[datensicherheit.de, 10.01.2026] Prof. Dr. Ivo Keller, Studiendekan „Security Management“ im Fachbereich „Wirtschaft“ der Technischen Hochschule Brandenburg (TH Brandenburg), lädt zum „18. Security Forum“ am 15. Januar 2026 ein – dieses steht unter dem Motto „In der Praxis: Unternehmenssicherheit, Compliance und Resilienz“ und findet wieder im Audimax der TH in Brandenburg a. d. Havel statt. Da Unternehmen heute unter Druck stehen – denn Cyberangriffe, regulatorische Pflichten und operative Risiken gewinnen an Bedeutung und treffen dabei auf knappe Ressourcen – steht die Frage im Raum, wie Sicherheit unter diesen Bedingungen überhaupt funktionieren kann.

Foto: TH Brandenburg

Prof. Dr. Ivo Keller: Sicherheit funktioniert nicht im luftleeren Raum – sie braucht Verantwortung, klare Strukturen und praktikable Ansätze, die in der täglichen Unternehmenspraxis umsetzbar sind!

18. Security Forum der Technischen Hochschule Brandenburg

„In der Praxis: Unternehmenssicherheit, Compliance und Resilienz “
Donnerstag, 15. Januar 2026, 9.00 bis ca. 17.00 Uhr
Audimax der Technischen Hochschule Brandenburg
Magdeburger Straße 50 in 14770 Brandenburg a. d. Havel
Teilnahme kostenfrei – Online-Anmeldung erforderlich.

Das „18. Security Forum“ beleuchtet demnach, wie „Governance“, „Compliance“ und „Resilience“ zusammenwirken, um Organisationen krisenfest und handlungsfähig zu halten. Im Fokus sollen hierbei Führung, Verantwortung und Umsetzbarkeit stehen – von der Strategie bis zum Vorgehen im Ernstfall.

Themenfelder 2026:

• Führungskultur und „Security Governance“
• Unternehmenswert-gesteuertes Risikomanagement
• niederschwelliges „Business Continuity Management“
• Mittelstandsgerechte IT-Sicherheit

Agenda (ohne Gewähr)

Unter der Moderation durch Oliver Nyderle, „General Manager Cluster Digital Trust/Security, Data Privacy & Blockchain“, Deutsche Telekom MMS GmbH, stehen folgende Beiträge auf dem Programm:

• 09.00 Uhr Begrüßung
  – Prof. Dr. Bernd Schnurrenberger, Dekan des Fachbereichs Wirtschaft
  – Prof. Dr. Ivo Keller, Studiengangsdekan „Security Management“ (M.Sc.): „Unternehmenssicherheit geht aufs Ganze“
• 09.30 Uhr „Governance“
  – Dr. Stefan Saatmann, „Senior Director Innovation Policy“, Siemens Energy AG: „Security Governance als Führungsaufgabe – für Konzerne, Mittelstand und Kleinunternehmen“
  – David Fuhr, CTO, intCube GmbH: „Wie bekomme ich NIS-2 wirklich in die ganze Organisation?“
• 10.15 Uhr „Compliance“
  – Annegrit Seyerlein-Klug, TH Brandenburg: „KI-Einsatz und KI-Gesetz – Gefahr für den Mittelstand?“
  – Tim Wolters, CSO, TargoBank: „Vom Regelwerk zur Wirkung: Warum gute Compliance oft schlechte Sicherheit erzeugt“
  – Martin Wölfel, Club of 42 / AG „KRITIS“: „Anforderungen aus NIS-2 und CER“
  – Prof. Dr. Eberhard von Faber, ehem. „Chief Security Advisor“, T-Systems AG: „Wie man Multi-Compliance in die Bereitstellung von IT-Services integriert“
• 13.30 Uhr „Resilience“
  – Deniz Arigümüs, Cyber-Competence-Center LKA Brandenburg: „Tatort Internet: Ein Cybercrime-Fall aus der Praxis“
  – Sebastian Harrand, Geschäftsführer harrand consulting gmbh, und Bernd Schulz, Geschäftsführer F1 GmbH: „Aus dem Nähkästchen: Wie steht es mit der Informationssicherheit in KMU?“
  – Jakob Winter, HiSolutions AG: „Gute Vorbereitung ist die halbe Miete – in 7 Schritten zu einer soliden Notfallplanung“
• 16:15 „Strategie“
  – Johann Loran, DB InfraGO: „Security Strategie als Unternehmensauftrag im Kontext von NIS2“
  – Falko Nowak, NOWAK Negotiation & Consulting: „Wie Entscheider unter Druck die richtigen Deals abschließen – mit praxiserprobten Methoden“

Zur Online-Anmeldung und weitere Informationen zum Thema:

Technische Hochschule Brandenburg
Willkommen zum 18. Security Forum der Technischen Hochschule Brandenburg!

Technische Hochschule Brandenburg
Der Master-Studiengang Security Management

Technische Hochschule Brandenburg
Prof. Dr. rer. nat. Ivo Keller

idw Nachrichten Informationsdienst Wissenschaft, 19.12.2025
Wissenschaftliche Tagungen: Unternehmenssicherheit im Fokus beim 18. Security Forum

datensicherheit.de, 08.01.2026
Bitdefender-Rat an Unternehmen: 2026 von Reaktion zur Prävention wechseln / Laut Bitdefender könnte bzw. sollte sogar 2026 zum „Schaltjahr in der Cyberdefensive“ werden

datensicherheit.de, 11.12.2025
NIS-2 offiziell in Kraft: Proliance-Handlungsempfehlungen für Unternehmen / Am 13. November 2025 ist das NIS-2-Maßnahmenpaket final im Bundestag beschlossen worden – ein Wendepunkt für den deutschen Mittelstand

datensicherheit.de, 10.12.2025
NIS-2: Vielen Unternehmen fehlt es an Kapazitäten zur Umsetzung und zum Nachweis / Greg Hansbuer rät im Kontext der NIS-2-Umsetzung zur Nutzung von „Remote Managed Services“ zur professionellen Bereitstellung der Technologie und Verantwortungsübernahme für definierte Betriebsprozesse

[datensicherheit.de, 01.01.2026] Paul Laudanski, „Director Security Research“ bei Onapsis, erwartet von 2026, dass es „ein entscheidendes Jahr für die Cybersicherheit“ wird: „Während Unternehmen ihre digitalen Geschäftsmodelle weiter ausbauen, professionalisieren Angreifer ihre Methoden in rasantem Tempo. Neue ,Zero-Days’, KI-gestützte Angriffstechniken und die wachsende Abhängigkeit von vernetzten Anwendungen setzen IT- und Führungsteams gleichermaßen unter Druck.“ In seiner aktuellen Stellungnahme kommentiert er die wichtigsten Entwicklungen und beschreibt, welche Trends das neue Jahr bestimmen werden – und worauf sich Unternehmen jetzt vorbereiten sollten.

ERP-Security: Klassische IT-Sicherheitsmaßnahmen nicht mehr ausreichend

„Das Jahr 2025 hat gezeigt, wie massiv sich die Bedrohungslage für geschäftskritische Anwendungen verändert hat. Die Exploit-Welle rund um ,CVE-2025-31324‘ hat verdeutlicht, wie schnell Zero-Day-Angriffe auf ERP-Systeme eskalieren können und wie lange Risiken bestehen bleiben, selbst wenn Patches bereits verfügbar sind.“

• Cyberangriffe auf ERP-„Landschaften“ werden demnach zunehmend automatisiert, arbeitsteilig, technisch raffinierter – und damit schneller und gezielter: Ein Trend, welcher sich 2026 weiter verstärken werde. „Hier reichen klassische Sicherheitsmaßnahmen nicht mehr aus!“, betont Laudanski.

