IT-Security ist heute eines der wichtigsten IT-Themen. Trotzdem tun sich viele Unternehmen immer noch schwer mit der Wahl der angemessenen Instrumente für ein effektives IT-Risk-Management. Welche Fehler müssen Unternehmen unbedingt vermeiden?
Einer der häufigsten Fehler im Risk-Management ist die mangelnde Abstimmung zwischen Security-Maßnahmen und Geschäftsstrategie.
(Bild: iQoncept - stock.adobe.com)
Führungskräfte in Unternehmen räumen der IT-Security höchste Priorität ein und sehen sie als strategisches Risiko, das es zu managen gilt. Umfragen unter Führungskräften und Vorstandsmitgliedern deuten nach wie vor darauf hin, dass sie dieser Aufgabe noch nicht gerecht werden. IT-Security-Experten sind von diesen Ergebnissen nicht sonderlich überrascht, da das IT-Security-Management in den Unternehmen meist noch sehr unausgereift ist und viele Führungskräfte mit einem effektiven Management von Sicherheitsrisiken kämpfen. Das bedeutet, dass viele Unternehmen in diesem Bereich noch immer viele Fehler begehen. In der Folge sind die größten Kardinalfehler skizziert, die am häufigsten in den Praxis anzutreffen sind:
Risiko ist nicht gleich Risiko
Angesichts der immer länger werdenden Liste von Bedrohungen, Angriffsvektoren und Schwachstellen, könnten Unternehmen versucht sein, sich mit allen zu befassen. CISOs und Berater sind jedoch gleichermaßen der Meinung, dass ein solch breiter Ansatz definitiv ein Fehler ist. Stattdessen empfiehlt sich eine gezielte Vorgehensweise. Dafür fehlt es oft an einer klaren Vorstellung davon, an welcher Stelle und gegen wen Unternehmen besonders verwundbar sind.
Aus diesem Grunde sollten sie über die Wahrscheinlichkeiten von Bedrohungen und deren Auswirkungen nachdenken. Zu oft starren Unternehmen auf die neusten, schillerndsten Angriffe. Wenn man aber seine größten Risiken analysiert und weiß, wer es womöglich auf einen abgesehen hat und was er dafür benutzt, kann man ein gezieltes Programm zur Risikominderung entwickeln und sich auf die Angriffe konzentrieren, die einem am ehesten Probleme bereiten könnten.
Fehlende Abstimmung von Sicherheit und Geschäft
Viele Unternehmen analysieren nicht, was für das Unternehmen wirklich wichtig ist. Sie messen zwar die technischen Risiken, aber nicht die Auswirkungen auf das Unternehmen. Da sie meist noch zu sehr mit den Tools und dem Zählen von Schwachstellen beschäftigt sind. Das sind jedoch keine Maßstäbe für die Risiken eines Unternehmens! Das heißt, die Verantwortlichen müssen das Risiko an den Sachverhalten festmachen, die für das Unternehmen wichtig sind. In diesem Zusammenhang wird es oft versäumt, die Risikodefinitionen abzustimmen und festzulegen, was als ein (noch) akzeptables Risikoniveau betrachtet wird, was die Kluft zwischen Sicherheit und Unternehmen weiter vergrößert und ein effektives Risk-Management erschwert oder gar unmöglich macht.
Dabei kann es vorkommen, dass die Unternehmen die Risiken und seine möglichen Auswirkungen auch nicht realistisch genug einschätzen. Hierzu ist zwischen dem eigentlichen Risiko und einem Restrisiko zu unterscheiden, das nach der Implementierung von Kontrollen und Maßnahmen der Risikominderung verbleibt. Zu diesem Zweck sollten Unternehmen zu den jeweiligen Geschäftszielen die verbundenen Risiken definieren. Gleichzeitig ist darzulegen, wie das Risiko in welchem Maße und zu welchen Kosten verringert werden kann. Damit können beispielsweise CISOs sehr leicht erklären, warum gerade eine bestimmte Maßnahme für das Unternehmen so besonders wichtig ist und ein bestimmtes Budget erfordert.
