[datensicherheit.de, 26.04.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, berichtet in seiner aktuellen Stellungnahme, dass Forscher der „KnowBe4-Threat Labs“ einen deutlichen Anstieg der über „Google Drive“ verübten Phishing-Angriffe für den Januar 2025 festgestellt haben: „Cyber-Kriminelle laden mit bösartigen Links versehene PDFs auf ,Google Drive’ hoch und teilen diese dann mit den von ihnen anvisierten Opfern. Die von Google beim Teilen des Dokuments automatisch versandte E-Mail-Benachrichtigung, das auf ,Drive’ ein Dokument zur Bearbeitung für sie bereit liegt, kann den E-Mail-Schutz vieler Opfer problemlos überwinden. Klicken diese dann auf einen der Links im PDF, werden sie auf eine seriös erscheinende Fake-Landingpage weitergeleitet.“ Tatsächlich handele es sich aber um eine Phishing-Website, mit der die Angreifer dann die Anmeldedaten und das Geld ihrer Opfer zu erbeuten versuchten.

Foto: KnowBe4

Dr. Martin J. Krämer: Um Phishing wirklich wirksam zu bekämpfen, müssten Unternehmen neben fortschrittlichen Technologien auch fortschrittliche Schulungen und Trainings zum Einsatz bringen!

Google erscheint seriös – Phishing-Angriff wird oft nicht erkannt

Zunächst registrierten die Angreifer hierzu eine Domain, erstellten sich dann über diese beim „Google Workspace“ ein Nutzerkonto. „Anschließend laden sie bei ,Google Drive’ eine PDF-Datei mit serös aussehendem Inhalt – und versehen mit bösartigen Links – hoch, aktivieren die ,Share’-Funktion und geben die E-Mail-Adressen der von ihnen ausgewählten Opfer ein.“ Google – und eben nicht die Angreifer – sendet den Opfern demnach dann eine Benachrichtigung über die Dateifreigabe samt Einwahllink zu.

Krämer warnt: „Dadurch, dass die Benachrichtigungs-E-Mail von Google, einer legitimen E-Mail-Adresse stammt, werden die E-Mail-Sicherheitsmaßnahmen der Opfer, wie die signatur- und reputationsbasierte Erkennung in ,Microsoft 365‘ und ,Secure E-Mail Gateways’ (SEGs), in aller Regel ausgetrickst. Und da die Opfer der Herkunft einer Google-Mail in aller Regel Vertrauen schenken, öffnen viele das PDF und klicken auf einen der bösartigen Links.“

Phishing-Raffinesse: Umleitung zu seriös erscheinender Fake-Landingpage

Um ihre Erfolgsaussichten hierbei weiter zu erhöhen, setzten viele Angreifer zudem auf Social-Engineering-Techniken, täuschten Wichtigkeit und Dringlichkeit vor. Meist brächten sie hierzu Themen wie Sicherheitsanforderungen, die Verlängerung, Entsperrung oder Bestätigung eines Nutzerkontos oder die Aktualisierung oder Bestätigung von Rechnungsdaten zur Sprache – sowohl im Betreff der Google-Mail als auch im PDF selbst.

Krämer führt weiter aus: „Wenn ihre Opfer dann auf einen der im PDF eingebetteten Links klicken, werden sie auf eine seriös erscheinende Fake-Landingpage weitergeleitet. Auf dieser Seite werden sie dann in aller Regel aufgefordert, ihre Anmeldedaten einzugeben, um das vermeintliche Dokument ansehen zu können. In einer anderen Kampagne wurden die Opfer sogar zu Fake-Finanzportalen weitergeleitet, auf denen sie dann zur Überweisung von Geld aufgefordert wurden.“

Unternehmen sollten intelligenten Anti-Phishing-Technologien zur Stärkung ihrer Cyber-Sicherheit mehr Bedeutung beimessen

Dass Angreifer zunehmend auf legitime Domains setzten, um „SEGs“ auszutricksen, habe das „Threat Labs“-Team von KnowBe4 schon vor geraumer Zeit festgestellt. Der neueste KnowBe4-Bericht über Phishing-Bedrohungstrends zeige hier einen rasanten Anstieg um sage und schreibe 67,4 Prozent. „Vor allem Plattformen wie ,DocuSign’, ,PayPal’, ,Microsoft’, ,Google Drive’ und ,Salesforce’ haben sich unter Cyber-Kriminellen mittlerweile zu beliebten Ausgangsbasen für Phishing-Angriffe entwickelt.“

Die Recherchen des „KnowBe4-Threat Labs“ zeigten, dass Unternehmen intelligenten Anti-Phishing-Technologien beim Ausbau ihrer Cyber-Sicherheit mehr Bedeutung beimessen müssen:

• Moderne Anti-Phishing-E-Mail-Lösungen kombinierten KI mit „Crowdsourcing“, um so selbst neueste „Zero Day“-Bedrohungen frühzeitig aufspüren und rechtzeitig abzuwehren.
• Im Gegensatz zu herkömmlichen Lösungen könnten diese alle Elemente einer E-Mail ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und der Social-Engineering-Taktiken.

Um Phishing wirksam zu bekämpfen, müssen Unternehmen auch fortschrittliche Schulungen und Trainings anbieten

„Das allein reicht aber auch noch nicht!“, gibt Krämer zu bedenken. Um Phishing wirklich wirksam zu bekämpfen, müssten Unternehmen neben fortschrittlichen Technologien auch fortschrittliche Schulungen und Trainings zum Einsatz bringen: „Sie müssen ihren Mitarbeitern helfen, die subtilen Anzeichen von Phishing rechtzeitig zu erkennen – bevor es zu spät ist.“

Moderne Phishing-Trainings, -Schulungen und -Tests ließen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. Mit solchen und ähnlichen Lösungen sei es Unternehmen möglich, ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen zu machen und ihre „Human Risks“ zurückzufahren.

Weitere Informationen zum Thema:

KnowBe4, 2025
Report: 2025 Phishing Threat Trends Report

KnowBe4, 2023
The Future of Phishing Defense: AI Meets Crowdsourcing

datensicherheit.de, 31.03.2025
PCI DSS 4.0: Datensicherheit stärken mit Phishing-resistenter MFA / Neue Version des Standards in Kraft getreten

datensicherheit.de, 26.03.2025
Vorsicht Vishing: Zahl der Voice-Phishing-Angriffe steigt stark an​ / Neuer Threat Intelligence Report von Ontinue enthüllt alarmierende Entwicklung​

datensicherheit.de, 15.03.2025
Phishing-Angriffe in Deutschland nehmen stark zu / BioCatch-Studie untersucht Trends in der Finanzkriminalität und deren Opfer

datensicherheit.de, 11.03.2025
Cyberkriminalität im Alltag: Phishing-Angriffe über gefälschte SMS / Gefälschte Zahlungsaufforderungen für Parkverstöße

datensicherheit.de, 05.03.2025
Spear Phishing-Angriffe: OT-Systeme der Fertigungsbranche am häufigsten betroffen / „Spear Phishing“-E-Mails werden versandt, welche das Opfer zur Begleichung einer ausstehenden Rechnung auffordern

[datensicherheit.de, 25.04.2025] Laut einer aktuellen Einschätzung von Bitkom Consult setzt der neue Koalitionsvertrag auf Bürokratieabbau und Effizienz im Datenschutz: „Im Rahmen des neuen Koalitionsvertrages will die Bundesregierung klare Akzente für den Datenschutz in Deutschland setzen. Wesentliche Änderungen betreffen sowohl die Reform der Datenschutzaufsicht als auch weitreichende Maßnahmen zu Bürokratieabbau und Vereinfachung des bestehenden Datenschutzrechts.“

Vereinfachung und Entbürokratisierung datenschutzrechtlicher Prozesse erhofft

Ein wesentliches Ziel des neuen Koalitionsvertrages ist demnach die Vereinfachung und Entbürokratisierung datenschutzrechtlicher Prozesse. Für viele Betriebe, insbesondere kleine und mittelständische Unternehmen (KMU), könne dies eine spürbare Erleichterung bedeuten:

• Komplizierte Einwilligungserklärungen und hohe bürokratische Anforderungen sollten zugunsten vereinfachter Widerspruchslösungen abgebaut werden.
• Die Zentralisierung der Datenschutzaufsicht auf die Bundesdatenschutzbehörde (BfDI) gewährleiste einheitliche Standards und komme insbesondere den Unternehmen zugute, welche mit Interpretationen von Datenschutzrichtlinien in den verschiedenen Bundesländern konfrontiert sind.
• Eine gezielte Förderung von „Privacy-Enhancing Technologies“ (PETs) ermögliche es Unternehmen, den eigenen Datenschutz zu maximieren und gleichzeitig die Datenverarbeitung zu vereinfachen.

