Ein Beitrag von unseren Gastautoren Nischal Khadgi und Ujwal Thapa, Sicherheitsforscher bei Logpoint

[datensicherheit.de, 05.04.2025] ClickFix wird bereits von einer Reihe von nationalstaatlichen Akteuren wie APT 28 und Kimsuky genutzt. Besonders beliebt ist die Verbreitung von Stealer-Malware wie Lumma Stealer über die Social Engineering-Kampagne. Die Betreiber verleiten Benutzer dazu, bösartigen Code auf ihren Systemen auszuführen. Angreifer locken ihre Opfer auf scheinbar legitime, aber kompromittierte Websites, auf denen täuschen echt wirkende Pop-ups erscheinen. Diese Pop-ups fordern die Benutzer auf, auf Schaltflächen mit der Aufschrift „Reparieren“ oder „Ich bin kein Roboter“ zu klicken. Sobald sie angeklickt werden, wird automatisch ein Befehl in die Zwischenablage des Benutzers kopiert und der Benutzer dazu gebracht, ihn manuell zu kopieren und in sein Systemterminal einzufügen.

ClickFix-Angriffsvektoren, Bild: Logpont

ClickFix erstmalig Mitte 2024 entdeckt

Diese Technik wurde erstmals Mitte 2024 entdeckt und wird seither immer häufiger eingesetzt. Neben Phishing wurden auch Malvertising und SEO-Poisoning als Verbreitungstechniken beobachtet.

Die folgenden Tipps sollen Sicherheitsverantwortlichen bei der Erkennung und Behebung helfen:

ClickFix-InfektionsketteClickFix-Kampagnen stützen sich in hohem Maße auf Social Engineering-Techniken wie Phishing. Benutzer sollen dazu verleitet werden, auf Webseiten zu gehen, die bösartige Software herunterlädt. Daher müssen Unternehmen Wert auf regelmäßige Mitarbeiterschulungen legen, die sich auf das Erkennen von und die Reaktion auf Bedrohungen wie Phishing konzentrieren. Darüber hinaus sollten Unternehmen ein Verfahren für Mitarbeiter einrichten, die den Verdacht haben, Opfer eines Phishing-Angriffs geworden zu sein. Dies sollte eine Meldung an die zuständigen Behörden und der sofortigen Einleitung von Maßnahmen zur Eindämmung des Vorfalls und zur Minimierung möglicher Schäden behinhalten.

ClickFix-Infektionskette, Bild: Logpoint

„Defense-in-Depth“-Strategie für robuste Sicherheit

Unternehmen sollten eine „Defense-in-Depth“-Strategie anwenden, um eine robuste Sicherheit zu schaffen. Dazu gehören mehrere unabhängige Sicherheitskontrollen wie EDR, SIEM, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement sowie E-Mail-/Web-Filterung in der gesamten Infrastruktur. Dieser mehrschichtige Ansatz hilft dabei, Bedrohungen frühzeitig zu erkennen und zu neutralisieren und so den potenziellen Schaden zu minimieren.

Überblick behalten

Eine Protokollierung, Asset-Transparenz und ein kontinuierliches Monitoring der Systems sind unerlässlich, um Bedrohungen wie ClickFix zu erkennen und darauf zu reagieren. Diese Funktionen bieten einen ganzheitlichen Überblick über das Netzwerk und erleichtern die Identifizierung von Anomalien, die einen bevorstehenden Angriff signalisieren können. Ein konsequentes Monitoring des Endpunkt- und Netzwerkverkehrs kann helfen, verdächtige Verhaltensweisen zu erkennen.

Unternehmen müssen über einen gut definierten Incident Response-Plan verfügen, um sicherzustellen, dass sie schnell und effektiv auf Sicherheitsvorfälle reagieren können. Ebenso wichtig ist die Durchführung regelmäßiger Übungen zur Reaktion auf sicherheitsrelevante Vorfälle. Diese Übungen tragen dazu bei, Lücken in der Reaktionsstrategie aufzudecken und die Benutzer bei der Erkennung sowie der richtigen Reaktion zu befähigen.

Weitere Informationen zum Thema:

datensicherheit.de, 26.03.2025
2024/2025: Alle 14 Sekunden ein Cyber-Angriff auf Unternehmen

Logpoint
ClickFix: Another Deceptive Social Engineering Technique

Von unserem Gastautor Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

[datensicherheit.de, 04.04.2025] Cyberangriffe entwickeln sich stetig weiter, und klassische Abwehrmaßnahmen allein reichen oft nicht mehr aus. Threat Intelligence ist ein Schlüssel zur frühzeitigen Erkennung und Abwehr von Angriffen. Sie stellt Unternehmen jedoch vor die Herausforderung, relevante Erkenntnisse aus der schieren Menge an Bedrohungsinformationen zu identifizieren, zu verstehen und klare Maßnahmen abzuleiten.

Threat Intelligence – Den Angreifern einen Schritt voraus

Unter Threat Intelligence versteht man die systematische Sammlung, Analyse und Nutzung von Bedrohungsdaten, die dabei hilft, Angriffsmuster sowie häufig ausgenutzte Schwachstellen und aktuelle Bedrohungen in IT-Infrastrukturen zu erkennen und Sicherheitsmaßnahmen entsprechend anzupassen. Ohne sie wäre es für Unternehmen schwierig, zu verstehen, wie sich Angriffstaktiken verändern und welche Sicherheitsmaßnahmen erforderlich sind. Denn sie gibt z. B. Aufschluss darüber, wie Ransomware-Taktiken sich verändern, welche kriminellen Gruppen am aktivsten sind und wie häufig Phishing in bestimmten Branchen vorkommt.

Threat Intelligence basiert u. a. auf Darknet-Analysen, Indicators of Compromise (IOCs) wie schadhaften IPs, Security Operations Center (SOC)-Erkenntnissen, Informationen zu Angriffsmustern von Cyberkriminellen und allgemeinen Bedrohungstrends. Die Bedrohungsdaten können aus verschiedensten Quellen stammen, etwa aus Foren der Cybersecurity-Community, aus Sicherheitsprotokollen von Unternehmen, aus Publikationen von Forschern oder auch aus kostenpflichtigen Abonnements entsprechender Anbieter.

Entscheidend ist dabei jedoch, dass die Menge an technischen Details – wie IP-Adressen, Hashwerte, Domains, URLs oder Angriffstechniken – ebenfalls konsolidiert und in eine für Unternehmen nutzbare Form überführt werden. Denn Threat Intelligence muss handlungsorientiert sein. Für Unternehmen müssen sich aus der Nutzung konkrete Maßnahmen ableiten lassen. Andernfalls bleiben die Informationen lediglich von theoretischem Interesse und stellen rein technische Daten dar, ohne einen tatsächlichen Beitrag zur Verbesserung der Cybersicherheit des Unternehmens zu leisten.

Security- und IT-Verantwortliche in Unternehmen können diese Daten dann nutzen, um Bedrohungen in ihren jeweiligen IT-Landschaften zu erkennen, darauf zu reagieren und proaktive Sicherheitsmaßnahmen gezielt umzusetzen. Dadurch minimieren sie nicht nur Sicherheitsrisiken, sondern nutzen auch Budget, Ressourcen und Technologien effizienter.

Aktuelle Insights in die Cybersicherheitslandschaft

So gibt beispielsweise der aktuelle Threat Report von Arctic Wolf Einblicke in die aktuelle Bedrohungslage und leitet konkrete Handlungsempfehlungen ab. Der Security-as-a-Service-Anbieter betreibt eines der größten kommerziellen SOCs weltweit und erstellt den Bericht auf Basis von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Daten. Die Ergebnisse zeigen, wie Cyberkriminelle ihre Methoden weiterentwickeln, um stärkere Sicherheitsmaßnahmen zu umgehen: Ransomware-Angreifer setzen verstärkt auf Datendiebstahl, Business-E-Mail-Compromise-Taktiken werden raffinierter, und bekannte Schwachstellen sind weiterhin Einfallstor für Cyberkriminelle.

