friends of carmasec

Ein Abend, bei dem der offene Austausch im Mittelpunkt steht. Einmal im Quartal treffen sich im Mediapark Köln Menschen aus der IT-Security mit unterschiedlichen Hintergründen. Was sie verbindet: die geteilte Überzeugung, voneinander zu lernen, Themen offen zu besprechen und persönliche Kontakte zu vertiefen.

Drei Praxis-Talks à 10 Minuten, echter Branchen-Dialog und Zeit zum Netzwerken – in einer offenen und persönlichen Atmosphäre. Für alle, die Cybersicherheit und ISMS wirklich ernst nehmen.

Werde Teil einer wachsenden Community und melde dich gleich an. Wir freuen uns auf dich.

Teilnehmende des carmasec Cyber Circle Meetups beim Networking in einem modernen Veranstaltungsraum mit begrünter Wand
Gruppenfoto von Teilnehmenden des carmasec Cyber Circle Meetups im Gespräch auf einer Galerie in modernem Loft-Ambiente
carmasec-Mitarbeitende und Gäste beim Austausch am Tisch im Freien

Das erwartet dich

Know-how aus der Praxis

Team-mit-Signalpunkten-Icon

3 Praxis-Talks

Je 10 Minuten. Echte Kundenprojekte. Was hat funktioniert und was nicht.

Gehirn-mit-Netzwerk-Icon

Networking

Entscheidungsträger:innen und Expert:innen aus der Security-Community.

Sprechblasen-Icon

Branchen-Dialog

Kein Monolog, kein Verkaufsgespräch. Echter Austausch auf Augenhöhe.

Dein Abend

Agenda – 11. Juni 2026

18:00 Uhr

Ankommen & Begrüßung
Entspanntes Ankommen, erste Gespräche, Getränke.

18:45 Uhr

AI Security und nun?
10 Minuten. Echte Projekterfahrung. Konkrete Learnings.

19:00 Uhr

Threat-Informed defense.
10 Minuten. Aus Kundenprojekten – was wirklich funktioniert.

19:15 Uhr

KI im Unternehmen kontrollieren – aber wie ?
KI-Modelle produktiv nutzen, ohne Kontrolle, Datenschutz oder Compliance zu riskieren

19:30 Uhr

Deep Talk about carmasec
10 Minuten. Ein Blick hinter die Kulissen.

Jetzt verbindlich anmelden

Du willst als Expert:in sprechen?

Wir freuen uns über externe Speaker, die ihre Praxiserfahrung aus echten Cybersecurity- und ISMS-Projekten mit der Community teilen wollen. 10 Minuten, kein Verkaufspitch, echte Insights. Schreib uns – wir melden uns.

Speaker Slot anfragen

Diese Expertinnen & Experten teilen ihr Wissen mit dir

Lächelndes Porträtfoto von Simon Decker, Security Consultant bei der carmasec.Porträtfoto von Simon Decker, Security Consultant bei der carmasec.

Simon Decker

Senior Security Consultant

Porträtfoto von Niklas Ereth, Senior Security Consultant bei der carmasec.Lächelndes Porträtfoto von Niklas Ereth, Senior Security Consultant bei der carmasec.

Niklas Ereth

Senior Security Consultant

Porträtfoto von Carsten Marmulla, Managing Partner & Senior Trusted Advisor bei der carmasec.Schwarzweißes Porträtfoto von Carsten Marmulla, Managing Partner & Senior Trusted Advisor bei der carmasec.

Carsten Marmulla

Founder & Brand Ambassador

Marius Rometsch

Security Consultant

Cyberlage verstehen. Verteidigung gezielt stärken.

Die digitale Bedrohungslage entwickelt sich rasant: professionalisierte Angriffe, automatisierte Malware, gezielte Phishing-Kampagnen und neue regulatorische Anforderungen erhöhen den Druck auf dein Unternehmen. Wenn du Sicherheit vor allem verwaltest statt sie aktiv zu gestalten, läufst du Gefahr, den Anschluss zu verlieren.

In diesem gemeinsamen Webinar von eco – Verband der Internetwirtschaft e. V. und carmasec erfährst du, wie du auf Basis eines aktuellen Cyberlagebilds Verteidigungsstrategien entwickelst, die sich an realen Angreifertechniken orientieren – praxisnah, wirksam und messbar.​

Eckdaten des Webinars

Titel: Cyberlagebild & Threat-Informed Defence – Von Compliance zu echter Sicherheit

Datum: 05.03.2026

Uhrzeit: 10:00 – 11:15 Uhr

Format: Online-Webinar

Veranstalter: eco – Verband der Internetwirtschaft e. V. in Kooperation mit carmasec
​​

Warum dieses Webinar für dich relevant ist

Viele Sicherheitsstrategien verpuffen, weil sie sich vor allem an Tools, Audits oder Standards orientieren – nicht aber an dem, was Angreifende tatsächlich tun. Gleichzeitig verschärfen professionellisierte Angriffe und neue Vorgaben wie NIS-2 den Handlungsdruck auf IT-Sicherheitsverantwortliche, CISOs und Geschäftsführungen.

