[datensicherheit.de, 18.02.2026] Cybervorfälle gehören im Handwerk inzwischen zum betrieblichen Alltag. 60 Prozent der befragten deutschen Betriebe haben in den vergangenen zwölf Monaten mindestens einen Sicherheitsvorfall erlebt. 23,5 Prozent berichten sogar von mehreren Ereignissen. 37,5 Prozent geben an, im gleichen Zeitraum verschont geblieben zu sein.

Betroffenheit durch Cyberangriffe im Handwerk, Bild: Sophos

Cybersicherheit rückt stärker in den Fokus der Geschäftsführung

Mit den Erfahrungen wächst die Aufmerksamkeit in den Geschäftsführungen. Über 80 Prozent der Befragten setzen sich heute intensiver mit Cybersicherheit auseinander als noch vor einigen Jahren. 29,5 Prozent sprechen von deutlich gestiegenen Sorgen, weitere 51,5 Prozent befassen sich häufiger mit dem Thema. Cybersicherheit wird damit zunehmend als unternehmerisches Risiko verstanden und nicht mehr allein als Aufgabe der IT.

Dieses Bild deckt sich auch mit Ergebnissen aus der DACH-weiten Management Studie von Sophos. Über die Befragungsjahre 2022, 2024 und 2025 hinweg ist das Bewusstsein für Cybersicherheitsrisiken in den Führungsetagen kontinuierlich gewachsen. Das Thema ist heute deutlich stärker auf oberster Ebene der Geschäftsleitung verankert als noch vor wenigen Jahren.

Fast die Hälfte sieht Phishing als größte Bedrohung

Auffällig ist, wie konkret die Unternehmen ihre Risiken benennen. 48 Prozent nennen Phishing als zentrale Bedrohung. 34,5 Prozent sorgen sich vor IT-Ausfällen, 34 Prozent vor Datenverlusten. Ebenso viele fürchten den Missbrauch oder Diebstahl von Kundendaten. Auch menschliche Faktoren werden differenziert betrachtet. 34,5 Prozent sehen unachtsames Verhalten von Mitarbeitenden als Risiko, 31,5 Prozent berichten von gezielten Betrugsversuchen per Telefon oder im persönlichen Kontakt. Nur 2,5 Prozent gehen aktuell von keiner Gefahr aus.

Digital vernetzt – aber nicht überall gleich gut abgesichert

Die Zahlen zeigen zugleich, wie stark das Handwerk digital vernetzt arbeitet. 58 Prozent der Betriebe sichern vernetzte Maschinen, Werkzeuge und Systeme durch klare Vorgaben, regelmäßige Aktualisierungen und Zugriffskontrollen ab. 29 Prozent schützen einzelne Geräte, allerdings nicht flächendeckend. 10,5 Prozent verlassen sich auf Zusagen der Hersteller.

Erfahrung und Vorbereitung: Cybersicherheit als Teil der betrieblichen Realität

Cybersicherheit ist damit fester Bestandteil der betrieblichen Realität. Viele Betriebe haben bereits Maßnahmen ergriffen, andere sind noch dabei, ihre Strukturen systematisch auszubauen. Mit der fortschreitenden Digitalisierung wächst der Druck, Schutzkonzepte weiterzuentwickeln und die eigene Widerstandsfähigkeit zu stärken.

„Das Handwerk arbeitet heute hochgradig digital, das reicht von vernetzten Werkstätten bis zu mobilen Endgeräten auf Baustellen“, sagt Michael Veit, Sicherheitsexperte bei Sophos. „Cyberangriffe stellen deshalb ein reales Geschäftsrisiko dar. Entscheidend ist, Sicherheitsstrukturen so aufzubauen, dass Betriebe auch im Ernstfall handlungsfähig bleiben.“

Welche Maßnahmen Betriebe für mehr Cybersicherheit ergreifen sollten

Sophos empfiehlt Unternehmen im Handwerk, Cybersicherheit klar als Teil der unternehmerischen Verantwortung zu definieren und strategisch zu verankern. Schulungen und Sensibilisierung helfen dabei, typische Angriffsmuster frühzeitig zu erkennen. Vernetzte Maschinen, mobile Geräte und Steuerungssysteme sollten denselben Schutz erhalten wie klassische IT-Systeme. Dazu gehören regelmäßige Aktualisierungen, klare Zuständigkeiten und Zugriffskontrollen. Ebenso wichtig sind funktionierende Backup-Konzepte und klar geregelte Abläufe für den Ernstfall, damit Ausfallzeiten so gering wie möglich bleiben.

Über die Umfrage

Grundlage der Auswertung ist eine quantitative Befragung von 200 Unternehmen in Deutschland, die im Dezember 2025 und Januar 2026 von Techconsult im Auftrag von Sophos durchgeführt wurde.

Befragt wurden Betriebe folgender Bereiche: Bau- und Ausbaugewerbe, Elektro- und Metallhandwerk, Holz- und Kunststoffverarbeitung, Lebensmittelhandwerk, Bekleidungs-, Textil- und Lederhandwerk, Gesundheits-, Körperpflege- und Reinigungsgewerbe, Kunsthandwerk sowie Industrie mit handwerklichem Bezug, technische Dienstleistungen und weitere handwerksnahe Betriebe.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2025
Handwerksunternehmen in Deutschland: Über die Hälfte nutzt Social Media

[datensicherheit.de, 16.02.2026] Die „Münchner Sicherheitskonferenz“ hat laut dem eco – Verband der Internetwirtschaft e.V. Cyberangriffe als zentrales sicherheitspolitisches Risiko einordnet, indes bewerteten IT-Entscheider die Lage deutlich differenzierter. Der aktuelle „eco Branchenpuls“ zeigt demnach: „In den Unternehmen dominiert eine sachliche Einschätzung der Bedrohungslage statt Alarmismus.“ Zugleich plädiere die Mehrheit für europäisch abgestimmte Lösungen statt nationaler Alleingänge und fordere verlässliche Rahmenbedingungen, Investitionssicherheit sowie eine konsequente Stärkung digitaler Infrastrukturen. Der „eco Branchenpuls“ ist eine vierteljährliche, repräsentative Umfrage unter IT-Entscheidern zu zentralen Digitalthemen.

Foto: eco e.V.

Prof. Dr. Norbert Pohlmann: In den Unternehmen erleben wir keinen Alarmismus, sondern eine sachliche Auseinandersetzung mit realen Bedrohungen

Cyberangriffe für viele Deutsche größtes sicherheitspolitisches Risiko

Cyberangriffe gälten für die deutsche Bevölkerung als das größte sicherheitspolitische Risiko: Dies zeige der aktuelle, im Vorfeld der diesjährigen „Münchner Sicherheitskonferenz“ veröffentlichte „Munich Security Index 2026“.

• Eine vom eco beauftragte Umfrage des Meinungsforschungsinstituts Civey unter IT-Entscheidern in Deutschland zeichne jedoch ein differenzierteres Bild: Trotz anhaltender Bedrohungslage bewerteten rund zwei Drittel der Befragten das Cybersicherheitsniveau in Deutschland nicht als schlecht: Über die Hälfte der Befragten (55%) hielten das Cybersicherheitsniveau für „mittelmäßig“, rund neun Prozent sogar für „hoch“ bis „sehr hoch“.

„In den Unternehmen erleben wir keinen Alarmismus, sondern eine sachliche Auseinandersetzung mit realen Bedrohungen“, kommentiert Prof. Dr. Norbert Pohlmann, der eco-Vorstand für das Ressort „IT-Sicherheit“. Er führt weiter aus: „Cybersecurity ist für IT-Verantwortliche kein abstraktes Angstszenario, sondern tägliche Praxis.“

Cybersecurity als fortlaufender Prozess – Investitionen in Cybersicherheit wirken

Die Ergebnisse des „eco Branchenpulses“ legen laut Pohlmann nahe, dass viele Unternehmen ihre Sicherheitsarchitekturen kontinuierlich ausbauen und ihre eigene Widerstandsfähigkeit realistisch einschätzen. „Cybersecurity ist ein fortlaufender Prozess“, so Pohlmann. Dass IT-Entscheider die Lage differenziert bewerteten, zeige, dass Investitionen in Sicherheit wirkten – „auch wenn die Bedrohungslage objektiv angespannt bleibt“.

