[datensicherheit.de, 08.10.2025] „Sicherheitsforscher warnen vor einer gezielten Welle von ,Spear Phishing’-Angriffen, die insbesondere Führungskräfte und leitende Angestellte in verschiedenen Branchen ins Visier nehmen“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Die Angreifer tarnen ihre Nachrichten demnach als Benachrichtigungen zur Freigabe von „OneDrive“-Dokumenten und versehen sie mit Betreffzeilen wie „Gehaltsänderung“ oder „FIN_SALARY“.

Foto: KnowBe4

Dr. Martin J. Krämer rät Unternehmen, für das „Human Risk Management“ Sicherheitsbewusstsein als festen Bestandteil der Unternehmenskultur zu verankern

Klick auf „Spaer Phishing“-Link führt Empfänger auf täuschend echt gestaltete Anmeldeseite

Krämer erläutert: „Ein Klick auf den enthaltenen Link führt die Empfänger auf eine täuschend echt gestaltete Anmeldeseite von ,Microsoft Office’ beziehungsweise ,OneDrive’.“

Er führt weiter aus: „Dort werden die Zugangsdaten abgefragt, die dann den Angreifern in die Hände fallen. Laut den Forschern erhöhen personalisierte Details – etwa der Name des Empfängers oder konkrete Unternehmensinformationen – zusätzlich die Glaubwürdigkeit dieser Mails.“

Wirksamkeit von Phishing-Filtern wird deutlich gemindert

Eine Besonderheit der Kampagne sei der Einsatz manipulierter Schaltflächentexte, mit denen die Angreifer Erkennungssysteme umgehen könnten. So erscheine für Anwender im Hellmodus lediglich das Wort „Öffnen“, während die dahinterliegenden Zeichenfolgen unsichtbar blieben.

Im Dunkelmodus jedoch träten Zufallskombinationen wie „twPOpenHuxv“ oder „gQShareojxYI“ zutage. Dadurch würden Schlüsselbegriffe wie „Öffnen“ und „Teilen“ aufgebrochen, was die Wirksamkeit von Filtern, die auf regulären Zeichenfolgen beruhten, deutlich reduziere.

Handlungsempfehlungen für Unternehmen zur Abwehr solcher „Spear Phishung“-Angriffe:

• Sensibilisierung von Führungskräften und Assistenten
  Besonders exponierte Zielgruppen sollten über die aktuelle Kampagne informiert sein. Realistische Betreffzeilen und personalisierte Daten steigerten die Überzeugungskraft der Angriffe erheblich.
• Skepsis bei unerwarteten Dokumenten
  Mitarbeiter sollten stets vorsichtig sein, wenn sie Links oder Dateien zu Personal- oder Gehaltsangelegenheiten erhalten – insbesondere von externen Absendern.
• Klare Meldewege für verdächtige E-Mails
  Unternehmen sollten sicherstellen, dass auffällige Nachrichten schnell an die Sicherheitsabteilung weitergeleitet werden, um Gegenmaßnahmen zeitnah einzuleiten.
• Gezielte Schulungen
  Auch Assistenten der Geschäftsleitung und enge Kollegen seien bevorzugte Ziele. Sie benötigten dieselbe Aufmerksamkeit in „Awareness“-Trainings wie Führungskräfte selbst.

Aktuelle „Spear Phishing“-Angriffswelle verdeutlicht Missbrauch psychologischer Hebel und vertraulicher Informationen

Diese aktuelle Angriffswelle verdeutliche, wie stark Cyberkriminelle psychologische Hebel und vertrauliche Informationen einsetzten, um Vertrauen zu erschleichen. Für das „Human Risk Management“ ergebe sich daraus die Notwendigkeit, Sicherheitsbewusstsein als festen Bestandteil der Unternehmenskultur zu verankern.

„Neben technischen Abwehrmaßnahmen spielt dabei die kontinuierliche Sensibilisierung aller Mitarbeitenden – insbesondere in Personal- und Managementfunktionen – eine entscheidende Rolle“, gibt Krämer abschließend zu bedenken.

Weitere Informationen zum Thema:

knowbe4
Ein Boost für Ihre Sicherheitskultur

knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer

datensicherheit.de, 05.03.2025
Spear Phishing-Angriffe: OT-Systeme der Fertigungsbranche am häufigsten betroffen / „Spear Phishing“-E-Mails werden versandt, welche das Opfer zur Begleichung einer ausstehenden Rechnung auffordern

datensicherheit.de, 20.12.2018
Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar / Angriff über kompromittiertes E-Mail-Konto eines Mitarbeiters

datensicherheit.de, 18.08.2016
CEO-Fraud, Whaling und Spearphishing bisher fast nicht zu unterbinden / „Hornetsecurity Advanced Threat Protection“ soll nun das Einfallstor E-Mail für hochkomplexe und ausgeklügelte Angriffe schließen

[datensicherheit.de, 24.05.2025] Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, benennt Künstliche Intelligenz (KI) als strategischen Wendepunkt für die Informationssicherheit: Die technologische Entwicklung im KI-Bereich habe in den letzten Jahren „ein beispielloses Tempo“ erreicht. Diese Dynamik verändere nicht nur Geschäftsmodelle und Prozesse, sondern stelle auch die Cybersicherheit vor völlig neue Herausforderungen. Eggerling betont: „Für ,CISOs’, ,CIOs’ und andere Entscheidungsträger bedeutet dies: Strategien, Prozesse und Kontrollmechanismen müssen neu bewertet und konsequent weiterentwickelt werden, insbesondere im Kontext der aufkommenden Agenten-KI.“

Foto: Check Point Software

Marco Eggerling: Der Schutz der Unternehmenswerte im Zeitalter der Agenten-KI ist mehr als ein rein technisches Problem – sondern Führungsaufgabe im Kontext eines Kulturwandels

Agenten-KI als „Januskopf“ – neue Möglichkeiten und neue Angriffsflächen

Auf Agenten basierte KI-Systeme verfügten über die Fähigkeit, autonom zu agieren, Entscheidungen zu treffen und komplexe Aufgaben ohne menschliches Zutun durchzuführen.