Er führt weiter aus: „Mehr noch: Unternehmen mussten erkennen, dass Patching allein nicht genügt. Ohne kontinuierliches Monitoring, Konfigurationskontrollen und ,Threat Detection’ bleiben selbst gepatchte Systeme angreifbar!“

Geschäftskritische IT-Applikationen als Herz eines Unternehmens

„,CVE-2025-31324′ war ein Weckruf: Angreifer verstehen ERP inzwischen oft besser als jene, die es schützen sollen. 2026 werden wir mehr ,Zero-Days’, mehr automatisierte Exploit-Chains und mehr Angriffe auf Integrationen zwischen ERP-, CRM- und HR-Systemen sehen.“

• Geschäftskritische Applikationen seien das Herz eines Unternehmens. „Wer sie angreift, greift das gesamte Unternehmen an!“ Deshalb müssten IT-Security und Business endlich zusammenarbeiten und die IT-Sicherheit als Grundbestandteil des Betriebsmodells verstehen – und eben nicht nur als spätere Ergänzung.

Parallel verändere Künstliche Intelligenz (KI) die Cyberlandschaft fundamental: Sie verschiebe die Balance zwischen Angriff und Verteidigung weiter zugunsten der Angreifer. „Ihre Angriffe werden adaptiver, realitätsnäher und schwerer zu erkennen, in dem sie KI beispielsweise nutzen, um Anwendungen systematisch auf Schwachstellen zu prüfen oder komplexe ,Zero-Days’ schneller ,zusammenzusetzen’.“ Damit steige auch die Geschwindigkeit, mit der kritische Schwachstellen entdeckt und ausgenutzt würden.

2026 als Aufbruch – Früherkennung von Angriffen auf IT erforderlich

Gleichzeitig biete KI aber auch enormes Potenzial auf der Seite der Verteidiger: „Automatisiertes Monitoring, Verhaltensanalysen und proaktive Vorhersagen entlasten Teams, die unter Personalmangel leiden und immer kürzere Reaktionszeiten bewältigen müssen.“

• 2026 werde sich entscheiden, wie schnell Unternehmen diese Technologien nicht nur einführen, sondern auch verantwortungsvoll verankern.

Laudanski unterstreicht: „Wir stehen an einem Wendepunkt: KI gibt Angreifern neue Werkzeuge – aber sie gibt auch den Verteidigern eine neue Chance. 2026 wird das Jahr, in dem Cybersicherheit noch mehr von reaktiver Verteidigung zu intelligenter Vorhersage übergehen muss, um mit den Angreifern Schritt zu halten. Unternehmen, die KI sinnvoll und an den richtigen Stellen nutzen, können Angriffe erkennen, bevor sie richtig beginnen.“

Führungsfrage: Sicherheitskultur auch für die IT beginnt in der Unternehmensführung

Viele Unternehmen unterschätzten noch immer die eigene Verwundbarkeit – oder sie scheuten notwendige Veränderungen, weil Strukturen, Verantwortlichkeiten oder Budgets fehlten. Das Jahr 2026 fordere daher einen deutlichen Wandel hin zu einer aktiveren Sicherheitskultur.

• „Cybersecurity darf nicht länger als nachgelagerte Aufgabe betrachtet werden, sondern muss integraler Bestandteil der Unternehmensführung werden – mit klaren Zuständigkeiten, verbindlichen Standards und einer Kultur, die Sicherheit aktiv lebt!“

Auch regulatorisch steige der Druck, insbesondere durch EU-weite Vorgaben wie NIS-2 oder DORA, welche eine deutlich klarere Zuweisung von Verantwortlichkeiten verlangten. „Zwar wird derzeit (noch) nicht über eine persönliche Haftung von Entscheidern wie in manchen US-Debatten gesprochen, doch die Anforderungen an ,Governance’, Risikoanalyse und Nachweisfähigkeit nehmen spürbar zu.“

Mehr als bloße technische Disziplin: IT-Sicherheit als Führungsaufgabe zu verankern

Unternehmen müssten sich darauf einstellen, Sicherheit als Führungsaufgabe zu verankern und nicht als technische Disziplin. „Viele Unternehmen behandeln Security noch immer wie ein lästiges To-Do. Das muss dringend enden!“

• Damit werde Cybersecurity zum Führungsprinzip: „Die Unternehmen, die 2026 erfolgreich sind, kombinieren starke Technologien mit klaren Prozessen und echter Verantwortung.“

Unternehmen müssten ihre Sicherheitsstrategien neu ausrichten – technologisch wie organisatorisch. Laudanski gibt zu Beginn des neuen Jahres 2026 zu bedenken: „Wer jetzt handelt, schafft die Grundlage für resiliente Geschäftsprozesse und nachhaltiges Wachstum. Unternehmen, die Transparenz, Automatisierung und Verantwortlichkeit kombinieren, werden 2026 zu den Gewinnern gehören. Sicherheit ist längst kein Kostenfaktor mehr, sondern ein strategischer Vorteil!“

Weitere Informationen zum Thema:

ONAPSIS
The Leading SAP Cybersecurity Solution / Simple. Complete. SAP Endorsed.

ONAPSIS, JP Perez-Etchegoyen & Pablo Artuso, 27.08.2025
Threat Actors Exploiting CVE-2025-31324 After Public Release of Exploit by ShinyHunters

SafetyDetectives, Shauli Zacks, 12.12.2024
Interview With Paul Laudanski – Director of Security Research at Onapsis

datensicherheit.de, 18.07.2024
Cyber-Sicherheit: Führungskräfte noch nicht auf Regularien vorbereitet / Kaspersky erinnert an aktuelle Cyber-Herausforderungen für Entscheider

datensicherheit.de, 22.06.2024
Cyber-Sicherheit – für die Führungsriege oft unentdecktes Land / Aktuelle Kaspersky-Studie weist auf dringenden Nachholbedarf der Führungsebene hinsichtlich des Managements der Cyber-Sicherheit hin

datensicherheit.de, 08.09.2019
Cybersecurity ist bei fast 50 Prozent der globalen Unternehmen Chefsache / Führungskräfte sind entscheidend bei der Entwicklung von Cybersecurity-Programmen / Zwei Drittel aller Unternehmen haben Probleme, Security in die IT-Architektur zu integrieren

[datensicherheit.de, 19.12.2025] Auch MetaCompliance, ein auf „Human Risk Management“ spezialisiertes Unternehmen für IT-Sicherheitstrainings, wirft einen Blick in das bevorstehende Jahr, 2026, und auf menschliches Fehlverhalten. Andy Fielder, CTO bei MetaCompliance, empfiehlt in diesem Zusammenhang einen klareren Überblick über die organisatorische Verteidigung eines jeweiligen Unternehmens sowie die Priorisierung individueller Sicherheitstrainings für einzelne Mitarbeiter.

Foto: MetaCompliance

Andy Fielder: Eine der größten Sicherheitsherausforderungen für 2026 ist die Minimierung menschlicher Fehler!

Um menschliche Fehler zu minimieren, müssen Unternehmen über reine Abarbeitung von Sicherheitsmaßnahmen hinausgehen

Fielder kommentiert: „Eine der größten Sicherheitsherausforderungen für 2026 ist die Minimierung menschlicher Fehler. 2025 war geprägt von einem Anstieg der Bedrohungen und intelligenteren Methoden zur Identifizierung von Schwachstellen.“ Das Risikomanagement im Zusammenhang mit menschlichen Fehlern habe jedoch nicht Schritt gehalten.

• Technische Kontrollen wie „Endpoint Security“ (EDR), „Device Compliance“ (MDM), Datenschutz und „Security Information and Event Management“ (SIEM)-Systeme seien leistungsfähiger geworden und würden Angreifer dazu zwingen, sich darauf zu konzentrieren, Mitarbeiter durch Tricks zum Anklicken schädlicher Links und zur Weitergabe sensibler Informationen zu verleiten.

„Um menschliche Fehler im Jahr 2026 zu minimieren, müssen Unternehmen über die reine Abarbeitung von Sicherheitsmaßnahmen hinausgehen und stattdessen einen personalisierten Ansatz für das individuelle Risiko verfolgen!“, so Fielder.

Lernprozesse genau dann anstoßen, wenn ein Mensch riskante Aktivitäten ausführt

Dies bedeute die Integration externer Datenquellen in bestehende Plattformen zur Sensibilisierung für Sicherheitsthemen, um das tatsächliche Risikoprofil eines Benutzers zu analysieren. Organisationen könnten diese Daten nutzen, um zu erkennen, ob ein Mitarbeiter aufgrund seines Verhaltens oder seiner Zugriffsrechte ein höheres Sicherheitsrisiko darstellt.

