[datensicherheit.de, 06.03.2026] Die rasanten technologischen Entwicklungen der letzten Zeit haben auch die Prüfungsbranche vor erhebliche Veränderungen und neue Herausforderungen gestellt. Um Schritt zu halten, erhalten IT-Audit- und Assurance-Experten neue Werkzeuge an die Hand. Dazu gehört das von ISACA neu aufgelegte, kostenlose IT Audit Framework (ITAF): A Professional Practices Framework for IT Audit. Die überarbeitete 5. Auflage enthält eine aktualisierte Terminologie, neue Beispiele und einen erweiterten Anwendungsbereich. Damit trägt sie aufkommenden Technologien, Aspekten des digitalen Vertrauens und neuen Prüfungspraktiken besser Rechnung.

ITAF – Letzte Aktualisierung 2020

Als langjährige Grundlage für Audit- und Assurance-Experten wurde das ITAF zuletzt im Jahr 2020 aktualisiert. Das umfassende IT-Prüfungsrahmenwerk legt Standards fest, die Rollen und Verantwortlichkeiten, Ethik, erwartetes berufliches Verhalten sowie erforderliches Wissen und Fähigkeiten von IT-Prüfern und Assurance-Spezialisten behandeln. Es definiert Fachbegriffe und Konzepte für die IT-Prüfung und -Assurance und bietet Leitlinien sowie Techniken für die Planung, Durchführung und Berichterstattung von IT-Audit- und Assurance-Prüfungen.

Die 5. Auflage des ITAF erhöht nach eigenen Angaben  die Verständlichkeit und integriert die neuesten Ressourcen von ISACA, einschließlich Anleitungen zur KI-Prüfung. Sie zielt darauf ab, sowohl traditionelle Assurance-Funktionen als auch moderne Prüfungsteams zu unterstützen, die Datenanalyse, Automatisierung, agile Methoden und KI nutzen. Das neue Rahmenwerk legt einen stärkeren Schwerpunkt auf Governance, Transparenz und die Bereitschaft für fortschrittliche Technologien. Es bietet gleichzeitig praktischere, flexiblere und global relevantere Anleitungen.

Dies geschieht unter anderem durch:

• Modernisierung von Inhalt und Umfang: Die 5. Auflage aktualisiert Terminologie, Definitionen und Beispiele, um heutige Technologien – wie Cloud Computing, KI/maschinelles Lernen und Geschäftsautomatisierung – widerzuspiegeln. Sie geht damit über den traditionellen Fokus auf IT-Kontrollen der vorherigen Version hinaus.
• Integration von digitalem Vertrauen und neuen Technologien: Das neue Rahmenwerk integriert Konzepte des digitalen Vertrauens in Planung, Durchführung und Berichterstattung. Zudem fügt es Leitlinien für die Prüfung von KI/maschinellem Lernen hinzu, die auf die KI-Prüfungsleitlinien von ISACA und das umfassendere Ökosystem des digitalen Vertrauens abgestimmt sind.
• Erhöhte Flexibilität, Praktikabilität und Anwendbarkeit: Diese aktualisierte Ausgabe verwendet eine Sprache, die für Organisationen jeder Größe geeignet ist, ergänzt praktische Beispiele und verbessert die Übersichtlichkeit durch ein modernisiertes Layout.
• Erweiterte Prüfungspraktiken und Governance-Anforderungen: Die neue Version erweitert den Umfang der IT-Prüfung auf Datenanalyse, agile Prüfung, kontinuierliche Zusicherung (Continuous Assurance) und KI-Governance. Sie stellt zudem höhere Anforderungen an Transparenz, den ethischen Einsatz von Technologie und die Aufsicht über automatisierte Systeme.

„Da sich die Technologie rasant weiterentwickelt, müssen IT-Audit- und Assurance-Expertinnen und -Experten unbedingt mit den veränderten Technik- und Branchenstandards Schritt halten. Nur so können sie Prüfungen effektiv durchführen und sicherstellen, dass ihre Organisationen die gesetzlichen Anforderungen erfüllen“, so Mary Carmichael, Executive Advisor und Principal Director, Strategy and Risk bei Momentum Technology, Vorstandsmitglied des ISACA Vancouver Chapter und Hauptentwicklerin der 5. ITAF-Auflage. „Das erweiterte und aktualisierte ITAF gibt IT-Prüferinnen und -Prüfern ein robustes Werkzeug und eine verlässliche Orientierungshilfe an die Hand. Damit können sie die neuen Herausforderungen von heute meistern und in einem immer komplexeren und vernetzteren digitalen Ökosystem für Vertrauen sorgen.“

Weitere Informationen zum Thema:

ISACA
IT Audit Framework (ITAF), 5th Edition | Digital | English

ISACA
Expert guidance and practical tools to stay ahead of the curve in your IT audit and assurance career

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften

[datensicherheit.de, 06.03.2026] Die Zusammenarbeit mit externen Partnern stellt Unternehmen in Deutschland zwangsläufig vor erhöhte Herausforderungen auf dem Gebiet der Cybersicherheit: Knapp ein Drittel (29%) der Unternehmen in Deutschland war nach aktuellen Kaspersky-Erkenntnissen in den vergangenen zwölf Monaten von einem Angriff auf die Lieferkette betroffen; 26 Prozent zudem von sogenannten Trusted-Relationship-Angriffen. Die häufigste Konsequenz dieser Angriffe sind demnach: Betriebsunterbrechungen (50%), Reputationsschäden (46%) und finanzielle Verluste (34%). Dennoch stuften lediglich fünf Prozent „Supply Chain“-Angriffe beziehungsweise drei Prozent „Trusted Relationship“-Angriffe als größte Bedrohung für ihr Unternehmen ein. Dies spricht laut Kaspersky für eine „Diskrepanz zwischen wahrgenommenen Cyberrisiken und deren Priorisierung in der Praxis“.

Abbildung: Kaspersky

Diskrepanz: Betroffenheit vs. Wahrnehmung der Bedrohung der Lieferkette

Nur 5% der Befragten stufen Angriffe auf die Lieferkette als größte Bedrohung

29 Prozent der Unternehmen in Deutschland seien in den vergangenen zwölf Monaten von einem „Supply Chain“-Angriff, 26 Prozent von einem „Trusted Relationship“-Angriff betroffen gewesen.

• Als mögliche Konsequenz im Falle von „Supply Chain“- und „Trusted Relationship“-Angriffen habe die Hälfte (50%) der Befragten in Deutschland Betriebsunterbrechungen genannt – gefolgt von Reputationsschäden (46%) und finanziellen Verlusten (34%).

Allerdings zeige sich eine Widersprüchlichkeit zwischen den Angriffszahlen, den Auswirkungen und der Einordnung als Bedrohung. Denn nur fünf Prozent der befragten technischen Experten stuften „Supply Chain“-Angriffe und drei Prozent „Trusted Relationship“-Angriffe als größte Bedrohung für ihr Unternehmen ein.

Mittelgroße Unternehmen in Deutschland am häufigsten von Angriffen auf die Lieferkette betroffen

Wie die Kaspersky-Umfrage gezeigt habe, steige in Deutschland die durchschnittliche Anzahl der Software- und Hardwarelieferanten mit der Unternehmensgröße: Bei Unternehmen mit 500 bis 1.499 Mitarbeitern liege sie bei 105, bei 1.500 bis 2.499 Mitarbeitern bei 192 und bei 2.500 oder mehr Mitarbeitern bei 536 Software- und Hardwarelieferanten.

• Betroffen von „Supply Chain“Angriffen seien jedoch am häufigsten Unternehmen mit 1.500 bis 2.499 Mitarbeitern (36%) gewesen, gefolgt von Unternehmen mit 500 bis 1.499 Mitarbeitern (30%). Bei Unternehmen mit 2.500 oder mehr Mitarbeitern habe der Anteil bei elf Prozent gelegen. Zusätzlich zeige sich, „dass sich die durchschnittliche Zahl externer Auftragnehmer mit Systemzugang je nach Unternehmensgröße unterscheidet“.

