IT-Sicherheit – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Tue, 23 Jun 2026 11:11:08 +0000 de hourly 1 Open Source und moderne Authentifizierung: TeleTrusT-Podcast zur IT-Sicherheit und Digitalen Souveränität https://www.datensicherheit.de/open-source-authentifizierung-teletrust-podcast-it-sicherheit Tue, 23 Jun 2026 22:59:00 +0000 https://www.datensicherheit.de/?p=55165 Christian Schorr, Dr. Johannes Loxen und Carsten Vossel diskutieren die Bedeutung von „Open Source“ für die IT-Sicherheit, die Rolle Digitaler Souveränität in Deutschland sowie aktuelle Entwicklungen bei 2FA, Passkeys und PKI

[datensicherheit.de, 24.06.2026] Im aktuellen TeleTrusTPodcast „Open Source und moderne Authentifizierung“ erörtern Christian Schorr (keyONE), Dr. Johannes Loxen (SerNet) und Moderator Carsten Vossel (CCVOSSEL) die Bedeutung von „Open Source“ für die IT-Sicherheit, die Rolle Digitaler Souveränität in Deutschland sowie aktuelle Entwicklungen bei Zwei-Faktor-Authentifizierung (2FA), Passkeys und Public-Key-Infrastructures (PKI).

teletrust-podcast-open-source-moderne-authentifizierung

Quelle: TeleTrusT

Der aktuelle TeleTrusT-Podcast: „Open Source und moderne Authentifizierung“

Bedeutung offener Technologien als Grundlage zahlreicher digitaler Infrastrukturen im Fokus

Die Diskussion soll beleuchten, welche Rolle offene Technologien für Innovation, Transparenz und technologische Unabhängigkeit spielen und warum die Frage digitaler Handlungsfähigkeit zunehmend an strategischer Bedeutung gewinnt. Dabei wird ausgeführt, dass „Open Source“ für sich genommen noch keine erhöhte Sicherheit gewährleistet.

  • Entscheidend sind demnach vielmehr die Qualität der Entwicklung, die kontinuierliche Pflege von Software sowie die Möglichkeit zur unabhängigen Prüfung von Quellcode. Gleichzeitig wird die Bedeutung offener Technologien als Grundlage zahlreicher digitaler Infrastrukturen hervorgehoben.

Auch die aktuellen Debatten um Digitale Souveränität werden aufgegriffen: „Die Experten diskutieren, welche Voraussetzungen Deutschland und Europa schaffen müssen, um technologische Abhängigkeiten zu reduzieren und Innovationspotenziale besser zu nutzen.“

Technische und strategische Herausforderungen für Unternehmen und Organisationen

Themen wie Digitalisierung, Standortbedingungen für Unternehmen und die langfristige Sicherung technologischer Handlungsspielräume werden dabei ebenso beleuchtet wie die Rolle von „Open Source“ in modernen IT-Strategien.

  • Praxisnahe Einblicke soll zudem die Auseinandersetzung mit modernen Verfahren zur Authentifizierung und digitalen Vertrauensbildung bieten. So ordnet Schorr die Entwicklung von PKI, Passkeys und FIDO-basierten Verfahren ein und erläutert, wie sich moderne Authentifizierungslösungen in den vergangenen Jahren weiterentwickelt haben. Insbesondere die zunehmende Verbreitung von Passkeys eröffne neue Möglichkeiten, die Sicherheit digitaler Zugänge zu erhöhen und gleichzeitig die Benutzerfreundlichkeit zu verbessern.

Diese neue Podcast-Episode soll aufzeigen, welche technischen und strategischen Herausforderungen Unternehmen und Organisationen künftig adressieren müssen, um sichere und unabhängige digitale Infrastrukturen aufzubauen.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V.
Ziele und Nutzen Bundesverband IT-Sicherheit e.V. (TeleTrusT)

TeleTrusT Bundesverband IT-Sicherheit e.V.
TeleTrusT-Podcast: Podcasts sind von Jahr zu Jahr populärer geworden und spätestens seit 2020 aus der deutschen Medienlandschaft nicht mehr wegzudenken. Bis zu 4,2 Mio. Bundesbürger hören in Deutschland Podcast. TeleTrusT-Podcasts sind als Interviews angelegt. Fachleute aus Wirtschaft, Forschung, Beratung, Politik und Verwaltung werden eingeladen, um zu einem bestimmten Thema befragt zu werden.

SOUNDCLOUD, TeletRusT
Open Source und moderne Authentifizierung

LinkedIn
Christian Schorr / CEO | keyONE GmbH – PKI & ISMS-Experte für digitale Vertrauensinfrastrukturen in KRITIS & Enterprise-IT

LinkedIn
Johannes Loxen

LinkedIn
Carsten Christian Vossel / IT-Sicherheit für KRITIS, Mittelstand & Konzerne | 24/7 SOC & IRT | ISO27001 & NIS2 | Pentests & ISMS | IT-Sicherheitsberatung | CEO mit Fokus auf Cyberresilienz

datensicherheit.de, 17.09.2025
Open Source: Drei von vier Unternehmen in Deutschland bereits Nutzer / Eine große Mehrheit der Unternehmen in Deutschland sieht in „Open Source“-Software auch eine Chance für mehr Digitale Souveränität

datensicherheit.de, 10.10.2024
Open Source Software – unbestreitbare Vorteile sowie Risiken / Open Source Software (OSS) hat sich als unverzichtbarer Bestandteil moderner IT-Infrastrukturen etabliert

datensicherheit.de, 19.06.2020
Kultusbehörden: Abhängigkeit statt Open Source / Andrea Wörrlein kritisiert und warnt

]]>
KritisV: TeleTrusT-Kommentar und -Kritik zum vorliegenden Entwurf https://www.datensicherheit.de/kritisv-teletrust-kommentar-kritik-vorlage-entwurf Mon, 15 Jun 2026 22:07:00 +0000 https://www.datensicherheit.de/?p=55002 Die „Verordnung zur Bestimmung kritischer Anlagen nach dem KRITIS-Dachgesetz (Kritisverordnung – KritisV)“ soll durch Festlegung von Sektoren, Branchen, kritischen Dienstleistungen, Anlagenkategorien und Schwellenwerten jene Anlagen definieren, welche als „kritisch“ einzustufen sind

[datensicherheit.de, 16.06.2026] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) kommentiert in seiner Stellungnahme vom 15. Juni 2026 den vorliegenden Entwurf einer „Verordnung zur Bestimmung kritischer Anlagen nach dem KRITIS-Dachgesetz (Kritisverordnung – KritisV)“. Diese KritisV bestimmt demnach durch die Festlegung von Sektoren, Branchen, kritischen Dienstleistungen, Anlagenkategorien und Schwellenwerten, welche Anlagen als „kritisch“ einzustufen sind. Sie soll damit die bisherige BSI-Kritisverordnung auch für Zwecke der IT-Sicherheit nach dem BSIG ablösen und künftig als gemeinsame Rechtsverordnung für physische Resilienz und IT-Sicherheit fungieren. Der TeleTrusT begrüßt einerseits diesen Ansatz, kritische Anlagen für Zwecke der IT-Sicherheit und der physischen Resilienz einheitlich zu identifizieren und dadurch für mehr Rechtssicherheit und Verständlichkeit der Regelungen zu sorgen. Gleichwohl weise der vorliegende Entwurf nicht nur redaktionelle, sondern auch semantische und methodische Schwächen auf.

