[datensicherheit.de, 16.12.2025] Aktuelle Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigten deutlich, dass digitale Kommunikationswege auch 2025 zu den bevorzugten Angriffszielen gehörten. Besonders E-Mail-Infrastrukturen stehen demnach weiterhin im Zentrum der Bedrohung. „Allein in der Bundesverwaltung waren täglich rund 684.000 E-Mail-Adressen potenziellen Angriffen ausgesetzt – von Spam über Phishing bis hin zu Malware. Diese Menge zeigt deutlich, warum die E-Mail nach wie vor das beliebteste Angriffsziel für Cyberkriminelle ist“, erläutert Günter Esch, Geschäftsführer SEPPmail – Deutschland GmbH, in seiner aktuellen Stellungnahme.

Foto: SEPPmail Deutschland GmbH

Günter Esch: Auch wenn die Menge eingehender E-Mails zurückgeht, bleibt die Bedrohungslage unverändert hoch!

Vernetzte Angriffspfade nehmen E-Mail konzentriert ins Visier

Auffällig sei, „dass die Angriffsfläche längst nicht mehr nur aus klassischen Posteingängen besteht“. Auch Social-Media-Profile und andere digitale Kontaktpunkte würden systematisch in Angriffskampagnen einbezogen.

• Esch führt aus: „Die zunehmende Vermischung dieser Kanäle führt zu vernetzten Angriffspfaden: Zum Beispiel, wenn gefälschte Identitäten über Soziale Medien Vertrauen schaffen, bevor der eigentliche Schadlink dann per E-Mail zugestellt wird.“ Diese Entwicklung bedeute für Unternehmen, dass die Sicherheit kanalübergreifend gedacht werden müsse.

Gleichzeitig zeige der BSI-Bericht deutlich, dass sinkende Zahlen nicht über vorhandene Gefahren hinwegtäuschen dürften. „Auch wenn die Menge eingehender E-Mails zurückgeht, bleibt die Bedrohungslage unverändert hoch.“ Cyberkriminelle setzten zunehmend auf gezielte und qualitativ hochwertige Angriffe, bei denen „Social Engineering“, Identitätsmissbrauch und täuschend echte Absenderdomains im Mittelpunkt stünden.

BSI-Lagebericht zeigt klar: E-Mail-Sicherheit ein fortlaufender Prozess

„Die Anforderungen an E-Mail-Schutz steigen rasant, und herkömmliche Filter sind dieser Dynamik nicht mehr gewachsen!“, unterstreicht Esch. Moderne Sicherheitslösungen arbeiteten heute deutlich intelligenter: „Sie analysieren Kommunikationsbeziehungen statt nur Inhalte, erkennen Identitätsabweichungen in Echtzeit und nutzen KI-gestützte Modelle, um ungewöhnliche Muster oder verfälschte Kontexte sofort sichtbar zu machen.“

• Auch automatisierte Schutzmechanismen würden immer wichtiger: „,Sandboxing’ für unbekannte Anhänge, linkbasierte Prüfungen in Echtzeit sowie Absender-Authentifizierung entlasten Sicherheits-Teams und schließen Lücken, bevor sie ausgenutzt werden können.“ Entscheidend sei dabei die Integration in ein übergreifendes Sicherheitskonzept. „Denn nur wenn Analyse, Prävention und Reaktion eng zusammenspielen, lassen sich heutige Angriffskampagnen zuverlässig eindämmen“, betont Esch.

Abschließend gibt er zu bedenken: „Der aktuelle Lagebericht des BSI zeigt klar: E-Mail-Sicherheit ist kein abgeschlossenes Projekt, sondern ein fortlaufender Prozess! Nur durch ein Sicherheitskonzept, dass sich den Anforderungen anpasst und mit der Zeit geht, können die vielfältigen Angriffsszenarien wirksam eindämmt werden.“

Weitere Informationen zum Thema:

SEPPMAIL
Wir entwickeln universell einsetzbare E-Mail-basierte Lösungen: ehrlich, sicher, einfach / Über uns

SEPPMAIL
Günter Esch – Geschäftsführung

Bundesamt für Sicherheit in der Informationstechnik
Angriffsfläche Digitale Kommunikationskanäle der Bundesverwaltung

datensicherheit.de, 25.11.2025
E-Mail-Sicherheit bei Webmail-Diensten: BSI-Anforderungen hinsichtlich Sicherheit, Transparenz und Benutzerfreundlichkeit / Das BSI hat am 24. November 2025 in seiner Whitepaper-Reihe des „Digitalen Verbraucherschutzes“ den Titel „Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste“ bereitgestellt

datensicherheit.de, 06.09.2025
E-Mail Threat Landscape Report: Zunahme dynamischer Phishing-Angriffe auf Unternehmen / Der vorliegende Bericht zeigt ganz klar auf, dass E-Mails ein Haupteinfallstor für Cyberangriffe bleiben – dabei setzen Cyberkriminelle verstärkt auf Quishing

datensicherheit.de, 22.08.2025
„E-Mail-Sicherheitsjahr 2025“ – gemeinsame BSI-eco-Bitkom-Aktionskampagne / Initiatoren veröffentlichen erstmals „Hall of Fame der E-Mail-Sicherheit“ und zeichnen damit rund 150 Unternehmen aus, welche sich aktiv an der Umsetzung moderner E-Mail-Sicherheitsmaßnahmen beteiligen

datensicherheit.de, 13.02.2025
Verbraucherzentrale NRW warnt: Betrügerische E-Mails immer schwerer zu durchschauen / Sparkasse, Postbank, Telekom oder PayPal – oft werden Namen großer Unternehmen missbraucht, um in deren Namen Phishing-Mails zu versenden

datensicherheit.de, 09.01.2025
E-Mail-Sicherheitslösungen mit Doppelnutzen: Minimierung der Risiken und Maximierung der Effizienz / Täglich verbringen Mitarbeiter unzählige Stunden mit der Bearbeitung von E-Mails – höchste Zeit zum Handeln