• Als größte Herausforderungen im Bereich Cybersicherheit definierten IT-Entscheider in Deutschland an erster Stelle die schwache Sicherheitskultur (22%), gefolgt von veralteten IT-Systemen (14%) und einer langsamen Gesetzgebung (11%).

Für den eco ergebe sich daraus ein klarer Handlungsauftrag an die Politik: „Unternehmen brauchen in erster Linie verlässliche Rahmenbedingungen, Investitionssicherheit und eine konsequente Stärkung digitaler Infrastrukturen!“

Europäisch abgestimmte Cybersicherheitspolitik schafft mehr Planungssicherheit für Wirtschaft und Verwaltung

„Entscheidend ist, ob Maßnahmen tatsächlich digitale Resilienz ermöglichen. Eine stabile Sicherheitsarchitektur bemisst sich daran, ob sie im Ernstfall trägt“, erläutert Pohlmann und unterstreicht: „Dafür brauchen wir ausreichend Fachkräfte, gezielte Investitionsanreize und eine praxistaugliche Regulierung, die auch den Mittelstand berücksichtigt. Darüber hinaus braucht es einen klaren Vertrauensrahmen für die Zusammenarbeit zwischen Staat und Wirtschaft. Nur wenn geregelt ist, wie Informationen ausgetauscht werden, wie Verantwortlichkeiten verteilt sind und wie Unternehmen konkret unterstützt werden, kann Resilienz im Alltag wirksam werden.“

• Hierfür seien europäische Lösungen grundsätzlich zu bevorzugen. „Nationale Alleingänge, verursachen Kosten und gefährden so mittelfristig den Innovationsstandort Europa. Eine europäisch abgestimmte Cybersicherheitspolitik schafft zudem mehr Planungssicherheit für Wirtschaft und Verwaltung und stärkt Europas Fähigkeit selbstbestimmt, digitale Resilienz aufzubauen, statt auf nationale Lösungen zu setzen, die Cyberangriffe erleichtern”, gibt Pohlmann abschließend zu bedenken.

Dies bewerteten auch die meisten Unternehmen so: Politische Maßnahmen für mehr Cybersicherheit sollten für die Mehrheit der Befragten klar europäisch geregelt werden (47%), nur 33 Prozent bevorzugen demgegenüber nationale Lösungen.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Über uns: eco – Verband der Internetwirtschaft e.V. / Wir gestalten das Internet.

eco VERBAND DER INTERNETWIRTSCHAFT
Vorstand@eco: Prof. Dr. Norbert Pohlmann – Vorstand Ressort IT-Sicherheit

eco, Februar 2026
eco Branchenpuls: Die Internetwirtschaft im Fokus

msc
Munich Security Report 2026

datensicherheit.de, 12.02.2026
eco-Forderung: EU sollte als Einheit auftreten und Europas digitale Wettbewerbsfähigkeit stärken / Der eco – Verband der Internetwirtschaft e.V. hat anlässlich des „EU-Gipfels“ vom 12. Februar 2026 appelliert, ein klares Signal für europäische Einheit und digitale Wettbewerbsfähigkeit zu setzen

datensicherheit.de, 08.02.2026
Strategische Notwendigkeit: Die drei Grundpfeiler Digitaler Souveränität Europas / Digitale Souveränität ist die Fähigkeit, als Organisation in Europa handlungsfähig zu bleiben – selbst wenn globale Lieferketten reißen oder politische Spannungen digitale Datenflüsse unterbrechen

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

[datensicherheit.de, 13.02.2026] Laut einer Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben sich die Spitzen von 32 europäischen Cybersicherheitsbehörden zum jährlichen „Cyber Security Directors‘ Meeting“ (CSDM) getroffen. Das diesjährige Treffen habe im Kontext einer weiterhin angespannten Cybersicherheitslage und hybrider Bedrohungen stattgefunden – die Cybersicherheits-Chefs hätten sich zur Digitalen Souveränität, zur Umsetzung der europäischen Regulierungen NIS-2 und „Cyber Resilience Act“ (CRA) sowie zur automatisierten Detektion und Abwehr von Cyberangriffen ausgetauscht.

Foto: BSI

„Cyber Security Directors‘ Meeting 2026“: Sogenanntes Direktorentreffen der Spitzen von 32 europäischen Cybersicherheitsbehörden in München

Zusammenkunft von Vertretern aus der EU, der EFTA, des UK, der UA und der ENISA

Das „Direktorentreffen“ leistet demnach einen wichtigen Beitrag zur Stärkung der europäischen Cybersicherheits-Architektur und zur gemeinsamen Bewältigung grenzübergreifender Herausforderungen.

• „Es bietet den Leiterinnen und Leitern der für Cybersicherheit zuständigen Behörden aus Europa ein vertrauensvolles Forum zur Vernetzung und den strategischen Austausch.“

Neben allen EU-Mitgliedsstaaten nähmen regelmäßig auch Vertreter der vier EFTA-Staaten – Island, Liechtenstein, Norwegen und der Schweiz – sowie aus dem Vereinigten Königreich, der Ukraine und der Agentur der Europäischen Union für Cybersicherheit (ENISA) teil.

Cybersicherheit muss industrialisiert werden, um digitale Angriffsflächen bestmöglich zu schützen

Das „Cyber Security Directors’ Meeting“ wird seit 2020 vom BSI in Kooperation mit der „Munich Cyber Security Conference“ (MCSC) organisiert, welche jedes Jahr im Anschluss an das „Direktorentreffen“ stattfindet. Bei der MCSC selbst habe der automatisierte Schutz vor digitalen Bedrohungen im Zentrum vieler Debatten gestanden.

• Die BSI-Präsidentin, Claudia Plattner, betonte auf der MCSC: „Um der aktuellen hybriden Bedrohungslage erfolgreich etwas entgegenzusetzen und unsere digitalen Angriffsflächen bestmöglich zu schützen, muss Cybersicherheit industrialisiert werden!“

Sie führte weiter aus: „Wir haben uns heute intensiv darüber ausgetauscht, wie wir es schaffen können, aktiven Cyberschutz zu automatisieren, und wie wir entsprechende Schutzmaßnahmen mindestens auf nationalem Level skalieren: Beginnend mit Sensoren zur Detektion von Anomalien und einem gesamthaften Lagebild.“

MCSC als internationales Forum für Führungskräfte aus Politik, Wissenschaft, Industrie und Verteidigung

Als Cybersicherheitsbehörde für Deutschland errichte das BSI deswegen gemeinsam mit dem Bundesinnenministerium einen „Cyberdome“:

• Dort sollen laut Plattner alle Fäden und Informationen zusammenlaufen, welche benötigen werden, um Staat und Gesellschaft einen Schutzschirm zu bieten, der digitale Bedrohungen, Angriffe und Einflussoperationen bestmöglich und vollautomatisiert blockiert.

Die MCSC findet jährlich in der Münchener Industrie- und Handelskammer (IHK) statt und soll ein internationales Forum für Führungskräfte aus Politik, Wissenschaft, Industrie und Verteidigung zum Austausch über cybersicherheitsrelevante Themen bieten – wie etwa zum Schutz Kritischer Infrastrukturen (KRITIS), zur Nationalen Sicherheit sowie Privatsphäre und zum Geistigen Eigentum.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.

Bundesamt für Sicherheit in der Informationstechnik
Die Leitung des BSI: Die Präsidentin – Claudia Plattner

Security Network Munich
MCSC / MUNICH CYBER SECURITY CONFERENCE

heise online, Martin Holland, 30.06.2025
Kooperation mit Israel: Bundesinnenminister plant „Cyberdome“ für Deutschland / Alexander Dobrindt hat bei einem Besuch in Israel eine engere Zusammenarbeit im Bereich Cyberabwehr und Zivilschutz vereinbart. Er nennt das einen „Cyberdome“.

datensicherheit.de, 12.11.2025
BSI-Jahresbericht 2025: Trotz Fortschritten bei der Cybersicherheit weiterhin hohe Verwundbarkeit / Immer mehr KRITIS-Betreiber erfüllen die Mindestanforderungen und internationale Ermittlungen gegen Cyberkriminelle zeigen Wirkung – dennoch bleibt die Lage weiter angespannt

[datensicherheit.de, 31.10.2025] Cyberangriffe auf den öffentlichen Sektor nehmen immer mehr zu: „Staatliche Institutionen, Behörden und Betreiber Kritischer Infrastrukturen geraten zunehmend ins Visier, sowohl durch Cyberkriminelle als auch durch staatlich gesteuerte Gruppen. Die Bedrohungslage verschärft sich, da viele Angriffe inzwischen kombinierte Vektoren nutzen, veraltete IT-Systeme zusätzliche Angriffsflächen bieten und geopolitische Spannungen das Risiko gezielter Operationen erhöhen.“ Michael Chalvatzis, „Senior Director DACH & Eastern Europe“ bei Recorded Future, kommentiert die Bedrohungslage und führt zur Problematik weiter aus: „Hinzu kommt, dass oft das nötige Personal, ausreichende Ressourcen sowie die benötigten Kompetenzen fehlen, um schnell und wirksam zu reagieren.“ „Threat Intelligence“ umreißt er als zentrales Instrument zur langfristigen Absicherung der digitalen Handlungsfähigkeit des öffentlichen Sektors.