Diese steige von 45 bei Unternehmen mit 500 bis 1.499 Mitarbeitern auf 140 bei Unternehmen mit 2.500 Mitarbeitern oder mehr an. Eine hohe Zahl externer Auftragnehmer mit Systemzugang könne neben „Supply Chain“-Risiken potenziell auch „Trusted Relationship“-Angriffe begünstigen, bei denen legitime Verbindungen und Zugänge zwischen Organisationen missbraucht würden.

Lieferketten- und „Trusted Relationship“-Angriffe im internationalen Vergleich

International zeige sich ein vergleichbares, teils noch ausgeprägteres Bild: „Weltweit waren 31 Prozent der Unternehmen von ,Supply Chain’-Angriffen betroffen, 25 Prozent meldeten ,Trusted Relationship’-Angriffe. Besonders häufig berichteten Unternehmen in der Türkei (35%), Singapur (33%) und Mexiko (31%) von Angriffen über bestehende Geschäftsbeziehungen.“

• Gleichzeitig werde die Gefährlichkeit von „Supply Chain“-Angriffen in einigen Ländern deutlich stärker wahrgenommen als im globalen Durchschnitt: In Singapur stuften 38 Prozent der Unternehmen diese Angriffe als eine der drei gefährlichsten Cyberbedrohungen ein, in Brasilien und Kolumbien jeweils 36 Prozent, in Mexiko 35 Prozent. Weltweit hingegen sähen nur neun Prozent der befragten technischen Experten „Supply Chain“-Angriffe als größte Bedrohung, „lediglich acht Prozent nennen ,Trusted Relationship’-Angriffe als Top-Risiko – obwohl mehr als die Hälfte der Befragten (52%) angebe, dass solche Vorfälle erhebliche operative Störungen verursachen können“.

„Unternehmen agieren in einem digitalen ,Ökosystem’, in dem jede Verbindung, jeder Lieferant, jede Integration Teil der eigenen Sicherheit wird“, so Sergey Soldatov, „Head of Security Operations Center“ bei Kaspersky, in seinem Kommentar. Er führt aus: „Da Unternehmen immer stärker vernetzt sind, wächst auch ihre Anfälligkeit für Angriffe. Vor diesem Hintergrund erfordert der Schutz moderner Unternehmen heute einen ,ökosystem’-weiten Ansatz, der nicht nur einzelne Systeme stärkt, sondern das gesamte Beziehungsnetzwerk, das den Geschäftsbetrieb aufrechterhält!“

Kaspersky-Empfehlungen zur Reduzierung der Cyberrisiken entlang der Lieferkette:

• Lieferanten vor Vertragsabschluss gründlich prüfen!
  Sicherheitsrichtlinien, Informationen zu früheren Vorfällen sowie die Einhaltung relevanter Industriestandards bewerten. Bei Software- und Cloud-Services zusätzlich verfügbare Schwachstellendaten sowie Ergebnisse von Penetrationstests berücksichtigen.
• Sicherheitsanforderungen vertraglich festschreiben!
  Verbindliche IT-Security-Klauseln definieren, regelmäßige Audits einplanen und die Einhaltung interner „Policies“ sowie klarer „Incident Notification“-Prozesse sicherstellen.
• Präventive technische Maßnahmen etablieren!
  Prinzip der minimalen Rechtevergabe („Least Privilege“), Zero-Trust-Ansätze und ein reifes Identity- und Access-Management umsetzen, um die Auswirkungen bei einer Kompromittierung eines Zulieferers zu begrenzen.
• Kontinuierliches Monitoring sicherstellen!
  Laufende Überwachung der Infrastruktur und Anomalie-Erkennung in Software- sowie Netzwerkverkehr etablieren – je nach internen Ressourcen etwa mit XDR- oder MXDR-Ansätzen. („Kaspersky Next XDR Expert“ sowie „Kaspersky Managed Detection and Response“ können hierzu Unterstützung bieten).
• Incident-Response-Plan erweitern!
  Reaktionspläne explizit um „Supply Chain“-Szenarien ergänzen – inklusive klarer Schritte zur schnellen Identifikation, Eindämmung und Trennung kompromittierter Supplier-Zugänge, beispielsweise zur Entkopplung des Lieferanten von Unternehmenssystemen.
• Lieferanten in die eigene Sicherheit einbeziehen!
  Sicherheitsanforderungen und Verbesserungen beidseitig abstimmen, gemeinsame Prioritäten definieren und operative Zusammenarbeit wie Meldewege, Übungen und Lehren etablieren.

Weitere Informationen zum Thema:

kaspersky
Cyberimmunität ist unser erklärtes Ziel / Wir sind ein Team von über 5.000 Fachleuten mit einer über 25-jährigen Erfolgsgeschichte im Schutz von Privatpersonen und Unternehmen weltweit und haben uns die weltweite Cyberimmunität als ultimatives Ziel gesetzt.

Linkedin
Sergey Soldatov / Information Security Professional, vCISO

kaspersky
Supply chain reaction: securing the global digital ecosystem in an age of interdependence

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 02.06.2025
Die Angst vor dem schwächsten Glied: Cybersicherheit in der Lieferkette / Laut einer aktuellen Umfrage von Sophos haben die meisten der leitenden Manager Bedenken, dass die Integrität ihres Unternehmens durch Cybergefahren entlang der Lieferkette beeinträchtigt werden kann

datensicherheit.de, 20.04.2025
Kritische Infrastrukturen: Jede zweite Organisation unzureichend vor Cyber-Attacken in der Lieferkette geschützt / Erkenntnisse aus aktueller „DNV Cyber-Studie“ legen verstärkten Fokus auf Lieferanten nahe

[datensicherheit.de, 06.03.2026] Aktuelle Entwicklungen rund um den Iran zeigen aktuell offensichtlich auf, wie eng geopolitische Spannungen und Cyberoperationen inzwischen miteinander verwoben sind. Ismael Valenzuela, „VP of Threat Intelligence Research“ bei Arctic Wolf, geht in seiner aktuellen Stellungnahme auf die zunehmende Bedeutung hybrider Kriegsführung, KI-gestützter Systeme und Lieferketten im Kontext geopolitischer Eskalationen ein.

Foto: Arctic Wolf

Ismael Valenzuela warnt: Bereits subtile Manipulationen von Eingaben oder „Workflows“ können erhebliche Auswirkungen auf Beschaffung, Logistik und Reaktionsfähigkeit haben!

OT, Rechenzentren, KI-Integrationsschichten und Informations-„Ökosysteme“ Teil des umkämpften Raums

„Was wir derzeit beobachten, ist hybride Kriegsführung in großem Maßstab – koordinierte kinetische Operationen gegen den Iran, vorbereitende Cyberaktivitäten sowie eine zu erwartende Welle iranischer und durch Stellvertreter geführter Einflusskampagnen, die die Grenzen zwischen militärischem Konflikt und zivilem Umfeld zunehmend verschwimmen lassen“, kommentiert Valenzuela.

• Organisationen weltweit müssten also davon ausgehen, dass ihre „Operational Technology“ (OT), Rechenzentren, KI-Integrationsschichten und Informations-„Ökosysteme“ Teil dieses umkämpften Raumes seien – „unabhängig davon, ob sie sich selbst als ,Ziel‘ betrachten oder nicht“.

Der Einsatz Künstlicher Intelligenz (KI) in der Kriegsführung sei längst keine theoretische Annahme mehr. „Wenn geopolitische Spannungen zunehmen, werden digitale Steuerungsebenen – insbesondere jene, die mit Automatisierung und Entscheidungsunterstützung verknüpft sind – zu strategischem Terrain!“, betont Valenzuela. Die Integrationsschichten, welche KI-Agenten mit internen Systemen, APIs und externen Datenquellen verbinden, zählten inzwischen zur Kritischen Infrastruktur (KRITIS).

KI-Framework bzw. -Anbieter per se weniger entscheidend als deren konsequente Kontrolle

Da Automatisierungsschichten über persistente Kontextinformationen verfügten und direkten Zugriff auf operative Systeme erhielten, entstünden faktisch neue angreifbare Steuerungsebenen. „Bereits subtile Manipulationen von Eingaben oder ,Workflows’ können erhebliche Auswirkungen auf Beschaffung, Logistik und Reaktionsfähigkeit haben.“

• Das eigentliche Risiko liege daher nicht darin, welches KI-Framework oder welchen Anbieter ein Unternehmen bevorzugt, sondern darin, „ob diese integrierten Entscheidungsunterstützungs-Systeme mit derselben Strenge erfasst, überwacht und auf Belastbarkeit getestet werden wie die Netzwerke und Umgebungen, die sie beeinflussen“.