Eigenen Datenschutz als Wettbewerbsfaktor nutzen

„Die im Koalitionsvertrag verankerten Maßnahmen bieten eine einzigartige Chance, den eigenen Datenschutz als Wettbewerbsfaktor zu nutzen und dabei den Anforderungen des digitalen Wandels gerecht zu werden. Im Rahmen von ,Bitkom Consult’ freuen wir uns, Unternehmen auf diesem Weg zu begleiten“, erläutert Anja Olsok, Geschäftsführerin der Bitkom Servicegesellschaft mbH.

Mit langjähriger Expertise im Bereich Datenschutz und Datensicherheit begleitet Bitkom Consult nach eigenen Angaben Unternehmen bei der Planung und Umsetzung individueller Datenschutzmaßnahmen. „Dabei bieten die erfahrenen Expertinnen und Experten individuelle Datenschutzberatung, die auf die Herausforderungen von aktuellen gesetzlichen Neuerungen zugeschnitten ist – von der Risikoanalyse über die Entwicklung maßgeschneiderter Datenschutzrichtlinien bis hin zur Begleitung als externe Datenschutzbeauftragte.“

Weitere Informationen zum Thema:

bitkom consult
Wir beraten die Digitalwirtschaft!

datensicherheit.de, 12.04.2025
Koalitionsvertrag: Digitalcourage warnt vor untoten Überwachungsallüren / Vehemente Kritik an der Priorisierung „Datennutzung vor Datenschutz“

datensicherheit.de, 11.04.2025
Koalitionsvertrag: Allianz zur Stärkung digitaler Infrastrukturen in Deutschland kommentiert wohlwollend / Bekenntnis zu starkem Rechenzentrumsstandort Deutschland gewürdigt

datensicherheit.de, 11.04.2025
DAV-Kommentar zum Koalitionsvertrag: Viel Innere Sicherheit auf Kosten der Freiheit befürchtet / DAV äußert gemischtes Fazit zum vorgelegten Entwurf

datensicherheit.de, 10.04.2025
BfDI-Stellungnahme zum Koalitionsvertrag: Bereitschaft zur Bündelung der datenschutzrechtlichen Aufsicht / CDU/CSU und SPD streben laut Entwurf ihres Koalitionsvertrages an, die datenschutzrechtliche Aufsicht über die private Wirtschaft bei der BfDI zu bündeln

datensicherheit.de, 10.04.2025
Die Digitale Transformation im Blick: eco kommentiert neuen Koalitionsvertrag – Zustimmung und Bedenken / Digitalministerium als starkes, aber Vorratsdatenspeicherung als falsches, da grundrechtswidriges Signal

[datensicherheit.de, 24.04.2025] Eigentlich sollten die Grundlagen einer guten „Passworthygiene“ allgemein bekannt sein – doch es stellt sich die Frage, warum es Nutzern im Unternehmensalltag dennoch schwerfällt, diese einzuhalten… Tom Haak, „CEO“ von Lywand, geht im Vorfeld des „Welt-Passwort-Tages“ am 1. Mai 2025 in seiner aktuellen Stellungnahme auf diese Frage ein. Allein im vergangenen Jahr – 2024 – hat sein Unternehmen demnach bei Kunden mehr als drei Millionen Schwachstellen ausfindig gemacht. Dazu zählte unter anderem das Aufspüren geleakter Unternehmens-Anmeldedaten. In vielen Fällen habe sich herausgestellt, dass es sich um mehrfach verwendete Passwörter für verschiedene Anwendungen gehandelt habe – was offensichtlich ein deutlich vergrößertes Einfallstor für Cyber-Angreifer in Unternehmensumgebungen öffnen könnte. In seinem Kommentar erörtert Haak Ursachen der Problematik und liefert Ideen, wie Unternehmen eine gute „Passworthygiene“ ihrer Mitarbeiter unterstützen können.

Foto: Lywand

Tom Haak kritisiert: Alles in allem ist die Benutzererfahrung, was Passwörter anbelangt, nicht ideal!

Passwort-Anforderungen für Benutzer im Büroalltag eher notwendiges Übel

Was für Cyber-Kriminelle die „Eintrittskarte“ in Unternehmensumgebungen bedeuten könne, betrachteten deren Besitzer eher als ein notwendiges Übel im Büroalltag: „Passwörter werden angesichts der Vielzahl an Anwendungen, bei denen Nutzer angemeldet sind, als unbequem empfunden, sind sie doch mit einigen Hürden verbunden.“ Auf Grund der Sicherheitsanforderungen verlangen sie nämlich eine gewisse Länge, Abwechslung in der Groß- und Kleinschreibung sowie den Einsatz von Zahlen und Sonderzeichen.

Haak: „Die zulässigen Zeichen-Konstrukte sind derart abstrakt, dass man sie sich keineswegs so einfach merken kann, wie zum Beispiel den Namen des eigenen Haustiers. Vergisst man das erforderliche Passwort, muss man den Zurücksetzungsprozess durchlaufen und ein neues vergeben, was häufig als umständlich empfunden wird.“ Alles in allem sei die Benutzererfahrung im Passwort-Kontext nicht ideal.

Passwort-Änderung vs. Vermeidungsstrategien

Es überrascht laut Haak daher wenig, dass Anwender bestimmte Strategien wählen, um solche Unbequemlichkeiten zu vermeiden: „Beispielsweise, indem sie dasselbe Passwort immer wieder in sämtlichen neuen Anwendungen verwenden. Oder sie wählen, sofern die Eingabe-Vorgaben es erlauben, ein Passwort, das zwar schwach konstruiert ist, sie sich aber gut merken können.“

Egal indes, ob schwach oder stark: „In der Regel ändern Nutzer ihre Passwörter äußerst ungern. Wie wir heraus gefunden haben, gilt dies insbesondere für Webservices: Anwender lassen das Passwort – oftmals handelt es sich um das generische Standardpasswort für die Erstanmeldung – von ihrem Browser speichern, um sich künftig mit nur einem Klick anmelden zu können.“ Von diesem Zeitpunkt an blieben die Zugangsdaten in der Regel über Jahre unverändert.

Die Passwort-Benutzererfahrung sollte stets mitgedacht werden

Kurios daran sei: „Die Empfehlungen und Maßnahmen einer guten ,Passworthygiene’ – starke Kennwörter für jede Anwendung, sichere Verwahrung, eine Änderung in regelmäßigen Abständen, das Aktivieren der Multi-Faktor-Authentifizierung, der Einsatz von Passwortmanagement-Tools – sind allen Unternehmen und Anwendern geläufig. Und dennoch sind in der Realität alle bereit, Abstriche zu Gunsten ihres Komforts zu machen, was jedoch letztendlich zu Lasten der Sicherheit geht.“

Um dieser Entwicklung entgegenzuwirken und nicht Gefahr zu laufen, dass eingerichtete Passwortverfahren letztendlich mehr umgangen als befolgt werden, könne es Unternehmen helfen, die Benutzererfahrung mitzudenken und das „Feedback“ ihrer Angestellten einzubeziehen:

• „Welche Mitarbeiter benötigen wie häufig Zugriff auf welche Anwendungen?
• Wann haben sie in ihren täglichen Abläufen geeignete Zeitfenster, um sich in Ruhe mit der Neuvergabe von Passwörtern für ständig genutzte Anwendungen auseinanderzusetzen?“

Starkes Passwort empfohlen – welches auf Grund persönlicher Bezüge einfach zu merken ist

Auf dieser Grundlage ließen sich praktikable Regeln aufsetzen. Zusätzlich könne man seine Mitarbeiter anregen, kreativ zu werden: „Beispielsweise ergeben schöne persönliche Erinnerungen, als Satz formuliert, auf einzelne Buchstaben eingekürzt und mit Zahlen und Sonderzeichen angereichert, starke Passwörter – die auf Grund des persönlichen Bezugs auch einfacher zu merken sind.“

Haben Unternehmen einen Überblick über die „Workflows“ ihrer Mitarbeiter gewonnen, könnten sie darüber nachdenken, „inwieweit sie diese mit geeigneten Tools, zum Beispiel Passwort-Generatoren oder Passwort-Manager, unterstützen können“. Für kleine Unternehmen könne es zudem sinnvoll sein, die Maßnahmen zur „Passworthygiene“ in einer Betriebsvereinbarung festzuhalten. „Damit lässt sich ein Prozess etablieren, der Benutzererfahrung und Sicherheitsstandards miteinander in Einklang bringt“, so Haak abschließend.