• „Diese Systeme versprechen erhebliche Effizienzgewinne in der Sicherheitsarchitektur – insbesondere bei der Identifikation, Analyse und Abwehr von Bedrohungen in Echtzeit. Gleichzeitig jedoch erhöhen sie auch die Komplexität und erfordern klare Leitplanken: Transparenz, Auditierbarkeit und die Möglichkeit manuellen Eingreifens müssen jederzeit gewährleistet sein.“

Der unkontrollierte Einsatz autonomer Agenten ohne menschliche Kontrollinstanz oder Notabschaltung stelle ein nicht zu unterschätzendes Risiko dar, unabhängig von ihrer Skalierbarkeit oder Intelligenz. Nur unter Einhaltung strenger „Governance“-Prinzipien könne Agenten-KI zur tragenden Säule einer zukunftsfähigen Sicherheitsarchitektur werden.

Altbekannte Angriffsmethoden nutzen neue KI-Technologien

„Trotz KI-gestützter Innovationen bedienen sich Angreifer weiterhin altbewährter Methoden: Phishing, gestohlene Zugangsdaten und ,Social Engineering’ bleiben die häufigsten Angriffsvektoren.“

• Die Herausforderung liege heute darin, diese bekannten Angriffsmuster mit neuen, lernfähigen Systemen schneller und präziser zu erkennen bevor sie Schaden anrichten.

„Der Einsatz von KI-Agenten zur Mustererkennung, Angriffsprävention und automatisierten ,Incident Response’ kann hier entscheidende Vorteile bieten. Besonders bei Zero-Day-Angriffen oder polymorphen Bedrohungen ermöglicht die Geschwindigkeit maschineller Reaktionen einen wirksamen Schutz, der über klassische Abwehrmaßnahmen hinausgeht.“

Adaptive, KI-gestützte Sicherheitskonzepte – identitätsbasiert, kontextsensitiv und skalierbar

Mit der zunehmenden Verlagerung geschäftskritischer Prozesse in die „Cloud“, der Nutzung hybrider IT-Architekturen sowie dem Siegeszug von „Edge“- und IoT-Geräten werde die digitale Angriffsfläche immer fragmentierter.

• Eggerling unterstreicht: „Sicherheit muss heute in jedem Layer und auf jeder Plattform durchsetzbar sein – unabhängig davon, ob Systeme zentral, verteilt oder mobil betrieben werden!“

Für „CISOs“ bedeute dies, dass klassische perimeterbasierte Schutzmodelle endgültig ausgedient hätten. Stattdessen brauche es adaptive, KI-gestützte Sicherheitskonzepte, welche identitätsbasiert, kontextsensitiv und skalierbar sind – und dabei die Geschwindigkeit und Intelligenz der Angreifer auf Augenhöhe kontern könnten.

Angriffsdynamik nimmt zu: KI-gestützte Attacken mit Maschinengeschwindigkeit

Ein zentrales Merkmal von KI-getriebenen Angriffen sei deren Geschwindigkeit. Die Zeitspanne zwischen der Kompromittierung eines Systems und der vollständigen Eskalation eines Vorfalls schrumpfe dramatisch – von Stunden oder Minuten auf Mikrosekunden.

• „Angreifer setzen zunehmend auf eigene KI-Agenten, um Verteidigungsmechanismen in Echtzeit zu umgehen!“, warnt Eggerling.

Für die Abwehr bedeutet das: „Reaktionszeiten müssen automatisiert und Sicherheitslösungen auf maschinelles Tempo ausgelegt sein. Klassische Security-Appliances werden dabei nicht obsolet; im Gegenteil: Ihr Wert steigt in Kombination mit intelligenten Agenten, die Angriffe proaktiv erkennen und blockieren können.“

Agenten-KI: Verantwortungsvolle Nutzung erfordert mehr als nur technologische Exzellenz

Um das volle Potenzial von Agenten-KI verantwortungsvoll zu nutzen, brauche es mehr als nur technologische Exzellenz.

• Branchenweite Standards, Interoperabilität und regulatorische Klarheit seien ebenso notwendig wie eine enge Zusammenarbeit zwischen Industrie, Forschung und staatlichen Institutionen. „Nur durch eine koordinierte Anstrengung lassen sich Sicherheitsmechanismen schaffen, die nicht nur reaktiv schützen, sondern proaktiv verhindern – selbst gegen bislang unbekannte Bedrohungen.“

Die Vision: KI-Agenten, die Bedrohungsdaten weltweit in Echtzeit teilen, voneinander lernen und Angriffe verhindern, bevor sie überhaupt stattfinden können.

Empfehlungen für eine Strategie zur Etablierung einer resiliente, KI-gestützte Zukunft der Cybersicherheit

Die Verschmelzung von KI, „Cloud“ und Cybersicherheit markiere einen strategischen Wendepunkt für Unternehmen weltweit. Für „CISOs“ und Sicherheitsentscheider bestehe die Herausforderung darin, nicht nur auf diese Veränderungen zu reagieren, sondern sie aktiv zu gestalten. Dazu gehört laut Eggerling:

• Die Etablierung skalierbarer, KI-unterstützter Sicherheitsarchitekturen.
• Die Einführung klar definierter Leitplanken für autonome Systeme.
• Die Förderung branchenweiter Zusammenarbeit und Standardisierung.
• Die konsequente Integration von KI in alle Prozesse der Cyberabwehr, von „Detection & Response“ bis zur strategischen Risikobewertung.

