Maximale Sicherheit mit minimalem Aufwand

Besuch uns auf der it-sa 2025 in Nürnberg – Halle 7, Stand 416 und sicher dir jetzt deinen persönlichen Gesprächstermin mit uns.

Warum du bei carmasec vorbeischauen solltest?

Die it-sa ist Europas führende Fachmesse für IT-Security – aber was du brauchst, ist nicht noch ein Hochglanzversprechen, sondern echte Lösungen, die in der Praxis wirken.

Deine Herausforderung: Hohe Komplexität und unklare Wirksamkeit?

Genau hier setzt carmasec an. Wir sind dein Partner für pragmatische Cybersicherheit: Technisch stark, klar in der Sprache und schnell in der Umsetzung.
security. done. right.

Was dich bei uns erwartet:

  • Kosteneffizienz: Nutze vorhandene Infrastruktur statt Neukauf.
  • Zero‑Trust ohne Overhead: Schrittweise einführen mit sofortiger Wirkung.
  • Compliance ohne Chaos: KRITIS, DORA, NIS2, CRA pragmatisch erfüllen.
  • Lizenz‑Audit & Kosten‑Optimierung → Ø 18 % Einsparung
  • Cyber‑Risk‑Assessment in 15  Minuten (kostenfrei)

Du willst mit jemandem sprechen, der zuhört, mitdenkt und nicht einfach nur den nächsten Sales-Pitch bei dir macht?
Dann buche dir jetzt deinen Termin an unserem Stand und erhalte ein kostenloses Ticket. Wir bieten dir echte Orientierung und zeigen dir, wie du dein Sicherheitsniveau wirksam erhöhst.

Jetzt Termin buchen

Warum jetzt handeln?

Die Anforderungen wachsen, die Komplexität steigt und deine internen Kapazitäten sind begrenzt. Mit carmasec holst du dir einen Sparringspartner, der dich durch den Security-Dschungel führt und dabei dein Business im Blick behält.

Setz auf Sicherheit, die Wirkung zeigt.
Triff uns vom 07.–09. Oktober 2025 auf der it-sa.

Häufige Fragen zur it-sa 2025

Wo finde ich euch auf der Messe?

Du findest uns auf der it-sa 2025 in Halle 7, Stand 416-10 – am Gemeinschaftsstand des Landes NRW.

Brauche ich ein Ticket für die it-sa?

Ja. Wenn du ein kostenloses Ticket möchtest, fülle dieses Formular aus oder gib bei der Terminvereinbarung an, dass du eins benötigst. Wir schicken dir dann einen Code zu.

Kann ich im Vorfeld einen Termin mit euch vereinbaren, der länger als 15 Min dauern wird?

Sehr gerne. Du kannst dir direkt einen Termin mit unserem Team buchen. Einfach im Formular angeben, dass du mehr Zeit benötigst.

Wen treffe ich bei euch am Stand?

Du triffst Expert:innen aus unserem Team – von technischer Cybersecurity bis hin zu Governance, Risk & Compliance. Wenn du spezielle Themen mitbringst, gib sie einfach bei der Buchung an. So sorgen wir dafür, dass die passende Ansprechperson für dich vor Ort ist.

Ich habe kurzfristig keine Zeit – gibt es eine Alternative?

Ja. Falls du nicht zur it-sa kommen kannst, finden wir gerne einen anderen Termin – digital oder vor Ort. Hier kannst du dir direkt einen Termin mit Khalid buchen

Der CRA verändert die Anforderungen an digitale Produkte tiefgreifend. Welche Pflichten auf Hersteller zukommen, erfährst du hier kompakt zusammengefasst.

Digitale Illustration eines Roboterarms, der das CE-Kennzeichen auf einen Mikrochip graviert, in Orange und Blau

Was ist der Cyber Resilience Act?

Der EU Cyber Resilience Act (EU CRA) ist eine rechtsverbindliche EU-Verordnung. Er legt ein Mindestmaß an Cybersicherheit für Produkte mit digitalen Elementen fest und verfolgt das Ziel eines einheitlichen Sicherheitsstandards innerhalb des europäischen Binnenmarktes. Durch Minimierung von Sicherheitslücken und Verringerung der Angriffsflächen sollen die Produkte und deren Nutzer besser vor Cyberangriffen und deren Auswirkungen geschützt werden.

Der CRA ist eine ergänzende Regulierung zu bereits bestehenden Anforderungen wie der NIS2-Richtlinie oder der RED-Directive und verknüpft sie miteinander. Zudem ist der EU CRA mit der CE-Kennzeichnung verbunden: Bei fehlender Compliance kann diese aberkannt oder von vornherein nicht erteilt werden.

 

Definition: Produkte mit digitalen Elementen

Gemeint sind Hardware- und Softwareprodukte, die eine direkte oder indirekte, logische oder physische Datenverbindung mit einem Gerät oder Netzwerk eingehen. Dazu zählen IoT-Geräte, industrielle Steuerungen, Betriebssysteme, Apps, Router, Wearables und Unternehmenssoftware mit Netzwerkanbindung.

Ohne belegbare CRA-Konformität entfällt die CE-Kennzeichnung. Ohne CE-Kennzeichnung kein Marktzugang in der EU.

Wen betrifft er und warum fast jedes Produkt dazugehört

Der EU Cyber Resilience Act betrifft alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Auch Unternehmen außerhalb der EU, die Produkte auf dem europäischen Markt vertreiben wollen, sind verpflichtet, den CRA zu erfüllen.

Bei kommerziellem Einsatz sind auch Open-Source-Produkte und -komponenten betroffen. Der CRA gilt für alle Produkte, die nach seinem Inkrafttreten auf dem EU-Markt in Verkehr gebracht werden. Bereits zuvor in Umlauf gebrachte Produkte sind nicht betroffen, solange keine wesentlichen Änderungen vorgenommen werden.

Explizit ausgenommen vom Anwendungsbereich

  • Kraftfahrzeuge, Kraftfahrzeugteile, Luftfahrzeuge und deren Bestandteile
  • Medizinische Geräte
  • Produkte für die nationale Sicherheit / Militär
  • Produkte für die Verarbeitung von Verschlusssachen
Zeitstrahl mit den wichtigsten Meilensteinen des Cyber Resilience Act (CRA) von Oktober 2024 bis Dezember 2027

Inkrafttreten und Übergangsfristen

Der Cyber Resilience Act tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Für Unternehmen beginnt damit eine gestaffelte Umsetzungsphase. Die Übergangszeit sollte gezielt genutzt werden, um Sicherheitsarchitektur, Produktprozesse und Nachweisführung konform aufzustellen.

