Der Mensch ist Schicht 8 des ISO-OSI-Modells, das mit dem Application Layer endet. Keine Firewall schützt ihn. Kein Patch schließt seine Schwachstellen. Und genau deshalb ist er das bevorzugte Einfallstor für professionelle Angreifer:innen.

Laut dem Verizon Data Breach Investigations Report ist menschliches Verhalten in rund 68 Prozent aller erfolgreichen Sicherheitsvorfälle ein entscheidender Faktor. Der Mensch wird nicht angegriffen, weil Technik fehlt. Er wird angegriffen, weil er reagiert. Weil er hilft. Weil er Autorität respektiert. Weil er unter Zeitdruck entscheidet. All das sind keine Fehler, das sind menschliche Eigenschaften, die Angreifer:innen gezielt ausnutzen.

Eine Sicherheitsstrategie, die auf technische Maßnahmen reduziert bleibt, baut auf einem Fundament mit einer bekannten, unbehobenen Lücke.

Wie Social Engineering funktioniert und warum es so effektiv ist

Social Engineering bezeichnet die gezielte Manipulation von Menschen, um sie zu Handlungen zu bewegen, die sie andernfalls nicht ausführen würden. Das Prinzip ist so alt wie Betrug selbst. Die Umsetzung hat sich professionalisiert.

Angreifer:innen nutzen eine Handvoll psychologischer Mechanismen, die in der Verhaltenspsychologie gut dokumentiert sind. Autorität: Eine E-Mail im Namen der Geschäftsführung löst andere Reaktionen aus als eine von einem Unbekannten. Dringlichkeit: Wer in 10 Minuten handeln muss, prüft nicht mehr kritisch. Vertrauen durch Kontext: Eine Nachricht, die auf ein laufendes Projekt Bezug nimmt, wirkt legitim. Reziprozität: Wer etwas bekommt, gibt leichter.

Ein konkretes Beispiel zeigt die Wirkung: Der Automobilzulieferer Leoni AG verlor 2016 über 40 Millionen Euro, weil eine Mitarbeiterin auf eine CEO-Fraud-E-Mail hereinfiel, also eine gefälschte Anfrage der Geschäftsführung. Kein Schadcode, kein Exploit. Nur eine gut formulierte E-Mail und ein Vorgang, der ungeprüft ausgeführt wurde.

KI hat diese Angriffsmethodik in den letzten zwei Jahren qualitativ verändert. Sprachmodelle generieren fehlerfreie, kontextsensitive Phishing-Mails in Sekunden, personalisiert auf Basis öffentlich verfügbarer Informationen über Zielpersonen. Deepfake-Sprachnachrichten imitieren Vorgesetzte. Die Hürde für überzeugend gemachte Social-Engineering-Angriffe ist gesunken.

Warum einmalige Schulungen nicht wirken

Einmal im Jahr ein Pflichttraining absolvieren und anschließend eine E-Mail-Bestätigung versenden: Dieses Modell ist in vielen Unternehmen noch Standard. Es erfüllt formal eine Anforderung. Es verändert kein Verhalten. Das Problem liegt in der Lernpsychologie. Wissen, das nicht aktiviert wird, verblasst. Handlungssicherheit entsteht durch Wiederholung, durch das Erleben von Situationen, und durch unmittelbares Feedback. Ein einmaliges Webinar über Phishing-Erkennung schafft das nicht.

Hinzu kommt: Angriffe werden nicht seltener, sondern häufiger. Wer seine Mitarbeitenden einmal im Jahr sensibilisiert, schickt sie elf Monate unvorbereitet ins Feld.

Studien zeigen, dass Klickraten bei simulierten Phishing-Mails mit kontinuierlichem Training von rund 34 Prozent auf etwa 5 Prozent sinken können. Der Effekt entsteht nicht durch Information, sondern durch das wiederholte Erleben, Erkennen und Melden von Angriffen in einer sicheren Trainingsumgebung.

Was wirksame Security Awareness ausmacht

Drei Eigenschaften unterscheiden Awareness-Programme, die Verhalten verändern, von solchen, die Compliance-Boxen abhaken.

Security Awareness als regulatorische Pflicht

NIS2 und ISO 27001 sind keine optionalen Rahmenbedingungen mehr für die meisten Unternehmen im DACH-Raum.

ISO 27001 verlangt in Annex A, Kontrolle 6.3, ausdrücklich ein Awareness-Programm für alle Mitarbeitenden, das relevante Bedrohungen und Verhaltenserwartungen adressiert. Kein zertifizierter ISMS-Betrieb ohne nachgewiesene Schulungsmaßnahmen.

NIS2, umgesetzt im deutschen NIS2UmsuCG, fordert in Artikel 21 Maßnahmen zur Sensibilisierung der Mitarbeitenden als expliziten Bestandteil des Risikokonzepts. Betreiber wesentlicher und wichtiger Einrichtungen, und das sind nach NIS2 deutlich mehr Organisationen als nach der Vorgängerrichtlinie, müssen Awareness-Maßnahmen nachweislich umsetzen und dokumentieren.

Wer Security Awareness nur als Nice-to-Have behandelt, riskiert damit nicht nur Sicherheitsvorfälle, sondern auch Compliance-Lücken mit regulatorischen Konsequenzen.

Fazit

Kein Unternehmen ist zu klein, um Ziel von Social Engineering zu sein. Und kein technisches Schutzkonzept ist vollständig, solange der menschliche Faktor unbehandelt bleibt. Wer Security Awareness kontinuierlich, verhaltenspsychologisch fundiert und messbar umsetzt, reduziert seine Klickrate nachweislich, erfüllt NIS2- und ISO-27001-Anforderungen mit auditfähiger Evidenz, und macht aus dem schwächsten Glied der Sicherheitskette eine aktive Verteidigungslinie.

