Skip to content
View in the app

A better way to browse. Learn more.

hosang I.T.

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

CSOonline

Members
  • Joined

  • Last visited

    Never

Everything posted by CSOonline

  1. Security researchers have uncovered a malicious npm package that poses as a legitimate WhatsApp Web API library while quietly stealing messages, credentials, and contact data from developer environments. The package, identified as “lotusbail,” operates as a trojanized wrapper around a genuine WhatsApp client library and had accumulated more than 50k downloads by the time it was flagged by Koi Security. “With over 56000 downloads and functional code that actually works as advertised, it is the kind of dependency developers install without a second thought,” Koi researchers said in a blog post. “The package has been available on npm for 6 months and is still live at the time of writing.” Stolen data was encrypted and exfiltrated to attacker-controlled infrastructure, reducing the likelihood of detection by network monitoring tools. Even more concerning for enterprises is the fact that Lotusbail abuses WhatsApp’s multi-device pairing to maintain persistence on compromised accounts even after the package is removed. Legitimate API uses a proxy for threat According to the researchers, lotusbail initially didn’t appear to be anything more than a helpful fork of the legitimate “@whiskeysockets/baileys” library used for interacting with WhatsApp via WebSockets. Developers could install it, send messages, receive messages, and never notice anything wrong. Further probing, however, revealed an issue. The package wrapped the legitimate WhatsApp WebSocket client in a malicious proxy layer that transparently duplicated every operation, including the ones involving sensitive data. During authentication, the wrapper captured session tokens and keys. Every message flowing through the application was intercepted, logged, and prepared for covert transmission to attacker-controlled infrastructure. Additionally, the stolen information was protected en route. Rather than sending credentials and messages in plaintext, the malware employs a custom RSA encryption layer and multiple obfuscation strategies, making detection by network monitoring tools harder and allowing exfiltration to proceed under the radar. “The exfiltration server URL is buried in encrypted configuration strings, hidden inside compressed payloads,” the researchers noted. “The malware uses four layers of obfuscation: Unicode variable manipulation, LZString compression, Base-91 encoding, and AES encryption. The server location isn’t hardcoded anywhere visible.” Backdoor sticks around even after package removal Koi said the most significant component of the attack was its persistence. WhatsApp allows users to link multiple devices to a single account through a pairing process involving an 8-character code. The malicious lotusbail package hijacked this mechanism by embedding a hardcoded pairing code that effectively added the attacker’s device as a trusted endpoint on the user’s WhatsApp account. Even if developers or organizations later uninstalled the package, the attacker’s linked device remained connected. This allowed the attack to persist until the WhatsApp user manually unlinked all devices from the settings panel. Persistent access allows the attackers to continue reading messages, harvesting contacts, sending messages on behalf of victims, and downloading media long after the initial exposure. What must developers and defenders do? Koi disclosure noted that traditional safeguards, based on reputation metrics, metadata checks, or static scanning, fail when malicious logic mimics legitimate behavior. “The malware hides in the gap between ‘this code works’ and ‘this code does only what it claims’,” the researchers said, adding that such supply-chain threats require monitoring package behavior at runtime rather than relying on static checks alone. They recommended looking for (or relying on tools that can) warning signs, such as custom RSA encryption routines and dozens of embedded anti-debugging mechanisms in the malicious code. The package remains available on npm, with its most recent update published just five days ago. GitHub, which has owned npm since 2020, did not immediately respond to CSO’s request for comment. View the full article
  2. Making the most of agentic AI is a top agenda item for many enterprises the coming year, as business executives are keen to deploy autonomous AI agents to revamp a range of business operations and workflows. The technology is nascent and, as with generative AI rollouts, CIOs are under pressure to move quickly with agentic AI strategies — a potential nightmare in making for CISOs charged with ensuring organizational security in the face of widespread agentic experimentation and deployment. A key area of concern is identity and authentication. Some security experts estimate that more than 95% of enterprises deploying or experimenting with autonomous agents are doing so without leveraging existing cybersecurity mechanisms — such as public key infrastructure (PKI) — to track, identify, and control their agents. This issue becomes even more dangerous due to the prevalence of agent-to-agent communications common to agentic AI rollouts. For agentic AI to work, AI agents must communicate autonomously with other agents to pass tasks, data, and context. Without sufficient identity management, authentication, and related cybersecurity measures in place, not only could an agent be controlled by a cybercriminal or state actor, but rogue agents could engage in a variety of prompt injection attacks with an unlimited number of legitimate agents. should a hijacked agent communicate with an enterprise’s legitimate agents before it is detected and its credentials are pulled, the damage from legitimate agents following the rogue agent’s instructions isn’t halted. And the likelihood of this knock-on effect isn’t trivial. Most robust authentication mechanisms today revoke and/or shut down credentials when bad behavior is detected. But behavioral analytics systems often need to witness acts of bad behavior before they can flag the problem to terminate the ID. Any actions previously initiated by the compromised agent will already be in motion across the agentic chain. Having a trail of every interaction and an automated system for contacting all legitimate agents that interacted with the rogue agent to tell them to disregard instructions from that agent — and alert IT security of any actions already taken on the rogue’s instructions — is the goal, but vendors have yet to address this need. Moreover, many security experts argue it’s too complex a problem to easily solve. “Because autonomous agents are increasingly able to execute real actions within an organization, if a malicious actor can affect the decision-making layer of an autonomous agent, the resulting damage could be exponentially greater than in a traditional breach scenario,”says Nik Kale, principal engineer at Cisco as well as a member of the Coalition for Secure AI (CoSAI) and ACM’s AI Security (AISec) program committee. The ever-expanding attack surface of autonomous agents “Because agents are programmed to follow instructions, they will likely follow a questionable instruction absent some mechanism to force the agent to slow its process to validate the safety of the request,” Kale says. “Humans have intuition and therefore often sense when something does not feel right. Agents do not possess this instinctual sense and thus will follow any request unless the system specifically prevents them from doing so.” Gary Longsine, CEO at IllumineX, agrees that the cybersecurity risks from uncontrolled agentic deployment is unlike anything CISOs have faced. “The attack surface of the AI agent could be thought of as essentially infinite, due to the natural language interface and the ability of the agent to summon a potentially vast array of other agentic systems,” Longsine says. DigiCert CTO Jason Sabin suggests the situation may be even worse because of how relatively easy it is to perform an agent hijacking. “Without robust agentic authentication, organizations risk deploying autonomous systems that can be hijacked with a single fake instruction,” Sabin claims. Agentic AI’s identity crisis Authentication and agentic experts interviewed — three of whom estimate that less than 5% of enterprises experimenting with autonomous agents have deployed agentic identity systems — say the reasons for this lack of security hardening are varied. First, many of these efforts are effectively shadow IT, where a line of business (LOB) executive has authorized the proof of concept to see what these agents can do. In these cases, IT or cyber teams haven’t likely been involved, and so security hasn’t been a top priority for the POC. Second, many executives — including third-party business partners handling supply chain, distribution, or manufacturing — have historically cut corners for POCs because they are traditionally confined to sandboxes isolated from the enterprise’s live environments. But agentic systems don’t work that way. To test their capabilities, they typically need to be released into the general environment. The proper way to proceed is for every agent in your environment — whether IT authorized, LOB launched, or that of a third party — to be tracked and controlled by PKI identities from agentic authentication vendors. Extreme defense would include instructing all authorized agents to refuse communication from any agent without full identification. Unfortunately, autonomous agents — like their gen AI cousins — often ignore instructions (aka guardrails). “Agentic-friendly encounters conflict with essential security principles. Enterprises cannot risk scenarios where agents autonomously discover each other, establish communication channels, and form transactional relationships,” says Kanwar Preet Singh Sandhu, who tracks cybersecurity strategies for Tata Consultancy Services. “When IT designs a system, its tasks and objectives should be clearly defined and restricted to those duties,” he adds. “While agent-to-agent encounters are technically possible, they pose serious risks to principles like least privilege and segregation of duties.For structured and planned collaboration or integration, organizations must follow stringent protocols such as MCP [Model Context Protocol] and A2A [Agent to Agent], which were created precisely for this purpose.” DigiCert’s Sabin says his interactions with enterprises revealed “little to none” creating identities for their autonomous agents. “Definitely less than 10%, probably less than 5%. There is a huge gap in identity.” Agentic IDs: Putting the genie back in the bottle Once agentic experiments begin without proper identities established, it’s far more difficult to add identity authentication later, Sabin notes. “How do we start adding in identity after the fact? They don’t have these processes established. The agent can and will be hijacked, compromised. You have to have a kill switch,” he says. “AI agents’ ability to verify who is issuing a command and whether that human/system has authority is one of the defining security issues of agentic AI.” To address that issue, CISOs will likely need to rethink identity, authentication, and privilege. “What is truly challenging about this is that we are no longer determining how a human authenticates to a system. We are now asked to determine how an autonomous agent determines that the individual providing instructions is legitimate and that the instructions are within the expected pattern of action,” Cisco’s Kale says. “The shift to determining legitimacy based on the autonomous agent’s assessment of the human’s intent, rather than simply identifying the human, introduces a whole new range of risk factors that were never anticipated by traditional authentication methods.” Ishraq Khan, CEO of coding productivity tool vendor Kodezi, also believes CISOs are likely underestimating the security threats that exist within agentic AI systems. “Traditional authentication frameworks assume static identities and predictable request patterns. Autonomous agents create a new category of risk because they initiate actions independently, escalate behavior based on memory, and form new communication pathways on their own. The threat surface becomes dynamic, not static,” Khan says. “When agents update their own internal state, learn from prior interactions, or modify their role within a workflow, their identity from a security perspective changes over time. Most organizations are not prepared for agents whose capabilities and behavior evolve after authentication.” Khan adds: “A compromised agent can impersonate collaboration patterns, fabricate system state or manipulate other agents into cascading failures. This is not simply malware. It is a behavioral attack on decision-making.” Harish Peri, SVP and general manager of AI Security at Okta, puts it more directly: “This is not just an NHI problem. This is a recipe for disaster. It is a new kind of identity, a new kind of relentless user.” Regarding the problem of being unable to undo the damage when a hijacked agent gives malicious instructions to legitimate agents, Peri says it can be a challenging problem that no one seems to have solved yet. “If the risk signal is strong enough, we do have the capability to revoke not just the privilege but the access token,” Peri says. But “the real-time kind of chaining requires more thought.” Unwinding agent interactions will be a tall order One issue is that tracking interactions for backward chaining will require a massive amount of data to be captured from every agent in the enterprise environment. And given that autonomous agents act at non-human speed, a data warehouse for that activity will likely fill up quickly. “By the time the agent does something and identity gets revoked, all of the downstream agents have already interacted with that compromised agent. They have already accepted assignments and have already cued up its next step actions,” Cisco’s Kale explains. “There is no mechanism to propagate that revocation backwards. Kill switches are necessary but they are incomplete.” The process to go backwards to all contacted agents “sounds like a straightforward script. It looks easy until you try and do it properly,” he says. “You need to know every instruction an agent has issued and the hard part is deciding what to undo” — a scenario Kale likens to alert fatigue. “This could absolutely collapse from its own weight. This could all become noise and not security at that point.” Jason Soroko, a senior fellow at Sectigo, agrees that backward alerting of impacted agents “is nowhere near to being fully solved at this time.” But he argues that agentic cybersecurity has inadvertently painted itself into a corner. “A lot of autonomous AI agent authentication will rely on a simple API token to verify itself. We have inadvertently built a weapon waiting for a stolen shared secret,” Soroko says. “To fix this, we must move beyond shared secrets to cryptographic proof of possession, ensuring the agent verifies the ‘who’ behind the command, not just the ‘concert wristband’ authenticator.” View the full article