[datensicherheit.de, 26.05.2025] Semperis hat die Ergebnisse einer internationalen Studie mit 1.000 Teilnehmern veröffentlicht, welche sich mit der Reaktionsfähigkeit in Cyberkrisen befasst. Laut diesen Ergebnissen sehen die Befragten „Kommunikationslücken“ als größtes Hindernis für ein wirksames Krisenmanagement (48%), gefolgt von „veralteten Reaktionsplänen“ (45%), und „Unklarheiten über die Rollen und Verantwortlichkeiten“ der zuständigen Belegschaft (41%). Für die zugrundeliegende Studie mit dem Titel „The State of Enterprise Cyber Crisis Readiness“ hat das Marktforschungsinstitut Censuswide im Semperis-Auftrag Anfang 2025 insgesamt 1.000 Teilnehmer in Deutschland, Frankreich, Italien, Spanien, dem Vereinigten Königreich, den USA, Australien, Neuseeland und Singapur befragt.

Foto: Semperis

Aleksandra Hochstein erkennt bei Unternehmen nach wie vor eine Lücke zwischen den wahrgenommenen Verteidigungsfähigkeiten und deren Ausübung im Ernstfall

Cyberreaktionsplan – Notfallübungen meist quartalsweise

83 Prozent haben demnach ihren Cyberreaktionsplan in einen umfassenden Notfallplan integriert, welcher auch rechtliche und öffentlichkeitswirksame Maßnahmen einschließt. „Um dessen Belastungsfähigkeit zu testen, führen 45 Prozent dieser Unternehmen quartalsweise ,Tabletop’-Übungen oder Audits durch (Deutschland: 48%).“

• 33 Prozent täten dies monatlich, 21 Prozent ein bis höchstens dreimal jährlich (Deutschland: 14%). Unter den befragten kontinentaleuropäischen Ländern liege die Häufigkeit der monatlichen Notfallübungen in Deutschland mit 37 Prozent am höchsten (Spanien: 17%, Frankreich: 20%, Italien: 31%).

Krisenreaktionspläne werden laut Befragung am häufigsten quartalsweise (38%) und monatlich (35%) aktualisiert. In Deutschland lägen diese Werte bei 40 Prozent und 37 Prozent.

Hindernisse im Cyberkrisen-Management

Bei einer deutlichen Mehrheit der Unternehmen seien die erarbeiteten Notfallpläne und -prozesse in Fällen von Cyberkrisen von der Realität auf die Probe gestellt worden: „Insgesamt mussten 36 Prozent im vergangenen Jahr einmal auf einen Cybervorfall mit starken Auswirkungen reagieren – wobei ,stark’ systemweite Folgen und Ausfälle einiger Geschäftsfunktionen bezeichnet, bei ebenfalls 36 Prozent war dies mehrfach der Fall.“ Unter den deutschen Unternehmen hätten 47 Prozent einmal einen „schwerwiegenden Vorfall“ und 28 Prozent mehrere Male gehabt.

• Darüber hinaus seien die Befragten gebeten worden, bis zu drei ihrer Meinung nach größten Hindernisse im Krisenmanagement auszuwählen. Auch hierbei unterschieden sich die deutschen Antworten vom Gesamtdurchschnitt: Während insgesamt „Kommunikationslücken“ (48%), „veraltete Reaktionspläne“ (45%) und „unklare Zuständigkeiten“ (41%) am meisten Zustimmung erhielten, sähen deutsche Unternehmen „zu viele unterschiedliche Tools“ (46%) vor „Kommunikationslücken“ (45%) und „Personalknappheit“ (42%) als „schwerwiegendste Hindernisse“ für ein effektives Krisenmanagement an – „überholte Notfallpläne“ (35%) und „unklare Rollenverteilung“ (24%) rangierten für die deutschen Teilnehmer auf den letzten Plätzen.

„Insgesamt deuten die Ergebnisse darauf hin, dass unter allen teilnehmenden Unternehmen nach wie vor eine Lücke zwischen den wahrgenommenen Verteidigungsfähigkeiten und deren Ausübung im Ernstfall besteht“, erläutert Aleksandra Hochstein, „Area Vice President DACH & Benelux“ bei Semperis. Sie führt abschließend aus: „Möglichkeiten zur Optimierung bestehen demnach vor allem in häufigeren Notfallübungen mit anschließender Aktualisierung der Krisenpläne sowie klaren, einheitlichen Verhaltensregeln in der Krisenkommunikation.“

Weitere Informationen zum Thema:

semperis, 2025
GLOBAL STUDY: The State of Enterprise Cyber Crisis Readiness / Are incident response plans delivering business and operational resilience?

ready1 powered by semperis, 2025
The State of Enterprise Cyber Crisis Readiness

datensicherheit.de, 12.09.2024
NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden / NIS-2 betrifft rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur

datensicherheit.de, 17.05.2024
Cyber-Risiken: IT-Security-Verantwortliche scheitern oft an der Kommunikation mit der Obersten Leitung / Mehrheit der CISOs (Chief Information Security Officers) in Deutschland und weltweit fühlt sich von der obersten Führungsebene unter Druck gesetzt, die Cyber-Risiken herunterzuspielen

[datensicherheit.de, 08.04.2025] Vor dem Hintergrund aktueller Cybercrime-Fälle bei Oracle und Samsung Electronics Deutschland nimmt Vincenz Klemm, Mitgründer und Geschäftsführer Baobab Insurance, einem digitalen Assekuradeur technischer Risiken, Stellung: „Die beiden aktuellen Cybercrime-Fälle bei Oracle und Samsung Electronics Deutschland zeigen, wie komplex und dynamisch die Bedrohungslage im Cyber-Raum ist – und wie fatal es sein kann, auf Attacken nicht mit der nötigen Offenheit und Klarheit zu reagieren.“

Foto: Baobab Insurance GmbH

Vincenz Klemm: Schäden für Unternehmen entstehen nicht nur durch Cyber-Angriffe selbst, sondern oft durch die Art und Weise, wie darauf reagiert wird!