• Dies ermögliche es der Sicherheitsplattform, Lernprozesse genau dann anzustoßen, wenn jemand riskante Aktivitäten ausführt – und um so das Sicherheitsbewusstsein von einem reaktiven zu einem proaktiven Ansatz zu entwickeln. „Für den CISO und sein Team bieten die Daten zudem die Möglichkeit, die Verbesserung ihrer Abwehrmechanismen zu überprüfen“, erläutert Fielder.

Erkenntnisbasiertes Risikomanagement könne Sicherheitsteams Risikoprofile für das Unternehmen, Abteilungen und bis hin zur individuellen Ebene bereitstellen. So könne das Unternehmen nachverfolgen, ob Risiken steigen oder sinken. Fielders Fazit: „Ein klarer Überblick über die organisatorische Verteidigung des Unternehmens und die Priorisierung von Sicherheitsmaßnahmen für die Mitarbeiter werden im Jahr 2026 von entscheidender Bedeutung sein.“

Weitere Informationen zum Thema:

MetaCompliance
Über uns: Die Zukunft des menschlichen Risikomanagements gestalten / Bei MetaCompliance verwandeln wir menschliches Risiko in Widerstandsfähigkeit. Durch die Kombination von Personalisierung, Innovation und menschlicher Unterstützung liefern wir Lösungen für das Sicherheitsbewusstsein und die Einhaltung von Vorschriften, die nicht einfach nur Kästchen abhaken, sondern dauerhafte Verhaltensänderungen bewirken.

MetaCompliance, Company News, 05.09.2025
MetaCompliance Appoints Andy Fielder as Chief Technology Officer

MetaCompliance
Warum MetaCompliance? Wir gehen über das Abhaken von Schulungen hinaus. Unsere Plattform für das menschliche Risikomanagement und unsere Lösungen für das Sicherheitsbewusstsein sind darauf ausgerichtet, Verhaltensweisen zu ändern, Risiken zu verringern und eine dauerhafte Veränderung der Unternehmenskultur zu bewirken – und das alles, während Sie Zeit sparen und Ihr Unternehmen schützen.

datensicherheit.de, 18.12.2025
Bekämpfung von KI-gestütztem Social Engineering: KnowBe4 stellt Deepfake-Training bereit / KnowBe4 hat als Anbieter einer weltweit renommierten Plattform, welche sich umfassend mit „Human Risk Management“ und agentenbasierter KI befasst, nun eine Deepfake-Schulung eingeführt

datensicherheit.de, 13.09.2025
CEO DEEPFAKE CALL: Bei Anruf Awareness-Training zum Thema Vishing / Swiss Infosec bietet proaktiv Sensibilisierung und Training für Mitarbeiter im Kontext der Gefahren KI-basierter Anrufsimulationen (Voice AI Deepfakes) an

datensicherheit.de, 20.06.2025
Cybersicherheit geht alle an: Interaktive Trainingsplattform CyberALARM für Unternehmen vorgestellt / Mit „CyberALARM“ soll eine praxisnahe, interaktive Plattform für mehr Cybersicherheit im Mittelstand, im öffentlichen Sektor und in Bildungseinrichtungen geboten werden

datensicherheit.de, 03.06.2025
Security Awareness Trainings: Dringender Bedarf angesichts zunehmender Cyberbedrohungen in Europa – insbesondere Phishing / Der „2025 Phishing by Industry Benchmarking Report“ von KnowBe4 zeigt einen Rückgang des „European Phish-prone Percentage“ auf fünf Prozent nach zwölf Monaten Sicherheitsschulungen

datensicherheit.de, 09.09.2020
kaspersky-Training zeigt: Mitarbeiter überschätzen eigene IT-Kenntnisse / Mitarbeiter machen 90 Prozent der Fehler – aber in der Überzeugung, das Richtige zu tun

[datensicherheit.de, 17.12.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat untersucht, inwiefern E-Mail-Programme relevante Eigenschaften wie Transport- und Inhaltsverschlüsselung, SPAM-, Phishing- und Tracking-Schutz sowie Prinzipien der „Usable Security“ umsetzen. „In unserem E-Mail-Programm lesen, schreiben und verwalten wir all unsere E-Mails. Nicht selten enthalten die Anwendungen daher auch sensibelste Informationen.“ Entsprechend gut müssten diese also vor Risiken wie etwa Mitlesen und Manipulation durch Dritte geschützt werden. Außerdem habe die aktuelle BSI-Untersuchung betrachtet, „wie die Programme E-Mails und Zugangsdaten speichern und wie Anbieter mit möglichen Sicherheitslücken umgehen“.

Abbildung: BSI

BSI-Wegweiser kompakt: „Tipps für mehr E-Mail-Sicherheit“

Mehrheit der zwölf untersuchten E-Mail-Programme erfüllte gängige Sicherheitsanforderungen

Die Untersuchung habe Unterschiede in der Art und Weise ergeben, wie die Programme mit verdächtigen E-Mails und Anhängen umgehen oder ob sie Ende-zu-Ende-Verschlüsselung verwenden. Die meisten der getesteten Programme speicherten E-Mails lokal auf dem Gerät.

• In manchen Fällen lagerten die E-Mails dabei verschlüsselt, in anderen unverschlüsselt ab. Angreifer könnten diese Informationen daher vergleichsweise einfach erbeuten.

„Insgesamt erfüllte aber eine Mehrheit der zwölf untersuchten Programme die gängigen Sicherheitsanforderungen.“ So verfügten alle untersuchten Programme über einfach zu bedienende Update-Funktionen. Die meisten E-Mail-Programme böten zudem Spam- und Phishing-Filter an.

Anbieter von E-Mail-Clients in der Pflicht

Caroline Krohn, BSI-Fachbereichsleiterin „Digitaler Verbraucherschutz“, gibt zu bedenken: „E-Mail-Programme enthalten unsere gesamte Korrespondenz – privateste Nachrichten, wichtige Rechnungen, aber auch Fotos, Verträge oder Termine.“

• Die Anbieter von E-Mail-Clients müssten daher der Verantwortung gerecht werden, alles technisch Mögliche zu tun, um die Daten ihrer Kunden adäquat zu schützen.

Das BSI fordert diese dazu auf, die technischen Prozesse im Hintergrund nach den Prinzipien von „Usable Security“ und „Security-by-Default“ zu gestalten.

Aber auch Verbrauchern müssen ihre E-Mail-Kommunikation bewusst schützen

Die Untersuchung „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus E-Mail-Programme“ soll einen wesentlichen Beitrag dazu leisten, mehr Transparenz zu schaffen und Anbieter von der Verwendung sicherer Branchenstandards zu überzeugen.

• Neben den Forderungen an die Dienstanbieter könne diese Untersuchung auch Verbrauchern die Wahl eines geeigneten E-Mail-Programms erleichtern. Um ihre E-Mail-Kommunikation zu schützen, sollten diese außerdem starke Passwörter vergeben.

Da Phishing weiter eine große Bedrohung für die E-Mail-Kommunikation bleibe, sollten Verbraucher jede E-Mail mit Hilfe der Checkliste des BSI kritisch prüfen. Darüber hinaus gibt das BSI online aktuelle Tipps für mehr E-Mail-Sicherheit.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.

