Ein Kommentar von unserem Gastautor Yunus Bulut, Managing Director von Validaitor

„Google hat mit der Einführung seines neuen KI-Tools ‚Gemini 2.0 Flash Experimental‘ in der Entwickleroberfläche AI Studio einen bedeutenden Schritt in der Bildbearbeitung gemacht. Erstmals können Nutzer KI-generierte Bilder durch einfache Texteingaben nachbearbeiten, bestehende Bilder hochladen, künstlich erzeugte Objekte mit realen kombinieren und diese einfach und schnell nur durch Textbefehle verändern und selbst Wasserzeichen entfernen.

Diese bisher nie dagewesene Einfachheit in der Bedienung kann jedoch auch die Tore für eine massenhafte Erstellung von manipuliertem Bildmaterial öffnen, die von bösartigen Akteuren für Fehlinformationskampagnen und andere kriminelle Handlungen wie Betrug oder Rufschädigung missbraucht werden.

Die zunehmenden Fähigkeiten generativer KI sind bemerkenswert, doch sie bergen erhebliche Risiken. Deepfakes, voreingenommener Output gegenüber bestimmten Bevölkerungsgruppen und der Missbrauch urheberrechtlich geschützter Inhalte sind besonders besorgniserregend. Deshalb ist eine umfassende Prüfung von KI-Modellen auf Sicherheit, Halluzinationen, Toxizität, Vorurteile sowie die Einhaltung der Urheberrechtsgesetze entscheidend, um die Fähigkeiten von KI-Modellen zu verbessern, während gleichzeitig ihre Sicherheit gewährleistet wird. Unsere umfangreiche Erfahrung in der Prüfung von KI-Systemen zeigt, dass fast alle Modelle inhärente Mängel aufweisen. Um das Vertrauen in diese KI-Modelle zu erhalten, ist daher eine externe Prüfung durch Dritte unerlässlich.

Unabhängige KI-Bewerter spielen eine entscheidende Rolle für das reibungslose Funktionieren der Branche. Denn ohne eine solche Aufsicht besteht die Gefahr, dass die Dominanz der Technologiegiganten zur Verbreitung fehlerhafter KI-Modelle führt, was potenziell zu weit verbreitetem Missbrauch und ethischen Verstößen führen kann.“

Yunus Bulut, Managing Director von Validaitor, © Validator

Yunus Bulut ist KI-Forscher, KI-Praktiker und mehrfacher Gründer von daten-wissenschaftlichen Technologieunternehmen. Als Mitgründer und CEO von Validaitor ist es sein Ziel, vertrauenswürdige und verantwortungsvolle KI-Nutzung zu unterstützen, indem er KI-Anwendungen testet, zerlegt und repariert. Bulut hält Master-Abschlüsse für Wirtschaftswissenschaften und Computerwissenschaften. Seit dem Jahr 2020 beschäftigt sich Bulut am Karlsruher Institut für Technologie (KIT) mit der Sicherheit von KI-Modellen, mit Angriffsmethoden gegen Maschinelles Lernen (Adversarial Machine Learning) sowie mit Robustheit und Vertrauenswürdigkeit von KI. Daraus entstand im Jahr 2022 die Firma Validaitor als Spin-off des KIT.

Von unserem Gastautor Rick Vanover, Vice President of Product Strategy, Veeam

[datensicherheit.de, 24.03.2025] Die Führungsetage hat die Themen Datenresilienz und Cybersecurity lange Zeit den Sicherheits- und IT-Teams überlassen. Es galt das Motto „Das lassen wir die Experten machen“, und für die längste Zeit fuhr man mit dieser Philosophie gut. Unternehmen sind zunehmend von Technologie abhängig und Sicherheitsvorfälle sind eine Frage des „Wann“ statt des „Ob“. Cybersicherheit ist zu einem Thema geworden, das ausnahmslos die gesamte Belegschaft und jede Abteilung im Unternehmen angeht.

Rick Vanover, Vice President of Product Strategy, Veeam, © Veeam

Vorschriften verankern die Rechenschaftspflicht von Unternehmen in Rechtsklauseln

Die jüngsten Vorschriften zur Cybersicherheit (einschließlich NIS2 und DORA) spiegeln dies wider und verankern die Rechenschaftspflicht von Unternehmen in Rechtsklauseln. Die gesamte Führungsebene, und nicht nur der CISO, kann nun im Falle eines Verstoßes zur Verantwortung gezogen werden. Sie sind direkt für das Management und die Schulung zu Cybersicherheitsmaßnahmen verantwortlich und müssen bei Nichteinhaltung mit Strafen rechnen.

Führungskräfte werden sich nun langsam aber sicher der Tatsache bewusst, dass es jetzt ein Risiko darstellt, einfach davon auszugehen, dass ihre Sicherheitsteams und Drittanbieter alles im Griff haben. Wenn Sicherheitslücken klaffen oder sie als Verantwortliche die Transformationsprozesse hin zu stärkerer Datenresilienz nicht ausreichend unterstützen, steht ihr Ruf auf dem Spiel. Der Ball liegt in Sachen IT-Sicherheit also im Feld der Führungsriege und das bedeutet, dass diese sich proaktiv einbringen und selbst mit den Prozessen befassen muss.

Die Führungsetage im Fokus: Vom Beobachter zum Entscheider

Natürlich ist es realitätsfern, zu erwarten, dass die meisten Führungskräfte Experten für Cybersicherheit und -resilienz sind. Viele von ihnen setzen sich im Zuge der sich verändernden Rechtslage womöglich das erste Mal überhaupt mit Plänen für Datenresilienz und die Reaktion auf Vorfälle auseinander und hinterfragen diese. Angesichts zunehmender Cyber-Bedrohungen und strengerer Vorschriften müssen Führungskräfte nicht nur hinnehmen, dass Sicherheitsvorfälle unvermeidlich sind, sondern auch proaktive Maßnahmen ergreifen, um ihre Verteidigung zu stärken und die Einhaltung von Gesetzen sicherzustellen.

Die C-Suite ist nun also für die Sicherheitsstrategie, das Risikomanagement und die Risikominderung in der Organisation sowie für Maßnahmen zur Meldung von Vorfällen verantwortlich. Darüber hinaus müssen sich Führungskräfte, die gegen die Vorschriften verstoßen, auf eine persönliche Haftung und potenzielle Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes für wichtige Unternehmen einstellen, je nachdem, welcher Betrag höher ist.

Die konkreten Konsequenzen im Detail

• Persönliche Haftung: Nicht mehr nur der CISO steht im Fokus
• Finanzielle Risiken: Strafen von bis zu 7 Millionen Euro oder 1,4% des Jahresumsatzes
• Umfassende Verantwortung: Jedes Vorstandsmitglied muss Cybersicherheit aktiv verstehen und managen

Der Druck ist entsprechend hoch. Die C-Levels müssen die Widerstandsfähigkeit und die Bereitschaft zur Reaktion auf Vorfälle in ihre Organisation integrieren. Es braucht sowohl Investitionen in Sicherheit und Schulungen als auch die Umsetzung der Rechenschaftspflicht interner Interessengruppen.

Hier fällt das entscheidende Wort: Rechenschaftspflicht.

Vorschriften wie NIS2 beziehen die oberste Führungsebene jedoch nicht in die Rechenschaftspflicht ein, damit man ihnen im Ernstfall die Schuld in die Schuhe schieben kann. Die NIS2-Vorschriften verpflichten die Führungskräfte als Entscheidungsträger. Sie sind diejenigen im Unternehmen, die die Entscheidungsgewalt haben, um sicherzustellen, dass jeder seiner Verantwortung nachkommt.

Verantwortliche im C-Level müssen diese Rechenschaftspflicht auch auf wichtige Partner und Lieferanten ausdehnen. Von Partnern in der Lieferkette bis hin zu IT- und Sicherheitsanbietern und BaaS-Anbietern (Backup-as-a-Service), können entscheidende Glieder in der Kette der Datenresilienz und -wiederherstellung nicht ignoriert werden.

