Branche – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Tue, 14 Jul 2026 12:43:01 +0000 de hourly 1 Phishing-as-a-Service: Cybercrime im Abo https://www.datensicherheit.de/phishing-as-a-service-cybercrime-abo https://www.datensicherheit.de/phishing-as-a-service-cybercrime-abo#respond Tue, 14 Jul 2026 12:43:00 +0000 https://www.datensicherheit.de/?p=55573 Mit der Zerschlagung der Phishing-as-a-Service-Plattform „Outsider“ durch das FBI, Google und Black Lotus Labs wurde Mitte Juni eines der größten Phishing-Netzwerke weltweit aufgedeckt. Der Fall zeigt, wie stark sich Cyberkriminalität professionalisiert hat: Phishing-Kampagnen lassen sich heute als schlüsselfertiger Service buchen – inklusive Infrastruktur und täuschend echter Vorlagen. Unterstützt durch KI sinken die Einstiegshürden weiter, während Umfang, Geschwindigkeit und Schadenspotenzial der Angriffe kontinuierlich zunehmen.

Von unserem Gastautor Rolf Steinbrück, CISSP Senior Solutions Engineer bei Yubico

[datensicherheit.de, 14.07.2026] Mitte Juni hat das FBI im Rahmen der Operation Ghost Hook gemeinsam mit Google und Black Lotus Labs die Plattform Outsider vom Netz genommen, einer der größten bislang bekannten Phishing-as-a-Service-Anbieter. Seit 2023 lieferte der Dienst Cyberkriminellen Phishing-Infrastruktur mit über 290 fertigen Vorlagen, die Banken, Behörden, Telekommunikationsanbieter und Einzelhändler imitierten. Die Ermittler nehmen an, dass seit der Entstehung der Plattform mehr als 8.000 personalisierte Phishing-Domains aufgesetzt wurden und ein damit verbundener Schaden von ca. 1,9 Milliarden US-Dollar in 55 Ländern entstand.

Rolf Steinbrück, CISSP Senior Solutions Engineer bei Yubico

Rolf Steinbrück, CISSP Senior Solutions Engineer bei Yubico, Bild:Yubico

Phishing: Eine der größten Cyberbedrohungen

Dass Phishing eine enorme Bedrohung darstellt, ist nicht neu. Neu ist, in welchem Umfang und mit welcher Perfektion es mittlerweile durchgeführt wird, zusätzlich beschleunigt durch KI. Die Causa „Outsider“ ist daher leider kein Einzelfall, sondern symptomatisch, denn Cyberkriminalität industrialisiert sich zusehends. Was früher technisches Know-how erforderte, ist heute schlüsselfertig im Abo buchbar.

So benötigen Angreifer weder Programmierkenntnisse noch eigene Infrastruktur. KI-Tools senken die Einstiegshürde weiter und sorgen dafür, dass täuschend echte Login-Seiten und Nachrichten schnell und in nahezu jeder Sprache erstellt werden können. Vor dem Einfluss von KI auf die Cybersecurity warnte erst zuletzt das BSI. Für Unternehmen bedeutet das, dass die Zahl, Qualität und Geschwindigkeit der Angriffe stetig steigt.

Und so ist Phishing das primäre Einfallstor in Firmennetzwerke und der erste Schritt zu einem erfolgreichen Cyberangriff. Die aktuellen Entwicklungen deuten darauf hin, dass dies auch in nächster Zeit so bleiben wird. Der Global Cybersecurity Outlook 2026 des WEF zeigt einen Anstieg von KI-gestütztem Betrug und Phishing von 77 Prozent. Denn leider sind die Erfolge wie mit der Plattform Outsider eher die Ausnahme als die Regel. Wenn Unternehmen und Nutzer nicht reagieren oder Vorsorge leisten, werden übernommene Mitarbeiterkonten und darauf aufbauend die ganze Bandbreite an Cyberkriminalität weiterhin zu unserem Alltag gehören. Der finanzielle Schaden durch Ransomware, Datenleaks und Fraud ist dabei oft nur die sichtbare Spitze des Eisbergs. Betriebsunterbrechungen, Reputationsverluste und Haftungsfragen unter NIS2, DORA und DSGVO wiegen oft mindestens genauso schwer.

Es ist an der Zeit, den Umgang mit modernen Cyberbedrohungen neu zu gestalten

Die Zeiten sind vorbei, in denen man sich auf herkömmliche Zwei-Faktor-Authentifizierung verlassen konnte. Sie ist längst nicht mehr ausreichend und der aktuellen Risikolage nicht mehr angepasst. Solange Anmeldungen auf etwas beruhen, das der Nutzer sehen, ein- oder weitergeben muss, wie beispielsweise Passwörter, Codes oder selbst die Bestätigung in einer App, bleibt der Login phishbar.

Wirklich Phishing-resistente Authentifizierung kann es daher nur mit Hardware-Unterstützung in Form eines physischen Sicherheitsschlüssels geben. Diese Form der Multi-Faktor-Authentifizierung (MFA) nach aktuellen FIDO2 / WebAuth-Standards setzt die Authentifizierung des Nutzers am Gerät voraus, wodurch eine eindeutige Identitätsfeststellung gewährleistet werden kann. Die Anmeldedaten sind dabei kryptografisch an die echte Domain gebunden und verlassen den Hardware-Sicherheitsschlüssel nie. So entsteht eine nicht phishbare Komponente im Login-Prozess. Selbst wenn ein Mitarbeiter auf eine perfekte Fälschung hereinfallen würde, scheitert der Angriff an der Überbrückung des Sicherheitsschlüssels. So läuft der Angriff ins Leere.

Phishing-as-a-Service-Plattformen, die Cyberkriminalität zu einem skalierbaren Geschäftsmodell machen, verdeutlichen, wie unerlässlich Phishing-resistente MFA in einer erfolgreichen Sicherheitsstrategie heute sind. Unternehmen, die jetzt auf hardwarebasierte Authentifizierung umstellen, entziehen diesem Geschäftsmodell die Grundlage. Unabhängig davon, wie perfekt die nächste Phishing-Kampagne aus dem Baukasten sein wird.

Weitere Informationen zum Thema:

datensicherheit.de, 05.03.2026
Kratos: Neues Phishing-as-a-Service-Kit ermöglicht selbst Anfängern Ausführung hochkomplexer Angriffe

]]>
https://www.datensicherheit.de/phishing-as-a-service-cybercrime-abo/feed 0
Cybersecurity-Kompetenz: Kleine Unternehmen holen sich zunehmend externe Expertise https://www.datensicherheit.de/cybersecurity-kompetenz-klein-unternehmen-zunahme-extern-expertise Mon, 13 Jul 2026 22:59:00 +0000 https://www.datensicherheit.de/?p=55560 Laut aktueller ESET-Studie gewinnen MDR, „Cloud“-Management und externe Spezialisten gerade für kleine Unternehmen an Bedeutung

[datensicherheit.de, 14.07.2026] Im Kontext der IT-Sicherheit stehen nach aktuellen ESET-Erkenntnissen kleine Unternehmen vor ähnlichen Herausforderungen wie große – indes könnten sie eben nicht auf deren hohe Budgets für ihre IT-Security zurückgreifen. Aus diesem Grund holten sich viele Kleine und Mittlere Unternehmen (KMU) Hilfe von externen Spezialisten, so ein Ergebnis einer aktuellen ESET-Umfrage. Insbesondere die Investitionen in „Managed Detection and Response“ (MDR) wachsen demnach leicht, aber auch in das eigene Security-Know-How investierten diese Firmen. Für die Studie „Stand der IT-Sicherheit 2026“ hat ESET nach eigenen Angaben zwischen Januar und April 2026 insgesamt 281 Organisationen aus Deutschland, Österreich und der Schweiz befragt – rund 87 Prozent der teilnehmenden Unternehmen beschäftigten weniger als 50 Mitarbeiter.

eset-umfrage-it-sicherheit-kmu-2026

Abbildung: ESET

Aktuelle Selbsteinschätzung zur Aufstellung kleiner Unternehmen in Fragen der IT-Sicherheit

Viele kleinere Unternehmen setzen auf „Managed Services“ und spezialisierte Dienstleister

Wer in einem kleinen Unternehmen für die IT verantwortlich ist, muss laut ESET heute oft viele Rollen gleichzeitig erfüllen: Administrator, Helpdesk, „Cloud“-Manager und Sicherheitsbeauftragter. Angesichts steigender Cyberrisiken und knapper Ressourcen setzten deshalb immer mehr Unternehmen auf externe Unterstützung.

  • Die Befragung von 281 Organisationen in Deutschland, Österreich und der Schweiz mache deutlich: Statt eigene IT-Security-Teams aufzubauen, griffen viele kleinere Unternehmen auf „Managed Services“ und spezialisierte Dienstleister zurück. Gleichzeitig nehme das IT-Sicherheitswissen in den Unternehmen deutlich zu. Hätten 2023 noch weniger als die Hälfte der Befragten über IT-Personal mit -Security-Fachwissen verfügt, liege dieser Anteil inzwischen bei über 70 Prozent.

„Viele kleinere Unternehmen wissen sehr genau, welchen Risiken sie ausgesetzt sind. Gleichzeitig fehlt oft die Möglichkeit, eigene Security-Spezialisten einzustellen oder rund um die Uhr Sicherheitsvorfälle zu überwachen“, erläutert Michael Schröder, „Head of Product Marketing“ bei ESET Deutschland. Er führt aus: „Deshalb beobachten wir, dass externe Security-Services zunehmend Teil der regulären IT-Strategie werden.“

Bewusstseinswandel: Viele kleine Unternehmen schlagen inzwischen anderen Weg ein als noch vor wenigen Jahren

Besonders gefragt seien Dienstleistungen, die Unternehmen im Tagesgeschäft entlasten können. Dazu zählten eben MDR, „cloud“-basierte Verwaltungsplattformen und externe IT-Security-Experten, welche bei der Erkennung und Analyse von Sicherheitsvorfällen unterstützten. Die Ergebnisse zeigten, dass viele kleine Unternehmen inzwischen einen anderen Weg einschlügen als noch vor wenigen Jahren. Statt jede Sicherheitsaufgabe intern abzubilden, setzten sie gezielt auf spezialisierte Partner und ergänzten damit ihre eigenen Ressourcen.

  • Auffällig sei ein scheinbarer Widerspruch der Studie: „Obwohl das Security-Know-how in den Unternehmen wächst, fühlt sich mehr als die Hälfte der Befragten den aktuellen Bedrohungen nicht vollständig gewachsen.“ Für ESET sei dies ein Zeichen zunehmender Reife anstatt einer negativen Entwicklung. „Wer sich intensiver mit Cyberrisiken beschäftigt, erkennt nicht nur die eigenen Stärken, sondern auch bestehende Schwachstellen.“ Diese kritischere Selbsteinschätzung spiegele daher vor allem ein gestiegenes Bewusstsein für die tatsächliche Bedrohungslage wider.