Bundesamt für Sicherheit in der Informationstechnik
IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus E-Mail-Programme

Bundesamt für Sicherheit in der Informationstechnik
Caroline Krohn

Bundesamt für Sicherheit in der Informationstechnik, 15.08.2025
Wegweiser kompakt: Tipps für mehr E-Mail-Sicherheit

datensicherheit.de, 15.12.2025
Nur ein Prozent der Internetnutzer ohne private E-Mail-Adresse / Durchschnittlich erhalten laut einer Erhebung des Digitalverbands Bitkom private Nutzer jeweils 13 E-Mails pro Tag

datensicherheit.de, 25.11.2025
E-Mail-Sicherheit bei Webmail-Diensten: BSI-Anforderungen hinsichtlich Sicherheit, Transparenz und Benutzerfreundlichkeit / Das BSI hat am 24. November 2025 in seiner Whitepaper-Reihe des „Digitalen Verbraucherschutzes“ den Titel „Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste“ bereitgestellt

datensicherheit.de, 22.08.2025
„E-Mail-Sicherheitsjahr 2025“ – gemeinsame BSI-eco-Bitkom-Aktionskampagne / Initiatoren veröffentlichen erstmals „Hall of Fame der E-Mail-Sicherheit“ und zeichnen damit rund 150 Unternehmen aus, welche sich aktiv an der Umsetzung moderner E-Mail-Sicherheitsmaßnahmen beteiligen

datensicherheit.de, 25.07.2025
Digitale Resilienz erfordert auch E-Mail-Sicherheit: Bewerbungsphase für BSI Hall of Fame läuft / Mit dem „E-Mail-Sicherheitsjahr 2025“ möchten das BSI, der eco sowie der Bitkom ein starkes Zeichen für eine sichere digitale Kommunikation setzen

datensicherheit.de, 13.02.2025
Verbraucherzentrale NRW warnt: Betrügerische E-Mails immer schwerer zu durchschauen / Sparkasse, Postbank, Telekom oder PayPal – oft werden Namen großer Unternehmen missbraucht, um in deren Namen Phishing-Mails zu versenden

datensicherheit.de, 13.02.2025
Safer Internet Day 2025: Mythen zur E-Mail-Sicherheit auf dem Prüfstand / Bundesamt für Sicherheit in der Informationstechnik und Deutschland sicher im Netz klären gemeinsam Verbraucher über Sicherheitsaspekte der E-Mails-Nutzung auf

[datensicherheit.de, 16.12.2025] Aktuelle Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigten deutlich, dass digitale Kommunikationswege auch 2025 zu den bevorzugten Angriffszielen gehörten. Besonders E-Mail-Infrastrukturen stehen demnach weiterhin im Zentrum der Bedrohung. „Allein in der Bundesverwaltung waren täglich rund 684.000 E-Mail-Adressen potenziellen Angriffen ausgesetzt – von Spam über Phishing bis hin zu Malware. Diese Menge zeigt deutlich, warum die E-Mail nach wie vor das beliebteste Angriffsziel für Cyberkriminelle ist“, erläutert Günter Esch, Geschäftsführer SEPPmail – Deutschland GmbH, in seiner aktuellen Stellungnahme.

Foto: SEPPmail Deutschland GmbH

Günter Esch: Auch wenn die Menge eingehender E-Mails zurückgeht, bleibt die Bedrohungslage unverändert hoch!

Vernetzte Angriffspfade nehmen E-Mail konzentriert ins Visier

Auffällig sei, „dass die Angriffsfläche längst nicht mehr nur aus klassischen Posteingängen besteht“. Auch Social-Media-Profile und andere digitale Kontaktpunkte würden systematisch in Angriffskampagnen einbezogen.

• Esch führt aus: „Die zunehmende Vermischung dieser Kanäle führt zu vernetzten Angriffspfaden: Zum Beispiel, wenn gefälschte Identitäten über Soziale Medien Vertrauen schaffen, bevor der eigentliche Schadlink dann per E-Mail zugestellt wird.“ Diese Entwicklung bedeute für Unternehmen, dass die Sicherheit kanalübergreifend gedacht werden müsse.

Gleichzeitig zeige der BSI-Bericht deutlich, dass sinkende Zahlen nicht über vorhandene Gefahren hinwegtäuschen dürften. „Auch wenn die Menge eingehender E-Mails zurückgeht, bleibt die Bedrohungslage unverändert hoch.“ Cyberkriminelle setzten zunehmend auf gezielte und qualitativ hochwertige Angriffe, bei denen „Social Engineering“, Identitätsmissbrauch und täuschend echte Absenderdomains im Mittelpunkt stünden.

BSI-Lagebericht zeigt klar: E-Mail-Sicherheit ein fortlaufender Prozess

„Die Anforderungen an E-Mail-Schutz steigen rasant, und herkömmliche Filter sind dieser Dynamik nicht mehr gewachsen!“, unterstreicht Esch. Moderne Sicherheitslösungen arbeiteten heute deutlich intelligenter: „Sie analysieren Kommunikationsbeziehungen statt nur Inhalte, erkennen Identitätsabweichungen in Echtzeit und nutzen KI-gestützte Modelle, um ungewöhnliche Muster oder verfälschte Kontexte sofort sichtbar zu machen.“

• Auch automatisierte Schutzmechanismen würden immer wichtiger: „,Sandboxing’ für unbekannte Anhänge, linkbasierte Prüfungen in Echtzeit sowie Absender-Authentifizierung entlasten Sicherheits-Teams und schließen Lücken, bevor sie ausgenutzt werden können.“ Entscheidend sei dabei die Integration in ein übergreifendes Sicherheitskonzept. „Denn nur wenn Analyse, Prävention und Reaktion eng zusammenspielen, lassen sich heutige Angriffskampagnen zuverlässig eindämmen“, betont Esch.

Abschließend gibt er zu bedenken: „Der aktuelle Lagebericht des BSI zeigt klar: E-Mail-Sicherheit ist kein abgeschlossenes Projekt, sondern ein fortlaufender Prozess! Nur durch ein Sicherheitskonzept, dass sich den Anforderungen anpasst und mit der Zeit geht, können die vielfältigen Angriffsszenarien wirksam eindämmt werden.“

Weitere Informationen zum Thema:

SEPPMAIL
Wir entwickeln universell einsetzbare E-Mail-basierte Lösungen: ehrlich, sicher, einfach / Über uns

SEPPMAIL
Günter Esch – Geschäftsführung

Bundesamt für Sicherheit in der Informationstechnik
Angriffsfläche Digitale Kommunikationskanäle der Bundesverwaltung

datensicherheit.de, 25.11.2025
E-Mail-Sicherheit bei Webmail-Diensten: BSI-Anforderungen hinsichtlich Sicherheit, Transparenz und Benutzerfreundlichkeit / Das BSI hat am 24. November 2025 in seiner Whitepaper-Reihe des „Digitalen Verbraucherschutzes“ den Titel „Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste“ bereitgestellt

datensicherheit.de, 06.09.2025
E-Mail Threat Landscape Report: Zunahme dynamischer Phishing-Angriffe auf Unternehmen / Der vorliegende Bericht zeigt ganz klar auf, dass E-Mails ein Haupteinfallstor für Cyberangriffe bleiben – dabei setzen Cyberkriminelle verstärkt auf Quishing

datensicherheit.de, 22.08.2025
„E-Mail-Sicherheitsjahr 2025“ – gemeinsame BSI-eco-Bitkom-Aktionskampagne / Initiatoren veröffentlichen erstmals „Hall of Fame der E-Mail-Sicherheit“ und zeichnen damit rund 150 Unternehmen aus, welche sich aktiv an der Umsetzung moderner E-Mail-Sicherheitsmaßnahmen beteiligen

datensicherheit.de, 13.02.2025
Verbraucherzentrale NRW warnt: Betrügerische E-Mails immer schwerer zu durchschauen / Sparkasse, Postbank, Telekom oder PayPal – oft werden Namen großer Unternehmen missbraucht, um in deren Namen Phishing-Mails zu versenden

datensicherheit.de, 09.01.2025
E-Mail-Sicherheitslösungen mit Doppelnutzen: Minimierung der Risiken und Maximierung der Effizienz / Täglich verbringen Mitarbeiter unzählige Stunden mit der Bearbeitung von E-Mails – höchste Zeit zum Handeln

[datensicherheit.de, 14.12.2025] Eine Flut von Passwörtern begleitet in der Regel den Alltag von Verbrauchern, sind diese doch für die Nutzung zahlreicher Online-Dienste, wie z.B. Online-Shopping, „Social Media“ oder E-Mail-Dienste, zwingend erforderlich. Passwort-Manager stellen nun eine Möglichkeit zu deren Verwaltung dar und können somit einen signifikanten Beitrag zur Absicherung von Online-Konten leisten. Indes aufgrund der Sensibilität der in Passwort-Managern gespeicherten Daten bestehen hohe Anforderungen an deren IT-Sicherheit. So hat zur Prüfung der Umsetzung dieser Anforderungen das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Produktkategorie gemeinsam mit dem FZI Forschungszentrum Informatik in den Blick genommen und die IT-Sicherheitseigenschaften von zehn ausgewählten Passwort-Managern untersucht. Der Abschlussbericht „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Passwortmanager“ der Untersuchung enthält weitere Informationen zu sicherheitsrelevanten Eigenschaften der Produkte.