  3. Making the most of agentic AI is a top agenda item for many enterprises the coming year, as business executives are keen to deploy autonomous AI agents to revamp a range of business operations and workflows. The technology is nascent and, as with generative AI rollouts, CIOs are under pressure to move quickly with agentic AI strategies — a potential nightmare in making for CISOs charged with ensuring organizational security in the face of widespread agentic experimentation and deployment. A key area of concern is identity and authentication. Some security experts estimate that more than 95% of enterprises deploying or experimenting with autonomous agents are doing so without leveraging existing cybersecurity mechanisms — such as public key infrastructure (PKI) — to track, identify, and control their agents. This issue becomes even more dangerous due to the prevalence of agent-to-agent communications common to agentic AI rollouts. For agentic AI to work, AI agents must communicate autonomously with other agents to pass tasks, data, and context. Without sufficient identity management, authentication, and related cybersecurity measures in place, not only could an agent be controlled by a cybercriminal or state actor, but rogue agents could engage in a variety of prompt injection attacks with an unlimited number of legitimate agents. Should a hijacked agent communicate with an enterprise’s legitimate agents, detecting it and pulling its credentials will not be enough to halt the damage from legitimate agents following the rogue agent’s previous instructions. And the likelihood of this knock-on effect isn’t trivial. Most robust authentication mechanisms today revoke and/or shut down credentials when bad behavior is detected. But behavioral analytics systems often need to witness acts of bad behavior before they can flag the problem to terminate the ID. Any actions previously initiated by the compromised agent will already be in motion across the agentic chain. Having a trail of every interaction and an automated system for contacting all legitimate agents that interacted with the rogue agent to tell them to disregard instructions from that agent — and alert IT security of any actions already taken on the rogue’s instructions — is the goal, but vendors have yet to address this need. Moreover, many security experts argue it’s too complex a problem to easily solve. “Because autonomous agents are increasingly able to execute real actions within an organization, if a malicious actor can affect the decision-making layer of an autonomous agent, the resulting damage could be exponentially greater than in a traditional breach scenario,”says Nik Kale, principal engineer at Cisco as well as a member of the Coalition for Secure AI (CoSAI) and ACM’s AI Security (AISec) program committee. The ever-expanding attack surface of autonomous agents “Because agents are programmed to follow instructions, they will likely follow a questionable instruction absent some mechanism to force the agent to slow its process to validate the safety of the request,” Kale says. “Humans have intuition and therefore often sense when something does not feel right. Agents do not possess this instinctual sense and thus will follow any request unless the system specifically prevents them from doing so.” Gary Longsine, CEO at IllumineX, agrees that the cybersecurity risks from uncontrolled agentic deployment is unlike anything CISOs have faced. “The attack surface of the AI agent could be thought of as essentially infinite, due to the natural language interface and the ability of the agent to summon a potentially vast array of other agentic systems,” Longsine says. DigiCert CTO Jason Sabin suggests the situation may be even worse because of how relatively easy it is to perform an agent hijacking. “Without robust agentic authentication, organizations risk deploying autonomous systems that can be hijacked with a single fake instruction,” Sabin claims. Agentic AI’s identity crisis Authentication and agentic experts interviewed — three of whom estimate that less than 5% of enterprises experimenting with autonomous agents have deployed agentic identity systems — say the reasons for this lack of security hardening are varied. First, many of these efforts are effectively shadow IT, where a line of business (LOB) executive has authorized the proof of concept to see what these agents can do. In these cases, IT or cyber teams haven’t likely been involved, and so security hasn’t been a top priority for the POC. Second, many executives — including third-party business partners handling supply chain, distribution, or manufacturing — have historically cut corners for POCs because they are traditionally confined to sandboxes isolated from the enterprise’s live environments. But agentic systems don’t work that way. To test their capabilities, they typically need to be released into the general environment. The proper way to proceed is for every agent in your environment — whether IT authorized, LOB launched, or that of a third party — to be tracked and controlled by PKI identities from agentic authentication vendors. Extreme defense would include instructing all authorized agents to refuse communication from any agent without full identification. Unfortunately, autonomous agents — like their gen AI cousins — often ignore instructions (aka guardrails). “Agentic-friendly encounters conflict with essential security principles. Enterprises cannot risk scenarios where agents autonomously discover each other, establish communication channels, and form transactional relationships,” says Kanwar Preet Singh Sandhu, who tracks cybersecurity strategies for Tata Consultancy Services. “When IT designs a system, its tasks and objectives should be clearly defined and restricted to those duties,” he adds. “While agent-to-agent encounters are technically possible, they pose serious risks to principles like least privilege and segregation of duties.For structured and planned collaboration or integration, organizations must follow stringent protocols such as MCP [Model Context Protocol] and A2A [Agent to Agent], which were created precisely for this purpose.” DigiCert’s Sabin says his interactions with enterprises revealed “little to none” creating identities for their autonomous agents. “Definitely less than 10%, probably less than 5%. There is a huge gap in identity.” Agentic IDs: Putting the genie back in the bottle Once agentic experiments begin without proper identities established, it’s far more difficult to add identity authentication later, Sabin notes. “How do we start adding in identity after the fact? They don’t have these processes established. The agent can and will be hijacked, compromised. You have to have a kill switch,” he says. “AI agents’ ability to verify who is issuing a command and whether that human/system has authority is one of the defining security issues of agentic AI.” To address that issue, CISOs will likely need to rethink identity, authentication, and privilege. “What is truly challenging about this is that we are no longer determining how a human authenticates to a system. We are now asked to determine how an autonomous agent determines that the individual providing instructions is legitimate and that the instructions are within the expected pattern of action,” Cisco’s Kale says. “The shift to determining legitimacy based on the autonomous agent’s assessment of the human’s intent, rather than simply identifying the human, introduces a whole new range of risk factors that were never anticipated by traditional authentication methods.” Ishraq Khan, CEO of coding productivity tool vendor Kodezi, also believes CISOs are likely underestimating the security threats that exist within agentic AI systems. “Traditional authentication frameworks assume static identities and predictable request patterns. Autonomous agents create a new category of risk because they initiate actions independently, escalate behavior based on memory, and form new communication pathways on their own. The threat surface becomes dynamic, not static,” Khan says. “When agents update their own internal state, learn from prior interactions, or modify their role within a workflow, their identity from a security perspective changes over time. Most organizations are not prepared for agents whose capabilities and behavior evolve after authentication.” Khan adds: “A compromised agent can impersonate collaboration patterns, fabricate system state or manipulate other agents into cascading failures. This is not simply malware. It is a behavioral attack on decision-making.” Harish Peri, SVP and general manager of AI Security at Okta, puts it more directly: “This is not just an NHI problem. This is a recipe for disaster. It is a new kind of identity, a new kind of relentless user.” Regarding the problem of being unable to undo the damage when a hijacked agent gives malicious instructions to legitimate agents, Peri says it can be a challenging problem that no one seems to have solved yet. “If the risk signal is strong enough, we do have the capability to revoke not just the privilege but the access token,” Peri says. But “the real-time kind of chaining requires more thought.” Unwinding agent interactions will be a tall order One issue is that tracking interactions for backward chaining will require a massive amount of data to be captured from every agent in the enterprise environment. And given that autonomous agents act at non-human speed, a data warehouse for that activity will likely fill up quickly. “By the time the agent does something and identity gets revoked, all of the downstream agents have already interacted with that compromised agent. They have already accepted assignments and have already cued up its next step actions,” Cisco’s Kale explains. “There is no mechanism to propagate that revocation backwards. Kill switches are necessary but they are incomplete.” The process to go backwards to all contacted agents “sounds like a straightforward script. It looks easy until you try and do it properly,” he says. “You need to know every instruction an agent has issued and the hard part is deciding what to undo” — a scenario Kale likens to alert fatigue. “This could absolutely collapse from its own weight. This could all become noise and not security at that point.” Jason Soroko, a senior fellow at Sectigo, agrees that backward alerting of impacted agents “is nowhere near to being fully solved at this time.” But he argues that agentic cybersecurity has inadvertently painted itself into a corner. “A lot of autonomous AI agent authentication will rely on a simple API token to verify itself. We have inadvertently built a weapon waiting for a stolen shared secret,” Soroko says. “To fix this, we must move beyond shared secrets to cryptographic proof of possession, ensuring the agent verifies the ‘who’ behind the command, not just the ‘concert wristband’ authenticator.” View the full article