Valenzuela gibt zu bedenken: „Wenn Organisationen auf staatliche Systeme, globale Zulieferer oder automatisierungsgetriebene Entscheidungsprozesse angewiesen sind, müssen diese Abhängigkeiten dokumentiert, kontinuierlich neu bewertet und ausdrücklich in Krisensimulationen einbezogen werden!“

KI-basierte Kompromittierung der Lieferkette als Teil der Risikobewertung

Denn diese Operationen zur Einflussnahme würden zunehmend nicht nur Menschen direkt ins Visier nehmen, sondern vor allem jene Systeme, die Menschen informieren und ihre Entscheidungen prägen.

• Am stärksten werde sich dieser Wandel in den Lieferketten bemerkbar machen: „Exportkontrollen werden verschärft, Beschränkungen für Seltene Erden ausgeweitet, und Lieferkettenstrukturen werden immer kleinteiliger.“ Damit erweitere sich nun auch die Angriffsfläche: „Sie umfasst nicht mehr nur Code und Hardware, sondern auch Daten und KI-gestützte Prozesse, die darüber entscheiden, welche Komponenten von wem und unter welchen Rahmenbedingungen beschafft werden.“

In diesem Kontext könne eine Kompromittierung der Lieferkette zu manipulierten Firmware- oder Software-Updates, verfälschten Lieferanteninformationen oder durch KI verzerrte Risikobewertungen führen, welche kritische Abhängigkeiten unbemerkt in Einflussbereiche gegnerischer Akteure zu verschieben drohten.

Weitere Informationen zum Thema:

ARCTIC WOLF
Wir sorgen dafür, dass die Sicherheit funktioniert.

ARCTIC WOLF
Ismael Valenzuela

datensicherheit.de, 23.10.2025
Wenn die Software-Lieferkette ins Visier gerät: Effektives Schwachstellen-Management vorhalten / Cyberangriffe gehören längst zur Normalität – besonders kritisch wird es indes, wenn Täter einzelne Komponenten der Software-Lieferkette attackieren

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 02.06.2025
Die Angst vor dem schwächsten Glied: Cybersicherheit in der Lieferkette / Laut einer aktuellen Umfrage von Sophos haben die meisten der leitenden Manager Bedenken, dass die Integrität ihres Unternehmens durch Cybergefahren entlang der Lieferkette beeinträchtigt werden kann

[datensicherheit.de, 05.03.2026] Zimperium, Anbieter von Echtzeitschutz für Mobilgeräte, analysiert in einem neuen Blog-Beitrag, wie regulatorische Veränderungen und Fortschritte beim Einsatz Künstlicher Intelligenz (KI) die mobile Bedrohungslandschaft verändern und neue Herausforderungen schaffen. Mobilgeräte und Apps zählten zu den größten Angriffsflächen im Unternehmen. Da Cyberkriminelle offenbar eine „Mobile First“-Angriffsstrategie verfolgten, beschleunige die Kombination aus neuen regulatorischen Richtlinien und KI-gesteuerter Entwicklung, wie mobile Apps gebaut, verteilt und von Angreifern ausgenutzt werden.

Foto: Zimperium

Krishna Vishnubhotla zur KI-Ambivalenz: Organisationen liefern mobile Software schneller aus, während Angreifer neue KI-Technologien nutzen, um sie schneller kompromittieren zu können

Drittanbieter-Software birgt zusätzliche Risiken

Grundsätzlich legten Regulierungsbehörden mehr Wert auf die Sicherheit mobiler Anwendungen, da Apps zunehmend Zahlungen, digitale Identitäten und sensible Unternehmensdaten verarbeiteten.

• Neue regulatorische Anforderungen durch den Gesetzgeber veränderten aber auch das mobile „Ökosystem.“

So schrieben EU-Regeln vor, dass Apple alternative App-Marktplätze zulassen müsse. Einerseits entstünden erweiterte Vertriebswege für mobile Apps — andererseits stiegen durch ungeprüfte Drittanbieter-Software auch die potenziellen Risiken.

KI beschleunigt Entwicklung mobiler Software – aber auch Zuspitzung der Bedrohungslage

„Mobile Sicherheit tritt in eine neue Phase ein, in der sowohl Politik als auch neue Technologien die Risiken erhöhen“, so Krishna Vishnubhotla, „Vice President of Product Strategy“ bei Zimperium.

• Er führt weiter aus: „Organisationen liefern mobile Software schneller aus, während Angreifer neue KI-Technologien nutzen, um sie schneller kompromittieren zu können. Angesichts dieser Entwicklungen müssen auch Sicherheitstechnologien schnell weiterentwickelt werden!“

Die vorliegende vollständige Analyse von Zimperium untersucht demnach, wie regulatorische Veränderungen und KI-gesteuerte Entwicklung das mobile Risiko beschleunigen und warum Unternehmen den Schutz sowohl für mobile Apps als auch für die von Mitarbeitern abhängigen Geräte verstärken müssen.

Weitere Informationen zum Thema:

ZIMPERIUM
Zimperium / The World Leader in Mobile Device & Application Security

ZIMPERIUM
Krishna Vishnubhotla / Mobile App Security Expert

ZIMPERIUM, Krishna Vishnubhotla, 05.03.2026
2026 Mobile Security: How Regulation and AI Are Reshaping Risk

datensicherheit.de, 04.05.2025
Zimperiums Global Mobile Threat Report 2025: Mobilgeräte als bevorzugter Angriffsvektor Cyber-Krimineller / Zimperium-Forscher der „zLabs“ analysierten Bedrohungsdaten, um sich entwickelnde und komplexe Angriffe sowie Schwachstellen aufzudecken

datensicherheit.de, 20.02.2025
Zimperium-Studie: Deutliche Zunahme von Mobile-Phishing-Angriffen / Neuer „zLabs Mishing Report“ ermittelt Anstieg von Betrug per SMS, QR-Code oder E-Mail

[datensicherheit.de, 05.03.2026] Quasi kostenlos Software aus inoffiziellen Quellen zu beziehen, mag auf den ersten Blick harmlos erscheinen, aber für Unternehmen kann sie schnell zum ernsthaften Sicherheitsproblem werden: „Barracuda Managed XDR“ hat demnach im vergangenen Monat mehrere Fälle identifiziert, in denen Mitarbeiter versucht haben, nicht lizenzierte Software auf ihren Arbeitsgeräten zu installieren. Barracuda-Expertin Laila Mubashar, erörtert in ihrer aktuellen Stellungnahme Maßnahmen zur Prävention und Absicherung.

Raubkopien bzw. gecrackte Versionen von Software enthalten häufig schädliche Inhalte

Mubashar berichtet: „,Barracuda Managed XDR’ konnte im vergangenen Monat mehrere Fälle identifizieren, in denen Mitarbeitende in Unternehmen versucht haben, raubkopierte oder gecrackte Versionen von Software auf ihren Arbeitsgeräten zu installieren.“

• Die Ergebnisse hat Barracuda in einem aktuellen Report beschrieben, welcher die Warnsignale hervorhebt, auf die geachtet werden sollte.

Raubkopien (d.h. illegal kopierte) und gecrackte (somit manipulierte) Versionen von Software enthielten häufig schädliche Inhalte und könnten zu Malware- und Ransomware-Infektionen, Diebstahl von Anmeldedaten, „Krypto-Mining“, Session-Hijacking, Software-Kompromittierung und weiteren Risiken führen. „Illegale Software kann zudem nicht wie legitime Software gepatcht und aktualisiert werden, so dass vorhandene Sicherheitslücken bestehen bleiben!“, warnt Mubashar.