Auch moderne Sicherheitskonzepte würden weiter an Akzeptanz gewinnen. Mehr als 95 Prozent der Befragten sähen in dem „Zero Trust Security“-Modell von ESET einen sinnvollen Ansatz für den Aufbau einer widerstandsfähigen Sicherheitsstrategie.

IT-Sicherheit zunehmend Führungsaufgabe auch in kleinen Unternehmen

Die Studie zeige außerdem, dass Cybersecurity in kleinen Unternehmen zunehmend strategisch betrachtet werde. Investitionen in IT-Security-Know-how, externe Expertise und moderne Sicherheitsplattformen seien längst nicht mehr allein ein Thema für die IT-Abteilung.

  • „Viele Unternehmen haben erkannt, dass Cybersecurity nicht an der Firewall endet“, kommentiert Schröder.

Abschließend merkt er an: „Es geht darum, Risiken beherrschbar zu machen und die eigene Handlungsfähigkeit im Ernstfall zu sichern! Genau deshalb gewinnen professionelle Security-Services weiter an Bedeutung.“

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

eseT, 08.08.2016
ESET stärkt Marktposition mit Michael Schröder – Fokus auf Technologie-Allianzen und ganzheitliche Produktentwicklung

eseT
Stand der IT-Sicherheit 2026

datensicherheit.de, 10.07.2026
ISMS: Sieben Tipps für mehr Datensicherheit in KMU / Informationen gehören zu den wertvollsten Ressourcen von Unternehmen und sind zugleich vielfältigen Risiken ausgesetzt. Neben externen Cyberangriffen gefährden auch interne Schwachstellen wie unzureichende Zugriffskontrollen, veraltete Systeme oder mangelhafte Datensicherungen die Informationssicherheit. Der Beitrag zeigt, warum ein systematischer Schutz geschäftskritischer Informationen unverzichtbar ist und welche Maßnahmen Unternehmen ergreifen sollten, um Risiken frühzeitig zu erkennen und ihre Daten nachhaltig zu sichern.

datensicherheit.de, 21.05.2026
KI-basierte Cyberbedrohungen: KMU bisher meist nicht vorbereitet / Kleine und Mittlere Unternehmen unterschätzen oft die Risiken mittels Künstlicher Intelligenz (KI) durchgeführter Cyberangriffe

datensicherheit.de, 16.05.2026
HarfangLab: Europas KMU laut Bundeslagebild Cyberkriminalität 2025 stärker gefährdet als je zuvor / Dieser Bericht weist vor allem auf ein strukturelles Sicherheitsproblem für Europas Kleine und Mittlere Unternehmen (KMU) hin

datensicherheit.de, 30.04.2026
FTAPI gibt CRA-Tipps für KMU: Cyber Resilience Act oft ein Buch mit 7 Siegeln / Erste Meldepflichten greifen ab September 2026 – FTAPI benennt fünf Schritte, damit Anbieter digitaler Produkte noch rechtzeitig „CRA-ready“ werden

datensicherheit.de, 16.03.2026
KMU-Sicherheitslücke beim Drucken: Drucksicherheit für 62 Prozent von geringer Priorität / Intelligentes Drucken könnte KMU dabei unterstützen, Risiken zu reduzieren, indem es die Transparenz, „Compliance“ und Kontrolle verbessert und so ihre Zukunft der Arbeit schützt

]]>
Eskalation digitaler Angriffe auf die Produktion: NIS-2-Haftungsfalle für den Mittelstand https://www.datensicherheit.de/digital-angriffe-produktion-nis-2-haftungsfalle-mittelstand Sat, 11 Jul 2026 22:27:00 +0000 https://www.datensicherheit.de/?p=55529 Die NIS-2-Richtlinie trifft aktuell auf einen leeren Fachkräftemarkt: ISACA beschreibt, warum der Schutz der Fertigung gerade jetzt KMU dazu zwingt, völlig neue Wege zu gehen

[datensicherheit.de, 12.07.2026] Laut einer aktuellen Meldung von ISACA wird derzeit keine andere Branche in Deutschland so häufig von Cyberkriminellen attackiert wie das produzierende Gewerbe. Zahlen des Digitalverbands Bitkom e.V. belegten das Ausmaß der Bedrohung: „87 Prozent der deutschen Unternehmen waren im letzten Jahr betroffen, der wirtschaftliche Schaden klettert auf fast 290 Milliarden Euro.“ Fast drei Viertel (73%) der Firmen verzeichneten eine Zunahme der Angriffe im Vergleich zum Vorjahr. Im Kontext der NIS-2-Richtlinie wird unzureichender Schutz nun zur persönlichen Haftungsfalle für die Geschäftsführung.

isaca-chris-dimitriadis

Foto: ISACA

Chris Dimitriadis: Die Zeiten, in denen eine Cyberattacke als delegierbares IT-Problem galt, sind mit NIS-2 endgültig vorbei!

NIS-2-Richtlinie nimmt Geschäftsführung in die Haftung

Dabei liege die größte, oft übersehene Gefahr nicht in der Büro-IT, sondern direkt im Herzen der Industrie – in der vernetzten Produktionsanlage („Operational Technology“ / OT).

Laut Bitkom zielten im vergangenen Jahr 73 Prozent aller Angriffe direkt auf Produktions- und Informationssysteme. Mit der NIS-2-Richtlinie werde dieser unzureichende Schutz nun zur persönlichen Haftungsfalle für die Geschäftsführung.

NIS-2-Auswirkung: Das Management bürgt persönlich für Cyberresilienz

Hinter der gesetzlichen Neuausrichtung stehe die klare Absicht, Cybersicherheit zum Schutz der Wirtschaft als integralen Bestandteil der Unternehmensführung zu verankern.

  • „Und auch wenn viele Kleine und Mittlere Unternehmen (KMU) die offiziellen Schwellenwerte der Richtlinie nicht erreichen, greifen die Vorgaben indirekt über die Lieferkette: Große Kunden geben die strengen Anforderungen an ihre Partner weiter und machen Konformität so zur Bedingung für zukünftige Aufträge.“

Damit sei die Richtlinie keine bloße Formsache mehr, sondern nehme die Leitungsebene bei Versäumnissen unmissverständlich in die persönliche Verantwortung. Untätigkeit oder grobe Fahrlässigkeit beim Schutz Kritischer Systeme – wie der Produktion – könne direkte rechtliche Konsequenzen nach sich ziehen.

Erfolgreiche Angriffe auf Produktionssteuerungen aus NIS-2-Sicht Versäumnis unternehmerischer Sorgfaltspflichten

„Die Zeiten, in denen eine Cyberattacke als delegierbares IT-Problem galt, sind mit NIS-2 endgültig vorbei!“, betont Chris Dimitriadis, „Chief Global Strategy Officer“ bei ISACA. Ein Angriff auf die Produktionssteuerung sei aus Sicht der neuen Gesetzgebung ein Versäumnis der unternehmerischen Sorgfaltspflicht. Dimitriadis führt aus: „Wir müssen das Bewusstsein dafür schaffen, dass Resilienz in der OT kein technisches Detail, sondern ein zentraler Pfeiler der ,Governance’ und der persönlichen Risikovorsorge der Unternehmensleitung ist!“

  • Die Realität in vielen mittelständischen Unternehmen sei jedoch von einem chronischen Mangel an Fachkräften und knappen Budgets geprägt. Die Frage lautet demnach also, wie sich ein Schutzwall aufbauen lässt, wenn die Experten dafür fehlen oder KMU sie sich nicht leisten können Als Antwort etablierten sich zunehmend neue, flexible Servicemodelle.

„Die Rolle des CISO ist heute in Unternehmen von entscheidender Bedeutung, zumal Cybersicherheit zunehmend zu einem Thema auf Vorstandsebene wird“, so Dimitriadis. Er berichtet: „Wir beobachten zudem einen klaren Trend hin zu Modellen, bei denen Unternehmen hochspezialisiertes Fachwissen je nach Bedarf flexibel von externen Anbietern beziehen – bekannt als ‚CISO as a Service‘ oder ‚Fractional CISOs‘.“ Dies sei ein pragmatischer und kostengünstiger Weg, um die Lücke zwischen Anspruch und Realität zu schließen – insbesondere in kleineren Unternehmen.

NIS-2 soll Cyberresilienz EU-weit stärken

Solche innovativen Ansätze verdeutlichten den unumkehrbaren Wandel: Der Schutz der digitalen und physischen Produktion sei keine separate IT-Aufgabe mehr, sondern verschmelze mit der Kernstrategie zur Sicherung der unternehmerischen Zukunftsfähigkeit.

  • Die Frage für den Mittelstand sei längst nicht mehr ob, sondern wie er diese neue Realität gestaltet.

Ein Forum für den strategischen Austausch zwischen Vordenkern, Praktikern und Entscheidern soll nun die „ISACA Europe Conference“ vom 7. bis 9. Oktober 2026 in München bieten. Denn letztendlich gehe es darum, gemeinsam die wichtigste Währung in der digitalen Wirtschaft zu sichern – das Vertrauen der Kunden, Partner und des Gesetzgebers.

Weitere Informationen zum Thema:

ISACA
The principles behind our purpose / Our mission and vision reflect the core values that drive everything we do

ISACA
Meet ISACA’s Leadership Team / Chris Dimitriadis – Chief Global Strategy Officer

ISACA
ISACA 2026 EUROPE CONFERENCE / Munich, Germany | 7-9 October

bitkom, 2025
Wirtschaftsschutz 2025 / Lagebild der deutschen Wirtschaft

datensicherheit.de, 02.07.2026
Die eigentliche Herausforderung beginnt erst jetzt: NIS-2-Registrierung genügt nicht / Nach Beobachtung von Axians sind viele Unternehmen trotz Registrierung nicht in der Lage, die regulatorischen Anforderungen im Ernstfall zu erfüllen

datensicherheit.de, 21.05.2026
NIS-2 und eIDAS-Update im Fokus: TeleTrusT-Podcast mit Tim Golly, Markus Schuster und Carsten Vossel / Der aktuelle TeleTrusT-Podcast behandelt den Themenkomplex NIS-2 sowie eIDAS-Update und zieht eine erste Bilanz zur Umsetzung in Unternehmen

datensicherheit.de, 11.01.2026
KMU-Fitness für NIS-2: Universität Paderborn bietet Online-Tool und Lernplattform zur Stärkung der Cybersicherheit / NIS-2 als die überarbeitete EU-Richtlinie von 2022 betrifft nun ca. 30.000 Unternehmen aus 18 Sektoren – von Gesundheit über Transport bis Telekommunikation

datensicherheit.de, 07.01.2026
BSI-Portal ab sofort für zweiten Schritt zur NIS-2-Registrierung freigeschaltet / Vom Inkrafttreten des NIS-2-Umsetzungsgesetzes betroffene Betriebe müssen sich als „NIS-2-Einrichtung“ registrieren lassen und dem BSI stets „erhebliche Sicherheitsvorfälle“ zwingend melden

]]>
Cyber Resilience Act (CRA): Bringschuld der Unternehmen per September 2026 https://www.datensicherheit.de/cyber-resilience-act-cra-bringschuld-unternehmen-september-2026 Sat, 11 Jul 2026 22:04:00 +0000 https://www.datensicherheit.de/?p=55528 Cycode erläutert, warum im CRA-Kontext bereits der 11. September 2026 ein Datum von zentraler Bedeutung ist

[datensicherheit.de, 12.07.2026] Der „Cyber Resilience Act“ (CRA) der EU ist am 11. Dezember 2024 in Kraft getreten. Cycode erinnert in einer aktuellen Stellungnahme, dass dann exakt drei Jahre später alle Unternehmen, die Produkte mit digitalen Elementen anbieten, vollständige „Compliance“ gemäß dieser neuen Verordnung beweisen müssen. Cycode führt hierzu aus, warum jedoch bereits der 11. September 2026 das wichtigere Datum ist.

cycode-jochen-koehler-2026

Foto: Cycode

Jochen Koehler: Unternehmen brauchen durchgängiges Monitoring und klare Meldeprozesse, um Sicherheitsrisiken schnell in den Griff zu bekommen!

