Wenn ein Unternehmen und seine IT-Abteilung beim Thema Sicherheit nicht an einem Strang ziehen, besteht ein hohes Risiko für Datenschutzverstöße. Alle IT-Experten sollten deshalb wissen, wie sie ihren Geschäftsführern Sicherheitserfordernisse so vermitteln können, dass sie verstanden und ernst genommen werden.
Potenzielle wirtschaftliche Risiken aufzuzeigen ist eine Möglichkeit, Vorgesetzten die Bedeutung von IT-Sicherheit klarzumachen.
Im Jahr 2017 gab es insgesamt 5.207 Datenschutzverletzungen – 20 Prozent mehr als im Jahr 2015 – und 7,8 Milliarden Datensätze waren weltweit ungeschützt, 24 Prozent mehr als im Jahr 2016. Ein starker Sicherheitsstatus sollte für Unternehmen oberste Priorität haben. Natürlich spielen IT-Experten eine entscheidende Rolle beim Vermitteln und Implementieren von Sicherheitsprozessen, aber das Thema Sicherheit beschränkt sich nicht auf die IT-Ebene, sondern muss auch aus Unternehmensperspektive mehr in den Vordergrund rücken.
Wie ist der aktuelle Stand?
Aktuelle Sicherheitsvorgaben werden von den meisten Unternehmen unterschiedlich gehandhabt, aber oft fehlt es an Orientierung. Alle IT-Experten – unabhängig von der Größe des Unternehmens, für das sie arbeiten – sollten wissen, wie sie ihren Geschäftsführern Sicherheitserfordernisse so vermitteln können, dass sie verstanden und ernst genommen werden.
Potenzielle wirtschaftliche Risiken aufzuzeigen ist eine Möglichkeit, Vorgesetzten die Bedeutung von Sicherheitsvorkehrungen klarzumachen. Viele Unternehmen können nicht einschätzen, welche Kosten im Falle eines Datenschutzverstoßes auf sie zukommen. Jedes Unternehmen sollte eine Rechnung für eine jährliche Schadenserwartung (die Summe aus jährlicher Häufigkeitsrate und Einzelschadenerwartung) aufstellen. Diese trägt dazu bei, das Risiko einer ungenügenden Sicherheitsstrategie in Zahlen auszudrücken. Mithilfe der Formel kann man auch die Kosten für die Sicherheit eines bestimmten Produkts, z. B. Mitarbeiter-Laptop, darstellen und somit aufzeigen, wie wichtig Investitionen in Sicherheit und Benutzerschulungen sind, anstatt den Verlust oder Diebstahl dieses Geräts abzudecken.
Nicht nur die Führungsebene braucht ein neues Bewusstsein, auch Mitarbeiter müssen mit Sicherheitsrichtlinien und praktiken in einer für sie verständlichen Form vertraut gemacht werden. Zum Beispiel sollten IT-Experten die Verwendung zu technischer Begriffe vermeiden, da diese von den meisten Endbenutzern nicht verstanden werden. Außerdem sollten sie Mitarbeitern praktische Beispiele zeigen, worauf sie achten sollen, z. B. echte Phishing- oder Malware-E-Mails. Sicherheitsschulungen sollten im Rahmen von Neuanstellungen und Eingliederungsprozessen sowie mehrfach übers Jahr für alle Mitarbeiter zur Auffrischung durchgeführt werden. Mitarbeiter müssen die Sicherheit als wichtiges Unternehmensziel begreifen, da sie sonst selbst zur Schwachstelle werden könnten.
Gleichzeitig sollte jeder Mitarbeiter im Unternehmen zum Verfechter von Sicherheit werden und im Falle eines Hackerangriffs umfassend über den Aktionsplan informiert sein. Mitarbeiter müssen die nötigen Schritte kennen, wenn sie einen vermeintlichen Datenschutzverstoß oder Virus auf ihrem Mobiltelefon oder Laptop entdecken. IT-Experten sollten Mitarbeiter loben, die mit potenziellen Problemen zu ihnen kommen, und ihnen einen Ersatz-Laptop oder ein Ersatzgerät zur Verfügung stellen, damit sie weiterhin ihrer Arbeit nachkommen können, wenn ihr Gerät kompromittiert wurde.
Best Practices für eine Sicherheitsstrategie auf Geschäftsebene
Folgende Praktiken haben sich bei der Implementierung einer Sicherheitsstrategie bewährt:
Verhindern von Datenverlust: Zunächst einmal sollten Sie ermitteln, mit welchen Verlusten Sie zu rechnen haben, sollte Ihr Unternehmen anfällig für Hackerangriffe oder Datenschutzverstöße sein. Setzen Sie Risk-Intelligence-Strategien ein, um festzustellen, welche potenziellen Bedrohungen und Schwachstellen innerhalb und außerhalb Ihres Unternehmens bestehen. Unmittelbar danach sollten Strategien zur Verhinderung von Datenverlusten wie das Löschen oder Verschlüsseln bestimmter Dateien oder Daten zum Einsatz kommen.
