[datensicherheit.de, 22.06.2025] Laut einer Meldung vom 11. Juni 2025 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem TÜV-Verband eine neue repräsentative Umfrage zur Cybersicherheit in Unternehmen durchgeführt. Deren Ergebnisse seien in zweifacher Hinsicht „besorgniserregend“: Erstens habe ein Anstieg der Bedrohungslage verzeichnet werden müssen, zweitens zeigten die Umfrageergebnisse, „dass viele Firmen die Lage unterschätzen und die eigene Resilienz überbewerten“. Das BSI warnt daher eindringlich vor „trügerischer Sicherheit“.

Abbildung: TÜV-Verband

TÜV Cybersecurity Studie 2025: Cybersicherheit in deutschen Unternehmen

NIS-2: Für ca. 29.000 „wesentliche“ bzw „wichtige“ Einrichtungen ergeben sich erstmals gesetzliche Pflichten

Zudem habe nur etwa die Hälfte der Befragten angegeben, die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) zu kennen. Jedoch: „Mit der Umsetzung der NIS-2-Richtlinie in nationales Recht, die aufgrund der vorgezogenen Neuwahlen in Deutschland bisher nicht erfolgt ist, wird das BSI für deutlich mehr Unternehmen als zuvor Aufsichtsbehörde.“

Für die bestehenden Kritischen Infrastrukturen (KRITIS) ändere sich hierdurch voraussichtlich wenig, aber für ca. 29.000 nach der NIS-2-Richtlinie „wesentliche“ (essential enhttps://www.bsi.bund.detities) und „wichtige“ Einrichtungen (important entities) ergäben sich erstmals gesetzliche Pflichten.

Viele Unternehmen scheinen die Risiken zu unterschätzen

Dr. Michael Fübi, Präsident des TÜV-Verbands, kommentiert: „Die deutsche Wirtschaft steht im Fadenkreuz staatlicher und krimineller Hacker, die sensible Daten erbeuten, Geld erpressen oder wichtige Versorgungsstrukturen sabotieren wollen. Allerdings scheinen viele Unternehmen die Risiken zu unterschätzen.“

• Neun von zehn (91%) bewerteten ihre Cybersicherheit als „gut“ oder „sehr gut“. Zudem gebe jedes vierte Unternehmen (27%) an, dass IT-Sicherheit für sie nur eine „kleine“ oder „gar keine“ Rolle spiele.

Eine Mehrheit spreche sich allerdings für gesetzliche Vorgaben aus, um das Schutzniveau in der Wirtschaft zu erhöhen: 56 Prozent seien der Meinung, dass alle Unternehmen verpflichtet sein sollten, angemessene Maßnahmen für ihre Cybersecurity zu ergreifen. „Die Bundesregierung sollte die überfällige nationale Umsetzung der NIS-2-Richtlinie zügig verabschieden“, legt Fübi nahe.

Auf dem Weg zur „Cybernation Deutschland“ noch eine Menge Arbeit voraus

„Die Studie des TÜV-Verbandes zeigt, dass auf dem Weg zur ,Cybernation Deutschland’ noch eine Menge Arbeit vor uns liegt. Was mich besonders besorgt, ist die geringe Bekanntheit der NIS-2-Richtlinie“, so die BSI-Präsidentin, Claudia Plattner.

• Umso wichtiger sei ihre zügige Umsetzung in nationales Recht. Verständlicherweise wiesen Unternehmen darauf hin, „dass regulatorische Vorgaben herausfordernd sind“ – auch, weil sie zu Bürokratie und damit zu Mehraufwand führen könnten. Richtig umgesetzt könnten sie uns aber dabei helfen, die Resilienz unserer Wirtschaft umfassend zu erhöhen.

„Wir als BSI legen dabei unseren Schwerpunkt auf Hilfestellung und Kooperation – und unterstützen Unternehmen auch heute schon mit umfangreichen Informations- und Beratungsangeboten. Unser Credo lautet ‚Cybersicherheit vor Bürokratie‘.“ Dies betreffe übrigens auch den „Cyber Resilience Act“ (CRA), im Rahmen dessen das BSI die Übernahme der Marktüberwachung anstrebe.

Das BSI beobachtet, analysiert und bewertet IT-Sicherheit in fünf Dimensionen

Der CRA gibt ein Mindestmaß an Cybersicherheit für vernetzte Produkte auf dem EU-Markt vor. Als nationale Stelle für Zertifizierung und Standardisierung von Cybersicherheitsmaßnahmen verfügt das BSI nach eigenen Angaben über etablierte Strukturen, die schnell für die Marktüberwachung im Sinne des CRA nutzbar gemacht werden können.

Um die Anforderungen greifbarer zu machen, hat das BSI die „Technische Richtlinie TR-03183“ erarbeitet, in der die im CRA formulierten Anforderungen an Hersteller und Produkte übersichtlich beschrieben und erklärt werden. Als Cybersicherheitsbehörde Deutschlands beobachte, analysiere und bewerte das BSI die Lage der IT-Sicherheit in fünf Dimensionen und fungiere als zivile Verteidigungsmacht des Digitalen Raumes.

Weitere Informationen zum Thema:

TÜV VERBAND
TÜV Cybersecurity Studie 2025: Cybersicherheit in deutschen Unternehmen / Neue Bedrohungslage – besserer Schutz

TÜV VERBAND
TÜV Cybersecurity Studie 2025: Cyberbedrohungen wachsen, aber viele Unternehmen hinken beim Schutz hinterher. Die TÜV Cybersecurity Studie 2025 zeigt: KI-gestützte Angriffe nehmen zu, doch nur wenige Betriebe setzen KI zur Verteidigung ein. Die Studie liefert alarmierende Zahlen – und klare Handlungsempfehlungen für Politik und Wirtschaft.

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03183 Cyber-Resilienz-Anforderungen

datensicherheit.de, 20.06.2025
Cybersicherheit geht alle an: Interaktive Trainingsplattform CyberALARM für Unternehmen vorgestellt / Mit „CyberALARM“ soll eine praxisnahe, interaktive Plattform für mehr Cybersicherheit im Mittelstand, im öffentlichen Sektor und in Bildungseinrichtungen geboten werden

datensicherheit.de, 16.05.2025
Cyber Gangsta’s Paradise: THA-Professor für IT-Sicherheit macht mit Musikvideo auf den Cyber Resilience Act (CRA) aufmerksam / Mit der EU-Regulierung wird die digitale Sicherheit von Produkten wird zur Pflicht.

datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.05.2025
Cybersicherheit: Deutsche Unternehmen sehen dringenden Handlungsbedarf / Laut einer QBE-Studie betreffen 64 Prozent der Cybervorfälle Schwachstellen in der Lieferkette. Dabei gehen zwei Drittel der Befragten gehen davon aus, dass sich das Budget für Cybersicherheit in den nächsten zwölf Monaten in ihrem Unternehmen erhöhen wird. 85 Prozent der Befragten sehen steigende Bedrohungen im Vergleich zum Vorjahr

[datensicherheit.de, 12.06.2025] Angriffe auf deutsche Industriebetriebe erinnern immer wieder deutlich daran, dass Cybersicherheit längst keine rein technische Herausforderung mehr ist: Sie ist vielmehr eine Frage nationaler Souveränität, so Ari Albertini, CEO der FTAPI Software GmbH, in seiner aktuellen Stellungnahme. Er warnt davor, die größte Schwachstelle im Alltag zu unterschätzen: In Lieferketten, der Projektkommunikation und der Zusammenarbeit werden täglich sensible Informationen geteilt – „oft ungeschützt und unter Zeitdruck“.

