[datensicherheit.de, 19.12.2025] Auch MetaCompliance, ein auf „Human Risk Management“ spezialisiertes Unternehmen für IT-Sicherheitstrainings, wirft einen Blick in das bevorstehende Jahr, 2026, und auf menschliches Fehlverhalten. Andy Fielder, CTO bei MetaCompliance, empfiehlt in diesem Zusammenhang einen klareren Überblick über die organisatorische Verteidigung eines jeweiligen Unternehmens sowie die Priorisierung individueller Sicherheitstrainings für einzelne Mitarbeiter.

Foto: MetaCompliance

Andy Fielder: Eine der größten Sicherheitsherausforderungen für 2026 ist die Minimierung menschlicher Fehler!

Um menschliche Fehler zu minimieren, müssen Unternehmen über reine Abarbeitung von Sicherheitsmaßnahmen hinausgehen

Fielder kommentiert: „Eine der größten Sicherheitsherausforderungen für 2026 ist die Minimierung menschlicher Fehler. 2025 war geprägt von einem Anstieg der Bedrohungen und intelligenteren Methoden zur Identifizierung von Schwachstellen.“ Das Risikomanagement im Zusammenhang mit menschlichen Fehlern habe jedoch nicht Schritt gehalten.

• Technische Kontrollen wie „Endpoint Security“ (EDR), „Device Compliance“ (MDM), Datenschutz und „Security Information and Event Management“ (SIEM)-Systeme seien leistungsfähiger geworden und würden Angreifer dazu zwingen, sich darauf zu konzentrieren, Mitarbeiter durch Tricks zum Anklicken schädlicher Links und zur Weitergabe sensibler Informationen zu verleiten.

„Um menschliche Fehler im Jahr 2026 zu minimieren, müssen Unternehmen über die reine Abarbeitung von Sicherheitsmaßnahmen hinausgehen und stattdessen einen personalisierten Ansatz für das individuelle Risiko verfolgen!“, so Fielder.

Lernprozesse genau dann anstoßen, wenn ein Mensch riskante Aktivitäten ausführt

Dies bedeute die Integration externer Datenquellen in bestehende Plattformen zur Sensibilisierung für Sicherheitsthemen, um das tatsächliche Risikoprofil eines Benutzers zu analysieren. Organisationen könnten diese Daten nutzen, um zu erkennen, ob ein Mitarbeiter aufgrund seines Verhaltens oder seiner Zugriffsrechte ein höheres Sicherheitsrisiko darstellt.

• Dies ermögliche es der Sicherheitsplattform, Lernprozesse genau dann anzustoßen, wenn jemand riskante Aktivitäten ausführt – und um so das Sicherheitsbewusstsein von einem reaktiven zu einem proaktiven Ansatz zu entwickeln. „Für den CISO und sein Team bieten die Daten zudem die Möglichkeit, die Verbesserung ihrer Abwehrmechanismen zu überprüfen“, erläutert Fielder.

Erkenntnisbasiertes Risikomanagement könne Sicherheitsteams Risikoprofile für das Unternehmen, Abteilungen und bis hin zur individuellen Ebene bereitstellen. So könne das Unternehmen nachverfolgen, ob Risiken steigen oder sinken. Fielders Fazit: „Ein klarer Überblick über die organisatorische Verteidigung des Unternehmens und die Priorisierung von Sicherheitsmaßnahmen für die Mitarbeiter werden im Jahr 2026 von entscheidender Bedeutung sein.“

Weitere Informationen zum Thema:

MetaCompliance
Über uns: Die Zukunft des menschlichen Risikomanagements gestalten / Bei MetaCompliance verwandeln wir menschliches Risiko in Widerstandsfähigkeit. Durch die Kombination von Personalisierung, Innovation und menschlicher Unterstützung liefern wir Lösungen für das Sicherheitsbewusstsein und die Einhaltung von Vorschriften, die nicht einfach nur Kästchen abhaken, sondern dauerhafte Verhaltensänderungen bewirken.

MetaCompliance, Company News, 05.09.2025
MetaCompliance Appoints Andy Fielder as Chief Technology Officer

MetaCompliance
Warum MetaCompliance? Wir gehen über das Abhaken von Schulungen hinaus. Unsere Plattform für das menschliche Risikomanagement und unsere Lösungen für das Sicherheitsbewusstsein sind darauf ausgerichtet, Verhaltensweisen zu ändern, Risiken zu verringern und eine dauerhafte Veränderung der Unternehmenskultur zu bewirken – und das alles, während Sie Zeit sparen und Ihr Unternehmen schützen.

datensicherheit.de, 18.12.2025
Bekämpfung von KI-gestütztem Social Engineering: KnowBe4 stellt Deepfake-Training bereit / KnowBe4 hat als Anbieter einer weltweit renommierten Plattform, welche sich umfassend mit „Human Risk Management“ und agentenbasierter KI befasst, nun eine Deepfake-Schulung eingeführt

datensicherheit.de, 13.09.2025
CEO DEEPFAKE CALL: Bei Anruf Awareness-Training zum Thema Vishing / Swiss Infosec bietet proaktiv Sensibilisierung und Training für Mitarbeiter im Kontext der Gefahren KI-basierter Anrufsimulationen (Voice AI Deepfakes) an

datensicherheit.de, 20.06.2025
Cybersicherheit geht alle an: Interaktive Trainingsplattform CyberALARM für Unternehmen vorgestellt / Mit „CyberALARM“ soll eine praxisnahe, interaktive Plattform für mehr Cybersicherheit im Mittelstand, im öffentlichen Sektor und in Bildungseinrichtungen geboten werden

datensicherheit.de, 03.06.2025
Security Awareness Trainings: Dringender Bedarf angesichts zunehmender Cyberbedrohungen in Europa – insbesondere Phishing / Der „2025 Phishing by Industry Benchmarking Report“ von KnowBe4 zeigt einen Rückgang des „European Phish-prone Percentage“ auf fünf Prozent nach zwölf Monaten Sicherheitsschulungen

datensicherheit.de, 09.09.2020
kaspersky-Training zeigt: Mitarbeiter überschätzen eigene IT-Kenntnisse / Mitarbeiter machen 90 Prozent der Fehler – aber in der Überzeugung, das Richtige zu tun

[datensicherheit.de, 11.12.2025] Seit dem 6. Dezember 2025 gilt die NIS-2-Richtinie nun offiziell – ohne jegliche Übergangsfristen. Am 13. November 2025 war das Maßnahmenpaket final im Bundestag beschlossen worden. Diese Verabschiedung und das Inkrafttreten stellten nun „einen Wendepunkt für den deutschen Mittelstand“ dar. Alexander Ingelheim, CEO und Mitgründer von Proliance, kommentiert: „Endlich erhalten Unternehmen Rechtssicherheit, während die Cybersicherheit entscheidend gestärkt wird. Denn: Die Vorgabe verpflichtet deutlich mehr Unternehmen und Branchen zur Einhaltung einheitlicher europäischer Sicherheitsstandards und schreibt strengere Vorgaben für die IT-Sicherheit vor.“

Foto: Proliance

Alexander Ingelheim: Gerade für den Mittelstand wird NIS-2 dazu führen, die Cyberresilienz deutlich zu stärken!

