Unternehmen investieren heute massiv in die digitale Verteidigung. Der Markt bietet leistungsstarke Lösungen: KI-gestützte Bedrohungserkennung, Cloud Access Security Broker und moderne E-Mail-Schutzsysteme. Doch trotz dieser Rüstung erleben wir immer wieder, dass die Sicherheit an elementaren Schwachstellen zusammenbricht. Der Grund ist selten die mangelnde Leistungsfähigkeit der Technologie, sondern die mangelnde Reife der organisatorischen Prozesse, die diese Technologie steuern sollen.

Vermutlich haben Sie schon einmal von Hacker-Angriffen gehört, bei denen eine Vielzahl von Informationen zusammengetragen wurde. So wurden zum Beispiel Daten von LinkedIn, Xing, Facebook und Instagram verwendet. Zusätzlich wurde noch das WWW nach Informationen durchsucht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sein neues Portal zur Umsetzung der EU-Richtlinie NIS2 freigeschaltet. Die Plattform soll als zentrale Anlaufstelle für rund 30.000 betroffene Unternehmen, Behörden und Institutionen dienen, die als kritische Infrastruktur gelten. BSI-Präsidentin Claudia Plattner zeigt sich zufrieden über die zügige Umsetzung: „Von uns aus kann es losgehen.“

Derzeit kursieren gefährliche Phishing-Mails, die angeblich vom Bundeszentralamt für Steuern stammen und Besitzer von Kryptowährungen ins Visier nehmen. Die Betrüger behaupten darin, es seien Abweichungen bei Krypto-Angaben festgestellt worden, und fordern die Empfänger auf, ihre Krypto-Konten innerhalb von fünf Werktagen zu überprüfen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm: Rund 40 Prozent der etwa 1.500 Zimbra-Server in Deutschland laufen mit veralteter und verwundbarer Software. Das CERT-Bund weist darauf hin, dass die Situation bei der Exchange-Alternative Zimbra zwar besser sei als bei Microsoft-Servern, jedoch keineswegs zufriedenstellend.

Die EU-Datenverordnung (sog. Data Act) regelt seit dem 12. September 2025 den standardmäßigen Zugang zu Daten von vernetzten Produkten. Seit Mitte November 2025 stellt die EU Mustervertragsbedingungen bereit.

„Wir haben unsere Cloud-Konfigurationen und Server-Images einmalig nach CIS-Benchmarks gehärtet. Doch wie stellen wir prozessual sicher, dass diese Konformität dauerhaft erhalten bleibt und nicht durch manuelle Eingriffe (Konfigurationsdrift) oder ungeprüfte […]

Der Umzug in die Cloud und der Einsatz von Containern wie Docker und Kubernetes versprechen Agilität und Skalierbarkeit. Doch mit der Verlagerung der Infrastruktur auf Plattformen wie AWS, Azure oder GCP verschieben sich auch die Verantwortlichkeiten und damit die Sicherheitsrisiken. Im Shared-Responsibility-Modell ist der Anbieter für die Sicherheit der Cloud (z. B. Rechenzentrum und Hypervisor) zuständig, aber der Kunde – und damit Sie als Informationssicherheitsbeauftragter – ist voll verantwortlich für die Sicherheit in der Cloud.

Sie als Informationssicherheitsbeauftragter oder Geschäftsführer wissen: Das Betriebliche Kontinuitätsmanagement (BCM) ist keine Kür mehr. Spätestens seit NIS2 und DORA ist die Cyberresilienz und damit die Fähigkeit, kritische Geschäftsprozesse nach einem Vorfall schnell wiederherzustellen, gesetzliche Pflicht.

„Das Update kann noch ein paar Tage warten.“ Dieser eine Satz – ausgesprochen irgendwo zwischen Kaffeeküche und nächstem Meeting – kostet Unternehmen weltweit Milliarden. Er klingt vernünftig, pragmatisch, nachvollziehbar. Die Produktion läuft gerade auf Hochtouren, ein Systemneustart zur Unzeit könnte teuer werden. Außerdem ist ja noch nie etwas passiert. Bis zu jenem Freitagabend, an dem das Smartphone des Geschäftsführers aufleuchtet. Die Stimme am anderen Ende überschlägt sich fast: „Ransomware. Das gesamte Netzwerk. Produktion steht.“ Und dann der Satz, der alles ändert: „Die Angreifer sind über genau die Schwachstelle reingekommen, für die vor drei Wochen der Patch verfügbar war. Der Patch, den wir aufgeschoben haben.“