Weitere Informationen zum Thema:

LDI NRW
Tipps zum Welt-Passwort-Tag / An jedem ersten Donnerstag im Mai begeht die Online-Gemeinschaft den Welt-Passwort-Tag. Ursprünglich geht er auf die Initiative eines Herstellers von PC-Komponenten zurück. Seit geraumer Zeit wird er zum Anlass genommen, um auf die Sicherheit von Passwörtern hinzuweisen.

datensicherheit.de, 04.05.2022
Kommentar zum Welt-Passwort-Tag 2022: Passwort und PIN veraltete Authentifizierungsmethoden / Simon Marchand empfiehlt biometrische Verfahren anstelle von Passwort-Eingaben

datensicherheit.de, 03.05.2022
Welt-Passwort-Tag am 5. Mai 2022: Viele Nutzer finden Passwörter lästig und umständlich zu verwalten / Karim Toubba rät, die eigenen Passwort-Gewohnheiten zu hinterfragen

datensicherheit.de, 06.05.2021
G DATA CyberDefense: 5 Tipps zum Welt-Passwort-Tag 2021 / Änderung des Passworts aus wichtigem Grund erforderlich – aber nicht pauschal sinnvoll

datensicherheit.de, 04.05.2021
6. Mai 2021 ist Welt-Passwort-Tag: Avira gibt 4 Tipps für starke Passwörter / In 80 Prozent der Fälle gehackter Online-Konten schwaches Passwort Ursache

[datensicherheit.de, 24.04.2025] Laut einer aktuellen Kaspersky-Umfrage unter Cyber-Sicherheitsexperten in Unternehmen in Deutschland zeigt sich ein klarer Bedarf an solchen Cyber-Sicherheitsstrategien, die über herkömmliche -Lösungen hinausgehen. „So halten 76 Prozent der Befragten Cyber-Immunität für eine sehr effiziente Strategie zum Schutz vor Angriffen auf Netzwerke und Systeme.“ Rund ein Drittel gehe davon aus, dass Cyber-Immunität entweder die Häufigkeit von Cyber-Angriffen (32%), deren negative Folgen (30%) oder beides (34%) reduzieren könne. Als Reaktion darauf hat Kaspersky angekündigt, das eigene Betriebssystem „KasperskyOS“ zu einer universellen Grundlage für die Entwicklung cyber-immuner Lösungen zu erweitern. Für diese Umfrage seien zwischen dem 27. Februar und 17. März 2025 weltweit insgesamt 850 Cyber-Sicherheitsexperten aus Unternehmen mit mindestens 500 Mitarbeitern befragt worden, darunter 50 Cyber-Sicherheitsverantwortliche in Deutschland.

Konzept der „Cyber Immunity“ für IT- und OT-Systeme erfordert „Security-by-Design“

Ziel der Kaspersky-Studie war es demnach herauszufinden, wie Unternehmen sich auf eine zunehmend unberechenbare Bedrohungslandschaft vorbereiten und welche neue Themen die Zukunft der IT-Sicherheit prägen. „Dabei ging die Studie der Frage nach, wie vertraut die Befragten mit dem Ansatz der Cyber-Immunität sind und wie sie dessen potenzielle Wirksamkeit für einen zuverlässigen Schutz vor Cyber-Bedrohungen einschätzen.“

Das Konzept der „Cyber Immunity“ beschreibt für Kaspersky jene IT- und OT-Systeme, welche aufgrund speziellerer Entwicklungsmethoden und architektonischer Anforderungen „secure-by-design“ sind und über eine eingebaute Widerstandsfähigkeit gegenüber Cyber-Angriffen verfügen. Dies minimiere die durch externe Cyber-Sicherheitslösungen verbundenen Kosten. „Demnach sind 78 Prozent der Befragten in Deutschland mit dem Begriff und dessen korrekter Bedeutung vertraut, davon 18 Prozent sogar sehr vertraut.“

„Von jenen, die den Ansatz der Cyber-Immunität kennen, halten 76 Prozent ihn für cyber-sicherheitsstrategisch sehr effizient, um die Möglichkeiten von Cyber-Kriminellen zu minimieren, in Unternehmensnetzwerke einzudringen und Systeme zu kompromittieren.“ Hinsichtlich der konkreten Vorteile zur Cyber-Abwehr sagt laut Kaspersky über ein Drittel (32%), dass Cyber-Immunität dazu beiträgt, die Häufigkeit von Cyber-Angriffen zu reduzieren und ähnlich viele (30%), dass diese die negativen Auswirkungen von Attacken reduziert. Ein weiteres Drittel (34%) halte beides für zutreffend.

Ablösung reaktiver Maßnahmen durch cyber-immune Sicherheitslösungen

Als Reaktion auf die gestiegene Nachfrage nach Cyber-Immunität in Unternehmen hat Kaspersky nun angekündigt, den Anwendungsbereich seines Betriebssystems „KasperskyOS“ von einer eingebetteten Plattform zu einer universellen Grundlage weiterzuentwickeln. „KasperskyOS wurde ursprünglich entwickelt, um Branchen, die einen besonders starken Schutz benötigen, den Aufbau von cyber-immunen Lösungen zu ermöglichen.“

Mittlerweile werde diese Plattform vielfältig und in allen Branchen mit modernen IT-Systemen eingesetzt und löse nicht nur Cyber-Sicherheitsherausforderungen, sondern verbessere auch die Widerstandsfähigkeit der Infrastruktur. Indem Kunden nun Lösungen direkt auf einer sicheren Plattform entwickeln könnten, eröffne ihnen Kaspersky einen bedeutenden Fortschritt in der Cyber-Sicherheit, der deutlich über das bloße nachträgliche Patchen von Schwachstellen und deren Behebung mit externen Cyber-Sicherheitslösungen hinausgehe.

„Die Ergebnisse unserer Umfrage bestätigen einen Wandel, den wir schon lange vorhergesagt haben: Unternehmen gehen über reaktive Tools hinaus und fordern Systeme, die secure-by-design sind“, so Dmitry Lukiyan, „Head of KasperskyOS Business Unit“. Er führt weiter aus: „Mit unserem Cyber-Immunity-Ansatz zur Entwicklung von ,Secure-by-Design’-Systemen gehen wir den nächsten Schritt: Wir erkennen Bedrohungen nicht nur, sondern verhindern sie strukturell. Durch die Erweiterung von ,KasperskyOS’ von einem eingebetteten System zu einer universell einsetzbaren Sicherheitsplattform helfen wir unseren Kunden, widerstandsfähige digitale Umgebungen aufzubauen, die einfacher zu verwalten und sicherer zu betreiben sind. Damit sind sie für die Herausforderungen von morgen gerüstet.“

Weitere Informationen zum Thema:

KasperskyOS
Operating system with Kaspersky Cyber Immunity properties for secure internet-enabled embedded systems

SWISSCYBERSECURITY.NET, 24.06.2024
Advertorial von BOLL: Cyber-Immunität schützt vor allen Bedrohungen

kaspersky, 13.02.2023
Kaspersky Cyber Immunity wird zum EU-Trademark (®)

kaspersky daily, Nikolay Pankov, 21.11.2019
Was versteht man unter Angewandter Cyberimmunität? / Was bedeutet Cyberimmunität in der Praxis und im industriellen Infrastrukturumfeld?

Computerworld, 28.02.2019
Swiss Cyber Security Days 2019 / Cyber-Immunität statt Cyber-Security / An den erstmals in Fribourg durchgeführten Swiss Cyber Security Days forderte IT-Sicherheits- Koryphäe Eugene Kaspersky in Anbetracht der Entwicklungen rund um Industrie 4.0 die Einführung von Cyber-Immunität. Simple Cyber-Security reiche nicht mehr.

