:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5e/a7/5ea7a3d83d2a9e42c95c46a7f8281969/0129603326v2.jpeg "Für die Erstellung der Backdoor nutzen die Angreifer erbeutete Anmeldedaten, um legitime RMM-Zugriffstoken zu generieren und dauerhaften Zugriff auf die Systeme der Opfer über eine manipulierte Datei zu erlangen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/54/0c54424dab7e712b7bb27c8a7ffe5ea0/0129817433v1.jpeg "Die Kommerzialisierung von KI-Crimeware: Dark LLMs, Deepfake-as-a-Service und automatisierte Phishing-Kits werden für wenige Dollar monatlich angeboten. (Bild: © Piyaporn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/6b/f56b4f03a15167df363e6c0ab64fb7ce/0129786443v2.jpeg "Die IT-Defense 2026 fand vom 3. bis 4. Februar in Würzburg statt. Der finnische Security-Experte Sami Laiho hielt den Vortrag „Cyberwar between Russia and Finnish Companies“. (Bild: Dr. Wilhelm Greiner)")
:quality(80)/p7i.vogel.de/wcms/46/3c/463c5e6652bc38681a5cd467c57edb65/0129737222v1.jpeg "Microsoft-CEO Satya Nadella bei der Eröffnungs-Keynote der AI Tour in München. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/96/0c/960c75ffe0a62d339278b3c6ce6cc076/0129346648v2.jpeg "Vermutlich, um mit wenig Aufwand hohe Prämien für entdeckte Sicherheitslücken einzuheimsen, erreichten das Team von cURL vermehrt KI-generierte Berichte. Diese seien jedoch teils so falsch gewesen, dass das Team sein Bug-Bounty-Programm eingestellt hat. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/60/54604dd9ae65674f94a61c1744bc2b40/0129673001v2.jpeg "Die Hackergruppe UNC6201 hat seit 2024 eine kritische Sicherheitslücke in Dell RecoverPoint for Virtual Machines ausgenutzt, die durch fest codierte Anmeldeinformationen ermöglicht wird, und dabei Backdoors wie Slaystyle und Grimbolt verbreitet. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/91/8e/918e589e4ee9bb4c02dad8354f57045b/0128846297v1.jpeg "Cloud-Dienste, digitale Kommunikation und globaler IT-Support machen internationale Datentransfers für viele Unternehmen in Deutschland unverzichtbar. (Bild: © Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/97/6697cc7bd2918128a8f649b94cb00223/0129719820v1.jpeg "Passwortsicherheit wird oft als nachträglicher Fix behandelt, aber 22 Prozent aller Datenlecks gehen auf missbrauchte Credentials zurück. Unternehmen müssen ihr dieselbe Priorität wie Penetrationstests einräumen. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f2/7af27244e2a7e2020c8cf1e428560094/0129336301v2.jpeg "Self-hosted GitHub Actions Runner eignen sich aufgrund ihrer Eigenschaften – wie der Fähigkeit, beliebigen Code auszuführen und persistenten Zugriff auf interne Netzwerke zu bieten – für Angreifer perfekt, um dort Backdoors zu verstecken. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/2b/4b2bb466fc80efe5afbb9151c95da928/0129796745v1.jpeg "Mehr Awareness durch Security Posture Management, ein Interview von Oliver Schonschek, Insider Research, mit Andreas Müller von Delinea. (Bild: Vogel IT-Medien / Delinea / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2e/40/2e40e56693da64739ef54abf30a0413f/0127316436v2.jpeg "Bei „VeRA“ handelt es sich um eine Analyse-Software des US-Unternehmens Palantir, mit der die Polizei große Datenmengen aus unterschiedlichen Quellen zusammenführen, durchsuchen und Verbindungen zwischen Personen, Ereignissen und Informationen sichtbar machen kann. (©Eisenhans - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/de/82/de828351d24ce22947e9c469931ffd20/0126593157v1.jpeg "Eine Post-Incident Review (PIR) ist eine strukturierte Nachbetrachtung eines (Cyber-)Vorfalls, um die Ursachen zu verstehen und ähnliche Ereignisse zukünftig zu verhindern. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
3) Kein Projekt ohne Realisierungskonzept
Der häufigste und gravierendste Fehler: Unternehmen vergessen, aus einem Fachkonzept ein Realisierungskonzept zu machen. Das Fachkonzept besteht aus Lasten- und Pflichtenheft und wird von den jeweiligen Fachabteilungen erstellt: Basierend auf den Leistungsforderungen des Unternehmens an den Dienstleister (Lastenheft) werden Vorgaben zur technischen Umsetzung vom Auftragnehmer erstellt (Pflichtenheft).
