Derzeit kursieren gefährliche Phishing-Mails, die angeblich vom Bundeszentralamt für Steuern stammen und Besitzer von Kryptowährungen ins Visier nehmen. Die Betrüger behaupten darin, es seien Abweichungen bei Krypto-Angaben festgestellt worden, und fordern die Empfänger auf, ihre Krypto-Konten innerhalb von fünf Werktagen zu überprüfen.

„Wir haben unsere Cloud-Konfigurationen und Server-Images einmalig nach CIS-Benchmarks gehärtet. Doch wie stellen wir prozessual sicher, dass diese Konformität dauerhaft erhalten bleibt und nicht durch manuelle Eingriffe (Konfigurationsdrift) oder ungeprüfte […]

Unternehmen investieren heute massiv in die digitale Verteidigung. Der Markt bietet leistungsstarke Lösungen: KI-gestützte Bedrohungserkennung, Cloud Access Security Broker und moderne E-Mail-Schutzsysteme. Doch trotz dieser Rüstung erleben wir immer wieder, dass die Sicherheit an elementaren Schwachstellen zusammenbricht. Der Grund ist selten die mangelnde Leistungsfähigkeit der Technologie, sondern die mangelnde Reife der organisatorischen Prozesse, die diese Technologie steuern sollen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm: Rund 40 Prozent der etwa 1.500 Zimbra-Server in Deutschland laufen mit veralteter und verwundbarer Software. Das CERT-Bund weist darauf hin, dass die Situation bei der Exchange-Alternative Zimbra zwar besser sei als bei Microsoft-Servern, jedoch keineswegs zufriedenstellend.

Vermutlich haben Sie schon einmal von Hacker-Angriffen gehört, bei denen eine Vielzahl von Informationen zusammengetragen wurde. So wurden zum Beispiel Daten von LinkedIn, Xing, Facebook und Instagram verwendet. Zusätzlich wurde noch das WWW nach Informationen durchsucht.

Der Umzug in die Cloud und der Einsatz von Containern wie Docker und Kubernetes versprechen Agilität und Skalierbarkeit. Doch mit der Verlagerung der Infrastruktur auf Plattformen wie AWS, Azure oder GCP verschieben sich auch die Verantwortlichkeiten und damit die Sicherheitsrisiken. Im Shared-Responsibility-Modell ist der Anbieter für die Sicherheit der Cloud (z. B. Rechenzentrum und Hypervisor) zuständig, aber der Kunde – und damit Sie als Informationssicherheitsbeauftragter – ist voll verantwortlich für die Sicherheit in der Cloud.

„Das Update kann noch ein paar Tage warten.“ Dieser eine Satz – ausgesprochen irgendwo zwischen Kaffeeküche und nächstem Meeting – kostet Unternehmen weltweit Milliarden. Er klingt vernünftig, pragmatisch, nachvollziehbar. Die Produktion läuft gerade auf Hochtouren, ein Systemneustart zur Unzeit könnte teuer werden. Außerdem ist ja noch nie etwas passiert. Bis zu jenem Freitagabend, an dem das Smartphone des Geschäftsführers aufleuchtet. Die Stimme am anderen Ende überschlägt sich fast: „Ransomware. Das gesamte Netzwerk. Produktion steht.“ Und dann der Satz, der alles ändert: „Die Angreifer sind über genau die Schwachstelle reingekommen, für die vor drei Wochen der Patch verfügbar war. Der Patch, den wir aufgeschoben haben.“

Sie kennen das vielleicht: Sie sind mit dem Geschäftsführer in einem Termin oder jemand aus dem oberen Management spricht Sie zwischen Tür und Angel an. Er fragt Sie, wie eine bestimmte Sache einzuschätzen ist. Doch irgendwie haben Sie zum umrissenen Thema keinen blassen Schimmer. Doch das müssen Sie niemanden merken lassen. Seien Sie ganz Profi!

Schon seit einigen Monaten waren die NIS-2-Richtlinie der EU und das diesbezügliche deutsche Umsetzungsgesetz in aller Munde. Nachdem sich die deutschen Regelungen zur Stärkung der Cybersicherheit verzögerten, sind sie nun seit 6.12.2025 in Kraft. Weil auch Sie mit den Neuerungen in Berührung kommen können, sollten Sie dazu gut Bescheid wissen.

Künstliche Intelligenz ist keine Zukunftsmusik mehr. Sie steckt in immer mehr Tools – von Chatbots für den Kundenservice bis zu Code-Generatoren für die Entwicklungsabteilung. KI ist ein mächtiges Werkzeug, aber es birgt massive Risiken, wenn es unkontrolliert eingesetzt wird. Die neue KI-Verordnung (KI-VO) der EU schafft einen formalen Rahmen, doch Sie als Informationssicherheitsbeauftragter müssen die Praxis der Nutzung steuern.