Skip to content
View in the app

A better way to browse. Learn more.

hosang I.T.

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

CSOonline

Members
  • Joined

  • Last visited

    Never

Everything posted by CSOonline

  1. Bleeping Computer reports that hackers are exploiting an old vulnerability in FortiOS that can be used to get around the two-factor authentication (2FA) requirement. The vulnerability, designated CVE-2020-12812, was patched back in July 2020, but five and a half years later, there are still at least 10,000 firewalls that have not been updated. To be on the safe side, all users of FortiOS and Fortigate are therefore urged to install the latest updates as soon as possible. This news brief originally appeared on ComputerSweden. More Fortinet security news: FortiGate firewall credentials being stolen after vulnerabilities discovered Fortinet criticized for ‘silent’ patching after disclosing second zero-day vulnerability in same equipment Fortinet admins urged to update software to close FortiCloud SSO holes View the full article
  2. As cyber threats become more frequent and more complex, they’re causing visible, measurable damage to organizations’ reputations and bottom lines. But the damage doesn’t end there. Breaches — or at least the threat of them — are impacting the mental health of companies’ IT and security workforces. According to new data, IT and security workers are facing nothing less than a mental health crisis in the workforce. Object First’s recent survey of 500 IT and security professionals revealed that 84% feel uncomfortably stressed at work due to IT security risks. The survey went on to report that 78% fear they will be personally blamed for security incidents regardless of the circumstances. These numbers should alarm any CSO whose staff are responsible for keeping cyber threats from taking our systems down. The corporate sector rightly puts a premium on creating positive, productive cultures to help staff thrive and do their best work. But this latest data shows that workers are on edge and worried about repercussions from the threats IT breaches pose. Other numbers in the same survey should trigger even louder alarms. Nearly three-fifths of all cyber/IT workers say they have considered or have actively begun looking for new jobs due to the pressures of their role. In addition, nearly half report feeling pressure from leadership to “fix everything” in the aftermath of a security incident, while nearly one in five (18%) say they feel “hopeless and overwhelmed” during and after an incident. As a Field CTO who works closely with security teams to set them up for success, this data gives me chills. So many of our best professionals feel threatened enough by cyber stress to walk out the door and look for a new job. This is more than an HR nightmare; it’s a business resilience challenge. Burnout is intensifying Any CSO or CISO knows that burnout in the cybersecurity sector is not a brand-new topic. As far back as the early 2000s, when cyber evolved into a formal discipline, leaders were talking openly about the stress security pros were feeling, having to be “always on.” Over the next two decades, surveys found that a majority of security personnel felt burned out and many considered leaving the field. While the issue isn’t new, recent reports confirm that burnout in our sector seems to be intensifying. “Cybersecurity professionals at all levels are burning out. Our research shows this is only getting worse,” says Jon Oltsik, former industry analyst and author of the Information Systems Security Association (ISSA)’s seventh annual “Life and Times of Security Professionals” report. The ISSA survey said cyber workers’ jobs are getting harder, citing increased complexity and workload, more threats and larger attack surface, regulatory compliance pressures and understaffing as their top stressors. The report also indicates the vast majority (81%) of respondents who said they are under stress considered leaving their jobs on a regular basis, versus 17% of those satisfied with their roles. Gartner also weighed in on the topic earlier this year, listing cybersecurity burnout as one of the six top cybersecurity trends of 2025. “Cybersecurity burnout and its organizational impact must be recognized and addressed to ensure cybersecurity program effectiveness,” said Alex Michaels, senior principal analyst at Gartner. “The most effective SRM leaders are not only prioritizing their own stress management, but they are also investing in teamwide wellbeing initiatives that demonstrably improve personal resilience.” Finding qualified cybersecurity workers is still a difficult task. Hiring a new IT or security professional typically costs one and a half to two times their predecessor’s annual salary, and up to 28% of all cyber jobs remain unfilled, according to the Boston Consulting Group’s “2024 Cybersecurity Workforce Report: Bridging the Workforce Shortage and Skills Gap.” It’s hard enough to match the skills a trusted, talented security professional possesses. It’s impossible — at least in the short term — to replace the institutional knowledge that same professional gains working inside your organization, helping to fend off IT threats for a significant amount of time. The roots of cyber stress Cyber employees can feel pressure for a number of reasons. Many sense they have to maintain a constant state of vigilance to spot any phishing, ransomware and social engineering threats that come in. Many fear that one wrong click — by them or by a colleague — could compromise the company and put their job at risk. Others feel a sense of “compliance overload,” having to deal with repeated password changes, MFA steps and security awareness training. More than half of the respondents to the Object First survey said their heavy workloads and understaffed teams contributed the most stress, followed by concerns about cyberattacks and the pressure to maintain uptime and service availability. Nearly everybody (85%) experienced security-related stress at some level, while 31% said they face consistent stress at least once a week. This kind of sustained stress saps motivation, causes mental fatigue, triggers physical health issues and generally reduces workers’ sense of purpose to the point where it hurts their overall performance. Stressed, fatigued workers are more likely to make mistakes and put organizations at greater risk of breaches and security. Companies that prioritize employee wellbeing and mental health stand the best chance of solving this issue. Problem is, not everybody is doing so. According to the Object First survey, 50% of IT and security employees felt their companies aren’t doing enough to deal with the growing mental health crisis. CSOs certainly can’t solve the burnout issue alone. Companies need to make cybersecurity burnout a priority issue for their boards and for the C-suite as a whole. But CSOs and CIOs to have an important role to play. Here are some moves they can make to lower the pressure their staff are feeling. Build a safe culture: Protecting an organization from cyber incidents is a scary process, and employees are facing constant fear that incidents will escalate and they’ll get blamed. CSOs should set up processes where escalation is encouraged and post-incident discussions focus on ways the whole team can improve. Celebrating early detection, and not just incident containment, will improve performance and lessen tensions. Reduce the noise: Burnout can often be caused by structural issues that are out of line: too much work, too little staffing, too much noise from unfiltered alerts, faulty systems and too much pressure from being on call. CSOs should review operations and practices to make sure staff aren’t overloaded with work or focused too heavily on reactive tasks. Provide resources: Stress can take a toll on mental health. While HR should take the lead in providing mental-health and resilience programs, CSOs should provide guidance and watch for signs that employees need individualized attention. Make sure team members feel “seen”: Recognition — in the form of awards or just shared discussions of work done well — can go a long way to reducing long-term, collective stress. Some CSOs set up regular 1:1 meetings or group sessions they encourage cyber workers to share examples of stressful situations on the job. When CSOs see employees heading toward burnout, nudging them to unplug and recharge can often lower stress to a manageable level. The cybersecurity mental health crisis is real. The pressure to be the last line of cyber defense is taking a serious toll on professionals’ mental health and job performance, and it’s time to provide them with more support. CSOs can send a powerful message that well-being isn’t optional — it’s essential for businesses to stay resilient in the face of more frequent, complex cyber threats. This article is published as part of the Foundry Expert Contributor Network. Want to join? View the full article
  3. Taiwan’s National Security Agency states that the number of Chinese cyberattacks against the country’s critical infrastructure increased by 6% in 2025, averaging 2.6 million attacks per day, Reuters reports. The attacks mainly targeted the energy sector, hospitals, banks and emergency services, and many of them were reportedly coordinated with Chinese military exercises and political events. For example, when the President and Vice President of Taiwan were giving speeches or attending international meetings. The attackers reportedly used methods such as denial-of-service (DDoS) attacks and man-in-the-middle intrusions to steal data and disrupt operations. This includes the semiconductor industry and companies like TSMC. The Chinese government has repeatedly denied that it is behind any cyberattacks. This article originally appeared on ComputerSweden. More on cyberattacks: Cybersecurity firm turns tables on threat actors with decoy data trap Iranian APT Prince of Persia returns with new malware and C2 infrastructure ‘Ink Dragon’ threat group targets IIS servers to build stealthy global network View the full article
  4. France and Malaysia have launched investigations against Elon Musk’s AI chatbot Grok, after it generated sexualized deepfakes of women and minors, Techcrunch reports. India has also demanded that X restrict Grok’s ability to generate “obscene, pornographic or pedophilic” images within 72 hours, or risk losing its legal protection against user-generated content. Grok, developed by Musk’s company xAI and hosted on the X (formerly Twitter) platform, has published a message in which it “apologizes” for creating and sharing an AI image of two girls aged 12-16 in sexual poses. However, critics say that a system like Grok cannot be held truly accountable, making the apology meaningless. Elon Musk writes on X that users who produce illegal content through Grok will be treated as if they uploaded it themselves. More on deepfakes: How and why deepfake videos work — and what is at risk The deepfake threat just got a little more personal Deepfakes break through as business threat View the full article
  5. You don’t lose most cyber battles to code. You lose them to culture: A rushed approval. A silent near-miss. A leader who shrugs at weak signals. Tools don’t fix that. People do, when they understand risk, own it and act with discipline under pressure. That is what the Organizational Risk Culture Standard (ORCS) gives you: A way to turn good intentions into daily behavior that defends trust. Cyber threats move fast. Your policies don’t. You work in VUCAD conditions: volatile, uncertain, complex, ambiguous and digitized. Static models lag. Judgment wins. Risk culture equips your team to interpret change, adjust in the moment and act with integrity when facts are partial and time is short. Why you need risk culture in cyber Most post-mortems trace back to the exact cause: human drift. Someone knew but stayed quiet. Another acted alone. The solution isn’t more rules; it’s a mindset that sees risk as everyone’s job. Risk culture aligns values, incentives and decisions, reinforced by transparent governance. In VUCAD conditions, it shifts behavior from blind compliance to fast, ethical judgment, replacing box-ticking with honesty, accountability and informed action when it matters most. Two payoffs stand out. First, faster detection through open reporting and psychological safety. Second, better choices under ambiguity because you balance taking risk with controlling it, which the standard calls dynamic risk equilibrium. The 10 dimensions, translated for cybersecurity The ORCS framework defines ten dimensions. Treat them as a system. Each one is distinct; together they are complete. Leadership & governance. Leaders set the tone, model the behavior and anchor accountability. If leaders treat cyber as only an IT issue, everyone else will, too. When leaders make risk-informed decisions visible, people copy them. Risk intelligence & adaptive elasticity. You read the environment and counter bias and stretch without breaking. In cyber, that means tuning playbooks to signals, not templates. You pivot while maintaining integrity and alignment. Ethics & values. Under real pressure, values decide. Clear principles stop corner-cutting, concealment and blame games when an incident bites. Intuitive and analytical decision-making. You blend instinct and evidence. Triaging alerts needs speed; approving data-sharing exceptions need rigor. Great teams shift gears without drama. Risk appetite, tolerance and acceptance. You draw the lines before the crisis. Which risks you pursue, which you cap and what you consciously accept. This removes guesswork and weak compromises at 2 a.m. Communication & transparency. People speak up early. Near-misses get surfaced and studied. Leaders share not only the what, but the why so the organization can act as one. Technology & process integration. Systems should amplify judgment, not replace it. Embed risk checks into workflows, dashboards and alerts so that doing the right thing is the easy path. People development & engagement. You teach cyber risk like a language. You build competence, confidence and ownership at every level. You reward proactive reporting and ethical decisions, not heroics. Alignment with frameworks. You map culture to standards such as ISO 31000, COSO ERM, NIST, FAIR and/or ISO 27001 and keep alignment alive as laws and expectations shift. It shows credibility and keeps practice grounded. Change management, sustainability & continuous learning. You treat culture as a product with releases, telemetry and upgrades. You monitor, adjust and reinforce until habits stick. Case study: The global manufacturer’s cultural stress test A global manufacturer spotted odd downtime in a supplier’s system and chose to treat it as a test of culture, not competence. The CEO’s message was simple: learn, don’t blame. Teams mixed data with gut instinct, warned the supplier early and acted within agreed risk limits. Regular updates built trust, while integrated tools helped people make sound calls fast. Afterward, both firms reviewed what worked, mapped fixes to ISO and NIST and shared lessons openly. The supplier later uncovered ransomware that had been contained before release, proof that a strong risk culture turns tension into trust and pressure into progress. These dimensions are not posters. They are levers you pull every week. The culture maturity path: From reactive to ‘presilient’ ORCS describes five maturity levels that map cleanly to cyber realities. Forget buzzwords. You need a ladder, not a slogan. Level 1 — Ad hoc: Heroics, silos and surprise. Level 2 — Developing: Pockets of progress; behavior uneven. Level 3 — Intermediate: Roles defined, leaders walking the talk. Level 4 — Advanced: Proactive learning, open reporting. Level 5 — High-performing: Presilience, adaptation without drama. A global manufacturer raised overall risk maturity by focusing on moving weaker sites from level 2 to level 3, rather than chasing perfection. Don’t jump levels. Build the muscles in sequence. Embed the framework into cyber operations Diagnose the baseline. Blend data with stories: use pulse surveys, focused interviews and artifact reviews. Spot silence on near-misses, track how fast risk travels and reveal where incentives clash with values. Define risk appetite and tolerance for cyber. Set clear limits on data loss, downtime and third-party risk. Give leaders short, usable statements. Define and document boundaries so teams act consistently. Design reinforcement systems. Bake cultural checks into governance. Add a “risk culture” section to risk committee packs. Require a short ethics note on material exceptions. Tie role descriptions and performance criteria to ownership, reporting and follow-through. People mirror what you measure. Develop people and align incentives. Train judgment, not just controls. Run red-team tabletop exercises that test psychological safety as much as response time. Recognize those who surface fragile truths early. Avoid perverse incentives that reward short-term wins at the cost of trust. Drive continuous feedback. Build a feedback architecture: data → reflection → dialogue → redesign. After incidents and near-misses, run brief learning reviews that focus on conditions, not culprits. Share the lessons widely. Retire rituals that don’t move behavior. Done well, risk culture stops being a memo and becomes muscle memory. One construction case from the standard shows how embedded roles, shared language and system alerts kept projects on track after a sudden supplier collapse. That is culture in motion, not wishful thinking. Measure what matters: KCIs for cyber risk culture If you can’t see culture, you can’t steer it. Build a short set of key cultural indicators (KCIs) that leaders will read and teams can influence. Speak-up rate. Percentage of staff who reported a suspected phishing email, control gap or near-miss this quarter. Rising is good; apathy is silent. Time to truth. Median time from detection to disclosure to the proper forum. Faster beats perfect. Ethical confidence index. Brief survey signal on “I feel safe raising risk concerns” and “My leaders act consistently with stated values.” Leadership risk messaging. Count of substantive communications from executives that explain cyber trade-offs, appetite and lessons learned. Exception hygiene. Share of exceptions with clear ethical rationale, expiry and owner. Layer these with the maturity scales in each dimension. Track progression by dimension, not just in the aggregate. Publish the trend. Use it in your board story, alongside familiar KRIs and technical metrics, so culture and control sit side by side. That’s how you turn measurement into momentum. A financial company published these alongside its patching stats. At first, investors raised eyebrows. Six months later, regulators called it exemplary transparency. Make it stick: From projects to habits Culture fails when it lives in launch decks. It sticks when people feel two things: clarity and consequence. Clarity comes from leaders who model the behavior and name the trade-offs out loud. Consequence comes from systems that reward what you want and make the wrong path hard. Culture changes when lessons become reflexes: small, repeated actions that outlast the project plan. The companies that sustain high performance do one thing differently: they balance three cultural mindsets instead of leaning on just one. Compliance gives structure and discipline to meet standards and follow the rules. It keeps the floor steady. Resilience accepts that things will go wrong and prepares people to recover fast, protecting trust when pressure hits. Presilience goes a step further. It builds foresight into the system, turning prevention and innovation into daily practice. True strength lies between compliance, resilience and presilience, where rules guide, recovery is natural and foresight