Strukturelle Versäumnissen in der IT-Organisation als Türöffner für Cybercrime

Gerade das Beispiel Oracle verdeutliche, dass eine zunächst zurückhaltende oder widersprüchliche Kommunikation nicht nur das Vertrauen der Kunden beschädigen, sondern auch juristische Konsequenzen nach sich ziehen könne.

Ebenso alarmierend sei der Fall Samsung Electronics Deutschland: „Wenn administrative Zugänge nicht durch grundlegende Schutzmechanismen wie Multi-Faktor-Authentifizierung gesichert sind, liegt der Fokus nicht mehr allein auf dem Angriff – sondern auf strukturellen Versäumnissen in der IT-Organisation.“

Unterlassene Cyber-Sicherheitsstandards können persönliche Haftungsrisiken für Geschäftsführer nach sich ziehen

Klemm betont: „In solchen Fällen rückt auch das Thema Organisationsverschulden in den Vordergrund. Denn die Geschäftsleitung trägt die Verantwortung dafür, dass angemessene Schutzmaßnahmen getroffen werden!“

Je nach Schadensausmaß könnten unterlassene Sicherheitsstandards persönliche Haftungsrisiken für Geschäftsführer nach sich ziehen. „Gerade vor diesem Hintergrund ist IT-Sicherheit nicht länger ein rein technisches Thema, sondern Teil der unternehmerischen Sorgfaltspflicht.“

Schutz vor Cyber-Risiken beginnt mit gelebter IT-Sicherheitskultur

Neben Cyber- und E-Crime-Versicherungen bräuchten IT-, Software-, Technologie- und Telekommunikationsunternehmen auch eine belastbare Haftpflichtdeckung, um sich gegen Eigen- und Vermögensschäden abzusichern. Unabhängig von Unternehmensgröße oder Branche gelte außerdem: Der Schutz vor digitalen Risiken beginne nicht mit einer Versicherungspolice, sondern mit gelebter IT-Sicherheitskultur, „die fest in der Unternehmens-DNA verankert ist“. Dazu zählten:

• regelmäßige Zugangskontrollen
• „Awareness“-Schulungen
• aktuelle Sicherheitsstandards
• ein strukturierter Incident-Response-Plan
• transparente Kommunikation nach innen wie außen

„Denn der Schaden für das Unternehmen entsteht nicht nur durch den Angriff selbst, sondern oft durch die Art und Weise, wie darauf reagiert wird!“, gibt Klemm abschließend zu bedenken.

Weitere Informationen zum Thema:

NETZWELT, Gerrit Gerbig, 08.04.2025
Über 270.000 Kundendaten gestohlen: Samsung äußert sich zu Hackerangriff / Die hochsensiblen Daten von Samsung Deutschland sind nach einem Hackerangriff frei im Internet einsehbar. Seid auch ihr von der Datenpanne betroffen?

golem.de, Marc Stöckel, 02.04.2025
Datenleck: Umgang mit Cyberangriff mündet in Sammelklage gegen Oracle / Nach einem Datenleck verhält sich Oracle schon seit Wochen äußerst fragwürdig. Das könnte angesichts einer jüngst eingereichten Klage teuer enden.

Baobab Insurance GmbH auf YouTube, 14.02.2024
Cyber Safe von Baobab: Cyber-Versicherung mit integrierter Cyber-Sicherheit

datensicherheit.de, 08.04.2025
Verbraucher sollten aktiv werden: Nach Datenleck bei Samsung Anspruch auf Schadensersatz prüfen / Verbraucherkanzlei Dr. Stoll & Sauer bietet vom Datenleck betroffenen Samsung-Kunden kostenlose Ersteinschätzung an

datensicherheit.de, 23.01.2025
Cyber-Versicherungen: Neuer KnowBe4-Bericht zeigt dringenden Bedarf angesichts eskalierender digitaler Bedrohungen auf / Die aktuelle Untersuchung unterstreicht die Notwendigkeit an integrierter Cyber-Sicherheit, Mitarbeiterschulungen und strategischen Versicherungspartnerschaften

datensicherheit.de, 25.09.2024
Unternehmen in der Pflicht: IT-Schutz als Türöffner für Cyber-Versicherungen / Versicherer fordern zunehmend, dass Unternehmen Mindeststandards der Cyber-Sicherheit einhalten

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

datensicherheit.de, 08.02.2023
Cyber-Versicherungen im Umbruch: Ransomware-Lösegeld-Forderungen bedrohen Unternehmen / Versicherer können Kosten der Ransomware-Schadensregulierung bald nicht mehr tragen

datensicherheit.de, 11.11.2022
Cyber-Versicherungen decken kritische Risiken immer seltener ab / Geschäftsführung und Vorstand drängen indes immer häufiger auf den Abschluss einer Cyber-Versicherung

[datensicherheit.de, 12.09.2024] SCRIVO Communications warnt in einer aktuellen Stellungnahme zum Thema NIS-2-Richtlinie, das zugrundeliegende Gesetz nur als reines IT-Thema zu betrachten – dies wäre ein „folgenschwerer Fehler“. Cyber-Angriffe und IT-Ausfälle erforderten eine umfangreiche Kommunikation – und diese müsse vorab gut vorbereitet sein. „Die neue NIS-2-Richtlinie soll ab 17. Oktober in Deutschland als Gesetz in Kraft treten. Sie verschärft die Mindestanforderungen an die IT-Sicherheit vieler Unternehmen. Damit sollen die Unternehmen resilienter gegen Hackerangriffe werden – und damit auch Deutschland.“ NIS-2 betreffe rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur.

Foto: SCRIVO Communications

Kai Oppel: Es gilt, das ganze Unternehmen zu sensibilisieren und weitreichende Auswirkungen von Cyber-Risiken auf alle Geschäftsbereiche frühzeitig zu erkennen!

