[datensicherheit.de, 31.10.2025] Cyberangriffe auf den öffentlichen Sektor nehmen immer mehr zu: „Staatliche Institutionen, Behörden und Betreiber Kritischer Infrastrukturen geraten zunehmend ins Visier, sowohl durch Cyberkriminelle als auch durch staatlich gesteuerte Gruppen. Die Bedrohungslage verschärft sich, da viele Angriffe inzwischen kombinierte Vektoren nutzen, veraltete IT-Systeme zusätzliche Angriffsflächen bieten und geopolitische Spannungen das Risiko gezielter Operationen erhöhen.“ Michael Chalvatzis, „Senior Director DACH & Eastern Europe“ bei Recorded Future, kommentiert die Bedrohungslage und führt zur Problematik weiter aus: „Hinzu kommt, dass oft das nötige Personal, ausreichende Ressourcen sowie die benötigten Kompetenzen fehlen, um schnell und wirksam zu reagieren.“ „Threat Intelligence“ umreißt er als zentrales Instrument zur langfristigen Absicherung der digitalen Handlungsfähigkeit des öffentlichen Sektors.

Foto: Recorded Future

Michael Chalvatzis rät zu „Threat Intelligence“: Warnmeldungen können gezielt an betroffene Stellen übermittelt werden, noch bevor konkrete Schäden entstehen

„Threat Intelligence“ als systematischer Ansatz zur frühzeitigen Erkennung von Bedrohungen empfohlen

Trotz dieser Herausforderungen blieben die Erwartungen hoch. Bürger erwarteten nach wie vor, „dass staatliche Einrichtungen ihre digitalen Dienste zuverlässig bereitstellen und sensible Daten schützen“. Ein erfolgreicher Angriff hätte nicht nur finanzielle Folgen, sondern würde auch das Vertrauen in die Handlungsfähigkeit des Staates langfristig beschädigen.

• Cyberabwehr im öffentlichen Sektor war demnach lange Zeit vorwiegend reaktiv ausgerichtet. Chalvatzis erläutert: „Sicherheitsvorfälle wurden dokumentiert, im Nachhinein analysiert und erst danach Maßnahmen eingeleitet.“

Angesichts der heutigen Bedrohungslage reiche dieses Vorgehen nicht mehr aus. Erforderlich sei ein systematischer Ansatz, „der Bedrohungen frühzeitig erkennt, in den passenden Kontext einordnet, nach Relevanz bewertet und in konkrete Maßnahmen übersetzt“.

„Threat Intelligence“-Lösungen analysieren und priorisieren Bedrohungsdaten

„Threat Intelligence“-Lösungen unterstützten dieses Vorgehen, indem sie sicherheitsrelevante Informationen aus unterschiedlichen Quellen automatisiert verarbeiteten. Dazu gehörten technische Feeds, öffentlich verfügbare Daten, branchenspezifische Informationskanäle sowie Inhalte aus schwer zugänglichen digitalen Umgebungen wie dem „Darknet“.

• Die Plattformen analysierten diese Daten in Echtzeit, priorisierten sie nach Dringlichkeit und machten sie für die weitere Bearbeitung verfügbar.

„Durch die Anbindung an bestehende Sicherheitssysteme wie SIEM oder SOAR lassen sich relevante Erkenntnisse direkt in bestehende Prozesse einbinden“, berichtet Chalvatzis. Dies verkürze Reaktionszeiten, entlaste gezielt Analystenteams und nutze Ressourcen effizienter. Gleichzeitig verbesserten kontextualisierte Informationen die Grundlage für strategische Entscheidungen, etwa bei der Bewertung geopolitischer Entwicklungen, bei der Risikoeinschätzung von Lieferketten oder bei der Einhaltung regulatorischer Vorgaben.

Strategischer Vorteil: „Threat Intelligence“ ermöglicht proaktive Verteidigung

„,Threat Intelligence’ entwickelt sich zu einem zentralen Instrument, um die digitale Handlungsfähigkeit des öffentlichen Sektors langfristig abzusichern.“ Zahlreiche staatliche Einrichtungen setzten bereits auf KI-gestützte „Threat Intelligence“-Plattformen, um diesen Anforderungen vorausschauend und effizient zu begegnen.

• Durch die automatisierte Auswertung sicherheitsrelevanter Informationen ließen sich potenzielle Bedrohungen frühzeitig erkennen, in den richtigen Kontext einordnen und nach Relevanz priorisieren.

Chalvatzis erläutert den Nutzen: „Warnmeldungen können gezielt an betroffene Stellen übermittelt werden, noch bevor konkrete Schäden entstehen.“ Gleichzeitig unterstütze ein solcher Ansatz die Umsetzung nationaler Sicherheitsstrategien sowie die Einhaltung regulatorischer Vorgaben wie der NIS-2-Richtlinie.

Weitere Informationen zum Thema:

Recorded Future
Warum Aufgezeichnete Zukunft / Recorded Future Precision Intelligence hilft Unternehmen, die meisten Bedrohungen zuerst zu erkennen, damit sie handeln und Angriffe verhindern können. Unser KI-gesteuerter Intelligence Graph® verbindet Ihre internen Daten mit externen Informationen und liefert in Echtzeit umsetzbare Erkenntnisse, die sich nahtlos in Ihre bestehende Sicherheitsarchitektur integrieren lassen.

Linkedin
Michael Chalvatzis

datensicherheit.de, 04.04.2025
Cyberangriffe: Threat Intelligence als Schlüssel zur frühzeitigen Erkennung und Abwehr / Bedrohungsdaten verstehen und effektiv nutzen

datensicherheit.de, 01.12.2023
Mimecast Global Threat Intelligence Report Q3 / 2023: 97 Prozent aller Unternehmen Ziel von E-Mail-Phishing-Attacken / Drittes Quartal 2023 hat deutlichen Anstieg sogenannter Zero-Day-Bedrohungen gezeigt, warnt Mimecast

datensicherheit.de, 15.07.2020
Automatisierte Threat Intelligence: Bedrohungserkennung, -bewertung und -behebung gehören auf den Prüfstand / Die Operationalisierung von Informationen über Bedrohungen nimmt Zeit in Anspruch und erfordert eine gründliche Planung

datensicherheit.de, 16.11.2018
Internationaler Cyber Resilience Think Tank: Hohe Priorität für Threat Intelligence / Mimecast veröffentlicht den neuesten Bericht des Gremiums

[datensicherheit.de, 23.10.2025] Im Kontext der Digitalen Transformation der Welt gehören Cyberangriffe längst zur Normalität – besonders kritisch wird es, wenn Täter einzelne Komponenten der Software-Lieferkette attackieren. Selbst einzelne Programmier-Bausteine der Entwickler sind offenbar nicht sicher: Im „Global Cybersecurity Outlook 2025“ des World Economic Forum (WEF) gaben über 50 Prozent der Organisationen an, dass dies für sie die größte Herausforderung bei der Cyberresilienz sei. Lars Francke, CTO und Mitgründer von Stackable, geht in seiner aktuellen Stellungnahme auf effektives Schwachstellen-Management ein, erläutert, wieso viele Sicherheitslücken nicht unbedingt ein Risiko darstellen müssen und welche Rolle „Open Source“ spielt.

Foto: Stackable

Lars Francke: Wenn es um eine sichere Software-Liferkette und die Bewahrung der eigenen Daten geht, heißt es in erster Linie: „Don’t panic!“

Hunderttausende IT-Sicherheitsvorfällen – sowohl im „Closed“- als auch im „Open Source“-Umfeld

Francke umreißt die Gefährdung: „Digitale Bedrohungen nehmen weltweit kontinuierlich zu. Meldungen über Malware, Ransomware oder DDoS-Attacken gehören bereits zum Alltag. Und auch Angriffe auf ,Software Supply Chains’ gibt es immer öfter.“

• Die Täter nehmen demnach gerne Web-Marktplätze ins Visier, auf denen Entwickler fertige Software-Bausteine bzw. -Pakete tauschen. „Was ist also beim Schwachstellen-Management zu beachten? Welche Rolle spielt ,Open Source’? Auf diese Fragen mussten auch wir bei Stackable Antworten finden.“

Jedes Jahr komme es zu Hunderttausenden Sicherheitsvorfällen in der IT – sowohl im „Closed“- als auch im „Open Source“-Umfeld. Security-Experten und Cyberkriminelle lieferten sich dabei ein ständiges „Katz-und-Maus-Spiel“ um das Ausnutzen und Schließen von Schwachstellen.

