[datensicherheit.de, 11.08.2025] Obwohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Sicherheitslage in Deutschland im aktuellen Lagebericht 2024 als „besorgniserregend“ einstuft, ist in der Wirtschaft die Verantwortlichkeit für die Abwehr der Cyberkriminalität weitgehend „chaotisch“ organisiert: Diese Diskrepanz ist eine Erkenntnis aus dem „Cyber Security Report DACH 2025“ des Sicherheitsunternehmens Horizon3.ai, basierend auf einer Umfrage unter 300 Führungskräften überwiegend mittel­ständischer Firmen. Demnach ist die Frage, wer für die firmeninterne IT-Sicherheit zuständig ist, in der Wirtschaft weitgehend ungeklärt.

Foto: Horizon3.ai

Dennis Weyel gibt zu bedenken: Das Gros der Unternehmen verlässt sich noch immer auf herkömmliche passive Sicherheit – Pentesting steht hingegen für offensive Sicherheit und wird damit der wachsenden Bedrohungslage deutlich gerechter

IT-Sicherheit mit Nachrang: Nur 13% der Unternehmen verfügen über CISO

Bei knapp einem Viertel der Unternehmen (22%) liege die Verantwortung beim „Teamleiter IT“, bei 16 Prozent sei der „Chief Technology Officer“ (CTO) dafür verantwortlich und bei 14 Prozent der „Chief Information Officer „(CIO).

• Nur 13 Prozent der Unternehmen verfügten über einen „Chief Information Security Officer“ (CISO), welcher sich hauptverantwortlich um die betriebliche Informationssicherheit kümmert.

Bei einem Viertel der befragten Firmen liege die Zuständigkeit für die Abwehr von Cyber­kriminellen bei untergeordneten Positionen wie jener des IT-Managers, Administrators oder System­architekten. Bei einem guten Fünftel (21%) trage die Gesamtverantwortung für die IT-Sicherheit der IT-Einkaufsleiter.

Widerspruch zwischen Bedrohungslage der IT-Sicherheit und chaotischer Abwehr

„Der Widerspruch zwischen der sich verschärfenden Bedrohungslage durch Hacker-Angriffe und dem Verantwortungschaos bei der Abwehr auf Unternehmensseite ist unübersehbar“, warnt Dennis Weyel, „Inter­national Technical Director“ bei Horizon3.ai.

• „Angesichts der potenziell fatalen Folgen eines Cyberangriffs bis hin zum Betriebsstillstand und letztlich der Insolvenz wären alle Unternehmen gut beraten, einen ,Chief Information Security Officer’ als zentrale Sicherheitsinstanz zu etablieren!“, legt Weyel nahe.

Die unübersichtlich geregelten Verantwortlichkeiten seien vermutlich auch der Grund dafür, dass beinahe ca. ein Drittel (30%) der im Rahmen der Umfrage kontaktierten Unternehmen keine Cyberangriffe auf sich in den letzten 24 Monaten hätten feststellen können. Er kommentiert: „Niemand kann ernsthaft glaubten, zwei Jahre lang von Hackern verschont geblieben zu sein.“

Täglich mehr als 300.000 neue Schadprogramme auf ihrem Weg durch den Cyberspace

Weyel verweist auf BSI-Untersuchungen, wonach täglich mehr als 300.000 neue Schadprogramme ihren Weg durch den Cyberspace auf der Suche nach Opfern antreten. Ein Schwer­punkt liegt laut BSI auf automatisierten Angriffen auf den Mittelstand mit Ransomware, die Firmendaten verschlüsselt und erst gegen Lösegeldzahlungen wieder freigibt.

• „Erpressungen mit verschlüsselten oder gestohlenen Daten entwickeln sich zum Massengeschäft“, berichtet Weyel.

Die Cyberkriminellen professionalisierten ihre Vorgehensweise, seien technisch auf dem neuesten Stand und gingen aggressiv vor.

Resilienz-Stärkung: Automatisierte Pentest-Plattform zur IT-Sicherheit

Horizon3.ai betreibt nach eigenen Angaben unter dem Namen „NodeZero“ eine automatisierte Pentest-Plattform, über die Firmen Cyberangriffe auf ihre IT-Infrastruktur („Penetrationstest“) durchführen können, um die Resilienz gegenüber Hacker-Attacken auf die Probe zu stellen.

• Eine Auswertung von über 50.000 über „NodeZero“ durchgeführten Testangriffen habe zutage gefördert, dass es bei 71 Prozent der Unter­nehmen für professionelle Hacker vergleichsweise leicht sei, an Zugangsdaten zum Firmennetzwerk zu gelangen.

In beinahe 100.000 Fällen habe „NodeZero“ über Sicherheitslücken eindringen können, „die längst bekannt, aber bei den entsprechenden Unternehmen noch nicht gestopft waren“.

Pentesting steht für offensive Sicherheit

Weyel führt aus: „Das Gros der Unternehmen verlässt sich auf herkömmliche passive Sicherheit, die im wesentlichen auf einem mehrschichtigen Schutzwall rund um die IT-Systeme basiert.“ Sogenanntes Pentesting stehe hingegen für offensive Sicherheit und werde damit der wachsenden Bedrohungslage deutlich gerechter.“

• Er erläutert die Unterschiede anschaulich: „Passive Sicherheitssysteme sind wie eine vielschichtige Alarmanlage rund um ein Haus, von der niemand weiß, ob sie im Falle eines Einbruchs tatsächlich funktioniert, weil sie niemals getestet wird. Aktive Sicherheit hingegen bedeutet, dass jede Nacht über alle denkbaren Wege ein Einbruchsversuch unternommen wird, um eventuelle Sicherheitslücken aufzudecken, die am nächsten Tag behoben werden können.“

Er rät Unternehmen, mindestens einmal im Monat einen solchen „Einbruch“ zu simulieren, also einen Pentest auf die IT-Infrastruktur durchzuführen.

Unter­schiede im Sicherheitsniveau: manuelles vs. automatisiertes Pentesting

Dennoch führt laut Studie nur gut die Hälfte (51%) der 300 befragten Unternehmen Pentests durch. Lediglich 13 Prozent verwendeten hierzu automatisierte Systeme, was die Voraussetzung sei, um eine der Bedrohungslage angemessene Regelmäßigkeit zu erhalten. 38 Prozent setzten auf manuelles Pentesting, davon 21 Prozent auf externe Sicherheitsdienstleister.

• „Gleichgültig, ob externe oder interne Ressourcen zum Einsatz kommen, ist manuelles Pentesting viel aufwändiger und damit teurer als die Verwendung einer automatisierten Pentestingplattform“, gibt Weyel zu bedenken. Dabei gehe es nicht in erster Linie um die Kosten, sondern um die Unter­schiede im Sicherheitsniveau.

Je kostengünstiger und automatisierter die aktive Überprüfung der IT-Sicherheit sei, desto häufiger werde sie von den Unternehmen durchgeführt. „Und die Regelmäßigkeit ist angesichts von täglich beinahe 70 neuentdeckten Schwachstellen in Computerprogrammen ein entscheidenden Faktor, um IT-Organisationen sicher zu halten“, unterstreicht Weyel abschließend.

