Die IT-Security ist nicht mehr bloß eine Aufgabe der IT. Sie ist ein existentieller Bestandteil der Unternehmensstrategie und eine Aufgabe von Geschäftsführern und Vorständen, da heute Unternehmen um die IT-Security herumgebaut werden müssen.
Die IT-Security gehört inzwischen zur Unternehmensstrategie und damit zur Verantwortung der Geschäftsführung und des Vorstands. Sie wird immer mehr zum eigentlichen Kern, um den das Unternehmen herumgebaut werden muss.
(Bild: Gorodenkoff - stock.adobe.com)
Die IT-Security-Situation in Deutschland ist ernst: Über 70 Prozent der deutschen Unternehmen waren innerhalb der letzten 12 Monate Gegenstand eines erfolgreichen Hackerangriffs, bei 67 Prozent der Unternehmen waren es Angriffe mittels Ransomware und 46 Prozent der Unternehmen haben Lösegeld gezahlt, um ihre Daten zurückzubekommen. Die durchschnittlichen Kosten eines Ransomware-Angriffs in Deutschland betrugen mehr als 1,73 Millionen Dollar, die einer Datenschutzverletzung 4,45 Millionen Dollar (Quelle: CyberEdge & Sophos State of Ransomware Report 2022). Laut BSI wurden zwischen Juni 2020 und Mai 2021 144 Millionen neue Malware-Varianten entdeckt, das sind 22 Prozent mehr als im Vorjahr. Laut Statista wird der deutsche Cybersicherheitsmarkt im Jahr 2022 voraussichtlich einen Umsatz von 7,18 Mrd. USD erreichen.
Aktuell wenig hilfreich – die Politik
Zwar hat Deutschland inzwischen erkannt, dass dringend Handlungsbedarf besteht und 2021 die Cyber-Sicherheitsstrategie für Deutschland verabschiedet, deren strategische Leitlinien lauten:
Cybersicherheit als gemeinsame Aufgabe von Staat, Wirtschaft, Gesellschaft und Wissenschaft etablieren.
Stärkung der digitalen Souveränität von Staat, Wirtschaft, Wissenschaft und Gesellschaft.
Die sichere Entwicklung der Digitalisierung gewährleisten.
Ziele messbar und transparent machen.
Doch die IT-Compliance kann heute in Europa und Deutschland für viele Unternehmen überfordernd wirken. Ohne externe Beratung, die die Unternehmen durch die Compliance-Spezifikationen führt, geht es kaum noch. Denn was gibt es nicht alles für Regelungen und Verordnungen:
die allgemeinen gesetzlichen Vorschriften (zum Beispiel BSIG, EU DS-GVO, BDSG),
die branchenspezifischen gesetzliche Vorschriften (beispielsweise für Banken, Versicherungen, Industrie, IuK, Logistik, öffentliche Verwaltung),
die technischen Normen und Standards, unternehmensinterne Vorgaben, vertragliche Bestimmungen und Selbstverpflichtungen (Geheimhaltungsverpflichtung, Vertraulichkeitsvereinbarung)
und schließlich “Soft Law” (Deutscher Corporate Governance-Kodex – DCGK, § 161 AktG).
Auf EU-Recht gibt es das primäre und sekundäre Gemeinschaftsrecht (insb. VO und RL). Zu dem gehören:
EU NIS-RL (2016), EU DS-GVO (2016, 2018, auch Vorgaben zur Datensicherheit u.a. gem. Art. 5, 24, 32, soweit personenbezogene Daten betroffen),
die EU Cybersecurity Verordnung/Act (2019), zu der eine ganzheitliche Betrachtung von Cybersecurity, die Einbindung von Transparenz, IoT und Verbraucherschutz sowie ein einheitlicher europäischer Zertifizierungsrahmen fällt,
nicht zu verschweigen die EU-Verordnung für ein Kompetenzzentrum zur Cybersicherheit (seit 2021 im Aufbau in Bukarest/Rumänien)
als auch EU NIS 2-RL (Entwurf, erwartet für 2022/2023).
Parallel dazu existiert auch noch das Bundesrecht (GG, Bundesgesetze, Rechtsverordnungen, Satzungen) als auch das Landesrecht (LV, Landesgesetze, Rechtsverordnungen, Satzungen), die alle beachtet werden wollen.
EU-, Bundes- und Landesrecht und die Verordnungen sollten dringend vereinheitlicht werden. Klarheit und Einheitlichkeit der Verordnungen und Gesetze sind eine Grundbedingung für die konsequente Entwicklung und Umsetzung der Sicherheitsstrategie von Unternehmen und für die bewusste und korrekte Einhaltung der IT-Compliance.