Drittanbieter auf dem Prüfstand

Laut einer EY-Umfrage zum globalen Risikomanagement von Drittanbietern erwarten 44 Prozent der Unternehmen, dass sie in den nächsten fünf Jahren verstärkt mit Drittanbietern zusammenarbeiten werden. Da sich dieser Trend fortsetzt, ist davon auszugehen, dass Führungskräfte ihre Drittanbieter-Partner genauer unter die Lupe nehmen und jeden Aspekt ihrer Maßnahmen zur Datenresilienz und Reaktion auf Vorfälle untersuchen werden. Früher reichte eine Vereinbarung oder Zertifizierung aus, um der Führungsebene ausreichend Vertrauen zu vermitteln. Da die Rechenschaftspflicht von Unternehmen nun jedoch ein Faktor ist, wird die Forderung nach einer stärkeren Rechenschaftspflicht von Dritten lauter werden.

Konkret könnte das bedeuten: von Neuverhandlungen von Service Level Agreements (SLAs) bis hin zu eingehenderen Untersuchungen, bei denen Führungskräfte versuchen, die Kontrollkette im Sinne der Datenresilienz zu sichern und jeden Schritt des Prozesses zu untersuchen. Es ist zwar unmöglich, das Risiko und die Verantwortung an Dritte auszulagern, aber Führungskräfte benötigen Transparenz von ihren Drittanbietern. So kann im Falle eines Verstoßes der Fehlerpunkt identifiziert und umgehend gehandelt werden, um Strafen zu vermeiden.

Der Sprung ins kalte Wasser

Die Umsetzung der genannten Maßnahmen wird sicherlich die allgemeine Datenresilienz erhöhen. Dennoch ist es unmöglich, das Risiko eines Verstoßes vollständig zu eliminieren. Das verlangen Vorschriften wie NIS2 und DORA aber auch gar nicht. Stattdessen geht es darum, so viele Risiken wie möglich zu minimieren und vor allem darauf vorbereitet zu sein, auf Vorfälle zu reagieren, wenn sie auftreten – und das werden sie.

Selbst mit allen möglichen Vereinbarungen und Technologien bleibt eines entscheidend: Tests sind unerlässlich. Dies ist der wichtigste Schritt zur Verbesserung der Widerstandsfähigkeit. Die Führungsebene sollte alle erforderlichen Untersuchungen durchführen, um das Vertrauen in ihre Datenlieferkette durch die Lieferanten zu stärken.

Und sie muss dieses Vertrauen auf die Probe stellen. Konsistente, umfassende Tests, die Ihre Maßnahmen bis an die Grenzen bringen, und das nicht nur unter perfekten Bedingungen. Ein Verstoß kann jederzeit auftreten. Man sollte die Sicherheitsstrategie zum ungünstigsten Zeitpunkt Tests unterziehen, beispielsweise wenn die Sicherheitsteams beschäftigt oder bestimmte Interessengruppen im Urlaub sind.

Im Grunde geht es darum, über bloße hypothetische Szenarien und starre Pläne hinauszugehen. Man lernt nicht schwimmen, indem man ein Buch darüber liest. Der einzige Weg zu lernen, ist es, es zu versuchen. Natürlich kann es sein, dass man direkt in der Lage ist, den Kopf über Wasser zu halten. Aber man kann auch untergehen. Und es ist besser, das auszuprobieren, wenn man ein paar Schwimmflügel zur Hand hat, als während des Ernstfalls.

Von unserem Gastautor Henrik Hasenkamp, CEO von gridscale

[datensicherheit.de, 21.03.2025] Ständig zunehmende Angriffsrisiken und deutlich effektivere Monitoring- und Traffic-Analyse-Tools führen dazu, dass ein bekanntes und bewährtes Sicherheitskonzept wieder mehr Aufmerksamkeit erfährt: Zero Trust. Wenn dann der Cloud-Service zusätzlich Datensouveränität garantieren kann, entsteht ein umfassendes Sicherheitskonzept.

Grundprinzip einer Zero-Trust-Strategie

Grundsätzlich niemandem zu vertrauen und jede Zugriffsanfrage unabhängig von ihrer Herkunft zu prüfen – so lässt sich in wenigen Worten das Grundprinzip einer Zero-Trust-Strategie beschreiben. Obwohl das Konzept nicht neu ist und überzeugende Argumente mitbringt, eilt ihm der Ruf voraus, schwierig umsetzbar zu sein. Insbesondere mittelständische Unternehmen mit hybriden IT-Infrastrukturen scheuen den Implementierungsaufwand und den kontinuierlichen Betrieb.

Vorteile rechtfertigen den Aufwand

Dass eine gute Sicherheitsstrategie essenziell ist, ist unbestritten. Die Folgen von Sicherheitsvorfällen sind allgemein bekannt: von Produktionsausfällen und Imageschäden über Datenverluste bis hin zu Kosten für die Wiederherstellung und Strafen für Verstöße gegen Datenschutzvorgaben. IT-Sicherheit gehört demnach zu jeder IT-Infrastruktur-Überlegung dazu. Der ganzheitliche Ansatz von Zero Trust kann u.a. durch folgende Maßnahmen umgesetzt werden:

• Jede – wirklich jede – Anfrage wird geprüft: Multi-Faktor-Authentifizierung (MFA) für alle Nutzer:innen und ein rollenbasiertes Zugriffskonzept, bei dem jeweils nur ein Minimum an Rechten vergeben wird, sind die Basis eine Zero-Trust-Sicherheitsstrategie. Dabei ist es wichtig, dass das IAM (Identity and Access Management) sowohl lokale Netzwerk- als auch Cloud-basierte Identitäten verwalten kann. Jede Zugriffsanfrage, egal ob sie von außerhalb oder innerhalb des Netzwerkes kommt, wird durch ein Security Information and Event Management-System (SIEM) geprüft. So können nicht nur Angriffe von außen besser verhindert werden, sondern auch solche, bei denen sich die Angreifer:innen zum Beispiel über Phishing oder Social Engineering bereits Zugang zum Netzwerk verschafft haben.
• Monitoring, Traffic-Analysis und Anomalieerkennung: SIEM-Systeme prüfen nicht nur, sie analysieren auch: Durch die kontinuierliche Überwachung und Auswertung aller sicherheitsrelevanten Events können Bedrohungen frühzeitig erkannt werden. Heute arbeiten die Systeme mit Machine-Learning- und KI-Algorithmen, sodass sie intelligent und schnell Anomalien im Datenverkehr erkennen und potenzielle Risiken einschätzen können.
• Datenverschlüsselung und Endpoint-Security: Die Verschlüsselung aller Daten in jedem Zustand – also auch solcher, die sich zumeist im Ruhestand, sprich in Archiven oder an IoT-Geräten, befinden – zählt zu den grundsätzlichen Maßnahmen innerhalb einer IT-Security-Strategie. So lässt sich auch im Falle eines Datendiebstahls der Schaden zumindest begrenzen. Schlüsselmanagement-Systeme helfen bei der Verwaltung der Chiffrierschlüssel. Ebenso grundsätzlich wie wichtig ist es, dass stets alle Endgeräte, die auf das Netzwerk zugreifen, über aktuelle Sicherheitssoftware und Patches verfügen.
• Micro-Segmentierung und API-Management: Wenn ein Netzwerk in kleinere, weitgehend isolierte Segmente aufgeteilt wird, können die einzelnen Bestandteile besser kontrolliert werden. Sicherheitsrichtlinien etwa können dann pro Segment definiert werden, was den Schutz sensibler Daten vereinfacht. Um APIs besser zu managen, ist es sinnvoll, API-Gateways als Sicherheitsinstanz zwischen Front- und Backend zu setzen. Diese stellen sicher, dass nur autorisierte Nutzer:innen und Anwendungen auf die jeweiligen Schnittstellen zugreifen.

Von der Theorie zur Praxis: Zero Trust im Unternehmen

Bisweilen mag es einem Kulturwandel gleichkommen, wenn eine Zero-Trust-Strategie künftig alle vorhandenen Sicherheitsmaßnahmen ersetzen soll. Zwei Dinge sind zu Beginn besonders wichtig: die Mitarbeiter miteinzubeziehen und eine umfassende Bestandsaufnahme zu machen.