Fakten auf einen Blick

  • Verabschiedung: 13. März 2024 durch das Europäische Parlament
  • Inkrafttreten: 10. Dezember 2024 (anschließend 36 Monate Übergangsfrist)
  • Ab 11. September 2026: Meldepflicht für aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle
  • Ab 11. Dezember 2027: Alle CRA-Anforderungen für neu in Verkehr gebrachte Produkte verpflichtend
  • Rechtsform: EU-Verordnung (direkt verbindlich, ohne nationale Umsetzung)
  • Zielsetzung: Einheitliches Mindestniveau an Cybersicherheit für digitale Produkte

Wen betrifft er und warum fast jedes Produkt dazugehört

Der EU Cyber Resilience Act betrifft alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Auch Unternehmen außerhalb der EU, die Produkte auf dem europäischen Markt vertreiben wollen, sind verpflichtet, den CRA zu erfüllen.

Bei kommerziellem Einsatz sind auch Open-Source-Produkte und -komponenten betroffen. Der CRA gilt für alle Produkte, die nach seinem Inkrafttreten auf dem EU-Markt in Verkehr gebracht werden. Bereits zuvor in Umlauf gebrachte Produkte sind nicht betroffen, solange keine wesentlichen Änderungen vorgenommen werden.

Explizit ausgenommen vom Anwendungsbereich

  • Kraftfahrzeuge, Kraftfahrzeugteile, Luftfahrzeuge und deren Bestandteile
  • Medizinische Geräte
  • Produkte für die nationale Sicherheit / Militär
  • Produkte für die Verarbeitung von Verschlusssachen

Diese Anforderungen müssen erfüllt sein

Technische und organisatorische Sicherheitsanforderungen an Produkte:

  • Security by Default: Das Produkt muss in einer sicheren Standardkonfiguration auf den Markt gebracht werden.
  • Security by Design: Das Produkt wird unter Beachtung der Cybersicherheit konzipiert.
  • Vulnerability Management: Schwachstellen müssen in einem Regelprozess behandelt werden. Nur unter bestimmten Voraussetzungen dürfen bekannte Schwachstellen im Produkt enthalten sein.
  • Risk Management: Risiken durch Schwachstellen werden analysiert, bewertet und getrackt. Jede Entscheidung über den Umgang mit diesen Risiken ist dokumentationspflichtig.
  • Secure Software Development Lifecycle: Das Produkt muss für die gesamte Lebensdauer sicher sein. Das schließt lange Update-Unterstützung, Schutz vor bekannten Schwachstellen aus externen Quellen und automatische oder einfach installierbare Sicherheitsaktualisierungen ein.

Diese Infrastrukturen brauchst du

Der CRA verlangt Sicherheit entlang des gesamten Produktlebenszyklus. Das gelingt nur, wenn Unternehmen passende Infrastrukturen aufbauen. Sie sichern die Umsetzung technischer und organisatorischer Anforderungen und schaffen die Grundlage für dauerhafte Compliance.

Infrastruktur für Dokumentation und Transparenz

  • Erstellung und Pflege einer SBOM (Software Bill of Materials / Software-Stückliste)
  • Technische Dokumentation
  • Risikoanalysen und Risikomanagement
  • Kundeninformationen und Anwendungshinweise
  • Meldeprozesse gegenüber Behörden wie der ENISA

Infrastruktur für Schwachstellenmanagement

  • Schwachstellen müssen ohne Zeitverzug identifiziert, priorisiert und behoben werden.
  • Sicherheitslücken, die von außen gemeldet werden, erfordern eine strukturierte und dokumentierte Reaktion (Incident Response).
  • Informationen über behobene Schwachstellen müssen öffentlich nachvollziehbar gemacht werden (Incident Disclosure).
  • Sicherheitsupdates müssen sicher, kostenfrei und sofort nach Bereitstellung verfügbar gemacht werden.

Infrastruktur für Sicherheitsprüfungen

  • Statische Codeanalyse (SAST)
  • Dynamische Tests (DAST)
  • Penetrationstests

Infrastruktur für Transparenz und Meldungen

  • Bereitstellung klarer Sicherheitsinformationen und Handlungsempfehlungen für Kunden
  • Fristgerechte und strukturierte Meldungen an Behörden wie ENISA oder nationale Marktüberwachungsstellen
  • Nachvollziehbare und dokumentierte Kommunikationsprozesse für Audit und Nachweisführung

Infrastruktur für Konformitätsbewertung

  • Bewertung je nach Risikoklasse
  • Selbstbewertung oder externe Prüfung durch notifizierte Stelle
  • Nachweis der Konformität und CE-Kennzeichnung

Cyber Resilience Act umsetzen: Diese Schritte sind jetzt wichtig

Die Anforderungen des Cyber Resilience Act sind umfangreich. Mit einem strukturierten Vorgehen lassen sie sich klar priorisieren und umsetzen. Wichtig ist, früh zu klären, welche Produkte betroffen sind, welche Lücken bestehen und welche Maßnahmen notwendig sind. carmasec begleitet Unternehmen entlang des gesamten Prozesses von der Analyse bis zur Umsetzung sicherheitsrelevanter Maßnahmen.

Häkchen-Icon

Betroffenheit analysieren

Allgemeine Betroffenheitsanalyse auf Organisationsebene. Produktspezifische Bewertung inklusive Risikoklassifizierung.

 

Häkchen-Icon

Lücken identifizieren

Durchführung einer Gap-Analyse und eines EU CRA Impact Assessments.

Häkchen-Icon

Maßnahmen planen

Abgleich mit den Fristen des CRA. Priorisierung nach Kritikalität und verfügbaren Ressourcen.