Weitere Informationen zum Thema:

HORIZON3.ai
Our Vision: The Future of Security

TECHNIK UND WISSEN / TECHNISCHE RUNDSCHAU, 30.06.2025
Cyberkriminalität: Der Mittelstand segelt im Nebel / Zwei Drittel der Unternehmen in der DACH-Region wurden gehackt – oft ohne es zu merken

datensicherheit.de, 27.06.2025
CISO-Reifeprüfung – in fünf Stufen zur Cyberresilienz / Angesichts zunehmender Bedrohung stehen CISOs unter stärkerem Druck, die Sicherheit ihres Unternehmens ganzheitlich neu zu denken

datensicherheit.de, 19.02.2025
2025 als Jahr gute IT-Security-Vorsätze: Vier CISO-Prioritäten auf der Agenda / 44 Prozent der CISOs machtlos – zwischen 2023 und 2024 waren sie nicht in der Lage, Sicherheitsvorfälle rechtzeitig zu erkennen

datensicherheit.de, 25.11.2024
Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit / Klassische E-Mail bleibt primärer Bedrohungsvektor im Cyberspace

datensicherheit.de, 16.10.2024
DACH-Region: Alarmierende Zunahme der DDoS-Angriffe /Deutschland laut „NETSCOUT DDoS Threat Intelligence Report“ am stärksten von DDoS-Attacken betroffen

datensicherheit.de, 11.10.2023
Predictive-Text-Technologien: Veritas gibt CISOs Tipps zu Sicherheit und Datenschutz / Veritas-Stellungnahme soll mit fünf gängigen Missverständnissen aufräumen

[datensicherheit.de, 07.08.2025] Europa ringt derzeit um seine digitale Unabhängigkeit – und steht dabei zunehmend unter Druck, ob bei Quantencomputern, bei sogenannter Künstlicher Intelligenz (KI) oder „Cloud“-Technologie. Der aktuelle Fortschrittsbericht der Europäischen Union (EU) zur „Digitalen Dekade 2030“ zeigt demnach deutlich, dass bei souveräner „Cloud“-Infrastruktur, digitalen Kompetenzen und Cybersicherheit vielen EU-Mitgliedstaaten das Verfehlen zentraler Ziele droht. Gleichzeitig wächst offenkundig die Abhängigkeit von nicht-europäischen Anbietern – besonders im Bereich der IT-Sicherheit.

Foto: DriveLock

Arved Graf von Stackelberg: Digitale Souveränität beginnt dort, wo Organisationen über ihre Daten und ihre Sicherheitsinfrastruktur selbst bestimmen können!

Anwendung ausländischer Sicherheitssoftware mit geopolitischer Brisanz

Der Umgang mit ausländischer Sicherheitssoftware erweist sich dabei längst nicht mehr als nur eine technische Frage, sondern ist auch geopolitisch brisant: Denn Zölle und Exportkontrollen seitens der USA sorgen zunehmend für Verunsicherung bei europäischen Unternehmen.

• Zudem wächst auch die Skepsis der Bevölkerung gegenüber Sicherheitslösungen aus den USA – dies lässt sich an den Reaktionen auf den geplanten Einsatz von Palantir-Software durch die Polizei deutlich erkennen.

Dass nun der Bedarf an europäischen Alternativen immer größer wird, geht auch aus einer aktuelle Bitkom-Umfrage hervor: Immer mehr deutsche Startups wenden sich bewusst von US-Anbietern ab aus Sorge vor Abhängigkeiten, Kontrollverlust und mangelndem Datenschutz.

Viele europäische Unternehmen schützen Daten und Systeme mit Sicherheitslösungen aus nicht-europäischem Ausland

Gerade auf dem Gebiet der Cybersecurity hat Souveränität eine besondere Tragweite: Viele deutsche und europäische Unternehmen schützen ihre Daten und Systeme bisher mit Sicherheitslösungen aus dem nicht-europäischen Ausland.

• Dies birgt nicht nur Compliance-Risiken und die Gefahr von Kontrollverlust, sondern kann auch die Cyberresilienz erheblich schwächen.

„Digitale Souveränität beginnt dort, wo Organisationen über ihre Daten und ihre Sicherheitsinfrastruktur selbst bestimmen können – ohne versteckte Abhängigkeiten“, kommentiert Arved Graf von Stackelberg, CEO bei DriveLock. Er betont: „Das ist nicht nur eine Frage der Technik, sondern auch der strategischen Resilienz und Zusammenarbeit!“

Unternehmen und Organisationen sollten rechtzeitig auf effektive, europäische Sicherheitslösungen setzten

Behörden, Betreiber Kritischer Infrastrukturen (KRITIS) und solche von der NIS-2-Richtlinie betroffene Unternehmen benötigten IT-Sicherheitslösungen, „die nicht nur technisch auf dem neuesten Stand, sondern auch von europäischen Anbietern sind“. Hierzu seien die Hersteller gefragt, ein europäisches „Ökosystem“ auf die Beine zu stellen, welches digitale Systeme, Daten und Anwendungen über ihren gesamten Lebenszyklus hinweg auf effektive, ressourcenschonende und benutzerfreundliche Weise absichert.

• Diese Anforderungen seien gerade für mittelständische Unternehmen und öffentliche Einrichtungen entscheidend, „da sie oft mit knappen Budgets und angesichts des Fachkräftemangels auch mit wenig Personal auskommen müssen“. IT-Security-Lösungen aus einem europäischen „Ökosystem“, welche diese Kriterien erfüllen, seien die Grundlage für Cyberresilienz in allen Bereichen unserer Gesellschaft.

„Digitale Souveränität und Cyberresilienz sind handfeste geopolitische und wirtschaftliche Ziele. Wer Europas und Deutschlands IT-Sicherheit ernst nimmt, muss in lokale Lösungen investieren und ihre Skalierung aktiv vorantreiben!“ Unternehmen und Organisationen, welche frühzeitig auf effektive, europäische Sicherheitslösungen setzten, sicherten ihren Betrieb und schafften gleichzeitig die Grundlage für zukunftssichere Digitalisierung.

Weitere Informationen zum Thema:

DriveLock, 14.03.2023
Arved Graf von Stackelberg ist neuer CEO von DriveLock / Strategischer Wechsel in der Führungsetage bei DriveLock

Europäische Kommission
Europas digitale Dekade: digitale Ziele für 2030

DIE ZEIT, 24.07.2025
Kritik von Datenschützern: Warnung vor Polizei-Software: Krake oder Trojanisches Pferd

bitkom, 04.07.2025
Startups gehen auf Distanz zu den USA

datensicherheit.de, 21.07.2025
Digitale Souveränität: Europäischer Datenspeicher zur Resilienzstärkung / Datensicherheit im geopolitischen Spannungsfeld – Digitale Souveränität keine theoretische Debatte, sondern strategische Notwendigkeit

datensicherheit.de, 11.07.2025
Cybersicherheit: Deutsche Unternehmen setzen zunehmend auf Digitale Souveränität / Laut einer neuen Studie von HarfangLab messen 81 Prozent der Führungsetagen in deutschen Unternehmen Digitaler Souveränität heute mehr Bedeutung zu als noch vor einem Jahr

datensicherheit.de, 12.06.2025
Blick über den eigenen Tellerrand: Cybersicherheit als Frage nationaler Souveränität / Ari Albertini warnt davor, die größte Schwachstelle im Alltag zu unterschätzen: Das aufgrund von Zeitdruck oft ungeschützte Teilen sensibler Informationen gefährdet die Cybersicherheit

datensicherheit.de, 15.05.2025
Digitale Souveränität: Europas Emanzipation voraus / Sowohl die wirtschaftlichen als auch die politischen Beziehungen zwischen Europa und den USA durchlaufen derzeit eine harte Belastungsprobe

datensicherheit.de, 03.04.2025
Digitale Souveränität Europas: IT-Sicherheit „Made in EU“ als Basis / ESET plädiert für eigenständige europäische Cyber-Sicherheitsstrategie

[datensicherheit.de, 04.08.2025] Eigentlich sollen Überwachungskamera Kriminelle abschrecken und im Schadensfall sachdienliche Hinweise zur Ermittlung eines Vorfalls liefern – in vielen Unternehmen hängen laut einer aktuellen Stellungnahme von LivEye jedoch Kameras, die über unsichere Netzwerke Bilder für alle einsehbar ins Internet streamen. Zu angemessenen Maßnahmen im Fall eines solchen Datenlecks und wie eine effektive Prävention aussehen kann, äußert sich Karsten Kirchhof, „Technical & Commercial Manager“ bei LivEye:

Foto: LivEye

Potenziell unsichere Überwachungskamera: Feind guckt mit

Vertrauen ist gut, Kontrolle ist besser – insbesondere bei Überwachungstechnologie

Überwachungstechnik kann offensichtlich als Einfallstor für Kriminelle dienen – laut einer aktuellen Bitsight-Recherche senden weltweit rund 40.000 Kameras ihre Bilder ungeschützt ins Netz. Kirchhof warnt:

• „Mit diesen Einblicken planen Einbrecher ihr Vorgehen und ein offener Mikrofonfeed lädt zur Wirtschaftsspionage ein.“

Im schlimmsten Fall bedienten Übeltäter gar Kritische Infrastruktur (KRITIS) – Wasserwerke oder Energieversorger – von außerhalb. Die NIS-2-Richtlinien nimmt indes im Schadensfall fortan verstärkt Geschäftsführer in die Verantwortung.