Eine Bestandsaufnahme der IT-Infrastruktur gibt nicht nur einen guten Überblick, sondern offenbart u.a. besonders schützenswerte, geschäftskritische Bereiche, Schwachstellen, veraltete und vernachlässigte Assets, genutzte und nicht-genutzte Anwendungen. Oft lassen sich daraus direkt erste Maßnahmen ableiten, die sich unkompliziert umsetzen lassen. Auf dieser Basis kann nun ein Sicherheitskonzept erarbeitet werden, das alle Bereiche – On-Premise, Cloud, Edge, etc. – abdeckt. Notwendige Integrationen können nun besser abgeschätzt und geplant werden.

Datensouveränität als Sicherheitsmaßnahme

Wer Zero Trust ernst nimmt, muss auch seinen Cloud-Provider hinterfragen. Denn zu Datenschutz und Compliance zählt auch das Thema Datensouveränität – ein herausforderndes Thema, gerade wenn die Infrastruktur hybrid ist, es also Übergänge zwischen verschiedenen Sourcing-Modellen zu schaffen gilt. gridscale (ein OVHcloud Unternehmen) adressiert als europäischer Cloud-Provider genau diese Herausforderung mit einer souveränen Cloud-Lösung.

Die Souveränität über die eigenen Daten zu haben, bedeutet, von der Erhebung und Speicherung über die Nutzung und Verarbeitung bis hin zur Vernichtung die volle Kontrolle auszuüben. Am einfachsten ist das natürlich im eigenen, abgeschotteten Rechenzentrum, welches an keine externen Ressourcen angebunden ist – ein Modell, das heute aus Kostengründen und dank mangelnder Flexibilität kaum noch anzutreffen ist. Doch auch manche Cloud-Dienstleister haben eine Lösung anzubieten: die souveräne Cloud.

Um eine Orientierung zu bieten, entwickelte das Bundesministerium für Sicherheit in der Informationstechnik (BSI) einen umfassenden Kriterienkatalog, den Cloud Computing Criteria Catalogue (C5). Insgesamt listet der Katalog 121 Sicherheitsmaßnahmen, z.B. aus den Bereichen Datenschutz, physische Sicherheit, Anwendungsmanagement und Interoperabilität, auf, an denen sich Cloud-Anbieter messen lassen. Provider, die ein C5-Zertifikat haben, erfüllen alle Kriterien und wurden durch eine unabhängige Instanz geprüft. Das BSI-C5-Zertifikat gilt als anerkannter Standard und gibt den Unternehmen rechtliche Sicherheit: Die Einhaltung der offiziellen europäischen und deutschen Datenschutz-Regelungen (z. B. DSGVO) ist damit seitens des Cloud-Dienstleisters garantiert.

Souveräne Clouds und Zero Trust

Cloud-Services sind für die meisten Unternehmen ein wichtiger oder sogar unersetzbarer Teil der IT-Infrastruktur. Ein wichtiges Argument für die Cloud war schon immer das hohe Sicherheitslevel, das Cloud-Provider bieten: neueste Technologien, stets aktueller Stand aller Software-Versionen und Patches, geografisch verteilte Redundanz, Management-Tools inklusive. Gute Voraussetzungen, um die Cloud nahtlos in die eigene Zero-Trust-Strategie zu integrieren.

Bei Providern aus dem nicht-europäischen Ausland bleibt jedoch stets ein Stück rechtliche Unsicherheit. Nach wie vor können etwa US-Behörden unter bestimmten, nicht immer ganz klar definierten Umständen die Herausgabe von Daten von den Providern verlangen. Die europäischen und deutsche Datenschutz-Vorgaben sind streng, insbesondere auch im Hinblick auf die Transparenz, die die Provider gegenüber ihren Kunden wahren müssen – hier können insbesondere amerikanische Anbieter nicht mithalten. Das C5-Zertifikat des BSI gibt zusätzliche Orientierung für mehr Sicherheit und Datensouveränität.

Über den Autor

Henrik Hasenkamp, CEO von gridscale, © gridscale

Henrik Hasenkamp verantwortet als CEO die Strategie und Ausrichtung von gridscale, einem Kölner Technologieanbieter, der Unternehmen eine schlüsselfertige Plug-and-Play Plattform für den schnellen und unkomplizierten Aufbau von Cloud- und Edge Computing-Services zur Verfügung stellt. Als einer der Pioniere und Vorreiter hat Henrik mit der Gründung von gridscale im Jahr 2014 das große Potenzial von Edge und Cloud Computing für die Digitalisierung in Deutschland früh erkannt und gridscale bis heute zu einem innovativen Softwareanbieter und Plattformbetreiber für mittlerweile tausende Mittelstandsunternehmen, IT-Dienstleister und Systemhäuser fortentwickelt. Seit August 2023 gehört das Unternehmen zur OVHcloud, dem europäischen Marktführer im Bereich Cloud. Gemeinsam und auf Basis der gridscale-Technologie entstehen derzeit weltweit 150 neue Standorte für OVHcloud, die unter dem Produktnamen Local Zone bereits erfolgreich vermarktet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa

Von unserem Gastautor Lars Francke, Mitgründer und CTO von Stackable, Mitglied der Expertengruppe zum Cyber
Resilience Act

[datensicherheit.de, 21.03.2025] Nach intensiven Verhandlungen ist der Cyber Resilience Act (CRA) in Kraft getreten. Unternehmen haben nun bis Dezember 2027 Zeit, die Anforderungen dieser EU-Verordnung zur Stärkung der Cybersicherheit umzusetzen. Doch was bedeutet der CRA konkret? Warum war er anfangs so umstritten? Und wie sollten Unternehmen nun vorgehen? Ein Bericht aus Brüssel.

Lars Francke, Mitgründer und CTO von Stackable, © Stackable

Die europäische Gesetzgebung mag oft schwerfällig erscheinen, doch in puncto Cybersicherheit zeigt sich die EU erstaunlich entschlossen. Bereits 2019 wurde der Cybersecurity Act verabschiedet, wenig später folgte die Sicherheitsrichtlinie NIS2. Nun markiert der Cyber Resilience Act einen weiteren Meilenstein im Schutz digitaler Infrastrukturen. In einer Zeit, in der Cyberangriffe zunehmen, ist dies ein notwendiger Schritt.

Während Europa vorangeht, zeigen sich anderswo Rückschritte: In den USA wurde das unter der Biden-Regierung geschaffene ‚Cyber Safety Review Board‘ als eine der ersten Amtshandlungen der Trump-Administration wieder aufgelöst. Umso wichtiger, dass die EU hier mit einem klaren Regelwerk voranschreitet – auch wenn der Weg dorthin nicht ohne Hürden war. Vor allem das Thema Open Source führte im Vorfeld zu hitzigen Diskussionen zwischen Politik, Wirtschaft und Verbänden.

Eine Reise nach Brüssel

Für uns bei Stackable war Open Source von Anfang an ein zentrales Thema – nicht erst seit den Debatten um den CRA. Daher war es uns ein Anliegen, an der Ausgestaltung der Verordnung mitzuwirken. Dass wir als vergleichsweise kleines Unternehmen tatsächlich in die Expertengruppe zum CRA aufgenommen wurden, war eine Überraschung. Ich erinnere mich noch genau an den Tag im Jahr 2024, als die Bestätigungsmail eintraf: „Wir fahren nach Brüssel!“, rief ich damals dem Team zu.

Die erste Sitzung des CRA-Komitees fand nun im Februar 2025 statt. Persönlich in Brüssel anwesend zu sein und mit den Big Playern wie Microsoft, Cisco oder Siemens an einem Tisch zu sitzen, war schon beeindruckend. Direkt mit anderen Experten zusammenzuarbeiten, ist eine einzigartige Gelegenheit, die Zukunft der Cybersicherheit aktiv mitzugestalten. Diese Erfahrungen haben mir wertvolle Einblicke in die Mechanismen der EU-Gesetzgebung und die Bedeutung von Open Source in diesem Kontext vermittelt. Und auch, welche Arbeit noch vor uns liegt.