Foto: FTAPI

Ari Albertini fordert klare Regeln – klare Standards, klare Zuständigkeiten und den Mut, Verantwortung dort zu lassen, wo sie hingehört

Größte Schwachstelle der Cybersicherheit nicht in der Technologie, sondern im Alltag

Der jüngste Angriff z.B. auf Rheinmetall sei kein technisches Problem – er zeige vielmehr, „wie angreifbar unser Land im digitalen Raum ist: wirtschaftlich, militärisch, politisch“. Solche Angriffe gehörten längst zur Realität. Albertini kritisiert: „Doch Konsequenz im Umgang mit Cybersicherheit? Fehlanzeige!“

Die größte Schwachstelle liege nicht in der Technologie, sondern im Alltag; in der Lieferkette, in der Projektkommunikation, in der Zusammenarbeit mit wechselnden Partnern. „Täglich werden sensible Informationen weitergeleitet, geteilt, kopiert – oft ungeschützt, unter Zeitdruck und mit dem Fokus auf Tempo statt auf Sicherheit.“

Cybersicherheit muss entlang der gesamten Wertschöpfungskette mitgedacht werden

„Jeder schützt sich selbst, aber kaum jemand schaut nach links und rechts.“ Dabei ende Cybersicherheit nicht am eigenen Netzwerkrand – sie müsse entlang der gesamten Wertschöpfungskette mitgedacht werden.

Albertini gibt ein Beispiel: „Ein Zulieferer meldet per E-Mail eine Materialverzögerung. Die Projektleitung leitet die Nachricht weiter – mitsamt vertraulichen Plänen, Terminen und Preisen. Mal per ,Outlook’, mal via ,Cloud’-Link, mal über private Geräte. Je mehr externe Kontakte beteiligt sind, desto größer das Risiko. Genau hier setzen viele Angriffe an: in der operativen Hektik.“

Menge scheinbar harmloser Daten verrät sehr viel über ein Unternehmen

Was dabei oft unterschätzt werde: „Nicht das einzelne Dokument ist das Problem. Es ist die Summe. Die Masse an scheinbar harmlosen Daten verrät mehr über ein Unternehmen, als jede einzelne Information für sich. Genau das macht sie so gefährlich!“

Sichere Kommunikation dürfe indes kein IT-Sonderfall sein. Sie müsse so einfach funktionieren wie ein Dateianhang – und dabei Verschlüsselung, Zugriff und Nachvollziehbarkeit mitdenken.

NIS-2 schafft endlich auch gemeinsamen Rahmen für Cybersicherheit

Automatisierung sei dabei zentral: „Nur wenn Schutzprozesse im Hintergrund zuverlässig greifen, lassen sich Fehler vermeiden, bevor sie zur Schwachstelle werden.“ Es brauche Plattformen, nicht „Patchwork“. Sonst bleibe Sicherheit ein Konzept, aber keine Praxis.

Albertini betont: „Und genau deshalb ist es gut, dass NIS-2 wieder Fahrt aufnimmt. Die Richtlinie schafft nicht nur neue Pflichten, sondern endlich auch einen gemeinsamen Rahmen. Verbindliche Standards, klare Zuständigkeiten, übergreifende Sicherheit. Denn wer heute mit kritischen Informationen arbeitet, trägt Verantwortung – für sich und für das gesamte Netzwerk!“

Deutschland benötigt neues Verständnis digitaler Wehrhaftigkeit

Cybersicherheit sei eine Frage nationaler Souveränität. Wer Kritische Infrastrukturen (KRITIS) betreibt oder sensible Daten verarbeitet, benötige volle Kontrolle: über Systeme, über Informationen, über Kommunikationswege. Wer Verantwortung trägt, müsse diese auch behalten. „Und das geht nur, wenn Sicherheit im täglichen Arbeiten mitgedacht wird.“

Albertinis Fazit: „Deutschland braucht ein neues Verständnis von digitaler Wehrhaftigkeit! Kein ,Wir müssten mal’, sondern klare Regeln. Klare Standards. Klare Zuständigkeiten. Und den Mut, Verantwortung dort zu lassen, wo sie hingehört!“

Weitere Informationen zum Thema:

ftapi
Unsere Vision: Alle Organisationen compliant und effizient zu machen, indem wir ihnen die volle Kontrolle über den Austausch ihrer sensiblen Daten geben

golem.de, Marc Stöckel, 02.06.2025
Cybergang leakt interne Daten von Rheinmetall / Laut Rheinmetall handelt es sich um ältere Daten, die nicht der Geheimhaltung unterliegen. Militärexperten zufolge sind sie dennoch gefährlich

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

datensicherheit.de, 17.03.2021
Nationale Sicherheit: USA-Behörden verzichten auf IoT-Produkte fünf chinesischer OEM-Hersteller / Verbannte IoT-Komponenten auch in deutschen Kritischen Infrastrukturen im Einsatz

[datensicherheit.de, 05.06.2025] ESET Deutschland hat am 2. Juni 2025 die gute Botschaft verkündet, dass vielen Deutschen die Sicherheit ihrer Geräte und Daten wichtig sei – so eine Erkenntnis aus einer aktuellen Umfrage. Demnach geben vier von fünf Befragten an, eine IT-Sicherheitslösung zu besitzen. Die Daten dieser Befragung basierten auf Online-Interviews mit Mitgliedern des „YouGov Panel“, welche der Teilnahme vorab zugestimmt hätten. Für diese Befragung seien im Zeitraum vom 12. bis zum 14. März 2025 insgesamt 2.043 Personen befragt worden. Die Ergebnisse seien repräsentativ für die Wohnbevölkerung in Deutschland ab 18 Jahren. Geschmälert werde die positive Aussage eingangs indes durch ein weiteres Ergebnis – die meisten Anwender achteten nicht auf die Herkunft ihrer Sicherheitsanbieter. ESET erörtert in seiner Stellungnahme, warum das problematisch sein kann und welche weiteren Erkenntnisse diese Umfrage gebracht hat:

Abbildung: ESET

Ein Ergebnis der aktuellen ESET-Umfrage unter Verbrauchern: „Haben Sie eine IT-Sicherheitslösung?“

83 Prozent der deutschen Verbraucher nutzen Virenschutz

Während die meisten Deutschen längst eine Antiviren-Software auf ihrem Computer installiert haben, bleibt eine entscheidende Frage oft unbeantwortet: „Woher stammt die Software, die vor Hackern und Cyberkriminellen bewahren soll?“

• Laut einer aktuellen repräsentativen Umfrage des europäischen IT-Sicherheitsunternehmens ESET in Zusammenarbeit mit YouGov nutzen 83 Prozent der deutschen Verbraucher einen Virenschutz. Dennoch wisse fast die Hälfte der Anwender nicht, aus welchem Land ihr Anbieter stammt. Allerdings: Knapp jeder Dritte (31%) gebe an, die Herkunft seines Virenschutzes sei ihm wichtig.

Mit Blick auf die Ergebnisse zeige sich: Vor allem Umfrageteilnehmer mit höherem Haushaltseinkommen und Bildungsabschluss achteten auf die Herkunft ihrer Software und setzten auf einen europäischen Hersteller. Zudem seien sie eher im Rahmen der aktuellen geopolitischen Lage zu einem Anbieterwechsel bereit.

Auch Verbraucher sollten auf europäische Anbieter setzen

„Vier von fünf Nutzern in Deutschland haben eine IT-Sicherheitslösung installiert. Diese Entwicklung ist sehr erfreulich – denn: Die Bedrohung durch Cyberangriffe hat in den vergangenen zehn Jahren deutlich zugenommen“, kommentiert Thorsten Urbanski, Leiter der TeleTrust Initiative „IT Security made in EU“ und „Director of Marketing DACH“ bei ESET.

• „Wenn Verbraucher zudem sichergehen wollen, dass EU-Datenschutz und IT-Sicherheit Hand in Hand gehen, sollten sie klar auf europäische Anbieter setzen“, rät Urbanski.

Die Umfrageergebnisse stünden in starkem Kontrast zu einer anderen aktuellen ESET-Umfrage unter deutschen Unternehmensentscheidern: Dort dominierten europäische Hersteller im Vergleich zu anderen Regionen deutlich. Drei von vier deutschen Unternehmen nutzten IT-Sicherheitslösungen aus der EU. Bei Endnutzern hingegen seien es nur 14 Prozent, womit europäische Lösungen ein wenig hinter US-Anbietern (16%) zurückfielen.