Eggerlings Fazit: „Der Schutz der digitalen Unternehmenswerte im Zeitalter von Agenten-KI ist kein technisches Problem allein, es ist eine Führungsaufgabe und er folgt einem Kulturwandel.“

Weitere Informationen zum Thema:

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

datensicherheit.de, 12.05.2025
Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor / In naher Zukunft ist mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden

[datensicherheit.de, 04.04.2024] Die 2021 gegründete Initiative hinter dem „Identity Management Day“ möchte am 9. April Führungskräfte und IT-Entscheider über die Bedeutung des Identitätsmanagements aufklären. Der Themenkreis reicht demnach von „Governance“ über bewährte Sicherheitsverfahren bis hin zu Prozessen und Technologien – mit besonderem Augenmerk auf die Gefahren, wenn Identitäten und Zugangsdaten nicht ordnungsgemäß gesichert werden.

Foto: Venafi

Kevin Bocek: Der Schutz und die Authentifizierung von Maschinenidentitäten wird immer wichtiger!

Identitäten von Mitarbeitern, Maschinen, Anwendungen und Partnern gilt es zu schützen

Hinter der Initiative stehen nach eigenen Angaben die National Cybersecurity Alliance und die Identity Defined Security Alliance (IDSA). Beteiligten auf allen Ebenen sollen Leitlinien an die Hand gegeben werden.

So könne sichergestellt werden, dass die Identitäten von Mitarbeitern, Maschinen, Anwendungen und Partnern durch „Security Awareness“, bewährte Verfahren und leicht verfügbare Technologien geschützt werden.

Geschützte Identitäten als sichere Grundlage unseres digitalen Lebens

„Identitäten sind die Grundlage für unser digitales Leben. Der Tag des Identitätsmanagements erinnert zur rechten Zeit daran, wie wichtig die Identität nicht nur für Menschen, sondern auch für Maschinen ist“, betont Kevin Bocek, „Chief Innovation Officer“ bei Venafi, in seinem Kommentar.

Maschinenidentitäten spielten angesichts der sich dynamisch entwickelnden Cyber-Bedrohungen eine zentrale Rolle und seien die Grundlage des Vertrauens in der heutigen digitalen Welt. Eine manuelle Verwaltung von Maschinenidentitäten habe in den letzten Jahren eine wichtige Rolle bei einigen der größten Sicherheitsverletzungen gespielt.

Authentifizierung von Maschinenidentitäten immer wichtiger

In der modernen IT-Landschaft revolutionierten Künstliche Intelligenz (KI), Maschinelles Lernen (ML) und automatisierte Systeme sowohl den Betrieb als auch die Bedrohungen:

„Hier ist es entscheidend, die Authentizität und Sicherheit dieser Technologien zu gewährleisten. Da wir uns weiter auf eine Post-Quantum-Welt zubewegen, wird der Schutz und die Authentifizierung von Maschinenidentitäten immer wichtiger werden“, so Boceks Fazit

Weitere Informationen zum Thema:

NATIONAL CYBERSECURITY ALLIANCE, 18.03.2024
Programs / Identity Management Day April 9, 2024

IDENTITY DEFINED SECURITY ALLIANCE, Jeff Reich & Courtney Keogh
Identity Management Day 2024 Preview / April 4th, 2024, 9:00am PT/12:00pm ET

[datensicherheit.de, 19.10.2020] Eine wesentliche, indes im Kontext der Malware- und Hacker-Attacken viel zu selten beachtete Säule der Datensicherheit ist die Verfügbarkeit – hierzu gehören nicht nur das Vorhandensein und Funktionieren sämtlicher IT-Komponenten, sondern auch verlässliches Fachpersonal. Laut einer aktuellen Meldung aus dem Hause Robert Half, einem nach eigenen Angaben weltweit tätigen, spezialisierten Personaldienstleister für Fach- und Führungskräfte u.a. auch im IT-Bereich, fürchten Führungskräfte den Verlust wertvoller Mitarbeiter: Seit Beginn der „Corona“-Krise nehme die Sorge zu, „hochqualifizierte Mitarbeiter nicht ans Unternehmen binden zu können“.

Abbildung: Robert Half

Gehaltsübersicht 2021: Neue Benefits im Zuge der Corona-Pandemie

Sorge um Mitarbeiter mit wertvollen Schlüsselqualifikationen

Im Kontext der „Corona“-Krise sorgten sich Unternehmen vermehrt davor, Mitarbeiter mit wertvollen Schlüsselqualifikationen zu verlieren. Dies gelte sowohl für Deutschland als auch im internationalen Vergleich, wie die aktuelle Arbeitsmarktstudie des Personaldienstleisters zeige.
80 Prozent der deutschen Führungskräfte seien besorgt, qualifizierte Mitarbeiter nicht langfristig binden zu können.
Für rund ein Drittel der besorgten Arbeitgeber (31%) seien jüngste Gehaltskürzungen oder zumindest die fehlende Aussicht auf eine baldige Gehaltserhöhung die Ursache.