continually drives progress. Make it stick by rewarding these everyday choices: the engineer who flags a weak control before it fails, the manager who turns a near-miss into a learning story, the board that asks, “What’s our next opportunity hidden inside this risk?” That’s how culture shifts from program to pattern and performance becomes sustainable. Adopt a simple rhythm: Quarterly: Refresh your culture dash; review signals and stories. Monthly: Spotlight a lesson learned; show the change it drove. Weekly: Ask one risk culture question in every leadership stand-up. Daily: Embed tiny friction, checklists, prompts and default settings that nudge the right action at the right moment. Tie it all to presilience, the capacity to anticipate, adapt and advance. You earn trust when you act fast and fair under stress. That trust outlasts the incident. It compounds. Common traps and how to avoid them Policy theater. Lots of documents, little behavior. Fix by testing policies through live simulations and learning reviews. Retire the brittle ones. Fear-based messaging. Fear spikes activity, then breeds avoidance. Replace it with clear appetite, ethical anchors and practical guidance. Metric overload. Fifteen dashboards, no decisions. Choose a small set of KCIs and KRIs that leaders can explain without notes. Tech worship. Tools matter, but judgment rules. Train bias awareness. Pair automation with human checks where the stakes are high. One-and-done change. Culture erodes without reinforcement. Use the maturity model to plan the next level and resource it. Your first 90 days Days 1–30. Run a crisp baseline: short survey, six interviews, artifact scan. Identify three behavior chokepoints where risk signals die. Publish one page on findings. Days 31–60. Set cyber risk appetite and tolerance in plain language. Add culture questions to risk committee packs. Pilot two micro-nudges in priority workflows. Days 61–90. Launch a leader-led learning ritual after incidents and near-misses. Add KCIs to the monthly cyber dashboard. Recognize two teams for raising challenging issues early. A manufacturing group did precisely this. By day 90, the average incident disclosure time dropped from 9 days to 2. Nothing fancy; just culture, clarified. Keep it public. Keep it human. Keep it moving. The payoff you can take to the board When you embed the Organizational Risk Culture Standard, you gain three edges: Speed. Signals move quickly; recovery accelerates. Quality. Bias checks sharpen judgment; appetite lines prevent overreach. Trust. People speak up; leaders act consistently; customers believe you. A financial company saw this firsthand: internal detection doubled, external findings halved and regulator confidence soared. They didn’t just pass audits; they built credibility. These gains compound. You stop paying the ignorance tax: silence, delay, reputational drag and start earning the compound interest of trust. Your move You win cyber by building a culture where people make sound choices when the facts are fuzzy and the clock is cruel. ORCS gives you the scaffolding: leadership that models, systems that reinforce and measures that matter. Use it to align appetite, accelerate learning and turn near-misses into better habits. That’s how you supercharge cybersecurity culture, protect trust when it counts and build a team that doesn’t just survive the storm; it reads the sky, sets the sails and makes speed. This article is published as part of the Foundry Expert Contributor Network. Want to join? View the full article
  6. Cybersecurity firm Resecurity says it deliberately lured threat actors linked to Scattered Lapsus$ Hunters (SLH) alliance into a honeypot, after the group claimed that it had hacked the company and stolen internal and client data. “Understanding that the actor is conducting reconnaissance, our team has set up a honey pot account,” Resecurity said in a blog post, indicating prior knowledge of threat actor probing. “This led to a successful login by the threat actor to one of the emulated applications containing synthetic data.” The threat actors claiming to be SLH’s “ShinyHunters” initially posted screenshots and claimed that they had breached Resecurity’s systems, but soon after the firm said it was a honeypot, the actual group confirmed they had no connection to the attack. “We would like to announce that we have gained full access to Resecurity systems,” the threat actors reportedly said in a Telegram post. “For months, REsecurity has been trying to social engineer us and groups we know. When ShinyHunters put the Vietnam financial system database up for sale, their staff pretended to be buyers to get free samples and more info from us.” As proof, the threat actors had attached screenshots of Resecurity employees’ internal communication in a Mattermost collaboration instance. What Resecurity says really happened According to Resecurity, its security teams observed reconnaissance activity targeting externally exposed services before the attackers made their claims public. In response, the company said it steered the activity toward a honeypot environment populated with synthetic data designed to resemble internal systems. The honeypot included fabricated consumer records and simulated payment data structured to appear realistic while remaining fully isolated from Resecurity’s production environment. The company said this allowed the attackers to believe they had gained meaningful access, while enabling defenders to monitor activity without exposing real data. “For synthetic data, we used two different datasets: over 28,000 records impersonating consumers and over 190,000 records of payment transactions, and generated messages,” Resecurity said in the post. “Notably, in both cases, we utilized already known breached data available on the Dark Web and underground marketplaces—potentially containing PII—making the data even more realistic for threat actors.” Resecurity added that the attackers interacted with the decoy environment over an extended period, generating automated requests that provided insight into their tooling and methods. Evidence of real breach remains thin Despite Resecurity’s detailed account, the threat actors have not backed up their original claims with additional verifiable evidence. After posting the screenshots, no substantiated leaks of internal systems or actual client data have appeared. Independent analysis by various cybersecurity researchers supports Resecurity’s assertion that no production assets were compromised. On the other hand, Resecurity’s own analysis of the interaction patterns aligned with common threat actors’ tactics. According to the company’s investigation, the activity began with reconnaissance of publicly exposed systems, which matched MITRE ATT&CK techniques such as Active Scanning (T1595) and Gather Victim Host Information (T1592), based on network telemetry and log data. Following the publication of the claims, a spokesperson claiming to represent ShinyHunters denied the group’s involvement, saying it was not responsible for the activity Resecurity attributed to the alleged attackers. View the full article
  7. As the AI-hype dust settles, CISOs have a lot to focus on 2026. From ongoing struggles such as ensuring teams are not burning out to current and future concerns, which includes finding effective business cases for AI, focusing on spotting a breach before it happens to planning for looming fear of breaking quantum encryption, CISOs from different industries share what is top of their agenda for 2026. 1. Prioritize resilience over reactive security Emphasis on resilience and architectural discipline, particularly as organizations face even greater reliance on cloud infrastructure, is part of Fortitude Re CISO Elliott Franklin’s resolutions. “Our approach will focus on well-structured project management and intentional design,” he says. Any new initiative will start with a clear architectural plan and a deep understanding of end-to-end dependencies and potential points of failure. “By taking a thoughtful, engineering-driven approach — rather than reacting to outages or disruptions — we aim to strengthen the stability, scalability, and reliability of our systems,” he says. “This foundation enables the business to move with confidence, knowing our technology and security investments are built to endure and evolve.” 2. AI will dominate the agenda Standard Chartered group CISO Cezary Piekarski expects his agenda to be dominated by AI in two ways: defining both the threat landscape and defensive architecture. “Speed is essential when mitigating attacks so leveraging AI and orchestration tools allows us to quickly automate detection and streamline incident response,” Piekarski says. “This reduces dwell time significantly and accelerates remediation, ensuring that threats are contained before they escalate.” As new attack surfaces emerge with AI-driven applications and systems, Piekarski’s priorities will focus on defending and hardening the environment against AI-enabled threats and tactics. “It’s harnessing the opportunities of AI across the cyber stack and enabling the bank to use AI securely and safely.” Qiagen CISO Daniel Schatz expects artificial intelligence to remain a core theme across 2026 “in terms of using AI to improve security controls and operations, and ensuring AI is securely integrated into products.” He expects a notable escalation in the sophistication and scale of generative AI enabled threats. “What we have observed so far are largely handcrafted AI-supported campaigns, but they will likely evolve into more automated and industrialized social-engineering operations, following the same pattern seen with most emerging threats,” Schatz says. “With generative AI becoming ubiquitous, technologies that help organizations understand, manage, and secure the AI attack surface will quickly rise in importance. It’s critical that the industry embeds appropriate security controls from the start, so we avoid repeating the mistakes seen during the early days of web development.” 3. Achieve visibility and control, especially with AI The priority for Conal Gallagher, Flexera’s CIO and CISO, is balancing productivity with protecting intellectual property as Flexera teams use AI tools and chatbots. “We’re working to standardize trusted, enterprise-grade AI solutions, while putting controls in place to prevent data leakage from unsanctioned tools.” In practice, SaaS management and discovery tools will be used to get a handle on shadow IT and unsanctioned AI usage. Automation for compliance and reporting will be important as customer and regulatory requirements around ESG and security continue to grow, along with threat intelligence feeds and vulnerability management solutions that help Gallagher and the team stay ahead of what’s happening in the wild. “The common thread is visibility and control; we need to know what’s in our environment, how it’s being used, and that we can respond quickly when things change,” he tells CSO. 4. Manage human and non-human identities Schatz is focused on managing human and non-human identities. He expects technologies that enable effective identity management will continue to be critical. “Human identities remain challenging to protect, and non-human identities are only beginning to grow in scale with the emergence of agentic AI,” he says. With a similar plan, Franklin is prioritizing identity and privilege management — across both human and non-human identities. “It’s [about] ensuring that service accounts, APIs, and automation tools are governed with the same rigor as user accounts,” Franklin says. “As automation grows, effectively managing these digital identities will be critical to maintaining trust, traceability, and control in complex environments.” The goal is to strengthen the organization’s overall resilience while enabling productivity and collaboration. 5. Build security into agentic AI products Some are prioritizing building security directly into agentic AI products to mitigate sophisticated attacks. “We’re moving beyond simply trying to stop AI risks to engineering security directly into our agentic solutions, ensuring the secure path to innovation is the fastest path for our teams,” Qualtrics CSO Assaf Keren says. Keren will be utilizing AI to strengthen security capabilities, automate and accelerate internal functions like SOC triage and control testing. 6. Link security with trust For Keren, 2026 is also about making security a visible trust signal, not just a back-office function. He’s looking to transform security into a proactive, transparent partnership with their customers. “Customers are making purchasing decisions based on how organizations handle data and AI. Treating security as a go-to-market advantage, not just risk mitigation,” he tells CSO. This means getting certified with FedRAMP High, ISO 42001 for AI, being transparent about security practices, and making security posture a visible part of the value proposition. “Organizations that can credibly demonstrate robust security and responsible AI practices will win customers who are increasingly making decisions based on trust.” 7. Develop a quantum readiness plan “Quantum computing poses significant cyber risks by potentially breaking current encryption methods, impacting data security, and enabling new attack vectors,” says Piekarski. With this in mind, Piekarski and the team are actively preparing for what lies ahead and that means quantum threats. “In 2026, we’ll continue progress on our multi-year, resilient cryptography preparedness strategy to meet the challenges of the emerging threat and address associated risks,” he says. Jon France, CISO, ISC2, urges CISOs to prepare for post-quantum cryptography. This involves reviewing their own organization and systems and then turning to their vendors and partners about their readiness. “The roadmap includes a cryptographic inventory and then asking [vendors] ‘what are you doing on quantum and what’s your roadmap?’ There will be some things you’ll have to sunset, probably earlier than you thought, so you have to plan around that,” he says. 8. Protect people, not just systems In 2026 and beyond, security strategies will need to consider workforce resilience, not only tools, controls, and compliance as stress and skills transformation permanently reshape the cyber workforce. With burnout an ever-present problem, AI changing skills and jobs, and economic conditions putting pressure on budgets, CISOs must look after the wellbeing of their teams as much as the technology. “Looking after the team while leveraging the team but without killing them is on our agenda,” says France. 9. Spot breaches early As cloud systems expand and supply chains stretch further, the old idea of total prevention is fading fast. CISOs will be under increasing pressure to prioritize detection and response in their security program. “The strongest security programs won’t be the ones that stop every breach, they’ll be the ones that spot them first,” says Jan Bee, TeamViewer’s CISO. Bee believes that instead of building a fortress around the organization, CISOs will need to favor visibility and speed. “In the age of agentic AI and hyperconnected SaaS, that speed will be everything,” says Bee. “The organizations that can see trouble coming in seconds will stay ahead of even the most heavily defended but slow-to-react peers.” 10. Get ahead of the threat curve “Organizations tend to move at a somewhat slower pace, so looking ahead at the developing threat landscape and pre-positioning appropriately is essential as we close the year’s budgeting cycle,” says Schatz. On his agenda is reviewing established sources such as the WEF Cybersecurity Outlook, the ENISA Threat Landscape and the ISF Threat Horizon. “It helps to set expectations and allows for more realistic planning of risk controls over the next 12-36 months,” he tells CSO. 11. Close the communications gap CISOs, boards and IT leaders must align around a shared language of resilience — which treats security as a business priority not simply a technical measure. Many boards still view security as a compliance or cost issue, while CISOs talk in terms of risk and continuity, according to Bee. “That communication gap creates blind spots that attackers can exploit,” he says. “As cyber risk becomes inseparable from business risk, boards and CISOs will be forced to collaborate more closely, translating technical threats into financial, reputational, and operational impacts that executives can act on.” CISOs should focus on storytelling, not just reporting. “This means connecting threat intelligence to business outcomes in clear, strategic terms.” Boards, in turn, need to treat cyber resilience as a competitive advantage, not a line item. “The companies that close the cultural gap between security and strategy will be the ones that recover faster, and inspire greater investor confidence when incidents inevitably occur,” Bee says. 12. Deliver outcomes, not vibes “In 2026, execution will matter more than experimentation,” says Gallagher. In practice, he will be adopting a disciplined approach that emphasizes transparency, governance, and measurable outcomes across the security program. “Every initiative will be measured by its ability to tie spend to ROI and tangible risk reduction,” he tells CSO. AI initiatives, in particular, are likely to come under real scrutiny to show outcomes and effective business use cases as the excitement and buzz of 2025 settles. “It feels like 2026 is about making AI a business engine, not a science project,” he says. View the full article