Unendlichkeitszeichen-Icon

Umsetzung vorbereiten

Die wichtigsten Maßnahmen für CRA-Compliance:

  • Schulungen für relevante Rollen und Fachbereiche
  • Aufbau der vollständigen Sicherheitsdokumentation
  • Erstellung einer SBOM (Software Bill of Materials)
  • Einführung und Verbesserung von Schwachstellenmanagementprozessen
  • Integration von Security by Design und Default in Entwicklungsprozesse
  • Implementierung automatisierter Sicherheitsprüfungen in CI/CD-Pipelines
  • Aufbau von Strukturen für Security Monitoring und Incident Response
  • Sicherstellung regelmäßiger, sicherer und kostenloser Sicherheitsupdates
  • Durchführung von Security Tests (SAST, DAST, Penetrationstests) nach Bedarf, ergänzt durch Threat-Informed Defense zur Überprüfung der Wirksamkeit gegenüber realen Angriffsmethoden

Nur wer vorbereitet ist bleibt am Markt. Das droht bei Nichteinhaltung des CRA

Der Cyber Resilience Act ist kein Papiertiger. Wer ihn ignoriert oder nur oberflächlich umsetzt, bringt sein Geschäftsmodell in Gefahr. Produkte ohne CRA-Konformität erhalten keine CE-Kennzeichnung und dürfen nicht auf den europäischen Markt. Unternehmen verlieren den Zugang zu Kunden und Umsätzen. Rückrufe und Vertriebsstopps verursachen hohe Kosten und reißen Lücken in Lieferketten und Roadmaps.

Verstöße gegen die Anforderungen führen zu empfindlichen Geldbußen. Die Strafen reichen bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes. Händler und Importeure zahlen bis zu 10 Millionen Euro oder 2 Prozent.

Hinzu kommt der Vertrauensverlust. Kunden stellen Fragen. Partner springen ab. Behörden schauen genauer hin. Aus einem Compliance-Fehler wird schnell ein Reputationsproblem.

Wer trägt die Verantwortung?

  • CISOs: volle Verantwortung für technische Nachweise und ein funktionierendes Schwachstellenmanagement
  • CEOs: wirtschaftliche Haftung, strategische Vorsorge
  • IT-Leiter:innen: belastbare Prozesse, die das Produkt absichern

 

Ohne Vorbereitung wird der CRA zum Geschäftsrisiko.

FAQ zum Cyber Resilience Act

Wann tritt der CRA in Kraft?

Der CRA trat am 10. Dezember 2024 in Kraft. Es gibt gestufte Übergangsfristen: Ab 11. September 2026 gilt die Meldepflicht für aktiv ausgenutzte Schwachstellen. Ab 11. Dezember 2027 müssen alle neuen Produkte vollständig konform sein.

Gilt der CRA auch für mein Produkt?

Ja, wenn Dein Produkt eine direkte oder indirekte Datenverbindung mit einem Gerät oder Netzwerk eingeht und nach Dezember 2024 neu in Verkehr gebracht wird. Ausnahmen: Kraftfahrzeuge, Medizinprodukte, Militär. Im Zweifel gilt: Wenn es vernetzt ist, ist es betroffen.

Wie funktioniert die Konformitätsbewertung?

Die meisten Produkte (Standardkategorie) können sich per Selbstbewertung zertifizieren. Produkte der Klasse I und II erfordern eine externe Prüfung durch eine notifizierte Stelle. Die Einstufung hängt vom Risikopotenzial des Produkts ab.

Was ändert sich beim CE-Kennzeichen?

Die CRA-Konformität ist ab Dezember 2027 Voraussetzung für die CE-Kennzeichnung bei Produkten mit digitalen Elementen. Ohne nachweisbare Compliance kein CE-Zeichen und kein Marktzugang in der EU.

Was ist eine SBOM?

Eine Software Bill of Materials ist die vollständige Auflistung aller Software-Komponenten eines Produkts. Sie ist Pflichtbestandteil der technischen Dokumentation nach CRA, muss maschinenlesbar vorliegen, aber nicht veröffentlicht werden. Sie dient als Frühwarnsystem für Schwachstellen in der Lieferkette.

Wie schnell müssen Vorfälle gemeldet werden?

Bei aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen: initiale Meldung an ENISA innerhalb von 24 Stunden. Vollständige Meldung mit Details zu Ursache, Auswirkungen und Gegenmaßnahmen innerhalb von 72 Stunden.

Gilt der CRA auch für Hersteller außerhalb der EU?

Ja. Wer Produkte mit digitalen Elementen auf dem EU-Markt vertreiben will, muss den CRA erfüllen, unabhängig vom Unternehmenssitz. Ohne EU-Niederlassung ist die Benennung eines bevollmächtigten EU-Vertreters verpflichtend.

Reicht eine ISO 27001-Zertifizierung als CRA-Nachweis?

Nein. ISO 27001 adressiert das Informationssicherheitsmanagementsystem einer Organisation, nicht die produktspezifischen Anforderungen des CRA. Beide Frameworks ergänzen sich, ersetzen sich aber nicht gegenseitig.

Was ist TID und wie ergänzt es den CRA?

Threat-Informed Defense (TID) ist ein Ansatz, der Security-Maßnahmen an realen Angriffsmethoden ausrichtet. Im CRA-Kontext hilft TID dabei, die Wirksamkeit technischer Maßnahmen wie Penetrationstests und Schwachstellenmanagement gegenüber tatsächlichen Bedrohungsszenarien zu überprüfen.

Wie hilft carmasec bei der Umsetzung?

carmasec begleitet Unternehmen von der Betroffenheitsanalyse über die Gap-Analyse bis zur vollständigen Umsetzung aller CRA-Anforderungen. Das umfasst Risikoklassifizierung, SBOM-Aufbau, Schwachstellenmanagementprozesse, technische Sicherheitsmaßnahmen und Vorbereitung auf die Konformitätsbewertung.

Fazit

Der Cyber Resilience Act ist kein regulatorisches Randthema. Er verändert, wie digitale Produkte entwickelt, dokumentiert und auf den Markt gebracht werden. Wer bis Dezember 2027 nicht vorbereitet ist, verliert den Zugang zum EU-Markt. Das ist keine Drohkulisse, das ist Verordnungstext.

Die gute Nachricht: Die Anforderungen sind planbar. Betroffenheit analysieren, Lücken schließen, Prozesse aufbauen. Wer früh beginnt, vermeidet Zeitdruck, reduziert Haftungsrisiken und schafft Strukturen, die länger halten als eine Übergangsfrist.