Schicht 8 lässt sich nicht patchen. Sie lässt sich trainieren.

Timm Börgers ist Managing Partner & Trusted Advisor bei carmasec und treibt das Thema Corporate Social Responsibility mit persönlichem Einsatz voran. Im persönlichen Interview spricht er darüber, was ihn antreibt, was carmasec bereits bewegt hat und wo die Reise hingeht.

Wie bist du zu carmasec gekommen?

Ich habe zunächst eine Ausbildung zum Fachinformatiker und anschließend ein Bachelorstudium der IT-Sicherheit an der Ruhr-Universität Bochum absolviert . Danach war ich zunächst freiberuflich als Cyber Security Consultant tätig, bevor ich mich 2020 entschied, carmasec zukünftig als Managing Partner zu unterstützen. Mein Ziel ist es, carmasec als modernen und attraktiven Arbeitgeber zu positionieren. Mir ist vor allem wichtig, dass sich unsere Kolleg:innen langfristig wohlfühlen, motiviert arbeiten können und persönliche Wertschätzung erfahren.

Du hast dir das Thema Corporate Social Responsibility auf die Fahnen geschrieben und engagierst dich bei carmasec stark für das Thema. Was treibt dich hierbei an?

Das Engagement für Gesellschaft und Umwelt ist ein wichtiger Teil der Unternehmensphilosophie von carmasec und genießt bei mir hohe Priorität. Deshalb kümmere ich mich persönlich um das Thema Corporate Social Responsibility. Ich werde dabei von einem schlagkräftiges Team unterstützt, unter anderem bei der Planung und Umsetzung von Maßnahmen. In den vergangenen zwei Jahren haben wir bereits eine große Müllsammel-Aktion durchgeführt und die Kölner Tafel unterstützt. Mein Ziel: Ich will mit einem stetig wachsenden Unternehmen immer mehr bewegen können. Für die Zukunft wünsche ich mir, dass carmasec CO2-neutral wird und dass wir langfristige Kooperationspartner für größere Aktionen finden.

Danke für das Interview!

Das Ausgangsproblem: OT wurde nicht für Vernetzung gebaut

Operational Technology in der Energieversorgung, in Wasserwerken, in der Verkehrsinfrastruktur oder im Gesundheitswesen hat einen grundlegenden Konstruktionsfehler aus heutiger Perspektive: Sie wurde für Verfügbarkeit und Prozessstabilität entwickelt, nicht für Sicherheit gegen Cyberangriffe. Steuerungssysteme auf Basis proprietärer Protokolle wie Modbus, Profibus oder DNP3 liefen jahrzehntelang in physisch isolierten Umgebungen. Der sogenannte Air Gap, die physische Trennung vom Internet, war das primäre Sicherheitskonzept.

Diese Isolation existiert in der Form nicht mehr. Die zunehmende IT/OT-Konvergenz, ausgelöst durch Fernwartungsanforderungen, Effizienzprogramme und die Integration von Smart Grid, SCADA und industriellen IoT-Komponenten, hat die Grenzen aufgelöst. Was früher eine Produktionsinsel war, ist heute über ZTNA-Gateways, Cloud-Backends und Wartungs-VPNs mit der Außenwelt verbunden. Und damit angreifbar.

Das Purdue Enterprise Reference Architecture Model (PERA), lange Zeit der konzeptuelle Rahmen für OT-Sicherheit, beschreibt eine klare Zonierung in Ebenen: von der Feldgeräteebene über die Steuerungsebene bis hin zur Unternehmens-IT. Theorie und Praxis klaffen hier weit auseinander. In der Praxis überspringen Wartungszugänge, Remote-Dienste und Datenintegrationspfade diese Zonen. Angreifer:innen auch.

Was Zero Trust bedeutet und wo der Begriff herkommt

Den Begriff „Zero Trust“ prägte John Kindervag 2010 während seiner Zeit als Analyst bei Forrester Research. Die Kernthese: Kein Gerät, kein Nutzer, keine Verbindung darf allein aufgrund seiner Netzwerklokation als vertrauenswürdig gelten. Weder innerhalb noch außerhalb des Perimeters. Vertrauen muss explizit und kontinuierlich hergestellt werden, nicht implizit vorausgesetzt.

Das National Institute of Standards and Technology (NIST) hat diesen Rahmen 2020 mit der SP 800-207 formalisiert. Drei Kernprinzipien stehen im Zentrum: „Verify explicitly“ bedeutet, dass jede Zugriffsanfrage anhand von Identität, Gerätekontext und Verhalten geprüft wird. „Use least privilege access“ begrenzt Berechtigungen strikt auf das, was für eine Aufgabe erforderlich ist. „Assume breach“ geht davon aus, dass eine Kompromittierung bereits stattgefunden haben kann, und entwirft Architekturen, die laterale Bewegungen innerhalb des Netzwerks verhindern.

Die CISA (Cybersecurity and Infrastructure Security Agency) hat darauf aufbauend ein Zero Trust Maturity Model entwickelt, das fünf Säulen definiert: Identity, Devices, Networks, Applications and Workloads sowie Data. Diese Säulen beschreiben, wo Zero Trust-Kontrollen ansetzt und in welcher Reihenfolge eine Reifegradentwicklung sinnvoll ist.

Warum KRITIS ein besonderes Problem hat

KRITIS-Betreiber stehen vor Einschränkungen, die in der klassischen IT-Welt so nicht vorkommen.

Zero Trust in der OT-Praxis: Was funktioniert und was nicht

Die direkte Übertragung von IT-seitigen Zero Trust-Architekturen auf OT-Umgebungen scheitert in der Regel. Ein Industrieregler kann kein Software-Agenten ausführen. Eine SPS unterstützt keine MFA. Ein SCADA-System toleriert keine Latenzen durch kontinuierliche Authentifizierungsprüfungen, wenn Echtzeitsteuerung erforderlich ist.

