Aktuelles zur Informationssicherheit

A K T U E L L E S

Hier finden Sie aktuelle Beiträge und News rund um das Thema Informationssicherheit.

ISO 27001 und die Gesetze

Gesetzgebung für NIS2

Nach der DSGVO mit ihren Anforderungen, die jedes Unternehmen umsetzen musste, kam nun das komplizierte BSIG (NIS 2) mit Sicherheitsanforderungen, die gerade Mittelständler und kleinere Betriebe aus IT-fremden Branchen vor große Probleme stellte
und noch immer stellt.

Mit NIS 2 bzw. BSIG wurde das Thema digitalte Sicherheit mal wieder auf den Tisch geholt. Nur dieses Mal ist etwas anders. Dieses Mal wird die Geschäftsleitung selbst in die Pflicht genommen (§38 BSIG). Die Geschäftsführung trägt persönlich die Verantwortung für die Umsetzung und Überwachung von Risikomanagementmaßnahmen und muss sich schulen lassen und Kenntnisse erlangen über „Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik“.

Da man als Geschäftsführer gerade dabei ist, stellt sich die Frage: Gibt es eigentlich noch andere Gesetze, die etwas ähnliches fordern?

Oh ja.

Und Spoiler-Alert: Ein Managementsystem wie die ISO 27001 erfüllt sehr viele Anforderungen aus den folgenden Gesetzen und Verordnungen – ein Managementsystem für sehr viele Probleme.

  • Datenschutzgrundverordnung
    Die DSGVO fordert an verschiedenen Stellen Maßnahmen zum Schutz Personen bezogener Daten.
  • IT-Sicherheitsgesetz 2.0
    Änderungsgesetz. Im wesentlichen finden sich die Änderungen im BSIG wieder.
  • DORA
    EU-Verordnung speziell für den Finanzsektor mit detaillierten Anforderungen an das IKT-Risikomanagement (IKT: Informations- und Kommunikationstechnologie)
  • KRITIS-Dachgesetz
    Während NIS 2 (BSIG) auf die Cybersicherheit fokussiert, kümmert sich das KRITIS-Dachgesetz primär um die physische Resilienz kritischer Infrastrukturen.
  • Telekommunikationsgesetz
    Das TKG enthält konkrete Anforderungen an die Informations- und IT-Sicherheit für Betreiber öffentlicher Telekommunikationsnetze und öffentlich zugänglicher Telekommunikationsdienste.
  • Digitale-Dienste-Gesetz
    Das DDG Regelt Pflichten für digitale Dienste, etwa Informationspflichten im Impressum und bestimmte Vorgaben für Anbieter digitaler Angebote.
  • Digitale Gesundheits-Apps Verordnung
    Die DiGAV beschreibt in §4 Anforderungen an Datenschutz und Datensicherheit digitaler Gesundheits-Apps.
  • Kontrolle und Transparenz im Unternehmensbereich
    Das KonTraG fordert für Aktiengesellschaften ein angemessenes Risikomanagement, das auch Risiken der Informationssicherheit einschließt.
  • Kritis-Verordnung
    KritisV konkretisiert Anforderungen an Betreiber kritischer Versorgungseinrichtungen.
  • Cyber Resilience Act
    CRA legt verbindliche IT‑Sicherheitsanforderungen an Hersteller von Produkten mit digitalen Funktionen (Hard‑ und Software) fest.
  • AI-Act
    Der AI Act enthält verbotene Praktiken und für Hochrisiko-KI-Systeme konkrete Anforderungen an Risikomanagement, Transparenz, Dokumentation, Protokollierung, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit.

Ganz im Ernst: Machen Sie ISO 27001 – wirklich, machen Sie das. Einmal umgesetzt und dann bewusst und gewollt weiter betrieben löst diese ISO-Norm als Managementsystem viele Probleme für Ihr Unternehmen, und sie schützt Ihre Informationen und Daten.

Absicherung externer Zugriffe auf Unternehmensdaten

Wie sicher ist VPN noch?

In Zeiten von Home-Office und Remote-Work muss sich ein Unternehmen die Frage stellen, wie externe Zugriffe auf Unternehmensdaten wirkungsvoll geschützt werden können. Viele Jahre war das Virtual Private Network (VPN) der Standard in Unternehmen. Doch VPNs bringen auch einige Nachteile mit sich:

  • VPNs bieten keinen Schutz vor webbasierten Angriffen wie Phishing, Drive-by-Downloads oder Malvertising (Schadcode in Werbeanzeigen auf seriösen Webseiten).
  • VPNs können unbeabsichtigt Zugriff auf das gesamte Unternehmensnetzwerk gewähren oder auf eigentlich zu schützende Netzwerksegmente.
  • VPNs setzen oftmals Anforderungen an die Sicherheit und Compliance nicht so effektiv durch wie im internen Unternehmensnetzwerk.
  • Bei VPNs kann es zu Verbindungsabbrüchen oder zu ungenügender Netzwerkbandbreite kommen, was die Produktivität der Mitarbeiter beeinträchtigt.
  • VPN-Software, -Dienste, -Protokolle und -Geräte können Schwachstellen aufweisen, die ausgenutzt werden können.