Beim Schwachstellenmanagement zeigt sich beispielsweise: Wenige Schwachstellen werden überproportional oft ausgenutzt. 2024 wurden über 40.000 Sicherheitslücken verzeichnet, doch in 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus – für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Dies macht deutlich, wie wichtig proaktives Patch-Management ist.

Trotz verfügbarer Sicherheitsupdates zögern viele Unternehmen, Patches zeitnah einzuspielen – sei es mangels klarer Prozesse oder aufgrund personeller Engpässe. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle. Ein auf Threat Intelligence basierendes effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren.

Die Herausforderung: Zu viele Daten, zu wenig Ressourcen

Wie das Beispiel Schwachstellenmanagement zeigt, mangelt es Unternehmen oft nicht an der Verfügbarkeit von relevanten Bedrohungsdaten, sondern an den Ressourcen, diese sinnvoll zu nutzen. Besonders kleinere Security-Teams stehen vor der Herausforderung, die Masse an Informationen effizient zu analysieren und zu verwalten. Hier kommen externe Sicherheitspartner ins Spiel, die Unternehmen mit gezielten Threat-Intelligence-Maßnahmen unterstützen können, z. B. durch:

• Risikobasiertes Schwachstellenmanagement: Identifikation und Priorisierung von Sicherheitslücken nach Dringlichkeit
• Kuratiertes Reporting: Bereitstellung relevanter Informationen anstelle einer unübersichtlichen Flut an Rohdaten
• Echtzeit-Warnungen: Automatische Benachrichtigung über kritische Bedrohungen

Ein weiterer Vorteil der Zusammenarbeit mit externen Partnern ist ihr breiter Datenzugang: Sie analysieren Bedrohungstrends über zahlreiche Unternehmen hinweg und können dadurch präzisere, praxisnahe Empfehlungen ableiten. Von diesem Wissen profitieren wiederum Unternehmen und können ihre Sicherheitsmaßnahmen gezielt anpassen.

Fazit: Kuratierte Threat Intelligence als Schlüssel zum Erfolg

Threat Intelligence ist essenziell, doch ohne strukturierte Analysen bleiben wertvolle Informationen ungenutzt. Nur mit kuratierter Threat Intelligence lässt sich die Flut an Bedrohungsdaten sinnvoll auswerten, Sicherheitsstrategien optimieren und fundierte Entscheidungen treffen. Fehlen die internen Ressourcen, um dies abzudecken, kann die Zusammenarbeit mit einem spezialisierten Security-Partner wie Arctic Wolf Unternehmen dabei unterstützen, ihre Sicherheitslage nachhaltig zu verbessern.

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, Bild: Arctic Wolf

Über den Autor

Dr. Sebastian Schmerl ist Vice President Security Services EMEA und verantwortlich für Cyber Security Operations bei Arctic Wolf. Er unterstützt Kunden bei der Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle in komplexen IT-Landschaften und Cloud- oder ICS-Umgebungen.

Ein Kommentar von unserem Gastautor Yunus Bulut, Managing Director von Validaitor

„Google hat mit der Einführung seines neuen KI-Tools ‚Gemini 2.0 Flash Experimental‘ in der Entwickleroberfläche AI Studio einen bedeutenden Schritt in der Bildbearbeitung gemacht. Erstmals können Nutzer KI-generierte Bilder durch einfache Texteingaben nachbearbeiten, bestehende Bilder hochladen, künstlich erzeugte Objekte mit realen kombinieren und diese einfach und schnell nur durch Textbefehle verändern und selbst Wasserzeichen entfernen.

Diese bisher nie dagewesene Einfachheit in der Bedienung kann jedoch auch die Tore für eine massenhafte Erstellung von manipuliertem Bildmaterial öffnen, die von bösartigen Akteuren für Fehlinformationskampagnen und andere kriminelle Handlungen wie Betrug oder Rufschädigung missbraucht werden.

Die zunehmenden Fähigkeiten generativer KI sind bemerkenswert, doch sie bergen erhebliche Risiken. Deepfakes, voreingenommener Output gegenüber bestimmten Bevölkerungsgruppen und der Missbrauch urheberrechtlich geschützter Inhalte sind besonders besorgniserregend. Deshalb ist eine umfassende Prüfung von KI-Modellen auf Sicherheit, Halluzinationen, Toxizität, Vorurteile sowie die Einhaltung der Urheberrechtsgesetze entscheidend, um die Fähigkeiten von KI-Modellen zu verbessern, während gleichzeitig ihre Sicherheit gewährleistet wird. Unsere umfangreiche Erfahrung in der Prüfung von KI-Systemen zeigt, dass fast alle Modelle inhärente Mängel aufweisen. Um das Vertrauen in diese KI-Modelle zu erhalten, ist daher eine externe Prüfung durch Dritte unerlässlich.

Unabhängige KI-Bewerter spielen eine entscheidende Rolle für das reibungslose Funktionieren der Branche. Denn ohne eine solche Aufsicht besteht die Gefahr, dass die Dominanz der Technologiegiganten zur Verbreitung fehlerhafter KI-Modelle führt, was potenziell zu weit verbreitetem Missbrauch und ethischen Verstößen führen kann.“

Yunus Bulut, Managing Director von Validaitor, © Validator

Yunus Bulut ist KI-Forscher, KI-Praktiker und mehrfacher Gründer von daten-wissenschaftlichen Technologieunternehmen. Als Mitgründer und CEO von Validaitor ist es sein Ziel, vertrauenswürdige und verantwortungsvolle KI-Nutzung zu unterstützen, indem er KI-Anwendungen testet, zerlegt und repariert. Bulut hält Master-Abschlüsse für Wirtschaftswissenschaften und Computerwissenschaften. Seit dem Jahr 2020 beschäftigt sich Bulut am Karlsruher Institut für Technologie (KIT) mit der Sicherheit von KI-Modellen, mit Angriffsmethoden gegen Maschinelles Lernen (Adversarial Machine Learning) sowie mit Robustheit und Vertrauenswürdigkeit von KI. Daraus entstand im Jahr 2022 die Firma Validaitor als Spin-off des KIT.

Von unserem Gastautor Rick Vanover, Vice President of Product Strategy, Veeam

[datensicherheit.de, 24.03.2025] Die Führungsetage hat die Themen Datenresilienz und Cybersecurity lange Zeit den Sicherheits- und IT-Teams überlassen. Es galt das Motto „Das lassen wir die Experten machen“, und für die längste Zeit fuhr man mit dieser Philosophie gut. Unternehmen sind zunehmend von Technologie abhängig und Sicherheitsvorfälle sind eine Frage des „Wann“ statt des „Ob“. Cybersicherheit ist zu einem Thema geworden, das ausnahmslos die gesamte Belegschaft und jede Abteilung im Unternehmen angeht.

Rick Vanover, Vice President of Product Strategy, Veeam, © Veeam

Vorschriften verankern die Rechenschaftspflicht von Unternehmen in Rechtsklauseln

Die jüngsten Vorschriften zur Cybersicherheit (einschließlich NIS2 und DORA) spiegeln dies wider und verankern die Rechenschaftspflicht von Unternehmen in Rechtsklauseln. Die gesamte Führungsebene, und nicht nur der CISO, kann nun im Falle eines Verstoßes zur Verantwortung gezogen werden. Sie sind direkt für das Management und die Schulung zu Cybersicherheitsmaßnahmen verantwortlich und müssen bei Nichteinhaltung mit Strafen rechnen.

Führungskräfte werden sich nun langsam aber sicher der Tatsache bewusst, dass es jetzt ein Risiko darstellt, einfach davon auszugehen, dass ihre Sicherheitsteams und Drittanbieter alles im Griff haben. Wenn Sicherheitslücken klaffen oder sie als Verantwortliche die Transformationsprozesse hin zu stärkerer Datenresilienz nicht ausreichend unterstützen, steht ihr Ruf auf dem Spiel. Der Ball liegt in Sachen IT-Sicherheit also im Feld der Führungsriege und das bedeutet, dass diese sich proaktiv einbringen und selbst mit den Prozessen befassen muss.