Täter schleusen Malware in Software-Pakete, also fertige Programmier-Bausteine, entlang der -Lieferkette ein

Indes: „Und die Täter werden immer einfallsreicher. Bei ,Open Source’ besonders häufig in letzter Zeit: ,Supply Chain’-Angriffe. Hierbei schleusen Täter Schadsoftware in Software-Pakete ein, also fertige Programmier-Bausteine.“ Im „Global Cybersecurity Outlook 2025“ des WEF hätten 54 Prozent der Organisationen angegeben, dass die Software-Lieferkette die größte Herausforderung für die Cyber-Resilienz sei.

Die Beispiele seien zahlreich:

• Zu einem berühmten Zwischenfall sei es etwa beim JavaScript-Paket „node-ipc“ gekommen: „Ein Maintainer schleuste eine ,Protest-Malware’ ein, mit der er Systeme in Russland und Belarus lahmlegen wollte – samt Textdatei ,with love from america’.“
• In einem anderen Fall erwischte es den „GitHub Actions + PyPI“-Token, wodurch infizierte Dateien veröffentlicht worden seien.
• Und vor ein paar Wochen traf es „npm“, sozusagen ein App-Store für Software-Pakete, gleich doppelt: „Zuerst konnten die Angreifer, nachdem sie an die Zugangsdaten eines Entwicklers gelangt waren, manipulierte Pakete in Umlauf bringen. Und nur wenige Tage später wurde ein wöchentlich millionenfach heruntergeladenes Paket mit einem Schad-Wurm infiziert.“

Diese und andere Vorfälle wie „Log4Shell“ oder der „SolarWinds“-Hack zeigten: Für Unternehmen sei nicht nur die physische Lieferkette enorm wichtig, sondern auch die digitale. „Doch was gibt es in einem Open Source-,Ökosystem‘ zu beachten, in dem theoretisch jeder User Schadsoftware einbringen kann?“

Vielzahl an Schwachstellen bedeutet nicht zwangsläufig, dass eine Software unsicher sein muss

Als sogenannte CVE Numbering Authority hätten sie von Stackable direkten Einblick in Schwachstellen und könnten bzw. müssen neue Einfallstore melden. „Und für unsere ,Data Platform’, bei der mehrere ,Open Source’-Komponenten zum Einsatz kommen und wir uns deshalb auf die Lieferkette verlassen müssen, haben wir ein spezielles Vorgehen bei der ,Supply Chain Security’ etabliert.“

• Francke führt aus: „Dafür mussten wir zunächst umdenken: Eine Vielzahl an Schwachstellen bedeutet nämlich nicht zwangsläufig, dass eine Software unsicher ist. Und wenige CVEs stehen nicht automatisch für Sicherheit.“ Scan-Berichte zeigten, dass selbst in Softwareprojekten großer, globaler Hersteller viele CVEs vorhanden seien. Häufig stellten diese aber nur ein theoretisches Risiko dar – „und es ist in der Praxis so gut wie ausgeschlossen, dass sie Probleme verursachen“.

Ein Beispiel: „,OpenSSH’ ist ein Programm für Fernzugriffe, zu dem es in der CVE-Datenbank bekannte Schwachstellen gibt. Viele automatische Sicherheitsscanner schlagen Alarm, sobald sie eine bekannte CVE in der installierten ,OpenSSH’-Version finden. Das ist aber nur ein Indiz – nicht automatisch ein Risiko.“ Bei ihnen werde „OpenSSH“ ausschließlich als Client genutzt, also nur, um Verbindungen nach außen aufzubauen. CVEs bei serverseitigen Funktionen von „OpenSSH“ seien für sie deshalb nicht relevant – „in anderen Bereichen aber natürlich schon“.

Konzentration auf die tatsächlichen Gefahren empfohlen

Deshalb prüften sie nicht jede Meldung gleich pauschal, sondern konzentrierten sich auf die tatsächlichen Gefahren: „Dazu vergleichen wir CVE-Einträge mit Listen von Vulnerabilities, von denen bekannt ist, dass sie aktiv ausgenutzt werden. Und wir beobachten öffentliche Exploit-Quellen wie ,Metasploit’ oder Proof-of-Concept-Repos auf ,GitHub’.“

• Zusätzlich nutzen sie „EPSS-Scores“ (Exploit Prediction Scoring System), um einzuschätzen, wie wahrscheinlich ein Schwachstellen-Missbrauch in der Praxis ist. „So lassen sich echte Bedrohungen von harmlosen Treffern unterscheiden.“

Francke erläutert: „Warum diese Mühe? Weil wir in erster Linie ein verlässliches Produkt liefern möchten. Unser Fokus liegt auf einem stabilen System, das wir nicht durch aggressive Updates aus dem Gleichgewicht bringen möchten, wenn sie keine nennenswerten Sicherheitsvorteile bieten.“ Dies bedeute natürlich nicht, Updates zu vernachlässigen, sondern vielmehr zielgerichtet vorzugehen. Etwa durch Integrationstests oder mit maßgeschneiderten „Tools“, um Patches auch über mehrere Produktversionen hinweg zu verwalten. „Und vor allem durch ,Open Source’.“

Sicherheit auch entlang der Software-Lieferkette gerade durch Offenheit

Software mit offenem Quellcode sei längst im Mainstream angekommen. „Das zeigt der aktuelle ,Open Source Monitor’ des Branchenverbands Bitkom: Über 70 Prozent aller deutschen Unternehmen setzen inzwischen ,Open Source’-Software ein. Zwei Punkte sind den Befragten dabei besonders wichtig – die Funktionalität und die Sicherheitsaspekte.“

• Auf den ersten Blick erscheine dies zunächst widersprüchlich. „Während wir bei proprietärer Software nicht mal eine Chance auf einen Einblick haben, können bei ,Open Source’-Software alle User den Quellcode einsehen und verändern – also auch Menschen mit böswilligen Absichten. Und das macht ,Open Source’ eigentlich perfekt für Cyberkriminelle, um mögliche Einfallstore auszuspähen.“

Tatsächlich sei es aber gerade diese Offenheit, welche für ein sehr hohes Maß an Sicherheit sorge: Da viele Menschen rund um den Globus an dem Code mitarbeiteten und ihre Erfahrungen teilten, würden Schwachstellen meist sehr schnell entdeckt und geschlossen. „Viele Augen sehen einfach mehr“, so Franckes Kommentar.

„Open Source“ als das perfekte Mittel zur Kombination von Funktionalität und Sicherheit

„,Open Source’ war für uns von Beginn an das perfekte Mittel, um Funktionalität und Sicherheit zu vereinen. Was wir entwickeln, ist komplett öffentlich. Und diese Entscheidung zahlt sich jetzt auch im Security-Bereich aus.“

• Sie hätten die Kontrolle über den Quellcode und das Endprodukt, und durch die Transparenz könnten wir jederzeit nachvollziehen, „wie und wo Schwachstellen entstehen“. Zudem erstellten sie für jedes Container-Image eine Software-Bill-of-Materials (SBOM), um alle enthaltenen Komponenten auf mögliche Risiken scannen zu können.