Benutzerschulung: Die Schulung von Endbenutzern ist eine erschreckend wenig genutzte Methode zur Optimierung der Datensicherheit in Unternehmen. Die Zahlen zeigen immer wieder, dass die meisten Angriffe ihren Ursprung innerhalb des Unternehmens haben. Sie sind oft darauf zurückzuführen, dass ein Mitarbeiter Opfer eines Phishing-Angriffs wurde, der Malware ins Netzwerk einschleust, oder auf DDoS-Angriffe sowie versehentliche Endbenutzerfehler, die auf ein unzureichendes Verständnis potenzieller Sicherheitsbedrohungen zurückzuführen sind. Auf Sicherheitsschwachstellen, die durch Aktivitäten der Endbenutzer verschärft werden können, sollten IT-Abteilungen von Unternehmen proaktiv und transparent aufmerksam machen. Beispielsweise wenn Benutzer Unternehmens-E-Mail-Adressen auf einem Smartphone nutzen, dessen Betriebssystem ein Sicherheitspatch erfordert, oder soziale Netzwerke mit einem Kennwort verwenden, das möglicherweise bei einem größeren Datendiebstahl kompromittiert wurde.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Kontinuierliche und umfassende Überwachung: Wenn ein Unternehmen nichts überwacht, wird ihm auch keine Anomalie auffallen. IT-Experten können zwar nach einem entdeckten Verstoß oder Angriff eingreifen und eine Überwachungslösung einrichten. Es kann dann aber passieren, dass bestimmte von Hackern implementierte Dinge im Nachhinein nicht mehr ausfindig gemacht werden. Alle Unternehmen sollten proaktiv überwachen, um für eine Grundabsicherung zu sorgen. So ist es für sie zukünftig einfacher zu erkennen, was außerhalb der Norm liegt. IT-Experten sollten auch darauf achten, Compliance-Software wie eine Sicherheitsinformations- und Ereignisverwaltung (SIEM) in Ihrer Umgebung zu integrieren. Somit können Sie sicherstellen, dass Schwachstellen behoben werden, indem Sie beispielsweise Patches sowie Protokolle und Ereignisse über eine benutzerfreundliche Schnittstelle verwalten.
Anpassen der Sicherheitsrichtlinien: Unternehmen müssen in der Lage sein, ihre Sicherheitsrichtlinien problemlos zu überarbeiten. Denken Sie daran, dass sich die Bedrohungslandschaft ständig verändert. Man sollte sich nicht auf eine Strategie festlegen und diese einfach immer weiter fortführen. Stattdessen sollten die Sicherheitsrichtlinien alle sechs bis neun Monate neu überprüft werden, um sicherzustellen, dass alles auf dem neuesten Stand und so effektiv wie möglich ist. Ich bin bei der Analyse der Sicherheitsprozesse von Unternehmen schon häufiger auf Richtlinien gestoßen, die ganze zwei Jahre zuvor eingerichtet worden waren, ohne dass irgendjemand sie jemals aktualisiert hätte. Es sollte zwei verschiedene Sicherheitsrichtlinien geben: eine für Mitarbeiter und eine, die als Rahmen für die Netzwerk-, System- und Sicherheitsteams des Unternehmens dienen kann.
Richtlinie bei Verstößen: Für jedes Unternehmen ist es von entscheidender Bedeutung, eine Richtlinie zu haben, aus der hervorgeht, was nach einem Verstoß zu tun ist und wie daraus resultierende Probleme anzugehen sind. Die Richtlinie sollte Präventionsmaßnahmen, Schwachstellen des Unternehmens, durchgeführte Tests und einen Reaktionsplan nach Vorfällen berücksichtigen, einschließlich einer Kommunikationsstrategie. Schließlich sollten alle Unternehmen die Vorfälle auswerten, um Einblicke in die gewonnenen Erfahrungen zu erhalten sowie neue Prozesse und Technologien zu benennen, die nach einem Vorfall zum Einsatz kommen.
Sicherheit muss eine hohe Priorität für das gesamte Unternehmen haben – nicht nur für die IT – und Benutzerschulungen sind der erste wichtige Schritt dahin. Nur wenn Mitarbeiter verstehen, wie sie selbst sicher handeln sowie ihr Unternehmen und die Unternehmensdaten sicher behandeln, vermeiden sie unbeabsichtigte Gefährdungen ihres Geschäftsbetriebs.
Über die Autorin: Destiny Bertucci ist Head Geek bei SolarWinds.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/81/06/8106b2001014fc41008d7927aa116962/0125966372v2.jpeg "Unternehmen, die Security by Design von Anfang an als strategischen Faktor begreifen, schaffen eine Cloud-Architektur, die nicht nur sicher, sondern auch zukunftsfähig ist. (Bild: © Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/ee/47eed4f62b025653ef1c70a7ef8a4169/0125924319v1.jpeg "IT-Teams sind oft stark auf klassische Cybersecurity-Maßnahmen fokussiert und verfügen daher meist nicht über die erforderliche Erfahrung, um Sicherheitskonzepte für Produktionsanlagen und Maschinensteuerungen zu entwickeln. (Bild: Dall-E / KI-generiert)")