Ein Gastkommentar von Nadir Izrael, Mitbegründer und CTO von Armis

[datensicherheit.de, 27.05.2025] Laut einer aktuellen Studie von Armis sind fast neun von zehn (87 Prozent) der IT-Führungskräfte besorgt über die Auswirkungen von Cyberwarfare auf ihr Unternehmen. Es gibt immer mehr Belege dafür, dass staatliche Akteure weiterhin Kritische Infrastrukturen in den USA angreifen. Die Wurzeln dieser staatlichen Cyberangriffe, die als ATPs (Advanced Persistent Threats) bezeichnet werden, reichen dabei fast zwei Jahrzehnte zurück.

APT – Verhinderung solcher Angriffe eine enorme Herausforderung für Unternehmen

Die Verhinderung solcher Angriffe ist eine enorme Herausforderung für Unternehmen, da die Gegner im Vergleich zu einem durchschnittlichen Sicherheitsteam über deutlich bessere Ressourcen verfügen. APTs müssen nur eine Schwachstelle finden, beispielsweise ein anfälliges Gerät oder ungeschützte Anmeldedaten. Sicherheitsteams hingegen müssen jeden Tag Hunderte von Warnmeldungen bearbeiten. Obwohl 81 Prozent der IT-Führungskräfte angeben, dass die Umstellung auf eine proaktive Cybersicherheitsstrategie ein Hauptziel ihres Unternehmens für dieses Jahr ist, geben 58 Prozent der Unternehmen zu, dass sie derzeit nur auf Bedrohungen reagieren, wenn diese auftreten, oder nachdem bereits ein Schaden entstanden ist.

KI ändert die Dynamik moderner Cyberangriffe

Künstliche Intelligenz verändert die Dynamik moderner Cyberangriffe grundlegend – sie macht sie schneller, effizienter und schwerer erkennbar. Fast drei Viertel (73 Prozent) der IT-Führungskräfte zeigen sich besonders besorgt darüber, dass staatliche Akteure KI einsetzen, um hochgradig raffinierte und gezielte Attacken zu entwickeln. Für Sicherheitsverantwortliche ist es daher unerlässlich, die Mechanismen KI-gestützter Cyberkriegsführung zu verstehen – und zu wissen, wie sie ihr Unternehmen künftig wirksam schützen können.

APTs – eine globale Gefahr

APTs und Cyberwarfare gehen Hand in Hand. Die Bedrohunsakteure von Volt Typhoon werden China, Cozy Bear Russland und Reaper Nordkorea zugeschrieben, um nur einige zu nennen. „Volt Typhoon“ kundschaftet Netzwerkarchitekturen aus, verschafft sich über Schwachstellen einen ersten Zugang und zielt darauf ab, administrative Rechte zu erhalten. Um diese Angriffe zu verhindern, ist es wichtig, die gängigsten TTPs (Tactics, Techniques, and Procedures) der staatlichen und halbstaatlichen Angreifer zu kennen.

Nadir Izrael, Mitbegründer und CTO von Armis, Foto: Armis

Die Bedrohung durch Cyberwarfare ist ein globales Phänomen. Ein prominentes Beispiel ist Cozy Bear – eine russische APT-Gruppe, die seit über einem Jahrzehnt gezielt Systeme der US-Regierung angreift. Die Kompromittierung von SolarWinds, die das Bewusstsein für Risiken in der Lieferkette deutlich geschärft hat, wird ebenfalls dieser Gruppe zugeschrieben. Cozy Bear setzt bevorzugt auf Phishing und zwischengespeicherte RDP-Zugänge, um Anmeldedaten zu stehlen. Inzwischen nutzen solche Angreifer zunehmend künstliche Intelligenz, um ihre Methoden noch effektiver zu machen – sei es beim Ausnutzen verwundbarer Systeme, dem Abgreifen ungeschützter Zugangsdaten oder durch ausgefeilte Social-Engineering-Techniken.

APTs und KI: Eine neue Qualität der Bedrohung

KI-gestützte Angriffe heben Cyberbedrohungen auf ein neues Niveau – sie sind anpassungsfähiger, schwerer zu erkennen und potenziell deutlich wirksamer als bisherige Angriffsmethoden. Sicherheitsforscher haben bereits nachgewiesen, wie effektiv künstliche Intelligenz im Kontext von Phishing-Angriffen eingesetzt werden kann. Angesichts der bekannten Social-Engineering-Strategien von Cozy Bear ist es besonders alarmierend, dass diese Gruppe KI nutzen könnte, um hochgradig personalisierte Phishing-Kampagnen im großen Stil zu automatisieren – etwa gegen Regierungsbehörden.

Auch Volt Typhoon, bekannt für das Ausnutzen verwundbarer Betriebstechnologien, könnte künftig von KI profitieren. Entsprechende Modelle lassen sich gezielt darauf trainieren, Schwachstellen in spezifischen Zielumgebungen zu identifizieren – oder sogar selbstständig zu attackieren, sobald sie eine Angriffsfläche erkennen. Die Angriffe können dann ohne menschliches Zutun ausgelöst werden. Darüber hinaus kann KI die Entwicklung und Variation von Malware automatisieren und dynamisch Schadcode generieren, der klassischen Erkennungsmethoden entgeht. Und das ist nur der Anfang: Diese Einsatzmöglichkeiten sind bereits Realität – und stellen erst den sichtbaren Teil eines viel größeren Problems dar.

Frühzeitig handeln – bevor der Schaden entsteht

Der richtige Zeitpunkt zum Handeln ist jetzt. Zwar können Unternehmen die Bedrohungslage durch Cyberwarfare nicht beeinflussen – sehr wohl aber, wie gut sie darauf vorbereitet sind. Viele reagieren noch immer erst dann, wenn ein Angriff bereits erfolgreich war. Um das zu ändern, müssen Sicherheitsstrategien proaktiv ausgerichtet werden – also auf die Phase vor dem eigentlichen Vorfall. Prävention beginnt mit vollständiger Transparenz über alle digitalen Infrastrukturen: IT, OT, IoT, IoMT und Cloud. Doch es reicht nicht aus, nur zu wissen, welche Assets vorhanden sind. Entscheidend ist, zu verstehen, wie sie miteinander vernetzt sind, wo potenzielle Schwachstellen liegen und wie sich Risiken priorisieren lassen.

Die gute Nachricht: KI-gestützte Sicherheitslösungen bieten heute leistungsfähige Werkzeuge, um Cyberangriffe frühzeitig zu erkennen und abzuwehren. So kann etwa die Analyse von Verhaltensmustern helfen, ungewöhnliche Aktivitäten aufzudecken – noch bevor es zu Störungen kommt. Genau wie Angreifer ihre Angriffe mithilfe von KI automatisieren, können Unternehmen dieselbe Technologie nutzen: um Schwachstellen aufzuspüren, Bedrohungen schneller zu erkennen und Schutzmaßnahmen in Echtzeit anzupassen.

Weitere Informationen zum Thema:

datensicherheit.de, 26.04.2025
Armis Vulnerability Intelligence Database soll präventive Cyber-Sicherheit unterstützen

datensicherheit.de, 04/27/2025
Armis Vulnerability Intelligence Database to support preventive Cyber Security

Von unserem Gastautor Christian Dallmayer, General Manager united-domains GmbH

[datensicherheit.de, 13.05.2025] Hinter jeder Domain steckt mehr als eine Webadresse – sie ist Aushängeschild, strategisches Asset und genießt das höchste Vertrauen der Kunden. Umso schwerwiegender sind Angriffe, die auf die Kontrolle einer Domain abzielen. Beim sogenannten Domain-Hijacking verschaffen sich Angreifer den Zugriff auf die Verwaltungsrechte – mit potenziell weitreichenden Folgen: von Phishing-Kampagnen über Reputationsschäden bis hin zu Angriffen auf interne Systeme.

Die Angriffe erfolgen häufig unbemerkt, sind in ihrer Wirkung aber gravierend: Von der Umleitung des Webverkehrs auf gefälschte Inhalte bis hin zum Verlust geschäftskritischer E-Mail-Kommunikation. Unternehmen sollten deshalb dringend prüfen, ob ihre Domain-Sicherheitsstrategie heutigen Anforderungen noch gerecht wird.