Drei Dinge, die du aus diesem Artikel mitnimmst: Der CRA gilt für fast jedes vernetzte Produkt. Die ersten Pflichten greifen bereits ab September 2026. Und Unternehmen, die Schwachstellenmanagement, SBOM und Security by Design jetzt aufbauen, sind compliant und wettbewerbsfähig.

 

Quellen: EU-Verordnung 2024/2847 (Cyber Resilience Act), Amtsblatt der Europäischen Union, 20. November 2024, BSI TR-03183 Technische Richtlinie Cyber Resilience Requirements, Bundesamt fur Sicherheit in der Informationstechnik, BSI: Cyber Resilience Act, bsi.bund.de/CRA, Europäische Kommission: Cyber Resilience Act, digital-strategy.ec.europa.eu

Wo steht euer Unternehmen?

Wir analysieren eure Ausgangslage, identifizieren Lücken und zeigen euch den effizientesten Weg zu nachweisbarer IT-Sicherheit. Unverbindlich, konkret und auf den Punkt.

Jetzt Erstgespräch vereinbaren Zum carmasec Kontakt

Autoren

Porträtfoto von Holger Kühlwetter, Senior Security Consultant bei der carmasecSchwarzweißes Porträtfoto von Holger Kühlwetter, Senior Security Consultant bei der carmasec

Holger Kühlwetter

Senior Security Consultant

Illustration eines Wookiee-Maskottchens auf einem goldenen SchutzschildIllustration mit dem Spruch „May the Patch be with you

Noch Fragen?

carmasec Content & Marketing

Wir schreiben über Sicherheitsthemen, die bewegen, und lassen dabei kein Detail aus. Unsere Inhalte entstehen im Zusammenspiel aus Fachexpertise und redaktioneller Sorgfalt. Das Ergebnis: Wissen, das hält, was es verspricht.

Du hast Fragen oder wertvollen Input? Schreib uns.

Cybersicherheit ist keine Geheimwissenschaft und vieles, was Unternehmen für ausreichend halten, schützt im Ernstfall nicht. Aber kein Grund zur Panik: Wer Threat-Informed Defense konsequent anwendet, ist auf der sicheren Seite.

Vorschau des carmasec-Playbooks

Für CISOs und IT-Security-Teams, die Sicherheitsstrategien entwickeln wollen, die wirklich funktionieren.

Was du nach der Lektüre weißt: Wie Angreifer denken und welche TTPs Ransomware-Gruppen am häufigsten nutzen und wie du CISO- und IT-Ebene mit einer gemeinsamen Methodik zusammenbringst, die Budgets schützt und echte Resilienz schaffst.

4,45 Mio. USD

Ø Schaden eines Datenlecks
weltweit (IBM 2023)

95 %

aller Cyberangriffe beginnen mit
einer vermeidbaren Schwachstelle

#1

Cybervorfälle sind das
Top-Risiko weltweit (Allianz 2025)

Das sind die wirklichen wichtigen Stellschrauben für wirksame Cybersicherheit

Threat Intelligence

So weißt du, welche Angreifer dein Unternehmen ins Visier nehmen – bevor sie es tun.

TTPs kennen

Angreifer nutzen immer wieder dieselben Techniken. Wer sie kennt, kann sie stoppen.

Pentests & Simulation

Deine Security-Lösung ist nur so gut, wie sie konfiguriert ist. So findest du heraus, ob sie im Ernstfall wirklich greift.

CISO & IT zusammenbringen

Zwei Ebenen, eine Sprache. Ohne gemeinsame Priorisierung verpuffen Maßnahmen – so vermeidest du das.

Budget richtig einsetzen

Security-Budget auf Zuruf? Schlechte Idee. Wir zeigen dir, wie jeder Euro dort wirkt, wo echte Bedrohungen sind.

Defensive Measures

Technisches Know-how ist wichtig – aber nur gezielte Maßnahmen an den richtigen Stellen schaffen echte Resilienz.

Warum du dieses Playbook brauchst, um deine Cybersicherheit wirklich zu verbessern:

  • Erfahre, welche Angriffstechniken Ransomware-Gruppen gerade einsetzen – und an welchen Stellen deine Verteidigung wirklich ansetzen muss.
  • Lerne, wie du mit Threat-Informed Defense schnell erkennst, wo deine größten Schwachstellen liegen – ohne neue Tools zu kaufen.
  • Du erhältst erprobte Strategien aus realen TID-Projekten, die wir bei Unternehmen im gehobenen Mittelstand erfolgreich umgesetzt haben.
  • Du erhältst die 10 häufigsten Ransomware-TTPs, die für den Großteil aller erfolgreichen Angriffe verantwortlich sind – mit konkreten Gegenmaßnahmen.
  • Wir zeigen dir, wie CISOs und IT-Security-Leitung mit einer gemeinsamen Methodik endlich an einem Strang ziehen – und Budgets dort einsetzen, wo sie wirklich schützen.

 

Über die Autoren

Porträtfoto von Timm Börgers, Geschäftsführer bei der carmasec.Illustration eines Wookiee-Maskottchens auf einem goldenen Schutzschild

Timm Börgers

Managing Partner & Trusted Advisor

Als Managing Partner & Trust Adviasor von carmasec und studierter IT-Sicherheitsexperte der Ruhr-Universität Bochum begleitet Timm Unternehmen im gehobenen Mittelstand auf dem Weg zu nachhaltiger Cyberresilienz – von der Strategie bis zur Umsetzung. Mit carmasec hat er eine der führenden Cybersicherheitsberatungen im deutschsprachigen Raum aufgebaut, die DAX-Konzerne und Mittelstand gleichermaßen sicher durch komplexe Security-Herausforderungen steuert.

Lächelndes Porträtfoto von Pascal Waffenschmidt, Senior Security Consultant bei der carmasec.Schwarzweiss Porträtfoto von Pascal Waffenschmidt, Senior Security Consultant bei der carmasec.

Pascal Waffenschmidt

Security Consultant

Als Informatiker mit Masterabschluss der Universität Bonn und ehemaliger Werkstudent beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Pascal Waffenschmidt einer der gefragtesten Offensive-Security-Experten bei carmasec. Er führt Red Teaming Assessments, Penetrationstests und Angriffssimulationen durch und zeigt Unternehmen damit, was Dashboards und Zertifikate verbergen: wo sie wirklich verwundbar sind.

