[datensicherheit.de, 19.01.2026] „Datenschutzteams müssen mit weniger Ressourcen ein wachsendes Risiko bewältigen“ – so eine zentrale Erkenntnis aus einer neuen Studie von ISACA. Trotz zunehmender Datenschutzbedrohungen und regulatorischer Anforderungen geben demnach mehr als vier von zehn (44%) Datenschutzexperten in Europa an, dass ihre Teams unterfinanziert seien, während über die Hälfte (54%) erwartet, dass die Datenschutzbudgets im Jahr 2026 weiter sinken würden. Diese ISACA-Stellungnahme basiert auf einer Umfrage, welche ISACA im September 2025 unter 1.854 weltweit im Datenschutz tätigen Personen durchgeführt habe, davon 485 in Europa ansässig.

Juristischen und technischen Datenschutzpositionen droht Unterbesetzung

In einer Region mit einer der weltweit am weitesten entwickelten Datenschutz-Regulierungslandschaften habe diese Unterfinanzierung bereits spürbare Konsequenzen: Fast vier von zehn (39%) der juristischen Datenschutzpositionen und über die Hälfte (51%) der technischen Datenschutzpositionen in Europa seien unterbesetzt.

• Mehr als ein Viertel (26%) der Datenschutzexperten glaube, dass ihr Unternehmen im nächsten Jahr wahrscheinlich einen wesentlichen Datenschutzverstoß erleben werde.

Zusammengenommen verdeutliche dies einen wachsenden Widerspruch für europäische Organisationen: „Das Datenschutzrisiko und die regulatorischen Erwartungen steigen weiter, während die Investitionen in Personal und Ressourcen zurückgefahren werden.“

Datenschutz-Teams müssen mit weniger Ressourcen mehr Risiko bewältigen

Die Aufmerksamkeit auf Vorstandsebene bleibe indes uneinheitlich. Mehr als ein Viertel (26%) der europäischen Befragten gebe an, dass ihr Vorstand dem Datenschutz keine angemessene Priorität einräume, obwohl die Risiken weiter zunähmen.

• Chris Dimitriadis, „Global Chief Strategy Officer“ bei ISACA, kommentiert warnend: „Datenschutz-Teams müssen mit weniger Ressourcen mehr Risiko bewältigen und die Belastung wird langsam sichtbar.“

Während Unternehmen neue Technologien schnell einführten, wüchsen Umfang und Komplexität der Datenschutzpflichten parallel dazu an – doch viele Teams arbeiteten immer noch ohne die personelle Ausstattung, die Finanzierung oder die Schulungen, welche sie benötigten, um Schritt zu halten.

Unterschätzen des Datenschutzes untergräbt grundlegende Säule digitalen Vertrauens

Dimitriadis gibt zu bedenken: „Wenn Vorstände den Datenschutz unterschätzen, unterschätzen sie eine grundlegende Säule des digitalen Vertrauens. Ein einziger Datenschutzverstoß kann jahrelanges Markenkapital untergraben, Kundenbeziehungen beschädigen und erhebliche regulatorische Konsequenzen nach sich ziehen. Die Priorisierung des Datenschutzes ist nicht nur eine ,Compliance’-Anforderung, sondern eine unternehmerische Notwendigkeit!“

• Dieser Druck nehme in einer Zeit zu, „in der sich die Risiken beschleunigen“. Fast die Hälfte (49%) der Fachleute gebe an, dass die Bewältigung der mit neuen Technologien verbundenen Risiken ein großes Hindernis für ihre Datenschutzprogramme darstelle.

Die menschlichen Auswirkungen seien ebenso deutlich: 67 Prozent sagten, dass ihre Arbeit heute stressiger sei als vor fünf Jahren, wobei die Befragten das schnelle Tempo des technologischen Wandels (68%) und die Herausforderungen bei der Einhaltung von Vorschriften (64%) als Hauptgründe nennen würden.

Vorstände sollten Datenschutz als strategische und ethische Priorität betrachten

Die Komplexität der Regulierung verschärfe diese Herausforderungen. Über ein Fünftel (22%) der Datenschutzexperten in Europa gebe an, dass ihr Unternehmen Schwierigkeiten habe, seine Datenschutzpflichten zu erkennen und zu verstehen, während mehr als die Hälfte (51%) die Komplexität internationaler Gesetze und Vorschriften als wesentliches Hindernis ansehe.

• Das Vertrauen in die Zukunftsfähigkeit sei gering: Nur acht Prozent der Befragten seien vollkommen zuversichtlich, dass ihr Unternehmen in der Lage sei, neue und aufkommende Datenschutzgesetze einzuhalten.

Während die Regulierung dazu beitrage, Datenschutzdiskussionen auf Vorstandsebene zu fördern – 44 Prozent der Fachleute gäben an, dass ihr Vorstand das Datenschutzprogramm als „compliance“-getrieben ansehe –, mache ein alleiniger Fokus auf „Compliance“ die Unternehmen angreifbar. Echte Widerstandsfähigkeit erfordere nämlich, „dass Vorstände den Datenschutz als strategische und ethische Priorität betrachten“.

Datenschutz erfordert nachhaltige Investitionen in Menschen, Führungsverhalten und Kultur

Dimitriadis führt aus: „Diese Lücken unterstreichen eine entscheidende Wahrheit: Datenschutz kann nicht allein durch Kontrollen oder Checklisten gestärkt werden, selbst mit Hilfe von KI. Er erfordert nachhaltige Investitionen in Menschen, ,Governance’ und Kultur – und das beginnt an der Spitze!“

• Vorstände müssten den Datenschutz als strategischen Motor für Vertrauen, Widerstandsfähigkeit und Wettbewerbsvorteile behandeln – und eben nicht nur als ein „Kästchen“, welches zur Einhaltung von Vorschriften abgehakt wird.

Wenn Unternehmen ihre Datenschutzteams mit den erforderlichen Fähigkeiten, Ressourcen und Befugnissen ausstatten, reduzierten sie nicht nur das Risiko – sie bereiteten ihr Unternehmen auf die nächste Welle regulatorischer und technologischer Veränderungen vor. „Indem Führungskräfte heute in Schulungen und berufliche Weiterentwicklung investieren, können sie eine Grundlage für die Widerstandsfähigkeit im Datenschutz schaffen, die für die sich wandelnde Landschaft gerüstet ist.“

Mehr als ein Drittel könnte auf Datenschutzvorfälle nicht effektiv reagieren

Viele Organisationen unternähmen durchaus positive Schritte: 79 Prozent in Europa nutzten ein Rahmenwerk oder eine Verordnung, am häufigsten die DSGVO, um ihr Datenschutzprogramm zu steuern, und eine Mehrheit implementiere Kontrollen wie Datensicherheit (71%) und Verschlüsselung (73%).

