Es ist eine alte Geschichte in neuen Kleidern. Der IT-Betrieb sorgt dafür, dass alles läuft, die Informationssicherheit dafür, dass es sicher läuft. Eigentlich verfolgen beide dasselbe Ziel. In der Praxis sieht es jedoch oft so aus, als würden sie auf entgegengesetzten Seiten eines Seils ziehen, das über einem Abgrund gespannt ist. Der eine ruft „Stabilität“, der andere „Resilienz“. Und dazwischen hängt das Unternehmen, das eigentlich nur ungestört arbeiten will.

Wenn Sie als IT-Sicherheitsbeauftragter heute Verschlüsselung einsetzen, dann wahrscheinlich nicht zu knapp. TLS fürs Web, VPNs im Außendienst, Festplattenverschlüsselung, E-Mail-Verschlüsselung, Authentifizierung, Cloud-Speicherung – überall kommen kryptografische Verfahren zum Einsatz. Doch genau das macht die Sache komplex. Denn: Wo viele Schlüssel unterwegs sind, braucht es einen Schlüssel zur Ordnung.

Zero Trust – das klingt nach großem Budget, Hightech und einem Heer an Beratern und IT-Admins. Kein Wunder, dass viele kleine und mittlere Unternehmen bei diesem Schlagwort erstmal abwinken. Doch die gute Nachricht ist, das Zero Trust kein exklusiver Club für Konzerne mit prall gefüllten Sicherheitsabteilungen ist. Im Gegenteil – gerade KMU können mit klaren Prinzipien, pragmatischen Maßnahmen und ein paar gut gewählten Werkzeugen ihr Sicherheitsniveau deutlich anheben.

Wenn eine neue Schwachstelle auftaucht, reagieren Sie schnell: Patches einspielen, Konfiguration prüfen, vielleicht ein kurzes Audit einschieben. Doch während Sie diese Lücke schließen, wachsen an anderer Stelle schon die nächsten. Die Bedrohungslage verändert sich täglich – Angreifer professionalisieren sich, Angriffswerkzeuge werden raffinierter, Lieferketten rücken in den Fokus. Wer jetzt nur Schwachstelle für Schwachstelle flickt, verliert den Überblick.

„Wie kann ich mich besser gegen solche Situationen absichern und wie verhindert man, dass einzelne Personen zu viel Macht bekommen?“ Antwort: Herzlichen Glückwunsch! Sie haben die klassische Frage gestellt, die […]

Daten sind unterwegs. In der Cloud, in hybriden Anwendungen, auf Plattformen, von denen Sie als IT-Sicherheitsbeauftragter manchmal erst erfahren, wenn das Kind schon im digitalen Brunnen liegt. Die wachsende Menge unstrukturierter Informationen macht es schwer, den Überblick zu behalten, geschweige denn Risiken frühzeitig zu erkennen. Dabei wird genau das immer wichtiger.

Cyberangriffe gehören längst zur betrieblichen Realität. Doch während Firewalls modernisiert, Backups auf Immutable-Storage verschoben und SOC-Dienste eingekauft werden, bleibt ein entscheidender Faktor allzu oft unangetastet: die Haltung und das Handeln der Unternehmensführung. Dabei ist genau sie es, die über den Erfolg oder das Scheitern eines ganzheitlichen Sicherheitskonzepts entscheidet. Resilienz ist eben keine rein technische Eigenschaft, sie ist eine Führungsaufgabe.

Eine aktuelle TÜV-Umfrage unter 506 deutschen Unternehmen offenbart eine bedenkliche Kluft zwischen Selbstwahrnehmung und Realität in der Cybersicherheit. Während 91 Prozent der befragten Firmen ihre IT-Sicherheit als gut oder sehr gut bewerten, widerspricht BSI-Präsidentin Claudia Plattner dieser optimistischen Einschätzung deutlich.

Fragt man Penetrationstester und IT-Sicherheitsberater nach einem zuverlässigen Tool für automatisierte Open Source Intelligence Recherche (kurz OSINT), fällt häufig der Name SpiderFoot. Während kommerzielle Alternativen wie Maltego oder Recorded Future den Markt dominieren, hat sich SpiderFoot als robuste Open-Source-Alternative etabliert. Die Software überzeugt durch ihre Automatisierung, Datenquellenvielfalt und Flexibilität – ohne hohe Lizenzkosten.

Bei all den Cyberrisiken, Firewalls und Zero-Trust-Architekturen gerät ein Aspekt der Informationssicherheit oft ins Hintertreffen: die ganz banale Tür. Ja, genau – die Tür zur Serverkammer, zum Netzwerkschrank oder zum Büro mit Zugriff auf vertrauliche Daten. Denn was nützt der ausgeklügelteste Virenscanner, wenn der Angreifer durch den Hintereingang hereinspaziert?

Wer den Angreifer kennt, hat schon gewonnen – oder zumindest länger Zeit zum Reagieren. Cyber Threat Intelligence (CTI) ist weit mehr als ein Hypewort für IT-Security-Konferenzen. Es ist die Antwort auf eine Welt, in der Angreifer nicht mehr einfach Malware per Mail verschicken, sondern gezielt, strukturiert und hochprofessionell agieren. Wer sich dagegen verteidigen will, braucht mehr als ein gutes Gefühl. Er braucht Informationen – und zwar die richtigen.

Leserfrage: „Ich habe in meinem Unternehmen ein Passwort-Mindestmaß von acht Zeichen eingeführt, aber viele Kollegen haben damit schon ihre liebe Not. Reicht das denn wirklich nicht mehr aus? Und gibt es keine Alternativen, die benutzerfreundlicher sind? Ich möchte meine Leute ja nicht überfordern – aber auch nicht gefährden.“