Größtenteils stabile Gehälter für qualifizierte Mitarbeiter

„Trotz spürbarer Verunsicherung auf dem internationalen Arbeitsmarkt, gibt es auch gute Nachrichten“, berichtet Sven Hennige, „Senior Managing Director Central Europe & France“ bei Robert Half.
Die Gehälter blieben trotz „Corona“ weitestgehend stabil. Laut der neuen Gehaltsübersicht 2021 des Personaldienstleisters hätten 44 Prozent der befragten Arbeitgeber 2020 keine Veränderung am Gehalt vorgenommen. Knapp ein Drittel der Befragten (29%) gebe an, dass sie die Gehälter seit Beginn der Pandemie sogar erhöht hätten.
Trotz Wirtschaftskrise würden auch 2020 Boni ausgezahlt. Bei etwa jedem Dritten gebe es laut Studie keine Veränderung bei den Zusatzzahlungen, elf Prozent wollten sogar einen höheren Betrag gewähren. 46 Prozent der Befragten kündigten allerdings an, dass die Bonuszahlungen 2020 niedriger ausfielen als 2019.

Neue Zusatzleistungen zur Mitarbeiter-Bindung

Diese Einsparmaßnahmen verunsicherten Arbeitgeber und Arbeitnehmer gleichermaßen. 42 Prozent der befragten Unternehmen fürchteten, dass Mitarbeiter in Schlüsselpositionen von anderen Firmen abgeworben werden könnten. „Die Mitarbeiter sind das wertvollste Kapital eines Unternehmens, sowohl um kurzfristig die Krise zu meistern als auch um langfristiges Unternehmenswachstum zu sichern“, unterstreicht Hennige.
Viele Arbeitnehmer seien während der „Pandemie“ aufgrund von Überstunden und der Übernahme von mehr Verantwortung an ihre Grenzen gestoßen. „Das ist ihnen in den vergangenen Monaten bewusst geworden, so dass sie beginnen, ihre persönlichen Karriereprioritäten zu überdenken.“ Um wichtige Mitarbeiter zu halten und für neue Talente attraktiv zu bleiben, dürften Arbeitgeber das auf keinen Fall ignorieren. Hennige rät: „Sie sollten regelmäßig ihre Vergütungen auf den Prüfstand stellen und bereit sein, bei der Bindung und der Suche von Mitarbeitern schnell zu handeln.“
Viele Unternehmen reagierten bereits auf diese Entwicklung. Fast zwei Drittel der befragten Führungskräfte (60%) hätten seit Beginn der Pandemie neue Zusatzleistungen für Arbeitnehmer eingeführt, wie zusätzlichen Urlaub (40%), Zuschüsse für die Büroausstattung (40%), oder Unterstützung im Bereich der psychischen Gesundheit (39%) und der externen Kinderbetreuung (30%).

Mitarbeier im Home-Office: Standort bestimmt zunehmend Gehaltshöhe

Telearbeit und Home-Office wirkten sich auch auf das Gehaltsniveau aus. Da immer mehr Arbeitnehmer von zu Hause aus arbeiteten, beeinflusse ihr Standort zunehmend die Gehaltshöhe in Deutschland. Laut der vorliegenden Arbeitsmarktstudie orientiere sich das Einstiegsgehalt in erster Linie am Standort des neuen Mitarbeiters (39%) und zu 30 Prozent an dem des Unternehmens. Bei ebenfalls etwa 30 Prozent der Befragten sei es eine Mischung aus beiden Standorten.
Vergleiche man die deutschen Ergebnisse mit den internationalen Zahlen, ließen sich insgesamt viele Gemeinsamkeiten erkennen. Mit 86 Prozent aller Befragten sei die Sorge, wertvolle Mitarbeiter zu verlieren, international noch größer als in Deutschland. Auch international zeige sich: Für rund ein Drittel aller Führungskräfte sei eine zu niedrige Vergütung oder die fehlende Aussicht auf eine Gehaltserhöhung der Grund dafür.
„Es wird deutlich, dass die Krise keine Ländergrenzen kennt und weltweit ein hoher Bedarf an Fachkräften besteht. Entsprechend groß ist die Sorge, wichtige Mitarbeiter zu verlieren und passende Bewerber zu finden“, erläutert Hennige.

Weitere Informationen zum Thema:

Robert Half
Gehaltsübersicht 2021 / Recruiting-Trends und durchschnittliche Gehälter

datensicherheit.de, 21.08.2019
Digitaler Wandel: Führungskräfte mit Vorbildfunktion

[datensicherheit.de, 29.04.2020] KnowBe4 veröffentlicht die Ergebnisse der Studie mit dem Titel „The Rise of Security Culture“. Im November 2019 wurde Forrester Consulting mit der Evaluierung der Sicherheitskultur in globalen Unternehmen beauftragt. Forrester führte eine Online-Umfrage mit 1.161 Befragten durch, die mindestens Führungsaufgaben im Sicherheits- oder Risikomanagement wahrnehmen. Die Studie ergab, dass Führungskräfte den Wert einer starken Sicherheitskultur kennen, aber mit der Geschwindigkeit der wirtschaftlichen Entwicklung Schwierigkeiten bei der Definition und Umsetzung haben.