Das bedeutet aber nicht, dass Zero Trust-Prinzipien in OT-Umgebungen nicht umsetzbar sind. Es bedeutet, dass die Implementierung angepasst werden muss.

Wie der Einstieg gelingt: risikoorientiert, nicht maximal

Zero Trust ist kein Schalter, den man umlegt. Es ist ein Reifegradprozess. Der häufigste Fehler ist der Versuch, das gesamte Architekturkonzept auf einmal umzusetzen. Das scheitert an Ressourcen, an Legacy-Systemen und an der Komplexität der Abhängigkeiten.

Der richtige Ansatz ist risikobasiert: Welche Assets sind kritisch? Welche Zugänge sind am stärksten exponiert? Welche lateralen Bewegungspfade im Netz wären für Angreifer:innen am lukrativsten? Diese Fragen beantwortet eine strukturierte Risikoanalyse nach BSI IT-Grundschutz oder ISO 27001. Auf Basis dieser Antworten lässt sich eine Zero Trust-Roadmap entwickeln, die mit den wirkungsvollsten Maßnahmen beginnt und sukzessive ausbaut.

Das CISA Zero Trust Maturity Model beschreibt fünf Entwicklungsstufen je Säule: Traditional, Initial, Advanced, Optimal. Kein KRITIS-Betreiber muss auf Anhieb „Optimal“ erreichen. Ein klar definierter Ausgangszustand und ein realistischer Zielpfad sind wertvoller als eine ambitionierte Architektur, die in der Umsetzung steckenbleibt.

Fazit

Zero Trust für KRITIS ist kein Projekt, das du abschließt. Es ist eine Haltung gegenüber Sicherheit, die du in Architekturentscheidungen, Betriebsprozesse und Beschaffungsstrategien einbettest. Wer heute damit beginnt, gewinnt drei Dinge gleichzeitig: eine deutlich reduzierte Angriffsfläche durch Mikrosegmentierung und granulare Zugriffskontrollen, eine nachweisbare Erfüllung der NIS2-Anforderungen mit auditfähiger Evidenz, und die operative Sicherheit, dass ein erfolgreicher Einbruch in eine Teilinfrastruktur nicht zur vollständigen Kompromittierung der Gesamtanlage führt.

Sicherheit entsteht nicht durch den perfekten Perimeter. Sie entsteht durch die Annahme, dass der Perimeter bereits gefallen ist, und durch Architekturen, die genau darauf ausgelegt sind.

Der CRA verändert die Anforderungen an digitale Produkte tiefgreifend. Welche Pflichten auf Hersteller zukommen, erfährst du hier kompakt zusammengefasst.

Wen betrifft er und warum fast jedes Produkt dazugehört

Der EU Cyber Resilience Act betrifft alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Auch Unternehmen außerhalb der EU, die Produkte auf dem europäischen Markt vertreiben wollen, sind verpflichtet, den CRA zu erfüllen.

Bei kommerziellem Einsatz sind auch Open-Source-Produkte und -komponenten betroffen. Der CRA gilt für alle Produkte, die nach seinem Inkrafttreten auf dem EU-Markt in Verkehr gebracht werden. Bereits zuvor in Umlauf gebrachte Produkte sind nicht betroffen, solange keine wesentlichen Änderungen vorgenommen werden.

Explizit ausgenommen vom Anwendungsbereich

• Kraftfahrzeuge, Kraftfahrzeugteile, Luftfahrzeuge und deren Bestandteile
• Medizinische Geräte
• Produkte für die nationale Sicherheit / Militär
• Produkte für die Verarbeitung von Verschlusssachen

Fakten auf einen Blick

• Verabschiedung: 13. März 2024 durch das Europäische Parlament
• Inkrafttreten: 10. Dezember 2024 (anschließend 36 Monate Übergangsfrist)
• Ab 11. September 2026: Meldepflicht für aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle
• Ab 11. Dezember 2027: Alle CRA-Anforderungen für neu in Verkehr gebrachte Produkte verpflichtend
• Rechtsform: EU-Verordnung (direkt verbindlich, ohne nationale Umsetzung)
• Zielsetzung: Einheitliches Mindestniveau an Cybersicherheit für digitale Produkte

Wen betrifft er und warum fast jedes Produkt dazugehört

Der EU Cyber Resilience Act betrifft alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Auch Unternehmen außerhalb der EU, die Produkte auf dem europäischen Markt vertreiben wollen, sind verpflichtet, den CRA zu erfüllen.

Bei kommerziellem Einsatz sind auch Open-Source-Produkte und -komponenten betroffen. Der CRA gilt für alle Produkte, die nach seinem Inkrafttreten auf dem EU-Markt in Verkehr gebracht werden. Bereits zuvor in Umlauf gebrachte Produkte sind nicht betroffen, solange keine wesentlichen Änderungen vorgenommen werden.

Explizit ausgenommen vom Anwendungsbereich

• Kraftfahrzeuge, Kraftfahrzeugteile, Luftfahrzeuge und deren Bestandteile
• Medizinische Geräte
• Produkte für die nationale Sicherheit / Militär
• Produkte für die Verarbeitung von Verschlusssachen

Diese Infrastrukturen brauchst du

Der CRA verlangt Sicherheit entlang des gesamten Produktlebenszyklus. Das gelingt nur, wenn Unternehmen passende Infrastrukturen aufbauen. Sie sichern die Umsetzung technischer und organisatorischer Anforderungen und schaffen die Grundlage für dauerhafte Compliance.