Live-Feed von Überwachungskameras quasi als informatives Abendprogramm

Kirchhof erläutert: „Installation und Einstellung von Sicherheitskameras übernehmen meist externe Dienstleister. Sobald ein Bild über den Schirm läuft, sehen die meisten Nutzer die Einrichtung als erledigt an. Oftmals vertrauen Installateure auf Herstelleranleitungen, die eine schnelle Inbetriebnahme per QR-Code anpreisen.“

• Jedoch würden Einrichter die Kamera bei dieser Vorgehensweise meist mit dem ungeschützten Firmen-Netzwerk verbinden, welches das Sicherheitsfeature in einen leicht zugänglichen TV-Sender verwandele. „Entdecken Schaulustige den offenen Kanal, entsteht bereits ein Datenschutzverstoß seitens des sendenden Unternehmens. Dieser kann Geschäftsleiter je nach Schwere eine Strafe von zwei bis vier Prozent des Jahresumsatzes kosten!“

Finden skrupellose Konkurrenten die Schwachstelle, nutzten sie Bild- und Tonaufnahmen zur Spionage. Meist wüssten Betroffene nicht einmal um das Mikrofon, da diese Funktion zum Schutz der Mitarbeiter ausgeschaltet wird – „doch wenn ein Aufnahmegerät verbaut ist, kann auch von extern darauf zugegriffen werden“.

Spionage: Kriminelle können per Überwachungskamera Lieferzeiten ausforschen…

Gelangten sensible Informationen nach außen, schade dies auf mehreren Ebenen: „Mitbewerber gewinnen durch das Wissen einen Vorteil, die Reputation des eigenen Unternehmens wird angekratzt und die Rechte der Mitarbeitenden verletzt.“

• Kirchhof berichtet: „In einem Fall bezifferte das Oberlandesgericht das Schmerzensgeld für Verstöße dieser Art auf 5.000 € pro Person.“ Zusätzlich entpuppten sich im Bereich der Diebstähle vermeintliche Insiderjobs bei genauer Betrachtung als gut durchgeplante Einbrüche.

Die Kriminellen erfassten durch offene Sicherheitskameras Lieferzeiten und griffen Ware ab, bevor Lagerarbeiter sie einräumen könnten. Ein weiterer Komfortfaktor für die „Langfinger“ stelle der erleichterte Zugriff auf Alarm- und Schließanlagen durch Verknüpfungen der Sicherheitstechnik dar.

Bei Inbetriebnahme einer Überwachungskamera unverzüglich neues Passwort einzurichten

„Wenn Geschäftsführer auf ein Datenleck aufmerksam werden, sollten sie den belasteten Kameras zunächst den Saft abdrehen, um das Ausströmen weiterer Bilder zu stoppen!“, legt Kirchhof nahe. Danach stehe ein ausgiebiger Check der Netzwerksicherheit an. Damit es gar nicht erst soweit kommt, rät der Experte zu einer gründlichen Prüfung vor dem Einbau:

• Angefangen mit der Herkunft der Geräte, denn wo deutsche Markennamen draufstehen, müssten noch lange keine deutschen Produkte drin sein. „Diese unterliegen strengeren Vorlagen als vergleichbare Technologien aus dem nichteuropäischen Ausland.“ So verpflichte die EU Hersteller dazu, bei der Inbetriebnahme unverzüglich die Vergabe eines neuen Passworts zu verlangen. Um dieses Einfallstor zu schließen, vermieden Einrichter die Einbindung in das Produktionsnetzwerk. Jegliche Sicherheitstechnologien erhielten Anschluss an ein eigenes Netzwerk, dessen Zugang über Passwörter gesichert werde.

Wenn auf dem Firmengelände mehrere Gebäude stehen, bekäme jedes sein eigenes System, denn WLAN-Brücken zwischen den Häusern machten interne Absicherung obsolet. „Dazu vertrauen Firmenleitungen am besten auf interne IT-Profis. Denn je mehr Außenstehende über die Schutzmechanismen wissen, desto unnützer werden sie.“

Bei Updates melden sich Überwachungskameras bei ihrer Muttergesellschaft…

Selbst gesicherte Netzwerke hätten ihre Tücken: „Setzen Anwender auf Produkte, die nicht den europäischen Standards entsprechen, verliert der Schutz in Folge von Updates häufig seine Wirkung.“ Nach einer Aktualisierung meldeten die Geräte sich bei ihrer Muttergesellschaft, was den Zugang wieder öffne.

• „Eine sichere Nutzung ist möglich, verlangt aber erheblichen Mehraufwand, da die Verbindungen nach jedem Update auf Lücken geprüft werden müssen“, so Kirchhof.

Die Herkunft der Geräte nehme zudem Einfluss auf den Gebrauch von modernen „Cloud“-Lösungen. Anbieter aus China oder den USA griffen in den meisten Fällen auf „Datenwolken“ aus dem eigenen Hoheitsgebiet zurück. „Wer auf Nummer sicher gehen will, sollte auf Hersteller zurückgreifen, die europäische Server zur Speicherung sensibler Informationen bespielen!“

Überwachungs- und Sicherheitstechnologie in der EU sollte fortan ab Werk sicher sein

Neue Regelungen wie die NIS-2-Richtlinien und das IT-Sicherheitsgesetz 2.0 gälten in der Branche als Lichtblicke. „Zum einen nimmt die EU seit 2024 die obersten Geschäftsebenen bei Verstößen in die Haftung.“

• Damit nehme die Europäische Union Leitungen in die Verantwortung und erhöhe den Druck, Mindeststandards an IT-Sicherheit einzuhalten. Das überarbeitete IT-Gesetz nehme Komponenten aus autokratischen Drittstaaten ins Visier und verlange eine gründliche Prüfung vor dem Einsatz im deutschen Raum.

„Diese Entwicklungen lassen darauf hoffen, dass Sicherheitstechnologien in Zukunft von Werk an wirklich sicher sind und Firmen bei der Installation darauf achten, Lücken zu schließen.“

Weitere Informationen zum Thema:

LivEye
Das Unternehmen / Über die Sicherheitsfirma LivEye GmbH

SECURITYWEEK, Ionut Arghire, 11.06.2025
40,000 Security Cameras Exposed to Remote Hacking / Bitsight has identified over 40,000 security cameras that can be easily hacked for spying or other types of malicious activity.

datensicherheit.de, 17.07.2025
Videoüberwachung und Sicherheit: heyData untersuchte Kamerabeobachtung im Öffentlichen Raum / Eine neue heyData-Studie stellt dar, wie weltweit 21 Städte mit dem Thema Videoüberwachung umgehen – und welche Folgen dies für Gesellschaft und Freiheit hat

datensicherheit.de, 15.06.2025
ESET warnt vor Folgen: Tausende Überwachungskameras weltweit offen im Netz / Weltweit sind laut ESET rund 40.000 Überwachungskameras offen im Internet zugänglich – schlecht gesichert und manchmal sogar ohne Passwort

datensicherheit.de, 04.05.2023
Wenn IoT-Haustürkameras zu Phishing-Fallen werden / IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden

datensicherheit.de, 19.09.2017
Infiltration per Überwachungskamera: Bösartige Angriffe mit Infrarotlicht / Forscher der Ben-Gurion-Universität warnen vor Missbrauch

[datensicherheit.de, 01.08.2025] Thailand hat offenbar kurzfristig ein landesweites Drohnenverbot verhängt – daher informiert „Drohnen-Camp.de“ über Strafen, Hintergründe und was Reisende jetzt wissen sollten. Demnach drohen Urlaubern jetzt bei Missachtung des Verbots Haft, hohe Strafen und Zerstörung der Drohne. „Drohnen-Camp.de“ rät allen Thailand-Reisenden daher dringend, Geräte vor Ort auf keinen Fall in Betrieb zu nehmen und weitere Entwicklungen über Behörden oder die deutsche Botschaft zu verfolgen.