Bild: KnowBe4

Perry Carpenter, Chief Evangelist und Strategy Officer von KnowBe4

„KnowBe4 verfügt weltweit über die meisten Daten zur Sicherheitskultur aller Organisationen. Dies ist der Beginn unserer Bemühungen, noch mehr Forschung im Zusammenhang mit der Sicherheitskultur zu entwickeln“, sagt Perry Carpenter, Chief Evangelist und Strategy Officer von KnowBe4. „Unser Ziel ist es, den Führungskräften im Sicherheitsbereich nicht nur dabei zu helfen, die Nuancen zu verstehen, die mit dem zusammenhängen, was Sicherheitskultur tatsächlich beinhaltet, sondern auch praktische Strategien anzubieten, um zu verstehen, wie ihre Sicherheitskultur im Vergleich zu der in anderen Organisationen aussieht und was sie tun können, um diese zu verbessern.“

„Als jemand, der eine ganze Organisation auf der Grundlage einer Sicherheitskultur aufgebaut hat, kann ich viele der Facetten des Aufbaus und der Aufrechterhaltung einer erfolgreichen Sicherheitskultur innerhalb einer Organisation einschätzen“, sagt Kai Roer, Befürworter der Sicherheitskultur, KnowBe4 und Geschäftsführer von CLTRe. „Diese Studie hat uns gezeigt, dass eine starke Sicherheitskultur eine Geschäftspriorität ist, an deren genauer Definition die Führungskräfte noch arbeiten. Das vielleicht überraschendste Ergebnis der Studie war, dass Geschäftsprinzipien, nicht Risikominderung, die Hauptmotivation für den Aufbau einer starken Sicherheitskultur war.“

Zu den wichtigsten Ergebnissen gehören:

• Sicherheit ist eine Geschäftspriorität, wobei 94 Prozent der Befragten angaben, dass die Sicherheitskultur wichtig für den Geschäftserfolg ist.
• Sicherheitskultur ist nicht allgemein definiert. Die Befragten wurden in fünf verschiedene Gruppen aufgeteilt, die alle ähnliche, aber unterschiedliche Definitionen von Sicherheitskultur haben.
• Die Entscheidungsträger sind in ihrer derzeitigen Sicherheitskultur zu selbstbewusst. 92 Prozent der Führungskräfte im Sicherheitsbereich gaben an, dass sie eine eingebettete Sicherheitskultur in ihren Organisationen haben; allerdings erleben dieselben Führungskräfte immer noch Sicherheitsvorfälle und müssen ihre Sicherheitsstrategien erst mit ihren allgemeinen Geschäftsstrategien zusammenführen.
• Eine starke Sicherheitskultur wird zu einer hohen Kundenzufriedenheit führen. 63 Prozent der Befragten erwarten eine Zunahme des Kundenvertrauens als Ergebnis einer gefestigten Kultur. Mehr als die Hälfte erwartet, dass sie den Wert ihrer Marken steigern wird.

Weitere Informationen zum Thema:

KnowBe4
Studie „The Rise of Security Culture“

datensicherheit.de, 20.01.2020
Allianz-Studie: Cybercrime als Sicherheitsrisiko Nummer 1

datensicherheit.de, 11.03.2014
Studie: BYOD-Trend hält an – Sicherheitskultur weiter mangelhaft

[datensicherheit.de, 21.08.2019] Der Digitale Wandel ist offensichtlich bereits in vollem Gange und bringt neue herausfordernde Möglichkeiten sowie Veränderungen für Unternehmen mit sich. Die aktuelle Arbeitsmarktstudie des Personaldienstleisters Robert Half zeigt nach dessen eigenen Angaben, dass über 80 Prozent der befragten Führungskräfte zuversichtlich sind, „den Digitalen Wandel mit dem aktuellen Führungsteam erfolgreich umzusetzen“. Gleichzeitig glaubten jedoch 70 Prozent von ihnen, dass es schwierig werde, Mitarbeiter in den neuen Technologien zu schulen – eine Diskrepanz zwischen Führungsetage und anderen Abteilungen, „die nur durch kluge und klare Kommunikation zu lösen ist“.

Digitaler Wandel und Unternehmenskultur mit starken Wechselwirkungen

„Um den Digitalen Wandel in der eigenen Unternehmenskultur wirklich zu vollziehen, muss auf allen Ebenen kommuniziert werden. Vorgesetzte haben die Aufgabe, die Vorteile der neuen Arbeitswelt für alle Mitarbeiter verständlich und zugänglich zu machen – im Idealfall ganz analog von Mensch zu Mensch“, empfiehlt Christian Umbs, „Managing Director“ bei Robert Half.

Offener Dialog, ständiger Informationsaustausch und Empathie als Erfolgsfaktoren

Die befragten Führungskräfte suchten bei der Umsetzung des Transformationsprozesses im Unternehmen vor allem nach Managern mit technologischem Verständnis (58%), sehr guten Kommunikationsfähigkeiten (51%) sowie technischem Know-how (45%). „Ein offener Dialog und stetiger Informationsaustausch gepaart mit Empathie werden über Erfolg und Misserfolg der Digitalen Transformation entscheiden“, so Umbs. Vor allem sollten die Mitarbeiter von ihren Führungskräften motiviert und in den Change-Prozess mit eingebunden werden.

Digitaler Wandel – Bereitschaft zur Weiterbildung grundlegend

Es gebe verschiedene Möglichkeiten, um die Bereitschaft der Belegschaft, sich auf etwas Neues einzulassen, zu fördern: Zwei Drittel der Unternehmen hätten bereits ihr Weiterbildungsbudget erhöht und böten ihren Mitarbeitern individuelle Trainings und Seminare. Zudem würden Weiterbildungskosten erstattet oder digitale Projektteams gebildet.

Externe Expertise in Entscheidungsfindung einbeziehen!

38 Prozent der befragten Führungskräfte sind demnach der Meinung, dass Manager die Fähigkeit besitzen sollten, Experten in ihre Entscheidungsfindung einzubeziehen, sich also von extern bei der Gestaltung der Digitalen Transformation beraten zu lassen. Erfahrene Interim-Manager für Digitalisierungsprojekte könnten notwendiges Wissen weitergeben, die Produktivität des existierenden Teams steigern und bei der Zielerreichung unterstützen.