[datensicherheit.de, 23.04.2025] „APIs sind heute das ,Rückgrat’ des digitalen Geschäfts und ermöglichen eine nahtlose Kommunikation und den Datenfluss zwischen Anwendungen“, so Markus Müller, „Global Field CTO“ bei Boomi, in seiner aktuellen Stellungnahme zur Bedeutung Standardisierter Programmierschnittstellen („application programming interfaces“ / APIs). Dieses „Rückgrat“ gelte es indes zu stärken, „wenn Workflows optimiert und Unternehmen so dauerhaft konkurrenzfähig bleiben wollen“. Gerade mit der Verbreitung von KI-Agenten nehme die Anzahl der APIs drastisch zu und somit auch der Bedarf nach einem umfassenden API-Management. „Workflows und KI-Agenten arbeiten besser mit Daten, die über APIs zugänglich sind. Je mehr Daten zur Verfügung stehen, umso besser und präziser der KI-Agent und umso effizienter dadurch auch der Workflow.“

Foto: Boomi

Markus Müller erörtert die vier größten Herausforderungen im Kontext der API-Anwendung

Bestehende Probleme mit APIs und der API-Verwaltung gilt es zu beseitigen

Um diese Daten optimal zu nutzen, müssten Unternehmen jedoch die seit Langem bestehenden Probleme mit APIs und der API-Verwaltung beseitigen.

„Gerade bei einer unüberschaubaren Anzahl an APIs kann es sonst zu Fehlern und Schwachstellen kommen, die Cyber-Kriminelle schonungslos ausnutzen werden“, warnt Müller.

Die vier größten Herausforderungen im Kontext der API-Anwendung:

• API-Sprawl
  „Im Laufe der Jahre haben sich APIs und API-Gateways in den Unternehmen immer weiter ausgebreitet, so dass heute ein durchschnittliches Unternehmen über 600 APIs hat, von denen viele nicht zentral überwacht und verwaltet werden.“
  Dies habe zur Folge, dass Entwickler und Geschäftsanwender Schwierigkeiten hätten, bereits erstellte APIs zu finden, was die API-Akzeptanz behindere, den API-ROI verringere und manchmal zur Erstellung redundanter APIs – und somit in der Folge zu einem „API Sprawl“ – führe.
  „Darüber hinaus schaffen nicht verwaltete und nicht überwachte ,Schatten-APIs’ Sicherheits- und Betriebsrisiken. Folglich nutzen 31 Prozent der auf Transaktionen gerichteten Cyber-Angriffe Schatten-APIs.“
• API-Sicherheit und Governance
  Angriffe auf sogenannte Schatten-APIs seien nicht das einzige Sicherheitsproblem im Zusammenhang mit APIs. „Unternehmen benötigen Schutz und Governance für alle ihre APIs, um die wertvollen Geschäftsdaten zu schützen.“
  Außerdem benötigten sie eine API-Verwaltungslösung, welche „die Einhaltung von Vorschriften wie ,ISO 27001‘, ,SOC2‘, ,PCI DSS’, ,HIPAA’ und ,HITRUST’ unterstützt“.
  Governance sollte nicht als lästige Pflicht betrachtet werden, sondern als eine Unterstützung für Mitarbeiter und Entwickler bei der Bewältigung der oft unübersichtlichen API-Landschaft.
• API-Skalierbarkeit
  In manchen Unternehmen könne die Beliebtheit einer API zu einem Problem werden, „wenn die API-Infrastruktur nicht skalierbar ist“.
  Die meisten API-Lösungen seien nicht für die Skalierbarkeit ausgelegt, welche zur Unterstützung geschäftskritischer Vorgänge in Branchen wie Finanzdienstleistungen und Luftverkehr erforderlich sei.
• API-Transparenz
  Viele Unternehmen hätten in großem Umfang in APIs investiert, „haben aber nur einen unzureichenden Überblick darüber, wie diese APIs genutzt werden und welche API-Investitionen sich auszahlen“.
  Die Verbesserung der API-Transparenz helfe Unternehmen dabei, das Beste aus ihren Workflows herauszuholen.

Unternehmen brauchen eine umfassende Lösung für die API-Verwaltung

Angesichts der Bedeutung von APIs für die traditionelle Unternehmensdatenverarbeitung seien diese Herausforderungen bereits groß genug.

• „Aber jetzt, wo KI verspricht, das ,Enterprise Computing’ zu revolutionieren und Workflows und Abläufe in einem noch nie dagewesenen Tempo zu beschleunigen und zu rationalisieren, werden diese Hindernisse kostspieliger und dringender als je zuvor“, erläutert Müller.

Unternehmen brauchten daher eine umfassende Lösung für die API-Verwaltung, damit sie von den rasanten Entwicklungen der agentenbasierten KI und anderer KI-Technologien profitieren könnten.

Weitere Informationen zum Thema:

datensicherheit.de, 22.04.2025
imperva Bad Bot Report 2025: KI befeuert Ausbreitung schwer zu erkennender Bots / Bericht stützt sich auf Daten, die 2024 im gesamten globalen imperva-Netzwerk gesammelt wurden – einschließlich der Blockierung von 13 Billionen bösartigen Bot-Anfragen

datensicherheit.de, 01.07.2021
Linkedin-Datenleck: API als Schwachstelle / Bereits im April 2021 wurde über ein Datenleck bei Linkedin berichtet

datensicherheit.de, 18.12.2024
Cyber-Angriffe auf das Online-Shopping-Erlebnis: Thales warnt vor bösartigen Bots / Cyber-Kriminelle haben es auf die begehrtesten Weihnachtsartikel abgesehen

datensicherheit.de, 25.07.2024
Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich / Preise können je nach Qualität des jeweiligen Botnets auf bis zu 10.000 US-Dollar steigen

[datensicherheit.de, 20.04.2025] Object First hat eine neue Studie veröffentlicht, welche demnach das „alarmierende Ausmaß“ von Ransomware-Angriffen auf Unternehmen in Nordamerika, Großbritannien und Deutschland zeigt: „Zwei Drittel der befragten Unternehmen sind in den letzten zwei Jahren Ransomware-Angriffen zum Opfer gefallen; 45 Prozent waren gleich mehreren Angriffen ausgesetzt.“ Die Angreifer hätten dabei zunehmend Backup-Daten im Visier: „Rund drei Viertel (74%) der befragten IT-Experten gaben an, dass die Ransomware mindestens die Hälfte der Zeit auch auf Backups abzielte, um die Datenwiederherstellung zu behindern.“ Object First beauftragte die „Enterprise Strategy Group“ von Informa TechTarget mit der Durchführung einer Umfrage unter IT-Entscheidungsträgern, die mit ihren jeweiligen Backup-Umgebungen vertraut sind, sowie unter Backup-Experten. Im Rahmen dieser Studie seien 200 IT-Mitarbeiter in Unternehmen mit 1.000 bis 9.999 Angestellten in verschiedenen Branchen befragt worden – darunter Finanzwesen, Technologie, Fertigung und Einzel-/Großhandel. Die Umfrageteilnehmer stammten zu gleichen Teilen aus Nordamerika (USA und Kanada) und Westeuropa (Großbritannien und Deutschland).

Abbildung: ESG / OBJECT FIRST

In Zusammenarbeit mit der „Informa TechTarget Enterprise Strategy Group“ erstellte Ransomware-Studie rät: IT-Teams sollten verstärkt Zero-Trust-Prinzipien auf Backup-Umgebungen anwenden

Bei fast jedem Ransomware-Angriff auch Datensicherungen im Visier

Die in Zusammenarbeit mit der „Informa TechTarget Enterprise Strategy Group“ erstellte Studie macht deutlich, dass IT-Teams verstärkt Zero-Trust-Prinzipien auf ihre Backup-Umgebungen anwenden müssten. „81 Prozent der befragten IT-Experten halten unveränderliche Backup-Speicher auf der Grundlage von Zero-Trust-Prinzipien für den besten Schutz vor Ransomware.“

Anthony Cusimano, „Director of Solutions Marketing“, kommentiert: „Laut der Umfrage waren bei fast jedem Unternehmen (96%), das in den vergangenen zwei Jahren einem Ransomware-Angriff zum Opfer gefallen ist, mindestens einmal die Datensicherungen Ziel des Angriffs.“ Dies unterstreiche, wie dringend Unternehmen ihre Resilienz mithilfe von robusten und unveränderlichen Backup-Speicherlösungen priorisieren müssten, um vor neuen Bedrohungen geschützt zu sein.