„Wenn es also um eine sichere ,Software Supply Chain’ und die Bewahrung der eigenen Daten geht, heißt es in erster Linie: Don’t panic!“ Francke betont: „Nur weil in einer Komponente Schwachstellen existieren, ist sie nicht automatisch gefährlich.“ Sein abschließender Rat: „Unternehmen sollten ein solides Schwachstellen-Management etablieren, um über tatsächliche Risiken jederzeit informiert zu sein. Wer zudem auf ,Open Source’ setzt, unternimmt einen großen Schritt hin zu einer erhöhten Sicherheit!“

Weitere Informationen zum Thema:

Stackable
Wir sind Stackable​ / Über das Unternehmen

Linkedin
Lars Francke: Co-Founder & CTO at Stackable | Building an Open-Source Data Platform on Kubernetes

WORLD ECONOMIC FORUM, 03.01.2025
Global Cybersecurity Outlook 2025

bitkom
Gesamtübersicht – Studie: Open Source Monitor / Die Entwicklung von Open Source in Deutschland

datensicherheit.de, 17.09.2025
Open Source: Drei von vier Unternehmen in Deutschland bereits Nutzer / Eine große Mehrheit der Unternehmen in Deutschland sieht in „Open Source“-Software auch eine Chance für mehr Digitale Souveränität

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 02.06.2025
Die Angst vor dem schwächsten Glied: Cybersicherheit in der Lieferkette / Laut einer aktuellen Umfrage von Sophos haben die meisten der leitenden Manager Bedenken, dass die Integrität ihres Unternehmens durch Cybergefahren entlang der Lieferkette beeinträchtigt werden kann

datensicherheit.de, 20.04.2025
Kritische Infrastrukturen: Jede zweite Organisation unzureichend vor Cyber-Attacken in der Lieferkette geschützt / Erkenntnisse aus aktueller „DNV Cyber-Studie“ legen verstärkten Fokus auf Lieferanten nahe

datensicherheit.de, 10.10.2024
Open Source Software – unbestreitbare Vorteile sowie Risiken / Open Source Software (OSS) hat sich als unverzichtbarer Bestandteil moderner IT-Infrastrukturen etabliert

[datensicherheit.de, 19.10.2025] Sophos ist nach eigenen Angaben im Rahmen einer Befragung unter Logistik-Fachleuten der Frage nachgegangen, wie es um die Cybersicherheit in dieser Branche steht. Diese wurde demnach im September 2025 von techconsult im Auftrag von Sophos durchgeführt: „Insgesamt nahmen 147 Fach- und Führungskräfte aus der Logistikbranche in Deutschland teil. Die Teilnehmer kommen aus Unternehmen aller Größenordnungen – vom Mittelstand bis zum internationalen Konzern.“ Es habe sich gezeigt, dass das Thema in den Entscheidungsebenen präsent sei – „nicht zuletzt da die große Mehrheit der befragten Unternehmen bereits von Cyberangriffen betroffen waren“. Oft seien dabei Partner in der Lieferkette die entscheidende Schwachstelle, auch fehlendes Fachpersonal scheine ein relevanter Faktor zu sein.

Abbildung: Sophos

Sophos-Untersuchung: Wie Angriffe die Logistik treffen – eigenes System vs. Lieferkette

Logistikbranche hat Bedeutung der Cybersicherheit erkannt – bleibt jedoch verletzlich

Die Sophos-Befragung habe gezeigt, dass diese Branche durchaus die strategische Bedeutung der Cybersicherheit erkenne – indes bleibe sie anfällig. „Fast 80 Prozent der Betriebe waren schon von Cyberangriffen betroffen, insbesondere durch Schwachstellen in der Lieferkette oder menschliche Fehler.“

• Die Logistikbranche habe zwar die Bedeutung von Cybersicherheit erkannt – in der täglichen Praxis bleibe sie jedoch verletzlich. Dies sei eines der Ergebnisse einer aktuellen Befragung von Sophos unter Fach- und Führungskräften aus Logistikunternehmen in Deutschland.

Insgesamt 78,8 Prozent der Befragten hätten hierzu berichtet, dass ihr Betrieb bereits direkt oder indirekt von einem Cyberangriff betroffen gewesen sei. Besonders häufig treffe es Betriebe demnach über ihre Partner in der Lieferkette.

40 Prozent der Logistikunternehmen durch Sicherheitslücken oder Ausfälle in der Lieferkette beeinträchtigt

Die meisten Vorfälle entstehen der Befragung zufolge nicht in den eigenen Systemen, sondern an den Schnittstellen zu Kunden und Lieferanten. 40 Prozent der Unternehmen seien durch Sicherheitslücken oder Ausfälle in der Lieferkette beeinträchtigt worden.

• Hier offenbarten sich Fluch wie Segen, denn die starke digitale Vernetzung innerhalb der Branche sorge für Effizienz, aber auch für neue Einfallstore.

Neben technischen Angriffen bleibe der menschliche Faktor eine der größten Gefahren. „81 Prozent der Befragten sehen menschliche Fehler oder mangelndes Sicherheitsbewusstsein als ein zentrales Risiko für ihre IT-Systeme.“ Auch der „Fachkräftemangel“ verschärfe die Lage: Drei Viertel der Befragten gäben an, dass fehlendes Personal im Bereich IT-Sicherheit die Abwehrfähigkeit ihrer Unternehmen deutlich einschränke.

Zwei Drittel der Logistikunternehmen haben vertragliche IT-Sicherheitsvorgaben für Partner definiert

Viele Unternehmen hätten aus früheren Vorfällen gelernt und mittlerweile klare Regeln für Partner und Subunternehmer eingeführt. „Zwei Drittel der Logistikunternehmen haben inzwischen vertragliche IT-Sicherheitsvorgaben für Partner definiert.“

• Nur ein Teil davon überprüfe jedoch regelmäßig, ob diese Standards auch eingehalten werden. Die Lücke zwischen Strategie und Kontrolle bleibe groß – „Sicherheitslücken entstehen oft dort, wo eigentlich Kontrollmechanismen greifen sollten“.

„Die Logistik ist so eng vernetzt, dass ein einzelner Schwachpunkt die ganze Kette treffen kann“, warnt Michael Veit, Sicherheitsexperte bei Sophos. Er führt hierzu aus: „Viele Unternehmen investieren inzwischen in Technik und Schulungen, aber die größte Herausforderung bleibt der ,Faktor Mensch’ – in den eigenen Reihen und bei den Partnern.“

Die Studie zeigt, dass Cybersicherheit in der Logistik längst kein Randthema mehr ist.

Gerade in kleineren Logistikbetrieben liege die Verantwortung für IT-Sicherheit dabei oft noch direkt bei der Geschäftsführung oder der Bereichsleitung, während größere Unternehmen spezialisierte Sicherheitsfunktionen aufbauten.

• „Dies verdeutlicht, wie heterogen die Branche aufgestellt ist – und wie unterschiedlich die Wege zu mehr Cyberschutz aussehen.“

Sophos-Tipps für Logistikunternehmen:

• Lieferanten regelmäßig auf IT-Sicherheitsstandards prüfen!
• Mitarbeiter gezielt schulen und für Risiken sensibilisieren!
• Notfallpläne und Backup-Strategien regelmäßig testen!
• Systeme aktuell halten und veraltete Geräte ersetzen!
• Cybersicherheit als Managementaufgabe verstehen und steuern!

Weitere Informationen zum Thema:

SOPHOS
Technology you trust. People you count on / Sophos defeats cyberattacks with an adaptive AI-native open platform and unmatched security expertise

heise business services
Experten / Michael Veit – Manager Sales Engineering, Sophos GmbH

datensicherheit.de, 19.08.2025
Abkehr von Technik-Zentrierung: Digitale Transformation beginnt mit Menschen / Wer die Digitale Transformation aktiv mitgestalten möchte, braucht mehr als nur technisches Know-how – strategisches Denken, moderne Führungskompetenz und betriebswirtschaftliches Verständnis gelten als zentrale Voraussetzungen für wirksames Handeln

datensicherheit.de, 11.05.2025
Neue Herausforderungen für die Cybersicherheit: KI und der menschliche Faktor / Für eine effektive Verteidigung sind integrierte, sorgfältig geplante und implementierte Strategien erforderlich. Zero Trust, Threat-Intelligence, Mitarbeitersensibilisierung und die Einführung vertrauenswürdiger Lösungen sind nur einige der Eckpfeiler einer effizienten Strategie.

datensicherheit.de, 24.03.2019
Logistik: Vorsichtsmaßnahmen zur Sicherung der digitalisierten Supply Chain / Lieferketten im Netzwerk werden zur Zielscheibe von Cyberkriminellen

[datensicherheit.de, 29.08.2025] Anzahl und Heftigkeit der Cyberattacken auf Unternehmen geraten in zunehmend bedrohliche Größenordnungen. „Herkömmliche Prozesse zur Wiederherstellung von Daten und Systemen funktionieren oft nicht mehr, da Backups oder Sicherheitsanwendungen zerstört sind“, warnt James Blake, „VP of Cyber Resiliency Strategy“ bei Cohesity, und publiziert zum Schutz vor solchen existenzgefährdenden Cyberangriffen auf „Best Practices“ basierende Tipps für Unternehmen:

Foto: Cohesity

James Blake betont: Wahre Stärke der Cyberresilienz liegt nicht in einer Standardlösung, sondern im Zusammenspiel von Menschen, Prozessen und Technologie!