Von Barracuda identifizierte Anzeichen für illegale Software-Aktivitäten:

• Neue oder unerwartete ausführbare Dateien
  Im vergangenen Monat habe das „Security Operations Center“ (SOC) von Barracuda wiederholt drei Arten verdächtiger ausführbarer Dateien identifiziert – „activate.exe“, „activate.x86.exe“ und „activate.x64.exe“. Dabei handele es sich um generische Dateinamen, welche nicht zu einer bestimmten Art von Malware gehörten, sondern gewählt worden seien, um legitim zu klingen und normal zu erscheinen. Diese tauchten häufig in raubkopierten bzw. gecrackten Software-Paketen, Phishing-Anhängen, gefälschten Software-Installationsprogrammen und ähnlichen Quellen auf.
• Ausführbare Dateien, welche in für Nutzer zugänglichen Ordnern gespeichert sind
  Diese verdächtigen „activate.exe“-Dateien tauchten an für Nutzer zugänglichen Orten auf, beispielsweise in ihren „Downloads“-Ordnern.
• Dateiausführung unmittelbar nach Browser-Aktivitäten
  Die Dateien – oftmals große, passwortgeschützte ZIP-Dateien – würden unmittelbar nach Browser-Aktivitäten, beispielsweise in „Chrome“ oder „Microsoft Edge“, manuell ausgeführt, häufig über „explorer.exe“.
• Nutzerinteraktion
  Raubkopien oder gecrackte Software erforderten manuelle Benutzerinteraktion, um die Software – und damit auch die schädliche Nutzlast – zu installieren und zu aktivieren. Manuelle Aktivitäten im Zusammenhang mit einem Software-Download seien üblicherweise ein Anzeichen für die Nutzung illegaler Software.
• Weitere Warnsignale
  Diese umfassten das Vorhandensein von Anleitungsdateien im Software-Paket, welche bei automatisierten Malware-Infektionen üblicherweise nicht vorhanden seien, sowie Versuche, Lizenzprüfungen zu umgehen.

Unternehmen sollten konsequent nur explizit genehmigte Software auf Arbeitsgeräten erlauben

Alle o.g. identifizierten Fälle seien vom „Barracuda Managed XDR“-SOC neutralisiert worden, bevor sie sich dauerhaft im System hätten festsetzen können. Mubashar führt aus: „Mitarbeitende, die kostenlose, inoffizielle oder nicht lizenzierte Software auf ihre Arbeitsgeräte herunterladen, stellen ein erhebliches Sicherheitsrisiko dar, da diese zum Einfallstor für schwerwiegende Sicherheitsvorfälle werden können!“

Unternehmen müssten daher dringend Schutzmaßnahmen ergreifen, um ihre Mitarbeiter auch vor sich selbst zu schützen. Ein Fokus sollte dabei auf fortschrittlichen, rund um die Uhr verfügbaren Sicherheitslösungen, limitierten Berechtigungen und Nutzerschulungen liegen. Um eben Mitarbeiter und „Assets“ bestmöglich vor durch Raubkopien oder gecrackte Software verursachten Risiken zu schützen, könnten Unternehmen verschiedene Maßnahmen ergreifen:

• Unbekannte oder nicht autorisierte ausführbare Dateien in Echtzeit blockieren!
• Lokale Administratorrechte beschränken und eine Genehmigung für alle Software-Installationen verlangen!
• Nur genehmigte Software auf Arbeitsgeräten erlauben!
• „Downloads“- und temporäre Ordner auf ausführbare Dateien hin überprüfen!
• Richtlinien zur akzeptablen Nutzung einführen und Nutzerschulungen zur Sensibilisierung und Vermeidung von risikoreichem Verhalten durchführen!

Weitere Informationen zum Thema:

Barracuda
Barracuda ist ein führendes Cybersicherheitsunternehmen, das vollständigen Schutz vor komplexen Bedrohungen bietet

Barracuda
Laila Mubashar

Barracuda, Laila Mubashar, 04.03.2026
Threat Spotlight: The business risks of pirate software / Employees downloading illegal versions of software risk data breaches and more as most comes loaded with malware.

datensicherheit.de, 24.09.2025
Workarounds und Schatten-IT: Streben nach Produktivität kann Sicherheitsrisiko erhöhen / Wenn Mitarbeiter Wege finden, Arbeit schneller oder besser zu erledigen, die Bearbeitung von Zugriffsanfragen durch die IT-Abteilung aber zu lange dauert oder zu kompliziert ist, dann finden diese oftmals „kreative“, gleichwohl potenziell gefährliche Lösungen, um trotzdem weiterarbeiten zu können

datensicherheit.de, 16.11.2022
Schatten-IT verhindern: Datensicherheit und Nutzerfreundlichkeit in Einklang bringen / Durch geeignete IT-Lösungsangebote für Mitarbeiter die Verwendung illegaler Software reduzieren und die Datensicherheit stärken

datensicherheit.de, 01.12.2020
NetMotion: Die Top-5 der Schatten-IT in Unternehmen / 62 Prozent der mobilen Mitarbeiter nutzen Schatten-IT

[datensicherheit.de, 05.03.2026] In seiner aktuellen Stellungnahme geht Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, auf ein neuartiges, von den „KnowBe4 Threat Labs“ vor Kurzem aufgespürtes Phishing-as-a-Service-Kit namens „Kratos“ ein. „Kratos“ ermöglicht demnach selbst cyberkriminellen Anfängern die Durchführung hochkomplexer Cyberangriffe.

Foto: KnowBe4

Dr. Martin J. Krämer rät Unternehmen zum Einsatz eines modernen „Human Risk Management“-Systems

Auch große Angriffe auf mehr als 20 Staaten mit „Kratos“-Hilfe problemlos umsetzbar

Vor Kurzem haben Sicherheitsanalysten der „KnowBe4 Threat Labs“ einen ersten Bericht zum Anfang 2026 aufgespürten Phishing-as-a-Service-Kit „Kratos“ vorgestellt.

• „Kratos“ ist demnach eine ganzheitliche Phishing-Plattform, spezialisiert auf webbasiertes „Harvesting“ und das Management von Opferdaten. Diese sei entwickelt worden, um das Kampagnenmanagement zu zentralisieren und fortschrittliche Phishing-Tools zu demokratisieren.

Selbst sehr große Angriffe, welche sich auf mehr als 20 Staaten erstreckten, seien mit ihrer Hilfe problemlos umsetzbar – gleichermaßen für fortgeschrittene wie noch unerfahrene Cyberkriminelle.

Mit „Kratos“ Abrechnungs- und Verwaltungsabläufe von „Adobe Creative Cloud“- und „Adobe Document Cloud“-Nutzern überzeugend nachzuahmen

Krämer berichtet: „Erstmals kamen die Analysten dem ,Kratos’-Kit auf die Spur, als sie auf einen hochentwickelten Social-Engineering-Angriff mit ,Adobe’-Thematik stießen.“ Den Angreifern sei es – eben dank „Kratos“ – gelungen, die Abrechnungs- und Verwaltungsabläufe von „Adobe Creative Cloud“- und „Adobe Document Cloud“-Nutzern überzeugend nachzuahmen und für ihre bösartigen Aktivitäten zu missbrauchen.

• Die „Kratos“-Plattform arbeitet laut Krämer mit einer „zirkulären, hochgradig widerstandsfähigen Logik“, welche darauf ausgelegt sei, die Datenerfassung zu maximieren und gleichzeitig die Spuren des Angreifers zu minimieren. Das Kit-Backend erfasse wichtige Besucherdaten und Geolokalisierungen, welche im Webserver-Speicher abgelegt würden, um etwaige Sicherheitsforscher und Nicht-Zielregionen von vorneherein aus dem Opferkreis auszuschließen.

„Gelingt es, die Opfer so zu manipulieren, dass sie ihre ,Credentials’ eingeben, nutzt das Kit eine ,JavaScript’-basierte entkoppelte Architektur, um die exfiltrierten Daten zu verarbeiten. Sie werden in das ,JSON’-Format überführt – ein häufig verwendetes XML-basiertes Format – und dann direkt an den ,Telegram’-Kanal des Angreifers versandt, wo dieser sie dann für weitere bösartige Aktivitäten missbrauchen kann.“

Mehrere Kampagnencluster identifiziert, welche das „Kratos“-Kit nutzten

„Kratos“ mache es dabei auch wenig erfahrenen Angreifern relativ leicht, ausgeklügelte Multi-Vektor-Kampagnen auszuführen, welche noch vor wenigen Jahren professionellen, hochqualifizierten Bedrohungsakteure vorbehalten geblieben wären. Weltweit seien solche und ähnliche Kits auf dem Vormarsch.