NIS-2 gilt für Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz

Zudem erweitere NIS-2 die Meldepflichten bei Sicherheitsvorfällen und verschärfe die Sanktionen bei Verstößen. Darüber hinaus solle die Zusammenarbeit der EU-Mitgliedstaaten bei der Abwehr von Cyberangriffen gestärkt werden.

• „NIS-2 gilt für Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz. Somit sind je nach Schätzung etwa 30.000 bis 40.000 deutsche Betriebe aus 18 festgelegten Sektoren ganz konkret betroffen. Bedenkt man die Wertschöpfungsketten, könnte sich laut dem Institut der deutschen Wirtschaft (IW) für über 200.000 weitere Firmen eine indirekte Verpflichtung ergeben.“

Der Zeitpunkt zum Handeln sei also gekommen: „Doch was können Betriebe tun, um so schnell wie möglich ,compliant’ zu werden?“ Ingelheim gibt eine Übersicht der wichtigsten ersten Schritte, welche Unternehmen nun dringend angehen sollten.

Proliance-Empfehlungen für erste Handlungsschritte zur Einhaltung der NIS-2-Richtlinie:

• Durchführung einer Risikobewertung
  Von NI-2 betroffene Firmen müssten jetzt ihre Netz- und Informationssysteme auf Schwachstellen und Bedrohungen hin analysieren sowie die bestehenden Risiken klassifizieren und bewerten.
• Implementierung eines Sicherheitsplans
  Basierend auf den Ergebnissen dieser Analyse sollte ein Sicherheitsplan entwickelt werden, welcher spezifische NIS-2-Maßnahmen zur Risikominimierung enthält. Dazu gehörten Technische und Organisatorische Maßnahmen (TOM) zur Sicherheit, genauso wie die Schaffung von Sicherheitsprotokollen, regelmäßige Überprüfung und Aktualisierung der Systeme sowie kontinuierliche Mitarbeiterschulungen.
• Etablierung von Meldeverfahren
  Ein nächster Schritt bestehe darin, sicherzugehen, dass transparente und effiziente Meldeverfahren für den Fall eines Vorfalls bestehen. Dadurch würden Vorfälle schneller erkannt, gemeldet und Maßnahmen zur Eindämmung eingeleitet.
• Zusammenarbeit mit Behörden und anderen Betrieben
  Unternehmen seien gut beraten, enge Beziehungen zu den zuständigen Behörden sowie anderen Einrichtungen in ihrer Branche aufzubauen und zu pflegen. Der Austausch – zum Beispiel bezüglich bewährter Verfahren und Prozesse – helfe das allgemeine Cybersicherheitslevel zu steigern.
• Regelmäßige Prüfung und Anpassung aller NIS-2-Maßnahmen
  Generell gelte: Die Schaffung einer guten Grundlage in Sachen IT-Sicherheit sei ein fortlaufender Prozess. Langfristig gesehen sollten Betriebe ihre Sicherheitsmaßnahmen regelmäßig überprüfen und an neue Bedrohungsszenarien sowie technologische Entwicklungen anpassen. Dazu gehöre kontinuierliches Monitoring aller Prozesse und die Flexibilität, auf neue Herausforderungen schnell zu reagieren.

Um NIS-2-Maßnahmen konkret umzusetzen, sollte ein spezialisiertes Cybersicherheitsteam zur Verfügung stehen

Ingelheim rät betroffenen Unternehmen: „Um diese Maßnahmen konkret umzusetzen, bietet sich die Etablierung eines spezialisierten Cybersicherheitsteams an, falls noch nicht vorhanden. Dies ist einer der wichtigsten Schritte, um schnell in die Handlung zu kommen.“

• Auch sollten Betriebe über die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach aktuellen Standards wie ISO 27001 oder dem BSI-Grundschutz nachdenken. „Im Idealfall hilft die Lösung bei der systematischen Verwaltung von Sicherheitsrisiken und kontinuierlichen Verbesserung der etablierten Maßnahmen.“

Ingelheim betont: „Dass die Einführung eines Regelwerks wie NIS-2 längst überfällig war, zeigen aktuelle Zahlen aus der Praxis. Während Unternehmen ihren Reifegrad in der Informationssicherheit kurz vor der Abstimmung im Bundestag durchschnittlich mit 4,1 von 5 Punkten bewerteten, meldete fast jedes dritte mindestens einen schwerwiegenden Sicherheitsvorfall in den vergangenen drei Jahren. Diese Selbstwahrnehmung steht hier in eklatantem Widerspruch zur Realität. Für unsere Studie wurden 122 mittelständische Entscheider befragt.“

Es gilt zudem das Haftungsrisiko zu senken, welches im Zuge von NIS-2 auch Einzelpersonen betrifft

Ingelheims Fazit: „Auch wenn die Richtlinie und Ihre Umsetzung zeitweise für Verunsicherung gesorgt hat: Gerade für den Mittelstand wird NIS-2 dazu führen, die Cyberresilienz deutlich zu stärken. Schließlich helfen vorab definierte Notfall- und Wiederanlaufprozesse im Rahmen des ,Business Continuity Managements’ Unternehmen dabei, nach Cyberattacken schnell wieder arbeitsfähig zu werden.“

• Außerdem schütze ein hohes Niveau an Informationssicherheit personenbezogene wie auch vertrauliche Daten und beuge Pannen in im Kontext der Datensicherheit vor. Sogar die Effizienz steige, denn die Umsetzung des Regelwerks schaffe Prozessklarheit, verschlanke Abläufe, mache Risiken sichtbar und somit besser beherrschbar.

„Zuletzt senken Geschäftsführer und Führungskräfte ihr eigenes, ganz persönliches Risiko, denn eine lückenlose Umsetzung vermindert deutlich das Haftungsrisiko, welches im Zuge von NIS-2 auch für sie als Einzelpersonen gilt!“ Mithilfe der oben erwähnten Schritte – idealerweise in Kombination mit einer Lösung, die beim Monitoring und Management von Fallstricken in Sachen Informationssicherheit hilft – erreichten Unternehmen schnell und unkompliziert „Compliance“ im Sinne der NIS-2-Richtlinie.