1. Cohesity-Tipp: Vorbereitung

„Richten Sie ein abteilungsübergreifendes Sicherheitsteam ein. Ransomware-Angriffe betreffen das gesamte Unternehmen, so dass alle Beteiligten ihre Rolle kennen müssen!“

• Realistische Übungen, unternehmensweite Richtlinien sowie regelmäßig aktualisierte Strategien für Backups und betriebliche Resilienz seien heute Pflicht.

2. Cohesity-Tipp: Proaktives Handeln

„Informieren Sie sich über Ransomware-Banden und ihre ,Tools’, Techniken und Verfahren (TTPs)!“

• Alle Mitarbeiter seien zu schulen und zu verpflichten, Ransomware-ähnliche Vorgänge zu melden. Das Sicherheitsteam sollte jederzeit auch über externe Kanäle kommunizieren können. Bei Bedarf seien externe Experten-Teams einzuschalten.

3. Cohesity-Tipp: Reduzierung der Angriffsfläche

„Ermitteln und schließen Sie kritische Sicherheitslücken, insbesondere wenn sie wichtige Systeme betreffen oder häufig von Cyberkriminellen ausgenutzt werden!“

• Zugriffsrechte sollten dem Prinzip der geringsten Berechtigung folgen. Netzwerksegmentierung schränke die Ausbreitung von Ransomware ein. Sensible Daten seien besonders gut zu sichern.

4. Cohesity-Tipp: Schutz für Backups

„Nutzen Sie Backup-Systeme, die von der produktiven Umgebung getrennt sind und unveränderliche Daten speichern!“

• Multifaktor-Authentifizierung (MFA) für Administratoren und rollenbasierte Zugriffskontrolle (RBAC) böten weiteren Schutz. Ein „Golden Master“ von kritischen Systemen erleichtere die Wiederherstellung.

5. Cohesity-Tipp: Stärkung des Schutzes vor Ransomware

„Identifizieren Sie Sicherheitslücken auf Basis der von Ransomware-Banden genutzten ,ATT&CK’-Techniken. Anomalie-Erkennung im Dateisystem der Endpunkte wie Verschlüsselung oder Löschung von Dateien sowie E-Mail-Gateway-Filter zum Blockieren bösartiger Links und Anhänge erhöhen den Schutz!“

• Zudem sollte nur autorisierte Software ausgeführt werden.

6. Cohesity-Tipp: Erkennen von Ransomware

„Decken Sie Anomalien in der CPU- und Festplattennutzung auf sowie ungewöhnliche Netzwerkprotokolle wie ,I2P’ oder ,TOR’, die von Ransomware-Banden verwendet werden!“

• Eine proaktive Suche erkenne Kompromittierungen sowie Netzwerkverbindungen mit bekannten Ports oder Zielen für Ransomware und „Wiper“ – auch mit Hilfe historischer Daten.

7. Cohesity-Tipp: Schnelle Reaktion

„Suchen Sie nach ,Staging’-Umgebungen zur Datenexfiltration und isolieren Sie infizierte Hosts sämtlicher Netzwerke!“

• Ein „Clean Room“ ermögliche die Wiederherstellung des letzten Backups und den Einsatz vertrauenswürdiger „Tools“. Damit ließen sich Anzeichen für ein Fortbestehen des Angriffs, die ausgenutzten Schwachstellen und eine erste Verlustprognose ermitteln.

8. Cohesity-Tipp: Offene Kommunikation

„Kommunizieren Sie mit internen Beteiligten und der Öffentlichkeit, um Gerüchte zu vermeiden!“

• Betroffene Personen und die jeweiligen Aufsichtsbehörden sollten in Übereinstimmung mit regulatorischen und rechtlichen Verpflichtungen informiert werden, bei Bedarf auch Versicherungsgesellschaft, Strafverfolgungsbehörden und das BSI.

Cohesity empfiehlt Betrieben Orientierung an Cyberresilienz-Reifegradmodell

Unternehmen sollten diese Cohesity-Tipps als „Leitplanken für die Stärkung ihrer Cyberresilienz“ nutzen. Laut Blake liegt die wahre Stärke der Cyberresilienz nicht in einer Standardlösung, sondern im Zusammenspiel von Menschen, Prozessen und Technologie:

• „Wahre Resilienz geht über die bloße Einführung einer Standard-Technologielösung hinaus – es geht darum, wie diese Lösungen eingesetzt werden, welche Unternehmenskultur vorhanden ist und ob die notwendigen Fähigkeiten und Prozesse bestehen, um sie aufrechtzuerhalten.“

Organisationen sollten sich kontinuierlich an einem Cyberresilienz-Reifegradmodell orientieren und regelmäßig Übungen dazu durchführen, um Menschen, Prozesse und Technologien zu optimieren und eine Art „Muskelgedächtnis“ aufzubauen. Blakes Fazit: „Indem sie sich vom ,Burggraben’-Denken lösen, erhalten Organisationen den Ansatz und die Werkzeuge, die notwendig sind, um sich gegen die scheinbar endlosen Veränderungen beim Vorgehen von Angreifern zu schützen!“

Weitere Informationen zum Thema:

COHESITY
Company / We protect the world’s data and provide insights into that data

COHESITY
White paper: Your roadmap to ransomware resilience / Align security and IT teams to detect threats faster, recover clean data, and keep your organization moving forward.

COHESITY, 24.04.2025
Introducing the Cohesity Destructive Cyberattack Resilience Maturity Model / Apply this model, based on popular cybersecurity response and recovery frameworks, to measure and improve your resilience

COHESITY, 15.11.2022
Introducing the Cohesity Field CISOs and Field CTO / James Blake, EMEA Field CISO

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 23.05.2025
Sicherer GenAI-Einsatz: Delinea gibt Unternehmen 3 zentrale Tipps / Mittels GenAI erhalten Unternehmen immense Möglichkeit – doch neben Effizienzgewinnen birgt deren kontinuierliche und rasante Weiterentwicklung auch Sicherheitsrisiken

datensicherheit.de, 09.04.2025
Cyber-Resilienz statt bloße Cyber-Resistenz: 5 Tipps für mehr Widerstandsfähigkeit gegenüber -angriffen / Cyber-Angriffe sind für Unternehmen und Organisationen zur alltäglichen Bedrohung geworden

datensicherheit.de, 13.01.2025
Praxistipps: Wie Datenschutz im Alltag funktionieren kann / Initiative „Mit Sicherheit gut behandelt“ zur Umsetzung des Datenschutzes mit zwölf monatlichen Praxistipps gestartet

datensicherheit.de, 25.11.2024
Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit / Klassische E-Mail bleibt primärer Bedrohungsvektor im Cyberspace

[datensicherheit.de, 24.08.2025] Der aktuelle „Financial Sector Threats Report“ von KnowBe4 liefert als zentrale Erkenntnis, dass Finanzinstitute bis zu 300-mal häufiger Ziel von Cyberangriffen sind als andere Branchen. Besonders kritisch ist demnach, dass 45 Prozent der Mitarbeiter großer Banken in Simulationen auf gefährliche Links klicken – vor allem im Kontext solcher durch Künstliche Intelligenz (KI) unterstützten Phishing-Kampagnen.