Fast die Hälfte aller Privatanwender kennt nicht das Herkunftsland ihrer Sicherheitssoftware

Knapp die Hälfte der Befragten (46%) habe nicht auf Anhieb sagen können, aus welchem Land ihre Sicherheitssoftware stammt. Unter den Befragten mit abgeschlossenem Studium bevorzugten 20 Prozent europäische Lösungen, indes „38 Prozent kennen die Wurzeln des IT-Sicherheitsherstellers nicht“.

• Auch bei Studenten setzten mehr als ein Viertel (26%) auf Produkte aus Europa, 40 Prozent wüssten nichts über die Herkunft ihres Virenschutzes. Universitätsabsolventen seien mit 44 Prozent auch stärker bereit, aufgrund der aktuellen geopolitischen Lage den eigenen Security-Anbieter zu wechseln – genauso wie Höchstverdiener mit einem Monatseinkommen von über 10.000 Euro. Insgesamt neigten nur 36 Prozent aller Befragten zu einem Umstieg.

„Generell müssen wir in Deutschland in puncto IT-Awareness noch Einiges tun und zugleich Verbraucher besser über die Vorteile statt über die Hemmnisse europäischer Datenschutzrichtlinien informieren“, betont Urbanski.

IT-Sicherheit „Made in EU“ auch für Privatpersonen wichtig

In einer zunehmend digitalisierten Welt sei IT-Sicherheit nicht nur eine technische Notwendigkeit, sondern auch eine Frage des Vertrauens, des Datenschutzes und der Souveränität. Gerade europäische Lösungen nähmen dabei aus mehreren Gründen eine besondere Rolle ein:

• Strenger Datenschutz durch die DSGVO
  Die Europäische Union (EU) habe mit der Datenschutz-Grundverordnung (DSGVO) weltweit einen der strengsten Datenschutzrahmen geschaffen. „IT-Sicherheitslösungen aus Europa unterliegen diesen Vorgaben – sie dürfen personenbezogene Daten nur im eng definierten Rahmen verarbeiten und speichern.“ Das schaffe Transparenz und Kontrolle für Nutzer.
• Keine versteckten Hintertüren
  Europäische Hersteller seien nicht denselben gesetzlichen Zugriffspflichten unterworfen wie Anbieter aus den USA, China oder Russland (z.B. „Cloud Act“ und nationale Geheimdienstgesetze). „Wer europäische Lösungen nutzt, reduziert das Risiko, dass Regierungen außerhalb der EU auf sensible Daten zugreifen können.“
• Digitale Souveränität
  Europa möchte seine digitale Unabhängigkeit stärken – dazu gehöre auch, bei kritischer IT-Infrastruktur nicht vollständig auf außereuropäische Anbieter angewiesen zu sein. „Europäische IT-Sicherheitslösungen sind ein Baustein für eine souveräne digitale Infrastruktur, die wirtschaftliche und politische Interessen der EU schützt.“

Weitere Informationen zum Thema:

eseT, 29.04.2025
ESET Umfrage: Mehrheit deutscher Unternehmen setzt bei der IT-Sicherheit auf „Made in EU“

datensicherheit.de, 15.05.2025
Gütesiegel „Made in EU“ genießt laut ESET-Umfrage in Europa und Deutschland hohen Stellenwert / 75 Prozent der deutschen Unternehmen wollen bei der Auswahl ihrer IT-Sicherheitslösung auf einen Hersteller aus der Europäischen Union setzen

datensicherheit.de, 02.11.2021
IT Security made in EU: TeleTrusT-Vertrauenszeichen bietet Anwendern Orientierung / fiskaly GmbH in Wien als 100. Unternehmen die Zeichennutzung vom TeleTrusT zugesprochen

datensicherheit.de, 30.07.2020
IT Security made in EU: TeleTrusT startet Zeicheninitiative / Ergänzung zum TeleTrusT-Vertrauenszeichen „IT Security made in Germany“

[datensicherheit.de, 20.05.2025] Deutsche Unternehmen erkennen die Schwachstellen in ihren Lieferketten zunehmend als kritisches Risiko für ihre Cybersicherheit. 64 Prozent der Befragten, die im vergangenen Jahr einen Cyberangriff im eigenen Unternehmen erlebten, berichten, dass diese Vorfälle in Zusammenhang mit Schwachstellen bei Zulieferern standen. Das geht aus einer aktuellen Umfrage hervor, die der Industrieversicherer QBE im April 2025 gemeinsam mit einem unabhängigen Meinungsforschungsinstitut unter 400 Entscheidern aus IT, Verwaltung oder Versicherungen in Unternehmen mit 100 bis 2.000 Mitarbeitern in Deutschland durchgeführt hat.

Fast zwei Drittel aller Cyberangriffe in Verbindung mit Schwachstellen bei Zulieferern

„Da fast zwei Drittel aller Cyberangriffe in Verbindung mit Schwachstellen bei Zulieferern stehen, sollten deutsche Unternehmen beim Ausbau ihrer Cybersicherheit unbedingt die gesamte Lieferkette mitdenken“, betont Cyberexperte Dr. Paul Lambertz, Portfolio Manager Financial & Specialty Markets bei QBE Deutschland. „In einer zunehmend vernetzten Welt braucht es einen ganzheitlichen Blick, um digitale Risiken verantwortungsvoll zu managen.“

Dr. Paul Lambertz, Portfolio Manager Financial & Specialty Markets, Foto: QBE Deutschland

Zunehmende Cyberbedrohungen verstärken den Handlungsdruck

85 Prozent der Befragten berichten von einer Zunahme der Cyberbedrohungen in ihrem Unternehmen im Vergleich zum Vorjahr. 60 Prozent der Befragten haben innerhalb der vergangenen zwölf Monate einen Cybervorfall erlebt, bei 20 Prozent kam es sogar zu Betriebsunterbrechungen von mindestens einem Arbeitstag. Angesichts dieser Entwicklungen gehen 36 Prozent der Befragten davon aus, dass sich das Cybersicherheitsbudget in ihrem Unternehmen über die Inflationsrate hinaus erhöhen wird. Weitere 31 Prozent erwarten eine inflationsbedingte Erhöhung ihres Budgets.

Ein aktueller Bericht des Beratungsunternehmens Control Risks im Auftrag von QBE stützt dieses Ergebnis: Demnach werden sich schwere Cyber-Vorfälle in Deutschland im Vergleich zu 2023 verdreifachen. (Quelle: QBE Cyber-Report von Control Risks).

KI als Chance und Risiko

Trotz wachsender Bedrohungen durch Cyberkriminalität setzen deutsche Unternehmen zunehmend auf Künstliche Intelligenz: 77 Prozent nutzen bereits KI-Anwendungen, weitere 22 Prozent planen den Einsatz. Die erwarteten Vorteile: effizientere Prozesse (58 Prozent), mehr Innovation (50 Prozent), besserer Kundenservice (44 Prozent) und reduzierte Kosten (44 Prozent). Gleichzeitig sehen 21 Prozent der Unternehmen im KI-Einsatz ein zusätzliches Risiko für ihre Cybersicherheit.

Cyberversicherung gewinnt an Bedeutung

Bereits 66 Prozent der Unternehmen mit 100 bis 2.000 Mitarbeitern in Deutschland verfügen über eine Cyberversicherung – ein klares Signal, dass sich Cyberschutz zunehmend als fester Bestandteil des Risikomanagements etabliert.

Über die Studie:

Die Umfrage wurde vom 10. bis zum 23. April 2025 unter 400 Entscheidern aus IT, Verwaltung oder Versicherungen in Unternehmen mit 100 bis 2.000 Mitarbeitenden durchgeführt.