Weitere Informationen zum Thema:

proliance
Über uns: Professional Compliance aus München mit Leidenschaft für kleine und mittlere Unternehmen

prpliance
Alexander Ingelheim – Co-Founder & CEO

proliance, 2025
Cyberresilienz-Studie 2025: Wo steht der deutsche Mittelstand?

Die Bundesregierung, 08.12.2025
Gesetz in Kraft getreten: Mehr digitale Sicherheit / Die Bundesregierung will neue europäische Sicherheitsstandards für Wirtschaft und Verwaltung in deutsches Recht umsetzen. Ein entsprechendes Gesetz der Bundesregierung ist nun in Kraft getreten. Ein Überblick.

datensicherheit.de, 10.12.2025
NIS-2: Vielen Unternehmen fehlt es an Kapazitäten zur Umsetzung und zum Nachweis / Greg Hansbuer rät im Kontext der NIS-2-Umsetzung zur Nutzung von „Remote Managed Services“ zur professionellen Bereitstellung der Technologie und Verantwortungsübernahme für definierte Betriebsprozesse

datensicherheit.de, 09.12.2025
NIS-2-Umsetzung: 5 Branchen am stärksten betroffen / Die NIS-2-Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen

datensicherheit.de, 07.12.2025
NIS-2-Umsetzungsgesetz in Kraft: Verpflichtende Umsetzungsphase lässt keine weiteren Verzögerungen zu / Die NIS-2-Vorgaben gelten nunmehr für viele Organisationen in „wichtigen“ und „kritischen“ Sektoren und reichen deutlich weiter als bisherige KRITIS-Regelungen

datensicherheit.de, 06.12.2025
Cybersicherheitsrecht verschärft: NIS-2-Umsetzungsgesetz ab 6. Dezember 2025 wirksam / Mit Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut BSI „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

[datensicherheit.de, 28.08.2025] Die Universität Paderborn meldet, dass ihr Kompetenzbereich „Digital Security“ des SICP („Software Innovation Campus Paderborn“) am 9. und 10. September 2025 zur 19. Auflage des „Paderborner Tags der IT-Sicherheit“ einlädt. Experten aus Wissenschaft und Wirtschaft beleuchten demnach an diesen beiden Tagen zentrale Themen der digitalen Sicherheit – darunter den sicheren Einsatz Künstlicher Intelligenz (KI), regulatorische Herausforderungen durch die Richtlinie zur Stärkung der Cybersicherheit (NIS-2) und den „Cyber Resilience Act“ (CRA), Angriffe auf Schnittstellen (REST-APIs) sowie die Bedeutung guter Sicherheitskommunikation. Dieses Format kombiniere praxisnahe Vorträge mit interaktiven Workshops.

„19. Paderborner Tag der IT-Sicherheit“

Dienstag, 9. September, und Mittwoch, 10. September 2025
Zukunftsmeile 2 (ZM2) in 33102 Paderborn
Teilnahme kostenlos – Online-Anmeldung erforderlich.

Impulse zur IT-Sicherheit aus Forschung und Praxis

Am ersten Veranstaltungstag stehen Vorträge zur automatischen Identifikation von Schwachstellen, zu KI und Informationssicherheit, zu rechtlichen Risiken der NIS-2-Umsetzung, zu einer App zur Verhaltensänderung für mehr IT-Sicherheit sowie zu sicheren Softwarekomponenten in der Automatisierungsindustrie auf dem Programm.

• „Zentrale Herausforderungen wie die Absicherung KI-basierter Systeme oder die Umsetzung regulatorischer Anforderungen treffen aktuell auf große Umsetzungsunsicherheit. Unser Ziel ist es, diese Debatten konstruktiv mitzugestalten – praxisnah, interdisziplinär und fundiert“, betont Dr. Simon Oberthür, Leiter des Kompetenzbereichs „Digital Security“ im SICP.

„Keynotes“ zur IT-Sicherheit unserer Netze und unserer Privatsphäre

Am ersten Veranstaltungstag werde Dr. Carmela Troncoso, wissenschaftliche Direktorin am Max-Planck-Institut für Sicherheit und Privatsphäre, in einer englischsprachigen „Keynote“ eine Analyse datenschutzfördernder Technologien präsentieren. „Sie erläutert, inwieweit die von diesen Technologien gebotenen Datenschutzmechanismen ausreichen, um digitale Dienste so zu gestalten, dass sie nicht das Risiko erhöhen, dass Individuen oder Gemeinschaften dadurch Schaden nehmen.“

Prof. Dr. Katharina Kohls, Leiterin des Lehrstuhls für Systemsicherheit an der Ruhr-Universität Bochum, werde erörtern, wie systemische Schwächen in Mobilfunkarchitekturen entstehen und wie diese zu Angriffen auf Infrastruktur und Nutzende führen könnten.

• „Beide ,Keynotes’ zeigen eindrucksvoll, dass technische Maßnahmen wie Kryptographie oder Protokolle nur dann wirksam sind, wenn sie im gesellschaftlichen und infrastrukturellen Kontext reflektiert werden. Das ist entscheidend für künftige Sicherheitslösungen“, erläutert Prof. Dr. Yasemin Acar, Direktorin des Kompetenzbereichs „Digital Security“ im SICP.

Herausforderung an die IT-Sicherheit durch Morphing-Angriffe

Den zweiten Veranstaltungstag werde Dr. Johannes Merkle von der secunet Security Networks AG mit einer „Keynote“ zur Detektion von Morphing-Angriffen eröffnen, welche insbesondere für Digitale Identitäten und biometrische Sicherheitssysteme relevant seien.

• „Morphing-Attacken unterwandern biometrische Verfahren an der Wurzel. Diese ,Keynote’ bringt ein Thema auf die Bühne, das durch EU-weit geplante Digitale Identitäten höchste Relevanz erhält“, unterstreicht Oberthür.

Workshops: Praktische Umsetzung der IT-Sicherheit

Am zweiten Tag erwarteten die Teilnehmer zusätzlich praxisnahe Workshops – etwa zu systematischer Reaktion auf Sicherheitsvorfälle (Incident Response), REST-API-Sicherheit, typischen Konfigurationsfehlern beim Authentifizierungsschema „Single Sign On“ (SSO), Post-Quantum-Kryptographie oder NIS-2-Kompetenzentwicklung.

Unterstützt werde diese Veranstaltung durch das Innovationsnetzwerk InnoZent OWL e.V., die „Regionalgruppe OWL“ der Gesellschaft für Informatik e.V. und den Kreis Paderborn.

Weitere Informationen zum Thema:

SiCP
Das sind wir!