  4. Mit Hilfe von Cyber Risk Assessments können CISOs nicht nur das konkrete Risiko im Unternehmen ermitteln, sondern auch den Erfolg ihrer Arbeit sichtbar machen. Foto: Elnur – shutterstock.com Ab einem gewissen Alter gehen viele Menschen regelmäßig zum Arzt für einen Check-up. Das ist sinnvoll und wird sogar von der Krankenkasse bezahlt. Auf diese Weise können Risiken und Gefahren frühzeitig erkannt und entsprechende Maßnahmen getroffen werden. Genauso verhält es sich in der Cybersicherheit: Regelmäßige Risikobewertungen helfen den Security-Teams, Schwachstellen und Optimierungspotenziale zu identifizieren. Dennoch werden solche Bewertungen nicht flächendeckend durchgeführt. Vorteile eines Cyber Risk Assessment Dabei haben CISOs folgende Vorteile, wenn sie Cybersecurity Risk Assessments in ihre Arbeit integrieren: Schwachstellen erkennen: Eine Cyberrisikobewertung hilft dabei, Sicherheitslücken in der IT-Infrastruktur, den Netzwerken und Systemen eines Unternehmens zu erkennen. Dies bietet die Möglichkeit, diese Schwachstellen zu beseitigen, bevor sie von Cyberkriminellen ausgenutzt werden können. Maßnahmen zum Risikomanagement priorisieren: Nicht jedes System ist kritisch, ebenso sind nicht alle Daten eines Unternehmens gleich wichtig. Die Ergebnisse des Risk Assessment verdeutlichen, welche Assets und Systeme am wichtigsten und dem höchsten Risiko eines Angriffs ausgesetzt sind. Auf dieser Basis können Sicherheitsverantwortliche ihre Maßnahmen priorisieren und damit ihre Ressourcen effektiver zuweisen, um die kritischsten Risiken zuerst anzugehen. Compliance-Anforderungen einhalten: Nahezu jedes Unternehmen muss verschiedene Vorschriften zum Datenschutz und zur Datensicherheit einhalten, etwa die DSGVO oder den Payment Card Industry Data Security Standard (PCI DSS). Zahlreiche dieser gesetzlichen Vorgaben verlangen explizit spezielle Risikobewertungen, etwa im Rahmen der DSGVO eine Datenschutz-Folgenabschätzung. Risk Assessments helfen, die Compliance-Anforderungen für verschiedene Vorschriften zu erfüllen. Auf diese Weise kann sichergestellt werden, dass die erforderlichen Sicherheitsstandards eingehalten und mögliche Geldbußen oder rechtliche Konsequenzen bei Verstößen vermieden werden. Intelligente Entscheidungen treffen und Kosten senken: Durch Cyber-Risikobewertungen erhalten Unternehmen ein umfassendes Verständnis ihrer Cyberrisiken. Zum einen können sie auf dieser Grundlage fundierte Entscheidungen über Strategien zur Risikominderung treffen und damit die Wahrscheinlichkeit eines erfolgreichen und kostspieligen Cyberangriffs reduzieren. Zum anderen sind sie in der Lage, zielgerichtete und damit effektivere Investitionen in ihre Cybersicherheit zu tätigen. Ein Blick auf das Datenrisiko Das Ziel der meisten Cyberangriffe sind die Daten eines Unternehmens – mit enorm kostspieligen Auswirkungen: So verursachte ein Datenvorfall laut dem Cost of a Data Breach Report 2025 von IBM im Durchschnitt einen Schaden von 4,44 Millionen US-Dollar. Deshalb lohnt sich ein besonderer Blick auf die Daten und das Risiko, dem sie ausgesetzt sind. Dies ist umso wichtiger, da Daten im Gegensatz zur Infrastruktur und anderen Systemen nicht “unkompromittierbar” sind. Server können neu eingerichtet, Cloud-Instanzen neu aufgebaut werden. Einmal entwendete Daten bleiben jedoch in den Händen von Cyberkriminellen. Hiervor schützen auch keine Backups. Welchen Risiken Daten im Allgemeinen ausgesetzt sind, zeigt eine Analyse von fast 10 Milliarden Cloud-Objekte im Rahmen von Datenrisikobewertungen bei mehr als 700 Unternehmen aus den verschiedensten Branchen weltweit. Demnach ist einer von zehn Datensätzen in der Cloud für alle Mitarbeitende zugänglich. Dies schafft einen internen Radius, der den potenziellen Schaden bei einem Ransomware-Angriff erheblich vergrößert. Aber auch eine fehlende Multi-Faktor-Authentifizierung (MFA) erleichtert es Angreifern, intern exponierte Daten zu kompromittieren: Microsoft hat festgestellt, dass mehr als 99 Prozent der kompromittierten Konten nicht über MFA verfügen. Fazit Diese allgemeinen Ergebnisse zeigen bereits die größten Problemfelder auf. Dennoch ist es wichtig, im Rahmen eines Datenrisiko-Assessments das individuelle Datenrisiko zu ermitteln und Schwachpunkte zu identifizieren. In aller Regel wissen die Unternehmen nicht, welche Daten sie überhaupt besitzen, wo sie gespeichert sind und wer Zugriff auf sie hat. Nur wenn man über diese grundlegenden Informationen verfügt, kann man sein Risiko erkennen und gezielte Maßnahmen ergreifen. Der Zeitaufwand ist dabei mit rund zwei bis vier Stunden überschaubar und liefert im Rahmen eines ausführlichen Reports sofort umsetzbare Empfehlungen. Darüber hinaus treten im Assessment-Prozess oftmals auch weitere Sicherheitsprobleme zutage, von laufenden Cyberangriffen bis hin zu Kerberos-Passwörtern, die bis zu 15 Jahre alt sind. Mit einer in regelmäßigen Abständen durchgeführten Cyberrisikobewertung, lassen sich deutlich nachvollziehbar Fortschritte im Bereich der Datensicherheit dokumentieren – auch für das Management. CISOs haben damit endlich ein Tool zur Verfügung, dass ihre Cybersecurity-Erfolge sichtbar macht. Lesetipp: Mit diesen vier Schritten minimieren Sie das Cyberrisiko View the full article
  5. Watchara Ritjan – shutterstock.com Immer mehr Unternehmen heben Vertrauen als Unterscheidungsmerkmal für ihr Geschäft hervor. Durch Datenschutzverletzungen, Bedenken hinsichtlich der Produktsicherheit und Unsicherheiten in Bezug auf künstliche Intelligenz hat das Vertrauen der Kunden in den vergangenen Jahren stark gelitten. Wie aus dem Edelman Trust Barometer 2025 hervorgeht, ist das Vertrauen allgemein angeschlagen, insbesondere gegenüber Unternehmen und Führungskräften. Dies könnte sich jedoch ändern, da Unternehmen mit dem Chief Trust Officer (CTrO) eine neue Führungsposition schaffen. Um effektiv zu sein, muss diese Position mehr sein als nur ein umbenannter Sicherheitsbeauftragter und messbare Ergebnisse sowie konkrete Verbesserungen vorweisen können. Für CISOs stellt sich nun die Frage, inwiefern der CTrO mit der Sicherheit zusammenhängt. Könnte diese Position ihren nächsten Karriereschritt darstellen? Lesetipp: Ein neues Berufsbild für CISOs Was genau ist ein Chief Trust Officer? Die CISO-Funktion entstand, um die Verantwortung für die Sicherheit zu formalisieren, zunächst innerhalb von Finanzdienstleistungs- und Technologieunternehmen, bevor sie auf andere Sektoren ausgeweitet wurde. In ähnlicher Weise entstand die Funktion des Chief Trust Officers vor etwa einem Jahrzehnt, angeführt von B2B-Software- und Technologieunternehmen, die laut Forrester einer zunehmenden Kontrolle hinsichtlich der Sicherheit ihrer Produkte und Plattformen ausgesetzt waren. In den vergangenen zehn Jahren hat sich der Druck in Bezug auf Datenschutz, Sicherheit, Compliance, Risikomanagement und KI verstärkt. Als Reaktion darauf formalisieren einige Unternehmen das Vertrauen, indem sie die Verantwortung in einer einzigen C-Suite-Funktion festlegen. Laut einem Bericht von Forrester haben weltweit bereits 16 Unternehmen einen Chief Trust Officer. Dazu zählen vor allem Software- und Technologieanbieter wie Atlassian, Salesforce, NinjaOne und SAP. Die bisherige Amtszeit der CTrOs variiert von sechs Monaten bis hin zu fünf bis sechs Jahren. Chris Peake, Chief Trust Officer bei Gong, hat diese Position seit etwa drei Monaten inne, nachdem er zuvor als CISO bei Smartsheet und als Director of Trust and Customer Security bei ServiceNow tätig war. Er sieht darin eine Weiterentwicklung dieser Position, die ihren Ursprung im Bank- und Finanzwesen hat. Forrester beschreibt diese Position als die Übernahme der Verantwortung dafür, das Bekenntnis des Unternehmens zu Vertrauen authentisch und bewusst zu gestalten. Für Peake stehen Datenschutz, verantwortungsvoller Umgang mit Daten und Offenheit im Mittelpunkt seiner Rolle, insbesondere im Hinblick darauf, wie KI-Modelle trainiert und geschützt werden. „Wir müssen transparent sein. Wir müssen gut kommunizieren. Bei KI geht es beispielsweise darum, was wir mit diesen Daten machen. Wie wir unsere Modelle trainieren. Wie sie geschützt werden. Transparenz und Kommunikation in diesen Bereichen sind also entscheidende Säulen“. CISO und CTrO: Modell für eine funktionierende Partnerschaft? Da Kunden, Partner und Regulierungsbehörden mehr Offenheit und Sicherheit verlangen, sagen diejenigen, die die Rolle des CTrO ausüben, dass der Aufbau von Vertrauen die Antwort ist. Der Aufgabenbereich umfasst Sicherheit, Datenschutz, Compliance, Ethik, Kundensicherheit und interne Kultur. In der Regel ist der CISO weiterhin für Kontrollen und Schutz zuständig, während der Chief Trust Officer sich um Reputation, Ethik und Kundenvertrauen kümmert. Wenn Cybersicherheit dem CTrO unterstellt ist, bietet dies eine Möglichkeit, sich aus der IT und den konkurrierenden Prioritäten mit dem CIO herauszuhalten. Diese Partnerschaft positioniert die Sicherheit neu, von einer „Abteilung des Neins” zu einem Geschäftsbeschleuniger, bemerkt Forrester. Vinay Patel, Chief Trust and Security Officer bei Zendesk, stimmt zu, dass diese Rolle Vertrauen mit der Geschäftsstrategie in Einklang bringt. „Ein CISO schützt Systeme. Der Chief Trust Officer schützt das Vertrauen. Der eine schützt das Unternehmen, der andere schützt dessen Glaubwürdigkeit.” Eine zusätzliche Herausforderung besteht darin, dass der CTrO die Verantwortung für das Vertrauen in einer schwierigen Zeit trägt. Das Thema ist zu einem Problem für den Umsatz und den Ruf geworden. Patel betont, dass eine starke Ausrichtung zwischen dem Vertrauen der Kunden und der Geschäftsstrategie entscheidend ist. „Wenn Sie auf dem Markt, bei Ihren Partnern und Kunden keine Glaubwürdigkeit mehr haben, ist Ihre Geschäftsstrategie von vornherein zum Scheitern verurteilt“, erklärt er gegenüber CSO. Während zu den täglichen Aufgaben des CISO die Überprüfung des SOC, das Checken von Warnmeldungen, GRC, die Verwaltung anderer Sicherheitsvorgänge und die Berichterstattung an den Vorstand gehören, ist die Rolle des Chief Trust Officers laut Patel durchgängig mit dem Kundenvertrauen verknüpft. „Es geht darum, diese Vertrauensperspektive in die Entscheidungsfindung einzubeziehen und Kollegen und Partner dazu anzuregen, auf die gleiche Weise zu denken.“ Patels doppelter Titel signalisiert, dass er gleichermaßen Wert auf die Sicherheit der Plattform und die integre Verwaltung von Kundendaten legt. „Es war nicht nur wichtig zu zeigen, dass wir unsere Systeme gut schützen, sondern auch zu verdeutlichen, wie wichtig es ist, dieses Kundenvertrauen jeden Tag neu zu gewinnen und zu erneuern.“ In Gongs Modell wurden IT und Sicherheit zu einem einheitlichen Trust Office zusammengefasst, wobei der CISO an Peake berichtet. Seine Aufgaben umfassen Produktsicherheit, Compliance, Sicherheitsmaßnahmen (wie die Reaktion auf Vorfälle) und die Leitung eines Teams von Sicherheitsmitarbeitern vor Ort, die direkt mit den Kunden interagieren. Dieses Partnerschaftsmodell hilft dabei, komplexe technische Zusicherungen in Vertrauen auf Unternehmensebene umzusetzen und durch Offenheit und Empathie bei Vorfällen schnell wieder Vertrauen aufzubauen. Peake beschreibt seinen Ansatz als kooperativ und nach außen gerichtet, wobei er die Vertrauensfunktion als Brücke zwischen Kunden, Vertrieb und technischen Teams positioniert. Er fungiert als „Verbindungsglied“ zwischen den Erwartungen der Kunden und den Sicherheits- und KI-Praktiken des Unternehmens. Dabei konzentriert er sich darauf, eine sichere, stabile und widerstandsfähige Plattform zu schaffen, der Kunden vertrauen können und die über traditionelle Sicherheit und Compliance hinausgeht. „Wenn Sie einem Unternehmen vertrauen, werden Sie wieder zu ihm zurückkehren. Es besteht also ein klarer Zusammenhang zwischen der Förderung des Geschäfts und dem Vertrauen Ihrer Kunden”, so Peake. Der Zendesk-CTrO ist der Ansicht, dass diese Rolle über die Compliance hinausgeht und die menschliche Emotion des Vertrauens berührt.„Es entsteht durch die Verbindung zu den Kunden und nicht durch Kennzahlen.“ Aber wie riskant ist es, institutionelles Vertrauen zu besitzen? Peake ist sich der Belastung und Sichtbarkeit dieser Rolle bewusst und sagt, dass der CTrO in Krisenzeiten zum „Hüter der Ehrlichkeit“ wird. Wie operationalisiert man Vertrauen und vermeidet leere Vertrauenssignale? Es stellt sich auch die Frage, wie Organisationen Vertrauen operationalisieren – und kann es gemessen werden? Es gibt keine fertige Plattform, daher müssen CTrOs ihre eigenen Dashboards erstellen, in denen sie Kunden- und Mitarbeiterkennzahlen kombinieren. So können sie Trends verfolgen und frühe Anzeichen für einen Vertrauensverlust erkennen. Peake warnt davor, den Titel als Trend oder Hype zu behandeln – „der Beweis wird sich in unserem Verhalten und Handeln zeigen. Ich würde davon absehen, das Vertrauen selbst zu messen, und mich stattdessen auf die Indikatoren konzentrieren. Diese zeigen, ob wir vertrauenswürdig sind oder nicht.“ Er nutzt die Kundenstimmung, das Vertrauen in die Plattform und die Kundenbindung als zuverlässige Vertrauenssignale. „Das zeigt sich in einer nachlassenden Kundenstimmung oder darin, wie viel Vertrauen die Kunden in die Plattform haben und ob Sicherheitsbedenken uns daran hindern, neue Kunden zu gewinnen“, so Peake. Patel konzentriert sich auf robuste Prozesse wie verantwortungsvolle KI-Governance und die Validierung durch externe Benchmarks wie die ISO 42001-Zertifizierung für KI-Vertrauen und -Governance sowie die Arbeit an CSA STAR für KI. „Diese bieten Kunden und Stakeholdern einen Standardmaßstab, um zu bewerten, inwieweit ein Unternehmen über ein starkes Sicherheitsprogramm oder ein starkes KI-Vertrauens- und Governance-Programm verfügt.“ Auch Forrester warnt vor einer Übernahme des Titels ohne echte Veränderungen. Echte Verantwortlichkeit, so das Analystenhaus, erfordere die Unterstützung der Führungskräfte, abgestimmte Anreize und die Aufsicht durch den Vorstand, um Worte in messbare Taten umzusetzen. In einigen Fällen schaffen Unternehmen nach einem Vorfall die Position eines Vertrauensbeauftragten, um Kunden und dem breiteren Markt zu signalisieren, dass sie Vertrauen schätzen. Aber in ihrer Eile, ihre Reputation unter Beweis zu stellen, müssen sie mehr tun, als nur einen neuen Titel hinzuzufügen. Es gibt wesentliche Fragen, die Unternehmen beantworten müssen, sagt Peake. „Was ist unser grundlegendes Bedürfnis, um ein vertrauenswürdiges Unternehmen zu sein? Sie müssen sich überlegen, was das für Ihre Kunden bedeutet und wie Sie diese Lücke schließen können“, sagt er. Was ist mit dem Vorstand? Alle Institutionen müssen daran arbeiten, Vertrauen wieder aufzubauen, da ein höheres Vertrauensniveau mit besseren wirtschaftlichen Ergebnissen und mehr Wohlbefinden verbunden ist, wie der Edelman-Bericht feststellt. Alle Unternehmen müssen ihren Beitrag leisten, und das muss von oben geführt werden. Wenn Vertrauen ein grundlegender Wert des Unternehmens sein soll, muss die Rolle des Chief Trust Officers für den Vorstand sichtbar und rechenschaftspflichtig sein. Die meisten CTrOs berichten direkt an den CEO und überwachen häufig die Bereiche Sicherheit, Datenschutz und Compliance, wobei der CISO ihnen unterstellt ist oder ihnen zur Seite steht, wie Forrester herausfand. Die Positionierung von Vertrauen auf Führungsebene signalisiert, dass es sich um ein strategisches Thema handelt und nicht nur um ein technologisches Anliegen. „Wenn ich mit dem Vorstand kommuniziere, spreche ich über Dinge, die das Vertrauen der Kunden beeinflussen. Diese Punkte helfen dem Top-Management, Maßnahmen besser zu verstehen, als die Anzahl der behobenen Schwachstellen oder andere technische Fakten, die CISOs für den Vorstand übersetzen müssen.“ Ist der Chief Trust Officer der nächste Schritt für CISOs? Viele der ersten CTrOs waren ehemalige CISOs, was laut Forrester auf eine Entwicklung von Sicherheit und Compliance hin zu Reputation und Ethik hindeutet. Diese Position baut auf den Grundlagen des CISO auf, erfordert jedoch einen breiteren Fokus auf Empathie, Kommunikation und Kundenvertretung statt auf reine Risikominderung. Da sich Unternehmen durch vertrauenswürdige KI und verantwortungsvollen Umgang mit Daten von anderen abheben, könnte der CTrO genauso verbreitet werden wie der CISO. Peake glaubt, dass Vertrauen zu einer Grundlage für Geschäftsbeziehungen werden wird, insbesondere da bei den Kundenanliegen KI und Datenverwaltung dominierten. Peake bezeichnet dies als „evolutionären Schritt“ für Sicherheitsverantwortliche, dank seiner jahrelangen Kundenbindung sei dies ein natürlicher Übergang gewesen. Einige CISOs fungieren möglicherweise bereits de facto als Trust Officers, indem sie ohne formellen Titel mit externen Stakeholdern zusammenarbeiten und funktionsübergreifende Risikoprogramme leiten. Der Titel sollte jedoch nicht einfach eine Umbenennung der CISO-Rolle sein. Patel fordert, dass CISOs die Rolle des Chief Trust Officers weniger als Karriereschritt, sondern vielmehr als Chance betrachten, einen größeren Einfluss auf die Unternehmensstrategie zu nehmen. „Es ist eine Veränderung der Denkweise. Wenn das bei einem bestehenden CISO Anklang findet, ist das ein Zeichen für eine Berufung.“ (jm) Lesetipp: Vom CISO zum Chief Risk Architect View the full article
