[datensicherheit.de, 07.05.2026] „Vor Kurzem hat Reliaquest in einem Blog-Beitrag eine neue Tech-SupportScam-Kampagne vorgestellt, die es auf Mitglieder der Geschäftsführung von Unternehmen abgesehen hat. Haben sich die Angreifer ein Ziel ausgewählt, starten sie zunächst eine ,E-Mail-Bombing’-Attacke und dann – via ,Teams’ oder per Telefon – den eigentlichen ,Tech Support Scam’“, berichtet Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4. Das Besondere an diesem Vorgehen: Die Zeitspanne vom Erstkontakt bis zur Ausführung der eigentlichen bösartigen Skripte könne bei unter zwölf Minuten liegen. Bei solch einer hohen Geschwindigkeit werde rein reaktiv angelegte IT-Sicherheit ernsthaft auf die Probe gestellt.

Foto: KnowBe4

Dr. Martin J. Krämer rät Unternehmen, ihre Risiken signifikant zurückzufahren und Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen

Scam-Angriff beginnt mit „E-Mail-Bombing“-Attacke

Den Anfang des Angriffs mache eine „E-Mail-Bombing“-Attacke: „Innerhalb weniger Minuten findet eine wahre Flut von E-Mails – oftmals mehrere hundert – Eingang in das Postfach des Opfers.“ Deren Ziel sei es, beim Opfer Überforderung, Ablenkung und Panik auszulösen.

• Fast zeitgleich – in einem dokumentierten Fall sogar innerhalb von nur 29 Sekunden – trete der Angreifer dann – entweder via „Teams“ oder auch per Telefon – mit dem Opfer in Kontakt.

Krämer führt aus: „Hierbei gibt er sich dann als Mitarbeiter des unternehmenseigenen IT-Supports aus, der das vermeintliche ‚E-Mail-Problem‘ schon selbst bemerkt habe und es nun möglichst rasch lösen wolle. Dazu würde er aber die Hilfe des Opfers benötigen…“

IT-Sicherheitsteams haben zumeist weniger als 12 Minuten Zeit, Scam-Angriffe zu erkennen

„Fällt das Opfer auf die Anfrage herein, erlangt der Angreifer sein Vertrauen, fordert er es auf, eine ,Remote Monitoring and Management’-(RMM)-Sitzung zu starten. Meist kommt hierbei ‚Supremo Remote Desktop‘ zum Einsatz – ein legitimes ,Tool’, das häufig nicht standardmäßig von Sicherheitslösungen blockiert wird; oder auch das in ,Windows 11‘ nativ integrierte ‚Quick Assist‘“, berichtet Krämer.

• Ist die Verbindung zwischen Angreifer und Opfer dann hergestellt, startet der Angreifer demnach seine bösartigen, als harmlose „Tools“ getarnten Skripte. „Der eigentliche Angriff beginnt!“, so Krämer.

IT-Sicherheitsteams hätten in aller Regel weniger als zwölf Minuten Zeit, den Angriff zu erkennen, zu analysieren und geeignete Gegenmaßnahmen einzuleiten, um die Angriffskette zu unterbrechen.

Hohe Geschwindigkeit der Scam-Attacken erfordert proaktive Abwehrmaßnahmen

Rein technisch-reaktiven Verteidigungsansätzen mache die hohe Geschwindigkeit dieser Attacken stark zu schaffen. Weit besser eigneten sich proaktive Abwehrmaßnahmen, welche auch und gerade den „Faktor Mensch“ in den Blick nehmen, wie etwa:

• Für jede Remote-Sitzung sollte ein „Out-of-Band“-Verfahren, wie ein telefonischer Rückruf auf eine hinterlegte Nummer oder eine Authenticator-App-Freigabe, zwingend vorgeschrieben werden. Der IT-Support sollte sich niemals ausschließlich über „Teams“ oder E-Mail legitimieren können.
• Unternehmen sollten strenge „Application-Allow-Listing“-Richtlinien implementieren. Nicht zwingend benötigte RMM-Tools, wie „Supremo“, sollten sowohl am Endpunkt als auch am Netzwerkperimeter blockiert werden. Native „Tools“, wie „Quick Assist“, sollten für Endanwender – insbesondere für das Top-Management – via „AppLocker“ gesperrt und streng auf das IT-Personal beschränkt werden.
• Sicherheitssysteme sollten in die Lage versetzen werden, schwache Einzelsignale – wie massive E-Mail-Eingänge, „Teams“-Chats von externen Quellen und den Start eines RMM-„Tools“ – durch KI-gestützte Verhaltenserkennung zu korrelieren und sofortige automatisierte Isolierungsmaßnahmen einzuleiten.
• Standard-Awareness-Schulungen allein genügen nicht mehr aus: Der C-Level müsse in spezifischen Trainingssimulationen auf unterschiedlichste Angriffsszenarien – wie eben dieses – vorbereitet werden.

Unternehmen sollten Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen – wie Scam-Kampagnen – machen

Am effektivsten – da umfassendsten – lasse sich dieser Ausbau des Sicherheitsbewusstseins durch den Einsatz eines modernen „Digital Workforce Security“-Systems bewerkstelligen.

• Dessen Anti-Phishing-Trainings, -Schulungen und -Tests ließen sich mittels Künstlicher Intelligenz (KI), mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter zu stärken. Seine modernen Anti-Phishing-E-Mail-Technologien kombinierten KI mit „Crowdsourcing“, um neueste Zero-Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren.

„Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, ihre Risiken signifikant zurückzufahren und Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen!“, betont Krämer abschließend.

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

RELIAQUEST, ReliaQuest Threat Research, 14.04.2026
Are Former Black Basta Affiliates Automating Executive Targeting?

knowbe4
Security Awareness Training: Personalisiertes, relevantes und anpassungsfähiges Security Awareness Training für Human Risk Management

KnowBe4, 2023
The Future of Phishing Defense: AI Meets Crowdsourcing

datensicherheit.de, 19.10.2025
Task Scam: Laut McAfee-Warnung 1.000 % Zunahme dieser Job-Betrugsmasche / Besonders alarmierend ist demnach, dass Job-Scamming zunehmend in Form von „Task Scam“ erfolgt – Interessierte werden mit leichten Arbeitsaufträgen und vermeintlich hohem Lohn auf gefälschte Stellenanzeigen und Webseiten bekannter Unternehmen gelockt

datensicherheit.de, 30.08.2025
Task Scams: Trend Micro warnt vor digitalem Job-Betrug / Aktuelle Forschungsergebnisse von Trend Micro künden von einer globalen Schattenindustrie mit „gamifizierten“ Betrugsplattformen, Fake-Websites und Missbrauch von „Krypto-Währungen“

[datensicherheit.de, 06.05.2026] „In physischen Lieferketten haben Unternehmen über Jahrzehnte gelernt, was Abhängigkeit bedeutet. Wer nur einen Zulieferer hat, spart vielleicht Kosten – bis genau dieser ausfällt“, so Ari Albertini, CEO von FTAPI, einleitend in seiner aktuellen Stellungnahme. Deshalb sei Diversifikation heute kein Luxus mehr, sondern Standard: Deshalb gelte es, Zweitlieferanten, alternative Routen, strategische Redundanzen – mithin Resilienz – fest einzuplanen. Indes, so Albertini, sei Folgendes zu konstatieren: „Digital dagegen beobachten wir das Gegenteil. Unternehmen konsolidieren ihre IT-Landschaften, setzen auf integrierte Plattformen, auf ,Alles aus einer Hand’ – ein Anbieter, ein Ökosystem, eine Oberfläche…“ Dies sei bequem, effizient und auf den ersten Blick wirtschaftlich sinnvoll. Doch genau hiermit entstehe ein Risiko, welches viele unterschätzten.

Foto: FTAPI

Ari Albertini: Wer digital auf Resilienz verzichtet, spart heute und zahlt morgen den Preis!

Risiken gehen weit über reine IT-Systemausfälle hinaus

Denn der „Single Supplier“ werde im Digitalen schnell zum „Single Point of Failure“. Albertini warnt: „Und noch schlimmer: zum ,Single Point of Control’“ Die Risiken gehen dabei weit über reine Systemausfälle hinaus. Fällt der Anbieter aus, steht nicht nur ein Teil der Wertschöpfung still, sondern im Zweifel das gesamte Unternehmen.“

• Doch auch ohne Ausfall entstehen offensichtlich Abhängigkeiten – durch den Zugriff auf geschäftskritische Daten, durch Fragen der Datensouveränität oder durch einseitige Änderungen von Geschäftsbedingungen, Preisen oder Schnittstellen.