Ein zentraler Diskussionspunkt während der Entwicklung des CRA war die Einbeziehung von Open- Source-Software. Ursprünglich hätte der Entwurf dazu geführt, dass Open-Source-Entwickler und -Stiftungen denselben Verpflichtungen ausgesetzt wären wie kommerzielle Softwareanbieter. Diese Regelung hätte potenziell das Open-Source-Ökosystem in Europa gefährdet, da viele Entwickler sich gezwungen gesehen hätten, ihre Software nicht mehr auf dem europäischen Markt anzubieten.

In der finalen Version des CRA wurde eine differenzierte Lösung gefunden: Die Unterscheidung zwischen kommerzieller und nicht-kommerzieller Nutzung wurde geschärft, und mit der Einführung des Begriffs „Open Source Steward“ erhalten nicht-kommerzielle Projekte eine regulatorische Sonderstellung mit reduzierten Verpflichtungen. Dies trägt dazu bei, dass Open Source weiterhin eine tragende Rolle in der europäischen Digitalwirtschaft spielen kann. Und muss. In der
Expertengruppe gehören Open Source und welche Pflichten die Hersteller in der gesamten Lieferkette haben, auch weiterhin zu den Kernthemen.

Das beschäftigt die Expertengruppe

Es gibt noch ungelöste Probleme, denen wir uns in der Expertengruppe stellen – etwa die internationale Abstimmung. Während Europa mit dem CRA einen ambitionierten Weg geht, sind in anderen Teilen der Welt vergleichbare Regulierungen noch nicht auf demselben Niveau. Dies könnte dazu führen, dass europäische Unternehmen im globalen Wettbewerb benachteiligt werden, während außereuropäische Anbieter weniger strenge Sicherheitsauflagen erfüllen müssen. Eine enge Zusammenarbeit mit anderen Wirtschaftsräumen bleibt für uns in der Expertengruppe daher enorm wichtig.

Eine längere Diskussion gab es auch beim Thema Risikobewertung. Ich selbst hatte damit bisher nur wenige Berührungspunkte in meiner beruflichen Laufbahn. Und aus Gesprächen mit anderen Unternehmern konnte ich heraushören, dass es vielen Start-ups und kleineren Unternehmen auch so geht. Welche Szenarien und Leitlinien zu berücksichtigen sind, ist vielerorts nicht klar. Manche Teilnehmer der Expertengruppe sprachen sich für minimale Vorgaben aus, um das Thema nicht zu kompliziert zu gestalten. Andere sprachen sich für Anleitungen von der Kommission aus, damit Unternehmen einen Fahrplan an der Hand haben. Letztere Variante dürfte vor allem für kleine Unternehmen hilfreich sein. Doch auch jetzt sollten sich alle Markteilnehmer bereits damit auseinandersetzen. Die Zeit drängt.

Cyber Resilience Act – Empfehlungen für Unternehmen

Unternehmen haben eine Übergangsfrist bis Dezember 2027, um sich auf die neuen regulatorischen Anforderungen einzustellen. Ab September 2026 greift sogar schon die Berichtspflicht, etwa bei Vorfällen oder Schwachstellen – viel Zeit bleibt also nicht. Vor allem, weil die Umstellung eine sorgfältige Analyse der eigenen Prozesse und Systeme erfordert. Wer bisher keine systematische Dokumentation seiner Softwareentwicklungs- und Sicherheitspraktiken vorgenommen hat, muss damit beginnen, eine lückenlose Nachweisführung zu etablieren. Es gilt, detailliert zu erfassen, welche Softwarekomponenten und Drittanbieter-Lösungen im Einsatz sind und welche Sicherheitsmaßnahmen implementiert wurden.

Ein funktionierendes Schwachstellenmanagement ist essenziell. Unternehmen müssen in der Lage sein, Bedrohungen frühzeitig zu identifizieren und angemessen darauf zu reagieren. Dazu gehört auch eine umfassende Transparenz über die gesamte Software-Lieferkette hinweg. Woher stammen genutzte Code-Komponenten? Welche potenziellen Risiken bergen sie? Nur wer diese Fragen klar beantworten kann, wird langfristig regulatorische Sicherheit gewährleisten können. Die Umsetzung darf nicht aufgeschoben werden. Eine schrittweise Integration der neuen Vorgaben sollte sofort angegangen werden, um Nachholbedarf kurz vor der Frist zu vermeiden und Compliance-Prozesse nachhaltig zu verankern.

Ein Lackmustest für die Regulierung

Der CRA setzt einen wichtigen Meilenstein in der europäischen Cybersicherheitsstrategie. Entscheidend wird sein, ob die Umsetzung in der Praxis effizient gestaltet wird oder ob sie Unternehmen mit bürokratischen Hürden überlastet. Wer sich frühzeitig mit den neuen Anforderungen auseinandersetzt, kann einen Wettbewerbsvorteil erzielen, indem er Cybersicherheit als integralen Bestandteil seiner digitalen Strategie etabliert.

Für Open Source wurde eine tragfähige Lösung gefunden, doch das regulatorische Umfeld bleibt herausfordernd. Es ist essenziell, den Dialog zwischen Industrie, Regulierungsbehörden und der Open-Source-Community weiterzuführen, um praktikable Lösungen zu entwickeln.

Cybersicherheit ist kein statisches Ziel, sondern eine fortwährende Herausforderung – der CRA ist ein erster, notwendiger Schritt, doch seine Wirksamkeit wird von der konsequenten und durchdachten Umsetzung abhängen. Der regulatorische Rahmen steht, jetzt liegt es an der Wirtschaft und der Politik, diesen mit Augenmaß und Weitsicht mit Leben zu füllen.

Weitere Informationen zum Thema:

Stackable
The modular open source data platform

Ein Kommentar von unserem Gastautor Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

[datensicherheit.de, 16.03.2025] Das KI-Gesetz der Europäischen Union markiert einen Wendepunkt für die Anforderungen am Arbeitsplatz – mit einem klaren Fokus auf KI-Kompetenz. Nach Artikel 4 sind Organisationen verpflichtet, sicherzustellen, dass ihre Mitarbeiter über ausreichende Kenntnisse im Umgang mit Künstlicher Intelligenz verfügen. Doch was bedeutet das konkret für Unternehmen?

Das Gesetz verlangt, dass Organisationen angemessene KI-Schulungen für ihre Mitarbeitenden und Betreiber bereitstellen. Diese müssen technisches Wissen, praktische Erfahrung, den Bildungshintergrund sowie den spezifischen Einsatzkontext der KI-Systeme berücksichtigen. Diese Flexibilität ist einerseits begrüßenswert, birgt aber zugleich eine Herausforderung: Es gilt zu definieren, was eine „ausreichende“ Schulung für verschiedene Rollen und Anwendungsfälle tatsächlich bedeutet.

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4, Foto: KnowBe4

Rollenbasierte Schulungsanforderungen

Ein effektives KI-Schulungsprogramm muss gezielt auf drei zentrale Mitarbeitergruppen zugeschnitten sein:

• Technische Teams – Entwickler und Datenwissenschaftler sollten sich auf sichere KI-Entwicklungspraktiken, Modellarchitekturen sowie ethische Grundsätze im Umgang mit Daten konzentrieren.
• Nicht-technische Mitarbeiter benötigen praxisnahe Richtlinien zur Nutzung von KI, ein Bewusstsein für ethische Fragestellungen und grundlegende Kenntnisse der Compliance-Anforderungen.
• Führungskräfte müssen sich mit KI-Governance-Rahmenwerken, Risikomanagementstrategien und den geschäftlichen Auswirkungen von KI auseinandersetzen.

Diese gezielte Schulung stellt sicher, dass alle Mitarbeiter die für ihre Rolle relevanten KI-Kompetenzen erwerben und verantwortungsbewusst mit der Technologie umgehen.

Sicherheit und Compliance vereinen

Das Gesetz gestattet zwar auch minimale Schulungsprogramme, doch reine Compliance reicht nicht aus, um eine Organisation nachhaltig zu schützen. Ein fundiertes Schulungskonzept, das sich an etablierten Standards wie den OWASP Top 10 für große Sprachmodelle orientiert, bietet eine ganzheitliche Grundlage. Dieser Ansatz berücksichtigt nicht nur die aktuelle KI-Bedrohungslandschaft, sondern auch Prinzipien der Datenverwaltung, den ethischen KI-Einsatz und praxisnahe Sicherheitsmaßnahmen.