  6. Watchara Ritjan – shutterstock.com Immer mehr Unternehmen heben Vertrauen als Unterscheidungsmerkmal für ihr Geschäft hervor. Durch Datenschutzverletzungen, Bedenken hinsichtlich der Produktsicherheit und Unsicherheiten in Bezug auf künstliche Intelligenz hat das Vertrauen der Kunden in den vergangenen Jahren stark gelitten. Wie aus dem Edelman Trust Barometer 2025 hervorgeht, ist das Vertrauen allgemein angeschlagen, insbesondere gegenüber Unternehmen und Führungskräften. Dies könnte sich jedoch ändern, da Unternehmen mit dem Chief Trust Officer (CTrO) eine neue Führungsposition schaffen. Um effektiv zu sein, muss diese Position mehr sein als nur ein umbenannter Sicherheitsbeauftragter und messbare Ergebnisse sowie konkrete Verbesserungen vorweisen können. Für CISOs stellt sich nun die Frage, inwiefern der CTrO mit der Sicherheit zusammenhängt. Könnte diese Position ihren nächsten Karriereschritt darstellen? Lesetipp: Ein neues Berufsbild für CISOs Was genau ist ein Chief Trust Officer? Die CISO-Funktion entstand, um die Verantwortung für die Sicherheit zu formalisieren, zunächst innerhalb von Finanzdienstleistungs- und Technologieunternehmen, bevor sie auf andere Sektoren ausgeweitet wurde. In ähnlicher Weise entstand die Funktion des Chief Trust Officers vor etwa einem Jahrzehnt, angeführt von B2B-Software- und Technologieunternehmen, die laut Forrester einer zunehmenden Kontrolle hinsichtlich der Sicherheit ihrer Produkte und Plattformen ausgesetzt waren. In den vergangenen zehn Jahren hat sich der Druck in Bezug auf Datenschutz, Sicherheit, Compliance, Risikomanagement und KI verstärkt. Als Reaktion darauf formalisieren einige Unternehmen das Vertrauen, indem sie die Verantwortung in einer einzigen C-Suite-Funktion festlegen. Laut einem Bericht von Forrester haben weltweit bereits 16 Unternehmen einen Chief Trust Officer. Dazu zählen vor allem Software- und Technologieanbieter wie Atlassian, Salesforce, NinjaOne und SAP. Die bisherige Amtszeit der CTrOs variiert von sechs Monaten bis hin zu fünf bis sechs Jahren. Chris Peake, Chief Trust Officer bei Gong, hat diese Position seit etwa drei Monaten inne, nachdem er zuvor als CISO bei Smartsheet und als Director of Trust and Customer Security bei ServiceNow tätig war. Er sieht darin eine Weiterentwicklung dieser Position, die ihren Ursprung im Bank- und Finanzwesen hat. Forrester beschreibt diese Position als die Übernahme der Verantwortung dafür, das Bekenntnis des Unternehmens zu Vertrauen authentisch und bewusst zu gestalten. Für Peake stehen Datenschutz, verantwortungsvoller Umgang mit Daten und Offenheit im Mittelpunkt seiner Rolle, insbesondere im Hinblick darauf, wie KI-Modelle trainiert und geschützt werden. „Wir müssen transparent sein. Wir müssen gut kommunizieren. Bei KI geht es beispielsweise darum, was wir mit diesen Daten machen. Wie wir unsere Modelle trainieren. Wie sie geschützt werden. Transparenz und Kommunikation in diesen Bereichen sind also entscheidende Säulen“. CISO und CTrO: Modell für eine funktionierende Partnerschaft? Da Kunden, Partner und Regulierungsbehörden mehr Offenheit und Sicherheit verlangen, sagen diejenigen, die die Rolle des CTrO ausüben, dass der Aufbau von Vertrauen die Antwort ist. Der Aufgabenbereich umfasst Sicherheit, Datenschutz, Compliance, Ethik, Kundensicherheit und interne Kultur. In der Regel ist der CISO weiterhin für Kontrollen und Schutz zuständig, während der Chief Trust Officer sich um Reputation, Ethik und Kundenvertrauen kümmert. Wenn Cybersicherheit dem CTrO unterstellt ist, bietet dies eine Möglichkeit, sich aus der IT und den konkurrierenden Prioritäten mit dem CIO herauszuhalten. Diese Partnerschaft positioniert die Sicherheit neu, von einer „Abteilung des Neins” zu einem Geschäftsbeschleuniger, bemerkt Forrester. Vinay Patel, Chief Trust and Security Officer bei Zendesk, stimmt zu, dass diese Rolle Vertrauen mit der Geschäftsstrategie in Einklang bringt. „Ein CISO schützt Systeme. Der Chief Trust Officer schützt das Vertrauen. Der eine schützt das Unternehmen, der andere schützt dessen Glaubwürdigkeit.” Eine zusätzliche Herausforderung besteht darin, dass der CTrO die Verantwortung für das Vertrauen in einer schwierigen Zeit trägt. Das Thema ist zu einem Problem für den Umsatz und den Ruf geworden. Patel betont, dass eine starke Ausrichtung zwischen dem Vertrauen der Kunden und der Geschäftsstrategie entscheidend ist. „Wenn Sie auf dem Markt, bei Ihren Partnern und Kunden keine Glaubwürdigkeit mehr haben, ist Ihre Geschäftsstrategie von vornherein zum Scheitern verurteilt“, erklärt er gegenüber CSO. Während zu den täglichen Aufgaben des CISO die Überprüfung des SOC, das Checken von Warnmeldungen, GRC, die Verwaltung anderer Sicherheitsvorgänge und die Berichterstattung an den Vorstand gehören, ist die Rolle des Chief Trust Officers laut Patel durchgängig mit dem Kundenvertrauen verknüpft. „Es geht darum, diese Vertrauensperspektive in die Entscheidungsfindung einzubeziehen und Kollegen und Partner dazu anzuregen, auf die gleiche Weise zu denken.“ Patels doppelter Titel signalisiert, dass er gleichermaßen Wert auf die Sicherheit der Plattform und die integre Verwaltung von Kundendaten legt. „Es war nicht nur wichtig zu zeigen, dass wir unsere Systeme gut schützen, sondern auch zu verdeutlichen, wie wichtig es ist, dieses Kundenvertrauen jeden Tag neu zu gewinnen und zu erneuern.“ In Gongs Modell wurden IT und Sicherheit zu einem einheitlichen Trust Office zusammengefasst, wobei der CISO an Peake berichtet. Seine Aufgaben umfassen Produktsicherheit, Compliance, Sicherheitsmaßnahmen (wie die Reaktion auf Vorfälle) und die Leitung eines Teams von Sicherheitsmitarbeitern vor Ort, die direkt mit den Kunden interagieren. Dieses Partnerschaftsmodell hilft dabei, komplexe technische Zusicherungen in Vertrauen auf Unternehmensebene umzusetzen und durch Offenheit und Empathie bei Vorfällen schnell wieder Vertrauen aufzubauen. Peake beschreibt seinen Ansatz als kooperativ und nach außen gerichtet, wobei er die Vertrauensfunktion als Brücke zwischen Kunden, Vertrieb und technischen Teams positioniert. Er fungiert als „Verbindungsglied“ zwischen den Erwartungen der Kunden und den Sicherheits- und KI-Praktiken des Unternehmens. Dabei konzentriert er sich darauf, eine sichere, stabile und widerstandsfähige Plattform zu schaffen, der Kunden vertrauen können und die über traditionelle Sicherheit und Compliance hinausgeht. „Wenn Sie einem Unternehmen vertrauen, werden Sie wieder zu ihm zurückkehren. Es besteht also ein klarer Zusammenhang zwischen der Förderung des Geschäfts und dem Vertrauen Ihrer Kunden”, so Peake. Der Zendesk-CTrO ist der Ansicht, dass diese Rolle über die Compliance hinausgeht und die menschliche Emotion des Vertrauens berührt.„Es entsteht durch die Verbindung zu den Kunden und nicht durch Kennzahlen.“ Aber wie riskant ist es, institutionelles Vertrauen zu besitzen? Peake ist sich der Belastung und Sichtbarkeit dieser Rolle bewusst und sagt, dass der CTrO in Krisenzeiten zum „Hüter der Ehrlichkeit“ wird. Wie operationalisiert man Vertrauen und vermeidet leere Vertrauenssignale? Es stellt sich auch die Frage, wie Organisationen Vertrauen operationalisieren – und kann es gemessen werden? Es gibt keine fertige Plattform, daher müssen CTrOs ihre eigenen Dashboards erstellen, in denen sie Kunden- und Mitarbeiterkennzahlen kombinieren. So können sie Trends verfolgen und frühe Anzeichen für einen Vertrauensverlust erkennen. Peake warnt davor, den Titel als Trend oder Hype zu behandeln – „der Beweis wird sich in unserem Verhalten und Handeln zeigen. Ich würde davon absehen, das Vertrauen selbst zu messen, und mich stattdessen auf die Indikatoren konzentrieren. Diese zeigen, ob wir vertrauenswürdig sind oder nicht.“ Er nutzt die Kundenstimmung, das Vertrauen in die Plattform und die Kundenbindung als zuverlässige Vertrauenssignale. „Das zeigt sich in einer nachlassenden Kundenstimmung oder darin, wie viel Vertrauen die Kunden in die Plattform haben und ob Sicherheitsbedenken uns daran hindern, neue Kunden zu gewinnen“, so Peake. Patel konzentriert sich auf robuste Prozesse wie verantwortungsvolle KI-Governance und die Validierung durch externe Benchmarks wie die ISO 42001-Zertifizierung für KI-Vertrauen und -Governance sowie die Arbeit an CSA STAR für KI. „Diese bieten Kunden und Stakeholdern einen Standardmaßstab, um zu bewerten, inwieweit ein Unternehmen über ein starkes Sicherheitsprogramm oder ein starkes KI-Vertrauens- und Governance-Programm verfügt.“ Auch Forrester warnt vor einer Übernahme des Titels ohne echte Veränderungen. Echte Verantwortlichkeit, so das Analystenhaus, erfordere die Unterstützung der Führungskräfte, abgestimmte Anreize und die Aufsicht durch den Vorstand, um Worte in messbare Taten umzusetzen. In einigen Fällen schaffen Unternehmen nach einem Vorfall die Position eines Vertrauensbeauftragten, um Kunden und dem breiteren Markt zu signalisieren, dass sie Vertrauen schätzen. Aber in ihrer Eile, ihre Reputation unter Beweis zu stellen, müssen sie mehr tun, als nur einen neuen Titel hinzuzufügen. Es gibt wesentliche Fragen, die Unternehmen beantworten müssen, sagt Peake. „Was ist unser grundlegendes Bedürfnis, um ein vertrauenswürdiges Unternehmen zu sein? Sie müssen sich überlegen, was das für Ihre Kunden bedeutet und wie Sie diese Lücke schließen können“, sagt er. Was ist mit dem Vorstand? Alle Institutionen müssen daran arbeiten, Vertrauen wieder aufzubauen, da ein höheres Vertrauensniveau mit besseren wirtschaftlichen Ergebnissen und mehr Wohlbefinden verbunden ist, wie der Edelman-Bericht feststellt. Alle Unternehmen müssen ihren Beitrag leisten, und das muss von oben geführt werden. Wenn Vertrauen ein grundlegender Wert des Unternehmens sein soll, muss die Rolle des Chief Trust Officers für den Vorstand sichtbar und rechenschaftspflichtig sein. Die meisten CTrOs berichten direkt an den CEO und überwachen häufig die Bereiche Sicherheit, Datenschutz und Compliance, wobei der CISO ihnen unterstellt ist oder ihnen zur Seite steht, wie Forrester herausfand. Die Positionierung von Vertrauen auf Führungsebene signalisiert, dass es sich um ein strategisches Thema handelt und nicht nur um ein technologisches Anliegen. „Wenn ich mit dem Vorstand kommuniziere, spreche ich über Dinge, die das Vertrauen der Kunden beeinflussen. Diese Punkte helfen dem Top-Management, Maßnahmen besser zu verstehen, als die Anzahl der behobenen Schwachstellen oder andere technische Fakten, die CISOs für den Vorstand übersetzen müssen.“ Ist der Chief Trust Officer der nächste Schritt für CISOs? Viele der ersten CTrOs waren ehemalige CISOs, was laut Forrester auf eine Entwicklung von Sicherheit und Compliance hin zu Reputation und Ethik hindeutet. Diese Position baut auf den Grundlagen des CISO auf, erfordert jedoch einen breiteren Fokus auf Empathie, Kommunikation und Kundenvertretung statt auf reine Risikominderung. Da sich Unternehmen durch vertrauenswürdige KI und verantwortungsvollen Umgang mit Daten von anderen abheben, könnte der CTrO genauso verbreitet werden wie der CISO. Peake glaubt, dass Vertrauen zu einer Grundlage für Geschäftsbeziehungen werden wird, insbesondere da bei den Kundenanliegen KI und Datenverwaltung dominierten. Peake bezeichnet dies als „evolutionären Schritt“ für Sicherheitsverantwortliche, dank seiner jahrelangen Kundenbindung sei dies ein natürlicher Übergang gewesen. Einige CISOs fungieren möglicherweise bereits de facto als Trust Officers, indem sie ohne formellen Titel mit externen Stakeholdern zusammenarbeiten und funktionsübergreifende Risikoprogramme leiten. Der Titel sollte jedoch nicht einfach eine Umbenennung der CISO-Rolle sein. Patel fordert, dass CISOs die Rolle des Chief Trust Officers weniger als Karriereschritt, sondern vielmehr als Chance betrachten, einen größeren Einfluss auf die Unternehmensstrategie zu nehmen. „Es ist eine Veränderung der Denkweise. Wenn das bei einem bestehenden CISO Anklang findet, ist das ein Zeichen für eine Berufung.“ (jm) Lesetipp: Vom CISO zum Chief Risk Architect View the full article