Weitere Informationen zum Thema:

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen

[datensicherheit.de, 10.05.2025] Der aktuelle Halbjahresbericht des Bundesamtes für Cybersicherheit (BACS) zeigt, wie international Cyberkriminelle operieren und welche Wege sie zur Verbreitung ihrer Angriffe nutzen. Angesichts dieser globalen Cyberbedrohungen sowie der stetig wachsenden Abhängigkeiten von globaler Software, steigt die Bedeutung der internationalen Zusammenarbeit. Um die Cybersicherheit in der Schweiz zu stärken, trat am 1. April 2025 die Meldepflicht für Cyberangriffe auf Kritische Infrastrukturen in Kraft, welche in enger Abstimmung mit internationalen Standards und EU-Richtlinien entwickelt wurde.

BACS als erste Anlaufstelle bei Cybervorfällen für die Bevölkerung in der Schweiz

Als erste Anlaufstelle für die Bevölkerung bei Cybervorfällen nimmt das Bundesamt für Cybersicherheit (BACS) bereits seit 2020 über ein Online-Meldeformular freiwillige Hinweise zu Vorfällen im digitalen Raum entgegen. Die Analyse der eingehenden Meldungen verdeutlicht, wie international Cyberkriminelle agieren und wie sie neue Methoden und Täuschungsstrategien einsetzen, um ihre Angriffe zu verbreiten. Der aktuelle Halbjahresbericht des BACS zeigt diese Entwicklungen auf sowie die nationale und internationale Cyberbedrohungslage im zweiten Halbjahr 2024.

Cyberbedrohungen im zweiten Halbjahr 2024

Im zweiten Halbjahr 2024 gingen beim BACS 28’165 Meldungen zu Cybervorfällen ein. Dies sind etwas weniger als im Verlaufe des ersten Halbjahres 2024. Über das gesamte Jahr 2024 stieg die Anzahl im Vergleich zum Vorjahr um 13’574 auf total 62’954 Meldungen. Die Schwankungen beruhen hauptsächlich auf der grossen Wellenbewegung des Phänomens «Fake-Anrufe im Namen von Behörden». Das Verhältnis der Meldungen aus der Bevölkerung (90 %) zu denjenigen von Unternehmen, Vereinen und Behörden (10 %) blieb stabil. Bei den Unternehmen war ein starker Anstieg bei den Meldungen zum Phänomen CEO-Betrug zu verzeichnen (2024: 719 / 2023: 487). Die am häufigsten gemeldeten Kategorien waren weiterhin «Betrug», «Phishing» und «Spam». Bei «betrügerischen Gewinnspielen» beobachtete das BACS im zweiten Halbjahr 2024 sogar eine Verdreifachung der eingegangenen Meldungen.

Bekannte Angriffsmethoden werden modernisiert

Neben klassischen E-Mails und SMS kommen vermehrt RCS (Rich Communication Services) und iMessage zum Einsatz, um etablierte SMS-Filter der grossen Provider umgehen können. Auch Telefonanrufe von angeblichen Bankmitarbeitern oder das Überkleben von QR-Codes auf Parkuhren gehören zu den aktuellen Betrugsmaschen. Eine weitere beobachtete Methode ist das Fluten von E-Mail-Konten mit Spam-Nachrichten, um anschliessend über digitale Kommunikationsplattformen Hilfestellungen anzubieten, in deren Verlauf die Opfer kompromittiert werden. Auch die Namen bekannter Schweizer Unternehmen wurden missbraucht, um in deren Namen Schadsoftware zu verteilen. Das BACS beleuchtet in seinen Wochenrückblicken, die jeweils dienstags erscheinen, die Vorgehensweisen genauer und gibt entsprechende Handlungsempfehlungen ab.

Zunehmendes Risiko aufgrund weltweiter digitaler Abhängigkeiten

Das fehlgeschlagene Software-Update von CrowdStrike im zweiten Halbjahr 2024 hat die weltweiten digitalen Abhängigkeiten eindrücklich vor Augen geführt: Rund 8,5 Millionen Computersysteme wurden ausser Betrieb gesetzt – der geschätzte wirtschaftliche Schaden beläuft sich auf mehrere Milliarden US-Dollar. Auch die jüngsten Entwicklungen beim US-amerikanischen CVE-Programm (Common Vulnerabilities and Exposures) verdeutlichen die Risiken einseitiger internationaler Abhängigkeiten. Diese Ereignisse unterstreichen die dringende Notwendigkeit verstärkter internationaler Zusammenarbeit im Bereich der Cybersicherheit.

Um negative Auswirkungen solcher Abhängigkeiten zu reduzieren, hat die Schweiz ihre Kooperation und bilateralen Austauschgespräche mit europäischen und internationalen Partnern intensiviert, um gemeinsame Frühwarnsysteme zu verbessern und Informationen über aktuelle Bedrohungslagen schneller auszutauschen.

Neue Meldepflicht harmonisiert mit internationalen Standards

Am 1. April 2025 trat die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in Kraft. Diese neue Regelung wurde in enger Abstimmung mit internationalen Standards und EU-Richtlinien entwickelt, um grenzüberschreitende Kompatibilität und Informationsaustausch zu gewährleisten. Betreiberinnen Kritischer Infrastrukturen wie Energie- oder Trinkwasserversorgung, Transportunternehmen sowie kantonale und kommunale Verwaltungen müssen dem BACS somit bestimmte Cyberangriffe innerhalb von 24 Stunden melden. Für die ersten sechs Monate, bis zum 1. Oktober 2025, bleibt das Unterlassen von Meldungen sanktionsfrei.

Weitere Informationen zum Thema:

Bundesamt für Cybersicherheit BACS, 06.05.2025
Halbjahresbericht 2024/II (Juli – Dezember),  Cybersicherheit – Lage in der Schweiz und international

datensicherheit.de, 25.02.2025
Dragos: Starker Anstieg von OT/ICS-Cyberbedrohungen

[datensicherheit.de, 02.05.2025] Der Verizon Data Breach Investigation Report (DBIR) 2025 liefert einen umfassenden Überblick über die sich wandelnde Bedrohungslandschaft in der Cybersicherheit. Der Bericht wurde durch die Expertise zahlreicher Partner unterstützt, die entscheidend dazu beitrugen, kritische Muster und Schwachstellen aufzudecken und Unternehmen das nötige Wissen zur Abwehr aktueller und zukünftiger Cyberbedrohungen zu vermitteln.

Wesentliche Erkenntnisse aus dem Verizon Data Breach Investigation Report 2025

• Schwachstellenmanagement als Top-Priorität
  Die Ausnutzung von Schwachstellen ist mit 20% der häufigste Einstiegspunkt für Sicherheitsverletzungen – ein signifikanter Anstieg um 34% im Vergleich zum Vorjahr. Besonders gefährdet sind Edge-Geräte und VPNs, die nun 22% der Ziele ausmachen, was einer achtfachen Zunahme gegenüber 2024 entspricht. Besorgniserregend ist die Diskrepanz zwischen der durchschnittlichen Behebungszeit von 32 Tagen und der Geschwindigkeit, mit der Angreifer bekannte Schwachstellen oft bereits am Tag der CVE-Veröffentlichung ausnutzen. Empfohlen werden risikobasierte Priorisierung, automatisierte Workflows und umfassende Asset-Verwaltung.
• Ransomware: Verbreitung trotz sinkender Zahlungen
  Die Präsenz von Ransomware ist um 37% gestiegen und war in 44% der untersuchten Fälle im Einsatz. Kleine und mittlere Unternehmen sind mit 88% der Ransomware-Vorfälle besonders betroffen. Obwohl die durchschnittlichen Lösegeldforderungen von 150.000$ auf 115.000$ gesunken sind, verweigern immer mehr Opfer (64%) die Zahlung. Zum Schutz sollten Unternehmen EDR-Lösungen, Bedrohungsdatenintegration und ransomware-spezifische Playbooks implementieren.
• Wachsende Risiken durch Drittanbieter
  Bei Sicherheitsrisiken durch Drittanbieter zeigt der Bericht eine Verdopplung der Beteiligung auf 30%. Hauptprobleme sind die Wiederverwendung von Zugangsdaten in externen Systemen und lange Behebungszeiten, die bei GitHub-Repositories durchschnittlich 94 Tage betragen. Empfohlen werden striktere Sicherheitsbewertungen von Partnern, automatisierte Geheimnisscans und kontinuierliche Überwachung der Drittanbieter-Sicherheitslage.
• Spionage, Datenabfluss und nicht verwaltete Geräte
  Spionage-Motive machen mittlerweile 17% aller Sicherheitsverletzungen aus, häufig initiiert über Schwachstellen. Alarmierend ist, dass 46% der kompromittierten Systeme mit Unternehmenszugang nicht verwaltet waren – oft BYOD-Geräte mit gemischter Nutzung. In 30% der Fälle wurden kompromittierte Systeme durch Infostealer-Malware identifiziert, während 54% der Ransomware-Opfer in Datenlecks auftauchten.
• GenAI als neue Bedrohungsquelle Generative KI entwickelt sich zur neuen Bedrohungsquelle: 15% der Mitarbeiter nutzen sie über Unternehmensgeräte, oft ohne ausreichenden Schutz. Dabei verwendeten 72% private und 17% Unternehmens-E-Mail-Adressen ohne MFA. Zudem haben sich synthetisch generierte Phishing-E-Mails in den letzten zwei Jahren verdoppelt.