• Es blieben jedoch kritische Lücken. Nur 64 Prozent der europäischen Organisationen hätten einen formellen Plan zur Reaktion auf Vorfälle als Teil ihrer Datenschutzkontrollen, wodurch mehr als ein Drittel nicht auf Datenschutzvorfälle effektiv reagieren könne.

Auch die Mitarbeiterbindung gebe zunehmend Anlass zur Sorge: 34 Prozent berichteten von Schwierigkeiten, qualifizierte Datenschutzexperten zu halten, „und 45 Prozent nennen mangelnde oder schlechte Schulungen als einen Hauptgrund für Datenschutzversäumnisse“. Da die Datenschutzrisiken weiter stiegen, warnt ISACA Unternehmen, die jetzt nicht investieren, dass sie in den kommenden Jahren zunehmend angreifbar sein könnten.

Weitere Informationen zum Thema:

ISACA
The principles behind our purpose / Our mission and vision reflect the core values that drive everything we do

ISACA
Chris Dimitriadis: Chief Global Strategy Officer

ISACA
Challenges Abound on the Privacy Landscape / Gain deeper insight into the latest privacy trends with ISACAs latest research

ISACA, 2026
Europe Edition: The State of Privacy in 2026

datensicherheit.de, 30.03.2025
ICS/OT Cybersecurity Budget Report 2025: Über 50 Prozent der Befragten fühlen sich bedroht / Neue ICS/OT-Studie von OPSWAT und SANS Institute zeigt auf, dass trotz steigender Security-Budgets Investitionen auf traditionelle Geschäftssysteme fokussiert bleiben

datensicherheit.de, 23.04.2020
Von Security-Budgets bis Personalmangel: Status quo der IT-Sicherheit in Unternehmen / Cyberangriffe nehmen nicht nur zahlenmäßig, sondern auch in ihrer Raffinesse zu

datensicherheit.de, 04.09.2013
IT-Sicherheit in Unternehmen: Zeit und Budget fehlen / Nur knapp jedes zweite deutsche Unternehmen fühlt sich bereits ausreichend gerüstet

[datensicherheit.de, 21.10.2025] Am 20. Oktober 2025 kam es laut Medienberichten zu einer weitreichenden globalen Störung der „Amazon Web Services“ (AWS), welche demnach zahlreiche Online-Dienste und Anwendungen weltweit beeinträchtigt hat. Die Ausfälle betrafen offenbar eine Vielzahl populärer Web-Plattformen, darunter unter anderem „Snapchat“ und „Reddit“, Amazons eigene Dienste wie „Prime Video“ und „Alexa“, sowie diverse Gaming- und Finanzdienstleister. Dieses Ereignis habe einmal mehr die kritische Abhängigkeit moderner digitaler Infrastrukturen von wenigen großen „Cloud“-Anbietern verdeutlicht – und damit die Notwendigkeit robusterer Systeme in den Vordergrund gerückt.

Großflächiger AWS-Ausfall mit weltweiten Auswirkungen auf wichtige Sektoren

Chris Dimitriadis, „Chief Global Strategy Officer“ von ISACA, hat in seiner aktuellen Stellungnahme eine erste Einschätzung zu den Vorfällen abgegeben: „Als es letztes Jahr zu dem Ausfall bei ,CrowdStrike’ kam, habe ich dafür den Begriff ,digitale Pandemie’ gefunden – wobei ein einziger Ausfallpunkt im Technologie-,Ökosystem’ Auswirkungen auf mehrere Branchen haben kann.“

• Mehr als ein Jahr später erlebten wir mit der aktuellen Störung bei „Amazon Web Services“ einen weiteren großflächigen Ausfall, welcher bereits weltweit Auswirkungen auf wichtige Sektoren wie Kommunikation, Einzelhandel und Produktivitätswerkzeuge am Arbeitsplatz habe.

„Dies ist eine weitere deutliche Warnung dafür, wie vernetzt und fragil unsere digitale Welt geworden ist!“, unterstreicht Dimitriadis und führt aus: „Unternehmen stehen nun an einem Scheideweg. Die Behebung dieses einen Vorfalls wird den nächsten nicht verhindern.“ Man müsse jetzt handeln, um Cyberresilienz fest in unserer digitalen Infrastruktur zu verankern. „Das bedeutet, in Bildung und Ausbildung zu investieren und eine größere, besser ausgestattete Armee von Cybersicherheitsexperten aufzubauen, die unsere Lieferketten resilienter machen können.“

Ursache für aktuellen AWS-Ausfall noch unklar

Darüber hinaus sei der AWS-Ausfall vom 20. Oktober 2025 ein weiterer Hinweis darauf, wie dringend eine strenge Cybergesetzgebung erforderlich sei – wie der „Cyber Resilience Act“, die NIS-2-Richtlinie oder die „Cybersolidaritätsverordnung“ der EU.

• „Obwohl die Ursache für den heutigen Ausfall noch unklar ist, würden Rechenzentren wie die heute betroffenen unter diese Regelung fallen, was einen zusätzlichen Schutz bieten würde“, so Dimitriadis. Es sei unerlässlich, dass die Gesetzgebung rasch umgesetzt und umfassend angewendet werde, um das gesamte digitale „Ökosystem“ und die dahinterstehenden Lieferketten abzudecken.

Ohne strengere Schutzmaßnahmen bestehe kein Zweifel daran, dass diese „digitalen Pandemien” weiterhin die Produktivität, das Vertrauen und die wirtschaftliche Stabilität gefährden würden.

Weitere Informationen zum Thema:

ISACA
The principles behind our purpose / Our mission and vision reflect the core values that drive everything we do

ISACA
Chris Dimitriadis: Chief Global Strategy Officer

Bundesamt für Sicherheit in der Informationstechnik
Cyber Resilience Act / Cybersicherheit EU-weit gedacht

Bundesamt für Sicherheit in der Informationstechnik
NIS-2-regulierte Unternehmen / Informationen für „besonders wichtige“ und „wichtige“ Einrichtungen

EUR-Lex Access to European Union law
Document 32025R0038 / Verordnung (EU) 2025/38 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über Maßnahmen zur Stärkung der Solidarität und der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen und zur Änderung der Verordnung (EU) 2021/694 (Cybersolidaritätsverordnung)

heise online, 20.10.2025
Amazon Web Services: Globale Störung am Montagmorgen / Diverse Internet-Dienste beklagten am Montagmorgen Ausfälle. Das ging auf Störungen der Cloud-Dienste Amazon Web Services zurück.