​In diesem Webinar bekommst du beides: Ein fundiertes Lagebild vom BSI und einen konkreten Ansatz, wie du deine Verteidigung konsequent an realen Bedrohungen ausrichtest.

Für wen ist das Webinar gedacht?

Dieses Webinar ist ideal für dich, wenn du Verantwortung für Informationssicherheit oder IT-Security trägst (CISO, IT-Sicherheitsverantwortliche:r, Security-Lead), in der Geschäftsführung oder im Management Entscheidungen zu Cyberrisiken triffst und deine Organisation nicht nur compliant, sondern nachweislich widerstandsfähiger gegen Angriffe machen möchtest.

Deine Mehrwerte mit carmasec

carmasec unterstützt dich dabei, Sicherheit strategisch zu denken und deine Maßnahmen konsequent an realen Bedrohungen auszurichten.

Auf Basis von Threat-Informed Defense helfen wir dir, dein aktuelles Sicherheitsniveau realistisch einzuschätzen, relevante Angreifer und deren Taktiken zu identifizieren und Maßnahmen zu priorisieren, die einen nachweisbaren Effekt auf deine Resilienz haben. Wenn du nach dem Webinar tiefer einsteigen möchtest, kannst du dir zusätzlich unser kompaktes Playbook zu Threat-Informed Defense sichern – mit konkreten Schritten für mehr Resilienz in deinem Unternehmen.

Jetzt anmelden

Ein vorweihnachtlicher Abend, bei dem der offene Austausch im Mittelpunkt steht.
Am 11.12.2025 treffen sich in Köln Menschen aus der IT Security mit unterschiedlichen Hintergründen. Was sie verbindet, ist die geteilte Überzeugung, voneinander zu lernen, Themen offen zu besprechen und persönliche Kontakte zu vertiefen.

Tauche ein in die Welt der Cybersicherheit und werde Teil einer wachsenden Community.
Beim nächsten friends of carmasec Event erwarten dich anregende Gespräche, neue Denkanstöße und viele Gelegenheiten, dich mit anderen zu vernetzen – in einer offenen und persönlichen Atmosphäre..

Ablauf:

18:30 Uhr: Treffen und Networking Früh am Dom, Am Hof 12-18, 50667 Köln
19:30 Uhr: Wechsel zum Weihnachtsmarkt „Alter Markt“

Was erwartet dich bei unseren Events?

Unsere Treffen sind die perfekte Gelegenheit, um:

  • dich mit Cyber Security-Expert:innen und Gleichgesinnten auszutauschen.
  • Neue Perspektiven und Impulse für Deine Arbeit zu gewinnen.
  • Wertvolle Kontakte in einer Community zu knüpfen, die bereits über 100 Mitglieder zählt.

Ob du zum ersten Mal kommst oder schon öfter dabei warst: Du bist willkommen.

Tauche ein in die Welt der Cybersicherheit und werde Teil einer wachsenden Community! Beim nächsten friends of carmasec Event in Essen erwarten dich spannende Gespräche mit Expert:innen und Interessierten, neue Impulse und jede Menge Networking-Möglichkeiten.

Ablauf:

18:00 Uhr: Treffen und Networking in unseren Büroräumen
18:45 Uhr: Gemeinsamer Wechsel in ein Restaurant (Details folgen)
19:00 Uhr: Abendessen und Austausch in entspannter Atmosphäre

Was erwartet dich bei unseren Events?

Unsere Treffen sind die perfekte Gelegenheit, um:

  • Dich mit Cyber Security-Expert:innen und Gleichgesinnten auszutauschen.
  • Neue Perspektiven und Impulse für deine Arbeit zu gewinnen.
  • Wertvolle Kontakte in einer Community zu knüpfen, die bereits über 100 Mitglieder zählt.

Ob erfahrener Profi oder neugieriger Neuling – wir heißen alle Interessierten herzlich willkommen!

Wenn du ebenfalls Teil unseres Netzwerks werden möchtest, melde dich hier an und verpasse keine Einladung mehr.

Das Ausgangsproblem: OT wurde nicht für Vernetzung gebaut

Operational Technology in der Energieversorgung, in Wasserwerken, in der Verkehrsinfrastruktur oder im Gesundheitswesen hat einen grundlegenden Konstruktionsfehler aus heutiger Perspektive: Sie wurde für Verfügbarkeit und Prozessstabilität entwickelt, nicht für Sicherheit gegen Cyberangriffe. Steuerungssysteme auf Basis proprietärer Protokolle wie Modbus, Profibus oder DNP3 liefen jahrzehntelang in physisch isolierten Umgebungen. Der sogenannte Air Gap, die physische Trennung vom Internet, war das primäre Sicherheitskonzept.