Unternehmen fokussieren angesichts von NIS-2 zu stark allein auf Firewalls und IT-Pflichtenhefte

Dass Unternehmen bei NIS-2 derzeit insbesondere an Firewalls und IT-Pflichtenhefte dächten, liegt nach Erkenntnissen von SCRIVO Communications an den Begrifflichkeiten und der Verortung: „Das aktuelle BSI-Gesetz ist gut 50 Seiten lang. Das Wort ,Kommunikation’ kommt 62-mal vor. Aber: Wenn es darin um Kommunikation geht, dann fast ausschließlich um technische und strukturelle Kommunikation im Sinne von Daten- oder Informationsübermittlung im IT-Sinne.“

Kai Oppel, Gründer und Inhaber der Agentur SCRIVO Communications, moniert, dass Kommunikation im Verständnis von Krisenkommunikation mit Mitarbeitern, Kunden sowie anderen Stakeholdern und auch das Reputationsmanagement nahezu „keine Rolle“ spiele – und warnt Unternehmen davor, das vorliegende Gesetz „zu einseitig“ zu interpretieren.

NIS-2 betrifft die IT – und die Unternehmenskommunikation!

Gut einen Monat vor Inkrafttreten des Gesetzes herrsche insbesondere bei kleineren Unternehmen Verunsicherung und Unwissenheit. „Viele wissen nicht, ob sie unter die Richtlinie fallen. Zudem ist aktuell ungewiss, wie das Gesetz konkret ausgestaltet sein wird“, berichtet Oppel.

Ein zweiter Fehler sei, dass Unternehmen das Thema Cyber-Risiko als reines IT-Thema betrachteten. „Dabei ist es ebenso ein Kommunikationsthema!“ Der dritte Denkfehler sei, die Gesetzespflicht über die unternehmerische Vernunft zu stellen. „Nicht vom Gesetz betroffen zu sein bedeutet nicht, sicher vor IT-Angriffen und Auswirkungen zu sein“, so Oppel.

NIS-2-Gesetz als Weckruf verstehen – Kommunikation in Krisenphasen erfordert Vorbereitung und Übung

Das neue NIS-2-Gesetz sei ein „Weckruf für alle Unternehmen“, weil Cyber-Gefahren branchenübergreifend zugenommen hätten. Er unterstreicht: „Wer sein Geschäft bei einem IT-Angriff schützen will, muss schnell und richtig kommunizieren. Kommunikationskontrolle und Sicherheit sind machbar.“

Vorbereitung und Zeitgewinn seien dabei entscheidend, wenn es trotz IT-Vorkehrungen zu einer Cyber-Attacke oder IT-Störungen kommt. Effektive Kommunikation könne als Schutzschild fungieren – „wenn Unternehmen aus NIS-2 die richtigen Konsequenzen ziehen“. Diese ermögliche es, die Kontrolle über die Narrative zu behalten, Vertrauen zu wahren und potenzielle Reputationsschäden zu minimieren.

NIS-2-Meldepflicht beachten – und mittels vorbereiteter Sprachregelungen sowie Medienbeobachtung Schaden abwenden

Neben technischen Bestimmungen wie einer Multi-Faktor-Authentifizierung (MFA), Sicherheitsüberprüfungen und Datensicherungen sollten Unternehmen ihre kommunikative Resilienz stärken. Szenario-Analysen könnten helfen, mögliche Krisensituationen vorauszusehen. Kommunikationspläne definierten klare Abläufe und Verantwortlichkeiten. Medienbeobachtung ermögliche schnelle Reaktionen – und vorbereitete Sprachregelungen gewährleisteten eine konsistente Außenkommunikation.

Ein Beispiel sei die strenge Meldepflicht, welche ein zentrales Element der Richtlinie und des Gesetzes sei. „Das neue dreistufige Meldesystem für Cyber-Sicherheitsvorfälle bezieht sich auf die gesetzlichen Vorgaben, einen Vorfall binnen 24 Stunden an das BSI zu melden und Updates zu geben. Dass sich daraus aber Kommunikationspflichten gegenüber Kunden, Lieferanten oder anderen Stakeholdern ergeben, wird gern übersehen.“ Dabei sei die Strafe des Marktes möglicherweise viel härter als die gesetzlichen Sanktionen und Strafen von bis zu zehn Millionen Euro. Oppel erläutert: „Vertrauensverlust bei Kunden, Einbruch des Aktienkurses oder langfristige Imageschäden verstärken die finanziellen Auswirkungen eines Cyber-Vorfalls erheblich.“

NIS-2 erfordert ganzheitlichen Unternehmensansatz für eine umfassende Cyber-Resilienz-Kultur!

SCRIVO Communications fordert, das Thema NIS-2 müsse raus „aus dem IT-Silo“. Oppel betont: „NIS-2 erfordert einen ganzheitlichen Unternehmensansatz!“ Es gehe nämlich nicht nur um IT-Sicherheit, sondern um die Schaffung einer umfassenden Cyber-Resilienz-Kultur, welche technische, kommunikative und organisatorische Aspekte gleichermaßen berücksichtige.

Oppels Fazit: „Unternehmen, die Cyber- und IT-Themen ausschließlich an die IT-Abteilung delegieren, vergeben die Chance, das ganze Unternehmen zu sensibilisieren und weitreichende Auswirkungen von Cyber-Risiken auf alle Geschäftsbereiche zu erkennen.“

Weitere Informationen zum Thema:

SCRIVO Communications
Schutz durch Kommunikation

datensicherheit.de, 11.09.2024
NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung / NIS-2-Richtlinie von EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umzusetzen

[datensicherheit.de, 08.12.2023] Laut einer aktuellen Meldung des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) sollen fortan im Krisenfall auf den Taxi-Dachmonitoren der Firma UZE Mobility lokal angepasste Warnungen ausgespielt werden. Diese Monitore seien ebenso wie weitere Warnmittel an das vom BBK betriebene Modulare Warnsystem (MoWas) angeschlossen. „Sie ergänzen damit den sogenannten Warnmittelmix.“

Taxi-Dachmonitore als Ergänzung im Warnmittelmix

Die Option, Warnungen über Taxi-Dachmonitore abzuspielen, stelle eine weitere Ergänzung im sogenannten Warnmittelmix dar. „Verschiedene Warnmittel sind an das vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) betriebene Modulare Warnsystem (MoWas) angeschlossen, mit dessen Hilfe in Krisensituationen die Bevölkerung unmittelbar gewarnt werden kann.“ Zum bereits bestehenden Warnmittelmix gehören demnach neben Sirenen unter anderem auch „Cell Broadcast“, die Warn-App „NINA“ sowie Radio und Fernsehen.