Foto: Recorded Future

Michael Chalvatzis rät zu „Threat Intelligence“: Warnmeldungen können gezielt an betroffene Stellen übermittelt werden, noch bevor konkrete Schäden entstehen

„Threat Intelligence“ als systematischer Ansatz zur frühzeitigen Erkennung von Bedrohungen empfohlen

Trotz dieser Herausforderungen blieben die Erwartungen hoch. Bürger erwarteten nach wie vor, „dass staatliche Einrichtungen ihre digitalen Dienste zuverlässig bereitstellen und sensible Daten schützen“. Ein erfolgreicher Angriff hätte nicht nur finanzielle Folgen, sondern würde auch das Vertrauen in die Handlungsfähigkeit des Staates langfristig beschädigen.

• Cyberabwehr im öffentlichen Sektor war demnach lange Zeit vorwiegend reaktiv ausgerichtet. Chalvatzis erläutert: „Sicherheitsvorfälle wurden dokumentiert, im Nachhinein analysiert und erst danach Maßnahmen eingeleitet.“

Angesichts der heutigen Bedrohungslage reiche dieses Vorgehen nicht mehr aus. Erforderlich sei ein systematischer Ansatz, „der Bedrohungen frühzeitig erkennt, in den passenden Kontext einordnet, nach Relevanz bewertet und in konkrete Maßnahmen übersetzt“.

„Threat Intelligence“-Lösungen analysieren und priorisieren Bedrohungsdaten

„Threat Intelligence“-Lösungen unterstützten dieses Vorgehen, indem sie sicherheitsrelevante Informationen aus unterschiedlichen Quellen automatisiert verarbeiteten. Dazu gehörten technische Feeds, öffentlich verfügbare Daten, branchenspezifische Informationskanäle sowie Inhalte aus schwer zugänglichen digitalen Umgebungen wie dem „Darknet“.

• Die Plattformen analysierten diese Daten in Echtzeit, priorisierten sie nach Dringlichkeit und machten sie für die weitere Bearbeitung verfügbar.

„Durch die Anbindung an bestehende Sicherheitssysteme wie SIEM oder SOAR lassen sich relevante Erkenntnisse direkt in bestehende Prozesse einbinden“, berichtet Chalvatzis. Dies verkürze Reaktionszeiten, entlaste gezielt Analystenteams und nutze Ressourcen effizienter. Gleichzeitig verbesserten kontextualisierte Informationen die Grundlage für strategische Entscheidungen, etwa bei der Bewertung geopolitischer Entwicklungen, bei der Risikoeinschätzung von Lieferketten oder bei der Einhaltung regulatorischer Vorgaben.

Strategischer Vorteil: „Threat Intelligence“ ermöglicht proaktive Verteidigung

„,Threat Intelligence’ entwickelt sich zu einem zentralen Instrument, um die digitale Handlungsfähigkeit des öffentlichen Sektors langfristig abzusichern.“ Zahlreiche staatliche Einrichtungen setzten bereits auf KI-gestützte „Threat Intelligence“-Plattformen, um diesen Anforderungen vorausschauend und effizient zu begegnen.

• Durch die automatisierte Auswertung sicherheitsrelevanter Informationen ließen sich potenzielle Bedrohungen frühzeitig erkennen, in den richtigen Kontext einordnen und nach Relevanz priorisieren.

Chalvatzis erläutert den Nutzen: „Warnmeldungen können gezielt an betroffene Stellen übermittelt werden, noch bevor konkrete Schäden entstehen.“ Gleichzeitig unterstütze ein solcher Ansatz die Umsetzung nationaler Sicherheitsstrategien sowie die Einhaltung regulatorischer Vorgaben wie der NIS-2-Richtlinie.

Weitere Informationen zum Thema:

Recorded Future
Warum Aufgezeichnete Zukunft / Recorded Future Precision Intelligence hilft Unternehmen, die meisten Bedrohungen zuerst zu erkennen, damit sie handeln und Angriffe verhindern können. Unser KI-gesteuerter Intelligence Graph® verbindet Ihre internen Daten mit externen Informationen und liefert in Echtzeit umsetzbare Erkenntnisse, die sich nahtlos in Ihre bestehende Sicherheitsarchitektur integrieren lassen.

Linkedin
Michael Chalvatzis

datensicherheit.de, 04.04.2025
Cyberangriffe: Threat Intelligence als Schlüssel zur frühzeitigen Erkennung und Abwehr / Bedrohungsdaten verstehen und effektiv nutzen

datensicherheit.de, 01.12.2023
Mimecast Global Threat Intelligence Report Q3 / 2023: 97 Prozent aller Unternehmen Ziel von E-Mail-Phishing-Attacken / Drittes Quartal 2023 hat deutlichen Anstieg sogenannter Zero-Day-Bedrohungen gezeigt, warnt Mimecast

datensicherheit.de, 15.07.2020
Automatisierte Threat Intelligence: Bedrohungserkennung, -bewertung und -behebung gehören auf den Prüfstand / Die Operationalisierung von Informationen über Bedrohungen nimmt Zeit in Anspruch und erfordert eine gründliche Planung

datensicherheit.de, 16.11.2018
Internationaler Cyber Resilience Think Tank: Hohe Priorität für Threat Intelligence / Mimecast veröffentlicht den neuesten Bericht des Gremiums

[datensicherheit.de, 23.10.2025] Im Kontext der Digitalen Transformation der Welt gehören Cyberangriffe längst zur Normalität – besonders kritisch wird es, wenn Täter einzelne Komponenten der Software-Lieferkette attackieren. Selbst einzelne Programmier-Bausteine der Entwickler sind offenbar nicht sicher: Im „Global Cybersecurity Outlook 2025“ des World Economic Forum (WEF) gaben über 50 Prozent der Organisationen an, dass dies für sie die größte Herausforderung bei der Cyberresilienz sei. Lars Francke, CTO und Mitgründer von Stackable, geht in seiner aktuellen Stellungnahme auf effektives Schwachstellen-Management ein, erläutert, wieso viele Sicherheitslücken nicht unbedingt ein Risiko darstellen müssen und welche Rolle „Open Source“ spielt.

Foto: Stackable

Lars Francke: Wenn es um eine sichere Software-Liferkette und die Bewahrung der eigenen Daten geht, heißt es in erster Linie: „Don’t panic!“

Hunderttausende IT-Sicherheitsvorfällen – sowohl im „Closed“- als auch im „Open Source“-Umfeld

Francke umreißt die Gefährdung: „Digitale Bedrohungen nehmen weltweit kontinuierlich zu. Meldungen über Malware, Ransomware oder DDoS-Attacken gehören bereits zum Alltag. Und auch Angriffe auf ,Software Supply Chains’ gibt es immer öfter.“

• Die Täter nehmen demnach gerne Web-Marktplätze ins Visier, auf denen Entwickler fertige Software-Bausteine bzw. -Pakete tauschen. „Was ist also beim Schwachstellen-Management zu beachten? Welche Rolle spielt ,Open Source’? Auf diese Fragen mussten auch wir bei Stackable Antworten finden.“

Jedes Jahr komme es zu Hunderttausenden Sicherheitsvorfällen in der IT – sowohl im „Closed“- als auch im „Open Source“-Umfeld. Security-Experten und Cyberkriminelle lieferten sich dabei ein ständiges „Katz-und-Maus-Spiel“ um das Ausnutzen und Schließen von Schwachstellen.