Typologie und Abgrenzung von Domain-Hijacking

Im Gegensatz zu verwandten Bedrohungsszenarien wie DNS-Hijacking oder klassischem Phishing zielt Domain-Hijacking unmittelbar auf die Kontrolle über die Domain selbst. Angreifer versuchen, sich durch Täuschung, Manipulation oder gar juristische Verfahren Zugang zur Verwaltung der Domain zu verschaffen – sei es durch Login-Daten, technische Lücken oder gezielte Missbrauchsversuche bei Registraren.

Typische Angriffsvektoren reichen von Social Engineering bis hin zu operativen Schwachstellen. Häufig setzen Angreifer auf Täuschungstaktiken, um Mitarbeitende zur Preisgabe sensibler Zugangsdaten zu bewegen. Oder es wird versucht, Prozesse in der Domainverwaltung auszunutzen – etwa durch unautorisierte Änderungen oder gezielte Anfragen. Auch sogenannte Reverse Domain Hijacking-Verfahren, bei denen unberechtigte Markenansprüche vorgegaukelt werden, zählen zu den bekannten Methoden. Zwar bleibt der tatsächliche Erfolg solcher Versuche begrenzt, doch bereits der Aufwand zur Abwehr kann für Unternehmen erheblich sein.

Praxisbeispiele mit Signalwirkung

Bereits seit den frühen Jahren des Internets ist Domain-Hijacking ein reales Risiko. So erlangten Angreifer bereits 1999 über Social Engineering kurzzeitig Kontrolle über die Domain microsoft.com, indem sie bei dem Domain-Registrar Network Solutions administrative Änderungen veranlassten. Der Fall gilt bis heute als mahnendes Beispiel für strukturelle Schwächen bei Domainverwaltern.

Auch Google musste in mehreren Ländern erfahren, wie schnell Domains ohne ausreichenden Schutz in falsche Hände geraten können. In Argentinien wurde die Domain google.com.ar 2021 kurzzeitig von einer Privatperson registriert, nachdem Google die Verlängerung versäumt hatte. Ein vergleichbarer Vorfall betraf zuvor bereits die vietnamesische Landesdomain. Die Auswirkungen waren jeweils temporär, aber reputationsschädigend – und unterstreichen die Notwendigkeit konsequenter Erneuerungs- und Überwachungsprozesse.

Ein weiterer Fall, der die Verwundbarkeit selbst etablierter Open-Source-Projekte offenlegte, betraf die Domain perl.com. Nach der Übernahme wurde sie durch Dritte für Wochen auf fragwürdige Inhalte umgeleitet. Ebenfalls aufhorchen ließ im letzten Jahr ein Streit um die Domain fritz.box: Nachdem die neue Top-Level-Domain .box eingeführt wurde, sicherte sich ein Dritter die Adresse – AVM musste die Domain über ein UDRP-Verfahren wieder erkämpfen.

Konsequenzen bei Domain-Verlust

Die Auswirkungen eines erfolgreichen Domain-Hijackings sind vielfältig und reichen weit über den unmittelbaren Kontrollverlust hinaus. Für Unternehmen bedeutet der Verlust ihrer Domain nicht nur eine potenzielle Unterbrechung digitaler Geschäftsprozesse, sondern auch eine massive Gefährdung der Außenwahrnehmung. Kunden, Partner und Dienstleister können im Ernstfall nicht mehr zwischen legitimem und betrügerischem Angebot unterscheiden.

Neben den unmittelbaren finanziellen Schäden drohen langfristige Reputationsverluste. Wird die Domain für Phishing, Malware-Verbreitung oder betrügerische Inhalte verwendet, kann dies das Vertrauen in die betroffene Marke dauerhaft beschädigen. Hinzu kommen juristische Herausforderungen bei der Rückgewinnung – insbesondere wenn internationale Registrierungsstellen involviert sind oder Verfahren wie die UDRP eingeleitet werden müssen.

Sicherheitsvorkehrungen auf technischer Ebene

Ein wirksamer Schutz beginnt mit der Sicherung des Zugangs zu den Domain-Verwaltungskonten. Komplexe, regelmäßig aktualisierte Passwörter und die konsequente Nutzung von Zwei-Faktor-Authentifizierung sollten heute als Standard gelten. Zusätzlich empfiehlt sich die klare Definition interner Zuständigkeiten:

• Wer ist für welche Domains verantwortlich?
• Wo sind die Zugänge dokumentiert?
• Gibt es Notfallroutinen?

Technische Schutzmaßnahmen wie Registrar Locks oder Registry Locks verhindern unautorisierte Domaintransfers und erhöhen die Integrität des Domainbesitzes. Auch die Implementierung von DNSSEC, das die Authentizität von DNS-Antworten verifiziert, stellt eine wichtige Ergänzung der Sicherheitsarchitektur dar. Besonders für Unternehmen mit hoher Markenbekanntheit ist diese Maßnahme essentiell, um gezielte Manipulationen im DNS-System auszuschließen. Wir empfehlen deshalb dringend, die Hauptdomain(s) einem zusätzlichen Schutz zu unterziehen und nur wenigen autorisierten Personen den Zugriff auf die DNS-Einstellungen einzuräumen.

Frühwarnsysteme und Monitoring

Ein weiterer zentraler Baustein der Sicherheitsstrategie ist die kontinuierliche Überwachung von Domain-bezogenen Daten. Dazu gehören regelmäßige WHOIS-Kontrollen ebenso wie die Überwachung von DNS-Einstellungen und Traffic-Strukturen. Auffällige Aktivitäten – etwa unautorisierte Nameserver-Änderungen – lassen sich so frühzeitig erkennen.

Professionelle Domain-Monitoring-Lösungen ermöglichen es darüber hinaus, neu registrierte Domains zu identifizieren, die der eigenen Marke ähneln oder auf gezielte Täuschung ausgelegt sind. Auf dieser Basis können rechtliche Schritte frühzeitig vorbereitet oder – bei Bedarf – automatisiert eingeleitet werden.

Strategischer Schutz beginnt mit Prävention

Neben den technischen Komponenten erfordert eine ganzheitliche Sicherheitsstrategie auch organisatorische Maßnahmen. Hierzu zählt eine strukturierte Domain-Portfoliopflege, die sowohl die fristgerechte Verlängerung bestehender Domains als auch die Registrierung möglicher Tippfehler- oder Typosquatting-Varianten umfasst.

Schulungen für Mitarbeiter – insbesondere in den Bereichen IT, Marketing und Recht – erhöhen das Bewusstsein für die Relevanz von Domain-Sicherheit und reduzieren das Risiko, Opfer von Social-Engineering-Angriffen zu werden. Sensibilisierung und Prozesse müssen Hand in Hand gehen, um Domain-Sicherheit nicht dem Zufall zu überlassen.

Reaktionsfähigkeit im Ernstfall

Kommt es dennoch zu einem Vorfall, ist eine strukturierte Incident-Response-Strategie entscheidend. Der betroffene Registrar sollte umgehend informiert und in die Wiederherstellung der Domain eingebunden werden. Parallel ist eine transparente Kommunikation mit relevanten Stakeholdern empfehlenswert, um Vertrauen zu wahren und Missverständnisse zu vermeiden.

Rechtlich stehen Unternehmen verschiedene Mittel zur Verfügung. Besonders relevant ist das UDRP-Verfahren, das von der Internetverwaltung ICANN für gTLDs etabliert wurde und nicht auf lokale Gerichtsbarkeit, sondern bei akkreditierten Schlichtungsstellen wie der WIPO durchführbar ist. Es ermöglicht eine vergleichsweise schnelle Klärung von Domain-Streitigkeiten – sofern die Voraussetzungen erfüllt sind. In Deutschland bietet zudem der sogenannte Dispute-Eintrag bei der DENIC eine Möglichkeit, .de-Domains bis zur gerichtlichen Klärung zu sichern.

Digitale Identität braucht rechtlichen und technischen Schutz

Domain-Hijacking ist keine hypothetische Gefahr, sondern eine reale Herausforderung für Unternehmen in der vernetzten Wirtschaft. Der Schutz der eigenen Domain ist integraler Bestandteil einer ganzheitlichen Sicherheits- und Markenstrategie. Er erfordert nicht nur technisches Know-how, sondern auch juristische Weitsicht und organisatorische Klarheit.

Unternehmen, die ihre Domain-Assets als strategisches Gut begreifen und entsprechende Schutzmaßnahmen implementieren, stärken ihre digitale Resilienz – und setzen ein klares Zeichen für Verlässlichkeit, Sicherheit und Kundenorientierung im digitalen Raum.