Dabei eigneten sich die Dachmonitore der knapp 600 mit UZE-Technologie ausgestatteten Taxis, da diese eine lokal angepasste Warnung erlaubten. So könne gewährleistet werden, „dass die Bevölkerung vor Ort auf dem schnellstmöglichen Weg informiert und aufgeklärt werden kann“. Das Unternehmen UZE Mobility stelle das Warnmittel unter anderem in den Städten Berlin, Frankfurt am Main, München, Düsseldorf, Köln, Bremen und Hamburg zur Verfügung.

Ursprünglich dienten Taxi-Monitore für Werbung

„Die jüngst beschlossene Vereinbarung mit UZE Mobility stellt einen weiteren wichtigen Baustein in der Warnung und Information der deutschen Bevölkerung dar. Unsere Stärke liegt darin, viele verschiedene Warnmittel zu nutzen, um möglichst viele Menschen in den unterschiedlichsten Lebenssituationen zu erreichen“, erläutert hierzu BBK-Präsident Ralph Tiesler, und betont: „Diesen Warnmittelmix bauen wir kontinuierlich aus.“

Dr. Dr. Ing. Alexander N. Jablovski, Geschäftsführer von UZE Mobility, ergänzt: „Dank unserer Sensortechnologie können wir auf unseren Taxi-Dachmonitoren gezielt lokal angepasste Warnungen in Echtzeit an die Bevölkerung übermitteln.“ Ursprünglich hätten ihre Monitore auf den Taxis für Werbung gedient, welche sich der Umgebung oder der Wetterlage anpassen könne. Der Einsatz ihrer Dachmonitore als Warnmittel unterstreiche die vielfältigen Einsatzmöglichkeiten ihrer Sensortechnologie.

Einsatz der Taxi-Monitore im Verteidigungsfall, Katastrophenschutz und zur Allgemeinen Gefahrenabwehr

Eine Warnung helfe der Bevölkerung, direkt auf eine konkrete Katastrophe zu reagieren, „indem beispielsweise augenblicklich Schutz gesucht werden kann“. Daher würden die vom Bund bereitgestellten Warnsysteme kontinuierlich überprüft, erweitert und ausgebaut. „Am jährlichen Bundesweiten Warntag werden diese Systeme generell überprüft, um auch weiterhin ihre Funktionsfähigkeit zu gewährleisten“, so das BBK.

Der Bund sei zuständig für den Schutz der Bevölkerung vor Gefahren und Risiken, welche im sogenannten Verteidigungsfall drohen. Hierzu würden Bund und Länder in einem solchen Fall die Bevölkerung warnen. Zu diesem Zweck betreibe der Bund mit dem MoWaS eine Warninfrastruktur für die Warnung der Bevölkerung. Diese stelle er den Ländern und Kommunen für die Warnung zur Verfügung, so dass die Bürger über den an MoWaS angeschlossenen Warnmittelmix nicht nur im Verteidigungsfall, sondern auch vor Gefahren im Bereich des Katastrophenschutzes und der Allgemeinen Gefahrenabwehr gewarnt werden könnten.

Weitere Informationen zum Thema:

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
MoWaS

[datensicherheit.de, 06.02.2023] Die Royal Mail in Großbritannien wurde laut Chris Vaughan, VP „Technical Account Management, EMEA“ bei Taniumim, im Januar 2023 Opfer eines Ransomware-Angriffs – die sich anschließende Kommunikation habe „negatives Aufsehen erregt“. Dieser Fall zeige auf, „wie Unternehmen nach einem Ransomware-Angriff nicht handeln sollten – und was stattdessen zu tun ist“. Auch für deutsche Unternehmen seien diese Schlüsse relevant, da eine durchdachte Kommunikationsstrategie im Falle eines Cyber-Angriffs mittlerweile für alle Betriebe unverzichtbar sei.

Foto: Tanium

Chris Vaughan: Mitteilung, dass Ransomware Ursache für die Zwischenfälle bei der Royal Mail war, ließ lange auf sich warten…

Umgang mit Ransomware-Attacken erfordert hohen Zeit- und Ressourcenaufwand

Vaughan berichtet: „Die Mitteilung, dass Ransomware die Ursache für die Zwischenfälle bei der Royal Mail war, ließ lange auf sich warten und war schließlich trotzdem nicht detailliert genug.“ Viele Unternehmen seien auf die Royal Mail angewiesen – die Auswirkungen der Unterbrechung ihrer Dienste seien immer noch spürbar. Eine schnellere und detailliertere Information durch die Royal Mail hätte es diesen Unternehmen ermöglicht, alternative Versandmöglichkeiten zu planen und die Umsatzeinbußen zu verringern.

Es sei jedoch nicht einfach, mit Ransomware-Attacken umzugehen, und es erfordere einen hohen Zeit- und Ressourcenaufwand. „Sobald ein Angriff festgestellt wird, muss sofort untersucht werden, welche Maßnahmen ergriffen werden müssen“, betont Vaughan. Bei der Kommunikation mit den Kunden und der breiten Öffentlichkeit werde die Situation zu einer Gratwanderung: „Man sollte eine gewisse Informationstiefe haben, um an die Öffentlichkeit zu treten, gleichzeitig sollte man nicht zu lange warten.“

Potenziell peinlich: Eingeständnis eines erfolgreichen Ransomware-Angriffs

Dabei spielten mehrere Faktoren eine Rolle, welche es schwer machten, den richtigen Zeitpunkt zu finden. Einer davon sei die Einbeziehung der Strafverfolgungsbehörden – „denn wenn eine strafrechtliche Untersuchung eingeleitet wird, müssen bestimmte Richtlinien eingehalten werden“. Es gebe eine Reihe von Vorschriften, die regelten, „wie mit Cyber-Angriffen umzugehen ist und wie sie zu kommunizieren sind, vor allem, wenn sensible Daten betroffen sein könnten“.

