Datensicherheit gehört zu den wichtigsten strategischen Anliegen von Unternehmen, denn Cyberangriffe können schwerwiegende finanzielle und reputative Schäden verursachen. Daher ist es von entscheidender Bedeutung, dass Unternehmen Datensicherheit holistisch angehen und neben der IT-Infrastruktur auch die Mitarbeitenden und die physischen Assets bedenken.
Obwohl Datensicherheit für Entscheider höchste Priorität hat, weisen viele Organisationen immer noch eine große Lücke in ihrer Sicherheitsstrategie auf.
(Bild: Westlight - stock.adobe.com)
Als die große „Kryptowährungsbank“ Ronin im April 2022 Opfer eines Cyberangriffs wurde, waren die Auswirkungen enorm: Zusätzlich zu den 540 Millionen US-Dollar, die von Hackern gestohlen wurden, musste die Bank ihre Kunden für die ebenfalls verlorenen Gelder entschädigen. Gleichzeitig galt es, das Vertrauen des Marktes in ihre erschütterte Organisation wiederherzustellen. Weitere hochkarätige Sicherheitsvorfälle bei Unternehmen wie Uber, Microsoft oder Toyota zeigen, dass auch robuste Sicherheitsvorkehrungen großer Betriebe angegriffen werden können. Eine deutliche Erinnerung für Führungskräfte, wie verwundbar Organisationen sein können.
Datensicherheit ist geschäftskritisch
Informations- und Datensicherheit ist demnach so elementar wie nie zuvor. Da weltweit immer strengere Datenschutzgesetze mit hohen Geldstrafen gelten, kann ein nachlässiger Umgang in punkto Datensicherheit schwerwiegende finanzielle und rufschädigende Folgen haben. In Deutschland werden die durch Cyberkriminalität verursachte Schäden im Jahr 2023 auf rund 206 Milliarden Euro beziffert. Gleichzeitig wird Datensicherheit zu einem reputativen Kriterium für Firmen: Die Datenschutzgrundverordnung (DSGVO) gibt allen EU-Bürgern das Recht, zu erfahren, welche personenbezogenen Daten Organisationen über sie gespeichert haben, warum sie diese gespeichert haben und an welche Drittparteien sie diese Daten weitergegeben haben. Gleichzeitig müssen Datenschutzverletzungen innerhalb von 72 Stunden gemeldet werden und sind entsprechend besonders sensibel.
Doch obwohl Datensicherheit für Entscheider höchste Priorität hat, weisen viele Organisationen immer noch eine große Lücke in ihrer Sicherheitsstrategie auf. Diese Lücke betrifft die Art und Weise, wie ihre physischen und digitalen Daten sowie IT-Ressourcen, während ihres gesamten Lebenszyklus verwaltet werden. Das beste Cybersicherheitssystem kann wirkungslos sein, wenn Hardware und Geräte nicht modernisiert, sicher integriert, gewartet und vor allem datenschutzkonform außer Betrieb genommen werden. Hier gilt es anzusetzen, um potenzielle Schwachstellen zu schließen.
Die IT-Infrastruktur legt die Grundlage
Besonders durch die neuen Anforderungen im Zuge des hybriden Arbeitens ist es zunehmend schwierig, Daten vor unerwünschter Offenlegung zu schützen. Benötigt werden Systeme, die den Zugriff unabhängig von Ort und Zeit gewährleisten, aber gleichzeitig kein Einfallstor für Cyberkriminelle bieten. Ein solches System muss etwa die Verschlüsselung gespeicherter und übertragener Daten sicherstellen und auch Wiederherstellungs- und Sicherungslösungen beinhalten. Für den Remotezugriff muss eine Mehrfaktorauthentifizierung eingerichtet sein.
Zwar lassen sich nie alle Angriffe verhindern, jedoch verbessert eine moderne IT-Infrastruktur die Geschwindigkeit der Erkennung, Eindämmung und Behebung des Angriffs oder kann diesen sogar vollständig abwehren. Zusätzlich sollte ein Reaktionsplan bei Sicherheitsvorfällen entwickelt und erprobt werden, um einen Cyberangriff schnell zu identifizieren, zu bewerten und einzudämmen.
Keine Sicherheitsstrategie ohne die Mitarbeitenden
Neben technischen Sicherheitsvorkehrungen spielt auch der Faktor Mensch eine entscheidende Rolle für die IT-Sicherheit von Unternehmen. Auch hier ist die Entwicklung zu Remotearbeit von großer Rolle, denn Daten werden nun öfter unabhängig von festen Standorten verarbeitet. Hier müssen die Mitarbeitenden, durch entsprechende Richtlinien und Verfahren, als Teil des Sicherheitskonzepts angesehen werden.
