:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/63/c0/63c0f896ef959b17a4fc7b81709066d8/0129625089v2.jpeg "Ransomware-Gruppen wählen ihre Ziele überwiegend opportunistisch aus, indem sie häufig kleine Unternehmen mit schwachen Sicherheitsressourcen angreifen und vorhandene Zugriffsrechte ausnutzen, anstatt spezifische Branchen oder Regionen gezielt ins Visier zu nehmen. (Bild: mikkelwilliam via Getty Images)")
:quality(80)/p7i.vogel.de/wcms/4e/af/4eaf075b7fac2661a82b6a720a8685a4/0129940952v1.jpeg "Diskussionsrunde zu Digitaler Souveränität: Dr. Alexander Schellong, Dr Constanze Kurz, Dr. Fabian Mehring, Claudia Plattner, Marc-Julain Siewert und Moderatorin Carmen Hentschel (Bild: Marie Pietruschka/Ftapi)")
:quality(80)/p7i.vogel.de/wcms/1b/4e/1b4ef70fd500ffefec12b62af14cd1b0/0129912949v2.jpeg "Bei erfolgreicher Ausnutzung können Angreifer Speicherfehler in Chrome ausnutzen und dadurch potenziell Daten aus dem Speicher auslesen oder im schlimmsten Fall Schadcode auf dem System ausführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dd/bb/ddbb0955ff0ba8cc3fa5d238d8e494ae/0129916222v2.jpeg "„KI-Agenten werden künftig weniger einzelne Sicherheitsprobleme lösen, sondern vielmehr bestimmte Aktivitäten im Security Operations Center unterstützen – und in manchen Bereichen sogar vollständig übernehme.“, sagt Andreas Gaetje, CISO bei Körber. (Bild: Körber AG)")
:quality(80)/p7i.vogel.de/wcms/bf/96/bf9640a9d61d881a728190dca834aa68/0129773904v2.jpeg "Gartner warnt, dass bis 2028 eine fehlkonfigurierte KI in cyber-physischen Systemen wie Stromnetzen, Industrieanlagen/ICS oder IIoT-Sensorik durch falsche Entscheidungen Blackouts, Produktionsstopps und physische Schäden verursachen und damit Sicherheit und Wirtschaft stark gefährden kann. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108543f2d90eb885b978ddfe9a41e01/0129915774v4.jpeg "KI einsetzen und Daten schützen: Welche Optionen gibt es und wie sicher sind sie? Wir zeigen drei KI-Sicherheitsansätze im Vergleich. (Bild: © paripat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/f6/b3f6bbdf0f6bffac6f5a51a2579644f4/0128963385v1.jpeg "Wir sprechen im Podcast mit Jannik Christ über pragmatische Ansätze für die NIS2-Umsetzung im Mittelstand. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/27/2f/272f0bcd671f98318ec55afbe21054cf/0129576418v1.jpeg "Die Forschungsgruppe der TH Köln des DREAM-Projekts (v.l.): Prof. Dr. Hoai Viet Nguyen, Vimal Seetohul, Prof. Dr. Matthias Böhmer und Selim Perk. (Bild: TH Köln, Monika Probst)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b9/91/b991bd81f0235828d2b7b3f2bd25b322/0129914165v2.jpeg "Open Source ermöglicht durch Transparenz kontinuierliche Community-Überprüfung der Software-Lieferkette. Software Bills of Materials machen alle Komponenten nachvollziehbar. Nur wer seine Supply Chain kennt, kann sie auch schützen. (Bild: © KanawatTH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/8d/728dab2675f137b5fbc4a34a78fc1229/0129736660v2.jpeg "Forschende der ETH Zürich hätten mit eigenen Servern insgesamt 25 Angriffe auf die Passwortmanager von Bitwarden, Lastpass und Dashlane demonstrieren können, bei denen schon normale Browseraktionen ausgereicht hätten, um Tresore zu kompromittieren Passwörter auszulesen. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/6f/796f58c5fdc82409d32656596b85f091/0129978261v2.jpeg "Das Centro in Oberhausen sowie das Westfield in Hamburg sind auf ähnliche Weisen attackiert worden. (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/e0/f7e04a8bb9ca542c7fe162788b8e59a1/0129964725v1.jpeg "Prepare. Protect. Perform. Die ISX 2026 liefert relevante und praxisnahe Inhalte für Informationssicherheitsbeauftragte, CISOs und Security-Experten. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/b1/ef/b1effa2ad962e22191fc3b7a4c70cff9/0129922413v2.jpeg "Acht Jahre nach Inkrafttreten der DSGVO bleiben deutliche Lücken zwischen regulatorischem Anspruch und Realität – ist das European Trusted Data Framework die Lösung? (Bild: © DOC RABE Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/9d/699da109d631b/onapsis-logo-full-color-rgb-150dpi.png "onapsis-logo-full-color-rgb-150dpi (Onapsis)"){kind=logo}
Personen zertifizieren lassen
Im Gegensatz zu einer Unternehmenszertifizierung sind Personenzertifizierungen an eine natürliche Person gebunden. Warum aber sollte man sich überhaupt als Person einer in der Regel sehr arbeits- und häufig auch kostenintensiven Zertifizierung stellen? Hier ist zu unterscheiden, ob man als Person selbst Unternehmen auditieren möchte oder eine Zertifizierung nach einem anerkannten Qualitäts- und Weiterbildungsstandard anstrebt.