Ein Aspekt, der ebenfalls Einfluss darauf habe, wie und wann ein Unternehmen über einen Cyber-Angriff kommuniziert, sei ganz einfach: Peinlichkeit. Denn die überwiegende Mehrheit der Cyber-Angriffe sei vermeidbar – „und konnte nur durch einen Fehler des Unternehmens funktionieren“. Vaughan führt aus: „Dies könnte bedeuten, dass ein bösartiger Link in einer Phishing-E-Mail angeklickt oder Arbeitsgeräte nicht gepatcht wurden, so dass sie für Eindringlinge anfällig wurden.“ Oft seien die Führungsteams der Meinung, dass das Eingeständnis eines Fehlers dem Ruf zu sehr schaden würde, so dass sie die Kommunikation über den Vorfall auf ein Minimum reduzierten.

Ransomware-Vorfall bei Norsk Hydro als positives Beispiel einer angemessenen Kommunikationspolitik

Ein Beispiel für eine gute Kommunikation des Vorfalls sei der Fall von Norsk Hydro im Jahr 2019. „Das Unternehmen war ehrlich in Bezug auf den Vorfall und den entstandenen Schaden und zeigte, dass es auf einen Angriff vorbereitet war, indem es umfassende Datensicherungen und andere Maßnahmen ergriffen hatte“, so Vaughan und hebt hervor:

Norsk Hydro sei sich über seine Reaktionsstrategie im Klaren gewesen – „insbesondere als es darum ging, das Lösegeld nicht zu zahlen“. An dieser Strategie könnten sich von Ransomware-Attacken betroffene Unternehmen orientieren.

Zu viele Unternehmen handeln nur reaktiv und warten auf Angriffe – z.B. mit Ransomware

Heutzutage gebe es eine breite Berichterstattung über Cyber-Angriffe – die breite Öffentlichkeit wisse also, dass solche Angriffe passieren könnten. „Natürlich sind es immer schlechte Nachrichten, die die betroffenen Menschen verärgern und frustrieren“, so Vaughan. Es gebe jedoch ein gewisses Maß an Verständnis für die angegriffenen Organisationen, welches vor einigen Jahren noch nicht vorhanden gewesen sei. Heute machten sich die Menschen mehr Gedanken darüber, „wie gut auf Sicherheitslücken reagiert wird, wie schnell und detailliert die Kommunikation erfolgt und wie gut man auf den Angriff vorbereitet war“.

Dieser letzte Punkt ist seiner Meinung nach „entscheidend“ und der Bereich, in dem die meisten Verbesserungen möglich seien. Zu viele Unternehmen handelten im Bereich der Cyber-Sicherheit reaktiv und warteten auf Angriffe, anstatt von vornherein eine Strategie und Technologie implementieren, welche einen eher präventiven Ansatz verfolgten. „Mit dem vorausschauenden Ansatz können die Auswirkungen eines Angriffs in Form von Rufschädigung, Geldstrafen für die Einhaltung von Vorschriften und Geschäftseinbußen minimiert werden, selbst wenn er die Schutzmaßnahmen durchbricht“, unterstreicht Vaughan abschließend.

Weitere Informationen zum Thema:

SPIEGEL Netzwelt, 13.01.2023
Ransomware bei der Royal Mail / Britische Post kämpft nach Hackerangriff mit massiven Problemen

datensicherheit.de, 12.12.2022
Ransomware-Realitätscheck zum Schutz für KMU / Trotz wachsender Bedrohung nur wenigen KMU bewusst, dass sie genauso wie größere Unternehmen gefährdet sind – wenn nicht sogar stärker

datensicherheit.de, 14.10.2022
Verteidigung gegen Ransomware-as-a-Service-Angriffe / Ein Zero-Trust-Framework ist für eine robuste Sicherheit unverzichtbar

[datensicherheit.de, 18.05.2020] Was müssen Veranstalter von Webinaren datenschutzrechtlich beachten? Wann lassen sich Videokonferenzdienste von US-Anbietern nutzen? Was ist bei Online-Businessmeetings mit Geheimhaltungsvereinbarungen zu beachten? Das kostenfreie Whitepaper „Auswahl und Nutzung von webbasierten Kommunikationstools in Zeiten von Corona“ unterstützt Unternehmen bei Auswahl und datenschutzkonformen Einsatz von Online-Kooperationswerkzeugen. Zur allgemeinen Einführung in das Thema veranstaltet das Fraunhofer-Institut für Sichere Informationstechnologie SIT als Mitwirkender im Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE am 25. Mai von 9-10 Uhr ein kostenfreies Webinar.

Arbeitswelt steht vor neuen Herausforderungen

Die Corona-bedingten Reise- und Kontaktbeschränkungen stellen viele in der Arbeitswelt vor neue Herausforderungen. Zur Kommunikation und Wissensvermittlung im Home Office und für den Austausch mit Geschäftspartnern nutzen viele Unternehmen verstärkt webbasierte Kommunikationsdienste für Webinare, Videokonferenzen und andere Online-Events. Die meisten dieser Services werden cloudbasiert als sogenannte Software-as-a-Service-Lösung angeboten. Bei der Auswahl und Nutzung solcher Dienste müssen Unternehmen geltendes Datenschutzrecht beachten und für eine ausreichende Datensicherheit sorgen.