Täter schleusen Malware in Software-Pakete, also fertige Programmier-Bausteine, entlang der -Lieferkette ein

Indes: „Und die Täter werden immer einfallsreicher. Bei ,Open Source’ besonders häufig in letzter Zeit: ,Supply Chain’-Angriffe. Hierbei schleusen Täter Schadsoftware in Software-Pakete ein, also fertige Programmier-Bausteine.“ Im „Global Cybersecurity Outlook 2025“ des WEF hätten 54 Prozent der Organisationen angegeben, dass die Software-Lieferkette die größte Herausforderung für die Cyber-Resilienz sei.

Die Beispiele seien zahlreich:

• Zu einem berühmten Zwischenfall sei es etwa beim JavaScript-Paket „node-ipc“ gekommen: „Ein Maintainer schleuste eine ,Protest-Malware’ ein, mit der er Systeme in Russland und Belarus lahmlegen wollte – samt Textdatei ,with love from america’.“
• In einem anderen Fall erwischte es den „GitHub Actions + PyPI“-Token, wodurch infizierte Dateien veröffentlicht worden seien.
• Und vor ein paar Wochen traf es „npm“, sozusagen ein App-Store für Software-Pakete, gleich doppelt: „Zuerst konnten die Angreifer, nachdem sie an die Zugangsdaten eines Entwicklers gelangt waren, manipulierte Pakete in Umlauf bringen. Und nur wenige Tage später wurde ein wöchentlich millionenfach heruntergeladenes Paket mit einem Schad-Wurm infiziert.“

Diese und andere Vorfälle wie „Log4Shell“ oder der „SolarWinds“-Hack zeigten: Für Unternehmen sei nicht nur die physische Lieferkette enorm wichtig, sondern auch die digitale. „Doch was gibt es in einem Open Source-,Ökosystem‘ zu beachten, in dem theoretisch jeder User Schadsoftware einbringen kann?“

Vielzahl an Schwachstellen bedeutet nicht zwangsläufig, dass eine Software unsicher sein muss

Als sogenannte CVE Numbering Authority hätten sie von Stackable direkten Einblick in Schwachstellen und könnten bzw. müssen neue Einfallstore melden. „Und für unsere ,Data Platform’, bei der mehrere ,Open Source’-Komponenten zum Einsatz kommen und wir uns deshalb auf die Lieferkette verlassen müssen, haben wir ein spezielles Vorgehen bei der ,Supply Chain Security’ etabliert.“

• Francke führt aus: „Dafür mussten wir zunächst umdenken: Eine Vielzahl an Schwachstellen bedeutet nämlich nicht zwangsläufig, dass eine Software unsicher ist. Und wenige CVEs stehen nicht automatisch für Sicherheit.“ Scan-Berichte zeigten, dass selbst in Softwareprojekten großer, globaler Hersteller viele CVEs vorhanden seien. Häufig stellten diese aber nur ein theoretisches Risiko dar – „und es ist in der Praxis so gut wie ausgeschlossen, dass sie Probleme verursachen“.

Ein Beispiel: „,OpenSSH’ ist ein Programm für Fernzugriffe, zu dem es in der CVE-Datenbank bekannte Schwachstellen gibt. Viele automatische Sicherheitsscanner schlagen Alarm, sobald sie eine bekannte CVE in der installierten ,OpenSSH’-Version finden. Das ist aber nur ein Indiz – nicht automatisch ein Risiko.“ Bei ihnen werde „OpenSSH“ ausschließlich als Client genutzt, also nur, um Verbindungen nach außen aufzubauen. CVEs bei serverseitigen Funktionen von „OpenSSH“ seien für sie deshalb nicht relevant – „in anderen Bereichen aber natürlich schon“.

Konzentration auf die tatsächlichen Gefahren empfohlen

Deshalb prüften sie nicht jede Meldung gleich pauschal, sondern konzentrierten sich auf die tatsächlichen Gefahren: „Dazu vergleichen wir CVE-Einträge mit Listen von Vulnerabilities, von denen bekannt ist, dass sie aktiv ausgenutzt werden. Und wir beobachten öffentliche Exploit-Quellen wie ,Metasploit’ oder Proof-of-Concept-Repos auf ,GitHub’.“

• Zusätzlich nutzen sie „EPSS-Scores“ (Exploit Prediction Scoring System), um einzuschätzen, wie wahrscheinlich ein Schwachstellen-Missbrauch in der Praxis ist. „So lassen sich echte Bedrohungen von harmlosen Treffern unterscheiden.“

Francke erläutert: „Warum diese Mühe? Weil wir in erster Linie ein verlässliches Produkt liefern möchten. Unser Fokus liegt auf einem stabilen System, das wir nicht durch aggressive Updates aus dem Gleichgewicht bringen möchten, wenn sie keine nennenswerten Sicherheitsvorteile bieten.“ Dies bedeute natürlich nicht, Updates zu vernachlässigen, sondern vielmehr zielgerichtet vorzugehen. Etwa durch Integrationstests oder mit maßgeschneiderten „Tools“, um Patches auch über mehrere Produktversionen hinweg zu verwalten. „Und vor allem durch ,Open Source’.“

Sicherheit auch entlang der Software-Lieferkette gerade durch Offenheit

Software mit offenem Quellcode sei längst im Mainstream angekommen. „Das zeigt der aktuelle ,Open Source Monitor’ des Branchenverbands Bitkom: Über 70 Prozent aller deutschen Unternehmen setzen inzwischen ,Open Source’-Software ein. Zwei Punkte sind den Befragten dabei besonders wichtig – die Funktionalität und die Sicherheitsaspekte.“

• Auf den ersten Blick erscheine dies zunächst widersprüchlich. „Während wir bei proprietärer Software nicht mal eine Chance auf einen Einblick haben, können bei ,Open Source’-Software alle User den Quellcode einsehen und verändern – also auch Menschen mit böswilligen Absichten. Und das macht ,Open Source’ eigentlich perfekt für Cyberkriminelle, um mögliche Einfallstore auszuspähen.“

Tatsächlich sei es aber gerade diese Offenheit, welche für ein sehr hohes Maß an Sicherheit sorge: Da viele Menschen rund um den Globus an dem Code mitarbeiteten und ihre Erfahrungen teilten, würden Schwachstellen meist sehr schnell entdeckt und geschlossen. „Viele Augen sehen einfach mehr“, so Franckes Kommentar.

„Open Source“ als das perfekte Mittel zur Kombination von Funktionalität und Sicherheit

„,Open Source’ war für uns von Beginn an das perfekte Mittel, um Funktionalität und Sicherheit zu vereinen. Was wir entwickeln, ist komplett öffentlich. Und diese Entscheidung zahlt sich jetzt auch im Security-Bereich aus.“

• Sie hätten die Kontrolle über den Quellcode und das Endprodukt, und durch die Transparenz könnten wir jederzeit nachvollziehen, „wie und wo Schwachstellen entstehen“. Zudem erstellten sie für jedes Container-Image eine Software-Bill-of-Materials (SBOM), um alle enthaltenen Komponenten auf mögliche Risiken scannen zu können.

„Wenn es also um eine sichere ,Software Supply Chain’ und die Bewahrung der eigenen Daten geht, heißt es in erster Linie: Don’t panic!“ Francke betont: „Nur weil in einer Komponente Schwachstellen existieren, ist sie nicht automatisch gefährlich.“ Sein abschließender Rat: „Unternehmen sollten ein solides Schwachstellen-Management etablieren, um über tatsächliche Risiken jederzeit informiert zu sein. Wer zudem auf ,Open Source’ setzt, unternimmt einen großen Schritt hin zu einer erhöhten Sicherheit!“

Weitere Informationen zum Thema:

Stackable
Wir sind Stackable​ / Über das Unternehmen

Linkedin
Lars Francke: Co-Founder & CTO at Stackable | Building an Open-Source Data Platform on Kubernetes

WORLD ECONOMIC FORUM, 03.01.2025
Global Cybersecurity Outlook 2025

bitkom
Gesamtübersicht – Studie: Open Source Monitor / Die Entwicklung von Open Source in Deutschland

datensicherheit.de, 17.09.2025
Open Source: Drei von vier Unternehmen in Deutschland bereits Nutzer / Eine große Mehrheit der Unternehmen in Deutschland sieht in „Open Source“-Software auch eine Chance für mehr Digitale Souveränität