  7. Fraudsters have started using AI to create fake documents claiming that artworks are genuine or legally owned, the Financial Times reports. According to art insurance brokers at Marsh, chatbots and big language models are being used to forge invoices, appraisal certificates and certificates of authenticity. In other cases, it has not been a case of deliberate fraud, but rather AI hallucinating false references to a work of art, which the owner has taken to be true. False documents are nothing new in the art world, but AI has made them more realistic and harder to detect. “AI makes something that’s been going on for a long time a little easier and a little faster. You don’t have to invent a professorial expert anymore — you can just let the AI do it for you,” Harry Smith of art valuation firm Gurr Johns told the Financial Times. To counter this trend, both insurers and appraisers are now trying to use AI themselves to review metadata and identify manipulation. More on AI’s impact on security: Human-in-the-loop isn’t enough: New attack turns AI safeguards into exploits AI startups leak sensitive credentials on GitHub, exposing models and training data AI hallucinations lead to a new cyber threat: Slopsquatting View the full article
  8. A collective of pirate activists say they gained access to 256 million rows of metadata and 86 million audio files, equivalent to around 300 terabytes of data, from Spotify, Billboard reports. The metadata, but no audio files, has been made publicly available through the open search engine Anna’s Archive. Anna’s Archive describes the project as an effort to “preserve the knowledge and culture of humanity” by creating a music archive for preservation purposes. Spotify itself has confirmed that it is investigating a breach in which a third party allegedly data scraped public metadata and unauthorizedly circumvented DRM protection to access certain audio files. More on hactivism: Don’t give hacktivists what they really want Hacktivism’s reemergence explained: Data drops and defacements for social justice London internet attack highlights confusing hacktivism movement View the full article
  9. A recent upgrade to the RansomHouse ransomware operation has added new concerns for enterprise defenders, introducing a multi-layered encryption update to the group’s double-extortion RaaS model. Also tracked under the cluster Jolly Scorpius, the ransomware gang has transitioned from a simple, single-phase encryption routine to a multi-layered dual-key encryption architecture that increases the complexity of its extortion operations. Detailed by Palo Alto Networks’ threat intelligence team, the update raises the bar for recovery once systems are compromised. The change affects how files are processed and encrypted during an attack, complicating analysis and limiting defenders’ ability to recover data without paying a ransom. “The upgrade in encryption used by RansomHouse RaaS, going from a simple linear model to a more complex multi-layered approach, signals a concerning trajectory in ransomware development,” Unit42 researchers said in a blog post. “This demonstrates how threat actors are updating their techniques to enhance effectiveness.” Researchers described the scale of RansomHouse’s operations as “significant”, with at least 123 victims listed on its data leak site spanning healthcare, finance, transportation, and government. VMware ESXi-tuned encryption upgrade The researchers confirmed that RansomHouse is moving away from a linear encryption model toward a multi-stage, dual-key process, which materially complicates decryption or key recovery. They tracked the updated encryptor under the name “Mario,” describing it as the ransomware component for the newly introduced multi-layered process. In Unit42’s reverse engineering of Mario, analysts observed that the upgraded binary generates both a 32-byte primary and an 8-byte secondary encryption key, executing separate encryption passes that interlock. For enterprises running virtual infrastructure, particularly VMware ESXi hosts, this development represents a pivot toward higher-impact compromise. RansomHouse’s tools specifically target ESXi files and backups, encrypting them with the “e.mario” extension while dropping ransom instructions for payment. Combined with MrAgent, RansomHouse’s deployment and persistence utility, the RaaS framework impairs both operational continuity and recovery efforts, the researchers noted. RansomHouse attempts double extortion Beyond the cryptographic update, RansomHouse leverages a double extortion model, which involves exfiltrating data and threatening public disclosure in addition to encrypting it, to add pressure on victims to pay. This layered pressure tactic, already a common feature of modern ransomware attacks, complicates incident response timelines and negotiating strategies for corporate security teams. Unit 42’s disclosure also revealed that RansomHouse operates with a modular attack chain separating operators (tool developers and leak managers) from attackers/affiliates (those who gain access and deploy the ransomware). This model allows the RaaS to scale and adapt, even as individual affiliates rotate or rebrand. The disclosure noted that detection strategies that rely solely on static signatures are increasingly insufficient against ransomware like RansmHouse that use dynamic, chunked encryption with multi-phase execution. Investing in behavioral analytics, real-time monitoring, hardened segmentation, and regular backup validation remains essential. Unit 42 has published indicators of compromise (file hashes, file extensions, and ransom note artifacts) tied to the updated RansomHouse tooling, urging enterprises to proactively hunt for related activity across affected endpoints and virtualized environments. View the full article
  10. Cybercriminals and state-sponsored hackers are increasingly exploiting Microsoft’s legitimate OAuth 2.0 device authorization process to hijack enterprise accounts, bypassing multifactor authentication protections and gaining persistent access to sensitive organizational data, a report said. Researchers at Proofpoint tracked multiple threat clusters — both financially motivated and state-aligned — that were using device code phishing techniques to trick users into granting unauthorized access to their Microsoft 365 accounts. The campaigns have surged since September 2025, representing a significant shift from limited, targeted attacks to widespread exploitation. “While this is not necessarily a novel technique, it is notable to see it used increasingly by multiple threat clusters,” the Proofpoint Threat Research Team wrote in a blog post. The tactic represents an evolution of techniques that financially motivated groups used earlier this year to breach Salesforce environments at Google, Qantas, and luxury brands through similar OAuth abuse, affecting hundreds of organizations. Those Salesforce attacks, which began in June 2025, used voice phishing. The current wave drops the phone calls for email-based social engineering, making attacks easier to scale. A legitimate process turned malicious The attacks abuse OAuth’s device authorization flow, which was designed for authenticating on input-constrained devices like smart TVs and IoT devices. Threat actors, according to the blog post, initiate the legitimate Microsoft device authorization process, then trick victims into entering the generated device code — disguised as a one-time password — at Microsoft’s own verification URL. “The lures typically claim that the device code is an OTP and direct the user to input the code at Microsoft’s verification URL,” the researchers wrote. “Once the user inputs the code, the original token is validated, giving the threat actor access to the targeted M365 account.” Successful attacks enable account takeover, data exfiltration, lateral movement within networks, and establishment of persistent access to corporate resources. In some cases, stolen data becomes the basis for extortion attempts, as ShinyHunters demonstrated in its Salesforce campaigns. Tools of the trade What’s driving the surge is the availability of tools that make these attacks easy to execute. Proofpoint identified two primary kits: SquarePhish2 and Graphish. SquarePhish2 is an updated version of a tool originally published by Dell Secureworks in 2022. It automates the OAuth Device Grant Authorization flow and integrates QR code functionality. The Graphish phishing kit, shared on vetted criminal hacking forums, enables the creation of convincing phishing pages leveraging Azure App Registrations and adversary-in-the-middle attack capabilities. “The tool is designed to be user-friendly and does not require advanced technical expertise, lowering the barrier for entry and enabling even low-skilled threat actors to conduct sophisticated phishing campaigns,” the Proofpoint researchers wrote in the blog. These tools help attackers overcome a key limitation: device codes are typically short-lived. The automation enables larger-scale campaigns than were previously possible. State actors join cybercriminals Since January 2025, Proofpoint has tracked multiple state-aligned threat actors abusing OAuth device code authorization for account takeover, representing a concerning evolution in espionage tradecraft. “This technique has been most widely used by Russia-aligned threat actors,” the researchers noted, citing prior reporting by security firm Volexity. Proofpoint also observed suspected China-aligned activity and other unattributed espionage campaigns. One group, Proofpoint tracks as UNK_AcademicFlare, has been conducting device code phishing since at least September 2025. The suspected Russia-aligned actor uses compromised email addresses from government and military organizations to target entities in government, think tanks, higher education, and transportation sectors across the US and Europe. UNK_AcademicFlare typically conducts patient rapport building via benign outreach before launching device code phishing attempts. The group uses compromised accounts to arrange fictitious meetings or interviews, then shares malicious links to Cloudflare Worker URLs spoofing OneDrive accounts. Volexity researchers documented similar tactics in recent campaigns where Russian actors created fake websites masquerading as legitimate European security conferences to trick attendees into granting OAuth access. Widespread campaigns target financial lures Financially motivated threat actors have also embraced device code phishing. Proofpoint highlighted activity from TA2723, a high-volume credential phishing actor known for campaigns spoofing Microsoft OneDrive, LinkedIn, and DocuSign. Beginning in October 2025, TA2723 launched campaigns using salary and benefits-themed lures. One campaign used email messages purporting to contain documents titled “OCTOBER_SALARY_AMENDED” and “Salary Bonus + Employer Benefits Reports 25.” The messages directed recipients to URLs that ultimately led to device code authorization pages where victims were tricked into generating and entering one-time passcodes. Proofpoint researchers suspect TA2723 used both SquarePhish2 and Graphish tools across different campaign waves. The 2025 ShinyHunters campaign demonstrated the potential damage. In a separate but related OAuth abuse incident, threat actors exploited OAuth tokens stolen from the Salesloft/Drift integration to access Salesforce instances at hundreds of organizations. Companies, including Cloudflare, Zscaler, and Tenable, publicly disclosed unauthorized access to data, triggering breach notification requirements. Proofpoint recommended organizations create Conditional Access policies to block device code flow entirely or implement allow-lists for approved users and IP ranges. “Traditional phishing awareness often emphasizes checking URLs for legitimacy. This approach does not effectively address device code phishing, where users are prompted to enter a device code on the trusted Microsoft portal,” the researchers wrote. Microsoft did not respond to a request for comment on the findings. View the full article
  11. The US Securities and Exchange Commission’s Nov. 30 decision to dismiss its lawsuit against SolarWinds and its CISO, Tim Brown, was met with immediate and widespread joy across the cybersecurity leadership community. For many CISOs, the dismissal landed not as an abstract legal development, but as something deeply personal. “Thank God,” Gadi Evron, CEO and founder of Knostic and CISO in Residence for AI at the Cloud Security Alliance, said when he learned of the dismissal. “People are feeling relieved, and there is a sense of community and celebrating together,” he tells CSO. “I breathed a sigh of relief,” Diana Kelley, CISO of Noma Security, tells CSO. After five years of investigation, litigation, and public scrutiny, “I think a lot of CISOs [let out a collective exhale] around this case,” she adds. That collective sense of relief, however, should not be mistaken for closure. Experts emphasize that the case did not erase the personal and professional risks of being a CISO, nor did it resolve the deeper structural tension it exposed. Security leaders are still held publicly accountable for cyber failures while lacking full authority over budgets, disclosures, and enterprise risk decisions. Even though the SolarWinds case sparked a deeper recognition that cybersecurity responsibility should be a shared responsibility across enterprises, shifting policy priorities and future administrations could once again put CISOs in the SEC’s crosshairs, they warn. In the meantime, the legal saga of Tim Brown — along with the federal conviction of former Uber CISO Joe Sullivan in 2022 — highlights critical steps CISOs can take to protect themselves and their organizations before any similar litigation arises in the future. Overview of the case: From Russian hackers to dismissal To understand why the SolarWinds case sent such a chill through the CISO community, and why its dismissal matters, a recap of how the breach unfolded and how the SEC framed its claims is useful. Beginning in 2019 and continuing through November 2020, threat actors — widely believed to be the threat group known as APT20 or Cozy