Zusammenfassung

Der DBIR 2025 macht deutlich, dass Unternehmen einen ganzheitlichen Sicherheitsansatz benötigen, der nicht nur Patch-Management und Schwachstellenbeseitigung umfasst, sondern auch neue Risiken durch Drittanbieter, Ransomware und KI-basierte Angriffe berücksichtigt.

Weitere Informationen zum Thema:

Qualys
The Verizon 2025 Data Breach Investigations Report (DBIR): Six Trends You Can’t Ignore

datensicherheit.de, 23.04.2025
Data Breach Investigations Report (DBIR) 2025 von Verizon: Systemangriffe in der EMEA-Region verdoppeln sich

[datensicherheit.de, 30.04.2025] Trend Micro veröffentlicht eine neue Studie, die eine besorgniserregende Diskrepanz zwischen dem Erkennen von Angriffsrisiken und dem Einsatz spezieller Tools zur Bewältigung dieses Risikos aufzeigt.

Die globale Studie unter mehr als 2.000 Cybersecurity-Führungskräften weltweit ergab, dass 73 Prozent von ihnen bereits Sicherheitsvorfälle aufgrund von unbekannten oder nicht verwalteten Assets erlebten. Für Deutschland ist der Anteil mit 65 Prozent der Befragten etwas geringer. Die Zahl solcher Assets ist mit der Verbreitung generativer KI und der damit verbundenen höheren Komplexität sowie der ständig wachsenden Zahl von IoT-Geräten rapide angestiegen.

Management der Assets wirkt sich auf das Geschäftsrisiko aus

Infolgedessen bestätigen 91 Prozent der Befragten weltweit und 89 Prozent in Deutschland, dass sich das Management der Angriffsfläche auf das Geschäftsrisiko ihres Unternehmens auswirkt. Ein großer Teil der Befragten erkennt zudem, dass ein fehlendes Risikomanagement für exponierte Assets erhebliche negative Auswirkungen haben kann, die über unmittelbare Sicherheitsbedrohungen hinausgehen.

Unter anderem nennen sie negative Folgen für folgende Bereiche:

• Betriebliche Kontinuität (40 Prozent in Deutschland, 42 Prozent weltweit)
• Wettbewerbsfähigkeit (40 Prozent in Deutschland, 39 Prozent weltweit)
• Kundenvertrauen und Markenreputation (38 Prozent in Deutschland, 39 Prozent weltweit)
• Lieferantenbeziehungen (36 Prozent in Deutschland, 39 Prozent weltweit)
• Mitarbeiterproduktivität (32 Prozent in Deutschland, 38 Prozent weltweit)
• Finanzielle Performance (31 Prozent in Deutschland, 38 Prozent weltweit)

Wie die Studie zeigt, verwenden trotz dieser offensichtlichen Erkenntnis nur 36 Prozent der Unternehmen in Deutschland (43 Prozent weltweit) spezielle Tools für ein proaktives Risikomanagement ihrer Angriffsfläche. Mehr als die Hälfte (58 Prozent) gibt an, dass sie über keine Prozesse verfügen, um dies kontinuierlich zu tun. Das wäre jedoch notwendig, um Risiken proaktiv zu mindern und einzudämmen, bevor sie den Betrieb beeinträchtigen.

Im Durchschnitt sind nur 24 Prozent der Cybersecurity-Budgets in Deutschland (27 Prozent weltweit) für das Management von Angriffsflächenrisiken vorgesehen. Beinahe drei Viertel (73 Prozent) der deutschen Unternehmen geben an, dass ihre derzeitigen Ressourcen für die Bewältigung dieser Herausforderungen ausreichend sind – global sind es mit 77 Prozent etwas mehr.

Kevin Simzer, COO bei Trend Micro, Bild: Trend Micro

„Bereits 2022 waren Unternehmen weltweit besorgt, dass die Angriffsfläche für Cyberangriffe außer Kontrolle gerät. Heute ist die Herausforderung noch dringlicher“, weiß Kevin Simzer, COO bei Trend Micro. „Die meisten Unternehmen sind sich zwar der Auswirkungen auf das Geschäftsrisiko bewusst, aber nur wenige ergreifen proaktive Sicherheitsmaßnahmen, um das Risiko kontinuierlich zu mindern. Das Management von Cyberrisiken sollte für alle Unternehmen oberste Priorität haben.“

Über die Studie

Trend Micro beauftragte Sapio Research mit der Befragung von 2250 Personen, darunter 100 aus Deutschland, die für IT und/oder Cybersicherheit verantwortlich sind – über verschiedene Branchen, Unternehmensgrößen und 21 Länder in Europa, Nordamerika und APAC hinweg. Befragung im Februar 2025.

Weitere Infiormationen zum Thema:

Trend Micro
AI is Changing the Cyber Risk Game. Are You Keeping Up?

[datensicherheit.de, 13.03.2025] Security-Teams kämpfen heutzutage mit einer Unmenge an Sicherheitslücken und kommen kaum hinterher, diese zu schließen – doch es gibt Hoffnung. Max Rahner, Senior Business Development Manager bei Tenable, erklärt im Gespräch mit datensicherheit.de (ds), wie Unternehmen ihre Exposure mit einem risikobasierten Schwachstellenmanagement systematisch priorisieren, das Verlustrisiko senken, die Vorgaben der NIS2-Richtlinie besser umsetzen und letzlich die Cybersicherheit zu erhöhen.

Max Rahner, Senior Business Development Manager bei Tenable, Bild: Tenable

ds: Herr Rahner, viele Unternehmen tun sich schwer damit, eine effektive und effiziente Cybersicherheit aufzubauen. Warum ist das so?

Derzeit gehen die meisten Unternehmen noch nach dem Gießkannenprinzip vor. Das heißt, sie adressieren ihre Schwachstellen unabhängig davon, in welchem Kontext diese auftreten. Von diesem Ansatz müssen wir wegkommen. Wer sich stattdessen zuerst um die Schwachstellen kümmert, die kritische Auswirkungen auf den Geschäftsprozess haben können, senkt das Risiko eines Ausfalls erheblich. Gartner etwa geht davon aus, dass Unternehmen die Wahrscheinlichkeit eines Geschäftsausfalls so dritteln können.

ds: Die Priorisierung von Schwachstellen ist demnach Teil eines guten Cyber-Risikomanagements.

Genau! Ein risikobasierter Ansatz wird im Übrigen auch explizit von NIS 2 und DORA gefordert. Dafür muss ich mir als Unternehmen zunächst Gedanken darüber machen, welches meine wichtigsten Geschäftsprozesse sind und wie diese mit meiner Technologie zusammenhängen. Wo gibt es Abhängigkeiten? Und welche Abhängigkeiten gibt es jeweils innerhalb meiner Technologien oder Geschäftsprozesse? Wer diese Zusammenhänge untersucht, kann seine wirklich kritischen Schwachstellen um einiges schneller beheben.

ds: Klingt einleuchtend. Eine robuste Cybersicherheit geht also über eine rein Technologie-zentrierte Perspektive hinaus, die in erster Linie die einzelnen Assets schützen will?