Cyberangriffe, Systemstörungen oder geopolitische Spannungen könnten solche zentralisierten Strukturen zusätzlich destabilisieren und massive Kettenreaktionen auslösen. „Was als Vereinfachung und Effizienzgewinn gedacht war, entwickelt sich so zu einer vielschichtigen, strategischen Verwundbarkeit.“

Abhängigkeiten der IT aktiv managen und nicht stillschweigend in Kauf nehmen

Während im Einkauf längst Szenarien durchgespielt, Risiken bewertet und Alternativen aufgebaut würden, fehle dieses Denken in der IT häufig noch. „Digitale Infrastrukturen werden primär unter Effizienzgesichtspunkten gestaltet und nicht unter dem Aspekt der Resilienz.“

• Dabei gelten laut Albertini die gleichen Prinzipien wie in jeder Lieferkette: „Transparenz über Abhängigkeiten. Bewusste Diversifikation. Gezielte Redundanzen.“

Natürlich bedeute dies nicht, jede Plattform infrage zu stellen oder Komplexität um ihrer selbst willen zu erhöhen. „Aber es bedeutet, Abhängigkeiten aktiv zu managen und nicht stillschweigend in Kauf zu nehmen!“

Bequemlichkeit niemals Basis für verlässliches IT-Risikomanagement

Albertini gibt abschließend zu bedenken: „Wer seine gesamte digitale Wertschöpfung an einen Anbieter bindet, trifft keine neutrale Entscheidung, sondern geht ein unternehmerisches Risiko ein. Und dieses Risiko gehört nicht in die IT-Abteilung delegiert!“

• Es sei eine Managementaufgabe: Eine Frage der Souveränität, der Steuerungsfähigkeit, letztlich der Wettbewerbsfähigkeit. „Denn in einer zunehmend digitalisierten Wirtschaft entscheidet nicht nur, wie effizient Systeme laufen, sondern wie robust sie sind, wenn sie unter Druck geraten.“

„Alles aus einer Hand“ sei bequem – aber Bequemlichkeit sei noch nie Basis für ein verlässliches Risikomanagement gewesen. „Wer digital auf Resilienz verzichtet, spart heute und zahlt morgen den Preis!“

Weitere Informationen zum Thema:

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

datensicherheit.de, 19.11.2025
Digitale Souveränität: Bitkom und Numeum fordern Europas Ablösung von einseitiger Abhängigkeit / Der deutsche und der französische Digitalverband – Bitkom & Numeum – nahmen den „SUMMIT ON EUROPEAN DIGITAL SOVEREIGNTY“ vom 18. November 2025 zum Anlass für ihre gemeinsame Forderung

[datensicherheit.de, 05.05.2026] Thomas Lo Coco, „Sales Manager Central Europe“ bei Absolute Security, nimmt den „Welt-Passwort-Tag“ am 7. Mai 2026 zum Anlass, für zentralisierte IT-Teams Echtzeiteinblick in das Netzwerk zu empfehlen. „Gute Passwörter sind lang, bestehen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. So weit, so gut. Aber wie sieht es aus, wenn ein Mitarbeiter das Unternehmen verlässt und die Passwörter – etwa die BitLocker-Keys oder die BIOS-Zugangsdaten – auch gleich mitgehen lässt, wenn Cyberkriminelle diese umgehen oder durch einen erfolgreichen Brute-Force-Angriff die richtige Kombination ermitteln?“ Auch wenn Passwörter eine notwendige erste Verteidigungslinie darstellten, seien dies nur einige Beispiele dafür, wie eine eindimensionale IT-Sicherheitsstrategie leicht scheitern könne – „eine einzige Schutzebene reicht nicht aus, um den Risiken in der heutigen feindlichen digitalen Umgebung zu begegnen“.

Foto: Absolute Security

Thomas Lo Coco: Endpoint-Sicherheitssoftware funktioniert in 20 Prozent der Fälle nicht effektiv!

Herkömmliche IT-Sicherheitsmaßnahmen reichen nicht mehr aus

Deshalb brauchten Unternehmen eine robuste Strategie zur Cyberresilienz, welche die Endpunktsicherheit stärkt und es ihnen ermöglicht, zeitnah zu reagieren. Herkömmliche, auf geschützten Büroverbindungen basierende IT-Sicherheitsmaßnahmen reichten nicht mehr aus.

• Lo Coco warnt: „Endpoint-Sicherheitssoftware funktioniert in 20 Prozent der Fälle nicht effektiv, so dass Geräte an 76 Tagen im Jahr nicht vollständig geschützt sind und die Sicherheitsrichtlinien nicht einhalten.“

Angesichts der zahlreichen von Remote-Mitarbeitern genutzten Geräte sei die Gewährleistung der Cyberresilienz entscheidend, um Schäden und Ausfallzeiten zu minimieren. Störungen könnten den Betrieb empfindlich treffen, die Produktivität beeinträchtigen und zu erheblichen finanziellen Verlusten führen.

Zentralisierte IT-Teams müssen bei verdächtigen Aktivitäten entschlossen handeln

Eine umfassende Verteidigungsstrategie müsse Maßnahmen für eine sofortige Reaktion definieren, präventiv Schwachstellen schließen und Protokolle zur schnellen Wiederherstellung der IT-Funktionalität umfassen. „Eine aktualisierte Software, die Überwachung aller Geräte und eine gewährleistete Netzwerktransparenz sind zentrale Maßnahmen, um Risiken zu mindern“, so Lo Coco.

• Der Schutz des Netzwerks allein reiche nicht aus, „wenn Endgeräte aufgrund veralteter Sicherheitsmaßnahmen anfällig bleiben oder Passwörter wirkungslos geworden sind“. Zentralisierte IT-Teams benötigten einen Echtzeiteinblick in das Netzwerk und müssten bei verdächtigen Aktivitäten entschlossen handeln.

Lo Coco erläutert: „Wird ein ungewöhnliches Verhalten festgestellt, sollten sie kompromittierte Geräte sperren oder herunterfahren, um den Vorfall einzudämmen, bevor er sich ausbreitet. Darüber hinaus bietet die Isolation von Geräten, die von unbekannten Standorten aus genutzt werden, eine zusätzliche Schutzebene und ermöglicht ein schnelles und effizientes Vorfallmanagement.“

Proaktiver Ansatz zur schnellen Wiederherstellung nach IT-Sicherheitsvorfällen

Durch einen proaktiven Ansatz zur Cyberresilienz könnten Unternehmen Ausfallzeiten reduzieren und eine schnelle Wiederherstellung nach IT-Sicherheitsvorfällen gewährleisten, „wodurch sensible Daten geschützt sind und der Betrieb aufrechterhalten bleibt“.

• Ein sicherer und reibungsloser Betriebsablauf hänge – neben einer funktionierenden „Passworthygiene“ – von einer starken Endpunktsicherheit, Echtzeitüberwachung und der Konzentration auf einen aktuellen Status der Systeme ab.

Abschließend gibt Lo Coco zu bedenken: „Die sichersten Passwörter schützen nicht, wenn Sie in die falschen Hände geraten oder Insider sie missbrauchen. Diese Tatsache sollte man sich im Sinne einer gut funktionierenden Cyberresilienz bewusst machen! Denn es ist egal, wie hoch die Mauer ist, sobald jemand den Schlüssel zur Hintertür hat.“

Weitere Informationen zum Thema:

ABSOLUTE
We’re on a mission to help organizations strengthen cyber resiliency

LinkedIn
Thomas Lo Coco – Country Manager DACH & ROE / Absolute Security

datensicherheit.de, 01.02.2026
Ändere Dein Passwort Tag 2026: Least Privilege und Zugangskontrolle gilt es flankierend zu beachten / Darren Guccione warnt, dass ein einziges kompromittiertes Passwort Cyberkriminellen Zugang und Zugriff verschaffen kann

datensicherheit.de, 14.12.2025
Passwort-Manager: BSI-Untersuchung identifiziert Verbesserungsbedarf / Aufgrund der Sensibilität der in Passwort-Managern gespeicherten Daten bestehen hohe Anforderungen an deren IT-Sicherheit – das BSI hat diese Produktkategorie gemeinsam mit dem FZI Forschungszentrum Informatik untersucht

datensicherheit.de, 07.11.2025
Schwache Passwortregeln für Websites prägen Unsicherheitskultur / Eine neue Studie von NordPass zeigt warnend auf, dass selbst bei den am meisten besuchten Websites der Welt viel zu nachlässig mit schwachen Passwörtern umgegangen wird

datensicherheit.de, 04.05.2025
Chester Wisniewski: Weltpassworttag sollte überflüssig werden / Als nächster Schritt werden phishing-resistente MFA wie „FIDO2“ und Passkeys empfohlen

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

[datensicherheit.de, 04.05.2026] Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, kommentiert in seiner aktuellen Stellungnahme den kürzlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) publizierten Vorab-Bericht zum diesjährigen „Cybersicherheitsmonitor“. Das Fokus-Thema der am 11. Mai 2026 erscheinenden gemeinsamen Erhebung des BSI mit der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK) lautet demnach „Online-Betrug und Künstliche Intelligenz“. „Die bereits vorliegenden Ergebnisse zeigen vor allem im Bereich Deepfakes eine erhebliche Diskrepanz: Knapp die Hälfte der Befragten (47%) gibt an, KI-generierte Inhalte als solche erkennen zu können – doch ein Drittel (32%) hat noch nie eine einzige konkrete Maßnahme ergriffen, um ein Bild oder Video tatsächlich auf KI-Ursprung zu überprüfen“, berichtet Krämer.