  8. PeachShutterStock | shutterstock.com Im Kern der Enterprise Security steht die Zerreißprobe zwischen Benutzerkomfort und Security-Anforderungen. Dabei handelt es sich um einen Balanceakt, der regelmäßig auf Authentifizierungsebene ausgetragen wird und sich direkt auf das Onboarding- und Anmeldeerlebnis auswirkt. Geht es darum diesen Konflikt aufzulösen, steht Federated Identity an vorderster Front: Sie kann eine gute User Experience bieten, ohne dabei das Sicherheitsniveau zu beeinträchtigen. Federated Identity Management – Definition Identity & Access Management (IAM) ist der übergeordnete Bereich, in dem es um digitale Identitäten und Zugriffsmanagement geht. Federated Identity Management (oder förderiertes Identitätsmanagement) ist eine IAM-Kategorie, die darauf fokussiert, ein einziges Authentifizierungsereignis sicher zu ermöglichen, um mehrere Interaktionen oder den Austausch von Identitätsinformationen abzudecken. Mit anderen Worten: Federated Identity Management (FIM) ermöglicht vielen Diensten, eine einzige digitale Identität gemeinsam zu nutzen. Ein Beispiel für den praktischen Einsatz von FIM wäre, wenn Sie sich bei Twitter mit ihrem Google-Konto anmelden. Föderiertes Identitätsmanagement kann der Benutzererfahrung, der allgemeinen Sicherheit und der Ausfallsicherheit zuträglich sein. Dafür gilt es, folgende Kompromisse einzugehen: erhöhte architektonische Komplexität, Bindung an einen bestimmten Anbieter und mögliche Servicekosten. Federated Identity Management wird bisweilen mit Single Sign-On (SSO) in einen Topf geworfen. Genau genommen ist SSO allerdings eine Funktion von FIM – und einer seiner wesentlichen Use Cases, den wir im Folgenden näher betrachten. Zuvor noch ein Hinweis: Das Thema Self-Sovereign Identity (oder dezentrale Identität) ist wieder eine andere Baustelle. Anwendungsfall (Federated) Single-Sign On Man unterscheidet zwei Arten von Single Sign-on: Einerseits das, was für Anwendungen innerhalb einer einzelnen Organisation gilt, und andererseits das, was organisationsübergreifend gilt. Ersteres wird in der Regel einfach als Single Sign-on bezeichnet, manchmal auch als “Enterprise Single Sign-on”. Letzteres fällt unter den Begriff Federated Single Sign-on (FSSO). Die High-Level-Architektur, um beide SSO-Formen abzudecken, sieht folgendermaßen aus: Der Blick auf eine High-Level-SSO-Architektur. Foto: Foundry / Matthew Tyson In jedem Fall erfordert Federated Identity Management eine zentrale Institution, die die gemeinsamen Anmeldeinformationen zwischen den verschiedenen Diensten vermittelt. Dabei kann es sich um einen Identity Manager handeln, der: von der Organisation selbst erstellt wurde (etwa unter Verwendung von Active Directory). über einen Identitätsanbieter in unterschiedlichem Umfang bereitgestellt wird. Enterprise Single Sign-on deckt oft Situationen ab, in denen sich Mitarbeiter mehrfach bei internen Systemen anmelden müssen, beispielsweise an HR-Portal und IT-Ticketsystem. Dieses Konzept birgt offensichtliche UX-, aber auch systemische Probleme, weil Identitätsinformationen über heterogene Systeme verteilt werden. Dieser Umstand beeinträchtigt die Sicherheit und erschwert es, Richtlinien durchzusetzen. So müssen etwa bei On- und Off-Boarding eines Mitarbeiters gleich zwei verschiedene Datenspeicher geändert werden. Federated Single Sign-on ermöglicht die gemeinsame Nutzung von Anmeldeinformationen über Unternehmensgrenzen hinweg. Als solches stützt es sich in der Regel auf eine große, gut etablierte Einheit mit weitreichendem Trust – beispielsweise Google, Microsoft oder Amazon. Selbst eine kleine Applikation kann relativ einfach um die Option “Anmelden bei Google” ergänzt werden und den Nutzern eine einfache Anmeldemöglichkeit bieten, bei der sensible Informationen in den Händen der großen Organisation bleiben. Federated SSO implementieren Der Aufbau einer Federated SSO-Lösung richtet sich nach den jeweils spezifischen Anforderungen. Die allgemeinen Schritte sind dabei jedoch identisch: Identity Provider einrichten: Entweder, Sie stellen eine zentralisierte Identity Infrastructure bereit oder Sie richten ein Konto bei einem Federated-Identity-Anbieter ein (Google, Microsoft, Okta). Auch eine Möglichkeit: Sie kreieren eine Mischform. Provider mit Anwendungsinformationen füttern: So konfigurieren Sie den Identity Provider und schaffen die Grundlage, dass sich Applikationen mit dem Anbieter verbinden können. Provider-Anmeldeinformationen hinzufügen: Diese werden Sie im nächsten Schritt verwenden, um Ihren Anwendungen mitzuteilen, wie sie sich authentifizieren sollen. Applikationen einrichten: In Ihrem Anwendungscode fügen Sie Abhängigkeiten für die Authentifizierung und Interaktion mit dem Identity-Provider-Service hinzu. Neue Authentifizierung integrieren: Mit dem konfigurierten SSO-Service haben Ihre Benutzer eine Möglichkeit, sich zu authentifizieren. Das funktioniert auch in “transparent”: Anwendungen erkennen und authentifizieren User mit einer Live-Session bei einem anderen Service automatisch. Weil es eine einfache Lösung ist, entscheiden sich die meisten Unternehmen heute für einen Cloud Identity Provider im Rahmen eines SaaS-Angebots – sowohl, wenn es um Enterprise als auch wenn es um Federated SSO geht. SSO-Protokolle implementieren Für SSO-Interaktionen werden im Wesentlichen drei Protokolle verwendet: SAML, OIDC und OAuth 2.0. Je nachdem, welches Protokoll der von Ihnen verwendete Identity-Anbieter unterstützt, werden Sie eines davon verwenden, um die sicheren Token-Informationen zwischen Ihren Anwendungen zu übermitteln. Jedes der Protokolle stellt einen offenen Standard dar, der auf einen bestimmten Anwendungsfall ausgerichtet ist. SAML ist ein XML-basiertes Protokoll, das häufig in Unternehmen verwendet wird, um Enterprise SSO zu unterstützen oder um zwischen verschiedenen Business-Service-Anbietern hin- und herzuspringen. Es kann auch für die allgemeine gemeinsame Nutzung von Identitäten verwendet werden, einschließlich Federated SSO (insofern der Identity Provider das unterstützt). OAuth 2.0 ist ein Authentifizierungsprotokoll, das die gemeinsame Nutzung von Ressourcendaten zwischen Anbietern auf der Grundlage der Zustimmung des Benutzers ermöglicht. Oauth fokussiert auf die gemeinsame Nutzung der Authentifizierung zwischen Diensten ohne die Angabe von Anmeldeinformationen. OIDC (OpenID Connect) stellt eine auf OAuth 2.0 aufbauende Schicht dar, die in der Regel für Social Logins (etwa “Sign in with GitHub”) verwendet wird. OIDC enthält einige Erweiterungen gegenüber OAuth, einschließlich Identity Assertions, Userinfo API und Standard Discovery – standardisierte Mechanismen für die sichere Bereitstellung und Nutzung von Identitätsinformationen. Diese Protokolle kommen einzeln oder im Kombination mit anderen Technologien zum Einsatz. So können beispielsweise JSON Web Token verwendet werden, um OAuth 2.0 Credential Token-Informationen in einem sichereren Format zu kapseln. Glücklicherweise ist der Prozess zur Implementierung dieser Protokolle umfassend dokumentiert und wird von einer Vielzahl von Technologie-Stacks unterstützt. Der größte Teil der Arbeit wird durch Abstraktionen auf höherer Ebene in vielen Sprachen und Frameworks gekapselt. Spring Security bietet beispielsweise SSO-Unterstützung, ebenso wie Passport im NodeJS/Express-Ökosystem. (fm) Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox. View the full article
  9. DC Studio | shutterstock.com Konfigurationsfehler in der Cloud, die Unternehmensdaten gefährden, sind nicht unbedingt etwas Neues – eher im Gegenteil. Umso schlimmer, dass Unternehmen ihre Cloud-Ressourcen immer noch nicht durchgängig absichern. Zumindest legt das ein aktueller Report nahe. Dafür hat der Cloud-Sicherheitsanbieter Qualys 101 Cybersecurity- und IT-Profis befragt, zu deren Aufgaben es gehört, Cloud-Umgebungen abzusichern. Demnach: haben 28 Prozent der Befragten im vergangenen Jahr einen Breach in Zusammenhang mit der Cloud oder SaaS-Applikationen verzeichnet. sehen 24 Prozent falsch konfigurierte Services als das größte Risiko für ihre Cloud-Umgebung an. Qualys nahm für seine Studie außerdem rund 44 Millionen virtuelle Maschinen (VMs) unter die Lupe, die in Public Clouds gehostet werden. Dabei stellten die Experten fest, dass 45 Prozent der AWS-VMs, 63 Prozent der GCP-VMs und 70 Prozent der Azure-VMs über falsch konfigurierte Ressourcen verfügten. Die häufigsten Cloud-Konfigurationsfehler Laut Ayan Roy, Leiter des Bereichs Cybersicherheit bei EY Americas, aktivieren Unternehmen zwar durchaus bestimmte Cloud-Security-Funktionen, allerdings nicht alle. So blieben Logging, Monitoring und Multi-Faktor-Authentifizierung (MFA) in vielen Fällen unbeachtet: “Unternehmen wollen schnell vorankommen, und die Time-to-Value ist absolut entscheidend. Wenn Cybersicherheitsteams jedoch nicht in diese Entscheidungen eingebunden werden, beginnen die Probleme. So können die Sicherheitsprofis oft nur nachträglich Maßnahmen ergreifen.” Einen weiteren blinden Fleck in Sachen Cloud Security sieht Roy während Fusionen und Übernahmen. Er mahnt Unternehmen dazu, in solchen Fällen proaktiv vorzugehen: “Führen Sie eine Due Diligence durch, berücksichtigen Sie diese auch und stellen Sie sicher, dass Sie den richtigen Cybersecurity-Investitionsplan haben.” Laut Scott Wheeler, Cloud Practice Lead bei Asperitas, treten mit steigender Unternehmensgröße auch weniger Cloud-Konfigurationsfehler auf. Das liegt laut dem Cloud-Experten vor allem an der Aufsicht durch Regulierungsbehörden. Kleine Firmen hätten hingegen enorme Probleme, da sie weder über das Personal noch die nötigen Tools verfügten, um Risiken im Zusammenhang mit der Cloud-Konfiguration zu managen – etwa exponierte Speicher-Buckets oder Web Services. “Das gesamte Konzept von Zero Trust basiert auf der Tatsache, dass man den Zugriff auf das benötigte Minimum beschränken kann. Aber das ist in der Praxis schwer zu bewerkstelligen”, erklärt Wheeler. Oftmals würden während der Entwicklung Berechtigungen erweitert und nach der Inbetriebnahme nicht wieder zurückgesetzt, wie er beispielhaft anführt. Der regelmäßig größte Fehler, den Wheeler beobachtet, sind jedoch Datenbanken oder andere Cloud-Assets, die über nicht sichere, private Netzwerke kommunizieren. “Viele dieser Services unterstützen das nicht ‘out of the box’. Es erfordert einiges an Arbeit, sie so zu konfigurieren, dass ausschließlich privater Netzwerkverkehr in private Cloud- oder lokale Umgebungen fließt. Das ist ein großes Problem, das oft von kriminellen Hackern ausgenutzt wird.” Und auch wenn viele Anbieter versprechen, dass KI auch Cloud Security einfacher, kostengünstiger und effektiver gestalten wird: Sie sollten nicht damit rechnen, dass Cloud-Konfigurationsprobleme schon morgen der Vergangenheit angehören. Bis KI-Agenten soweit sind, dass sie das zuverlässig übernehmen können, wird noch ein bisschen Zeit ins Land ziehen. 9 Tipps für sicherere Cloud-Konfigurationen Tun können Sie dennoch etwas gegen fehlerhafte Cloud-Konfigurationen. Zum Beispiel: 1. Multi-Faktor-Authentifizierung implementieren MFA sollte für jede Form von Cloud-Zugriff zur Anwendung kommen, nicht nur für bestimmte Benutzer. 2. Private Netzwerke für alle Services nutzen Konfigurieren Sie Datenbanken und Cloud-Dienste so, dass sie nur über private Netzwerke und nicht über das öffentliche Internet kommunizieren. 3. Daten verschlüsseln Datenverschlüsselung sollte für alle neuen und bestehenden Ressourcen standardmäßig aktiviert sein. Angesichts des nahenden Quanten-Zeitalters empfiehlt es sich für Unternehmen bereits jetzt auf quantensichere Verschlüsselungsalgorithmen zu setzen, um sich gegen sogenannte “Harvest now, decrypt later”-Angriffe zu schützen. 4. Least-Privilege-Zugriffskontrollen anwenden Benutzern und Systemen Zugriff auf möglichst wenige Ressourcen zu gewähren, ist ein Grundpfeiler moderner Zero-Trust-Sicherheitsprinzipien. Konten mit übermäßigen Berechtigungen können schnell zu Datenverlust führen, wenn sie missbraucht werden. 5. Infrastructure as Code verwenden Wenn Administratoren oder Benutzer Änderungen an Cloud-Konfigurationen in den Cloud-Management-Konsolen vornehmen, ist es oft schwierig, diese nachzuvollziehen – und rückgängig zu machen, wenn etwas schiefgeht. Das Prinzip von Infrastructure as Code hilft an dieser Stelle: Verwenden Sie entsprechende Konfigurationsmanagement-Tools, um sämtliche Änderungen anhand von Richtlinien zu überprüfen, nachzuverfolgen und auditieren zu können. 6. Kontinuierlich scannen Einmal bei der Ersteinrichtung der Cloud-Ressourcen zu überprüfen, ob die Konfigurationen aktuell sind, reicht nicht aus. Unternehmen müssen sicherstellen, dass sich nichts verändert. Zu diesem Zweck haben einige Cloud-Anbieter native Tools im Angebot. Lösungen aus dem Bereich Cloud Security Posture Management (CSPM) können außerdem dabei unterstützen, Lücken zu schließen oder Multi-Cloud-Umgebungen zu überwachen. 7. Speicher-Buckets sperren Unsichere Amazon-S3-Buckets waren vor einigen Jahren bei Cyberkriminellen sehr populär – und sind nach wie vor ein gängiges Problem für Unternehmen. Um sicherzustellen, dass der Storage standardmäßig privat ist, empfehlen sich Bucket Policies und -Zugriffskontrollen. 8. Logging und Monitoring einziehen Viele Unternehmen überwachen essenzielle Cloud Services, dabei bleibt Schatten-IT jedoch oft außen vor. Das ist weniger ein technologisches, als vielmehr ein Management-Problem und lässt sich durch bessere Kommunikation mit den Geschäftsbereichen und einen disziplinierteren Ansatz bei der Bereitstellung von Technologien lösen. 9. Security by Design verinnerlichen Integrieren Sie Sicherheit von Anfang an in Ihre Cloud-Architektur – es ist immer deutlich schwieriger, nachträglich aufzurüsten. (fm) Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox. View the full article
  10. DC Studio | shutterstock.com Konfigurationsfehler in der Cloud, die Unternehmensdaten gefährden, sind nicht unbedingt etwas Neues – eher im Gegenteil. Umso schlimmer, dass Unternehmen ihre Cloud-Ressourcen immer noch nicht durchgängig absichern. Zumindest legt das ein aktueller Report nahe. Dafür hat der Cloud-Sicherheitsanbieter Qualys 101 Cybersecurity- und IT-Profis befragt, zu deren Aufgaben es gehört, Cloud-Umgebungen abzusichern. Demnach: haben 28 Prozent der Befragten im vergangenen Jahr einen Breach in Zusammenhang mit der Cloud oder SaaS-Applikationen verzeichnet. sehen 24 Prozent falsch konfigurierte Services als das größte Risiko für ihre Cloud-Umgebung an. Qualys nahm für seine Studie außerdem rund 44 Millionen virtuelle Maschinen (VMs) unter die Lupe, die in Public Clouds gehostet werden. Dabei stellten die Experten fest, dass 45 Prozent der AWS-VMs, 63 Prozent der GCP-VMs und 70 Prozent der Azure-VMs über falsch konfigurierte Ressourcen verfügten. Die häufigsten Cloud-Konfigurationsfehler Laut Ayan Roy, Leiter des Bereichs Cybersicherheit bei EY Americas, aktivieren Unternehmen zwar durchaus bestimmte Cloud-Security-Funktionen, allerdings nicht alle. So blieben Logging, Monitoring und Multi-Faktor-Authentifizierung (MFA) in vielen Fällen unbeachtet: “Unternehmen wollen schnell vorankommen, und die Time-to-Value ist absolut entscheidend. Wenn Cybersicherheitsteams jedoch nicht in diese Entscheidungen eingebunden werden, beginnen die Probleme. So können die Sicherheitsprofis oft nur nachträglich Maßnahmen ergreifen.” Einen weiteren blinden Fleck in Sachen Cloud Security sieht Roy während Fusionen und Übernahmen. Er mahnt Unternehmen dazu, in solchen Fällen proaktiv vorzugehen: “Führen Sie eine Due Diligence durch, berücksichtigen Sie diese auch und stellen Sie sicher, dass Sie den richtigen Cybersecurity-Investitionsplan haben.” Laut Scott Wheeler, Cloud Practice Lead bei Asperitas, treten mit steigender Unternehmensgröße auch weniger Cloud-Konfigurationsfehler auf. Das liegt laut dem Cloud-Experten vor allem an der Aufsicht durch Regulierungsbehörden. Kleine Firmen hätten hingegen enorme Probleme, da sie weder über das Personal noch die nötigen Tools verfügten, um Risiken im Zusammenhang mit der Cloud-Konfiguration zu managen – etwa exponierte Speicher-Buckets oder Web Services. “Das gesamte Konzept von Zero Trust basiert auf der Tatsache, dass man den Zugriff auf das benötigte Minimum beschränken kann. Aber das ist in der Praxis schwer zu bewerkstelligen”, erklärt Wheeler. Oftmals würden während der Entwicklung Berechtigungen erweitert und nach der Inbetriebnahme nicht wieder zurückgesetzt, wie er beispielhaft anführt. Der regelmäßig größte Fehler, den Wheeler beobachtet, sind jedoch Datenbanken oder andere Cloud-Assets, die über nicht sichere, private Netzwerke kommunizieren. “Viele dieser Services unterstützen das nicht ‘out of the box’. Es erfordert einiges an Arbeit, sie so zu konfigurieren, dass ausschließlich privater Netzwerkverkehr in private Cloud- oder lokale Umgebungen fließt. Das ist ein großes Problem, das oft von kriminellen Hackern ausgenutzt wird.” Und auch wenn viele Anbieter versprechen, dass KI auch Cloud Security einfacher, kostengünstiger und effektiver gestalten wird: Sie sollten nicht damit rechnen, dass Cloud-Konfigurationsprobleme schon morgen der Vergangenheit angehören. Bis KI-Agenten soweit sind, dass sie das zuverlässig übernehmen können, wird noch ein bisschen Zeit ins Land ziehen. 9 Tipps für sicherere Cloud-Konfigurationen Tun können Sie dennoch etwas gegen fehlerhafte Cloud-Konfigurationen. Zum Beispiel: 1. Multi-Faktor-Authentifizierung implementieren MFA sollte für jede Form von Cloud-Zugriff zur Anwendung kommen, nicht nur für bestimmte Benutzer. 2. Private Netzwerke für alle Services nutzen Konfigurieren Sie Datenbanken und Cloud-Dienste so, dass sie nur über private Netzwerke und nicht über das öffentliche Internet kommunizieren. 3. Daten verschlüsseln Datenverschlüsselung sollte für alle neuen und bestehenden Ressourcen standardmäßig aktiviert sein. Angesichts des nahenden Quanten-Zeitalters empfiehlt es sich für Unternehmen bereits jetzt auf quantensichere Verschlüsselungsalgorithmen zu setzen, um sich gegen sogenannte “Harvest now, decrypt later”-Angriffe zu schützen. 4. Least-Privilege-Zugriffskontrollen anwenden Benutzern und Systemen Zugriff auf möglichst wenige Ressourcen zu gewähren, ist ein Grundpfeiler moderner Zero-Trust-Sicherheitsprinzipien. Konten mit übermäßigen Berechtigungen können schnell zu Datenverlust führen, wenn sie missbraucht werden. 5. Infrastructure as Code verwenden Wenn Administratoren oder Benutzer Änderungen an Cloud-Konfigurationen in den Cloud-Management-Konsolen vornehmen, ist es oft schwierig, diese nachzuvollziehen – und rückgängig zu machen, wenn etwas schiefgeht. Das Prinzip von Infrastructure as Code hilft an dieser Stelle: Verwenden Sie entsprechende Konfigurationsmanagement-Tools, um sämtliche Änderungen anhand von Richtlinien zu überprüfen, nachzuverfolgen und auditieren zu können. 6. Kontinuierlich scannen Einmal bei der Ersteinrichtung der Cloud-Ressourcen zu überprüfen, ob die Konfigurationen aktuell sind, reicht nicht aus. Unternehmen müssen sicherstellen, dass sich nichts verändert. Zu diesem Zweck haben einige Cloud-Anbieter native Tools im Angebot. Lösungen aus dem Bereich Cloud Security Posture Management (CSPM) können außerdem dabei unterstützen, Lücken zu schließen oder Multi-Cloud-Umgebungen zu überwachen. 7. Speicher-Buckets sperren Unsichere Amazon-S3-Buckets waren vor einigen Jahren bei Cyberkriminellen sehr populär – und sind nach wie vor ein gängiges Problem für Unternehmen. Um sicherzustellen, dass der Storage standardmäßig privat ist, empfehlen sich Bucket Policies und -Zugriffskontrollen. 8. Logging und Monitoring einziehen Viele Unternehmen überwachen essenzielle Cloud Services, dabei bleibt Schatten-IT jedoch oft außen vor. Das ist weniger ein technologisches, als vielmehr ein Management-Problem und lässt sich durch bessere Kommunikation mit den Geschäftsbereichen und einen disziplinierteren Ansatz bei der Bereitstellung von Technologien lösen. 9. Security by Design verinnerlichen Integrieren Sie Sicherheit von Anfang an in Ihre Cloud-Architektur – es ist immer deutlich schwieriger, nachträglich aufzurüsten. (fm) Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox. View the full article
  11. Two cybersecurity professionals charged with running a ransomware operation have pleaded guilty to conspiring to obstruct, delay, or affect commerce through extortion. They will be sentenced on March 12, 2026, the US Department of Justice announced this week. Ryan Goldberg and Kevin Martin were charged with using the BlackCat ransomware against multiple victims in the US between April 2023 and December 2023. An unnamed co-conspirator was also listed in the court filings. They were accused of targeting five companies with the ransomware: a Florida medical device company, a Maryland pharmaceutical company, a doctor’s office in California, an engineering company in California, and a drone manufacturer in Virginia. BlackCat ransomware, also known as ALPHV, is particularly pernicious as it can exploit cloud copies of data intended to protect against ransomware attacks as a way into the enterprise. Those behind it are among the most dangerous ransomware groups active today. Goldberg and Martin didn’t develop BlackCat, though: they identified victims and targeted them with the ransomware-as-a-service, sharing ransom payouts with the developers. The two reached plea agreements with the US Attorney for the Southern District of Florida on Dec. 18, 2025, and these were accepted by the US District Court for the Southern District fo Florida on Dec. 29, court records show. The ransomware attacks resulted in losses exceeding $9.5 million, the parties agreed. However, authorities were only able to trace $324,123.26 in proceeds of the crimes to Goldberg and Martin, according to the plea agreements. The pair face a maximum sentence of 20 years in prison. US authorities have been after them and the developers of the BlackCat software they used for years. The wider ransomware group is believed to have targeted more than 1,000 victims around the world, according to a DOJ news release. The group was defanged in December 2023, when the US Federal Bureau of Investigation (FBI) developed a tool that could decrypt data held to ransom, according ot the DOJ. It estimated this saved hundreds of victims some $99 million in ransomware payments. View the full article