Unabhängig davon, ob eine Organisation kommerzielle KI-Produkte nutzt oder maßgeschneiderte Lösungen entwickelt – Transparenz ist essenziell. Das Schulungsprogramm sollte daher Aspekte wie die Nachvollziehbarkeit der Datenverarbeitung, die Anforderungen an die Systemdokumentation und die Auswirkungen auf die Nutzer berücksichtigen. Besonders für Unternehmen, die eigene KI-Lösungen entwickeln, bietet sich die Gelegenheit, regulatorische Vorgaben und Schulungsmaßnahmen von Anfang an in den Entwicklungsprozess zu integrieren.

Aufbau einer widerstandsfähigen Belegschaft

Schulungsprogramme sollten adaptive Lernpfade und interaktive Module beinhalten und gleichzeitig kontinuierliche Weiterbildungsaktualisierungen gewährleisten. Rollenspezifische Bewertungen tragen dazu bei, dass die Schulungen für die Bedürfnisse jedes Mitarbeiters relevant und praktisch bleiben. Der wahre Wert von Schulungen zur KI-Kompetenz geht weit über die reine Einhaltung von Vorschriften hinaus. Organisationen sollten diese Anforderung als Chance betrachten, eine starke Sicherheitskultur zu pflegen, die sowohl die Organisation als auch ihre Mitarbeiter schützt. Durch die Umsetzung umfassender, rollenbasierter Schulungsprogramme, die über die grundlegenden Compliance-Anforderungen hinausgehen, sind Sie besser auf die Herausforderungen und Chancen einer KI-gesteuerten Zukunft vorbereitet.

Denken Sie daran, dass Compliance nicht automatisch gleichbedeutend mit Sicherheit ist. Obwohl das KI-Gesetz Flexibilität bei der Umsetzung bietet, sollten Organisationen, die es mit dem Risikomanagement für den Menschen ernst meinen, über die Mindestanforderungen hinausgehen. Gut ausgebildete Mitarbeiter sind nicht nur ein regulatorisches Kriterium, sondern ein Wettbewerbsvorteil in einer zunehmend KI-abhängigen Geschäftswelt.

Die Anforderungen des EU-KI-Gesetzes an die Alphabetisierung mögen auf den ersten Blick abschreckend wirken. Sie bieten jedoch eine wertvolle Gelegenheit, die KI-Governance und die Sicherheitslage Ihrer Organisation zu stärken. Wenn Sie jetzt einen proaktiven Ansatz für die KI-Alphabetisierung verfolgen, bauen Sie eine widerstandsfähigere, aufmerksamere und fähigere Belegschaft auf, die bereit ist, das Potenzial der KI zu nutzen und gleichzeitig ihre Risiken zu managen.

Weitere Informationen zum Thema:

EU Kommission
KI-Gesetz | Gestaltung der digitalen Zukunft Europas

Ein Kommentar von Adam Marrè, CISO bei Arctic Wolf

[datensicherheit.de, 11.03.2025] In den USA häufen sich Fälle von Phishing-Angriffen, bei denen Betrüger gefälschte SMS im Namen städtischer Parkverwaltungen versenden. Die Nachrichten fordern Empfänger auf, angeblich ausstehende Parkgebühren über einen Link zu bezahlen. Wer darauf hereinfällt, landet auf täuschend echt aussehenden Phishing-Websites, die darauf abzielen, Kreditkarteninformationen oder persönliche Daten zu stehlen.

Adam Marrè, CISO bei Arctic Wolf, Bild: Arctic Wolf

Betrugsfälle auch in Deutschland

Auch in Deutschland gibt es bereits ähnliche Betrugsfälle. Hier wurden Verbraucher mit gefälschten Zahlungsaufforderungen für Parkverstöße oder E-Ticket-Apps getäuscht. In einigen Fällen wurden betrügerische QR-Codes auf Parkautomaten geklebt, die Nutzer auf manipulierte Zahlungsseiten führten. Diese Maschen nutzen die zunehmende Digitalisierung des Parksystems aus – von Online-Zahlungen bis hin zu Apps – und setzen darauf, dass Autofahrer in Eile oder unsicher sind, ob sie tatsächlich eine Parkgebühr übersehen haben.

„Diese Art von Phishing-Angriffen zeigt, wie Cyberkriminelle Alltagsroutinen ausnutzen, um die Opfer gezielt reinzulegen und an persönliche Daten zu gelangen“, so Adam Marrè, CISO von Arctic Wolf. „Der größte Risikofaktor ist die Glaubwürdigkeit der Nachrichten: Offizielle Logos, bekannte Absender und überzeugende Formulierungen erhöhen die Erfolgsquote der Angreifer.“

Arctic Wolf, Anbieter von Security Operations, rät Verbrauchern deshalb wachsam zu sein und auf folgende Punkte zu achten:

• Ungewöhnliche Zahlungsaufforderungen hinterfragen: Behörden, Kommunen und offizielle Stellen versenden in der Regel keine Zahlungsaufforderungen per SMS. Im Zweifel sollte die Webseite der Stadt oder des Parkdienstleisters direkt aufgerufen werden.
• Links nicht unüberlegt anklicken: Statt einem Link in einer Nachricht zu folgen, ist es sicherer, die offizielle Webseite selbst aufzurufen oder direkt über eine vertrauenswürdige App zu zahlen.
• Park-Apps nur aus offiziellen App-Stores herunterladen: Kriminelle verbreiten Fake-Apps über inoffizielle Websites, die Schadsoftware enthalten können.
• QR-Codes auf Parkautomaten prüfen: Falls diese nicht offiziell angebracht wirken, sollten Nutzer die Webadresse vor dem Scannen genau überprüfen.
• Sichere Zahlungsmethoden nutzen: Wer Kreditkarten- oder Bankdaten hinterlegen muss, sollte auf zusätzliche Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung setzen.

Phishing-Angriffe werden immer raffinierter und gezielter, oft verstärkt durch KI-generierte Inhalte. Der beste Schutz im Alltag bleibt eine gesunde Skepsis gegenüber unerwarteten Zahlungsaufforderungen und die Nutzung sicherer Kommunikationswege für sensible Transaktionen.

Weitere Informationen zum Thema:

datensicherheit.de, 23.02.2025
Phishing-Saison 2025: IT-Entscheider sollten sich auf KI-gesteuerte Kampagnen vorbereiten

Artic Wolf
Phishing: A Primer on How to Protect Your Organization

Ein Beitrag von unserem Gastautor Marcel Scherbinek, Big Data Experte bei PCS Beratungscontor AG

[datensicherheit.de, 07.03.2025] Heute speichern Unternehmen riesige Datenmengen ab – ein gefundenes Fressen für Hacker. Das macht es umso wichtiger, diese Daten gezielt auszuwerten, um mögliche Angriffe rechtzeitig zu entdecken und Gegenmaßnahmen einzuleiten. Dafür braucht es ein starkes Analyse-Tool, das zuverlässig arbeitet. In diesem Artikel werfen wir einen Blick darauf, wie Big Data und Cybersicherheit zusammenhängen und warum Big Data Analytics ein Gamechanger sein kann, wenn es um den Schutz sensibler Daten geht.

Marcel Scherbinek, Big Data Experte bei PCS Beratungscontor AG, Bild: beratungscontor

Definition – Big Data

Der Begriff Big Data beschreibt riesige Mengen an strukturierten und unstrukturierten Daten, die aufgrund ihres Umfangs mit herkömmlichen Datenbank- oder Softwaremethoden nicht verarbeitet werden können. Immer mehr Unternehmen nutzen Big Data, um Verhaltensmuster, Trends und Zusammenhänge zu erkennen. Dies eröffnet neue Möglichkeiten, Bedrohungen frühzeitig zu erkennen und maschinelles Lernen effektiv einzusetzen.

Laut Statista soll der Big-Data-Markt bis 2024 auf rund 350 Milliarden US-Dollar anwachsen. Da die Bedrohungen durch Cyberkriminalität zunehmen und Unternehmen immer größere Datenmengen verarbeiten, ist es sehr wahrscheinlich, dass dieser Markt in den kommenden Jahren noch weiter wachsen wird.