Foto: KnowBe4

Dr. Martin J. Krämer gibt zu bedenken: Es besteht ein qualitativer Unterschied zwischen dem reinen Wissen, dass eine Checkliste existiert, und der routinemäßigen Anwendung von Prüfschritten im digitalen Alltag…

Ein falsches Gefühl der Kompetenz reduziert die Wachsamkeit auch gegenüber Deepfakes

Diese Kluft zwischen wahrgenommener Kompetenz und tatsächlichem Verhalten sei einer der kritischsten Befunde dieses Berichts. „Die Erhebung legte den Befragten elf konkrete Maßnahmen zur Erkennung KI-generierter Inhalte vor – von der Prüfung auf visuelle Unstimmigkeiten über die Quellenrecherche bis hin zur Rückwärts-Bildersuche oder der Nutzung spezialisierter Erkennungstools.“

• Keine einzige dieser Maßnahmen sei von mehr als der Hälfte der Bevölkerung jemals angewandt worden. Die am häufigsten genannte Methode – „zu überlegen, ob eine dargestellte Szene realistisch ist“ – sei von 40 Prozent der Befragten angegeben worden. Strukturiertere Überprüfungsschritte wie die Quellenprüfung (19%) oder die Rückwärts-Bildersuche (10%) seien deutlich seltener.

„Aus einer Cybersicherheitsperspektive ist dieses Muster höchst besorgniserregend! Personen, die glauben, manipulierte Inhalte erkennen zu können, diese aber nicht aktiv verifizieren, sind in der Praxis stärker gefährdet als jene, die ihre eigene Unsicherheit einräumen“, kommentiert Krämer. Ein falsches Gefühl der Kompetenz reduziere die Wachsamkeit; es mache Betroffene weniger geneigt, innezuhalten, zu hinterfragen oder kritisch zu prüfen, wenn sie mit KI-generiertem Material konfrontiert werden – „genau das Verhalten, auf das Angreifer setzen“.

Deepfake-Videos prominenter Personen werden eingesetzt, um gefälschte „Kryptowährungs“-Produkte zu bewerben

Der Bericht illustriere dies mit einem konkreten Beispiel: „Betrügerische Anlagemodelle, bei denen Deepfake-Videos prominenter Personen eingesetzt werden, um gefälschte ,Kryptowährungs’-Produkte zu bewerben.“ Laut BSI nutzten Täter dabei sowohl Inflationsängste bei Spareinlagen als auch eine allgemeine Unkenntnis über Finanzprodukte aus.

• Die Erhebung zeige, dass unter denjenigen, die in „Kryptowährung“ investiert hatten und anschließend feststellten, Opfer eines Betrugs geworden zu sein, zwei Drittel über Werbung im Internet auf das jeweilige Angebot aufmerksam geworden seien.

Der Bericht zeige darüber hinaus, dass das Bewusstsein für einige KI-bezogene Bedrohungen seit 2023 zwar gewachsen sei, das Wissen über technische Angriffsvektoren aber weiterhin begrenzt bleibe. Deepfake-Videos und KI-generiertes „Voice Cloning“ bei sogenannten Schockanrufen seien der Mehrheit bekannt.

Abwehr von Deepfakes: Das BSI veröffentlicht Checklisten zur Erkennung KI-generierter Bilder

Dass KI-Systeme selbst manipuliert werden könnten – etwa durch unsichtbare Anweisungen in Dokumenten, welche ein KI-Programm zur Ausführung unbeabsichtigter Aktionen veranlassten – sei hingegen nur einer Minderheit bewusst. „Das Bewusstsein dafür, wie KI für Betrug eingesetzt wird, ist demnach deutlich höher als die Einsicht darüber, dass KI-Systeme selbst angegriffen oder unterwandert werden können.“

• Die Ergebnisse bestätigten, was Fachleute für „Security Awareness“ in der Praxis beobachten: Der Zugang zu Information allein verändere kein Verhalten. „Das BSI veröffentlicht Checklisten zur Erkennung KI-generierter Bilder – und solche Ressourcen sind durchaus wertvoll. Doch es besteht ein qualitativer Unterschied zwischen dem reinen Wissen, dass eine Checkliste existiert, und der routinemäßigen Anwendung von Prüfschritten im digitalen Alltag.“ Um diese Lücke zu überbrücken, brauche es anstelle von einmaligen Sensibilisierungskampagnen viel mehr wiederholtes und strukturiertes Training, um Verhaltensgewohnheiten verlässlich aufzubauen.

Organisationen sollten die Ergebnisse des BSI-Berichts als Anlass nehmen, ihren eigenen Umgang mit KI-bezogener Sicherheitsaufklärung zu überprüfen. Mitarbeiter seien KI-generierten Inhalten nicht nur im Privaten ausgesetzt, sondern zunehmend auch im beruflichen Kontext, beispielsweise über geschäftliche E-Mails, „Social Media“, Kollaborationsplattformen und Werbung. Krämers Empfehlung: „Eine Human-Risk-Management-Strategie, die realistische Simulationen KI-gestützter Social-Engineering-Angriffe umfasst und gezieltes, rollenspezifisches Training bietet, kann dazu beitragen, dass das Vertrauen in die eigene Erkennungsfähigkeit auf tatsächlicher Kompetenz beruht – nicht auf Annahmen.“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

Bundesamt für Sicherheit in der Informationstechnik, 13.04.2026
KI-Betrug im Netz: Nur ein Fünftel überprüft die Quelle / Cybersicherheitsmonitor 2026: Online-Betrug und Künstliche Intelligenz

datensicherheit.de, 19.04.2026
USA auf Platz 1: Globaler Deepfake-Betrug hat 2,19 Milliarden US-Dollar erreicht / 2019 noch als „Deepfake-Phänomen“ wahrgenommen, hat es sich inzwischen offensichtlich zu einer ernsthaften Cyberbedrohung entwickelt

datensicherheit.de, 19.12.2025
Bekämpfung von KI-gestütztem Social Engineering: KnowBe4 stellt Deepfake-Training bereit / KnowBe4 hat als Anbieter einer weltweit renommierten Plattform, welche sich umfassend mit „Human Risk Management“ und agentenbasierter KI befasst, nun eine Deepfake-Schulung vorgestellt

datensicherheit.de, 14.04.2026
KI-Betrug im Netz: Quellen-Überprüfung nur von einem Fünftel der Nutzer / Fast die Hälfte der Internetnutzer in Deutschland sieht sich zwar in der Lage, mit KI generierte Inhalte zu erkennen – tatsächlich aber schaut bisher kaum jemand genauer hin

[datensicherheit.de, 01.05.2026] Der „World Password Day“, nun wieder am 7. Mai 2026, soll jedes Jahr daran erinnern, unbedingt sichere Kennwörter zu verwenden. ESET betont in einer Stellungnahme zu diesem Tag, dass Passwörter wichtig blieben. Indes: „Allein tragen sie die Sicherheit von Unternehmen aber nicht mehr!“ Denn die ursprüngliche Botschaft dieses Jahrestages greife inzwischen zu kurz: „,Cloud’-Dienste, VPN-Zugänge, ,Remote Desktop’, E-Mail-Konten und Administrationsoberflächen brauchen mehr Schutz als Benutzername und Passwort!“ Der Grund sei einfach: Angreifer müssten heute nicht immer technische Schwachstellen ausnutzen – oft genüge eine gültige Identität. Gestohlene oder wiederverwendete Zugangsdaten öffneten den Weg in Postfächer, „Cloud“-Umgebungen oder interne Systeme. Für IT-Sicherheitsabteilungen sei dies besonders tückisch: Im ersten Moment sehe ein solcher Zugriff nicht wie ein Einbruch aus, sondern eben wie eine normale Anmeldung.