Bear, part of Russia’s foreign intelligence service or SVR — compromised the Orion IT management solution sold by SolarWinds by inserting malicious code into a legitimate software update. Using malware called SUNBURST, the attackers installed a backdoor that affected roughly 18,000 customers, although a much smaller subset was selectively exploited, including multiple US government agencies and major companies. Years after the technical compromise itself, the fallout took a more personal turn. Amid a streak of other publicly alarming, high-profile breaches in the US, on Oct. 30, 2023, the US Securities and Exchange Commission filed a civil action against SolarWinds and — to the shock of many — its CISO, Brown, alleging fraud and internal control failures relating to allegedly known cybersecurity risks and vulnerabilities. The lawsuit claimed that SolarWinds and Brown defrauded investors by overstating SolarWinds’ cybersecurity practices and understating or failing to disclose known risks. On July 18, 2024, federal judge Paul Engelmayer dismissed most of the lawsuit’s claims. “He basically dismissed all the charges in terms of post-incident activity and said it is easy to be a Monday morning quarterback, but you’re going to have to prove that they really did something intentionally misleading,” Sullivan, who is also a former federal prosecutor and is now CEO of Joe Sullivan Security, tells CSO. The remaining claims focused on Brown and the degree to which cybersecurity statements posted on SolarWinds’ website before the incident were appropriate in terms of advising customers of their risks. “The judge really focused on that one publication on the company’s website that went into some specificity about what the company does from a cybersecurity perspective and got frankly fairly granular as far as these things go,” Cara Peterman, partner with Alston & Bird’s Securities Litigation Group, tells CSO. The judge’s reasoning reassured many security leaders, but it also exposed a more profound discomfort about how accountability is assigned inside modern organizations. “The area that a lot of us were really uncomfortable about was the idea that an operational head of security could be personally responsible for what the company says about its cybersecurity investments,” Sullivan says. He adds, “Tim didn’t have the CISO title before the incident. And so there was just a lot there that made security people very concerned. Why is this operational person on the hook for representations?” But even if he had had the CISO role before the incident, the argument still holds, according to Sullivan. “Historically, the person who had that title wasn’t a quote-unquote ‘chief’ in the sense that they’re not in the little room of people who run the company,” Sullivan says. “They don’t report to the CEO; they don’t get a huge budget.” Perhaps in recognition of this fact, and after settlement talks among the SEC, SolarWinds, and Brown, the securities regulator dropped its suit. In a statement, company CEO Sudhakar Ramakrishna said, “We said from the beginning — and demonstrated during the litigation — the claims were unfounded, and we are happy the SEC has finally decided to abandon them. We stood firmly with our CISO, Tim Brown, and this decision affirms our belief that our team acted with integrity throughout.” SolarWinds has kept Brown on as CISO and paid for his legal representation. Responsibility without authority is the real risk At the heart of the SolarWinds lawsuit was a familiar problem for security leaders: responsibility without authority. The dynamic that caught Tim Brown in the SEC’s jaws is that, despite his experience, seniority, and title, he, like most CISOs, carries tremendous responsibility without any real organizational authority to back him up — with concerns around personal liability in the face of that further souring many CISOs on the role. “We have a lot of the responsibility and very little of the authority,” Knostic’s Evron says. “The organization manages the risk. Our job is to present the risk and to manage the risk once the organization decides what risk to take.” “We work in a larger ecosystem,” Noma Security’s Kelley adds. “We are not all-powerful. We cannot make all decisions in a company. We must work within the budget. We can advocate for a budget, but then the budget is decided collaboratively by the business. The same with our resources for headcount, or decisions on what is allowed or what’s not allowed in terms of new controls or new policies.” However, since the lawsuits against Sullivan and Brown first emerged, CEOs and other high-ranking decision-makers have increasingly come under more pressure to accept some of the cyber incident legal liabilities that have often been the sole province of CISOs. “In my case, at my sentencing hearing, the judge turned to the prosecutor and repeatedly asked, ‘Why isn’t the CEO charged?’” Sullivan says. “The judge literally said, ‘As far as I’m concerned, the CEO is at least as culpable, if not more, as anyone else inside the company when it comes to the situation.’” Sullivan adds, “In Australia, in the Qantas case, the board took away the bonuses for the CEO and a bunch of others. In one of those DOJ civil cyber fraud cases, the Aero Turbine case, they pierced the corporate veil and went after the private equity firm as well. There is a growing recognition inside government enforcement authorities that if you want to change corporate behavior, you’ve got to aim a little higher than the CISO.” How CISOs should protect themselves If the SolarWinds case clarified anything, it’s that relief is temporary and preparation is essential. CISOs have a window of opportunity to shore up their organizational and personal defenses in the event the political pendulum swings and makes CISOs litigation targets again. “I feel that the SEC staff over the past five to ten years has become more educated and has a more in-depth understanding and knowledge as to how this all works,” Alston & Bird’s Peterman says. “CISOs should be breathing a sigh of relief with this development, but I would be cautious about reading into it too broadly based on shifting changes within this administration or the next one,” Peterman adds. “Brown had to live through five years of this, first, investigation and, then, litigation,” she says. “And I assume that comes with a significant personal toll, psychological toll, and physical toll. [Brown suffered a heart attack during the litigation.] If CISOs don’t have the necessary indemnification agreements or directors and officers [D&O] insurance protections via the bylaws or by agreement, it can also mean that even if you win, it carries a significant financial toll.” Noma Security’s Kelley emphasizes that CISOs will still be the face of cybersecurity for most organizations, which means continued diligence in how risks are communicated. “When customers or regulators or investors need answers, none of that has changed [as a result of the SolarWinds dismissal]. One of the takeaways is being very intentional and accurate in how we communicate about our programs.” Sullivan advises CISOs and other security leaders to become proactive and communicate throughout the organization what they need. “It’s really important that we not sit in the corner and just let all the risks sit on our shoulders,” he says. “We have to engage with the rest of the executives and the CEO and say, ‘Look, cybersecurity is a company decision.’” He also stresses that the CISO community owes a debt of gratitude to Brown for his fortitude. “A lot of us are really grateful for Tim for how he didn’t disappear during this process,” Sullivan says. “He spent a lot of time out at different events, typically closed-door ones, meeting with a lot of people. I had the opportunity to be on panels and calls with him where he and I shared a stage. All of us are very happy that Tim made it through this in one piece, and that he’s standing and that he still has his job.” View the full article
  12. PeopleImages.com – Yuri A – Shutterstock.com Wenn ein Unternehmen einen größeren Ausfall seiner IT-Systeme erlebt – beispielsweise aufgrund eines Cyberangriffs – ist es zu diesem Zeitpunkt nicht mehr voll geschäftsfähig. Deshalb ist ein effektiver Plan zur Reaktion auf Vorfälle (Incident Response, IR) unerlässlich. Es geht jedoch nicht nur darum, die Quelle eines Angriffs zu finden und ihn einzudämmen. Unternehmen müssen auf Widerstandsfähigkeit ausgelegt sein, um auch dann weiterarbeiten zu können, wenn wichtige Systeme nicht mehr verfügbar sind. Was gehört zu einem effektiven Incident Response Plan? Hier sind sechs wesentliche Komponenten: Folgen abschätzen Wenn eine Sicherheitsverletzung wichtige Systeme zum Erliegen bringt, müssen Unternehmen über einen soliden IT-Ausfallsicherheits- oder Business-Continuity-Plan (BC) verfügen. Selbst wenn das Unternehmen nur für ein paar Stunden ausfällt, kann dies zu großen finanziellen Verlusten und einer negativen PR führen. „Eine der wichtigsten Komponenten ist es, die wesentlichen Funktionen zu verstehen, die Ihr Unternehmen erfüllt, und welche Auswirkungen es hätte, wenn diese gestört würden“, betont Justin Kates, leitender Business-Continuity-Berater für den Betreiber von Convenience-Stores Wawa. „Dies geschieht in der Regel durch eine sogenannte Business Impact Analysis (BIA)“, ergänzt der Experte. “Einige im Bereich der Geschäftskontinuität sind der Meinung, dass die BIA kein hilfreiches Mittel ist. Sie hilft jedoch dem Verantwortlichen für Business Continuity , ein besseres Verständnis dafür zu bekommen, wie Prozesse im gesamten Unternehmen funktionieren.“ Die BIA katalogisiert jeden Prozess und ermittelt, welche Auswirkungen in bestimmten Intervallen je nach Dauer eines Geschäftsausfalls zu erwarten sind. Laut Kates können dabei Workarounds mit manuellen Schritten zur Durchführung des Prozesses oder die Nutzung alternativer Dienste zur Erfüllung von Mindestanforderungen hilfreich sein. Schon im Vorfeld sollte klar sein, welche Teile des Unternehmens für den Betrieb am wichtigsten sind. „Nach Meinung von Adam Ennamli, Chief Risk, Compliance and Security Officer bei der General Bank of Canada, besteht die Grundlage eines jeden effektiven Notfallplans darin, „sein Unternehmen wirklich zu verstehen – von den Menschen über die Prozesse bis hin zum Betrieb, und zwar durch eine detaillierte und pragmatische Folgenabschätzung.“ Der Security-Spezialist fügt hinzu: „Wenn man über BIA und RTOs [Recovery Time Objective] spricht, sollte man nicht nur Kästchen ankreuzen. Sie erstellen eine Karte, die Ihnen und Ihren Entscheidungsträgern genau zeigt, worauf Sie sich konzentrieren müssen, wenn etwas schief geht.“ Laut Enmamil behandeln allerdings viele Organisationen ihre Systeme als gleich kritisch. „Und wenn es bei einem tatsächlichen Vorfall darauf ankommt, wird wertvolle Zeit mit weniger wichtigen Ressourcen verschwendet, während kritische Geschäftsfunktionen offline bleiben und keine Einnahmen bringen.“ Umfassende Kommunikationsstrategie Ein weiteres Schlüsselelement, das über Erfolg oder Misserfolg einer Strategie zur Reaktion auf Vorfälle entscheiden kann, ist die Kommunikation. Ohne klare Kommunikation zwischen den wichtigsten Interessengruppen des Unternehmens kann es zu viel längeren Ausfallzeiten oder zum Verlust wichtiger Prozesse über längere Zeiträume kommen. “Es geht nicht nur darum, eine Telefonkette oder eine Liste mit E-Mail-Adressen zu haben. Sie benötigen vorab genehmigte Inhaltsblöcke und Vorlagen für verschiedene Szenarien, [mehrere] Backup-Kommunikationskanäle und klare Entscheidungs- und Delegationsstrukturen. Es muss klar sein, wer was zu wem sagen darf“, betont Ennamil. „Wenn ein Vorfall eintritt, ist das Letzte, was Sie wollen, Pressemitteilungen zu verfassen, Massen-E-Mails zu versenden oder herauszufinden, wie Sie Ihr Team erreichen können, weil Ihre primären Kanäle ausgefallen sind.“ Jason Wingate, CEO von Emerald Ocean fügt hinzu, dass Unternehmen über solide Kommunikationsprotokolle verfügen sollten. „Sie werden sich eine klare Befehlskette und Kommunikation wünschen“, sagt er. „Ohne festgelegte Protokolle sind Sie in etwa so effektiv wie bei dem Versuch, eine Brandbekämpfung mit Rauchzeichen zu koordinieren.“ Die Schwere des Vorfalls sollte die Kommunikationsstrategie bestimmen, ergänzt David Taylor, Geschäftsführer des globalen Beratungsunternehmens Protiviti. „Während die Mitglieder des Cybersicherheitsteams in engem Kontakt stehen und zusammenarbeiten, sind andere wahrscheinlich nicht so gut eingebunden oder nicht so gut informiert.“ Taylor führt aus: „Je nach Schweregrad sollte die Art, das Publikum und die Häufigkeit der Kommunikation von der Unternehmensführung vorgegeben werden.“ Dies ermögliche es den Verantwortlichen für Cybersicherheit und anderen Führungskräften, einen einheitlichen Zeitrahmen zu entwickeln, in dem sie mit Updates rechnen können. „Gemeinsam können sich die technischen Einsatzteams auf die Reaktion konzentrieren, ohne den Fortschritt zu stoppen, um ad hoc Updates bereitzustellen.“ Einer der wichtigsten Schritte ist die Ernennung eines Kommunikationsleiters , merkt Business-Continuity-Berater Kate an. „Wenn Technologiesysteme nicht verfügbar sind, müssen viele innerhalb der Organisation Workarounds implementieren, um wesentliche Prozesse am Laufen zu halten.“ Dem Experten zufolge basieren viele Entscheidungen auf Updates, die über den Status des Vorfalls und die erwarteten Lösungszeiten bereitgestellt werden. „Die Technologieteams werden sich darauf konzentrieren, die Auswirkungen des Vorfalls zu mildern, und haben möglicherweise nicht die Zeit, Updates bereitzustellen“, so Kates. „In Ihren Plänen sollte festgelegt sein, wer die Führung bei der Weitergabe von Updates an interne und externe Interessengruppen übernimmt, einschließlich der Aktualisierung, wenn es möglicherweise keine neuen Informationen gibt.