Zügiges Umsetzen der überfälligen „Kritisverordnung“ gefordert

Unverständlich bleibe, „warum die Verordnung sich noch im vorgelegten, nicht abgestimmten Entwurfsstadium befindet“. Die viel zu späte Umsetzung der „CER-Richtlinie“ habe hierzu eine ungewöhnlich lange Vorbereitungszeit geboten. „Die betroffenen Unternehmen werden ohne Übergangsfrist materiell verpflichtet sein.“

  • RA Karsten U. Bartels LL.M. (HK2 RAe, stellv. TeleTrusT-Vorstand) führt aus: „Es ist sinnvoll wie naheliegend, durch eine einheitliche ,Kritisverordnung’ die Anwendbarkeit sowohl des ,KRITIS-Dachgesetzes’ als auch des ,BSI-Gesetzes’ auszugestalten. Wir wünschen uns Klarheit für die Unternehmen und hoffen deshalb auf ein zügiges Umsetzen der überfälligen Verordnung.“

Indes moniert er: „Die Schwellenwert-Methode in der hergebrachten Weise ist jedoch nicht im Mindesten geeignet, die tatsächlichen Risiken in ein angemessenes Verhältnis zum Anwendungsrahmen des Gesetzes zu bringen. Mit anderen Worten: Die Bezugsgröße von 500.000 versorgten Personen hielt und hält keiner Überprüfung stand, ist methodisch widerlegt – und leider ein Risiko für sich!“

KritisV-Entwurf bleibt noch hinter Anforderungen zurück

Der Referentenentwurf der KritisV greife die europäischen Vorgaben der „CER-Richtlinie“ zwar im Grundsatz auf und schaffe eine begrüßenswerte Kohärenz zwischen physischer Resilienz und IT-Sicherheit. In seiner derzeitigen Fassung bleibe der Entwurf jedoch noch hinter den Anforderungen an eine rechtssichere, praktisch handhabbare und methodisch überzeugende Regulierung zurück.

  • Insbesondere fehle es an einer hinreichend nachvollziehbaren Auseinandersetzung mit den angelegten Schwellenwerten. Die Zahl von 500.000 versorgten Personen werde zwar als Regelschwellenwert herangezogen – ihre Herleitung und Übertragung auf unterschiedliche Sektoren überzeuge jedoch keinesfalls.

Hinzu kommt laut TeleTrusT, dass eine Auseinandersetzung mit weiteren in Art. 7 „CER-Richtlinie“ ausdrücklich genannten Kriterien, etwa sektorübergreifenden Abhängigkeiten, geographischen Auswirkungen, Substituierbarkeit sowie Dauer und Ausmaß möglicher Störungen, zur Geltung kommen müsse.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V.
Ziele und Nutzen Bundesverband IT-Sicherheit e.V. (TeleTrusT)

TeleTrusT Bundesverband IT-Sicherheit e.V.
Arbeitsgruppe „IT-Sicherheitsrecht“ – RA Karsten U. Bartels, LL.M., HK2 Rechtsanwälte

TeleTrusT Bundesverband IT-Sicherheit e.V., 15.06.2026
Stellungnahmen 2026: Stellungnahme zum Referentenentwurf – Verordnung zur Bestimmung kritischer Anlagen nach dem KRITIS-Dachgesetz (Kritisverordnung – KritisV)

DVNW Deutsches Vergabenetzwerk, Vergabeblog, 28.05.2026
Politik und Markt / BMI legt Entwurf der neuen KRITIS-Verordnung vor

openkritis.de, Paul Weissmann, 26.05.2026
KRITIS – auf den zweiten Blick / Neue KRITIS-Verordnung 2026 Entwurf

openkritis.de
EU CER Resilienz

Bundesministerium der Justiz und für Verbraucherschutz, Bundesamt für Justiz
Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)

datensicherheit.de, 23.03.2026
CPS im Visier: Cyberkriminelle Attacken zunehmend auf KRITIS / Claroty warnt vor opportunistischen Angriffen auf Cyber-Physische Systeme (CPS) – beeinflusst durch geopolitische Ereignisse, indes technisch nicht besonders ausgefeilt

datensicherheit.de, 09.03.2026
KRITIS-Dachgesetz: Bitkom warnt vor kurzfristiger Absenkung des Schwellenwertes / Das „KRITIS-Dachgesetz“ soll die Umsetzung der europäischen CER-Richtlinie in deutsches Recht ermöglichen und schreibt KRITIS-Betreibern u.a. eine Risikobewertung für hybride Bedrohungen vor

datensicherheit.de, 03.02.2026
KRITIS-Dachgesetz verabschiedet: Deutschland muss dringend seine Kritischen Infrastrukturen besser schützen / Die Umsetzungsfrist für das „KRITIS-Dachgesetz“ lief am 18. Oktober 2024 ab – gegen die Bundesrepublik wurde bereits ein „Vertragsverletzungsverfahren“ der EU-Kommission eingeleitet

datensicherheit.de, 01.02.2026
KRITIS-Dachgesetz: eco begrüßt Verabschiedung bundesweit einheitlichen Rahmens für den Schutz Kritischer Infrastrukturen / Für die Internetwirtschaft sind stabile Stromversorgung, funktionierende Netze und verlässliche Rahmenbedingungen essenziell – das „KRITIS-Dachgesetz“ setzt hierzu grundsätzlich an der richtigen Stelle an

]]>
Fokussierte Wahrnehmung: Physische Abhörbedrohung im Schatten der Cybersecurity-Debatte zu oft vernachlässigt https://www.datensicherheit.de/physisch-abhoerbedrohung-cybersecurity-debatte-vernachlaessigung Sun, 17 May 2026 22:07:00 +0000 https://www.datensicherheit.de/?p=54427 Während Unternehmen ihre digitale Angriffsfläche systematisch verkleinern, bleibt die analoge Bedrohung mittels physischer Abhörgeräte weitgehend außerhalb des Bewusstseins

[datensicherheit.de, 18.05.2026] Hendrik Pabst, Gründer von Kontrapol, hat sich nach eigenen Angaben auf Lauschabwehr spezialisiert. In seiner aktuellen Stellungnahme erörtert er seine Beobachtungen, wonach physische Abhörbedrohungen im Schatten der Cybersecurity-Debatte in der Wahrnehmung zu verschwinden drohen: Die analoge Bedrohung mittels physischer Abhörgeräte bleibe weitgehend außerhalb des Bewusstseins.

kontrapol-hendrik-pabst

Abbildung: Kontrapol

Hendrik Pabst warnt vor unterschätzter Bedrohung: Der globale Markt für verdeckte Überwachungstechnik wächst seit Jahren

Kompromittierte Netzwerke als Bedrohung im Bewusstsein präsent – Besprechungen übertragende Wanzen eher nicht

Oft verwendete Begriffe wie NIS-2, „Zero Trust“, SIEM-Systeme u.a. zeugen vom Boom der IT-Sicherheitsbranche. Doch während Unternehmen ihre digitale Angriffsfläche systematisch verkleinerten, bleibe eine analoge Bedrohung weitgehend außerhalb des Bewusstseins – physische Abhörgeräte in Besprechungsräumen, Fahrzeugen und Büros.

  • Er beobachtet demnach diesen Blinden Fleck in der Praxis regelmäßig. „Die Cybersecurity-Debatte hat dazu geführt, dass Entscheider Bedrohungen fast ausschließlich digital denken. Ein kompromittiertes Netzwerk ist im Bewusstsein präsent – ein Sender, der seit Wochen Besprechungen überträgt, nicht.“

Bei rund 30 Prozent der Einsätze finde das Kontrapol-Team tatsächlich Abhörgeräte – „wobei das Unternehmen typischerweise dann gerufen wird, wenn bereits konkrete Verdachtsmomente bestehen“. Bei anlasslosen Routineprüfungen wäre die Trefferquote deutlich niedriger.

Bedrohungen vertraulicher Kommunikation muss ganzheitlich begegnet werden

Was diese Zahl laut Pabst dennoch nicht abbildet: Der globale Markt für verdeckte Überwachungstechnik wachse seit Jahren. Selbst wenn nur einer von tausend Räumen tatsächlich verwanzt ist, seien dies in der Summe Hunderttausende betroffene Personen und Unternehmen, von denen die meisten nie eine Überprüfung veranlassen würden.