  12. Two cybersecurity professionals charged with running a ransomware operation have pleaded guilty to conspiring to obstruct, delay, or affect commerce through extortion. They will be sentenced on March 12, 2026, the US Department of Justice announced this week. Ryan Goldberg and Kevin Martin were charged with using the BlackCat ransomware against multiple victims in the US between April 2023 and December 2023. An unnamed co-consiprator was also listed in the court filings. They were accused of targeting five companies with the ransomware: a Florida medical device company, a Maryland pharmaceutical company, a doctor’s office in California, an engineering company in California, and a drone manufacturer in Virginia. BlackCat ransomware, also known as ALPHV, is particularly pernicious as it can exploit cloud copies of data intended to protect against ransomware attacks as a way into the enterprise. Those behind it are among the most dangerous ransomware groups active today. Goldberg and Martin didn’t develop BlackCat, though: they identified victims and targeted them with the ransomware-as-a-service, sharing ransom payouts with the developers. The two reached plea agreements with the US Attorney for the Southern District of Florida on Dec. 18, 2025, and these were accepted by the US District Court for the Southern District fo Florida on Dec. 29, court records show. The ransomware attacks resulted in losses exceeding $9.5 million, the parties agreed. However, authorities were only able to trace $324,123.26 in proceeds of the crimes to Goldberg and Martin, according to the plea agreements. The pair face a maximum sentence of 20 years in prison. US authorities have been after them and the developers of the BlackCat software they used for years. The wider ransomware group is believed to have targeted more than 1,000 victims around the world, according to a DOJ news release. The group was defanged in December 2023, when the US Federal Bureau of Investigation (FBI) developed a tool that could decrypt data held to ransom, according ot the DOJ. It estimated this saved hundreds of victims some $99 million in ransomware payments. View the full article
  13. Two cybersecurity professionals charged with running a ransomware operation have pleaded guilty to conspiring to obstruct, delay, or affect commerce through extortion. They will be sentenced on March 12, 2026, the US Department of Justice announced this week. Ryan Goldberg and Kevin Martin were charged with using the BlackCat ransomware against multiple victims in the US between April 2023 and December 2023. An unnamed co-conspirator was also listed in the court filings. They were accused of targeting five companies with the ransomware: a Florida medical device company, a Maryland pharmaceutical company, a doctor’s office in California, an engineering company in California, and a drone manufacturer in Virginia. BlackCat ransomware, also known as ALPHV, is particularly pernicious as it can exploit cloud copies of data intended to protect against ransomware attacks as a way into the enterprise. Those behind it are among the most dangerous ransomware groups active today. Goldberg and Martin didn’t develop BlackCat, though: they identified victims and targeted them with the ransomware-as-a-service, sharing ransom payouts with the developers. The two reached plea agreements with the US Attorney for the Southern District of Florida on Dec. 18, 2025, and these were accepted by the US District Court for the Southern District fo Florida on Dec. 29, court records show. The ransomware attacks resulted in losses exceeding $9.5 million, the parties agreed. However, authorities were only able to trace $324,123.26 in proceeds of the crimes to Goldberg and Martin, according to the plea agreements. The pair face a maximum sentence of 20 years in prison. US authorities have been after them and the developers of the BlackCat software they used for years. The wider ransomware group is believed to have targeted more than 1,000 victims around the world, according to a DOJ news release. The group was defanged in December 2023, when the US Federal Bureau of Investigation (FBI) developed a tool that could decrypt data held to ransom, according ot the DOJ. It estimated this saved hundreds of victims some $99 million in ransomware payments. View the full article
  14. Cybersecurity teams are navigating a shift as skills shortages overtake headcount as the primary concern, according to ISC2’s 2025 Cybersecurity Workforce Study. The research, based on responses from some 16,029 cybersecurity professionals globally, reveals that while budget cuts and layoffs have leveled off after last year’s surge, the pressure on security teams has intensified. ISC2, a nonprofit member organization for cybersecurity professionals, found that cybersecurity workforce budget limitations remain a key driver of staff shortages, with 33% of respondents stating that their organizations do not have enough resources to “adequately” staff their teams. Another 29% of respondents said they cannot afford to hire staff with the skills they need to “adequately secure their organizations,” this year’s study found. And nearly three-fourths (72%) of respondents said that they believe reducing security personnel “significantly increases the risk of a breach in their organizations,” according to ISC2. Economic conditions affecting cybersecurity budgets showed signs of stabilizing in 2025, according to ISC2, with reports of budget cuts dropping to 36% (down one percentage point from 2024) and layoffs declining to 24% (also down one point). Still, underlying workforce challenges remain. “Based on what we’re seeing in the data and the sentiment of cybersecurity professionals globally, there is no indication that budget cuts or layoffs will accelerate significantly in 2026,” says Casey Marks, Chief Operating Officer at ISC2. “Economic conditions will always play an important role in workforce development and enablement. However, the overall outlook does not suggest a worsening trend in 2026.” Skills gaps drive security consequences The study highlights a critical trend: Nearly 90% of respondents (88%) have experienced at least one significant cybersecurity event in their organizations due to skills shortages, with 69% reporting more than one event. The severity of skills needs has grown substantially, with 95% of respondents reporting at least one skill need (up 5% from 2024) and 59% citing critical or significant skills gaps (a 15% increase from the previous year). “A shift is happening. This year’s data makes it clear that the most pressing concern for cybersecurity teams isn’t headcount but skills,” said Debra Taylor, ISC2 Acting CEO and CFO, in a statement. “Skills deficits raise cybersecurity risk levels and challenge business resilience.” Organizations have experienced oversights in cybersecurity processes and procedures (26%), been forced to put underqualified or inexperienced people into roles to cover them (25%), are lacking the time or resources to train cybersecurity staff (25%), and are dealing with misconfigured systems (24%), according to this year’s study. The report also states “Another commonly cited (24%) outcome of skills shortages is that parts of the organization are left under-secured and staff are unable to take advantage of emerging cybersecurity technologies (24% each),” the report states. While the study doesn’t tie security consequences to specific technical domains, the number of consequences shows how capability development has become more critical than simply adding headcount, Marks says. “AI and cloud security continue to stand out as the most urgent skills needs from both hiring managers and cybersecurity professionals. Nearly everyone in the study reports at least one skills need, and most report significant ones,” Marks says. “That tells us capability development has become more critical than simply adding headcount.” AI adoption accelerates The research found that AI adoption is accelerating quickly, with 28% of respondents reporting that they have already integrated AI tools into their operations and 69% involved in some level of adoption, through integration, active testing, or early evaluation. “What stands out is how fast AI has moved from experimentation into day-to-day operations. More than two-thirds of respondents are already using, testing, or actively evaluating AI tools in their security programs,” Marks explains. “For those who are using them today, the majority are already seeing measurable productivity gains. That tells us that AI is quickly becoming a practice part of how security work gets done, not a future concept.” The study shows that cybersecurity professionals view AI technology as a career accelerator. The study found that 73% believe AI will create more specialized cybersecurity skills, 72% say it will necessitate more strategic cybersecurity mindsets, and 66% said they believe it will require broader skillsets across the workforce. AI remains one of the top skills needed for the second consecutive year, with 41% of respondents of the 2025 study citing it as a critical skill, followed by cloud security at 36%. According to the report, 48% of respondents are already working to gain generalized AI knowledge and skills, while “35% are educating themselves on AI solutions at risk to better understand vulnerabilities and exploits.” “The use of AI tools and the perception that AI will be a career-booster in the cybersecurity industry are prompting professionals to take proactive steps to develop and expand their knowledge and skill base to future-proof their careers,” Marks says. “They see it as a driver of new and more specialized skills, more strategic responsibilities, and broader career pathways.” High cybersecurity job satisfaction The research found that 87% believe there will always be a need for cybersecurity professionals, 81% are confident the profession will remain strong, and 68% are satisfied in their current job (up two percentage points from 2024). Another 80% report feeling passionate about their work. “While satisfaction with organizations and leadership varies, confidence in the profession itself remains high, and that sense of purpose is a powerful stabilizing force. Cybersecurity is a mission-driven field, and 80% reported feeling passionate about their work, while 71% are satisfied with their day-to-day experience. A large majority believe the profession will remain essential in the long term and will continue to feel passionate about their role,” Marks says. Almost half (48%) of respondents feel exhausted from trying to stay current on the latest cybersecurity threats and emerging technologies, and 47% feel overwhelmed by workload, according to the study. ISC2’s findings suggest that sustained investment in skills development—especially related to AI—realistic workload expectations, and support for continuous learning during working hours are essential. The study also found that career development is important to cybersecurity professionals. Nearly one-third (31%) of respondents said they consider advancement opportunities critical, and 23% cited unplanned financial or benefit rewards as key drivers. According to the 2025 study, 75% are likely to stay at their current organization for the next year, but that number drops to 66% when considering the next two years. The study’s findings proves that organizations must rethink their approach to cybersecurity workforce development, according to ISC2’s Marks. “The data shows tremendous energy at the individual level around AI upskilling. Nearly half of respondents are already building AI skills on their own, and many plan to pursue AI-focused qualifications,” Marks says. “Organizations are investing in development through training budgets, internal education and cross-training, but the scale of demand for AI skills is significant. Our research shows widespread individual and organizational investment in AI upskilling, with demand continuing to grow.” View the full article
  15. PeopleImages.com – Shutterstock.com Generative KI (GenAI) ist zu einem allgegenwärtigen Werkzeug in Unternehmen geworden. Laut einer Umfrage der Boston Consulting Group nutzen 50 Prozent der Unternehmen die Technologie, um Arbeitsabläufe neu zu gestalten. 77 Prozent der Befragten sind überzeugt, dass KI-Agenten in den nächsten drei bis fünf Jahren eine zentrale Rolle für ihre Unternehmensfunktionen spielen werden. CISOs und ihre Sicherheitsteams sind mit der Leistungsfähigkeit künstlicher Intelligenz bestens vertraut und von den Fortschritten der KI ebenso betroffen wie alle anderen Funktionen im Unternehmen. Während Machine Learning seit Jahren ein wichtiger Bestandteil von Cyber-Operationen ist, führt der jüngste Fortschritt der KI – insbesondere im Bereich der generativen KI – dazu, dass sich die Technologie immer tiefer in die Sicherheitsprozesse vordringt. Diese Tools, teils selbst entwickelt, teils von Anbietern bereitgestellt, unterstützen unter anderem bei der Forensik, Incident Response, Log-Analyse, Orchestrierung, Schwachstellenmanagement und der Erstellung von Berichten. Der zunehmende Einsatz von KI in Sicherheitsprozessen verändert CyberOps grundlegend. Er steigert die Wirksamkeit und Produktivität von Sicherheitsexperten und verändert nachhaltig, wie Cybersicherheitsarbeit geleistet wird. „Es ist nicht das Was von CyberOps, das KI verändert, sondern das Wie. Sie verändert die Geschwindigkeit, mit der wir bestimmte Vorgänge erledigen können, und ermöglicht es Menschen, sich auf anspruchsvollere Tätigkeiten zu konzentrieren“, erklärt Matt Gorham, Leiter des Cyber & Risk Innovation Institute bei PwC. Kompetenzen erweitern, Aufgaben automatisieren „Da KI Aufgaben mit einer Geschwindigkeit ausführen kann, die menschliche Fähigkeiten übersteigt, skaliert sie das Arbeitsvolumen einer Cybersicherheitsfunktion exponentiell“, betont Rob T. Lee, Chief of Research für KI und neue Bedrohungen sowie Leiter der Fakultät am SANS Institute. Darüber hinaus sei KI besonders gut darin, repetitive Aufgaben jedes Mal nahezu perfekt auszuführen, heben Experten hervor. Damit liefere sie eine Konsistenz, die menschlichen Mitarbeitern kaum erreichen können. „Wenn jemand aus irgendeinem Grund nicht in Bestform ist, können die Ergebnisse variieren“, erklärt Dan Mellen, globaler Cyber-CTO bei EY. KI hingegen verfolgt einen deterministischen Ansatz und erledigt dieselbe Aufgabe immer auf die gleiche Weise.“ Dadurch sei die Konsistenz der Ergebnisse deutlich höher und vorhersehbarer ist als bei Menschen, so Mellen. KI könne jedoch nicht nur die Geschwindigkeit und die Skalierbarkeit des Sicherheitsteams steigern, sondern auch das Kompetenzniveau erhöhen, argumentiert Jeffrey Brown, Dozent bei IANS Research, Cybersicherheitsberater für Finanzdienstleistungen bei Microsoft und ehemaliger CISO des Bundesstaates Connecticut. „KI ist ein Kraftmultiplikator für die Verteidigung, und zwar gleich in zweierlei Hinsicht“, erklärt Brown: „Die Technologie hebt das Wissensniveau von Junior-Mitarbeiter deutlich an und hilft ihnen, sich schneller einzuarbeiten. Gleichzeitig macht sie erfahrene Mitarbeiter effektiver und definiert Produktivität auf höherem Niveau neu.“ Als Beispiel verweist der Cybersecurity-Experte auf den Einsatz von KI in einem Security Operations Center (SOC). Dort könne KI einen erheblichen Teil – und in einigen Fällen sogar alle – Level-1-Support-Aufgaben übernehmen, etwa Ticket-Triage und -Routing. Damit würden SOC-Mitarbeiter entlastet und könnten sich um komplexere Level-2- oder-3-Probleme kümmern. Generative KI könne den SOC-Mitarbeitern zudem automatisierte Fallstudien und Handlungsempfehlungen für anspruchsvollere Aufgaben liefern und so Effizienz und Produktivität steigern. Trotz der Befürchtungen, dass durch KI Arbeitsplätze verloren gehen könnten, hat Brown bisher beobachtet, dass CISOs KI nicht zum Ersatz von Mitarbeitern, sondern zur Verbesserung ihrer Arbeit einsetzen. „KI ist am effektivsten, wenn weiterhin ein Mensch im Loop bleibt“, erklärt er. Auf diese Weise erweitere KI den Handlungsspielraum von CISO-Teams und befähige mehr Teammitglieder, anspruchsvollere Aufgaben zu übernehmen. So habe etwa der Einsatz von KI im Threat Modelling es Unternehmen mit kleineren, weniger spezialisierten Teams ermöglicht, potenzielle Sicherheitsbedrohungen proaktiv zu identifizieren, zu analysieren und zu entschärfen – Aufgaben, die sie vor der Einführung von KI nicht bewältigen konnten. „Im Allgemeinen beobachten wir, dass SecOps-Teams mit den vorhandenen Ressourcen mehr leisten und das Qualifikationsniveau insgesamt steigt. Ihre Arbeit verschiebt sich spürbar nach oben“, erklärt Wolfgang Goerlich, Dozent bei IANS Research und CISO im öffentlichen Sektor. Kleinere Teams, neues Qualifikationsparadigma All dies wirkt ich auch auf die Personalstrategie aus. Sicherheitsexperten gehen davon aus, dass traditionelle Einstiegspositionen im IT-Security-Bereich bald verschwinden werden. Berufseinsteiger müssten bereit sein, auf einer höheren Ebene einzusteigen. Dies gelte insbesondere, da agentenbasierte KI immer ausgereifter werde, in immer mehr Sicherheitsabteilungen zum Einsatz komme und einen zunehmend größeren Teil der Aufgaben übernehme, so Brown. „Wir müssen uns überlegen, wie viele und welche Arten von Experten wir benötigen“, fügt er hinzu. Als Brown CISO für den Bundesstaat Connecticut war, hatte er beispielsweise einen Mitarbeiter in seinem Sicherheitsteam, der sich auf Phishing konzentrierte. Heute stellt er in Frage, ob es eine solche Spezialisierung noch braucht, wenn Agentic AI automatisch große Teile oder sogar den gesamten Workflow zur Reaktion auf Phishing-Angriffe übernehmen kann. Mit KI werden Cybersicherheitsteams nach Einschätzung von Brown mit KI kleiner – und bestehen aus weniger klassischer Spezialisten. „Stattdessen werden sie zu Managern von Agenten, die ihnen bei der Arbeit helfen“, sagt er. Brown räumt jedoch ein, dass der Einsatz von KI in CyberOps neue Kompetenzen erfordern wird – und dass CISOs gezielt nach diesen Fähigkeiten suchen müssen. Kenntnisse in KI-Governance, Prompt Engineering und Data Science werden seiner Ansicht nach auf allen Ebenen der IT-Sicherheit unverzichtbar. „Das ist ein gewaltiger Paradigmenwechsel“, erklärt er. „Wir brauchen Menschen, die sich mit Agenten auskennen, und erkennen können, ob dieser die richtige Antwort gibt – oder nicht.“ „Menschliche Intuition ist unersetzlich“, so Brown abschließend. „Es wird eher eine Symbiose zwischen Mensch und KI sein, eine Partnerschaft, bei der KI die Produktivität steigert, aber immer mit einem Menschen im Loop.“ Der Bedarf an Governance, Agilität und Geschwindigkeit Die beschleunigte Nutzung von KI im gesamten Unternehmen verändert auch die Sicherheitsmaßnahmen. Die Cybersicherheit muss mit der Absicherung von KI und den von ihr verwendeten Daten überall dort Schritt halten, wo KI eingesetzt wird. Damit tun sich Security-Teams bereits heute schwer. Laut dem Bericht „State of Cybersecurity Resilience 2025“ von Accenture „hinken besorgniserregende 77 Prozent der Unternehmen bei der Einführung wesentlicher Sicherheitsmaßnahmen für Daten und KI hinterher. Nur 22 Prozent haben klare Richtlinien und Schulungen für den Einsatz von GenAI implementiert, und nur wenige führen ein vollständiges Inventar ihrer KI-Systeme – eine wichtige Voraussetzung, um das Risiko in der Lieferkette zu managen. Darüber hinaus ist der Datenschutz nach wie vor unzureichend – nur 25 Prozent der Unternehmen nutzen Verschlüsselung und Zugriffskontrollen konsequent, um sensible Informationen während der Übertragung, im Ruhezustand und bei der Verarbeitung zu schützen.“ Zudem stellt der Bericht fest, dass sich die Sicherheitslücken auch auf die Cloud-Infrastruktur erstrecken. Denn, so Accenture: „Trotz der Abhängigkeit der KI von Cloud-basierter Verarbeitung haben 83 Prozent der Unternehmen keine sichere Cloud-Basis mit integrierten Überwachungs-, Erkennungs- und Reaktionsfunktionen geschaffen.