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 02.06.2025
Die Angst vor dem schwächsten Glied: Cybersicherheit in der Lieferkette / Laut einer aktuellen Umfrage von Sophos haben die meisten der leitenden Manager Bedenken, dass die Integrität ihres Unternehmens durch Cybergefahren entlang der Lieferkette beeinträchtigt werden kann

datensicherheit.de, 20.04.2025
Kritische Infrastrukturen: Jede zweite Organisation unzureichend vor Cyber-Attacken in der Lieferkette geschützt / Erkenntnisse aus aktueller „DNV Cyber-Studie“ legen verstärkten Fokus auf Lieferanten nahe

datensicherheit.de, 10.10.2024
Open Source Software – unbestreitbare Vorteile sowie Risiken / Open Source Software (OSS) hat sich als unverzichtbarer Bestandteil moderner IT-Infrastrukturen etabliert

[datensicherheit.de, 19.10.2025] Sophos ist nach eigenen Angaben im Rahmen einer Befragung unter Logistik-Fachleuten der Frage nachgegangen, wie es um die Cybersicherheit in dieser Branche steht. Diese wurde demnach im September 2025 von techconsult im Auftrag von Sophos durchgeführt: „Insgesamt nahmen 147 Fach- und Führungskräfte aus der Logistikbranche in Deutschland teil. Die Teilnehmer kommen aus Unternehmen aller Größenordnungen – vom Mittelstand bis zum internationalen Konzern.“ Es habe sich gezeigt, dass das Thema in den Entscheidungsebenen präsent sei – „nicht zuletzt da die große Mehrheit der befragten Unternehmen bereits von Cyberangriffen betroffen waren“. Oft seien dabei Partner in der Lieferkette die entscheidende Schwachstelle, auch fehlendes Fachpersonal scheine ein relevanter Faktor zu sein.

Abbildung: Sophos

Sophos-Untersuchung: Wie Angriffe die Logistik treffen – eigenes System vs. Lieferkette

Logistikbranche hat Bedeutung der Cybersicherheit erkannt – bleibt jedoch verletzlich

Die Sophos-Befragung habe gezeigt, dass diese Branche durchaus die strategische Bedeutung der Cybersicherheit erkenne – indes bleibe sie anfällig. „Fast 80 Prozent der Betriebe waren schon von Cyberangriffen betroffen, insbesondere durch Schwachstellen in der Lieferkette oder menschliche Fehler.“

• Die Logistikbranche habe zwar die Bedeutung von Cybersicherheit erkannt – in der täglichen Praxis bleibe sie jedoch verletzlich. Dies sei eines der Ergebnisse einer aktuellen Befragung von Sophos unter Fach- und Führungskräften aus Logistikunternehmen in Deutschland.

Insgesamt 78,8 Prozent der Befragten hätten hierzu berichtet, dass ihr Betrieb bereits direkt oder indirekt von einem Cyberangriff betroffen gewesen sei. Besonders häufig treffe es Betriebe demnach über ihre Partner in der Lieferkette.

40 Prozent der Logistikunternehmen durch Sicherheitslücken oder Ausfälle in der Lieferkette beeinträchtigt

Die meisten Vorfälle entstehen der Befragung zufolge nicht in den eigenen Systemen, sondern an den Schnittstellen zu Kunden und Lieferanten. 40 Prozent der Unternehmen seien durch Sicherheitslücken oder Ausfälle in der Lieferkette beeinträchtigt worden.

• Hier offenbarten sich Fluch wie Segen, denn die starke digitale Vernetzung innerhalb der Branche sorge für Effizienz, aber auch für neue Einfallstore.

Neben technischen Angriffen bleibe der menschliche Faktor eine der größten Gefahren. „81 Prozent der Befragten sehen menschliche Fehler oder mangelndes Sicherheitsbewusstsein als ein zentrales Risiko für ihre IT-Systeme.“ Auch der „Fachkräftemangel“ verschärfe die Lage: Drei Viertel der Befragten gäben an, dass fehlendes Personal im Bereich IT-Sicherheit die Abwehrfähigkeit ihrer Unternehmen deutlich einschränke.

Zwei Drittel der Logistikunternehmen haben vertragliche IT-Sicherheitsvorgaben für Partner definiert

Viele Unternehmen hätten aus früheren Vorfällen gelernt und mittlerweile klare Regeln für Partner und Subunternehmer eingeführt. „Zwei Drittel der Logistikunternehmen haben inzwischen vertragliche IT-Sicherheitsvorgaben für Partner definiert.“

• Nur ein Teil davon überprüfe jedoch regelmäßig, ob diese Standards auch eingehalten werden. Die Lücke zwischen Strategie und Kontrolle bleibe groß – „Sicherheitslücken entstehen oft dort, wo eigentlich Kontrollmechanismen greifen sollten“.

„Die Logistik ist so eng vernetzt, dass ein einzelner Schwachpunkt die ganze Kette treffen kann“, warnt Michael Veit, Sicherheitsexperte bei Sophos. Er führt hierzu aus: „Viele Unternehmen investieren inzwischen in Technik und Schulungen, aber die größte Herausforderung bleibt der ,Faktor Mensch’ – in den eigenen Reihen und bei den Partnern.“

Die Studie zeigt, dass Cybersicherheit in der Logistik längst kein Randthema mehr ist.

Gerade in kleineren Logistikbetrieben liege die Verantwortung für IT-Sicherheit dabei oft noch direkt bei der Geschäftsführung oder der Bereichsleitung, während größere Unternehmen spezialisierte Sicherheitsfunktionen aufbauten.

• „Dies verdeutlicht, wie heterogen die Branche aufgestellt ist – und wie unterschiedlich die Wege zu mehr Cyberschutz aussehen.“

Sophos-Tipps für Logistikunternehmen:

• Lieferanten regelmäßig auf IT-Sicherheitsstandards prüfen!
• Mitarbeiter gezielt schulen und für Risiken sensibilisieren!
• Notfallpläne und Backup-Strategien regelmäßig testen!
• Systeme aktuell halten und veraltete Geräte ersetzen!
• Cybersicherheit als Managementaufgabe verstehen und steuern!

Weitere Informationen zum Thema:

SOPHOS
Technology you trust. People you count on / Sophos defeats cyberattacks with an adaptive AI-native open platform and unmatched security expertise

heise business services
Experten / Michael Veit – Manager Sales Engineering, Sophos GmbH

datensicherheit.de, 19.08.2025
Abkehr von Technik-Zentrierung: Digitale Transformation beginnt mit Menschen / Wer die Digitale Transformation aktiv mitgestalten möchte, braucht mehr als nur technisches Know-how – strategisches Denken, moderne Führungskompetenz und betriebswirtschaftliches Verständnis gelten als zentrale Voraussetzungen für wirksames Handeln

datensicherheit.de, 11.05.2025
Neue Herausforderungen für die Cybersicherheit: KI und der menschliche Faktor / Für eine effektive Verteidigung sind integrierte, sorgfältig geplante und implementierte Strategien erforderlich. Zero Trust, Threat-Intelligence, Mitarbeitersensibilisierung und die Einführung vertrauenswürdiger Lösungen sind nur einige der Eckpfeiler einer effizienten Strategie.

datensicherheit.de, 24.03.2019
Logistik: Vorsichtsmaßnahmen zur Sicherung der digitalisierten Supply Chain / Lieferketten im Netzwerk werden zur Zielscheibe von Cyberkriminellen

[datensicherheit.de, 29.08.2025] Anzahl und Heftigkeit der Cyberattacken auf Unternehmen geraten in zunehmend bedrohliche Größenordnungen. „Herkömmliche Prozesse zur Wiederherstellung von Daten und Systemen funktionieren oft nicht mehr, da Backups oder Sicherheitsanwendungen zerstört sind“, warnt James Blake, „VP of Cyber Resiliency Strategy“ bei Cohesity, und publiziert zum Schutz vor solchen existenzgefährdenden Cyberangriffen auf „Best Practices“ basierende Tipps für Unternehmen:

Foto: Cohesity

James Blake betont: Wahre Stärke der Cyberresilienz liegt nicht in einer Standardlösung, sondern im Zusammenspiel von Menschen, Prozessen und Technologie!

1. Cohesity-Tipp: Vorbereitung

„Richten Sie ein abteilungsübergreifendes Sicherheitsteam ein. Ransomware-Angriffe betreffen das gesamte Unternehmen, so dass alle Beteiligten ihre Rolle kennen müssen!“

• Realistische Übungen, unternehmensweite Richtlinien sowie regelmäßig aktualisierte Strategien für Backups und betriebliche Resilienz seien heute Pflicht.