SPIEGEL Netzwelt, 20.10.2025
Probleme bei Signal, Snapchat, Roblox Störung bei Amazons Cloudspeicher sorgt für weitreichende Netzausfälle / Bei zahlreichen Apps und Web-Angeboten ist es in Europa und den USA zu Ausfällen gekommen. Grund dafür ist offenbar eine Störung beim Clouddienst von Amazon. Betroffen sind etwa Chat-Apps und KI-Dienste.

tagesschau, 20.10.2025
Weltweit Probleme / Störung bei Amazon legt zahlreiche Online-Dienste lahm

datensicherheit.de, 20.10.2025
AWS-Störung: Ursprünglicher Verdacht einer Cyberattacke erhärtete sich nicht / Darren Guccione unterstreicht in seiner ersten Einschätzung zum AWS-Vorfall, dass auch intern verursachte Fehler große Schwierigkeiten nach sich ziehen und im Schadensausmaß an jene eines gezielten Cyberangriffs heranreichen können

datensicherheit.de, 08.07.2025
Förderung sicherer Identitäten in AWS-Cloud: BeyondTrust schließt strategische Kooperationsvereinbarung / „BeyondTrust Pathfinder“ soll einheitliche Identitätssicherheit und KI-gesteuerten Schutz bieten – abgestimmt auf Best-Practice-Methoden für AWS-Sicherheit

datensicherheit.de, 10.12.2021
USB-Ausnutzung über Ethernet: Schwachstellen in AWS und anderen Cloud-Diensten / SentinelLabs entdeckte teils schwerwiegende Schwachstellen

datensicherheit.de, 25.07.2019
Cloud-Sicherheit: Mehr als 34 Millionen Schwachstellen in AWS, Azure und GCP / Erster Cloud Threat Risk Report von Palo Alto Networks vorgestellt

[datensicherheit.de, 07.07.2025] Dies sei ein entscheidendes Jahr für die neuen rechtlichen Rahmenbedingungen für Cybersicherheit in Europa. Doch selbst nach der ersten Jahreshälfte 2025 hätten viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden – oder hätten Schwierigkeiten, diese in die Praxis umzusetzen. Mit dem Inkrafttreten von DORA und der offiziellen Anwendung von NIS-2 kommt das neue Whitepaper von ISACA nun zu einem entscheidenden Zeitpunkt für die digitale Sicherheit in Europa – der neue Leitfaden von ISACA soll Unternehmen bei der Navigation durch NIS-2- und DORA-Vorschriften helfen.

Abbildung: ISACA

ISACA-Whitepaper „Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements“ – NIS-2 und DORA im vergleichenden Überblick

Nur ein Teil der EU-Mitgliedstaaten hat Frist zur NIS-2-Umsetzung in nationales Recht eingehalten

Viele Unternehmen – vor allem kleinere und mittlere (KMU) und Informations- und Kommunikationstechnologie-Anbieter (IKT-Unternehmen) – wüssten nur bedingt, „welche Anforderungen diese Verordnungen stellen, wie sie erfolgreich umgesetzt werden können und welche Vorteile sie bieten“. Dabei seien beide von zentraler Bedeutung für die digitale Widerstandsfähigkeit der Europäischen Union (EU). Dennoch mache sich nach wie vor große Verwirrung breit.

Hinzu komme, dass nur eine Handvoll EU-Mitgliedstaaten die Frist zur Umsetzung der NIS-2 in nationales Recht bis Oktober 2024 eingehalten habe. In Irland z.B., eine der digital am weitesten entwickelten Volkswirtschaften Europas, gaben demnach 38 Prozent der Unternehmen zu, dass sie nicht vorbereitet sind. Dies verdeutliche das Ausmaß der Herausforderung selbst in reifen Märkten. Diese unzureichende Vorbereitung dürfte sich in weiten Teilen der EU widerspiegeln, insbesondere bei KMU und Nicht-Finanzunternehmen. „Sie unterliegen nun neuen, strengen Rechenschafts-, Prüfungs- und Berichtspflichten!“

DORA und NIS-2 markieren grundlegenden Wandel für Herangehensweise an Resilienz- und Cybersicherheitsmanagement

Da sich also viele Unternehmen noch in der Anfangsphase der Umsetzung befänden, hat ISACA kürzlich das Whitepaper „Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements” veröffentlicht. Es diene als strategischer Leitfaden für Unternehmen, Finanzinstitute, öffentliche Verwaltungen und Technologieanbieter. „Es enthält eine klare Gliederung der beiden Vorschriften und zeigt auf, wie Unternehmen deren Einhaltung umsetzen und gleichzeitig ihre Cyberresilienz stärken können.“

„Die Herausforderung besteht nicht nur darin, die Vorschriften zu verstehen, sondern auch sicherzustellen, dass die Unternehmen wissen, wie sie diese effektiv anwenden können“, betont Chris Dimitriadis, „Chief Global Strategy Officer“ bei ISACA. Er erläutert: „DORA und NIS-2 markieren einen grundlegenden Wandel in der Herangehensweise von Unternehmen an Resilienz- und Cybersicherheitsmanagement. Die Konsequenzen für die Nichteinhaltung der Vorschriften sind gravierend – und noch wichtiger sind die Risiken einer Betriebsunterbrechung.“ ISACA engagiere sich, um Einzelpersonen und Organisationen bei der Vorbereitung auf diese neue Ära zu unterstützen.

Kernpunkte, die es laut ISACA bei der Einhaltung der Vorschriften zu beachten gilt:

Das ISACA-Whitepaper soll Unternehmen, welche auf die Einhaltung von Vorschriften hinarbeiten, essenzielle Anleitungen bieten:

• Kenntnis des Geltungsbereichs
  „Bestimmen Sie, ob Ihr Unternehmen unter NIS-2, DORA oder beide Richtlinien fällt!“ Auch Nicht-EU-Unternehmen könnten indirekt betroffen sein.
• Aufbau eines belastbaren IKT-Rahmens
  „Erstellen Sie umfassende IKT-Risikomanagementstrategien und stimmen Sie diese mit den Unternehmenszielen ab; überprüfen und testen Sie regelmäßig Kontinuitäts- und Wiederherstellungspläne!“
• Das Risiko Dritter ernst nehmen
  „Stellen Sie sicher, dass die Verträge mit IKT-Anbietern spezielle Klauseln zu Kontinuität, Sicherheit und Audit-Rechten enthalten!“ Viele Technologieanbieter – darunter Softwareentwickler, „Cloud“-Anbieter und Anbieter von „Managed Services“ – seien sich nicht bewusst, dass DORA sie aufgrund ihrer Verträge mit Finanzinstituten direkt betreffe.
• Vorbereitung auf die Meldepflichten
  „DORA und NIS-2 haben strenge und unterschiedliche Fristen für die Meldung von Vorfällen. Die Reaktionsteams müssen wissen, was, wann und wie zu melden ist!“
  -> NIS-2: „Vorabmeldung innerhalb von 24 Stunden und Abschlussbericht innerhalb eines Monats erforderlich.“
  -> DORA: „Größere IKT-Vorfälle müssen innerhalb von vier Stunden nach ihrer Einstufung gemeldet werden.“
• Schulung von Führungskräften und Mitarbeitern
  Auf allen Ebenen sollten obligatorische Schulungen zum Thema Cybersicherheit durchgeführt werden. Besonders erwähnenswert sei, dass der von der Europäischen Zentralbank (EZB) entwickelte „TIBER-EU“-Rahmen vollständig an DORA angepasst worden sei. „Er verlangt erstklassige Fähigkeiten und Zertifizierungen für Red-Team-Tester und Threat-Intelligence-Anbieter, die über qualifiziertes und zertifiziertes Personal verfügen müssen, um ihre Aufgaben ordnungsgemäß zu erfüllen!“
• Proaktive Audits
  „Führen Sie regelmäßig interne und externe Audits durch. Gemäß DORA müssen die IKT-Auditfunktionen unabhängig und qualifiziert sein!“
• Testen und Verbesserungen
  „DORA verlangt von den Finanzunternehmen, bedrohungsorientierte Penetrationstests durchzuführen und ihre betriebliche Widerstandsfähigkeit zu testen!“
• Dokumentieren allumfassend konzipieren
  „Führen Sie eine aktuelle Dokumentation über Richtlinien, Risikobewertungen, Kontrollen und Reaktionen!“ Dies sei entscheidend für die Transparenz und die aufsichtsrechtliche Überprüfung.

Im Falle der Nichteinhaltung von NIS-2 drohten laut EU Geldbußen von bis zu sieben Millionen Euro und für größere Unternehmen von bis zu zehn Millionen Euro. DORA überlasse die Anwendung von Sanktionen hingegen den nationalen Behörden.

Eine vergleichende Analyse von DORA und NIS-2 in Kombination mit praktischen Empfehlungen

Das Whitepaper solle nicht nur „Compliance“-Teams helfen, die Erwartungen der Regulierungsbehörden zu verstehen, sondern auch CISOs, IT-Leiter und Risikofachleute dabei unterstützen, langfristige Widerstandsfähigkeit und digitales Vertrauen aufzubauen. Die vergleichende Analyse von DORA und NIS-2 in Kombination mit praktischen Empfehlungen mache dieses Whitepaper zu einem wichtigen Referenzpunkt für die Navigation durch die sich entwickelnde Cyberregulierungs-Landschaft in Europa. Es diene sowohl Unternehmen als auch deren Technologiepartnern und Lieferanten als Leitfaden.

Ein kostenloses Exemplar des Whitepapers „Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements” ist online verfügbar. Weitere für Finanzinstitute nützliche Publikationen seien das „ISACA IT Risk Framework“, der „IT Risk Professional’s Guide“ und der „IT Risk Fundamentals Study Guide“. Zusätzliche risikobezogene IT-Ressourcen sind ebenfalls online zu finden.

Weitere Informationen zum Thema:

ISACA, 22.05.2025
White Paper: Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements

ISACA
Risk IT Framework, 2nd Edition | Print | English

ISACA
Expert guidance and practical tools to stay ahead of the curve in your IT risk career

datensicherheit.de, 16.04.2025
DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur / Cyber-Sicherheit längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

[datensicherheit.de, 04.07.2025] Fast drei Viertel der europäischen IT- und Cybersicherheitsexperten geben nach aktuellen ISACA-Erkenntnissen an, dass ihre Mitarbeiter bereits Generative KI (GenAI) bei der Arbeit nutzen – dies sei ein Anstieg um zehn Prozentpunkte innerhalb eines Jahres. Laut einer neuen ISACA-Studie haben jedoch nur knapp ein Drittel der Unternehmen hierzu formelle Richtlinien eingeführt. Es sei klar, dass der Einsatz von KI am Arbeitsplatz zunehme und die Regulierung ihrer Nutzung daher die beste Lösung sei. Dennoch verfüge nicht einmal ein Drittel (31%) der Unternehmen über eine formelle, umfassende KI-Richtlinie. „Dies verdeutlicht die Diskrepanz zwischen der Häufigkeit des Einsatzes von KI und der Intensität ihrer Regulierung am Arbeitsplatz.“

Abbildung: ISACA

ISACA: „Taking the Pulse of AI in 2025“ (europäische Ausgabe) publiziert

Optimistische Erwartung, dass sich KI im nächsten Jahr positiv auf ihr Unternehmen auswirken wird

KI wirke sich indes bereits positiv auf den Arbeitsalltag aus: „Mehr als die Hälfte (56%) der Befragten gibt an, dass sie die Produktivität des Unternehmens gesteigert hat. 71 Prozent berichten von Effizienzsteigerungen und Zeiteinsparungen.“ Mit Blick auf die Zukunft seien 62 Prozent der Befragten optimistisch, dass sich KI im nächsten Jahr positiv auf ihr Unternehmen auswirken werde.

Doch genau diese Geschwindigkeit und dieser Umfang machten diese Technologie auch zu einem „Magneten für böswillige Akteure“. Fast zwei Drittel (63%) der Befragten seien „sehr“ oder „äußerst“ besorgt, dass Generative KI gegen sie eingesetzt werden könnte. 71 Prozent erwarteten zudem, dass sogenannte Deepfakes im kommenden Jahr noch stärker verbreitet sein würden.

Ohne klare Richtlinien und Schulungen zur Risikominderung wird KI zu einer potenziellen Belastung

Trotzdem investierten nur 18 Prozent der Unternehmen Geld in „Tools“ zur Erkennung von Deepfakes – dies sei eine erhebliche Sicherheitslücke. Diese Kluft zwischen dem steigenden Bewusstsein und den mangelnden Investitionen der Unternehmen führe dazu, dass sie in einer Zeit, in der sich KI-gestützte Bedrohungen schnell weiterentwickelten, ungeschützt seien.