Infrastruktur für Dokumentation und Transparenz

• Erstellung und Pflege einer SBOM (Software Bill of Materials / Software-Stückliste)
• Technische Dokumentation
• Risikoanalysen und Risikomanagement
• Kundeninformationen und Anwendungshinweise
• Meldeprozesse gegenüber Behörden wie der ENISA

Infrastruktur für Schwachstellenmanagement

• Schwachstellen müssen ohne Zeitverzug identifiziert, priorisiert und behoben werden.
• Sicherheitslücken, die von außen gemeldet werden, erfordern eine strukturierte und dokumentierte Reaktion (Incident Response).
• Informationen über behobene Schwachstellen müssen öffentlich nachvollziehbar gemacht werden (Incident Disclosure).
• Sicherheitsupdates müssen sicher, kostenfrei und sofort nach Bereitstellung verfügbar gemacht werden.

Infrastruktur für Sicherheitsprüfungen

• Statische Codeanalyse (SAST)
• Dynamische Tests (DAST)
• Penetrationstests

Infrastruktur für Transparenz und Meldungen

• Bereitstellung klarer Sicherheitsinformationen und Handlungsempfehlungen für Kunden
• Fristgerechte und strukturierte Meldungen an Behörden wie ENISA oder nationale Marktüberwachungsstellen
• Nachvollziehbare und dokumentierte Kommunikationsprozesse für Audit und Nachweisführung

Infrastruktur für Konformitätsbewertung

• Bewertung je nach Risikoklasse
• Selbstbewertung oder externe Prüfung durch notifizierte Stelle
• Nachweis der Konformität und CE-Kennzeichnung

Cyber Resilience Act umsetzen: Diese Schritte sind jetzt wichtig

Die Anforderungen des Cyber Resilience Act sind umfangreich. Mit einem strukturierten Vorgehen lassen sie sich klar priorisieren und umsetzen. Wichtig ist, früh zu klären, welche Produkte betroffen sind, welche Lücken bestehen und welche Maßnahmen notwendig sind. carmasec begleitet Unternehmen entlang des gesamten Prozesses von der Analyse bis zur Umsetzung sicherheitsrelevanter Maßnahmen.

Fazit

Der Cyber Resilience Act ist kein regulatorisches Randthema. Er verändert, wie digitale Produkte entwickelt, dokumentiert und auf den Markt gebracht werden. Wer bis Dezember 2027 nicht vorbereitet ist, verliert den Zugang zum EU-Markt. Das ist keine Drohkulisse, das ist Verordnungstext.

Die gute Nachricht: Die Anforderungen sind planbar. Betroffenheit analysieren, Lücken schließen, Prozesse aufbauen. Wer früh beginnt, vermeidet Zeitdruck, reduziert Haftungsrisiken und schafft Strukturen, die länger halten als eine Übergangsfrist.

Drei Dinge, die du aus diesem Artikel mitnimmst: Der CRA gilt für fast jedes vernetzte Produkt. Die ersten Pflichten greifen bereits ab September 2026. Und Unternehmen, die Schwachstellenmanagement, SBOM und Security by Design jetzt aufbauen, sind compliant und wettbewerbsfähig.

Quellen: EU-Verordnung 2024/2847 (Cyber Resilience Act), Amtsblatt der Europäischen Union, 20. November 2024, BSI TR-03183 Technische Richtlinie Cyber Resilience Requirements, Bundesamt fur Sicherheit in der Informationstechnik, BSI: Cyber Resilience Act, bsi.bund.de/CRA, Europäische Kommission: Cyber Resilience Act, digital-strategy.ec.europa.eu

Passwörter sind bis heute die am weitesten verbreitete Methode zum Schutz digitaler Zugänge. Doch in der heutigen Zeit werden sie zunehmend zur Schwachstelle: Phishing, Datenlecks, Brute-Force-Angriffe und die Wiederverwendung von Passwörtern lassen herkömmliche Authentifizierungssysteme immer mehr zum Sicherheitsrisiko werden.

Passwörter stellen zudem eine organisatorische Belastung dar – von den wiederkehrenden IT-Support-Anfragen bis hin zur Durchsetzung komplexer Passwort-Richtlinien und dem aufwändigen Einsatz von Passwortmanagern.

Mehr Sicherheit, mehr Komfort: Deshalb sind Passkeys die bessere Wahl für dein Unternehmen

Passkeys gewinnen als sichere und komfortable Alternative zu klassischen Passwörtern zunehmend an Popularität. Sie werden von großen Technologieplattformen wie Google, Apple und Microsoft aktiv unterstützt und auch immer mehr SaaS-Lösungen und Business-Tools integrieren Passkeys nativ in ihre Anwendungen. Prognosen gehen davon aus, dass Passkeys in den nächsten Jahren zum Standard in der Authentifizierung werden.

Was sind Passkeys und wie funktionieren sie?

Passkeys basieren auf der Public-Key-Kryptografie. Die Technologie ist erprobt und bietet ein hohes Maß an Sicherheit. Anstelle eines Passworts wird ein digitales Schlüsselpaar verwendet:

1. Der private Schlüssel wird sicher auf dem Gerät des Nutzers gespeichert.
2. Der öffentliche Schlüssel verbleibt beim Dienstanbieter.

Bei der Anmeldung erzeugt der Dienstanbieter eine kryptografische Challenge, die mit dem privaten Schlüssel signiert wird. Der öffentliche Schlüssel überprüft die Signatur und gewährt bei Übereinstimmung den Zugriff.

Warum sind Passkeys sicherer als herkömmliche Passwörter?