Foto: „Drohnen-Camp.de“

Darauf muss nun eine Weile verzichtet werden: Drohnenflüge über Thailand

Seit dem 30. Juli 2025 ist der Drohnen-Betrieb landesweit untersagt

Thailand habe überraschend ein landesweites Drohnen-Verbot verhängt. „Seit dem 30. Juli 2025 ist der Betrieb unbemannter Fluggeräte auf dem gesamten Staatsgebiet untersagt.“

• Laut Fachportal „Drohnen-Camp.de“ gilt diese Regelung zunächst bis einschließlich 15. August 2025 – die thailändische Regierung behalte sich ausdrücklich eine Verlängerung oder kurzfristige Änderungen des Verbots vor.

Hintergrund des Verbots sei der bewaffnete Grenzkonflikt mit dem Nachbarland Kambodscha, welcher im Juli 2025 eskalierte und bereits Dutzende Todesopfer gefordert hat.

Selbst offiziell registrierte Drohnen haben Startverbot

Aus Sicherheitsgründen sei nun der Luftraum für zivile Drohnen vollständig gesperrt geworden. „Besonders wichtig für Urlauber: Auch registrierte Drohnen dürfen aktuell nicht genutzt werden!“

• Selbst dann nicht, wenn zuvor eine Anmeldung bei der thailändischen Luftfahrtbehörde CAAT sowie eine Meldung bei der Telekommunikationsbehörde NBTC erfolgt ist. Damit seien selbst legal zugelassene Geräte von diesem Verbot betroffen.

Es drohten drastische Konsequenzen bei Verstößen: Die Sicherheitsbehörden vor Ort seien berechtigt, Drohnen sofort zu beschlagnahmen und zu zerstören. Zusätzlich drohten eine Haftstrafe von bis zu einem Jahr sowie eine Geldstrafe von bis zu 40.000 Baht (etwa 1.070 Euro).

Weitere Informationen zum Thema:

DROHNEN-CAMP
Über uns – die Gesichter dahinter

DROHNEN-CAMP, Francis Markert,Stand per 31.07.2025
Drohnen-Gesetze in Thailand

datensicherheit.de, 31.01.2025
Fokus der Unternehmen auf Cybersecurity vernachlässigt deren physische Sicherheit / Kevin Heneka warnt: Viele Unternehmen und Behörden konzentrieren ihre Sicherheits­maßnahmen zu einseitig auf Cybersecurity

datensicherheit.de, 13.05.2017
EASA schafft neue EU-Regelungen für den Betrieb kleiner Drohnen / Benjamin Binet von Gemalto fordert, die kleinen Flugkörper sicher und in einem kontrollierten Rahmen zu betreiben

[datensicherheit.de, 14.07.2025] Alex Mosher, Präsident von Armis, betont in seiner aktuellen Stellungnahme: „Jede technische Innovation vergrößert die digitale Angriffsfläche eines Unternehmens!“ Denn je mehr Geräte, Anwendungen und Benutzerkonten hinzugefügt werden, desto größer werde die Komplexität. „Nicht nur die reine Zunahme, sondern auch die Vermehrung der potenziellen Einfallstore sorgt für blinde Flecken in der Cybersicherheit“, so Mosher. Strategien, diese zu schließen, müssten sich also stetig anpassen. Dadurch drohe jedoch der Blick auf die gesamte Infrastruktur verloren zu gehen.

Foto: Armis

Alex Mosher unterstreicht: Defragmentierung ist die Zukunft der Cybersicherheit!

Behebung strukturelle Schwachstellen in der betrieblichen Sicherheitsinfrastruktur

Im Ergebnis entstehe eine zunehmend fragile Sicherheitslage. Die Verantwortlichen sollten angesichts dessen die strukturellen Schwachstellen in ihrer Sicherheitsinfrastruktur beheben.

• „Die Konzentration auf das Wachstum steigert jedoch die Anforderungen an die Cybersicherheit. Um neuen Bedrohungen zu begegnen, Schwachstellen zu schließen oder neue Compliance-Vorgaben zu erfüllen, setzen die Verantwortlichen daher oft eine Vielzahl von Tools ein, die jeweils für eine bestimmte Aufgabe entwickelt wurden – von der Erkennung von Bedrohungen bis zur Audit-Vorbereitung.“ Das Ergebnis sei dann ein „Flickenteppich aus Sicherheitslösungen“, welche isoliert voneinander arbeiteten.

Diese „Tools“ ließen sich selten nahtlos integrieren oder Daten austauschen. Mosher erläutert: „In der Folge entstehen Silos, die die Übersicht einschränken und die Reaktion behindern. Mit der Zeit schwächt das, was eigentlich die Sicherheit stärken sollte, diese letztendlich.“ Stattdessen blieben Unternehmen mit einem fragmentierten System zurück, welches Schwierigkeiten habe, ein einheitliches Echtzeitbild der Risiken zu liefern.

Fragmentierte Sicherheit als Herausforderung

Diese Lücken schwächten nicht nur das System, sondern machten es für Sicherheitsteams sogar schwierig, die Schwachstellen zu erkennen. In einer fragmentierten Umgebung werde die grundlegende, aber entscheidende Frage nach einer kompletten Übersicht über die Systemlandschaft überraschend schwer zu beantworten. „Ohne ein klares Verständnis dieses Bildes können Sicherheitsteams nur raten, wo die wahren Risiken liegen – das macht es Angreifern leicht“, betont Mosher.

• Die eigene Bedrohungslage bleibe nicht deshalb unentdeckt, „weil die eingesetzten Monitoring-Tools nicht leistungsfähig genug sind, sondern weil die erforderlichen Kontextinformationen über nicht miteinander verbundene Systeme verstreut sind“. Wenn diese Daten zwar erhoben, aber nicht ausgetauscht werden, gingen Warnmeldungen verloren. Sicherheitsteams könnten nicht schnell genug darauf reagieren und proaktiv agieren. Anstelle einer einheitlichen, koordinierten Verteidigung müssten Unternehmen isolierte Teile verwalten, „die kein vollständiges Bild ergeben“. Eine fragmentierte Sicherheit erschwere die Aufklärung von Sicherheitsvorfällen erheblich. Sicherheitsteams würden Schwierigkeiten haben, genaue Aufzeichnungen zu führen, ihre Verantwortlichkeiten nachzuweisen oder Belege für ein wirksames Risikomanagement zu liefern.

Die Verwaltung mehrerer voneinander getrennter „Tools“ erhöhe die Komplexität der Betriebsabläufe. Sicherheitsteams seien bereits mit zahlreichen Schnittstellen, „Workflows“ und Anforderungen überlastet. Dies verlangsame die Reaktionszeiten und erhöhe die Fehlerwahrscheinlichkeit. „Bei fragmentierter Sicherheit sind auch erhebliche finanzielle Auswirkungen zu berücksichtigen!“, gibt Mosher zu bedenken. Die Wartung und Integration mehrerer „Tools“ sei sowohl arbeitsintensiv als auch kostspielig. Überschneidende Funktionen und Ineffizienzen bei der Ressourcenzuweisung verschärften diese Kosten zusätzlich.

Einheitliche Cybersicherheit zur Unterstützung der Sicherheitsteams

„Angesichts der zahlreichen Herausforderungen, die fragmentierte Sicherheitslösungen mit sich bringen, ist es für Unternehmen an der Zeit, ihre Sicherheitsteams zu entlasten und auf eine einheitliche Cybersicherheitsplattform umzusteigen!“ Diese Strategie führe nicht nur zu einer Vereinfachung des Betriebs, sondern auch zur Erreichung eines echten Cyberrisiko-Managements.