Am 11. September 2026 treten CRA-Meldepflichten für Schwachstellen und Sicherheitsvorfälle in Kraft

Bis zum letzten Augenblick zu warten, um erst dann eine CRA-Strategie umzusetzen, könnte fatal sein. „Denn bereits am 11. September 2026 treten die Meldepflichten für Schwachstellen und Sicherheitsvorfälle im Rahmen des CRA in Kraft.“ Ab diesem Datum müssten Unternehmen

  • innerhalb von 24 Stunden nach Kenntnisnahme einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Sicherheitsvorfalls eine Frühwarnung an die ENISA (European Network and Information Security Agency) und das zuständige CSIRT (Computer Security Incident Response Team) – CERT-Bund (Computer Emergency Response Team) in Deutschland – übermitteln,
  • innerhalb von 72 Stunden eine vollständige Meldung an die Behörden einreichen und
  • innerhalb von 14 Tagen nach Bereitstellung einer Korrekturmaßnahme (beziehungsweise innerhalb eines Monats bei schwerwiegenden Vorfällen) einen Abschlussbericht vorlegen.

„Wer diesen Fristen nicht gerecht wird, dem drohen horrende Kosten!“ Bei schwerwiegenden Verstößen seien höchste Geldbußen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) vorgesehen. Doch auf diese Anforderungen seien die wenigsten Unternehmen Stand heute vorbereitet. Sicherheits- und Produktverantwortliche, welche sich aktuell auf die Frist im September 2026 vorbereiten, sähen sich in der Regel vier zentralen Lücken gegenüber, welche sie schließen müssten.

1. CRA-Lücke: Ungeklärte Verantwortlichkeiten und kein Eskalationspfad

In vielen Unternehmen sei nicht klar, wer die Meldung an die ENISA und das CSIRT tatsächlich einreicht. Auch eine Vertretung für den Krankheits- oder Urlaubsfall der verantwortlichen Person fehle in der Regel.

  • Ungeklärt sei zudem häufig, wer überhaupt befugt ist, darüber zu entscheiden, ob ein Hinweis eines „AppSec“-Systems zu einer Schwachstelle als „aktiv ausgenutzt“ einzustufen ist.

Da in den meisten Unternehmen diese Überlegungen erst im akuten Notfall geklärt werden sollten, drohten Verstöße gegen den CRA durch verpasste Fristen und in zweiter Instanz horrende Bußgelder.

2. CRA-Lücke: Verzerrtes Zeitgefühl

Die durchschnittliche Zeit bis zum Erkennen einer aktiv ausgenutzten Schwachstelle im eigenen Produkt sei eben nicht mit der MTTR („Mean Time To Repair“) eines SIEM-Alarms gleichzusetzen.

  • Sie hänge vielmehr von Kundenmeldungen, der Einbindung von „Threat Intelligence“ und davon ab, wie schnell ein „Triage-Call“ einberufen werden kann.

Die meisten Teams hätten den vollständigen Ablauf nie gemessen. Viele Unternehmen stellten dann bei einem Testlauf fest, „dass 24 Stunden mit ihrer aktuellen Strategie gar nicht realistisch einzuhalten sind“.

3. CRA-Lücke: Kein sauberes Inventar potenziell betroffener Produkte

Die Meldepflicht gelte für jedes auf dem EU-Markt bereitgestellte Produkt. Viele Unternehmen hätten ein großes Produktportfolio, wüssten aber gar nicht, auf welche davon die Vorschriften des CRA anzuwenden sind.

  • Oft herrsche auch Unkenntnis darüber, welche Versionen noch unterstützt werden, welche Komponenten gemeinsam genutzt werden und welche Kunden in der EU ansässig sind.

Ohne dieses Wissen könnten sie unter dem Zeitdruck bei einem tatsächlichen Notfall nicht einmal den nötigen Umfang einer Meldung an die ENISA und das CSIRT definieren.

4. CRA-Lücke: Kein holistisches Monitoring des gesamten „Software Development Lifecycle“

Eine Schwachstelle, welche eine Meldung auslöst, könne im eigenen Code vorkommen. Sie könne allerdings auch aus einer „Dependency“ zu einem Produkt eines Drittanbieters, einer Open-Source-Bibliothek, einer kompromittierten CI/CD-Pipeline, einem offengelegten „Secret“ oder aus KI-generiertem Code stammen.

  • „Je schneller Unternehmen Warnsignale mit ihren jeweiligen Produkten, den Auswirkungen auf die Kunden und möglichen Behebungs- oder Korrekturmaßnahmen korrelieren können, desto schneller erfolgt die Frühwarnung.“

Teams, welche mit fragmentierten Scannern und voneinander getrennten ASPM („Application Security Posture Management“)-Dashboards arbeiten, verlören Stunden durch die manuelle Korrelation.

Richtige CRA-Strategie wird zum wichtigsten Faktor

Unternehmen sollten zunächst vollständige Transparenz über alle Produkte mit digitalen Elementen schaffen und diese hinsichtlich ihres Support-Status sowie ihrer regulatorischen Relevanz erfassen.

  • Ebenso erforderlich seien klar definierte Verantwortlichkeiten für die Bewertung, Eskalation und Meldung von Sicherheitsvorfällen sowie aktiv ausgenutzten Schwachstellen. Neben klar definierten Ansprechpartnern und Vertretungsregelungen müssten sie auch Entscheidungswege, Rufbereitschaften sowie die Einbindung von Rechtsabteilung und Management festlegen.

Es gelte sicherzustellen, dass Verantwortliche im Ernstfall innerhalb kürzester Zeit nachvollziehbar entscheiden könnten, ob ein Ereignis meldepflichtig ist und wer die erforderlichen Schritte veranlasst.

Auch regelmäßige Übungen unter realistischen Bedingungen für CRA-Konformität erforderlich

„Darüber hinaus müssen technische und organisatorische Prozesse etabliert werden, die eine schnelle Erkennung, Bewertung und Einordnung von Sicherheitsrisiken ermöglichen!“, unterstreicht Jochen Koehler, „Vice President of EMEA Sales“ bei Cycode.

  • Er führt aus: „Dazu gehört kontinuierliches Monitoring selbst entwickelter Software und Code-Basen, Open-Source-Komponenten, Drittanbieter-Abhängigkeiten, CI/CD-Umgebungen, Infrastruktur, Container, Secrets und KI-Komponenten.“

Ergänzend seien standardisierte Melde- und Freigabeprozesse, vorbereitete Vorlagen für regulatorische Meldungen, dokumentierte „Runbooks“ sowie regelmäßige Übungen unter realistischen Bedingungen erforderlich.

Weitere Informationen zum Thema:

cycode
About Cycode: Cycode’s Agentic Development Security Platform enables enterprises to secure development from prompt to cloud. Its self-protecting ADLC vision brings security, developers, and agents together with actionable context to prevent, prioritize, and fix the risks that matter.

cycode, 11.08.2025
Introducing Cycode’s VP of EMEA Sales, Jochen Koehler

enisa EUROPEAN UNION AGENCY FOR CYBERSECURITY
Who we are / The European Union Agency for Cybersecurity. Towards a Trusted and Cyber Secure Europe

Bundesamt für Sicherheit in der Informationstechnik
CERT-Bund / CERT-Bund, das Computer Emergency Response Team für Bundesbehörden, ist die zentrale Anlaufstelle für präventive und reaktive Maßnahmen bei sicherheitsrelevanten Vorfällen in Computer-Systemen

datensicherheit.de, 30.04.2026
FTAPI gibt CRA-Tipps für KMU: Cyber Resilience Act oft ein Buch mit 7 Siegeln / Erste Meldepflichten greifen ab September 2026 – FTAPI benennt fünf Schritte, damit Anbieter digitaler Produkte noch rechtzeitig „CRA-ready“ werden

datensicherheit.de, 21.03.2026
Cyber Resilience Act: BSI hat Vorsitz der AdCo CRA / Die Rolle der Vorsitzenden wurde Anna Schwendicke, BSI-Referatsleiterin „Marktaufsicht“, im Rahmen der Sitzung der AdCo CRA am 19. März 2026 in Athen übertragen

datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

]]>
Deutsche Bank: Vorwürfe der Datenschutzverletzung thematisieren Gefährdung durch Mitarbeiter-Zugänge https://www.datensicherheit.de/deutsche-bank-datenschutzverletzung-gefahr-mitarbeiter-zugaenge Fri, 10 Jul 2026 22:10:00 +0000 https://www.datensicherheit.de/?p=55514 Selbst wenn sich Vorfälle auf Mitarbeiterdaten beschränken und Kundendaten nicht betroffen sind, sollten diese nicht als geringfügige Gefährdung abgetan werden

[datensicherheit.de, 11.07.2026] In seinem aktuellen Kommentar widmet sich Shane Barney, CISO von Keeper Security, Vorwürfen der Datenschutzverletzung bei der Deutschen Bank – diese rückten die Gefährdung durch Mitarbeiter-Zugänge erneut in den Fokus: „Die gegen die Deutsche Bank erhobenen Vorwürfe wurden nicht unabhängig überprüft, und die angeblich exponierten Daten stammen aus Mitarbeiterakten und sind nicht Kundendaten.“ Dennoch folge dieser Vorfall einem bekannten Muster, welches Unternehmen nach wie vor nicht ausreichend adressierten. „Selbst wenn es sich auf Mitarbeiterdaten beschränkt und es sich nicht um Kundendaten handelt, kann dies nicht als geringfügige Gefährdung abgetan werden!“, betont Barney.

keeper-security-shane-barney

Keeper Security

Shane Barney: Die Steuerung und Kontrolle privilegierter Zugriffe ist keine Premium-Funktion mehr – sie gehört heute zum Standard

Im Jahr 2026 sind auf Anmeldedaten bezogene Angriffe die häufigste Bedrohung

Passwort-Hashes seien nun nicht dasselbe wie Klartext-Passwörter – aber auch diese seien nicht sicher. „Offline-Cracking-Tools werden von Jahr zu Jahr schneller und günstiger.“

  • Barney führt aus: „Ein Hash, der mit einer echten E-Mail-Adresse verknüpft ist, gibt einem Angreifer sowohl ein Anmeldedatum, das es wert ist, gehackt zu werden, als auch ein Ziel, das sich für Phishing-Angriffe eignet. Laut den Untersuchungen von Keeper im Jahr 2026 sind anmeldedatenbezogene Angriffe die häufigste Bedrohung (25%), die deutsche Cybersicherheitsverantwortliche derzeit melden.“

Die Erkennung bleibe jedoch langsam: 59 Prozent der deutschen Befragten würden den Missbrauch von Anmeldedaten oder unbefugten privilegierten Zugriff erst nach Stunden und nicht innerhalb von Minuten feststellen.

