[datensicherheit.de, 13.02.2026] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am diesjährigen „Safer Internet Day“ (SID 2026) in einer Stellungnahme die Frage aufgeworfen: „Wie sicher sind Familien und Wohngemeinschaften im digitalen Alltag und wo liegen deren praktische Herausforderungen bei der Umsetzung von IT-Sicherheit?“ In diesem Zusammenhang hat das BSI auf eine neue eigene Studie verwiesen, welche demnach zeigt, dass die Antwort darauf mehr ist als nur eine Frage der Technik und sie häufig an unklaren Zuständigkeiten, sozialen Abhängigkeiten unter den Bewohnern sowie der mangelnden Alltagstauglichkeit von Schutzmaßnahmen scheitert.

Abbildung: BSI

Neue BSI-Studie „IT-Sicherheitsmanagement in Haushalten: Risiken, Problemstellungen, Lösungsansätze” behandelt Übertragung grundlegender Prinzipien der IT-Sicherheit aus Unternehmen ins Private

BSI-Studie „IT-Sicherheitsmanagement in Haushalten: Risiken, Problemstellungen, Lösungsansätze” online verfügbar

Die nun vorliegende BSI-Studie „IT-Sicherheitsmanagement in Haushalten: Risiken, Problemstellungen, Lösungsansätze” habe erstmals darauf abgezielt, grundlegende Prinzipien des Informationssicherheitsmanagements aus dem Unternehmensumfeld auf den privaten Kontext von Familien und Wohngemeinschaften zu übertragen.

• Diese hätten zusätzliche Anforderungen an das Sicherheits- und Berechtigungsmanagement bei der Nutzung digitaler Geräte und Anwendungen im Vergleich zu einzelnen Nutzern.

„Während beispielsweise Unternehmen auf klare Rollen und etablierte Prozesse zurückgreifen können, ist die IT-Sicherheit im privaten Zusammenleben oft ungeregelt. Gemeinsam genutzte Geräte ohne Benutzertrennung, geteilte Passwörter für personenbezogene Accounts und eine ungleiche Verteilung von technischem Wissen unter den Bewohnerinnen und Bewohnern erhöhen das Risiko erheblich“, erläutert Caroline Krohn-Atug, BSI-Fachbereichsleiterin „Digitaler Verbraucherschutz“.

BSI sieht prinzipielle Übertragbarkeit von Methoden, warnt aber vor Umsetzungshürden im Alltag

Besonders kritisch sei es, „wenn die Verantwortung für die digitale Sicherheit bei einer einzelnen Person liegt“, warnt Krohn-Atug. Die neue Studie zeige, dass viele bewährte Sicherheitsmaßnahmen grundsätzlich auf Privathaushalte übertragbar seien, diese jedoch oft an der Komplexität und fehlender Alltagstauglichkeit scheiterten. Hinzu kämen soziale Aspekte wie Vertrauen, familiäre Machtverhältnisse und geschlechtsspezifische Rollenbilder.

• Daraus ließen sich konkrete Empfehlungen auf drei Ebenen ableiten: In Privathaushalten sollten ungleiche Verantwortlichkeiten kritisch hinterfragt und Sicherheitsmaßnahmen als feste Routinen etabliert werden.

Dadurch solle ein Kompetenzaufbau und gleichzeitig ein Abbau von Ungleichgewichten erreicht werden. Hersteller seien nach wie vor in der Pflicht, ihre Angebote konsequent nach den Prinzipien „Security by Design“ und „Security by Default“ zu gestalten. Im Rahmen dieser Studie werde „Usable Security“ zu einem entscheidenden Faktor, um die empfohlenen Maßnahmen einfach und sicher nutzbar zu machen. Gleichzeitig sei der Gesetzgeber weiter in der Pflicht, den Weg zu verbindlichen Mindeststandards, transparenten Kennzeichnungen und gezielten Bildungsmaßnahmen fortzuführen.

Im Kontext der BSI-Studie Prototyp für eine Risikoanalyse entwickelt

Ferner sei im Kontext dieser BSI-Studie auch ein Prototyp für eine Risikoanalyse entwickelt worden, die gezielt auf die Bedürfnisse privater Mehrpersonenhaushalte zugeschnitten sei. Die Funktionsweise dieser Risikoanalyse werde in der Studie beschrieben.

• Perspektivisch könnte daraus ein Digital-Tool entstehen, um Nutzer bei der Einschätzung ihrer individuellen Risiken zu unterstützen und ihnen konkrete Handlungsempfehlungen zu liefern.

Verbrauchern könne darüber hinaus das Informationsangebot des BSI Orientierung bieten: Neben Tipps zum Basisschutz umfasse es u.a. auch Informationen rund um das sogenannte Smarthome sowie einen Wegweiser speziell für Eltern.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.

Bundesamt für Sicherheit in der Informationstechnik
IT-Sicherheitsmanagement in Haushalten (IsiH) – Risiken, Problemstellungen, Lösungsansätze

Bundesamt für Sicherheit in der Informationstechnik
Basistipps zur IT-Sicherheit

Bundesamt für Sicherheit in der Informationstechnik
Smarthome – den Wohnraum sicher vernetzen

Bundesamt für Sicherheit in der Informationstechnik
Kinder und Jugendliche im digitalen Alltag absichern und unterstützen / Digitaler Kinder- und Jugendschutz für Eltern und Erziehungsberechtige

Dialog für Cybersicherheit
Dialogteam des BSI / Caroline Krohn-Atug

datensicherheit.de, 10.02.2026
Safer Internet Day 2026: Impuls für sichere Entscheidungen im KI-gesteuerten Internet / Lothar Geuenich betont in seiner Stellungnahme zum SID 2026, dass dessen Mission eine neue Dringlichkeit erhält, weil KI immer tiefer in die Arbeits-, Lern-, Kommunikations- und Transaktionsprozesse eingebettet wird

Von unseren Gastautoren Ivan Miklecic und Hartmut Pohl

[datensicherheit.de, 09.07.2015] Nach wie vor werden wir nahezu täglich mit Nachrichten über kritische Sicherheitslücken in Software und Angriffe auf Systeme und Netzwerke überrollt. Schutzmaßnahmen zur Vorbeugung wie Firewalls, IDS/IPS, Password-Safes etc. sind nicht immer erfolgreich und Sicherheitsprodukte sind häufig selbst unsicher, enthalten Sicherheitslücken und sind daher in vielen Fällen selbst von Angriffen betroffen.