Illustration eines Wookiee-Maskottchens auf einem goldenen SchutzschildIllustration mit dem Spruch „May the Patch be with you

Noch Fragen?

carmasec Content & Marketing

Wir schreiben über Sicherheitsthemen, die bewegen, und lassen dabei kein Detail aus. Unsere Inhalte entstehen im Zusammenspiel aus Fachexpertise und redaktioneller Sorgfalt. Das Ergebnis: Wissen, das hält, was es verspricht.

Du hast Fragen oder wertvollen Input? Schreib uns.

Roundtable | 24.Juli 2025 | 11:00 Uhr | Online (60 Min.)

Deine Sicherheitsstrategie ist nur so stark wie dein Wissen über den Gegner. Wer verstehen will, wie Angreifer wirklich vorgehen und wo das eigene Unternehmen angreifbar ist bekommt beim carmasec Roundtable genau das: wertvolle Insights, keine Buzzwords und die 10 häufigsten Schwachstellen.

Sichere dir echtes Angreiferwissen und Quick-Wins für deinen Security-Alltag.

Das erwartet dich:

  • Ein anderer Blick auf deine IT-Security und wie man Budgets zielführender einsetzen kann
  • Wie man Cybersecurity Maßnahmen besser und realitätsnäher priorisiert
  • Kompakte Impulse von Ethical Hackern & Security-Expert:innen
  • Strategie- und Praxis-Tipps zu Angreifer-Taktiken, Schwachstellenpriorisierung und Verteidigungslogik
  • Quick-Wins zur Verbesserung deiner Sicherheitslage, sofort umsetzbar für dich und dein Team
  • Offene Diskussionsrunde mit anderen IT- und Security-Profis aus verschiedenen Branchen

Jetzt registrieren

Für wen ist das Event gemacht?

Für alle, die Cybersecurity nicht nur verwalten, sondern gestalten möchten. Egal, ob du strategisch entscheidest oder tief in der Technik steckst – wenn du Verantwortung für Sicherheit trägst und wissen willst, was im Ernstfall wirklich schützt, bist du hier richtig.

Warum du dich jetzt anmelden solltest?

Um den intensiven Austausch und die besondere Atmosphäre zu gewährleisten, ist die Teilnehmerzahl begrenzt. Registriere dich jetzt und sichere dir einen der limitierten Plätze für diesen exklusiven Roundtable.

Jetzt registrieren

Know how aus der Praxis
Unsere Expert:innen, Pascal Waffenschmitt und Timm Börgers, geben dir konkrete Beispiele, Tipps und hilfreiche Learnings aus dem Alltag der Angreifenden.

Lächelndes Porträtfoto von Pascal Waffenschmidt, Senior Security Consultant bei der carmasec.Schwarzweiss Porträtfoto von Pascal Waffenschmidt, Senior Security Consultant bei der carmasec.

Pascal Waffenschmidt

Security Consultant

Porträtfoto von Timm Börgers, Geschäftsführer bei der carmasec.Illustration eines Wookiee-Maskottchens auf einem goldenen Schutzschild

Timm Börgers

Managing Partner & Trusted Advisor

Content Snacks für deine Cybersecurity
Keine langen Slides, kein Monolog, sondern klare Antworten auf echte Fragen.

Netzwerk erweitern & mitdenken
Tausche dich mit IT- und Security-Expert:innen aus verschiedenen Branchen aus. Wenn du willst, lernst du beim offenen Austausch neue Perspektiven kennen oder bleibst fokussiert im Deep Dive.

 

Passwörter sind bis heute die am weitesten verbreitete Methode zum Schutz digitaler Zugänge. Doch in der heutigen Zeit werden sie zunehmend zur Schwachstelle: Phishing, Datenlecks, Brute-Force-Angriffe und die Wiederverwendung von Passwörtern lassen herkömmliche Authentifizierungssysteme immer mehr zum Sicherheitsrisiko werden.

Passwörter stellen zudem eine organisatorische Belastung dar – von den wiederkehrenden IT-Support-Anfragen bis hin zur Durchsetzung komplexer Passwort-Richtlinien und dem aufwändigen Einsatz von Passwortmanagern.

Mehr Sicherheit, mehr Komfort: Deshalb sind Passkeys die bessere Wahl für dein Unternehmen

 

Passkeys gewinnen als sichere und komfortable Alternative zu klassischen Passwörtern zunehmend an Popularität. Sie werden von großen Technologieplattformen wie Google, Apple und Microsoft aktiv unterstützt und auch immer mehr SaaS-Lösungen und Business-Tools integrieren Passkeys nativ in ihre Anwendungen. Prognosen gehen davon aus, dass Passkeys in den nächsten Jahren zum Standard in der Authentifizierung werden.

Was sind Passkeys und wie funktionieren sie?

Passkeys basieren auf der Public-Key-Kryptografie. Die Technologie ist erprobt und bietet ein hohes Maß an Sicherheit. Anstelle eines Passworts wird ein digitales Schlüsselpaar verwendet:

  1. Der private Schlüssel wird sicher auf dem Gerät des Nutzers gespeichert.
  2. Der öffentliche Schlüssel verbleibt beim Dienstanbieter.

Bei der Anmeldung erzeugt der Dienstanbieter eine kryptografische Challenge, die mit dem privaten Schlüssel signiert wird. Der öffentliche Schlüssel überprüft die Signatur und gewährt bei Übereinstimmung den Zugriff.

Warum sind Passkeys sicherer als herkömmliche Passwörter?

  • Keine zentrale Speicherung: Passkeys eliminieren das Risiko von Datenlecks, da sensible Informationen wie Passwörter nicht in zentralen Datenbanken gespeichert werden müssen.
  • Phishing-Resistenz: Selbst wenn Nutzer auf gefälschte Webseiten gelangen, können Passkeys nicht abgefangen oder missbraucht werden.
  • Schutz vor Man-in-the-Middle-Angriffen: Die kryptografische Signatur verhindert, dass sich Angreifer zwischen Nutzer und Dienstanbieter schalten können.

Warum sind Passkeys benutzerfreundlicher?