Abbildung: ESET

„External network intrusion vectors reported by unique clients in H2 2025“: Das Erraten von Passwörtern ist Haupt-Angriffsvektor für cyberkriminelle Zugänge

MFA sollte ordentlich eingeführt und im Alltag akzeptiert werden

Wie konkret dieses Risiko ist, zeigt demnach die aktuelle ESET-Telemetrie: Laut „ESET Threat Report H2 2025“ sind E-Mail-Bedrohungen gegenüber der ersten Jahreshälfte um 36 Prozent gestiegen. Unter den Top-Bedrohungen bei E-Mails habe „HTML/Phishing.Agent“ mit 30,8 Prozent klar vorne gelegen.

• Auch klassische Passwortangriffe blieben relevant. Bei externen Netzwerkangriffsvektoren sei mit 43,3 Prozent der größte Anteil auf „Password Guessing“ entfallen. Hinzu kämen sogenannte Infostealer wie „Formbook“, „Agent Tesla“ oder „SnakeStealer“, welche Zugangsdaten, Browser-Daten und weitere sensible Informationen von kompromittierten Geräten abgreifen könnten.

„Viele Angriffe beginnen heute mit einer ganz normalen Anmeldung“, erläutert Michael Schröder, „Head of Product Marketing“ bei ESET Deutschland. Er mahnt: „Genau deshalb dürfen Unternehmen Passwörter nicht länger alleinlassen. Multi-Faktor-Authentifizierung sorgt dafür, dass ein gestohlenes Passwort nicht automatisch zum Zugang ins Unternehmen wird. Wichtig ist aber, dass MFA sauber eingeführt und im Alltag akzeptiert wird!“

MFA-Nutzung eine Verpflichtung

Eine Multi-Faktor-Authentifizierung (MFA) ergänzt ein Passwort um mindestens einen weiteren Nachweis: Das kann eine App-Freigabe sein, ein Einmalcode, ein Hardware-Token, ein biometrisches Merkmal oder ein FIDO-basierter Sicherheitsschlüssel. Der Nutzen ist offensichtlich: Selbst wenn ein Passwort kompromittiert wurde, fehlt Angreifern ein weiterer Faktor für den Zugang.

• Auch regulatorisch gewinnt MFA offenbar an Bedeutung. Das BSI verweist jedenfalls im NIS-2-Kontext auf MFA und gesicherte Kommunikation als Teil der Risikomanagementmaßnahmen für wichtige und besonders wichtige Einrichtungen. Damit wird MFA für viele Unternehmen in Deutschland, aber auch in Österreich und der Schweiz, nicht nur zu einer technischen Empfehlung, sondern zu einem Baustein professioneller Unternehmensführung.

ESET rät Unternehmen deshalb, MFA nicht als Einzelprojekt zu betrachten. Entscheidend sei eine Strategie, welche kritische Zugänge priorisiere, Nutzergruppen einbinde und Sonderfälle sauber regele. Dazu gehörten verlorene Smartphones, Gerätewechsel, Dienstleister-Zugänge, Notfallkonten und ältere Anwendungen, welche moderne Authentifizierung nur eingeschränkt unterstützten.

Trotz MFA sind gute Passwörter entscheidend

Aber auch mit MFA blieben gute Passwörter wichtig: Diese sollten lang, einzigartig und nicht mehrfach verwendet werden. Passwortmanager könnten helfen, sichere Zugangsdaten praktikabel zu machen. Der regelmäßige Zwangswechsel ohne konkreten Anlass sei hingegen kein Allheilmittel.

• Wichtiger sei, unsichere oder kompromittierte Kennwörter zu erkennen und kritische Zugänge zusätzlich abzusichern. Der diesjährige „World Password Day“ sollte für Unternehmen deshalb mehr sein als ein Hinweis auf Sonderzeichen und Mindestlängen:

Er sei ein guter Anlass, die eigene Identity-Security-Strategie zu prüfen. „Welche Konten sind besonders kritisch? Wo fehlt MFA noch? Welche Dienstleister haben Zugriff? Welche Altanwendungen umgehen moderne Sicherheitsregeln? Und wie schnell erkennt das Unternehmen, wenn Zugangsdaten missbraucht werden?“

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

eseT, 08.08.2016
ESET stärkt Marktposition mit Michael Schröder – Fokus auf Technologie-Allianzen und ganzheitliche Produktentwicklung

welivesecurity by eseT, Jiří Kropáč, 16.12.2025
ESET Research / ESET Threat Report H2 2025: A view of the H2 2025 threat landscape as seen by ESET telemetry and from the perspective of ESET threat detection and research experts

Bundesamt für Sicherheit in der Informationstechnik
#nis2know: Multi-Faktor-Authentisierung, kontinuierliche Authentifizierung und gesicherte Kommunikation

NATIONAL DAY CALENDAR
WORLD PASSWORD DAY

datensicherheit.de, 01.05.2026
Einloggen statt Einbruch: Warnung vor cyberkriminellem Trend / Rich Greene nimmt den bevorstehenden diesjährigen „World Password Day“ am 7. Mai 2026 zum Anlass, IT-Sicherheitsteams mit einer unangenehmen Wahrheit über Passwörter zu konfrontieren – Cyberkriminelle suchen vermehrt den direkten Zugang

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

datensicherheit.de, 26.01.2023
Statt häufiger Passwortwechsel: eco empfiehlt starke Passwörter / eco gibt zum bevorstehenden Ändere-dein-Passwort-Tag am 1. Februar 2023 drei Tipps für sichere Log-Ins

datensicherheit.de, 05.05.2022
Passwörter als Sicherheitsrisiko – Experten plädieren zum Wechsel zur passwortlosen Authentifizierung / Statt sich auf eine gute Kennworthygiene zu konzentrieren, sollte der Einsatz der Passwort-Authentifizierung hinterfragt werden

[datensicherheit.de, 01.05.2026] Rich Greene, „Instructor“ beim SANS Institute, nimmt den bevorstehenden diesjährigen „World Password Day“ am 7. Mai 2026 zum Anlass zu mahnen, dass sich IT-Sicherheitsteams einer unangenehmen Wahrheit über Passwörter stellen müssten: Cyberkriminelle würden für Angriffe nicht mehr einbrechen – „sie loggen sich ein!“ Für den Report „Verizon DBIR 2025“ hatten die Autoren demnach über 22.000 Sicherheitsvorfälle analysiert und festgestellt, dass gestohlene Anmeldedaten bei 22 Prozent aller bestätigten Sicherheitsverletzungen den ersten Zugangsweg darstellten. Bei einfachen Angriffen auf Web-Anwendungen steige diese Zahl sogar auf 88 Prozent. An anderer Stelle hätten die Autoren eines Reports von „IBM X-Force“ einen Anstieg von 84 Prozent gegenüber dem Vorjahr bei sogenannter Infostealer-Malware verzeichnet, welche über Phishing-E-Mails verbreitet worden sei. Dabei handele es sich eben nicht um ausgeklügelte Zero-Day-Exploits: „Dabei handelt es sich um Malware, die still und leise gespeicherte Passwörter aus dem Browser sammelt.“

Foto: SANS Institute

Rich Greene berichtet: Zugangsdaten werden in Logs gebündelt und an „Initial Access Broker“ verkauft, die den Netzwerkzugang wiederum an Ransomware-Gruppen weiterverkaufen…

In mehr als der Hälfte der Fälle öffnet ein einziges kompromittiertes Passwort Cyberkriminellen mehrere Zugänge

Greene warnt: „Und die Wiederverwendung von Passwörtern gießt weiterhin Öl ins Feuer. Verizons Analyse von Infostealer-Protokollen ergab, dass im Medianfall nur 49 Prozent der Passwörter eines Nutzers über verschiedene Dienste hinweg einzigartig waren.“

• Dies bedeute, dass in mehr als der Hälfte der Fälle ein einziges kompromittiertes Passwort Cyberkriminellen mehrere Türen öffnen könne. „Wir sagen den Leuten immer wieder, sie sollen starke, einzigartige Passwörter verwenden. Sie nicken zustimmend und tun genau das Gegenteil.“

Die „Infostealer“-Wirtschaft habe sich industrialisiert. Im „KELA-Bericht 2025“ hätten Sicherheitsforscher 3,9 Milliarden gestohlene Zugangsdaten auf 4,3 Millionen infizierten Geräten verzeichnet. „Diese Zugangsdaten werden in Logs gebündelt und an ,Initial Access Broker’ verkauft, die den Netzwerkzugang wiederum an Ransomware-Gruppen weiterverkaufen.“

MFA kann helfen – sollte aber nicht als „die Wunderwaffe“ gegen Cyberkriminelle verstanden werden

„MFA hilft, aber sie ist nicht ,die Wunderwaffe’, als die sie gerne dargestellt wird. Angreifer umgehen sie durch ,Prompt-Bombing’, ,Session-Hijacking’ und ,Adversary-in-the-Middle’-Phishing-Kits, die Token in Echtzeit erfassen“, berichtet Greene. Der „Verizon DBIR“ habe „Prompt-Bombing“ erstmals als eine der häufigsten Angriffsmethoden identifiziert. Eine Multi-Faktor-Authentifizierung (MFA) aktiviert zu haben, sei das Mindeste. „Eine phishing-resistente MFA ist das, was tatsächlich etwas bewirkt.“

• Doch es gebe Licht am Horizont für die IT-Security-Community, denn Passkeys funktionierten. „Die FIDO Alliance berichtet, dass 69 Prozent der Verbraucher mittlerweile mindestens einen Passkey besitzen, gegenüber einem Bekanntheitsgrad von nur 39 Prozent vor zwei Jahren.“ Passkeys erreichten eine Anmeldeerfolgsrate von 93 Prozent, verglichen mit 63 Prozent bei herkömmlichen Passwörtern.