KI sei zwar sehr vielversprechend, ohne klare Richtlinien und Schulungen zur Risikominderung werde sie jedoch zu einer potenziellen Belastung. „Erforderlich sind robuste, rollenspezifische Richtlinien – von der Frage, wann KI eingesetzt werden soll, bis hin zur Frage, wie man einen Deepfake erkennt –, damit Unternehmen das Potenzial der KI sicher nutzen können.“

KI-Bedrohungen entwickeln sich schnell weiter

„Mit dem ,EU AI Act’, der neue Standards für Risikomanagement und Transparenz setzt, müssen Unternehmen schnell vom Bewusstsein zum Handeln übergehen”, legt Chris Dimitriadis, „Chief Global Strategy Officer“ von ISACA, nahe. Er führt hierzu weiter aus: „KI-Bedrohungen, von Fehlinformationen bis hin zu Deepfakes, entwickeln sich schnell weiter, doch die meisten Unternehmen haben noch nicht in die entsprechenden ,Tools‘ oder Schulungen investiert. Die Schließung dieser Risiko- und Handlungslücke ist nicht nur eine Frage der ,Compliance’ – sie ist entscheidend für den Schutz von Innovationen und die Aufrechterhaltung des Vertrauens in die digitale Wirtschaft.“

Strategien seien jedoch nur so wirksam, wie die Menschen, die sie verstehen und sicher in die Praxis umsetzen könnten. Da sich aufstrebende Technologien wie KI weiterentwickelten, bestehe die Notwendigkeit, sich weiterzubilden und neue Qualifikationen zu erwerben.

Böswillige Akteure halten mit den KI-Veränderungen durchaus Schritt

42 Prozent glaubten, dass sie ihre Fähigkeiten und Kenntnisse im Bereich KI in den nächsten sechs Monaten erweitern müssten, um ihren Arbeitsplatz zu behalten oder ihre Karriere voranzutreiben – ein Anstieg um acht Prozent gegenüber dem letzten Jahr. Die meisten (89%) würden erkennen, dass dies innerhalb der nächsten zwei Jahre erforderlich sein werde.

Dimitriadis kommentiert: „Ohne Leitlinien, Regeln oder Schulungen, die klären, inwieweit KI am Arbeitsplatz eingesetzt werden kann, könnten die Mitarbeitenden sie weiterhin im falschen Kontext oder auf unsichere Weise nutzen.“ Ebenso könnten sie nicht in der Lage sein, Fehlinformationen oder Deepfakes so leicht zu erkennen, wie es mit den richtigen Kenntnissen und Werkzeugen möglich wäre. „Die Technologie entwickelt sich weiter und böswillige Akteure halten mit den Veränderungen Schritt, um sie als Waffe einzusetzen und immer raffiniertere und fortschrittlichere Angriffe durchzuführen.“

Fortbildung dringend erforderlich: KI-Schulungen müssen Priorität erhalten

Deshalb könne die Fortbildung nicht warten. KI-Schulungen müssten Priorität haben und mit einem angemessenen Budget ausgestattet werden. Gleichzeitig müssten Unternehmen formale und umfassende Richtlinien einführen, „die von allen verstanden werden“, während die Mitarbeiter mit KI in ihrem Arbeitsalltag experimentierten.

Mit besser ausgebildeten Mitarbeitern verfügten Unternehmen über eine Belegschaft, „die bewährte Verfahren besser versteht“. Diese sei eher in der Lage, sich für die Einbettung von Richtlinien einzusetzen und dafür zu sorgen, „dass die Vorschriften eingehalten werden und ein guter Standard gewährleistet ist“.

Weitere Informationen zum Thema:

ISACA
EUROPEAN EDITION: „Taking the Pulse of AI in 2025“

ISACA
Explore Critical Findings From the ISACA 2025 AI Pulse Poll

ISACA
The AAISM Beta Program is in progress / AI is reshaping the security environment. Help lead the way.

datensicherheit.de, 23.05.2025
Sicherer GenAI-Einsatz: Delinea gibt Unternehmen 3 zentrale Tipps / Mittels GenAI erhalten Unternehmen immense Möglichkeit – doch neben Effizienzgewinnen birgt deren kontinuierliche und rasante Weiterentwicklung auch Sicherheitsrisiken

[datensicherheit.de, 20.05.2025] KI-Kenntnisse führen die Liste der 15 am schnellsten wachsenden Fähigkeiten an, die Fachleute benötigen, um heute wettbewerbsfähig zu bleiben. Dies ist die Aussage eines neuen LinkedIn-Berichts. Audit-Experten sind mit einer sich entwickelnden Technologie- und Compliance-Landschaft konfrontiert, in der KI eine wichtige Rolle spielt. Um diesen Anforderungen gerecht zu werden, hat ISACA die ISACA Advanced in AI Audit (AAIA)-Zertifizierung eingeführt – die erste fortgeschrittene, prüfungsspezifische Zertifizierung für Künstliche Intelligenz, die sich an erfahrene Auditoren richtet.

Auszeichnung für IT-Prüfungsexperten

Die Zertifizierung zeichnet IT-Prüfungsexperten aus, welche die Komplexität von KI beherrschen. Sie können nachweisen, dass sie Risiken erkennen, Chancen nutzen und die Einhaltung von Vorschriften gewährleisten sowie die Integrität des Unternehmens schützen können. Die Zertifizierung basiert auf der bewährten ISACA-Expertise in der IT-Prüfung. Hinzu kommen die strengen Standards, die hinter renommierten Zertifikaten wie dem „Certified Information Systems Auditor“ (CISA) von ISACA, dem „Certified Internal Auditor“ (CIA) vom Institute of Internal Auditors (IIA) und dem „Certified Public Accountant“ (CPA) vom American Institute of Certified Public Accountants (AICPA) stehen. Sie bestätigt die Fachkompetenz in der Durchführung KI-bezogener Prüfungen, der Bewältigung von Herausforderungen bei der KI-Integration und der Verbesserung von Prüfungsprozessen durch KI-gesteuerte Erkenntnisse.

IT-Audit-Experten können nicht nur Systeme prüfen, die KI nutzen, sondern auch KI-Tools und -Techniken einsetzen. Damit können sie Prüfungen rationalisieren, den manuellen Aufwand verringern und die betriebliche Effizienz steigern, um eine schnellere und genauere Entscheidungsfindung zu ermöglichen. Gleichzeitig werden die höchsten Standards für Genauigkeit, Compliance und Innovation eingehalten.

Anforderung zum Absolvieren der „Advanced in AI Audit“-Zertifizierung

Personen mit einem aktiven CISA von ISACA, CIA von IIA und CPA von AICPA sind berechtigt, den AAIA zu absolvieren. Dieser deckt die Schlüsselbereiche KI-Governance und -Risiko, KI-Betrieb sowie KI-Prüfungstools und -techniken ab.