  • Kein Passwort merken oder eingeben: Passkeys eliminieren die Notwendigkeit, sich komplexe Passwörter zu merken oder manuell einzugeben, da die Authentifizierung automatisch über das Gerät erfolgt.
  • Schnelle und einfache Anmeldung: Die Anmeldung erfolgt über eine biometrische Bestätigung (Gesichtserkennung, Fingerabdruck) oder eine einfache PIN, wodurch der Anmeldevorgang deutlich beschleunigt wird.
  • Automatische Synchronisierung: Passkeys werden sicher auf dem Gerät gespeichert und können über vertrauenswürdige Cloud-Dienste plattformübergreifend synchronisiert werden, so dass sie jederzeit verfügbar sind.

 

Passkeys und Compliance

  • DSGVO-Konformität: Passkeys unterstützen Unternehmen bei der Einhaltung der DSGVO, da keine persönlichen Passwörter gespeichert werden.
  • Einhaltung von Sicherheitsstandards: Durch den Einsatz von Passkeys werden Standards wie ISO 27001 in den Bereichen Authentifizierung und Zugangskontrolle unterstützt.
  • Branchenspezifische Vorteile: Besonders Branchen mit hohen Sicherheitsanforderungen wie der Finanzsektor oder das Gesundheitswesen profitieren von den Sicherheitsvorteilen der Passkeys.

Indem du auf Passkeys wechselst, kannst du Sicherheitsrisiken reduzieren, Kosten senken und den Arbeitsalltag deiner Kolleg:innen vereinfachen.

Wie kannst du Passkeys erfolgreich in dein Unternehmen integrieren?

Die Einführung von Passkeys erfordert eine durchdachte Strategie, um technische Hürden zu überwinden und die Nutzerakzeptanz zu fördern. Wichtige Aspekte sind dabei:

Technische Integration:
Ältere Systeme unterstützen oft keine passwortlose Authentifizierung. Hier können Middleware-Systeme helfen, Passkeys in bestehende IT-Umgebungen einzubinden. Langfristig empfiehlt sich der Aufbau einer FIDO2-kompatiblen Infrastruktur.

Interoperabilität:
Passkeys müssen auf unterschiedlichen Geräten und Plattformen nahtlos funktionieren. Standards wie FIDO2 und die Unterstützung großer Anbieter erleichtern die Umsetzung.

Nutzerakzeptanz:
Viele Nutzer empfinden den neuen Login-Prozess anfangs als „zu einfach“ und unsicher. Hier hilft eine klare Kommunikation und Aufklärung über die Vorteile von Passkeys, z.B. in Form von regelmäßigen Schulungen.

Backup-Lösungen:
Passkeys sind oft gerätegebunden – Dein Unternehmen sollte hierfür Alternativen bereitstellen. Möglichkeiten hierfür sind Zweitgeräte, Recovery-Codes oder Cloud-Synchronisierung.

Eine Hybridlösung aus Passkeys und klassischen Authentifizierungsverfahren kann den Übergang erleichtern und die Sicherheit schrittweise erhöhen.

Unser Fazit: Passkeys sind ein strategischer Vorteil für dein Unternehmen

Passkeys bieten Unternehmen klare strategische Vorteile in der modernen Authentifizierung:

  1. Höhere Sicherheit & Compliance: Passkeys minimieren Cyberrisiken, erleichtern die Einhaltung von Compliance-Vorgaben und schützen Unternehmen vor Cyber-Bedrohungen.
  2. Kostensenkung & Effizienz: Weniger Passwort-Resets entlasten den IT-Support, sparen Kosten und steigern die Produktivität, da Mitarbeitende nicht durch vergessene Passwörter ausgebremst werden.
  3. Einfache Implementierung ohne zusätzliche Kosten: Passkeys funktionieren mit vorhandener Hardware wie Laptops und Smartphones, so dass keine teuren Hardware- oder Software-Token benötigt werden.

Für IT-Leiter und CISOs ist die Einführung von Passkeys eine strategische Entscheidung, um das Unternehmen langfristig abzusichern. Sie reduzieren Angriffsflächen, verbessern die Benutzerfreundlichkeit und sorgen für eine zukunftssichere Authentifizierungsstrategie.

Ausblick: Die Zukunft ist passwortfrei

Die Entwicklung geht eindeutig in Richtung einer durchgängigen, passwortlosen Identifikation. Unternehmen, die frühzeitig auf Passkeys setzen, profitieren von erhöhter Sicherheit, reduzierten IT-Kosten und einer verbesserten Nutzerfahrung. Passwortlose Accounts werden bald Standard sein – und Passkeys sind der Schlüssel zu dieser Zukunft.

 

Wie sieht die Passkeys-Strategie für dein Unternehmen aus?

 

Möchtest du mehr über Passkey und die Integration in deine Systeme wissen?

Lass uns über Deine Anforderungen sprechen.

Die Bewertung von Risiken ist die Grundlage jeder strategischen Entscheidung. Trotzdem erleben wir in vielen Unternehmen, dass IT-Risikomanagement als reine IT-Aufgabe betrachtet wird – ein Fehler, der nicht nur Effizienz kostet, sondern auch das Risiko erhöht, Standards wie ISO 27001, TISAX oder NIS 2 nicht zu erfüllen. IT-Risikomanagement ist ein gesamtorganisatorisches Thema, das alle Abteilungen betrifft und daher von der Geschäftsleitung gesteuert werden muss.

In diesem Artikel stellen wir dir unseren dreistufigen Ansatz zur Implementierung eines IT-Risikomanagements vor und zeigen dir, wie du Risiken systematisch managest und dein Unternehmen nachhaltig absicherst.

Was ist IT-Risikomanagement?

IT-Risikomanagement ist eine Methode, mit der Unternehmen:

  • Risiken wie Cyberangriffe, Datenschutzverletzungen oder Systemausfälle systematisch identifizieren, bewerten und behandeln,
  • Maßnahmen zur Einhaltung von Standards wie ISO 27001, TISAX, DORA oder NIS 2 priorisieren
  • und fundierte Entscheidungen treffen, die IT-Sicherheit und strategische Unternehmensziele verbinden

 

Die Vorteile eines funktionierenden IT-Risikomanagementsystems

Ein etabliertes IT-Risikomanagementsystem liefert klare Mehrwerte für Unternehmen und Führungskräfte:

  • Transparenz: Risiken werden sichtbar und für alle Mitarbeitenden verständlich.
  • Entscheidungsfähigkeit: Führungskräfte erhalten eine fundierte Entscheidungsgrundlage.
  • Effizienz: Ressourcen werden gezielt eingesetzt, statt durch Aktionismus verschwendet.
  • Zukunftssicherheit: Unternehmen werden nicht nur gegen aktuelle Bedrohungen geschützt, sondern auch auf kommende Herausforderungen vorbereitet.