“ Klare Strukturen mit definierten Reaktionsrollen und Arbeitsabläufen Es ist wichtig zu verstehen, wer nach einem Vorfall wofür verantwortlich ist. „Wenn ein Cybervorfall eintritt, ist Verwirrung der größte Feind“, so der CEO von Emerald Ocean. “Ein Team ohne definierte Rollen wird wie ein Orchester ohne Dirigenten herumlaufen. Bei Vorfällen kostet Verwirrung Zeit, und wenn ein Vorfall eintritt, ist Zeit alles.“ Struktur und Rollen sollten über die Cybersecurity- oder IT-Mitarbeiter hinausgehen. „Der größte Irrglaube in der Cybersicherheit ist, dass es sich nur um ein IT-Problem handelt“, mahnt Wingate. Die IR-Struktur und die Rollen sollten idealerweise Vertreter aus dem gesamten Unternehmen umfassen. „Zu den wichtigsten Rollen im Bereich Cybersicherheit gehören unter anderem der CIO/CTO, der CISO, der Einsatzleiter, der Koordinator für Vorfälle, der Endpunktanalyst, der Netzwerkanalyst und die externe forensische Unterstützung“, fasst Taylor zusammen. Zu den Rollen außerhalb der Cybersicherheit sollten das Krisenmanagementteam und möglicherweise Vertreter aus den Bereichen Recht, Unternehmenskommunikation, Personalwesen, Finanzen und andere gehören, je nach Ausmaß des Vorfalls. „Es ist wichtig festzulegen, wer welche dieser Rollen übernimmt, und die damit verbundenen Verantwortlichkeiten sollten ebenfalls klar definiert und in den entsprechenden Plänen leicht nachzuschlagen sein“, betont Taylor. Laut Rocco Grillo, Geschäftsführer der Unternehmensberatungsfirma Alvarez & Marsal Disputes and Investigations , ist es auch wichtig, dass „die wichtigsten externen Interessengruppen identifiziert werden. „Dazu gehören externe Anwälte, IR- und forensische Ermittlungsunternehmen, Cyber-Versicherungskontakte, Benachrichtigungs- und Kreditüberwachungsunternehmen, Strafverfolgungsbehörden und Ransomware-Verhandlungsunternehmen“, so der Leiter der globalen Praxis für Cyberrisiken und Incident Response Services des Unternehmens. Überblick über die gesamte Bedrohungslandschaft Die Bedrohungslandschaft im Bereich der Cybersicherheit ist breit gefächert und komplex. Wirksame IR-Strategien müssen so konzipiert werden, dass sie dieser Komplexität gerecht werden. Angriffe können von einer wachsenden Zahl von Quellen ausgehen und nicht nur ein Unternehmen, sondern auch seine Lieferanten und andere Geschäftspartner betreffen. „Der Fokus liegt mehr auf Angriffen auf die Lieferkette als auf direkten Angriffen auf Unternehmen“, ergänzt Grillo. „Angriffe auf die Lieferkette sind so, als würde ein Einbrecher in das Büro des Hausmeisters einbrechen, um sich die Schlüssel für alle Wohnungen im Gebäude zu verschaffen”, erläutert der Unternehmensberater, “im Gegensatz zu einem Einbrecher, der nur in das Penthouse des Gebäudes einbricht, um die Kronjuwelen zu stehlen.“ Darüber hinaus müssen sich IR-Pläne nicht nur auf externe Bedrohungen konzentrieren, sondern auch auf Insider-Bedrohungen. „Insider-Bedrohungsrisiken beschränken sich nicht nur auf böswillige Mitarbeiter, sondern auch auf Mitarbeiter, die menschliche Fehler begehen und/oder unwissentlich Cyber-Risiken für ihre Unternehmen schaffen, die Bedrohungsakteure ausnutzen können“, ergänzt Grillo. Auch Drittanbieter und Lieferanten würden in diese Kategorie fallen. „Dritte können autorisierten Zugang zu einem Unternehmen haben. Wenn sie von einem Bedrohungsakteur kompromittiert werden, schaffen sie diesen versehentlich Zugang“, so der Berater. Regelmäßige Tests Unternehmen müssen ihre Pläne zur Reaktion auf Vorfälle und zur Geschäftskontinuität regelmäßig testen, um sicherzustellen, dass sie wirksam sind. „Das sollte eigentlich selbstverständlich sein: Wie bei allem anderen in der Technik auch, sollte man alles erst einmal testen“, fordert Wingate von Emerald Ocean. “Wenn Sie aus einem Flugzeug springen, möchten Sie ja auch, dass Ihr Fallschirm vorher überprüft wurde.“ Einer der Gründe, warum regelmäßige Tests so wichtig sind, ist die sich ständig verändernde Cybersicherheitslandschaft. „Meiner Erfahrung nach liegt der Schlüssel zu einer effektiven Wiederherstellung darin, Incident-Response-Pläne nicht als statische Dokumente zu betrachten und sie regelmäßig einem Stresstest zu unterziehen“, erklärt Ennamli von der General Bank of Canada. “Der Dreh- und Angelpunkt liegt darin, über die theoretische Planung hinauszugehen und praktische, getestete Schritte zu unternehmen, die sich unter Druck bewährt haben.“ Nach jedem Sicherheitsvorfall müssen die IR- und BC-Teams des Unternehmens überprüfen, wie gut die Pläne umgesetzt wurden und wo Verbesserungen vorgenommen werden können. „Nach der Wiederherstellung nach einem Vorfall [und] Übungen des Vorfallsreaktionsprogramms muss eine disziplinierte Auswertung der gewonnenen Erkenntnisse erfolgen“, so Taylor von Protiviti. „Diese werden allgemein als After-Action-Reviews (AARs), Post-Incident-Reviews (PIRs), Hotwashes oder Debriefings bezeichnet. Unabhängig von der Bezeichnung ist ein disziplinierter und dokumentierter Ansatz zur Bewältigung sowohl positiver als auch negativer Aspekte nach einem Vorfall für eine kontinuierliche Verbesserung von entscheidender Bedeutung.“ Einfachheit und Modularität sollten im Vordergrund stehen Obwohl die Bedrohungslandschaft komplex ist, müssen IR- und BC-Strategien dies nicht sein. Manchmal ist einfacher besser. „Wir sehen in der Regel, dass Organisationen zahlreiche, hundertseitige Ordner für ihre Notfallpläne erstellen, einen für die Reaktion auf Vorfälle, einen anderen für die Geschäftskontinuität, einen weiteren für die Notfallwiederherstellung“, beschreibt Kates von Wawa. „Die meisten dieser Pläne überschneiden sich erheblich und sind nur kopierte Vorlagen, die sie online gefunden haben.“ Anstatt für jede Art von Vorfall separate, umständliche Pläne zu erstellen, empfiehlt Kates einen modularen ‘Playbook“-Ansatz. „Man kann einige wenige gefahrenspezifische Playbooks entwickeln – Ransomware, Stromausfall, Unwetter –, die gängige Funktionen der Reaktion auf Vorfälle [wie] Kommunikation, Lagebewertung, Umgehung von Geschäftsprozessen – sofort einsatzbereit machen“. Dieser Ansatz ermögliche es den Teams, relevante Maßnahmen je nach Art des Vorfalls zu aktivieren und zu kombinieren, wodurch ein nützlicherer Plan entsteht. „Ich habe festgestellt, dass es auch viel einfacher ist, als mehrere große Pläne zu verwalten, um sicherzustellen, dass die Informationen aktuell bleiben“, sagt er. “Die Strategiebücher enthalten Checklisten und Entscheidungsbäume, die die Einsatzkräfte durch komplexe Verfahren führen und so die kognitive Überlastung während einer Krise reduzieren.“ (jm) View the full article
  13. abdullah Ghashqeen – Shutterstock Ein turbulentes Jahr 2025 neigt sich dem Ende zu. Es war geprägt von wirtschaftlicher Unsicherheit, geopolitischen Spannungen und dem ungebremsten Siegeszug der Künstlichen Intelligenz. Grund genug für die Redaktion von Computerwoche, CIO und CSO, in der letzten TechTalk-Podcast-Folge des Jahres Bilanz zu ziehen. Im Fokus: Die IT-Tops und -Flops 2025. Kaum ein Thema hat die IT-Welt 2025 so stark dominiert wie KI – mit Licht und Schatten. Einer der größten Flops des Jahres ist dabei der massive Stellenabbau, der vielerorts mit dem Verweis auf KI begründet wird. Laut einer Analyse von Surfshark haben weltweit mindestens 200.000 Menschen infolge des KI-Booms ihren Job verloren – vermutlich sind es sogar deutlich mehr. KI: Große Versprechen, bittere Realität Das Groteske daran, betont Manfred Bremmer, Editorial Manager Computerwoche: „Oft sind solche Entlassungsrunden eine Mogelpackung. Teilweise wurden später wieder Mitarbeitende eingestellt, weil sich eben doch nicht alles automatisieren lässt.“ Auch mit Blick auf die Zukunft sei das Vorgehen alles andere als nachhaltig, so Bremmer, weil vor allem Junior-Jobs wegfallen. Einen weiteren KI-spezifischen Flop bringt sein Kollege Tristan Fincken ins Spiel: Cyberkriminelle nutzen KI zunehmend zur Automatisierung von Angriffen. Während Angreifer dadurch schneller und effizienter werden, kämpfen Unternehmen und Sicherheitsverantwortliche häufig mehr mit regulatorischen Vorgaben als mit technischen Lösungen. CIOs bleiben pragmatisch Ein Lichtblick im KI-Bereich hebt Jens Dose, Editor in Chief bei CIO.de, hervor: Trotz vollmundiger KI-Versprechen in den Marketing-Botschaften der Anbieter würden sich viele IT-Verantwortliche weiterhin auf die Basics konzentrieren, nämlich Datenqualität, Datensichtbarkeit, stabile Prozesse und belastbare Infrastrukturen. Auch innovatives Change-Management im KI-Kontext sticht aus seiner Sicht positiv hervor – etwa beim Schweizer TK-Anbieter Mobilezone, der KI-Agenten nicht wie Software, sondern wie neue Mitarbeiter behandelt. Digitale Souveränität zwischen Anspruch und Wirklichkeit Das Thema digitale Souveränität bleibt 2025 ambivalent. Positiv bewertet Computerwoche-Redakteur Jürgen Hill etwa das Rennen um KI-Gigafactories in Europa. So investiere Schwarz IT elf Milliarden Euro in ein Rechenzentrum, um eine souveräne Alternative zu US-Hyperscalern zu schaffen. Auch die Gründung eines Digitalministeriums soll die Digitalisierungsbemühungen von Bund und Ländern besser koordinieren – wenngleich Hill angesichts des geplanten Etats seine Zweifel an der Effektivität der Behörde hat. Als Vorzeigeprojekt in Sachen Digitale Souveränität gilt Schleswig-Holstein: Das Bundesland setzt in der Landesverwaltung konsequent auf Open Source und verabschiedet sich schrittweise von Microsoft. Ab 2026 sollen so jährlich über 15 Millionen Euro an Lizenzkosten eingespart und gleichzeitig Abhängigkeiten von Tech-Giganten reduziert werden. Demgegenüber steht ein deutlicher Flop im FreistaatBayern. Dieser plant, sich langfristig an Microsoft 365 zu binden. Kostenpunkt: fast eine Milliarde Euro über fünf Jahre. Security: Lichtblicke trotz regulatorischem Chaos Im Bereich IT-Sicherheit fällt die Bilanz gemischt aus, urteilt Julia Mutzbauer, Editorial Manager bei der CSO. So sollte NIS2 eigentlich EU-weit für einheitliche Standards sorgen, sorgt in der Praxis aber für Verunsicherung: Unterschiedliche nationale Umsetzungen, unklare Zuständigkeiten und abgeschwächte Vorgaben – etwa beim Schwachstellenmanagement – stießen auf breite Kritik. Gleichzeitig gebe es aber in 2025 auch Erfolge zu vermelden, betont sie. Internationale Ermittlungen hätten zur Zerschlagung der Ransomware-Gruppe 8Base, zur Abschaltung krimineller Infrastrukturen im Rahmen der Operation Endgame sowie zur Stilllegung gefährlicher Malware geführt. Auch mit der Operation „Olympia“ wurde eine große Geldwäsche-Plattform vom Netz genommen. Angesichts dieser vielfältigen Entwicklungen bleibt mit Spannung zu erwarten, was 2026 in der IT-Welt passieren wird. Wir wünschen frohe Feiertage und halten Sie auch im neuen Jahr auf unseren Kanälen auf dem Laufenden! View the full article
  14. abdullah Ghashqeen – Shutterstock Ein turbulentes Jahr 2025 neigt sich dem Ende zu. Es war geprägt von wirtschaftlicher Unsicherheit, geopolitischen Spannungen und dem ungebremsten Siegeszug der Künstlichen Intelligenz. Grund genug für die Redaktion von Computerwoche, CIO und CSO, in der letzten TechTalk-Podcast-Folge des Jahres Bilanz zu ziehen. Im Fokus: Die IT-Tops und -Flops 2025. Kaum ein Thema hat die IT-Welt 2025 so stark dominiert wie KI – mit Licht und Schatten. Einer der größten Flops des Jahres ist dabei der massive Stellenabbau, der vielerorts mit dem Verweis auf KI begründet wird. Laut einer Analyse von Surfshark haben weltweit mindestens 200.000 Menschen infolge des KI-Booms ihren Job verloren – vermutlich sind es sogar deutlich mehr. KI: Große Versprechen, bittere Realität Das Groteske daran, betont Manfred Bremmer, Editorial Manager Computerwoche: „Oft sind solche Entlassungsrunden eine Mogelpackung. Teilweise wurden später wieder Mitarbeitende eingestellt, weil sich eben doch nicht alles automatisieren lässt.“ Auch mit Blick auf die Zukunft sei das Vorgehen alles andere als nachhaltig, so Bremmer, weil vor allem Junior-Jobs wegfallen. Einen weiteren KI-spezifischen Flop bringt sein Kollege Tristan Fincken ins Spiel: Cyberkriminelle nutzen KI zunehmend zur Automatisierung von Angriffen. Während Angreifer dadurch schneller und effizienter werden, kämpfen Unternehmen und Sicherheitsverantwortliche häufig mehr mit regulatorischen Vorgaben als mit technischen Lösungen. CIOs bleiben pragmatisch Ein Lichtblick im KI-Bereich hebt Jens Dose, Editor in Chief bei CIO.de, hervor: Trotz vollmundiger KI-Versprechen in den Marketing-Botschaften der Anbieter würden sich viele IT-Verantwortliche weiterhin auf die Basics konzentrieren, nämlich Datenqualität, Datensichtbarkeit, stabile Prozesse und belastbare Infrastrukturen. Auch innovatives Change-Management im KI-Kontext sticht aus seiner Sicht positiv hervor – etwa beim Schweizer TK-Anbieter Mobilezone, der KI-Agenten nicht wie Software, sondern wie neue Mitarbeiter behandelt. Digitale Souveränität zwischen Anspruch und Wirklichkeit Das Thema digitale Souveränität bleibt 2025 ambivalent. Positiv bewertet Computerwoche-Redakteur Jürgen Hill etwa das Rennen um KI-Gigafactories in Europa. So investiere Schwarz IT elf Milliarden Euro in ein Rechenzentrum, um eine souveräne Alternative zu US-Hyperscalern zu schaffen. Auch die Gründung eines Digitalministeriums soll die Digitalisierungsbemühungen von Bund und Ländern besser koordinieren – wenngleich Hill angesichts des geplanten Etats seine Zweifel an der Effektivität der Behörde hat. Als Vorzeigeprojekt in Sachen Digitale Souveränität gilt Schleswig-Holstein: Das Bundesland setzt in der Landesverwaltung konsequent auf Open Source und verabschiedet sich schrittweise von Microsoft. Ab 2026 sollen so jährlich über 15 Millionen Euro an Lizenzkosten eingespart und gleichzeitig Abhängigkeiten von Tech-Giganten reduziert werden. Demgegenüber steht ein deutlicher Flop im FreistaatBayern. Dieser plant, sich langfristig an Microsoft 365 zu binden. Kostenpunkt: fast eine Milliarde Euro über fünf Jahre. Security: Lichtblicke trotz regulatorischem Chaos Im Bereich IT-Sicherheit fällt die Bilanz gemischt aus, urteilt Julia Mutzbauer, Editorial Manager bei der CSO. So sollte NIS2 eigentlich EU-weit für einheitliche Standards sorgen, sorgt in der Praxis aber für Verunsicherung: Unterschiedliche nationale Umsetzungen, unklare Zuständigkeiten und abgeschwächte Vorgaben – etwa beim Schwachstellenmanagement – stießen auf breite Kritik. Gleichzeitig gebe es aber in 2025 auch Erfolge zu vermelden, betont sie. Internationale Ermittlungen hätten zur Zerschlagung der Ransomware-Gruppe 8Base, zur Abschaltung krimineller Infrastrukturen im Rahmen der Operation Endgame sowie zur Stilllegung gefährlicher Malware geführt. Auch mit der Operation „Olympia“ wurde eine große Geldwäsche-Plattform vom Netz genommen. Angesichts dieser vielfältigen Entwicklungen bleibt mit Spannung zu erwarten, was 2026 in der IT-Welt passieren wird. Wir wünschen frohe Feiertage und halten Sie auch im neuen Jahr auf unseren Kanälen auf dem Laufenden! View the full article