• Keine zentrale Speicherung: Passkeys eliminieren das Risiko von Datenlecks, da sensible Informationen wie Passwörter nicht in zentralen Datenbanken gespeichert werden müssen.
• Phishing-Resistenz: Selbst wenn Nutzer auf gefälschte Webseiten gelangen, können Passkeys nicht abgefangen oder missbraucht werden.
• Schutz vor Man-in-the-Middle-Angriffen: Die kryptografische Signatur verhindert, dass sich Angreifer zwischen Nutzer und Dienstanbieter schalten können.

Warum sind Passkeys benutzerfreundlicher?

• Kein Passwort merken oder eingeben: Passkeys eliminieren die Notwendigkeit, sich komplexe Passwörter zu merken oder manuell einzugeben, da die Authentifizierung automatisch über das Gerät erfolgt.
• Schnelle und einfache Anmeldung: Die Anmeldung erfolgt über eine biometrische Bestätigung (Gesichtserkennung, Fingerabdruck) oder eine einfache PIN, wodurch der Anmeldevorgang deutlich beschleunigt wird.
• Automatische Synchronisierung: Passkeys werden sicher auf dem Gerät gespeichert und können über vertrauenswürdige Cloud-Dienste plattformübergreifend synchronisiert werden, so dass sie jederzeit verfügbar sind.

Passkeys und Compliance

• DSGVO-Konformität: Passkeys unterstützen Unternehmen bei der Einhaltung der DSGVO, da keine persönlichen Passwörter gespeichert werden.
• Einhaltung von Sicherheitsstandards: Durch den Einsatz von Passkeys werden Standards wie ISO 27001 in den Bereichen Authentifizierung und Zugangskontrolle unterstützt.
• Branchenspezifische Vorteile: Besonders Branchen mit hohen Sicherheitsanforderungen wie der Finanzsektor oder das Gesundheitswesen profitieren von den Sicherheitsvorteilen der Passkeys.

Indem du auf Passkeys wechselst, kannst du Sicherheitsrisiken reduzieren, Kosten senken und den Arbeitsalltag deiner Kolleg:innen vereinfachen.

Du möchtest wissen, wie Passkeys deine IT-Sicherheit verbessern können?

Lass uns drüber sprechen!

Wie kannst du Passkeys erfolgreich in dein Unternehmen integrieren?

Die Einführung von Passkeys erfordert eine durchdachte Strategie, um technische Hürden zu überwinden und die Nutzerakzeptanz zu fördern. Wichtige Aspekte sind dabei:

Technische Integration:
Ältere Systeme unterstützen oft keine passwortlose Authentifizierung. Hier können Middleware-Systeme helfen, Passkeys in bestehende IT-Umgebungen einzubinden. Langfristig empfiehlt sich der Aufbau einer FIDO2-kompatiblen Infrastruktur.

Interoperabilität:
Passkeys müssen auf unterschiedlichen Geräten und Plattformen nahtlos funktionieren. Standards wie FIDO2 und die Unterstützung großer Anbieter erleichtern die Umsetzung.

Nutzerakzeptanz:
Viele Nutzer empfinden den neuen Login-Prozess anfangs als „zu einfach“ und unsicher. Hier hilft eine klare Kommunikation und Aufklärung über die Vorteile von Passkeys, z.B. in Form von regelmäßigen Schulungen.

Backup-Lösungen:
Passkeys sind oft gerätegebunden – Dein Unternehmen sollte hierfür Alternativen bereitstellen. Möglichkeiten hierfür sind Zweitgeräte, Recovery-Codes oder Cloud-Synchronisierung.

Eine Hybridlösung aus Passkeys und klassischen Authentifizierungsverfahren kann den Übergang erleichtern und die Sicherheit schrittweise erhöhen.

Unser Fazit: Passkeys sind ein strategischer Vorteil für dein Unternehmen

Passkeys bieten Unternehmen klare strategische Vorteile in der modernen Authentifizierung:

1. Höhere Sicherheit & Compliance: Passkeys minimieren Cyberrisiken, erleichtern die Einhaltung von Compliance-Vorgaben und schützen Unternehmen vor Cyber-Bedrohungen.
2. Kostensenkung & Effizienz: Weniger Passwort-Resets entlasten den IT-Support, sparen Kosten und steigern die Produktivität, da Mitarbeitende nicht durch vergessene Passwörter ausgebremst werden.
3. Einfache Implementierung ohne zusätzliche Kosten: Passkeys funktionieren mit vorhandener Hardware wie Laptops und Smartphones, so dass keine teuren Hardware- oder Software-Token benötigt werden.

Für IT-Leiter und CISOs ist die Einführung von Passkeys eine strategische Entscheidung, um das Unternehmen langfristig abzusichern. Sie reduzieren Angriffsflächen, verbessern die Benutzerfreundlichkeit und sorgen für eine zukunftssichere Authentifizierungsstrategie.

Ausblick: Die Zukunft ist passwortfrei

Die Entwicklung geht eindeutig in Richtung einer durchgängigen, passwortlosen Identifikation. Unternehmen, die frühzeitig auf Passkeys setzen, profitieren von erhöhter Sicherheit, reduzierten IT-Kosten und einer verbesserten Nutzerfahrung. Passwortlose Accounts werden bald Standard sein – und Passkeys sind der Schlüssel zu dieser Zukunft.

Wie sieht die Passkeys-Strategie für dein Unternehmen aus?

Möchtest du mehr über Passkey und die Integration in deine Systeme wissen?

Lass uns über Deine Anforderungen sprechen.

Die Bewertung von Risiken ist die Grundlage jeder strategischen Entscheidung. Trotzdem erleben wir in vielen Unternehmen, dass IT-Risikomanagement als reine IT-Aufgabe betrachtet wird – ein Fehler, der nicht nur Effizienz kostet, sondern auch das Risiko erhöht, Standards wie ISO 27001, TISAX oder NIS 2 nicht zu erfüllen. IT-Risikomanagement ist ein gesamtorganisatorisches Thema, das alle Abteilungen betrifft und daher von der Geschäftsleitung gesteuert werden muss.