 

Warum ist IT-Risikomanagement eine Aufgabe für die Chefetage?

Ein IT-Risikomanagementsystem betrifft nicht nur die IT-Abteilung. Die Implementierung ist ein gesamt-organisatorischer Veränderungsprozess, der alle Abteilungen einbezieht und übergreifend verankert werden muss.

Deshalb verankern wir unseren Ansatz im Management:

  • Risikomanagement ist nicht nur Aufgabe der Geschäftsleitung als oberstem Risikoträger. Sie muss auf hoher Unternehmensebene angesiedelt sein, um effizient umgesetzt zu werden. Die aus der Risikobeurteilung abgeleiteten Maßnahmen haben oft abteilungsübergreifende Auswirkungen. Diese können nicht von einer Abteilung allein gelöst werden.
  • Die Einführung eines IT-Risikomanagements ist nur dann erfolgreich, wenn sie die unternehmensspezifische Kultur berücksichtigt.
  • Standards wie ISO 27001, TISAX, DORA und NIS 2 fordern klare Verantwortlichkeiten, die auf allen Ebenen des Unternehmens getragen werden.

 

Ein systematischer IT-Risikomanagementansatz für klare Ergebnisse

Führungskräfte stehen bei der Einführung eines Risikomanagement oft vor drei zentralen Fragen:

Welche Risiken sind für unser Unternehmen relevant? Wie lassen sich diese effizient und nachhaltig bewältigen? Welche Maßnahmen sind zwingend erforderlich und wie priorisieren wir sie?

Bei carmasec setzen wir auf einen dreistufigen Ansatz zur Implementierung eines IT-Risikomanagements. So können wir relevante Risiken frühzeitig identifizieren und gezielt behandeln.

1. Standortbestimmung und Zieldefinition

Im ersten Schritt analysieren wir die aktuelle Situation des Unternehmens:

  • Welchen IT-Reifegrad hat das Unternehmen und wie gut ist das bestehende Risikomanagement etabliert?
  • Welche Lücken (Gaps) bestehen in Hinblick auf Informationssicherheit und Datenschutz?
  • Wo stehen wir in Bezug auf regulatorische Anforderungen?

Im Rahmen eines Workshops entwickeln wir gemeinsam ein Zielbild, das den spezifischen Anforderungen des Unternehmens entspricht.

2. Maßnahmenplan und Priorisierung

Auf Basis der Analyse erstellen wir einen konkreten Umsetzungsplan:

  • Welche Risiken haben die höchste Relevanz und wie geht das Unternehmen damit um?
  • Welche Maßnahmen sind kurzfristig notwendig, welche langfristig sinnvoll?
  • Wie können wir mit minimalem Aufwand maximale Wirkung erzielen?

3. Implementierung und Verstetigung

Nach der Planung folgt die Umsetzung:

  • Einführung eines operativen Risikomanagements mit klaren Prozessen und Verantwortlichkeiten.
  • Schulungen und Trainings, um das gesamte Team einzubinden.
  • Bereitstellung von Tools und Dokumenten wie Risikoregister und Heatmaps, die die Entscheidungsfindung unterstützen.

Unser Ziel ist ein lebendiges Risikomanagement, das nicht nur die IT-Infrastruktur absichert, sondern auch andere Risikofelder wie Enterprise-Risiken oder Chancenmanagement integrieren kann.

Unser Angebot: Maßgeschneiderte Lösungen und Umsetzung auf Augenhöhe

1. Maßgeschneiderte Beratung statt „One Fits All“

  • Wir entwickeln für dein Unternehmen ein individuelles Zielbild, das präzise auf deinen spezifischen Anforderungen basiert.
  • Unsere Lösungen sind unternehmenskompatibel – wir berücksichtigen die Kultur und Arbeitsweise Deines Unternehmens.

2. Praktische Unterstützung statt reiner Theorie

  • Wir hören nicht bei Konzepten auf. Gemeinsam mit dir setzen wir Maßnahmen um und begleiten dich aktiv in der Praxis.

3. Interdisziplinäre Expertise

  • Unser Team bringt Fachwissen aus verschiedenen Bereichen ein, um auch komplexe Anforderungen abzudecken.
  • Durch unsere skalierbare Teamstruktur können wir dir jederzeit die benötigte Manpower und Expertise anbieten.

4. Von der Beratung bis zur sicheren Umsetzung: Unsere Kernkompetenzen

  • Unsere Kernkompetenzen reichen vom Informationssicherheitsmanagement über den Aufbau sicherer IT-Infrastrukturen und Cloud Security bis hin zu Angriffssimulationen und Penetrationstests. Für dein IT-Risikomanagement erarbeiten wir nicht nur die notwendigen Maßnahmen, sondern setzen diese direkt um und testen sie bei Bedarf auf ihre Wirksamkeit.

Fazit: Ein Instrument für verantwortungsvolle Unternehmensführung

IT-Risikomanagement ist weit mehr als ein technisches Werkzeug. Es ist ein strategisches Instrument, das Unternehmen hilft, Sicherheit und Effektivität zu verbinden. Gleichzeitig ermöglicht es Führungskräften, ihrer Verantwortung gerecht zu werden – sei es im Hinblick auf regulatorische Anforderungen, den Schutz der Organisation oder die Vermeidung persönlicher Haftung.

Mit unserem dreistufigen Ansatz fokussieren wir auf die individuellen Anforderungen des Unternehmens – seien es regulatorische Vorgaben oder strategische Entwicklungsziele – und berücksichtigen die individuellen kulturellen Gepflogenheiten des Teams. Wir achten darauf, effiziente Prozesse zu implementieren und erleichtern Deinen Mitarbeitenden die Umstellung auf neue Prozesse mit intensiven Schulungs- und Trainingsmaßnahmen.