Über den Autor:

Christian Dallmayer, General Manager united-domains GmbH, Bild: united domains

Christian Dallmayer bringt über 15 Jahre Erfahrung in Web-, Technologie- und E-Commerce-Unternehmen mit, darunter gutefrage.net, equinux AG und 1-2-3.tv. Seit 2022 ist er bei united-domains und verantwortet als General Manager die Bereiche B2B und B2C.

Weitere Informationen zum Thema:

datensicherheit.de, 02.09.2020
Cybersquatting: Angreifer imitieren Domains großer Marken

Ein Kommentar von unserem Gastautor Andre Schindler, General Manager EMEA und SVP Global Sales bei NinjaOne

[datensicherheit.de, 08.05.2025] Laut des ifo-Instituts arbeiten 24,5 Prozent der Beschäftigten in Deutschland zumindest teilweise von zu Hause aus. Diese Zahl ist in den letzten Jahren stabil geblieben und trotz mancher Diskussion ist das Thema Homeoffice in vielen Unternehmen fest etabliert. Im Zuge dessen hat sich die Anzahl von Endpunkten entsprechend erhöht und auch die Möglichkeit für potenzielle Schwachstellen für die IT-Systeme.

Bedrohungen rechtzeitig erkennen

Reaktive Sicherheitsansätze und komplexe und ineffiziente Patch-Prozesse erhöhen diese Risiken und viele Unternehmen haben Schwierigkeiten, Schwachstellen – bevor sie eine ernsthafte Bedrohung darstellen – zu erkennen. Deshalb sind effiziente und effektive Prozesse für das Patch- und Schwachstellenmanagement wichtiger denn je.  Nur so können IT-Teams einen proaktiven, risikobasierten Ansatz verfolgen, mit dem sie Schwachstellen erkennen, bewerten, priorisieren und beheben können, bevor sie eskalieren.

Automatisierung und Priorisierung senken das Risiko von Cyberangriffen

Durch automatisiertes Patch-Management wird die Belastung der IT-Abteilungen deutlich reduziert und Fehler im Zusammenhang mit umständlichen, manuellen Prozessen minimiert. Das händische Einspielen von Patches ist zeitaufwendig und birgt Sicherheitsrisiken, wohingegen automatisierte Patch-Management-Lösungen Zeit für die Erkennung, das Testen und die Bereitstellung kritischer Updates einsparen und so eine schnellere Reaktion auf eventuelle Schwachpunkte ermöglichen.

Priorisierung von Schwachstellen wichtig

Die gute Nachricht ist hier, dass nicht alle Schwachstellen das gleiche Maß an Bedrohung darstellen. Deshalb können sie priorisiert werden, was wiederum noch mehr Zeit und Ressourcen schont. Automatisierte Risikobewertungen ermöglichen IT-Abteilungen, zuerst die kritischsten Schwachstellen anzugehen und dadurch Gefährdung durch schwerwiegende Sicherheitsbedrohungen zu verringern.   Der Einsatz künstlicher Intelligenz kann den Patch-Prozess noch weiter optimieren. KI-gesteuerte Tools liefern IT-Teams kontextbezogene Empfehlungen dazu, welche Patches wann installiert werden sollten, wodurch der Aufwand für die Fehlerbehebung und die Systemausfallzeiten weiter minimiert werden.

Fazit

Ohne effektives Patch-Management bleibt die Bewältigung von Cybersicherheitsrisiken eine ständige Herausforderung. Durch die Automatisierung des Patch-Managements können Unternehmen nicht nur das Risiko von Cyberangriffen verringern, sondern auch Ressourcen in den IT-Abteilungen für strategische Aufgaben freisetzen. Dadurch wird das Unternehmen effizienter, produktiver und letztlich sicherer.

Weitere Informationen zmum Thema:

NinjaOne
Automate the hardest parts of IT

datensicherheit.de, 31.07.2020
Das VPN nicht überlasten – wie moderne Patchvorgänge auch Homeoffices abdecken

Ein Beitrag von unseren Gastautoren Nischal Khadgi und Ujwal Thapa, Sicherheitsforscher bei Logpoint

[datensicherheit.de, 05.04.2025] ClickFix wird bereits von einer Reihe von nationalstaatlichen Akteuren wie APT 28 und Kimsuky genutzt. Besonders beliebt ist die Verbreitung von Stealer-Malware wie Lumma Stealer über die Social Engineering-Kampagne. Die Betreiber verleiten Benutzer dazu, bösartigen Code auf ihren Systemen auszuführen. Angreifer locken ihre Opfer auf scheinbar legitime, aber kompromittierte Websites, auf denen täuschen echt wirkende Pop-ups erscheinen. Diese Pop-ups fordern die Benutzer auf, auf Schaltflächen mit der Aufschrift „Reparieren“ oder „Ich bin kein Roboter“ zu klicken. Sobald sie angeklickt werden, wird automatisch ein Befehl in die Zwischenablage des Benutzers kopiert und der Benutzer dazu gebracht, ihn manuell zu kopieren und in sein Systemterminal einzufügen.

ClickFix-Angriffsvektoren, Bild: Logpont

ClickFix erstmalig Mitte 2024 entdeckt

Diese Technik wurde erstmals Mitte 2024 entdeckt und wird seither immer häufiger eingesetzt. Neben Phishing wurden auch Malvertising und SEO-Poisoning als Verbreitungstechniken beobachtet.

Die folgenden Tipps sollen Sicherheitsverantwortlichen bei der Erkennung und Behebung helfen:

ClickFix-InfektionsketteClickFix-Kampagnen stützen sich in hohem Maße auf Social Engineering-Techniken wie Phishing. Benutzer sollen dazu verleitet werden, auf Webseiten zu gehen, die bösartige Software herunterlädt. Daher müssen Unternehmen Wert auf regelmäßige Mitarbeiterschulungen legen, die sich auf das Erkennen von und die Reaktion auf Bedrohungen wie Phishing konzentrieren. Darüber hinaus sollten Unternehmen ein Verfahren für Mitarbeiter einrichten, die den Verdacht haben, Opfer eines Phishing-Angriffs geworden zu sein. Dies sollte eine Meldung an die zuständigen Behörden und der sofortigen Einleitung von Maßnahmen zur Eindämmung des Vorfalls und zur Minimierung möglicher Schäden behinhalten.

ClickFix-Infektionskette, Bild: Logpoint

„Defense-in-Depth“-Strategie für robuste Sicherheit

Unternehmen sollten eine „Defense-in-Depth“-Strategie anwenden, um eine robuste Sicherheit zu schaffen. Dazu gehören mehrere unabhängige Sicherheitskontrollen wie EDR, SIEM, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement sowie E-Mail-/Web-Filterung in der gesamten Infrastruktur. Dieser mehrschichtige Ansatz hilft dabei, Bedrohungen frühzeitig zu erkennen und zu neutralisieren und so den potenziellen Schaden zu minimieren.

Überblick behalten

Eine Protokollierung, Asset-Transparenz und ein kontinuierliches Monitoring der Systems sind unerlässlich, um Bedrohungen wie ClickFix zu erkennen und darauf zu reagieren. Diese Funktionen bieten einen ganzheitlichen Überblick über das Netzwerk und erleichtern die Identifizierung von Anomalien, die einen bevorstehenden Angriff signalisieren können. Ein konsequentes Monitoring des Endpunkt- und Netzwerkverkehrs kann helfen, verdächtige Verhaltensweisen zu erkennen.

Unternehmen müssen über einen gut definierten Incident Response-Plan verfügen, um sicherzustellen, dass sie schnell und effektiv auf Sicherheitsvorfälle reagieren können. Ebenso wichtig ist die Durchführung regelmäßiger Übungen zur Reaktion auf sicherheitsrelevante Vorfälle. Diese Übungen tragen dazu bei, Lücken in der Reaktionsstrategie aufzudecken und die Benutzer bei der Erkennung sowie der richtigen Reaktion zu befähigen.

Weitere Informationen zum Thema:

datensicherheit.de, 26.03.2025
2024/2025: Alle 14 Sekunden ein Cyber-Angriff auf Unternehmen

Logpoint
ClickFix: Another Deceptive Social Engineering Technique

Von unserem Gastautor Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

[datensicherheit.de, 04.04.2025] Cyberangriffe entwickeln sich stetig weiter, und klassische Abwehrmaßnahmen allein reichen oft nicht mehr aus. Threat Intelligence ist ein Schlüssel zur frühzeitigen Erkennung und Abwehr von Angriffen. Sie stellt Unternehmen jedoch vor die Herausforderung, relevante Erkenntnisse aus der schieren Menge an Bedrohungsinformationen zu identifizieren, zu verstehen und klare Maßnahmen abzuleiten.