Anmeldedaten von Mitarbeitern sind ebenfalls als „hochwertiges Gut“ zu schützen

„Die Gruppe, die hinter diesem Vorfall steht, betreibt ein doppeltes Erpressungsmodell: Sie verschlüsselt Systeme und droht damit, gestohlene Daten zu veröffentlichen – unabhängig davon, ob ein Lösegeld gezahlt wird“, berichtet Barney.

  • Anmeldedaten von Mitarbeitern seien Teil der Unternehmensinfrastruktur und erforderten dieselbe Kontrolle und Überwachung wie jeder andere privilegierte Zugriffspunkt. Mitarbeiter sollten Anmeldedaten im Unternehmen daher als „hochwertiges Gut“ behandeln – einzigartig, geschützt und niemals mehrfach verwendet. Unternehmen ihrerseits benötigten Echtzeit-Transparenz darüber, wie diese Anmeldedaten genutzt werden.

Barneys Fazit: „Und sie benötigen Kontrollen, die anormale Zugriffe erkennen, bevor daraus eine Datenschutzverletzung wird. Die Steuerung und Kontrolle privilegierter Zugriffe ist keine Premium-Funktion mehr – sie gehört heute zum Standard.“

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security: Keeper Security transformiert Cybersicherheit für Menschen und Organisationen auf der ganzen Welt…

KEEPER
Keeper Security Author Shane Barney

KEEPER, Mai 2026
Keeper Security Infobericht: Identitätssicherheit in Maschinengeschwindigkeit / Identität ist heute die Grundlage für die Funktionsweise

SECURITY INSIDER, Melanie Staudacher, 08.07.2026
Ransomware-Gruppe „Unsafe“ Mutmaßlicher Cyberangriff bei der Deutschen Bank

it-daily.net, 08.07.2026
Daten im Darknet: Ransomware-Bande will bei Deutsche Bank eingebrochen sein

Dr. Web, Michael Dobler, 08.07.2026
Erst zwei Opfer, dann die Deutsche Bank: Was hinter der Erpressergruppe UnSafe steckt

datensicherheit.de, 02.04.2026
Wozu Einbruch in Unternehmens-Netzwerke, wenn es auch per Login geht / Der aktuelle „Ontinue Threat Intelligence Report“ für das zweite Halbjahr 2025 belegt, dass der Diebstahl von Zugangsdaten eine zunehmende Herausforderung für Unternehmen darstellt

datensicherheit.de, 09.04.2025
Neue Mitarbeiter: Vom Sicherheitsrisiko zum Verfechter der betrieblichen Cyber-Sicherheitsstrategie / Miro Mitrovic gibt vier Tipps für Unternehmen beim Onboarding neuer Mitarbeiter zur Integration in die eigene Cyber-Verteidigung

datensicherheit.de, 13.01.2025
Cyber-Kriminellen bevorzugen Login statt Einbruch / Personenbezogene Daten Hauptziel der Cyber-Angreifer

]]>
Datensicherheit und digitale Souveränität: Grundlagen nachhaltiger Wettbewerbsfähigkeit https://www.datensicherheit.de/datensicherheit-digitale-souveraenitaet-grundlagen-wettbewerb https://www.datensicherheit.de/datensicherheit-digitale-souveraenitaet-grundlagen-wettbewerb#respond Fri, 10 Jul 2026 13:02:47 +0000 https://www.datensicherheit.de/?p=55512 Wer sensible Daten wirksam schützt und die Kontrolle über digitale Infrastrukturen behält, stärkt nicht nur Vertrauen und Rechtssicherheit, sondern schafft auch die Voraussetzungen für nachhaltige Wettbewerbsfähigkeit. Im folgenden Gastbeitrag wird beleuchtet, warum diese Themen heute eine strategische Bedeutung haben und wie Unternehmen sie erfolgreich in ihre Digitalisierungsstrategie integrieren können.

Von unserem Gastautor Andreas Dangl, Geschäftsführer Fabasoft Approve

[datensicherheit.de, 10.07.2026] Europas Unternehmen stehen vor einer doppelten Herausforderung: Sie wollen einerseits mit dem globalen Innovationstempo Schritt halten und andererseits die Kontrolle über ihre sensiblen Daten bewahren. Datensicherheit und digitale Souveränität sind dabei längst keine rein technischen Fragen mehr. Sie bilden die strategische Grundlage für Vertrauen, Rechtssicherheit und langfristige Wettbewerbsfähigkeit.

Andreas Dangl, Geschäftsführer Fabasoft Approve

Andreas Dangl, Geschäftsführer Fabasoft Approve, Foto: © Fabasoft Approve

Wachsende Abhängigkeiten und Cyberrisiken

Aktuelle Entwicklungen machen deutlich, wie verletzlich digitale Wertschöpfung geworden ist. Cyberangriffe auf kritische Infrastrukturen, Sabotage in Lieferketten und gezielte Datenmanipulation entfalten reale wirtschaftliche Wirkung. Gleichzeitig dominieren außereuropäische Cloud-Anbieter weiterhin große Teile des Markts – eine Konzentration, die strukturelle Abhängigkeiten schafft, die weit über technische Aspekte hinausgehen.

Laut aktuellem Bitkom Cloud Report halten 78 Prozent der deutschen Unternehmen Deutschland für zu abhängig von US-Anbietern. Und das Analystenhaus Gartner geht davon aus, dass bis 2030 mehr als 75 Prozent der europäischen Unternehmen ihre virtuellen Workloads in Lösungen überführen werden, die geopolitische Risiken gezielt reduzieren. Zum Vergleich: Im Jahr 2025 haben das weniger als fünf Prozent getan.

  • Der US CLOUD Act macht das Thema greifbar: Er verpflichtet amerikanische Unternehmen, gespeicherte Daten auf Anfrage an US-Behörden herauszugeben, auch wenn sich diese physisch in Europa befinden. Damit gibt jede Organisation, die auf US-basierte Dienste setzt, einen Teil ihrer Kontrolle über vertrauliche Informationen ab. Immer mehr europäische Unternehmen stellen sich daher die kritische Frage: Wer hat tatsächlich Zugriff auf die eigenen Daten und wo sind sie gespeichert?
  • Digitale Souveränität wird so zur Frage der Selbstbestimmung: Organisationen, die eigene Handlungsspielräume sichern wollen, entscheiden sich bewusst für IT-Infrastrukturen und Rechtsrahmen, die europäischen Werten und Gesetzen entsprechen.

Transparenz, Zugriffsrechte und Nachvollziehbarkeit

Wer sensible Daten wie Konstruktionsunterlagen, Stücklisten oder Projektdokumentationen verwaltet, profitiert von klaren Strukturen für Zugriffsrechte und Verantwortlichkeiten. Ein präzises Rollen- und Berechtigungskonzept legt fest, wer welche Informationen einsehen, bearbeiten oder freigeben darf. Jede Änderung bleibt nachvollziehbar, jeder Workflow dokumentiert.

Versionshistorien und die Möglichkeit, ältere Dokumentenstände wiederherzustellen, schaffen Transparenz über den gesamten Informationslebenszyklus. Dies betrifft auch die Zusammenarbeit mit externen Partnern, Lieferanten oder Kunden entlang komplexer Lieferketten. Compliance-Anforderungen lassen sich auf diese Weise effizient erfüllen, ohne betriebliche Abläufe zu belasten.

Entscheidend ist dabei die Balance: Zusammenarbeit über Unternehmensgrenzen hinweg gelingt nur dann nachhaltig, wenn sie auch den Schutz vertraulicher Informationen umfasst. Automatisierte Freigabeprozesse und ein granulares Rechtemanagement bilden dafür wesentliche Bausteine.

Künstliche Intelligenz: Chancen und Risiken für die Datensouveränität

Künstliche Intelligenz verändert das digitale Informationsmanagement grundlegend. Richtig eingesetzt, steigert sie Effizienz und Qualität erheblich, etwa durch automatisierte Klassifizierung von Dokumenten, intelligente Suchfunktionen oder Unterstützung bei mehrsprachiger Kommunikation. Generative Sprachmodelle zeigen eindrucksvoll, wie leistungsfähig KI-Systeme heute sind.

Gleichzeitig birgt der unkontrollierte Einsatz von KI Risiken für die Datensouveränität. Viele öffentlich zugängliche Sprachmodelle verarbeiten eingegebene Informationen auf Servern außerhalb des europäischen Rechtsraums. Nutzer:innen können oft nicht nachvollziehen, wie ihre Daten weiterverarbeitet oder für das Training zukünftiger Systeme genutzt werden. Für Organisationen, die mit vertraulichen oder geschäftskritischen Informationen arbeiten, entsteht daraus ein erhebliches Risiko.

Eine wirkungsvolle Alternative bieten mandantenreine KI-Modelle, die in abgeschotteten, europäischen Umgebungen ohne Internetanbindung laufen. Solche Systeme lernen ausschließlich aus den Daten der jeweiligen Organisation und geben keinerlei Informationen nach außen weiter. KI und Datenschutz schließen sich damit keineswegs aus – die entscheidende Voraussetzung ist eine Implementierung mit der nötigen Sorgfalt und innerhalb eines klar definierten rechtlichen Rahmens.

Europäische Cloud-Infrastruktur als Fundament

Digitale Selbstbestimmung baut auf Infrastruktur, die europäischen Werten, Gesetzen und Datenschutzprinzipien folgt. Vollständig in Europa betriebene Cloud-Plattformen schaffen diese Grundlage: Datenhaltung, Entwicklung und Betrieb unterliegen dem europäischen Rechtsrahmen und gestalten sich damit transparent, überprüfbar und sicher.