So ist es. Der technologische Aspekt ist zunächst einmal nachgelagert. Eine effektive Priorisierung von Schwachstellen folgt dem Grundgedanken, zuallererst die Umsatzgenerierung zu schützen, da diese für die meisten Unternehmen – von Sonderfällen wie Gesundheitseinrichtungen abgesehen, wo natürlich die Patientensicherheit im Vordergrund stehen muss – am wichtigsten ist. Dafür brauchen Unternehmen allerdings Klarheit darüber, wie ihre Geschäftsabläufe sind, wie sie ihr Geld verdienen. Der Schlüssel dazu kann Business Process Modeling sein, das die Prozesse analysiert und sauber beschreibt. Und da geht es um mehr als nur die IT, das betrifft das ganze Unternehmen. Eine Übersicht über Assets und Risiken zu erlangen, ist dabei heute schon Teil der meisten Security-Konzepte. Aber der entscheidende Punkt ist die Kenntnis der geschäftskritischen Prozesse, weil man nur so die unbedingt schützenswerten Systeme identifizieren kann. Und diese Prozesskenntnis fehlt in vielen Cybersicherheitsstrategien, um den notwendigen Zusammenhang zwischen Geschäftserfolg und Risiken durch den IKT-Einsatz herzustellen.

ds: Wie gehen Unternehmen konkret daran, dies umzusetzen? Wer muss alles eingebunden werden?

Die Entscheidung über die Priorisierung, also welche die wichtigsten Prozesse zur Umsatzgenerierung oder die geschäftskritischen Prozesse allgemein sind, kann nur auf der Führungsebene getroffen werden. Das bedeutet, dass jemand aus der Geschäftsführung diese Aufgabe übernehmen muss, da auch nur diese wirklich weiß, wo und wie die einzelnen Fäden letztendlich zusammenlaufen. Das kann ein IT-Leiter gar nicht leisten, und die NIS 2 betont auch explizit die Geschäftsführerhaftung ohne Delegierbarkeit des Risikos. Deshalb ist es im ureigenen Interesse der Führungsebene, Cybersicherheit zur Chefsache zu machen. Dabei läuft es immer auf die gleichen zwei Fragen hinaus: Kann ich meinen Geschäftsprozess beschreiben? Und kann ich auch die Technologien auflisten, die ich benötige, um den Geschäftsprozess auszuführen? Dafür müssen dann jeweils die einzelnen Abteilungen einbezogen werden, die im Detail meist den besseren Überblick darüber haben, welche Assets für sie unverzichtbar sind oder starken Einfluss auf ihre Arbeitsfähigkeit haben. Wir reden da zum Teil auch über so banale Dinge wie die Heizung, bei deren Ausfall die Maschinen in der Produktionshalle oder die Drucker für die Versandlabel nicht funktionieren. Bei der Analyse von Geschäftsprozessrisiken geht es aber um mehr als nur Technologie.

Nämlich?

Wenn das richtige Personal fehlt, oder es nur einen einzigen Admin für ein System gibt und keine Vertreterregelung für dessen Ausfall existiert, dann liegt das Risiko nicht im technischen Bereich. Und daraus folgt auch, dass der Begriff der Schwachstelle missverständlich sein kann.

ds: Inwiefern?

Bei dem Wort Schwachstelle denken deutschsprachige Security-Experten sofort an technische, also Software-Schwachstellen. In der NIS 2 steht Schwachstelle allerdings für jedwede Form von potenzieller Sicherheitslücke im Delivery-Prozess, egal ob es sich dabei um Personen, unzureichende Organisationsschritte, Fehlkonfigurationen, digitale Identitäten oder Software-Fehler handelt. Unter Umständen sind keine Software-Schwachstellen in einem Unternehmen vorhanden, aber trotzdem ist die Wertschöpfungskette des Unternehmens hochgradig verwundbar, weil zum Beispiel ein Cloud Service nicht richtig eingerichtet ist oder eine digitale Identität kompromittiert ist. Und auch bei technischen Schwachstellen geht es ja primär um diejenigen, die für einen Angreifer auch wirklich zu erreichen sind. Wir sind bei Tenable deshalb auch schon länger vom Begriff der Vulnerability abgerückt und sprechen von Exposure. Auch das gehört zu diesem neuen Ansatz von Cybersicherheit.

ds: Stichwort „neuer Ansatz“: Das Prinzip der Priorisierung von Schwachstellen wird ja eigentlich schon seit Längerem angewendet.

Das ist richtig, aber die Bewertungskriterien sind bislang nicht zielführend. In den meisten Security-Konzepten wird die Dringlichkeit, mit der Schwachstellen behoben werden, nach deren Wert im Common Vulnerability Scoring System, kurz CVSS, bestimmt. Die Security-Teams konzentrieren sich dann auf diese technisch hochkritischen Fälle mit CVSS 9 oder 10, während die Schwachstellen von mittlerer Schwere im Schnitt drei Monate offenbleiben und deshalb auch häufiger ausgenutzt werden. Zusätzlich kommt als dritter Faktor die eingangs gestellte Frage ins Spiel, wo die Schwachstelle auftritt. Ein CVSS-Score von 9 in einem abgeschotteten und segmentierten Netzwerk ist ein viel geringeres Risiko als eine Schwachstelle mit CVSS 5 oder 6 auf einem über das Internet zugänglichen Asset.

ds: Wie können Unternehmen ihre Schwachstellen denn differenzierter bewerten?

Indem sie Tools einsetzen, die den Kontext stärker einbeziehen. Bei Tenable bieten wir zum Beispiel zwei weitere Bewertungsoptionen. Die eine ist unser Vulnerability Priority Rating oder VPR. Dabei verknüpfen wir das CVSS mit unserer eigenen Threat Intelligence. So stellen wir fest, ob die jeweilige Schwachstelle zurzeit aktiv von Cyberkriminellen ausgenutzt wird. Eine Schwachstelle mit einem hohen CVSS-Score, die aber von niemandem ausgenutzt wird, erhält also ein niedriges VPR. Umgekehrt haben Schwachstellen von nur mittlerer Schwere, auf die sich die Angreifer aber regelrecht stürzen, ein sehr hohes VPR. Die zweite Bewertungsoption ist das Asset Criticality Rating, kurz ACR. Dieser Wert wird vom Anwender selbst auf einer Skala von 1 bis 10 vergeben. Unternehmen können damit granular festlegen, welchen Stellenwert ein Asset für die eigenen Geschäftsprozesse hat. An diesem Punkt wird klar, warum die Kenntnis der Geschäftsprozesse so entscheidend ist: Ohne diese ist die Abbildung des ACR sehr schwierig. Viele Unternehmen haben die entsprechenden Daten übrigens schon in ihrer CMBD – es lohnt sich also, sich umzusehen, wo im Unternehmen solche Daten schon erhoben werden, so dass wir sie übernehmen können.

Multipliziert man VPR und ACR, ergibt sich unser Asset Exposure Score. In diesen fließt also ein, wie wichtig ein Asset ist, ob und in welcher Kritikalität Schwachstellen vorliegen und wie aktiv diese Schwachstellen derzeit bereits ausgenutzt werden. Diese Bewertung lässt sich dabei nicht nur für Schwachstellen mit CVSS-Score vornehmen, sondern zum Beispiel auch für Fehlkonfigurationen in Cloud-Plattformen – wie etwa die Verwendung von Standardpasswörtern oder das Fehlen von Multi-Factor Authentication. Das Ergebnis ist eine maßgeschneiderte Priorisierung, mit der Unternehmen genau die Sicherheitslücken als Erstes beheben können, die das größte Risiko für ihre Geschäftsprozesse darstellen.