“ In ähnlicher Weise schreibt Gartner in seinem Bericht „A CISO’s Guide to AI Cyber Stewardship“ vom Juli 2025, dass „CISOs bei der Sicherung der KI im gesamten Unternehmen hinterherhinken“. Um KI-bezogene Cyberrisiken zu managen, rät der Report CISOs, „einen Ansatz für die KI-Cyber-Stewardship zu verfolgen, der auf Kompetenz, Governance über den gesamten Lebenszyklus, interdisziplinären Schnittstellen, menschlicher Aufsicht, Basiskontrollen und AI TRiSM [Trust, Risk and Security Management] basiert.“ Sicherheitsverantwortliche sind sich einig, dass CyberOps seine KI-Governance-Funktion ausbauen muss – ebenso wie die Fähigkeit, KI-Agenten zu integrieren, zu identifizieren und zu autorisieren. „Es muss Kontrollmechanismen geben, um sicherzustellen, dass KI-Agenten nicht ihre Befugnisse überschreiten, genauso wie wir es bei Menschen handhaben“, erklärt Mellen. Zugleich muss die IT-Sicherheit schneller werden, wenn es darum geht, KI im Unternehmen abzusichern. „Das Tempo des geschäftlichen Wandels wird weiter steigen, und der CISO muss Schritt halten“, konstatiert Gorham. „Die dafür erforderlichen Fähigkeiten werden sich verändern; Cybersecurity-Teams brauchen neben den traditionellen Sicherheitskompetenzen eine Kombination aus KI-Fähigkeiten wie Prompt Engineering und Data-Science-Know-how.“ Cyber-Teams neu denken Avivah Litan, Distinguished VP Analyst bei Gartner, geht davon aus, dass KI mindestens ebenso viele Arbeitsplätze schaffen wird, wie sie ersetzt. Wie viele andere glaubt sie, dass KI „Menschen dazu befähigen wird, mehr und bessere Arbeit zu leisten“. Diese neuen CyberOps-Rollen werden ihrer Einschätzung nach notwendig sein, da Hacker KI nutzen, um immer raffiniertere Angriffe zu starten. „KI wird es Unternehmen ermöglichen, dem wirksamer zu begegnen“, fügt sie hinzu. All dies erfordert jedoch, dass CISOs ihre Security-Organisationen überdenken, um sicherzustellen, dass sie sowohl KI als auch Menschen optimal einsetzen. „Sie müssen sich fragen: ‚Wo ist es sinnvoll, einen Menschen einzusetzen, und was kann ich an die KI auslagern? Und welche Kosten entstehen dadurch, weil mir bestimmte Ressourcen im Team fehlen?‘“, erklärt CISO Goerlich. „Wir sind im Security-Bereich seit langem unterbesetzt, und darin liegt eine große Chance. Andererseits möchte niemand ein SOC-Team, das nur noch auf Knöpfe klickt.“ Goerlich zufolge müssen CISOs ihre Talentstrategien aktualisieren und Roadmaps entwickeln – um bestehender Mitarbeiter weiterzuentwickeln und neue Mitarbeiter für die Positionen der Zukunft einzustellen, in denen sie Seite an Seite mit KI und KI-Agenten arbeiten werden. Dabei darf jedoch die menschliche Intelligenz in den Sicherheitsprozessen nicht verloren gehen. Dies ist besonders wichtig, da – wie CISOs wissen – auch die Angreifer KI einsetzen. Und sie tun dies oft schneller, da sie anders als die Unternehmen nicht an ethische Vorgaben und rechtliche Vorschriften gebunden sind. Goerlich bemerkt dazu: „Die Zukunft der Security Operations wird ein Wettstreit zwischen KI und KI sein. Maschine gegen Maschine – mit Menschen im Cockpit, die auf der Verteidigerseite sicherstellen, dass die richtigen Dinge geschehen – oder auf der Seite der Angreifer dafür sorgen, dass die Attacken erfolgreich sind. Das wird uns zwingen, unsere Sicherheitsmaßnahmen zu überdenken.“ (mb) View the full article
  16. PeopleImages.com – Shutterstock.com Generative KI (GenAI) ist zu einem allgegenwärtigen Werkzeug in Unternehmen geworden. Laut einer Umfrage der Boston Consulting Group nutzen 50 Prozent der Unternehmen die Technologie, um Arbeitsabläufe neu zu gestalten. 77 Prozent der Befragten sind überzeugt, dass KI-Agenten in den nächsten drei bis fünf Jahren eine zentrale Rolle für ihre Unternehmensfunktionen spielen werden. CISOs und ihre Sicherheitsteams sind mit der Leistungsfähigkeit künstlicher Intelligenz bestens vertraut und von den Fortschritten der KI ebenso betroffen wie alle anderen Funktionen im Unternehmen. Während Machine Learning seit Jahren ein wichtiger Bestandteil von Cyber-Operationen ist, führt der jüngste Fortschritt der KI – insbesondere im Bereich der generativen KI – dazu, dass sich die Technologie immer tiefer in die Sicherheitsprozesse vordringt. Diese Tools, teils selbst entwickelt, teils von Anbietern bereitgestellt, unterstützen unter anderem bei der Forensik, Incident Response, Log-Analyse, Orchestrierung, Schwachstellenmanagement und der Erstellung von Berichten. Der zunehmende Einsatz von KI in Sicherheitsprozessen verändert CyberOps grundlegend. Er steigert die Wirksamkeit und Produktivität von Sicherheitsexperten und verändert nachhaltig, wie Cybersicherheitsarbeit geleistet wird. „Es ist nicht das Was von CyberOps, das KI verändert, sondern das Wie. Sie verändert die Geschwindigkeit, mit der wir bestimmte Vorgänge erledigen können, und ermöglicht es Menschen, sich auf anspruchsvollere Tätigkeiten zu konzentrieren“, erklärt Matt Gorham, Leiter des Cyber & Risk Innovation Institute bei PwC. Kompetenzen erweitern, Aufgaben automatisieren „Da KI Aufgaben mit einer Geschwindigkeit ausführen kann, die menschliche Fähigkeiten übersteigt, skaliert sie das Arbeitsvolumen einer Cybersicherheitsfunktion exponentiell“, betont Rob T. Lee, Chief of Research für KI und neue Bedrohungen sowie Leiter der Fakultät am SANS Institute. Darüber hinaus sei KI besonders gut darin, repetitive Aufgaben jedes Mal nahezu perfekt auszuführen, heben Experten hervor. Damit liefere sie eine Konsistenz, die menschlichen Mitarbeitern kaum erreichen können. „Wenn jemand aus irgendeinem Grund nicht in Bestform ist, können die Ergebnisse variieren“, erklärt Dan Mellen, globaler Cyber-CTO bei EY. KI hingegen verfolgt einen deterministischen Ansatz und erledigt dieselbe Aufgabe immer auf die gleiche Weise.“ Dadurch sei die Konsistenz der Ergebnisse deutlich höher und vorhersehbarer ist als bei Menschen, so Mellen. KI könne jedoch nicht nur die Geschwindigkeit und die Skalierbarkeit des Sicherheitsteams steigern, sondern auch das Kompetenzniveau erhöhen, argumentiert Jeffrey Brown, Dozent bei IANS Research, Cybersicherheitsberater für Finanzdienstleistungen bei Microsoft und ehemaliger CISO des Bundesstaates Connecticut. „KI ist ein Kraftmultiplikator für die Verteidigung, und zwar gleich in zweierlei Hinsicht“, erklärt Brown: „Die Technologie hebt das Wissensniveau von Junior-Mitarbeiter deutlich an und hilft ihnen, sich schneller einzuarbeiten. Gleichzeitig macht sie erfahrene Mitarbeiter effektiver und definiert Produktivität auf höherem Niveau neu.“ Als Beispiel verweist der Cybersecurity-Experte auf den Einsatz von KI in einem Security Operations Center (SOC). Dort könne KI einen erheblichen Teil – und in einigen Fällen sogar alle – Level-1-Support-Aufgaben übernehmen, etwa Ticket-Triage und -Routing. Damit würden SOC-Mitarbeiter entlastet und könnten sich um komplexere Level-2- oder-3-Probleme kümmern. Generative KI könne den SOC-Mitarbeitern zudem automatisierte Fallstudien und Handlungsempfehlungen für anspruchsvollere Aufgaben liefern und so Effizienz und Produktivität steigern. Trotz der Befürchtungen, dass durch KI Arbeitsplätze verloren gehen könnten, hat Brown bisher beobachtet, dass CISOs KI nicht zum Ersatz von Mitarbeitern, sondern zur Verbesserung ihrer Arbeit einsetzen. „KI ist am effektivsten, wenn weiterhin ein Mensch im Loop bleibt“, erklärt er. Auf diese Weise erweitere KI den Handlungsspielraum von CISO-Teams und befähige mehr Teammitglieder, anspruchsvollere Aufgaben zu übernehmen. So habe etwa der Einsatz von KI im Threat Modelling es Unternehmen mit kleineren, weniger spezialisierten Teams ermöglicht, potenzielle Sicherheitsbedrohungen proaktiv zu identifizieren, zu analysieren und zu entschärfen – Aufgaben, die sie vor der Einführung von KI nicht bewältigen konnten. „Im Allgemeinen beobachten wir, dass SecOps-Teams mit den vorhandenen Ressourcen mehr leisten und das Qualifikationsniveau insgesamt steigt. Ihre Arbeit verschiebt sich spürbar nach oben“, erklärt Wolfgang Goerlich, Dozent bei IANS Research und CISO im öffentlichen Sektor. Kleinere Teams, neues Qualifikationsparadigma All dies wirkt ich auch auf die Personalstrategie aus. Sicherheitsexperten gehen davon aus, dass traditionelle Einstiegspositionen im IT-Security-Bereich bald verschwinden werden. Berufseinsteiger müssten bereit sein, auf einer höheren Ebene einzusteigen. Dies gelte insbesondere, da agentenbasierte KI immer ausgereifter werde, in immer mehr Sicherheitsabteilungen zum Einsatz komme und einen zunehmend größeren Teil der Aufgaben übernehme, so Brown. „Wir müssen uns überlegen, wie viele und welche Arten von Experten wir benötigen“, fügt er hinzu. Als Brown CISO für den Bundesstaat Connecticut war, hatte er beispielsweise einen Mitarbeiter in seinem Sicherheitsteam, der sich auf Phishing konzentrierte. Heute stellt er in Frage, ob es eine solche Spezialisierung noch braucht, wenn Agentic AI automatisch große Teile oder sogar den gesamten Workflow zur Reaktion auf Phishing-Angriffe übernehmen kann. Mit KI werden Cybersicherheitsteams nach Einschätzung von Brown mit KI kleiner – und bestehen aus weniger klassischer Spezialisten. „Stattdessen werden sie zu Managern von Agenten, die ihnen bei der Arbeit helfen“, sagt er. Brown räumt jedoch ein, dass der Einsatz von KI in CyberOps neue Kompetenzen erfordern wird – und dass CISOs gezielt nach diesen Fähigkeiten suchen müssen. Kenntnisse in KI-Governance, Prompt Engineering und Data Science werden seiner Ansicht nach auf allen Ebenen der IT-Sicherheit unverzichtbar. „Das ist ein gewaltiger Paradigmenwechsel“, erklärt er. „Wir brauchen Menschen, die sich mit Agenten auskennen, und erkennen können, ob dieser die richtige Antwort gibt – oder nicht.“ „Menschliche Intuition ist unersetzlich“, so Brown abschließend. „Es wird eher eine Symbiose zwischen Mensch und KI sein, eine Partnerschaft, bei der KI die Produktivität steigert, aber immer mit einem Menschen im Loop.“ Der Bedarf an Governance, Agilität und Geschwindigkeit Die beschleunigte Nutzung von KI im gesamten Unternehmen verändert auch die Sicherheitsmaßnahmen. Die Cybersicherheit muss mit der Absicherung von KI und den von ihr verwendeten Daten überall dort Schritt halten, wo KI eingesetzt wird. Damit tun sich Security-Teams bereits heute schwer. Laut dem Bericht „State of Cybersecurity Resilience 2025“ von Accenture „hinken besorgniserregende 77 Prozent der Unternehmen bei der Einführung wesentlicher Sicherheitsmaßnahmen für Daten und KI hinterher. Nur 22 Prozent haben klare Richtlinien und Schulungen für den Einsatz von GenAI implementiert, und nur wenige führen ein vollständiges Inventar ihrer KI-Systeme – eine wichtige Voraussetzung, um das Risiko in der Lieferkette zu managen. Darüber hinaus ist der Datenschutz nach wie vor unzureichend – nur 25 Prozent der Unternehmen nutzen Verschlüsselung und Zugriffskontrollen konsequent, um sensible Informationen während der Übertragung, im Ruhezustand und bei der Verarbeitung zu schützen.“ Zudem stellt der Bericht fest, dass sich die Sicherheitslücken auch auf die Cloud-Infrastruktur erstrecken. Denn, so Accenture: „Trotz der Abhängigkeit der KI von Cloud-basierter Verarbeitung haben 83 Prozent der Unternehmen keine sichere Cloud-Basis mit integrierten Überwachungs-, Erkennungs- und Reaktionsfunktionen geschaffen.“ In ähnlicher Weise schreibt Gartner in seinem Bericht „A CISO’s Guide to AI Cyber Stewardship“ vom Juli 2025, dass „CISOs bei der Sicherung der KI im gesamten Unternehmen hinterherhinken“. Um KI-bezogene Cyberrisiken zu managen, rät der Report CISOs, „einen Ansatz für die KI-Cyber-Stewardship zu verfolgen, der auf Kompetenz, Governance über den gesamten Lebenszyklus, interdisziplinären Schnittstellen, menschlicher Aufsicht, Basiskontrollen und AI TRiSM [Trust, Risk and Security Management] basiert.“ Sicherheitsverantwortliche sind sich einig, dass CyberOps seine KI-Governance-Funktion ausbauen muss – ebenso wie die Fähigkeit, KI-Agenten zu integrieren, zu identifizieren und zu autorisieren. „Es muss Kontrollmechanismen geben, um sicherzustellen, dass KI-Agenten nicht ihre Befugnisse überschreiten, genauso wie wir es bei Menschen handhaben“, erklärt Mellen. Zugleich muss die IT-Sicherheit schneller werden, wenn es darum geht, KI im Unternehmen abzusichern. „Das Tempo des geschäftlichen Wandels wird weiter steigen, und der CISO muss Schritt halten“, konstatiert Gorham. „Die dafür erforderlichen Fähigkeiten werden sich verändern; Cybersecurity-Teams brauchen neben den traditionellen Sicherheitskompetenzen eine Kombination aus KI-Fähigkeiten wie Prompt Engineering und Data-Science-Know-how.“ Cyber-Teams neu denken Avivah Litan, Distinguished VP Analyst bei Gartner, geht davon aus, dass KI mindestens ebenso viele Arbeitsplätze schaffen wird, wie sie ersetzt. Wie viele andere glaubt sie, dass KI „Menschen dazu befähigen wird, mehr und bessere Arbeit zu leisten“. Diese neuen CyberOps-Rollen werden ihrer Einschätzung nach notwendig sein, da Hacker KI nutzen, um immer raffiniertere Angriffe zu starten. „KI wird es Unternehmen ermöglichen, dem wirksamer zu begegnen“, fügt sie hinzu. All dies erfordert jedoch, dass CISOs ihre Security-Organisationen überdenken, um sicherzustellen, dass sie sowohl KI als auch Menschen optimal einsetzen. „Sie müssen sich fragen: ‚Wo ist es sinnvoll, einen Menschen einzusetzen, und was kann ich an die KI auslagern? Und welche Kosten entstehen dadurch, weil mir bestimmte Ressourcen im Team fehlen?‘“, erklärt CISO Goerlich. „Wir sind im Security-Bereich seit langem unterbesetzt, und darin liegt eine große Chance. Andererseits möchte niemand ein SOC-Team, das nur noch auf Knöpfe klickt.“ Goerlich zufolge müssen CISOs ihre Talentstrategien aktualisieren und Roadmaps entwickeln – um bestehender Mitarbeiter weiterzuentwickeln und neue Mitarbeiter für die Positionen der Zukunft einzustellen, in denen sie Seite an Seite mit KI und KI-Agenten arbeiten werden. Dabei darf jedoch die menschliche Intelligenz in den Sicherheitsprozessen nicht verloren gehen. Dies ist besonders wichtig, da – wie CISOs wissen – auch die Angreifer KI einsetzen. Und sie tun dies oft schneller, da sie anders als die Unternehmen nicht an ethische Vorgaben und rechtliche Vorschriften gebunden sind. Goerlich bemerkt dazu: „Die Zukunft der Security Operations wird ein Wettstreit zwischen KI und KI sein. Maschine gegen Maschine – mit Menschen im Cockpit, die auf der Verteidigerseite sicherstellen, dass die richtigen Dinge geschehen – oder auf der Seite der Angreifer dafür sorgen, dass die Attacken erfolgreich sind. Das wird uns zwingen, unsere Sicherheitsmaßnahmen zu überdenken.“ (mb) View the full article
  17. Wirestock Creators – shutterstock.com Drittanbieter-Risikomanagement ist für CISOs und Sicherheitsentscheider eine signifikante Herausforderung. Wird sie nicht (richtig) gestemmt, drohen weitreichende geschäftliche Konsequenzen – bis hin zum Stillstand der Produktion. Das wurde in den vergangenen Monaten von diversen Cyberattacken auf Drittanbieter unterstrichen. Zum Beispiel, als die russische Hackergruppe APT29 (auch bekannt als “Cozy Bear”) im Juni 2024 die kostenlose Remote-Access-Software TeamViewer ins Visier nahm, die im Unternehmensumfeld weit verbreitet ist. Selbst, wenn Sie TeamViewer nicht einsetzen – ähnliche Tools gibt es auch von diversen, anderen Anbietern. Beispielsweise von Perimeter81, AnyDesk, GoToMyPC oder LogMeIn. Die entscheidenden Fragen sind dabei: Welcher Drittanbieter wird als nächstes angegriffen? Und können Sie es sich leisten, diesbezüglich ein Risiko einzugehen? Drittanbieter sind Ihr schwächstes Glied Leider verlassen sich so gut wie alle Unternehmen in zu hohem Maße auf zu viele verschiedene Drittanbieter, die in ihre Softwarelieferketten und Geschäftsprozesse eingebettet sind. Dabei reden wir nicht über zwei oder drei Third-Party-Partner, sondern mit Blick auf populäre Software-as-a-Service-Angebote eher über Hunderte oder Tausende, auf die sich Unternehmen jeden Tag verlassen. Das Risiko, das einer Zusammenarbeit mit Drittanbietern inhärent ist, steigt entsprechend drastisch an – und nicht nur, wenn ihre Anzahl überhandnimmt. Weitere Risikofaktoren in diesem Bereich sind beispielsweise: Eingeschränkte Transparenz. So gut wie alle Anbieter bieten potenziellen Kunden diverse Daten an, um ihre Fähigkeiten anzupreisen. Dabei kommen in einigen Fällen allerdings Informationen zum Einsatz, die nicht aktuell sind und somit die aktuelle Risikolage nicht adäquat widerspiegeln. Mehr Komplexität. Diverse Drittanbieter arbeiten selbst mit Zulieferern und Subunternehmen zusammen, von denen Sie möglicherweise nichts wissen. Unausgereifte Prozesse. Nicht wenige Third-Party-Anbieter arbeiten mit Cybersecurity-Richtlinien und -Standards, die weniger ausgereift sind als Ihre eigenen. Geringere Investitionen. Letztgenannter Punkt hängt oft auch damit zusammen, dass viele Drittanbieter ein begrenztes Budget für Cybersicherheit zur Verfügung haben. Das kann sich auf das Sicherheitsniveau ihrer Tools und Services auswirken. Zwar wurde eine Reihe von Best Practices und Playbooks entwickelt, um diese Lücken zu schließen – diese haben sich in weiten Teilen allerdings nicht bewährt: Vendor Assessments verkommen regelmäßig zu papierbasierten “Ankreuzübungen”, die nur Zeit fressen, aber nicht dazu beitragen, Risiken zu minimieren. Auch im Rahmen von Vertragsverhandlungen dafür sorgen zu wollen, dass strengere Sicherheitsanforderungen bei Drittanbietern angelegt werden, hat in vielen Fällen nichts bewirkt. Einige Unternehmen setzen auf Continuous Monitoring, um einen Überblick und mehr, datengetriebene Einblicke in das Sicherheitsniveau von Drittanbietern zu erhalten. Andere implementieren mit Blick auf Third-Party-Partner Incident-Response-Pläne, um Strategien zu entwickeln und einzuüben, falls es bei diesen zu einem Sicherheitsvorfall kommt. Insbesondere die letzten beiden Punkte können für Unternehmen hilfreich sein. Allerdings adressieren auch diese Maßnahmen das Risiko in Zusammenhang mit Drittanbietern nicht vollumfänglich. Vielmehr stellen sie ein Mittel dar, um zu überwachen und zu reagieren, falls es zu einer Cyberattacke kommt. Die Moschusochsen-Strategie Ich bin stolzes Mitglied des “Financial Services Information Sharing and Analysis Center” (FS-ISAC) und habe zusammen mit anderen CISOs aus der Finanzdienstleistungsbranche den Vorsitz des strategischen Ausschusses in der Asien-Pazifik-Region inne. Das Konsortium bietet Finanzdienstleistern auf der ganzen Welt ein umfassendes Cyber-Intelligence-Netzwerk, um sich untereinander über möglicherweise bevorstehende oder bereits laufende Angriffskampagnen auszutauschen. Weil viele verschiedene Unternehmen der Branche mit unterschiedlich ausgeprägtem Knowhow und Ressourcen an Bord sind, sind die Mitglieder in der Lage, eine umfassende Perspektive zu erhalten, die sie alleine nicht erreichen könnten. Das FS-ISAC ist insofern ein hervorragendes Beispiel dafür, wie wir als Sicherheitsentscheider zusammenarbeiten können, um uns besser gegen Risiken abzusichern. Das ist die Essenz dessen, was ich als “Moschusochsenstrategie” bezeichne. Der Hintergrund: Werden Moschusochsen von Wölfen angegriffen, bildet die Herde einen Kreis, in dessen Mitte sich die schwächeren Mitglieder befinden. Die Hörner der “Frontline”-Tiere sind dabei nach außen positioniert. Für die Angreifer ist dieser gemeinschaftliche Verteidigungswall kaum noch zu überwinden. Ich bin der festen Überzeugung, dass sich diese Strategie auch auf das Drittanbieter-Risikomanagement übertragen lässt. Ähnlich wie bei den Moschusochsen die Kälber sind die Drittanbieter, auf die wir uns verlassen, die schwächsten Herdenmitglieder. Werden Sie in Mitleidenschaft gezogen, wirkt sich das auf unsere kritischen Geschäftsprozesse aus. Der Unterschied zu den Moschusochsen: Wir bilden keinen Kreis, in dessen Mitte sich die Drittanbieter befinden. Stattdessen wäre es angebracht, sich im Kollektiv darüber auszutauschen, wenn die Sorge besteht, dass die Cybersecurity-Maßnahmen bei einem Third-Party-Anbieter zu wünschen übriglassen und verstärkt werden sollten. Noch wichtiger wäre allerdings eine gemeinsame Übereinkunft darüber, den Drittanbieter bei seinen Bemühungen zu unterstützen. Das würde potenziell Koordinationsarbeit und unter Umständen auch eine Neuverhandlung von Verträgen erfordern – hätte aber den Vorteil, diese Schwachstelle, die uns alle betrifft, besser absichern zu können. Von der Theorie zur Praxis Ein solches Zusammenwirken könnte unter Juristen durchaus Bedenken aufwerfen – Stichwort Wettbewerbsrecht. Dennoch hat der Moschusochsenansatz das Potenzial, die Risikolage in Sachen Drittanbieter entscheidend zu verbessern – und Unternehmen dabei zu unterstützen, Third-Party-Risiken besser zu managen. Das könnte – zum Beispiel – folgendermaßen aussehen: Bestimmen Sie, welche Drittanbieter Ihnen am meisten Sorgen bereiten und erstellen Sie eine “Hot List”. Tauschen Sie sich mit anderen Unternehmen aus, um diese Liste abzugleichen und die Kandidaten zu ermitteln, die Sie gemeinsam haben. Verhandeln Sie über einen gemeinschaftlichen “Schutzschild” für diese Anbieter. Denselben Ansatz haben wir bei FS-ISAC als möglichen Weg für die Zukunft diskutiert. Die ersten beiden Schritte sind relativ simpel zu bewerkstelligen – der dritte macht hingegen deutlich mehr Aufwand, aber auch den entscheidenden Unterschied. Ein praktischer Ansatz, um diesen umzusetzen, könnte dabei darin bestehen, dass die größten Unternehmen eine Führungsrolle einnehmen und kleinere unter ihre Fittiche nehmen. Vergessen sollten Sie dabei nicht, dass auch die Moschusochsen-Strategie ihre Grenzen hat: Wenn ein Bär angreift, machen sich auch Moschusochsen aus dem Staub – dann ist jeder auf sich allein gestellt. Das lässt sich ebenfalls auf die Cybersicherheit übertragen: Je mächtiger der Feind, desto wahrscheinlicher ist es, dass der Angriff in einen Kampf ums blanke Überleben ausartet. Aber auch wenn diese Strategie nicht auf jedes Szenario anwendbar ist, könnte sie unser kollektives Risiko erheblich minimieren. (fm) Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox. View the full article
