Es ist Mittwoch, 13:30 Uhr. Beim Geschäftsführer eines mittelständischen Unternehmens mit ca. 150 Mitarbeitenden klingelt das Telefon. Die Sekretärin fragt den Chef deutlich verwundert, ob sie einen Mitarbeiter des deutschen Verfassungsschutzes durchstellen darf. Der Chef ebenfalls sehr perplex nimmt das Gespräch selbstverständlich an. Was dann folgt, hört sich eher nach Hollywood an als nach deutscher Provinz. Hacker im Auftrag von Nordkorea haben das Unternehmen ins Visier genommen und mit hoher Wahrscheinlichkeit schon Zugriff auf sensible Daten erhalten – aber wie konnte es so weit kommen und warum ausgerechnet dieses kleine mittelständisch Unternehmen? Rund 7.000 Personen arbeiten für das nordkoreanische Regime als Cyberkriminelle, und sie haben 2025 einen neuen Höhepunkt erreicht: Allein im ersten Halbjahr 2025 erbeuteten nordkoreanische Hacker 1,6 Milliarden US-Dollar.

Wer als IT-Sicherheitsverantwortlicher mit der Koordination von Penetrationstests, Vulnerability Management oder Incident Response jongliert, kennt das Problem: Sicherheitsprojekte sind komplex, involvieren verschiedene Teams und verlangen nach klarer Priorisierung – also einem Projektmanagement-Tool. Trello ist kein auf IT-Sicherheit fokussiertes Tool, aber ein unglaublich flexibles und von jedem leicht zu bedienendes Werkzeug, das beim Projektmanagement unterstützen kann.

Multi-Faktor-Authentifizierung (MFA) ist seit Jahren eine Grundfeste der IT-Sicherheit. Wer ein Passwort hat, aber keinen zweiten Faktor vorweisen kann, bleibt draußen – so zumindest das Versprechen. Doch Angreifer haben sich angepasst: Sie fangen Authenticator-Codes ab, manipulieren SMS oder spielen auf die Ermüdung von Nutzern, die täglich Dutzende Push-Nachrichten bestätigen sollen.

Wenn Sie eine Verarbeitung personenbezogener Daten planen, bei der ein hohes Risiko für die Betroffenen zu befürchten ist, müssen Sie vorab eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Im Zuge der vermehrten Nutzung von Künstlicher Intelligenz (KI) wird regelmäßig eine DSFA-Pflicht bestehen.

Wenn Sie als IT-Sicherheitsbeauftragter heute Verschlüsselung einsetzen, dann wahrscheinlich nicht zu knapp. TLS fürs Web, VPNs im Außendienst, Festplattenverschlüsselung, E-Mail-Verschlüsselung, Authentifizierung, Cloud-Speicherung – überall kommen kryptografische Verfahren zum Einsatz. Doch genau das macht die Sache komplex. Denn: Wo viele Schlüssel unterwegs sind, braucht es einen Schlüssel zur Ordnung.

Am 3. September 2025 hat die U.S. Cybersecurity and Infrastructure Security Agency (CISA) gemeinsam mit 18 internationalen Partnerbehörden – darunter auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) – ein bemerkenswertes Signal gesendet: Mit der Veröffentlichung „A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity“ liegt nun erstmals ein global abgestimmtes Zielbild zur Vereinheitlichung von Software-Komponentenlisten vor.

Sicherheitsexperten des Unternehmens Radware haben eine schwerwiegende Schwachstelle in ChatGPTs „Deep Research Agent“ entdeckt. Die als „ShadowLeak“ bezeichnete Lücke ermöglichte es Angreifern, persönliche Daten aus E-Mail-Konten zu extrahieren.

Die Entwickler der beliebten Linux-Distribution Kali Linux haben Version 2025.3 veröffentlicht, die ab sofort zum Download bereitsteht. Die auf Penetrationstests und Sicherheitsforschung spezialisierte Distribution bietet zahlreiche Verbesserungen für IT-Security-Professionals.

Die britische Regierung unterstützt den von einem schweren Cyberangriff betroffenen Autobauer Jaguar Land Rover mit einer Kreditgarantie von bis zu 1,5 Milliarden Pfund (1,7 Milliarden Euro).