Hinzu kommen weitere Faktoren wie die KI (Künstliche Intelligenz) bzw. AI (Artificial Intelligence), die sich in einer kaum überschaubaren Geschwindigkeit entwickelt. AI-Agents spielen dabei eine große Rolle.

Was kann man tun?

Oftmals, wenn man aktuelle Risiken und Entwicklungen betrachtet und bewertet, kommt man auf Wege, auf denen sich am Horizont immer wieder das gleiche Schild abzeichnet: Zero Trust

  • Zero Trust Network Access (ZTNA) ist ein Sicherheitskonzept, das Benutzer und Geräte überprüft, bevor der Zugriff auf Anwendungen und Daten gewährt wird.
  • Ein weiteres Sicherheitskonzept im Bereich Zero Trust ist SDP (Software Defined Perimeter). SDP gewährt den Zugriff auf interne Anwendungen und Ressourcen auf Basis der Identität des Benutzers.
  • Das Remote Desktop Protocol (RDP) kann mit VPN kombiniert werden. Der Benutzer kann z.B. auf einen Jump-Server geleitet werden, von dem aus mittels RDP die nötigen Netzwerkdienste und die nötige Software bereitgestellt werden können.
  • Secure Access Service Edge (SASE) kombiniert Netzwerk- und Sicherheitsfunktionen in einer cloudbasierten Umgebung.
  • Virtual Desktop Infrastructure (VDI) oder Desktop-as-a-Service (DaaS) streamen Rechenleistung aus der Cloud oder von einem lokalen Server.
  • Cloud Access Security Broker (CASB) ermöglicht die Durchsetzung von Sicherheitsrichtlinien zwischen Endbenutzern und SaaS-Anwendungen. CASBs überwachen, steuern und schützen den Datenverkehr zwischen der Unternehmensinfrastruktur und Cloud-Anwendungen.
  • SSH-Tunneling verschlüsselt Daten durch SSH-Kanäle. Wird der externe Zugriff via SSH freigegeben sollten weitere Hürden für Angreifer eingerichtet werden wie z.B. Port-Knocking.

Nicht nur Remote Work, auch andere Entwicklungen wie die künstliche Intelligenz und eine geänderte Gefährdungslage erfordern neue Konzepte und neue Wege hin zu einer angepassten Sicherheitsarchitektur in Unternehmen. Eine wichtige Philosophie dabei ist Zero Trust. 

Zero Trust ist wie 42 – die Antwort auf fast alles.

Malware auf Linux-Systemen

Lange Zeit war die Folklore in der IT-Welt, Viren und andere Malware seien ein Windows-Thema, aber keines von Linux. Diese Ansicht ist seit geraumer Zeit überholt. Damit befasst sich aktuell auch ein Bericht von Heise Online (Linux-Malware „Perfctl“), dem zufolge seit Jahren die Malware „Perfctl“ Linux-Server befällt. Die Malware kann sich gut tarnen, kommuniziert verdeckt über TOR-Server, und hält sich hartnäckig auf den befallenen Systemen. Diese fungieren bei Befall als Proxyserver für das Cryptomining. Perfctl stoppt jede Aktivität, wenn sich ein Benutzer anmeldet, und die Malware nutzt Rootkits, um seine Präsenz zu verbergen.

So aktiv Microsoft und Anti-Malware Anbieter gegen Windows-Malware vorgehen und künstliche Intelligenz und andere Techniken einsetzen, so aktiv müssen auch Linux-Administratoren achtgeben auf ihre Systeme.

Firewall-Regeln sollten Systemen im internen Netzwerk die Kommunikation in das Internet generell verbieten und nur für festgelegte Zieladressen Verbindungen erlauben. Generell existiert oftmals in Unternehmen eine Art von Maßnahmen-Infrastruktur gegen Malware, in die auch Linux-Systeme einbezogen sein sollten. Genutzt werden sollte dabei auch die Philosophie von Zero-Trust auf den Systemen und im Netzwerk: Sage und Beweise mir wer Du bist, und Dir wird Einlass gewährt.

Künstliche Intelligenz in Unternehmen

Künstliche Intelligenz in Unternehmen

Künstlichen Intelligenz (KI) beschäftigt viele Unternehmen, aber das Einschätzen der Gefahren ist schwierig.