Threat Intelligence – Den Angreifern einen Schritt voraus

Unter Threat Intelligence versteht man die systematische Sammlung, Analyse und Nutzung von Bedrohungsdaten, die dabei hilft, Angriffsmuster sowie häufig ausgenutzte Schwachstellen und aktuelle Bedrohungen in IT-Infrastrukturen zu erkennen und Sicherheitsmaßnahmen entsprechend anzupassen. Ohne sie wäre es für Unternehmen schwierig, zu verstehen, wie sich Angriffstaktiken verändern und welche Sicherheitsmaßnahmen erforderlich sind. Denn sie gibt z. B. Aufschluss darüber, wie Ransomware-Taktiken sich verändern, welche kriminellen Gruppen am aktivsten sind und wie häufig Phishing in bestimmten Branchen vorkommt.

Threat Intelligence basiert u. a. auf Darknet-Analysen, Indicators of Compromise (IOCs) wie schadhaften IPs, Security Operations Center (SOC)-Erkenntnissen, Informationen zu Angriffsmustern von Cyberkriminellen und allgemeinen Bedrohungstrends. Die Bedrohungsdaten können aus verschiedensten Quellen stammen, etwa aus Foren der Cybersecurity-Community, aus Sicherheitsprotokollen von Unternehmen, aus Publikationen von Forschern oder auch aus kostenpflichtigen Abonnements entsprechender Anbieter.

Entscheidend ist dabei jedoch, dass die Menge an technischen Details – wie IP-Adressen, Hashwerte, Domains, URLs oder Angriffstechniken – ebenfalls konsolidiert und in eine für Unternehmen nutzbare Form überführt werden. Denn Threat Intelligence muss handlungsorientiert sein. Für Unternehmen müssen sich aus der Nutzung konkrete Maßnahmen ableiten lassen. Andernfalls bleiben die Informationen lediglich von theoretischem Interesse und stellen rein technische Daten dar, ohne einen tatsächlichen Beitrag zur Verbesserung der Cybersicherheit des Unternehmens zu leisten.

Security- und IT-Verantwortliche in Unternehmen können diese Daten dann nutzen, um Bedrohungen in ihren jeweiligen IT-Landschaften zu erkennen, darauf zu reagieren und proaktive Sicherheitsmaßnahmen gezielt umzusetzen. Dadurch minimieren sie nicht nur Sicherheitsrisiken, sondern nutzen auch Budget, Ressourcen und Technologien effizienter.

Aktuelle Insights in die Cybersicherheitslandschaft

So gibt beispielsweise der aktuelle Threat Report von Arctic Wolf Einblicke in die aktuelle Bedrohungslage und leitet konkrete Handlungsempfehlungen ab. Der Security-as-a-Service-Anbieter betreibt eines der größten kommerziellen SOCs weltweit und erstellt den Bericht auf Basis von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Daten. Die Ergebnisse zeigen, wie Cyberkriminelle ihre Methoden weiterentwickeln, um stärkere Sicherheitsmaßnahmen zu umgehen: Ransomware-Angreifer setzen verstärkt auf Datendiebstahl, Business-E-Mail-Compromise-Taktiken werden raffinierter, und bekannte Schwachstellen sind weiterhin Einfallstor für Cyberkriminelle.

Beim Schwachstellenmanagement zeigt sich beispielsweise: Wenige Schwachstellen werden überproportional oft ausgenutzt. 2024 wurden über 40.000 Sicherheitslücken verzeichnet, doch in 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus – für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Dies macht deutlich, wie wichtig proaktives Patch-Management ist.

Trotz verfügbarer Sicherheitsupdates zögern viele Unternehmen, Patches zeitnah einzuspielen – sei es mangels klarer Prozesse oder aufgrund personeller Engpässe. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle. Ein auf Threat Intelligence basierendes effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren.

Die Herausforderung: Zu viele Daten, zu wenig Ressourcen

Wie das Beispiel Schwachstellenmanagement zeigt, mangelt es Unternehmen oft nicht an der Verfügbarkeit von relevanten Bedrohungsdaten, sondern an den Ressourcen, diese sinnvoll zu nutzen. Besonders kleinere Security-Teams stehen vor der Herausforderung, die Masse an Informationen effizient zu analysieren und zu verwalten. Hier kommen externe Sicherheitspartner ins Spiel, die Unternehmen mit gezielten Threat-Intelligence-Maßnahmen unterstützen können, z. B. durch:

• Risikobasiertes Schwachstellenmanagement: Identifikation und Priorisierung von Sicherheitslücken nach Dringlichkeit
• Kuratiertes Reporting: Bereitstellung relevanter Informationen anstelle einer unübersichtlichen Flut an Rohdaten
• Echtzeit-Warnungen: Automatische Benachrichtigung über kritische Bedrohungen

Ein weiterer Vorteil der Zusammenarbeit mit externen Partnern ist ihr breiter Datenzugang: Sie analysieren Bedrohungstrends über zahlreiche Unternehmen hinweg und können dadurch präzisere, praxisnahe Empfehlungen ableiten. Von diesem Wissen profitieren wiederum Unternehmen und können ihre Sicherheitsmaßnahmen gezielt anpassen.

Fazit: Kuratierte Threat Intelligence als Schlüssel zum Erfolg

Threat Intelligence ist essenziell, doch ohne strukturierte Analysen bleiben wertvolle Informationen ungenutzt. Nur mit kuratierter Threat Intelligence lässt sich die Flut an Bedrohungsdaten sinnvoll auswerten, Sicherheitsstrategien optimieren und fundierte Entscheidungen treffen. Fehlen die internen Ressourcen, um dies abzudecken, kann die Zusammenarbeit mit einem spezialisierten Security-Partner wie Arctic Wolf Unternehmen dabei unterstützen, ihre Sicherheitslage nachhaltig zu verbessern.

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, Bild: Arctic Wolf

Über den Autor

Dr. Sebastian Schmerl ist Vice President Security Services EMEA und verantwortlich für Cyber Security Operations bei Arctic Wolf. Er unterstützt Kunden bei der Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle in komplexen IT-Landschaften und Cloud- oder ICS-Umgebungen.

Ein Kommentar von unserem Gastautor Yunus Bulut, Managing Director von Validaitor

„Google hat mit der Einführung seines neuen KI-Tools ‚Gemini 2.0 Flash Experimental‘ in der Entwickleroberfläche AI Studio einen bedeutenden Schritt in der Bildbearbeitung gemacht. Erstmals können Nutzer KI-generierte Bilder durch einfache Texteingaben nachbearbeiten, bestehende Bilder hochladen, künstlich erzeugte Objekte mit realen kombinieren und diese einfach und schnell nur durch Textbefehle verändern und selbst Wasserzeichen entfernen.

Diese bisher nie dagewesene Einfachheit in der Bedienung kann jedoch auch die Tore für eine massenhafte Erstellung von manipuliertem Bildmaterial öffnen, die von bösartigen Akteuren für Fehlinformationskampagnen und andere kriminelle Handlungen wie Betrug oder Rufschädigung missbraucht werden.

Die zunehmenden Fähigkeiten generativer KI sind bemerkenswert, doch sie bergen erhebliche Risiken. Deepfakes, voreingenommener Output gegenüber bestimmten Bevölkerungsgruppen und der Missbrauch urheberrechtlich geschützter Inhalte sind besonders besorgniserregend. Deshalb ist eine umfassende Prüfung von KI-Modellen auf Sicherheit, Halluzinationen, Toxizität, Vorurteile sowie die Einhaltung der Urheberrechtsgesetze entscheidend, um die Fähigkeiten von KI-Modellen zu verbessern, während gleichzeitig ihre Sicherheit gewährleistet wird. Unsere umfangreiche Erfahrung in der Prüfung von KI-Systemen zeigt, dass fast alle Modelle inhärente Mängel aufweisen. Um das Vertrauen in diese KI-Modelle zu erhalten, ist daher eine externe Prüfung durch Dritte unerlässlich.