Die Führungsetage im Fokus: Vom Beobachter zum Entscheider

Natürlich ist es realitätsfern, zu erwarten, dass die meisten Führungskräfte Experten für Cybersicherheit und -resilienz sind. Viele von ihnen setzen sich im Zuge der sich verändernden Rechtslage womöglich das erste Mal überhaupt mit Plänen für Datenresilienz und die Reaktion auf Vorfälle auseinander und hinterfragen diese. Angesichts zunehmender Cyber-Bedrohungen und strengerer Vorschriften müssen Führungskräfte nicht nur hinnehmen, dass Sicherheitsvorfälle unvermeidlich sind, sondern auch proaktive Maßnahmen ergreifen, um ihre Verteidigung zu stärken und die Einhaltung von Gesetzen sicherzustellen.

Die C-Suite ist nun also für die Sicherheitsstrategie, das Risikomanagement und die Risikominderung in der Organisation sowie für Maßnahmen zur Meldung von Vorfällen verantwortlich. Darüber hinaus müssen sich Führungskräfte, die gegen die Vorschriften verstoßen, auf eine persönliche Haftung und potenzielle Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes für wichtige Unternehmen einstellen, je nachdem, welcher Betrag höher ist.

Die konkreten Konsequenzen im Detail

• Persönliche Haftung: Nicht mehr nur der CISO steht im Fokus
• Finanzielle Risiken: Strafen von bis zu 7 Millionen Euro oder 1,4% des Jahresumsatzes
• Umfassende Verantwortung: Jedes Vorstandsmitglied muss Cybersicherheit aktiv verstehen und managen

Der Druck ist entsprechend hoch. Die C-Levels müssen die Widerstandsfähigkeit und die Bereitschaft zur Reaktion auf Vorfälle in ihre Organisation integrieren. Es braucht sowohl Investitionen in Sicherheit und Schulungen als auch die Umsetzung der Rechenschaftspflicht interner Interessengruppen.

Hier fällt das entscheidende Wort: Rechenschaftspflicht.

Vorschriften wie NIS2 beziehen die oberste Führungsebene jedoch nicht in die Rechenschaftspflicht ein, damit man ihnen im Ernstfall die Schuld in die Schuhe schieben kann. Die NIS2-Vorschriften verpflichten die Führungskräfte als Entscheidungsträger. Sie sind diejenigen im Unternehmen, die die Entscheidungsgewalt haben, um sicherzustellen, dass jeder seiner Verantwortung nachkommt.

Verantwortliche im C-Level müssen diese Rechenschaftspflicht auch auf wichtige Partner und Lieferanten ausdehnen. Von Partnern in der Lieferkette bis hin zu IT- und Sicherheitsanbietern und BaaS-Anbietern (Backup-as-a-Service), können entscheidende Glieder in der Kette der Datenresilienz und -wiederherstellung nicht ignoriert werden.

Drittanbieter auf dem Prüfstand

Laut einer EY-Umfrage zum globalen Risikomanagement von Drittanbietern erwarten 44 Prozent der Unternehmen, dass sie in den nächsten fünf Jahren verstärkt mit Drittanbietern zusammenarbeiten werden. Da sich dieser Trend fortsetzt, ist davon auszugehen, dass Führungskräfte ihre Drittanbieter-Partner genauer unter die Lupe nehmen und jeden Aspekt ihrer Maßnahmen zur Datenresilienz und Reaktion auf Vorfälle untersuchen werden. Früher reichte eine Vereinbarung oder Zertifizierung aus, um der Führungsebene ausreichend Vertrauen zu vermitteln. Da die Rechenschaftspflicht von Unternehmen nun jedoch ein Faktor ist, wird die Forderung nach einer stärkeren Rechenschaftspflicht von Dritten lauter werden.

Konkret könnte das bedeuten: von Neuverhandlungen von Service Level Agreements (SLAs) bis hin zu eingehenderen Untersuchungen, bei denen Führungskräfte versuchen, die Kontrollkette im Sinne der Datenresilienz zu sichern und jeden Schritt des Prozesses zu untersuchen. Es ist zwar unmöglich, das Risiko und die Verantwortung an Dritte auszulagern, aber Führungskräfte benötigen Transparenz von ihren Drittanbietern. So kann im Falle eines Verstoßes der Fehlerpunkt identifiziert und umgehend gehandelt werden, um Strafen zu vermeiden.

Der Sprung ins kalte Wasser

Die Umsetzung der genannten Maßnahmen wird sicherlich die allgemeine Datenresilienz erhöhen. Dennoch ist es unmöglich, das Risiko eines Verstoßes vollständig zu eliminieren. Das verlangen Vorschriften wie NIS2 und DORA aber auch gar nicht. Stattdessen geht es darum, so viele Risiken wie möglich zu minimieren und vor allem darauf vorbereitet zu sein, auf Vorfälle zu reagieren, wenn sie auftreten – und das werden sie.

Selbst mit allen möglichen Vereinbarungen und Technologien bleibt eines entscheidend: Tests sind unerlässlich. Dies ist der wichtigste Schritt zur Verbesserung der Widerstandsfähigkeit. Die Führungsebene sollte alle erforderlichen Untersuchungen durchführen, um das Vertrauen in ihre Datenlieferkette durch die Lieferanten zu stärken.

Und sie muss dieses Vertrauen auf die Probe stellen. Konsistente, umfassende Tests, die Ihre Maßnahmen bis an die Grenzen bringen, und das nicht nur unter perfekten Bedingungen. Ein Verstoß kann jederzeit auftreten. Man sollte die Sicherheitsstrategie zum ungünstigsten Zeitpunkt Tests unterziehen, beispielsweise wenn die Sicherheitsteams beschäftigt oder bestimmte Interessengruppen im Urlaub sind.

Im Grunde geht es darum, über bloße hypothetische Szenarien und starre Pläne hinauszugehen. Man lernt nicht schwimmen, indem man ein Buch darüber liest. Der einzige Weg zu lernen, ist es, es zu versuchen. Natürlich kann es sein, dass man direkt in der Lage ist, den Kopf über Wasser zu halten. Aber man kann auch untergehen. Und es ist besser, das auszuprobieren, wenn man ein paar Schwimmflügel zur Hand hat, als während des Ernstfalls.

Von unserem Gastautor Henrik Hasenkamp, CEO von gridscale

[datensicherheit.de, 21.03.2025] Ständig zunehmende Angriffsrisiken und deutlich effektivere Monitoring- und Traffic-Analyse-Tools führen dazu, dass ein bekanntes und bewährtes Sicherheitskonzept wieder mehr Aufmerksamkeit erfährt: Zero Trust. Wenn dann der Cloud-Service zusätzlich Datensouveränität garantieren kann, entsteht ein umfassendes Sicherheitskonzept.

Grundprinzip einer Zero-Trust-Strategie

Grundsätzlich niemandem zu vertrauen und jede Zugriffsanfrage unabhängig von ihrer Herkunft zu prüfen – so lässt sich in wenigen Worten das Grundprinzip einer Zero-Trust-Strategie beschreiben. Obwohl das Konzept nicht neu ist und überzeugende Argumente mitbringt, eilt ihm der Ruf voraus, schwierig umsetzbar zu sein. Insbesondere mittelständische Unternehmen mit hybriden IT-Infrastrukturen scheuen den Implementierungsaufwand und den kontinuierlichen Betrieb.