Absicherung der Backup-Umgebungen für Wiederherstellung nach Ransomware-Angriffen erforderlich

Bei vielen Unternehmen gebe es nach wie vor große Lücken in der Backup-Strategie. Unter anderem hebt der Bericht der „Enterprise Strategy Group“ hervor, wie wichtig die Absicherung von Backup-Umgebungen ist, um die effektive Wiederherstellung nach Ransomware-Angriffen zu gewährleisten:

• Die meisten Unternehmen fallen Ransomware zum Opfer – und eine Wiederherstellung ist nicht garantiert
  Die Wiederherstellung habe bei der Hälfte der betroffenen Unternehmen mehr als fünf Werktage gedauert – und in den meisten Fällen hätten nicht alle Daten wiederhergestellt werden können. „43 Prozent der Befragten konnten weniger als drei Viertel ihrer Daten wiederherstellen. Und nur 9 Prozent der Unternehmen gelang eine Wiederherstellung innerhalb eines Tages.“
• Unveränderliche Backups sind unverzichtbar für den Schutz vor Ransomware
  94 Prozent der IT-Entscheidungsträger sagten, unveränderliche Backups seien unverzichtbarer Bestandteil einer Ransomware-Abwehrstrategie.
• Moderne Sicherheitsprinzipien funktionieren besser in Kombination
  Über 90 Prozent der IT-Entscheidungsträger seien sich einig, dass Zero-Trust-Prinzipien, die Speicherung von Sicherungskopien an mehreren Standorten und die Segmentierung von Backup-Software und -Speicher den besten Schutz vor Ransomware-Bedrohungen böten.
• Mehrere unveränderliche Sicherungskopien sein entscheidend für die Wiederherstellung
  Herkömmliche Methoden seien längst nicht mehr ausreichend im Kampf gegen Ransomware: „Für den zuverlässigen Datenschutz braucht es heute eine mehrschichtige Sicherheitsstrategie mit unveränderlichen Speichern.“ Allerdings befolgten derzeit nur 58 Prozent der befragten Unternehmen die „3-2-1-Regel“ für Backups (drei Kopien der Daten werden auf zwei unterschiedlichen Datenträgertypen gesichert, wobei sich eine Kopie an einem externen Standort befindet) und nur 59 Prozent setzten unveränderlichen Speicher ein.

Ransomware zwingt Unternehmen, Backup-Strategien und Datenschutz zu überdenken

„Ransomware zwingt Unternehmen dazu, ganz neu über ihre Backup-Strategien und den Datenschutz nachzudenken. Angesichts wachsender Bedrohungen für Backup-Infrastrukturen kommen immer mehr IT-Teams zu dem Schluss, dass Unveränderlichkeit der Schlüssel zu effektiver Datensicherheit ist“, erläutert Simon Robinson, „Principal Analyst“ bei der „Enterprise Strategy Group“.

Abschließend gibt er zu bedenken: „Unternehmen sollten verstärkt auf Ziel-Appliances setzen, bei denen Zero-Trust-Prinzipien zur Anwendung kommen. IT-Leiter müssen nach Lösungen Ausschau halten, die umfassende, auf die eigenen Anforderungen zugeschnittene Sicherheitsmerkmale bieten!“

Weitere Informationen zum Thema:

OBJECT FIRST
eBook von Enterprise Strategy Group (ESG): Zero Trust und Ransomware-Schutz.

datensicherheit.de, 27.03.2025
World Backup Day 2025: Regelmäßige Datensicherung laut BSI unverzichtbar / Datenverluste können unerwartet und in den unterschiedlichsten Formen auftreten – etwa durch technische Defekte, Cyber-Angriffe oder Unfälle

datensicherheit.de, 25.03.2025
World Backup Day: Datensicherung zum Schutz vor Cyber-Angriffen unzureichend / Backups sind zweifellos ein essenzieller Bestandteil jeder IT-Sicherheitsstrategie – gleichzeitig vermitteln sie oft eine trügerische Sicherheit

datensicherheit.de, 31.03.2023
World Backup Day: Schlüsselfaktoren moderner Datensicherung in Unternehmen / Datensicherungsstrategien müssen auch in hybriden Strukturen funktionieren

datensicherheit.de, 22.03.2022
Ransomware-Attacken: Wirkung von Backups oft überschätzt / Wiederherstellung nach Ransomware-Vorfall kann sehr lange dauern

datensicherheit.de, 23.12.2021
Backup und Disaster Recovery für die kritische Infrastruktur / Vorbereitung auf den Ernstfall

[datensicherheit.de, 09.04.2025] Entrust und Docusign haben ihre Ergebnisse einer gemeinsamen Marktuntersuchung online bereitgestellt – mit dieser internationalen Studie wird den steigenden Kosten von Identitätsbetrug und den Herausforderungen für Unternehmen im Spannungsfeld zwischen Sicherheit und Benutzererlebnis nachgegangen. Der Bericht „The Future of Global Identity Verification“ belegt demnach, dass Identitätsbetrug weltweit und branchenübergreifend eine wachsende Bedrohung darstellt. „Die Studie wurde von November bis Dezember 2024 vom Marktforschungsunternehmen TL;DR Insights durchgeführt.“ Befragt worden seien über 1.400 Geschäfts- und IT-Entscheider für IDV-Lösungen in Unternehmen mit mehr als 150 Mitarbeitern in den USA, in Kanada, Deutschland, Großbritannien, Frankreich, Mexiko, Brasilien, Australien und Japan.

Abbildung: Docusign & Entrust

„The Future of Global Identity Verification“ – Identitätsbetrug weltweit und branchenübergreifend eine wachsende Bedrohung für Unternehmen

69 Prozent der Unternehmen melden Anstieg bei Betrugsversuchen

Mehr als zwei Drittel (69%) der befragten Unternehmen hätten von einem Anstieg bei Betrugsversuchen berichtet: „So entstehen Unternehmen mit mehr als 5.000 Mitarbeitern durch Identitätsdiebstahl direkte Kosten in Höhe von durchschnittlich 12 Millionen Euro pro Jahr, wobei die finanziellen Verluste mit zunehmender Unternehmensgröße exponentiell ansteigen.“ Bei 20 Prozent der Unternehmen mit mehr als 10.000 Mitarbeitern beliefen sich die direkten und indirekten Kosten für Identitätsdiebstahl auf über 46 Millionen Euro pro Jahr. Direkte Kosten resultierten zum Beispiel aus Ausgleichsbuchungen oder Entschädigungen, indirekte Kosten zum Beispiel über Personal und Arbeitszeit für die Identifikation und Abwicklung von Betrugsfällen.

• „Mit der Zunahme von KI-gestütztem Betrug werden die Angriffe raffinierter und häufiger.“ Laut dieser Studie gaben 51 Prozent der Befragten an, dass Betrug am häufigsten im Zusammenhang mit der Verwendung von Benutzernamen und Passwörtern auftritt – was die Anfälligkeit einfacher, einstufiger Authentifizierungsverfahren unterstreicht.

„Im Gegensatz dazu berichteten nur 21 Prozent der Unternehmen von Betrugsversuchen gegen die Gesichtsbiometrie mit Lebenderkennung.“ Fortschrittliche Authentifizierungslösungen reduzierten betrügerische Absichten von Kriminellen bereits proaktiv.

Einsparungen für Unternehmen – durch stärkere Identitätssicherung

Da sich die Betrugstaktiken rasant weiterentwickelten, investierten Unternehmen zunehmend in fortschrittlichere Sicherheitsmaßnahmen – auch wenn sie Bedenken hinsichtlich der Benutzerfreundlichkeit hätten. Obwohl 58 Prozent der Befragten angegeben hätten, dass strengere Betrugskontrollen die Verbraucher frustrieren könnten, würden die meisten den Nutzen von Investitionen in die Identitätsprüfung (IDV) erkennen:

• „70 Prozent sind der Meinung, dass Investitionen in Technologie der beste Weg sind, um finanzielle Risiken durch Identitätsbetrug zu minimieren. 74 Prozent planen, ihre Investitionen in Zukunft zu erhöhen.“

Unternehmen, die in IDV-Lösungen investieren, bezifferten ihre Kosteneinsparungen hierdurch auf durchschnittlich 7,5 Millionen Euro pro Jahr. „Zukunftsweisende Lösungen helfen jedoch nicht nur bei der Betrugserkennung und wenden finanzielle Schäden ab, sie wirken sich auch positiv auf das Unternehmensimage aus und bringen Wettbewerbsvorteile mit sich.“

Unternehmen unter wachsendem Druck zur richtigen Balance zwischen Sicherheit und nahtloser Benutzererfahrung

„Es ist ein weit verbreiteter Irrglaube, dass mehr Sicherheit zu Lasten der Benutzerfreundlichkeit gehen muss“, kommentiert Tony Ball, Präsident von „Payments & Identity“ bei Entrust. Moderne IDV-Lösungen und adaptive Authentifizierung ermöglichten Beides. Endnutzer könnten ihre Identität mit einem schnellen biometrischen „Selfie“ verifizieren, während im Hintergrund Betrugsprüfungen wie Geräteverifikation und KI-gestützte Deepfake-Erkennung durchgeführt würden.