Mit letzteren können sich potentielle Kunden oder zukünftige Arbeitgeber sehr schnell ein Bild von dem Wissen in den abgelegten Bereichen machen. Vielfach erübrigt sich damit eine Diskussion über die vorhandenen Fachkenntnisse. Möchte man hingegen als externer Auditor tätig werden, ist eine Zertifizierung sogar Voraussetzung.
Handelt es sich bei der abgelegten Zertifizierung um einen international anerkannten Nachweis, so kann dieser sogar die internationale Zusammenarbeit vereinfachen. Schließlich sprechen in diesem Fall alle Beteiligten dieselbe „Fachsprache“.
Anerkannter Standard oder Hersteller-Zertifizierung?
Grundsätzlich sollte man wissen und verstehen, welche Alternativen der Markt für Zertifizierungen bietet. Zum einen gibt es Hersteller-gebundene Zertifizierungen, zum anderen anerkannte Qualitäts- und Weiterbildungsstandards, die auch als „produktunabhängige Zertifizierungen“ bezeichnet werden.
Ein Anbieter eigener Zertifizierungen ist beispielsweise die Firma Cisco. Diese stellt einen Nachweis darüber aus, dass man sich mit einem spezifischen Sicherheitsprodukt auseinandergesetzt hat und das notwendige Fachwissen vorhanden ist. Allerdings werden bei diesen Prüfungen sehr häufig auch allgemeingültige Standards abgefragt, da kein Produkt ohne sie auskommt.
Bei produktunabhängigen Zertifizierungen werden allgemeingültige sicherheitsrelevante Kenntnisse abgefragt und bescheinigt, wie beispielsweise im Falle der CISSP-Zertifizierung (Certified Information Systems Security Professional) durch das International Information Systems Security Certification Consortium, kurz: (ISC)² (siehe dazu Bild 2 der Bildergalerie).
Auditoren-Zertifizierungen
Unternehmen, die eine Zertifizierung anstreben, müssen einem Auditor gegenüber den Nachweis erbringen, dass sie die definierten Anforderungen auch erbringen. Ein Auditor, der ein Audit durchführt ermittelt durch Befragen, Beobachten, Zuhören und Dokumentenprüfung, wie eine Person oder ein Unternehmen sich entwickelt und ob Vorgaben eingehalten werden.
Ein BSI-zertifizierter „ISO 27001/Grundschutz“-Auditor beispielsweise ist ein vom Bundesamt für Sicherheit in der Informationstechnik akkreditierter Auditor. Mit dieser Personenzertifizierung dürfen Unternehmensaudits zur Vergabe eines ISO 27001 Zertifikats auf Basis von IT Grundschutz durchgeführt werden. In diesem Fall handelt der Auditor als externer Auditor im Auftrag einer Zertifizierungsgesellschaft.
Interne Auditoren führen im Auftrag der Geschäftsleitung System- und Prozessaudits durch. Bei zertifizierten Unternehmen sind derartige Audits zwischen den externen Zertifizierungsaudits beispielsweise verpflichtend. Das dafür notwendige Wissen kann ebenfalls durch Erlangung verschiedener Auditoren-Zertifizierungen nachgewiesen werden. Zu den bekanntesten zählt hier der Certified Information Systems Auditor (CISA).
Fazit
Mit den steigenden Möglichkeiten der Informationstechnologie sind auch die Risiken erheblich gewachsen. So werden beispielsweise immer sensiblere Daten der Informationstechnik anvertraut. Diesen Risiken kann nur durch hinreichende Sicherheitsfunktionen begegnet werden. Sicherheitsmaßnahmen allein genügen heute in vielen Bereichen nicht mehr.
Wichtig und heute vielfach wettbewerbsentscheidend ist, dass die Nutzer Vertrauen in die Informationstechnik haben. Das gilt insbesondere für die Sicherheit von Daten. Eine Möglichkeit, um Transparenz hinsichtlich der Sicherheitseigenschaften von IT-Systemen und -Produkten zu schaffen, ist die Prüfung und Bewertung nach einheitlichen Kriterien durch unabhängige und anerkannte Prüfstellen bzw. die Bestätigung durch ein Zertifikat.
(ID:2052904)
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a72262ba39fe4a5012b61c8869f4c0/0126746159v2.jpeg "Audits und Zertifizierungen sind für den Mittelstand keine Hürde, sondern eine Chance für bessere Prozesse und mehr Vertrauen. (Bild: © EDA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/77/0f775e6248afa32a926f895fb4afe903/0124981266v1.jpeg "Cybersecurity-Zertifizierungen wie ISO 27001 und branchenspezifische Standards bieten Unternehmen einen systematischen Ansatz zur Abwehr KI-gestützter Cyberangriffe, erfüllen regulatorische Anforderungen und stärken langfristig ihre Wettbewerbsfähigkeit. (Bild: © Olivier Le Moal - stock.adobe.com)")