Das Thema der KI ist ca. zwei Jahre alt und Spezialisten, die das Gebiet der KI überblicken und ein tiefes, fachliches Verständnis und Wissen besitzen, sind selten oder schlicht nicht vorhanden. Zudem entwickelt sich diese Technologie rasant weiter, und dass es Menschen geben wird, die einen Überblick behalten können, wird zunehmen unwahrscheinlicher oder sogar unmöglich werden.

Wer eine KI im Unternehmen selbst trainieren und betreiben will, muss sich Gedanken machen, welche Gefahren damit verbunden sind. Ein großes Thema dabei ist KI-Injection. Dabei geht es darum, eine KI dazu zu bringen, Dinge zu tun bzw. Informationen preiszugeben, die vom Betreiber der KI nicht gewollt sind, bzw. Informationen die als schützenswert gelten und nicht preisgegeben werden dürfen. Wenn eine KI auf Daten und Informationen Zugriff hat, kann sie solche Informationen und Daten auch verraten oder in ungewollter Weise behandeln.

KI-Systeme basieren auf menschlicher Sprache, und Menschliche Sprache ist unscharf. Jeder Mensch, der schon mal versucht hat, einem anderen Menschen einen Sachverhalt zu erklären und dann erwartet hat, auf dieser Basis ein Arbeitsergebnis zurück zu bekommen, wird nachvollziehen können, was dabei alles schief gehen kann.

Eine KI führt Anweisungen innerhalb der Grenzen aus, die sie beim Trainieren gelernt hat. Auch wenn diese Grenzen ausreichend erscheinen, kann eine KI dazu gebracht werden, diese Grenzen zu ignorieren oder anders zu interpretieren.

Was kann man tun?

  • Man kann die Informationen und Daten filtern, auf welche die KI-Zugriff haben soll. Dabei geht es z.B. um interne, vertrauliche oder sogar geheime Informationen (Thema: Klassifizierung von Informationen).
  • Man kann den Eingabe-Prompt filtern. Welche Daten soll eine KI verarbeiten dürfen (Text, Sprache, Bilder, Videos)? In Bildern oder Videos kann zum Beispiel eine Injection vorhanden sein, die für das menschliche Auge nicht sichtbar ist.
  • Man kann die Ausgabe filtern. Wenn die Ausgabe z.B. vertrauliche Informationen enthält, wird die Ausgabe blockiert.
  • Man kann die Quelle für den Eingabe-Prompt filtern, indem z.B. festgelegt wird, dass Eingaben nur von autorisierten Mitarbeiten stammen dürfen, aber nicht von Programmen, von einer anderen KI oder von einer Quelle mit Anfragen im Sekundentakt.
  • Man kann von einem Menschen die Ausgabe überprüfen lassen, obschon auch ein Mensch social-engineer-bar ist. Eine menschliche Prüfinstanz kann eine Ausgabe prüfen und ggf. korrigieren oder die Anfrage in veränderter Form erneut stellen.

Diese genannten Maßnahmen decken längst nicht alle Gefährdungen ab, sind aber ein Anfang.

Bedenken Sie wohl, an welchen Stellen und in welchem Umfang Sie künstliche Intelligenz in Ihrem Unternehmen einsetzen und welche Schutzmaßnahmen Sie ergreifen.

Gesetzgebung für Informationssicherheit kritischer Infrastrukturen (NIS2)

Gesetzgebung für NIS2

Am 16.01.2023 ist die EU-Richtlinie 2022/2555 (NIS2) in Kraft getreten, und der Gesetzesentwurf NIS2UmsuCG zur Umsetzung der EU-Richtlinie hat das Bundeskabinett am 13.11.2025 passiert und ist zum 06.12.2025 in Kraft getreten.

Betroffen sind Institutionen und Unternehmen, die den kritischen Infrastrukturen zugeschrieben werden. Dabei wurde der Umfang betroffener Institutionen und Unternehmen erheblich ausgeweitet. Es wird unterschieden zwischen besonders wichtigen und wichtigen Einrichtungen Für wichtige Einrichtungen gilt eine Größeneinstufung von mindestens 50 Mitarbeitern oder eines Jahresumsatzes bzw. einer Jahresbilanzsumme von über 10 Mio EUR.

Die im BSIG festgelegte Frist zur Registrierung für betroffene Unternehmen und Institutionen endete am 06.03.2026. Betroffene, die bereits ein ISMS (Managementsystem für Informationssicherheit) nach ISO 27001, nach TISAX oder nach BSI Grundschutz umgesetzt haben, decken die Forderungen weitestgehend ab. Dennoch sollten auch diese Unternehmen den GAP ermitteln und die Forderungen aus NIS2UmsuCG und BSIG in ihr Managementsystem integrieren.