• Ein einheitlicher Ansatz ersetze isolierte Prozesse durch Kontextbewusstsein: „Er umfasst alle ,Assets’, ihre Verbindungen untereinander und die damit verbundenen Risiken.“ Ein solcher einheitlicher Ansatz für Cybersicherheit verbessere auch die betriebliche Effizienz.

Durch den Einsatz KI-gestützter Funktionen könnten Unternehmen das Sicherheitsmanagement vereinfachen, Routineaufgaben automatisieren und umsetzbare Erkenntnisse liefern. Sicherheitsteams würden so in die Lage versetzt, Risiken in Echtzeit zu erkennen, zu priorisieren und zu mindern. „Durch die Beseitigung der Komplexität der Verwaltung unterschiedlicher ,Tools’ und Systeme können Unternehmen von reaktiven Maßnahmen zu einer proaktiven Erkennung und Abwehr von Bedrohungen übergehen und so ihre allgemeine Sicherheitslage verbessern“, erklärt Mosher.

Defragmentierte Zukunft mittels einheitlicher Cybersicherheitsstrategie

Mit der Weiterentwicklung der Cyberbedrohungen würden die Lücken in einer fragmentierten Sicherheitsstrategie immer größer. „Punktuelle Lösungen können nicht die Geschwindigkeit, Koordination und Abdeckung bieten, die moderne IT-Umgebungen erfordern!“

• Unternehmen sollten eine einheitliche Cybersicherheitsstrategie verfolgen, welche die Transparenz ihrer „Assets“, die Erkennung von Bedrohungen, die Priorisierung von Risiken und „Compliance“-Richtlinien in einer einzigen Plattform konsolidiert.

Moshers Fazit: „Einheitliche Sicherheit reduziert die Komplexität, ermöglicht schnellere Reaktionen und schafft langfristige Widerstandsfähigkeit. Defragmentierung ist die Zukunft der Cybersicherheit.“ Für Unternehmen gelte daher der Rat zu konsolidieren, zu vereinfachen und zu stärken.

Weitere Informationen zum Thema:

ARMIS
Platform: Armis Centrix for Asset Management and Security

datensicherheit.de, 26.04.2025
Armis Vulnerability Intelligence Database soll präventive Cyber-Sicherheit unterstützen / Armis nun auch als CVE-Nummerierungsstelle zugelassen

datensicherheit.de, 14.06.2022
Unternehmen in Sorge: Außer Kontrolle geratene digitale Angriffsfläche / Eingeschränkte Visibilität und Kontrolle bedrohen laut Studie von Trend Micro IT-Sicherheit der Unternehmen weltweit

datensicherheit.de, 23.07.2018
Handhabung von IT-Komplexität: Sechs Strategien für CIOs / Aktiver Beitrag von IT-Führungskräften für den Geschäftserfolg gefordert

[datensicherheit.de, 08.07.2025] BeyondTrust hat eine mehrjährige strategische Kooperationsvereinbarung (Strategic Collaboration Agreement / SCA) mit Amazon Web Services (AWS) abgeschlossen, deren Zielstellung demnach die Vertiefung der strategischen Partnerschaft zwischen den beiden Unternehmen, das Vorantreiben gemeinsamer Innovationen, die Ausdehnung der Marktreichweite und die Förderung eines nachhaltigen Wachstums ist. Diese Zusammenarbeit von BeyondTrust und AWS soll branchenübergreifend für mehr Flexibilität und einen höheren geschäftlichen Nutzen sorgen.

Abbildung: BeyondTrust

Mehrjährige strategische Kooperationsvereinbarung AWS-BeyondTrust

Identity-Security-Skalierung in hybriden Umgebungen

„Diese Vereinbarung richtet die Go-to-Market-Prioritäten und Investitionen von AWS und BeyondTrust aufeinander aus, um eine sichere ,Cloud’-Adoption für Kunden zu beschleunigen.“

• Die enge Zusammenarbeit von BeyondTrust und AWS unterstützt Organisationen dabei, Identity-Security-Skalierung in hybriden Umgebungen und ein höheres Sicherheitsniveau zu erreichen.

Durch besser integrierte Lösungen, koordinierte Aktivitäten im Vertrieb und eine erweiterte globale Reichweite falle so der Weg in die „Cloud“ einfacher.

„Pathfinder“-Plattform von BeyondTrust fließt in Kooperation mit ein

Im Rahmen der Kooperation könnten Kunden die „Pathfinder“-Plattform von BeyondTrust nutzen, um sechs wesentliche Sicherheitskontrollen für digitale Identitäten in „Cloud“-Umgebungen umzusetzen:

1. Just-in-Time-Zugriff (JIT) und Least-Privilege-Einhaltung zur Vermeidung dauerhafter Berechtigungen
2. „Secure Remote Access“ (SRA) ohne herkömmliche VPNs
3. Passwortverwaltung für privilegierte Konten
4. „Secrets Management“ für DevOps-Zugangsdaten in der „Cloud“
5. „Cloud Infrastructure Entitlement Management“ (CIEM) zur Reduzierung von überprivilegierten Identitäten und Zugriffsrechten in „Cloud“-Umgebungen
6. „Identity Threat Detection & Response“ (ITDR) für Echtzeitüberwachung und Eindämmung von Bedrohungen

„BeyondTrust hat zum Ziel, außergewöhnliche Identitätssicherheit zu bieten, die jedes Unternehmen einsetzen kann“, erläutert David Manks, „Vice President of Strategic Alliances“ bei BeyondTrust. Er führt hierzu weiter aus: „Die Zahl raffinierter Angriffe nimmt weiter zu, so dass unsere Zusammenarbeit mit AWS gemeinsamen Kunden die benötigte End-to-End-Transparenz und -Kontrolle bietet, um aktuellen Bedrohungen stets einen Schritt voraus zu sein.“ Gemeinsam ermöglichten es AWS und BeyondTrust, sowohl menschliche als auch maschinelle Identitäten im Unternehmen mit der geforderten Skalierbarkeit und Zuverlässigkeit zu schützen.

Vertiefte Zusammenarbeit AWS-BeyondTrust für höchsten Schutz der Kundenvor Bedrohungen

„Im Rahmen unseres Wechsels zu AWS benötigten wir eine nahtlose und sichere Möglichkeit, den Zugriff in unserer Cloud-Umgebung zu verwalten“, so David Lokke, „Senior Systems Administrator“ bei Premier Bankcard.

• Lokke berichtet: „,BeyondTrust Password Safe’ lässt sich problemlos in unsere bestehenden BeyondTrust-Lösungen integrieren und verbindet sich über ,Privileged Remote Access’ direkt auf AWS. So konnten wir die Zugriffsverwaltung vereinfachen und das Benutzererlebnis für unsere Lieferanten und Partner verbessern.“

„Sicherheit hat bei AWS höchste Priorität, und in gleicher Weise setzt sich auch BeyondTrust für die Einhaltung strenger Sicherheits-, Compliance- und Skalierbarkeitsstandards ein“, ergänzt abschließend Carol Potts, „General Manager, North America ISV Sales“ bei AWS. Sie freuten sich über die vertiefte Zusammenarbeit mit BeyondTrust, „um weitere Innovationen für unsere Kunden entwickeln und auch zukünftig höchsten Schutz vor Bedrohungen bieten zu können“.

Weitere Informationen zum Thema:

BeyondTrust
BeyondTrust & AWS / Secure identities, privileges, and access across your enterprise with BeyondTrust — all available on AWS Marketplace.