Auf Unternehmensseite hätten laut Untersuchungen von HID und der FIDO Alliance 87 Prozent der Organisationen Passkeys eingeführt oder seien dabei, diese einzuführen. Google habe über 800 Millionen Passkeys nutzende Konten mit 2,5 Milliarden Passkey-Anmeldungen. „Das ist also keine Theorie mehr, sondern Realität.“

Zur Abwehr cyberkrimineller Angriffe Passkeys einführen – ein Prozess mit Zeitbedarf

Passkeys seien eine erstaunliche Technologie mit echten Hürden bei der Einführung, welche IT-Sicherheitsteams nicht einfach wegwinken könnten: „Unternehmensumgebungen mit veralteter Infrastruktur, lokalem ,Active Directory’, gemeinsam genutzten Arbeitsplätzen und älteren Geräten ohne ,Trusted Platform Module’ (TPM) oder biometrische Hardware stehen vor echten Schwierigkeiten.“

• Die plattformübergreifende Interoperabilität zwischen „Ökosystemen“ verbessere sich zwar, sei aber immer noch umständlich. Die Kontowiederherstellung und die Delegierung von Anmeldedaten in großen Organisationen seien noch nicht vollständig gelöst.

Greene führt aus: „Und man kann nicht einfach einen Schalter umlegen und Passwörter über Nacht abschaffen, wenn man Tausende von Mitarbeitern mit unterschiedlicher Hardware hat.“ Organisationen müssten während der Umstellung eine hybride Authentifizierung betreiben – und diese Umstellung könnte je nach Umgebung Jahre dauern. „Die Richtung stimmt, aber der Weg dorthin wird für viele Unternehmen chaotisch sein.“

Passwörter einst ein notwendiges Übel zum Schutz vor Cyberkriminellen

„Die Zeit nach dem besseren Passwort zu suchen ist abgelaufen!“, stellt Green klar. Stattdessen sollten IT-Sicherheitsteams darauf hinarbeiten, weniger Passwörter einzusetzen, denn jedes Passwort sei eine Angriffsfläche, und jeder Passkey beseitige eine.

• Sie sollten stattdessen Passwortmanager nutzen und überall phishing-resistente MFA einsetzen.

„Passwörter waren ein notwendiges Übel. Jetzt sind sie einfach nur noch ein Übel.“ Je schneller IT-Sicherheitsteams diese nun ablösten desto besser. „Organisationen müssen jedoch auch dort abgeholt werden, wo sie stehen. Nicht jedes Unternehmen verfügt über glänzende neue Hardware, und der Weg zur Passwortlosigkeit muss dieser Realität Rechnung tragen“, gibt Greene abschließend zu bedenken.

Weitere Informationen zum Thema:

SANS
About SANS Institute

SANS
Rich Greene – Certified InstructorSenior Solutions Engineer at SANS Institute

NATIONAL DAY CALENDAR
WORLD PASSWORD DAY

verizon, Sebrina Kepple, 23.04.2025
Verizon’s 2025 Data Breach Investigations Report: System intrusion breaches double in EMEA

IBM, 17.04.2025
IBM X-Force Threat Index 2025: Der umfangreiche Diebstahl von Anmeldedaten nimmt zu, Bedrohungsakteure wenden heimlichere Taktiken an

KELA, 2025
2025 Midyear Threat Report: Evolving Tactics and Emerging Dangers / A Guide to Prepare for the Growing Threats of Hacktivists, Infostealers, Ransomware and More

fido ALLIANCE
Passkeys

datensicherheit.de, 01.05.2026
World Password Day 2026: ESET-Empfehlung zur MFA-Nutzung für zentrale Zugänge zu Netzwerken und Konten / Eine Multi-Faktor-Authentifizierung (MFA) ergänzt ein Passwort um mindestens einen weiteren Nachweis – und kann damit verhindern, dass sich Cyberkriminelle wie berechtigte Nutzer einfach einloggen können

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

datensicherheit.de, 26.01.2023
Statt häufiger Passwortwechsel: eco empfiehlt starke Passwörter / eco gibt zum bevorstehenden Ändere-dein-Passwort-Tag am 1. Februar 2023 drei Tipps für sichere Log-Ins

datensicherheit.de, 05.05.2022
Passwörter als Sicherheitsrisiko – Experten plädieren zum Wechsel zur passwortlosen Authentifizierung / Statt sich auf eine gute Kennworthygiene zu konzentrieren, sollte der Einsatz der Passwort-Authentifizierung hinterfragt werden

Von unserem Gastautor Roman Spitzbart, VP EMEA Solutions Engineering, Dynatrace

[datensicherheit.de, 30.04.2026] Digitale Infrastrukturen bestehen heute aus eng verflochtenen Anwendungen, Plattformdiensten, APIs, Datenverarbeitung und Cloud-Ressourcen. In solchen Umgebungen entstehen kritische Probleme selten durch einen einzelnen Defekt. Häufig sind es mehrere Abweichungen gleichzeitig, die sich entlang bestehender Abhängigkeiten verstärken und lokale Störungen zu weitreichenden Ausfällen machen.

Roman Spitzbart, VP Solutions Engineering EMEA bei Dynatrace, Bild: Dynatrace

Für die Informationssicherheit ist genau das entscheidend. Viele Schwächen bleiben im Regelbetrieb unsichtbar, weil Schutzmechanismen, Redundanzen und Ausweichpfade erst unter Belastung zeigen, ob sie tatsächlich funktionieren. Verfügbarkeit allein ist deshalb kein verlässlicher Beleg für Widerstandsfähigkeit. Ob eine Architektur robust ist, zeigt sich erst dann, wenn Komponenten ausfallen, Kommunikationspfade verzögert reagieren oder Lasten unerwartet ansteigen. An diesem Punkt wird Chaos Engineering relevant.

Widerstandsfähigkeit lässt sich nicht nur beobachten

Chaos Engineering untersucht, wie Systeme unter gezielt herbeigeführten Störungen reagieren. Im Mittelpunkt steht nicht das Erzeugen von Fehlern um ihrer selbst willen, sondern die kontrollierte Prüfung, wie belastbar eine digitale Architektur in kritischen Situationen tatsächlich ist.

Entscheidend ist dabei die Gesamtsicht. Es geht darum, welche Folgen ein Ausfall eines Dienstes für abhängige Komponenten hat. Bleibt ein Problem lokal begrenzt? Werden Anfragen sauber umgeleitet? Halten Redundanzmechanismen stand? Lassen sich kritische Funktionen aufrechterhalten? Genau diese Fragen sind für Cyberresilienz zentral. In der Praxis wird dieser Ansatz bislang dennoch nur punktuell genutzt. Der Grund liegt vor allem in seiner operativen Komplexität.

Warum Chaos Engineering bislang selten skaliert

Belastungsszenarien müssen vorbereitet, mögliche Auswirkungen abgeschätzt und Ergebnisse im Anschluss interpretiert werden. In verteilten Systemlandschaften ist das aufwendig. Hinzu kommt, dass das Wissen über reale Abhängigkeiten oft lückenhaft ist. Architekturen verändern sich schneller, als Dokumentation und Annahmen Schritt halten können.

Damit entsteht ein doppeltes Problem. Zum einen werden Experimente schnell zum manuellen Spezialprojekt. Zum anderen steigt das Risiko, Störungen an Stellen einzubringen, die zwar technisch erreichbar, aber analytisch wenig sinnvoll sind oder unbeabsichtigt produktive Auswirkungen nach sich ziehen. Solange Auswahl, Durchführung und Bewertung solcher Tests stark von manueller Vorarbeit abhängen, bleibt Chaos Engineering auf Einzelfälle begrenzt. Für einen regelmäßigen Einsatz in sicherheitskritischen Umgebungen reicht das nicht aus.

