Trotz steigender IT-Security-Budgets vergeht kein Tag, an dem nicht von neuen Cyberattacken auf Unternehmen berichtet wird. Häufig investieren Unternehmen in die falschen Sicherheitsmaßnahmen meint ISX-Keynote-Sprecherin Kim Braunias, Informationssicherheitsbeauftragte bei FLOYT Mobility. Sie spricht mit uns außerdem über die Risiken kostenloser Dienste und Tools und wie Unternehmen die Balance zwischen Sicherheit und Effizienz finden.
Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023.
(Bild: Privat)
Security-Insider: Frau Braunias, man liest inzwischen fast täglich von erfolgreichen Cyberattacken und gestohlenen Firmendaten. Gleichzeitig geben deutsche Unternehmen aber Jahr für Jahr mehr für IT-Sicherheit aus. Was läuft denn da schief?
Kim Braunias: Es liegt sicher nicht am fehlenden Geld, aber leider wird häufig in die falschen Sicherheitsmaßnahmen investiert und das 1x1 der Informationssicherheit ist nicht verstanden. Zudem gibt es auch immer noch Firmen, die der Auffassung sind, dass eine Cyberattacke sie nicht betreffen wird, da sie „gar nicht so interessant sind“. Das ist eine völlig falsche Annahme und führt dazu, dass einige Unternehmen nichts gegen diese Risiken machen.
Natürlich nimmt die Komplexität der Bedrohungslandschaft immer weiter zu und die Cyberbedrohungen entwickeln sich ständig weiter, was es schwierig macht, immer einen Schritt voraus zu sein. Ein weiterer Grund ist die mögliche mangelnde Umsetzung von Sicherheitsmaßnahmen, welche entweder nicht ausreichend sind, nicht effektiv umgesetzt werden oder einfach nicht zur Unternehmensstrategie passen. Dazu kommen Faktoren wie unzureichende Schulung der Mitarbeiter oder die fehlende Priorisierung der Sicherheit auf Vorstandsebene. Unternehmen sollten nicht nur in technische Lösungen investieren, sondern auch eine umfassende Sicherheitsstrategie entwickeln, die menschliche Verhaltensweisen und organisatorische Prozesse berücksichtigt.
Security-Insider: Was sind denn die klassischen Fehler, die Unternehmen und auch einzelnen Mitarbeitern am häufigsten passieren und die dann zu Datenverlust führen?
Braunias: Natürlich gibt es sehr klassische Fehler, die leider noch viel zu oft auftreten: zu schwache Passwörter, der sorglose Umgang mit vertraulichen Informationen oder auch die fehlende Awareness zum Thema Social Engineering und Phishing. Leider kommt es auch immer wieder vor, dass Mitarbeitende sich nicht trauen einen Vorfall oder ein suspektes Verhalten zu melden. Das führt dazu, dass erst viel zu spät Unregelmäßigkeiten entdeckt werden und der Schaden dann schon größere Ausmaße angenommen hat.
Aber auch die Verwendung von kostenlosen Tools und Cloud-Diensten kann zu einem Datenverlust führen. Der genaue Ablageort und die Sicherheitsvorkehrungen für Daten sind oftmals nicht ausreichend nachvollziehbar, kostenlose Dienste haben nicht die gleichen Sicherheitsstandards wie kostenpflichtige Lösungen, was das Risiko erhöht.
Unternehmen müssen eindeutige Entscheidungen treffen, ob sie kostenlose Tools zulassen wollen. Wenn sie den Gebrauch zulassen, ist es ratsam, eine Übersicht, als eine Art „Contentregister“ zu führen und klare Vorgaben zu machen, welche Art von Informationen dort verarbeitet werden dürfen. Dazu muss man sich mit dem Schutzbedarf der Informationen auseinandersetzen. Auch die Mitarbeitenden müssen verstehen mit welchen Daten sie arbeiten. Das Unternehmen muss eine Strategie entwickeln wie es das Offboarding bei kostenlosen Tools sicherstellen kann und wird.
Security-Insider: Oft sagen Mitarbeitende ja, dass sie gar nicht mehr wissen, wie sie vor lauter Sicherheit ihre Arbeit noch effizient erledigen sollen. Ist das nur ein Gefühl oder trifft das tatsächlich zu?
Braunias: Wahrscheinlich ist es nicht nur ein Gefühl, sondern entspricht auch der Realität. Wenn Mitarbeitende zusätzliche Schritte unternehmen müssen oder Zugriffsbeschränkungen ihre Fähigkeit zur schnellen Aufgabenerledigung einschränken, kann dies zu Frustration und ineffizienten Arbeitsabläufen führen. Viele Unternehmen führen Sicherheitsmaßnahmen nach dem Grundsatz „viel hilft viel“ oder dem „Gießkannenprinzip“ ein. Das beeinträchtigt dann sehr wohl die Mitarbeitenden in ihrer Effektivität. Es ist wichtig, dass Unternehmen die Balance zwischen Sicherheit und Effizienz finden und angemessenen Sicherheitsmaßnahmen einführen. Dazu sind klare Richtlinien, Schulungen und regelmäßige Überprüfungen notwendig.