[datensicherheit.de, 28.06.2025] Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) der Landesbeauftragten für Datenschutz Schleswig-Holstein, Dr. h.c. Marit Hansen, weist darauf hin, dass am 8. September 2025 in Kiel die diesjährige „Datenschutz-Sommerakademie“ zum Thema „Im Alarmmodus: Sicherheit und Datenschutz?“ stattfinden soll. „Expertinnen und Experten aus dem Bundesgebiet werden die aktuellen Entwicklungen im Datenschutz diskutieren.“ Aktuell schnüre die Politik neue Sicherheitspakete in Bund und Ländern – es gehe darin auch um zusätzliche Befugnisse zur Überwachung, beispielsweise auf Basis biometrischer Gesichtserkennung oder verbunden mit dem Einsatz Künstlicher Intelligenz (KI). Das Verhältnis zwischen Sicherheit und Freiheit gehöre indes zu den klassischen Grundthemen des Datenschutzes. Das Bundesverfassungsgericht (BVerfG) und der Europäische Gerichtshof (EuGH) zeigten in ihren Entscheidungen immer wieder Grenzen auf, „wenn der Eingriff in die Grundrechte und Grundfreiheiten überhandnimmt“.

Abbildung: ULD

„Sommerakademie 2025: Im Alarmmodus: Sicherheit und Datenschutz?“ am 8. September 2025 in Kiel

In der Diskussion: Rote Linien im Spannungsfeld Datenschutz vs. Überwachung

In der digitalisierten Welt mit Daten über jeden Bürger und angesichts des fortwährenden Ausbaus von rechtlichen und technischen Überwachungsinstrumenten stelle sich die Frage, wo die Roten Linien verliefen:

• „Unter welchen Bedingungen soll sich der Staat welcher Kontrollmöglichkeiten bedienen können?
• Wie kann es sein, dass verfassungs- oder europarechtswidrige Gesetze in Kraft treten?
• Vorgeschlagen wird ein Konzept zur Erfassung der Gesamtheit aller staatlichen Überwachungsmaßnahmen in Form einer Überwachungsgesamtrechnung – geht dies überhaupt und was ließe sich damit bewirken?“

Auch Unternehmen installierten Überwachungswerkzeuge bzw. werten Daten über Nutzer aus

Es sei aber nicht nur der Staat: Auch Unternehmen installierten Überwachungswerkzeuge zur Kontrolle ihrer Beschäftigten oder werteten Daten über das Verhalten von Nutzern aus. Wieder spiele Sicherheit als Motiv für mehr Überwachung eine Rolle – „denn zwingen nicht die neuen gesetzlichen Anforderungen im Bereich der Netz- und Informationssicherheit zu mehr Kontrolle?“

„Ist der Einsatz der fortschrittlichsten Überwachungstools also quasi alternativlos? Und wie passt dies mit Datenschutzanforderungen wie dem Grundsatz der Datenminimierung zusammen?“

Infobörsen zu zahlreichen Themen rund um Datenschutz und Informationsfreiheit

Die „Sommerakademie 2025“ ist der Diskussion solcher Fragen mit Experten rund um Sicherheit, Freiheit und Selbstbestimmung gewidmet – und dabei solle das Augenmerk insbesondere auf die neuen technischen und rechtlichen Entwicklungen gelegt werden.

Das Nachmittagsprogramm soll praxisrelevantes Wissen in zwölf „Infobörsen“ vermitteln, welche zahlreiche Themen rund um den Datenschutz und die Informationsfreiheit abdecken.

„Sommerakademie 2025“: „Im Alarmmodus: Sicherheit und Datenschutz?“

Montag, 8. September 2025 im „ATLANTIC Hotel“ ab 9.00 Uhr
Raiffeisenstraße 2 in 24103 Kiel
Kostenpflichtige Veranstaltung – Online-Anmeldung bis 22.08.2025 möglich

Vortragende (ohne Gewähr):

• Dr. h. c. Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein
• Dr. Ulf Kämpfer, Oberbürgermeister der Landeshauptstadt Kiel
• Staatssekretärin Magdalena Finke, Ministerium für Inneres, Kommunales, Wohnen und Sport des Landes Schleswig-Holstein
• Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit, Vorsitz der Datenschutzkonferenz im Jahr 2025
• David Werdermann, Gesellschaft für Freiheitsrechte e.V.
• Prof. Dr. Dennis-Kenji Kipker, cyberintelligence.institute, Frankfurt/Main
• Prof. Dr. Peter Wedde, Institut für Datenschutz, Arbeitsrecht und Technologieberatung in Wiesbaden
• Maria-Christina Rost, Landesbeauftragte für den Datenschutz Sachsen-Anhalt
• Dr. Heinke Bastek, Kontor Business IT GmbH & Splitbot GmbH, Lübeck
• sowie weitere Beschäftigte des ULD

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sommerakademie 2025: Programm

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sommerakademie 2025: Faltblatt

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sommerakademie 2025: Im Alarmmodus: Sicherheit und Datenschutz? / Anmeldung

datensicherheit.de, 03.05.2025
Überwachungsgesamtrechnung: DAV fordert angemessene Reaktion auf Ergebnisse / Swen Walentowski als stellvertretender DAV-Hauptgeschäftsführer nimmt Stellung

datensicherheit.de, 12.04.2025
Koalitionsvertrag: Digitalcourage warnt vor untoten Überwachungsallüren / Vehemente Kritik an der Priorisierung „Datennutzung vor Datenschutz“

[datensicherheit.de, 19.05.2025] Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz / DSK) hat auf ihrer Tagung am 16. Juni 2025 das Thema Innere Sicherheit im Spannungsfeld zur Freiheit aufgegriffen und Anwendungshilfen zu Künstlicher Intelligenz (KI), „Cloud Computing“ und Online-Buchungen von Arztterminen veröffentlicht.

Abbildung: DSK

DSK-Entschließung vom 16. Juni 2025: „Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit“

Starker Datenschutz kein Selbstzweck, sondern wesentliches Element des Rechtsstaats

Die DSK hat nach eigenen Angaben die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies soll insbesondere mittels Entschließungen, Beschlüssen, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen erfolgen.

Auf ihrer sogenannten Zwischenkonferenz am 16. Juni 2025 hat die DSK u.a. eine Entschließung zum Verhältnis von Innerer Sicherheit und Freiheit verabschiedet: Sie betont angesichts der aktuellen Debatte um die Novellierung verschiedener Sicherheitsgesetze, „dass ein starker Datenschutz kein Selbstzweck, sondern ein wesentliches Element des Rechtsstaats und die Voraussetzung für Sicherheit und Freiheit ist!“

Datenschutzrecht kommt im Rechtsstaat zentrale Bedeutung zu

„Freiheit und Sicherheit sind unabdingbare Voraussetzungen für eine Demokratie. Zur Sicherheit gehört auch, dass sich die Menschen im Land darauf verlassen können, dass der Staat und seine Institutionen ihre Rechte und Freiheiten achten, sich an verfassungskonforme Gesetze und gegebene Garantien halten!“, betont Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) und für das Jahr 2025 auch Vorsitzende der DSK.

Dem Datenschutzrecht komme dabei eine zentrale Bedeutung zu, da es staatliche Datenverarbeitungen im Einklang mit dem Rechtsstaat sicherstelle.

Angesichts potenziell hoher Risiken: Datenschutz bei KI-Systemen mit hoher Relevanz

Die DSK beschloss zudem eine Orientierungshilfe zu empfohlenen Technischen und Organisatorischen Maßnahmen (TOM) bei der Entwicklung und dem Betrieb von KI-Systemen. „Angesichts der umfangreichen Verarbeitungen personenbezogener Daten und der potenziell hohen Risiken hat der Datenschutz bei KI-Systemen eine hohe Relevanz“, so Kamp.

Die neue DSK-Orientierungshilfe soll Herstellern und Entwicklern von KI-Systemen zeigen, wie sie den Datenschutz von Anfang an berücksichtigen und damit die Rechte und Freiheiten von natürlichen Personen schützen könnten.

Beschlüsse der Datenschutzkonferenz auf Basis häufiger Fragen aus der Praxis

Weitere Beschlüsse der DSK befassen sich mit den Wirkungen des „Confidential Cloud Computing“ und dem Einsatz von Dienstleistern für die Terminverwaltung in Arztpraxen. Die DSK hat zudem eine Musterrichtlinie für Verfahren über Geldbußen der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich beschlossen.