Starke Zunahme der Nutzung von Werkezeugen und Diensten

Da aufgrund der aktuellen Corona-Situation die Nutzung von informations- und kommunikationstechnischen Werkzeugen und Diensten stark zugenommen hat, sind auch die Angriffsflächen und damit verbundenen Risiken im Zusammenhang mit Datensicherheit und Datenschutz größer geworden. ATHENE als Nationales Forschungszentrum für angewandte Cybersicherheit und die in ATHENE mitwirkenden Forschungseinrichtungen beschäftigen sich unter anderem mit den damit einhergehenden Fragestellungen, um praktische Lösungen zum Wohle von Gesellschaft, Wirtschaft und staatlichen Einrichtungen beizutragen.

Das Whitepaper  unterstützt Unternehmen bei der datenschutzrechtlichen Bewertung von webbasierten Kommunikationsdiensten und deren datenschutzkonformer Nutzung. Das Dokument richtet sich an Datenschutzbeauftragte, Informationssicherheitsbeauftragte und betroffene Fachabteilungen in den Unternehmen Checkliste. Einen guten Einstieg ins Thema bietet ein einstündiges Webinar, das die wichtigsten datenschutzrechtlichen Anforderungen vorstellt.

Das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE wird vom Bundesministerium für Bildung und Forschung (BMBF) und vom Hessischen Ministerium für Wissenschaft und Kunst (HMWK) im Rahmen ihrer gemeinsamen Förderung unterstützt.

Weitere Informationen zum Thema:

ATHENE / Nationale Forschungszentrum für angewandte Cybersicherheit
Anmeldemöglichkeit, Whitepaper-Download und Checkliste

datensicherheit.de, 08.05.2020
Zoom übernimmt Verschlüsselungsspezialisten Keybase

datensicherheit.de, 22.04.2020
Zoom kündigt Version 5.0 mit Updates für Sicherheit und Datenschutz an

datensicherheit.de, 22.04.2020
Malware: Falsche Zoom-App installiert Cryptominer

datensicherheit.de, 21.04.2020
Zoom-Konferenzen: Sechs Tipps für den sicheren Umgang

datensicherheit.de, 15.04.2020
Sicherheit: Zoom ist keine Malware

datensicherheit.de, 27.03.2020
Zoom, Skype, Teams und Co. – Sicherer Gebrauch von Web-Konferenzensystemen

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

[datensicherheit.de, 21.07.2019] Der Einsatz von Technologien zur Unterstützung der Kommunikation und des kollaborativen Arbeitens in einer zunehmend digitalen und flexiblen Berufswelt gehört für viele Arbeitnehmer längst zum Büroalltag. Tools wie Slack, das kürzlich angekündigt hat, E-Mails am Arbeitsplatz zu ersetzen, WhatsApp und Yammer sind in vielen Büros fest etabliert. Sie versprechen Vorteile insbesondere wenn Unternehmen flexibles Arbeiten wie Home Office ermöglichen.

Allerdings hat eine aktuelle Umfrage* von Avast Business gezeigt, dass der technologische Fortschritt auch eine Kluft am Arbeitsplatz verursachen kann.

• 41 Prozent der deutschen Befragten fürchten, dass weniger technisch versierte Mitarbeiter ausgeschlossen werden, wenn sie nicht die neuesten Chat-, Kollaborations- und digitalen Projektmanagementwerkzeuge nutzen.
• 65 Prozent aller befragten Arbeitnehmer glauben sogar, dass diejenigen, die moderne Technologien zur Kommunikation nutzen, schneller befördert werden.

Unternehmen sollten keine digitale Kluft riskieren

Die Sorge um Ausgrenzung ist nicht auf ältere Generationen beschränkt. In Deutschland glauben 34 Prozent der über 65-Jährigen und 41 Prozent der 18- bis 34-Jährigen, dass Menschen abgehängt werden, wenn sie keine technologiegetriebenen Kommunikationsmittel einsetzen.

Bevor Unternehmen also digitale Kommunikations- und Kollaborationswerkzeuge einführen, sollten sie sich drei Fragen stellen:

• Erstens, welche Technologie benötigen wir an unserem Arbeitsplatz wirklich und warum?
• Zweitens, wie kann man sicherstellen, dass alle Mitarbeiter diese nutzen können, und zwar so, dass es für jüngere Mitarbeiter attraktiv und für ältere integrativ ist?
• Und drittens, was erwarten wir von unseren Mitarbeitern, wenn sie eine bestimmte Technologie für die Arbeit nutzen?

Es geht nicht nur darum, Technologien effektiv zu nutzen. Unternehmen und Mitarbeiter müssen auch verstehen, wie sich diese auf die Zusammenarbeit auswirken. Beispielsweise sind 56 Prozent der deutschen Befragten der Meinung, dass die Einführung von digitalen Kommunikationswegen, zu einer möglichen Verringerung des persönlichen Kontakts führt. Mehr als ein Viertel (28 Prozent) denken, dass die Verwendung von E-Mails und Messaging-Apps Gruppenbildung und Cliquen schaffen kann und 59 Prozent gaben an, dass sich Kollegen hinter der elektronischen Kommunikation verstecken, um nicht persönlich oder am Telefon sprechen zu müssen.

Bild: Avast

Thomas Hefner, Senior Sales Manager DACH bei Avast

Unbedingt notwendig ist daher die Einführung oder Überarbeitung eines digitalen Verhaltenskodex zum Einsatz von Technologien am Arbeitsplatz. Gelingt es den Unternehmen, die richtigen Prozesse zu etablieren und Unterstützungen anzubieten, werden die Arbeitnehmer profitieren statt sich durch die Technologie unter Druck gesetzt zu fühlen.

Methodik

* Insgesamt wurden 3.558 Arbeitnehmer in fünf Ländern befragt: USA (1.011 Befragte), UK (1.035 Befragte), Deutschland (502 Befragte), Frankreich (508 Befragte) und Brasilien (502 Befragte).