Vorteile rechtfertigen den Aufwand

Dass eine gute Sicherheitsstrategie essenziell ist, ist unbestritten. Die Folgen von Sicherheitsvorfällen sind allgemein bekannt: von Produktionsausfällen und Imageschäden über Datenverluste bis hin zu Kosten für die Wiederherstellung und Strafen für Verstöße gegen Datenschutzvorgaben. IT-Sicherheit gehört demnach zu jeder IT-Infrastruktur-Überlegung dazu. Der ganzheitliche Ansatz von Zero Trust kann u.a. durch folgende Maßnahmen umgesetzt werden:

• Jede – wirklich jede – Anfrage wird geprüft: Multi-Faktor-Authentifizierung (MFA) für alle Nutzer:innen und ein rollenbasiertes Zugriffskonzept, bei dem jeweils nur ein Minimum an Rechten vergeben wird, sind die Basis eine Zero-Trust-Sicherheitsstrategie. Dabei ist es wichtig, dass das IAM (Identity and Access Management) sowohl lokale Netzwerk- als auch Cloud-basierte Identitäten verwalten kann. Jede Zugriffsanfrage, egal ob sie von außerhalb oder innerhalb des Netzwerkes kommt, wird durch ein Security Information and Event Management-System (SIEM) geprüft. So können nicht nur Angriffe von außen besser verhindert werden, sondern auch solche, bei denen sich die Angreifer:innen zum Beispiel über Phishing oder Social Engineering bereits Zugang zum Netzwerk verschafft haben.
• Monitoring, Traffic-Analysis und Anomalieerkennung: SIEM-Systeme prüfen nicht nur, sie analysieren auch: Durch die kontinuierliche Überwachung und Auswertung aller sicherheitsrelevanten Events können Bedrohungen frühzeitig erkannt werden. Heute arbeiten die Systeme mit Machine-Learning- und KI-Algorithmen, sodass sie intelligent und schnell Anomalien im Datenverkehr erkennen und potenzielle Risiken einschätzen können.
• Datenverschlüsselung und Endpoint-Security: Die Verschlüsselung aller Daten in jedem Zustand – also auch solcher, die sich zumeist im Ruhestand, sprich in Archiven oder an IoT-Geräten, befinden – zählt zu den grundsätzlichen Maßnahmen innerhalb einer IT-Security-Strategie. So lässt sich auch im Falle eines Datendiebstahls der Schaden zumindest begrenzen. Schlüsselmanagement-Systeme helfen bei der Verwaltung der Chiffrierschlüssel. Ebenso grundsätzlich wie wichtig ist es, dass stets alle Endgeräte, die auf das Netzwerk zugreifen, über aktuelle Sicherheitssoftware und Patches verfügen.
• Micro-Segmentierung und API-Management: Wenn ein Netzwerk in kleinere, weitgehend isolierte Segmente aufgeteilt wird, können die einzelnen Bestandteile besser kontrolliert werden. Sicherheitsrichtlinien etwa können dann pro Segment definiert werden, was den Schutz sensibler Daten vereinfacht. Um APIs besser zu managen, ist es sinnvoll, API-Gateways als Sicherheitsinstanz zwischen Front- und Backend zu setzen. Diese stellen sicher, dass nur autorisierte Nutzer:innen und Anwendungen auf die jeweiligen Schnittstellen zugreifen.

Von der Theorie zur Praxis: Zero Trust im Unternehmen

Bisweilen mag es einem Kulturwandel gleichkommen, wenn eine Zero-Trust-Strategie künftig alle vorhandenen Sicherheitsmaßnahmen ersetzen soll. Zwei Dinge sind zu Beginn besonders wichtig: die Mitarbeiter miteinzubeziehen und eine umfassende Bestandsaufnahme zu machen.

Eine Bestandsaufnahme der IT-Infrastruktur gibt nicht nur einen guten Überblick, sondern offenbart u.a. besonders schützenswerte, geschäftskritische Bereiche, Schwachstellen, veraltete und vernachlässigte Assets, genutzte und nicht-genutzte Anwendungen. Oft lassen sich daraus direkt erste Maßnahmen ableiten, die sich unkompliziert umsetzen lassen. Auf dieser Basis kann nun ein Sicherheitskonzept erarbeitet werden, das alle Bereiche – On-Premise, Cloud, Edge, etc. – abdeckt. Notwendige Integrationen können nun besser abgeschätzt und geplant werden.

Datensouveränität als Sicherheitsmaßnahme

Wer Zero Trust ernst nimmt, muss auch seinen Cloud-Provider hinterfragen. Denn zu Datenschutz und Compliance zählt auch das Thema Datensouveränität – ein herausforderndes Thema, gerade wenn die Infrastruktur hybrid ist, es also Übergänge zwischen verschiedenen Sourcing-Modellen zu schaffen gilt. gridscale (ein OVHcloud Unternehmen) adressiert als europäischer Cloud-Provider genau diese Herausforderung mit einer souveränen Cloud-Lösung.

Die Souveränität über die eigenen Daten zu haben, bedeutet, von der Erhebung und Speicherung über die Nutzung und Verarbeitung bis hin zur Vernichtung die volle Kontrolle auszuüben. Am einfachsten ist das natürlich im eigenen, abgeschotteten Rechenzentrum, welches an keine externen Ressourcen angebunden ist – ein Modell, das heute aus Kostengründen und dank mangelnder Flexibilität kaum noch anzutreffen ist. Doch auch manche Cloud-Dienstleister haben eine Lösung anzubieten: die souveräne Cloud.

Um eine Orientierung zu bieten, entwickelte das Bundesministerium für Sicherheit in der Informationstechnik (BSI) einen umfassenden Kriterienkatalog, den Cloud Computing Criteria Catalogue (C5). Insgesamt listet der Katalog 121 Sicherheitsmaßnahmen, z.B. aus den Bereichen Datenschutz, physische Sicherheit, Anwendungsmanagement und Interoperabilität, auf, an denen sich Cloud-Anbieter messen lassen. Provider, die ein C5-Zertifikat haben, erfüllen alle Kriterien und wurden durch eine unabhängige Instanz geprüft. Das BSI-C5-Zertifikat gilt als anerkannter Standard und gibt den Unternehmen rechtliche Sicherheit: Die Einhaltung der offiziellen europäischen und deutschen Datenschutz-Regelungen (z. B. DSGVO) ist damit seitens des Cloud-Dienstleisters garantiert.

Souveräne Clouds und Zero Trust

Cloud-Services sind für die meisten Unternehmen ein wichtiger oder sogar unersetzbarer Teil der IT-Infrastruktur. Ein wichtiges Argument für die Cloud war schon immer das hohe Sicherheitslevel, das Cloud-Provider bieten: neueste Technologien, stets aktueller Stand aller Software-Versionen und Patches, geografisch verteilte Redundanz, Management-Tools inklusive. Gute Voraussetzungen, um die Cloud nahtlos in die eigene Zero-Trust-Strategie zu integrieren.

Bei Providern aus dem nicht-europäischen Ausland bleibt jedoch stets ein Stück rechtliche Unsicherheit. Nach wie vor können etwa US-Behörden unter bestimmten, nicht immer ganz klar definierten Umständen die Herausgabe von Daten von den Providern verlangen. Die europäischen und deutsche Datenschutz-Vorgaben sind streng, insbesondere auch im Hinblick auf die Transparenz, die die Provider gegenüber ihren Kunden wahren müssen – hier können insbesondere amerikanische Anbieter nicht mithalten. Das C5-Zertifikat des BSI gibt zusätzliche Orientierung für mehr Sicherheit und Datensouveränität.