Abbildung: KnowBe4

Der aktuelle „Financial Sector Threats Report“ mit besorgniserregenden Erkenntnissen

KnowBe4-Bericht liefert wichtige Erkenntnisse über eskalierende Cybersicherheitskrise im globalen Finanzsektor

KnowBe4 hat die neueste Ausgabe des eigenen Forschungsberichts „Financial Sector Threats Report” veröffentlicht. Dieser Bericht soll wichtige Erkenntnisse über die eskalierende Cybersicherheitskrise im globalen Finanzsektor liefern.

• Dieser Report zeige, dass Finanzinstitute einem „perfekten Sturm“ aus KI-gestützten Angriffen, Diebstahl von Zugangsdaten und Schwachstellen in der Lieferkette ausgesetzt seien. Diese stellten systemische Risiken für die globale Finanzbranche dar.

Die zugrundeliegende Untersuchung habe ergeben, „dass 97 Prozent der großen US-Banken im Jahr 2024 Sicherheitsverletzungen durch Dritte erlitten haben“. Gleichzeitig hätten gezielte Angriffe auf Finanzinstitute im Vergleich zum Vorjahr um 109 Prozent zugenommen.

KnowBe4-Bericht beschreibt, wie Angreifer KI-Tools wie „FraudGPT“ und „ElevenLabs“ nutzten

Besonders besorgniserregend sei, „dass Tests in großen Finanzinstituten ergaben, dass rund 45 Prozent der Mitarbeiter wahrscheinlich auf einen bösartigen Link klicken oder eine infizierte Datei herunterladen würden“. Dadurch würden Angriffspunkte für Bedrohungsakteure geschaffen.

• Der Bericht hebe hervor, wie Angreifer KI-Tools wie „FraudGPT“ und „ElevenLabs“ nutzten, um überzeugendere Phishing-Kampagnen zu erstellen. Gleichzeitig entfernten sie sich von der traditionellen Ransomware-Verschlüsselung und wendeten sich Daten-Exfiltration und mehrstufigen Erpressungsschemata zu.

Dadurch könnten Angreifer legitime Anmeldedaten verwenden, was die Erkennung erheblich erschwere. Laut Berichten der Federal Reserve Bank of New York könnte bereits eine eintägige Unterbrechung der Zahlungsverkehrsdienste großer Banken 38 Prozent der Netzwerkbanken weltweit beeinträchtigen.

Die wichtigsten Erkenntnisse des aktuellen KnowBe4-Berichts:

• 97 Prozent der größten US-Banken seien 2024 von Sicherheitsverletzungen durch Dritte betroffen gewesen, während 100 Prozent der führenden Finanzunternehmen in Europa Sicherheitsverletzungen durch Lieferanten erlitten hätten. Dies mache die Schwachstellen in den „Ökosystemen“ der Anbieter deutlich.
• Die Analyse von über drei Millionen Beiträgen im sogenannten DarkWeb zeige, dass gestohlene Zugangsdaten den Diebstahl von Kreditkartendaten bei Weitem überträfen. Die Versuche, „Infostealer“ zu installieren, hätten im Jahr 2024 um 58 Prozent zugenommen, wobei 68 Prozent der Angriffe über E-Mails erfolgt seien.
• 60 Prozent aller Ransomware-Angriffe auf Finanzinstitute entfielen auf die USA. Zusammen mit Großbritannien machten sie über 70 Prozent der Angriffe aus. Die Aktivitäten in den aufstrebenden Märkten Südasiens und Lateinamerikas nähmen zu.
• Zu Beginn liege die „Phish-Prone Percentage“ (PPP) bei großen Finanzinstituten bei 44,7 Prozent. Durch gezielte „Awareness“-Schulungen lasse sich dieser Wert jedoch auf unter fünf Prozent senken.

Kampf zwischen Cyberangreifern und potenziellen Opfern auf menschlicher Ebene

„Die Gegner verschaffen sich einen Vorteil gegenüber dem Finanzsektor“, erläutert James McQuiggan, „Security Awareness Advocate“ bei KnowBe4. Herkömmliche Abwehrmaßnahmen reichten nicht mehr aus.

• Die Angreifer hätten erkannt, dass der Diebstahl gültiger Anmeldedaten effektiver sei als Ransomware, da sie sich so unentdeckt bewegen könnten.

McQuiggan unterstreicht abschließend: „Der Kampf findet auf menschlicher Ebene statt: Finanzinstitute müssen das Risikomanagement für ihre Mitarbeiter priorisieren, um diese kritische Sicherheitslücke zu schließen!“

Weitere Informationen zum Thema:

knowbe4
About US /KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day.

KnowBe4, 2025
Financial Sector Threats: The Shifting Landscape

knowbe4, Human Risk Management Blog
James McQuiggan – Security Awareness Advocate

FEDERAL RESERVE BANK of NEW YORK, Thomas M. Eisenbach & Anna Kovner & Michael Junho Lee, Mai 2021
Cyber Risk and the U.S. Financial System: A Pre-Mortem Analysis

datensicherheit.de, 21.07.2025
DORA Oversight Guide publiziert: Finanzunternehmen sollten sich dringend mit Verschlüsselung und Schlüsselhoheit befassen / Am 15. Juli 2025 wurde der neue „DORA Oversight Guide“ von den europäischen Aufsichtsbehörden veröffentlicht – Finanzunternehmen, IT-Dienstleister und „Cloud-Provider“ werden mit teils weitreichenden Auswirkungen konfrontiert

datensicherheit.de, 26.06.2025
Dark Economy Report 2025: BioCatch sieht Finanzinstitute im Zugzwang / BioCatch hat am 18. Juni 2025 seinen ersten „Dark Economy Report“ veröffentlicht – diesem liegt eine Umfrage unter 800 Experten in 17 Ländern auf fünf Kontinenten zugrunde

datensicherheit.de, 16.04.2025
DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur / Cyber-Sicherheit längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyberangriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

Von unserem Gastautor Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

[datensicherheit.de, 04.04.2025] Cyberangriffe entwickeln sich stetig weiter, und klassische Abwehrmaßnahmen allein reichen oft nicht mehr aus. Threat Intelligence ist ein Schlüssel zur frühzeitigen Erkennung und Abwehr von Angriffen. Sie stellt Unternehmen jedoch vor die Herausforderung, relevante Erkenntnisse aus der schieren Menge an Bedrohungsinformationen zu identifizieren, zu verstehen und klare Maßnahmen abzuleiten.

Threat Intelligence – Den Angreifern einen Schritt voraus

Unter Threat Intelligence versteht man die systematische Sammlung, Analyse und Nutzung von Bedrohungsdaten, die dabei hilft, Angriffsmuster sowie häufig ausgenutzte Schwachstellen und aktuelle Bedrohungen in IT-Infrastrukturen zu erkennen und Sicherheitsmaßnahmen entsprechend anzupassen. Ohne sie wäre es für Unternehmen schwierig, zu verstehen, wie sich Angriffstaktiken verändern und welche Sicherheitsmaßnahmen erforderlich sind. Denn sie gibt z. B. Aufschluss darüber, wie Ransomware-Taktiken sich verändern, welche kriminellen Gruppen am aktivsten sind und wie häufig Phishing in bestimmten Branchen vorkommt.

Threat Intelligence basiert u. a. auf Darknet-Analysen, Indicators of Compromise (IOCs) wie schadhaften IPs, Security Operations Center (SOC)-Erkenntnissen, Informationen zu Angriffsmustern von Cyberkriminellen und allgemeinen Bedrohungstrends. Die Bedrohungsdaten können aus verschiedensten Quellen stammen, etwa aus Foren der Cybersecurity-Community, aus Sicherheitsprotokollen von Unternehmen, aus Publikationen von Forschern oder auch aus kostenpflichtigen Abonnements entsprechender Anbieter.

Entscheidend ist dabei jedoch, dass die Menge an technischen Details – wie IP-Adressen, Hashwerte, Domains, URLs oder Angriffstechniken – ebenfalls konsolidiert und in eine für Unternehmen nutzbare Form überführt werden. Denn Threat Intelligence muss handlungsorientiert sein. Für Unternehmen müssen sich aus der Nutzung konkrete Maßnahmen ableiten lassen. Andernfalls bleiben die Informationen lediglich von theoretischem Interesse und stellen rein technische Daten dar, ohne einen tatsächlichen Beitrag zur Verbesserung der Cybersicherheit des Unternehmens zu leisten.