• „Experten gehen davon aus, dass sich schon zum Ende des Jahres über 90 Prozent aller ,Credential’-Kompromittierungsversuche auf solche und ähnliche Phishing-as-a-service-Kits zurückverfolgen lassen werden.“ „Kratos“ werde dann, davon sei auszugehen, weit vorne mit dabei sein. Krämer führt weiter aus: „Bereits im ersten Quartal 2026 konnten die ,KnowBe4 Threat Labs’ mehrere Kampagnencluster identifizieren, die das ,Kratos’-Kit zum Ausgangspunkt hatten.“

Angreifer seien mit diesen Kampagnen-Kits sehr erfolgreich. Mit den Multi-Vektor-Payloads von „Kratos“ (die bösartige QR-Codes, EML-Anhänge und sogar ICS-Kalenderdateien enthalten könnten) operierten sie äußerst effektiv.

Mitarbeiter zur besten Verteidigung gegen Cyberbedrohungen wie „Kratos“ machen

Um sich erfolgreich gegen diese wachsende Phishing-Kit-Angriffswelle verteidigen zu können, raten die „KnowBe4 Threat Labs“ Unternehmen zu einem Wechsel ihrer bisherigen Verteidigungsstrategie – weg von rein statischen, reaktiven Verteidigungsmaßnahmen, hin zu einem mehrschichtigen, proaktiven Sicherheitsansatz.

• Entscheidend sei dabei eine kontinuierliche Fokussierung auf den Sicherheitsfaktor „Mensch“. Er dürfe dabei nicht nur als Risiko, sondern er müsse sogar als erste und widerstandsfähigste Verteidigungslinie der IT-Sicherheit eines jeden Unternehmens verstanden, auf- und ausgebaut werden. „Am effektivsten – da umfassendsten – hilft hier der Einsatz eines modernen ,Human Risk Management’-Systems. Seine Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen“, so Krämer.

Seine modernen Anti-Phishing-E-Mail-Technologien kombinierten KI mit „Crowdsourcing“, um auch neueste „Zero Day“-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Krämer unterstreicht abschließend: „Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, ihre Risiken signifikant zurückzufahren und ihre Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen wie ,Kratos’ zu machen.“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

knowbe4, KnowBe4 Threat Lab, Jeewan Singh Jalal & Prabhakaran Ravichandhiran & Anand Bodke, 27.02.2026
The Rise of Kratos: How the New Phishing-as-a-Service Kit Industrializes Cybercrime

KnowBe4
The Future of Phishing Defense: AI Meets Crowdsourcing

datensicherheit.de, 06.04.2025
KI ermöglicht Cyber-Betrug 2.0: TEHTRIS-Studie zu Deepfake-as-a-Service / Industrialisierung von Deepfakes und KI im Dienste der Cyber-Kriminalität – neue Welle automatisierter und ausgeklügelter Bedrohungen befürchtet

datensicherheit.de, 28.03.2025
Medusa: Ransomware-as-a-Service seit 2021 aktiv – aktuell mit verstärkter Aktivität / FBI und CISA informieren über Ransomware-Bedrohung in den USA

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung / Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich

[datensicherheit.de, 04.03.2026] Javvad Malik, leitender „CISO Advisor“ bei KnowBe4, betont die durch eine aktuelle KnowBe4-Umfrage gestützte Warnung, dass Dringlichkeit als wichtigstes Indiz beim Erkennen betrügerischer E-Mails gelten sollte. Denn die Zeiten, in denen man Phishing-E-Mails etwa an ihrer schlechten Grammatik erkennen konnte, sind demnach vorbei. Die neue Umfrage von KnowBe4 zeigt laut Malik, dass Mitarbeiter nicht mehr Rechtschreibfehler im Text, sondern den Versuch, ein Gefühl der Dringlichkeit zu vermitteln, als zuverlässigstes Erkennungsmerkmal für Betrugsversuche ansehen sollten.

Foto: KnowBe4

Javvad Malik gibt zu bedenken, dass die menschliche Intuition ein digitales Sicherheitsnetz benötigt

In Folge des KI-Einsatzes sind E-Mails von Hackern immer schwerer von legitimen Nachrichten zu unterscheiden

Die erhobenen Daten zeigten, dass 34 Prozent der Befragten nun das „Erzeugen von Druck, schnell zu handeln“ als wichtigstes Warnsignal für eine betrügerische E-Mail identifizierten.

• Das Erkennen dieser psychologischen Taktik bei verdächtigen E-Mails habe somit andere Indikatoren – wie z.B. unbekannte Absenderadressen (23%), Anfragen nach sensiblen Informationen (23%) und schlechte Rechtschreibung oder Grammatik (20%) – überholt.

„Dank KI sind E-Mails von Hackern immer schwerer von legitimen Nachrichten zu unterscheiden, da die Texte mittlerweile in jeder Sprache perfekt geschrieben sind. Ein wichtiges Warnsignal ist jedoch nach wie vor der Wunsch des Angreifers, Personen dazu zu bringen, schnell eine gewisse Handlung durchzuführen”, erläutert Malik.

E-Mails, welche sofortiges Handeln verlangen, sind mit einer gewissen Skepsis zu betrachten

Malik führt aus: „Indem die Angreifer vorgeben, dass es sich bei der Angelegenheit um eine zeitkritische Situation handelt, hoffen sie, gerade jenes Verantwortungsgefühl auszunutzen, das Unternehmen normalerweise bei ihren Mitarbeitern schätzen. Unsere Daten zeigen jedoch, dass Mitarbeiter nicht immer so leicht zu täuschen sind. Sie erkennen mittlerweile, dass E-Mails, die sofortiges Handeln verlangen, mit einer gewissen Skepsis zu betrachten sind.“

• Mitarbeiter seien sich auch bewusst, dass Angriffe von Außenstehenden nicht die einzige Bedrohung für sensible Unternehmensdaten sind: Fast die Hälfte (44%) der Arbeitnehmer gebe an, dass das „Versenden an den falschen Empfänger“ ihre größte Sorge beim Versenden von Arbeits-E-Mails sei.

Dies zeige, dass einfache menschliche Fehler offenbar häufig mehr Anlass zur Sorge gäben als das Risiko gezielter Phishing-Angriffe (20%). Darüber hinaus seien 19 Prozent besorgt, versehentlich vertrauliche Informationen in ihre E-Mails aufzunehmen.

Unsicherheit und Nervosität beim Versand von E-Mails beeinflusst Arbeitsweise

„In Hinblick auf die Natur menschlichen Verhaltens ist es nachvollziehbar, dass die Angst vor einem individuellen Fehler beim Einzelnen eine große Rolle spielt“, so Malik. Wenn indes Mitarbeiter auf eine Phishing-E-Mail hereinfallen, sähen sie sich oft in erster Linie als Opfer eines böswilligen Angreifers.

• „Sendet man jedoch vertrauliche Informationen an die falsche Person, dann sieht man den Fehler und die Schuld eher bei sich selbst. Die Folgen solcher Missgeschicke sind in der Tat nicht zu unterschätzen, da sie schnell zu schwerwiegenden Datenpannen und kostspieligen DSGVO-Problemen eskalieren können.“

Die Unsicherheit und Nervosität beim Versand von E-Mails verändere auch unsere Arbeitsweise. Um der Angst vor einem Fehler am Arbeitsplatz entgegenzuwirken, überprüften mehr als die Hälfte (52%) der Arbeitnehmer jedes Mal die Empfänger und Anhänge. Allerdings überprüften nur zwölf Prozent die E-Mails auf sensible Informationen – ein eigentlich mindestens ebenso wichtiger Schritt.

„Security Coaching“ und Automatisierung zur Stärkung der Sicherheit beim Umgang mit E-Mails

Um sowohl den externen Cyberbedrohungen als auch den internen Sicherheitsrisiken zu begegnen, setzten nun Unternehmen zunehmend auf ausgeklügelte Support-Systeme. „Die Realität ist, dass die menschliche Intuition ein digitales Sicherheitsnetz benötigt!“, unterstreicht Malik.