Über den Autor

Henrik Hasenkamp, CEO von gridscale, © gridscale

Henrik Hasenkamp verantwortet als CEO die Strategie und Ausrichtung von gridscale, einem Kölner Technologieanbieter, der Unternehmen eine schlüsselfertige Plug-and-Play Plattform für den schnellen und unkomplizierten Aufbau von Cloud- und Edge Computing-Services zur Verfügung stellt. Als einer der Pioniere und Vorreiter hat Henrik mit der Gründung von gridscale im Jahr 2014 das große Potenzial von Edge und Cloud Computing für die Digitalisierung in Deutschland früh erkannt und gridscale bis heute zu einem innovativen Softwareanbieter und Plattformbetreiber für mittlerweile tausende Mittelstandsunternehmen, IT-Dienstleister und Systemhäuser fortentwickelt. Seit August 2023 gehört das Unternehmen zur OVHcloud, dem europäischen Marktführer im Bereich Cloud. Gemeinsam und auf Basis der gridscale-Technologie entstehen derzeit weltweit 150 neue Standorte für OVHcloud, die unter dem Produktnamen Local Zone bereits erfolgreich vermarktet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa

Von unserem Gastautor Lars Francke, Mitgründer und CTO von Stackable, Mitglied der Expertengruppe zum Cyber
Resilience Act

[datensicherheit.de, 21.03.2025] Nach intensiven Verhandlungen ist der Cyber Resilience Act (CRA) in Kraft getreten. Unternehmen haben nun bis Dezember 2027 Zeit, die Anforderungen dieser EU-Verordnung zur Stärkung der Cybersicherheit umzusetzen. Doch was bedeutet der CRA konkret? Warum war er anfangs so umstritten? Und wie sollten Unternehmen nun vorgehen? Ein Bericht aus Brüssel.

Lars Francke, Mitgründer und CTO von Stackable, © Stackable

Die europäische Gesetzgebung mag oft schwerfällig erscheinen, doch in puncto Cybersicherheit zeigt sich die EU erstaunlich entschlossen. Bereits 2019 wurde der Cybersecurity Act verabschiedet, wenig später folgte die Sicherheitsrichtlinie NIS2. Nun markiert der Cyber Resilience Act einen weiteren Meilenstein im Schutz digitaler Infrastrukturen. In einer Zeit, in der Cyberangriffe zunehmen, ist dies ein notwendiger Schritt.

Während Europa vorangeht, zeigen sich anderswo Rückschritte: In den USA wurde das unter der Biden-Regierung geschaffene ‚Cyber Safety Review Board‘ als eine der ersten Amtshandlungen der Trump-Administration wieder aufgelöst. Umso wichtiger, dass die EU hier mit einem klaren Regelwerk voranschreitet – auch wenn der Weg dorthin nicht ohne Hürden war. Vor allem das Thema Open Source führte im Vorfeld zu hitzigen Diskussionen zwischen Politik, Wirtschaft und Verbänden.

Eine Reise nach Brüssel

Für uns bei Stackable war Open Source von Anfang an ein zentrales Thema – nicht erst seit den Debatten um den CRA. Daher war es uns ein Anliegen, an der Ausgestaltung der Verordnung mitzuwirken. Dass wir als vergleichsweise kleines Unternehmen tatsächlich in die Expertengruppe zum CRA aufgenommen wurden, war eine Überraschung. Ich erinnere mich noch genau an den Tag im Jahr 2024, als die Bestätigungsmail eintraf: „Wir fahren nach Brüssel!“, rief ich damals dem Team zu.

Die erste Sitzung des CRA-Komitees fand nun im Februar 2025 statt. Persönlich in Brüssel anwesend zu sein und mit den Big Playern wie Microsoft, Cisco oder Siemens an einem Tisch zu sitzen, war schon beeindruckend. Direkt mit anderen Experten zusammenzuarbeiten, ist eine einzigartige Gelegenheit, die Zukunft der Cybersicherheit aktiv mitzugestalten. Diese Erfahrungen haben mir wertvolle Einblicke in die Mechanismen der EU-Gesetzgebung und die Bedeutung von Open Source in diesem Kontext vermittelt. Und auch, welche Arbeit noch vor uns liegt.

Ein zentraler Diskussionspunkt während der Entwicklung des CRA war die Einbeziehung von Open- Source-Software. Ursprünglich hätte der Entwurf dazu geführt, dass Open-Source-Entwickler und -Stiftungen denselben Verpflichtungen ausgesetzt wären wie kommerzielle Softwareanbieter. Diese Regelung hätte potenziell das Open-Source-Ökosystem in Europa gefährdet, da viele Entwickler sich gezwungen gesehen hätten, ihre Software nicht mehr auf dem europäischen Markt anzubieten.

In der finalen Version des CRA wurde eine differenzierte Lösung gefunden: Die Unterscheidung zwischen kommerzieller und nicht-kommerzieller Nutzung wurde geschärft, und mit der Einführung des Begriffs „Open Source Steward“ erhalten nicht-kommerzielle Projekte eine regulatorische Sonderstellung mit reduzierten Verpflichtungen. Dies trägt dazu bei, dass Open Source weiterhin eine tragende Rolle in der europäischen Digitalwirtschaft spielen kann. Und muss. In der
Expertengruppe gehören Open Source und welche Pflichten die Hersteller in der gesamten Lieferkette haben, auch weiterhin zu den Kernthemen.

Das beschäftigt die Expertengruppe

Es gibt noch ungelöste Probleme, denen wir uns in der Expertengruppe stellen – etwa die internationale Abstimmung. Während Europa mit dem CRA einen ambitionierten Weg geht, sind in anderen Teilen der Welt vergleichbare Regulierungen noch nicht auf demselben Niveau. Dies könnte dazu führen, dass europäische Unternehmen im globalen Wettbewerb benachteiligt werden, während außereuropäische Anbieter weniger strenge Sicherheitsauflagen erfüllen müssen. Eine enge Zusammenarbeit mit anderen Wirtschaftsräumen bleibt für uns in der Expertengruppe daher enorm wichtig.

Eine längere Diskussion gab es auch beim Thema Risikobewertung. Ich selbst hatte damit bisher nur wenige Berührungspunkte in meiner beruflichen Laufbahn. Und aus Gesprächen mit anderen Unternehmern konnte ich heraushören, dass es vielen Start-ups und kleineren Unternehmen auch so geht. Welche Szenarien und Leitlinien zu berücksichtigen sind, ist vielerorts nicht klar. Manche Teilnehmer der Expertengruppe sprachen sich für minimale Vorgaben aus, um das Thema nicht zu kompliziert zu gestalten. Andere sprachen sich für Anleitungen von der Kommission aus, damit Unternehmen einen Fahrplan an der Hand haben. Letztere Variante dürfte vor allem für kleine Unternehmen hilfreich sein. Doch auch jetzt sollten sich alle Markteilnehmer bereits damit auseinandersetzen. Die Zeit drängt.

Cyber Resilience Act – Empfehlungen für Unternehmen

Unternehmen haben eine Übergangsfrist bis Dezember 2027, um sich auf die neuen regulatorischen Anforderungen einzustellen. Ab September 2026 greift sogar schon die Berichtspflicht, etwa bei Vorfällen oder Schwachstellen – viel Zeit bleibt also nicht. Vor allem, weil die Umstellung eine sorgfältige Analyse der eigenen Prozesse und Systeme erfordert. Wer bisher keine systematische Dokumentation seiner Softwareentwicklungs- und Sicherheitspraktiken vorgenommen hat, muss damit beginnen, eine lückenlose Nachweisführung zu etablieren. Es gilt, detailliert zu erfassen, welche Softwarekomponenten und Drittanbieter-Lösungen im Einsatz sind und welche Sicherheitsmaßnahmen implementiert wurden.

Ein funktionierendes Schwachstellenmanagement ist essenziell. Unternehmen müssen in der Lage sein, Bedrohungen frühzeitig zu identifizieren und angemessen darauf zu reagieren. Dazu gehört auch eine umfassende Transparenz über die gesamte Software-Lieferkette hinweg. Woher stammen genutzte Code-Komponenten? Welche potenziellen Risiken bergen sie? Nur wer diese Fragen klar beantworten kann, wird langfristig regulatorische Sicherheit gewährleisten können. Die Umsetzung darf nicht aufgeschoben werden. Eine schrittweise Integration der neuen Vorgaben sollte sofort angegangen werden, um Nachholbedarf kurz vor der Frist zu vermeiden und Compliance-Prozesse nachhaltig zu verankern.

Ein Lackmustest für die Regulierung

Der CRA setzt einen wichtigen Meilenstein in der europäischen Cybersicherheitsstrategie. Entscheidend wird sein, ob die Umsetzung in der Praxis effizient gestaltet wird oder ob sie Unternehmen mit bürokratischen Hürden überlastet. Wer sich frühzeitig mit den neuen Anforderungen auseinandersetzt, kann einen Wettbewerbsvorteil erzielen, indem er Cybersicherheit als integralen Bestandteil seiner digitalen Strategie etabliert.