Jeder Mitarbeitende muss verstehen, wieso welche Sicherheitsmaßnahme eingeführt wurde und welchen Schutzbedarf die zu verarbeitenden Informationen haben und welche Risiken damit verbunden sind. Eine offene, transparente Kommunikation und klar definierte Verantwortlichkeiten sind dabei hilfreich.
Security-Insider: Das Gefühl durch Sicherheit in der Arbeit behindert zu werden darf aber ja trotzdem nicht dazu führen, dass man Security Policies absichtlich umgeht. Wie zieht man denn als Security-Verantwortlicher die Mitarbeiterinnen und Mitarbeiter auf seine Seite?
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Braunias: Es ist von großer Bedeutung, die Mitarbeitenden für die Informationssicherheit zu sensibilisieren und ihr Verständnis sowie ihre Unterstützung zu gewinnen. Eine effektive Kommunikation spielt hierbei eine zentrale Rolle. Es ist wichtig, regelmäßig und transparent über die Gründe und Ziele der Sicherheitsrichtlinien zu informieren. Dabei sollten die potenziellen Risiken und Auswirkungen von Sicherheitsverletzungen verständlich erklärt werden, um das Bewusstsein für die Bedeutung der Sicherheitsmaßnahmen zu stärken. Durch eine kombinierte Herangehensweise, die auf Kommunikation, Schulungen, Beteiligung und Benutzerfreundlichkeit basiert, können Verantwortliche die Mitarbeitenden erfolgreich auf ihre Seite ziehen und eine sicherheitsbewusste Kultur im Unternehmen fördern.
Security-Insider: Wie sollten denn Sicherheitskonzepte und Security-Awareness-Programme umgesetzt sein, damit wirklich alle im Unternehmen bei der Datensicherheit am selben Strang ziehen?
Braunias: Zunächst sollten Sicherheitskonzepte alle relevanten Aspekte der Informationssicherheit abdecken. Das beinhaltet nicht nur technische Sicherheitslösungen, sondern auch den menschlichen Faktor.
Eine klare Führung und die Unterstützung der Geschäftsführung sind entscheidend. Wenn das Management Informationssicherheit als Priorität behandelt und dies aktiv kommuniziert, werden die Mitarbeitenden eher bereit sein, sich zu engagieren und die Sicherheitsmaßnahmen zu unterstützen. Andernfalls ist das gesamte Projekt zum Scheitern verurteilt und erhöht das Risiko eines Datenverlusts ungemein.
Sicherheitsrichtlinien und -verfahren sollten leicht verständlich und umsetzbar sein, um die Akzeptanz und Einhaltung durch die Mitarbeitenden zu erhöhen und zu fördern. Dabei ist es entscheidend lösungsorientiert und risikobasiert vorzugehen, um das Vertrauen der Mitarbeitenden nicht zu verspielen.
Über die ISX IT-Security Conference
Die ISX 2023 findet am 28. Juni in Hamburg, am 4. Juli in Mainz und am 6. Juli in München statt. Für Anwender ist die Teilnahme an der ISX kostenfrei. IT-Dienstleister nehmen mit dem Zugangscode ISX23-SEI zum reduzierten Preis von 75 Euro (inkl. MwSt.) teil.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/8f/0f8f5b211d133aa3ef2ae32b274d1296/0129055352v2.jpeg "Model-Confusion-Angriffe können dazu führen, dass Entwickler unwissentlich schadhafte KI-Modelle installieren, was ernsthafte Sicherheitsrisiken zur Folge hat und die Integrität legitimer KI-Anwendungen gefährdet. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/da/83da562438dce687572cd0c63e3d0e70/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/1a/bc/1abcaed7d0b8ad46684a15801ba40cad/0125064855v1.jpeg "Auch unterwegs sicher verbunden: Die neuen Geschäftskundentarife der Telekom stärken die Vernetzung in kleinen und mittleren Unternehmen. (Bild: Deutsche Telekom AG)")
:quality(80)/p7i.vogel.de/wcms/fa/8b/fa8be687c60cf2ea82c31bde06feb8d9/0127526694v2.jpeg "Cybersicherheit wird Teil der Unternehmenskultur, wenn Führungskräfte sie vorleben und Mitarbeitende motiviert Verantwortung übernehmen. (Bild: © peopleimages.com - stock.adobe.com)")