Vieles hat sich 2020 auf eine Art verändert, die kaum vorherzusehen war. IT-Sicherheit aber bleibt Kernthema für die meisten Unternehmen. Gleichzeitig schrumpft das Vertrauen von Unternehmen in ihre Fähigkeit, diesen Bedrohungen effektiv zu begegnen.
Relevantes Wissen rund um die Sicherheit von IT-Systemen muss in jedem Team verankert sein.
Während die allgegenwärtige Vernetzung mehr potenzielle Angriffspunkte für Hacker öffnet, sehen sich Entscheiderinnen und Entscheider pandemiebedingt mit neuen Bedrohungen – einem deutlichen Anstieg an intelligentem Phishing und COVID-19 bezogener Malware – konfrontiert. Innerhalb kürzester Zeit sind ganze Abteilungen oder gar Unternehmen zum Homeoffice als Standardarbeitsplatz übergegangen.
Die Mischung aus ständiger Verunsicherung durch die Pandemie und mehr digitalen Interaktionen erhöht das Risiko, dass schädliche Clickbaits erfolgreich sind. Digitale Sicherheit in Unternehmen erfordert von Organisationen die Fähigkeit, dynamisch auf eine sich ständig verändernde Bedrohungslandschaft zu reagieren.
Dies ist oft jedoch nicht die Stärke traditioneller Sicherheits-Frameworks oder Fertiglösungen. Weitaus mehr als das Anwenden von Standardlösungen müssen Unternehmen ein neues Mindset rund um IT-Sicherheit in ihren Teams etablieren. Doch wie können sie das erreichen?
IT-Sicherheit fängt mit dem Erkennen von Schwachstellen an
Der erste Schritt hin zu einem neuen Sicherheitsbewusstsein in Unternehmen ist es, sich den neuen Sicherheitsrealitäten zu stellen, die durch die Verbreitung von Vernetzung, Daten und Cloud-basierten Computing-Modellen entstehen. Entscheider*innen tun gut daran, die IT-Struktur ihres Unternehmens auf mögliche Sicherheitsbedenken hin zu evaluieren.
Oft unterschätzen Unternehmen beim Einsatz von Cloud Computing beispielsweise ihre eigene Verantwortung für Cyber-Sicherheit bei der Zusammenarbeit mit Cloud-Providern. Auch Datenschutz und Datensicherheit, insbesondere hinsichtlich der Sicherheit von Endkundendaten, gewinnen an Bedeutung; denn das Verständnis, die Perspektiven und Haltungen der Nutzerinnen und Nutzer sowie Regierungen und Rechtsprechung haben sich verändert.
Gleichzeitig werden exponentiell mehr Daten erhoben, gespeichert und im Rahmen von Business Intelligence verarbeitet. Damit entstehen sehr viel größere und interessantere Ziele für Cyberkriminelle.
Das Internet of Things kann ebenfalls ein Einfallstor für Cyberbedrohungen sein: Da immer mehr vernetzte Geräte an kritischen Punkten im Produktionsprozess eingesetzt werden oder in engeren Kontakt mit Angestellten und der Kundschaft kommen, vergrößert sich die Angriffsfläche des Unternehmens. Unglücklicherweise haben viele IoT-Geräte außerdem nach wie vor deutliche Sicherheitslücken. Oft werden unsichere Default-Konfigurationen oder Passwörter bereitgestellt und von Usern nicht geändert.
All diese Risiken bekommen heute neue Aufmerksamkeit. Einerseits weil mehr und mehr von Heimarbeitsplätzen aus gearbeitet wird, andererseits weil die Grenzen zwischen privaten und beruflichen Geräten seit Jahren verschwimmen.
Nicht außer Acht gelassen werden sollten außerdem komplexe Lieferketten. Unternehmen tendieren dazu, sich auf ihre eigenen Sicherheitspraktiken zu konzentrieren und dabei das Risiko zu unterschätzen, das sich aus den vernetzten Komponenten verschiedener Software-Dienstleister, Lieferanten und Vertriebspartner ergibt.
IT-Sicherheitsrisiken haben ihren Ursprung häufig in einem schwachen Glied in der Kette, in einem Baustein, der nicht die angemessenen Software-Sicherheitsstandards erfüllt. Das Einhalten dieser Standards über alle Komponenten hinweg lässt sich leider nicht verkürzen, sodass eine einzelne Schwachstelle die Sicherheit des gesamten Systems gefährdet.
Von der Sicherheitsstrategie zur Sicherheitskultur
Technologie, Zero-Trust-Architekturen und Training können helfen, solche Herausforderungen besser zu bewältigen. Dennoch können auch die kompetentesten Teams heute nur bessere Ausgangsvoraussetzungen in Sachen IT-Sicherheit schaffen. Jeder Schutz ist potenziell fehlbar und gelegentliche Rückschläge sind unvermeidlich.
Anstatt sich also vollständig darauf zu konzentrieren, das Unternehmen unangreifbar zu machen, müssen leitende Angestellte daran arbeiten, wie Sicherheit wahrgenommen wird. Die größte Herausforderung dabei ist das Mindset der Mitarbeiterinnen und Mitarbeiter. Zunächst müssen Unternehmen daran arbeiten, dass Sicherheit als gemeinschaftliche Aufgabe und nicht als die Verantwortung eines einzelnen Teams verstanden wird.