Für Open Source wurde eine tragfähige Lösung gefunden, doch das regulatorische Umfeld bleibt herausfordernd. Es ist essenziell, den Dialog zwischen Industrie, Regulierungsbehörden und der Open-Source-Community weiterzuführen, um praktikable Lösungen zu entwickeln.

Cybersicherheit ist kein statisches Ziel, sondern eine fortwährende Herausforderung – der CRA ist ein erster, notwendiger Schritt, doch seine Wirksamkeit wird von der konsequenten und durchdachten Umsetzung abhängen. Der regulatorische Rahmen steht, jetzt liegt es an der Wirtschaft und der Politik, diesen mit Augenmaß und Weitsicht mit Leben zu füllen.

Weitere Informationen zum Thema:

Stackable
The modular open source data platform

Ein Kommentar von unserem Gastautor Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

[datensicherheit.de, 16.03.2025] Das KI-Gesetz der Europäischen Union markiert einen Wendepunkt für die Anforderungen am Arbeitsplatz – mit einem klaren Fokus auf KI-Kompetenz. Nach Artikel 4 sind Organisationen verpflichtet, sicherzustellen, dass ihre Mitarbeiter über ausreichende Kenntnisse im Umgang mit Künstlicher Intelligenz verfügen. Doch was bedeutet das konkret für Unternehmen?

Das Gesetz verlangt, dass Organisationen angemessene KI-Schulungen für ihre Mitarbeitenden und Betreiber bereitstellen. Diese müssen technisches Wissen, praktische Erfahrung, den Bildungshintergrund sowie den spezifischen Einsatzkontext der KI-Systeme berücksichtigen. Diese Flexibilität ist einerseits begrüßenswert, birgt aber zugleich eine Herausforderung: Es gilt zu definieren, was eine „ausreichende“ Schulung für verschiedene Rollen und Anwendungsfälle tatsächlich bedeutet.

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4, Foto: KnowBe4

Rollenbasierte Schulungsanforderungen

Ein effektives KI-Schulungsprogramm muss gezielt auf drei zentrale Mitarbeitergruppen zugeschnitten sein:

• Technische Teams – Entwickler und Datenwissenschaftler sollten sich auf sichere KI-Entwicklungspraktiken, Modellarchitekturen sowie ethische Grundsätze im Umgang mit Daten konzentrieren.
• Nicht-technische Mitarbeiter benötigen praxisnahe Richtlinien zur Nutzung von KI, ein Bewusstsein für ethische Fragestellungen und grundlegende Kenntnisse der Compliance-Anforderungen.
• Führungskräfte müssen sich mit KI-Governance-Rahmenwerken, Risikomanagementstrategien und den geschäftlichen Auswirkungen von KI auseinandersetzen.

Diese gezielte Schulung stellt sicher, dass alle Mitarbeiter die für ihre Rolle relevanten KI-Kompetenzen erwerben und verantwortungsbewusst mit der Technologie umgehen.

Sicherheit und Compliance vereinen

Das Gesetz gestattet zwar auch minimale Schulungsprogramme, doch reine Compliance reicht nicht aus, um eine Organisation nachhaltig zu schützen. Ein fundiertes Schulungskonzept, das sich an etablierten Standards wie den OWASP Top 10 für große Sprachmodelle orientiert, bietet eine ganzheitliche Grundlage. Dieser Ansatz berücksichtigt nicht nur die aktuelle KI-Bedrohungslandschaft, sondern auch Prinzipien der Datenverwaltung, den ethischen KI-Einsatz und praxisnahe Sicherheitsmaßnahmen.

Unabhängig davon, ob eine Organisation kommerzielle KI-Produkte nutzt oder maßgeschneiderte Lösungen entwickelt – Transparenz ist essenziell. Das Schulungsprogramm sollte daher Aspekte wie die Nachvollziehbarkeit der Datenverarbeitung, die Anforderungen an die Systemdokumentation und die Auswirkungen auf die Nutzer berücksichtigen. Besonders für Unternehmen, die eigene KI-Lösungen entwickeln, bietet sich die Gelegenheit, regulatorische Vorgaben und Schulungsmaßnahmen von Anfang an in den Entwicklungsprozess zu integrieren.

Aufbau einer widerstandsfähigen Belegschaft

Schulungsprogramme sollten adaptive Lernpfade und interaktive Module beinhalten und gleichzeitig kontinuierliche Weiterbildungsaktualisierungen gewährleisten. Rollenspezifische Bewertungen tragen dazu bei, dass die Schulungen für die Bedürfnisse jedes Mitarbeiters relevant und praktisch bleiben. Der wahre Wert von Schulungen zur KI-Kompetenz geht weit über die reine Einhaltung von Vorschriften hinaus. Organisationen sollten diese Anforderung als Chance betrachten, eine starke Sicherheitskultur zu pflegen, die sowohl die Organisation als auch ihre Mitarbeiter schützt. Durch die Umsetzung umfassender, rollenbasierter Schulungsprogramme, die über die grundlegenden Compliance-Anforderungen hinausgehen, sind Sie besser auf die Herausforderungen und Chancen einer KI-gesteuerten Zukunft vorbereitet.

Denken Sie daran, dass Compliance nicht automatisch gleichbedeutend mit Sicherheit ist. Obwohl das KI-Gesetz Flexibilität bei der Umsetzung bietet, sollten Organisationen, die es mit dem Risikomanagement für den Menschen ernst meinen, über die Mindestanforderungen hinausgehen. Gut ausgebildete Mitarbeiter sind nicht nur ein regulatorisches Kriterium, sondern ein Wettbewerbsvorteil in einer zunehmend KI-abhängigen Geschäftswelt.

Die Anforderungen des EU-KI-Gesetzes an die Alphabetisierung mögen auf den ersten Blick abschreckend wirken. Sie bieten jedoch eine wertvolle Gelegenheit, die KI-Governance und die Sicherheitslage Ihrer Organisation zu stärken. Wenn Sie jetzt einen proaktiven Ansatz für die KI-Alphabetisierung verfolgen, bauen Sie eine widerstandsfähigere, aufmerksamere und fähigere Belegschaft auf, die bereit ist, das Potenzial der KI zu nutzen und gleichzeitig ihre Risiken zu managen.

Weitere Informationen zum Thema:

EU Kommission
KI-Gesetz | Gestaltung der digitalen Zukunft Europas

Ein Kommentar von Adam Marrè, CISO bei Arctic Wolf

[datensicherheit.de, 11.03.2025] In den USA häufen sich Fälle von Phishing-Angriffen, bei denen Betrüger gefälschte SMS im Namen städtischer Parkverwaltungen versenden. Die Nachrichten fordern Empfänger auf, angeblich ausstehende Parkgebühren über einen Link zu bezahlen. Wer darauf hereinfällt, landet auf täuschend echt aussehenden Phishing-Websites, die darauf abzielen, Kreditkarteninformationen oder persönliche Daten zu stehlen.

Adam Marrè, CISO bei Arctic Wolf, Bild: Arctic Wolf

Betrugsfälle auch in Deutschland

Auch in Deutschland gibt es bereits ähnliche Betrugsfälle. Hier wurden Verbraucher mit gefälschten Zahlungsaufforderungen für Parkverstöße oder E-Ticket-Apps getäuscht. In einigen Fällen wurden betrügerische QR-Codes auf Parkautomaten geklebt, die Nutzer auf manipulierte Zahlungsseiten führten. Diese Maschen nutzen die zunehmende Digitalisierung des Parksystems aus – von Online-Zahlungen bis hin zu Apps – und setzen darauf, dass Autofahrer in Eile oder unsicher sind, ob sie tatsächlich eine Parkgebühr übersehen haben.