KI schafft die Voraussetzung für gezielte Belastungsszenarien

Genau hier kommt Künstliche Intelligenz (KI) zum Tragen. Die Grundlage dafür bildet eine fortlaufende Sicht auf Kommunikation, Lastverhalten und Abhängigkeiten innerhalb einer Infrastruktur. Moderne Observability-Lösungen liefern dazu kontinuierlich Daten aus Anwendungen, Plattformen und Netzwerken, etwa in Form von Logs, Metriken, Traces und Topologieinformationen.

Die KI wertet diese Informationen nicht isoliert aus, sondern im Zusammenhang. Dadurch wird erkennbar, welche Dienste regelmäßig miteinander interagieren, welche Muster im laufenden Betrieb üblich sind und an welchen Stellen sensible Verflechtungen bestehen. Besonders wertvoll ist die Fähigkeit, Ursache-Wirkungs-Zusammenhänge sichtbar zu machen. So lässt sich nachvollziehen, wo eine Veränderung lokal bleibt und wo daraus eine Kette weiterer Effekte entstehen kann.

Dieses Verständnis ist der eigentliche Fortschritt. Hypothesen über mögliche Auswirkungen beruhen damit nicht mehr nur auf Erfahrung oder Vermutung, sondern auf tatsächlichen Abhängigkeitsstrukturen im laufenden System.

Sicherheitsrelevante Belastungsproben werden präziser

Auf dieser Basis lassen sich Störungsszenarien gezielt auswählen. Dazu zählen beispielsweise erhöhte Latenzen in Kommunikationspfaden, der Ausfall einzelner Infrastruktur- oder Plattformkomponenten, Engpässe in zentralen Verarbeitungsdiensten oder Unterbrechungen entlang kritischer Service-Abhängigkeiten. Genau solche Situationen entsprechen oft den Bedingungen, unter denen sich reale Sicherheits- und Stabilitätsprobleme entfalten.

Während eines Tests analysiert die KI fortlaufend, wie sich die Störung innerhalb des Systems fortsetzt. Sichtbar wird, welche Dienste besonders empfindlich reagieren, ob vorhandene Redundanzen tatsächlich übernehmen und an welchen Punkten unerwartete Seiteneffekte entstehen. Damit wird aus einer isolierten Störungssimulation eine belastbare Prüfung digitaler Widerstandsfähigkeit.

Der Nutzen liegt nicht nur in der Beobachtung einzelner Reaktionen. Organisationen erkennen präziser, wo Ausfallketten drohen und welche Störungen besonders hohe Risiken nach sich ziehen. Gleichzeitig sinkt das operative Risiko, weil Experimente gezielter vorbereitet und ihre Wirkung genauer eingeordnet werden können.

Von der Vorfallanalyse zur vorausschauenden Cyberresilienz

In vielen Unternehmen beginnt die tiefergehende Bewertung technischer Schwächen erst nach einem Sicherheits- oder Verfügbarkeitsvorfall. Dann wird sichtbar, welche Systeme betroffen waren und an welchen Stellen Schutz- oder Failover-Mechanismen versagt haben. KI-gestütztes Chaos Engineering verschiebt diese Perspektive: Kritische Belastungssituationen lassen sich bereits vor einem realen Ausfall kontrolliert prüfen. So wird erkennbar, welche Abhängigkeiten Risiken verstärken, wo technische Schutzmaßnahmen an Grenzen stoßen und wie robust kritische Dienste gegenüber Störungen tatsächlich sind.

Damit wird Chaos Engineering zu einem Verfahren, mit dem sich Cyberresilienz systematisch vorbereiten lässt. Digitale Infrastrukturen werden unter kontrollierten Bedingungen auf ihre Belastbarkeit gegenüber Ausfällen, Verzögerungen und Kaskadeneffekten geprüft. Widerstandsfähigkeit wird damit nicht erst im Vorfall sichtbar, sondern bereits im Vorfeld überprüfbar.

Weitere Informationen zum Thema:

datensicherheit.de, 24.03.2026
OpenTelemetry als Fundament einer vertrauenswürdigen Observability-Infrastruktur

[datensicherheit.de, 30.04.2026] Der „Cyber Resilience Act“ (CRA) ist nun mittlerweile seit Dezember 2024 in Kraft. „Doch für viele kleine und mittlere Unternehmen bleibt er ein Buch mit ,sieben Siegeln’“, kommentiert Ari Albertini, CEO bei FTAPI. Aber dies ändere sich gerade: „Ab September 2026 greifen die ersten Meldepflichten, und das deutsche Durchführungsgesetz, das die Umsetzung regeln soll, steckt in der Kritik.“ Verbände wie etwa der TeleTrusT bemängelten, dass die vorgesehene Unterstützung für KMU weit hinter dem Bedarf zurückbleibe. Nach Einschätzung von FTAPI sollten KMU nicht auf staatliche Hilfe warten, sondern jetzt selbst handeln und ihre „CRA-Readiness“ aufbauen.

Foto: FTAPI

Ari Albertini unterstreicht: Wer CRA-konform ist, wird zum bevorzugten Partner in Lieferketten, in denen Auftraggeber künftig auf nachweisbare Sicherheitsstandards bestehen müssen

CRA-Umsetzung als „Chefsache“

Der CRA verpflichtet alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen wie Software, Hardware und IoT-Geräte zu umfassenden Cybersicherheitsmaßnahmen.

• „Anders als bei Regularien wie NIS-2 gibt es hier keine größenabhängigen Ausnahmen. Ob Konzern oder Kleinstunternehmen: Wer digitale Produkte in der EU vertreibt, muss die Anforderungen erfüllen!“

Die Umsetzung sei dabei nicht nur Aufgabe der IT-Abteilung, sondern „Chefsache“ – mit persönlicher Haftung der Geschäftsführung im Ernstfall. Gleichzeitig zeige der aktuelle Referentenentwurf zum „CRA-Durchführungsgesetz“: Der Staat habe für die Unterstützung 1,28 Millionen Euro jährlich eingeplant. Zum Vergleich: „Das ,NIS-2-Gesetz’ sah allein für Schulungen in der Bundesverwaltung das Vierfache vor.“

FTAPI-Checkliste: In 5 Schritten zur „CRA-Readiness“

Die Unterstützungslücke zeige deutlich: KMU müssten die CRA-Umsetzung selbst in die Hand nehmen. Fünf Schritte, die jetzt zählten:

• Schritt 1: Betroffenheit klären!
  Jedes Produkt, welches sich direkt oder indirekt mit einem Gerät oder Netzwerk verbinden kann (also nicht nur IoT-Geräte, sondern auch reine Softwareprodukte) fällt unter den CRA, unabhängig davon, ob es tatsächlich verbunden wird. Dies betrifft nicht SaaS-Lösungen und Open-Source-Komponenten.

• Schritt 2: Meldeprozesse aufbauen!
  Die erste harte Pflicht greift bereits in wenigen Monaten: Ab dem 11. September 2026 müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gemeldet werden. Der Zeitplan ist eng:
  – Erstmeldung innerhalb von 24 Stunden
  – Folgemeldung innerhalb von 72 Stunden
  – Abschlussbericht spätestens 14 Tage nach Verfügbarkeit einer Abhilfemaßnahme
  Wer noch keine internen Prozesse für Schwachstellen-Management und „Incident Response“ hat, muss diese jetzt etablieren – nicht als IT-Projekt, sondern als Betriebsthema.

• Schritt 3: „Security by Design“ verankern!
  Der CRA verlangt, dass Sicherheit von Beginn an Teil der Produktentwicklung ist. Die größten Lücken entstehen dort, wo Architekturentscheidungen (Authentifizierung, Datenflusskontrolle, Mandantenfähigkeit) ohne explizite Security-Perspektive getroffen wurden. KMU, die jetzt starten, müssen keine Perfektion anstreben, aber einen nachweisbaren, dokumentierten Prozess.

• Schritt 4: Lieferkette und Open-Source-Abhängigkeiten inventarisieren!
  Viele Produkte bestehen heute aus einer Kombination aus Eigenentwicklung, Open-Source-Bibliotheken, „Cloud“-Diensten und Drittkomponenten. Der CRA adressiert genau diese Risiken: Hersteller tragen die Verantwortung auch für eingebettete Komponenten Dritter. Eine „Software Bill of Materials“ (SBOM) – eine strukturierte Übersicht aller verwendeten Softwarebestandteile – ist dabei das zentrale Werkzeug, um Transparenz herzustellen und im Ernstfall handlungsfähig zu bleiben.

• Schritt 5: Fördermöglichkeiten nutzen!
  Die EU stellt mit dem Programm „SECURE“ insgesamt 16,5 Millionen Euro als direkte finanzielle Unterstützung für KMU bereit, welche Produkte mit digitalen Elementen herstellen, entwickeln oder vertreiben. Förderfähig sind demnach u.a. Risikoanalysen, Penetrationstests und Sicherheitsbewertungen. Antragsberechtigt sind Unternehmen mit weniger als 250 Mitarbeitern und bis zu 50 Millionen Euro Jahresumsatz. Der erste „Call“ ist bereits geschlossen, eine zweite Runde bereits angekündigt.