• Mittels Kombination von Echtzeit-Sicherheitscoaching mit automatisierten Schutzmaßnahmen könnten sie Mitarbeitern helfen, die Falle der wahrgenommenen Dringlichkeit zu umgehen und ihnen die nötige Sicherheit zu geben, um Vorfälle zu erkennen, bei denen sensible Informationen an die falsche Person gesendet werden. Es gehe nicht nur darum zu verhindern, dass gefährliche E-Mails in den Postfächern landen, „sondern auch darum, dass Fehler beim Versand vermieden werden“.

Eine gute Nachricht zum Schluss: Die KnowBe4-Umfrage zeige auch, „dass das Sicherheitsbewusstsein zunimmt – nur noch sechs Prozent der Mitarbeiter ignorieren verdächtige E-Mails“. Die proaktive Kultur sei also vorhanden. Es müsse nun darum gehen, diese zu fördern und durch solche Technologien zu unterstützen, welche die mentale Belastung des Einzelnen reduzieren.

Weitere Informationen zum Thema:

knowbe4
About Us / KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day

knowbe4
Javvad Malik

knowbe4
New Poll on Employee Email Behaviors: Inbound Red Flags and Outbound Fears

datensicherheit.de, 31.12.2025
Ransomware-Angriffe auf Unternehmen: Zwischen den Jahren lauern viele Gefahren / Schlimme Bescherung „Cybercrime“ – die Tage „zwischen den Jahren“ sind für Unternehmen besonders riskant

datensicherheit.de, 27.05.2021
CEO Fraud laut KnowBe4-Umfrage noch immer weitgehend unbekannt / Beim CEO Fraud gibt sich ein Cyber-Krimineller sich als Chef aus und ordnet Aktionen bzw. Transaktionen an

Von unserem Gastautor Harold Rivas, Chief Information Security Officer (CISO), Absolute Security

[datensicherheit.de, 03.03.2026] Trotz langjähriger Investitionen in Abwehrmaßnahmen nehmen Cyberangriffe und kostspielige Ausfallzeiten weiter zu. Traditionelle Sicherheitsmethoden zur Bedrohungsprävention und -erkennung bleiben zwar nach wie vor relevant, doch unter CISOs zeigt sich eine Veränderung in der Herangehensweise. Viele erweitern ihr Aufgabengebiet, um zusätzlich die Leitung von Wiederherstellungsmaßnahmen nach Sicherheitsvorfällen zu übernehmen, damit ihr Unternehmen rasch wieder betriebsbereit ist. Dieser Trend spiegelt sich in einer aktuellen Erhebung von Absolute Security wider: 83 Prozent der befragten CISOs gaben an, dass Cyber-Resilienz wichtiger sei als traditionelle Cybersicherheitsmaßnahmen, und 90 Prozent haben bereits eine Resilienzstrategie in ihrem Unternehmen umgesetzt.

Harold Rivas, Chief Information Security Officer (CISO), Absolute Security, Bild: Absolute Security

Der Begriff der Cyber-Resilienz ist in der Security-Branche heute allgegenwärtig. Damit das Konzept echte Wirkung entfalten kann, muss es als strategische Notwendigkeit begriffen werden, bei denen Unternehmen nicht nur die Fähigkeit erwerben, Angriffen standzuhalten, sondern auch besser auf sie vorbereitet zu sein und gestärkt aus ihnen hervorzugehen.

Definition von Cyber-Resilienz

Ein guter Ausgangspunkt ist die Definition des National Institute of Standards and Technology (NIST), das Cyber-Resilienz als die Fähigkeit beschreibt widrige Umstände, Belastungen, Angriffe oder Kompromittierungen zu antizipieren, ihnen standzuhalten, sich von ihnen zu erholen und sich an sie anzupassen. Für CISOs, die diesen Ansatz verfolgen, bedeutet dies eine Verlagerung des Fokus von rein defensiven Strategien hin zu einem integrierteren und proaktiveren Ansatz. Es reicht nicht mehr aus, nur zu versuchen, das Unvermeidliche zu verhindern. Sicherheitsverantwortliche müssen ihre Unternehmen darauf vorbereiten, Cyberangriffe und ihre Auswirkungen zu bewältigen sowie Geschäftsbetrieb und -kontinuität vollständig und so schnell wie möglich wiederherzustellen.

Von der Prävention zur Resilienz

Bei der Cyber-Resilienz geht es nicht darum, alle Risiken zu beseitigen, sondern vielmehr darum, Systeme und Prozesse zu schaffen, die Angriffen standhalten, ohne dass es zu massiven Störungen oder Ausfallzeiten kommt. Der Übergang von präventionsorientierten Strategien zu resilienzorientierten Frameworks ist für den langfristigen Schutz entscheidend. Um dies zu unterstützen, sind vier wichtige Säulen unerlässlich, damit Cyber-Resilienz als zentrale organisatorische Fähigkeit und nicht als eine reaktive Maßnahme verankert wird.

Säule 1: Maximale Sichtbarkeit und Kontrolle der Endpunkte

Cyber-Resilienz beginnt mit einer vollständigen Sichtbarkeit und Kontrolle über jeden Endpunkt. CISOs müssen sicherstellen, dass Geräte auch dann geschützt und verwaltbar bleiben, wenn der primäre Agent ausfällt. Bei der Transparenz geht es nicht nur darum zu wissen, was sich im Netzwerk befindet, sondern auch um das Verständnis, wie sich diese Ressourcen verhalten, wie sie konfiguriert sind und unter Druck reagieren.

Säule 2: Aufrechterhaltung der Kontrollhygiene

Die Zuverlässigkeit der bestehenden Sicherheitskontrollen ist ebenfalls unverzichtbar. Konfigurationsabweichungen sind eine ständige Herausforderung, da Sicherheitstools im Laufe der Zeit deaktiviert oder falsch konfiguriert werden. Untersuchungen von Absolute Security zeigen, dass bis zu 25 Prozent der Sicherheitskontrollen zu einem bestimmten Zeitpunkt eventuell nicht im gewünschten Zustand sind. Die Sicherstellung der vollen Funktionsfähigkeit kritischer Anwendungen trägt dazu bei, dass diese auch unter Druck effektiv arbeiten. Eine starke Kontrollhygiene erfordert eine kontinuierliche Validierung, und CISOs müssen automatisierte Prüfungen und Korrekturmaßnahmen implementieren, damit die Kontrollen über den gesamten Lebenszyklus jedes Geräts hinweg intakt bleiben.

Säule 3: Implementierung einer Zero-Trust-Architektur (ZTNA)

Hierbei spielt der Zero-Trust-Ansatz eine entscheidende Rolle, bei dem jede Geräte- und Benutzeranfrage überprüft wird. Zero Trust Network Access (ZTNA) ist kein einzelnes Tool, sondern ein strategischer Ansatz, der die Sicherheit von einem netzwerkzentrierten zu einem ressourcenorientierten Modell verlagert. ZTNA bietet eine granulare Kontrolle über Zugriffe und spezifische Aktionen und stellt sicher, dass nur autorisierte Benutzer und Geräte mit bestimmten Ressourcen interagieren können.

Säule 4: Schnelle Wiederherstellung und Anpassung

Zudem ist es wichtig, sich auf die Fähigkeit zu einer schnellen Wiederherstellung nach Sicherheitsvorfällen konzentrieren. Dies umfasst mehr als nur Technologie, es bedeutet auch eine enge Zusammenarbeit mit DevOps- und SRE-Teams, um zu verstehen, was den operativen Betrieb des Unternehmens aufrechterhält. Durch die proaktive Simulation von Ausfällen und Angriffen wird die erforderliche Routine für eine schnelle, effektive Wiederherstellung aufgebaut. Cyber-Resilienz geht über den Schutz hinaus und konzentriert sich auf eine rasche Recovery sowie die kontinuierliche Anpassung von Maßnahmen. Durch die Analyse nach einem Vorfall können bestehende Kontrollen optimiert und die zukünftige Verteidigung gestärkt werden. Diese Entwicklung von Systemen, die Ausfällen standhalten, verwandelt Vorfälle in Lernmöglichkeiten und ermöglicht es Unternehmen, sich nach jeder Störung schneller zu erholen und gestärkt daraus hervorzugehen.