Unternehmen profitieren dabei nicht nur von rechtlicher Klarheit, sondern auch von der technischen Flexibilität moderner Cloud-Architekturen. Wer den Datenstandort gezielt wählen und kontrollieren kann, stärkt das Vertrauen in die eigene digitale Infrastruktur und reduziert strukturelle Abhängigkeiten von außereuropäischen Anbietern spürbar.

Zertifizierte Sicherheit als Vertrauensbasis

Digitale Souveränität erfordert auch überprüfbare Sicherheitsstandards. Anerkannte Zertifizierungen und Testate – etwa nach BSI C5, ISO 27001/27018, ISAE 3000 SOC2 oder dem EU Cloud Code of Conduct – machen Datenschutz und Informationssicherheit messbar und vergleichbar.

Regelmäßige, unabhängige Audits schaffen Transparenz und Nachvollziehbarkeit. Organisationen wissen damit genau, unter welchen Bedingungen ihre Daten verarbeitet werden – ein wesentlicher Faktor, um Vertrauen innerhalb globaler Wertschöpfungsketten zu festigen und Compliance-Anforderungen dauerhaft zu erfüllen.

Handlungsspielräume zurückgewinnen: Autonomie durch Low-Code und No-Code

Digitale Souveränität endet nicht bei der Infrastruktur. Sie zeigt sich auch in der Fähigkeit, Prozesse eigenständig zu gestalten. Low-Code- und No-Code-Ansätze ermöglichen es Fachabteilungen, Abläufe selbst zu modellieren und Workflows anzupassen, ohne tiefgreifende Programmierkenntnisse oder Abhängigkeit von externen Dienstleistern.

Unternehmen entscheiden so selbst, welche Datenflüsse sie zulassen, welche Sicherheitsrichtlinien sie implementieren und wie sie ihre Abläufe gestalten. Diese technische Selbstbestimmung ist ein direkter Ausdruck digitaler Souveränität und stärkt gleichzeitig Reaktionsfähigkeit und Innovationskraft.

Fazit: Souveränität als strategische Entscheidung

Datensicherheit und digitale Souveränität sind weit mehr als technische Schutzmaßnahmen. Sie stehen für Eigenständigkeit, Innovationskraft und die Bereitschaft, Verantwortung für das eigene Wissen zu übernehmen. Organisationen, die Datenhoheit, Compliance und betriebliche Effizienz miteinander verbinden, legen den Grundstein für eine zukunftsfähige digitale Strategie.

Europas Unternehmen gestalten ihre digitale Zukunft dann am wirkungsvollsten, wenn sie Technologien einsetzen, die Kontrolle und Fortschritt gleichermaßen ermöglichen. Eine souveräne Datenstrategie schafft Resilienz gegenüber äußeren Einflüssen und sichert langfristig den wirtschaftlichen Erfolg. Wer heute in digitale Eigenständigkeit investiert, investiert in die Wettbewerbsfähigkeit von morgen.

Über den Autor

Andreas Dangl ist Entrepreneur und Geschäftsführer der Fabasoft Approve GmbH. In seiner Funktion unterstützt er Unternehmen aus der Industrie bei der Einführung von KI-gestütztem Dokumenten- und Qualitätsmanagement.

Weitere Information zum Thema:

datensicherheit.de, 11.06.2026
Realitätscheck zur souveränen europäischen KI

datensicherheit.de, 31.05.2026
Digitale Souveränität: Speicherort der Daten notwendiges, aber nicht mehr hinreichendes Kriterium

]]>
https://www.datensicherheit.de/datensicherheit-digitale-souveraenitaet-grundlagen-wettbewerb/feed 0
ISMS: Sieben Tipps für mehr Datensicherheit in KMU https://www.datensicherheit.de/isms-7-tipps-datensicherheit-kmu https://www.datensicherheit.de/isms-7-tipps-datensicherheit-kmu#respond Fri, 10 Jul 2026 12:26:34 +0000 https://www.datensicherheit.de/?p=55505 Informationen gehören zu den wertvollsten Ressourcen von Unternehmen und sind zugleich vielfältigen Risiken ausgesetzt. Neben externen Cyberangriffen gefährden auch interne Schwachstellen wie unzureichende Zugriffskontrollen, veraltete Systeme oder mangelhafte Datensicherungen die Informationssicherheit. Der Beitrag zeigt, warum ein systematischer Schutz geschäftskritischer Informationen unverzichtbar ist und welche Maßnahmen Unternehmen ergreifen sollten, um Risiken frühzeitig zu erkennen und ihre Daten nachhaltig zu sichern.

Von unserem Gastautor Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

[datensicherheit.de, 10.07.2026] Informationen zählen heute zu den sensibelsten und zugleich kritischsten Unternehmenswerten. Kundendaten, Vertragsunterlagen, Finanzinformationen, interne Kommunikation oder Daten aus ERP- und CRM-Systemen bilden die Grundlage zahlreicher Geschäftsprozesse. Umso gravierender sind die Folgen, wenn Daten manipuliert, verschlüsselt, unkontrolliert weitergegeben oder dauerhaft gelöscht werden.

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, Bild: Dr. Sebastian Schmerl

Fakt ist: Risiken entstehen längst nicht mehr nur durch gezielte externe Angriffe. Fehlende Zugriffskontrollen, unzureichend getestete Backups, veraltete Systeme oder unnötig weitreichende Berechtigungen schaffen oft bereits intern eine erhebliche Angriffsfläche. Besonders kritisch ist es, wenn Unternehmen zwar einzelne Sicherheitsmaßnahmen implementiert haben, aber kein strukturiertes Verständnis darüber besteht, welche Informationen tatsächlich entscheidend sind und wie diese dediziert geschützt werden können.

Informationssicherheitsmanagementsysteme (ISMS)

Genau hier setzt ein Information Security Management System (ISMS) an. Es hilft Unternehmen dabei, sensible Informationen, kritische Systeme und relevante Risiken systematisch zu erfassen, Verantwortlichkeiten festzulegen und geeignete Schutzmaßnahmen umzusetzen. Dabei muss ein ISMS keineswegs ausufernd oder hochbürokratisch sein. Gerade kleinere und mittelständische Unternehmen (KMU) profitieren häufig von einem pragmatischen Ansatz, der Informationssicherheit nachvollziehbar strukturiert.

Dazu braucht es zunächst nur sieben Basismaßnahmen:

  1. Scope und Kritische Assets identifizieren
    Der erste Schritt eines ISMS ist gleichzeitig einer der wichtigsten: Unternehmen müssen verstehen, welche Systeme und Daten für den eigenen Betrieb tatsächlich geschäftsentscheidend sind. Diese sollten den Scope des ISMS bilden. Das klingt selbstverständlich, ist in der Praxis jedoch häufig nicht der Fall. Denn oft existiert zwar ein technisches Grundverständnis über die eigene Infrastruktur, aber keine priorisierte Übersicht darüber, welche Assets im Ernstfall wirklich geschäftskritisch wären.

    Dabei geht es nicht nur um Hardware oder Endgeräte. Essenzielle Assets sind häufig Identitäts- und Verzeichnisdienste, Microsoft-365-Umgebungen, ERP-Systeme, zentrale Fileshares, Backup-Systeme oder branchenspezifische Anwendungen. Auch sensible Kundendaten, Vertragsunterlagen oder Finanzinformationen gehören dazu.

    Es gilt: Nicht jedes einzelne System muss sofort vollständig erfasst werden. Sinnvoller ist es, zunächst die fünf bis zehn wichtigsten Systeme und Datenbestände zu identifizieren. Die zentrale Frage lautet: Welche Daten oder Systeme würden den Betrieb massiv beeinträchtigen, wenn sie ausfallen, manipuliert oder verschlüsselt würden? Bereits diese Priorisierung schafft Transparenz und verhindert, dass Sicherheitsmaßnahmen nach Bauchgefühl statt nach tatsächlicher Kritikalität umgesetzt werden.

  2. Risiken bewerten
    Sind die wichtigsten Assets identifiziert, folgt die Risikobetrachtung. Auch hier heißt das Motto: Einfachheit schlägt Perfektion. Komplexe Risikomatrizen mit Dutzenden Bewertungsstufen erzeugen oft mehr Verwaltungsaufwand als Sicherheitsgewinn. Für viele (vor allem mittelständische) Unternehmen reicht zunächst eine einfache Einteilung in „niedrig“, „mittel“ und „hoch“. Entscheidend ist nicht mathematische Präzision, sondern die realistische Einschätzung: Wie wahrscheinlich ist ein Vorfall? Und welche Auswirkungen hätte er?

    Besonders relevant sind dabei Risiken rund um Datenverlust, Ransomware, fehlende Zugriffskontrollen oder unzureichende Backups. Denn gerade Backup-Systeme werden in KMU häufig unterschätzt. Ein vorhandenes Backup bedeutet noch lange nicht, dass sich Daten im Ernstfall tatsächlich wiederherstellen lassen. Restore-Tests gehören deshalb zwingend zur Sicherheitsstrategie.

    Ebenso entscheidend sind unnötige Berechtigungen. In vielen Unternehmen haben Mitarbeitende über Jahre hinweg Zugriff auf Systeme und Daten erhalten, die längst nicht mehr für ihre Aufgaben notwendig sind. Solche überprivilegierten Konten vergrößern die Angriffsfläche erheblich. Ein ISMS hilft dabei, genau diese Risiken sichtbar zu machen – und zwar nicht erst, wenn es zu spät ist.

  3. Verantwortlichkeiten festlegen
    Informationssicherheit scheitert selten ausschließlich an Technik. Häufig fehlt schlicht Klarheit darüber, wer zuständig ist. Genau deshalb gehört die Definition von Rollen und Verantwortlichkeiten zu den zentralen Bestandteilen eines ISMS.

    Vor allem in kleineren Unternehmen verteilen sich Sicherheitsaufgaben oft informell: Der Administrator kümmert sich um Backups, ein externer Dienstleister betreut die Firewall und die Geschäftsführung geht davon aus, dass „die IT das schon macht“. Im Ernstfall führt das schnell zu Unsicherheiten.

    Ein funktionierendes ISMS definiert deshalb klar, wer Risiken bewertet, wer Maßnahmen umsetzt und wer Entscheidungen trifft. Typischerweise liegt die operative Verantwortung bei der IT-Leitung oder Administratoren, während die Geschäftsführung Risiken akzeptieren oder Investitionen freigeben muss.

    Das klingt zunächst formal, hat aber praktische Auswirkungen. Wenn beispielsweise bekannt ist, dass kein ausreichender Endpoint-Schutz vorhanden ist oder Backup-Konzepte Lücken aufweisen, dann sollte dokumentiert werden, wie mit diesem Risiko umgegangen wird. Genau darum geht es im Kern eines ISMS: Risiken sichtbar machen, bewerten und Entscheidungen nachvollziehbar dokumentieren.