Unabhängige KI-Bewerter spielen eine entscheidende Rolle für das reibungslose Funktionieren der Branche. Denn ohne eine solche Aufsicht besteht die Gefahr, dass die Dominanz der Technologiegiganten zur Verbreitung fehlerhafter KI-Modelle führt, was potenziell zu weit verbreitetem Missbrauch und ethischen Verstößen führen kann.“

Yunus Bulut, Managing Director von Validaitor, © Validator

Yunus Bulut ist KI-Forscher, KI-Praktiker und mehrfacher Gründer von daten-wissenschaftlichen Technologieunternehmen. Als Mitgründer und CEO von Validaitor ist es sein Ziel, vertrauenswürdige und verantwortungsvolle KI-Nutzung zu unterstützen, indem er KI-Anwendungen testet, zerlegt und repariert. Bulut hält Master-Abschlüsse für Wirtschaftswissenschaften und Computerwissenschaften. Seit dem Jahr 2020 beschäftigt sich Bulut am Karlsruher Institut für Technologie (KIT) mit der Sicherheit von KI-Modellen, mit Angriffsmethoden gegen Maschinelles Lernen (Adversarial Machine Learning) sowie mit Robustheit und Vertrauenswürdigkeit von KI. Daraus entstand im Jahr 2022 die Firma Validaitor als Spin-off des KIT.

Von unserem Gastautor Rick Vanover, Vice President of Product Strategy, Veeam

[datensicherheit.de, 24.03.2025] Die Führungsetage hat die Themen Datenresilienz und Cybersecurity lange Zeit den Sicherheits- und IT-Teams überlassen. Es galt das Motto „Das lassen wir die Experten machen“, und für die längste Zeit fuhr man mit dieser Philosophie gut. Unternehmen sind zunehmend von Technologie abhängig und Sicherheitsvorfälle sind eine Frage des „Wann“ statt des „Ob“. Cybersicherheit ist zu einem Thema geworden, das ausnahmslos die gesamte Belegschaft und jede Abteilung im Unternehmen angeht.

Rick Vanover, Vice President of Product Strategy, Veeam, © Veeam

Vorschriften verankern die Rechenschaftspflicht von Unternehmen in Rechtsklauseln

Die jüngsten Vorschriften zur Cybersicherheit (einschließlich NIS2 und DORA) spiegeln dies wider und verankern die Rechenschaftspflicht von Unternehmen in Rechtsklauseln. Die gesamte Führungsebene, und nicht nur der CISO, kann nun im Falle eines Verstoßes zur Verantwortung gezogen werden. Sie sind direkt für das Management und die Schulung zu Cybersicherheitsmaßnahmen verantwortlich und müssen bei Nichteinhaltung mit Strafen rechnen.

Führungskräfte werden sich nun langsam aber sicher der Tatsache bewusst, dass es jetzt ein Risiko darstellt, einfach davon auszugehen, dass ihre Sicherheitsteams und Drittanbieter alles im Griff haben. Wenn Sicherheitslücken klaffen oder sie als Verantwortliche die Transformationsprozesse hin zu stärkerer Datenresilienz nicht ausreichend unterstützen, steht ihr Ruf auf dem Spiel. Der Ball liegt in Sachen IT-Sicherheit also im Feld der Führungsriege und das bedeutet, dass diese sich proaktiv einbringen und selbst mit den Prozessen befassen muss.

Die Führungsetage im Fokus: Vom Beobachter zum Entscheider

Natürlich ist es realitätsfern, zu erwarten, dass die meisten Führungskräfte Experten für Cybersicherheit und -resilienz sind. Viele von ihnen setzen sich im Zuge der sich verändernden Rechtslage womöglich das erste Mal überhaupt mit Plänen für Datenresilienz und die Reaktion auf Vorfälle auseinander und hinterfragen diese. Angesichts zunehmender Cyber-Bedrohungen und strengerer Vorschriften müssen Führungskräfte nicht nur hinnehmen, dass Sicherheitsvorfälle unvermeidlich sind, sondern auch proaktive Maßnahmen ergreifen, um ihre Verteidigung zu stärken und die Einhaltung von Gesetzen sicherzustellen.

Die C-Suite ist nun also für die Sicherheitsstrategie, das Risikomanagement und die Risikominderung in der Organisation sowie für Maßnahmen zur Meldung von Vorfällen verantwortlich. Darüber hinaus müssen sich Führungskräfte, die gegen die Vorschriften verstoßen, auf eine persönliche Haftung und potenzielle Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes für wichtige Unternehmen einstellen, je nachdem, welcher Betrag höher ist.

Die konkreten Konsequenzen im Detail

• Persönliche Haftung: Nicht mehr nur der CISO steht im Fokus
• Finanzielle Risiken: Strafen von bis zu 7 Millionen Euro oder 1,4% des Jahresumsatzes
• Umfassende Verantwortung: Jedes Vorstandsmitglied muss Cybersicherheit aktiv verstehen und managen

Der Druck ist entsprechend hoch. Die C-Levels müssen die Widerstandsfähigkeit und die Bereitschaft zur Reaktion auf Vorfälle in ihre Organisation integrieren. Es braucht sowohl Investitionen in Sicherheit und Schulungen als auch die Umsetzung der Rechenschaftspflicht interner Interessengruppen.

Hier fällt das entscheidende Wort: Rechenschaftspflicht.

Vorschriften wie NIS2 beziehen die oberste Führungsebene jedoch nicht in die Rechenschaftspflicht ein, damit man ihnen im Ernstfall die Schuld in die Schuhe schieben kann. Die NIS2-Vorschriften verpflichten die Führungskräfte als Entscheidungsträger. Sie sind diejenigen im Unternehmen, die die Entscheidungsgewalt haben, um sicherzustellen, dass jeder seiner Verantwortung nachkommt.

Verantwortliche im C-Level müssen diese Rechenschaftspflicht auch auf wichtige Partner und Lieferanten ausdehnen. Von Partnern in der Lieferkette bis hin zu IT- und Sicherheitsanbietern und BaaS-Anbietern (Backup-as-a-Service), können entscheidende Glieder in der Kette der Datenresilienz und -wiederherstellung nicht ignoriert werden.

Drittanbieter auf dem Prüfstand

Laut einer EY-Umfrage zum globalen Risikomanagement von Drittanbietern erwarten 44 Prozent der Unternehmen, dass sie in den nächsten fünf Jahren verstärkt mit Drittanbietern zusammenarbeiten werden. Da sich dieser Trend fortsetzt, ist davon auszugehen, dass Führungskräfte ihre Drittanbieter-Partner genauer unter die Lupe nehmen und jeden Aspekt ihrer Maßnahmen zur Datenresilienz und Reaktion auf Vorfälle untersuchen werden. Früher reichte eine Vereinbarung oder Zertifizierung aus, um der Führungsebene ausreichend Vertrauen zu vermitteln. Da die Rechenschaftspflicht von Unternehmen nun jedoch ein Faktor ist, wird die Forderung nach einer stärkeren Rechenschaftspflicht von Dritten lauter werden.

Konkret könnte das bedeuten: von Neuverhandlungen von Service Level Agreements (SLAs) bis hin zu eingehenderen Untersuchungen, bei denen Führungskräfte versuchen, die Kontrollkette im Sinne der Datenresilienz zu sichern und jeden Schritt des Prozesses zu untersuchen. Es ist zwar unmöglich, das Risiko und die Verantwortung an Dritte auszulagern, aber Führungskräfte benötigen Transparenz von ihren Drittanbietern. So kann im Falle eines Verstoßes der Fehlerpunkt identifiziert und umgehend gehandelt werden, um Strafen zu vermeiden.

Der Sprung ins kalte Wasser

Die Umsetzung der genannten Maßnahmen wird sicherlich die allgemeine Datenresilienz erhöhen. Dennoch ist es unmöglich, das Risiko eines Verstoßes vollständig zu eliminieren. Das verlangen Vorschriften wie NIS2 und DORA aber auch gar nicht. Stattdessen geht es darum, so viele Risiken wie möglich zu minimieren und vor allem darauf vorbereitet zu sein, auf Vorfälle zu reagieren, wenn sie auftreten – und das werden sie.

Selbst mit allen möglichen Vereinbarungen und Technologien bleibt eines entscheidend: Tests sind unerlässlich. Dies ist der wichtigste Schritt zur Verbesserung der Widerstandsfähigkeit. Die Führungsebene sollte alle erforderlichen Untersuchungen durchführen, um das Vertrauen in ihre Datenlieferkette durch die Lieferanten zu stärken.