  • Man dürfe sich von niedrigen Einzelquoten nicht in Sicherheit wiegen lassen. Erschwerend komme hinzu, dass viele Abhörgeräte gar nicht sendeten – und damit für gängige RF-Detektoren unsichtbar blieben. Diktiergeräte etwa, welche Gespräche aufzeichnen und später manuell ausgelesen werden, hinterlassen kein Funksignal.

Nur eine vollständige technische Überprüfung – Frequenzanalyse, Spektrumanalyse und visueller „Sweep“ kombiniert – schaffe belastbare Klarheit. „Cybersecurity schützt die Leitung. Lauschabwehr schützt den Raum. Beides zusammen ergibt erst einen vollständigen Schutz vertraulicher Kommunikation!“, kommentiert Pabst abschließend.

Weitere Informationen zum Thema:

KONTRAPOL Abhörschutz-Systeme
Abschirmdienst / Über uns

KONTRAPOL Abhörschutz-Systeme
Werde ich abgehört? Dieser Ratgeber erklärt, woran Sie wirklich erkennen, ob Sie abgehört werden – und welche Internet-Mythen Sie ignorieren können.

]]>
NIS-2-Umsetzung: Trotz Investitionen in IT-Sicherheit hinken viele Krankenhäuser hinterher https://www.datensicherheit.de/nis-2-umsetzung-investitionen-it-sicherheit-krankenhaeuser-verzug Wed, 13 May 2026 22:54:00 +0000 https://www.datensicherheit.de/?p=54446 Aktuelle ESET-Studie zeigt Fortschritte bei der Cybersicherheit auf – Universitätskliniken kämpfen aber mit der Umsetzung regulatorischer Vorgaben im NIS-2-Kontext

[datensicherheit.de, 14.05.2026] Viele Krankenhäuser investierten zwar in ihre IT-Sicherheit, blieben aber dennoch bei der Umsetzung der neuen EU-Richtlinie NIS-2 zurück, so eine Schlussfolgerung aus einer aktuellen Umfrage des IT-Sicherheitsherstellers ESET unter Entscheidern im deutschen Gesundheitswesen. Rund 36 Prozent der befragten Kliniken geben demnach an, in den vergangenen zwölf Monaten gezielt Maßnahmen zur Erfüllung von KRITIS- oder NIS-2-Anforderungen umgesetzt zu haben. Besonders aktiv zeigten sich Fachkliniken (46%) und Allgemeinkrankenhäuser (38%) – indes bildeten Universitätskliniken mit 29 Prozent das Schlusslicht. Eine Analyse der Studienergebnisse, inklusive Einordnung der Auswirkungen von NIS-2 auf Universitätskliniken, Notfallmanagement und organisatorische Reifegrade, ist im „ESET Blog“ zu finden. Die kommenden Monate würden zeigen, welche Einrichtungen den Schritt von Einzelmaßnahmen hin zu einem robusten, organisationsweit verankerten Sicherheits‑ und Krisenmanagement schaffen.

eset-studie-umsetzung-nis-2-kritis-krankenhaeuser

Abbildung: ESET

Fachkliniken nach ESET-Erkenntnissen bei der NIS-2-Umsetzung voraus

NIS-2 kein reines „Compliance“‑Thema, sondern Belastungstest für reale Cyberresilienz

„Unsere Ergebnisse zeigen, dass viele Krankenhäuser die Zeichen der Zeit erkannt haben. Investitionen in Technik und ,Awareness’ nehmen zu. Gleichzeitig fehlt häufig noch ein ganzheitlicher Ansatz, der Prozesse, Verantwortlichkeiten und regelmäßige Übungen verbindlich festschreibt“, berichtet Michael Schröder, „Head of Product Marketing“ bei ESET. NIS-2 sei kein reines ,Compliance’‑Thema, sondern ein Belastungstest für die reale Cyberresilienz der Kliniken.

  • Die Umfrage habe gezeigt, dass Kliniken vor allem operative Sicherheitsmaßnahmen vorantrieben. 52 Prozent der Kliniken führten Notfall‑ oder Ransomware‑Übungen durch, 48 Prozent setzten auf Schulungen und „Awareness“‑Programme. Auch die Absicherung medizinischer Geräte und vernetzter IoMT‑Systeme gewinne mit 41 Prozent spürbar an Bedeutung.

Diese Maßnahmen blieben jedoch häufig projektbezogen. Eine strategische Verankerung in Organisation und Management fehle in vielen Fällen noch. Trotzdem sei es positiv zu werten, „dass durch NIS-2 die IT‑Sicherheit die IT‑Abteilung verlässt und zu einem Management‑Thema wird!“

Operativ starke Universitätskliniken verweilen noch regulatorisch im Rückstand

Universitätskliniken gälten als digitale Hochleistungsumgebungen, seien Forschungsstandorte, Maximalversorger und international vernetzt. Entsprechend hoch sei ihre Attraktivität für Cyberangriffe.

  • Die Umfrage zeige jedoch: Während Unikliniken überdurchschnittlich oft Notfallübungen durchführten oder externe IT-Security‑Audits nutzten, trieben sie die formale Umsetzung von NIS-2‑Vorgaben seltener voran als andere Krankenhaustypen.

Ein möglicher Grund sei die hohe Komplexität historisch gewachsener IT‑Landschaften, internationaler Forschungsnetze und Tausender vernetzter Medizinsysteme. NIS-2 verschärfe für Universitätskliniken damit nicht nur die formalen Pflichten, sondern auch die operative Realität.

Vorhandenes Notfallmanagement wird noch zu selten erprobt

Fast alle befragten Krankenhäuser geben laut ESET an, über Notfallpläne für schwere IT‑Sicherheitsvorfälle wie Ransomware zu verfügen. Doch nur rund jeder Dritte beschreibe diese Pläne als „strukturiert“ und „regelmäßig getestet“. Knapp die Hälfte überprüfe ihre Notfallkonzepte lediglich „gelegentlich“.

  • Besonders kritisch sei die Lage bei Universitätskliniken: Zwar verfügten alle über Notfallpläne, doch nur etwa 21 Prozent testeten diese regelmäßig. Gerade hierbei hätten Cybervorfälle weitreichende Folgen – von der Patientenversorgung über Forschung bis hin zur Lehre. NIS-2 stelle deshalb klare Anforderungen an Reaktionszeiten, Meldepflichten und Krisenorganisation auf Leitungsebene.

Cybersicherheit sei im Krankenhaus untrennbar mit Versorgungssicherheit verbunden. IT‑Ausfälle würden sich schnell zur medizinischen und organisatorischen Krise entwickeln. NIS-2 wirke als struktureller Wendepunkt: Punktuelle Maßnahmen reichten nicht mehr aus. Gefordert seien gelebte Prozesse, klar definierte Rollen, belastbare Notfallpläne und regelmäßige Tests unter realistischen Bedingungen.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

eseT, 08.08.2016
ESET stärkt Marktposition mit Michael Schröder – Fokus auf Technologie-Allianzen und ganzheitliche Produktentwicklung

eseT Blog, Editorial Team, 12.05.2026
NIS2 im Krankenhaus: Besserung in Sicht, strukturelle Defizite bleiben / Eine aktuelle ESET Umfrage zur IT Sicherheit im Gesundheitswesen offenbart klaffende Lücke zwischen Anspruch und Realität

datensicherheit.de, 04.04.2025
IT in Krankenhäusern: SIT-Sicherheitsstudie deckt signifikante Schwachstellen auf / SIT-Forscher fanden Schwachstellen in Informationssystemen für Krankenhäuser

datensicherheit.de, 20.02.2024
Mangelnde Cyber-Sicherheit im Gesundheitswesen: Deutsche Krankenhäuser bringen sich untereinander in Gefahr / Proofpoint warnt: DMARC-Implementierung in deutschen Krankenhäusern noch alarmierend gering

datensicherheit.de, 07.01.2021
Cyberangriffe auf Krankenhäuser: Anstieg um 220 Prozent / Diese Zahl meldet Check Point Research für die vergangenen zwei Monate / Region Zentraleuropa am stärksten betroffen mit einem Anstieg 145 Prozent