  18. Wirestock Creators – shutterstock.com Drittanbieter-Risikomanagement ist für CISOs und Sicherheitsentscheider eine signifikante Herausforderung. Wird sie nicht (richtig) gestemmt, drohen weitreichende geschäftliche Konsequenzen – bis hin zum Stillstand der Produktion. Das wurde in den vergangenen Monaten von diversen Cyberattacken auf Drittanbieter unterstrichen. Zum Beispiel, als die russische Hackergruppe APT29 (auch bekannt als “Cozy Bear”) im Juni 2024 die kostenlose Remote-Access-Software TeamViewer ins Visier nahm, die im Unternehmensumfeld weit verbreitet ist. Selbst, wenn Sie TeamViewer nicht einsetzen – ähnliche Tools gibt es auch von diversen, anderen Anbietern. Beispielsweise von Perimeter81, AnyDesk, GoToMyPC oder LogMeIn. Die entscheidenden Fragen sind dabei: Welcher Drittanbieter wird als nächstes angegriffen? Und können Sie es sich leisten, diesbezüglich ein Risiko einzugehen? Drittanbieter sind Ihr schwächstes Glied Leider verlassen sich so gut wie alle Unternehmen in zu hohem Maße auf zu viele verschiedene Drittanbieter, die in ihre Softwarelieferketten und Geschäftsprozesse eingebettet sind. Dabei reden wir nicht über zwei oder drei Third-Party-Partner, sondern mit Blick auf populäre Software-as-a-Service-Angebote eher über Hunderte oder Tausende, auf die sich Unternehmen jeden Tag verlassen. Das Risiko, das einer Zusammenarbeit mit Drittanbietern inhärent ist, steigt entsprechend drastisch an – und nicht nur, wenn ihre Anzahl überhandnimmt. Weitere Risikofaktoren in diesem Bereich sind beispielsweise: Eingeschränkte Transparenz. So gut wie alle Anbieter bieten potenziellen Kunden diverse Daten an, um ihre Fähigkeiten anzupreisen. Dabei kommen in einigen Fällen allerdings Informationen zum Einsatz, die nicht aktuell sind und somit die aktuelle Risikolage nicht adäquat widerspiegeln. Mehr Komplexität. Diverse Drittanbieter arbeiten selbst mit Zulieferern und Subunternehmen zusammen, von denen Sie möglicherweise nichts wissen. Unausgereifte Prozesse. Nicht wenige Third-Party-Anbieter arbeiten mit Cybersecurity-Richtlinien und -Standards, die weniger ausgereift sind als Ihre eigenen. Geringere Investitionen. Letztgenannter Punkt hängt oft auch damit zusammen, dass viele Drittanbieter ein begrenztes Budget für Cybersicherheit zur Verfügung haben. Das kann sich auf das Sicherheitsniveau ihrer Tools und Services auswirken. Zwar wurde eine Reihe von Best Practices und Playbooks entwickelt, um diese Lücken zu schließen – diese haben sich in weiten Teilen allerdings nicht bewährt: Vendor Assessments verkommen regelmäßig zu papierbasierten “Ankreuzübungen”, die nur Zeit fressen, aber nicht dazu beitragen, Risiken zu minimieren. Auch im Rahmen von Vertragsverhandlungen dafür sorgen zu wollen, dass strengere Sicherheitsanforderungen bei Drittanbietern angelegt werden, hat in vielen Fällen nichts bewirkt. Einige Unternehmen setzen auf Continuous Monitoring, um einen Überblick und mehr, datengetriebene Einblicke in das Sicherheitsniveau von Drittanbietern zu erhalten. Andere implementieren mit Blick auf Third-Party-Partner Incident-Response-Pläne, um Strategien zu entwickeln und einzuüben, falls es bei diesen zu einem Sicherheitsvorfall kommt. Insbesondere die letzten beiden Punkte können für Unternehmen hilfreich sein. Allerdings adressieren auch diese Maßnahmen das Risiko in Zusammenhang mit Drittanbietern nicht vollumfänglich. Vielmehr stellen sie ein Mittel dar, um zu überwachen und zu reagieren, falls es zu einer Cyberattacke kommt. Die Moschusochsen-Strategie Ich bin stolzes Mitglied des “Financial Services Information Sharing and Analysis Center” (FS-ISAC) und habe zusammen mit anderen CISOs aus der Finanzdienstleistungsbranche den Vorsitz des strategischen Ausschusses in der Asien-Pazifik-Region inne. Das Konsortium bietet Finanzdienstleistern auf der ganzen Welt ein umfassendes Cyber-Intelligence-Netzwerk, um sich untereinander über möglicherweise bevorstehende oder bereits laufende Angriffskampagnen auszutauschen. Weil viele verschiedene Unternehmen der Branche mit unterschiedlich ausgeprägtem Knowhow und Ressourcen an Bord sind, sind die Mitglieder in der Lage, eine umfassende Perspektive zu erhalten, die sie alleine nicht erreichen könnten. Das FS-ISAC ist insofern ein hervorragendes Beispiel dafür, wie wir als Sicherheitsentscheider zusammenarbeiten können, um uns besser gegen Risiken abzusichern. Das ist die Essenz dessen, was ich als “Moschusochsenstrategie” bezeichne. Der Hintergrund: Werden Moschusochsen von Wölfen angegriffen, bildet die Herde einen Kreis, in dessen Mitte sich die schwächeren Mitglieder befinden. Die Hörner der “Frontline”-Tiere sind dabei nach außen positioniert. Für die Angreifer ist dieser gemeinschaftliche Verteidigungswall kaum noch zu überwinden. Ich bin der festen Überzeugung, dass sich diese Strategie auch auf das Drittanbieter-Risikomanagement übertragen lässt. Ähnlich wie bei den Moschusochsen die Kälber sind die Drittanbieter, auf die wir uns verlassen, die schwächsten Herdenmitglieder. Werden Sie in Mitleidenschaft gezogen, wirkt sich das auf unsere kritischen Geschäftsprozesse aus. Der Unterschied zu den Moschusochsen: Wir bilden keinen Kreis, in dessen Mitte sich die Drittanbieter befinden. Stattdessen wäre es angebracht, sich im Kollektiv darüber auszutauschen, wenn die Sorge besteht, dass die Cybersecurity-Maßnahmen bei einem Third-Party-Anbieter zu wünschen übriglassen und verstärkt werden sollten. Noch wichtiger wäre allerdings eine gemeinsame Übereinkunft darüber, den Drittanbieter bei seinen Bemühungen zu unterstützen. Das würde potenziell Koordinationsarbeit und unter Umständen auch eine Neuverhandlung von Verträgen erfordern – hätte aber den Vorteil, diese Schwachstelle, die uns alle betrifft, besser absichern zu können. Von der Theorie zur Praxis Ein solches Zusammenwirken könnte unter Juristen durchaus Bedenken aufwerfen – Stichwort Wettbewerbsrecht. Dennoch hat der Moschusochsenansatz das Potenzial, die Risikolage in Sachen Drittanbieter entscheidend zu verbessern – und Unternehmen dabei zu unterstützen, Third-Party-Risiken besser zu managen. Das könnte – zum Beispiel – folgendermaßen aussehen: Bestimmen Sie, welche Drittanbieter Ihnen am meisten Sorgen bereiten und erstellen Sie eine “Hot List”. Tauschen Sie sich mit anderen Unternehmen aus, um diese Liste abzugleichen und die Kandidaten zu ermitteln, die Sie gemeinsam haben. Verhandeln Sie über einen gemeinschaftlichen “Schutzschild” für diese Anbieter. Denselben Ansatz haben wir bei FS-ISAC als möglichen Weg für die Zukunft diskutiert. Die ersten beiden Schritte sind relativ simpel zu bewerkstelligen – der dritte macht hingegen deutlich mehr Aufwand, aber auch den entscheidenden Unterschied. Ein praktischer Ansatz, um diesen umzusetzen, könnte dabei darin bestehen, dass die größten Unternehmen eine Führungsrolle einnehmen und kleinere unter ihre Fittiche nehmen. Vergessen sollten Sie dabei nicht, dass auch die Moschusochsen-Strategie ihre Grenzen hat: Wenn ein Bär angreift, machen sich auch Moschusochsen aus dem Staub – dann ist jeder auf sich allein gestellt. Das lässt sich ebenfalls auf die Cybersicherheit übertragen: Je mächtiger der Feind, desto wahrscheinlicher ist es, dass der Angriff in einen Kampf ums blanke Überleben ausartet. Aber auch wenn diese Strategie nicht auf jedes Szenario anwendbar ist, könnte sie unser kollektives Risiko erheblich minimieren. (fm) Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox. View the full article
  19. IT leaders are setting their operations strategies for 2026 with an eye toward agility, flexibility, and tangible business results. Download the January 2026 issue of the Enterprise Spotlight from the editors of CIO, Computerworld, CSO, InfoWorld, and Network World and learn about the trends and technologies that will drive the IT agenda in the year ahead. View the full article
  20. IBM is urging customers to quickly patch a critical vulnerability in its API Connect platform that could allow remote attackers to bypass authentication. The company describes API Connect as a full lifecycle application programming interface (API) gateway used “to create, test, manage, secure, analyze, and socialize APIs.” It particularly touts it as a way to “unlock the potential of agentic AI” by providing a central point of control for access to AI services via APIs. The platform also includes API Agent, which automates tasks across the API lifecycle using AI. A key component is a customizable self-service portal that allows developers to easily onboard themselves, and to discover and consume multiple types of API, including SOAP, REST, events, ASyncAPIs, GraphQL, and others. The flaw, tracked as CVE-2025-13915, affects IBM API Connect versions 10.0.8.0 through 10.0.8.5, and version 10.0.11.0, and could give unauthorized access to the exposed applications, with no user interaction required. An architectural assumption is broken “CVE-2025-13915 is not best understood as a security bug,” said Sanchit Vir Gogia, chief analyst at Greyhound Research. “It is better understood as a moment where a long standing architectural assumption finally breaks in the open. The assumption is simple and deeply embedded in enterprise design: If traffic passes through the API gateway, identity has been enforced and trust has been established. This vulnerability proves that assumption can fail completely.” He noted that the classification of the weakness, which maps to CWE-305, is important because it rules out a whole class of what he called comforting explanations. “This is not stolen credentials. It is not role misconfiguration. It is not a permissions mistake,” he said. “The authentication enforcement itself can be circumvented.” When that happens, he explained, downstream services do not simply face elevated risk, they lose the foundation on which their access decisions were built because they do not revalidate identity. They were never designed to; they inherit trust. “Once enforcement fails upstream, inherited trust becomes unearned trust, and the exposure propagates silently,” he said. “This class of vulnerability aligns with automation, broad scanning, and opportunistic probing rather than careful targeting.” Interim fixes provided IBM said that the issue was discovered during internal testing, and it has provided interim fixes for each affected version of the software, with individual update details for VMware, OCP/CP4I, and Kubernetes. The only mitigation suggested for the flaw, according to IBM’s security bulletin, is this: “Customers unable to install the interim fix should disable self-service sign-up on their Developer Portal if enabled, which will help minimize their exposure to this vulnerability.” The company also notes in its installation instructions for the fixes that the image overrides described in the document must be removed when upgrading to the next release or fixpack. This, said Gogia, further elevates the risk. “That is not a cosmetic detail,” he noted. “Management planes define configuration truth, lifecycle control, and operational authority across the platform. When remediation touches this layer, the vulnerability sits close to the control core, not at an isolated gateway edge. That raises both blast radius and remediation risk.” This is because errors in these areas can turn into prolonged exposure or service instability. “[Image overrides] also introduce a governance hazard: Image overrides create shadow state; if they are not explicitly removed later, they persist quietly,” he pointed out. “Over time, they drift out of visibility, ownership, and audit scope. This is how temporary fixes turn into long term risk.” Most valuable outcome: Learning He added that the operational challenges involved in remediation are not so much in knowing what has to be done, but in doing it fast enough without breaking the business. And, he said, API governance now needs to include up to date inventories of APIs, their versions, dependencies, and exposure points, as well as monitoring of behavior. “The most valuable outcome here is not closure,” Gogia observed. “It is learning. Enterprises should ask what would have happened if this flaw had been exploited quietly for weeks. Which services would have trusted the gateway implicitly? Which logs would have shown abnormal behavior? Which teams would have noticed first? Those answers reveal whether trust assumptions are visible or invisible. Organizations that stop at patching will miss a rare opportunity to strengthen resilience before the next control plane failure arrives.” This article originally appeared on InfoWorld. View the full article
  21. The 2017 Equifax breach was one of biggest security incidents of the 21st century. A textbook data leak case, the breach impacted more than 147 million people, spawning a number of scandals and controversies, with the credit reporting agency being criticized for a range of issues, from a lax security posture to their botched response. The high-profile incident has proved transformational for the company. In the wake of the breach, the multinational company has fortified itself and now even provides advanced solutions for risk management, fraud, and compliance. Javier Checa, the current CISO of Equifax for Continental Europe, is a computer scientist with more than 20 years of experience in senior cybersecurity positions at various companies, including serving as information security director at El Corte Inglés. Checa wasn’t with Equifax when the data breach occurred; he joined three years later. But he did experience the incident, which he describes as “very significant,” from the outside. As he recalls in an interview with CSO/Computerworld Spain, although “there had already been other similar incidents, for some reason, probably due to the type of customer and consumer information that Equifax handles, it did have a major impact on the industry at that time.” Furthermore, he adds: “While it’s true that in subsequent years there have been much more serious incidents, [the Equifax breach] was a watershed moment in everything related to cybersecurity.” A quick learning curve Checa praises the work done by Mark W. Begor, Equifax’s CEO since 2018, and Jamil Farshchi, Equifax’s global EVP, CISO, and CTO, who have led a complete transformation of the company at a time when it was still very badly affected both financially — it had to face $700 million in fines, compensation, and expenses to protect consumers after the data breach — and from a reputational point of view. A path in which the CEO’s “personal” commitment to adopting the cloud IT delivery model and the strengthening of cybersecurity and trust to make the company a “security leader” have been vital. “Equifax has invested nearly $3 billion in a complete overhaul of both our technology and security platforms,” ​​Checa says, adding that the change in the company’s IT strategy is “comprehensive”: “Before, the focus was more on technology, while now security is part of everything we do; it’s embedded in all our processes.” The company’s CISO for Continental Europe explains that Equifax has built its strategy on the NIST Cybersecurity Framework and its Privacy Framework, which focuses more on the issue of privacy risks and the protection of personal information. “Where are we now?” he asks. “We’re in a happy place because we’ve already completed the transformation of our infrastructure to the cloud model.” Cloud as a new technological axis Equifax’s $3 billion migration to the cloud, “which had been brewing for about seven years” and which the company says is the largest technological investment in its history, has involved moving more than 300 systems, over 30 product families, and thousands of customers to the company’s cloud platform, Equifax Cloud, in Spain alone. “Now, in Spain, for several months now, all the applications and products we serve to our customers are delivered from the cloud,” Checa says. The project, carried out with Google Cloud, has not only consisted of migrating workloads, he adds, but “restructuring, reorganizing, and refactoring all our assets to truly become a cloud-native company.” The impact of cloud adoption on the company’s security strategy has been clear: “My security philosophy isn’t just about defining a framework of controls; security must have a very important technological component directly related to simplicity. Migrating to the cloud has made it easier for us to simplify all the components and the way we develop,” Checa explains. The European CISO adds that it has been positive for the company to “reduce legacy systems to zero,” one of the biggest problems for companies with a long market history. “Now we have a live infrastructure whose systems we update and re-platform every month, something previously unthinkable,” he says. The company has also seen its security processes simplified. “Aligning the cloud transformation with the security changes has allowed us to implement security controls, measures, and processes that are completely aligned with all the new technology we have,” he points out. 360-degree safety culture “Now, a security culture is part of our DNA as a company,” says Checa, who works within the multinational’s team of 300 cybersecurity specialists. But “security isn’t just the responsibility of the technology or security team, but of every employee in the company,” he adds. An example of this mindset is that, “as Jamil [Farshchi] often mentions, Equifax was the first publicly traded company whose employees could access a bonus that included security as one of its components; an initiative that other companies have since copied.” With this, Checa asserts, the company conveys the importance of cybersecurity to its entire workforce. When asked about the foundations of the multinational’s information security strategy, Checa doesn’t hesitate: “Transparency and collaboration are our cybersecurity