CRA-Konformität: Regulierung als Wettbewerbsvorteil erkennen

Die Anforderungen eröffneten auch eine strategische Chance: „Wer CRA-konform ist, wird zum bevorzugten Partner in Lieferketten, in denen Auftraggeber künftig auf nachweisbare Sicherheitsstandards bestehen müssen.“ Umgekehrt drohe der Verlust von Aufträgen für alle, die nicht liefern können.

• „Die neuen Regularien zwingen Unternehmen, Cybersicherheit strategisch zu denken”, betont Albertini. Er führt hierzu weiter aus: „Das ist der Moment, in dem sich entscheidet, wer in den nächsten Jahren noch als verlässlicher Technologiepartner wahrgenommen wird. KMU, die jetzt handeln, kaufen sich einen Vorsprung, den andere nicht mehr aufholen können.“

Der CRA markiere das Ende der Ära, „in der Cybersicherheit ein Thema für Spezialisten war“. Unternehmen, welche Sicherheit als operative und strategische Selbstverständlichkeit begreifen, schützen nicht nur ihre Produkte, sondern sicherten ihre Marktfähigkeit in einem regulierten Europa.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V., 01.04.2026
Stellungnahmen 2026 / Stellungnahme zum BMI-Referentenentwurf des Durchführungsgesetzes zur Cyberresilienz-Verordnung

SECURE Cyber Resilience für SMEs
About SECURE: Strengthening the cyber resilience of European MSMEs for a more secure and sustainable digital single market. 

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 21.03.2026
Cyber Resilience Act: BSI hat Vorsitz der AdCo CRA / Die Rolle der Vorsitzenden wurde Anna Schwendicke, BSI-Referatsleiterin „Marktaufsicht“, im Rahmen der Sitzung der AdCo CRA am 19. März 2026 in Athen übertragen

datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

datensicherheit.de, 22.11.2024
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle / ONEKEY warnt vor höchster Gefahr für Hersteller vernetzter Geräte, Maschinen und Anlagen, deren Produkte Open-Source-Software enthalten

[datensicherheit.de, 30.04.2026] Die digitale Bedrohungslage entwickelt sich offenbar mit hoher Dynamik – Cyberangriffe erfolgen zunehmend automatisiert und datengetrieben. Manchmal genügt genüge ein einziges System wie eine vergessene Subdomain oder ein falsch konfigurierter „Cloud“-Speicher, Cyberangreifern ein Einfallstor in die IT-Infrastruktur zu öffnen. Automatisierte Scans, auf Künstliche Intelligenz (KI) gestützte Auswertung und organisierte Angriffskampagnen sorgten dafür, dass potenzielle Schwachstellen schneller identifiziert und ausgenutzt werden, warnt Harald Röder, „Senior Solutions Engineer“ bei Censys, in seiner aktuellen Stellungnahme. Gleichzeitig wachse die Digitale Angriffsfläche von Unternehmen stetig – befeuert durch „Cloud“-Transformation, Remote-Arbeit, vernetzte Lieferketten und die zunehmende Nutzung externer Dienste.

Foto: Censys

Harald Röder: Wer Anomalien, Bedrohungen und Schwachstellen frühzeitig aufdeckt, kann Sicherheitslücken schließen und die Zeitspanne verkürzen, in der sich Angreifer unbemerkt im Netzwerk aufhalten

Extern erreichbare Online-Assets sind auch Teil der Digitalen Angriffsfläche

Ein rein reaktiver Cybersecurity-Ansatz reiche daher schlicht nicht mehr aus. Vielmehr sei präventive Cybersecurity eine wichtige Strategie, um Risiken frühzeitig zu erkennen und zu reduzieren.

• Röder führt aus: „Im Kern geht es darum, Transparenz über die eigene Angriffsfläche herzustellen und diese kontinuierlich zu überwachen. Viele Unternehmen unterschätzen, wie fragmentiert ihre IT-Landschaft wirklich ist.“

Neben bekannten, intern verwalteten Systemen existierten häufig zahlreiche extern erreichbare Online-Assets wie vergessene Subdomains, nicht dokumentierte „Cloud“-Instanzen oder sogenannte Schatten-IT. Genau diese Blinden Flecken seien oft unzureichend abgesichert und würden für Cyberangriffe somit gezielt ausgenutzt.

Ganzheitliche Transparenz, um in dynamischen IT-Umgebungen Veränderungen zeitnah zu erkennen

Ein zentraler Bestandteil präventiver Cybersecurity sei daher die vollständige Sicht auf alle digitalen „Assets“ – sowohl intern als auch extern. „Attack Surface Management“ (ASM) setze genau hier an und identifiziere kontinuierlich alle über das Internet erreichbaren Systeme, Dienste und Schnittstellen eines Unternehmens aus der Perspektive eines externen Angreifers. „Dabei werden neben bekannten auch bislang unentdeckte ,Assets’ erfasst.“

• Ein weiterer besonders wichtiger Faktor sei eine fortlaufende Überwachung der Digitalen Angriffsfläche. „Neue Systeme werden bereitgestellt, Konfigurationen geändert, Dienste aktualisiert, und das alles oft in sehr kurzen Zyklen.“

In diesen dynamischen IT-Umgebungen sei es wichtig, Veränderungen zeitnah zu erkennen. Automatische Scans und eine kontextbasierte Auswertung ermöglichten es, neue Schwachstellen oder Fehlkonfigurationen frühzeitig zu identifizieren.

Belastbares Lagebild mittels Kombination aus „Asset-Discovery“ und Risikobewertung

Röder erläutert: „Durch die ganzheitliche Transparenz über die Angriffsfläche lassen sich Risiken systematisch priorisieren. Denn nicht jede Schwachstelle stellt auch automatisch ein kritisches Sicherheitsrisiko dar.“

• Entscheidend sei der Kontext: „Ist ein System öffentlich erreichbar? Welche Daten werden verarbeitet? Gibt es bekannte Exploits?“

Durch die Kombination aus „Asset-Discovery“ und Risikobewertung entstehe ein belastbares Lagebild als Grundlage für fundierte Sicherheitsentscheidungen.

„Internet Intelligence“: Erweiterung des Blickfelds auf Digitale Angriffsfläche

Über die eigene Infrastruktur hinaus biete „Internet Intelligence“ eine entscheidende Rolle, indem frei zugänglichen Datenquellen aus dem Internet systematisch ausgewertet würden. Dies liefere wertvolle Hinweise auf potenzielle Bedrohungen und frühzeitige Indikatoren, ob und in welcher Form Unternehmen potenziell von aktuellen Bedrohungen betroffen sein könnten.

• „Mehrwert entsteht hierbei durch Kontextualisierung. Denn durch die Verknüpfung mit der eigenen digitalen Angriffsfläche wird sichtbar, ob konkreter Handlungsbedarf besteht“, so Röder.

„Internet Intelligence“ erweitere den präventiven Sicherheitsansatz um eine externe Perspektive. „Unternehmen gewinnen ein besseres Verständnis dafür, wie sie von außen wahrgenommen werden und wo sich potenzielle Angriffspunkte entwickeln.“ In Kombination mit der kontinuierlichen Analyse der eigenen Angriffsfläche entstehe so ein umfassenderes Lagebild, welches eine frühzeitige und fundierte Risikobewertung ermögliche.

„Threat Hunting“ als proaktiver Ansatz zur Aufdeckung systematischer Schwächen in der IT-Sicherheit

Viele Sicherheitsmaßnahmen seien darauf ausgelegt, bekannte Bedrohungen zu identifizieren. „Threat Hunting“ gehe indes einen Schritt weiter und beschreibe die proaktive Suche nach bislang unentdeckten Angriffen oder Anomalien innerhalb der eigenen Umgebung. In großen Datenmengen ließen sich so auffällige Verhaltensmuster aufdecken. Gleichzeitig werde gezielt nach Hinweisen auf Angriffe gesucht – eben „bevor es dazu kommt“. „Threat Hunting“ helfe vor allem dabei, Anomalien zu identifizieren, welche auf den ersten Blick nicht erkannt werden könnten.

• „Wer Anomalien, Bedrohungen und Schwachstellen frühzeitig aufdeckt, kann Sicherheitslücken schließen und die Zeitspanne verkürzen, in der sich Angreifer unbemerkt im Netzwerk aufhalten“, unterstreicht Röder. Außerdem ließen sich so nicht nur akute Angriffe, sondern auch systematische Schwächen in der IT-Sicherheit erkennen.