]]>
Cybersicherheitsmonitor 2026: Jeder zehnte Verbraucher im Vorjahr von Cyberkriminalität im Alltag betroffen https://www.datensicherheit.de/cybersicherheitsmonitor-2026-jeder-zehnte-verbraucher-im-vorjahr-von-cyberkriminalitaet-im-alltag-betroffen Mon, 11 May 2026 22:53:00 +0000 https://www.datensicherheit.de/?p=54410 Der nun vorliegende „Cybersicherheitsmonitor 2026“, eine repräsentative Befragung vom BSI und ProPK, beleuchtet das Schutzverhalten der Bevölkerung und ihre Betroffenheit von Cyberkriminalität

[datensicherheit.de, 12.05.2026] Nach Erkenntnissen des Bundesamts für Sicherheit in der Informationstechnik (BSI) informieren sich viele Menschen über ihre persönliche IT-Sicherheit erst im Ernstfall: Der nun vorliegende „Cybersicherheitsmonitor 2026“, eine repräsentative Befragung des BSI und des Programms „Polizeiliche Kriminalprävention der Länder und des Bundes“ (ProPK) beleuchtet demnach das Schutzverhalten der Bevölkerung und ihre Betroffenheit von Cyberkriminalität. Dabei zeige sich auch: Allein in den vergangenen zwölf Monaten sei gut jeder Zehnte (11%) von einer Straftat im Internet betroffen gewesen – der häufigste Tatbestand bleibe Betrug beim Onlineshopping. Für den „Cybersicherheitsmonitor“ erheben BSI und ProPK gemeinsam das Informations- und Schutzverhalten der Bevölkerung sowie ihre Betroffenheit von Cyberkriminalität. Die diesjährige Befragung sei vom 6. bis zum 12. Januar 2026 durchgeführt worden. „Dabei wurden 3.060 Personen ab 16 Jahren bundesweit befragt und die Ergebnisse anhand der Bevölkerungsstrukturmerkmale Alter, Geschlecht, Bundesland und Bildung in Deutschland gewichtet.“

bsi-praesidentin-claudia-plattner

Foto: BMI, Hennig Schacht

Claudia Plattner: Viele Menschen wollen sich sicher online bewegen, brauchen dafür aber niedrigschwellige Informationen

Im Digitalen Raum Schutz gegen Cyberkriminalität

Die BSI-Präsidentin, Claudia Plattner, führt aus: „Cybersicherheit muss im Alltag von Verbraucherinnen und Verbrauchern einfacher, präsenter und verständlicher werden! Viele Menschen wollen sich sicher online bewegen, brauchen dafür aber niedrigschwellige Informationen. Diese liefern wir – etwa indem wir Anleitungen für Sicherheitsmaßnahmen im digitalen Alltag bereitstellen und Lehrkräfte befähigen, das Thema in ihren Unterricht zu holen.“

  • Zugleich dürfe die Verantwortung nicht allein bei den Nutzern abgeladen werden: Hersteller und Anbieter digitaler Geräte und Anwendungen müssten sichere Produkte und Dienste zum Standard machen.

Dr. Stefanie Hinz, Landespolizeipräsidentin und Vorsitzende des ProPK-Programms, kommentiert: „Cyberkriminalität ist längst in der Mitte der Gesellschaft angekommen – sei es durch gefälschte E-Mails oder Betrug beim Einkauf im Internet. Um den Methoden der Täterinnen und Täter den Boden zu entziehen, macht die Polizei deren Vorgehensweisen transparent. Das Zusammenspiel aus Prävention, Aufklärung und entschlossenem Vorgehen der Strafverfolgungsbehörden trägt entscheidend dazu bei, den Digitalen Raum sicherer zu machen.“

In Ergänzung zum „Cybersicherheitsmonitor“ zwei neue „Checklisten für den Ernstfall“

Besonders häufig hätten Betroffene im Vorjahr (2025) Betrug beim Onlineshopping sowie -banking, Fremdzugriffe auf Online-Accounts und Phishing erlitten. Zugleich hätten sich deutliche Lücken beim Schutzverhalten gezeigt: Nur 14 Prozent informierten sich regelmäßig über Cybersicherheit, während sich 40 Prozent nur hin und wieder damit beschäftigten.

  • Unter den gängigen Schutzmaßnahmen seien zudem nur starke Passwörter sowie Antiviren-Programme mehr als der Hälfte der Befragten (55 bzw. 54%) überhaupt bekannt. Die Folgen von Cyberkriminalität seien für Betroffene jedoch oft spürbar: 88 Prozent berichteten von einem Schaden, ein Drittel von finanziellen Verlusten (33%).

Im Rahmen ihrer Kooperation bauten BSI und ProPK auch ihr Unterstützungsangebot weiter aus. Neben allen Ergebnissen des Cybersicherheitsmonitors fänden sich auf den Websites der Partner auch zwei neue „Checklisten für den Ernstfall“: Diese sollen Verbrauchern niedrigschwellige Orientierung in den Fällen von Betrug beim Onlineshopping und Identitätsdiebstahl geben.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.

Bundesamt für Sicherheit in der Informationstechnik
Die Leitung des BSI: Die Präsidentin – Claudia Plattner

Bundesamt für Sicherheit in der Informationstechnik
Cybersicherheitsmonitor 2026: Jede zehnte Person allein im Vorjahr betroffen / Befragung zur Cybersicherheit

Bundesamt für Sicherheit in der Informationstechnik
Wegweiser im digitalen Alltag

Stark im Amt
Polizeiliche Kriminalprävention der Länder und des Bundes

Baden-Württemberg, Ministerium des Inneren, für Digitalisierung und Kommunen
Landespolizeipräsidentin Dr. Stefanie Hinz

POLIZEILICHE KRIMINALPRÄVENTION DES BUNDES UND DER LÄNDER, 11.05.2026
Cybersicherheitsmonitor 2026

POLIZEILICHE KRIMINALPRÄVENTION DES BUNDES UND DER LÄNDER
Mit dem Sicherheitskompass vor Internetgefahren schützen

CYMON Der Cybersicherheitsmonitor
Befragung zur Cybersicherheit 2026

]]>
World Password Day 2026: ESET-Empfehlung zur MFA-Nutzung für zentrale Zugänge zu Netzwerken und Konten https://www.datensicherheit.de/world-password-day-2026-eset-empfehlung-mfa-nutzung-netzwerke-konten Thu, 30 Apr 2026 22:34:00 +0000 https://www.datensicherheit.de/?p=54201 Eine Multi-Faktor-Authentifizierung (MFA) ergänzt ein Passwort um mindestens einen weiteren Nachweis – und kann damit verhindern, dass sich Cyberkriminelle wie berechtigte Nutzer einfach einloggen können

[datensicherheit.de, 01.05.2026] Der „World Password Day“, nun wieder am 7. Mai 2026, soll jedes Jahr daran erinnern, unbedingt sichere Kennwörter zu verwenden. ESET betont in einer Stellungnahme zu diesem Tag, dass Passwörter wichtig blieben. Indes: „Allein tragen sie die Sicherheit von Unternehmen aber nicht mehr!“ Denn die ursprüngliche Botschaft dieses Jahrestages greife inzwischen zu kurz: „,Cloud’-Dienste, VPN-Zugänge, ,Remote Desktop’, E-Mail-Konten und Administrationsoberflächen brauchen mehr Schutz als Benutzername und Passwort!“ Der Grund sei einfach: Angreifer müssten heute nicht immer technische Schwachstellen ausnutzen – oft genüge eine gültige Identität. Gestohlene oder wiederverwendete Zugangsdaten öffneten den Weg in Postfächer, „Cloud“-Umgebungen oder interne Systeme. Für IT-Sicherheitsabteilungen sei dies besonders tückisch: Im ersten Moment sehe ein solcher Zugriff nicht wie ein Einbruch aus, sondern eben wie eine normale Anmeldung.

eset-external-networks-intrusion-vectors-2025

Abbildung: ESET

„External network intrusion vectors reported by unique clients in H2 2025“: Das Erraten von Passwörtern ist Haupt-Angriffsvektor für cyberkriminelle Zugänge

MFA sollte ordentlich eingeführt und im Alltag akzeptiert werden

Wie konkret dieses Risiko ist, zeigt demnach die aktuelle ESET-Telemetrie: Laut „ESET Threat Report H2 2025“ sind E-Mail-Bedrohungen gegenüber der ersten Jahreshälfte um 36 Prozent gestiegen. Unter den Top-Bedrohungen bei E-Mails habe „HTML/Phishing.Agent“ mit 30,8 Prozent klar vorne gelegen.