Abbildung: BDI & VZ NRW

Produktübersicht aus dem Abschlussbericht zur Untersuchung des BSI und der VZ NRW zur Sicherheit und Datenschutzkonformität ausgewählter Passwort-Manager

Defizite einiger Passwort-Manager kein Grund für grundsätzlichen Verzicht

Wie bei jeder anderen Software gebe es auch bei einzelnen Passwort-Managern Verbesserungsbedarf. „Drei von zehn der untersuchten Passwort-Manager speicherten Passwörter in einer Weise, die Herstellern theoretisch den Zugriff ermöglicht.“ Dies erweitere prinzipiell die Angriffsfläche auf Seiten des Herstellers, welche durch ergänzende kompensatorische Maßnahmen mitigiert werden müsse.

• Nutzer müssten diesen zusätzlich ergriffenen Maßnahmen vertrauen. Bei „cloud“-basierter Speicherung der Daten im Passwort-Manager sollten Verbraucher sich über den Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren: „Diese finden sich zum Beispiel auf der Website des Herstellers, in den AGBs zur Nutzung des Produktes oder in den Datenschutzhinweisen.“

Doch die Defizite der Passwort-Manager seien kein Grund, auf diese zu verzichten. Aus Sicht des BSI überwiegt der Nutzen bei weitem. Passwörter wiederzuverwenden oder schwache Passwörter zu nutzen, könne zu erhöhten Phishing-Anfälligkeiten führen, so dass die Risiken, keine Passwort-Manager zu nutzen, deutlich größer seien als die Implementierungsmängel einzelner Produkte.

Passwort-Manager als essenzielles Sicherheitstool für Verbraucher

Trotz einiger Implementierungsmängel bei einzelnen Produkten bleibe die BSI-Empfehlung klar: „Passwort-Manager sind ein essenzielles Sicherheitstool und können für viele Verbraucherinnen und Verbraucher ein wichtiger Begleiter im digitalen Alltag sein!“

• Die vorliegende Untersuchung ermögliche es, sich vor der Auswahl eines Passwort-Managers gründlich über die Funktionalitäten und Sicherheitsmerkmale einer präferierten Anwendung zu informieren. Hierzu enthält der BSI-Abschlussbericht eine tabellarische Darstellung für Verbraucher.

Es ist demnach zu beachten, dass regelmäßige Programm-Aktualisierungen seitens der Hersteller ein zusätzlicher wichtiger Schutz sind: Verbraucher sollten daher Updates zeitnah übernehmen. Weitere Tipps und Erläuterungen rund um das Thema Passwort-Manager stehen auf der Website des BSI zur Verfügung.

Mehrere Anbieter von Passwort-Managern haben bereits Verbesserungen eingeleitet bzw. zugesagt

Transparenz schaffe Vertrauen und Sicherheit. Im kooperativen Herstellerdialog des BSI hätten mehrere Unternehmen bereits Verbesserungen eingeleitet oder zugesagt. Es sei erfreulich, dass sich nach dieser Untersuchung nahezu alle beteiligten Hersteller offen und fachlich fundiert über die Erkenntnisse der Untersuchung mit dem BSI ausgetauscht hätten. „Dies trug dazu bei, identifizierte Defizite zu beheben und damit die IT-Sicherheit im Bereich der Passwort-Manager voranzubringen.“

• Zur Unterstützung unabhängiger Prüfungen sollten Hersteller die von ihnen eingesetzten Konzepte möglichst vollständig öffentlich dokumentieren. „Dies beinhaltet insbesondere die Sicherheitskonzepte, die wesentlichen Züge der Systemarchitektur, Details der eingesetzten Kryptographie sowie den Software-Entwicklungsprozess und die darin eingesetzten Schutzmechanismen.“ Diese Art von Transparenz ermögliche detailliertere Überprüfungen und erhöhe somit das Vertrauen der Verbraucher.

Auf Basis der aktuellen Untersuchungserkenntnisse empfiehlt das BSI den Herstellern, stets etablierte kryptographische Konzepte und Algorithmen einzusetzen. Die „BSI TR-02102-1“ soll hierzu eine passgenaue Übersicht über empfohlene kryptographische Mechanismen, Schlüssellängen und Betriebsmodi bieten.

Veröffentlichung „Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus“ online

Das BSI unterstreicht die Schlussfolgerungen für die Branche: „Sicherheitskonzepte und Audit-Berichte öffentlich dokumentieren, den Herstellerzugriff technisch ausschließen, etablierte Kryptographie nutzen und alle Daten, einschließlich Metadaten, vollständig verschlüsseln!“

• Die Nutzung eines Passwort-Managers habe für Verbraucher auch datenschutzrechtliche Relevanz. Im Rahmen einer Kooperation hat die Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) jene vom BSI ausgewählten Passwort-Manager einer datenschutzrechtlichen Prüfung unterzogen.

Hierfür habe die VZ NRW sowohl die Datenschutzhinweise, als auch die für den Registrierungsprozess erhobenen Daten begutachtet. Die Ergebnisse dieser Untersuchungen durch das BSI und der VZ NRW wurden in der Veröffentlichung „Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus“ zusammengefasst.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland

Bundesamt für Sicherheit in der Informationstechnik
Passwortverwaltung: Wie merke ich mir viele verschiedene Passwörter?

Bundesamt für Sicherheit in der Informationstechnik
Passwörter verwalten mit einem Passwort-Manager

Bundesamt für Sicherheit in der Informationstechnik
IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Passwortmanager

FZI
FZI Forschungszentrum Informatik: Ihr Forschungspartner für eine digitale Zukunft / Mit Neugier, Know-how und Leidenschaft bringen wir Forschung in die Praxis und erwecken Zukunftsvisionen zum Leben

Bundesamt für Sicherheit in der Informationstechnik, 04.03.2025
BSI TR-02102-1 „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ / Version: 2025-01

Bundesamt für Sicherheit in der Informationstechnik & Verbraucherzentrale Nordrhein-Westfalen
Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus / Ergebnisse einer Untersuchung des BSI und der VZ NRW

Verbraucherzentrale Nordrhein-Westfalen
Verbraucherzentrale NRW: Wir über uns / Von Jahresberichten und Leitbild bis zur Satzung oder aktuellen Stellenangeboten: Informationen der Verbraucherzentrale NRW „in eigener Sache“

datensicherheit.de, 11.12.2025
Passwort-Manager – nicht alle Produkte sicher und datensparsam / Die Verbraucherzentrale NRW und das BSI untersuchten im Rahmen einer Kooperation, wie sicher und datenschutzkonform ausgewählte Passwort-Manager sind

datensicherheit.de, 24.04.2025
Welt-Passwort-Tag am 1. Mai 2025: Sicherheit und Benutzererfahrung ausbalancieren / Tom Haak rät, bei Passwort-Regelungen stets die alltägliche Benutzererfahrung mitzudenken

datensicherheit.de, 29.01.2024
Ändere Dein Passwort: eco-Tipps zum Thementag am 1. Februar 2024 / Im eco-Auftrag wurden rund 2.519 volljährige Bundesbürger zwischen dem 16. und 17. Januar 2024 repräsentativ befragt

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

[datensicherheit.de, 11.12.2025] Die „IT-Defense“ findet 2026 bereits zum 23. Mal statt und zählt zu den größten internationalen Konferenzen zum Thema IT-Sicherheit in Deutschland. Das Programm soll erklärtermaßen stets eine Mischung aus sehr technischen Vorträgen, strategischen Präsentationen und unterhaltsamen Referaten rund um das Thema IT-Sicherheit sein. Zugleich flankieren hochwertige Abendveranstaltungen einen Austausch mit den Referenten und anderen Teilnehmern. So werden sich nun einige der weltweit bekanntesten IT-Security-Experten, Hacker und Buchautoren vom 4. bis 6. Februar 2026 wieder auf der „IT-Defense“, diesmal in Würzburg, treffen, um über aktuelle IT-Sicherheitsthemen und neue Forschungsergebnisse zu referieren.