Und sie muss dieses Vertrauen auf die Probe stellen. Konsistente, umfassende Tests, die Ihre Maßnahmen bis an die Grenzen bringen, und das nicht nur unter perfekten Bedingungen. Ein Verstoß kann jederzeit auftreten. Man sollte die Sicherheitsstrategie zum ungünstigsten Zeitpunkt Tests unterziehen, beispielsweise wenn die Sicherheitsteams beschäftigt oder bestimmte Interessengruppen im Urlaub sind.

Im Grunde geht es darum, über bloße hypothetische Szenarien und starre Pläne hinauszugehen. Man lernt nicht schwimmen, indem man ein Buch darüber liest. Der einzige Weg zu lernen, ist es, es zu versuchen. Natürlich kann es sein, dass man direkt in der Lage ist, den Kopf über Wasser zu halten. Aber man kann auch untergehen. Und es ist besser, das auszuprobieren, wenn man ein paar Schwimmflügel zur Hand hat, als während des Ernstfalls.

Von unserem Gastautor Henrik Hasenkamp, CEO von gridscale

[datensicherheit.de, 21.03.2025] Ständig zunehmende Angriffsrisiken und deutlich effektivere Monitoring- und Traffic-Analyse-Tools führen dazu, dass ein bekanntes und bewährtes Sicherheitskonzept wieder mehr Aufmerksamkeit erfährt: Zero Trust. Wenn dann der Cloud-Service zusätzlich Datensouveränität garantieren kann, entsteht ein umfassendes Sicherheitskonzept.

Grundprinzip einer Zero-Trust-Strategie

Grundsätzlich niemandem zu vertrauen und jede Zugriffsanfrage unabhängig von ihrer Herkunft zu prüfen – so lässt sich in wenigen Worten das Grundprinzip einer Zero-Trust-Strategie beschreiben. Obwohl das Konzept nicht neu ist und überzeugende Argumente mitbringt, eilt ihm der Ruf voraus, schwierig umsetzbar zu sein. Insbesondere mittelständische Unternehmen mit hybriden IT-Infrastrukturen scheuen den Implementierungsaufwand und den kontinuierlichen Betrieb.

Vorteile rechtfertigen den Aufwand

Dass eine gute Sicherheitsstrategie essenziell ist, ist unbestritten. Die Folgen von Sicherheitsvorfällen sind allgemein bekannt: von Produktionsausfällen und Imageschäden über Datenverluste bis hin zu Kosten für die Wiederherstellung und Strafen für Verstöße gegen Datenschutzvorgaben. IT-Sicherheit gehört demnach zu jeder IT-Infrastruktur-Überlegung dazu. Der ganzheitliche Ansatz von Zero Trust kann u.a. durch folgende Maßnahmen umgesetzt werden:

• Jede – wirklich jede – Anfrage wird geprüft: Multi-Faktor-Authentifizierung (MFA) für alle Nutzer:innen und ein rollenbasiertes Zugriffskonzept, bei dem jeweils nur ein Minimum an Rechten vergeben wird, sind die Basis eine Zero-Trust-Sicherheitsstrategie. Dabei ist es wichtig, dass das IAM (Identity and Access Management) sowohl lokale Netzwerk- als auch Cloud-basierte Identitäten verwalten kann. Jede Zugriffsanfrage, egal ob sie von außerhalb oder innerhalb des Netzwerkes kommt, wird durch ein Security Information and Event Management-System (SIEM) geprüft. So können nicht nur Angriffe von außen besser verhindert werden, sondern auch solche, bei denen sich die Angreifer:innen zum Beispiel über Phishing oder Social Engineering bereits Zugang zum Netzwerk verschafft haben.
• Monitoring, Traffic-Analysis und Anomalieerkennung: SIEM-Systeme prüfen nicht nur, sie analysieren auch: Durch die kontinuierliche Überwachung und Auswertung aller sicherheitsrelevanten Events können Bedrohungen frühzeitig erkannt werden. Heute arbeiten die Systeme mit Machine-Learning- und KI-Algorithmen, sodass sie intelligent und schnell Anomalien im Datenverkehr erkennen und potenzielle Risiken einschätzen können.
• Datenverschlüsselung und Endpoint-Security: Die Verschlüsselung aller Daten in jedem Zustand – also auch solcher, die sich zumeist im Ruhestand, sprich in Archiven oder an IoT-Geräten, befinden – zählt zu den grundsätzlichen Maßnahmen innerhalb einer IT-Security-Strategie. So lässt sich auch im Falle eines Datendiebstahls der Schaden zumindest begrenzen. Schlüsselmanagement-Systeme helfen bei der Verwaltung der Chiffrierschlüssel. Ebenso grundsätzlich wie wichtig ist es, dass stets alle Endgeräte, die auf das Netzwerk zugreifen, über aktuelle Sicherheitssoftware und Patches verfügen.
• Micro-Segmentierung und API-Management: Wenn ein Netzwerk in kleinere, weitgehend isolierte Segmente aufgeteilt wird, können die einzelnen Bestandteile besser kontrolliert werden. Sicherheitsrichtlinien etwa können dann pro Segment definiert werden, was den Schutz sensibler Daten vereinfacht. Um APIs besser zu managen, ist es sinnvoll, API-Gateways als Sicherheitsinstanz zwischen Front- und Backend zu setzen. Diese stellen sicher, dass nur autorisierte Nutzer:innen und Anwendungen auf die jeweiligen Schnittstellen zugreifen.

Von der Theorie zur Praxis: Zero Trust im Unternehmen

Bisweilen mag es einem Kulturwandel gleichkommen, wenn eine Zero-Trust-Strategie künftig alle vorhandenen Sicherheitsmaßnahmen ersetzen soll. Zwei Dinge sind zu Beginn besonders wichtig: die Mitarbeiter miteinzubeziehen und eine umfassende Bestandsaufnahme zu machen.

Eine Bestandsaufnahme der IT-Infrastruktur gibt nicht nur einen guten Überblick, sondern offenbart u.a. besonders schützenswerte, geschäftskritische Bereiche, Schwachstellen, veraltete und vernachlässigte Assets, genutzte und nicht-genutzte Anwendungen. Oft lassen sich daraus direkt erste Maßnahmen ableiten, die sich unkompliziert umsetzen lassen. Auf dieser Basis kann nun ein Sicherheitskonzept erarbeitet werden, das alle Bereiche – On-Premise, Cloud, Edge, etc. – abdeckt. Notwendige Integrationen können nun besser abgeschätzt und geplant werden.

Datensouveränität als Sicherheitsmaßnahme

Wer Zero Trust ernst nimmt, muss auch seinen Cloud-Provider hinterfragen. Denn zu Datenschutz und Compliance zählt auch das Thema Datensouveränität – ein herausforderndes Thema, gerade wenn die Infrastruktur hybrid ist, es also Übergänge zwischen verschiedenen Sourcing-Modellen zu schaffen gilt. gridscale (ein OVHcloud Unternehmen) adressiert als europäischer Cloud-Provider genau diese Herausforderung mit einer souveränen Cloud-Lösung.

Die Souveränität über die eigenen Daten zu haben, bedeutet, von der Erhebung und Speicherung über die Nutzung und Verarbeitung bis hin zur Vernichtung die volle Kontrolle auszuüben. Am einfachsten ist das natürlich im eigenen, abgeschotteten Rechenzentrum, welches an keine externen Ressourcen angebunden ist – ein Modell, das heute aus Kostengründen und dank mangelnder Flexibilität kaum noch anzutreffen ist. Doch auch manche Cloud-Dienstleister haben eine Lösung anzubieten: die souveräne Cloud.

Um eine Orientierung zu bieten, entwickelte das Bundesministerium für Sicherheit in der Informationstechnik (BSI) einen umfassenden Kriterienkatalog, den Cloud Computing Criteria Catalogue (C5). Insgesamt listet der Katalog 121 Sicherheitsmaßnahmen, z.B. aus den Bereichen Datenschutz, physische Sicherheit, Anwendungsmanagement und Interoperabilität, auf, an denen sich Cloud-Anbieter messen lassen. Provider, die ein C5-Zertifikat haben, erfüllen alle Kriterien und wurden durch eine unabhängige Instanz geprüft. Das BSI-C5-Zertifikat gilt als anerkannter Standard und gibt den Unternehmen rechtliche Sicherheit: Die Einhaltung der offiziellen europäischen und deutschen Datenschutz-Regelungen (z. B. DSGVO) ist damit seitens des Cloud-Dienstleisters garantiert.