Diese Isolation existiert in der Form nicht mehr. Die zunehmende IT/OT-Konvergenz, ausgelöst durch Fernwartungsanforderungen, Effizienzprogramme und die Integration von Smart Grid, SCADA und industriellen IoT-Komponenten, hat die Grenzen aufgelöst. Was früher eine Produktionsinsel war, ist heute über ZTNA-Gateways, Cloud-Backends und Wartungs-VPNs mit der Außenwelt verbunden. Und damit angreifbar.

Das Purdue Enterprise Reference Architecture Model (PERA), lange Zeit der konzeptuelle Rahmen für OT-Sicherheit, beschreibt eine klare Zonierung in Ebenen: von der Feldgeräteebene über die Steuerungsebene bis hin zur Unternehmens-IT. Theorie und Praxis klaffen hier weit auseinander. In der Praxis überspringen Wartungszugänge, Remote-Dienste und Datenintegrationspfade diese Zonen. Angreifer:innen auch.

 

Was Zero Trust bedeutet und wo der Begriff herkommt

Den Begriff „Zero Trust“ prägte John Kindervag 2010 während seiner Zeit als Analyst bei Forrester Research. Die Kernthese: Kein Gerät, kein Nutzer, keine Verbindung darf allein aufgrund seiner Netzwerklokation als vertrauenswürdig gelten. Weder innerhalb noch außerhalb des Perimeters. Vertrauen muss explizit und kontinuierlich hergestellt werden, nicht implizit vorausgesetzt.

Das National Institute of Standards and Technology (NIST) hat diesen Rahmen 2020 mit der SP 800-207 formalisiert. Drei Kernprinzipien stehen im Zentrum: „Verify explicitly“ bedeutet, dass jede Zugriffsanfrage anhand von Identität, Gerätekontext und Verhalten geprüft wird. „Use least privilege access“ begrenzt Berechtigungen strikt auf das, was für eine Aufgabe erforderlich ist. „Assume breach“ geht davon aus, dass eine Kompromittierung bereits stattgefunden haben kann, und entwirft Architekturen, die laterale Bewegungen innerhalb des Netzwerks verhindern.

Die CISA (Cybersecurity and Infrastructure Security Agency) hat darauf aufbauend ein Zero Trust Maturity Model entwickelt, das fünf Säulen definiert: Identity, Devices, Networks, Applications and Workloads sowie Data. Diese Säulen beschreiben, wo Zero Trust-Kontrollen ansetzt und in welcher Reihenfolge eine Reifegradentwicklung sinnvoll ist.

Warum KRITIS ein besonderes Problem hat

KRITIS-Betreiber stehen vor Einschränkungen, die in der klassischen IT-Welt so nicht vorkommen.

Lange Betriebszyklen.
OT-Systeme laufen 15 bis 25 Jahre. Ein Leitsystem, das heute im Einsatz ist, wurde unter anderen Bedrohungsannahmen beschafft. Patches sind oft nicht möglich, weil der Hersteller keine bereitstellt, weil Zertifizierungen erlöschen würden, oder weil ein Neustart der Anlage operativ nicht tolerierbar ist. Das Ergebnis ist eine verwundbare, aber produktionskritische Landschaft, die sich nicht einfach modernisieren lässt.

Proprietäre Protokolle ohne Authentifizierungslogik.
Modbus kennt keine Authentifizierung. DNP3 in seiner Basisversion auch nicht. Viele OT-Protokolle wurden unter der Annahme entwickelt, dass niemand Unberechtigtes im Netz ist. Diese Annahme ist heute nicht mehr haltbar. Zero Trust kann hier nicht mit klassischen Nutzername-Passwort-Mechanismen arbeiten, sondern benötigt Lösungen wie zertifikatsbasierte Geräteidentitäten (X.509) und protokollbewusste Proxies.

Fehlende Security-Teams.
Viele KRITIS-Betreiber, insbesondere mittelgroße Stadtwerke, Wasserversorger oder Krankenhäuser, haben keine dedizierten OT-Security-Ressourcen. Der für Zero Trust notwendige Aufwand bei Inventarisierung, Klassifizierung und Monitoring erscheint vor diesem Hintergrund prohibitiv. Er ist es nicht, wenn man mit dem richtigen Scope beginnt.