IT-Strategie als Bestandteil der Unternehmensstrategie
Eine zielgerichtete Security-Strategie ist nur dann wirklich wirkungsvoll, wenn sie in die Gesamtstrategie des Unternehmens eingebettet ist. Um den Zustand, den „Reifegrad“ des Unternehmens zu überprüfen, eignen sich eine GRC-Analyse (Governance, Risk & Compliance). Es bewertet den generellen Zustand des Unternehmens, also die Unternehmensführung wie auch die Festlegung von Unternehmenszielen, die darauf angewandte Methodik zur Umsetzung und die Planung der notwendigen Ressourcen (Governance). Zu den Unternehmenszielen sollte auch die Entwicklung und Umsetzung einer geeigneten Sicherheitsstrategie gehören. Mittels eines Risikomanagement (Risk) werden bekannte, aber auch unbekannte Risiken analysiert und bewertet. Hier zählen besonders das frühzeitige Auseinandersetzen mit Risiken, Strategien zur Risikominimierung und Schadensfallmanagement bei Risikoeintritt. Das Einhalten interner wie externer Normen (Compliance) für die Bereitstellung und die Verarbeitung von Informationen (Reglementierungen, gesetzliche Bestimmungen) ist Bestandteil des gesamten moralischen und ethischen Wertekanon eines Unternehmens.
Die Entwicklung dieser Strategie beginnt mit der Quantifizierung von Risiken und Priorisierung von Schwachstellen. Mit einem Real Time Value Risk Score wird eine Statistik erstellt, die das Ausmaß möglicher finanzieller Verluste innerhalb eines Unternehmens, eines Portfolios oder einer Position, durch das kompromittierende Agieren von Menschen, Technologien und sogar Prozessen innerhalb eines bestimmten Zeitraums quantifiziert und bewertet wird. Das Ziel ist es hier, das Unternehmensgold, nämlich die Daten des Unternehmens, so abzusichern, dass weder ein Diebstahl noch ein Manipulieren oder gar ein Verschlüsseln zwecks Unternehmenserpressung möglich ist
Basismaßnahmen für die konkrete Absicherung aller Zugänge
Auf dieser Analysebasis geht es dann um die Absicherung der Operationen. Wie geht das Unternehmen mit externen und internen Sicherheitswarnungen um? Welche Handlungsabläufe vor allem im Bedrohungsfall sind vordefiniert? Setzt das Unternehmen Multi-Cloud-Lösungen ein, was heute immer mehr Standard wird, dann sollten diese mit SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response) kontinuierlich auf verdächtige Aktivitäten hin überprüfen. Dabei lohnt es sich, die dafür notwendigen Prozesse zu automatisieren und künstliche Intelligenz (KI) einzusetzen. Auch die angeschlossenen Geräte sollten abgesichert und kontinuierlich überwacht werden, vor allem wenn es OT-(Operational Technologie)-, IoT-(Internet of Things)- und IIoT-(Industrial Internet of Things)-Geräte sind. Sie sind mit dem Internet verbunden und kommunizieren untereinander, so dass ein Angriff meist gravierende Konsequenzen bis hin zum Produktionsstillstand hat.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Zugriffsverwaltung sollte Zero Trust und Least Privilege zum Prinzip haben. Zero Trust schreibt vor, dass alle Benutzer und Arbeitsgeräte (PCs, Laptops, Smartphones etc.) ob innerhalb oder außerhalb des Unternehmensnetzwerks, authentifiziert, autorisiert und fortlaufend auf Sicherheitskonfiguration und -zustand überprüft werden müssen, bevor sie Zugang zu Anwendungen und Daten erhalten oder behalten. Dies wird am besten mit dem Least Privilege-Konzept kombiniert, bei dem die Zugriffsrechte der Benutzer und Arbeitsgeräte auf die Anwendungen und Ressourcen beschränkt sind, die für seine Arbeit unabdingbar sind und für die er autorisiert ist. Alle anderen Anwendungen und Ressourcen sind für ihn wie auch für das jeweilige Arbeitsgerät nicht sichtbar. Denn was nicht gesehen wird, kann auch nicht angegriffen werden.
Vor allem Least Privilege ist nicht einfach eine Lösung, die mal schnell von der IT umgesetzt werden kann. Es ist ein grundlegender Eingriff in die Unternehmensstruktur und -organisation, an dem neben der IT unter anderem die Personalabteilung sowie die Fach- und Geschäftsleitungen involviert sind. Denn nur gemeinsam können sie festlegen, auf welche Anwendungen und Ressourcen ein Mitarbeiter zugreifen muss, um seinen Job erfolgreich umzusetzen. Darunter fallen Software, Apps, Dokumente, Kollaborationslösungen, Datenbanken und vieles mehr.
Deswegen gehört IT-Security zur Unternehmensstrategie. Sie wird immer mehr zum eigentlichen Kern, um den das Unternehmen herumgebaut werden muss. Ohne passende IT-Security kann ein Unternehmen jederzeit zerstört werden und die Arbeitsplätze vernichtet. Sie gehört damit zur Verantwortung der Geschäftsführung oder des Vorstands, sie ist existentiell und sollte umgehend zukunftssicher aufgebaut werden – jetzt.
Über den Autor: Kunal Purohit ist Chief Digital Services Officer bei Tech Mahindra.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/81/06/8106b2001014fc41008d7927aa116962/0125966372v2.jpeg "Unternehmen, die Security by Design von Anfang an als strategischen Faktor begreifen, schaffen eine Cloud-Architektur, die nicht nur sicher, sondern auch zukunftsfähig ist. (Bild: © Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")