Souveräne Clouds und Zero Trust

Cloud-Services sind für die meisten Unternehmen ein wichtiger oder sogar unersetzbarer Teil der IT-Infrastruktur. Ein wichtiges Argument für die Cloud war schon immer das hohe Sicherheitslevel, das Cloud-Provider bieten: neueste Technologien, stets aktueller Stand aller Software-Versionen und Patches, geografisch verteilte Redundanz, Management-Tools inklusive. Gute Voraussetzungen, um die Cloud nahtlos in die eigene Zero-Trust-Strategie zu integrieren.

Bei Providern aus dem nicht-europäischen Ausland bleibt jedoch stets ein Stück rechtliche Unsicherheit. Nach wie vor können etwa US-Behörden unter bestimmten, nicht immer ganz klar definierten Umständen die Herausgabe von Daten von den Providern verlangen. Die europäischen und deutsche Datenschutz-Vorgaben sind streng, insbesondere auch im Hinblick auf die Transparenz, die die Provider gegenüber ihren Kunden wahren müssen – hier können insbesondere amerikanische Anbieter nicht mithalten. Das C5-Zertifikat des BSI gibt zusätzliche Orientierung für mehr Sicherheit und Datensouveränität.

Über den Autor

Henrik Hasenkamp, CEO von gridscale, © gridscale

Henrik Hasenkamp verantwortet als CEO die Strategie und Ausrichtung von gridscale, einem Kölner Technologieanbieter, der Unternehmen eine schlüsselfertige Plug-and-Play Plattform für den schnellen und unkomplizierten Aufbau von Cloud- und Edge Computing-Services zur Verfügung stellt. Als einer der Pioniere und Vorreiter hat Henrik mit der Gründung von gridscale im Jahr 2014 das große Potenzial von Edge und Cloud Computing für die Digitalisierung in Deutschland früh erkannt und gridscale bis heute zu einem innovativen Softwareanbieter und Plattformbetreiber für mittlerweile tausende Mittelstandsunternehmen, IT-Dienstleister und Systemhäuser fortentwickelt. Seit August 2023 gehört das Unternehmen zur OVHcloud, dem europäischen Marktführer im Bereich Cloud. Gemeinsam und auf Basis der gridscale-Technologie entstehen derzeit weltweit 150 neue Standorte für OVHcloud, die unter dem Produktnamen Local Zone bereits erfolgreich vermarktet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa

Von unserem Gastautor Lars Francke, Mitgründer und CTO von Stackable, Mitglied der Expertengruppe zum Cyber
Resilience Act

[datensicherheit.de, 21.03.2025] Nach intensiven Verhandlungen ist der Cyber Resilience Act (CRA) in Kraft getreten. Unternehmen haben nun bis Dezember 2027 Zeit, die Anforderungen dieser EU-Verordnung zur Stärkung der Cybersicherheit umzusetzen. Doch was bedeutet der CRA konkret? Warum war er anfangs so umstritten? Und wie sollten Unternehmen nun vorgehen? Ein Bericht aus Brüssel.

Lars Francke, Mitgründer und CTO von Stackable, © Stackable

Die europäische Gesetzgebung mag oft schwerfällig erscheinen, doch in puncto Cybersicherheit zeigt sich die EU erstaunlich entschlossen. Bereits 2019 wurde der Cybersecurity Act verabschiedet, wenig später folgte die Sicherheitsrichtlinie NIS2. Nun markiert der Cyber Resilience Act einen weiteren Meilenstein im Schutz digitaler Infrastrukturen. In einer Zeit, in der Cyberangriffe zunehmen, ist dies ein notwendiger Schritt.

Während Europa vorangeht, zeigen sich anderswo Rückschritte: In den USA wurde das unter der Biden-Regierung geschaffene ‚Cyber Safety Review Board‘ als eine der ersten Amtshandlungen der Trump-Administration wieder aufgelöst. Umso wichtiger, dass die EU hier mit einem klaren Regelwerk voranschreitet – auch wenn der Weg dorthin nicht ohne Hürden war. Vor allem das Thema Open Source führte im Vorfeld zu hitzigen Diskussionen zwischen Politik, Wirtschaft und Verbänden.

Eine Reise nach Brüssel

Für uns bei Stackable war Open Source von Anfang an ein zentrales Thema – nicht erst seit den Debatten um den CRA. Daher war es uns ein Anliegen, an der Ausgestaltung der Verordnung mitzuwirken. Dass wir als vergleichsweise kleines Unternehmen tatsächlich in die Expertengruppe zum CRA aufgenommen wurden, war eine Überraschung. Ich erinnere mich noch genau an den Tag im Jahr 2024, als die Bestätigungsmail eintraf: „Wir fahren nach Brüssel!“, rief ich damals dem Team zu.

Die erste Sitzung des CRA-Komitees fand nun im Februar 2025 statt. Persönlich in Brüssel anwesend zu sein und mit den Big Playern wie Microsoft, Cisco oder Siemens an einem Tisch zu sitzen, war schon beeindruckend. Direkt mit anderen Experten zusammenzuarbeiten, ist eine einzigartige Gelegenheit, die Zukunft der Cybersicherheit aktiv mitzugestalten. Diese Erfahrungen haben mir wertvolle Einblicke in die Mechanismen der EU-Gesetzgebung und die Bedeutung von Open Source in diesem Kontext vermittelt. Und auch, welche Arbeit noch vor uns liegt.

Ein zentraler Diskussionspunkt während der Entwicklung des CRA war die Einbeziehung von Open- Source-Software. Ursprünglich hätte der Entwurf dazu geführt, dass Open-Source-Entwickler und -Stiftungen denselben Verpflichtungen ausgesetzt wären wie kommerzielle Softwareanbieter. Diese Regelung hätte potenziell das Open-Source-Ökosystem in Europa gefährdet, da viele Entwickler sich gezwungen gesehen hätten, ihre Software nicht mehr auf dem europäischen Markt anzubieten.

In der finalen Version des CRA wurde eine differenzierte Lösung gefunden: Die Unterscheidung zwischen kommerzieller und nicht-kommerzieller Nutzung wurde geschärft, und mit der Einführung des Begriffs „Open Source Steward“ erhalten nicht-kommerzielle Projekte eine regulatorische Sonderstellung mit reduzierten Verpflichtungen. Dies trägt dazu bei, dass Open Source weiterhin eine tragende Rolle in der europäischen Digitalwirtschaft spielen kann. Und muss. In der
Expertengruppe gehören Open Source und welche Pflichten die Hersteller in der gesamten Lieferkette haben, auch weiterhin zu den Kernthemen.

Das beschäftigt die Expertengruppe

Es gibt noch ungelöste Probleme, denen wir uns in der Expertengruppe stellen – etwa die internationale Abstimmung. Während Europa mit dem CRA einen ambitionierten Weg geht, sind in anderen Teilen der Welt vergleichbare Regulierungen noch nicht auf demselben Niveau. Dies könnte dazu führen, dass europäische Unternehmen im globalen Wettbewerb benachteiligt werden, während außereuropäische Anbieter weniger strenge Sicherheitsauflagen erfüllen müssen. Eine enge Zusammenarbeit mit anderen Wirtschaftsräumen bleibt für uns in der Expertengruppe daher enorm wichtig.

Eine längere Diskussion gab es auch beim Thema Risikobewertung. Ich selbst hatte damit bisher nur wenige Berührungspunkte in meiner beruflichen Laufbahn. Und aus Gesprächen mit anderen Unternehmern konnte ich heraushören, dass es vielen Start-ups und kleineren Unternehmen auch so geht. Welche Szenarien und Leitlinien zu berücksichtigen sind, ist vielerorts nicht klar. Manche Teilnehmer der Expertengruppe sprachen sich für minimale Vorgaben aus, um das Thema nicht zu kompliziert zu gestalten. Andere sprachen sich für Anleitungen von der Kommission aus, damit Unternehmen einen Fahrplan an der Hand haben. Letztere Variante dürfte vor allem für kleine Unternehmen hilfreich sein. Doch auch jetzt sollten sich alle Markteilnehmer bereits damit auseinandersetzen. Die Zeit drängt.