  • Auch klassische Passwortangriffe blieben relevant. Bei externen Netzwerkangriffsvektoren sei mit 43,3 Prozent der größte Anteil auf „Password Guessing“ entfallen. Hinzu kämen sogenannte Infostealer wie „Formbook“, „Agent Tesla“ oder „SnakeStealer“, welche Zugangsdaten, Browser-Daten und weitere sensible Informationen von kompromittierten Geräten abgreifen könnten.

„Viele Angriffe beginnen heute mit einer ganz normalen Anmeldung“, erläutert Michael Schröder, „Head of Product Marketing“ bei ESET Deutschland. Er mahnt: „Genau deshalb dürfen Unternehmen Passwörter nicht länger alleinlassen. Multi-Faktor-Authentifizierung sorgt dafür, dass ein gestohlenes Passwort nicht automatisch zum Zugang ins Unternehmen wird. Wichtig ist aber, dass MFA sauber eingeführt und im Alltag akzeptiert wird!“

MFA-Nutzung eine Verpflichtung

Eine Multi-Faktor-Authentifizierung (MFA) ergänzt ein Passwort um mindestens einen weiteren Nachweis: Das kann eine App-Freigabe sein, ein Einmalcode, ein Hardware-Token, ein biometrisches Merkmal oder ein FIDO-basierter Sicherheitsschlüssel. Der Nutzen ist offensichtlich: Selbst wenn ein Passwort kompromittiert wurde, fehlt Angreifern ein weiterer Faktor für den Zugang.

  • Auch regulatorisch gewinnt MFA offenbar an Bedeutung. Das BSI verweist jedenfalls im NIS-2-Kontext auf MFA und gesicherte Kommunikation als Teil der Risikomanagementmaßnahmen für wichtige und besonders wichtige Einrichtungen. Damit wird MFA für viele Unternehmen in Deutschland, aber auch in Österreich und der Schweiz, nicht nur zu einer technischen Empfehlung, sondern zu einem Baustein professioneller Unternehmensführung.

ESET rät Unternehmen deshalb, MFA nicht als Einzelprojekt zu betrachten. Entscheidend sei eine Strategie, welche kritische Zugänge priorisiere, Nutzergruppen einbinde und Sonderfälle sauber regele. Dazu gehörten verlorene Smartphones, Gerätewechsel, Dienstleister-Zugänge, Notfallkonten und ältere Anwendungen, welche moderne Authentifizierung nur eingeschränkt unterstützten.

Trotz MFA sind gute Passwörter entscheidend

Aber auch mit MFA blieben gute Passwörter wichtig: Diese sollten lang, einzigartig und nicht mehrfach verwendet werden. Passwortmanager könnten helfen, sichere Zugangsdaten praktikabel zu machen. Der regelmäßige Zwangswechsel ohne konkreten Anlass sei hingegen kein Allheilmittel.

  • Wichtiger sei, unsichere oder kompromittierte Kennwörter zu erkennen und kritische Zugänge zusätzlich abzusichern. Der diesjährige „World Password Day“ sollte für Unternehmen deshalb mehr sein als ein Hinweis auf Sonderzeichen und Mindestlängen:

Er sei ein guter Anlass, die eigene Identity-Security-Strategie zu prüfen. „Welche Konten sind besonders kritisch? Wo fehlt MFA noch? Welche Dienstleister haben Zugriff? Welche Altanwendungen umgehen moderne Sicherheitsregeln? Und wie schnell erkennt das Unternehmen, wenn Zugangsdaten missbraucht werden?“

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

eseT, 08.08.2016
ESET stärkt Marktposition mit Michael Schröder – Fokus auf Technologie-Allianzen und ganzheitliche Produktentwicklung

welivesecurity by eseT, Jiří Kropáč, 16.12.2025
ESET Research / ESET Threat Report H2 2025: A view of the H2 2025 threat landscape as seen by ESET telemetry and from the perspective of ESET threat detection and research experts

Bundesamt für Sicherheit in der Informationstechnik
#nis2know: Multi-Faktor-Authentisierung, kontinuierliche Authentifizierung und gesicherte Kommunikation

NATIONAL DAY CALENDAR
WORLD PASSWORD DAY

datensicherheit.de, 01.05.2026
Einloggen statt Einbruch: Warnung vor cyberkriminellem Trend / Rich Greene nimmt den bevorstehenden diesjährigen „World Password Day“ am 7. Mai 2026 zum Anlass, IT-Sicherheitsteams mit einer unangenehmen Wahrheit über Passwörter zu konfrontieren – Cyberkriminelle suchen vermehrt den direkten Zugang

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

datensicherheit.de, 26.01.2023
Statt häufiger Passwortwechsel: eco empfiehlt starke Passwörter / eco gibt zum bevorstehenden Ändere-dein-Passwort-Tag am 1. Februar 2023 drei Tipps für sichere Log-Ins

datensicherheit.de, 05.05.2022
Passwörter als Sicherheitsrisiko – Experten plädieren zum Wechsel zur passwortlosen Authentifizierung / Statt sich auf eine gute Kennworthygiene zu konzentrieren, sollte der Einsatz der Passwort-Authentifizierung hinterfragt werden

]]>
Einloggen statt Einbruch: Warnung vor cyberkriminellem Trend https://www.datensicherheit.de/einloggen-statt-einbruch-warnung-cyberkrimineller-trend Thu, 30 Apr 2026 22:33:00 +0000 https://www.datensicherheit.de/?p=54200 Rich Greene nimmt den bevorstehenden diesjährigen „World Password Day“ am 7. Mai 2026 zum Anlass, IT-Sicherheitsteams mit einer unangenehmen Wahrheit über Passwörter zu konfrontieren – Cyberkriminelle suchen vermehrt den direkten Zugang

[datensicherheit.de, 01.05.2026] Rich Greene, „Instructor“ beim SANS Institute, nimmt den bevorstehenden diesjährigen „World Password Day“ am 7. Mai 2026 zum Anlass zu mahnen, dass sich IT-Sicherheitsteams einer unangenehmen Wahrheit über Passwörter stellen müssten: Cyberkriminelle würden für Angriffe nicht mehr einbrechen„sie loggen sich ein!“ Für den Report „Verizon DBIR 2025“ hatten die Autoren demnach über 22.000 Sicherheitsvorfälle analysiert und festgestellt, dass gestohlene Anmeldedaten bei 22 Prozent aller bestätigten Sicherheitsverletzungen den ersten Zugangsweg darstellten. Bei einfachen Angriffen auf Web-Anwendungen steige diese Zahl sogar auf 88 Prozent. An anderer Stelle hätten die Autoren eines Reports von „IBM X-Force“ einen Anstieg von 84 Prozent gegenüber dem Vorjahr bei sogenannter Infostealer-Malware verzeichnet, welche über Phishing-E-Mails verbreitet worden sei. Dabei handele es sich eben nicht um ausgeklügelte Zero-Day-Exploits: „Dabei handelt es sich um Malware, die still und leise gespeicherte Passwörter aus dem Browser sammelt.“

sans-institute-rich-greene

Foto: SANS Institute

Rich Greene berichtet: Zugangsdaten werden in Logs gebündelt und an „Initial Access Broker“ verkauft, die den Netzwerkzugang wiederum an Ransomware-Gruppen weiterverkaufen…