  4. Maßnahmen priorisieren
    Einer der größten Fehler in Sicherheitsprojekten besteht darin, alles gleichzeitig lösen zu wollen, jedoch ist auch hier Priorisierung entscheidend. Ein pragmatisches ISMS konzentriert sich zuerst auf Basis-Sicherheitsmaßnahmen. Dazu zählen insbesondere funktionierende Backup- und Restore-Prozesse, Zugriffskontrollen, Patch-Management sowie Schutzmaßnahmen gegen Phishing und Social Engineering.

    Untersuchungen belegen: Phishing und BEC (Business E-Mail Compromise) waren, sind und bleiben ein massives Risiko für Unternehmen. Gefälschte Rechnungen, manipulierte Zahlungsaufforderungen oder präparierte Anhänge gehören längst zum Alltag. Deshalb ist Security Awareness weiterhin relevant – auch wenn technische Schutzmaßnahmen vorhanden sind.

    Gleichzeitig sollten Unternehmen vermeiden, sich bei der Ausarbeitung eines ISMS zu früh in hochkomplexen Spezialthemen zu verlieren. Ein sauber umgesetztes Basisniveau bringt meist deutlich mehr Cyberhygiene als umfangreiche Dokumentation ohne operative Umsetzung. Oder anders formuliert: Lieber 80 Prozent sinnvoll umgesetzt, als 100 Prozent theoretisch beschrieben.

  5. Dokumentation aufsetzen
    Dennoch gehört auch Dokumentation zu jedem ISMS, allerdings nicht in Form unlesbarer Handbücher. Schon wenige Dokumente reichen aus, um Struktur zu schaffen. Dazu gehören typischerweise eine Übersicht über den Geltungsbereich des ISMS, eine Asset-Liste, ein Risikoregister sowie eine priorisierte Maßnahmenliste. Ergänzend sinnvoll sind einige Kernrichtlinien, etwa zu Zugriffskontrolle, Backup, Patch-Management oder Incident Response.

    Auch ein Incident-Log sollte vorhanden sein. Sicherheitsvorfälle – selbst kleinere Malware-Funde oder Phishing-Versuche – lassen sich dort dokumentieren und später auswerten. Wiederkehrende Vorfälle liefern oft wertvolle Hinweise auf strukturelle Schwachstellen. Wichtig ist dabei vor allem die Praxistauglichkeit. Eine Passwort-Richtlinie muss kein zehnseitiges Dokument sein. Wenn klar definiert ist, welche Anforderungen gelten, warum MFA (Multi-Faktor Authentifizierung) verpflichtend ist und wie Administrator-Konten gehandhabt werden, reicht häufig bereits eine halbe Seite, die im Ernstfall auch auffindbar sein muss. Die beste Dokumentation hilft schließlich wenig, wenn sie niemand liest oder im Ernstfall niemand weiß, wo sie liegt.

  6. Prozesse definieren
    Neben Dokumentation braucht ein ISMS funktionierende Prozesse. Dabei müssen diese keineswegs hochkomplex sein. Klar verständliche Abläufe sind meist deutlich wirksamer. Das beginnt beim Access Management: Wer erhält Zugriff auf welche Systeme? Wer genehmigt Berechtigungen? Wie oft werden bestehende Rechte überprüft? Über Jahre gewachsene Berechtigungsstrukturen zählen zu den häufigsten Sicherheitsproblemen – vor allem in KMU. Ebenso wichtig sind definierte Backup-Prozesse. Unternehmen sollten festlegen, welche Daten gesichert, wie lange sie aufbewahrt und wie Wiederherstellungen getestet werden. Viele Unternehmen verlassen sich auf Backups, ohne jemals überprüft zu haben, ob diese tatsächlich funktionieren.

    Hinzu kommt ein einfacher Incident-Response-Prozess. Wie werden Sicherheitsvorfälle erkannt? Wer wird informiert? Welche Systeme können isoliert werden? Welche externen Dienstleister müssen eingebunden sein? Auch hier gilt: Im Ernstfall helfen keine komplizierten Prozessdiagramme, sondern klare Zuständigkeiten und erreichbare Ansprechpartner.

    Nicht zuletzt gehört Patch-Management zu den Pflichtaufgaben eines ISMS. Systeme sollten möglichst automatisiert aktualisiert werden. Gerade angesichts immer kürzerer Zeitfenster zwischen Schwachstellenveröffentlichung und aktiver Ausnutzung wird schnelles Patchen zunehmend entscheidend
    .

  7. Regelbetrieb etablieren
    Zu guter Letzt muss bedacht werden: Ein ISMS ist kein Projekt mit Enddatum. Genau das wird in vielen Unternehmen unterschätzt. Informationssicherheit funktioniert nur dann nachhaltig, wenn sie Teil des Regelbetriebs wird. Dies bedeutet nicht zwangsläufig hohe Zusatzaufwände. Bereits kurze monatliche Reviews der wichtigsten Risiken können ausreichen, um Risikobewertung und Maßnahmen aktuell zu halten. Quartalsweise Abstimmungen mit der Geschäftsführung schaffen zusätzliche Transparenz. Hinzu kommen regelmäßige Prüfungen von Berechtigungen, Backup-Prozessen oder Sicherheitsvorfällen. Entscheidend ist dabei vor allem eines: Das ISMS muss gelebt werden. Dokumente, die nach ihrer Erstellung in der Schublade verschwinden, verbessern keine Informationssicherheit. Erst wenn Risiken regelmäßig überprüft, Maßnahmen angepasst und Verantwortlichkeiten tatsächlich wahrgenommen werden, entfaltet ein ISMS seinen Nutzen.

Fazit: Informationssicherheit muss praktikabel bleiben

Ein ISMS ist für Unternehmen − insbesondere für KMU − ein wirkungsvolles Instrument zur Priorisierung. Es hilft dabei, kritische Daten und Systeme sichtbar zu machen, Risiken strukturiert zu bewerten und Sicherheitsmaßnahmen nachvollziehbar umzusetzen. Entscheidend ist dabei nicht die Menge der Dokumentation, sondern ob Prozesse und Verantwortlichkeiten im Alltag tatsächlich funktionieren. Denn Informationssicherheit entsteht nicht durch Ordner und Richtlinien allein, sondern dadurch, dass Risiken verstanden, Maßnahmen umgesetzt und regelmäßig überprüft werden. Genau darin liegt der eigentliche Mehrwert eines ISMS.

Weitere Informationen zum Thema:

datensicherheit.de, 02.07.2026
Die eigentliche Herausforderung beginnt erst jetzt: NIS-2-Registrierung genügt nicht

datensicherheit.de, 05.07.2016
KRITIS: TÜV Rheinland beschreibt fünf Vorteile der ISO 27001 für Betreiber

 

 

]]>
https://www.datensicherheit.de/isms-7-tipps-datensicherheit-kmu/feed 0
Web-Analyse: 84 Prozent der Unternehmen treffen Entscheidungen auf Basis fragwürdiger Daten https://www.datensicherheit.de/web-analyse-84-prozent-unternehmen-entscheidung-basis-fragwuerdig-daten Thu, 09 Jul 2026 22:57:00 +0000 https://www.datensicherheit.de/?p=55490 Aktuelle Matomo-Studie zeigt wachsende „Trust Gap“ in der Web-Analyse – zudem erhöht KI den Druck auf Datenqualität, Transparenz und Datensouveränität

[datensicherheit.de, 10.07.2026] Matomo zeigt in einer aktuellen Studie auf, dass Unternehmen ihren „Analytics“-Daten zwar vertrauten, deren Belastbarkeit jedoch häufig erst nachdem sie bereits Geschäftsentscheidungen getroffen haben infrage stellten. Demnach haben 84 Prozent der Unternehmen bereits Entscheidungen auf Basis später hinterfragter „Analytics“-Daten getroffen, nur 45 Prozent könnten automatisierten „Traffic“ eindeutig von realen Nutzern unterscheiden und 98 Prozent sehen Datenhoheit sowie -kontrolle als wichtigen Teil ihrer „Analytics“-Strategie. Für die vorliegende Studie „The Future of Web Analytics” habe Censuswide im Mai 2026 im Auftrag von Matomo insgesamt 300 Fach- und Führungskräfte aus Deutschland, Frankreich und den USA befragt. „Je 100 Befragte stammen aus einem der drei Märkte.“ Die Teilnehmer arbeiteten in den Bereichen „Web Analytics“, „Digital Analytics“, „IT“, „Data“ und „Marketing“ und seien unmittelbar für Web-Analyse, Datenmanagement oder „Analytics“-Strategien verantwortlich. Vertreten seien Unternehmen unterschiedlicher Branchen wie Technologie, Finanzdienstleistungen, E-Commerce, Gesundheitswesen, Industrie und aus dem öffentlichen Sektor.

matomo-adam-taylor

Foto: Matomo

Adam Taylor rät Unternehmen, Vertrauen systematisch in ihre „Analytics“-Strategie zu integrieren

92,3 Prozent der Befragten in Deutschland geben an, ihren „Analytics“-Daten zu vertrauen

Unternehmen verließen sich auf Web-Analyse, um Geschäftsentscheidungen zu treffen. Doch die Datengrundlage sei oft weniger belastbar, als viele annehmen. Laut der internationalen Studie „The Future of Web Analytics“ von Matomo haben bereits 84 Prozent der Unternehmen Geschäftsentscheidungen auf Basis von „Analytics“-Daten getroffen, die sie später infrage stellten oder als unvollständig bewerteten.

  • Für diese Studie seien insgesamt 300 Web-Analyse-Experten aus Deutschland, Frankreich und den USA befragt worden. Die Ergebnisse machten nun eine wachsende „Trust Gap“ sichtbar: Unternehmen vertrauten ihren „Analytics“-Daten grundsätzlich, würden indes deren Schwächen jedoch häufig erst im Nachhinein erkennen, „nachdem bereits Entscheidungen auf Basis der Daten getroffen wurden“.

Auch in Deutschland zeige sich dieses Spannungsfeld deutlich: „92,3 Prozent der Befragten geben an, ihren ,Analytics’-Daten zu vertrauen. Gleichzeitig berichten 48 Prozent, bereits mehrfach Entscheidungen auf Grundlage von Daten getroffen zu haben, die sie später hinterfragten oder als unvollständig einstuften.“

Erhöhter Druck auf verlässliche „Analytics“-Daten durch KI

Mit der zunehmenden Verbreitung Generativer Künstlicher Intelligenz (GenKI) gewinne die Qualität der Web-Analyse weiter an Bedeutung. Plattformen wie „ChatGPT“ oder „Perplexity“ entwickelten sich zu neuen „Traffic“-Quellen und veränderten das Nutzerverhalten grundlegend. Für „Analytics“-Teams werde es dadurch schwieriger, Besucherströme korrekt zu erfassen und auszuwerten.