Eine enge Zusammenarbeit zwischen den Abteilungen im Unternehmen, für die etwas auf dem Spiel steht, und denjenigen, die technische Systeme bereitstellen, ist zentral für ein sinnvolles Risikomanagement. Sicherheit ist kein binärer Zustand.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Während IT-Profis unter Umständen nicht verstehen, welcher Wert oder welches Risiko mit einem bestimmten Datensatz verbunden ist, leben Angestellte anderer Funktionsbereiche (z.B. die Rechtsabteilung oder die Personalverwaltung) genau diese Information jeden Tag. Diese Fachabteilungen wissen in der Regel sehr genau, was auf dem Spiel steht, im Gegensatz zu Menschen, deren Expertise es ist, die Firewall zu konfigurieren.
Unternehmen können eine partnerschaftliche Sicherheitskultur fördern, indem sie ihr Sicherheitsteam als interne Consultants einsetzen. Wenn Sicherheitsexperten in Projektteams eingebunden sind, werden angemessene Sicherheitsmaßnahmen direkt in den Entwicklungsprozess eingebettet und entlang der realistischen Risiken bewertet. Es gilt zu verhindern, dass Sicherheitsanforderungen und -bewertungen ausschließlich zu Beginn und am Ende eines Projekts Beachtung finden, denn diese führen regelmäßig zu schmerzhaften und potenziell teuren Sicherheitsvorfällen.
Wenn Cross-funktionale Teams mit IT-Sicherheitskompetenzen ausgestattet werden, lassen sich Risiken dann adressieren, wenn sie entstehen. So reduzieren Unternehmen Situationen, in denen sich Anforderungen an die Software über die Zeit ändern, Sicherheitsteams diese aber erst spät im Entwicklungsprozess identifizieren. Dies sind dann häufig Vorfälle, aufgrund derer wichtige Go-Live-Termine verschoben oder Sicherheitsmaßnahmen teuer nachgerüstet werden müssen.
Ein Umbau hin zu einer demokratischeren Sicherheitsorganisation bedarf oft sensibler organisatorischer Veränderungsprozesse, die das Gleichgewicht von Kontrolle und Verantwortlichkeit neu definieren. Diese bedürfen einer Mischung aus Management Support, klarer Kommunikation und Incentivierung über alle Unternehmensebenen hinweg.
Kolleginnen und Kollegen näher an der Basis verstehen unter Umständen nicht direkt, dass sie nun auch für die Sicherheit ihrer Produkte und für die sensible Risikoabwägung bei der Priorisierung von Features inklusive ihrer Sicherheitsanforderungen verantwortlich sind. Es ist zentral, ein fundiertes Bewusstsein bei allen Angestellten zu schaffen.
Dazu müssen diese darüber informiert sein, was kritisch für den Unternehmenserfolg ist, was zentrale Geschäftswerte sind, welche Informationen öffentlich geteilt werden können und welche nicht. Wenn unsere neue Normalität virtuell und sozial ist, dann müssen wir kritisches Denken fördern – nicht nur beim Programmieren, sondern in allen alltäglichen Geschäftsaktivitäten.
Dem Fachkräftemangel durch neue Sicherheitskultur begegnen
Aus der kollektiven Entwicklung von Sicherheitskompetenzen ergibt sich ein weiterer Vorteil: Es kann Unternehmen helfen, den massiven Fachkräftemangel im IT-Sicherheitsbereich abzufedern. Wenn die Sicherheitskenntnisse im gesamten Unternehmen gestärkt werden, anstatt sich ausschließlich auf Expertinnen zu verlassen, verringert sich automatisch das Defizit an Talenten.
Zwar haben IT-Security-Spezialisten ihren speziellen Platz, IT-Sicherheit selbst aber kann nicht isoliert betrachtet werden. Relevantes Wissen rund um die Sicherheit von IT-Systemen muss in jedem Team verankert sein. Unternehmen brauchen Teams, die im richtigen Moment sicherheitsrelevante Fragen identifizieren und verstehen, was es braucht, um angemessene Maßnahmen zu priorisieren.
Fazit: Sicherheitsdenken als neuer Performance-Indikator
Kontrollen, die von oben verordnet werden, können keine Kultur geteilter Sicherheitsverantwortung etablieren. Insbesondere müssen Anreize geschaffen werden, die auf das wesentliche Ziel von IT-Sicherheit hinwirken: Mehrwert für das Unternehmen zu schaffen. Diese Anreize müssen der Haltung entgegenwirken, zwischen Wertschöpfung und Sicherheit zu entscheiden.
Oft sind Performance-Indikatoren in Bezug auf Sicherheit allerdings so definiert, dass nicht der Mehrwert im Fokus steht und teilweise sogar kontraproduktives Verhalten belohnt wird. So wird zum Beispiel häufig noch immer die reine Anzahl an Sicherheitsvorfällen gemessen, was dazu führen kann, dass Vorfälle einfach nicht mehr gemeldet werden. Auf diese Weise können Unternehmen aber nie besser werden.