„ISACA ist stolz darauf, der globalen Wirtschaftsprüfungsgemeinschaft seit mehr als 55 Jahren durch unsere Prüfungs- und Assurance-Standards, -Rahmenwerke und -Zertifizierungen zu dienen, und wir unterstützen die Gemeinschaft weiterhin mit den Zertifizierungen und Schulungen, die sie in dieser neuen Ära der Prüfungen mit KI benötigen”, sagt Shannon Donahue, Chief Content and Publishing Officer bei ISACA. „Mit dem AAIA können Auditoren ihr Fachwissen und ihre vertrauenswürdigen Beratungsfähigkeiten bei der Bewältigung von KI-getriebenen Herausforderungen unter Beweis stellen und dabei die höchsten Branchenstandards einhalten.“

Zur Prüfungsvorbereitung stehen das „AAIA Review Manual“ sowie der „AAIA Online Review Course“ und die „Questions, Answers, and Explanations Database“ (QAE) zur Verfügung. Alle drei Angebote können ein Jahr lang genutzt werden, um sich optimal auf die Prüfung vorzubereiten.

Ein wachsendes Angebot an KI-Ressourcen, -Schulungen und -Befähigungsnachweisen

In einer kürzlich von ISACA durchgeführten Umfrage unter Fachleuten für digitales Vertrauen, darunter Wirtschaftsprüfer, gaben 85 Prozent an, ihre Fähigkeiten und Kenntnisse im Bereich KI innerhalb der nächsten zwei Jahre erweitern zu müssen, um aufzusteigen oder ihre Stelle zu behalten. 94 Prozent sind zudem der Meinung, dass KI-Fähigkeiten für Fachleute für digitales Vertrauen wichtig sein werden. Vor diesem Hintergrund hat ISACA kürzlich eine Reihe von KI-Kursen und -Ressourcen veröffentlicht, darunter die Kurse „Introduction to AI for Auditors” und „Auditing Generative AI” sowie das „Artificial Intelligence Audit Toolkit”. Im 3. Quartal wird zudem eine weitere neue KI-Zertifizierung eingeführt: die „Advanced in AI Security Management (AAISM)“-Zertifizierung, die von CISMs und CISSPs erworben werden kann.

Weitere Informationen zum Thema:

ISACA
IT Resources | Knowledge & Insights

[datensicherheit.de, 24.02.2025] ISACA, nach eigenen Angaben ein globaler Berufsverband, welcher sich für die Förderung des digitalen Vertrauens einsetzt, hat fünf Schlüsseltrends identifiziert, welche die Cyber-Sicherheit demnach im Jahr 2025 dominieren werden: „Dieses Jahr ist ein entscheidendes für die Cyber-Sicherheitsbranche, das durch eine Zunahme von KI-basierten Bedrohungen, einen Mangel an KI-Fachkräften und eine immer komplexere regulatorische Landschaft gekennzeichnet ist.“ Angesichts größerer Sicherheitsverletzungen und neuer Vorschriften wie der NIS-2-Richtlinie und der EU-Gesetzgebung zur Künstlichen Intelligenz (KI), welche die Branche veränderten, müssten sich Unternehmen proaktiv an die neuen Herausforderungen anpassen.

ISACA empfiehlt Unternehmen, sich proaktiv an die neuen Herausforderungen anzu passen:

1. Trend: KI-basierte Bedrohungen
Angreifer nutzen KI, um ausgeklügelte Cyber-Bedrohungen zu entwickeln. „Diese werden es immer schwieriger machen, bösartige Aktivitäten von legitimem Verhalten zu unterscheiden.“ Kleine und mittlere Unternehmen (KMU) würden besonders anfällig für KI-gesteuerte Cyber-Angriffe sein.

2. Trend: Knapper Stellenmarkt
Die jüngste ISACA-Umfrage „State of Cybersecurity“ habe gezeigt, dass die Zahl der Neueinstellungen im Bereich Cyber-Sicherheit zurückgegangen sei. Umso wichtiger sei es nun, dass Cyber-Security-Experten ihre Karriere selbst in die Hand nehmen: „Sie müssen berufliche Entwicklungsmöglichkeiten nutzen, die ihren Zielen entsprechen – sei es, um ihr Wissen zu erweitern, Fähigkeiten in Bereichen wie KI zu gewinnen oder eine neue Qualifikation wie den neuen ,Certified Cybersecurity Operations Analyst’ (CCOA) zu erwerben.“

3. Trend: Zunehmende regulatorische Anforderungen
Mit dem Inkrafttreten von Regulierungen wie dem „Digital Operational Resilience Act“ (DORA) der EU seien Unternehmen einem erhöhten Compliance-Druck ausgesetzt, insbesondere in Branchen wie dem Finanzsektor. Das sich verändernde regulatorische Umfeld erfordere, „dass Unternehmen informiert und agil bleiben und nicht in eine Checklisten-Mentalität verfallen“.

4. Trend: Komplexes geopolitisches Umfeld
Da Gegner KI und Desinformation einsetzten, die Sicherheit der Lieferkette weiterhin ein Problem darstelle und die Zahl der Angriffe von Nationalstaaten zunehme, „stehen Cyber-Sicherheitsexperten zunehmend unter Druck“. Sie müssten diese externen Faktoren bewältigen, während sie gleichzeitig mit internen Beschränkungen konfrontiert seien – insbesondere mit erhöhten regulatorischen Anforderungen und weniger Ressourcen.

5. Trend: Schwachstellen in der Lieferkette
Die Abhängigkeit von Drittanbietern erhöhe das Risiko. Unternehmen müssten die Widerstandsfähigkeit ihrer Lieferketten erhöhen und mit Partnern zusammenarbeiten, „die strenge Sicherheitspraktiken einhalten“. So könnten sie die Wahrscheinlichkeit kaskadierender Cyber-Vorfälle minimieren.

ISACA bietet Veröffentlichungen und Schulungen an

„Das Jahr 2025 wird sowohl große Herausforderungen als auch transformative Chancen für Cyber-Sicherheitsexperten mit sich bringen“, so Chris Dimitriadis, „Chief Global Strategy Officer“ bei ISACA. Seine Empfehlung: „Unternehmen müssen flexibel sein, solide Investitionen in Cybersecurity-Talente und -Lösungen tätigen und aufkommende Technologien für Innovationen nutzen.“

Um Cyber-Sicherheitsexperten bei der Navigation durch die sich verändernde Landschaft zu unterstützen, vermittelt ISACA in den neuesten „ISACA Now“-Blog-Beiträgen von Niel Harper und Megan Hall Expertenwissen zu den Auswirkungen von KI auf die Cyber-Sicherheit und Strategien zur Stärkung der digitalen Verteidigung. Darüber hinaus biete der Verband KI-Schulungen und weltweit anerkannte Zertifizierungen für Informationssicherheit an – darunter den „Certified Information Security Manager“ (CISM) und den CCOA.