2. Cohesity-Tipp: Proaktives Handeln

„Informieren Sie sich über Ransomware-Banden und ihre ,Tools’, Techniken und Verfahren (TTPs)!“

• Alle Mitarbeiter seien zu schulen und zu verpflichten, Ransomware-ähnliche Vorgänge zu melden. Das Sicherheitsteam sollte jederzeit auch über externe Kanäle kommunizieren können. Bei Bedarf seien externe Experten-Teams einzuschalten.

3. Cohesity-Tipp: Reduzierung der Angriffsfläche

„Ermitteln und schließen Sie kritische Sicherheitslücken, insbesondere wenn sie wichtige Systeme betreffen oder häufig von Cyberkriminellen ausgenutzt werden!“

• Zugriffsrechte sollten dem Prinzip der geringsten Berechtigung folgen. Netzwerksegmentierung schränke die Ausbreitung von Ransomware ein. Sensible Daten seien besonders gut zu sichern.

4. Cohesity-Tipp: Schutz für Backups

„Nutzen Sie Backup-Systeme, die von der produktiven Umgebung getrennt sind und unveränderliche Daten speichern!“

• Multifaktor-Authentifizierung (MFA) für Administratoren und rollenbasierte Zugriffskontrolle (RBAC) böten weiteren Schutz. Ein „Golden Master“ von kritischen Systemen erleichtere die Wiederherstellung.

5. Cohesity-Tipp: Stärkung des Schutzes vor Ransomware

„Identifizieren Sie Sicherheitslücken auf Basis der von Ransomware-Banden genutzten ,ATT&CK’-Techniken. Anomalie-Erkennung im Dateisystem der Endpunkte wie Verschlüsselung oder Löschung von Dateien sowie E-Mail-Gateway-Filter zum Blockieren bösartiger Links und Anhänge erhöhen den Schutz!“

• Zudem sollte nur autorisierte Software ausgeführt werden.

6. Cohesity-Tipp: Erkennen von Ransomware

„Decken Sie Anomalien in der CPU- und Festplattennutzung auf sowie ungewöhnliche Netzwerkprotokolle wie ,I2P’ oder ,TOR’, die von Ransomware-Banden verwendet werden!“

• Eine proaktive Suche erkenne Kompromittierungen sowie Netzwerkverbindungen mit bekannten Ports oder Zielen für Ransomware und „Wiper“ – auch mit Hilfe historischer Daten.

7. Cohesity-Tipp: Schnelle Reaktion

„Suchen Sie nach ,Staging’-Umgebungen zur Datenexfiltration und isolieren Sie infizierte Hosts sämtlicher Netzwerke!“

• Ein „Clean Room“ ermögliche die Wiederherstellung des letzten Backups und den Einsatz vertrauenswürdiger „Tools“. Damit ließen sich Anzeichen für ein Fortbestehen des Angriffs, die ausgenutzten Schwachstellen und eine erste Verlustprognose ermitteln.

8. Cohesity-Tipp: Offene Kommunikation

„Kommunizieren Sie mit internen Beteiligten und der Öffentlichkeit, um Gerüchte zu vermeiden!“

• Betroffene Personen und die jeweiligen Aufsichtsbehörden sollten in Übereinstimmung mit regulatorischen und rechtlichen Verpflichtungen informiert werden, bei Bedarf auch Versicherungsgesellschaft, Strafverfolgungsbehörden und das BSI.

Cohesity empfiehlt Betrieben Orientierung an Cyberresilienz-Reifegradmodell

Unternehmen sollten diese Cohesity-Tipps als „Leitplanken für die Stärkung ihrer Cyberresilienz“ nutzen. Laut Blake liegt die wahre Stärke der Cyberresilienz nicht in einer Standardlösung, sondern im Zusammenspiel von Menschen, Prozessen und Technologie:

• „Wahre Resilienz geht über die bloße Einführung einer Standard-Technologielösung hinaus – es geht darum, wie diese Lösungen eingesetzt werden, welche Unternehmenskultur vorhanden ist und ob die notwendigen Fähigkeiten und Prozesse bestehen, um sie aufrechtzuerhalten.“

Organisationen sollten sich kontinuierlich an einem Cyberresilienz-Reifegradmodell orientieren und regelmäßig Übungen dazu durchführen, um Menschen, Prozesse und Technologien zu optimieren und eine Art „Muskelgedächtnis“ aufzubauen. Blakes Fazit: „Indem sie sich vom ,Burggraben’-Denken lösen, erhalten Organisationen den Ansatz und die Werkzeuge, die notwendig sind, um sich gegen die scheinbar endlosen Veränderungen beim Vorgehen von Angreifern zu schützen!“

Weitere Informationen zum Thema:

COHESITY
Company / We protect the world’s data and provide insights into that data

COHESITY
White paper: Your roadmap to ransomware resilience / Align security and IT teams to detect threats faster, recover clean data, and keep your organization moving forward.

COHESITY, 24.04.2025
Introducing the Cohesity Destructive Cyberattack Resilience Maturity Model / Apply this model, based on popular cybersecurity response and recovery frameworks, to measure and improve your resilience

COHESITY, 15.11.2022
Introducing the Cohesity Field CISOs and Field CTO / James Blake, EMEA Field CISO

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 23.05.2025
Sicherer GenAI-Einsatz: Delinea gibt Unternehmen 3 zentrale Tipps / Mittels GenAI erhalten Unternehmen immense Möglichkeit – doch neben Effizienzgewinnen birgt deren kontinuierliche und rasante Weiterentwicklung auch Sicherheitsrisiken

datensicherheit.de, 09.04.2025
Cyber-Resilienz statt bloße Cyber-Resistenz: 5 Tipps für mehr Widerstandsfähigkeit gegenüber -angriffen / Cyber-Angriffe sind für Unternehmen und Organisationen zur alltäglichen Bedrohung geworden

datensicherheit.de, 13.01.2025
Praxistipps: Wie Datenschutz im Alltag funktionieren kann / Initiative „Mit Sicherheit gut behandelt“ zur Umsetzung des Datenschutzes mit zwölf monatlichen Praxistipps gestartet

datensicherheit.de, 25.11.2024
Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit / Klassische E-Mail bleibt primärer Bedrohungsvektor im Cyberspace

[datensicherheit.de, 24.08.2025] Der aktuelle „Financial Sector Threats Report“ von KnowBe4 liefert als zentrale Erkenntnis, dass Finanzinstitute bis zu 300-mal häufiger Ziel von Cyberangriffen sind als andere Branchen. Besonders kritisch ist demnach, dass 45 Prozent der Mitarbeiter großer Banken in Simulationen auf gefährliche Links klicken – vor allem im Kontext solcher durch Künstliche Intelligenz (KI) unterstützten Phishing-Kampagnen.

Abbildung: KnowBe4

Der aktuelle „Financial Sector Threats Report“ mit besorgniserregenden Erkenntnissen

KnowBe4-Bericht liefert wichtige Erkenntnisse über eskalierende Cybersicherheitskrise im globalen Finanzsektor

KnowBe4 hat die neueste Ausgabe des eigenen Forschungsberichts „Financial Sector Threats Report” veröffentlicht. Dieser Bericht soll wichtige Erkenntnisse über die eskalierende Cybersicherheitskrise im globalen Finanzsektor liefern.

• Dieser Report zeige, dass Finanzinstitute einem „perfekten Sturm“ aus KI-gestützten Angriffen, Diebstahl von Zugangsdaten und Schwachstellen in der Lieferkette ausgesetzt seien. Diese stellten systemische Risiken für die globale Finanzbranche dar.

Die zugrundeliegende Untersuchung habe ergeben, „dass 97 Prozent der großen US-Banken im Jahr 2024 Sicherheitsverletzungen durch Dritte erlitten haben“. Gleichzeitig hätten gezielte Angriffe auf Finanzinstitute im Vergleich zum Vorjahr um 109 Prozent zugenommen.

KnowBe4-Bericht beschreibt, wie Angreifer KI-Tools wie „FraudGPT“ und „ElevenLabs“ nutzten

Besonders besorgniserregend sei, „dass Tests in großen Finanzinstituten ergaben, dass rund 45 Prozent der Mitarbeiter wahrscheinlich auf einen bösartigen Link klicken oder eine infizierte Datei herunterladen würden“. Dadurch würden Angriffspunkte für Bedrohungsakteure geschaffen.