Regulatorischer Druck steigt.
§8a BSIG verpflichtet KRITIS-Betreiber bereits heute zu technischen und organisatorischen Schutzmaßnahmen nach Stand der Technik. NIS2 (umgesetzt in Deutschland durch das NIS2UmsuCG) verschärft die Anforderungen und weitet den Geltungsbereich erheblich aus. Artikel 21 NIS2 fordert explizit Risikokonzepte, Netzwerksicherheitsmaßnahmen, Zugriffskontrollkonzepte und Segmentierung. Das sind genau die Bausteine, die Zero Trust adressiert.

Zero Trust in der OT-Praxis: Was funktioniert und was nicht

Die direkte Übertragung von IT-seitigen Zero Trust-Architekturen auf OT-Umgebungen scheitert in der Regel. Ein Industrieregler kann kein Software-Agenten ausführen. Eine SPS unterstützt keine MFA. Ein SCADA-System toleriert keine Latenzen durch kontinuierliche Authentifizierungsprüfungen, wenn Echtzeitsteuerung erforderlich ist.

Das bedeutet aber nicht, dass Zero Trust-Prinzipien in OT-Umgebungen nicht umsetzbar sind. Es bedeutet, dass die Implementierung angepasst werden muss.

Mikrosegmentierung nach Zone-Conduit-Modell

IEC 62443 beschreibt das Zone-Conduit-Modell als Grundlage für OT-Sicherheitsarchitekturen. Zonen gruppieren Assets nach Schutzbedarf und Kommunikationsprofil. Conduits definieren, welche Kommunikation zwischen Zonen erlaubt ist. Dieses Modell ist direkt mit Zero Trust-Prinzipien kompatibel: Kein Datenfluss zwischen Zonen ohne explizite Kontrolle und Protokollierung. Unidirektionale Datendioden für unkritische Monitoring-Daten von OT nach IT sind ein bewährtes Mittel, um Angriffsflächen strukturell zu reduzieren.

Geräteidentität statt Nutzeridentität

Wo Nutzer nicht authentifiziert werden können, müssen Geräte es sein. X.509-Zertifikate für OT-Endpunkte sind machbar, auch in Legacy-Umgebungen, wenn die Zertifikatsverwaltung über geeignete PKI-Infrastruktur erfolgt. Geräteidentitäten sind die Grundlage für granulare Zugriffskontrollen auf Netzwerkebene.

ZTNA statt VPN für Remote Access

Fernwartungszugänge auf Leittechnik sind einer der häufigsten Angriffsvektoren auf KRITIS-Infrastrukturen. Klassische VPN-Zugänge geben Wartungstechniker:innen oft weitreichenden Netzwerkzugriff weit über das hinaus, was für die jeweilige Aufgabe notwendig ist. ZTNA-Lösungen beschränken den Zugriff auf exakt die Ressource, die benötigt wird, für genau die Dauer, die erforderlich ist, mit vollständiger Protokollierung.

Network Detection and Response (NDR) für OT-Sichtbarkeit

Zero Trust setzt Sichtbarkeit voraus. In OT-Umgebungen, wo Agenten nicht einsetzbar sind, liefert passives NDR diese Sichtbarkeit durch Analyse des Netzwerkverkehrs. OT-fähige NDR-Lösungen verstehen proprietäre Protokolle und erkennen Anomalien im Kommunikationsverhalten, ohne aktiv in den Prozess einzugreifen. Das ist der Einstieg in kontinuierliches Monitoring, wie es das „Assume Breach“-Prinzip verlangt.

NIS-2 als konkreter Anlass

Die NIS2-Richtlinie ist kein abstraktes Compliance-Konstrukt. Sie definiert Mindestanforderungen, die inhaltlich stark mit Zero Trust-Prinzipien übereinstimmen. Risikomanagement und Risikoanalyse, Netzwerksicherheit und Segmentierung, Zugriffsverwaltung und Authentifizierung, Monitoring und Vorfallserkennung: Diese Anforderungen aus Artikel 21 NIS2 lassen sich nicht durch Dokumentation allein erfüllen. Sie erfordern technische Umsetzung.

Zero Trust bietet hier einen strukturierten Rahmen, der NIS2-Anforderungen nicht nur erfüllt, sondern operationalisiert. Wer Zero Trust als Architekturprinzip einführt, baut gleichzeitig die Evidenz auf, die ein NIS2-Audit erfordert: Zugriffsprotokolle, Segmentierungsnachweise, Geräteinventare, Anomalie-Alerts.

Wie der Einstieg gelingt: risikoorientiert, nicht maximal

Zero Trust ist kein Schalter, den man umlegt. Es ist ein Reifegradprozess. Der häufigste Fehler ist der Versuch, das gesamte Architekturkonzept auf einmal umzusetzen. Das scheitert an Ressourcen, an Legacy-Systemen und an der Komplexität der Abhängigkeiten.