In diesem Artikel stellen wir dir unseren dreistufigen Ansatz zur Implementierung eines IT-Risikomanagements vor und zeigen dir, wie du Risiken systematisch managest und dein Unternehmen nachhaltig absicherst.

Was ist IT-Risikomanagement?

IT-Risikomanagement ist eine Methode, mit der Unternehmen:

• Risiken wie Cyberangriffe, Datenschutzverletzungen oder Systemausfälle systematisch identifizieren, bewerten und behandeln,
• Maßnahmen zur Einhaltung von Standards wie ISO 27001, TISAX, DORA oder NIS 2 priorisieren
• und fundierte Entscheidungen treffen, die IT-Sicherheit und strategische Unternehmensziele verbinden

Die Vorteile eines funktionierenden IT-Risikomanagementsystems

Ein etabliertes IT-Risikomanagementsystem liefert klare Mehrwerte für Unternehmen und Führungskräfte:

• Transparenz: Risiken werden sichtbar und für alle Mitarbeitenden verständlich.
• Entscheidungsfähigkeit: Führungskräfte erhalten eine fundierte Entscheidungsgrundlage.
• Effizienz: Ressourcen werden gezielt eingesetzt, statt durch Aktionismus verschwendet.
• Zukunftssicherheit: Unternehmen werden nicht nur gegen aktuelle Bedrohungen geschützt, sondern auch auf kommende Herausforderungen vorbereitet.

Warum ist IT-Risikomanagement eine Aufgabe für die Chefetage?

Ein IT-Risikomanagementsystem betrifft nicht nur die IT-Abteilung. Die Implementierung ist ein gesamt-organisatorischer Veränderungsprozess, der alle Abteilungen einbezieht und übergreifend verankert werden muss.

Deshalb verankern wir unseren Ansatz im Management:

• Risikomanagement ist nicht nur Aufgabe der Geschäftsleitung als oberstem Risikoträger. Sie muss auf hoher Unternehmensebene angesiedelt sein, um effizient umgesetzt zu werden. Die aus der Risikobeurteilung abgeleiteten Maßnahmen haben oft abteilungsübergreifende Auswirkungen. Diese können nicht von einer Abteilung allein gelöst werden.
• Die Einführung eines IT-Risikomanagements ist nur dann erfolgreich, wenn sie die unternehmensspezifische Kultur berücksichtigt.
• Standards wie ISO 27001, TISAX, DORA und NIS 2 fordern klare Verantwortlichkeiten, die auf allen Ebenen des Unternehmens getragen werden.

Ein systematischer IT-Risikomanagementansatz für klare Ergebnisse

Führungskräfte stehen bei der Einführung eines Risikomanagement oft vor drei zentralen Fragen:

Welche Risiken sind für unser Unternehmen relevant? Wie lassen sich diese effizient und nachhaltig bewältigen? Welche Maßnahmen sind zwingend erforderlich und wie priorisieren wir sie?

Bei carmasec setzen wir auf einen dreistufigen Ansatz zur Implementierung eines IT-Risikomanagements. So können wir relevante Risiken frühzeitig identifizieren und gezielt behandeln.

1. Standortbestimmung und Zieldefinition

Im ersten Schritt analysieren wir die aktuelle Situation des Unternehmens:

• Welchen IT-Reifegrad hat das Unternehmen und wie gut ist das bestehende Risikomanagement etabliert?
• Welche Lücken (Gaps) bestehen in Hinblick auf Informationssicherheit und Datenschutz?
• Wo stehen wir in Bezug auf regulatorische Anforderungen?

Im Rahmen eines Workshops entwickeln wir gemeinsam ein Zielbild, das den spezifischen Anforderungen des Unternehmens entspricht.

2. Maßnahmenplan und Priorisierung

Auf Basis der Analyse erstellen wir einen konkreten Umsetzungsplan:

• Welche Risiken haben die höchste Relevanz und wie geht das Unternehmen damit um?
• Welche Maßnahmen sind kurzfristig notwendig, welche langfristig sinnvoll?
• Wie können wir mit minimalem Aufwand maximale Wirkung erzielen?

3. Implementierung und Verstetigung

Nach der Planung folgt die Umsetzung:

• Einführung eines operativen Risikomanagements mit klaren Prozessen und Verantwortlichkeiten.
• Schulungen und Trainings, um das gesamte Team einzubinden.
• Bereitstellung von Tools und Dokumenten wie Risikoregister und Heatmaps, die die Entscheidungsfindung unterstützen.

Unser Ziel ist ein lebendiges Risikomanagement, das nicht nur die IT-Infrastruktur absichert, sondern auch andere Risikofelder wie Enterprise-Risiken oder Chancenmanagement integrieren kann.

Unser Angebot: Maßgeschneiderte Lösungen und Umsetzung auf Augenhöhe

1. Maßgeschneiderte Beratung statt „One Fits All“

• Wir entwickeln für dein Unternehmen ein individuelles Zielbild, das präzise auf deinen spezifischen Anforderungen basiert.
• Unsere Lösungen sind unternehmenskompatibel – wir berücksichtigen die Kultur und Arbeitsweise Deines Unternehmens.

2. Praktische Unterstützung statt reiner Theorie

• Wir hören nicht bei Konzepten auf. Gemeinsam mit dir setzen wir Maßnahmen um und begleiten dich aktiv in der Praxis.

3. Interdisziplinäre Expertise

• Unser Team bringt Fachwissen aus verschiedenen Bereichen ein, um auch komplexe Anforderungen abzudecken.
• Durch unsere skalierbare Teamstruktur können wir dir jederzeit die benötigte Manpower und Expertise anbieten.