• Der Bericht hebe hervor, wie Angreifer KI-Tools wie „FraudGPT“ und „ElevenLabs“ nutzten, um überzeugendere Phishing-Kampagnen zu erstellen. Gleichzeitig entfernten sie sich von der traditionellen Ransomware-Verschlüsselung und wendeten sich Daten-Exfiltration und mehrstufigen Erpressungsschemata zu.

Dadurch könnten Angreifer legitime Anmeldedaten verwenden, was die Erkennung erheblich erschwere. Laut Berichten der Federal Reserve Bank of New York könnte bereits eine eintägige Unterbrechung der Zahlungsverkehrsdienste großer Banken 38 Prozent der Netzwerkbanken weltweit beeinträchtigen.

Die wichtigsten Erkenntnisse des aktuellen KnowBe4-Berichts:

• 97 Prozent der größten US-Banken seien 2024 von Sicherheitsverletzungen durch Dritte betroffen gewesen, während 100 Prozent der führenden Finanzunternehmen in Europa Sicherheitsverletzungen durch Lieferanten erlitten hätten. Dies mache die Schwachstellen in den „Ökosystemen“ der Anbieter deutlich.
• Die Analyse von über drei Millionen Beiträgen im sogenannten DarkWeb zeige, dass gestohlene Zugangsdaten den Diebstahl von Kreditkartendaten bei Weitem überträfen. Die Versuche, „Infostealer“ zu installieren, hätten im Jahr 2024 um 58 Prozent zugenommen, wobei 68 Prozent der Angriffe über E-Mails erfolgt seien.
• 60 Prozent aller Ransomware-Angriffe auf Finanzinstitute entfielen auf die USA. Zusammen mit Großbritannien machten sie über 70 Prozent der Angriffe aus. Die Aktivitäten in den aufstrebenden Märkten Südasiens und Lateinamerikas nähmen zu.
• Zu Beginn liege die „Phish-Prone Percentage“ (PPP) bei großen Finanzinstituten bei 44,7 Prozent. Durch gezielte „Awareness“-Schulungen lasse sich dieser Wert jedoch auf unter fünf Prozent senken.

Kampf zwischen Cyberangreifern und potenziellen Opfern auf menschlicher Ebene

„Die Gegner verschaffen sich einen Vorteil gegenüber dem Finanzsektor“, erläutert James McQuiggan, „Security Awareness Advocate“ bei KnowBe4. Herkömmliche Abwehrmaßnahmen reichten nicht mehr aus.

• Die Angreifer hätten erkannt, dass der Diebstahl gültiger Anmeldedaten effektiver sei als Ransomware, da sie sich so unentdeckt bewegen könnten.

McQuiggan unterstreicht abschließend: „Der Kampf findet auf menschlicher Ebene statt: Finanzinstitute müssen das Risikomanagement für ihre Mitarbeiter priorisieren, um diese kritische Sicherheitslücke zu schließen!“

Weitere Informationen zum Thema:

knowbe4
About US /KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day.

KnowBe4, 2025
Financial Sector Threats: The Shifting Landscape

knowbe4, Human Risk Management Blog
James McQuiggan – Security Awareness Advocate

FEDERAL RESERVE BANK of NEW YORK, Thomas M. Eisenbach & Anna Kovner & Michael Junho Lee, Mai 2021
Cyber Risk and the U.S. Financial System: A Pre-Mortem Analysis

datensicherheit.de, 21.07.2025
DORA Oversight Guide publiziert: Finanzunternehmen sollten sich dringend mit Verschlüsselung und Schlüsselhoheit befassen / Am 15. Juli 2025 wurde der neue „DORA Oversight Guide“ von den europäischen Aufsichtsbehörden veröffentlicht – Finanzunternehmen, IT-Dienstleister und „Cloud-Provider“ werden mit teils weitreichenden Auswirkungen konfrontiert

datensicherheit.de, 26.06.2025
Dark Economy Report 2025: BioCatch sieht Finanzinstitute im Zugzwang / BioCatch hat am 18. Juni 2025 seinen ersten „Dark Economy Report“ veröffentlicht – diesem liegt eine Umfrage unter 800 Experten in 17 Ländern auf fünf Kontinenten zugrunde

datensicherheit.de, 16.04.2025
DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur / Cyber-Sicherheit längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyberangriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

Von unserem Gastautor Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

[datensicherheit.de, 04.04.2025] Cyberangriffe entwickeln sich stetig weiter, und klassische Abwehrmaßnahmen allein reichen oft nicht mehr aus. Threat Intelligence ist ein Schlüssel zur frühzeitigen Erkennung und Abwehr von Angriffen. Sie stellt Unternehmen jedoch vor die Herausforderung, relevante Erkenntnisse aus der schieren Menge an Bedrohungsinformationen zu identifizieren, zu verstehen und klare Maßnahmen abzuleiten.

Threat Intelligence – Den Angreifern einen Schritt voraus

Unter Threat Intelligence versteht man die systematische Sammlung, Analyse und Nutzung von Bedrohungsdaten, die dabei hilft, Angriffsmuster sowie häufig ausgenutzte Schwachstellen und aktuelle Bedrohungen in IT-Infrastrukturen zu erkennen und Sicherheitsmaßnahmen entsprechend anzupassen. Ohne sie wäre es für Unternehmen schwierig, zu verstehen, wie sich Angriffstaktiken verändern und welche Sicherheitsmaßnahmen erforderlich sind. Denn sie gibt z. B. Aufschluss darüber, wie Ransomware-Taktiken sich verändern, welche kriminellen Gruppen am aktivsten sind und wie häufig Phishing in bestimmten Branchen vorkommt.

Threat Intelligence basiert u. a. auf Darknet-Analysen, Indicators of Compromise (IOCs) wie schadhaften IPs, Security Operations Center (SOC)-Erkenntnissen, Informationen zu Angriffsmustern von Cyberkriminellen und allgemeinen Bedrohungstrends. Die Bedrohungsdaten können aus verschiedensten Quellen stammen, etwa aus Foren der Cybersecurity-Community, aus Sicherheitsprotokollen von Unternehmen, aus Publikationen von Forschern oder auch aus kostenpflichtigen Abonnements entsprechender Anbieter.

Entscheidend ist dabei jedoch, dass die Menge an technischen Details – wie IP-Adressen, Hashwerte, Domains, URLs oder Angriffstechniken – ebenfalls konsolidiert und in eine für Unternehmen nutzbare Form überführt werden. Denn Threat Intelligence muss handlungsorientiert sein. Für Unternehmen müssen sich aus der Nutzung konkrete Maßnahmen ableiten lassen. Andernfalls bleiben die Informationen lediglich von theoretischem Interesse und stellen rein technische Daten dar, ohne einen tatsächlichen Beitrag zur Verbesserung der Cybersicherheit des Unternehmens zu leisten.

Security- und IT-Verantwortliche in Unternehmen können diese Daten dann nutzen, um Bedrohungen in ihren jeweiligen IT-Landschaften zu erkennen, darauf zu reagieren und proaktive Sicherheitsmaßnahmen gezielt umzusetzen. Dadurch minimieren sie nicht nur Sicherheitsrisiken, sondern nutzen auch Budget, Ressourcen und Technologien effizienter.

Aktuelle Insights in die Cybersicherheitslandschaft

So gibt beispielsweise der aktuelle Threat Report von Arctic Wolf Einblicke in die aktuelle Bedrohungslage und leitet konkrete Handlungsempfehlungen ab. Der Security-as-a-Service-Anbieter betreibt eines der größten kommerziellen SOCs weltweit und erstellt den Bericht auf Basis von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Daten. Die Ergebnisse zeigen, wie Cyberkriminelle ihre Methoden weiterentwickeln, um stärkere Sicherheitsmaßnahmen zu umgehen: Ransomware-Angreifer setzen verstärkt auf Datendiebstahl, Business-E-Mail-Compromise-Taktiken werden raffinierter, und bekannte Schwachstellen sind weiterhin Einfallstor für Cyberkriminelle.

Beim Schwachstellenmanagement zeigt sich beispielsweise: Wenige Schwachstellen werden überproportional oft ausgenutzt. 2024 wurden über 40.000 Sicherheitslücken verzeichnet, doch in 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus – für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Dies macht deutlich, wie wichtig proaktives Patch-Management ist.