Digitale Führerschaft nur über offene Kommunikation

„Über allem steht jedoch ,Communication first‘ – denn nur wer es schafft, technisches Know-how zu verbreiten, die Mitarbeiter zu überzeugen und den digitalen Kulturwandel in allen Bereichen des Unternehmens aktiv zu kommunizieren, kann sich selbst als digitalen Anführer bezeichnen“, sagt Umbs.

„Robert Half Arbeitsmarktstudie 2019“

Befragt worden seien 301 Manager mit Personalverantwortung:
„Welche sind die drei wichtigsten Fähigkeiten, um Ihre Abteilung erfolgreich in die digitale Zukunft zu führen?“

• Technologisches Verständnis 58%
• Kommunikationsfähigkeit 51%
• Technisches Know-how 45%
• Einbeziehung von Experten in die Entscheidungsfindung 38%
• Erfahrung im Veränderungsmanagement 38%
• Weniger hierarchisches Denken 36%
• Deligieren von Entscheidungen 31%

Weitere Informationen zum Thema:

datensicherheit.de, 08.08.2019
Ransomware: Das Netzwerk als effektivste Waffe Cyber-Krimineller

datensicherheit.de, 09.10.2017
Digitaler Wandel: Mehrheit der Bürger voller Hoffnung und Optimismus

[datensicherheit.de, 03.06.2019] Ein Jahr lang ist die Datenschutzgrundverordnung (DSGVO) nun endgültig in Kraft und es bleibt offensichtlich noch viel zu tun: Denn etwa ein Drittel der Führungskräfte (31 Prozent) wisse immer noch nicht, worum es in der DSGVO eigentlich geht, zwei Prozent hätten sogar noch nie davon gehört. Diese Erkenntnis entstammt der aktuellen Business-Studie der Brabbler AG zum Messenger- und Datenschutz in deutschen Unternehmen, an der nach eigenen Angaben 729 Berufstätige zwischen 20 und 60 Jahren teilgenommen haben. Nichtwissen sei in diesem Fall „fahrlässig“, denn bei Verstößen könnten die Landesdatenschutzbeauftragten gegen die betroffenen Unternehmen hohe Strafzahlungen verhängen.

Mehr als die Hälfte der Befragten sieht DSGVO als Hemmnis für die Arbeit

Mehr als die Hälfte der Mitarbeiter (54 Prozent) habe bereits Erfahrung mit der Verordnung gesammelt und sei der Meinung, „dass die DSGVO ihre Arbeit erschwert“. Im Öffentlichen Dienst betrage die Quote sogar 61 Prozent. Fast jeder vierte Befragte (24 Prozent) gebe an, monatlich zwischen fünf und zehn Stunden mit Themen rund um die DSGVO beschäftigt zu sein.

Datenschutzrechtlich problematische Lösungen noch häufiger genutzt als im Vorjahr

Ein weiteres aufschlussreiches Ergebnis der Studie: Trotz der hohen Aufwände sein datenschutzrechtlich problematische Lösungen wie „WhatsApp“ ein Jahr nach endgültigem Inkrafttreten der DSGVO sogar noch häufiger (53 Prozent) auf Geschäftsgeräten zu finden als im Mai 2018 (49 Prozent).

Abbildung: Brabbler AG

Ein Jahr DSGVO: Mangelndes Wissen, viel zusätzliche Arbeit und dennoch Lücken…

Weitere Informationen zum Thema:

ginlo
Studie der Brabbler AG Mai 2019 / Neuauflage: Ein Jahr mit der DSGVO – was hat sich in der digitalen Kommunikation geändert?

datensicherheit.de, 27.05.2019
DSGVO-Jahrestag: Viele Unternehmen tun sich immer noch schwer

datensicherheit.de, 25.05.2019
IT: Risiko trotz DSGVO in Deutschland weiterhin hoch

datensicherheit.de, 21.05.2019
Papier: Datenschutz gilt auch für analoge Daten

datensicherheit.de, 20.05.2019
DSGVO brachte mehr Datenhygiene und auch Bürokratie

datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt

datensicherheit.de, 10.04.2019
Art. 6 Abs. 1 b DSGVO: Leitlinien zur Interpretation verabschiedet

datensicherheit.de, 09.02.2019
DSGVO: Fast 60.000 Datenverstöße seit endgültigem Inkrafttreten

datensicherheit.de, 27.01.2019
13. Europäischer Datenschutztag: DSGVO gilt es besser zu machen

datensicherheit.de, 24.01.2019
Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen

datensicherheit.de, 30.11.2018
EU-DSGVO: Datenschutz als Chance

[datensicherheit.de, 25.09.2018] Datenschutz-Verstöße kosten Unternehmen weltweit Milliarden Euro, zerstören das Vertrauen in die betroffenen Unternehmen und können sich negativ auf Marke und Image auswirken – mit realen Folgen wie Kurseinbrüchen und Umsatzeinbußen. Vor diesem Hintergrund stellt sich die Frage, in wie weit ist das Thema Datensicherheit bei den Führungskräften angekommen ist. Ziehen sie mit den IT-Sicherheitsverantwortlichen am gleichen Strang, wenn es um Security geht? Um dies herauszufinden, hat Varonis 345 Vorstände und IT- und Sicherheits-Verantwortliche in den USA, UK, Frankreich und Deutschland befragt.

Die größten Sicherheits-Herausforderungen

Führungskräfte in Unternehmen teilen die gleichen Sorgen wie ihre Sicherheitsteams. Auf die Frage nach den drei wichtigsten Cybersicherheitsproblemen, denen sich ihre Unternehmen gegenübersehen, nennen beide Gruppen Datenverlust und Datendiebstahl/Exfiltration als ihre jeweils größten Probleme.