SiCP
19. Pa­der­bor­ner Tag der IT-Si­cher­heit / Dienstag, 09.09. und Mittwoch, 10.09.2025

SiCP
Anfahrt

19. Tag der IT-Sicherheit, 9.–10. Sept. 2025
SICP – Software Innovation Campus Paderborn / Anmeldung Teilnahme an der Veranstaltung

UNIVERSITÄT PADERBORN
Dr. Simon Oberthür

MAX-PLANCK-GESELLSCHAFT
Prof. Dr. Carmela Troncoso / Max-Planck-Institut für Sicherheit und Privatsphäre

RUB Faculty of Computer Science
Prof. Dr. Katharina Kohls / Systemsicherheit

UNIVERSITÄT PADERBORN
Prof. Dr. Yasemin Acar / Empirische Softwaretechnik

ResearchGate
Johannes Merkle / Doctor of Mathematics / secunet Security Networks

InnoZent OWL
WILLKOMMEN!

GI REGIONALGRUPPE Paderborn
OWL mit Informatik- und Industrie4.0-Hochburgen / OWL ist mit Paderborn die IT-Stadt mit der höchsten IT-Dichte in ganz NRW und dem drittgrößten IT-Zentrum Europas.

Kreis Paderborn
Imagefilm – OstWestfalenLippe – Ganz oben in Nordrhein-Westfalen

[datensicherheit.de, 25.08.2025] Cybersicherheit werde in vielen Unternehmen noch immer als rein technisches Problem behandelt – „ein Fehler“, moniert Jana-Irina Luley, „Senior Director & General Manager Enterprise Private“ bei Dell Technologies Deutschland. Sie stellt in ihrer aktuellen Stellungnahme klar, dass IT-Sicherheit eben vielmehr der strategische Hebel für Resilienz und Wettbewerbsfähigkeit von Unternehmen ist.

Foto: Dell Technologies Deutschland

Jana-Irina Luley zur Rolle des für Cybersicherheit Verantwortlichen im Unternehmen: Ein klares Mandat, eine strukturelle Verankerung im Top-Management und damit eine Entscheidungsgewalt!

Cybersicherheit oft nur als klassisches IT-Problem behandelt

Luley führt aus: „In vielen Unternehmen wird Cybersicherheit noch immer wie ein klassisches IT-Problem behandelt – operativ, technisch und punktuell. Doch diese Sichtweise greift zu kurz, denn in einer zunehmend vernetzten, KI-beschleunigten Wirtschaft ist IT-Sicherheit längst nicht mehr nur ein dringend notwendiger Schutzmechanismus…“

• Sie sei vielmehr der strategische Hebel für wirtschaftliche Resilienz, für eine vertrauensvolle Beziehung mit den Stakeholdern und letztlich auch für mehr Wettbewerbsfähigkeit.

Trotzdem fehle ihr in vielen Organisationen genau das, was sie bräuchte: „Ein klares Mandat, eine strukturelle Verankerung im Top-Management und damit eine Entscheidungsgewalt!“

Verantwortliche für Cybersicherheit im Spannungsfeld widersprüchlicher Interessen

Oft sehe die Realität jedoch noch anders aus: „Wer Verantwortung für Cybersicherheit trägt, steht im Spannungsfeld zwischen widersprüchlichen Interessen. Ein zusätzlicher Sicherheitstest? ,Zu teuer’, sagt das ,Controlling’. Granulare Rechtevergabe? ,Zu umständlich’, meint die ,IT’. Netzwerkrestriktionen für sensible Bereiche? ,Ein Affront gegenüber der Belegschaft und damit ein Risiko fürs Betriebsklima’, findet das ,Management’.“

• Kurzum: Businessziele würden gegen Sicherheitsanforderungen, Benutzerkomfort gegen Risikominimierung und Innovationsdrang gegen Kontrollbedarf abgewogen. Studien wie die „Digital Trust Insights 2025“ von PwC zeigten: „Nur 44 Prozent der deutschen Befragten trauen ihrer eigenen Führungsriege beim Thema Cybersecurity echte Durchschlagskraft zu. Und gerade einmal 35 Prozent der CISOs in deutschen Unternehmen sind aktiv an Infrastruktur- und Technologieentscheidungen beteiligt.“

Die unbequeme Wahrheit sei, dass es in vielen Unternehmen den CISO-Posten nicht einmal gebe. „Und wenn doch, dann ist dieser mehr Mahner als Entscheider. Damit bleibt seine Schlagkraft begrenzt, wie die PwC-Studie belegt.“ Häufig habe er nicht einmal ein eigenes Budget, keine direkte Berichtslinie ans Top-Management und kaum Einfluss auf Projektentscheidungen oder Geschäftsstrategien.

Cybersicherheit droht zum Parallelprozess statt integralem Bestandteil unternehmerischer Wertschöpfung zu werden

Der „Security-Verantwortliche“ dürfe zwar Hinweise geben, aber er dürfe nichts stoppen – „schon gar nicht, wenn ein Geschäftsbereich ein neues ,Tool’ schnell live bringen will“. Damit bleibe Cybersicherheit ein Parallelprozess statt integraler Bestandteil der unternehmerischen Wertschöpfung. Luley warnt: „Diese Entkopplung ist gefährlich, denn die Bedrohungslage ist längst nicht mehr nur hypothetisch.“

• Im Gegenteil: Künstliche Intelligenz (KI) eröffne Angriffsflächen, die bis vor Kurzem noch unvorstellbar gewesen seien – „von perfekt gemachten Phishing-Mails über täuschend echte ,Deepfakes’ bis hin zu komplett automatisierten Penetrationstools“. Gleichzeitig gerieten Lieferketten, Produktionssysteme und Kritische Infrastrukturen zunehmend ins Visier professioneller Angreifer. Luley unterstreicht: „Die Gefahr ist real und betrifft jedes Unternehmen unabhängig von der Größe!“

Abschließend gibt sie zu bedenken: „Wer heute eine Firma führt, muss Sicherheit strategisch denken! Das bedeutet: klare Verantwortlichkeiten, echte Entscheidungskompetenz und ein Platz auf Augenhöhe mit anderen C-Level-Funktionen.“ Nicht jeder Betrieb brauche einen formellen CISO – aber jeder Betrieb brauche jemanden, „der die Gefahren nicht nur kennt, sondern auch stoppen darf – und zwar rechtzeitig, bevor aus technischen Risiken ein wirtschaftlicher Schaden entsteht“.