„Diese Art von Phishing-Angriffen zeigt, wie Cyberkriminelle Alltagsroutinen ausnutzen, um die Opfer gezielt reinzulegen und an persönliche Daten zu gelangen“, so Adam Marrè, CISO von Arctic Wolf. „Der größte Risikofaktor ist die Glaubwürdigkeit der Nachrichten: Offizielle Logos, bekannte Absender und überzeugende Formulierungen erhöhen die Erfolgsquote der Angreifer.“

Arctic Wolf, Anbieter von Security Operations, rät Verbrauchern deshalb wachsam zu sein und auf folgende Punkte zu achten:

• Ungewöhnliche Zahlungsaufforderungen hinterfragen: Behörden, Kommunen und offizielle Stellen versenden in der Regel keine Zahlungsaufforderungen per SMS. Im Zweifel sollte die Webseite der Stadt oder des Parkdienstleisters direkt aufgerufen werden.
• Links nicht unüberlegt anklicken: Statt einem Link in einer Nachricht zu folgen, ist es sicherer, die offizielle Webseite selbst aufzurufen oder direkt über eine vertrauenswürdige App zu zahlen.
• Park-Apps nur aus offiziellen App-Stores herunterladen: Kriminelle verbreiten Fake-Apps über inoffizielle Websites, die Schadsoftware enthalten können.
• QR-Codes auf Parkautomaten prüfen: Falls diese nicht offiziell angebracht wirken, sollten Nutzer die Webadresse vor dem Scannen genau überprüfen.
• Sichere Zahlungsmethoden nutzen: Wer Kreditkarten- oder Bankdaten hinterlegen muss, sollte auf zusätzliche Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung setzen.

Phishing-Angriffe werden immer raffinierter und gezielter, oft verstärkt durch KI-generierte Inhalte. Der beste Schutz im Alltag bleibt eine gesunde Skepsis gegenüber unerwarteten Zahlungsaufforderungen und die Nutzung sicherer Kommunikationswege für sensible Transaktionen.

Weitere Informationen zum Thema:

datensicherheit.de, 23.02.2025
Phishing-Saison 2025: IT-Entscheider sollten sich auf KI-gesteuerte Kampagnen vorbereiten

Artic Wolf
Phishing: A Primer on How to Protect Your Organization

Ein Beitrag von unserem Gastautor Marcel Scherbinek, Big Data Experte bei PCS Beratungscontor AG

[datensicherheit.de, 07.03.2025] Heute speichern Unternehmen riesige Datenmengen ab – ein gefundenes Fressen für Hacker. Das macht es umso wichtiger, diese Daten gezielt auszuwerten, um mögliche Angriffe rechtzeitig zu entdecken und Gegenmaßnahmen einzuleiten. Dafür braucht es ein starkes Analyse-Tool, das zuverlässig arbeitet. In diesem Artikel werfen wir einen Blick darauf, wie Big Data und Cybersicherheit zusammenhängen und warum Big Data Analytics ein Gamechanger sein kann, wenn es um den Schutz sensibler Daten geht.

Marcel Scherbinek, Big Data Experte bei PCS Beratungscontor AG, Bild: beratungscontor

Definition – Big Data

Der Begriff Big Data beschreibt riesige Mengen an strukturierten und unstrukturierten Daten, die aufgrund ihres Umfangs mit herkömmlichen Datenbank- oder Softwaremethoden nicht verarbeitet werden können. Immer mehr Unternehmen nutzen Big Data, um Verhaltensmuster, Trends und Zusammenhänge zu erkennen. Dies eröffnet neue Möglichkeiten, Bedrohungen frühzeitig zu erkennen und maschinelles Lernen effektiv einzusetzen.

Laut Statista soll der Big-Data-Markt bis 2024 auf rund 350 Milliarden US-Dollar anwachsen. Da die Bedrohungen durch Cyberkriminalität zunehmen und Unternehmen immer größere Datenmengen verarbeiten, ist es sehr wahrscheinlich, dass dieser Markt in den kommenden Jahren noch weiter wachsen wird.

Allerdings hat die zunehmende Nutzung von Big Data auch Cyberkriminelle auf den Plan gerufen. Unternehmen, die diese Datenmengen verarbeiten, stehen häufig im Fokus von Hackern. Die wachsende Zahl an Datenschutzverletzungen in den letzten Jahren zeigt, wie angreifbar Big Data sein kann. Ein wichrige Frage ist, was Big Data aus Sicht der Cybersicherheit besonders herausfordernd macht.

Herausforderungen der Cyber Security

Eine der größten Herausforderungen im Umgang mit Big Data und Cybersicherheit ist der Schutz sensibler Daten vor Verlust oder Missbrauch. Unternehmen arbeiten täglich mit riesigen Datenmengen, die häufig vertrauliche Informationen enthalten. Wenn diese Daten durch Sicherheitslücken in die Hände von Cyberkriminellen gelangen, kann das verheerende Folgen haben – von finanziellen Schäden bis hin zu einem erheblichen Imageverlust. Deshalb reicht es nicht aus, nur auf leistungsstarke Analysetools zu setzen. Unternehmen müssen auch umfassende Sicherheitsmaßnahmen einführen, um ihre Daten bestmöglich zu schützen.

Viele traditionelle Sicherheitstools stoßen bei der schieren Größe und Komplexität von Big Data an ihre Grenzen. Insbesondere beim Schutz großer Datenströme sind diese Lösungen oft nicht ausreichend effektiv, was Sicherheitslücken entstehen lässt.

Ein weiteres Hindernis ist das fehlende Fachwissen vieler Mitarbeitenden, die für die Datenanalyse verantwortlich sind. Oft fehlt es an der nötigen Kompetenz, um potenzielle Bedrohungen rechtzeitig zu erkennen und zu stoppen. Mit der zunehmenden Integration von künstlicher Intelligenz und maschinellem Lernen sowie einem steigenden Bewusstsein für Big Data besteht jedoch Hoffnung, dass sich dieses Problem in Zukunft entschärfen wird.

Potenzial von Big Data die Cyber Security zu unterstützen

Big Data wird häufig dazu genutzt datenbasierte Entscheidungen zu treffen und ein besseres Verständnis für das Verhalten und die Vorlieben der Kundschaft zu entwickeln. Auf den ersten Blick scheint der Zusammenhang zwischen Big Data und Cybersicherheit vielleicht nicht offensichtlich, aber er gewinnt an Bedeutung, wenn man bedenkt, wie viele sensible Daten dabei verarbeitet und geschützt werden müssen.

Die aus Big Data gewonnenen Erkenntnisse können maßgeblich dazu beitragen, Sicherheitslücken zu schließen und Angriffe rechtzeitig zu erkennen. Eines der größten Probleme in der Cybersicherheit ist die Unberechenbarkeit von Bedrohungen wie Malware oder Ransomware. Genau hier zeigt Big Data seine Stärke: Durch die Analyse riesiger Datenmengen lassen sich Muster und Anomalien aufdecken, die auf mögliche Gefahren hinweisen. Dadurch können Unternehmen potenzielle Schwachstellen frühzeitig erkennen und ihre Sicherheitsmaßnahmen gezielt anpassen, bevor es zu einem Angriff kommt.

Ein weiterer Vorteil von Big Data liegt darin, dass es Unternehmen dabei unterstützt, Bedrohungen wie DDOS-Angriffe oder Social Engineering besser vorherzusehen. Noch wirkungsvoller wird Big Data, wenn es mit maschinellem Lernen und künstlicher Intelligenz kombiniert wird, da diese Technologien helfen, Bedrohungen automatisch zu erkennen und schneller darauf zu reagieren.

Die Reaktionszeit auf einen Angriff ist dabei entscheidend. Je früher Anomalien erkannt werden, desto schneller können Gegenmaßnahmen eingeleitet werden. Big Data automatisiert diesen Prozess, indem es in Echtzeit Verhaltensmuster analysiert und zwischen normalem und potenziell gefährlichem Verhalten unterscheidet. Diese Fähigkeit, ungewöhnliche Aktivitäten sofort zu erkennen, ist der Schlüssel, um Schäden zu minimieren und die Sicherheitslage eines Unternehmens nachhaltig zu verbessern.