Resilienz als Kernstrategie verankern

Cyber-Resilienz ist eine Teamleistung. Um erfolgreich zu sein, muss sie gemeinsames Ziel der gesamten Organisation sein und bei der Unternehmensleitung beginnen. Bei der Strategieentwicklung von CISOs mit der Führungsebene sollten im Gespräch der Schutz des Geschäftsbetriebs durch eine Minimierung der Ausfallzeiten im Fokus stehen. Zugleich versetzt die Abstimmung proaktiver Maßnahmen mit der Führungsebene Sicherheitsteams in die Lage, im Ernstfall zielgerichtet und rasch zu handeln. Durch die Vorbereitung auf Ausfälle und die Schaffung einer einheitlichen Linie vom Vorstand bis hinunter zu den Mitarbeitern können CISOs eine Kernstrategie verankern, durch die Cyberattacken beherrschbare Zwischenfälle statt massiver Krisen sind.

Weitere Informationen zum Thema:

datensicherheit.de, 09.04.2025
Cyber-Resilienz statt bloße Cyber-Resistenz: 5 Tipps für mehr Widerstandsfähigkeit gegenüber -angriffen

[datensicherheit.de, 03.03.2026] Laut Medienberichten von Ende Februar 2026 soll eine finanziell motivierte Bedrohungsgruppe – „Diesel Vortex“ – Anmeldedaten von Transport- und Logistikunternehmen in den USA und Europa durch Phishing-Angriffe unter Verwendung von 52 Domains entwenden. Im Rahmen dieser demnach seit September 2025 laufenden Phishing-Kampagne sollen 1.649 eindeutige Anmeldedaten von Web-Plattformen und Dienstleistern gestohlen worden sein, welche für die Frachtbranche von entscheidender Bedeutung seien. Shane Barney, „Chief Information Security Officer“ bei Keeper Security, betont in seiner aktuellen Stellungnahme, dass Transport und Logistik von Geschwindigkeit und Vertrauen abhängen – daher müssten Sicherheitskontrollen so gestaltet sein, dass sie beides so schützten, dass selbst gestohlene Anmeldedaten eben nicht zum schwächsten Glied in einem global vernetzten System werden.

Keeper Security

Shane Barney rät zur Verringerung der Gefährdung zum strukturellen Wandel hin zu identitätszentrierter Sicherheit

Gezielte Konzentration der Phishing-Angriffe auf Identitäten im Bereich Transport und Logistik

„Die gemeldeten Phishing-Aktivitäten, die mit ,Diesel Vortex’ in Verbindung gebracht werden, zeigen eine gezielte Konzentration der Angriffe auf die Identitäten im Transport- und Logistik-Ökosystem“, berichtet Barney.

• Seit September 2025 habe diese Gruppe Berichten zufolge 52 gefälschte Domains eingesetzt, um 1.649 einzigartige, mit zentralen Branchenplattformen verbundene Anmeldedaten zu sammeln – darunter bei „DAT Truckstop“, „TIMOCOM“, „Teleroute“, „Penske Logistics“, „Girteka“ und „Electronic Funds Source“.

Hierbei handele es sich nicht um einen klassischen Perimeter-Einbruch: „Vielmehr geht es um die systematische und gezielte Sammlung legitimer Zugriffe. In hochgradig vernetzten Logistikumgebungen – in denen Frachtbörsen, Flottenmanagementsysteme und Zahlungsplattformen nahtlos interagieren müssen – bieten kompromittierte Anmeldedaten einen direkten Zugang zu operativen Arbeitsabläufen.“

Sicherheit von Anmeldedaten zentrale Resilienzfrage für Lieferketten

Barney warnt: „Sobald ein Angreifer als vertrauenswürdiger Nutzer authentifiziert ist, kann er unentdeckt agieren und sich lateral mit geringerer Entdeckungsgefahr bewegen.“ Die Auswirkungen seien für Unternehmen oder öffentliche Verwaltungen eher operativer als technischer Natur. Identität sei in den Bewegungen von Gütern, Geldern und Daten verankert. „Das macht die Sicherheit von Anmeldedaten zu einer zentralen Resilienzfrage für Lieferketten!“

• Um die Gefährdung zu verringern, sei ein struktureller Wandel hin zu identitätszentrierter Sicherheit erforderlich: „Phishing-resistente Multi-Faktor-Authentifizierung, strenge Kontrolle privilegierter Zugriffe, kontinuierliche Überwachung auf offengelegte Anmeldedaten und die Durchsetzung des Prinzips der geringsten Rechte für interne und externe Konten sind grundlegend.“ Eine Zero-Trust-Architektur müsse diesen Ansatz untermauern und sicherstellen, dass keinem Nutzer, keinem Gerät bzw. keiner Session implizit vertraut wird.

Barney betont abschließend: „Transport und Logistik hängen von Geschwindigkeit und Vertrauen ab. Sicherheitskontrollen müssen so gestaltet sein, dass sie beides schützen, ohne dass gestohlene Anmeldedaten zum schwächsten Glied in einem global vernetzten System werden!“

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security: Keeper Security transformiert Cybersicherheit für Menschen und Organisationen auf der ganzen Welt…

KEEPER
Keeper Security Author Shane Barney

SC Media, SC Staff, 25.02.2026
Identity, Threat Intelligence, Phishing / Diesel Vortex phishing campaign targets freight and logistics operators

BLEEPINGCOMPUTER, Bill Toulas, 24.02.2026
Phishing campaign targets freight and logistics orgs in the US, Europe

datensicherheit.de, 14.11.2025
Logistik: Cybersicherheit rückt ins Zentrum strategischer Entscheidungen / Eine Befragung unter Cybersicherheitsverantwortlichen in der Logistik hat laut Sophos gezeigt, dass mit zunehmendem Grad digitaler Vernetzung sowohl eine höhere Angreifbarkeit einhergeht als auch eine zunehmende Professionalität des Cyberschutzes

datensicherheit.de, 19.10.2025
Cyberangriffe auf Logistikbranche: Partner und Personal als Einfallstor / Sophos ist im Rahmen einer Befragung unter Logistik-Fachleuten der Frage nachgegangen, wie es um die Cybersicherheit in dieser Branche steht – diese wurde im September 2025 von techconsult im Auftrag von Sophos durchgeführt

datensicherheit.de, 24.03.2019
Logistik: Vorsichtsmaßnahmen zur Sicherung der digitalisierten Supply Chain / Lieferketten im Netzwerk werden zur Zielscheibe von Cyberkriminellen

Von unserem Gastautor Kay Ernst, Manager DACH von Zero Networks

[datensicherheit.de, 01.03.2026] Die NIS2-Richtlinie der EU ist mehr als nur eine Dokumentationsaufgabe. Sie wurde entwickelt, um die Lücken von NIS1 zu schließen und der sich ständig weiterentwickelnden Bedrohungslandschaft Rechnung zu tragen. Die NIS2-Compliance erfordert von CISOs, dass sie Resilienz und Verantwortlichkeit gegenüber einmaligen Checkbox-Aufgaben priorisieren.

Kay Ernst, Manager DACH von Zero Networks, Foto: Zero Networks

Speziell für CISOs bedeutet NIS2 auch veränderte Compliance-Erwartungen. Kay Ernst, Manager DACH von Zero Networks erläutert Hintergründe und präsentiert eine 5-Punkte Checkliste:

NIS2 erhöht die grundlegenden Cybersicherheitserwartungen für wesentliche und wichtige Unternehmen: die Verantwortung der Geschäftsleitung und des Vorstands für das Cyber-Risikomanagement, nachweisbare operative Resilienz, nicht nur präventive Kontrollen, und nachweisbare Eindämmung und Reduzierung der Auswirkungen von Vorfällen. Im Gegensatz zu vielen anderen Vorschriften geht NIS2 davon aus, dass Sicherheitsverletzungen auftreten werden. Sie zielt darauf ab, die potenziellen Auswirkungen dieser unvermeidlichen Vorfälle zu mindern, und fordert die Führungskräfte auf, nachzuweisen, dass sie proaktive (und sinnvolle) Maßnahmen zur Verbesserung der Cyber-Resilienz ergriffen haben.