Das beginnt bei der Informationssicherheit: Alle Beschäftigten des Unternehmens müssen hierzu klare schriftliche Richtlinien erhalten, die auch die Nutzung von Laptops, Handys und anderen Geräten umfasst. Remote-Mitarbeitende sollten detaillierte Informationen zur Abwicklung von Geschäftsvorgängen auf privaten Laptops oder Telefonen erhalten. Auch die Verarbeitung von Daten und Unterlagen außerhalb der firmeneigenen Geräte und Systeme muss klar geregelt sein, etwa das Kopieren von Geschäftsdaten auf persönliche Geräte oder die Nutzung von persönlichen USB-Sticks zur Speicherung von Geschäftsinformationen. Schulung zu Cyber-Security sensibilisieren zudem dafür, wachsam gegenüber potenziellen Phishing- und Malware-Angriffen zu sein.
Zu guter Letzt: Asset Lifecycle Management
Was oftmals vergessen wird: Eine große Herausforderung für Unternehmen besteht darin, die in ihrer Organisation genutzten Geräte im Auge zu behalten. Um das Risiko eines Cyberangriffs und die Haftung zu minimieren, ist es unerlässlich, sowohl über virtuelle als auch über physische Ressourcen – ob neu oder alt – unter Kontrolle zu haben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Zunächst sollten Organisationen ein Bestandsregister führen, das die Leistung, den Zustand und Schutz der Geräte überwacht. Es muss sichergestellt werden, dass Sicherheitsanwendungen funktionieren. Physische Ressourcen sollten passwortgeschützt sein und eine Richtlinie zur erzwungenen Passwortänderung enthalten. Ein professionelles Asset Lifecycle Management (ALM) sorgt außerdem dafür, dass vorhandene Daten im End-of-Life-Stadium in Übereinstimmung mit lokalen Datenschutzbestimmungen zuverlässig vernichtet oder zur erneuten Nutzung wieder ins Unternehmensnetzwerk eingespielt werden.
Die Entsorgung von IT-Assets (ITAD) sollte einem klar definierten Protokoll folgen, das eine vertrauenswürdige Aufbewahrungskette, umfassende Datenlöschung und Demontage in Komponenten zur Wiederverwendung oder zum Recycling oder andernfalls eine vollständige physische Vernichtung umfasst. Obwohl es ein weit verbreiteter Irrtum ist, dass das Löschen von Daten so einfach ist wie das Löschen von Dateien oder das Neuformatieren eines Laufwerks, garantieren solche Methoden in Wahrheit überhaupt nicht die vollständige Löschung der Daten. Es muss eine spezielle Datenbereinigungssoftware verwendet werden. Wenn eine Vernichtung erforderlich ist, muss das Asset physisch so weit zerstört werden, dass es unmöglich ist, Daten daraus wiederherzustellen.
Mit der richtigen Strategie IT-Sicherheit verbessern
Cyber-Security und die Verwaltung von Daten ist heute das Hauptanliegen vieler Vorstandsetagen. Die passende Strategie für IT- und Datensicherheit orientiert sich immer auch an der konkreten Situation einer Organisation. Einige übergreifende Ansätze haben sich jedoch bewährt: Mit einer aktuellen IT-Infrastruktur legen Organisationen den Grundstein, auf dessen Basis die Mitarbeitenden arbeiten können und entsprechend trainiert werden müssen. Zu guter Letzt ist ebenfalls ein professionelles Asset Lifecycle Management essenziell, um Sicherheit bis zum Schluss zu ermöglichen.
Über den Autor: Ralf Reich verantwortet als Commercial Vice President Northern Europe das Geschäft von Iron Mountain im DACH-Raum, Nordics und Polen. Er hat über 30 Jahre Erfahrung in der IT-Branche. Seine Karriere begann er bei IBM und Hewlett-Packard in den Bereichen IT-Services und strategisches Outsourcing. Später wechselte er zu Wipro und Softserve.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/7e/64/7e64f7c7e81459d9df42f3b1f4e6bbc6/0128259302v2.jpeg "Dass hochsichere Clouds Anforderungen für KRITIS erfüllen müssen, erfordert unter anderem eine mehrschichtige Architektur aus physischer Ebene, Security Layer sowie Undercloud und Overcloud. (Bild: Jürgen Fälchle - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/6a/096ad833b4ff28862dfb18e0dc3ea094/0125079793v1.jpeg "Mittels eines privaten Schlüssels auf einem sicheren Token kann die Authentifizierung eines Benutzers passwortfei erfolgen. (Bild: Pointsharp)")