Weitere Informationen zum Thema:

ISACA
Expert guidance and practical tools to stay ahead of the curve in your cybersecurity career

ISACA, Megan Hall, 10.01.2025
Five Ways to Make Better Use of Emerging Technology in the New Year

ISACA, Niel Harper, 09.01.2025
Five Ways Security Professionals Can Start the New Year Strong

datensicherheit.de, 07.12.2023
Künstliche Intelligenz – Trends im Jahr 2024 / Warum Embedded-KI in der Industrie noch wichtiger wird

[datensicherheit.de, 14.02.2025] Aus Anlass des „Safer Internet Day“ am 11. Februar 2025 geht ISACA in einer Stellungnahme auf den eigenen „State of Privacy 2025“-Report ein – demnach bieten zwar 87 Prozent der Unternehmen ihren Mitarbeitern Datenschutz-Schulungen an, aber nur 68 Prozent aktualisieren diese Materialien regelmäßig. ISACA warnt daher vor den Risiken, denen Unternehmen aufgrund unzureichender Datenschutz-Schulungen ausgesetzt sind.

87 Prozent der Unternehmen bieten Datenschutz-Schulungen an…

Der Bericht „State of Privacy 2025“ zeige, dass zwar 87 Prozent der Unternehmen Datenschutz-Schulungen anbieten, aber nur 68 Prozent die Inhalte regelmäßig aktualisieren, „so dass sie aufgrund der Lücken anfällig für neue Bedrohungen sind“. Diese besorgniserregende Erkenntnis werde durch Daten der Weltbank noch untermauert, „aus denen hervorgeht, dass Cyber-Vorfälle in den letzten zehn Jahren um durchschnittlich 21 Prozent pro Jahr zugenommen haben“.

Obwohl 74 Prozent der Befragten angegeben hätten, dass ihre Datenschutz-Strategien mit den Unternehmenszielen übereinstimmten, aktualisierten nur 59 Prozent die Schulungen jährlich, während neun Prozent dies alle zwei bis fünf Jahre täten. „Das bedeutet, dass etwa 32 Prozent der Mitarbeitenden nicht ausreichend geschult werden, um neue Datenschutz-Bedrohungen am Arbeitsplatz zu bekämpfen.“

Cyber-Sicherheit und Datenschutz mehr als rein technische Fragen

Cyber-Sicherheit und Datenschutz seien nicht mehr nur technische Fragen, sondern hätten sich zu strategischen Herausforderungen entwickelt, bei denen es um den Schutz des digitalen Vertrauens gehe. „Wie sich in den Ergebnissen von ISACA zeigt, sind regelmäßige Schulungen ein entscheidendes Element für zwei wichtige Cyber-Sicherheitsstrategien: Risikominderung und Datenschutz.“ Mehrere Studien bewiesen, dass Unternehmen, die in diesem Bereich bewährte Praktiken anwendeten, in der Regel weniger Cyber-Vorfälle erlitten und ein größeres Vertrauen bei Kunden und Partnern genössen.

„Der ,Safer Internet Day’ ist eine ideale Gelegenheit, um sich bewusst zu machen, wie wichtig es ist, den Datenschutz in allen Geschäftsbereichen zu verankern!“ Neue Technologien wie Künstliche Intelligenz (KI) und das Internet der Dinge (IoT) vergrößerten die Angriffsfläche, so dass sowohl Mitarbeiter als auch Unternehmensleitungen darauf vorbereitet sein müssten, auf mögliche Vorfälle zu reagieren.

Herausforderung für Unternehmen: KI gewinnt bei Verwaltung des Datenschutzes immer größere Bedeutung

Eines der Hauptprobleme für Unternehmen sei die zunehmende Rolle der KI bei der Verwaltung des Datenschutzes. Laut dem Bericht „State of Privacy 2025“ nutzten bereits elf Prozent der Unternehmen KI für datenschutzrelevante Aufgaben wie die Automatisierung von Risikobewertungen, die Erkennung von Anomalien und die Einhaltung gesetzlicher Vorschriften.

Diese Instrumente verbesserten zwar die betriebliche Effizienz, „bergen aber auch Risiken, wenn ethische Grundsätze und ,Privacy by Design’ nicht angewandt werden“. Ein Mangel an Transparenz in Bezug auf die Funktionsweise von Algorithmen könne das Vertrauen untergraben und zu Verstößen gegen Vorschriften führen – insbesondere im Hinblick auf den kürzlich erlassenen „EU AI Act“.

Kontinuierlicher Verbesserungsansatz für Datenschutz-Schulungen empfohlen

Daher empfiehlt ISACA Unternehmen, die ihre Datenschutz-Schulungsprogramme verbessern wollen, einen kontinuierlichen Verbesserungsansatz zu verfolgen:

„Dazu gehören nicht nur die Aktualisierung von Schulungsinhalten und das Erlangen von Zertifizierungen, sondern auch das Durchführen von Simulationen und praktischen Übungen, um die Reaktionsfähigkeit auf Vorfälle zu stärken.“

Weitere Informationen zum Thema:

ISACA
Archived Webinar—The State of Privacy 2025 (Archived until 28 January 2026)

[datensicherheit.de, 19.07.2024] Chris Dimitriadis, „Chief Global Strategy Officer“ bei ISACA (ein globaler Berufsverband für IT-Revisoren, Informationssicherheitsmanager und IT-Governance-Experten), berichtet in seiner aktuellen Stellungnahme über die Vorkommnisse vom 19. Juli 2024: „Eine massive, weltweite IT-Störung bei Microsoft verursacht seit Stunden Chaos in zahlreichen Branchen. Unter anderem Fluggesellschaften, Banken, Behörden und Medienorganisationen sind betroffen. Länder in Europa, die USA, Neuseeland und Australien melden Pannen bei ihren substanziell wichtigen Computersystemen.“ Dimitriadis gibt eine persönliche Einschätzung der Situation ab, welche er als eine „Digitale Pandemie“ bezeichnet.