Umsetzung von NIS2 – Wo die meisten Unternehmen Probleme haben

Lücken, die die Resilienz von Unternehmen und die Einhaltung der NIS2-Vorschriften beeinträchtigen, treten in vielen Unternehmen tendenziell in denselben Betriebsbereichen auf:

• Unkontrollierte laterale Bewegung: Viele Unternehmen verfügen nach wie vor nicht über robuste interne Kontrollen und behandeln den Ost-West-Verkehr als implizit vertrauenswürdig. Für Angreifer ist es dadurch ein Leichtes, einen kleinen Einstiegspunkt in eine weitreichende Sicherheitsverletzung zu verwandeln.
• Privilegierte Zugriffspfade: Nur ein Prozent der Ports sind für 90 Prozent der Sicherheitsverletzungen verantwortlich, aber die meisten Unternehmen lassen privilegierte Admin-Ports wie SSH, RDP und RPC permanent offen, wodurch das Netzwerk anfällig bleibt.
• Übermäßiger Zugriff durch Anbieter und Dritte: Breiter VPN-Zugriff, persistente Anmeldedaten und unzureichende identitätsbasierte Zugriffskontrollen ermöglichen es externen Konten, sich frei zu bewegen und den Explosionsradius zu vergrößern.
• Ausufernde Altsysteme: Altsysteme, die moderne Identitätskontrollen nicht unterstützen können, werden häufig aus Zero-Trust-Initiativen ausgeschlossen, bleiben jedoch für den Betrieb von entscheidender Bedeutung und fallen eindeutig in den Geltungsbereich der Vorschriften.
• Erkennung ausgerichtete Strategien zur Reaktion auf Vorfälle: Viele Incident-Response-Strategien basieren nach wie vor auf Erkennung und Wiederherstellung statt auf Eindämmung, obwohl damit im Falle eines Angriffs ganze Umgebungen abgeschaltet werden müssen.

Aufbau einer resilienten Sicherheitsarchitektur

Um die Anforderungen von NIS2 zu erfüllen, müssen die Grundlagen der Sicherheit nicht neu erfunden werden. Stattdessen sollten sich CISOs darauf konzentrieren, ihre Netzwerkarchitektur widerstandsfähig zu gestalten, sodass die Einhaltung von Vorschriften zu einem Nebenprodukt und nicht zu einer wiederkehrenden Aufgabe wird. Durch die Priorisierung von vier Hauptzielen können Sicherheitsverantwortliche ihre Sicherheitslage verbessern, um sich an veränderte gesetzliche Anforderungen anzupassen:

Standardmäßig laterale Bewegungen verhindern

Laterale Bewegungen eskalieren kleinere Vorfälle zu vollständigen Ausfällen. Wenn Angreifer niemals über den Punkt des ersten Zugriffs hinauskommen, führen Sicherheitsvorfälle niemals zu Geschäftsunterbrechungen. In der Praxis bedeutet die Verhinderung lateraler Bewegungen, dass durch umfassende Mikrosegmentierung eine Kommunikation mit minimalen Berechtigungen zwischen allen Netzwerkressourcen durchgesetzt wird – und nicht nur Aktivitäten überwacht und Warnmeldungen verfolgt werden. Ost-West-Datenverkehr sollte nur auf der Grundlage ausdrücklicher geschäftlicher Anforderungen zugelassen werden.

Durchsetzung privilegierter Zugriffsrechte auf Netzwerkebene

Der Missbrauch von Anmeldedaten ist nach wie vor eine der zuverlässigsten Methoden, mit denen Angreifer sich ersten Zugriff verschaffen und die Auswirkungen eskalieren können. Granulare identitätsbasierte Kontrollen stellen sicher, dass Anmeldedaten nur auf ausdrücklich genehmigten Pfaden verwendet werden können, selbst für Dienstkonten oder Altsysteme, die nicht mit den meisten modernen Identitäts- oder MFA-Technologien integriert werden können. Privilegierte Ports und administrative Aktivitäten sollten mit Just-in-Time-MFA gesichert werden, die die Berechtigungen nach der Überprüfung kurzzeitig erhöht, um sicherzustellen, dass ein gestohlenes Passwort oder ein zu freizügiges Dienstkonto Angreifern nicht mehr uneingeschränkten Zugriff auf das Netzwerk gewährt.

Zugriff durch Dritte und Lieferanten einschränken

Externer Zugriff umgeht oft interne Sicherheitsvorkehrungen. Dritte sollten nur auf die notwendigen internen Ressourcen zugreifen können – mehr nicht. Durch die Forderung nach einer Just-in-Time-MFA-Überprüfung für den Fernzugriff können Sicherheitsverantwortliche konsistente, detaillierte Zugriffsrichtlinien für Lieferanten, Auftragnehmer und andere Dritte durchsetzen.

Auf Eindämmung statt Abschaltung ausgelegt

Die Resilienz unter NIS2 wird an der Kontinuität gemessen. Wenn die Isolierung einer Bedrohung die Abschaltung großer Teile der Umgebung erfordert, bleibt das Ziel der Richtlinie, die Betriebskontinuität aufrechtzuerhalten, unerreichbar. Die Eindämmung von Bedrohungen sollte präzise, automatisch und mit minimalen Störungen erfolgen, wobei betroffene Ressourcen gezielt isoliert werden, ohne kritische Dienste zu unterbrechen.

NIS2-Checkliste: Prüfung der Betriebsbereitschaft

CISOs können die Strategie ihres Unternehmens schnell anhand der NIS2-Anforderungen messen, indem sie sich einige wichtige Fragen stellen:

1. Wird laterale Bewegung verhindert?
   Unbefugte Ost-West-Kommunikation sollte standardmäßig blockiert werden, um sicherzustellen, dass Angreifer nicht über die anfängliche Kompromittierung hinauskommen.
2. Wird privilegierter Zugriff im Netzwerk durchgesetzt?
   Anmeldedaten sollten nur auf ausdrücklich genehmigten Pfaden verwendet werden können, und MFA sollte durchgesetzt werden – auch für Dienstkonten und Altsysteme.
3. Ist die Eindämmung in die Umgebung integriert?
   Sicherheitsvorfälle sollten ohne manuelle Isolierung oder Abschaltung eingedämmt werden, um sicherzustellen, dass kritische Dienste dennoch betriebsbereit bleiben.
4. Ist der Zugriff durch Dritte eingeschränkt?
   Der Zugriff von Anbietern und Lieferanten sollte auf Netzwerkebene segmentiert werden, um den Zugriff auf nicht zugehörige Systeme zu blockieren.
5. Sind Kontrollen nachweisbar?
   Unternehmen müssen nachweisen können, wie Segmentierung und Zugriffskontrollen durchgesetzt werden, und Belege für deren Auswirkungen auf den Explosionsradius vorlegen.

NIS2-Compliance durch automatisierte, identitätsbasierte Mikrosegmentierung

Anstatt zusätzliche Überwachungsmaßnahmen einzuführen, ist eine dynamische Eindämmungs- und Durchsetzungsebene innerhalb des Netzwerks nötig. Unternehmen können damit nachweisen, dass sie die Ausbreitung und die betrieblichen Auswirkungen aktiv begrenzen können, was für die NIS2-Compliance von zentraler Bedeutung ist.

Automatisierte, identitätsbasierte Mikrosegmentierung verhindert laterale Bewegungen in großem Maßstab. MFA auf Netzwerkebene erzwingt privilegierten Zugriff für alle Systeme, einschließlich Legacy-Umgebungen. Dieser Ansatz minimiert die Auswirkungen von Sicherheitsverletzungen und blockiert laterale Bewegungen, indem sie Bedrohungen automatisch in Echtzeit eindämmt und gleichzeitig das Risiko in der Lieferkette und durch Dritte durch die Einschränkung externer Zugriffspfade reduziert. Nicht zuletzt bietet dieser Ansatz die erforderliche Sichtbarkeit hinsichtlich Zugriffspfaden, Segmentierungsgrenzen und Eindämmungszonen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2025
NIS-2 offiziell in Kraft: Proliance-Handlungsempfehlungen für Unternehmen