Weitere Informationen zum Thema:

DELL Technologies
Dell Blog

pwc, 2025
Digital Trust Insights 2025 / Die deutschen Ergebnisse der globalen Cyberstudie

THE ORG
Dell Technologies / Jana-Irina Luley

datensicherheit.de, 19.08.2025
Abkehr von Technik-Zentrierung: Digitale Transformation beginnt mit Menschen / Wer die Digitale Transformation aktiv mitgestalten möchte, braucht mehr als nur technisches Know-how – strategisches Denken, moderne Führungskompetenz und betriebswirtschaftliches Verständnis gelten als zentrale Voraussetzungen für wirksames Handeln

datensicherheit.de, 26.02.2025
Stärkung der Sicherheitskultur im Unternehmen durch intensiven Informationsaustausch / KnowBe4-Bericht zur „verborgene Kraft des Informationsaustauschs bei der Gestaltung der Sicherheitskultur eines Unternehmens“ erschienen

datensicherheit.de, 15.10.2018
IT-Sicherheit: Erst über Kultur und danach über Technik reden! / Ein persönlicher Rückblick auf die „it-sa 2018“ von ds-Herausgeber Dirk Pinnow

datensicherheit.de, 14.09.2018
Lernkultur – Richtige Reaktion auf Datenschutzverletzungen durch Mitarbeiter / Kaspersky-Studie: 42 Prozent der Unternehmen weltweit hatten 2017 eine Datenpanne

[datensicherheit.de, 17.06.2025] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) meldet, dass am 17. Juni 2025 nach längerer Vorarbeit eines großen Kreises von Fachleuten als Autoren die vollständig überarbeitete TeleTrusT-Handreichung „Stand der Technik in der IT-Sicherheit“ veröffentlicht wird. Diese vor einigen Jahren durch den TeleTrusT mit Unterstützung der ENISA etablierte „Handreichung“ gilt inzwischen als eine Art Referenzstandard und wird daher häufig zitiert. Das nun vorliegende aktualisierte Dokument ist auf rund 140 Seiten angewachsen und hat erstmals eine ISBN.

Abbildung: TeleTrusT

Vollständig überarbeitete TeleTrusT-Handreichung „Stand der Technik in der IT-Sicherheit“ liegt vor

Gesetzgeber fordert Orientierung der IT-Sicherheit am sogenannten Stand der Technik

Mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (kurz: IT-Sicherheitsgesetz bzw. ITSiG) verfolgt der Gesetzgeber das erklärte Ziel, Defizite in der IT-Sicherheit abzubauen. Zusätzlich gilt seit dem 25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die Technischen und Organisatorischen Maßnahmen (TOM).

• Diese beiden Rechtsgrundlagen fordern die Orientierung der IT-Sicherheit am sogenannten Stand der Technik, lassen aber eben unbeantwortet, was im Detail konkret darunter zu verstehen ist.

Das am 25. Juli 2015 in Kraft getretene ITSiG soll demnach eine Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland herbeiführen. „Die dadurch eingeführten Gesetzesänderungen dienen dem Schutz dieser Systeme hinsichtlich der aktuellen und zukünftigen Gefährdungen der Schutzgüter Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität.“ Ausweislich der Gesetzesbegründung ist das Ziel dieses Gesetzes die Verbesserung der IT-Sicherheit von Unternehmen, der verstärkte Schutz der Bürger im Internet – und in diesem Zusammenhang auch die Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA).

Es muss ein dem Risiko angemessenes Schutzniveau gewährleistet werden

Bei dem IT-Sicherheitsgesetz handelt es sich um ein sogenanntes Artikelgesetz: Es dient lediglich der Änderung mehrerer anderer Gesetze. Durch dieses neue Gesetz wurden unter anderem Regelungen für Kritische Infrastrukturen (KRITIS) im Gesetz über das Bundesamt für die Sicherheit in der Informationstechnik (BSIG) geschaffen und gesetzliche Änderungen im Atomgesetz (AtomG), Energiewirtschaftsgesetz (EnWiG), Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) vorgenommen.

• Die „relevanten KRITIS-Betreiber“ wurden durch die im Februar 2016 veröffentlichte Verordnung konkretisiert. Obwohl das Gesetz augenscheinlich nur auf die KRITIS-Betreiber abstellt, sind von den beschlossen Änderungen auch Anbieter in den Bereichen Telemedien und Telekommunikation betroffen.

„Täglich zeigen Meldungen zu Sicherheitsvorfällen in Unternehmen und Behörden, dass dringender Handlungsbedarf zur Verbesserung der IT-Sicherheit besteht.“ Artikel 32 DSGVO regelt zur „Sicherheit der Verarbeitung“, dass „unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen sind“. Damit solle ein dem Risiko angemessenes Schutzniveau gewährleistet werden, z.B. durch Maßnahmen wie Verschlüsselung.

TeleTrusT-Handreichung soll nun konkrete Hinweise und Handlungsempfehlungen geben

„Sowohl der nationale als auch der europäische Gesetzgeber enthalten sich jedoch konkreter, detaillierter technischer Anforderungen und Bewertungskriterien für die sicherheitsrelevanten Technischen und Organisatorischen Maßnahmen.“ Den Gesetzesadressaten werden auch keinerlei methodische Ansätze geliefert. Diese Ausgestaltung – zumal in einem dynamischen Marktumfeld – soll den Fachkreisen überlassen bleiben.

• Der TeleTrusT flankiert und ergänzt die Rechtslage mit der fachlichen Kompetenz der organisierten IT-Sicherheitswirtschaft in Deutschland und hat deshalb einen verbandsinternen Arbeitskreis „Stand der Tech­nik“ initiiert, um aus Sicht der IT-Sicherheitslösungs­anbieter und ‑berater, den betroffenen Wirtschaftskreisen Handlungsempfehlungen und Orientierung zu geben.

Dieser Arbeitskreis hat den „Stand der Technik“ für die relevanten Systeme, Komponenten und Prozesse im Sinne des IT-Sicherheitsgesetzes in einer Handreichung zusammengefasst – dieses Dokument soll konkrete Hinweise und Handlungsempfehlungen geben.

Weitere Informationen zum Thema:

TeleTrusT, 17.06.2025
Handreichung Stand der Technik in der IT-Sicherheit / Technische und organisatorische Maßnahmen / 2025

SOUNDCLOUD, 2022
Stand der Technik / Franziska Bock, Karsten Bartels, Tamasz Lawicki

heise online, Holger Bleich & Joerg Heidrich, 16.12.2022
Auslegungssache 76: Zum Stand der Technik / Der Terminus „Stand der Technik“ ist so schwammig wie relevant. Im c’t-Datenschutz-Podcast bringen wir Licht ins Dunkel und erläutern, was der Begriff bedeutet.