  15. abdullah Ghashqeen – Shutterstock Ein turbulentes Jahr 2025 neigt sich dem Ende zu. Es war geprägt von wirtschaftlicher Unsicherheit, geopolitischen Spannungen und dem ungebremsten Siegeszug der Künstlichen Intelligenz. Grund genug für die Redaktion von Computerwoche, CIO und CSO, in der letzten TechTalk-Podcast-Folge des Jahres Bilanz zu ziehen. Im Fokus: Die IT-Tops und -Flops 2025. Kaum ein Thema hat die IT-Welt 2025 so stark dominiert wie KI – mit Licht und Schatten. Einer der größten Flops des Jahres ist dabei der massive Stellenabbau, der vielerorts mit dem Verweis auf KI begründet wird. Laut einer Analyse von Surfshark haben weltweit mindestens 200.000 Menschen infolge des KI-Booms ihren Job verloren – vermutlich sind es sogar deutlich mehr. KI: Große Versprechen, bittere Realität Das Groteske daran, betont Manfred Bremmer, Editorial Manager Computerwoche: „Oft sind solche Entlassungsrunden eine Mogelpackung. Teilweise wurden später wieder Mitarbeitende eingestellt, weil sich eben doch nicht alles automatisieren lässt.“ Auch mit Blick auf die Zukunft sei das Vorgehen alles andere als nachhaltig, so Bremmer, weil vor allem Junior-Jobs wegfallen. Einen weiteren KI-spezifischen Flop bringt sein Kollege Tristan Fincken ins Spiel: Cyberkriminelle nutzen KI zunehmend zur Automatisierung von Angriffen. Während Angreifer dadurch schneller und effizienter werden, kämpfen Unternehmen und Sicherheitsverantwortliche häufig mehr mit regulatorischen Vorgaben als mit technischen Lösungen. CIOs bleiben pragmatisch Ein Lichtblick im KI-Bereich hebt Jens Dose, Editor in Chief bei CIO.de, hervor: Trotz vollmundiger KI-Versprechen in den Marketing-Botschaften der Anbieter würden sich viele IT-Verantwortliche weiterhin auf die Basics konzentrieren, nämlich Datenqualität, Datensichtbarkeit, stabile Prozesse und belastbare Infrastrukturen. Auch innovatives Change-Management im KI-Kontext sticht aus seiner Sicht positiv hervor – etwa beim Schweizer TK-Anbieter Mobilezone, der KI-Agenten nicht wie Software, sondern wie neue Mitarbeiter behandelt. Digitale Souveränität zwischen Anspruch und Wirklichkeit Das Thema digitale Souveränität bleibt 2025 ambivalent. Positiv bewertet Computerwoche-Redakteur Jürgen Hill etwa das Rennen um KI-Gigafactories in Europa. So investiere Schwarz IT elf Milliarden Euro in ein Rechenzentrum, um eine souveräne Alternative zu US-Hyperscalern zu schaffen. Auch die Gründung eines Digitalministeriums soll die Digitalisierungsbemühungen von Bund und Ländern besser koordinieren – wenngleich Hill angesichts des geplanten Etats seine Zweifel an der Effektivität der Behörde hat. Als Vorzeigeprojekt in Sachen Digitale Souveränität gilt Schleswig-Holstein: Das Bundesland setzt in der Landesverwaltung konsequent auf Open Source und verabschiedet sich schrittweise von Microsoft. Ab 2026 sollen so jährlich über 15 Millionen Euro an Lizenzkosten eingespart und gleichzeitig Abhängigkeiten von Tech-Giganten reduziert werden. Demgegenüber steht ein deutlicher Flop im FreistaatBayern. Dieser plant, sich langfristig an Microsoft 365 zu binden. Kostenpunkt: fast eine Milliarde Euro über fünf Jahre. Security: Lichtblicke trotz regulatorischem Chaos Im Bereich IT-Sicherheit fällt die Bilanz gemischt aus, urteilt Julia Mutzbauer, Editorial Manager bei der CSO. So sollte NIS2 eigentlich EU-weit für einheitliche Standards sorgen, sorgt in der Praxis aber für Verunsicherung: Unterschiedliche nationale Umsetzungen, unklare Zuständigkeiten und abgeschwächte Vorgaben – etwa beim Schwachstellenmanagement – stießen auf breite Kritik. Gleichzeitig gebe es aber in 2025 auch Erfolge zu vermelden, betont sie. Internationale Ermittlungen hätten zur Zerschlagung der Ransomware-Gruppe 8Base, zur Abschaltung krimineller Infrastrukturen im Rahmen der Operation Endgame sowie zur Stilllegung gefährlicher Malware geführt. Auch mit der Operation „Olympia“ wurde eine große Geldwäsche-Plattform vom Netz genommen. Angesichts dieser vielfältigen Entwicklungen bleibt mit Spannung zu erwarten, was 2026 in der IT-Welt passieren wird. Wir wünschen frohe Feiertage und halten Sie auch im neuen Jahr auf unseren Kanälen auf dem Laufenden! width="100%" height="152" frameborder="0" allowfullscreen allow="autoplay; clipboard-write; encrypted-media; fullscreen; picture-in-picture" loading="lazy" src="https://open.spotify.com/embed/episode/4gZLpXaoXCrmXQsaNnNNUA?utm_source=oembed"> View the full article
  16. abdullah Ghashqeen – Shutterstock Ein turbulentes Jahr 2025 neigt sich dem Ende zu. Es war geprägt von wirtschaftlicher Unsicherheit, geopolitischen Spannungen und dem ungebremsten Siegeszug der Künstlichen Intelligenz. Grund genug für die Redaktion von Computerwoche, CIO und CSO, in der letzten TechTalk-Podcast-Folge des Jahres Bilanz zu ziehen. Im Fokus: Die IT-Tops und -Flops 2025. Kaum ein Thema hat die IT-Welt 2025 so stark dominiert wie KI – mit Licht und Schatten. Einer der größten Flops des Jahres ist dabei der massive Stellenabbau, der vielerorts mit dem Verweis auf KI begründet wird. Laut einer Analyse von Surfshark haben weltweit mindestens 200.000 Menschen infolge des KI-Booms ihren Job verloren – vermutlich sind es sogar deutlich mehr. KI: Große Versprechen, bittere Realität Das Groteske daran, betont Manfred Bremmer, Editorial Manager Computerwoche: „Oft sind solche Entlassungsrunden eine Mogelpackung. Teilweise wurden später wieder Mitarbeitende eingestellt, weil sich eben doch nicht alles automatisieren lässt.“ Auch mit Blick auf die Zukunft sei das Vorgehen alles andere als nachhaltig, so Bremmer, weil vor allem Junior-Jobs wegfallen. Einen weiteren KI-spezifischen Flop bringt sein Kollege Tristan Fincken ins Spiel: Cyberkriminelle nutzen KI zunehmend zur Automatisierung von Angriffen. Während Angreifer dadurch schneller und effizienter werden, kämpfen Unternehmen und Sicherheitsverantwortliche häufig mehr mit regulatorischen Vorgaben als mit technischen Lösungen. CIOs bleiben pragmatisch Ein Lichtblick im KI-Bereich hebt Jens Dose, Editor in Chief bei CIO.de, hervor: Trotz vollmundiger KI-Versprechen in den Marketing-Botschaften der Anbieter würden sich viele IT-Verantwortliche weiterhin auf die Basics konzentrieren, nämlich Datenqualität, Datensichtbarkeit, stabile Prozesse und belastbare Infrastrukturen. Auch innovatives Change-Management im KI-Kontext sticht aus seiner Sicht positiv hervor – etwa beim Schweizer TK-Anbieter Mobilezone, der KI-Agenten nicht wie Software, sondern wie neue Mitarbeiter behandelt. Digitale Souveränität zwischen Anspruch und Wirklichkeit Das Thema digitale Souveränität bleibt 2025 ambivalent. Positiv bewertet Computerwoche-Redakteur Jürgen Hill etwa das Rennen um KI-Gigafactories in Europa. So investiere Schwarz IT elf Milliarden Euro in ein Rechenzentrum, um eine souveräne Alternative zu US-Hyperscalern zu schaffen. Auch die Gründung eines Digitalministeriums soll die Digitalisierungsbemühungen von Bund und Ländern besser koordinieren – wenngleich Hill angesichts des geplanten Etats seine Zweifel an der Effektivität der Behörde hat. Als Vorzeigeprojekt in Sachen Digitale Souveränität gilt Schleswig-Holstein: Das Bundesland setzt in der Landesverwaltung konsequent auf Open Source und verabschiedet sich schrittweise von Microsoft. Ab 2026 sollen so jährlich über 15 Millionen Euro an Lizenzkosten eingespart und gleichzeitig Abhängigkeiten von Tech-Giganten reduziert werden. Demgegenüber steht ein deutlicher Flop im FreistaatBayern. Dieser plant, sich langfristig an Microsoft 365 zu binden. Kostenpunkt: fast eine Milliarde Euro über fünf Jahre. Security: Lichtblicke trotz regulatorischem Chaos Im Bereich IT-Sicherheit fällt die Bilanz gemischt aus, urteilt Julia Mutzbauer, Editorial Manager bei der CSO. So sollte NIS2 eigentlich EU-weit für einheitliche Standards sorgen, sorgt in der Praxis aber für Verunsicherung: Unterschiedliche nationale Umsetzungen, unklare Zuständigkeiten und abgeschwächte Vorgaben – etwa beim Schwachstellenmanagement – stießen auf breite Kritik. Gleichzeitig gebe es aber in 2025 auch Erfolge zu vermelden, betont sie. Internationale Ermittlungen hätten zur Zerschlagung der Ransomware-Gruppe 8Base, zur Abschaltung krimineller Infrastrukturen im Rahmen der Operation Endgame sowie zur Stilllegung gefährlicher Malware geführt. Auch mit der Operation „Olympia“ wurde eine große Geldwäsche-Plattform vom Netz genommen. Angesichts dieser vielfältigen Entwicklungen bleibt mit Spannung zu erwarten, was 2026 in der IT-Welt passieren wird. Wir wünschen frohe Feiertage und halten Sie auch im neuen Jahr auf unseren Kanälen auf dem Laufenden! width="100%" height="152" frameborder="0" allowfullscreen allow="autoplay; clipboard-write; encrypted-media; fullscreen; picture-in-picture" loading="lazy" src="https://open.spotify.com/embed/episode/4gZLpXaoXCrmXQsaNnNNUA?utm_source=oembed"> View the full article
  17. A warning for WhatsApp users: cybercriminals have discovered an alarmingly simple way to access a user’s conversations in real time by manipulating the app’s device pairing or linking routine. Termed ‘GhostPairing’ by researchers at security company Gen Digital (owner of Norton, Avast, Avira, and AVG), no passwords or account details are needed to execute the attack, which was recently detected in Czechia. All the attacker has to do is persuade a user to click on a malicious link sent to them as a WhatsApp message purporting to reveal a Facebook photo. In the most common variant of the attack, this throws up a fake page which asks the user to verify themselves by entering their mobile number. This number is then forwarded by the attackers to WhatsApp to initiate the ‘link device via phone number’ feature which adds new devices to an account. WhatsApp generates an 8-digit pairing code, which is intercepted and forwarded to the user. The user, who sees a new pairing prompt in WhatsApp, enters this code to confirm the pairing. Unfortunately, this adds the attacker’s browser session as a ‘trusted device.’ Unless the user becomes suspicious, it’s game over: the attacker now has full access to their account, messages, and message history, as well as the ability to view messages as they are sent and received. “After their device is linked, the attacker does not need to exploit anything else. They have the same capabilities that any user has when connecting WhatsApp Web on their own computer,” said Gen Digital’s researchers. “Everything happens inside the boundaries of the feature set that WhatsApp intended.” Worse, the attackers can also send messages that impersonate the user to spread the campaign to the victim’s contacts and WhatsApp groups. E2EE bypass GhostPairing is an example of an attack that exploits one of WhatsApp’s biggest draws: signing up, connecting to other users, and adding up to four additional devices to an account is incredibly convenient. It’s one reason why WhatsApp has become so popular. All users need to join is a phone number, with no username or password to remember. Another draw is that the app is built on end-to-end encryption (E2EE) privacy in which the private keys used to secure messages are stored on the device itself. This should make it impossible to eavesdrop on private messages without either having physical access to the device or remotely infecting it with malware. GhostPairing demonstrates that a social engineering attack can bypass this. Interestingly, although still possible, the attack is less practical when asking users to pair via QR codes. That offers some reassurance for users of messaging apps such as Signal, which only allows pairing requests via QR Codes. Defending WhatsApp Users can check which devices are paired via WhatsApp via Settings > Linked Devices. A rogue device link will appear here. Despite having access to a user’s WhatsApp account, the attacker can’t revoke their device access, which must be initiated by the primary device. Another tip is to enable two-step PIN verification. This won’t stop the attacker accessing messages but will mean they can’t change the primary email address. The threat to enterprises is that large numbers of employees use WhatsApp as well as communicating in larger employee discussion groups. The risk is that many of these won’t be documented and will therefore be overlooked by security teams. The recommendation is to assume that multiple groups do exist and educate users to report suspicious phishing or spam from unknown numbers. The message should be clear: WhatsApp messaging might look private, but the app itself has gaps that attackers can exploit. GhostPairing comes only weeks after university researchers uncovered a major WhatsApp flaw that allowed them to discover the mobile numbers of the app’s 3.5 billion global user base. Earlier this year, Meta discovered a weakness in the WhatsApp Desktop app that could be used to target Windows users. And it’s not only WhatsApp; researchers recently uncovered a hack affecting the company that created a modified version of Signal for use by senior US politicians. View the full article

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.