 

Frag unseren Experten Till Bormann

Wenn du mehr darüber erfahren möchtest, wie ein maßgeschneidertes IT-Risikomanagement dein Unternehmen stärken kann, steht dir unser Kollege und Senior Security Consultant Till Bormann gerne zur Verfügung.

Porträtfoto von Till Bormann, Senior Security Consultant bei der carmasec.
„Kunden beauftragen Fachexpertise und brauchen häufig aber systematische Problemlösungen“

Till, Bormann

Ein Abend, bei dem der offene Austausch im Mittelpunkt steht.
Am 26. Juni 2025 treffen sich in Köln Menschen aus der IT Security mit unterschiedlichen Hintergründen. Was sie verbindet, ist die geteilte Überzeugung, voneinander zu lernen, Themen offen zu besprechen und persönliche Kontakte zu vertiefen.

Tauche ein in die Welt der Cybersicherheit und werde Teil einer wachsenden Community.
Beim nächsten friends of carmasec Event erwarten dich anregende Gespräche, neue Denkanstöße und viele Gelegenheiten, dich mit anderen zu vernetzen – in einer offenen und persönlichen Atmosphäre..

Ablauf:

Ablauf:

18:00 Uhr: Treffen und Networking in unseren Büroräumen
18:45 Uhr: Gemeinsamer Wechsel in ein Restaurant (Details folgen)
19:00 Uhr: Abendessen und Austausch in entspannter Atmosphäre

Was erwartet dich bei unseren Events?

Unsere Treffen sind die perfekte Gelegenheit, um:

  • Dich mit Cyber Security-Expert:innen und Gleichgesinnten auszutauschen.
  • Neue Perspektiven und Impulse für Deine Arbeit zu gewinnen.
  • Wertvolle Kontakte in einer Community zu knüpfen, die bereits über 100 Mitglieder zählt.

Sicherheit, die funktioniert – Strategien, Best Practices und Fehler, die du vermeiden solltest

Die Cloud bietet viele Chancen – wenn man sie sicher nutzt. Ohne klare Regeln und Schutzmaßnahmen entstehen Sicherheitslücken, hohe Kosten oder Datenverluste.

In unserer Webinarreihe erfährst du, wie du die AWS Cloud von Grund auf sicher aufbaust, typische Fehler vermeidest und deine Cloud-Strategie nachhaltig absicherst.

AWS Cloud Security Essentials Teil 2:
Compliance & Cloud Governance

Datum: 19.03.2025
Uhrzeit: 11:00 – 11:45 Uhr
Speaker: Senior Security Consultant Dominik Sturm

Wie sorgst du in Deiner AWS Cloud für Governance und Compliance?

Viele Unternehmen denken: „Die Cloud Service Provider kümmern sich um Sicherheit, ich muss nichts tun.“ Doch ohne klare Prozesse und Regeln kann es schnell kritisch werden.

In diesem Webinar erfährst du:

  • Welche Compliance-Vorgaben du auch in der Cloud beachten musst
  • Wie du den für dein Unternehmen passenden Cloud Dienstleister findest
  • Wie du dein Unternehmen vor Datenverlust schützt
  • Warum Backups und eine Exit-Strategie wichtig sind

Dein Mehrwert:

Wir zeigen, wie du Verantwortlichkeiten klärst und vermeidest, dass dir Sicherheitsrisiken oder rechtliche Probleme später auf die Füße fallen.

Sicherheit, die funktioniert – Strategien, Best Practices und Fehler, die du vermeiden solltest

Die Cloud bietet viele Chancen – wenn man sie sicher nutzt. Ohne klare Regeln und Schutzmaßnahmen entstehen Sicherheitslücken, hohe Kosten oder Datenverluste.

In unserer Webinarreihe erfährst du, wie Du die AWS Cloud von Grund auf sicher aufbaust, typische Fehler vermeidest und deine Cloud-Strategie nachhaltig absicherst.

AWS Cloud Security Essentials Teil 1:
Wie baue ich eine sichere AWS-Umgebung auf?

Datum: 05.03.2025
Uhrzeit: 11:00 – 11:45 Uhr
Speaker: Information Security Consultant Robin Südkamp

Viele Unternehmen nutzen AWS, ohne sich Gedanken über Sicherheit zu machen. In diesem Webinar erklären wir, was eine Landing Zone ist, wie du Managed Services integrierst und mit welchen Tools du eine stabile, sichere Cloud Umgebung aufbaust.

Das nimmst du mit:

  • Wie eine klare Cloud-Architektur aussieht
  • Welche Sicherheitsmechanismen du von Anfang an brauchst
  • Wie du Security Tools richtig einrichtest

Dein Mehrwert:

Lerne Strategien und Tools kennen, mit denen du deine AWS Cloud von Anfang an sicher gestaltest.

 

Sicherheit, die funktioniert – Strategien, Best Practices und Fehler, die du vermeiden solltest

Die Cloud bietet viele Chancen – wenn man sie sicher nutzt. Ohne klare Regeln und Schutzmaßnahmen entstehen Sicherheitslücken, hohe Kosten oder Datenverluste.

In unserer Webinarreihe erfährst du, wie du die AWS Cloud von Grund auf sicher aufbaust, typische Fehler vermeidest und deine Cloud-Strategie nachhaltig absicherst.

AWS Cloud Security Essentials Teil 3:
Risks, Fuckups & Best Practices

Datum: 02.04.2025
Uhrzeit: 11:00 – 11:45 Uhr
Speaker: Senior Security Consultant Patrick Brooks

Welche Fehler können in der AWS-Cloud passieren – und wie kannst du sie verhindern?

Viele Unternehmen stolpern über die gleichen Probleme:

  • Zu viele Berechtigungen → Ungewollte Sicherheitslücken
  • Falsch konfigurierte Dienste → Teure Überraschungen
  • Unklare Verantwortlichkeiten → Sicherheitsrisiken

Dein Mehrwert:

Wir zeigen dir anhand realer Fälle, was in der AWS Cloud schiefgehen kann – und wie du es von Anfang an besser machst.
Mit Hilfe einer Live Demo und unseren Best Practices weißt du, wie du deine AWS-Umgebung absicherst und typische Fehler vermeidest.