Dazu Kamp: „Mit den Beschlüssen reagiert die Datenschutzkonferenz auf häufige Fragen aus der Praxis. Das vereinheitlicht die aufsichtsrechtlichen Verfahren in Deutschland und gibt zugleich Orientierung für die datenverarbeitenden Stellen sowie die betroffenen Personen.“

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 16.06.2025
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 16. Juni 2025: Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit

DSK DATENSCHUTZKONFERENZ, Juni 2025
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen / Version 1.0

DSK DATENSCHUTZKONFERENZ, 16.06.2025
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 16. Juni 2025: Confidential Cloud Computing

DSK DATENSCHUTZKONFERENZ, 16.06.2025
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 16. Juni 2025: Datenschutz bei der Terminverwaltung durch Heilberufspraxen Positionspapier zum datenschutzkonformen Einsatz von Dienstleistern für Online-Terminbuchungen und das Terminmanagement

DSK DATENSCHUTZKONFERENZ, 16.06.2025
Festlegung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 16. Juni 2025: Musterrichtlinien für das Verfahren über Geldbußen
der Datenschutzaufsichtsbehörden (MriDaVG)

DSK DATENSCHUTZKONFERENZ
Datenschutzkonferenz

datensicherheit.de, 28.03.2025
Wahrung der Grundrechte im Fokus: 109. DSK beschließt Forderungen an künftige Bundesregierung / Neues DSK-Papier ruft dazu auf, die Digitalisierung in Europa voranzubringen und eine menschenzentrierte Datennutzung sicherstellen

datensicherheit.de, 06.05.2024
DSK-Orientierungshilfe für Unternehmen und Behörden zum datenschutzkonformen KI-Einsatz / Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ richtet sich an Unternehmen, Behörden und andere Organisationen

[datensicherheit.de, 02.06.2025] Die von Cyberbedrohungen ausgehende konkrete Gefährdung hängt in einer zunehmend vernetzten Welt ganz offensichtlich nicht allein von der jeweiligen unternehmenseigenen IT-Sicherheitsstrategie ab, sondern zu einem erheblichen Teil auch von jener der Geschäftspartner. „Dies bestätigt eine neue Umfrage von Sophos, bei der leitende Mitarbeitende primär aus dem Einkauf, aber auch aus Geschäftsführung und IT befragt wurden. 30,7 Prozent der Befragten bestätigten, dass mindestens eine Order aufgrund von Cybersicherheitsvorfällen bei Lieferanten annulliert werden musste.“ In 12,4 Prozent der Fälle sei sogar der Cybersicherheitsvorfall als derart schwer eingestuft worden, dass die Kooperation mit dem betreffenden Lieferanten habe beendet werden müssen. Die zugrundeliegende Erhebung wurde 2025 von Techconsult im Auftrag von Sophos durchgeführt: „Befragt wurden 201 Verantwortliche in der Geschäftsführung, dem Einkauf und der IT aus Unternehmen unterschiedlicher Branchen und Größen – darunter Industrie, Telekommunikation, Finanzwesen, öffentliche Verwaltung und Non-Profit-Organisationen.“

Abbildung: SOPHOS

techconsult-Umfrage im SOPHOS-Auftrag zur Beeinträchtigung der Unternehmensintegrität durch Cybersicherheitsvorfälle in der Lieferkette

Telekommunikationsbereich besonders hart von Cybervorfällen bei Lieferanten betroffen

„Während die meisten Branchen die Partnerschaft mit ihren Lieferanten aufgrund von Cybersicherheitsvorfällen nicht beendeten, scheint die Telekommunikationsbranche entweder besonders sensibel auf Cybersicherheitsvorfälle ihrer Lieferanten zu reagieren oder besonders schwer getroffen worden zu sein.“

• Während im Durchschnitt nur 12,4 Prozent aller befragten Unternehmen einen Grund für eine Trennung von ihren Lieferanten gesehen hätten, seien es in der Telekommunikation 46,2 Prozent gewesen.

„Dass die Cybergefahr in einer über den gesamten Globus vernetzten Geschäftswelt nicht nur auf direktem Weg ein Unternehmen bedroht, sondern auch durch die Hintertür über Lieferanten lauert, hat die Mehrheit der Befragten verinnerlicht.“ In der Umfrage konnten die Teilnehmer demnach zwischen „großen Bedenken“, „eher große Bedenken“, „weniger Bedenken“ und „keine Bedenken“ wählen.

Unternehmensintegrität durch Cybersicherheitsvorfälle bedroht: Fast 70 Prozent der Manager haben erhebliche Sorgen

Addiert hätten 69,8 Prozent allen befragten Manager entweder „große“ oder „eher große“ Bedenken gehabt, wenn es darum geht, dass die Unternehmensintegrität durch Cybersicherheitsvorfälle in der Lieferkette beeinträchtigt werden könnte.

• Bei dieser Frage besonders ausgeprägt sei die Höchststufe der „großen Bedenken“ bei Unternehmen mit 250 bis 999 Mitarbeitern. Dort hätten 36,2 Prozent der Befragten das Höchstmaß an Besorgnis gewählt, während in kleineren Unternehmen mit 100 bis 240 Mitarbeitern 20,8 Prozent und in großen Unternehmen mit 1.000 und mehr Mitarbeitern 15,8 Prozent diesen sehr hohen Befürchtungen zugestimmt hätten.

Bei den „eher großen Bedenken“, also der zweithöchsten Bedenkenstufe, hätten die Unternehmen mit 1.000 und mehr Mitarbeitern mit 52,6 Prozent den Höchstwert geliefert – im Gegensatz zu 39,2 Prozent bei den Unternehmen mit 250 bis 999 Mitarbeitern und 35,8 Prozent bei den Unternehmen mit 100 bis 249 Mitarbeitern.

Cybersecurity für die heutige Geschäftswelt entscheidender Erfolgsfaktor

Betrachtet man die Abfragewerte hinsichtlich der Bedenken in Bezug auf Cybergefahren durch die Lieferkette nach Branchen, stechen laut Sophos insbesondere der Handel und die Telekommunikation heraus. „Während im Durchschnitt 30,2 Prozent aller befragten Unternehmen die höchste Einstufung hinsichtlich ihrer Bedenken angaben, waren es im Handel (bei dem man eine besondere Sensibilität für die Lieferkette vermuten könnte) nur 4,3 Prozent – ganz im Gegensatz zur Telekommunikation mit 64,1 Prozent.“

• Diese Umfrage zeige erfreulicherweise, dass ein großer Teil der verantwortlichen Einkäufer, Manager und IT-Leiter die Brisanz von Cybersicherheitsvorfällen in der Lieferkette adäquat einstufe. „Wenn man allerdings bedenkt, dass mit 28,2 Prozent über ein Viertel der Befragten eher weniger Bedenken bezüglich der Beeinträchtigung der Unternehmensintegrität durch Cybersicherheitsvorfälle in der Lieferkette haben, besteht hier ein erhebliches Risiko, da diese Unternehmen potenziell nicht nur eine Gefahr für sich selbst, sondern für die gesamte Lieferkette darstellen“, kommentiert Michael Veit, Cybersecurity-Experte bei Sophos.