Security- und IT-Verantwortliche in Unternehmen können diese Daten dann nutzen, um Bedrohungen in ihren jeweiligen IT-Landschaften zu erkennen, darauf zu reagieren und proaktive Sicherheitsmaßnahmen gezielt umzusetzen. Dadurch minimieren sie nicht nur Sicherheitsrisiken, sondern nutzen auch Budget, Ressourcen und Technologien effizienter.

Aktuelle Insights in die Cybersicherheitslandschaft

So gibt beispielsweise der aktuelle Threat Report von Arctic Wolf Einblicke in die aktuelle Bedrohungslage und leitet konkrete Handlungsempfehlungen ab. Der Security-as-a-Service-Anbieter betreibt eines der größten kommerziellen SOCs weltweit und erstellt den Bericht auf Basis von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Daten. Die Ergebnisse zeigen, wie Cyberkriminelle ihre Methoden weiterentwickeln, um stärkere Sicherheitsmaßnahmen zu umgehen: Ransomware-Angreifer setzen verstärkt auf Datendiebstahl, Business-E-Mail-Compromise-Taktiken werden raffinierter, und bekannte Schwachstellen sind weiterhin Einfallstor für Cyberkriminelle.

Beim Schwachstellenmanagement zeigt sich beispielsweise: Wenige Schwachstellen werden überproportional oft ausgenutzt. 2024 wurden über 40.000 Sicherheitslücken verzeichnet, doch in 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus – für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Dies macht deutlich, wie wichtig proaktives Patch-Management ist.

Trotz verfügbarer Sicherheitsupdates zögern viele Unternehmen, Patches zeitnah einzuspielen – sei es mangels klarer Prozesse oder aufgrund personeller Engpässe. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle. Ein auf Threat Intelligence basierendes effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren.

Die Herausforderung: Zu viele Daten, zu wenig Ressourcen

Wie das Beispiel Schwachstellenmanagement zeigt, mangelt es Unternehmen oft nicht an der Verfügbarkeit von relevanten Bedrohungsdaten, sondern an den Ressourcen, diese sinnvoll zu nutzen. Besonders kleinere Security-Teams stehen vor der Herausforderung, die Masse an Informationen effizient zu analysieren und zu verwalten. Hier kommen externe Sicherheitspartner ins Spiel, die Unternehmen mit gezielten Threat-Intelligence-Maßnahmen unterstützen können, z. B. durch:

• Risikobasiertes Schwachstellenmanagement: Identifikation und Priorisierung von Sicherheitslücken nach Dringlichkeit
• Kuratiertes Reporting: Bereitstellung relevanter Informationen anstelle einer unübersichtlichen Flut an Rohdaten
• Echtzeit-Warnungen: Automatische Benachrichtigung über kritische Bedrohungen

Ein weiterer Vorteil der Zusammenarbeit mit externen Partnern ist ihr breiter Datenzugang: Sie analysieren Bedrohungstrends über zahlreiche Unternehmen hinweg und können dadurch präzisere, praxisnahe Empfehlungen ableiten. Von diesem Wissen profitieren wiederum Unternehmen und können ihre Sicherheitsmaßnahmen gezielt anpassen.

Fazit: Kuratierte Threat Intelligence als Schlüssel zum Erfolg

Threat Intelligence ist essenziell, doch ohne strukturierte Analysen bleiben wertvolle Informationen ungenutzt. Nur mit kuratierter Threat Intelligence lässt sich die Flut an Bedrohungsdaten sinnvoll auswerten, Sicherheitsstrategien optimieren und fundierte Entscheidungen treffen. Fehlen die internen Ressourcen, um dies abzudecken, kann die Zusammenarbeit mit einem spezialisierten Security-Partner wie Arctic Wolf Unternehmen dabei unterstützen, ihre Sicherheitslage nachhaltig zu verbessern.

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, Bild: Arctic Wolf

Über den Autor

Dr. Sebastian Schmerl ist Vice President Security Services EMEA und verantwortlich für Cyber Security Operations bei Arctic Wolf. Er unterstützt Kunden bei der Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle in komplexen IT-Landschaften und Cloud- oder ICS-Umgebungen.

[datensicherheit.de, 25.02.2025] Eine weltweite Studie von Omdia hat ergeben, dass 80 Prozent der Fertigungsunternehmen im letzten Jahr einen erheblichen Anstieg an Sicherheitsvorfällen oder -verletzungen insgesamt zu verzeichnen hatten, aber nur 45 Prozent in Bezug auf ihre Cybersicherheit angemessen vorbereitet sind.

Befragung unter mehr als 500 Führungskräften

Omdia befragte weltweit über 500 Führungskräfte aus dem Technologiebereich zur Konvergenz von Informationstechnologie (IT) und Betriebstechnologie (OT) – oder physischen Systemen – in ihren Kerngeschäften und wie sie mit den Herausforderungen der Cybersicherheit umgehen und auf Cyberangriffe vorbereitet sind. Der Bericht für die Studie wurde in Zusammenarbeit mit Telstra International, dem globalen Unternehmensbereich des führenden Telekommunikations- und Technologieunternehmens Telstra, erstellt.

Cyberangriffen – Geänderte Rahmenbedinungen erhöhen das Risiko

Das erhöhte Risiko von Cyberangriffen entsteht, da Produktionsbetriebe dazu übergehen, IT-Ressourcen wie Cloud, KI und Internet der Dinge (IoT) als Teil ihrer digitalen Transformation zu nutzen – ein Prozess, der als Industrie 4.0 definiert wird. Die Konvergenz von IT und traditioneller OT kann zwar die Skalierbarkeit, Resilienz und Effizienz des Betriebs erhöhen, vergrößert aber auch die Angriffsfläche für Cyber-Bedrohungen. Kritische Branchen sind zunehmend lukrative Ziele für Cyberangriffe, einschließlich Ransomware.

Produktionsbetriebe, die von einem Cyberangriff betroffen waren, berichteten, dass ein Problem mit der Ausfallsicherheit oder Verfügbarkeit im Einzelfall zwischen 200.000 und zwei Millionen US-Dollar kosteten. Die größten Schäden entstanden, wenn Vorfälle Unternehmens- und Konzernsysteme oder die Produktionssteuerung betrafen.

Geraldine Kor, Head of Global Enterprise Business bei Telstra International, sagt: „Eine größere Konnektivität zwischen IT und OT ist notwendig, um fortschrittliche Technologien für Innovationen in der Produktion zu nutzen, aber sie erhöht auch die Risiken einer Sicherheitsverletzung.“ Allerdings seien nur wenige Unternehmen bei Schutz und Abwehr von Cyberrisiken ausreichend vorbereitet.

„Unsere Studie hat auch eine fragmentierte Herangehensweise bei der Sicherheitsverantwortung aufgedeckt, die dazu führen kann, dass Produktionsbetriebe keine klare Ausrichtung haben. Die Zuständigkeiten müssen eindeutig und einheitlich sein, so dass eine Gruppe oder Person die Befugnis hat, auf die Sicherheitsherausforderungen für unternehmenskritische Systeme zu reagieren.  Ebenso wichtig sind die richtigen Mitarbeitenden und eine sicherheitsorientierte Unternehmenskultur, da ihr Fehlen die Sicherheitsbereitschaft beeinträchtigt und technische Herausforderungen verstärkt,“ so Kor weiter.

Ganesh Narayanan, Global Head of Cyber Security bei Telstra International, merkt an, dass sich das verarbeitende Gewerbe und andere Industriezweige traditionell auf Air Gapping für die Sicherheit verlassen. OT-Systeme sind dabei typischerweise physisch von den IT-Systemen des Unternehmens getrennt, um sie vor externen Bedrohungen zu schützen.

Dieser Ansatz ist jedoch angesichts der zunehmenden IT-OT-Konvergenz, die die Angriffsfläche erheblich vergrößert, nicht mehr haltbar.