Allerdings hat die zunehmende Nutzung von Big Data auch Cyberkriminelle auf den Plan gerufen. Unternehmen, die diese Datenmengen verarbeiten, stehen häufig im Fokus von Hackern. Die wachsende Zahl an Datenschutzverletzungen in den letzten Jahren zeigt, wie angreifbar Big Data sein kann. Ein wichrige Frage ist, was Big Data aus Sicht der Cybersicherheit besonders herausfordernd macht.

Herausforderungen der Cyber Security

Eine der größten Herausforderungen im Umgang mit Big Data und Cybersicherheit ist der Schutz sensibler Daten vor Verlust oder Missbrauch. Unternehmen arbeiten täglich mit riesigen Datenmengen, die häufig vertrauliche Informationen enthalten. Wenn diese Daten durch Sicherheitslücken in die Hände von Cyberkriminellen gelangen, kann das verheerende Folgen haben – von finanziellen Schäden bis hin zu einem erheblichen Imageverlust. Deshalb reicht es nicht aus, nur auf leistungsstarke Analysetools zu setzen. Unternehmen müssen auch umfassende Sicherheitsmaßnahmen einführen, um ihre Daten bestmöglich zu schützen.

Viele traditionelle Sicherheitstools stoßen bei der schieren Größe und Komplexität von Big Data an ihre Grenzen. Insbesondere beim Schutz großer Datenströme sind diese Lösungen oft nicht ausreichend effektiv, was Sicherheitslücken entstehen lässt.

Ein weiteres Hindernis ist das fehlende Fachwissen vieler Mitarbeitenden, die für die Datenanalyse verantwortlich sind. Oft fehlt es an der nötigen Kompetenz, um potenzielle Bedrohungen rechtzeitig zu erkennen und zu stoppen. Mit der zunehmenden Integration von künstlicher Intelligenz und maschinellem Lernen sowie einem steigenden Bewusstsein für Big Data besteht jedoch Hoffnung, dass sich dieses Problem in Zukunft entschärfen wird.

Potenzial von Big Data die Cyber Security zu unterstützen

Big Data wird häufig dazu genutzt datenbasierte Entscheidungen zu treffen und ein besseres Verständnis für das Verhalten und die Vorlieben der Kundschaft zu entwickeln. Auf den ersten Blick scheint der Zusammenhang zwischen Big Data und Cybersicherheit vielleicht nicht offensichtlich, aber er gewinnt an Bedeutung, wenn man bedenkt, wie viele sensible Daten dabei verarbeitet und geschützt werden müssen.

Die aus Big Data gewonnenen Erkenntnisse können maßgeblich dazu beitragen, Sicherheitslücken zu schließen und Angriffe rechtzeitig zu erkennen. Eines der größten Probleme in der Cybersicherheit ist die Unberechenbarkeit von Bedrohungen wie Malware oder Ransomware. Genau hier zeigt Big Data seine Stärke: Durch die Analyse riesiger Datenmengen lassen sich Muster und Anomalien aufdecken, die auf mögliche Gefahren hinweisen. Dadurch können Unternehmen potenzielle Schwachstellen frühzeitig erkennen und ihre Sicherheitsmaßnahmen gezielt anpassen, bevor es zu einem Angriff kommt.

Ein weiterer Vorteil von Big Data liegt darin, dass es Unternehmen dabei unterstützt, Bedrohungen wie DDOS-Angriffe oder Social Engineering besser vorherzusehen. Noch wirkungsvoller wird Big Data, wenn es mit maschinellem Lernen und künstlicher Intelligenz kombiniert wird, da diese Technologien helfen, Bedrohungen automatisch zu erkennen und schneller darauf zu reagieren.

Die Reaktionszeit auf einen Angriff ist dabei entscheidend. Je früher Anomalien erkannt werden, desto schneller können Gegenmaßnahmen eingeleitet werden. Big Data automatisiert diesen Prozess, indem es in Echtzeit Verhaltensmuster analysiert und zwischen normalem und potenziell gefährlichem Verhalten unterscheidet. Diese Fähigkeit, ungewöhnliche Aktivitäten sofort zu erkennen, ist der Schlüssel, um Schäden zu minimieren und die Sicherheitslage eines Unternehmens nachhaltig zu verbessern.

Wichtige Voraussetung – ein wohldefinierter Prozess

1. Datenbeschaffung: Alle relevanten Daten werden aus den verfügbaren Quellen entnommen, wobei festgelegt wird, welches Format, welcher Umfang und welche Dateneingabe-Pipeline dabei genutzt werden. Durch statische Exporte und automatisierte Prozesse erhalten Unternehmen Zugriff auf die verschiedenen Datenformate und können diese effektiv weiterverarbeiten.
2. Optimierung: Nach der Extraktion werden die Daten von der Software auf ihre Konsistenz, Qualität und Korrektheit überprüft. Dabei wird analysiert, ob und wie die gesammelten Daten effizient weiterverarbeitet werden können, um aussagekräftige Ergebnisse zu liefern.
3. Analyse: Die erfassten Datenströme werden anschließend auf Muster, potenzielle Fehler und wichtige Zusammenhänge analysiert. Diese Erkenntnisse ermöglichen es, Geschäftsprozesse gezielt zu verbessern und Schwachstellen in der Sicherheitsstruktur frühzeitig zu erkennen und zu beheben.

Fazit

Big Data und Cybersicherheit sind eng miteinander verflochten und stellen Unternehmen vor komplexe Herausforderungen. Wer große Datenmengen verarbeitet, gerät zunehmend ins Visier von Cyberkriminellen, was die Bedeutung einer effektiven Analyse zur rechtzeitigen Erkennung von Bedrohungen verdeutlicht. Hier kommt Big Data Analytics ins Spiel, denn sie ermöglicht es, Verhaltensmuster zu erkennen und Sicherheitsrisiken proaktiv zu managen.

Die Verbindung von Big Data mit künstlicher Intelligenz und maschinellem Lernen hebt den Schutz auf ein neues Level. Diese Technologien helfen dabei, verdächtige Aktivitäten sofort zu identifizieren und schnell darauf zu reagieren. Dadurch wird Big Data nicht zur Schwachstelle, sondern zu einem entscheidenden Werkzeug im Kampf gegen Cyberangriffe.

Über den Autor:

Marcel Scherbinek ist seit 2017 Teil des beratungscontors und verantwortet in seiner Funktion als Bereichsleiter Advanced Analytics Platform branchenübergreifendes Datenmanagement, sowie Advanced Analytics mit SAP und Non-SAP Systemen.

Als erfahrener Big Data Experte und mit seiner mehrjährigen Projekterfahrung begleitet er seine Kunden strategisch, fachlich und in der Entwicklung in einem breiten Spektrum in und um Data & Analytics. Darüber hinaus verantwortet und gestaltet er gemeinsam mit seinen Kunden komplexe Advanced Analytics Szenarien innerhalb einer Data & Analytics Landschaft.

Weitere Informationen zum Thema:

datensicherheit.de, 14.03.2019
Studie der TH Köln: Big Data – Chancen und Risiken

EIn Beitrag von unserem Gastautor Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor

[datensicherheit.de, 27.02.2025] In den vergangenen Jahren mussten sich IT-Sicherheitsverantwortliche und ihre Teams zunehmend mit Cyberrisiken auseinandersetzen, die mit den Software-Lieferketten ihrer Anbieter und Partner in Zusammenhang stehen. Immer häufiger machen Cyberkriminelle Schwachstellen in Entwicklungspipelines, Open-Source-Komponenten und Drittanbieter-Integrationen zu einem integralen Bestandteil ihrer Angriffsvektoren. Laut einer Bitkom-Umfrage vom vergangenen Jahr wussten 2024 13 Prozent der befragten IT-Entscheider, von mindestens einem Lieferketten-Zulieferer ihres Unternehmens zu berichten, der in den vergangenen 12 Monaten mindestens einmal Opfer eines Cybersicherheitsvorfalls geworden war. Weitere 13 Prozent vermuteten es, 21 Prozent konnten es nicht ausschließen. Mit dem Cyber Resiliene Act hat die EU eine gesetzliche Regelung auf den Weg gebracht, die Unternehmen verpflichtet auf diese Bedrohungen zu reagieren.

Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor, Bild: Keyfactor

Wachsendes Risko Software-Lieferkette

Um dem wachsenden Software-Lieferketten-Risiko zu begegnen, wurden in Europa in den vergangenen Jahren zahlreiche Gesetzesinitiativen auf den Weg gebracht und verabschiedet. Erinnert sei hier nur an NIS2 und DORA. Erst unlängst, am 11. Dezember, kam nun eine weitere gesetzliche Regelung hinzu: der Cyber Resilience Act (CRA). Er gilt für sämtliche Software, Firmware und verbundenen Geräte, die in der EU verkauft oder verwendet werden sollen. Hersteller werden in ihm in die Pflicht genommen, für die erforderliche Sicherheit ihrer Hard- und Softwareprodukte zu sorgen – und dies transparent. Käufern soll es so ermöglicht werden, fundiertere Kaufentscheidungen zu treffen, das Thema Sicherheit stärker in ihre Überlegungen mit einzubeziehen.

Erste Anforderungen müssen ab dem 11. September 2026 erfüllt werden

Erste Anforderungen des CRA müssen Anbieter schon ab dem 11. September 2026 erfüllen, das Groß ab dem 11. Dezember 2027. In Punkto Lieferkettensicherheit macht der CRA Vorgaben hinsichtlich der Risikobewertung und des Risikomanagements, der Sicherheitsmaßnahmen während der Produktentwicklung, der Sicherheit der Standardeinstellungen der Produkte sowie der Software Bill of Materials (SBOM) und der Konformitätsbewertung.

Eile ist geboten

Da es naturgemäß einige Zeit dauern wird, die internen Prozesse an die neuen Compliance-Vorgaben anzupassen, die entsprechenden Reporting-Strukturen einzurichten, kann IT-Entscheidern und Sicherheitsteams nur geraten werden, hier möglichst frühzeitig – am besten schon jetzt – zu beginnen. Vor allem auf drei Punkte sollten sie sich dabei konzentrieren: die Absicherung der gesamten DevOps-Toolchain, die Sicherstellung der Softwareauthentizität und die Etablierung von Maßnahmen zur Erhöhung der Transparenz.

1. Sicherheit in den gesamten Entwicklungszyklus einbetten – Die DevOps-Toolchain muss mit robusten kryptografischen Schutzmechanismen ausgestattet werden.
2. Software-Authentizität sicherstellen – Alle Softwarekomponenten müssen während des gesamten Entwicklungszyklus authentifiziert und verifiziert werden. Die Identitäten von Entwicklern, Anwendungen und Infrastrukturkomponenten müssen überprüfbar sein.
3. Transparenz und Rückverfolgbarkeit verbessern – Um einen vollständigen Einblick in und Überblick über die Herkunft von Software zu erhalten, muss auf Metadaten, wie die Software Bill of Materials (SBOMs), zugegriffen werden.

Umsetzen lässt sich all dies am effektivsten – und effizientesten – mit einer modernen Code Signing-Lösung. Denn diese lassen sich problemlos in CI/CD-Tools integrieren – ohne IT-Workflows und Build-Prozesse zu erschweren oder gar zu unterbrechen. Code kann so während seines gesamten Entwicklungszyklus effektiv überwacht und vor unbefugten Änderungen und Malware geschützt werden – und dies in Echtzeit. Darüber hinaus lässt sich die Durchsetzung von Sicherheitsrichtlinien so weitgehend automatisieren, was den eigenen Sicherheitsteams viel Arbeit abnimmt. Ausgestattet mit einem solchen Tool sollte es jedem Unternehmen möglich sein, die Risiken der eigenen Software-Lieferketten bis zur CRA-Deadline am 11. Dezember 2027 in den Blick und in den Griff zu bekommen.jiannis-papadakis-keyfactor_ab

Weitere Informationen zum Thema:

European Commission
Cyber Resilience Act

Ein Kommentar von Lexy Kassan, Lead Data & AI Strategist bei Databricks

[datensicherheit.de, 24.02.2025] Laut McKinsey und Co. könnte das wirtschaftliche Potenzial von generativer KI, einschließlich der Anwendungsfälle und der durch KI ermöglichten Arbeitsproduktivität, die Weltwirtschaft um 17 bis 26 Billionen Dollar bereichern. Infolgedessen konzentrieren sich immer mehr Unternehmen auf die Implementierung von KI als Kernbestandteil ihrer Geschäftsstrategie, um einen Wettbewerbsvorteil zu erzielen. Und dieser Trend wird sich auch im weiteren Verlauf dieses Jahres fortsetzen.

Lexy Kassan, Lead Data & AI Strategist bei Databricks, Bild: Databricks

Deutsche Unternehmen sehen das Potential von KI

Auch deutsche Unternehmen sind optimistisch, was das Potenzial von KI angeht. Laut Bitkom Research 2024 sehen 73 Prozent von ihnen in ihr die wichtigste Technologie der Zukunft. Bei der Einführung von KI in Unternehmen ist es jedoch entscheidend, dass sie verantwortungsvolle KI-Praktiken priorisieren, die Qualität, Sicherheit und Governance abdecken, um Vertrauen in ihre KI-Ziele aufzubauen. KI-Vertrauens-, Risiko- und Sicherheitsmanagements sind dabei für Geschäfts- und Technologieentscheidungen von erhöhter Relevanz, um die (Nutzer-)Akzeptanz sowie die Realisierung der Geschäftsziele zu steigern und aus einer gewöhnliche KI eine Responsible AI zu machen.

Schwierigkeiten bei der Umsetzung von Responsible AI

Doch bei der Umsetzung dieser Qualitätsanforderungen stehen den Unternehmen oft Schwierigkeiten im Weg, die es erschweren, Vertrauen aufzubauen, Risiken zu erkennen und oft eine wirksame Aufsicht über die verwendeten Datensätze behindern:

• Mangelnde Transparenz der Modellqualität: Die unzureichende Transparenz der Folgen von KI-Modellen ist zu einer der größten Herausforderungen geworden. Unternehmen kämpfen mit mangelndem Vertrauen in die Zuverlässigkeit von KI-Modellen, um durchgängig Ergebnisse zu liefern, die für ihre Nutzer sicher und fair sind. Ohne klare Einblicke in die Funktionsweise dieser Modelle und die potenziellen Auswirkungen ihrer Entscheidungen fällt es Unternehmen schwer, Vertrauen in KI-gestützte Lösungen aufzubauen und zu erhalten.
• Unzureichende Sicherheitsvorkehrungen: Die Interaktion mit KI-Modellen vergrößert die Angriffsfläche eines Unternehmens, indem sie böswilligen Akteuren eine neue Möglichkeit zur Interaktion mit Daten bietet. Generative KI ist besonders problematisch, da fehlende Sicherheitsvorkehrungen es Anwendungen wie Chatbots ermöglichen können, sensible Daten und geschütztes geistiges Eigentum offenzulegen (und in einigen Fällen möglicherweise zu verändern). Diese Schwachstelle setzt Unternehmen erheblichen Risiken aus, einschließlich Datenschutzverletzungen und Diebstahl geistigen Eigentums, und erfordert robuste Sicherheitsmaßnahmen zum Schutz vor böswilligen Aktivitäten.
• Siloed Governance: Unternehmen setzen häufig getrennte Daten- und KI-Plattformen ein, wodurch Governance-Silos entstehen, die zu einer begrenzten Sichtbarkeit und Erklärbarkeit von KI-Modellen führen. Dieser unzusammenhängende Ansatz führt zu einer unzureichenden Katalogisierung, Überwachung und Prüfung von KI-Modellen und erschwert die Gewährleistung ihrer angemessenen Nutzung. Darüber hinaus erschwert eine fehlende Datenabfolge das Verständnis dafür, welche Daten für KI-Modelle verwendet werden, und behindert eine wirksame Aufsicht. Einheitliche Governance-Frameworks sind unerlässlich, um sicherzustellen, dass KI-Modelle transparent, nachvollziehbar und rechenschaftspflichtig sind, was eine bessere Verwaltung und Compliance ermöglicht.