In mehr als der Hälfte der Fälle öffnet ein einziges kompromittiertes Passwort Cyberkriminellen mehrere Zugänge

Greene warnt: „Und die Wiederverwendung von Passwörtern gießt weiterhin Öl ins Feuer. Verizons Analyse von Infostealer-Protokollen ergab, dass im Medianfall nur 49 Prozent der Passwörter eines Nutzers über verschiedene Dienste hinweg einzigartig waren.“

  • Dies bedeute, dass in mehr als der Hälfte der Fälle ein einziges kompromittiertes Passwort Cyberkriminellen mehrere Türen öffnen könne. „Wir sagen den Leuten immer wieder, sie sollen starke, einzigartige Passwörter verwenden. Sie nicken zustimmend und tun genau das Gegenteil.“

Die „Infostealer“-Wirtschaft habe sich industrialisiert. Im „KELA-Bericht 2025“ hätten Sicherheitsforscher 3,9 Milliarden gestohlene Zugangsdaten auf 4,3 Millionen infizierten Geräten verzeichnet. „Diese Zugangsdaten werden in Logs gebündelt und an ,Initial Access Broker’ verkauft, die den Netzwerkzugang wiederum an Ransomware-Gruppen weiterverkaufen.“

MFA kann helfen – sollte aber nicht als „die Wunderwaffe“ gegen Cyberkriminelle verstanden werden

„MFA hilft, aber sie ist nicht ,die Wunderwaffe’, als die sie gerne dargestellt wird. Angreifer umgehen sie durch ,Prompt-Bombing’, ,Session-Hijacking’ und ,Adversary-in-the-Middle’-Phishing-Kits, die Token in Echtzeit erfassen“, berichtet Greene. Der „Verizon DBIR“ habe „Prompt-Bombing“ erstmals als eine der häufigsten Angriffsmethoden identifiziert. Eine Multi-Faktor-Authentifizierung (MFA) aktiviert zu haben, sei das Mindeste. „Eine phishing-resistente MFA ist das, was tatsächlich etwas bewirkt.“

  • Doch es gebe Licht am Horizont für die IT-Security-Community, denn Passkeys funktionierten. „Die FIDO Alliance berichtet, dass 69 Prozent der Verbraucher mittlerweile mindestens einen Passkey besitzen, gegenüber einem Bekanntheitsgrad von nur 39 Prozent vor zwei Jahren.“ Passkeys erreichten eine Anmeldeerfolgsrate von 93 Prozent, verglichen mit 63 Prozent bei herkömmlichen Passwörtern.

Auf Unternehmensseite hätten laut Untersuchungen von HID und der FIDO Alliance 87 Prozent der Organisationen Passkeys eingeführt oder seien dabei, diese einzuführen. Google habe über 800 Millionen Passkeys nutzende Konten mit 2,5 Milliarden Passkey-Anmeldungen. „Das ist also keine Theorie mehr, sondern Realität.“

Zur Abwehr cyberkrimineller Angriffe Passkeys einführen – ein Prozess mit Zeitbedarf

Passkeys seien eine erstaunliche Technologie mit echten Hürden bei der Einführung, welche IT-Sicherheitsteams nicht einfach wegwinken könnten: „Unternehmensumgebungen mit veralteter Infrastruktur, lokalem ,Active Directory’, gemeinsam genutzten Arbeitsplätzen und älteren Geräten ohne ,Trusted Platform Module’ (TPM) oder biometrische Hardware stehen vor echten Schwierigkeiten.“

  • Die plattformübergreifende Interoperabilität zwischen „Ökosystemen“ verbessere sich zwar, sei aber immer noch umständlich. Die Kontowiederherstellung und die Delegierung von Anmeldedaten in großen Organisationen seien noch nicht vollständig gelöst.

Greene führt aus: „Und man kann nicht einfach einen Schalter umlegen und Passwörter über Nacht abschaffen, wenn man Tausende von Mitarbeitern mit unterschiedlicher Hardware hat.“ Organisationen müssten während der Umstellung eine hybride Authentifizierung betreiben – und diese Umstellung könnte je nach Umgebung Jahre dauern. „Die Richtung stimmt, aber der Weg dorthin wird für viele Unternehmen chaotisch sein.“

Passwörter einst ein notwendiges Übel zum Schutz vor Cyberkriminellen

„Die Zeit nach dem besseren Passwort zu suchen ist abgelaufen!“, stellt Green klar. Stattdessen sollten IT-Sicherheitsteams darauf hinarbeiten, weniger Passwörter einzusetzen, denn jedes Passwort sei eine Angriffsfläche, und jeder Passkey beseitige eine.

  • Sie sollten stattdessen Passwortmanager nutzen und überall phishing-resistente MFA einsetzen.

„Passwörter waren ein notwendiges Übel. Jetzt sind sie einfach nur noch ein Übel.“ Je schneller IT-Sicherheitsteams diese nun ablösten desto besser. „Organisationen müssen jedoch auch dort abgeholt werden, wo sie stehen. Nicht jedes Unternehmen verfügt über glänzende neue Hardware, und der Weg zur Passwortlosigkeit muss dieser Realität Rechnung tragen“, gibt Greene abschließend zu bedenken.

Weitere Informationen zum Thema:

SANS
About SANS Institute

SANS
Rich Greene – Certified InstructorSenior Solutions Engineer at SANS Institute

NATIONAL DAY CALENDAR
WORLD PASSWORD DAY

verizon, Sebrina Kepple, 23.04.2025
Verizon’s 2025 Data Breach Investigations Report: System intrusion breaches double in EMEA

IBM, 17.04.2025
IBM X-Force Threat Index 2025: Der umfangreiche Diebstahl von Anmeldedaten nimmt zu, Bedrohungsakteure wenden heimlichere Taktiken an

KELA, 2025
2025 Midyear Threat Report: Evolving Tactics and Emerging Dangers / A Guide to Prepare for the Growing Threats of Hacktivists, Infostealers, Ransomware and More

fido ALLIANCE
Passkeys

datensicherheit.de, 01.05.2026
World Password Day 2026: ESET-Empfehlung zur MFA-Nutzung für zentrale Zugänge zu Netzwerken und Konten / Eine Multi-Faktor-Authentifizierung (MFA) ergänzt ein Passwort um mindestens einen weiteren Nachweis – und kann damit verhindern, dass sich Cyberkriminelle wie berechtigte Nutzer einfach einloggen können

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

datensicherheit.de, 26.01.2023
Statt häufiger Passwortwechsel: eco empfiehlt starke Passwörter / eco gibt zum bevorstehenden Ändere-dein-Passwort-Tag am 1. Februar 2023 drei Tipps für sichere Log-Ins

datensicherheit.de, 05.05.2022
Passwörter als Sicherheitsrisiko – Experten plädieren zum Wechsel zur passwortlosen Authentifizierung / Statt sich auf eine gute Kennworthygiene zu konzentrieren, sollte der Einsatz der Passwort-Authentifizierung hinterfragt werden

]]>
Datenverlust in Deutschland: Warnung von Panda Security an unzureichend geschützte Nutzer https://www.datensicherheit.de/datenverlust-deutschland-warnung-panda-security-mangel-schutz-nutzer Mon, 06 Apr 2026 22:17:00 +0000 https://www.datensicherheit.de/?p=53736 Geräteausfälle, Cyberangriffe und menschliche Fehler zählen weiterhin zu den häufigsten Ursachen für Datenverlust

[datensicherheit.de, 07.04.2026] Aktuelle Erkenntnisse von Panda Security zeigen demnach, dass viele Nutzer ihre Daten zwar intensiv nutzen, aber nur unzureichend schützen. „Geräteausfälle, Cyberangriffe und menschliche Fehler zählen weiterhin zu den häufigsten Ursachen für Datenverlust.“ Trotzdem verließen sich viele Anwender auf nur eine Backup-Lösung – oder verzichteten sogar ganz darauf.