Er serklärt: „Die Integration von IT und OT schafft einen enormen Wert für Unternehmen in allen Branchen, aber Unternehmen müssen sich mit den Risiken auseinandersetzen, um das Potenzial sicher auszuschöpfen. Unternehmen sollten der IT/OT- und IoT-Sicherheit in sechs Kernbereichen Priorität einräumen: Zusammenarbeit und Planung, Festlegung einer Strategie, Stärkung des technischen Fachwissens, Zuweisung von Verantwortung und Rechenschaftspflicht, Nutzung der richtigen Tools und Beschleunigung der Bereitschaft durch Standards.“

Adam Etherington, Senior Principal Analyst bei Omdia, sagt: „Unsere Studie beleuchtet kritische Angriffsvektoren und daraus abgeleitete Lektionen, und bietet aktuelle Ratschläge für alle Führungskräfte, die für IT und OT verantwortlich sind.

Eine umfassendere Konnektivität zwischen IT und OT ist für das Design und die Verbesserung von Produktionssystemen, sowohl in neuen (Greenfield) als auch in bestehenden (Brownfield) Anlagen.  Um Innovation, Verfügbarkeit, Sicherheit und Schutz schrittweise zu verbessern, müssen Unternehmen Cloud, IoT, KI und private Netzwerke nutzen, wobei die IT/OT-Konvergenz diese Technologien zum Leben erweckt.

Die meisten Unternehmen haben jedoch mit teuren Ausfällen und Sicherheitsvorfällen zu kämpfen, weil die traditionellen Sicherheitskontrollen, -richtlinien und -kulturen nicht Schritt halten können. Angesichts des Ausmaßes der Kosten für Ausfallzeiten aufgrund von Sicherheitsverletzungen oder Netzwerkvorfällen, die den Betrieb beeinträchtigen, ist es wichtig, die Ursachen besser zu verstehen, um proaktiv Abhilfe schaffen zu können.“

Weitere Infoirmationen zum Thema:

datensicherheit.de, 11.02.2025
OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion

Telstra International
Secure manufacturing: the challenges of IT/OT convergence

[datensicherheit.de, 30.11.2023] Tenable® betont heute, dass 44 % der Cyberangriffe, denen deutsche Unternehmen in den vergangenen zwei Jahren ausgesetzt waren, erfolgreich verliefen. Sicherheitsteams sind daher gezwungen, Arbeitszeit und Maßnahmen auf eine reaktive Eindämmung von Cyberangriffen zu fokussieren, anstatt diese schon im Vorfeld zu verhindern. Da weniger als die Hälfte (48 %) der deutschen Unternehmen davon überzeugt ist, die eigene Risikoexposition mithilfe ihrer Cybersecurity-Verfahren erfolgreich reduzieren zu können, besteht offenkundig Handlungsbedarf. Diese Ergebnisse basieren auf einer Studie unter 102 deutschen Cybersecurity- und IT-Führungskräften, die Forrester Consulting 2023 im Auftrag von Tenable durchgeführt hat.

Faktor Zeit spielt Sicherheitsteams nicht in die Karten

Aus der Studie wurde deutlich, dass der Faktor Zeit Sicherheitsteams nicht in die Karten spielt. Nahezu drei Viertel der Befragten (73 %) sind der Ansicht, dass ihr Unternehmen bei der Abwehr von Cyberangriffen erfolgreicher wäre, wenn es mehr Ressourcen für präventive Cybersecurity aufbringen würde. Doch die Hälfte der Befragten (50 %) gibt an, dass das Cybersecurity-Team zu sehr mit der Bekämpfung kritischer Vorfälle beschäftigt ist, als dass es einen präventiven Ansatz verfolgen könnte, um die Exposure des Unternehmens zu reduzieren.

Besonderte Risiken im Zusammenhang mit Cloud-Infrastrukturen

Besonders besorgt zeigten sich die Befragten über Risiken in Zusammenhang mit Cloud-Infrastrukturen, da dort die Korrelation von Nutzer- und Systemidentitäten, Zugang und Berechtigungsdaten äußerst komplex ist. Deutschland wurde bei der Nutzung von Cloud Computing als eines der wachstumsstärksten Länder Europas identifiziert, was sich auch in der Studie zeigt: Sieben von zehn Unternehmen (77 %) geben an, Multi-Cloud- und/oder Hybrid Cloud-Umgebungen einzusetzen. Dennoch führen 60 % der Befragten Cloud-Infrastruktur als einen der Bereiche mit dem größten Cyberrisiko in ihrem Unternehmen an. Der Reihe nach geordnet entstehen die größten wahrgenommenen Risiken aus der Nutzung von Multi-Cloud- und/oder Hybrid Cloud-Infrastruktur (24 %), Public Cloud-Infrastruktur (22 %) und Private Cloud-Infrastruktur (15 %).

Genaues Bild der Angriffsoberfläche fehlt

Cyber-Experten zufolge ist eine reaktive Haltung zum größten Teil darauf zurückzuführen, dass ihre Teams Schwierigkeiten haben, sich ein genaues Bild von ihrer Angriffsoberfläche zu machen, inklusive Einblick in unbekannte Assets, Cloud-Ressourcen, Code-Schwachstellen und Systeme für Benutzerberechtigungen. Die Komplexität von Infrastruktur – und die damit verbundene Abhängigkeit von mehreren Cloud-Systemen, zahlreichen Tools zur Verwaltung von Identitäten und Berechtigungen sowie verschiedenen Assets mit Internetanbindung – hat zur Folge, dass es an diversen Stellen zu Fehlkonfigurationen und übersehenen Assets kommen kann. Mehr als die Hälfte der Befragten (62 %) führen an, dass mangelnde Datenhygiene sie daran hindert, hochwertige Daten aus Systemen für Benutzer- und Zugriffsmanagement sowie aus Schwachstellen-Management-Systemen zu gewinnen. Die meisten Befragten (71 %) geben zwar an, Benutzeridentitäten und Zugriffsrechte zu berücksichtigen, wenn sie Schwachstellen für Patching- und Behebungsmaßnahmen priorisieren. Doch 52 % erklären, dass es ihrem Team an einer effektiven Möglichkeit fehlt, solche Daten in ihre präventiven Cybersecurity- und Exposure-Management-Verfahren einzubinden.

Cybersecurity – Mangelnde Kommunikation verschäft die Situation

Ein Mangel an Kommunikation auf höchster Ebene verkompliziert und verschärft das Cybersecurity-Problem in Unternehmen. Während Angreifer Umgebungen fortlaufend unter die Lupe nehmen, finden Meetings zu geschäftskritischen Systemen bestenfalls in monatlichen Abständen statt. Knapp über die Hälfte der Befragten (54 %) trifft sich eigenen Angaben zufolge monatlich mit Geschäftsverantwortlichen, um zu erörtern, welche Systeme geschäftskritisch sind. Bei 17 % finden solche Besprechungen jedoch nur einmal im Jahr und bei 2 % überhaupt nicht statt.

„Deutsche Unternehmen standen der Nutzung von Cloud-Technologie in der Vergangenheit eher zurückhaltend gegenüber. Doch dies hat sich in den letzten Jahren drastisch geändert, wie unsere Studie bestätigt. Angesichts der immer komplexer werdenden Angriffsoberfläche muss sich etwas ändern, um die Flut an erfolgreichen Angriffen aufzuhalten“, so Roger Scheer, Regional Vice President of Central Europe. „Sicherheitsteams haben erkannt, dass ein präventiver Sicherheitsansatz weitaus effektiver ist als ein reaktiver. Doch sie sind überfordert von der schieren Menge an Cyberangriffen, die es für einen solchen Fokuswechsel zu bewältigen gilt. Der deutsche Digitalverband Bitkom gab vor kurzem bekannt, dass Cyberkriminalität die deutsche Wirtschaft im Jahr 2023 insgesamt 206 Milliarden € kosten wird. Um den Ansturm erfolgreicher Cyberangriffe aufzuhalten, sind Veränderungen notwendig. Sicherheitsverantwortliche müssen frühzeitiger in unternehmerische Entscheidungen auf höchster Ebene eingebunden werden, wie etwa in Strategien der Cloud-Bereitstellung, damit das Team nicht überrumpelt wird. Funktionsübergreifende Zusammenarbeit verbunden mit ganzheitlicher Transparenz über die Infrastruktur des Unternehmens ist notwendig, um auftretende Risiken effektiv und effizient zu reduzieren und Cyberangriffe schon im Vorfeld zu unterbinden.“

Ein Whitepaper mit weiteren Ergebnissen aus der Studie ist verfügbar. Es zeigt unter anderem auf, wie Unternehmen die Herausforderungen bewältigen und von einer reaktiven Sicherheitsaufstellung zu einem präventiven Ansatz übergehen können.

