Die Rolle der Sicherheitsteams in Unternehmen hat sich durch die Fernarbeit der letzten Monate stark gewandelt. Waren sie in der Vergangenheit vorrangig um die Früherkennung und das Abwehren von Bedrohungen bemüht, entwickeln sie sich in Zeiten von Remote Work zu Wegbereitern für eine einheitliche Sicherheitsstrategie in ihren Firmen.
Es ist an der Zeit, dass die Security-Experten ihren Ruf als Geschäftsblockierer loswerden und sich als Wegbereiter der Transformation präsentieren.
Die digitale Transformation hat für 89 Prozent der Unternehmen in Europa Priorität, wie eine aktuelle IDC-Studie bestätigt. Zu Veränderungen auf organisatorischer Ebene hat das jedoch bislang kaum geführt. Erst Corona hat die Firmen zum Umdenken veranlasst. Viele ergreifen jetzt Maßnahmen, um sich auf künftige Störungen vorzubereiten – vor allem im Hinblick auf das sichere Arbeiten im Home Office und unterwegs.
Dazu gehört auch eine verstärkte Konzentration auf die operative Beweglichkeit, die jetzt und in Zukunft von entscheidender Bedeutung für Unternehmen sein wird. Sich agil aufstellen zu können, setzt jedoch einen kulturellen Wandel voraus: Jede Abteilung muss Verantwortung übernehmen und Veränderungen vorantreiben. Das gilt vor allem für Sicherheitsexperten, denn bei Veränderungen spielt das Risiko-Management eine besonders wichtige Rolle.
Laut IDC betrachtet jedoch noch immer ein Drittel (37 Prozent) der deutschen Manager das Thema Sicherheit als Innovationsblockade, Compliance-Hürde oder notwendigen Kostenpunkt. Das sind zwar knapp zehn Prozent weniger als noch vor zwei Jahren, trotzdem führt diese Einstellung nach wie vor zu einer negativen Reputation der Sicherheitsbeauftragten. Das zeigt auch eine weitere Zahl: 59 Prozent der deutschen Unternehmen versäumen es, ihre Sicherheitsexperten in die Planung neuer Geschäftsinitiativen einzubinden.
Was aber können die Sicherheitsverantwortlichen tun, um ihre Reputation zu verbessern und gleichzeitig die wachsenden operativen Herausforderungen zu bewältigen?
Bisheriger Fokus: Brandbekämpfung
Risiken sind wesentliche Bestandteile der Unternehmensführung. Kein Change-Prozess verläuft ohne Risiko. Genau das macht es aber so schwierig, die Sicherheitsexperten als Wegbereiter und Treiber der digitalen Transformation zu positionieren. Denn das widerspricht dem traditionell an sie gestellten Anspruch, alle Risiken zu „blockieren“. Daher fällt es den Sicherheitsteams der meisten deutschen Firmen schwer, ihren Geschäftswert über den Technologieeinsatz und die Bekämpfung von Bedrohungen hinaus zu demonstrieren.
Unternehmen von heute operieren auf globaler Ebene. Sie arbeiten mit Firmen auf der ganzen Welt zusammen und nutzen eine Vielzahl unterschiedlicher Technologien, mit denen die Produktivität und Effizienz gesteigert werden soll. Aufgrund der vielen verschiedenen Plattformen und dem damit verbundenen Wartungsaufwand ist aber häufig das Gegenteil der Fall. Erschwerend hinzu kommen Risiken durch die eigenen Mitarbeiter. Trotz der steigenden Zahl von Datenverstößen haben die meisten Arbeitnehmer in Deutschland ein recht fragwürdiges Sicherheitsverhalten. Das Wiederverwenden von Passwörtern auf verschiedenen Plattformen ist gang und gäbe. Und immer wieder werden Mitarbeiter Opfer von Phishing-Angriffen. Daher konzentrieren sich die Sicherheitsteams vorrangig auf die alltägliche „Brandbekämpfung“. Für langfristige Optimierungsprojekte im Rahmen der Business Transformation bleibt meist keine Zeit.
Aber was können Sicherheitsbeauftragte tun, um nicht als Geschäftsblockierer wahrgenommen zu werden? Wie können sie ihr Wirken proaktiv unter Beweis stellen?
Ein guter Ansatzpunkt besteht darin, sich auf die Bereiche zu konzentrieren, die beim Vorstand besonders angesehen sind. Dazu zählt laut IDC-Studie vor allem die Optimierung des Risiko-Managements: 36 Prozent der befragten Führungskräfte in Deutschland erwarten sich davon den größten Mehrwert. Die Einführung eines umfassenden Identitäts- und Zugriffsmanagements (IAM) ist daher eine gute Möglichkeit für das Sicherheitsteam, sich strategisch zu positionieren.
Um die IAM-Erfahrung für die Anwender so nahtlos wie möglich zu gestalten, stehen verschiedene Werkzeuge zur Verfügung. Entscheidend ist dabei eine eng verzahnte Sicherheitsumgebung, die bestimmte Schlüsselkomponenten umfassen sollte – darunter Single-Sign-On-Fähigkeiten (SSO), Multi-Faktor-Authentifizierung (MFA), Enterprise Password Manager (EPM) sowie Management-Dashboards. Im Zusammenspiel tragen diese Tools dazu bei, den potenziellen Schaden, der durch ein mangelndes Sicherheitsbewusstsein der Mitarbeiter entsteht, zu begrenzen.