4. Von der Beratung bis zur sicheren Umsetzung: Unsere Kernkompetenzen

• Unsere Kernkompetenzen reichen vom Informationssicherheitsmanagement über den Aufbau sicherer IT-Infrastrukturen und Cloud Security bis hin zu Angriffssimulationen und Penetrationstests. Für dein IT-Risikomanagement erarbeiten wir nicht nur die notwendigen Maßnahmen, sondern setzen diese direkt um und testen sie bei Bedarf auf ihre Wirksamkeit.

Fazit: Ein Instrument für verantwortungsvolle Unternehmensführung

IT-Risikomanagement ist weit mehr als ein technisches Werkzeug. Es ist ein strategisches Instrument, das Unternehmen hilft, Sicherheit und Effektivität zu verbinden. Gleichzeitig ermöglicht es Führungskräften, ihrer Verantwortung gerecht zu werden – sei es im Hinblick auf regulatorische Anforderungen, den Schutz der Organisation oder die Vermeidung persönlicher Haftung.

Mit unserem dreistufigen Ansatz fokussieren wir auf die individuellen Anforderungen des Unternehmens – seien es regulatorische Vorgaben oder strategische Entwicklungsziele – und berücksichtigen die individuellen kulturellen Gepflogenheiten des Teams. Wir achten darauf, effiziente Prozesse zu implementieren und erleichtern Deinen Mitarbeitenden die Umstellung auf neue Prozesse mit intensiven Schulungs- und Trainingsmaßnahmen.

Auch in diesem Jahr haben wir fast das gesamte Team eingepackt und sind für eine Woche in die wunderschönen belgischen Ardennen gereist. In unserer kleinen Fotostory erhältst Du einen Eindruck vom tollen Wetter, dem bombastischen Haus und der schönen gemeinsame Zeit mit unseren Kolleg:innen.

Die Idee:
Um frische Ideen zu entwickeln, wechseln wir nicht nur die Perspektive, sondern auch den Arbeitsort. Als logische Weiterentwicklung der Remote-Arbeit haben wir unsere Laptops geschnappt und verbrachten eine Woche in Belgien.

Unser Ziel:
In inspirierender Atmosphäre haben wir fachlichen Austausch mit erholsamen Freizeitaktivitäten und gemütlichen Abenden in der Gruppe kombiniert. Die gesamte Organisation hat das Team wieder selbst übernommen, die Geschäftsführung stellte lediglich die Unterkunft bereit.

Darauf freut sich das Teams:
Dieses Jahr haben wir uns besonders auf den hauseigenen Pool und den Nerfgun-Wettbewerb gefreut. Außerdem haben wir die tiefgehenden Gespräche mit den Kolleg:innen, die bei 100% Remote-Arbeit manchmal zu kurz kommen, sehr genossen.

Wir wünschen Euch viel Spaß mit unserer Bilderstory!

Heute stellen wir unsere Kollegin Josephine Kolodziej vor. Josephine unterstützt uns als Backoffice-Managerin und hat vor kurzem ihre Weiterbildung zur Ausbilderin abgeschlossen. Im Interview haben wir mit ihr über die Erfahrungen mit ihrer ersten Auszubildenden und ihre Zukunftspläne bei carmasec gesprochen.

Du hast vor kurzem eine Ausbildung zur Ausbilderin abgeschlossen. Warum hast du dich dazu entschieden?

Unser Geschäftsführer Timm Börgers hat mich dazu inspiriert. Schon im Vorstellungsgespräch habe ich erwähnt, dass ich in meiner alten Firma auf der Stelle trete. Trotz diverser Schulungen war für mich klar: Ich möchte mich weiterbilden und mein Unternehmen unterstützen. Mein Selbststudium zur Ausbilderin ist für mich ein wichtiger Karriereschritt. Besonders die pädagogischen Themen haben mich begeistert.

Mit Lucena Mai betreust du nun deine erste Auszubildende. Wie gefällt dir deine neue Aufgabe?

Noch vor wenigen Jahren war ich selbst Auszubildende – jetzt gebe ich mein Wissen weiter. Ausbilderin zu sein fühlt sich wie ein zusätzlicher Job an, den ich in meinen Arbeitsalltag integriere. Dabei spielt Struktur für mich eine zentrale Rolle. Ich folge zwar einen Ausbildungsrahmenplan, investiere aber viel eigene Energie in die Gestaltung der Themen und der Zusammenarbeit. Umso mehr freut es mich, zu sehen, dass ich zur positiven Entwicklung meiner Auszubildenden und zu einem freundschaftlichen Miteinander beitrage.

Welche Pläne hast du noch für die Ausbildung?

Lucena soll am Ende ihrer Ausbildung in der Lage sein, mich im Backoffice bei jeder Tätigkeit zu unterstützt und in der Urlaubszeit zu vertreten. Ich wünsche mir, dass sie mit mir als Ausbilderin zufrieden und stolz auf ihren Weg bei carmasec ist. Natürlich widmen wir uns während der Ausbildungszeit auch schwierigeren Themen wie Buchhaltung oder Projektcontrolling. Aber auch das werden wir gemeinsam meistern.

Welche neuen Herausforderungen willst du in den nächsten Jahren angehen, um weiter zu wachsen?

Mein Ziel ist es, mich immer weiterzuentwickeln. Dazu möchte ich noch tiefer in administrative Themen wie das Personalmanagement eintauchen und mich neuen Herausforderungen stellen. Ich kann mir gut vorstellen, noch einen weiteren Auszubildenden zu übernehmen oder auch mal in die Rolle des Team Leads zu schlüpfen. Vor allem ist es mir wichtig, gemeinsam mit dem Unternehmen zu wachsen und mehr Verantwortung zu übernehmen. Dabei möchte ich auch andere zu motivieren sich weiterzuentwickeln.