Mit fortschreitender Präsenz des Themas Cybersicherheit im Unternehmensalltag müssten diese Organisationen damit rechnen, immer häufiger von ihren Geschäftspartnern aus der Lieferkette ausgeschlossen zu werden – „es sei denn, sie kümmern sich intensiv und mit geeigneten Maßnahmen um ihren Cyberschutz“. Veit gibt abschließend zu bedenken: „Damit wird einmal mehr klar, dass Cybersecurity in der heutigen Geschäftswelt ein entscheidender Erfolgsfaktor ist!“

Weitere Informationen zum Thema:

Sophos
Schutz gegen Cyberangriffe mit Cybersecurity as a Service

datensicherheit.de, 20.04.2025
Kritische Infrastrukturen: Jede zweite Organisation unzureichend vor Cyber-Attacken in der Lieferkette geschützt / Erkenntnisse aus aktueller „DNV Cyber-Studie“ legen verstärkten Fokus auf Lieferanten nahe

datensicherheit.de, 13.04.2025
DORA-Frist vom 14. und dem 28. April 2025: Lieferkettensicherheit als Herausforderung / DORA-Registrierungspflicht umfasst nicht nur die Meldung an die BaFin, sondern auch noch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit

datensicherheit.de, 30.10.2024
Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen / Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus

datensicherheit.de, 01.07.2024
Cyber-Sicherheit entlang der Lieferkette: Unternehmen müssen sich wieder auf Grundlagen besinnen / Hacker missbrauchen Lieferketten, um gezielte Angriffe auf Unternehmen mit großen Kundendatenbeständen zu starten

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie

datensicherheit.de, 07.12.2023
Studie: Cyberangriffe auf die Lieferkette von Unternehmen / Weiterhin negativ Auswikungen auf Unternehmen weltweit | Alarmierenden Anstieg der gemeldeten negativen Auswirkungen und Betriebsunterbrechungen um 26 %

[datensicherheit.de, 30.05.2025] KnowBe4 hat elementare Tipps für die Reisesicherheit veröffentlicht – diese sind demnach speziell auf Cybersicherheitsbedrohungen für Urlauber im Sommer 2025 zugeschnitten. Während sich Urlauber auf ihre Sommerreise vorbereiten, suchen Cyberkriminelle nach Möglichkeiten, Sicherheitslücken in der Urlaubsplanung auszunutzen. „Die Zunahme von Social-Engineering-Betrug, Schwachstellen in öffentlichen WLAN-Netzen sowie neuen Bedrohungen für mobile Geräte unterstreichen die dringende Notwendigkeit proaktiver Schutzmaßnahmen.“ Das Unternehmen bietet daher mit Blick auf den bevorstehenden Sommer praktische Ratschläge, mit denen Reisende ihr Cyberrisiko im Urlaub senken können. Die sieben wichtigsten Cybersicherheitstipps von umfassen:

1. Tipp: Vorsichtsmaßnahmen gegenüber Identitätsbetrug

• „Seien Sie skeptisch gegenüber Phishing-Mails mit Urlaubsthemen, unerwarteten Buchungsbestätigungen oder Angeboten, die zu gut sind, um wahr zu sein.
• Überprüfen Sie alle unerwarteten Mitteilungen von Reiseanbietern über offizielle Kanäle und nicht über Links in E-Mails oder SMS!“

2. Tipp: Überprüfung der WLAN-Netzwerke vor dem Verbinden

• „Vergewissern Sie sich beim Personal, dass es sich um das richtige Netzwerk handelt.
• Verwenden Sie für zusätzlichen Schutz ein VPN! Gefälschte Hotspots sind eine gängige Taktik von Hackern an Flughäfen, in Hotels und Cafés.“

3. Tipp: Implementierung erweiterter Gerätesicherheit

• „Seien Sie vorsichtig bei potenziellen Schwachstellen in intelligenten Geräten, beispielsweise in Ihrem Gepäck oder Ihren Reise-Gadgets.
• Aktualisieren Sie die Software Ihrer Geräte regelmäßig und verwenden Sie renommierte Marken, um die Sicherheit zu erhöhen!“

4. Tipp: Schutz vor neuen Bedrohungen für Geräte

• s. 3. Tipp

5. Tipp: Sicherung wichtiger Daten

• „Erstellen Sie Sicherungskopien Ihrer Reisedokumente und wichtiger Daten!
• So können Sie im Falle eines Gerätediebstahls oder eines Stromausfalls Ihre Reisepläne ohne Unterbrechung fortsetzen.“

6. Tipp: Beschränkung der Nutzung Sozialer Medien

• „Vermeiden Sie es, Ihre Reisepläne in Echtzeit zu veröffentlichen, um das Risiko von Social-Engineering-Angriffen zu verringern!“

7. Tipp: Überwachung eigener Konten

• „Überprüfen Sie Ihre Bank- und Kreditkartenabrechnungen auf unbefugte Transaktionen!“

Foto: KnowBe4

Erich Kron: Für die Urlaubszeit möchte KnowBe4 Reisenden praktische ,Tools‘ und umsetzbares Wissen an die Hand geben

Tipps sollen helfen, die Cybersicherheit auch auf Reisen im Auge zu behalten

„Egal, wie weit wir reisen: Cyberkriminelle sind näher, als wir denken“, warnt Erich Kron, „Security Awareness Advocate“ bei KnowBe4. Während einer Reise lasse man leicht seine Wachsamkeit sinken. „Doch wenn man die Cybersicherheit im Auge behält, kann man verhindern, dass der Urlaub durch Betrug oder Cyberangriffe ruiniert wird“, gibt Kron zu bedenken.

Mit den o.g. Tipps für die Urlaubszeit möchte KnowBe4 Reisenden praktische „Tools“ und umsetzbares Wissen an die Hand geben, „damit sie sich sicher in der digitalen Welt von heute bewegen können“, so Kron.

Weitere Informationen zum Thema:

datensicherheit.de, 15.04.2025
McAfee warnt: Betrüger nehmen gerne junge Urlauber ins Visier / Aktuelle „Safer Summer Travel“-Studie zeigt, Betrüger Urlauber austricksen

datensicherheit.de, 21.08.2024
Sicher durch die Scam-Saison kommen: Wie nicht nur Urlauber ihre Endgeräte schützen können / In der Urlaubszeit nimmt die Nutzung mobiler Geräte zu – dies wissen auch Cyber-Kriminelle und nutzen die Gelegenheit

datensicherheit.de, 02.07.2024
Urlaub kommt so unerwartet wie Weihnachten: Aufmerksamkeitsdefizite bei der Cyber-Sicherheit drohen / Sophos gibt Tipps, um insbesondere die Ferienzeit ohne „Cyber-Frust“ genießen zu können

datensicherheit.de, 22.06.2024
Cyber-Gefahren im Urlaub: Vier von fünf Deutschen ignorieren Risiken öffentlicher WLAN-Netze / Genau hierbei lauern erhebliche Risiken wie das Mitlesen des Datenverkehrs durch Cyber-Kriminelle

datensicherheit.de, 22.04.2024
KEEPER: 5 Sicherheitsmaßnahmen, um Cyber-Bedrohungen während der Urlaubszeit zu minimieren / Bevorstehenden Pfingst- und Sommerferien sich auch wieder Hochsaison für Cyber-Kriminelle

datensicherheit.de, 10.08.2023
Urlaubszeit als Festsaison für Cyber-Kriminelle: Warnende Erkenntnisse von NordVPN / Adrianus Warmenhoven, Experte für Cyber-Sicherheit bei NordVPN, erläutert die Gefahren der Veröffentlichung von Urlaubsfotos im Internet

datensicherheit.de, 21.06.2023
Cybersecurity auch im Urlaub: Schutz vor Datenverlust, Identitätsdiebstahl und Malware-Infektionen / Besondere Vorsicht ist in unbekannten Umgebungen geboten – insbesondere im Urlaub

datensicherheit.de, 21.06.2023
Urlaubszeit: Dienst-Smartphones können unterwegs zur Gefahr für Unternehmen werden / Laut Umfrage von G DATA nutzen über 80 Prozent der Deutschen auf Reisen freies WLAN mit ihrem Firmen-Smartphone

datensicherheit.de, 31.08.2021
4 McAfee-Tipps zum Schutz der Tablets und Smartphones im Familienurlaub / McAfee gibt Sicherheits-Tipps, da die Anzahl gezielter Angriffe auf Mobile Devices um mehr als hundert Prozent gestiegen ist

datensicherheit.de, 24.06.2021
Urlaubszeit ist auch Phishing-Hochsaison / Neue Webroot-Analyse zeigt Raffinesse Cyber-Krimineller auf, sich saisonale Aufmerksamkeit für Phishing-Attacken nutzbar zu machen