Abbildung: cirosec GmbH

Die „IT-Defense 2026“ findet im Maritim Hotel in Würzburg direkt am Mainufer, mit Blick auf die Festung Marienberg, statt

IT-Security-Experte Sami Laiho hält Keynote am ersten Konferenztag

Abermals werden Referenten, welche sich national bzw. international einen Namen gemacht haben, aktuelle Forschungsergebnisse vorstellen, auf Sicherheitsrisiken durch Künstliche Intelligenz (KI) eingehen und viel Gesprächsstoff für anregende Diskussionen bieten.

• So wird z.B. der weltweit renommierte IT-Security-Experte Sami Laiho in seiner Keynote am ersten Tag auf den „Cyberwar zwischen Russland und finnischen Unternehmen“ eingehen. Des Weiteren präsentiert der Forscher Csaba Fitzl neueste Möglichkeiten zur Absicherung von „macOS“, Joerg Heidrich setzt sich intensiv mit Anforderungen an die IT-Sicherheit im „AI Act“ auseinander und Candid Wüest gibt einen Ausblick auf AI-Schadsoftware.

Zum Abschluss des Tages werden Ermittler Daniel Lorch und Staatsanwalt Mirko Heim über die Zusammenarbeit von Kriminalpolizei und Staatsanwaltschaft aus dem „Nähkästchen“ plaudern.

An beiden Kongresstagen aktuelle Fragen der IT-Sicherheit in der Diskussion

Die Keynote am zweiten Konferenztag hält Chris Wysopal, welcher demnach zu den Veteranen der IT-Sicherheit gezählt wird: Er skizziert die Probleme, die Generative KI für Unternehmen erzeugt – und wie man ihnen begegnen muss. Thorsten Lodderstedt und Paul Bastian geben Einblicke zur „EUDI-Wallet“ in Deutschland und der cirosec-Berater Leon Schmidt stellt den Malware-Baukasten „Allpacka“ vor.

• Die Abschluss-Keynote soll John Stoner halten, welcher sich mit der Einstellung, Entwicklung und Zusammenarbeit in Cybersecurity-Teams auseinandersetzt. Diese und weitere bekannte Forscher und IT-Sicherheitsprofis werden an den zwei Kongresstagen aktuelle Fragen der IT-Sicherheit diskutieren sowie Einblicke in Strategien und Sicherheitskonzepte geben.

Am dritten Tag der Veranstaltung sind wieder Gesprächsrunden („Round Tables“) geplant – dort sollen die Teilnehmer die Möglichkeit haben, detaillierte Gespräche mit den Referenten zu führen und Einzelthemen zu vertiefen.

Vor der „IT-Defense 2026“ verschiedene Trainings im Angebot (Restplätze)

Zusätzlich finden an den Tagen vor der eigentlichen „IT-Defense 2026“ verschiedene Trainings statt: Dazu gehören die eintägigen Veranstaltungen „Incident Handling & Response“ von cirosec und „Master Class Physical Security“ von Barry Wels sowie die beiden zweitägigen Schulungen „Zero Trust Architecture as an Enabler“ von Sami Laiho sowie „Adversary Tactics: Detection“ von Luke Peine und Jared Atkinson.

Die Konferenz ist laut Angaben der Veranstalterin, der cirosec GmbH, bereits seit Mitte November 2025 ausgebucht. Es können jedoch noch die eintägigen bzw. zweitägigen Schulungen vorab gebucht werden.

„IT-Defense 2026“
Veranstalterin: cirosec GmbH
Kostenpflichtige Veranstaltungen – nur noch Trainings verfügbar – Anmeldung erforderlich
4. bis 6. Februar 2026 in Würzburg, Maritim Hotel

Weitere Informationen zum Thema:

IT-DEFENSE – 4.-6. Februar 2026 in Würzburg
Der außergewöhnliche IT-Sicherheitskongress mit hochkarätigen, internationalen Referenten findet nun schon zum 23. Mal statt

IT-DEFENSE – 4.-6. Februar 2026 in Würzburg
Trainings

IT-DEFENSE – 4.-6. Februar 2026 in Würzburg
Location: Maritim Hotel Würzburg

cirosec
SECURITY / IT-Sicherheit. Beratung. Pentesting. Incident Response.

datensicherheit.de, 06.02.2020
IT-DEFENSE 2020: Grenzenlosigkeit als Chance und Risiko / Internet-Pionier Dr. Paul Vixie warnt vor unerwünschten Nebenwirkungen des globalen Internetworkings

datensicherheit.de, 05.02.2020
IT-DEFENSE 2020: Auftakt mit dem Faktor Mensch / IT-Sicherheitsexperten sollten sich von Marketing-Methoden inspirieren lassen

[datensicherheit.de, 25.11.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 24. November 2025 in seiner Whitepaper-Reihe des „Digitalen Verbraucherschutzes“ als vierte Edition den Titel „Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste“ herausgegeben. Das BSI fordert von den Anbietern, dass diese wirksame Verfahren bezüglich Authentisierung, Verschlüsselung, Spam-Schutz und Account-Wiederherstellung bereitstellen, welche ohne größeres Zutun der Nutzer funktionieren und einen elementaren Sicherheitsgewinn darstellen sollen.

Abbildung: BSI

E-Mail-Dienste seien ein zentraler Baustein digitaler Kommunikation und Identitätsverwaltung – doch der Schutz der Verbraucher vor Sicherheitsrisiken wie Phishing und Identitätsdiebstahl sei bei Webmail-Anbietern teilweise noch lückenhaft umgesetzt…

BSI-Whitepaper beschreibt Anforderungen an Sicherheit, Transparenz und Benutzerfreundlichkeit von Webmailern

E-Mail-Dienste – vor allem sogenannte Webmailer, über einen Webbrowser genutzte E-Mail-Dienste – gelten inzwischen als integraler Bestandteil des Alltagslebens. Diese ermöglichen das Erstellen von E-Mails, ihren Versand an beliebige Kontakte sowie die Verwaltung eines Postfachs. Zu beachten ist, dass E-Mail-Adressen auch als Zugang für viele weitere Dienste genutzt werden.

• Somit sind sie eine wesentliche Schnittstelle digitaler Kommunikation und Identitätsverwaltung. Der Schutz der Verbraucher vor Sicherheitsrisiken wie zum Beispiel unsicheren Authentisierungsverfahren und Identitätsdiebstahl ist bei Webmail-Anbietern laut BSI „jedoch mitunter lückenhaft umgesetzt“.

Das neue BSI-Whitepaper beschreibt Anforderungen an Sicherheit, Transparenz und Benutzerfreundlichkeit von Webmailern, um die Sicherheit der Verbraucher systematisch und zukunftsorientiert zu erhöhen.

BSI-Marktbeobachtung: Zahlreiche E-Mail-Dienste setzen noch in ihrer Standardkonfiguration allein auf Passwörter

„Das Whitepaper betrachtet dabei nicht nur technische Sicherheitsfunktionen, sondern auch ,Usability’, Transparenz und Vertrauen als wesentliche Bestandteile Digitaler Souveränität.“

• Marktsichtungen des BSI hätten ergeben, dass zahlreiche E-Mail-Dienste in ihrer Standardkonfiguration allein auf Passwörter setzten, um die Zugänge ihrer Kunden zu schützen – zumeist eben ohne Zwei-Faktor-Authentisierung (2FA). Eine solche müssten Nutzer dann oftmals erst in den „Einstellungen“ aktivieren.

Auch seien nachweislich sichere und praktische Alternativen zum Passwort – wie etwa die passwortlose Authentisierung mittels Passkey – immer noch wenig verbreitet oder würden nicht proaktiv angeboten.