Begrenzter Überblick
Führungskräfte neigen dazu, die Risiken nur für Teile ihres Unternehmens zu managen, weil sie sie ihre Firma nicht gänzlich, sondern nur partiell wahrnehmen. Das heißt, dass viele CISOs nicht über ein vollständiges IT-Inventar oder eine vollständige Liste aller Drittanbieter und Cloud-Anwendungen verfügen, die von Mitarbeitern und Geschäftseinheiten genutzt werden. Somit führen viele Unternehmen Risikobewertungsprogramme auf der Basis eines Inventars durch, das nicht vollständig ist. Das kann unterschiedliche Gründe haben. Manchmal sind übernommene Unternehmen nicht vollständig in das Mutterunternehmen integriert. Oder bestimmte Abteilungen betreiben ihren eigenen Technologiebetrieb und errichten Mauern um diese Silos.
Daraus folgt, dass in solchen Fällen die Risiken für das Unternehmen als Ganzes kaum einschätzbar sind. Gleichzeitig eröffnet sich nur ein begrenzter Überblick, weil keine Metriken verwendet werden, die dabei helfen, das Risiko zu quantifizieren und zu beobachten, wie es sich im Laufe der Zeit verändert. Kleine bis mittelgroße Unternehmen erstellen oft wegen restriktiver Budgets oder fehlendem Knowhow keine Risikokennzahlen. Wogegen große dies manchmal unterlassen, weil sie von der Komplexität einer solchen Maßnahme überfordert sind.
Checklisten werden zum Selbstzweck
Die Herausforderungen als auch Komplexität des Risk-Managements haben dazu geführt, dass sich Unternehmen zu sehr auf die Verwendung von allgemeinen Checklisten zur Einhaltung von Vorschriften und Bestimmungen konzentrieren. Sinnvoller wäre es, die besonderen Bedürfnisse der eigenen Organisation zu verstehen, Sicherheitsinitiativen auf die Geschäftsstrategie abzustimmen und Lücken in ihrem Sicherheitsprogramm zu schließen. Damit ist keine pauschale Absage an Checklisten gemeint, sondern die Priorisierung auf die Anforderungen des Unternehmens und nicht die der Checklisten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Zeitliche Perspektive bleibt unberücksichtigt
Obwohl Sicherheits- oder Compliance-Audits der Unternehmensleitung einen Hinweis darauf geben können, wie gut ein Sicherheitsprogramm funktioniert, warnen Experten eindringlich davor, dass damit meist nur die Performance zum Zeitpunkt des Audits angezeigt und nicht der zukünftige Erfolg garantiert wird. Insbesondere, wenn man bedenkt, wie schnell sich neue Bedrohungen entwickeln und wie schnell Sicherheitsrichtlinien und Risikobewertungen geändert werden müssen, um effektiv gegenzusteuern.
Häufig führen Unternehmen zwar immer wieder einmal Audit-Prozesse durch, aber sie nutzen keine Echtzeit-Bedrohungsdaten, um zu klären, welche Risiken für ihr Unternehmen in diesem Moment relevant sind. Sinnvoller wäre eine kontinuierliche Bewertung der Bereiche, die für sie höchste Priorität darstellen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/5a/d1/5ad16ba2f5e9aa2fdb698e285e0cfc8d/0126634195v2.jpeg "Exposure Management bewertet Risiken im Kontext von Geschäftsprozessen und macht Cybersicherheit zu einer Managementaufgabe. (Bild: © chiew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/10/771090f3706a1998e0dc3002402e8428/0124885214v2.jpeg "CISOs haben einen harten Job. Es ist nicht verwunderlich, dass die durchschnittliche CISO-Amtszeit nur zwei bis vier Jahre beträgt. (Bild: © adam121 - stock.adobe.com)")