Die beiden Gruppen unterscheiden sich jedoch bei der Benennung ihres dritten Schwerpunkts. Die Cybersecurity/IT-Profis sehen in Ransomware wie WannaCry eine große Herausforderung, während die Führungskräfte eher Risiken, die aus der Datenveränderung resultieren, im Blick haben, also etwa Sabotageakte durch Änderung kritischer Informationen, wie z.B. Code für eine automatisierte Montagelinie.

Bild: Varonis

Infografik: Wie Führungskräfte und IT-Sicherheitsverantwortliche über die größten Cyberbedrohungen denken

Welche Daten besonders geschützt werden müssen

Seit 2013 sind 9,7 Milliarden Datensätze verloren gegangen oder gestohlen worden (das sind zwei Milliarden mehr als die Welt Bewohner hat!). Bei vielen davon handelt es sich um Kunden- und Nutzerkonten, die beispielsweise Kontoinformationen, E-Mail-Adressen, Telefonnummern und weitere personenbezogenen Daten beinhalten. Auf die Frage, welche Art von Daten sie am meisten schützen wollen, haben entsprechend sowohl Führungskräfte als auch Cybersecurity/IT-Profis Kunden- oder Patientendaten sowie geistiges Eigentum angegeben. Wie schon zuvor gibt es beim dritten Platz wieder unterschiedliche Sichtweisen: Während die Führungskräfte den Schutz von Mitarbeiterdaten vor Finanzdaten als dringend empfinden, betrachten die Sicherheitsverantwortlichen die Finanzdaten als großes Sicherheitsrisiko.

Auswirkungen eines Daten-Vorfalls

Auf die Frage, welche Geschäftsfelder von IT-Sicherheitsrisiken besonders betroffen sind, nennen beide Gruppen zwar dieselben Bereiche, allerdings in unterschiedlicher Reihenfolge: Die Security-Verantwortlichen heben vor allem die Markenwahrnehmung und Reputation hervor, während die wirtschaftlich denkenden Führungskräfte eher die Kosten in Zusammenhang mit den Datenschutzverstößen (Recovery-Kosten, Bußgelder u.ä.) fokussieren.

Sicht auf den Stand der IT-Sicherheit und die Entwicklung

Die IT-Sicherheitsverantwortlichen sehen ihre Arbeit überaus selbstbewusst: 96 Prozent empfinden die IT-Security-Planung und -Umsetzung im Einklang mit den Risiken und Anforderungen des Unternehmens. Die Chefs sind mit 73 Prozent Zustimmung ein wenig kritischer. Auch was die Fortschritte in Sachen Cyberabwehr anbelangt, sind die Security-Spezialisten optimistischer: 91 Prozent sehen hier deutliche und messbare Fortschritte, während nur 69 Prozent der Führungskräfte hiervon überzeugt sind. Möglicherweise spielen dabei auch Berichte über Sicherheitsverstöße bei großen Unternehmen eine Rolle. Es scheint auf jeden Fall jedoch ein gewisses Defizit an Kommunikation zwischen den beiden Parteien und entsprechendem Teamwork vorhanden zu sein.

Einfluss der Sicherheitsverantwortlichen

94 Prozent der IT-Experten glauben, dass die Führungskräfte bei einer Sicherheitsbedrohung ihrem Rat folgen würden. Leider sehen das die Führungskräfte anders: Nur 76 Prozent zeigen sich offen für die Expertise der Spezialisten. Auch dies deutet auf mangelnden Austausch zwischen den beiden Parteien hin. Möglicherweise würde dem Sicherheitsniveau (und damit auch dem Unternehmen) eine entsprechend hoch angesiedelte Position helfen, etwa durch die Schaffung eines Chief Information Security Officers (CISO).

Einfluss der Security auf den Geschäftserfolg

Laut Cybersecurity Ventures werden die Ausgaben für Produkte und Dienstleistungen in den nächsten fünf Jahren 1 Billion (also 1.000 Milliarden) US-Dollar übersteigen. Wie sich die eigenen Security-Investitionen auf den Geschäftserfolg auswirken, können jedoch nur 68 Prozent der Führungskräfte und 88 Prozent der Cybersecurity-Verantwortlichen quantifizieren. IT-Abteilungen täten also gut daran, die Geschäftsführung besser über ihre Maßnahmen und die damit verbundenen Erfolge, also den messbaren Einfluss auf das Unternehmensergebnis, zu informieren. Auch hierfür wäre die Position eines CISO prädestiniert.

Datenverstöße und Cyberbedrohungen halten Führungskräfte weiter auf Trab. Kommen noch neue Anforderungen wie die DSGVO hinzu, wird IT-Sicherheit immer mehr zur strategischen Entscheidung und damit zur Chefsache. Security-Spezialisten müssen mit ihrem Know-how zu klugen Entscheidungen beitragen. Vor allem aber müssen sie auch von der Führungsriege gehört werden. Am besten klappt dies wohl auf Augenhöhe, wenn Security als unternehmenskritischer Bereich wie auch HR oder Finanzen angesehen und in der Geschäftsführung entsprechend personell verankert wird.

Weitere Informationen zum Thema:

datensicherheit.de, 08.09.2018
Lehren aus der Datenschutzvorfall beim Credit Bureau Equifax

datensicherheit.de, 05.09.2018
Datenschutz liegt in der Verantwortung der Führungskräfte

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe

[datensicherheit.de, 04.07.2018] EU-weit hat das Thema Cybersicherheit in den vergangenen Jahren erheblich an Bedeutung gewonnen. Für die politischen Entscheidungsträger in der Europäischen Kommission, im Europäischen Parlament und in den EU-Mitgliedstaaten wird das Thema immer wichtiger, so die aktuelle Einschätzung von Palo Alto Networks. Eine der wichtigsten Initiativen des Unternehmens, die sich an den Zielen der EU im Bereich Cybersicherheit orientiert, ist die Sensibilisierung der Unternehmen in Europa.