Sobald ein IT-Dienstleister der digitalen Lieferkette betroffen ist, kann diese zusammenbrechen

„Dies ist eine ausgewachsene Krise. Sobald ein Dienstleister in der digitalen Lieferkette betroffen ist, kann die gesamte Kette zusammenbrechen und großflächige Ausfälle verursachen“, warnt Dimitriadis. Dieser Vorfall sei ein klares Beispiel dafür, was man eine „Digitale Pandemie“ nennen könnte – „ein einzelner Ausfallpunkt, der sich auf Millionen von Menschen weltweit auswirkt“: Ärzte könnten Kranke nicht behandeln, Medien könnten keine Nachrichten senden und Reisende säßen auf den Flughäfen fest… „Es geht nicht nur um Betriebsabläufe, sondern um Menschen!“

Dieser Ausfall sei das Ergebnis einer zunehmend komplexen und vernetzten digitalen Welt. Aus eben diesem Grund sei die Cyber-Resilienz von entscheidender Bedeutung für die Gewährleistung der Sicherheit und des Wohlergehens der Bürger sowie für die globale Wirtschaft. „Auch wenn wir noch auf weitere Details zu dem Vorfall warten, wissen wir, dass die Kosten und Auswirkungen dieses Vorfalls noch monatelang zu spüren sein werden“, so Dimitriadis.

Auch Unternehmen der Cyber-Sicherheit sind Teil der fragilen IT-Lieferkette

Manchmal würden solche Vorfälle durch unbeabsichtigte Fehler bei Software-Updates verursacht, manchmal seien sie das Ergebnis eines Cyber-Angriffs. „Die Ironie dabei ist, dass auch Unternehmen, die sich für Cyber-Sicherheit einsetzen, Teil der Lieferkette sind, und dass dieselben Unternehmen, die sich für den Aufbau von Cyber-Resilienz engagieren, selbst zu Opfern werden und die kontinuierliche Durchführung der Dienstleistungen beeinträchtigen können“, kommentiert Dimitriadis.

Dieser Vorfall unterstreicht laut Dimitriadis „die dringende Notwendigkeit einer robusten Cyber-Resilienz und -Vorbereitung, um ähnliche Krisen in Zukunft zu verhindern“. Bei der Cyber-Sicherheit seien das Erkennen und die Reaktion im Fall einer Krise ebenso wichtig wie Schutz und Prävention. „Die richtigen Protokolle für den Krisenfall müssen vorzeitig erstellt werden, damit Betroffene bei Angriffen und Ausfällen umgehend handeln können, um den Schaden und die Beeinträchtigung zu minimieren.“ Dies sei aber nur möglich, wenn es Mitarbeiter mit den notwendigen Fähigkeiten gibt, um maßgeschneiderte Sicherheitsrahmen für die Unternehmen zu schaffen. Zudem müsse sichergestellt sein, dass alle Beteiligten darin geschult wurden, diese Protokolle zu befolgen. „Wenn wir nicht vorbereitet sind, wird sich so etwas nur wiederholen“, gibt Dimitriadis zu bedenken.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 19.07.2024
Weltweite IT-Ausfälle

datensicherheit.de, 20.07.2024
Software-Problem vom 19. Juli 2024 als Warnung: Großflächiger Cyber-Angriff könnte Welt ins Chaos stürzen / Im Falle eines böswilligen Cyber-Angriffs wäre laut Dennis Weyel die Situation für die Menschheit noch weitaus ernster

datensicherheit.de, 19.07.2024
CrowdStrike: Ein IT-Update und es wackelt die ganze Welt / Alain Blaes kommentiert globale IT-Ausfälle vom 19. Juli 2024

datensicherheit.de, 19.07.2024
IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024 / Grund dafür soll ein Update einer IT-Sicherheitssoftware sein, welches offenbar zahlreiche Rechner lahmgelegt hat

[datensicherheit.de, 17.05.2020] Vectra AI, Anbieter einer KI-basierten Plattform für IT-Sicherheit, berichtet über eine aktuelle Untersuchung der ISACA (Information Systems Audit and Control Association). Diese ergab, dass nur 51 Prozent der Cybersicherheitsteams vorbereitet sind, den Anstieg der Cybersicherheitsangriffe, der mit der Verbreitung des neuartigen COVID-19-Virus einhergeht, zu erkennen und darauf zu reagieren. Zu viele Unternehmen mussten in der Corona-Krise oft (zu) schnell handeln und der Geschäftskontinuität Vorrang vor der Sicherheit einräumen. Dabei wurde häufig übersehen, dass selbst die Tools, welche die IT-Sicherheitsprofis nutzen um aus der Ferne ihrer Arbeit nachzukommen, in vielen Fällen ein Sicherheitsrisiko darstellen.

Andreas Müller, Director DACH bei Vectra AI, Foto: Vectra

Dazu erklärt Andreas Müller, Director DACH bei Vectra AI:

„Die Zunahme der Telearbeit hat zu Problemen mit RDP, VDI, VPN sowie bei SaaS-Anwendungsnutzung, beschleunigter Projekteinführung und Schatten-IT geführt. Dies alles hat zu einer erweiterten Angriffsfläche für Angriffe via Fernzugriff beigetragen. Der Fernzugriff muss daher geschützt und überwacht werden. Viele Unternehmen haben jedoch nur einen begrenzten Überblick, was in ihrer erweiterten Netzwerkumgebung vorgeht.

Ein kürzlich veröffentlichter Einblick in die IoT-Suchmaschine Shodan ergab zum Beispiel, dass es in Großbritannien über 100.000 RDP-Hosts gibt, die dem Internet ungeschützt ausgesetzt sind. Noch beunruhigender ist, dass zuletzt in Deutschland 5.499 RDP-Hosts gegen die BlueKeep-Schwachstelle für Remote-Ausführung nicht geschützt waren.

Wir werden auch nach der COVID-19-Pandemie weiterhin verstärkt aus der Ferne arbeiten. Daher besteht die Notwendigkeit, heute taktisch zu handeln, um die Sicherheitslage und den Einblick zu verbessern, wo immer dies möglich ist. Unternehmen, die jetzt Änderungen vornehmen, sollten diese Gelegenheit nutzen, um auch strategisch dorthin zu gelangen, wo sie in Zukunft in Sachen IT und Cybersicherheit stehen wollen.“

Weitere Informationen zum Thema:

datensicherheit.de, 16.05.2020
Remote-Desktop-Protocol: Neue schwerwiegende Schwachstelle entdeckt

datensicherheit.de, 13.05.2020
Covid-19: Cyberangriffe auf kritische Dienste während der Pandemie

datensicherheit.de, 06.05.2020
Tenable: Diese Schwachstellen bedrohen mobiles Arbeiten derzeit besonders stark

datensicherheit.de, 10.04.2020
SANS Institute: Anstieg bei Angriffen auf das Remote Desktop Protocol