BSI-Fachbereichsleiterin „Digitaler Verbraucherschutz“ fordert alltagstaugliche Schutzmaßnahmen

Die BSI-Fachbereichsleiterin „Digitaler Verbraucherschutz“, Caroline Krohn, kommentiert: „Ein elementarer Teil der E-Mail-Sicherheit lastet derzeit noch auf den Schultern der Anwenderinnen und Anwender. Sie sollen sich mit Zwei-Faktor-Authentisierung, Passkey und Verschlüsselung auskennen. Wir sehen die Verantwortung bei den Anbietern!“

• Diese müssten wirksame Verfahren bezüglich Authentisierung, Verschlüsselung, Spam-Schutz und Account-Wiederherstellung bereitstellen, welche ohne größeres Zutun der Nutzer funktionierten und einen elementaren Sicherheitsgewinn darstellten. „Nur wenn Schutzmaßnahmen verständlich, interoperabel und alltagstauglich sind, entfalten sie ihre volle Wirkung“, betont Krohn.

Das nun publizierte Whitepaper „Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienst“ sei zugleich Ansporn für E-Mail-Dienste und eine Einladung zur Zusammenarbeit: Seit Jahresbeginn 2025 habe das BSI den Dialog mit den E-Mail-Anbietern intensiviert – dieser Austausch solle nun ausgebaut werden.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland

Dialog für Cybersicherheit
Dialogteam des BSI / Caroline Krohn

Bundesamt für Sicherheit in der Informationstechnik, 24.11.2025
Whitepaper des Digitalen Verbraucherschutzes #4: Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste

Bundesamt für Sicherheit in der Informationstechnik, 24.11.2025
WHITEPAPER #04:Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste / DIGITALER VERBRAUCHERSCHUTZ

datensicherheit.de, 22.08.2025
„E-Mail-Sicherheitsjahr 2025“ – gemeinsame BSI-eco-Bitkom-Aktionskampagne / Initiatoren veröffentlichen erstmals „Hall of Fame der E-Mail-Sicherheit“ und zeichnen damit rund 150 Unternehmen aus, welche sich aktiv an der Umsetzung moderner E-Mail-Sicherheitsmaßnahmen beteiligen

datensicherheit.de, 25.07.2025
Digitale Resilienz erfordert auch E-Mail-Sicherheit: Bewerbungsphase für BSI Hall of Fame läuft / Mit dem „E-Mail-Sicherheitsjahr 2025“ möchten das BSI, der eco sowie der Bitkom ein starkes Zeichen für eine sichere digitale Kommunikation setzen

datensicherheit.de, 13.02.2025
Safer Internet Day 2025: Mythen zur E-Mail-Sicherheit auf dem Prüfstand / Bundesamt für Sicherheit in der Informationstechnik und Deutschland sicher im Netz klären gemeinsam Verbraucher über Sicherheitsaspekte der E-Mails-Nutzung auf

[datensicherheit.de, 21.11.2025] Die beiden Sicherheitsaspekte bzw. Schutzziele Safety einerseits und Security andererseits wechselwirken in einigen Fällen verstärkend, in anderen wiederum gegenläufig. Mit dem Ziel einer ganzheitlichen Sicherheitsbetrachtung und angesichts der eben oft widersprüchlichen Anforderungen an Safety- und Security-Funktionen hat der VDI e.V. unter dem Dach seiner „Gesellschaft für Produkt- und Prozessgestaltung“, im Fachbereich „Sicherheit und Zuverlässigkeit“, den Fachausschuss „Safety & Security“ eingerichtet. Das berufene Expertengremium aus Industrie, Forschung und sicherheitsrelevanten Organisationen kam schnell überein, dass Safety und Security zwei Perspektiven auf ein gemeinsames Ziel sind – nämlich u.a. den Schutz von Mensch und Umwelt, Technik und Gesellschaft. Nun hat der VDI als zentrales Ergebnis der Arbeit dieses Fachausschusses das neue VDI-Wiki „Safety & Security“ online gestellt.

Abbildung: VDI

Neues VDI-Wiki „Safety & Security“ ist online

Spannungsfeld aus Safety und Security kann Interessenkonflikte auslösen

Für den VDI war die Erkenntnis zur Einrichtung dieses Fachausschusses entscheidend, dass in einer zunehmend komplexen und vernetzten Welt neue Formen der Zusammenarbeit erforderlich sind, um Risiken ganzheitlich zu verstehen und technische Sicherheit zukunftsfähig zu gestalten.

• So adressiert der Sicherheitsaspekt Security den Schutz vor vorsätzlichen Angriffen und Manipulationen, während Safety eher auf die Vermeidung unbeabsichtigter Schäden, etwa durch technische Defekte oder Fehlhandlungen, abzielt.

In der Praxis geraten diese beiden Ziele indes häufig in ein Spannungsfeld zueinander und können Interessenkonflikte auslösen – etwa, wenn bewusst verriegelte Türen zwar Einbrecher abhalten würden (Security), aber im Brandfall Fluchtwege behindern könnten (Safety).

Wiki soll Stand des Wissens zu Safety und Security in verschiedenen technischen Disziplinen bieten

Mit fortschreitender Digitalisierung, zunehmender Vernetzung und sich zuspitzender Bedrohungslage wächst daher die Notwendigkeit, beide Sicherheitsdisziplinen gemeinsam zu betrachten und zu bewerten.

• Um nun die bestehenden Herausforderungen und Lösungsansätze öffentlich sichtbar zu machen, hat der Fachausschuss eine interaktive Wiki-Plattform aufgebaut. Diese soll fortan den Stand des Wissens zu Safety und Security in verschiedenen technischen Disziplinen dokumentieren – von Automotive über Industrieanlagen und Luftfahrt bis hin zu Kritischen Infrastrukturen (KRITIS) – und ihn erstmals systematisch zugänglich machen.

Dieses neue VDI-Wiki ist online erreichbar, um als offene Wissensquelle Fachleuten, Forschern und allgemein Interessierten zur Verfügung zu stehen. Es soll kontinuierlich erweitert und kuratiert werden – mit Verweisen auf Richtlinien, Normen und aktuelle Forschungsergebnisse.

Wiki wird kontinuierlich fortentwickelt und vernetzt

Der Vorsitzender des VDI-Fachausschusses „Safety & Security“, Prof. Dr.-Ing. Kai-Dietrich Wolf, kommentiert: „Unser Ziel ist es, das vorhandene Fachwissen von Expertinnen und Experten zu bündeln und disziplinübergreifend verfügbar zu machen. Das Wiki soll wachsen – nicht nur durch neue Beiträge, sondern auch durch Vernetzung.“

• In Zukunft könnten dann auch Systeme Künstlicher Intelligenz (KI) von solchen kuratierten, vertrauenswürdigen Quellen profitieren, um technisches Wissen sicher und nachvollziehbar nutzbar zu machen.

Mit diesem neuen Wiki möchte der VDI einen Beitrag zur Entwicklung einer zukunftsfähigen technischen Sicherheitskultur leisten – in der menschliche Erfahrung, Ingenieurwissen und digitale Intelligenz erfolgreich zusammenwirken.

Weitere Informationen zum Thema:

VDI
Aufbau und Organisation / Lokal, regional und bundesweit / Wir sind VDI

VDI
Safety & Security / VDI Fachbeirat Sicherheit und Zuverlässigkeit – Fachausschuss 512

VDI, VDI Knowledgebase
1. Motivation & Zielsetzung / 1.1 Warum Safety & Security gemeinsam denken?

BERGISCHE UNIVERSITÄT WUPPERTAL
Univ.-Prof. Dr.-Ing. Kai-Dietrich Wolf / „Sicherheit entsteht aus Vertrauen“

datensicherheit.de, 19.05.2025
Unternehmensresilienz: VDI veröffentlicht Krisen-Kompass / Der VDI führt erstmals 130 Methoden zusammen, mit denen Unternehmen aus verschiedenen Branchen ihre Widerstandsfähigkeit gegenüber externen Störereignissen stärken können

datensicherheit.de, 15.10.2018
KRITIS: Security und Safety ganzheitlich zu gestalten / Dipl.-Wirt.-Inf. Martin Wundram, BSKI, betonte auf der „it-sa 2018“ die Gesamtverantwortung der Entscheider für sichere Kritische Infrastrukturen

datensicherheit.de, 13.11.2014
Internet of Things: Security & Safety by Design erfolgsentscheidend / Große Chancen und Risiken für Verbraucher und Unternehmen sowie Anbieter von IoT-Komponenten

[datensicherheit.de, 04.11.2025] Kaspersky meldet, dass ein aktuelles eigenes Security-Audit aufzeigt, wie Angreifer durch die Ausnutzung einer „Zero Day“-Schwachstelle in einer Anwendung eines Auftragnehmers die vollständige Kontrolle über das Telematiksystem eines Fahrzeugs hätten erlangen können – „inklusive potenzieller Manipulation sicherheitsrelevanter Funktionen wie Gangwechsel oder Motorabschaltung“. Diese Untersuchung offenbart demnach schwerwiegende Schwachstellen sowohl in der Infrastruktur des Herstellers als auch im vernetzten Fahrzeug selbst und verdeutlicht den dringenden Handlungsbedarf der Automobilindustrie, Cybersicherheits-Maßnahmen zu stärken und Drittsysteme besser abzusichern. Die Ergebnisse dieses Audits seien auf dem diesjährigen „Security Analyst Summit“ (SAS) vorgestellt worden.