Erfolgreiches „Threat Hunting“ erfordere dabei eine Kombination aus geeigneten „Tools“ und erfahrenem Personal. Automatisierte Systeme könnten große Datenmengen effizient durchsuchen – die Interpretation aber der Muster und Kontexte bleibe eine Stärke der Menschen. Die Hinweise durch automatisierte Analysen sollten daher durch erfahrene Analysten mit Know-how und Expertise bewertet werden.

Fazit: Präventive Cybersecurity als fortlaufenden Prozess verstehen und umsetzen

Röder gibt abschließend zu bedenken: „Wer die eigenen Schwachstellen nicht kennt, kann sie auch nicht schützen. Präventive Cybersecurity als fortlaufender Prozess schließt genau diese Lücke.“

• Mit der Kombination aus ganzheitlicher Transparenz, kontinuierlicher Analyse, externer Informationsgewinnung und aktivem „Threat Hunting“ könnten Unternehmen ihre Sicherheitslage nachhaltig verbessern.

Durch die zunehmende Komplexität und Dynamik der Bedrohungslandschaft sei dieser Ansatz sinnvoll und notwendig, um Risiken wirksam zu beherrschen und die eigene Resilienz zu stärken.

Weitere Informationen zum Thema:

censys
About Censys: Built for Practitioners and Researchers by Practitioners and Researchers

LinkedIn
Harald Röder – Censys, Senior Sales Engineer D-A-CH and Central Europe

datensicherheit.de, 23.04.2026
Mythos verändert alles: Gesamte Angriffsfläche der Unternehmen im Visier / „Mythos“ von Anthropic markiert laut Jay Kaplan einen „echten Wendepunkt in der Bedrohungslandschaft“

datensicherheit.de, 06.03.2026
Hybride Kriegsführung im Digitalzeitalter: KI-Systeme und Lieferketten als Teil der strategischen Angriffsfläche / Ismael Valenzuela kommentiert die zunehmende Bedeutung hybrider Kriegsführung, KI-gestützter Systeme und Lieferketten im Kontext geopolitischer Eskalationen

datensicherheit.de, 29.05.2025
Attack Surface Management unverzichtbar: ASM hilft, Online-Angriffsflächen zu erkennen, zu bewerten und zu minimieren / „Blinde Flecken“ in der eigenen IT-Infrastruktur geraten immer stärker ins Visier Cyberkrimineller – genau dort setzen ASM-Lösungen an

[datensicherheit.de, 28.04.2026] In seiner Stellungnahme vom 27. April 2026 geht der Digitalverband Bitkom e.V. auf den ersten Jahrestag des Bundesministeriums für Digitales und Staatsmodernisierung (BMDS) ein: Im Rückblick auf den 6. Mai 2025 zieht der Bitkom eine erste Zwischenbilanz. Demnach wurde in der Digitalpolitik vieles angestoßen, jedes dritte Vorhaben braucht aber noch den Startschuss. Von insgesamt 221 digitalpolitischen Vorhaben seien ressortübergreifend 19 abgeschlossen und 118 begonnen worden. 84 Vorhaben müssten noch gestartet werden.

Foto: Bitkom

Dr. Ralf Wintergerst zum 1. BMDS-Jahrestag: Die Regierungskoalition wird am Ende nicht daran gemessen, wie viele Strategien, Agenden und Absichtserklärungen sie produziert, sondern daran, was tatsächlich umgesetzt wird!

Nicht nur beim BMDS: Bitkom-Forderung, quer durch alle Ressorts auf die Umsetzung zu fokussieren

Somit habe die Bundesregierung neun Prozent ihrer digitalpolitischen Vorhaben über die Ziellinie gebracht, 53 Prozent seien in Umsetzung und 38 Prozent seien noch nicht begonnen worden – dies zeige der aktuelle „Monitor Digitalpolitik“ des Digitalverbands Bitkom.

• „Die Bundesregierung hat in ihrem ersten Jahr wichtige digitalpolitische Vorhaben angeschoben. Jetzt muss sie noch stärker die Umsetzung fokussieren, und zwar quer durch alle Ressorts!“, kommentiert der Bitkom-Präsident, Dr. Ralf Wintergerst.

Er betont: „Gerade bei Vorhaben, die noch nicht begonnen wurden, drängt die Zeit. Die Regierungskoalition wird am Ende nicht daran gemessen, wie viele Strategien, Agenden und Absichtserklärungen sie produziert, sondern daran, was tatsächlich umgesetzt wird.“ Würde die Bundesregierung ihre digitalpolitischen Vorhaben im bisherigen Tempo fortsetzen, wären zum Ende der Legislatur lediglich 95 Vorhaben vollständig umgesetzt – das entspräche 43 Prozent.

BMDS wurden 65 Digitalvorhaben zugeordnet

Das vor einem Jahr neu geschaffene Digitalministerium spiele hierbei eine zentrale Rolle: Dem BMDS seien 65 Digitalvorhaben zugeordnet worden, mehr als jedem anderen Ressort – und das BMDS lege Tempo vor: Knapp jedes zweite abgeschlossene Digitalvorhaben der Bundesregierung liege in der Federführung des Digitalministeriums.

• Es habe neun der ihm überantworteten Vorhaben bereits ins Ziel gebracht und 35 begonnen, 21 müssten noch gestartet werden. Eine große Rolle in der Digitalpolitik spielten außerdem das Bundesministerium für Wirtschaft und Energie (BMWE) mit 30 Vorhaben, das Bundesinnenministerium (BMI) mit 27 sowie das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) mit 22 Vorhaben.

Zu den bislang begonnenen Vorhaben zählten die Modernisierungsagenden, eine Beschleunigung des Netzausbaus, die „Rechenzentrumsstrategie“ sowie mit dem „Deutschland-Stack“ ein neuer Ansatz in der Verwaltungsdigitalisierung.

1. BMDS-Jahrestag sollte Ansporn sein, noch offene Schlüsselprojekte prioritär voranzubringen

Entscheidend ist aus Bitkom-Sicht nun, die noch offenen Schlüsselprojekte prioritär voranzubringen: Dazu zählten insbesondere der zügige Rollout des „Deutschland-Stack“ auf allen Ebenen, die Umsetzung der „EUDI-Wallet“, eine ambitionierte Startup-Strategie sowie deutlich stärkere Investitionen in Künstliche Intelligenz (KI) und andere Schlüsseltechnologien.

• Wintergerst führt aus: „Das erste Jahr war ein Jahr der Programmatik und des Anschiebens. Das zweite Jahr muss ein Jahr des Umsetzens werden: Deutschlands Digitalisierung braucht jetzt Tempo, Prioritäten und spürbare Fortschritte im Alltag von Verwaltung, Wirtschaft und Bürgerinnen und Bürgern!“

Welche digitalpolitischen Maßnahmen in den kommenden zwölf Monaten für die Menschen in Deutschland spürbar werden, erläutert Sophie Vogt-Hohenlinde, Leiterin „Public Affairs“ beim Bitkom, in der aktuellen Folge des Bitkom-Podcast „Tech Weekly“.

Weitere Informationen zum Thema:

bikom
Über uns

bitkom
Dr. Ralf Wintergerst: Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

bitkom
Sophie Vogt-Hohenlinde / Leiterin Public Affairs Bitkom e.V.

bitkom
Wie kommt die Bundesregierung voran? / Monitor Digital­politik

bitkom
Podcast – Ein Jahr BMDS: Wie ist die Digitalpolitik vorangekommen?

datensicherheit.de, 28.04.2026
Schlechte Noten von IT-Entscheidern: Zwischenbilanz zu einem Jahr Schwarz-Rote Digitalpolitik/ Trotz erster Fortschritte gebricht es der Digitalpolitik der Bundesregierung weiterhin an Durchschlagskraft – viele Maßnahmen bleiben im Ansatz stecken und entfalten noch nicht die notwendige Wirkung in der Breite

datensicherheit.de, 27.11.2025
BMDS-Etat 2026 laut eco unzureichend für Digitalen Aufbruch Deutschlands / eco-Vorstandsvorsitzender moniert Haushalt des neuen Digitalministeriums – dieser zeigt, wie schwer sich Deutschland weiterhin mit ernst gemeinter Digitalpolitik tut

datensicherheit.de, 14.04.2026
EUDI-Wallet in der Bevölkerung noch weitgehend unbekannt / Die sogenannte digitale Brieftasche – „EUDI-Wallet“ – soll Anfang 2027 Bundesbürgern eine echte digitale Identität verschaffen

datensicherheit.de, 18.01.2026
Deutschland-Stack: Bitkom kommentiert zweite Beteiligungsrunde / Dr. Bernhard Rohleder hebt dessen zentrale Bedeutung hervor und begrüßt das Voranschreiten der Entwicklung dieser nationalen souveränen Technologie-Plattform für die Digitalvorhaben in Deutschland