  • Zwar hielten 95 Prozent der deutschen Befragten KI-generierten „Traffic“ für relevant und 87 Prozent beobachteten bereits Auswirkungen auf ihre „Analytics“-Daten. Gleichzeitig fehle vielen Unternehmen die notwendige Transparenz: „Nur 45 Prozent können automatisierten ,Traffic’ eindeutig von realen Nutzern unterscheiden.“ Dies erschwere unter anderem die Analyse von „Customer Journeys“, die Zuordnung von „Conversions“ und die verlässliche Bewertung von Kampagnen-Erfolgen.

Die Ergebnisse zeigten: KI ersetze die Grundlagen der Web-Analyse nicht – stattdessen mache sie verlässliche, nachvollziehbare und qualitativ hochwertige Daten wichtiger denn je.

Nur 27 Prozent priorisieren vollständig korrekte Daten

Mit der zunehmenden Komplexität der Web-Analyse durch KI rückten auch ihre Grundprinzipien wieder stärker in den Fokus. Gefragt nach den wichtigsten Eigenschaften einer idealen „Analytics“-Lösung würden 46 Prozent der deutschen Befragten die vollständige Einhaltung von Datenschutzvorgaben als höchste Priorität benennen.

  • 100-prozentige Datengenauigkeit folge mit 27 Prozent auf Platz 2. KI-gestützte Automatisierung spiele dagegen kaum eine Rolle: Lediglich zwei Prozent sähen diese als wichtigste Anforderung.

Auch bei der Auswahl einer „Analytics“-Plattform stünden Datenqualität und Verlässlichkeit an erster Stelle. Für viele Unternehmen bildeten sie weiterhin die Grundlage fundierter Geschäftsentscheidungen.

Für 98 Prozent Datenhoheit von hoher Bedeutung

Neben der Datenqualität komme auch der Kontrolle über Daten zunehmend eine große Bedeutung zu. 98 Prozent der deutschen Befragten bezeichneten Datenhoheit und -kontrolle als einen wichtigen Bestandteil ihrer „Analytics“-Strategie.

  • Gleichzeitig bevorzugten 68 Prozent ein Hosting der „Analytics“-Daten innerhalb der Europäischen Union (EU), seien aber mit globalen Anbietern einverstanden, „sofern geeignete Sicherheitsmaßnahmen gewährleistet sind“.

14 Prozent gingen noch einen Schritt weiter und forderten, dass „Analytics“-Daten ausschließlich innerhalb der EU gespeichert und verarbeitet sowie von europäischen Anbietern gehandhabt werden sollten.

Transparenz darüber gefordert, wo Daten gespeichert werden, wie sie verarbeitet werden und wer die Kontrolle darüber hat

Für deutsche Unternehmen beruhe das Vertrauen in die Web-Analyse damit nicht allein auf präzisen Daten. Ebenso entscheidend sei die Transparenz darüber, „wo Daten gespeichert werden, wie sie verarbeitet werden und wer die Kontrolle darüber hat“.

  • „Mehr Daten sorgen nicht automatisch für mehr Vertrauen. Entscheidend ist, ob Unternehmen ihre Daten nachvollziehen, überprüfen und mit gutem Gewissen für Entscheidungen nutzen können. Mit der weiten Verbreitung KI-gestützter Anwendungen wachsen die Anforderungen an Transparenz, Datenschutz und Datenqualität gleichermaßen“, kommentiert Adam Taylor, CEO von Matomo.

Abschließend gibt er zu bedenken: „Unternehmen, die Vertrauen systematisch in ihre ,Analytics’-Strategie integrieren, legen den Grundstein für bessere Entscheidungen, stärken das Vertrauen ihrer Kunden und fördern zugleich die europäische Datensouveränität!“

Weitere Informationen zum Thema:

matomo
Privacy-first analytics you can trust / Popular analytics tools can miss up to 40% of traffic. Matomo delivers accurate, GDPR-compliant analytics with full data ownership in a platform teams can set up in minutes

matomo, 18.02.2026
Matomo evolves its global leadership to drive international expansion

matomo
The Future of Web Analytics / What 300 experts say about trust, privacy and AI

datensicherheit.de, 14.11.2019
Analyse-Dienste für Webseiten nur mit Einwilligung zu nutzen / Bei der Einbindung von „Google Analytics“ u.a. ist geltendes Datenschutzrecht strikt zu befolgen

datensicherheit.de, 31.07.2015
Predictive Analytics: IT-Unterstützung für zukunftsorientiertes Controlling / Gefahren und Chancen rechtzeitig erkennen und proaktiv handeln

]]>
Engage Paris 2026: Wie Frontier AI die IT-Sicherheit verändert https://www.datensicherheit.de/frontier-ai-it-sicherheit-veraenderung https://www.datensicherheit.de/frontier-ai-it-sicherheit-veraenderung#respond Thu, 09 Jul 2026 13:29:18 +0000 https://www.datensicherheit.de/?p=55479 Die rasante Entwicklung von Frontier-AI-Modellen verändert die Cybersicherheit grundlegend. In seiner Keynote auf der Check Point Engage Paris 2026 erläuterte CEO Nadav Zafrir vor rund 1.000 Cybersicherheitsexperten, dass KI den Zugang zu hochentwickelten Angriffstechniken demokratisiert: Fähigkeiten, die bislang umfangreiche Infrastruktur, langjährige Erfahrung und tiefes Fachwissen erforderten, stehen heute prinzipiell jedem mit Internetzugang und Zugriff auf einen MCP-Server zur Verfügung. Welche Folgen das Ende dieser „Verknappung“ für Angreifer – und damit auch für die Verteidigung von IT-Systemen – hat, war eines der zentralen Themen der Veranstaltung, an der auch datensicherheit.de am 1. und 2. Juli in Paris teilnahm.

[datensicherheit.de, 09.07.2026] Die Diskussion um die Möglichkeiten von Frontier AI-Modellen, Schwachstellen in Software zu finden und zu beheben, ist allgegenwärtig.

Nadav Zafrir, CEO Check Point

Nadav Zafrir, CEO Check Point, Bild: Check Point

„Was bedeutet das Ende der Verknappung für den Angreifer? Nun, zunächst einmal bedeutet es eine Demokratisierung. Was früher nur wenigen vorbehalten war, weil man über Jahre hinweg eine Infrastruktur aufbauen und über tiefgreifendes Fachwissen und Erfahrung verfügen musste. Dieser Mix steht nun jedem zur Verfügung, der über einen Internetzugang und Zugriff auf einen MCP-Server verfügt“, erklärte Nadav Zafrir in seiner Keynote vor etwa 1.000 geladenen Cybersicherheitsexperten, an der auch Datensicherheit vom 1. bis 2. Juli in Paris teilnahm.

Exposure Gap Report 2026

Diese Explosion an nun bekannt gewordenen Schwachstellen wird auch im „Exposure Gap Report 2026“ deutlich, den die Exposure Management Business Unit des Anbieters zeitgleich veröffentlichte. 42,6 Prozent aller als kritisch bewerteten Risiken waren Schwachstellen und ihre Anzahl verdoppelte sich im Vergleich zum Vorjahr. Angreifer testen mittlerweile mehr Sicherheitslücken in mehr Unternehmen und mit einer Geschwindigkeit, mit der Sicherheitsexperten manuell nicht mehr Schritt halten können.

Die Herausforderung besteht nicht nur in der wachsenden Anzahl. Frontier AI-Modelle demokratisieren letztlich nicht nur das Auffinden von Schwachstellen, sondern sie sorgen auch für eine Form der Industrialisierung. Bislang galt es gefundene Schwachstellen, vor allem Zero Days, möglichst lange geheim zu halten und diese erst im richtigen Moment auszunutzen. Sie konnten mit der Zeit also ihren Wert für den Angreifer steigern. Das ist jetzt vorbei, Schwachstellen können im Bruchteil von Sekunden wertlos werden, wenn anderen Angreifer sie flächendeckend ausnutzen.

Lotem Finkelstein, VP bei Check Point Research

Lotem Finkelstein, VP bei Check Point Research, Bild: Check Point

Lotem Finkelstein, VP bei Check Point Research sieht angesichts dieser Entwicklung lediglich eine Chance für Unternehmen: „Angreifer sind nun noch schneller und besser darin geworden Schwachstellen auszunutzen. Besonders bedroht sind KRITIS und deshalb werden Staaten versuchen den Zugang zu neusten Frontier AI-Modellen zu beschränken. Wenn flächendeckend die Versorgung der Bevölkerung wegen eines IT-Ausfalls zur Gewohnheit wird, droht Chaos.“

Themen: Externe Bedrohungslage und KI-Modelle

Auf der Konferenz wurde jedoch nicht nur über die externe Bedrohungslage diskutiert, auch die Gefahr, die von KI-Modellen aus dem Inneren ausgeht, treibt Sicherheitsexperten um. „Die Bedrohungslandschaft hat sich verändert. Vor allem die Autonomie, mit der KI-Agenten agieren stellt eine neue Qualität dar“, gibt Adam Ely, General Manager AI Security bei Check Point zu Bedenken.

Adam Ely, General Manager AI Security bei Check Point und Carsten J. Pinnow, Herausgeber datensicherheit.de

Adam Ely, General Manager AI Security bei Check Point und Carsten J. Pinnow, Herausgeber datensicherheit.de, Bild: Check Point

Durch Sicherheitsforschung werden immer wieder Schwachstellen in KI-Modellen offen gelegt. Ein Beispiel dafür lieferten die Sicherheitsforscher aus Tel Aviv gleich mit: Ihre Untersuchung zeigte, wie sich das KI-Modell DeepSeek eigenständig ein theoretisches Browser-Risiko mit einer funktionierenden Ransomware-Technik verknüpfte. Der Angriff wurde vollständig im Browser ausgeführt. Beim direkten Test mit DeepSeek V4 unter Verwendung des Wortes „Ransomware“ lehnte das Modell dies zunächst zwar ab. Bei einer neutralen Formulierung generierte es jedoch durchweg funktionierenden, browserbasierten Ransomware-Code. In einer Antwort beschrieb das Modell die Ausgabe selbst als „eine ausgeklügelte Falle, die eine überzeugende KI-Upscaler-Oberfläche mit versteckten, Ransomware-ähnlichen Verhaltensweisen kombiniert“. Es handelt sich um einen Workflow, der keine APK-Installation, keine native Payload, keinen Browser-Exploit und keinen Root-Zugriff erfordert, sondern lediglich eine einzige Berechtigungsabfrage.