Der richtige Ansatz ist risikobasiert: Welche Assets sind kritisch? Welche Zugänge sind am stärksten exponiert? Welche lateralen Bewegungspfade im Netz wären für Angreifer:innen am lukrativsten? Diese Fragen beantwortet eine strukturierte Risikoanalyse nach BSI IT-Grundschutz oder ISO 27001. Auf Basis dieser Antworten lässt sich eine Zero Trust-Roadmap entwickeln, die mit den wirkungsvollsten Maßnahmen beginnt und sukzessive ausbaut.

Das CISA Zero Trust Maturity Model beschreibt fünf Entwicklungsstufen je Säule: Traditional, Initial, Advanced, Optimal. Kein KRITIS-Betreiber muss auf Anhieb „Optimal“ erreichen. Ein klar definierter Ausgangszustand und ein realistischer Zielpfad sind wertvoller als eine ambitionierte Architektur, die in der Umsetzung steckenbleibt.

Fazit

Zero Trust für KRITIS ist kein Projekt, das du abschließt. Es ist eine Haltung gegenüber Sicherheit, die du in Architekturentscheidungen, Betriebsprozesse und Beschaffungsstrategien einbettest. Wer heute damit beginnt, gewinnt drei Dinge gleichzeitig: eine deutlich reduzierte Angriffsfläche durch Mikrosegmentierung und granulare Zugriffskontrollen, eine nachweisbare Erfüllung der NIS2-Anforderungen mit auditfähiger Evidenz, und die operative Sicherheit, dass ein erfolgreicher Einbruch in eine Teilinfrastruktur nicht zur vollständigen Kompromittierung der Gesamtanlage führt.

Sicherheit entsteht nicht durch den perfekten Perimeter. Sie entsteht durch die Annahme, dass der Perimeter bereits gefallen ist, und durch Architekturen, die genau darauf ausgelegt sind.

 

Du willst wissen, wo deine KRITIS-Infrastruktur heute steht?

 Wir bewerten deinen Reifegrad und entwickeln mit dir eine Zero Trust-Roadmap, die zu deiner Betriebsrealität passt.

Jetzt zur Bewertung

Maximale Sicherheit mit minimalem Aufwand

Besuch uns auf der it-sa 2025 in Nürnberg – Halle 7, Stand 416 und sicher dir jetzt deinen persönlichen Gesprächstermin mit uns.

Warum du bei carmasec vorbeischauen solltest?

Die it-sa ist Europas führende Fachmesse für IT-Security – aber was du brauchst, ist nicht noch ein Hochglanzversprechen, sondern echte Lösungen, die in der Praxis wirken.

Deine Herausforderung: Hohe Komplexität und unklare Wirksamkeit?

Genau hier setzt carmasec an. Wir sind dein Partner für pragmatische Cybersicherheit: Technisch stark, klar in der Sprache und schnell in der Umsetzung.
security. done. right.

Was dich bei uns erwartet:

  • Kosteneffizienz: Nutze vorhandene Infrastruktur statt Neukauf.
  • Zero‑Trust ohne Overhead: Schrittweise einführen mit sofortiger Wirkung.
  • Compliance ohne Chaos: KRITIS, DORA, NIS2, CRA pragmatisch erfüllen.
  • Lizenz‑Audit & Kosten‑Optimierung → Ø 18 % Einsparung
  • Cyber‑Risk‑Assessment in 15  Minuten (kostenfrei)

Du willst mit jemandem sprechen, der zuhört, mitdenkt und nicht einfach nur den nächsten Sales-Pitch bei dir macht?
Dann buche dir jetzt deinen Termin an unserem Stand und erhalte ein kostenloses Ticket. Wir bieten dir echte Orientierung und zeigen dir, wie du dein Sicherheitsniveau wirksam erhöhst.

Jetzt Termin buchen

Warum jetzt handeln?

Die Anforderungen wachsen, die Komplexität steigt und deine internen Kapazitäten sind begrenzt. Mit carmasec holst du dir einen Sparringspartner, der dich durch den Security-Dschungel führt und dabei dein Business im Blick behält.

Setz auf Sicherheit, die Wirkung zeigt.
Triff uns vom 07.–09. Oktober 2025 auf der it-sa.

Häufige Fragen zur it-sa 2025

Wo finde ich euch auf der Messe?

Du findest uns auf der it-sa 2025 in Halle 7, Stand 416-10 – am Gemeinschaftsstand des Landes NRW.

Brauche ich ein Ticket für die it-sa?

Ja. Wenn du ein kostenloses Ticket möchtest, fülle dieses Formular aus oder gib bei der Terminvereinbarung an, dass du eins benötigst. Wir schicken dir dann einen Code zu.

Kann ich im Vorfeld einen Termin mit euch vereinbaren, der länger als 15 Min dauern wird?