Lisa Junger
(Bild: Alina Cürten / www.cuerten.pro)
Unabhängig davon, wie IT-Sicherheit bewertet und gefördert wird, ist es so gut wie sicher, dass jedes Unternehmen irgendwann mit einem Vorfall oder einer Sicherheitsverletzung konfrontiert wird. Wichtig ist Transparenz während der Behebung des Vorfalls und ein „Post-Mortem“ ohne Schuldzuweisungen, sondern mit Fokus auf der Verbesserung des Gesamtsystems. Ein Sicherheitsvorfall muss nicht gleichbedeutend mit einer Katastrophe sein, wenn das Unternehmen sich um den ersten Schritt gekümmert hat – Planung, Übung und Vorbereitung.
* Lisa Junger ist Information Security Lead bei ThoughtWorks.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3a/09/3a09946ff12c2ff220edd2cbf77e593d/0129895217v1.jpeg "In der Nachrichtensendung von Geo News vom 1. März 2026 brach das Signal ab, während Angreifer eigene Inhalte einspeisten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/18/d418b1e7e2ee34ca123e80d4e921cab7/0129875056v2.jpeg "2025 erreichten OT-Schwachstellen ein Rekordniveau mit 2.155 veröffentlichten CVEs. Doch 78 Prozent aller identifizierten Schwachstellen fehlen in offiziellen CISA-Advisories. Betreiber kritischer Infrastrukturen müssen ihre Informationsquellen über CISA hinaus erweitern, um das tatsächliche Risiko zu erfassen. (Bild: © Viktor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/a7/2fa79f6402a1117c8496159a24092fc6/0129859499v2.jpeg "Governance wird unter NIS2 zur sicherheitskritischen Funktion: Geschäftsleitungen müssen Cyberrisiken aktiv steuern, Entscheidungen nachweislich treffen und können die Verantwortung nicht mehr einfach delegieren. (Bild: © Khfd - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/36/8a36b00d7f6be97b488df00401360c18/0129877671v1.jpeg "Jailbreaking und andere Angriffe auf KI-Systeme erfordern neue Sicherheitsansätze. Unternehmen müssen Schutzmechanismen außerhalb des Modells verankern und KI-spezifisches Red-Teaming einsetzen. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/95/9b95467aad0c6c19529d9ccb0edb0ce5/0129748679v2.jpeg "Ein Cyberkrimineller konnte 150 Gigabyte an Daten von mexikanischen Behörden stehlen. Darunter Informationen zu Steuerzahlungen, Ausweisdaten, Registerdaten, Mitarbeiterzugangsdaten sowie Betriebsdaten. (Bild: Benjamin - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c4/36/c436aa200af465e47517ac7e08a02d92/0129642309v1.jpeg "Kräftebündelung für mehr Governance: (v.l.) Joschka Fischer (Außenminister und Vizekanzler a.D.), Martin Merz (President of SAP Sovereign Cloud), Frédéric Munch (CEO Sopra Steria Deutschland und Österreich), Benjamin Haddad (französischer Europaminister), François Delattre (französischer Botschafter in Deutschland). (Bild: Julian Reith)")
:quality(80)/p7i.vogel.de/wcms/97/c2/97c233365254f16ac4f7fda04075660c/0129380266v1.jpeg "Cohesity Data Cloud: Werden beim Scan verdächtige Dateien gefunden, werden diese mit Kompromittierungsindikatoren angezeigt. (Bild: Cohesity)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/7d/f37dc8c76ed53109bcb9f0685833b476/0129556118v1.jpeg "Die neue App soll Unternehmen helfen, die eigene Krisen-Resilienz zu überprüfen. (Bild: © Wanan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei einem amerikanischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/06/8306e6732e1cdfca7c3c5f7667d0a31a/0129631503v2.jpeg "Das aktuelle Ransomware-Ökosystem zeichnet sich durch einen kontinuierlichen Anstieg an Angriffen in der DACH-Region aus, der durch eine arbeitsteilige Struktur unter Cyberkriminellen und Millionen kompromittierter Accounts im Darknet gefördert wird. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/b9/75b947d0d652fabc454a61cb164dbbb6/0129898446v2.jpeg "Evrotrust, Anbieter für digitale Identitäts- und qualifizierte Vertrauensdienste mit Hauptsitz in Sofia, gründet mit der Evrotrust Technologies GmbH eine Niederlassung in Deutschland. (Bild: Evrotrust)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/06/32/0632195a655b751a91f80629c51a59f8/0125839292v4.jpeg "Mit dem Anstieg von Echtzeit-Zahlungssystemen gewinnt für Unternehmen die unmittelbare Reaktion auf Betrugsversuche an entscheidender Bedeutung. (Bild: © ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/3f/a23f06b1e52cc3e10b5af823d7de13b0/0128405508v2.jpeg "SAP-Landschaften werden häufig angegriffen, weil die Systeme geschäftskritische Daten bündeln und technische sowie organisatorische Schwächen attraktive Angriffspunkte bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")