Roi Karo, Chief Strategy Officer bei Check Point

Roi Karo, Chief Strategy Officer bei Check Point, Bild: Check Point

Daraus folgt, dass Sicherheitsverantwortliche vor allem auch die eigenen KI-Modelle kontrollieren und absichern müssen. KI-Governance wird damit zum kritischen Geschäftsfaktor. Roi Karo, Chief Strategy Officer bei Check Point sieht dann auch die Auseinandersetzung mit KI als die eigentliche Aufgabe, er erklärte im Interview: „Wer sich als Cybersicherheitsverantwortlicher nicht mit KI beschäftigt, wird früher oder später seinen Job verlieren. Aus meiner Sicht gibt es drei Arten von KI, nämlich wie Unternehmen, wie Angreifer und wie Verteidiger KI einsetzen. Die Geschäftsführung fragt deshalb vor allem danach, wie ihre eigene Sicherheitsexperten die Möglichkeiten der KI für den Schutz des Unternehmens einsetzen und was sie dafür benötigen.“

Prävention auch in Zeiten von KI entscheidend

Entsprechend fallen auch die Empfehlungen aus, die neben der Absicherung und einem Berechtigungsmanagement jedoch auch das klassische Erstellen von regelmäßigen Offline- und Cloud-Backups umfasst. Alle Anwendungen sollten auf dem neuesten Stand gehalten werden und darüber hinaus sollten Organisationen Sicherheitslösungen einsetzen, die bösartige Websites bereits vor dem Erscheinen verdächtiger Berechtigungsabfragen identifizieren und blockieren. Denn auch das bliebt von der Veranstaltung hängen: „Prevention war vor der KI wichtig und sie bleibt immer noch wichtig“, schließt Lotem Finkelstein.

Weitere Informationen zum Thema:

Check Point Blog
Under Pressure: Insights from the 2026 Exposure Gap Report

datensicherheit.de, 10.06.2026
„AI Security Institute“: Gründung eines deutschen KI-Sicherheitsinstituts beschlossen

]]>
https://www.datensicherheit.de/frontier-ai-it-sicherheit-veraenderung/feed 0
ESET-Warnung: Schadhafte AI Skills bieten KI-Agenten neue Angriffsflächen https://www.datensicherheit.de/eset-warnung-schadhaft-ai-skills-ki-agenten-neu-angriffsflaechen Wed, 08 Jul 2026 22:57:00 +0000 https://www.datensicherheit.de/?p=55456 Der aktuelle „ESET Threat Report“ zeigt auf, wie manipulierte Erweiterungen KI-Agenten zum Sicherheitsrisiko machen können

[datensicherheit.de, 09.07.2026] Laut ESET haben hauseigene Forscher rund 900.000 sogenannte AI Skills untersucht und dabei „mehr als 25.000 verdächtige sowie gut 3.000 klar schadhafte Erweiterungen“ entdeckt. Cyberkriminelle könnten nun solche „Add-ons“ missbrauchen, um KI-Agenten zu manipulieren, sensible Daten abzugreifen, Schadsoftware auszuführen oder Nutzungskosten auf ihre Opfer abzuwälzen. Diese Erkenntnisse basieren demnach auf dem aktuellen „ESET Threat Report“ für den Zeitraum Januar bis Mai 2026.

eset-ai-skills-2026

Abbildung: ESET

Anzahl der täglich von ESET-Systemen erkannten einzigartigen „AI Skills“

„AI Skills“ können direkt in den Arbeitsablauf eines KI-Agenten eingreifen

„AI Skills“ erweitern KI-Agenten um zusätzliche Fähigkeiten – diese können den Systemen etwa dabei helfen, Dokumente zu erstellen, Tabellen zu bearbeiten oder bestimmte Online-Dienste zu nutzen.

  • Genau eben diese Funktion macht sie nun offensichtlich auch sicherheitsrelevant: Wenn ein KI-Agent einen schadhaften oder manipulierten „Skill“ lädt, kann dieser laut ESET nicht nur Antworten beeinflussen, sondern sogar auch Aktionen auslösen.

„,AI Skills’ sind für Angreifer attraktiv, weil sie direkt in den Arbeitsablauf eines KI-Agenten eingreifen können. Ein manipulierter ,Skill’ kann einen Agenten dazu bringen, Daten preiszugeben, Schadsoftware nachzuladen oder dauerhaft anders zu handeln als vorgesehen“, warnt Jiří Kropáč, Leiter der „Threat Prevention Labs“ bei ESET. Er gibt zu bedenken: „Mit der wachsenden Verbreitung Agentischer KI steigt deshalb auch das Risiko durch ungeprüfte Erweiterungen.“

Risiko: KI-Agenten mit Zugriff auf Konten, Daten und Zahlungen

Viele KI-Agenten benötigten weitreichende Berechtigungen, um ihre Aufgaben auszuführen. Sie griffen auf Dateien, Konten, Anwendungen oder externe Dienste zu und können in bestimmten Szenarien auch Transaktionen anstoßen. Je mehr Rechte ein Agent erhält, desto größer ist offensichtlich der mögliche Schaden, wenn ein „Skill“ manipuliert wurde oder aus einer unsicheren Quelle stammt.

  • Ein Beispiel aus der ESET-Analyse ist der legitime „Skill“ mit der Bezeichnung „Credit Claw“. Dieser ermöglicht KI-Agenten, Online-Käufe zu tätigen und ist von sich aus nicht schadhaft. Das Risiko entsteht nach ESET-Angaben durch den Zugriff auf Zahlungsprozesse: „Wird ein KI-Agent zusammen mit einem solchen ,Skill’ korrumpiert, können Cyberkriminelle Waren und Dienste auf Kosten ihres Opfers einkaufen und für sich selbst beanspruchen.“

Die ESET-Forscher hätten weitere „Skills“ gefunden, welche Agenten für Aufgaben im Interesse der Angreifer hätten einspannen können. In solchen Fällen könnten beispielsweise Kosten für API-Nutzung oder automatisierte Dienste beim Opfer anfallen. Besonders gefährliche Erweiterungen seien zudem in der Lage gewesen, Anmeldedaten zu stehlen, weiteren Schadcode herunterzuladen oder das Verhalten eines Agenten dauerhaft zu verändern.

Hinweis an Nutzer von KI-Agenten: Einfache „Scanner-Skills“ noch keine Sicherheitslösung

Nicht alle auffälligen „Skills“ seien direkt schadhaft gewesen: „Einige vermittelten Nutzern jedoch ein falsches Sicherheitsgefühl. Dazu zählten Erweiterungen, die als ,Security Scanner’ beworben wurden und angeblich umfassenden Schutz vor Schadsoftware boten.“ Tatsächlich prüften diese jedoch lediglich Hashes, URLs oder IP-Adressen verdächtiger Dateien gegen Online-Datenbanken.

  • Kropáč führt aus: „Rein signaturbasierte Prüfungen reichen gegen moderne Cyberbedrohungen nicht aus! Sie erkennen vor allem bekannte Muster, stoßen aber bei neuen, veränderten oder gezielt verschleierten Angriffen schnell an Grenzen.“

Er rät Anwender: „Wer KI-Agenten nutzt, sollte sich daher nicht auf einfache ,Scanner-Skills’ verlassen, sondern auf etablierte Sicherheitslösungen setzen, die bekannte und unbekannte Bedrohungen erkennen können!“

ESET-Tipps für den sicheren Umgang mit KI-Agenten und „AI Skills“

KI-Agenten könnten Arbeitsabläufe erleichtern und Routine-Aufgaben automatisieren. Damit sie nicht zum Einfallstor für Angriffe werden, empfiehlt ESET Nutzern und Unternehmen folgende Maßnahmen:

  • Berechtigungen begrenzen!
    KI-Agenten sollten nur auf Daten, Anwendungen und Konten zugreifen können, welche sie für eine konkrete Aufgabe benötigen – insbesondere bei Zahlungsfunktionen, E-Mail-Konten, „Cloud“-Speichern und Unternehmensdaten.
  • „AI Skills“ sorgfältig prüfen!
    Erweiterungen sollten nur aus vertrauenswürdigen Quellen stammen. Unbekannte oder ungeprüfte „Skills“ sollten nicht in produktiven Umgebungen eingesetzt werden.
  • Sensible Daten schützen!
    Zugangsdaten, Finanzinformationen, personenbezogene Daten oder vertrauliche Unternehmensdokumente sollten nicht leichtfertig an KI-Agenten weitergegeben werden.
  • KI-Anweisungen kritisch hinterfragen!
    Nutzer sollten Befehle, Code-Snippets oder Handlungsempfehlungen aus KI-generierten Hilfeseiten nicht ungeprüft ausführen. Angreifer könnten solche Inhalte gezielt manipulieren.
  • Kritische Aktionen bestätigen lassen!
    Zahlungen, Rechteänderungen, Datei-Downloads, Code-Ausführung oder Sicherheitsanpassungen sollten nicht vollständig automatisiert erfolgen, sondern vor der Ausführung geprüft werden.
  • „AI Skills“ vorab überprüfen!
    ESET stellt Nutzern den kostenfreien „AI Skills Checker“ zur Verfügung, mit dem sich KI-Erweiterungen auf schadhaftes Verhalten untersuchen ließen.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

welivesecurity by eseT
Jiří Kropáč / Director of Threat Detection

welivesecurity by eseT, Jiří Kropáč, 08.07.2026
ESET Threat Report H1 2026: Cyberkriminelle machen bekannte Angriffe effizienter / Cyberkriminelle erfinden Angriffe nicht neu, sie machen sie effizienter. Der aktuelle ESET-Bedrohungsbericht zeigt, wie KI, QR-Code-Betrug und Angriffe auf Schutzsoftware die Bedrohungslage verändern.

eseT
Is this AI skill safe to install? Try ESET AI Skills Checker / AI agents rely on skills to perform tasks. Skills are updated frequently and can contain hidden risks. The ESET AI Skills Checker analyzes any skill URL in real time, detecting signs of malicious activity before you install it.

datensicherheit.de, 26.02.2026
KI-Agenten für Cybersicherheit: Hintergründe zum Vorgehen / Ontinue geht in einer aktuellen Stellungnahme auf die Besonderheiten solcher Multi-Agenten-Systeme (MAS) ein – die neueste Evolutionsstufe bei KI-Agenten

datensicherheit.de, 28.01.2026
KI-Agenten und IT-Sicherheit: Zwei Seiten einer Medaille / Für viele Unternehmen steht derzeit die Frage im Raum, ob KI-Agenten auch in sensiblen Bereichen wie der Cybersicherheit eingesetzt werden sollen. Während stetig wachsende Bedrohungen, Überlastung von Mitarbeitern und Fachkräftemangel dafür sprechen, gibt es auch große Vorbehalte. Um Entscheidungen von KI-Assistenten nachvollziehen zu können, sind Sichtbarkeit im Netzwerk und eine zuverlässige Datengrundlage oberste Priorität. Auf der anderen Seite könnten Unternehmen überdies von böswilligen Agenten angegriffen werden – auch hier hilft nur, genau hinzusehen.

datensicherheit.de, 08.11.2025
Einsatz von KI-Agenten: Lückenlose Governance für Unternehmen mittlerweile unerlässlich / Unternehmen vertrauen KI-Agenten immer mehr sensible Aufgaben an – von Genehmigungen für Investitionen bis zum Managen von Sicherheitsrisiken

]]>