TeleTrusT, 09.12.2020
IT-Sicherheitsgesetz / „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (ITSiG) / TeleTrusT: Ja zum Gesetzeszweck – Kritik an der Umsetzung

datensicherheit.de, 10.05.2023
Stand der Technik in der IT-Sicherheit: TeleTrusT-Handreichung in überarbeiteter Auflage erschienen / Seit 2019 etablierte und fachlich breit anerkannte Technische und organisatorische Maßnahmen (TOM) zum Stand der Technik

datensicherheit.de, 07.02.2019
Stand der Technik der IT-Sicherheit: Handreichung auch auf Englisch / ENISA und der TeleTrusT – Bundesverband IT-Sicherheit e.V. publizieren Handreichung auch in englischer Sprachfassung

datensicherheit.de, 13.06.2018
Stand der Technik: TeleTrusT veröffentlicht revidierte und erweiterte Handreichung / Technische und organisatorische Maßnahmen im Kontext der DSGVO und des IT-Sicherheitsgesetzes

datensicherheit.de, 24.08.2016
TeleTrusT: Kritische Stellungnahme zum BSI-Diskussionspapier über den Stand der Technik / Bisher keine verlässliche Anleitung für Anbieter von Telemediendiensten

datensicherheit.de, 28.05.2016
Stand der Technik: TeleTrusT legt Handreichung vor / Für Betreiber Kritischer Infrastrukturen wie für jedes Nicht-KRITIS-Unternehmen relevant

[datensicherheit.de, 30.05.2025] Frank Lange, „Technical Director“ von Anomali, geht in seiner aktuellen Stellungnahme auf eine Umfrage des Digitalverbands Bitkom e.V. zum „Data Act“ ein – diese verdeutlicht demnach, „dass sich viele Unternehmen bislang wenig mit der bevorstehenden Umsetzung des ,Data Act’ beschäftigt haben“. Dies zeige sich an den erschreckenden ein Prozent der befragten Unternehmen, welche die Vorgaben bisher vollständig umgesetzt hätten – weitere vier Prozent zumindest teilweise. Lange betont: „Dabei betrifft die Verordnung nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen.“

Foto: Anomali

Frank Lange: Unternehmen sollten die verbleibende Zeit von knapp drei Monaten nutzen, um ihre Datenstrategie zu überprüfen…

Hoher Umsetzungsaufwand der komplexen Anforderungen des „Data Act“

Die Anforderungen des „Data Act“ seien komplex und verursachten insbesondere für die IT- und Security-Abteilungen einen hohen Umsetzungsaufwand.

• „Gerade die Integration datenschutzrechtlicher Vorgaben in bestehende IT-Infrastrukturen erfordert moderne, skalierbare Plattformen, die eine umfassende Sicht auf sämtliche Sicherheitsdaten ermöglichen.“

Hierbei spielten automatisierte Analysen, Künstliche Intelligenz (KI) und ein einheitliches Management von Sicherheits- und IT-Operations-Daten eine zentrale Rolle.

Umsetzung des „Data Act“ beschleunigen und zugleich Innovationsfähigkeit erhalten

Durch die Kombination von „Security Information and Event Management“ (SIEM), „Threat Intelligence“ und automatisierter Reaktion könnten Unternehmen ihre Ressourcen effizienter einsetzen, die Umsetzung des „Data Act“ beschleunigen und zugleich ihre Innovationsfähigkeit erhalten.

• Lange rät eindringlich: „Unternehmen sollten die verbleibende Zeit von knapp drei Monaten nutzen, um ihre Datenstrategie zu überprüfen, bestehende Sicherheitsprozesse zu modernisieren und auf Technologien zu setzen, die Skalierbarkeit, Transparenz und Automatisierung bieten!“

Nur so lasse sich der Balanceakt zwischen regulatorischer „Compliance“ und datengetriebener Innovation erfolgreich meistern.

Weitere Informationen zum Thema:

bitkom, 20.05.2025
100 Tage vor dem Data Act: Kaum ein Unternehmen ist vorbereitet

Europäische Kommission
Datengesetz

DIHK
Data Act

bitkom
Data Act: Umsetzung & Stolpersteine

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragte sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 22.03.2025] Im Interesse der Förderung europäischer und insbesondere deutscher IT-Sicherheitstechnologieanbieter begrüßt der Bundesverband IT-Sicherheit e.V. (TeleTrusT) nach eigenen Angaben die Intention, Mittel aus dem vom Deutschen Bundestag beschlossenen „Sondervermögen“ auch für den Sektor IT-Sicherheit zu verwenden. „Diese Investitionen sollten dem Schutz und der digitalen Wehrhaftigkeit Deutschlands dienen!“

TeleTrusT fordert, europäische und insbesondere deutsche IT-Sicherheitstechnologieanbieter zu fördern

Die zunehmenden Bedrohungen im Cyber-Raum erforderten gezielte und nachhaltige Investitionen in die IT-Sicherheit. Nur durch eine starke, unabhängige und innovative Cyber-Sicherheitsbranche könne Deutschland seine Digitale Souveränität sichern.

Besonders wichtig sei es, dass die betreffenden finanziellen Mittel nicht nur in den Schutz Kritischer Infrastrukturen (KRITIS) flössen, sondern auch die zivile, industrielle und militärische Cyber-Sicherheit gefestigt werde. „Dabei ist es entscheidend, europäische und insbesondere deutsche IT-Sicherheitstechnologieanbieter zu fördern!“

Verweis auf aktuelles TeleTrusT-Positionspapier „Cyber-Nation“

„Es ist zu hoffen und zu fordern, dass die Mittel in erster Linie innovativen deutschen und europäischen IT-Sicherheitstechnologieanbietern zugutekommen, um die Digitale Souveränität zu stärken, wie im TeleTrusT-Positionspapier ,Cyber-Nation’ gefordert“, kommentiert der TeleTrusT-Vorsitzende, Prof. Dr. Norbert Pohlmann.

Der TeleTrusT engagiere sich mit seinen Mitgliedern dafür, „dass die geplanten Investitionen strategisch klug eingesetzt werden, um langfristig einen nachhaltigen Schutz vor Cyber-Bedrohungen zu gewährleisten“. Das Positionspapier „Cyber-Nation“ des TeleTrusT weise dazu entsprechende Handlungsfelder aus und formuliere auch entsprechende Empfehlungen.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V., 2025
Cyber-Nation

datensicherheit.de, 10.02.2025
Cyber-Nation: TeleTrusT veröffentlicht Forderungskatalog zur Umsetzung des Konzeptes / Insbesondere Kommunikation, Kooperation und Koordination auf Basis gemeinsamer Grundwerte berührt – der TeleTrusT richtet zentrale Forderungen an die Stakeholder

Ein Kommentar von unserem Gastautor Miro Mitrovic, Area Vice President DACH bei Proofpoint

[datensicherheit.de, 21.02.2025] Techconsult hat kürzlich den IT-Invest-Monitor 2025 veröffentlicht, der wichtige Informationen zu den konkreten Investitionsabsichten in verschiedenen Branchen und Unternehmensgrößen liefert. Er bietet einen faktenbasierten und differenzierten Überblick über die geplanten Investitionen deutscher Unternehmen in Cybersicherheit und ermöglicht so eine realistische Einschätzung ihrer Pläne.