Sehr gerne. Du kannst dir direkt einen Termin mit unserem Team buchen. Einfach im Formular angeben, dass du mehr Zeit benötigst.

Wen treffe ich bei euch am Stand?

Du triffst Expert:innen aus unserem Team – von technischer Cybersecurity bis hin zu Governance, Risk & Compliance. Wenn du spezielle Themen mitbringst, gib sie einfach bei der Buchung an. So sorgen wir dafür, dass die passende Ansprechperson für dich vor Ort ist.

Ich habe kurzfristig keine Zeit – gibt es eine Alternative?

Ja. Falls du nicht zur it-sa kommen kannst, finden wir gerne einen anderen Termin – digital oder vor Ort. Hier kannst du dir direkt einen Termin mit Khalid buchen

Roundtable | 24.Juli 2025 | 11:00 Uhr | Online (60 Min.)

Deine Sicherheitsstrategie ist nur so stark wie dein Wissen über den Gegner. Wer verstehen will, wie Angreifer wirklich vorgehen und wo das eigene Unternehmen angreifbar ist bekommt beim carmasec Roundtable genau das: wertvolle Insights, keine Buzzwords und die 10 häufigsten Schwachstellen.

Sichere dir echtes Angreiferwissen und Quick-Wins für deinen Security-Alltag.

Das erwartet dich:

  • Ein anderer Blick auf deine IT-Security und wie man Budgets zielführender einsetzen kann
  • Wie man Cybersecurity Maßnahmen besser und realitätsnäher priorisiert
  • Kompakte Impulse von Ethical Hackern & Security-Expert:innen
  • Strategie- und Praxis-Tipps zu Angreifer-Taktiken, Schwachstellenpriorisierung und Verteidigungslogik
  • Quick-Wins zur Verbesserung deiner Sicherheitslage, sofort umsetzbar für dich und dein Team
  • Offene Diskussionsrunde mit anderen IT- und Security-Profis aus verschiedenen Branchen

Jetzt registrieren

Für wen ist das Event gemacht?

Für alle, die Cybersecurity nicht nur verwalten, sondern gestalten möchten. Egal, ob du strategisch entscheidest oder tief in der Technik steckst – wenn du Verantwortung für Sicherheit trägst und wissen willst, was im Ernstfall wirklich schützt, bist du hier richtig.

Warum du dich jetzt anmelden solltest?

Um den intensiven Austausch und die besondere Atmosphäre zu gewährleisten, ist die Teilnehmerzahl begrenzt. Registriere dich jetzt und sichere dir einen der limitierten Plätze für diesen exklusiven Roundtable.

Jetzt registrieren

Know how aus der Praxis
Unsere Expert:innen, Pascal Waffenschmitt und Timm Börgers, geben dir konkrete Beispiele, Tipps und hilfreiche Learnings aus dem Alltag der Angreifenden.

Lächelndes Porträtfoto von Pascal Waffenschmidt, Senior Security Consultant bei der carmasec.Schwarzweiss Porträtfoto von Pascal Waffenschmidt, Senior Security Consultant bei der carmasec.

Pascal Waffenschmidt

Security Consultant

Porträtfoto von Timm Börgers, Geschäftsführer bei der carmasec.Illustration eines Wookiee-Maskottchens auf einem goldenen Schutzschild

Timm Börgers

Managing Partner & Trusted Advisor

Content Snacks für deine Cybersecurity
Keine langen Slides, kein Monolog, sondern klare Antworten auf echte Fragen.

Netzwerk erweitern & mitdenken
Tausche dich mit IT- und Security-Expert:innen aus verschiedenen Branchen aus. Wenn du willst, lernst du beim offenen Austausch neue Perspektiven kennen oder bleibst fokussiert im Deep Dive.

 

Passwörter sind bis heute die am weitesten verbreitete Methode zum Schutz digitaler Zugänge. Doch in der heutigen Zeit werden sie zunehmend zur Schwachstelle: Phishing, Datenlecks, Brute-Force-Angriffe und die Wiederverwendung von Passwörtern lassen herkömmliche Authentifizierungssysteme immer mehr zum Sicherheitsrisiko werden.

Passwörter stellen zudem eine organisatorische Belastung dar – von den wiederkehrenden IT-Support-Anfragen bis hin zur Durchsetzung komplexer Passwort-Richtlinien und dem aufwändigen Einsatz von Passwortmanagern.

Mehr Sicherheit, mehr Komfort: Deshalb sind Passkeys die bessere Wahl für dein Unternehmen

 

Passkeys gewinnen als sichere und komfortable Alternative zu klassischen Passwörtern zunehmend an Popularität. Sie werden von großen Technologieplattformen wie Google, Apple und Microsoft aktiv unterstützt und auch immer mehr SaaS-Lösungen und Business-Tools integrieren Passkeys nativ in ihre Anwendungen. Prognosen gehen davon aus, dass Passkeys in den nächsten Jahren zum Standard in der Authentifizierung werden.