Wir danken dir für dieses Interview.

Du hast Lust, unser Team zu verstärken?

Weitere Informationen zum Arbeiten bei carmasec findest du hier.

Bei carmasec stehen Offenheit und Innovation im Mittelpunkt. Der carmasec Open Friday ist unser Format, um genau das zu fördern: eine spontan organisierte Veranstaltung, bei der alle Kolleg:innen die Möglichkeit haben, neue Ideen auszutauschen, Wissen zu teilen und gemeinsam an Lösungen zu arbeiten. Alles abteilungsübergreifend und in einer entspannten Atmosphäre.

Unsere Prinzipien für den Open Friday

• Alles ist freiwillig: Jeder kann ein Thema einbringen, jeder kann teilnehmen oder auch nicht.
• Die richtigen Leute sind da: Ob eine oder zwanzig Personen teilnehmen, spielt keine Rolle. Alle, die da sind, bringen wertvolle Perspektiven mit.
• Das Gesetz der zwei Füße: Du bleibst nur so lange in einer Session, wie sie für dich sinnvoll ist und kannst jederzeit wechseln.
• Ungeplantes ist willkommen: Gerade spontane Ideen führen oft zu den besten Ergebnissen.

Unser Team besteht aus vielen unterschiedlichen Charakteren mit spannenden Karrierewegen. Heute stellen wir Euch unsere Kollegin Stefanie Koß vor. Im Interview sprachen wir mit dem Multitalent über ihren Karriereweg, den Wechsel aus der Wissenschaft in die Beratung und fragten, was sie antreibt.

Generell interessierte ich mich dafür, wie Dinge funktionieren. In letzter Zeit habe ich mich mehr mit dem Küchenbau beschäftigt. Ich hatte immer mehr Ideen, wie die Küche besser nach meinen Wünschen gebaut werden könnte und wollte diese auch selbst umsetzen können. Ähnlich verhält es sich mit meinem Fahrrad, das ich gerne als Fortbewegungsmittel benutze und gelegentlich reparieren muss. Außerdem spiele ich sehr gerne Gesellschaftsspiele mit meinen Freund:innen und singe gerne im Chor.

Wie bist du zur IT-Sicherheit gekommen?

Eigentlich durch einen Zufall. Ich habe mein Informatikstudium in Aachen mit einem Master abgeschlossen. Während des Studiums habe ich mich hauptsächlich mit Themen der theoretischen Informatik beschäftigt. Meinen ersten Kontakt zur IT-Sicherheit hatte ich während eines Auslandssemesters in Edinburgh. Dort belegte ich das Fach Computer Security. Besonders begeisterten mich die vielen praktischen Übungen. Nach dem Studium nahm ich zunächst eine Stelle am Fraunhofer-Institut für Sichere Informationstechnologie an. Dort arbeitete ich unter anderem an der Weiterentwicklung und Optimierung eines Schwachstellenscanners, der mittels statischer Analyse Sicherheitslücken in Android-Apps und Java-Anwendungen findet – mein Interesse an der IT-Security war geweckt.

Was hat dich dazu bewogen in die Industrie zu gehen?

Ich wollte neue Erfahrungen sammeln, vor allem eigene Projekte entwickeln und mit unterschiedlichen Menschen zusammenarbeiten. Am Anfang wusste ich nicht genau, in welche Richtung ich gehen wollte. Ich konnte mir mehrere Möglichkeiten vorstellen: Softwareentwicklerin, etwas explizit mit IT-Sicherheit oder sogar eine Lehrtätigkeit.

Wie hast du deine Entscheidung schlussendlich getroffen?

Ich habe mich im Internet informiert und bin auf den Beruf des Consultant gestoßen. Das hat mir sofort gefallen, weil ich an verschiedenen Kundenprojekten arbeiten und unterschiedliche Branchen kennenlernen kann. Außerdem suchte ich einen Job, den ich mit meinem Interesse für IT-Sicherheit und Projektmanagement verbinden konnte.

Wieso hast du dich für die carmasec entschieden?

Bei carmasec kann ich mich nach meinen Wünschen weiterentwickeln und an verschiedenen Themen arbeiten. Als Beraterin finde ich es wichtig, dass man nicht einfach irgendeinen Kunden oder irgendein Projekt zugeteilt bekommt, sondern dass es zu einem passt und einen interessiert. Genau das bekomme ich hier geboten.

Weißt du schon, was die Zukunft für dich bereithält?

Aktuell habe ich noch keine langfristigen Pläne. Im Moment konzentriere ich mich weiterhin auf das Projektmanagement. Ich kann mir aber auch vorstellen, Abschlussarbeiten zu betreuen und möchte mich auch noch tiefer in das Informationssicherheitsmanagement einarbeiten. Generell möchte ich noch viel lernen und sehen.

Wir beschäftigen uns viel mit dem Thema Diversität und wir wissen bereits, dass Frauen in technischen Berufen unterrepräsentiert sind. Gibt es negative Erfahrungen die du machen musstest?

Bisher habe ich keine großen negativen Erfahrungen gemacht. Ich finde es aber schade, wenn veraltete Phrasen wie “die Jungs aus der IT” verwendet werden. Damit werden definitiv nicht alle Menschen angesprochen und das vermittelt ein falsches Bild. Ich habe auch schon erlebt, dass manche Leute ihren normalen Sprachgebrauch ändern, nur weil ich im Raum bin. Mein Tipp: Wenn Ihr wollt, dass sich die Personen in Eurem Umfeld mit Euch wohlfühlen, reflektiert gelegentlich Euren eigenen Sprachgebrauch.

Danke für das Interview!