Plötzlicher Datenverlust kann verschiedene Ursachen haben

Panda Security warnt: „Ob Fotos, Dokumente oder berufliche Daten – noch nie waren so viele persönliche Informationen digital gespeichert. Gleichzeitig zeigt sich auch in Deutschland und Europa ein wachsendes Risiko: Datenverlust betrifft immer mehr Nutzer, die oft nicht ausreichend vorbereitet sind.“

Datenverlust kann laut Panda Security plötzlich auftreten, zum Beispiel durch:

  • Hardwaredefekte oder Geräteschäden
  • Ransomware und Cyberangriffe
  • Versehentliches Löschen
  • Systemfehler oder Softwareprobleme

Ohne funktionierendes Backup sei eine Wiederherstellung oft nicht möglich.

Datenverlust als zunehmende Herausforderung für die IT-Sicherheit

Mit der Zunahme von Cyberangriffen – insbesondere durch Ransomware – werde Datensicherung zu einem zentralen Bestandteil der Cybersicherheit, indes auch für Privatpersonen und kleine Unternehmen in Deutschland.

  • Ein einzelner Speicherort reiche heute nicht mehr aus, um Daten zuverlässig zu schützen.

„Auch in Deutschland speichern Menschen immer mehr persönliche und berufliche Daten digital – häufig ohne ausreichende Absicherung“, erklärt Hervé Lambert, „Global Consumer Operations Manager“ bei Panda Security.

Zunahme der Digitalisierung steigert Datenverlust-Risiko

Lambert führt weiter aus: „Datenverlust entsteht nicht nur durch Cyberangriffe. Oft sind es alltägliche Ursachen wie Geräteausfälle oder Bedienfehler. Eine einfache Backup-Strategie kann verhindern, dass daraus ein dauerhafter Schaden wird.“

So schützen Sie Ihre Daten laut Lambert:

  • Automatische Backups einrichten!
  • Daten an mehreren Orten speichern („Cloud“ und externe Datenträger)!
  • Systeme und Software regelmäßig aktualisieren!
  • Backups regelmäßig überprüfen und testen!

Mit zunehmender Digitalisierung steige auch das Risiko von Datenverlust. Eine klare Backup-Strategie gehöre heute zu den wichtigsten Maßnahmen zum Schutz digitaler Daten.

Weitere Informationen zum Thema:

panda
So komplex es auch ist – wir machen es einfach.

panda, Panda Security, 11.03.2026
What is World Backup Day 2026? / World Backup Day is happening again this year! The special day is on March 31st, 2026, and the organizers are continuing their efforts to raise…

datensicherheit.de, 01.04.2026
Ohne regelmäßigen Test ihrer Backups wandeln Unternehmen am Abgrund / Über 60 Prozent der Unternehmen glauben, dass sie sich innerhalb weniger Stunden von einem Ausfall erholen könnten – aber nur 35 Prozent schaffen es tatsächlich

datensicherheit.de, 31.03.2026
World Backup Day: Backups verhindern, dass aus einem schlechten Tag ein katastrophaler wird / Zu den häufigen Ursachen für Datenverluste zählen Ransomware, versehentliches Löschen, Hardwareausfälle oder Softwarefehler, Fehlkonfigurationen, Insider-Bedrohungen und sogar Naturkatastrophen – Backups kontern also nicht nur die Ransamware-Bedrohung

datensicherheit.de, 30.03.2026
Konfigurationen: Der „World Backup Day“ sollte Backups jenseits purer Datensicherung propagieren / Es geht bei Backups eben auch darum, die gesamte Betriebsumgebung – inklusive aller Konfigurationen – widerstandsfähig und wiederherstellbar zu halten

]]>
Software mit bekannten Sicherheitslücken bei 87 Prozent der Unternehmen in Betrieb https://www.datensicherheit.de/software-bekannte-sicherheitsluecken-87-prozent-unternehmen Sat, 28 Feb 2026 23:15:00 +0000 https://www.datensicherheit.de/?p=52894 Der „State of DevSecOps Report 2026“ mahnt: Sicherheitsrisiken entstehen zunehmend früher – und zwar dort, wo Software aus vielen Bausteinen und Zulieferungen zusammengesetzt wird

[datensicherheit.de, 01.03.2026] Der aktuelle Bericht „State of DevSecOps Report 2026“ von Datadog geht auf die Probleme moderner IT-Sicherheitsteams ein: Diese steckten förmlich zwischen veralteter Software mit bekannten Schwachstellen und zu schneller Automatisierung, welche die Gefahr berge, bösartige oder kompromittierte Software gleich mit zu installieren. Das Ergebnis sei eine wachsende Lücke zwischen dem Sicherheitsgefühl vieler Organisationen und dem realen bereits in der Produktion erwachsenden Risiko. Der Report thematisiert außerdem, warum viele IT-Security-Teams trotz wachsender „Alert“-Flut nicht schneller werden: Sie gingen im Rauschen „kritischer“ Meldungen geradezu unter, denn 82 Prozent der als „kritisch“ eingestuften Schwachstellen seien tatsächlich unkritisch, sobald reale Laufzeitkontexte berücksichtigt werden.

Risiko zunehmend durch Software-Lieferkette und zum Erstellen und Bereitstellen von Anwendungen verwendeten „Tools“ geprägt

Die Datadog Inc., Anbieter einer KI-gestützte „Observability“- und Sicherheitsplattform für „Cloud“-Anwendungen, hat am 26. Februar 2026 seinen aktuellen „State of DevSecOps Report“ veröffentlicht. Demnach haben nahezu neun von zehn Unternehmen (87%) mindestens eine bekannte, ausnutzbare Schwachstelle in bereitgestellten Services.

  • Der Bericht verweist auf einen breiteren Wandel in der Branche, bei dem Sicherheitsrisiken entlang des gesamten „Software Delivery“-Lebenszyklus zunähmen.

Da sich die Entwicklung beschleunige, stärker automatisiert ablaufe und sich stärker auf Drittanbieter-Komponenten stütze, werde das Risiko zunehmend durch die Software-Lieferkette und die zum Erstellen und Bereitstellen von Anwendungen verwendeten „Tools“ geprägt – und eben nicht nur durch den in der Produktion laufenden Code.

Sicherheitsrisiko nimmt an beiden Enden des Software-Lebenszyklus zu

Einerseits altere Software schneller, als Teams sie aktuell halten könnten. „Die mediane Software-Abhängigkeit, also wie lange die verwendeten Software-Bausteine veraltet sind, liegt inzwischen bei 278 Tagen und damit 63 Tagen mehr als im vergangenen Jahr.“

  • Gleichzeitig beschleunige Drittanbieter-Software die Entwicklung, bringe jedoch Risiken mit sich, „wenn ihr komplett vertraut wird“. Die Hälfte der Unternehmen (50%) übernähmen neue Bibliotheksversionen innerhalb von 24 Stunden nach Veröffentlichung und nur vier Prozent aller Unternehmen legten „GitHub-Actions“ mithilfe von „Commit-Hashes“ auf eine spezifische Version fest.

Infolgedessen seien „Build- und Deployment-Pipelines“ zunehmend stillen Änderungen in Drittanbieter-Code ausgesetzt, was CI/CD-Systeme zu einem kritischen Lieferketten-Risiko mache.