 

Wachsende Schäden durch Cyber-Kriminalität in 2025

Cyber-Kriminalität in 2023

Durch Cyberkriminalität entstehen immer größere Schäden. Unternehmen dürfen Risiken nicht nur als ein Thema der IT-Sicherheit behandeln, sondern müssen Risiken unternehmensglobal betrachten. Gerade Unternehmen in IT-fremden Branchen tuen sich oft schwer, Informationssicherheit zu implementieren. Aber auch bei IT-nahen Branchen gibt es Defizite.

Die Bitkom Wirtschaftsschutz-Studie 2025 berichtet über eine Schadenssumme von 289,2 Mrd. € für die deutsche Wirtschaft (2024: 266,6 Mrd. €, 2023: 205,9 Mrd. €). 

Das FBI Internet Crime Complaint Center (IC3) hat in seinem FBI IC3 Report 2025 über  Rekordverluste von 20,877 Milliarden US-Dollar und über einen Anstieg um 26% gegenüber 2024 berichtet.

Geheimnisverrat in Unternehmen

Geheimnisverrat in Unternehmen

Der kleine Mitarbeiter im Unternehmen, das kleine Zahnrad im Unternehmensgetriebe muss auch sehen wo es bzw. wo er bleibt. Schließlich wird alles teurer.
Im Darknet treibt ein neuer Kassenschlager frische Blüten. Mitarbeitende verkaufen dort ihre privilegierten Benutzerzugänge und ihr Insiderwissen des Unternehmens an Dritte.

Ein guter Schutz im Unternehmen gegen Geheimnisverrat und generell gegen Angriffe von innen sind Mitarbeitende, denen es im Unternehmen gut geht, die sich wohl fühlen und sich dem Unternehmen verbunden fühlen. Denn diese Mitarbeitenden würden nicht auf die Idee kommen, ihrem eigenen Arbeitgeber bewusst Schaden zuzufügen. Ein guter Schutz ist soziale Kompetenz unter den Führungskräften, die wissen wie Menschen funktionieren und die dieses Wissen in ihr Handeln im guten Sinne einbeziehen. Soziale Probleme wie z.B. Mobbing kommen selten von der Seite, sondern von oben oder werden von oben toleriert oder ignoriert. Soziale Kompetenz ist der Schlüssel und ein gutes, vorbeugendes Mittel gegen Angriffe von innen.

Es gibt allerdings auch technische Mittel. Wie seit langem von Sicherheitsexperten angepriesen sind die Philosophie von Zero-Trust und das Need-to-know-Prinzip eine gute Wahl. Viele Unternehmen scheuen den Aufwand und die daraus interpretierte Aussage an Mitarbeiter: „Wir trauen euch nicht mehr.“ Allerdings geht es bei Zero-Trust nicht um das Misstrauen gegen Mitarbeitende, sondern um das Misstrauen gegen Benutzerkonten. Ein Benutzerkonto sollte im Idealfall nur den Zugriff auf Daten und Informationen besitzen, die gerade für die auszuführenden Tätigkeiten benötigt werden. Und um diesen Zugriff zu erlangen, sollte der Mitarbeitende aktiv etwas tun müssen (Wissen und Besitz). So nützt einem unbefugten Dritten ein gekapertes Benutzerkonto erst einmal nichts oder nur sehr wenig.
Wenn Benutzerkonten generell nur Zugriff auf Daten und Informationen besitzen, die tatsächlich für ihre Arbeit benötigt werden (Need-to-know), ist die Angriffsfläche um ein großes Stück gemindert.
Wenn zudem Tools zur Angriffserkennung & Reaktion eingesetzt werden, ist ein Unternehmen gut aufgestellt.

Cloud-Dienstleister verliert alle (Kunden-)Daten durch Ransomware-Angriff

Ransomware-Angriff

Einem Bericht von Heise Online zur Folge hat der Cloud-Anbieter CloudNordic durch einen Ransomware-Angriff seine gesamten Daten verloren. CloudNordic sah die Lösegeldforderungen als nicht erfüllbar. Daten der Kunden seien futsch, Server und Systeme verloren, und eine Kommunikation war nicht mehr möglich (Heise Online Security, 23.08.2023).

Unternehmen verlassen sich auf Sicherheitsmaßnahmen der Cloud-Anbieter und dass diese ihrer Verantwortung nachkommen. Geht etwas schief, hat den Schaden aber erst einmal das Unternehmen selbst, das vertraut hat. Wehe dem, der nicht vorsorgt.