[datensicherheit.de, 10.06.2024] Der bevorstehende EU Cyber Resilience Act (CRA, EU-Gesetz über Cyberresilienz) stellt einen wichtigen Schritt in der europäischen Cybersicherheitspolitik dar. Er zielt darauf ab, die digitale Abwehr in der Europäischen Union durch einen proaktiven Cybersicherheits-Ansatz zu verbessern. Im Gegensatz zu früheren Verordnungen wie der DSGVO (Datenschutzgrundverordnung) stellt der EU CRA die tatsächliche Widerstandsfähigkeit über die Einhaltung von Vorschriften und konzentriert sich auf eine wirksame Risikominderung. 

Andy Grolnick, CEO bei Graylog, Bild: Graylog

„Der CRA stellt einen bedeutenden Schritt zur Sensibilisierung für Cyberrisiken auf Unternehmensebene dar. Es besteht jedoch die Gefahr, dass er zu einem bloßen Kontrollkästchen für die Einhaltung der Vorschriften verkommt, wie es bei der DSGVO der Fall ist.“, äußert Andy Grolnick, CEO vom Security-Anbieter Graylog, seine Bedenken.

Fallstrick Compliance-Checkbox: was die DSGVO wirklich brachte

„Die Sicherheit von Checkboxen gleicht dem Anlegen eines Verbandes auf eine klaffende Wunde, sie ist kein ausreichender Ansatz. Wir haben die Unzulänglichkeiten früherer Verordnungen wie der DSGVO erlebt, bei denen die Einhaltung der Vorschriften oft echte Sicherheitsmaßnahmen überschattete.“, so Grolnick weiter.

Die DSGVO wurde erlassen, um den Datenschutz für Nutzer zu verbessern. Die Idee war, Cookies zu minimieren, die alle Nutzerbewegungen verfolgen. In der Praxis hat sie dieses Ziel jedoch verfehlt. Anstatt eine Website zu besuchen und heimlich verfolgt zu werden, haben die Nutzer jetzt das Privileg, Cookies zu akzeptieren und wissentlich verfolgt zu werden. Der Punkt ist, dass die Verordnung das Tracking nicht eingedämmt hat, sondern stattdessen das Surferlebnis für viele beeinträchtigt und die Unternehmen Millionen kostete.

Anstatt das Tracking abzuschaffen, haben die Unternehmen Geld investiert, um die Nutzer darauf hinzuweisen, dass es stattfindet. Das Risiko besteht darin, dass Unternehmen die Verordnung teilweise erfüllen, indem sie angemessene Sicherheitsmaßnahmen in Bezug auf Design, Entwicklung, Bereitstellung und Support-Mechanismen ergreifen, aber nicht wirklich versuchen, das Hacking-Problem zu lösen, und so unter dem Radar fliegen können.

„Was wir nicht brauchen, ist eine weitere Verordnung, die die Hersteller dazu zwingt, die Vorschriften einzuhalten, ohne sich wirklich darauf zu konzentrieren, ihre Cybersicherheitslage zu verbessern, da wir immer mehr miteinander vernetzt sind.“, verdeutlicht Grolnick die Situation. „Der EU CRA wird die Unternehmen zwar zum Nachdenken darüber anregen, wie sie das Internet der Dinge nutzen, aber es wird nur eine minimale Anforderung zur Einhaltung geben, und genau darin liegt das Problem.“

Prioritäten richtig setzen: Die Cybersicherheit in einer IoT-Umgebung gehört an die erste Stelle

Bei jedem Produkt, das „intelligenter (smarter)“ wird, müssen die daraus resultierenden Schwachstellen berücksichtigt werden. Wenn Verbraucher Gegenstände in ihr Haus bringen, die eine Verbindung zu ihrem Smartphone oder ihrem WLAN erfordern, können sie letztlich auch Kriminellen Zugang zu ihrem Haus verschaffen.

„Sind der Geschirrspüler, die Lautsprecher oder intelligente Türschlösser über das Internet oder mehrere APIs (Application Programming Interfaces oder Programmierschnittstellen) mit dem Smartphone verbunden, dann ist diese Verbindung ein gefundenes Fressen für Hacker, ebenso wie alle Datenpakete, die über diesen Kanal übertragen werden – persönliche Daten, Geolokalisierungsdaten, Netzwerkzugriff, Gerätesteuerung und vieles mehr. Innovation ist großartig, aber nicht ohne Standards. Sicherheit und Schutz müssen die Innovation untermauern, wenn sie effektiv sein soll – und das deutlich mehr als es der Norm entspricht.“, so Grolnick.

Lieferkettenbedrohung durch Hackerangriffe

Im Jahr 2023 wurden die Nachrichten von einer Reihe heftiger Cyberangriffe überschwemmt, die einen deutlichen Trend ankündigen: Hackerangriffe in der Lieferkette. Hier nutzen Cyberkriminelle Schwachstellen in Systemen von Drittanbietern aus, um an wertvolle Daten und Kundenwerte zu gelangen.

Der vernetzte Charakter von IoT-Implementierungen, an denen oft mehrere Unternehmen und komplexe Liefernetzwerke beteiligt sind, erfordert APIs für die Kommunikation zwischen Geräten, Anwendungen und Systemen. APIs sind eine äußerst unzureichend geschützte Angriffsfläche, was sie zu einem bevorzugten Ziel für Angreifer und zu einem erheblichen Risiko beim IoT-Einsatz macht. Böswillige Akteure können Zero-Day-Schwachstellen, Schwachstellen in Authentifizierungsmechanismen und Gateway-Schutzmaßnahmen ausnutzen, um auf die wertvollen Informationen zuzugreifen, die APIs enthalten. Dazu gehören auch personenbezogene Daten.

APIs schützen und Sicherheitsmängel beseitigen

Der CRA will unter anderem IoT-Hersteller dazu bringen, sich ernsthafter mit der Cybersicherheit auseinanderzusetzen und wirkungsvolle Schritte zum Schutz der Verbraucherdaten herbeizuführen. Das bedeutet, dass sie mehr als nur das Nötigste tun müssen, um die Anforderungen zu erfüllen.

Die Hersteller müssen der Integration robuster Authentifizierungsmechanismen wie kryptografischer Schlüssel, Zertifikate oder biometrischer Authentifizierung Vorrang einräumen, um den unbefugten Zugriff auf Geräte und Funktionen zu verhindern. Authentifizierungsprotokolle wie rollenbasierte Zugriffskontrollen sollten bereits in der Entwicklungsphase von IoT-Geräten festgelegt werden. Darüber hinaus liegt es in der Verantwortung der Hersteller, die Betriebssoftware auf dem neuesten Stand zu halten, um Schwachstellen zu beheben und Zero-Day-Exploits zu verhindern.

Sich nur auf den Schutz der Außengrenzen zu verlassen, ist aufgrund der zunehmenden Raffinesse der Bedrohungsakteure unzureichend. Da die Hersteller Zugriff auf die Benutzeraktivitäten haben, können sie diese aktiv protokollieren und überwachen, um bösartige Aktivitäten zu erkennen, bevor sie vom Netzwerk auf die Produktionsumgebung übertragen werden können. Durch die Überwachung von API-Aufrufen können Hersteller beispielsweise Einblicke in die Datenbewegungen innerhalb ihrer Netzwerke gewinnen und so physische Schäden durch kompromittierte IoT-Geräte verhindern.

Kostenfalle Sicherheit

Sicherheit wird oft als kostspieliges Hindernis für die Fertigung angesehen, die Prozesse verlangsamt und Lieferzeiten beeinträchtigt. Das muss jedoch nicht so sein. Die Verbesserung von Prozessen durch Daten-Dashboards, die es Unternehmen ermöglichen, ihre Sicherheit zu überprüfen und nachzuweisen, aber auch einen geschäftlichen Nutzen zu erzielen, wird unterschätzt und ist, offen gesagt, eine Investition, die sich für Unternehmen lohnt.