Über den Autor:

Thomas Hefner verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Channel- und Vertriebsmanagement – davon ist er bereits über acht Jahre im Bereich Remote Monitoring und Management (RMM) Software tätig. In seiner jetzigen Position als Senior Sales Manager DACH bei Avast verantwortet er den Vertrieb im deutschsprachigen Markt. Vor seinem Wechsel zu AVG Business (jetzt Avast) war er bei der Kaseya International Deutschland GmbH für die Entwicklung und den Ausbau des Channel-Vertriebs verantwortlich. Zuvor war er unter anderem als Vertriebsleiter bei dem IT-Produzenten MAXDATA Computer und dem Distributor Actebis Computer Deutschland.

Weitere Informationen zum Thema:

datensicherheit.de, 12.07.2019
Number Finder: Avast warnt vor Android-App

datensicherheit.de, 12.05.2015
BITKOM: Digitale Souveränität entscheidet über Zukunft Deutschlands

datensicherheit.de, 04.12.2014
Avast-Studie: Deutsche Heimnetzwerke zu 74 Prozent unsicher

[datensicherheit.de, 16.07.2019] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) fordert nach eigenen Angaben „datenschutzgerechte Kommunikation mit der Krankenkasse“. Gesundheitsdaten seien „hochsensible Daten“, die einen entsprechenden Schutz benötigten.

Gesundheitsdaten – eine besondere Kategorie personenbezogener Daten

Es handelt sich laut BfDI bei Gesundheitsdaten „um eine besondere Kategorie von personenbezogenen Daten, denen die Datenschutzgrundverordnung (DSGVO) einen sehr hohen Schutz garantiert, da ihre Verarbeitung mit erheblichen Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen verbunden ist“.
Aus diesem Grund habe der BfDI die Sozialversicherungsträger (Kranken- und Pflegekassen, Berufsgenossenschaften, Deutsche Rentenversicherung) angewiesen, „mit ihren Versicherten nur auf sicherem Weg zu kommunizieren und gerade Gesundheitsdaten ausschließlich geschützt zu versenden oder zu empfangen“.

Nur verschlüsselte Versendung von Gesundheitsdaten per E-Mail zulässig

Ein hohes Schutzniveau bietet demnach „traditionell die Versendung von Gesundheitsdaten mit ,normaler‘ Post, da die versandten Poststücke durch das grundgesetzlich garantierte Brief- und Postgeheimnis geschützt sind“.
Die Versendung von Gesundheitsdaten per einfacher, unverschlüsselter E-Mail sei jedoch „hinsichtlich des Sicherheitsniveaus bestenfalls mit der Versendung per Postkarte vergleichbar und der besonderen Sensibilität der Gesundheitsdaten in keiner Weise angemessen“. Nur eine verschlüsselte Versendung von Gesundheitsdaten per E-Mail mit einer qualifizierten Signatur wäre datenschutzrechtlich zulässig.

Verzicht auf Datenschutz rechtlich nicht vertretbar…

„Die Frage, ob man auf den in der DSGVO und dem Grundgesetz verankerten Schutz der eigenen Daten durch eine ausdrückliche Einwilligung verzichten kann, ist bisher nicht durch einen Gerichtsbeschluss abschließend geklärt.“
Aus Sicht der Datenschutzaufsichtsbehörde sei aber gerade im Bereich der öffentlichen Verwaltung, um die es sich auch im Verhältnis zwischen gesetzlicher Krankenversicherung und Versichertem handele, ein solch umfassender Verzicht datenschutzrechtlich allerdings nicht vertretbar. „Wir erwarten vielmehr, dass die gesetzlichen Krankenkassen ihren Versicherten ermöglichen, sie mit einer entsprechend verlässlich verschlüsselten E-Mail zu kontaktieren.“

Weitere Informationen zum Thema:

datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial

datensicherheit.de, 08.05.2019
Datenschutz: BfDI übergibt den 27. Tätigkeitsbericht

[datensicherheit.de, 05.07.2019] Die Daten eines Unternehmens sind ein wertvolles Gut, das es heute mehr denn je zu schützen gilt. Ob es sich um Kundendaten handelt oder wichtiges internes Wissen, wie Baupläne; Verträge etc., ständig werden neue zum Teil riesige Datenlecks und Missbrauch von Kundendaten bekannt. Ein sehr sensibler Bereich stellt dabei die Kommunikation dar. Während des Versands von elektronischen Nachrichten sind Daten ungeschützt und so können Informationen sehr leicht abgefangen werden.

Mögliche Gegenmaßnahmen

Grundsätzlich gibtes nur zwei Möglichkeit dem entgegen zu wirken:

• Nicht mehr zu senden. Eine zwar sehr effektive Methode für den Schutz der Daten, aber mitunter auch sehr ineffektiv für Unternehmenserfolg.
• Die zweite Methode ist die Nachrichten geeignet zu verschlüsseln.

Die Kryptografie ist ein Feld, um das eigentlich kein IT-Administrator mehr herumkommt. Der Datenschutz und Datensicherheit enden für Unternehmen heute nicht mehr an der Firewall.

Buch: „Kryptografie für Dummies“

Das Buch „Kryptografie für Dummies“ richtet sich an Menschen, die mit IT-Sicherheit befasst sind, genauso, wie an Studenten, an Universitäten oder Hochschulen.

Wiley-VCH

Buch „Kryptografie für Dummies“, Verlag Wiley-VCH

Hans Werner Lang, Professor für Informatik, bietet eine Auswahl von Ideen und Verfahren der Kryptografie und deren mathematische Hintergründe, ohne dass es die Leser überfordert.Der Leser lernt unter anderem den Unterschied zwischen symmetrischer und asymmetrischer Verschlüsselung zu verstehen, krypotografische Verfahren zu beurteilen und Berechnungsverfahren in Python zu programmieren.

Weitere Informationen zum Thema:

datensicherheit.de, 02.07.2019
utimaco: Standardsetzung für quantensichere Kryptographie

datensicherheit.de, 20.09.2018
Kryptographie: Vorbereitung auf das Aufkommen des Quantum Computings