Veraltete Software mit bekannten Schwachstellen vs. Automatisierung mit ungeprüftem Code

„Die Art und Weise, wie Software gebaut wird, hat sich grundlegend verändert, aber Sicherheitspraktiken haben nicht Schritt gehalten“, erläutert Andrew Krug, „Head of Security Advocacy“ bei Datadog.

  • Ergibt zu bedenken: „,DevSecOps’-Teams sitzen zwischen den Stühlen – zu langsam oder zu schnell. Wer langsam vorgeht, sammelt veraltete Software mit bekannten Schwachstellen an. Wer schnell vorgeht, kann durch Automatisierung ungeprüften Code einführen.“

Die eigentliche Herausforderung sei jedoch nicht nur die Geschwindigkeit, sondern Klarheit. „Da Umgebungen immer komplexer werden, helfen KI-gestützte Workflows dabei, sicherzustellen, dass die wichtigsten Prioritäten zuerst Aufmerksamkeit bekommen“, so Krug.

Software-Schwachstellen: Warnmeldungsvolumen verdeckt tatsächliches Risiko

Während die Zahl der Warnmeldungen zu Schwachstellen weiter steige, zeige der Bericht auch, dass die meisten kein unmittelbares Geschäftsrisiko darstellten. Nur 18 Prozent der als „kritisch“ eingestuften Schwachstellen blieben tatsächlich kritisch, „sobald Laufzeitkontext berücksichtigt wird“.

  • „Wenn fast alles als ‚kritisch‘ gekennzeichnet ist, ist nichts mehr kritisch“, warnt Krug. Er kommentiert abschließend: „Teams sind mit einem Rauschen beschäftigt, während Bedrohungen, die ein echtes Risiko darstellen, durchrutschen. Ohne Kontext wird die Priorisierung schwieriger, was zu Burnout, langsameren Reaktionszeiten und angesammeltem Risiko führt. Teams brauchen bessere Transparenz darüber, was tatsächlich Maßnahmen erfordert.“

Datadog hat für den vorliegenden Bericht nach eigenen Angaben Telemetriedaten aus Zehntausenden von Anwendungen analysiert, um Sicherheitsrisiken in modernen Software-Umgebungen zu bewerten, sowie zusätzliche Datensätze, die für spezifische Ergebnisse genutzt wurden. Die Datenbasis sei global.

Weitere Informationen zum Thema:

DATADOG
AI-Powered Observability and Security / See inside any stack, any app, at any scale, anywhere.

DATADOG, Februar 2026
STATE OF DevSecOps

Andrew Krug
Hi, I’m Andrew Krug

datensicherheit.de, 24.11.2025
Software-Schwachstellen als Achillesferse moderner technischer Systeme / Statt Patchen „Security by Design“ der Software mit der richtigen Programmiersprache

datensicherheit.de, 10.11.2025
Erweiterte SBOM als Sicherheitheitspass: Software-Stücklisten zwischen Pflicht und Kür / Laut ONEKEY entwickeln sich erweiterte SBOMs zum Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen

datensicherheit.de, 23.10.2025
Wenn die Software-Lieferkette ins Visier gerät: Effektives Schwachstellen-Management vorhalten / Cyberangriffe gehören längst zur Normalität – besonders kritisch wird es indes, wenn Täter einzelne Komponenten der Software-Lieferkette attackieren

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus

]]>
Das drohende Ende klassischer Kryptographie: Web-Seminar zur IT-Sicherheit vor dem Quantenumbruch https://www.datensicherheit.de/ende-klassischer-kryptographie-seminar-quantenumbruch Fri, 27 Feb 2026 23:25:00 +0000 https://www.datensicherheit.de/?p=52880 Seit Jahrzehnten schützen kryptographische Verfahren u.a. digitale Identitäten, VPN-Verbindungen, E-Mails und geschäftskritische Daten – was aber heute in der IT noch als sicher gilt, könnte morgen für Cyberkriminelle berechenbar sein

[datensicherheit.de, 28.02.2026] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zum Web-Seminar „Das Ende klassischer Kryptographie? IT-Sicherheit vor dem Quantenumbruch“ ein. Seit Jahrzehnten schützen kryptographische Verfahren u.a. digitale Identitäten, VPN-Verbindungen, E-Mails und geschäftskritische Daten. Doch mit dem Fortschritt auf dem Gebiet des Quantencomputings gerät genau dieses bisher noch so sicher geltende Fundament ins Wanken: „Was heute als sicher gilt, könnte morgen berechenbar sein!“, warnt der it’s.BB.

itsbb-webinar-kryptographie-it-sicherheit-quantenumbruch

Abbildung: it’s.BB e.V.

Referent: Jonas Schubert, IT-Security-Experte, M&H IT-Security

„Das Ende klassischer Kryptographie? IT-Sicherheit vor dem Quantenumbruch“

Web-Seminar am Mittwoch, dem 11. März 2026, von 16.00 bis 17.00 Uhr.
via „MS-Teams“
Die Teilnahme ist kostenlos – eine Online-Anmeldung erforderlich.

Agenda (ohne Gewähr)

– Einführung und Übersicht über klassische Kryptographie
– Erläuterungen:

  • symmetrische und asymmetrische Verschlüsselungsmethoden,
  • wann und wie Quantencomputer ein reales Risiko für klassische Kryptographie darstellen,
  • welche erfahren konkret betroffen sind,
  • was „Post-Quanten-Kryptographie“ bedeutet,
  • welche strategischen Schritte Unternehmen bereits jetzt einleiten sollten.

– „Q&A“

Online-Anmeldung und weitere Informationen zum Thema:

eventbrite.de, it’sBB e.V ITSicherheitsnetzwerk BerlinBrandenburg
Das Ende klassischer Kryptographie? IT-Sicherheit vor dem Quantenumbruch

it’s.BB DAS IT_SICHERHEITSNETZWERK BERLIN-BRANDENBURG
it´s.BB – über uns / IT-Sicherheit für Berlin und Brandenburg

datensicherheit.de, 01.11.2025
Bedrohung der Datensicherheit durch Fortschritte bei Quantencomputern / Unternehmen stehen weitreichende Veränderungen hinsichtlich des Schutzes sensibler Informationen und Daten bevor – Quantencomputer rechnen immer schneller und bedrohen Public-Key-Verschlüsselungen

datensicherheit.de, 16.09.2025
Daten als Beute auf Vorrat: Cyberkriminelle setzen auf Fortentwicklung der Quantencomputer / US-Behörde NIST empfiehlt neue Kryptographie-Standards: Quantencomputer werden bald heute noch als sicher geltende Verschlüsselungen in Sekunden knacken können

datensicherheit.de, 16.07.2025
Fortschritte des Quantencomputings: Aktuelle Verschlüsselungsverfahren drohen obsolet zu werden / Innerhalb der nächsten fünf bis zehn Jahre wird vielfach der Eintritt des „Q-Day“ befürchtet – also der Zeitpunkt, an dem Quantencomputer leistungsfähig genug sind, heute gängige kryptographische Algorithmen zu brechen

datensicherheit.de, 16.05.2025
Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen / Rückblick auf das „FrühlingsForum 2025“ des VDI/VDE-AK Sicherheit und des ETV in Berlin mit Dr. Jan Goetz als Sprecher zum Thema „Quantencomputer – Was kommt nach KI? Wie Quantencomputer die Welt verändern können“

datensicherheit.de, 12.05.2025
Q-Day: Utimaco rät Unternehmen zur rechtzeitigen Vorbereitung auf quantengestützte Cyberangriffe / Aktueller Utimaco-Report zu Quantenbedrohungen erschienen – um weiterhin digitale Sicherheit zu gewährleisten, muss sich die heutige Kryptographie drastisch verändern

]]>