Qualitätsüberwachung sorgt für Vertrauen in KI-Systeme

Die Entwicklung und Einführung von Responsible AI hängt von der Einrichtung eines umfassenden Qualitätsüberwachungsrahmens ab, der den gesamten Lebenszyklus von KI-Systemen abdeckt. Dies kann beispielsweise mit einer Data-Intelligence-Plattform umgesetzt werden, die Daten, Modelltraining, Management, Überwachung und Governance vereinheitlicht, indem sie strukturierte und unstrukturierte Daten integriert, verarbeitet und KI-gestützte Analysen ermöglicht. Dieser Rahmen ist unerlässlich, um sicherzustellen, dass KI-Modelle von der Entwicklung bis zum Einsatz vertrauenswürdig und auf die vorgesehenen Anwendungsfälle abgestimmt bleiben. Dabei sind drei entscheidende Aspekte der Modellqualität besonders zu berücksichtigen: Transparenz, Effektivität und Zuverlässigkeit.

1. Die Transparenz ist von grundlegender Bedeutung, wenn es darum geht, Vertrauen in KI-Systeme zu schaffen und regulatorische Anforderungen zu erfüllen. Es geht darum, Modelle erklärbar und interpretierbar zu machen, so dass die Beteiligten verstehen können, wie Entscheidungen getroffen werden.
2. Die Effektivität hingegen konzentriert sich auf die Fähigkeit des Modells, genaue und angemessene Ergebnisse zu liefern. Während der Entwicklung ist es wichtig, die Datenqualität, die Leistungskennzahlen des Modells und potenzielle Verzerrungen zu verfolgen, um Probleme frühzeitig zu erkennen und abzumildern.
3. Die Zuverlässigkeit gewährleistet eine gleichbleibende Leistung im Laufe der Zeit und erfordert eine kontinuierliche Überwachung, um eine Verschlechterung des Modells zu verhindern und Geschäftsunterbrechungen zu vermeiden. Die Überwachung umfasst die Verfolgung potenzieller Probleme, wie z. B. Änderungen in den Vorhersagen, Verschiebungen in der Datenverteilung und Leistungseinbußen, um ein schnelles Eingreifen zu ermöglichen. Die Neuverteilung stellt sicher, dass das Unternehmen nach Modellaktualisierungen oder -ersetzungen weiterhin hochwertige Ergebnisse ohne Ausfallzeiten erhält. Zusammengenommen sind Überwachung und Umstellung von entscheidender Bedeutung für die Aufrechterhaltung der Modellqualität und -zuverlässigkeit.

Unternehmen müssen die Kontrolle über ihre Daten und KI-Modelle haben

Responsible KI-Praktiken sind unerlässlich, um sicherzustellen, dass KI-Systeme hochwertig, sicher und gut verwaltet sind. Qualitätsaspekte sollten bei der KI-Entwicklung im Vordergrund stehen, damit sichergestellt ist, dass KI-Systeme nicht voreingenommen sind und auf ihre Anwendbarkeit und Angemessenheit in den vorgesehenen Anwendungsfällen überprüft werden. Es sollten Sicherheitsmaßnahmen eingeführt werden, um KI-Systeme vor Cyber-Bedrohungen und Datenverletzungen zu schützen. Es sollten Governance-Rahmen geschaffen werden, um Rechenschaftspflicht, Transparenz und die Einhaltung der einschlägigen Gesetze und Vorschriften zu fördern.

Dies erfordert, dass jedes Unternehmen die Verantwortung und Kontrolle über seine Daten und KI-Modelle mit umfassender Überwachung, Datenschutzkontrollen und Governance während der gesamten KI-Entwicklung und -Bereitstellung hat. Dieser einheitliche Ansatz ermöglicht es Unternehmen, verantwortungsvolle KI-Ziele zu erreichen, die Modellqualität zu gewährleisten, sicherere Anwendungen bereitzustellen und die Einhaltung gesetzlicher Vorschriften zu unterstützen.

Weitere Informationen zum Thema:

datensicherheit.de, 05.02.2025
AI Act der EU verbietet bestimmte KI-Systeme und verpflichtet zur -Kompetenz

Ein Kommentar von unserem Gastautor Miro Mitrovic, Area Vice President DACH bei Proofpoint

[datensicherheit.de, 21.02.2025] Techconsult hat kürzlich den IT-Invest-Monitor 2025 veröffentlicht, der wichtige Informationen zu den konkreten Investitionsabsichten in verschiedenen Branchen und Unternehmensgrößen liefert. Er bietet einen faktenbasierten und differenzierten Überblick über die geplanten Investitionen deutscher Unternehmen in Cybersicherheit und ermöglicht so eine realistische Einschätzung ihrer Pläne.

Miro Mitrovic, Area Vice President DACH bei Proofpoint, Bild: Proofpoint

IT-Sicherheit auf der Agenda der Unternehmen

Es ist erfreulich, dass viele deutsche Unternehmen Investitionen in die IT-Sicherheit auf ihrer Agenda haben. Bei näherer Betrachtung der Studienergebnisse sind jedoch Zweifel angebracht, ob sie die richtigen Prioritäten setzen. Cybersecurity-Maßnahmen sollten dem Leitsatz „Vorbeugen ist besser als Heilen“ folgen. Es ist daher ermutigend zu sehen, dass deutsche Unternehmen am meisten Wert darauf legen, ihre Mitarbeiter zu sensibilisieren und sie in Best Practices der Cybersicherheit zu schulen, denn der Faktor Mensch ist die größte Schwachstelle in der IT-Sicherheit.

E-Mail-Sicherheit wichtiger Baustein für die Gesamtsicherheit

Aus demselben Grund sollte die E-Mail-Sicherheit zumindest an zweiter Stelle der Prioritäten für die Cybersicherheit stehen, weil E-Mails der Bedrohungsvektor Nummer eins sind, und zwar mit Abstand. Laut der Studie von techconsult planen jedoch nur 25 Prozent der Unternehmen Investitionen in die E-Mail-Sicherheit, während Backup & Recovery einen ebenso hohen Stellenwert haben wie Mitarbeiterschulungen. Tatsächlich geben deutsche Unternehmen der Heilung den Vorzug gegenüber der Vorbeugung.

Insbesondere weil KI Einzug ins Arsenal der Cyberkriminellen gehalten hat und ihnen hilft, überzeugendere E-Mail-Bedrohungskampagnen effizienter und in großem Maßstab zu entwickeln und durchzuführen, können Unternehmen es sich nicht leisten, ihren Mitarbeitern zu vertrauen. Sie müssen zwar die erste Verteidigungslinie bilden, können aber ohne die richtige Unterstützung durch die neueste und beste Technologie nicht erfolgreich bestehen, angesichts der von den Bedrohungsakteuren verwendeten Tools.

Umfassebder Sicherheitsansatz empfohlen

Unternehmen müssen einen mehrspurigen und mehrschichtigen Ansatz verfolgen, der Threat Intelligence, verhaltensbasierte KI, Erkennungstechnologien und semantische KI kombiniert, um fortschrittliche Bedrohungen und Datenverluste zu blockieren, zu erkennen und darauf zu reagieren. Dieser ganzheitliche Ansatz, bei dem der Mensch im Mittelpunkt steht, warnt vor Verhaltensweisen, die von herkömmlichen, rein inhaltsbasierten Systemen normalerweise nicht erkannt werden.

Backup & Recovery als Teileiner  jeder umfassenden IT-Sicherheitsstrategie

Ganz gewiss sollten Backup & Recovery Teil jeder umfassenden IT-Sicherheitsstrategie sein, doch müssen Unternehmen ihre Investitionen dort priorisieren, wo sie am wichtigsten sind: beim Bedrohungsvektor Nummer eins, der E-Mail. Und sie müssen sich mit dem größten Einzelrisiko für die IT-Sicherheit, dem Faktor Mensch, befassen.

Weitere Infiormationen zum Thema:

datensicherheit.de, 29.02.2024
Cybersicherheit 2024: Erfolgsfaktor Zusammenarbeit