Trotz verfügbarer Sicherheitsupdates zögern viele Unternehmen, Patches zeitnah einzuspielen – sei es mangels klarer Prozesse oder aufgrund personeller Engpässe. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle. Ein auf Threat Intelligence basierendes effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren.

Die Herausforderung: Zu viele Daten, zu wenig Ressourcen

Wie das Beispiel Schwachstellenmanagement zeigt, mangelt es Unternehmen oft nicht an der Verfügbarkeit von relevanten Bedrohungsdaten, sondern an den Ressourcen, diese sinnvoll zu nutzen. Besonders kleinere Security-Teams stehen vor der Herausforderung, die Masse an Informationen effizient zu analysieren und zu verwalten. Hier kommen externe Sicherheitspartner ins Spiel, die Unternehmen mit gezielten Threat-Intelligence-Maßnahmen unterstützen können, z. B. durch:

• Risikobasiertes Schwachstellenmanagement: Identifikation und Priorisierung von Sicherheitslücken nach Dringlichkeit
• Kuratiertes Reporting: Bereitstellung relevanter Informationen anstelle einer unübersichtlichen Flut an Rohdaten
• Echtzeit-Warnungen: Automatische Benachrichtigung über kritische Bedrohungen

Ein weiterer Vorteil der Zusammenarbeit mit externen Partnern ist ihr breiter Datenzugang: Sie analysieren Bedrohungstrends über zahlreiche Unternehmen hinweg und können dadurch präzisere, praxisnahe Empfehlungen ableiten. Von diesem Wissen profitieren wiederum Unternehmen und können ihre Sicherheitsmaßnahmen gezielt anpassen.

Fazit: Kuratierte Threat Intelligence als Schlüssel zum Erfolg

Threat Intelligence ist essenziell, doch ohne strukturierte Analysen bleiben wertvolle Informationen ungenutzt. Nur mit kuratierter Threat Intelligence lässt sich die Flut an Bedrohungsdaten sinnvoll auswerten, Sicherheitsstrategien optimieren und fundierte Entscheidungen treffen. Fehlen die internen Ressourcen, um dies abzudecken, kann die Zusammenarbeit mit einem spezialisierten Security-Partner wie Arctic Wolf Unternehmen dabei unterstützen, ihre Sicherheitslage nachhaltig zu verbessern.

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, Bild: Arctic Wolf

Über den Autor

Dr. Sebastian Schmerl ist Vice President Security Services EMEA und verantwortlich für Cyber Security Operations bei Arctic Wolf. Er unterstützt Kunden bei der Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle in komplexen IT-Landschaften und Cloud- oder ICS-Umgebungen.

[datensicherheit.de, 25.02.2025] Eine weltweite Studie von Omdia hat ergeben, dass 80 Prozent der Fertigungsunternehmen im letzten Jahr einen erheblichen Anstieg an Sicherheitsvorfällen oder -verletzungen insgesamt zu verzeichnen hatten, aber nur 45 Prozent in Bezug auf ihre Cybersicherheit angemessen vorbereitet sind.

Befragung unter mehr als 500 Führungskräften

Omdia befragte weltweit über 500 Führungskräfte aus dem Technologiebereich zur Konvergenz von Informationstechnologie (IT) und Betriebstechnologie (OT) – oder physischen Systemen – in ihren Kerngeschäften und wie sie mit den Herausforderungen der Cybersicherheit umgehen und auf Cyberangriffe vorbereitet sind. Der Bericht für die Studie wurde in Zusammenarbeit mit Telstra International, dem globalen Unternehmensbereich des führenden Telekommunikations- und Technologieunternehmens Telstra, erstellt.

Cyberangriffen – Geänderte Rahmenbedinungen erhöhen das Risiko

Das erhöhte Risiko von Cyberangriffen entsteht, da Produktionsbetriebe dazu übergehen, IT-Ressourcen wie Cloud, KI und Internet der Dinge (IoT) als Teil ihrer digitalen Transformation zu nutzen – ein Prozess, der als Industrie 4.0 definiert wird. Die Konvergenz von IT und traditioneller OT kann zwar die Skalierbarkeit, Resilienz und Effizienz des Betriebs erhöhen, vergrößert aber auch die Angriffsfläche für Cyber-Bedrohungen. Kritische Branchen sind zunehmend lukrative Ziele für Cyberangriffe, einschließlich Ransomware.

Produktionsbetriebe, die von einem Cyberangriff betroffen waren, berichteten, dass ein Problem mit der Ausfallsicherheit oder Verfügbarkeit im Einzelfall zwischen 200.000 und zwei Millionen US-Dollar kosteten. Die größten Schäden entstanden, wenn Vorfälle Unternehmens- und Konzernsysteme oder die Produktionssteuerung betrafen.

Geraldine Kor, Head of Global Enterprise Business bei Telstra International, sagt: „Eine größere Konnektivität zwischen IT und OT ist notwendig, um fortschrittliche Technologien für Innovationen in der Produktion zu nutzen, aber sie erhöht auch die Risiken einer Sicherheitsverletzung.“ Allerdings seien nur wenige Unternehmen bei Schutz und Abwehr von Cyberrisiken ausreichend vorbereitet.

„Unsere Studie hat auch eine fragmentierte Herangehensweise bei der Sicherheitsverantwortung aufgedeckt, die dazu führen kann, dass Produktionsbetriebe keine klare Ausrichtung haben. Die Zuständigkeiten müssen eindeutig und einheitlich sein, so dass eine Gruppe oder Person die Befugnis hat, auf die Sicherheitsherausforderungen für unternehmenskritische Systeme zu reagieren.  Ebenso wichtig sind die richtigen Mitarbeitenden und eine sicherheitsorientierte Unternehmenskultur, da ihr Fehlen die Sicherheitsbereitschaft beeinträchtigt und technische Herausforderungen verstärkt,“ so Kor weiter.

Ganesh Narayanan, Global Head of Cyber Security bei Telstra International, merkt an, dass sich das verarbeitende Gewerbe und andere Industriezweige traditionell auf Air Gapping für die Sicherheit verlassen. OT-Systeme sind dabei typischerweise physisch von den IT-Systemen des Unternehmens getrennt, um sie vor externen Bedrohungen zu schützen.

Dieser Ansatz ist jedoch angesichts der zunehmenden IT-OT-Konvergenz, die die Angriffsfläche erheblich vergrößert, nicht mehr haltbar.

Er serklärt: „Die Integration von IT und OT schafft einen enormen Wert für Unternehmen in allen Branchen, aber Unternehmen müssen sich mit den Risiken auseinandersetzen, um das Potenzial sicher auszuschöpfen. Unternehmen sollten der IT/OT- und IoT-Sicherheit in sechs Kernbereichen Priorität einräumen: Zusammenarbeit und Planung, Festlegung einer Strategie, Stärkung des technischen Fachwissens, Zuweisung von Verantwortung und Rechenschaftspflicht, Nutzung der richtigen Tools und Beschleunigung der Bereitschaft durch Standards.“

Adam Etherington, Senior Principal Analyst bei Omdia, sagt: „Unsere Studie beleuchtet kritische Angriffsvektoren und daraus abgeleitete Lektionen, und bietet aktuelle Ratschläge für alle Führungskräfte, die für IT und OT verantwortlich sind.

Eine umfassendere Konnektivität zwischen IT und OT ist für das Design und die Verbesserung von Produktionssystemen, sowohl in neuen (Greenfield) als auch in bestehenden (Brownfield) Anlagen.  Um Innovation, Verfügbarkeit, Sicherheit und Schutz schrittweise zu verbessern, müssen Unternehmen Cloud, IoT, KI und private Netzwerke nutzen, wobei die IT/OT-Konvergenz diese Technologien zum Leben erweckt.

Die meisten Unternehmen haben jedoch mit teuren Ausfällen und Sicherheitsvorfällen zu kämpfen, weil die traditionellen Sicherheitskontrollen, -richtlinien und -kulturen nicht Schritt halten können. Angesichts des Ausmaßes der Kosten für Ausfallzeiten aufgrund von Sicherheitsverletzungen oder Netzwerkvorfällen, die den Betrieb beeinträchtigen, ist es wichtig, die Ursachen besser zu verstehen, um proaktiv Abhilfe schaffen zu können.“

Weitere Infoirmationen zum Thema:

datensicherheit.de, 11.02.2025
OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion

Telstra International
Secure manufacturing: the challenges of IT/OT convergence