Cyber Resilience Act – Empfehlungen für Unternehmen

Unternehmen haben eine Übergangsfrist bis Dezember 2027, um sich auf die neuen regulatorischen Anforderungen einzustellen. Ab September 2026 greift sogar schon die Berichtspflicht, etwa bei Vorfällen oder Schwachstellen – viel Zeit bleibt also nicht. Vor allem, weil die Umstellung eine sorgfältige Analyse der eigenen Prozesse und Systeme erfordert. Wer bisher keine systematische Dokumentation seiner Softwareentwicklungs- und Sicherheitspraktiken vorgenommen hat, muss damit beginnen, eine lückenlose Nachweisführung zu etablieren. Es gilt, detailliert zu erfassen, welche Softwarekomponenten und Drittanbieter-Lösungen im Einsatz sind und welche Sicherheitsmaßnahmen implementiert wurden.

Ein funktionierendes Schwachstellenmanagement ist essenziell. Unternehmen müssen in der Lage sein, Bedrohungen frühzeitig zu identifizieren und angemessen darauf zu reagieren. Dazu gehört auch eine umfassende Transparenz über die gesamte Software-Lieferkette hinweg. Woher stammen genutzte Code-Komponenten? Welche potenziellen Risiken bergen sie? Nur wer diese Fragen klar beantworten kann, wird langfristig regulatorische Sicherheit gewährleisten können. Die Umsetzung darf nicht aufgeschoben werden. Eine schrittweise Integration der neuen Vorgaben sollte sofort angegangen werden, um Nachholbedarf kurz vor der Frist zu vermeiden und Compliance-Prozesse nachhaltig zu verankern.

Ein Lackmustest für die Regulierung

Der CRA setzt einen wichtigen Meilenstein in der europäischen Cybersicherheitsstrategie. Entscheidend wird sein, ob die Umsetzung in der Praxis effizient gestaltet wird oder ob sie Unternehmen mit bürokratischen Hürden überlastet. Wer sich frühzeitig mit den neuen Anforderungen auseinandersetzt, kann einen Wettbewerbsvorteil erzielen, indem er Cybersicherheit als integralen Bestandteil seiner digitalen Strategie etabliert.

Für Open Source wurde eine tragfähige Lösung gefunden, doch das regulatorische Umfeld bleibt herausfordernd. Es ist essenziell, den Dialog zwischen Industrie, Regulierungsbehörden und der Open-Source-Community weiterzuführen, um praktikable Lösungen zu entwickeln.

Cybersicherheit ist kein statisches Ziel, sondern eine fortwährende Herausforderung – der CRA ist ein erster, notwendiger Schritt, doch seine Wirksamkeit wird von der konsequenten und durchdachten Umsetzung abhängen. Der regulatorische Rahmen steht, jetzt liegt es an der Wirtschaft und der Politik, diesen mit Augenmaß und Weitsicht mit Leben zu füllen.

Weitere Informationen zum Thema:

Stackable
The modular open source data platform

Ein Kommentar von unserem Gastautor Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

[datensicherheit.de, 16.03.2025] Das KI-Gesetz der Europäischen Union markiert einen Wendepunkt für die Anforderungen am Arbeitsplatz – mit einem klaren Fokus auf KI-Kompetenz. Nach Artikel 4 sind Organisationen verpflichtet, sicherzustellen, dass ihre Mitarbeiter über ausreichende Kenntnisse im Umgang mit Künstlicher Intelligenz verfügen. Doch was bedeutet das konkret für Unternehmen?

Das Gesetz verlangt, dass Organisationen angemessene KI-Schulungen für ihre Mitarbeitenden und Betreiber bereitstellen. Diese müssen technisches Wissen, praktische Erfahrung, den Bildungshintergrund sowie den spezifischen Einsatzkontext der KI-Systeme berücksichtigen. Diese Flexibilität ist einerseits begrüßenswert, birgt aber zugleich eine Herausforderung: Es gilt zu definieren, was eine „ausreichende“ Schulung für verschiedene Rollen und Anwendungsfälle tatsächlich bedeutet.

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4, Foto: KnowBe4

Rollenbasierte Schulungsanforderungen

Ein effektives KI-Schulungsprogramm muss gezielt auf drei zentrale Mitarbeitergruppen zugeschnitten sein:

• Technische Teams – Entwickler und Datenwissenschaftler sollten sich auf sichere KI-Entwicklungspraktiken, Modellarchitekturen sowie ethische Grundsätze im Umgang mit Daten konzentrieren.
• Nicht-technische Mitarbeiter benötigen praxisnahe Richtlinien zur Nutzung von KI, ein Bewusstsein für ethische Fragestellungen und grundlegende Kenntnisse der Compliance-Anforderungen.
• Führungskräfte müssen sich mit KI-Governance-Rahmenwerken, Risikomanagementstrategien und den geschäftlichen Auswirkungen von KI auseinandersetzen.

Diese gezielte Schulung stellt sicher, dass alle Mitarbeiter die für ihre Rolle relevanten KI-Kompetenzen erwerben und verantwortungsbewusst mit der Technologie umgehen.

Sicherheit und Compliance vereinen

Das Gesetz gestattet zwar auch minimale Schulungsprogramme, doch reine Compliance reicht nicht aus, um eine Organisation nachhaltig zu schützen. Ein fundiertes Schulungskonzept, das sich an etablierten Standards wie den OWASP Top 10 für große Sprachmodelle orientiert, bietet eine ganzheitliche Grundlage. Dieser Ansatz berücksichtigt nicht nur die aktuelle KI-Bedrohungslandschaft, sondern auch Prinzipien der Datenverwaltung, den ethischen KI-Einsatz und praxisnahe Sicherheitsmaßnahmen.

Unabhängig davon, ob eine Organisation kommerzielle KI-Produkte nutzt oder maßgeschneiderte Lösungen entwickelt – Transparenz ist essenziell. Das Schulungsprogramm sollte daher Aspekte wie die Nachvollziehbarkeit der Datenverarbeitung, die Anforderungen an die Systemdokumentation und die Auswirkungen auf die Nutzer berücksichtigen. Besonders für Unternehmen, die eigene KI-Lösungen entwickeln, bietet sich die Gelegenheit, regulatorische Vorgaben und Schulungsmaßnahmen von Anfang an in den Entwicklungsprozess zu integrieren.

Aufbau einer widerstandsfähigen Belegschaft

Schulungsprogramme sollten adaptive Lernpfade und interaktive Module beinhalten und gleichzeitig kontinuierliche Weiterbildungsaktualisierungen gewährleisten. Rollenspezifische Bewertungen tragen dazu bei, dass die Schulungen für die Bedürfnisse jedes Mitarbeiters relevant und praktisch bleiben. Der wahre Wert von Schulungen zur KI-Kompetenz geht weit über die reine Einhaltung von Vorschriften hinaus. Organisationen sollten diese Anforderung als Chance betrachten, eine starke Sicherheitskultur zu pflegen, die sowohl die Organisation als auch ihre Mitarbeiter schützt. Durch die Umsetzung umfassender, rollenbasierter Schulungsprogramme, die über die grundlegenden Compliance-Anforderungen hinausgehen, sind Sie besser auf die Herausforderungen und Chancen einer KI-gesteuerten Zukunft vorbereitet.

Denken Sie daran, dass Compliance nicht automatisch gleichbedeutend mit Sicherheit ist. Obwohl das KI-Gesetz Flexibilität bei der Umsetzung bietet, sollten Organisationen, die es mit dem Risikomanagement für den Menschen ernst meinen, über die Mindestanforderungen hinausgehen. Gut ausgebildete Mitarbeiter sind nicht nur ein regulatorisches Kriterium, sondern ein Wettbewerbsvorteil in einer zunehmend KI-abhängigen Geschäftswelt.

Die Anforderungen des EU-KI-Gesetzes an die Alphabetisierung mögen auf den ersten Blick abschreckend wirken. Sie bieten jedoch eine wertvolle Gelegenheit, die KI-Governance und die Sicherheitslage Ihrer Organisation zu stärken. Wenn Sie jetzt einen proaktiven Ansatz für die KI-Alphabetisierung verfolgen, bauen Sie eine widerstandsfähigere, aufmerksamere und fähigere Belegschaft auf, die bereit ist, das Potenzial der KI zu nutzen und gleichzeitig ihre Risiken zu managen.

Weitere Informationen zum Thema:

EU Kommission
KI-Gesetz | Gestaltung der digitalen Zukunft Europas