Doch ein Fachkonzept beschreibt nur das große Ganze, ein Realisierungskonzept geht ins Detail: Wie sieht der dahinterliegende Prozess hinter den einzelnen Bestandteilen eines Projekts aus? Wie ist der Status Quo zum Einstiegszeitpunkt des Beraters? Welche Daten sollen verarbeitet werden? Welche Funktion soll welchen Zweck erfüllen? Wie werden Module getestet, wenn sie fertig sind?
Jeder Prozess, jedes Attribut, das verändert werden muss, wird im Realisierungskonzept schriftlich erfasst und in einen festen zeitlichen Ablauf integriert. Ein simples Beispiel: Innerhalb eines Prozesses soll künftig die Erlaubnis eines Genehmigers notwendig sein. Das Fachkonzept schreibt vor, dass der Genehmiger per E-Mail informiert werden soll. Diese Vorgabe alleine reicht jedoch nicht aus.
Hier lauern viele Stolpersteine, über die Unternehmen bei der Abnahme fallen könnten. Was genau steht in der E-Mail an den Genehmiger? In welcher Sprache soll der Genehmiger informiert werden? Wer ist der Absender? Gibt es einen Disclaimer? All diese Details werden vorab in einem Realisierungskonzept festgelegt und lassen somit keinen Spielraum für Überraschungen bei der Abnahme.
Wie vermeidet man diese Fehler?
Die Antwort liegt bereits auf der Hand: Reden. Ein Scoping-Workshop im Vorfeld – und zwar nicht nur mit dem CIO sondern mit allen Stakeholdern, die von dem Projekt betroffen sind – klärt die wichtigsten Dinge ab.
Der Berater muss herausfinden: Wo drückt der Schuh beim Kunden? Gibt es Anforderungen, die wichtiger sind als andere? Kann man dem Unternehmen zu „Quick Wins“ verhelfen – schneller Gewinn mit wenig Aufwand? Ein wichtiges Qualitätskriterium, auf das Unternehmen achten sollten, ist zudem, ob der gewählte Dienstleister bereits erfolgreiche Identity Management-Projekte vorweisen kann.
Natürlich ist es auch sinnvoll, innerhalb des Unternehmens erst einmal in den Abteilungen anzufangen, die ein gutes Verhältnis zur IT haben und bereit sind, zu kooperieren. Ist ein Projekt erst einmal erfolgreich durchgeführt und es zeigen sich die ersten Aufwandseinsparungen bei den Kollegen, ist das Verständnis für das nächste Projekt schon einen Schritt weiter.
Insgesamt muss Identity Management als Teil zweier Konzepte gesehen werden. Zum einen ist es fester Bestandteil eines Gesamtsicherheitskonzept: Wie kann Identity Management das Sicherheitsproblem lösen? Wo lauern mögliche Gefahren? Nur wenn beide Parteien die gleiche Sprache sprechen, kann der Dienstleister Risiken abschätzen und Unternehmen diese durch sinnvolles Identity Management minimieren.
Zum anderen ist es wichtiger Faktor und Teil des Wandels, in dem sich derzeit viele IT-Abteilungen befinden. Erfolgreiches Identity Management verhilft IT-Abteilungen zu mehr Akzeptanz und Bedeutung innerhalb der Organisation – vom internen IT-Dienstleister zum unverzichtbaren Glied der Wertschöpfungskette des Unternehmens.
* Fiete Leske verantwortet den Bereich Compliance und Security, SAP Consulting, beim IT-Berater cellent AG.
(ID:43612380)
:quality(80)/p7i.vogel.de/wcms/77/12/77121080c64b9e12202e2df5f5ec46cb/0128017720v2.jpeg "NIS 2 verankert Verantwortung im Management und verschärft Meldepflichten. Wir zeigen sechs typische Fehler von Geltungsbereich bis Lieferketten- und Incident-Readiness. (Bild: © FARIHA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/c8/23c812d9b1245e49d58838f5396bf004/0126271427v2.jpeg "Mit Privileged Access Management (PAM) und Privileged Remote Access (PRA) schützen Unternehmen den Zugang zu besonders sensiblen Bereichen der IT, etwa zu Servern, Datenbanken, Cloud-Umgebungen oder Domain Controllern. (Bild: © Ahmed - stock.adobe.com)")