Allerdings erhöht der Einsatz unterschiedlicher Tools die Komplexität und kann unter Umständen sogar kontraproduktiv sein. Um einen geschäftlichen Nutzen zu erzielen, empfiehlt es sich daher, die Lösungen unter einer Identität zu vereinheitlichen.
Vereinheitlichte Sicherheit dank IAM
Das bedeutet, dass Unternehmen ihre heterogene Sicherheitsinfrastruktur in einem ganzheitlichen Ökosystem integrieren und zentralisieren müssen. Mit diesem Ansatz lässt sich der Betrieb verbessern, was wiederum die Wartung erleichtert. So kann die IT durch das integrierte Konzept laut IDC-Studie 99 Tage im Jahr für Wartung und Verwaltung einsparen. Der größte Vorteil des einheitlichen Sicherheitsansatzes ist demnach die Mitarbeiterbindung, gefolgt von einer höheren Kosteneffizienz sowie von der Fähigkeit zur schnellen Reaktion auf Sicherheitsvorfälle.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Mit solchen Argumenten können sich die Verantwortlichen beim Vorstand besser Gehör verschaffen. Denn in einer integrierten Sicherheitsumgebung werden sich wiederholende Prozesse automatisieren, so dass sich das Security-Team auf anspruchsvollere Aufgaben konzentrieren kann. Natürlich bleiben Kostenreduzierung und operative Effizienz von zentraler Bedeutung, um die Auswirkungen auf das Business zu belegen. Aber sie sollten nicht die einzigen Argumente sein.
IT-Teams müssen Business-Sprache sprechen
Bei einem Best-of-Breed-Identity-Ansatz profitieren Unternehmen von Vorteilen wie einem effektiveren Risiko-Management und mehr Kosteneffizienz. Darüber hinaus können die Sicherheitsbeauftragten damit ihren Wert unter Beweis stellen, indem sie dem Vorstand die Vorzüge überzeugend vermitteln.
Dabei sollten sich die Experten nicht zu sehr auf technische KPIs wie die Menge der transportierten Daten oder die Anzahl der Systeme mit bekannten Schwachstellen konzentrieren. Vielmehr sollten sie sich auf KPIs stützen, die sich auf Geschäftsergebnisse beziehen. Mit Messgrößen zu Kostenreduktion, Personalauslastung, Risikominderung und Compliance können sie auf Vorstandsebene die größte Resonanz erzielen:
Kostenreduktion: Die Integration unterschiedlicher Identity-Tools in eine End-to-End- Plattform steigert die Kosteneffizienz und verbessert die Personalauslastung.
Risikominderung: Intuitive Zugriffsprozesse fördern ein richtlinienkonformes Verhalten und sorgen so für ein durchgehend höheres Sicherheitsniveau.
Compliance: Die Fähigkeit, nachzuverfolgen, wer Zugriff auf welche Anwendungen und Daten hat, unterstützt die Einhaltung gesetzlicher Vorschriften.
Das Thema Sicherheit muss strategisch betrachtet werden
Eine Bestandsaufnahme der gewonnenen Erkenntnisse wird den IT-Teams zeigen, welche Anwendungen sich für eine remote arbeitende Belegschaft bewährt haben und wie sich unnötige Risiken durch eine verbesserte Sicherheitsarchitektur verringern lassen. Damit Unternehmen ihr Wachstum wieder beschleunigen und sich agil aufstellen können, muss die digitale Transformation Wirklichkeit werden. Und das ist nur mit einer starken und einheitlichen Sicherheitslandschaft machbar.
Es ist an der Zeit, dass die Security-Experten ihren Ruf als Geschäftsblockierer loswerden und sich als Wegbereiter der Transformation präsentieren. Voraussetzung dafür sind proaktive Schritte, um das Sicherheitsbewusstsein im gesamten Unternehmen zu verbessern und um Zeit und Ressourcen freizusetzen, die für längerfristige Optimierungsprojekte benötigt werden. Um sich strategischer aufzustellen, müssen die Sicherheitsteams glaubwürdig auftreten und ihre Argumente in einer Sprache vorbringen, die auch auf der Vorstandsebene Gehör findet.
Über den Autor: Barry McMahon ist Senior Manager, Identitäts- und Zugriffsmanagement bei LogMeIn und Schöpfer von LastPass. LastPass ist Gold-Winner in der Kategorie Access-Management beim Security-Insider Readers' Choice Award 2020.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/images.vogel.de/vogelonline/bdb/1764300/1764383/original.jpg "Passwörter werden auch in Zukunft nicht vollständig verschwinden. Unternehmen brauchen also eine Lösung, die passwortlose Authentifizierung und die Verwaltung von Zugangsdaten intelligent kombiniert. (gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/04/a9/04a9ba30fdb5e8d6aad39bfcc960ba4f/0123563972v1.jpeg "Diese 6 Empfehlungen sollten Sicherheitsverantwortliche beachten. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a4/1c/a41cc1f986263cb12249c92174e7c61d/0124202268v1.jpeg "Eine digitale Welt ohne Gefahren: Diese Vorstellung gleicht einem Schlaraffenland. Doch wer im Vorfeld gut plant, den kann auch eine Cyberattacke nicht allzu sehr aus der Bahn werfen. Entscheider sollten nur wissen wie – und aktiv handeln. (Bild: notarobotyet - stock.adobe.com)")