Kontrolle über das Telematik-System des Fahrzeuges

Durch die Ausnutzung einer „Zero Day“-Schwachstelle in einer öffentlich zugänglichen Anwendung eines Auftragnehmers sei es Kaspersky-Experten gelungen, die Kontrolle über das Telematik-System des Fahrzeuges zu erlangen.

• Damit hätten Angreifer beispielsweise während der Fahrt Gangwechsel erzwingen oder den Motor abstellen können, was die Sicherheit von Fahrern und Beifahrern gefährden würde.

Das Audit verdeutliche gravierende Cybersicherheitsrisiken in der Automobilindustrie und unterstreicht die dringende Notwendigkeit, Schutzmaßnahmen deutlich zu verstärken.

Telematik ermöglicht Erfassung, Übertragung, Analyse und Nutzung zahlreicher Daten

„Das Security-Audit wurde remote durchgeführt und umfasste sowohl die öffentlich zugänglichen Dienste des Herstellers als auch die Infrastruktur des Auftragnehmers.“ Dabei hätten die Kaspersky-Experten mehrere ungeschützte Web-Dienste identifiziert. „Über eine bislang unbekannte SQL-Injection-Schwachstelle in der Wiki-Anwendung – einer webbasierten Plattform zur gemeinsamen Erstellung und Verwaltung von Inhalten – gelang es ihnen, eine Liste von Nutzerkonten des Auftragnehmers inklusive Passwort-Hashes zu extrahieren.“

• Aufgrund schwacher Passwortrichtlinien hätten einige dieser Passwörter erraten werden können. „Dadurch erhielten die Experten Zugriff auf das Issue-Tracking-System des Auftragnehmers, ein Tool zur Verwaltung und Nachverfolgung von Aufgaben, Fehlern und Projekten.“ Dieses System habe sensible Konfigurationsdaten der Telematik-Infrastruktur des Herstellers enthalten – „darunter eine Datei mit gehashten Passwörtern von Nutzern eines Fahrzeugtelematik-Servers“.

In modernen Fahrzeugen ermögliche Telematik die Erfassung, Übertragung, Analyse und Nutzung zahlreicher Daten – etwa zu Geschwindigkeit oder Geolokalisierung – und bilde somit eine zentrale Schnittstelle für vernetzte Fahrzeugsysteme.

Schwachstellen: Modifizierte Firmware könnte auf Telematik-Steuergerät (TCU) hochladen werden

Auf der Seite des vernetzten Fahrzeugs hätten die Kaspersky-Experten eine falsch konfigurierte Firewall entdeckt, „die interne Server ungeschützt ließ“. Mithilfe eines zuvor erlangten Servicekonto-Passworts hätten sie Zugriff auf das Dateisystem des Servers erhalten und dort die Zugangsdaten eines weiteren Auftragnehmers gefunden. Dadurch sei es ihnen gelungen, die volle Kontrolle über die Telematik-Infrastruktur zu übernehmen.

• „Im Zuge des Audits stießen sie zudem auf einen Firmware-Update-Befehl, mit dem sich modifizierte Firmware auf das Telematik-Steuergerät (TCU) hochladen ließ.“ So hätten sie Zugriff auf den CAN-Bus (Controller Area Network) des Fahrzeugs erhalten – das zentrale Kommunikationssystem, welches verschiedene Komponenten wie Motorsteuerung und Sensoren miteinander verbinde.

„Anschließend konnten weitere Systeme, darunter die Motorsteuerung, angesprochen werden.“ Dies hätte potenziell die Manipulation zahlreicher sicherheitsrelevanter Fahrzeugfunktionen ermöglicht und die Sicherheit von Fahrer und Beifahrer ernsthaft gefährdet.

Bedrohung der Telematik durch Sicherheitslücken auf Basis in der Automobilindustrie weit verbreiteter Probleme

„Die Sicherheitslücken resultieren aus Problemen, die in der Automobilindustrie weit verbreitet sind: Öffentlich zugängliche Webdienste, schwache Passwörter, fehlende Zwei-Faktor-Authentifizierung und unverschlüsselte Speicherung sensibler Daten“, kommentiert Artem Zinenko, „Head of Kaspersky ICS CERT Vulnerability Research and Assessment“.

• Er warnt: „Das Audit zeigt, wie bereits eine einzelne Schwachstelle in der Infrastruktur eines Auftragnehmers zu einer vollständigen Kompromittierung sämtlicher vernetzter Fahrzeuge führen kann!“

Die Automobilindustrie müsse robuste Cybersicherheitspraktiken priorisieren – insbesondere in Systemen von Drittanbietern –, um Fahrer zu schützen und das Vertrauen in vernetzte Fahrzeugtechnologien zu bewahren.

Kaspersky gibt Empfehlungen zur Absicherung von Telematik-„Ökosystemen“

Für Dienstleister:

1. Den Internetzugriff auf Webdienste ausschließlich über ein VPN erlauben!
2. Dienste von Unternehmensnetzen isolieren, um ungewollten Zugriff zu verhindern!
3. Strikte Passwortrichtlinien durchsetzen, eine Zwei-Faktor-Authentifizierung (2FA) implementieren und sensible Daten verschlüsseln!
4. Logging in ein SIEM (Security Information and Event Management) integrieren, um sicherheitsrelevante Ereignisse in Echtzeit zu überwachen!

Für Hersteller:

1. Den Zugriff auf die Telematik-Plattform aus dem Fahrzeugnetzsegment beschränken!
2. Positivlisten für Netzwerkinteraktionen verwenden, um nur autorisierte Verbindungen zuzulassen!
3. Die Passwort-Authentifizierung bei „Secure Shell“ deaktivieren und Dienste mit minimalen Rechten betreiben!
4. Die Befehlsauthentizität in Telematik-Steuereinheiten sicherstellen und diese Maßnahmen mit der Integration in ein SIEM kombinieren!

Weitere Informationen zum Thema:

kaspersky
Cyberimmunität ist unser erklärtes Ziel / Wir sind ein Team von über 5.000 Fachleuten mit einer über 25-jährigen Erfolgsgeschichte im Schutz von Privatpersonen und Unternehmen weltweit und haben uns die weltweite Cyberimmunität als ultimatives Ziel gesetzt.

Linkedin
Artem Zinenko – Senior Software Engineer

[SAS25]
Kaspersky SecurityAnalyst summit / Khao Lak, Thailand 26-29 October 2025

datensicherheit.de, 07.09.2025
Autonomes Fahren Made in Germany – Deutschland könnte Vorreiter bei hochautomatisierten Fahrzeugen werden / TÜV Rheinland sieht deutsche Automobilindustrie insbesondere bei Sicherheit und Zuverlässigkeit Autonomer Fahrzeuge in aussichtsreicher Startposition

datensicherheit.de, 10.06.2025
SIEM: Ingenieure sollten Cyberbedrohungen stets einen Schritt voraus sein / In der heutigen „hypervernetzten Welt“ sind nun auch Ingenieurbüros zu lukrativen Zielen geworden – die jüngsten Angriffe auf Unternehmen wie IMI und Smiths Group sollten als Warnung verstanden werden

datensicherheit.de, 15.06.2022
Autonome Fahrzeuge: Höhere Sicherheit von der KI als von menschlichen Fahrern gefordert / Der TÜV-Verband e.V. zu seiner Verbraucherstudie 2021 über Sicherheit und KI