24 Milliarden vernetzte Geräte in 2050

Da die Zahl der vernetzten Geräte bis 2050 weltweit voraussichtlich 24 Milliarden erreicht, vergrößert die Verbreitung des IoT die Angriffsflächen für Hacker rapide. Regulierungsrahmen wie der CRA, die darauf abzielen, branchenweite Standards für die IoT-Herstellung festzulegen, spielen eine entscheidende Rolle bei der Förderung des Bewusstseins für Cybersicherheit auf Unternehmensebene.

„Die Umsetzung erfordert eine enge Zusammenarbeit zwischen Herstellern, politischen Entscheidungsträgern und Cybersicherheitsexperten. Es ist dringend erforderlich, aus den Fallstricken der DSGVO zu lernen und sicherzustellen, dass der EU CRA Unternehmen tatsächlich dazu ermutigt, der Cybersicherheit Priorität einzuräumen und ihre Widerstandsfähigkeit zu stärken.“, so Grolnick abschließend.

Ein Beitrag von unserem Gastautor Harold Butzbach, Director Sales für Zentraleuropa at Sysdig Germany GmbH

[datensicherheit.de, 10.06.2024] Im Zuge der digitalen Transformation und der verstärkten Nutzung von Cloud-Technologien sehen sich Unternehmen mit neuen Herausforderungen in Bezug auf Cloud-Sicherheit und Compliance konfrontiert. Es steht die zentrale Frage im Raum, wie sich die Sicherheitsanforderungen in einer hybriden Cloud-Umgebung entwickeln und welche Lösungen zur Verfügung stehen, um diesen Anforderungen gerecht zu werden.

Harold Butzbach, Director Sales für Zentraleuropa at Sysdig Germany GmbH, Bild: Sysdig

Von der „Burg“ zum „Vergnügungspark”

Traditionelle Rechenzentren mit monolithischen Anwendungen können als Burgen mit einem festen Perimeterschutz betrachtet werden. Mit dem Übergang zu Multi-Cloud- und Microservices-Architekturen hat sich dieses Bild jedoch stark verändert. Heutige IT-Infrastrukturen ähneln eher einem Vergnügungspark mit ständig wechselnden Attraktionen. In diesem dynamischen Umfeld müssen Sicherheitsmaßnahmen flexibler und umfassender sein.

Der Übergang von monolithischen zu Cloud-nativen Anwendungen birgt sowohl Chancen als auch Risiken. Während Microservices eine höhere Skalierbarkeit und Agilität ermöglichen, vergrößern sie gleichzeitig die Angriffsfläche. Jeder Service kann potenziell ein Einfallstor für Angreifer sein. Daher ist es unerlässlich, Sicherheitsstrategien zu entwickeln, die diese neuen Paradigmen berücksichtigen und anpassen.

Herausforderungen und Lösungsansätze

Ein zentrales Thema ist die Notwendigkeit, nicht nur interne Vorgaben, sondern auch externe Regularien und Compliance-Anforderungen zu erfüllen. Hier ist es essenziell, sich flexibel an die unterschiedlichen, spezifischen Anforderungen anpassen zu können. Zu den relevanten Regularien zählen unter anderem NIS2, DORA und PCI.

Gerade in stark regulierten Branchen wie dem Finanz- oder Gesundheitssektor sind Compliance-Anforderungen von besonderer Bedeutung. Unternehmen müssen sicherstellen, dass ihre Sicherheitslösungen den entsprechenden Standards entsprechen, um Bußgelder und Reputationsverluste zu vermeiden. Eine Plattform, die regelmäßig aktualisiert wird und neue Bedrohungen und Compliance-Anforderungen berücksichtigt, ist dabei von unschätzbarem Wert.

Ein weiterer wichtiger Aspekt ist die Geschwindigkeit, mit der auf Sicherheitsvorfälle reagiert werden muss. Die 5/5/5-Faustregel – fünf Sekunden für die Erkennung, fünf Minuten für die Korrelation der Erkenntnisse und das Verständnis der
Vorgänge und weitere fünf Minuten für die Reaktion – bietet hier eine gute Orientierung. In einer Cloud-Umgebung, in der sich Bedrohungen schnell verbreiten können, ist eine schnelle Reaktionszeit von entscheidender Bedeutung.

Shift Left und Shield Right

Der „Shift Left and Shield Right“-Ansatz betont die Bedeutung von proaktiven Sicherheitsmaßnahmen in der Entwicklungsphase und reaktiven Schutzmaßnahmen zur Laufzeit. Echtzeittransparenz und kontinuierliche Überwachung sind entscheidend, um sowohl Compliance als auch Sicherheit in der Cloud zu gewährleisten.

„Shift Left“ bedeutet, dass Sicherheitsmaßnahmen so früh wie möglich im Entwicklungszyklus implementiert werden. Dazu gehören automatisierte Tests und Sicherheitsüberprüfungen in der CI/CD-Pipeline. Durch die frühzeitige Erkennung von Schwachstellen können Entwickler schnell reagieren und potenzielle Sicherheitsprobleme beheben, bevor sie in die Produktionsumgebung gelangen.

„Shield Right“ bezieht sich auf die kontinuierliche Überwachung und den Schutz der Produktionsumgebung. Durch Echtzeiteinblicke können Sicherheitsteams verdächtige Aktivitäten sofort erkennen und darauf reagieren. Die Integration von Technologien des maschinellen Lernens spielt dabei eine wichtige Rolle, um Anomalien zu identifizieren und False Positives zu minimieren.

Plattformansatz vs. Einzellösungen

Ein weiterer Ansatz, der immer wieder in den Vordergrund rückt, ist der Vorteil einer umfassenden Plattform gegenüber einzelnen Sicherheitslösungen. Eine Plattform bietet eine konsolidierte Sicht und ermöglicht eine effizientere Verwaltung und Reaktion auf Bedrohungen. Dies ist besonders wichtig in Zeiten akuten Fachkräftemangels im Bereich der Cybersicherheit, in denen Unternehmen zur Kompensation dessen auf die Expertise externer Experten und intelligente Lösungen angewiesen sind.

Einzellösungen können spezifische Probleme zwar gut lösen, erfordern aber oft eine separate Verwaltung und Integration, was den Betrieb komplex und fehleranfällig machen kann. Eine integrierte Plattform hingegen konsolidiert Sicherheitsfunktionen und -daten, bietet eine einheitliche Benutzeroberfläche und ermöglicht eine koordinierte Reaktion auf Vorfälle. Dies führt zu einer höheren Effizienz im Umgang mit den Ressourcen – Fachkräfte und deren Fachwissen einbezogen – und einer insgesamt besseren Sicherheitslage.

Fazit

Die Sicherheitslandschaft entwickelt sich ständig weiter und stellt Unternehmen vor neue Herausforderungen. Sie müssen auf eine Kombination aus proaktiven und reaktiven Sicherheitsmaßnahmen zurückgreifen, um sicher und und Anforderungskonform in einer hybriden Cloud-Welt zu agieren. Mit einer Plattformlösung, die Echtzeiteinblicke bietet und flexibel anpassbar ist, können sie dabei sicherstellen, dass man Angreifern immer einen Schritt voraus ist.

Ein umfassender Sicherheitsansatz, der sowohl die Entwicklungs- als auch die Betriebsphase abdeckt, ist unerlässlich, um den Herausforderungen moderner IT-Infrastrukturen gerecht zu werden. Mit den richtigen Ansätzen kann sichergestellt werden, dass man für die sich ständig ändernden Bedrohungen und Compliance-Anforderungen bestens gerüstet ist. Kurzum: Wer mit der nötigen Umsicht und Weitsicht an das Thema Sicherheit herantritt, der kann auch einen Vergnügungspark so widerstandsfähig gestalten, wie es früher nur Burgen waren.

Über den Autor

Harold Butzbach, Director Sales for Central Europe at Sysdig Germany GmbH ist ein sehr erfahrener IT-Vertriebsexperte. Im Laufe seiner Karriere konnte er umfangreiche Erfahrungen im Bereich Data Center und Cloud Computing sammeln. Aktuell liegt sein Fokus darauf, Unternehmen bei der Einführung und Umsetzung von ganzheitlichen Cyber Security Lösungen zu unterstützen.