• Ball erläutert: „Die adaptive Authentifizierung rundet die Identitätssicherung ab und erhöht die Sicherheit weiter, indem die Anforderungen auf Basis von Risikosignalen angepasst werden, ohne unnötige Hürden aufzubauen.“

Mangesh Bhandarkar, „Group Vice President of Product“ bei Docusign, ergänzt: „Da Identitätsbetrug zunimmt, stehen Unternehmen unter wachsendem Druck, die richtige Balance zwischen Sicherheit und nahtloser Benutzererfahrung zu finden.“ Ihre globale Studie bestätige eine wichtige Erkenntnis: Mehr Sicherheit müsse nicht auf Kosten des Kundenerlebnisses gehen – im Gegenteil, sie verbessere es. „Durch die Implementierung intelligenter, nahtloser Sicherheitsmaßnahmen aus dem Docusign-Identify-Portfolio können Unternehmen in einer zunehmend digitalen Welt Vertrauen aufbauen, Kunden schützen und langfristige Kundenbindung fördern.“

Weitere Informationen zum Thema:

docusign & ENTRUST, 2025
WHITEPAPER: The Future of Global Identity Identification / How leading organizations balance digital security with user experience

ENTRUST
Deepfake Attempts Occur Every Five Minutes Amid 244% Surge in Digital Document Forgeries

datensicherheit.de, 13.02.2025
Digitale Identitätssicherheit: Fünf Best-Practice-Empfehlungen / Identity Threat Detection and Response (ITDR) als Maßnahme

datensicherheit.de, 20.06.2024
CyberArk-Studie dokumentiert hohe Zahl identitätsbezogener Angriffe / Zudem geht die CyberArk-Studie 2024 auf die zunehmende Bedeutung Künstlicher Intelligenz ein

[datensicherheit.de, 09.04.2025] Cyber-Angriffe sind für Unternehmen und Organisationen offenkundig zur alltäglichen Bedrohung geworden: Die Zahl der registrierten Cyber-Angriffe bleibt laut Lagebild des Bundeskriminalamts (BKA) zu Cybercrime mit rund 134.000 Fällen in Deutschland auf einem hohem Niveau – wobei die Strafverfolgungsbehörden zudem von einem sehr hohen Dunkelfeld von über 90 Prozent ausgehen. „Man muss kein Prophet sein, um vorauszusagen, dass nur eine Richtung bei den Zahlen konstant ist – und zwar nach oben!“, kommentiert Christy Wyatt, CEO von Absolute Security.

Foto: Absolute Security

Christy Wyatt: Cyber-Resilienz bedeutet, sich auf den Ernstfall einzustellen und gerüstet zu sein, damit Schäden schnell repariert und Systeme zügig wieder funktionieren können

Sobald Cyber-Kriminelle eine Software-Schwachstelle finden, können sie gar Teile des öffentlichen Lebens lahmlegen

Einer der häufigsten Eintrittsvektoren für Schadcode sind laut BKA – neben Phishing – Software-Schwachstellen: „Das ist kaum verwunderlich. Softwareentwicklung und Softwarelieferketten sind heute so komplex, dass es schwierig ist, hier den Überblick zu behalten.“ Die bisher üblichen Verteidigungsstrategien reichten nicht mehr aus.

Wyatt erläutert: „Sobald Cyber-Kriminelle eine Schwachstelle in der Software gefunden haben, können sie über ein einziges Unternehmen eine ganze Branche angreifen oder gar Teile des öffentlichen Lebens lahmlegen.“ Unternehmen und Organisationen müssten eine Strategie für die Widerstandsfähigkeit gegenüber Cyber-Angriffen entwickeln, welche über das bloße Erkennen und Reagieren hinausgehe – sie müssten nicht bloß „cyber-resistent“ werden, sondern „cyber-resilient“.

Cyber-Resilienz – mehr als bloße Abwehr

Cyber-Resilienz wirke auf verschiedenen Ebenen: „Cyber-Resilienz sieht im ersten Schritt vor, dass Attacken über Software-Lieferketten oder anfällige Teile des ,digitalen Ökosystems’ erkannt und abgewehrt werden können – wie die bisher üblichen Verteidigungsmaßnahmen auch.“ Dann gehe sie allerdings einen Schritt weiter und sorge dafür, dass Systeme im Ernstfall automatisch in einen gesunden Zustand zurückversetzt und Unternehmen so schnell wie möglich wieder produktiv arbeiten könnten.

„Damit ist klar, dass es hier nicht nur um IT-Tools gehen kann, sondern dass organisatorische und unternehmenspolitische Maßnahmen nötig sind – mit einem stetigen Willen zur Veränderung“, betont Wyatt. Die nachfolgenden fünf Tipps sollten Verantwortliche in Unternehmen und Organisationen auf dem Weg zu mehr Cyber-Resilienz beherzigen.

1. Tipp zur Cyber-Resilienz: Die Führungsebene mitnehmen!

Eine der wichtigsten unternehmenspolitischen Maßnahmen: Alle im Führungsteam müssten davon überzeugt sein, „dass Cyber-Risiken ernstzunehmende Geschäftsrisiken sind“. Nicht zuletzt, weil die NIS-2-Richtlinie, die im Oktober 2024 für 30.000 Unternehmen in Deutschland in Kraft trat, empfindliche Bußen für Unternehmen vorsieht, welche die geforderten prozessualen und technischen Maßnahmen nicht umsetzen.

• Seit Oktober könnten überdies Verantwortliche auf C-Level persönlich für verursachte Cyber-Schäden haftbar gemacht werden. Wyatt rät: „Verantwortliche auf C-Level sollten Cyber-Risiken ebenso fokussiert behandeln wie finanzielle Risiken in ihrem Unternehmen: Wo liegt der wirkliche Wert des Unternehmens und was sind die Risiken für diese Werte?“

Diese beiden Fragen sollten den Ausgangspunkt bilden. Von da an gälten die gleichen Fragen wie für die Finanzen auch: „Welche Kontrollen sind vorhanden? Welche zusätzlichen Kontrollen sind erforderlich? Wie werden sie getestet, und wie sieht es in der Branche aus? Wird das Cyber-Risiko ein Thema für den gesamten Vorstand, in speziellen Prüfungsbesprechungen oder in einem anderen Ausschuss sein?“

2. Tipp zur Cyber-Resilienz: Den Ernstfall regelmäßig proben!

Sogenannte Tabletop-Übungen simulierten den Ernstfall: „Teams spielen mögliche Cyber-Vorfälle durch und testen ihre Reaktionsfähigkeiten. Ein Beispiel ist ein Ransomware-Angriff, laut BKA-Lagebericht nach wie vor eine der verbreitetsten Angriffsarten.“ Eine moderne Tabletop-Übung müsse einen vollständigen Geschäftswiederherstellungszyklus umfassen. Typische Fragestellungen sind: „Wie kann ein infiziertes Gerät repariert und wiederhergestellt werden, wenn es nicht mit dem Netzwerk verbunden ist? Wie sichern wir unsere Netzwerke, wenn das VPN aufgrund einer Sicherheitslücke offline ist?“ Es genüge aber nicht, nur die Technik zu testen – auch Menschen und Prozesse müssten auf den Prüfstand gestellt werden.

• „Die Ergebnisse von Tabletop-Übungen werden ausgewertet, dokumentiert und in bestehende Notfallpläne, die eine Handlungsanweisung für den Ernstfall geben, aufgenommen. Daraus werden dann die Entscheidungen im Hinblick auf Verwendung und Anwendung von Technologie abgeleitet.“

Tabletop-Übungen sollten regelmäßig stattfinden, um mit den immer neuen Methoden der Cyber-Kriminellen Schritt zu halten. Experten empfehlen diese Sicherheitsübungen mindestens einmal jährlich durchzuführen – in bestimmten Branchen, in Kritischen Unternehmensbereichen, nach Änderungen in Prozessen, Richtlinien und Technik und nach erlebten Angriffen aber auch häufiger.