Was sind Passkeys und wie funktionieren sie?

Passkeys basieren auf der Public-Key-Kryptografie. Die Technologie ist erprobt und bietet ein hohes Maß an Sicherheit. Anstelle eines Passworts wird ein digitales Schlüsselpaar verwendet:

  1. Der private Schlüssel wird sicher auf dem Gerät des Nutzers gespeichert.
  2. Der öffentliche Schlüssel verbleibt beim Dienstanbieter.

Bei der Anmeldung erzeugt der Dienstanbieter eine kryptografische Challenge, die mit dem privaten Schlüssel signiert wird. Der öffentliche Schlüssel überprüft die Signatur und gewährt bei Übereinstimmung den Zugriff.

Warum sind Passkeys sicherer als herkömmliche Passwörter?

  • Keine zentrale Speicherung: Passkeys eliminieren das Risiko von Datenlecks, da sensible Informationen wie Passwörter nicht in zentralen Datenbanken gespeichert werden müssen.
  • Phishing-Resistenz: Selbst wenn Nutzer auf gefälschte Webseiten gelangen, können Passkeys nicht abgefangen oder missbraucht werden.
  • Schutz vor Man-in-the-Middle-Angriffen: Die kryptografische Signatur verhindert, dass sich Angreifer zwischen Nutzer und Dienstanbieter schalten können.

Warum sind Passkeys benutzerfreundlicher?

  • Kein Passwort merken oder eingeben: Passkeys eliminieren die Notwendigkeit, sich komplexe Passwörter zu merken oder manuell einzugeben, da die Authentifizierung automatisch über das Gerät erfolgt.
  • Schnelle und einfache Anmeldung: Die Anmeldung erfolgt über eine biometrische Bestätigung (Gesichtserkennung, Fingerabdruck) oder eine einfache PIN, wodurch der Anmeldevorgang deutlich beschleunigt wird.
  • Automatische Synchronisierung: Passkeys werden sicher auf dem Gerät gespeichert und können über vertrauenswürdige Cloud-Dienste plattformübergreifend synchronisiert werden, so dass sie jederzeit verfügbar sind.

 

Passkeys und Compliance

  • DSGVO-Konformität: Passkeys unterstützen Unternehmen bei der Einhaltung der DSGVO, da keine persönlichen Passwörter gespeichert werden.
  • Einhaltung von Sicherheitsstandards: Durch den Einsatz von Passkeys werden Standards wie ISO 27001 in den Bereichen Authentifizierung und Zugangskontrolle unterstützt.
  • Branchenspezifische Vorteile: Besonders Branchen mit hohen Sicherheitsanforderungen wie der Finanzsektor oder das Gesundheitswesen profitieren von den Sicherheitsvorteilen der Passkeys.

Indem du auf Passkeys wechselst, kannst du Sicherheitsrisiken reduzieren, Kosten senken und den Arbeitsalltag deiner Kolleg:innen vereinfachen.

Wie kannst du Passkeys erfolgreich in dein Unternehmen integrieren?

Die Einführung von Passkeys erfordert eine durchdachte Strategie, um technische Hürden zu überwinden und die Nutzerakzeptanz zu fördern. Wichtige Aspekte sind dabei:

Technische Integration:
Ältere Systeme unterstützen oft keine passwortlose Authentifizierung. Hier können Middleware-Systeme helfen, Passkeys in bestehende IT-Umgebungen einzubinden. Langfristig empfiehlt sich der Aufbau einer FIDO2-kompatiblen Infrastruktur.

Interoperabilität:
Passkeys müssen auf unterschiedlichen Geräten und Plattformen nahtlos funktionieren. Standards wie FIDO2 und die Unterstützung großer Anbieter erleichtern die Umsetzung.

Nutzerakzeptanz:
Viele Nutzer empfinden den neuen Login-Prozess anfangs als „zu einfach“ und unsicher. Hier hilft eine klare Kommunikation und Aufklärung über die Vorteile von Passkeys, z.B. in Form von regelmäßigen Schulungen.

Backup-Lösungen:
Passkeys sind oft gerätegebunden – Dein Unternehmen sollte hierfür Alternativen bereitstellen. Möglichkeiten hierfür sind Zweitgeräte, Recovery-Codes oder Cloud-Synchronisierung.

Eine Hybridlösung aus Passkeys und klassischen Authentifizierungsverfahren kann den Übergang erleichtern und die Sicherheit schrittweise erhöhen.