pillars.” The first, “a commitment from the CEO himself,” has been key to regaining customer trust. “In 2017, after the incident, we needed to win back our customers’ confidence. It’s important to remember that at that time the company’s stock price dropped significantly,” the CISO explains. “Having delivered on our promises is one of the reasons why the company’s stock price is now even higher than before the 2017 incident.” But there’s another kind of transparency, “the kind we demand of ourselves,” Checa continues. “Jamil always says it’s easy to be motivated [to be transparent] after a security incident, but the challenge is maintaining that focus over time.” That’s why, Checa adds, the company decided five years ago to launch an annual security report “where we truly open our doors and provide information that few companies had previously offered, from indicators of how long it takes us to respond to an incident to the click-through rate in our phishing simulations.” Information, he says, that has helped Equifax gain in transparency and customer loyalty. Moreover, he acknowledges, “the biggest lesson learned from the incident is the need to be transparent to regain customer trust.” Regarding the second pillar, collaboration, Checa is clear about its value: “In the new environment of escalating threats we live in, we understand that no one can win this battle alone.” Therefore, in addition to sharing security information to be more transparent, Equifax publishes its list of controls so that any company can use them. “We publish our core security not only for the sake of transparency, but so that all companies and governments worldwide can use it — information that has taken us a great deal of effort to develop,” Checa says. Furthermore, he emphasizes that Equifax collaborates with security agencies such as the FBI and participates in more than 30 security forums. “We share knowledge, collaborate with states in developing their security awareness programs, and have even helped them resolve some security breaches,” he says. Juan Marquez | Foundry Although the cyberattack on Equifax had an economic motive, the reasons driving cybercriminals today are highly diverse. “With the rise in geopolitical tension, new threats emerge and new actors enter the scene,” explains Checa. These threats, he acknowledges, are “more complex, persistent, and sophisticated,” and the actors “aren’t really seeking short-term financial gain, but rather accumulating resources that will later facilitate other practices related to espionage, influence, and even corruption.” According to the company’s latest report, with data from 2024, Equifax neutralizes more than 15 million cyber threats every day, which represents 175 hostile attempts every second, a 25% increase compared to 2023. “We have seen a significant increase in attacks carried out with artificial intelligence,” Checa adds. He reflects that AI “has democratized cyberattacks, and now people with less technical knowledge can carry out more complex attacks.” Checa also mentions the rise of deepfakes, audiovisual content that appears real but has been manipulated with AI to deceive the audience. “To counter this, we have migrated to an authentication platform that allows employees accessing our services to use other authentication factors, both biometric and otherwise, instead of passwords.” AI, on the other hand, is also already a defensive weapon, although Checa urges against using it for everything in cybersecurity, or certainly not as the sole option. “Our strategy is hybrid. AI alone isn’t capable of defending everything, although it’s a great help. But you can’t base all your defenses on a single technology; the more controls you put in different places and the more different types of technologies you use, the better,” he says, explaining that Equifax leverages various signature protection technologies, among many others. Challenges of a regional CISO The CISO acknowledges that cybersecurity management at Equifax is an activity handled internally and globally, although supported by local teams. “My responsibility as regional CISO is to ensure that the company’s security program is properly implemented at the European level and that we are able to adapt to our specific regulatory environment,” he says. Checa welcomes the EU’s regulatory push in cybersecurity. “The main regulations that affect us are DORA, as financial service providers, and NIS2, and frankly, they haven’t required anything we weren’t already doing; we’ve simply had to adapt certain aspects.” He acknowledges that the need to comply with regulations means that “many companies with our risk appetite can secure the necessary cybersecurity budgets,” and he points out that the NIS2 regulation has not yet been transposed into Spanish law. “But the delay also means that the transposition is being taken with the importance it deserves,” he adds. He further argues that regulation has led to senior management now being directly responsible for company security, which has helped place it at the heart of corporate strategy in many companies. “The most important aspect of cybersecurity regulation, beyond the streamlining of processes and controls imposed by these regulations, is its strategic alignment with senior management.” The executive is pleased that security, especially since the 2017 incident, has a high profile among Equifax’s senior management. “In fact, I, as Equifax’s CISO for Continental Europe, am part of the management committee, where the budget for this matter is decided,” he says. Regarding the evolution of the CISO role in the market in general, Checa states: “I’ve been working in security since 2003, so yes, I’ve seen a clear change in this function.” First, he recalls, because “it’s a role that didn’t even exist before, and when it emerged, it had a primarily technical focus. Over the years, it has evolved into a more strategic company profile, more closely tied to the business. The CISO must be a communicator capable of explaining the implications of cybersecurity for the business.” When asked about the relationship CISOs should have with their CIOs, to whom many CISOs report, Checa says: “In my opinion, there should be a certain degree of independence between the CIO and the CISO, but every company is different. In our case, our global CISO sits on the global management committee; we do as well at the local level.” He acknowledges, however, that from a tactical perspective, it’s beneficial to have close ties with the company’s IT department. “But, as I said, the important thing is to analyze each company’s specific circumstances, its risk appetite, and what works best for it.” Looking ahead, Checa states that one of his biggest challenges as Equifax’s CISO for Continental Europe is “continuing to adapt to regulatory changes and being able to anticipate and adjust to all the new threats that emerge.” He adds, “My greatest commitment to the company is to be a security leader that delivers value and business. To be a differentiator. That’s what truly motivates and concerns me.” Not forgetting all the work Equifax is already doing — which Checa says he can’t reveal — to be prepared for the post-quantum era: “We have very strong internal initiatives in this regard,” he says. Checa works, as he explains, “to ensure that security truly becomes a differentiator from a business perspective, and this, of course, involves protecting all the highly sensitive information we have about our clients and consumers.” He acknowledges that the role of CISO is “very stressful, but also very rewarding, requiring you to give your best, keep learning, and always be prepared for change.” He concludes that this role must be aware that “you can never reach the final state of security with all the evolving threats, technologies, and problems that exist today.” PROFILE OF JAVIER CHECAJavier Checa is a member of the board of directors of Equifax Iberia and Equifax CISO (Chief Information Security Officer) for Continental Europe. He joined the global credit information company in September 2021 as a senior security analyst and currently combines the role of CISO with that of security risk officer for Equifax Europe. Checa is a professional with more than 20 years of experience in the cybersecurity field, with expertise in risk management, network security, identity management, security operations or DevSecOps. Before joining Equifax, he had responsibilities in cybersecurity at Capgemini, CGI, British Telecom and El Corte Inglés, where he was director of information security, leading several security programs for more than 200,000 users and 5,000 developers. Checa studied Computer Engineering at the Polytechnic University of Madrid and holds degrees in Data Networks Security Paradigms from the French National Higher School of Telecommunications and in Computer Aided Design of Digital Systems from the European Board of Technology Students, in addition to holding several specific certifications in the field of cybersecurity. View the full article
  22. Roman Samborskyi | shutterstock.com Etliche Enterprise-CISOs versuchen schon seit mehr als einer Dekade, Passwörter hinter sich zu lassen. Weil aber diverse Legacy-Systeme ausschließlich auf Kennwörter ausgelegt sind, stoßen sie dabei immer wieder auf technische Hürden. Das spiegelt auch der aktuelle “ID IQ Report 2026” von RSA (Download gegen Daten) wider, für den der Sicherheitsanbieter weltweit 2.000 Security-Experten befragt hat. Demnach haben 90 Prozent der Befragten Probleme mit Passwordless-Deployments. “Die meisten Organisationen nutzen Passwordless nicht als primäre Authentifizierungsmethode. Das sind tolle Neuigkeiten für Cyberkriminelle, denn gestohlene Zugangsdaten sind Jahr für Jahr der häufigste Grund für Data Breaches”, kommentieren die Studienautoren. Passwordless-Probleme Kriminelle Hacker freuen sich jedoch auch, wenn unterschiedliche Betriebssysteme und spezielle Zugriffsabforderungen dafür sorgen, dass Organisationen mehrere Passwordless-Lösungen ausrollen müssen. Denn “zwischen” diesen Lösungen können neue Sicherheitslücken entstehen. Sicherheitsanalysten und -praktiker gehen davon aus, dass die meisten Unternehmen mit den heute existierenden Passwordless-Optionen 75 bis 85 Prozent ihrer Bedrohungslandschaft abdecken können. “Es wird schwierig werden, 100 Prozent Abdeckung zu erreichen. Insbesondere in OT-Umgebungen mit eingebetteten Systemen und industriellen Steuerungsystemen. Besonders diffizil wird es auch mit Blick auf IoT, Embedded Linux – und allem, was mit Fertigung zu tun hat”, hält Will Townsend, Chefanalyst bei Moor Insights & Strategy, fest. Zudem stellt sich die Frage, wie die Fallback-Lösung aussieht, wenn der Passwordless-Mechanismus versagt. Wird dabei auf Passwörter zurückgegriffen, ist das Ganze kontraproduktiv, wie Aaron Painter, CEO beim Identity-Spezialisten Nametag, skizziert: “Wenn in den Registrierungs- und Recovery-Prozessen von Passkeys Passwörter lauern, entsteht ein riskanter blinder Fleck. Woher wissen Sie, wer einen Passkey tatsächlich registriert oder zurücksetzt?” Indem sie sowohl ein Passwort als auch einen Passkey verwendeten, würden Unternehmen lediglich ihre Angriffsfläche vergrößern, konstatiert der Security-Fachmann. Er ergänzt: “Eine echte Passwordless-Umstellung erfordert eine durchgängige Phishing-Resistenz von Enrollment-, Registrierungs- und Recovery-Prozessen.” Laut der eingangs zitierten RSA-Studie ist die Komplexität von Enterprise-Umgebungen das potenziell gößte Hindernis für eine Passwordless-Einführung: “Weil die meisten Unternehmen in hybriden Umgebungen arbeiten und unterschiedliche Benutzer sowie Anwendungsfälle unterstützen müssen, ist eine Vielzahl von Formfaktoren nötig, um jedem User eine passwortlose Authentifizierung zu ermöglichen”, schreiben die Studienautoren. Die befragten Sicherheitsentscheider sehen drei wesentliche Herausforderungen bei der Umstellung auf passwortlose Authentifizierungslösungen: Sicherheitsbedenken (57 Prozent), Bedenken hinsichtlich der Benutzererfahrung (56 Prozent), sowie vollständig fehlender Plattform-Support (inklusive Legacy-Anwendungen und Drittanbietersystemen). Passwordless-Lösungen Wie so oft, kommt es auch bei der Einführung von Passwordless-Lösungen auf die richtige(n) Strategie(n) an. Oleg Naumenko, CEO beim Identity-Anbieter Hideez, empfiehlt CISOs, bei der Umstellung auf passwortlose Authentifizierung auf die Reihenfolge zu achten. Laut dem Experten beginnen viele Firmen damit, passwortlosen Zugang zu Cloud-Diensten zu implementieren, weil das einfacher ist. Komplexere, risikoreichere Systeme blieben hingegen weiterhin abhängig von Passwörtern. “Ich empfehle in der Regel, diese Reihenfolge umzukehren. Ein Unternehmen, das damit beginnt, privilegierte Benutzer und kritische Systeme zu sichern, kann damit das Risiko erheblich verringern.” Privilegierte Benutzer wie Administratoren hätten den umfassendsten Zugriff, so Naumenko weiter. Wenn die passwortlose Anmeldung für sie funktioniere, ließe sie sich auch wesentlich einfacher auf den Rest des Unternehmens ausweiten.”Wenn der Rollout mit den einfachsten Integrationen beginnt, nur um mehr Benutzer zu erreichen, wird die Verbesserung nur oberflächlich ausfallen”, hält der Manager fest. Die meisten Cloud-Anwendungen ließen sich problemlos über SAML oder OIDC integrieren, während Legacy- oder benutzerdefinierte Systeme einen anderen Ansatz erforderten: “Die erste Option besteht darin, den Zugriff über eine VPN-Lösung zu beschränken, die durch passwortloses SSO geschützt ist. Die fortgeschrittenere Option wäre, einen Reverse-Proxy-Dienst zu nutzen, der direkten Passwordless-Zugriff ermöglicht”, empfiehlt Naumenko. Mit Blick auf Legacy-Systeme hat auch Or Finkelstein, Head of Marketing beim Sicherheitsanbieter Secret Double Octopus, einen Tipp für CISOs und Sicherheitsentscheider auf Lager. Diesen hat er bei seiner Kundschaft beobachtet: “Die Technik besteht darin, das Legacy-Passwortfeld zu übernehmen und das vom Benutzer gewählte Passwort durch ein maschinengeneriertes temporäres Token zu ersetzen, das bei jeder Authentifizierung wechselt. Technisch gesehen ist das immer noch ein Passwort, aber kein Mensch wird es jemals sehen oder verwenden – es weist zudem nicht die Schwachstellen eines herkömmlichen Kennworts auf und kann nicht per Phishing abgegriffen werden.” Erik Avakian, technischer Berater bei der Info-Tech Research Group, vergleicht die Situation um Passwordless-Lösungen mit der, in der sich CISOs schon mit Blick auf die Multi-Faktor-Authentifzierung (MFA) wiederfanden: “MFA bietet eine Reihe von Optionen für Authentifizierungsmechanismen. Einige sind robust, andere schwach. Unternehmen, die darauf nicht achten, gefährden ihre eigene Sicherheit. Es gilt, aus MFA zu lernen und Bequemlichkeit nicht über Schutz zu stellen”, so der Analyst. Seiner Meinung nach ähnelt die der Shift hin zu passwortloser Authentifizierung in vielerlei Hinsicht auch der Umstellung auf ein Zero-Trust-Modell: “Es handelt sich in beiden Fällen um einen mehrjährigen, mehrphasigen Prozess.” (fm) Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox. View the full article
  23. Cybercrime hat sich zur organisierten Industrie mit Arbeitsteilung gewandelt. DC Studio – Shutterstock.com Was einst in Foren mit selbstgeschriebenen Schadcodes begann, hat sich zu einer global vernetzten Untergrundökonomie entwickelt, die in Effizienz, Geschwindigkeit und Skalierung vielen Unternehmen überlegen ist. Hackergruppen arbeiten heute arbeitsteilig, nutzen Vertriebskanäle, betreiben Support, teilen Einnahmen mit Partnern und investieren in Forschung und Entwicklung. Die entscheidende Frage lautet nicht mehr, ob ein Unternehmen Ziel eines Angriffs wird, sondern wie lange es nach einem Angriff stillsteht – und ob es in der Lage ist, sich davon zu erholen. Strukturierte Schattenindustrie Cybercrime hat sich von der Einzelaktion zur organisierten Industrie gewandelt. Die großen Gruppen agieren nach denselben Prinzipien wie internationale Konzerne. Sie haben Abteilungen, Prozesse, Führungsebenen und KPIs. Sie entwickeln Software, pflegen Kundendatenbanken und evaluieren ihre Erfolgsquoten. Angriffe folgen längst einer betriebswirtschaftlichen Logik. Hinter jeder Phishing-Kampagne, jedem Datenleck und jeder Erpressung steht eine arbeitsteilig organisierte Lieferkette. Entwickler liefern Schadsoftware, Access Broker verkaufen Zugangsdaten, Logistiker stellen Server bereit, Kommunikationsspezialisten verhandeln Lösegelder. Auf diese Weise entstand eine effiziente Schattenökonomie mit enormer Skalierbarkeit. Der Vertrieb läuft über geschlossene Foren, die Bezahlung über Kryptowährungen, die Buchhaltung über verschlüsselte Kommunikationskanäle. Ransomware-as-a-Service: Amazon der Kriminalität Das Modell Ransomware-as-a-Service (RaaS) hat zudem das Cybercrime-Business revolutioniert. Kriminelle Gruppen bieten ihre Malware wie ein Softwareprodukt an. Angreifer können den Code lizenzieren, Ziele auswählen und Angriffe starten – ganz ohne tiefgehende Programmierkenntnisse. Der Betreiber erhält dafür eine Provision. So entwickelte sich ein Marktplatz, auf dem Dienstleistungen, Tools und Daten wie Produkte gehandelt werden. Der Zugang kostet eine Gebühr, Updates sind inklusive. Es gibt Handbücher, Rabattaktionen und Support-Foren. Selbst das Marketing wird professionell betrieben: „Zuverlässige Entschlüsselung, schnelle Reaktion, faire Aufteilung“ – so lauten Werbeslogans im Darknet. Die Parallele zur legalen Wirtschaft ist frappierend. Es existieren Partnerschaften, Vertriebsnetze und Bonusmodelle. Ransomware ist kein Einzelfall mehr, sondern ein durchdachtes Geschäftsmodell mit klarer Gewinnstrategie. Angriff als Dienstleistung Cybercrime funktioniert inzwischen wie eine Servicekette. Wer heute einen Angriff plant, kann sämtliche Komponenten einkaufen – von initialen Zugangsdaten bis hin zum Leak-Management. Access Broker verkaufen Zugänge zu Unternehmensnetzwerken. Botnet-Betreiber stellen Rechenleistung für Angriffe bereit. Entwickler liefern schlüsselfertige Exploits, die auf bekannte Schwachstellen zugeschnitten sind. Kommunikationsspezialisten übernehmen die Kontaktaufnahme zu den Opfern. In dieser Parallelwirtschaft lässt sich nahezu jede Rolle auslagern. Der Effekt ist dieselbe Skalierung, die legale Plattformunternehmen stark gemacht hat – nur im Schatten des Rechts. Die Rolle von Staaten Zunehmend mischen sich staatlich tolerierte oder aktiv gesteuerte Gruppen in dieses Ökosystem ein. Angriffe auf Energieversorger, Krankenhäuser und öffentliche Verwaltungseinrichtungen zeigen, dass Cybercrime längst Teil geopolitischer Machtstrategien geworden ist. Die Grenzen zwischen kriminellen und staatlichen Akteuren verschwimmen. Bestimmte Gruppen agieren unter dem Schutz von Regimen oder in deren Auftrag. So entstehen hybride Strukturen, die wirtschaftliche Interessen, politische Ziele und kriminelle Gewinne miteinander verknüpfen. Diese Entwicklung macht die Lage besonders brisant. Cyberangriffe gefährden heute nicht nur IT-Systeme, sondern auch Versorgungssicherheit, öffentliche Ordnung und wirtschaftliche Stabilität. Effiziente Angreifer Was Cybercrime heute so gefährlich macht, ist nicht die Technologie allein, sondern die Effizienz ihrer Nutzung. Die Angreifer sind flexibel, vernetzt und experimentierfreudig. Sie testen, verwerfen, verbessern – in Zyklen, die in Unternehmen kaum vorstellbar sind. Die Rekrutierung läuft wie in Start-ups. In Darknet-Foren kursieren Jobangebote für Entwickler, Social Engineers oder Sprachspezialisten. Es gibt Leistungsboni, Schulungen und Karrierepfade. Die Arbeitsweise ist agil, die Kommunikation dezentral, die Motivation finanziell klar geregelt. Diese Strukturen erzeugen einen Innovationsdruck, der weit über technische Angriffe hinausgeht. Cybercrime-Gruppen investieren in KI, Automatisierung und Machine Learning. Sie analysieren Daten, um Schwachstellen gezielt auszunutzen. Langsame Verteidiger Anders sieht es bei den Angegriffenen