Es ist eine alte Geschichte in neuen Kleidern. Der IT-Betrieb sorgt dafür, dass alles läuft, die Informationssicherheit dafür, dass es sicher läuft. Eigentlich verfolgen beide dasselbe Ziel. In der Praxis sieht es jedoch oft so aus, als würden sie auf entgegengesetzten Seiten eines Seils ziehen, das über einem Abgrund gespannt ist. Der eine ruft „Stabilität“, der andere „Resilienz“. Und dazwischen hängt das Unternehmen, das eigentlich nur ungestört arbeiten will.

Der aktuelle IT-Sicherheitslagebericht des Bundesamts für Sicherheit in der Informationstechnik – BSI – für August 2025 liest sich wie ein Thriller – nur dass die Angriffe nicht auf Hollywood-Leinwänden stattfinden, sondern in unseren Netzen und auf den Systemen, die wir täglich brauchen. Datenlecks, kompromittierte Geräte, KI-gestützte Social-Engineering-Angriffe und Ransomware-Kampagnen sind längst Alltag. Während neue Malware-Varianten etwas zurückgingen, steigt die Zahl der Schwachstellen unaufhaltsam weiter.

Kaum hat sich die Geschäftswelt mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO) arrangiert, steht mit der NIS-2-Richtlinie die nächste große Herausforderung ins Haus. Ab Ende 2025 müssen zehntausende Organisationen in Deutschland, Österreich und der Schweiz nachweisen, dass sie ihre Netz- und Informationssicherheit auf ein neues Niveau gehoben haben.

Multi-Faktor-Authentifizierung (MFA) ist seit Jahren eine Grundfeste der IT-Sicherheit. Wer ein Passwort hat, aber keinen zweiten Faktor vorweisen kann, bleibt draußen – so zumindest das Versprechen. Doch Angreifer haben sich angepasst: Sie fangen Authenticator-Codes ab, manipulieren SMS oder spielen auf die Ermüdung von Nutzern, die täglich Dutzende Push-Nachrichten bestätigen sollen.

Am 3. September 2025 hat die U.S. Cybersecurity and Infrastructure Security Agency (CISA) gemeinsam mit 18 internationalen Partnerbehörden – darunter auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) – ein bemerkenswertes Signal gesendet: Mit der Veröffentlichung „A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity“ liegt nun erstmals ein global abgestimmtes Zielbild zur Vereinheitlichung von Software-Komponentenlisten vor.

Phishing gilt seit Jahren als eine der größten Bedrohungen für Unternehmen. Entsprechend groß ist das Angebot an Schulungen, Plattformen und Trainingsprogrammen, die versprechen, Mitarbeitende resistenter gegen die immer raffinierteren Angriffe zu machen. Doch eine aktuelle großangelegte Untersuchung aus den USA hat nun einen Nerv getroffen: Der Nutzen solcher Programme ist verschwindend gering.

Es klingt fast wie eine Filmszene: Während die IT-Abteilung mit Hochdruck Sicherheitsupdates auf die Server spielt, lässt der externe Reinigungstrupp unbeabsichtigt die Tür zum Rechenzentrum offen stehen. Zwei Abteilungen, zwei Zuständigkeiten – und doch ein gemeinsames Risiko. In vielen Unternehmen existieren physische Sicherheit und Cybersecurity in getrennten Welten. Die Facility Manager kümmern sich um Türen, Kameras und Alarmanlagen, die IT-Sicherheitsbeauftragten um Firewalls, Patchstände und Logfiles. Das Ergebnis sind Silos, die kaum miteinander sprechen.

Phishing per E Mail hat lange den Ton angegeben. Viele Ihrer Kolleginnen und Kollegen sind darin geübt zweifelhafte Nachrichten zu erkennen und zu melden. Genau in diesem Moment wechselt der Gegner die Bühne. Statt der Mail kommt der Anruf. Die Stimme am anderen Ende klingt freundlich und informiert. Die Nummer auf dem Display wirkt vertraut. Der Vorwand ist plausibel. Willkommen bei Vishing der Stimme als Werkzeug des Social Engineering.

Wenn Microsoft im Oktober die letzten Updates für Windows 10 verteilt, betrifft das nicht nur Privatnutzer, sondern Millionen von Arbeitsplätzen in Unternehmen. Damit endet nicht nur der Support für ein Betriebssystem, sondern es beginnt ein realer Härtetest für Ihr Informationssicherheitsmanagement.

Wenn es um Penetrationstests, Red-Teaming oder Schwachstellenscans geht, ist eines sicher: Die Begriffe werden in der Praxis oft wild durcheinandergeworfen. Das führt dazu, dass selbst erfahrene IT-Verantwortliche nicht selten unsicher sind, was sie eigentlich brauchen – oder was sie da gerade beauftragen. Besonders der Begriff „Red-Teaming“ wird heute fast schon inflationär genutzt. Nicht selten steckt dahinter aber lediglich ein klassischer Penetrationstest oder gar ein automatisierter Scan.

Am 19. Juli 2025 veröffentlichte Microsoft ein Advisory für das Produkt SharePoint. Ursächlich hierfür waren beobachtete Angriffe auf eigentlich bereits gepatchte Schwachstellen mit den Kennungen CVE-2025-49704 und CVE-2025-49706, die nun in veränderter Form als CVE-2025-53770 und CVE-2025-53771 erneut ausgenutzt werden. Erste Erkenntnisse hierzu wurden am selben Tag vom IT-Sicherheitsunternehmen Eye Security bekannt gemacht.

Stellen Sie sich vor, ein einziger Klick kostet Sie Millionen. Ein falsch geöffneter Anhang, ein kompromittiertes Konto und plötzlich steht Ihre Produktion still, Kundendaten sind im Darknet und die Medien haben längst Schlagzeilen draus gemacht.