Unser Fazit: Passkeys sind ein strategischer Vorteil für dein Unternehmen

Passkeys bieten Unternehmen klare strategische Vorteile in der modernen Authentifizierung:

  1. Höhere Sicherheit & Compliance: Passkeys minimieren Cyberrisiken, erleichtern die Einhaltung von Compliance-Vorgaben und schützen Unternehmen vor Cyber-Bedrohungen.
  2. Kostensenkung & Effizienz: Weniger Passwort-Resets entlasten den IT-Support, sparen Kosten und steigern die Produktivität, da Mitarbeitende nicht durch vergessene Passwörter ausgebremst werden.
  3. Einfache Implementierung ohne zusätzliche Kosten: Passkeys funktionieren mit vorhandener Hardware wie Laptops und Smartphones, so dass keine teuren Hardware- oder Software-Token benötigt werden.

Für IT-Leiter und CISOs ist die Einführung von Passkeys eine strategische Entscheidung, um das Unternehmen langfristig abzusichern. Sie reduzieren Angriffsflächen, verbessern die Benutzerfreundlichkeit und sorgen für eine zukunftssichere Authentifizierungsstrategie.

Ausblick: Die Zukunft ist passwortfrei

Die Entwicklung geht eindeutig in Richtung einer durchgängigen, passwortlosen Identifikation. Unternehmen, die frühzeitig auf Passkeys setzen, profitieren von erhöhter Sicherheit, reduzierten IT-Kosten und einer verbesserten Nutzerfahrung. Passwortlose Accounts werden bald Standard sein – und Passkeys sind der Schlüssel zu dieser Zukunft.

 

Wie sieht die Passkeys-Strategie für dein Unternehmen aus?

 

Möchtest du mehr über Passkey und die Integration in deine Systeme wissen?

Lass uns über Deine Anforderungen sprechen.

Sicherheit, die funktioniert – Strategien, Best Practices und Fehler, die du vermeiden solltest

Die Cloud bietet viele Chancen – wenn man sie sicher nutzt. Ohne klare Regeln und Schutzmaßnahmen entstehen Sicherheitslücken, hohe Kosten oder Datenverluste.

In unserer Webinarreihe erfährst du, wie du die AWS Cloud von Grund auf sicher aufbaust, typische Fehler vermeidest und deine Cloud-Strategie nachhaltig absicherst.

AWS Cloud Security Essentials Teil 2:
Compliance & Cloud Governance

Datum: 19.03.2025
Uhrzeit: 11:00 – 11:45 Uhr
Speaker: Senior Security Consultant Dominik Sturm

Wie sorgst du in Deiner AWS Cloud für Governance und Compliance?

Viele Unternehmen denken: „Die Cloud Service Provider kümmern sich um Sicherheit, ich muss nichts tun.“ Doch ohne klare Prozesse und Regeln kann es schnell kritisch werden.

In diesem Webinar erfährst du:

  • Welche Compliance-Vorgaben du auch in der Cloud beachten musst
  • Wie du den für dein Unternehmen passenden Cloud Dienstleister findest
  • Wie du dein Unternehmen vor Datenverlust schützt
  • Warum Backups und eine Exit-Strategie wichtig sind

Dein Mehrwert:

Wir zeigen, wie du Verantwortlichkeiten klärst und vermeidest, dass dir Sicherheitsrisiken oder rechtliche Probleme später auf die Füße fallen.

Sicherheit, die funktioniert – Strategien, Best Practices und Fehler, die du vermeiden solltest

Die Cloud bietet viele Chancen – wenn man sie sicher nutzt. Ohne klare Regeln und Schutzmaßnahmen entstehen Sicherheitslücken, hohe Kosten oder Datenverluste.

In unserer Webinarreihe erfährst du, wie Du die AWS Cloud von Grund auf sicher aufbaust, typische Fehler vermeidest und deine Cloud-Strategie nachhaltig absicherst.

AWS Cloud Security Essentials Teil 1:
Wie baue ich eine sichere AWS-Umgebung auf?

Datum: 05.03.2025
Uhrzeit: 11:00 – 11:45 Uhr
Speaker: Information Security Consultant Robin Südkamp

Viele Unternehmen nutzen AWS, ohne sich Gedanken über Sicherheit zu machen. In diesem Webinar erklären wir, was eine Landing Zone ist, wie du Managed Services integrierst und mit welchen Tools du eine stabile, sichere Cloud Umgebung aufbaust.

Das nimmst du mit:

  • Wie eine klare Cloud-Architektur aussieht
  • Welche Sicherheitsmechanismen du von Anfang an brauchst
  • Wie du Security Tools richtig einrichtest

Dein Mehrwert:

Lerne Strategien und Tools kennen, mit denen du deine AWS Cloud von Anfang an sicher gestaltest.