Wichtige Voraussetung – ein wohldefinierter Prozess

1. Datenbeschaffung: Alle relevanten Daten werden aus den verfügbaren Quellen entnommen, wobei festgelegt wird, welches Format, welcher Umfang und welche Dateneingabe-Pipeline dabei genutzt werden. Durch statische Exporte und automatisierte Prozesse erhalten Unternehmen Zugriff auf die verschiedenen Datenformate und können diese effektiv weiterverarbeiten.
2. Optimierung: Nach der Extraktion werden die Daten von der Software auf ihre Konsistenz, Qualität und Korrektheit überprüft. Dabei wird analysiert, ob und wie die gesammelten Daten effizient weiterverarbeitet werden können, um aussagekräftige Ergebnisse zu liefern.
3. Analyse: Die erfassten Datenströme werden anschließend auf Muster, potenzielle Fehler und wichtige Zusammenhänge analysiert. Diese Erkenntnisse ermöglichen es, Geschäftsprozesse gezielt zu verbessern und Schwachstellen in der Sicherheitsstruktur frühzeitig zu erkennen und zu beheben.

Fazit

Big Data und Cybersicherheit sind eng miteinander verflochten und stellen Unternehmen vor komplexe Herausforderungen. Wer große Datenmengen verarbeitet, gerät zunehmend ins Visier von Cyberkriminellen, was die Bedeutung einer effektiven Analyse zur rechtzeitigen Erkennung von Bedrohungen verdeutlicht. Hier kommt Big Data Analytics ins Spiel, denn sie ermöglicht es, Verhaltensmuster zu erkennen und Sicherheitsrisiken proaktiv zu managen.

Die Verbindung von Big Data mit künstlicher Intelligenz und maschinellem Lernen hebt den Schutz auf ein neues Level. Diese Technologien helfen dabei, verdächtige Aktivitäten sofort zu identifizieren und schnell darauf zu reagieren. Dadurch wird Big Data nicht zur Schwachstelle, sondern zu einem entscheidenden Werkzeug im Kampf gegen Cyberangriffe.

Über den Autor:

Marcel Scherbinek ist seit 2017 Teil des beratungscontors und verantwortet in seiner Funktion als Bereichsleiter Advanced Analytics Platform branchenübergreifendes Datenmanagement, sowie Advanced Analytics mit SAP und Non-SAP Systemen.

Als erfahrener Big Data Experte und mit seiner mehrjährigen Projekterfahrung begleitet er seine Kunden strategisch, fachlich und in der Entwicklung in einem breiten Spektrum in und um Data & Analytics. Darüber hinaus verantwortet und gestaltet er gemeinsam mit seinen Kunden komplexe Advanced Analytics Szenarien innerhalb einer Data & Analytics Landschaft.

Weitere Informationen zum Thema:

datensicherheit.de, 14.03.2019
Studie der TH Köln: Big Data – Chancen und Risiken

EIn Beitrag von unserem Gastautor Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor

[datensicherheit.de, 27.02.2025] In den vergangenen Jahren mussten sich IT-Sicherheitsverantwortliche und ihre Teams zunehmend mit Cyberrisiken auseinandersetzen, die mit den Software-Lieferketten ihrer Anbieter und Partner in Zusammenhang stehen. Immer häufiger machen Cyberkriminelle Schwachstellen in Entwicklungspipelines, Open-Source-Komponenten und Drittanbieter-Integrationen zu einem integralen Bestandteil ihrer Angriffsvektoren. Laut einer Bitkom-Umfrage vom vergangenen Jahr wussten 2024 13 Prozent der befragten IT-Entscheider, von mindestens einem Lieferketten-Zulieferer ihres Unternehmens zu berichten, der in den vergangenen 12 Monaten mindestens einmal Opfer eines Cybersicherheitsvorfalls geworden war. Weitere 13 Prozent vermuteten es, 21 Prozent konnten es nicht ausschließen. Mit dem Cyber Resiliene Act hat die EU eine gesetzliche Regelung auf den Weg gebracht, die Unternehmen verpflichtet auf diese Bedrohungen zu reagieren.

Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor, Bild: Keyfactor

Wachsendes Risko Software-Lieferkette

Um dem wachsenden Software-Lieferketten-Risiko zu begegnen, wurden in Europa in den vergangenen Jahren zahlreiche Gesetzesinitiativen auf den Weg gebracht und verabschiedet. Erinnert sei hier nur an NIS2 und DORA. Erst unlängst, am 11. Dezember, kam nun eine weitere gesetzliche Regelung hinzu: der Cyber Resilience Act (CRA). Er gilt für sämtliche Software, Firmware und verbundenen Geräte, die in der EU verkauft oder verwendet werden sollen. Hersteller werden in ihm in die Pflicht genommen, für die erforderliche Sicherheit ihrer Hard- und Softwareprodukte zu sorgen – und dies transparent. Käufern soll es so ermöglicht werden, fundiertere Kaufentscheidungen zu treffen, das Thema Sicherheit stärker in ihre Überlegungen mit einzubeziehen.

Erste Anforderungen müssen ab dem 11. September 2026 erfüllt werden

Erste Anforderungen des CRA müssen Anbieter schon ab dem 11. September 2026 erfüllen, das Groß ab dem 11. Dezember 2027. In Punkto Lieferkettensicherheit macht der CRA Vorgaben hinsichtlich der Risikobewertung und des Risikomanagements, der Sicherheitsmaßnahmen während der Produktentwicklung, der Sicherheit der Standardeinstellungen der Produkte sowie der Software Bill of Materials (SBOM) und der Konformitätsbewertung.

Eile ist geboten

Da es naturgemäß einige Zeit dauern wird, die internen Prozesse an die neuen Compliance-Vorgaben anzupassen, die entsprechenden Reporting-Strukturen einzurichten, kann IT-Entscheidern und Sicherheitsteams nur geraten werden, hier möglichst frühzeitig – am besten schon jetzt – zu beginnen. Vor allem auf drei Punkte sollten sie sich dabei konzentrieren: die Absicherung der gesamten DevOps-Toolchain, die Sicherstellung der Softwareauthentizität und die Etablierung von Maßnahmen zur Erhöhung der Transparenz.

1. Sicherheit in den gesamten Entwicklungszyklus einbetten – Die DevOps-Toolchain muss mit robusten kryptografischen Schutzmechanismen ausgestattet werden.
2. Software-Authentizität sicherstellen – Alle Softwarekomponenten müssen während des gesamten Entwicklungszyklus authentifiziert und verifiziert werden. Die Identitäten von Entwicklern, Anwendungen und Infrastrukturkomponenten müssen überprüfbar sein.
3. Transparenz und Rückverfolgbarkeit verbessern – Um einen vollständigen Einblick in und Überblick über die Herkunft von Software zu erhalten, muss auf Metadaten, wie die Software Bill of Materials (SBOMs), zugegriffen werden.

Umsetzen lässt sich all dies am effektivsten – und effizientesten – mit einer modernen Code Signing-Lösung. Denn diese lassen sich problemlos in CI/CD-Tools integrieren – ohne IT-Workflows und Build-Prozesse zu erschweren oder gar zu unterbrechen. Code kann so während seines gesamten Entwicklungszyklus effektiv überwacht und vor unbefugten Änderungen und Malware geschützt werden – und dies in Echtzeit. Darüber hinaus lässt sich die Durchsetzung von Sicherheitsrichtlinien so weitgehend automatisieren, was den eigenen Sicherheitsteams viel Arbeit abnimmt. Ausgestattet mit einem solchen Tool sollte es jedem Unternehmen möglich sein, die Risiken der eigenen Software-Lieferketten bis zur CRA-Deadline am 11. Dezember 2027 in den Blick und in den Griff zu bekommen.jiannis-papadakis-keyfactor_ab

Weitere Informationen zum Thema:

European Commission
Cyber Resilience Act