Software- und Produktentwickler bemühen sich – meist vergeblich – um eine sichere Produktentwicklung, dabei spielt es keine Rolle ob es sich um Web Applications, Apps, ERP, CRM, E-Business, Embedded Systems oder Firmware handelt.

Doch wie wird die Entwicklung sicherer Produkte gewährleistet?

Nicht nur die Wahl der wirkungsvollsten Sicherheitsaktivitäten, wie Methoden zur Identifizierung von Sicherheitslücken, sondern auch der optimale Zeitpunkt im Produktlebenszyklus, in dem diese Aktivitäten angewandt werden, entscheiden über den Erfolg. Um der ad hoc Implementierung von Sicherheitsaktivitäten vorzubeugen, bedarf es einer Strategie.

Einen allgemeinen Ansatz zum Management von Softwaresicherheit liefert die 2011 von der International Standards Organization verabschiedete ISO 27034-1 „Application Security“. Diese Norm bietet eine hersteller- und technologieunabhängige Grundlage; sie definiert Konzepte, Frameworks und Prozesse, die Entwicklern helfen, Application Security in ihren Entwicklungszyklus zu integrieren. In der noch jungen Norm ‚ISO 27034 Application Security‘ werden Empfehlungen für eine sichere Softwareentwicklung dargestellt. Dabei spielen zwei Hauptprozesse eine tragende Rolle:

• Im Organisation Normative Framework (ONF) werden alle im Unternehmen verwendeten Richtlinien, Regularien, Best Practices etc. in einer Bibliothek zusammengefasst.
• Anschließend wird für jedes Projekt ein Application Normative Framework (ANF) gebildet indem die notwendigen Richtlinien, Regularien, Best Practices etc. zusammen mit den zugehörigen Application Security Controls (ASC) „Sicherheitsaktivitäten“ aus dem ONF in den Produktlebenszyklus, insbesondere in den Entwicklungsprozess integriert werden.

Der Prozess startet mit einer Risikoanalyse zur Bestimmung des zu erreichenden Sicherheitsniveaus und einer anschließenden Festlegung von Sicherheitsanforderungen für die zu entwickelnden Software.

Erarbeitung einer Bedrohungsanalyse

In einer Bedrohungsanalyse (Threat Modeling) werden Threats identifiziert und entsprechende Sicherheitsmaßnahmen erarbeitet. Nach der Implementierung wird eine Qualitätssicherung der umgesetzten Sicherheitsmaßnahmen im Rahmen von Security Tests durchgeführt, um zu überprüfen ob das geforderte Sicherheitsniveau erreicht wurde.

Ist der gesamte Prozess in die Produktentwicklung integriert und vollständig ausgeführt worden, kann eine den Sicherheitsanforderungen entsprechend sichere Software erreicht werden, eine Zertifizierung mit Überprüfung (Evaluierung) der fertigen Software belegt dies dem Kunden gegenüber. Der Prozess lässt sich ebenso gut auf die Beschaffung von Produkten anwenden. So können für eingekaufte Produkte unternehmensweite einheitliche Sicherheitsniveaus gefordert und überprüft werden.

Prozessleitfaden sASM

Aufbauend auf der ISO 27034 hat softScheck den Prozessleitfaden softScheck Secure Application Management (sASM) entwickelt. Damit entfällt eine detaillierte Einarbeitung in die etwas abstrakt formulierte Norm. Der Prozessleitfaden kann auch auf das OWASP SAMM oder andere Modelle gemappt werden. Im Rahmen des Prozessleitfadens empfiehlt softScheck die Implementierung des seit über 10 Jahren erfolgreich eingesetzten ‚softScheck Security Testing Process‘ (sSTP) mit den 5 Methoden:

• Security Requirements-Analysis
• Threat Modeling: Untersuchung des Security Designs auf Sicherheitslücken
• Static Source Code Analysis: Code Reading des Quelltextes auf Sicherheitslücken
• Penetration Testing: Identifizierung veröffentlichter Sicherheitslücken
• Dynamic Analysis – Fuzzing: Identifizierung von bislang nicht bekannten Sicherheitslücken (Zero-Day-Vulnerabilities) im Maschinen-ausführbaren Code

Bild: softScheck GmbH

ONF und ANF Prozesse der ISO 27034 und das Mapping des sSTP auf einen Entwicklungsprozess

Zusammen mit unserem Partner infoteam Software AG decken wir auch die Safety Aspekte bei der Softwareentwicklung mit ab.
IT-Sicherheitsaspekte werden in dem Secure Software Development Process in jeder Entwicklungsphase berücksichtigt und sofort umgesetzt. Durch Identifizierung ALLER Sicherheitslücken (und Patchen) – insbesondere der bislang nicht erkannten Zero-Day-Vulnerabilities – ist die Software dann erfahrungsgemäß angriffssicher!

Über die Autoren:

Ivan Miklecic ist Consultant bei der softScheck GmbH

Prof. Dr. Hartmut Pohl ist geschäftsführender Gesellschafter softScheck GmbH