Weitere Informationen zum Thema:

datensicherheit.de, 07.02.2023
Große Risiken für Unternehmen: Tenable warnt vor Patch-Müdigkeit

[datensicherheit.de, 23.08.2021] KnowBe4, Anbieter einer weltweit verfügbaren Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, hat anlässlich des Cybersecurity Awareness Month im Oktober ein Ressourcenpaket veröffentlicht.

Kostenlose Schulungsvideos

Das KnowBe4-Ressourcenpaket für den Cybersecurity Awareness Month enthält einen Leitfaden für das Paket und Kampagnenideen, die IT-Administratoren den Einstieg erleichtern. Zudem einen wöchentlichen Schulungsplan, zwei kostenlose Schulungsvideos, Infografiken, Tippblätter und Desktop-Hintergründe. Die beiden kostenlosen Schulungsvideos – „Your Role: Internet Security and You“ und „2021 Social Engineering Red Flags“ – sind in verschiedenen Sprachen verfügbar.

Foto: KnowBe4

„Diese Cybersecurity-Ressourcen, die wir IT-Administratoren anbieten, sollen sie bei ihren Schulungsplänen und anderen Initiativen zur Förderung des Sicherheitsbewusstseins im Oktober unterstützen“, sagt Stu Sjouwerman, CEO von KnowBe4. „Böswillige Akteure lassen bei ihren Angriffen auf alle Bereiche – von kritischen Infrastrukturen bis hin zu kleinen Unternehmen – nicht nach. Daher müssen Unternehmen ihre Mitarbeiter schulen, indem sie sie über die neuesten Bedrohungen und Angriffsvektoren aufklären. Der Cybersecurity Awareness Month ist eine Initiative, bei der wir unsere Bemühungen auf den Monat Oktober konzentrieren können, während wir gleichzeitig das ganze Jahr über unsere Organisationen besser schützen.“

Motto des Cybersecurity Awareness Month 2021: „Do Your Part. #BeCyberSmart“

Das Thema des diesjährigen Cybersecurity Awareness Month 2021 der National Cybersecurity Alliance lautet „Do Your Part. #BeCyberSmart“. Das Thema soll Einzelpersonen und Organisationen ermutigen, eine entscheidende Rolle beim Schutz ihres Teils des Cyberspace zu spielen. Jeder kann seinen Teil dazu beitragen, unsere vernetzte Welt für alle sicherer und widerstandsfähiger zu machen, indem er stärkere Sicherheitspraktiken einführt, das Bewusstsein der Gemeinschaft schärft, gefährdete Zielgruppen aufklärt oder Mitarbeiter schult.

Weitere Informationen zum Thema:

KnowBe4
Ressourcenpaket für den Cybersecurity Awareness Month 2021

datensicherheit.de, 27.05.2021
CEO Fraud laut KnowBe4-Umfrage noch immer weitgehend unbekannt

[datensicherheit.de, 22.01.2021] Den Ermittlungsergebnissen von NSA und FBI zufolge lässt sich der gezielte Angriff auf den texanischen IT-Dienstleister Solarwinds auf russische Urheber zurückverfolgen. Diese haben ein Update einer Netzwerk-Management-Software von SolarWinds manipuliert, welches weltweit von vielen staatlichen Behörden und Betreibern kritischer Infrastruktur genutzt wird. Auch deutsche Behörden, darunter 16 Ministerien und Bundesämter, sind einer Untersuchung zufolge davon betroffen. Der Digitalexperte der FDP Manuel Höferlin, der die Anfrage an die Bundesregierung stellte, die zur erwähnten Untersuchung geführt hatte, spricht daher auch vom „massivsten Angriff auf die westliche Welt seit Jahrzehnten“.

Lessons learned für Unternehmen und Behörden aus dem Solarwinds-Hack

Die Ermittlungen sind derzeit noch in vollem Gange. Es ist jedoch davon auszugehen, dass es sich bei dem Hack um eine Spionageaktion handelt, die nicht auf Manipulation oder Vernichtung von Daten abzielte. Vielmehr sollte ein Zugang zu Geheiminformationen erlangt werden, möglichst unentdeckt und lange beständig. Bei einer solchen Vorgehensweise ist es besonders schwierig, die Eindringlinge zu entdecken, da sie sich äußerst vorsichtig und unauffällig im System bewegen und darauf bedacht sind, keinen Alarm auszulösen. Auf diese Weise kann die Hintertür einer Schwachstelle lange Zeit verschleiert werden, was einen längeren Zugriff auf interne Daten der Opfer verspricht. Ist die Sicherheitslücke nämlich erst einmal entdeckt worden, kann sich der Softwarehersteller umgehend um die Behebung kümmern und einen Hotfix an alle Kunden ausspielen, um somit die Datenspione wieder vor die Tür zu setzen.

Christoph Volkmer, VP DACH bei Tanium, © Tanium

Für Firmen ist es von existenzieller Bedeutung, alle im Unternehmen genutzten Applikationen und digitalen Dienstleistungen im Blick zu behalten und stets zu wissen, auf welchen Endgeräten möglicherweise veraltete Versionen oder Sicherheitsupdates installiert sind. Veraltete Endgeräte sind das Haupteinfallstor für Cyberkriminelle, um sich einen nachhaltigen Zugang zur IT-Infrastruktur zu sichern.

Ist das Ziel der Hacker, wie im Fall von Solarwinds, sich unbemerkt und langfristig im Netzwerk von Behörden und Unternehmen einzunisten, so ist es ohne lückenlose Sichtbarkeit aller IT-Assets nahezu unmöglich den Eindringling zu entdecken.

Denn es reicht schon ein einzelner Firmenlaptop mit veralteten Softwareversionen, um die Integrität der IT-Sicherheit in der gesamten Organisation zu kompromittieren.

Lückenloses Update-Management ist die beste Waffe im Kampf gegen Schwachstellen

Um Lückenlosigkeit in der firmeninternen IT-Sicherheitsstrategie zu gewährleisten, ist es von äußerster Wichtigkeit, alle Endpunkte und deren Update-Status jederzeit überblicken zu können. Eine agentenbasierte Lösung ist hierbei die beste Wahl, da sie zum einen jeden Endpunkt in Echtzeit kontrollieren kann und zum anderen eine signifikante Steigerung der Reaktionsgeschwindigkeit und Agilität im Vergleich zu zentralisierten Update-Strategien bietet. Nur ein Rechner, der sichtbar ist, kann auch auf veraltete Software hin kontrolliert werden. Nur ein Laptop, der wenige Minuten nach Launch eines Sicherheitsupdates gepatcht wird, verhindert eine unbemerkt klaffende Sicherheitslücke, die im schlimmsten Fall existenzbedrohende Ausmaße annehmen kann – für die eigene Organisation sowie auch deren Kunden und Partner gleichermaßen.

Besonders wenn öffentliche Einrichtungen und Unternehmen der kritischen Infrastruktur eines Landes betroffen sind, dürfen bei der IT-Sicherheit keine Kompromisse eingegangen und keine notwendigen Kosten gescheut werden. Bei der Reaktion auf solche Cyberangriffe ist Entschlossenheit und Geschwindigkeit oberstes Gebot. Man spielt kein Russisch Roulette, wenn es möglicherweise um die Sicherheit eines ganzen Landes und die Gesundheit seiner Bevölkerung geht.

Weitere Informationen zum Thema:

datensicherheit.de, 10.12.2020
EMA: Europäische Arzneimittelagentur gehackt