Palo Alto Networks begrüßt die zunehmende Betonung von Cybersicherheitsbewusstsein und -kompetenz in der EU. Vor einem Jahr ist das Unternehmen der Digital Skills and Jobs Coalition (DSJC) beigetreten. Die Initiative der Europäischen Kommission bringt Mitgliedstaaten, Unternehmen, Sozialpartner, gemeinnützige Organisationen und Bildungsanbieter zusammen, um Maßnahmen zur Förderung digitaler Kompetenzen in Europa zu ergreifen.

Die mit dem digitalen Zeitalter verbundenen Cyberrisiken minimieren

Wie viele Vordenker in der europäische Politik und Wirtschaft ist das Unternehmen davon überzeugt, dass Cybersicherheit ein geschäftliches und nicht nur ein IT-bezogenes Problem ist. Die Unternehmen von heute müssen über die erforderlichen Kenntnisse, Fähigkeiten und Tools verfügen, um die mit dem digitalen Zeitalter verbundenen Cyberrisiken zu minimieren. Mit vier europäischen Ausgaben seiner Buchreihe „Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers“ soll dazu beigetragen werden, das Bewusstsein für Cybersicherheit in die C-Führungsriege in Europa zu bringen.

Diese Bücher enthalten Kapitel, die unter anderem von europäischen Führungskräften sowie aktuellen und ehemaligen NATO- und europäischen Regierungsvertretern verfasst wurden. Die Autoren diskutieren Best Practices und befassen sich mit aktuellen Cybersicherheitsthemen, die Unternehmen und andere Organisationen berücksichtigen müssen, einschließlich der Frage, wie strategische Cybersicherheitsinitiativen auf Vorstandsebene verwaltet werden können.

Die vier europäischen Ausgaben im Einzelnen:

• Deutschland: „Wegweiser in die digitale Zukunft: Praxisrelevantes Wissen zur Cybersicherheit für Führungskräfte“, mit Beiträgen von Otto Gruppe, des Landes Baden-Württemberg, T-Systems International, Cyber-Sicherheitsrat Deutschland e.V. und Boehringer Ingelheim (veröffentlicht im Oktober 2017).
• Benelux: „Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers – Benelux Edition”, mit Beiträgen des früheren EU-Kommissars Neelie Kroes, des niederländischen National Cyber Security Centre, der Rabobank, First Lawyers, der Universität Wageningen, SecureLink, ON2IT, KPN und Proximus (veröffentlicht im Mai 2017).
• Großbritannien: „Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers – United Kingdom”, mit Expertenbeiträgen von Marks & Spencer, Barclays, PwC, BT, Brunswick Group, UK Trade & Investment und der NATO (veröffentlicht im Januar 2017).
• Frankreich: „Gouverner à l’ère du numérique – le guide de la cybersécurité pour les dirigeants d’entreprise”, mit Expertenbeiträgen von Groupe Caisse des Dépôts, EDF, Crédit Agricole, Orange Cyberdéfense und französischen Juristen (veröffentlicht im Oktober 2016).

Palo Alto Networks hat Tausende dieser kostenlosen Bücher an Führungskräfte und Organisationen in ganz Europa verteilt, sowohl in gedruckter Form als auch digital online. Die Bücher wurden zudem auf Kongressen und Konferenzen wie dem Weltwirtschaftsgipfel in Davos beworben. Darüber hinaus hat Palo Alto Networks in ganz Europa zahlreiche regionale und branchenspezifische Roundtables und Workshops zu den behandelten Themen abgehalten, um das Bewusstsein für Cybersicherheit zu schärfen und Führungskräfte bei der Bewältigung der heutigen Sicherheitsherausforderungen zu unterstützen. Eines der Versprechen von Palo Alto Networks im Rahmen des DSJC war es, die europäische C-Führungsriege durch die Bücher für dieses kritische Thema zu sensibilisieren. Als Teil dieser Bemühungen wurde Palo Alto Networks durch die Gemeinsame Mitteilung der Europäischen Kommission vom September 2017 ermutigt, in der die EU-Mitgliedstaaten aufgefordert wurden, das Cyberbewusstsein zu stärken und diese Botschaft an die Wirtschaftsakteure weiterzugeben.

Über die oben genannten europäischen Länder hinaus sind Versionen von „Navigating the Digital Age“ auch in den USA, Japan, Singapur und Australien erschienen. Noch in diesem Jahr wird Palo Alto Networks die zweite Ausgabe veröffentlichen, die Autoren aus vielen Teilen der Welt zusammenbringt. Diese kommende Ausgabe vereint die zukünftige Sicht auf Cyberrisiken sowie Best Practices zu einer Vielzahl von Themen. Die Projektverantwortlichen von Palo Alto Networks hoffen, dass diese neueste Ausgabe Diskussionen über Cybersicherheit zwischen technischen und nicht-technischen Führungskräften fördern wird.

Das Unternehmen ist weiterhin bestrebt, mit politischen Entscheidungsträgern in ganz Europa zusammenzuarbeiten, um Führungskräfte in Regierungsbehörden und im Privatsektor für das Thema Cybersicherheit zu sensibilisieren.

Weitere Informationen zum Thema:

SecurityRoundTable.org
Navigating the Digital Age, Second Edition

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe

datensicherheit.de, 06.12.2017
Studie von Palo Alto Networks: IT-Manager im Gesundheitswesen setzen auf Cyber-Sicherheit