Schnell ist es passiert: Man möchte sich in einen Online-Account einloggen und plötzlich funktioniert das Passwort nicht mehr. Oder man entdeckt versendete E-Mails, die man selbst nie verschickt hat. Solche Szenarien sind der Albtraum jedes Nutzers – und leider längst keine Seltenheit mehr. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zusammen mit dem Programm Polizeiliche Kriminalprävention (ProPK) eine praktische Checkliste veröffentlicht, die Betroffenen konkrete Handlungsschritte an die Hand gibt.

Es ist eine alte Geschichte in neuen Kleidern. Der IT-Betrieb sorgt dafür, dass alles läuft, die Informationssicherheit dafür, dass es sicher läuft. Eigentlich verfolgen beide dasselbe Ziel. In der Praxis sieht es jedoch oft so aus, als würden sie auf entgegengesetzten Seiten eines Seils ziehen, das über einem Abgrund gespannt ist. Der eine ruft „Stabilität“, der andere „Resilienz“. Und dazwischen hängt das Unternehmen, das eigentlich nur ungestört arbeiten will.

Der IT-Leiter eines mittelständischen Unternehmens sitzt im wöchentlichen Jour fixe mit der Geschäftsführung. Die Frage nach dem Stand des Notfallmanagements kommt routiniert: „Alles gut vorbereitet?“ Seine Antwort: „Klar, der BCM-Plan ist fertig. 150 Seiten, alle Prozesse dokumentiert, liegt seit einem Jahr im Sharepoint.“ Die Geschäftsführung nickt zufrieden. Was niemand erwähnt: Der Plan wurde nie getestet. Kein einziges Mal. Drei Wochen später: Ransomware. Die Produktion steht still, die IT-Systeme sind verschlüsselt. Jetzt soll der Notfallplan greifen. Doch beim Versuch, die dokumentierten Prozesse umzusetzen, stellt sich heraus: Der Notfallplan liegt auf einem von den Angreifern verschlüsselten Server. Die einzige Version ist leider nicht aktuell, es ist die zum Korrekturlesen ausgedruckte Version. Die Telefonnummern im Alarmierungsplan sind veraltet, der alternative Serverstandort existiert nicht mehr, und die Wiederherstellungsanleitung bezieht sich auf Systeme, die vor zwei Jahren abgelöst wurden. Aber auch in der Version auf dem Sharepoint-Server sind die Informationen nur minimal aktueller. Der Schaden: Mehrere Millionen Euro, wochenlanger Stillstand, massive Reputationsverluste. Diese Situation ist kein Einzelfall. Sie zeigt: Ein Plan, der nur auf dem Papier existiert, ist im Ernstfall wertlos.

Der IT-Planungsrat ist ein zentrales politisches Steuerungsgremium zwischen Bund und Ländern. Als solches fördert und entwickelt er gemeinsame nutzungsorientierte IT-Lösungen für eine effiziente und sichere digitale Verwaltung in Deutschland. So stellt er beispielsweise einen kostenfreien Generator für Datenschutzhinweise bereit.

Am Morgen des 24.10.2025 reagierte Microsoft schnell, die Warnungen waren laut und die Einschätzung klar: Common Vulnerability Scoring System [CVSS] 9.8, Risiko kritisch. Die Meldung verrät zwei Dinge: Erstens, kritische Lücken können jederzeit auftauchen. Zweitens, Angreifer adaptieren bekannte Forschung sehr schnell. Für Sie als IT-Sicherheitsbeauftragten heißt das: Die Vorbereitung entscheidet. Wer erst reagiert, wenn der Exploit in freier Wildbahn auftaucht, handelt zu spät.

QR-Codes sind allgegenwärtig: auf Rechnungen, Plakaten, Parkautomaten oder E-Scootern. Schnell gescannt, schon öffnet sich der Link – und genau das ist das Problem. Kriminelle nutzen die Bequemlichkeit aus und platzieren manipulierte QR-Codes, die auf täuschend echt aussehende Webseiten führen. Dort warten gefälschte Loginmasken oder Zahlungsseiten, die vertrauliche Daten abgreifen.