Miro Mitrovic, Area Vice President DACH bei Proofpoint, Bild: Proofpoint

IT-Sicherheit auf der Agenda der Unternehmen

Es ist erfreulich, dass viele deutsche Unternehmen Investitionen in die IT-Sicherheit auf ihrer Agenda haben. Bei näherer Betrachtung der Studienergebnisse sind jedoch Zweifel angebracht, ob sie die richtigen Prioritäten setzen. Cybersecurity-Maßnahmen sollten dem Leitsatz „Vorbeugen ist besser als Heilen“ folgen. Es ist daher ermutigend zu sehen, dass deutsche Unternehmen am meisten Wert darauf legen, ihre Mitarbeiter zu sensibilisieren und sie in Best Practices der Cybersicherheit zu schulen, denn der Faktor Mensch ist die größte Schwachstelle in der IT-Sicherheit.

E-Mail-Sicherheit wichtiger Baustein für die Gesamtsicherheit

Aus demselben Grund sollte die E-Mail-Sicherheit zumindest an zweiter Stelle der Prioritäten für die Cybersicherheit stehen, weil E-Mails der Bedrohungsvektor Nummer eins sind, und zwar mit Abstand. Laut der Studie von techconsult planen jedoch nur 25 Prozent der Unternehmen Investitionen in die E-Mail-Sicherheit, während Backup & Recovery einen ebenso hohen Stellenwert haben wie Mitarbeiterschulungen. Tatsächlich geben deutsche Unternehmen der Heilung den Vorzug gegenüber der Vorbeugung.

Insbesondere weil KI Einzug ins Arsenal der Cyberkriminellen gehalten hat und ihnen hilft, überzeugendere E-Mail-Bedrohungskampagnen effizienter und in großem Maßstab zu entwickeln und durchzuführen, können Unternehmen es sich nicht leisten, ihren Mitarbeitern zu vertrauen. Sie müssen zwar die erste Verteidigungslinie bilden, können aber ohne die richtige Unterstützung durch die neueste und beste Technologie nicht erfolgreich bestehen, angesichts der von den Bedrohungsakteuren verwendeten Tools.

Umfassebder Sicherheitsansatz empfohlen

Unternehmen müssen einen mehrspurigen und mehrschichtigen Ansatz verfolgen, der Threat Intelligence, verhaltensbasierte KI, Erkennungstechnologien und semantische KI kombiniert, um fortschrittliche Bedrohungen und Datenverluste zu blockieren, zu erkennen und darauf zu reagieren. Dieser ganzheitliche Ansatz, bei dem der Mensch im Mittelpunkt steht, warnt vor Verhaltensweisen, die von herkömmlichen, rein inhaltsbasierten Systemen normalerweise nicht erkannt werden.

Backup & Recovery als Teileiner  jeder umfassenden IT-Sicherheitsstrategie

Ganz gewiss sollten Backup & Recovery Teil jeder umfassenden IT-Sicherheitsstrategie sein, doch müssen Unternehmen ihre Investitionen dort priorisieren, wo sie am wichtigsten sind: beim Bedrohungsvektor Nummer eins, der E-Mail. Und sie müssen sich mit dem größten Einzelrisiko für die IT-Sicherheit, dem Faktor Mensch, befassen.

Weitere Infiormationen zum Thema:

datensicherheit.de, 29.02.2024
Cybersicherheit 2024: Erfolgsfaktor Zusammenarbeit

[datensicherheit.de, 02.05.2024] „NIS-2 ist eine notwendige Maßnahme, um europäische Unternehmen dazu zu bringen, in ihre IT-Sicherheit zu investieren. Grundsätzlich ist das eine großartige Idee“, so Ari Albertini, „CEO“ bei FTAPI, in seinem aktuellen Kommentar. Vor allem aber sei NIS-2 eine notwendige Maßnahme: „Immerhin ist die Lage der Cyber-Sicherheit in Deutschland und ganz Europa inzwischen mehr als angespannt – es ist eines der größten Risiken für unsere Wirtschaft und unseren Wohlstand!“

Foto: FTAPI

Ari Albertini: Mit der NIS-2-Richtlinie wird Vieles richtig gemacht…

Kritik: Kommunen von der NIS-2-Richtlinie ausgeschlossen

Mit dieser Richtlinie werde Vieles richtig gemacht – „ein europaweites, einheitliches Schutzniveau, das dafür sorgt, dass Angreifer seltener ans Ziel kommen und so keinen massiven Schaden anrichten können“. Durch deren aktuelle Überarbeitung Richtlinie entstehe „Awareness, die endlich Dinge ins Rollen bringt – auch auf Management-Ebene“.

Albertini merkt indes kritisch an: „Neben der Tatsache, dass Kommunen von der Richtlinie ausgeschlossen werden, ist auch die zögerliche Umsetzung auf Bundesebene kritisch zu betrachten.“ Anstatt die Chance für mehr Cyber-Sicherheit in ganz Europa am Schopf zu packen, werde sie im Tauziehen mit der Bürokratie verpuffen.

Einhaltung der NIS-2-Umsetzungsfrist bis Oktober 2024 fraglich

Die Wahrung der gegebenen Umsetzungsfrist bis Oktober 2024 sei inzwischen sehr unwahrscheinlich. Hinzu komme, „dass das Bundesinnenministerium (BMI) für eine Nichteinhaltung der Richtlinie keine schwerwiegenden Konsequenzen erwartet“ – weder für betroffene Unternehmen noch für das Ministerium selbst. „Diese Tatsache sendet genau die falschen Signale. Anstatt auf die Brisanz von Cyber-Angriffen für die Souveränität Deutschlands und Europas hinzuweisen, wird der Eindruck vermittelt, dass sich Unternehmen mit Investitionen in die Cyber-Sicherheit ruhig Zeit lassen können – immerhin drohen kaum Strafen.“

Was laut Albertini bei der Debatte im Dunkeln bleibt, sind die Konsequenzen eines Cyber-Angriffs: „Welches Unternehmen kann es sich leisten, tagelang nicht betriebsfähig zu sein und das Vertrauen der Kunden zu verlieren? Richtig, keines!“

NIS-2 sollte zu einem umfassenderen und proaktiven Ansatz in der Cyber-Sicherheit beitragen

Wenn die Politik hier nicht mit gutem Beispiel vorangeht, dann müssten es die Unternehmen selbst in die Hand nehmen. „Cyber-Sicherheit muss ein integraler Bestandteil einer jeder Geschäftsstrategie sein – kein lästiger Kostenfaktor oder ‚Sache der IT‘“, stellt Albertini klar.

