skalt. „Auch IKT-Dienstleister von Finanzunternehmen, die künftig im Rahmen ihrer vertraglichen Pflichten gegenüber ihren Auftraggebern die Einhaltung bestimmter Vorgaben nachweisen müssen, kann TÜV SÜD mit Risk Assessments unterstützen.“

Weitere Informationen zum Thema:

TÜV SÜD
Digital Operational Resilience Act (DORA)

datensicherheit.de, 21.07.2025
DORA Oversight Guide publiziert: Finanzunternehmen sollten sich dringend mit Verschlüsselung und Schlüsselhoheit befassen