3. Tipp zur Cyber-Resilienz: Endpunkte sichtbar machen!

„Ein wachsender IT-Fußabdruck und neu entstehende hybride Arbeitsmodelle haben zu einer erheblichen Komplexität von IT-Landschaften geführt. Mehr Komplexität bedeutet weniger Transparenz und weniger Transparenz bedeutet mehr Risiko.“ In der globalen Cyber-Studie „Digital Trusts Inside Survey“ von PwC aus dem Jahr 2025 gaben zwei Drittel der befragten deutschen Führungskräfte an, dass sie noch keinen kompletten Überblick über technologische Abhängigkeiten in der Organisation hätten.

• Regelmäßiges Patchen werde als Allheilmittel verordnet. Im Zuge steigender Komplexität von IT-Landschaften sei es aber zunehmend schwieriger, Anwendungen auf dem neuesten Stand zu halten. „Ein typisches Unternehmen kann Hunderte von individuellen ,Windows’-Konfigurationen haben, die auf unterschiedlicher Firmware, Treibern und Updates basieren. Ein einziger Admin kann Dutzende von Modulen oder Konfigurationen zu verwalten haben. Hinzu kommen weitere Geschäftsanwendungen und Sicherheitslösungen, die jeweils einen eigenen Zeitplan für Updates und Patches haben.“

Dies sei für den Administrator eine „Sisyphos-Aufgabe“, welche schlichtweg kaum zu bewältigen sei – und dennoch sei es für den Schutz der Unternehmensdaten unerlässlich, den Überblick über die Geräte, Anwendungen und Netzwerke des Unternehmens zu behalten, insbesondere wenn viele Endgeräte außerhalb der geschützten Netzwerke des Unternehmens eingesetzt werden. „Jedes Gerät, das nicht mit einer Unternehmensdomäne verbunden ist, ist ein sprichwörtliches Schlupfloch im Sicherheitsstapel.“ Sogenannte Endpoint-Security-Tools könnten Administratoren helfen, ja sie sorgten erst für den sehr wichtigen Überblick als Voraussetzung für den nötigen Zero-Trust-Network-Access. „Das ZTNA-Konzept sieht Maßnahmen vor, alle Endgeräte sicher ins Unternehmensnetzwerk einzubinden. Moderne Security-IT ist unerlässlich im Endpoint-Dschungel heutiger Unternehmen. Denn man kann nicht sichern, reparieren oder warten, was man nicht sieht.“

4. Tipp zur Cyber-Resilienz: Auf Automatisierung setzen!

Automatisierung sei ein entscheidender Faktor, „um die komplexen Vorschriften von NIS-2 und Co. einzuhalten, aber auch, um hybride Arbeitskräfte zu unterstützen. IT- und Sicherheitsteams sollten so viele Compliance-bezogene Prozesse wie möglich automatisieren“.

• Robuste Sicherheitsrichtlinien seien nur dann effektiv, wenn ihre Einhaltung kontinuierlich überwacht und Updates und Korrekturen konsequent durchgesetzt würden.

Wichtige Hilfestellung leisteten KI-gestützte Techniken wie das Maschinelle Lernen: „Systeme lernen bestimmte Angriffsmuster, verdächtige Verhaltensweisen im Netzwerk oder Fehler in Anwendungen zu erkennen. Sie warnen Administratoren, die automatisierte Reaktions- oder Reparaturmuster zuweisen.“ Nach einer Trainingszeit könnten automatisierte Security-Tools geschäftskritische Anwendungen reparieren oder neu installieren, „wenn sie bei einem Angriff deaktiviert wurden oder nicht in einem gesunden Zustand laufen – ohne menschliches Eingreifen“.

5. Tipp zur Cyber-Resilienz: Mit dem Ernstfall rechnen!

Führungskräfte müssten sich im Klaren sein, dass die Folgekosten eines Cyber-Angriffs nicht allein im Finden und Beseitigen der Ursachen lägen. Ganz erheblicher Schaden entstehe dadurch, „dass Daten nicht mehr zugänglich sind und Systeme nicht mehr laufen, dass Produktionsanlagen stillstehen, schlicht: dass kein Geld mehr verdient werden kann“.

• Wyatt führt weiter aus: „Und das über Monate. Weil Lieferketten und Branchen hochgradig vernetzt sind, können Lieferanten, Partner, ja ganze Branchen ,angesteckt’ werden.“ Angriffe auf IT-Lieferketten sehe das oben zitierte BKA-Lagebild zum Cybercrime als eine der größten Cyber-Gefahren heute und in Zukunft.

Der Wandel des Bewusstseinsparadigmas von bloßer Cyber-Sicherheit zur Cyber-Resilienz helfe Unternehmen, sich besser auf jene Gefahren vorzubereiten, welche im weltweiten Netz lauerten. Wyatts Fazit: „Denn es ist klar, dass es irgendwann zu einem Angriff kommen wird. Die Frage ist nicht ob, sondern wann! Cyber-Resilienz bedeutet daher auch: Nicht stillstehen, sich nicht mit dem Security-Status-quo zufriedengeben, sich auf den Ernstfall einstellen und gerüstet sein, damit Schäden schnell repariert und Systeme zügig wieder funktionieren können.“

Weitere Informationen zum Thema:

Bundeskriminalamt
Im Fokus: Bundeslagebild Cybercrime 2023 / Kriminalität findet heute auch im digitalen Raum statt…

pwc
Digital Trust Insights 2025 / Die deutschen Ergebnisse der globalen Cyberstudie

datensicherheit.de, 31.03.2025
Cyberresilienz: Empfehlungen für die Entscheiderebene / Die Führungsebene muss sowohl Compliance-Anforderungen als auch die Sicherheit des eigenen Unternehmen im Auge haben

datensicherheit.de, 16.02.2025
Digitale Infrastrukturen: Redundanz und Resilienz zur Stärkung der Sicherheit in Europa / Als zentraler Säule der Digitalwirtschaft kommt aus eco-Sicht den Rechenzentren große Bedeutung zu

datensicherheit.de, 24.10.2024
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

datensicherheit.de, 23.07.2024
Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten / IT-Notfallkarten sollten angelegt und Sicherheitslücken fortlaufend ermittelt werden

datensicherheit.de, 29.11.2023
Wandel: Vom Cyberrisiko zur Cyberresilienz / Bitdefender erinnert an zehn bewährte „Gebote“ für die IT-Sicherheit in Unternehmen

Von unserem Gastautor Greg Hansbuer, Regional Manager Germany Austria Switzerland at DataManagement

[datensicherheit.de, 31.03.2025] Die Umfrage „Preparedness Gap: Warum Cyber-Recovery einen anderen Ansatz erfordert als Disaster Recovery“ von Commvault und ESG aus dem Jahr 2024 unterstreicht die große Komplexität moderner Cyberresilienz. Nur 26 % der Befragten sind zuversichtlich, alle geschäftskritischen Anwendungen und Daten schützen zu können. Und nur 20 % sind überzeugt, alle für den Betrieb erforderlichen Apps und Daten zu schützen. 85 % geben an, dass eine Wiederherstellung ohne die Einrichtung einer Cleanroom-Umgebung ein erhebliches Risiko einer erneuten Infektion birgt. Ähnlich viele Befragte (83 %) befürchten, dass eine überstürzte Wiederherstellung nach einem Cyber-Vorfall wertvolle Beweise zerstören könnte. Die Lehre daraus? Konforme und zuverlässige Cyber-Resilienz und Backups sind keine leichte Aufgabe.

Cyberresilienz als Antwort auf immer raffiniertere Cyberangriffe

Mangelndes Risikobewusstsein bei gleichzeitig zunehmenden und immer raffinierteren Cyberangriffen machen eine solide Backup- und Recovery-Strategie für die Kontinuität des Geschäftsbetriebs unerlässlich. Die Bedrohung durch Ransomware, der anhaltende Trend zu SaaS-Anwendungen wie Office 365 und Salesforce und die Frage nach der Sicherheit von Cloud-Daten zeigen, dass ein funktionierendes Backup wichtiger denn je ist.