So könne NIS-2 tatsächlich zu einem umfassenderen und proaktiven Ansatz in der Cyber-Sicherheit beitragen, der über die bloße Einhaltung von Vorschriften hinausgehe und eine Kultur der kontinuierlichen Verbesserung und des Risikobewusstseins fördere.

Weitere Informationen zum Thema:

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie

datensicherheit.de, 16.04.2024
NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos / Bis 17. Oktober 2024 müssen die EU-Mitgliedstaaten die Zweite Auflage der „Network and Information Security Directive“ (NIS-2) in nationales Recht umgesetzt haben

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

[datensicherheit.de, 14.04.2024] Die Ergebnisse einer aktuellen Online-Umfrage von YouGov Deutschland zeigen laut einer Meldung von 1&1Versatel, „dass Cyber-Angriffe zunehmend als Bedrohung für die deutsche Wirtschaft wahrgenommen werden“. Glasfaser-Internet bedeute indes für einen Großteil der Befragten „Zuverlässigkeit und Stabilität im Kontext von Cyber-Angriffen“. An der Umfrage haben demnach 1.275 Unternehmensentscheider zwischen dem 15. und 25. Januar 2024 teilgenommen. Für mehr als die Hälfte der befragten Unternehmen sei eine höhere IT-Sicherheit einer der wichtigsten Beweggründe, in die eigene Digitalisierung zu investieren. Der Aufbau eines eigenen Sicherheits-Know-hows stehe im Fokus.

Abbildung: 1&1 Versatel

Umfrage mit Schwerpunkt IT-Sicherheit: Digitalisierung und digitale Lösungen

Cyber-Sicherheit rückt in den Fokus

Die Ergebnisse der Online-Befragung von YouGov Deutschland unterstrichen die hohe Bedeutung der IT-Sicherheit für die Digitale Transformation: „87 Prozent der Unternehmen sehen Cyber-Angriffe als zunehmende Bedrohung, ein Anstieg um vier Prozentpunkte gegenüber der letzten YouGov-Befragung im Auftrag von 1&1 Versatel aus dem Jahr 2022.“ Knapp die Hälfte schätze gezielte Hacker-Angriffe und DDoS-Attacken als die größten Risiken ein. Technische Ausfälle im Allgemeinen betrachteten 46 Prozent als größte Gefahr. Es folgten Phishing-Attacken mit 40 Prozent und Malware mit 39 Prozent.

Glasfaser-Internet stelle eine grundlegende Voraussetzung für die IT-Sicherheit von Unternehmen dar. Faktoren wie Ausfallsicherheit seien für 84 Prozent der Befragten ein „sehr wichtiger“ oder „eher wichtiger“ Vorteil der Glasfaser. Ebenfalls für 84 Prozent der Befragten sei eine sichere und stabile Datenübertragung von „hoher Relevanz“. Eine bessere Abhörsicherheit durch einen Glasfaser-Anschluss sei für 69 Prozent der Unternehmen „sehr wichtig“ beziehungsweise „wichtig“ (jeweils etwas mehr als ein Drittel).

Zuverlässige und speziell gesicherte Glasfaser-Leitungen als notwendige Voraussetzung für Cyber-Sicherheit

Frank Rosenberger, Vorsitzender der Geschäftsführung von 1&1 Versatel, kommentiert die Erkenntnisse der Umfrage: „In Zeiten zunehmender Cyber-Bedrohungen ist eine robuste Glasfaser-Infrastruktur nicht nur entscheidend für die Digitale Transformation, sondern auch eine wesentliche Grundvoraussetzung für die Sicherheit unserer Kundinnen und Kunden.“

Als Netzbetreiber biete zum Beispiel 1&1 Versatel nicht nur „zuverlässige und speziell gesicherte Glasfaser-Leitungen“, sondern auch ein umfassendes Produkt- und Service-Portfolio für die IT-Sicherheit – zum Beispiel für den Betrieb von Firewalls oder die automatische Abwehr von DDoS-Angriffen auf IT-Infrastruktur, Server, Websites und Anwendungen. „Dies gewährleistet eine höhere Netzwerksicherheit und bindet weniger Ressourcen in den Unternehmen“, so Rosenberger.

Cyber- bzw. IT-Sicherheit als Digitalisierungstreiber

Die gute Hälfte der befragten Unternehmen (52%) sehe in der Verbesserung der IT-Sicherheit einen der wichtigsten Treiber für Investitionen in die Digitalisierung. Ein weiterer Treiber für die Stärkung der IT-Sicherheit sei die zweite Fassung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2), „die 2023 in Kraft getreten ist und bis Oktober 2024 in nationales Gesetz umgesetzt wird“.

NIS-2 verpflichte Unternehmen, welche als Betreiber Kritischer Infrastrukturen oder Dienste gelten, ihre Maßnahmen zum Schutz vor Cyber-Angriffen zu verstärken. Ein Drittel gebe an, ihre Cyber-Sicherheit bereits auf NIS-2 umgestellt zu haben, 17 Prozent planten die Umsetzung, während neun Prozent noch die Implementierung der Richtlinie in deutsches Recht abwarten wollten.

Gezielte Investitionen in Cyber-Sicherheit als strategischer Eckpfeiler der digitalen Wirtschaft

Während 44 Prozent bereits in ihre IT-Sicherheit investiert hätten, stehe das bei mehr als einem Viertel der befragten Unternehmen noch an. Rosenberger abschließend: „Wir unterstützen Unternehmen jeder Größenordnung in der Umsetzung ihrer Sicherheitsanforderungen. Sowohl in der Beratung und Überprüfung bestehender Schutzmechanismen als auch bei der Implementierung neuer Services, die den aktuellen Vorgaben für die Sicherung kritische Infrastrukturen entsprechen.“

Angesichts der wachsenden Bedrohung durch Cyber-Angriffe und der rasanten Entwicklung der digitalen Landschaft werde deutlich, dass der Glasfaserausbau und gezielte Investitionen in Cyber-Sicherheit die strategischen Eckpfeiler einer digitalen Wirtschaft bildeten. Beispielsweise mit „Security-as-a-Service“ könnten Unternehmen ihre IT-Sicherheit optimieren, um aktuellen Bedrohungen proaktiv zu begegnen und wirksame, richtlinien-konforme Sicherheitsstrategien zu implementieren.

Weitere Informationen zum Thema:

1&1 versatel, Januar 2024
Digitalisierungsbedarfe von Unternehmen / Befragung von YouGov Deutschland im Auftrag von 1&1 Versatel (durchgeführt im Januar 2024)