aus. Viele Unternehmen agieren im Verteidigungsmodus – langsam, bürokratisch und oft reaktiv. Sicherheitskonzepte werden jährlich überprüft, Angriffe aber täglich angepasst. Zwischen Angriff und Erkennung liegen im Durchschnitt über 200 Tage. Dieser Rückstand entsteht nicht aus Unwissen, sondern aus Strukturen. Während Kriminelle autark agieren, müssen Unternehmen Compliance prüfen, Budgets freigeben und Verantwortlichkeiten klären. Die Angreifer profitieren von der Trägheit ihrer Opfer. Das größte Risiko ist nicht die fehlende Technologie, sondern die fehlende Reaktionsfähigkeit. Cyberresilienz wird dadurch zum entscheidenden Faktor. Der Mensch als Einfallstor Über 80 Prozent aller erfolgreichen Angriffe beginnen mit einem menschlichen Fehler. Phishing, Social Engineering oder manipulierte Chat-Nachrichten sind nach wie vor die einfachsten Mittel, um in Netzwerke einzudringen. Die Qualität dieser Täuschungsversuche hat sich jedoch dramatisch verändert. Dank KI wirken E-Mails, Sprachaufnahmen und Deepfakes authentisch. Selbst erfahrene Mitarbeitende können Angriffe kaum noch erkennen. Sicherheitsbewusstsein darf daher nicht mehr als lästige Pflichtübung gelten. Es muss Teil der Unternehmenskultur sein. Nur wer Angriffe als alltägliches Risiko begreift, kann angemessen reagieren. Daten als Waffen Ransomware-Gruppen setzen heute auf doppelte und dreifache Erpressung. Erst werden Systeme verschlüsselt, dann Daten gestohlen und schließlich sensible Informationen veröffentlicht, wenn kein Lösegeld gezahlt wird. Dabei geht es nicht nur um Geld, sondern um Reputationsvernichtung. Vertrauliche Kommunikation, vertrauliche Forschungsergebnisse oder personenbezogene Daten werden gezielt veröffentlicht, um maximalen Druck zu erzeugen. Dieser Mechanismus macht Cybercrime zur modernen Form der Wirtschaftsspionage. Jede Information kann zur Waffe werden, jedes Unternehmen zum Ziel. Der KI-Wettlauf Künstliche Intelligenz ist der Beschleuniger auf beiden Seiten. Kriminelle nutzen KI, um Phishing zu perfektionieren, Schadcode zu optimieren und Sicherheitsmechanismen zu umgehen. Gleichzeitig setzen Verteidiger KI-Systeme ein, um Anomalien zu erkennen und Vorfälle automatisiert zu isolieren. Doch die Dynamik ist asymmetrisch. Die Angreifer können frei experimentieren, ohne regulatorische oder ethische Grenzen. Die Verteidiger müssen dagegen Datenschutz, Haftung und Compliance beachten. Diese Schieflage verschafft Cybercrime-Gruppen einen ständigen Geschwindigkeitsvorteil. Der nächste Schritt ist absehbar: vollautomatisierte Angriffsketten, die auf Basis von Machine Learning in Echtzeit Entscheidungen treffen. Von Prävention zu Resilienz Angesichts dieser Entwicklung ist absolute Sicherheit nicht erreichbar. Entscheidend ist die Fähigkeit, nach einem Angriff schnell wieder funktionsfähig zu sein. Cyberresilienz beschreibt diese Kompetenz, Krisen nicht nur zu überstehen, sondern aus ihnen zu lernen. Ein resilientes Unternehmen kennt seine kritischen Prozesse, testet Wiederanlaufpläne regelmäßig und verfügt über eine klare Kommunikationsstrategie. Incident-Response-Teams müssen trainiert sein, bevor der Ernstfall eintritt. Dabei geht es nicht nur um Technik. Führung, Entscheidungsfähigkeit und interne Transparenz sind zentrale Erfolgsfaktoren. Wer in der Krise kommuniziert, statt zu schweigen, behält Kontrolle und Vertrauen. Sicherheit als Asset Ferner darf Cybersicherheit kein Kostenfaktor mehr sein, sondern muss als strategische Fähigkeit verstanden werden. Sie schützt nicht nur Systeme, sondern sichert Wettbewerbsfähigkeit, Kundendaten und Markenwert. Die Professionalisierung der Angreifer zwingt Unternehmen dazu, selbst professioneller zu werden – in Strukturen, Prozessen und Mentalität. Nur wer Sicherheit in die DNA der Organisation integriert, kann langfristig bestehen. Cybercrime wird 2026 kein vorübergehendes Risiko mehr sein, sondern ein permanenter Teil des wirtschaftlichen Ökosystems. Unternehmen, die darauf vorbereitet sind, werden überleben. Die anderen werden Teil einer Statistik, die Jahr für Jahr wächst. Fazit Cybercrime hat die Regeln der digitalen Wirtschaft adaptiert – Effizienz, Vernetzung, Automatisierung. Während viele Unternehmen noch in alten Sicherheitsparadigmen denken, hat sich im Untergrund längst eine globale Industrie formiert. Sie agiert schneller, lernfähiger und kompromissloser. Der Unterschied zwischen Opfer und Überlebendem liegt nicht mehr in der Abwehr, sondern in der Fähigkeit, wieder aufzustehen. View the full article
  24. Roman Samborskyi | shutterstock.com Etliche Enterprise-CISOs versuchen schon seit mehr als einer Dekade, Passwörter hinter sich zu lassen. Weil aber diverse Legacy-Systeme ausschließlich auf Kennwörter ausgelegt sind, stoßen sie dabei immer wieder auf technische Hürden. Das spiegelt auch der aktuelle “ID IQ Report 2026” von RSA (Download gegen Daten) wider, für den der Sicherheitsanbieter weltweit 2.000 Security-Experten befragt hat. Demnach haben 90 Prozent der Befragten Probleme mit Passwordless-Deployments. “Die meisten Organisationen nutzen Passwordless nicht als primäre Authentifizierungsmethode. Das sind tolle Neuigkeiten für Cyberkriminelle, denn gestohlene Zugangsdaten sind Jahr für Jahr der häufigste Grund für Data Breaches”, kommentieren die Studienautoren. Passwordless-Probleme Kriminelle Hacker freuen sich jedoch auch, wenn unterschiedliche Betriebssysteme und spezielle Zugriffsabforderungen dafür sorgen, dass Organisationen mehrere Passwordless-Lösungen ausrollen müssen. Denn “zwischen” diesen Lösungen können neue Sicherheitslücken entstehen. Sicherheitsanalysten und -praktiker gehen davon aus, dass die meisten Unternehmen mit den heute existierenden Passwordless-Optionen 75 bis 85 Prozent ihrer Bedrohungslandschaft abdecken können. “Es wird schwierig werden, 100 Prozent Abdeckung zu erreichen. Insbesondere in OT-Umgebungen mit eingebetteten Systemen und industriellen Steuerungsystemen. Besonders diffizil wird es auch mit Blick auf IoT, Embedded Linux – und allem, was mit Fertigung zu tun hat”, hält Will Townsend, Chefanalyst bei Moor Insights & Strategy, fest. Zudem stellt sich die Frage, wie die Fallback-Lösung aussieht, wenn der Passwordless-Mechanismus versagt. Wird dabei auf Passwörter zurückgegriffen, ist das Ganze kontraproduktiv, wie Aaron Painter, CEO beim Identity-Spezialisten Nametag, skizziert: “Wenn in den Registrierungs- und Recovery-Prozessen von Passkeys Passwörter lauern, entsteht ein riskanter blinder Fleck. Woher wissen Sie, wer einen Passkey tatsächlich registriert oder zurücksetzt?” Indem sie sowohl ein Passwort als auch einen Passkey verwendeten, würden Unternehmen lediglich ihre Angriffsfläche vergrößern, konstatiert der Security-Fachmann. Er ergänzt: “Eine echte Passwordless-Umstellung erfordert eine durchgängige Phishing-Resistenz von Enrollment-, Registrierungs- und Recovery-Prozessen.” Laut der eingangs zitierten RSA-Studie ist die Komplexität von Enterprise-Umgebungen das potenziell gößte Hindernis für eine Passwordless-Einführung: “Weil die meisten Unternehmen in hybriden Umgebungen arbeiten und unterschiedliche Benutzer sowie Anwendungsfälle unterstützen müssen, ist eine Vielzahl von Formfaktoren nötig, um jedem User eine passwortlose Authentifizierung zu ermöglichen”, schreiben die Studienautoren. Die befragten Sicherheitsentscheider sehen drei wesentliche Herausforderungen bei der Umstellung auf passwortlose Authentifizierungslösungen: Sicherheitsbedenken (57 Prozent), Bedenken hinsichtlich der Benutzererfahrung (56 Prozent), sowie vollständig fehlender Plattform-Support (inklusive Legacy-Anwendungen und Drittanbietersystemen). Passwordless-Lösungen Wie so oft, kommt es auch bei der Einführung von Passwordless-Lösungen auf die richtige(n) Strategie(n) an. Oleg Naumenko, CEO beim Identity-Anbieter Hideez, empfiehlt CISOs, bei der Umstellung auf passwortlose Authentifizierung auf die Reihenfolge zu achten. Laut dem Experten beginnen viele Firmen damit, passwortlosen Zugang zu Cloud-Diensten zu implementieren, weil das einfacher ist. Komplexere, risikoreichere Systeme blieben hingegen weiterhin abhängig von Passwörtern. “Ich empfehle in der Regel, diese Reihenfolge umzukehren. Ein Unternehmen, das damit beginnt, privilegierte Benutzer und kritische Systeme zu sichern, kann damit das Risiko erheblich verringern.” Privilegierte Benutzer wie Administratoren hätten den umfassendsten Zugriff, so Naumenko weiter. Wenn die passwortlose Anmeldung für sie funktioniere, ließe sie sich auch wesentlich einfacher auf den Rest des Unternehmens ausweiten.”Wenn der Rollout mit den einfachsten Integrationen beginnt, nur um mehr Benutzer zu erreichen, wird die Verbesserung nur oberflächlich ausfallen”, hält der Manager fest. Die meisten Cloud-Anwendungen ließen sich problemlos über SAML oder OIDC integrieren, während Legacy- oder benutzerdefinierte Systeme einen anderen Ansatz erforderten: “Die erste Option besteht darin, den Zugriff über eine VPN-Lösung zu beschränken, die durch passwortloses SSO geschützt ist. Die fortgeschrittenere Option wäre, einen Reverse-Proxy-Dienst zu nutzen, der direkten Passwordless-Zugriff ermöglicht”, empfiehlt Naumenko. Mit Blick auf Legacy-Systeme hat auch Or Finkelstein, Head of Marketing beim Sicherheitsanbieter Secret Double Octopus, einen Tipp für CISOs und Sicherheitsentscheider auf Lager. Diesen hat er bei seiner Kundschaft beobachtet: “Die Technik besteht darin, das Legacy-Passwortfeld zu übernehmen und das vom Benutzer gewählte Passwort durch ein maschinengeneriertes temporäres Token zu ersetzen, das bei jeder Authentifizierung wechselt. Technisch gesehen ist das immer noch ein Passwort, aber kein Mensch wird es jemals sehen oder verwenden – es weist zudem nicht die Schwachstellen eines herkömmlichen Kennworts auf und kann nicht per Phishing abgegriffen werden.” Erik Avakian, technischer Berater bei der Info-Tech Research Group, vergleicht die Situation um Passwordless-Lösungen mit der, in der sich CISOs schon mit Blick auf die Multi-Faktor-Authentifzierung (MFA) wiederfanden: “MFA bietet eine Reihe von Optionen für Authentifizierungsmechanismen. Einige sind robust, andere schwach. Unternehmen, die darauf nicht achten, gefährden ihre eigene Sicherheit. Es gilt, aus MFA zu lernen und Bequemlichkeit nicht über Schutz zu stellen”, so der Analyst. Seiner Meinung nach ähnelt die der Shift hin zu passwortloser Authentifizierung in vielerlei Hinsicht auch der Umstellung auf ein Zero-Trust-Modell: “Es handelt sich in beiden Fällen um einen mehrjährigen, mehrphasigen Prozess.” (fm) Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox. View the full article
  25. Cybercrime hat sich zur organisierten Industrie mit Arbeitsteilung gewandelt. DC Studio – Shutterstock.com Was einst in Foren mit selbstgeschriebenen Schadcodes begann, hat sich zu einer global vernetzten Untergrundökonomie entwickelt, die in Effizienz, Geschwindigkeit und Skalierung vielen Unternehmen überlegen ist. Hackergruppen arbeiten heute arbeitsteilig, nutzen Vertriebskanäle, betreiben Support, teilen Einnahmen mit Partnern und investieren in Forschung und Entwicklung. Die entscheidende Frage lautet nicht mehr, ob ein Unternehmen Ziel eines Angriffs wird, sondern wie lange es nach einem Angriff stillsteht – und ob es in der Lage ist, sich davon zu erholen. Strukturierte Schattenindustrie Cybercrime hat sich von der Einzelaktion zur organisierten Industrie gewandelt. Die großen Gruppen agieren nach denselben Prinzipien wie internationale Konzerne. Sie haben Abteilungen, Prozesse, Führungsebenen und KPIs. Sie entwickeln Software, pflegen Kundendatenbanken und evaluieren ihre Erfolgsquoten. Angriffe folgen längst einer betriebswirtschaftlichen Logik. Hinter jeder Phishing-Kampagne, jedem Datenleck und jeder Erpressung steht eine arbeitsteilig organisierte Lieferkette. Entwickler liefern Schadsoftware, Access Broker verkaufen Zugangsdaten, Logistiker stellen Server bereit, Kommunikationsspezialisten verhandeln Lösegelder. Auf diese Weise entstand eine effiziente Schattenökonomie mit enormer Skalierbarkeit. Der Vertrieb läuft über geschlossene Foren, die Bezahlung über Kryptowährungen, die Buchhaltung über verschlüsselte Kommunikationskanäle. Ransomware-as-a-Service: Amazon der Kriminalität Das Modell Ransomware-as-a-Service (RaaS) hat zudem das Cybercrime-Business revolutioniert. Kriminelle Gruppen bieten ihre Malware wie ein Softwareprodukt an. Angreifer können den Code lizenzieren, Ziele auswählen und Angriffe starten – ganz ohne tiefgehende Programmierkenntnisse. Der Betreiber erhält dafür eine Provision. So entwickelte sich ein Marktplatz, auf dem Dienstleistungen, Tools und Daten wie Produkte gehandelt werden. Der Zugang kostet eine Gebühr, Updates sind inklusive. Es gibt Handbücher, Rabattaktionen und Support-Foren. Selbst das Marketing wird professionell betrieben: „Zuverlässige Entschlüsselung, schnelle Reaktion, faire Aufteilung“ – so lauten Werbeslogans im Darknet. Die Parallele zur legalen Wirtschaft ist frappierend. Es existieren Partnerschaften, Vertriebsnetze und Bonusmodelle. Ransomware ist kein Einzelfall mehr, sondern ein durchdachtes Geschäftsmodell mit klarer Gewinnstrategie. Angriff als Dienstleistung Cybercrime funktioniert inzwischen wie eine Servicekette. Wer heute einen Angriff plant, kann sämtliche Komponenten einkaufen – von initialen Zugangsdaten bis hin zum Leak-Management. Access Broker verkaufen Zugänge zu Unternehmensnetzwerken. Botnet-Betreiber stellen Rechenleistung für Angriffe bereit. Entwickler liefern schlüsselfertige Exploits, die auf bekannte Schwachstellen zugeschnitten sind. Kommunikationsspezialisten übernehmen die Kontaktaufnahme zu den Opfern. In dieser Parallelwirtschaft lässt sich nahezu jede Rolle auslagern. Der Effekt ist dieselbe Skalierung, die legale Plattformunternehmen stark gemacht hat – nur im Schatten des Rechts. Die Rolle von Staaten Zunehmend mischen sich staatlich tolerierte oder aktiv gesteuerte Gruppen in dieses Ökosystem ein. Angriffe auf Energieversorger, Krankenhäuser und öffentliche Verwaltungseinrichtungen zeigen, dass Cybercrime längst Teil geopolitischer Machtstrategien geworden ist. Die Grenzen zwischen kriminellen und staatlichen Akteuren verschwimmen. Bestimmte Gruppen agieren unter dem Schutz von Regimen oder in deren Auftrag. So entstehen hybride Strukturen, die wirtschaftliche Interessen, politische Ziele und kriminelle Gewinne miteinander verknüpfen. Diese Entwicklung macht die Lage besonders brisant. Cyberangriffe gefährden heute nicht nur IT-Systeme, sondern auch Versorgungssicherheit, öffentliche Ordnung und wirtschaftliche Stabilität. Effiziente Angreifer Was Cybercrime heute so gefährlich macht, ist nicht die Technologie allein, sondern die Effizienz ihrer Nutzung. Die Angreifer sind flexibel, vernetzt und experimentierfreudig. Sie testen, verwerfen, verbessern – in Zyklen, die in Unternehmen kaum vorstellbar sind. Die Rekrutierung läuft wie in Start-ups. In Darknet-Foren kursieren Jobangebote für Entwickler, Social Engineers oder Sprachspezialisten. Es gibt Leistungsboni, Schulungen und Karrierepfade. Die Arbeitsweise ist agil, die Kommunikation dezentral, die Motivation finanziell klar geregelt. Diese Strukturen erzeugen einen Innovationsdruck, der weit über technische Angriffe hinausgeht. Cybercrime-Gruppen investieren in KI, Automatisierung und Machine Learning. Sie analysieren Daten, um Schwachstellen gezielt auszunutzen. Langsame Verteidiger Anders sieht es bei den Angegriffenen aus. Viele Unternehmen agieren im Verteidigungsmodus – langsam, bürokratisch und oft reaktiv. Sicherheitskonzepte werden jährlich überprüft, Angriffe aber täglich angepasst. Zwischen Angriff und Erkennung liegen im Durchschnitt über 200 Tage. Dieser Rückstand entsteht nicht aus Unwissen, sondern aus Strukturen. Während Kriminelle autark agieren, müssen Unternehmen Compliance prüfen, Budgets freigeben und Verantwortlichkeiten klären. Die Angreifer profitieren von der Trägheit ihrer Opfer. Das größte Risiko ist nicht die fehlende Technologie, sondern die fehlende Reaktionsfähigkeit. Cyberresilienz wird dadurch zum entscheidenden Faktor. Der Mensch als Einfallstor Über 80 Prozent aller erfolgreichen Angriffe beginnen mit einem menschlichen Fehler. Phishing, Social Engineering oder manipulierte Chat-Nachrichten sind nach wie vor die einfachsten Mittel, um in Netzwerke einzudringen. Die Qualität dieser Täuschungsversuche hat sich jedoch dramatisch verändert. Dank KI wirken E-Mails, Sprachaufnahmen und Deepfakes authentisch. Selbst erfahrene Mitarbeitende können Angriffe kaum noch erkennen. Sicherheitsbewusstsein darf daher nicht mehr als lästige Pflichtübung gelten. Es muss Teil der Unternehmenskultur sein. Nur wer Angriffe als alltägliches Risiko begreift, kann angemessen reagieren. Daten als Waffen Ransomware-Gruppen setzen heute auf doppelte und dreifache Erpressung. Erst werden Systeme verschlüsselt, dann Daten gestohlen und schließlich sensible Informationen veröffentlicht, wenn kein Lösegeld gezahlt wird. Dabei geht es nicht nur um Geld, sondern um Reputationsvernichtung. Vertrauliche Kommunikation, vertrauliche Forschungsergebnisse oder personenbezogene Daten werden gezielt veröffentlicht, um maximalen Druck zu erzeugen. Dieser Mechanismus macht Cybercrime zur modernen Form der Wirtschaftsspionage. Jede Information kann zur Waffe werden, jedes Unternehmen zum Ziel. Der KI-Wettlauf Künstliche Intelligenz ist der Beschleuniger auf beiden Seiten. Kriminelle nutzen KI, um Phishing zu perfektionieren, Schadcode zu optimieren und Sicherheitsmechanismen zu umgehen. Gleichzeitig setzen Verteidiger KI-Systeme ein, um Anomalien zu erkennen und Vorfälle automatisiert zu isolieren. Doch die Dynamik ist asymmetrisch. Die Angreifer können frei experimentieren, ohne regulatorische oder ethische Grenzen. Die Verteidiger müssen dagegen Datenschutz, Haftung und Compliance beachten. Diese Schieflage verschafft Cybercrime-Gruppen einen ständigen Geschwindigkeitsvorteil. Der nächste Schritt ist absehbar: vollautomatisierte Angriffsketten, die auf Basis von Machine Learning in Echtzeit Entscheidungen treffen. Von Prävention zu Resilienz Angesichts dieser Entwicklung ist absolute Sicherheit nicht erreichbar. Entscheidend ist die Fähigkeit, nach einem Angriff schnell wieder funktionsfähig zu sein. Cyberresilienz beschreibt diese Kompetenz, Krisen nicht nur zu überstehen, sondern aus ihnen zu lernen. Ein resilientes Unternehmen kennt seine kritischen Prozesse, testet Wiederanlaufpläne regelmäßig und verfügt über eine klare Kommunikationsstrategie. Incident-Response-Teams müssen trainiert sein, bevor der Ernstfall eintritt. Dabei geht es nicht nur um Technik. Führung, Entscheidungsfähigkeit und interne Transparenz sind zentrale Erfolgsfaktoren. Wer in der Krise kommuniziert, statt zu schweigen, behält Kontrolle und Vertrauen. Sicherheit als Asset Ferner darf Cybersicherheit kein Kostenfaktor mehr sein, sondern muss als strategische Fähigkeit verstanden werden. Sie schützt nicht nur Systeme, sondern sichert Wettbewerbsfähigkeit, Kundendaten und Markenwert. Die Professionalisierung der Angreifer zwingt Unternehmen dazu, selbst professioneller zu werden – in Strukturen, Prozessen und Mentalität. Nur wer Sicherheit in die DNA der Organisation integriert, kann langfristig bestehen. Cybercrime wird 2026 kein vorübergehendes Risiko mehr sein, sondern ein permanenter Teil des wirtschaftlichen Ökosystems. Unternehmen, die darauf vorbereitet sind, werden überleben. Die anderen werden Teil einer Statistik, die Jahr für Jahr wächst. Fazit Cybercrime hat die Regeln der digitalen Wirtschaft adaptiert – Effizienz, Vernetzung, Automatisierung. Während viele Unternehmen noch in alten Sicherheitsparadigmen denken, hat sich im Untergrund längst eine globale Industrie formiert. Sie agiert schneller, lernfähiger und kompromissloser. Der Unterschied zwischen Opfer und Überlebendem liegt nicht mehr in der Abwehr, sondern in der Fähigkeit, wieder aufzustehen. View the full article

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.