Greg Hansbuer, Regional Manager Germany Austria Switzerland at DataManagement Professionals, Bild: privat

Diese fünf Tipps helfen bei der Auswahl einer Backup-Lösung

1. Eine einzige Backup-Lösung einsetzen.
   Wenn sich Unternehmen bei einem Vorfall auf mehrere Backup-Pakete verlassen müssen, wirkt sich dies oft negativ auf die Qualität aus. Da Backups in Unternehmen lange Zeit vernachlässigt wurden, sind die Managementkapazitäten oft nicht ausreichend, um die Lösung ordnungsgemäß zu warten. Darüber hinaus kostet eine Lösung mit mehreren Paketen zusätzlichen Speicherplatz, da globale Effizienztechniken fehlen.
2. Sicherstellen, dass das Backup vollständig ist.
   Es klingt einfach, aber es passiert immer noch viel zu oft, dass IT-Teams vergessen, einen neuen Server in das Backup aufzunehmen. Dies kann aus verschiedenen Gründen geschehen, wie Arbeitsüberlastung oder Kommunikationsfehler. Ein vollständiges Backup ist jedoch unerlässlich, um Datenverluste zu vermeiden. Das Backup muss zu einem festen Bestandteil von Projekten und Implementierungen werden.
3. Eine Backup-Richtlinie erstellen.
   Auch dies ist eine Selbstverständlichkeit, aber allzu oft entspricht die Praxis nicht den Erwartungen. Grundlegende Fragen wie die Häufigkeit und Aufbewahrung von Backups gilt es zu besprechen und die Ergebnisse festzuhalten. Ebenso ist darauf zu achten, dass die Anforderungen und Wünsche jährlich mit dem Setup übereinstimmen.
4. Neueste Technologie für die Backup-Lösung einsetzen.
   Infrastruktur, Virtualisierung, Container, Microservices, Cloud und Serverless – dies sind nur einige der Stichworte des modernen IT-Alltags. Geschäftskritische Daten in allen Umgebungen müssen gesichert werden. Die IT-Abteilung muss sicherstellen, dass ihre Backup-Lösung dafür eingerichtet ist. Dies erfordert es, bei der Einführung neuer Technologien frühzeitig in einem Projekt oder Prozess das Thema Backup aktiv anzusprechen. Zu berücksichtigen sind auch Aspekte wie Deduplizierung, Live-Wiederherstellung und Speicherintegration, um das Backup gut und effizient zu machen.
5. Testen, testen, testen
   Mindestens zweimal im Jahr ist es sinnvoll, eine Reihe von Szenarien zu testen. Nichts ist ärgerlicher, als nicht zu wissen, ob eine Wiederherstellung funktioniert oder wie lange sie dauert, wenn man sie wirklich braucht. Wenn möglich, ist es vorteilhaft, diese Tests zu automatisieren und sich Berichte erstellen zu lassen.
   Vermehrte Cyberkriminalität, die wachsende Unverzichtbarkeit digitaler Daten für den Geschäftsbetrieb und die wachsende Beliebtheit von Cloud-Services haben sich auch die Anforderungen für das Backup erweitert. Recovery muss sicherstellen, dass die Anforderungen der Behörden erfüllt werden und dass nur kontaminationsfreie Daten wiederhergestellt werden. Gerade für die Bereiche Disaster Recovery und Cyber Recovery bieten sich Cloud-Backups an, weil sie einem vom betroffenen Unternehmen getrennten Standort liegen. Die Daten sind meistens mit Air Gap und Verschlüsselungen besonders „gehärtet“ worden. Auch kann die Wiederherstellung eins Cloud-Backups in der Cloud effizient die Geschäftskontinuität sicherstellen.

Spezialisierte Anbieter stellen unterschiedliche Varianten der Offsite-Cloud-Speicherung bereit. Darüber hinaus bieten Hybrid-Cloud-Lösungen die Produktion der Apps, Files und Datenbanken als Notfallbetrieb an. Weitere wichtige Funktionen sind Compliance und Sicherheit. Cloud-Backups erfüllen gesetzliche Anforderungen (z.B. DSGVO) und bieten durch Verschlüsselungen sowie physische Sicherheitsmaßnahmen Schutz vor unbefugtem Zugriff.

Darüber hinaus skalieren Cloud-Lösungen besser als On-prem-Backups, die weiterhin für operationale Backup- und Restore-Tätigkeiten mit LAN-Geschwindigkeit notwendig bleiben, falls Unternehmen sich noch in der Cloud-Transformation befinden. Last but not least werden Kosten für den Betrieb eines weiteren Rechenzentrums sowie Hardware- und Admin-Kosten eingespart. In Summe muss eine Backup-Strategie die Risiken minimieren, Daten sicher speichern und langfristig den Geschäftsbetrieb gewährleisten.

Compliance-Fragen beim Backup

Ein aktuell kontrovers diskutiertes Thema ist die Fragestellung, ob deutsche bzw. europäische Unternehmen in erster Linie auf heimische Anbieter setzen sollten, wenn es um Backups in- bzw. aus der Cloud geht. Die klassischen US-Anbieter unterliegen dem CLOUD Act, der US-Behörden Zugriffsrechte auf gespeicherte Daten einräumt. Dies steht in krassem Widerspruch zur DSGVO. Das Trans Atlantic Data Privacy Framework (TADPF) sollte diesen Widerspruch überwinden, steht jedoch – auch aufgrund der aktuellen politischen Lage in den USA – auf instabilem Fundament. Fällt das TADPF, so entsteht quasi über Nacht ein Compliance-Risiko. Europäische Unternehmen sind also gut beraten, sich jetzt über alle Aspekte ihrer Cyber-Resilienz-Strategie Gedanken zu machen.

Weitere Informationen zum Thema:

DMP–Data Management Professionals
Your data in safe hands

[datensicherheit.de, 31.03.2025] Nach aktuellen Umfrageergebnissen des Branchenverbands Bitkom e.V. tun sich viele Unternehmen offenbar noch schwer mit dem Einsatz Künstlicher Intelligenz (KI). Rund zwei Drittel (64%) sehen sich demnach als Nachzügler beim KI-Einsatz, gut jedes fünfte (22%) glaubt sogar, den Anschluss verpasst zu haben – nur jedes zehnte Unternehmen (10%) sieht sich dagegen als KI-Vorreiter. Grundlage dieser Angaben ist eine von Bitkom Research im Auftrag durchgeführte Umfrage im Zeitraum von Kalenderwoche 2 bis Kalenderwoche 7 2025.

Abbildung: Bitkom e.V.

Repräsentative Bitkom-Umfrage: Nur jedes zehnte Unternehmen sieht sich bisher als KI-Vorreiter

Bei KI ist noch alles in Bewegung – es geht vor allem darum, nun den Einstieg zu finden

Die o.g. Ergebnisse basieren auf einer repräsentativen Befragung von 603 Unternehmen ab 20 Beschäftigten in Deutschland. „Auch wer sich noch gar nicht mit KI beschäftigt hat, sollte den Kopf nicht in den Sand stecken. Bei KI ist alles in Bewegung und es geht vor allem darum, den Einstieg zu finden“, kommentiert Bitkom-Präsident Dr. Ralf Wintergerst.

„Viele Unternehmen sehen sich allerdings mit rechtlichen Unsicherheiten konfrontiert, etwa was Fragen des Datenschutzes oder der Umsetzung des ,AI Acts’ angeht“, so Wintergerst – er fordert daher: „Wir brauchen auch von der Politik einen Perspektivwechsel: Weniger Regulierung und mehr Innovation!“

„AI Act“ stellt viele Unternehmen beim Einsatz Generativer KI vor große Herausforderung

Die Umsetzung des europäischen „AI Act“ stelle aktuell viele Unternehmen gerade mit Blick auf den Einsatz Generativer KI vor große Herausforderung. Der Bitkom hat deshalb jetzt eine völlig überarbeitete Fassung des Leitfadens „Generative KI im Unternehmen“ aus dem vergangenen Jahr – 2024 – veröffentlicht: Auf mehr als 100 Seiten sollen wesentliche rechtliche Fragen beim Einsatz Generativer KI in Unternehmen beantwortet werden. Auch der inzwischen in Kraft getretene „AI Act“ wird umfassend dabei berücksichtigt. Unternehmen sollen praxisnahe Hilfestellungen bekommen – von wichtigen Überlegungen im Vorfeld des KI-Einsatzes über Datenschutz-Fragen bis hin zu arbeitsrechtlichen Auswirkungen von KI.

Insbesondere die umfangreiche Checkliste zur Beschaffung von KI-Systemen sowie die Kapitel zur IT-Sicherheit und zu Schutzrechten in Zusammenhang mit KI wurden grundlegend überarbeitet: Dabei geht es insbesondere um Urheber-, Geschäftsgeheimnis- und Markenschutzrecht. Abgerundet wird der Leitfaden durch ein neues Kapitel zu ethischen Fragen rund um KI.

Weitere Informationen zum Thema:

bitkom
Leitfaden: Generative KI im Unternehmen

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

datensicherheit.de, 25.04.2024
Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024 /CPR hat Wahlen welweit beobachtet, um den Einsatz generativer Künstlicher Intelligenz (KI) zu analysieren