IT-Sicherheit als Megatrend

Das BSI bezeichnet die Cyber-Sicherheits-Lage seit Jahren als „angespannt bis kritisch" – mit weiter steigender Tendenz. Ransomware-Vorfälle nehmen zu, durchschnittliche Schadenshöhen bei mittelständischen Opfern liegen bei mehreren Hunderttausend Euro pro Vorfall. Großangelegte Supply-Chain-Attacks wie SolarWinds (2020), Kaseya (2021), Log4Shell (2021), 3CX (2023), MOVEit (2023) und XZ-Utils (2024) zeigen: Angreifer kompromittieren nicht mehr nur einzelne Unternehmen, sondern ganze Software-Lieferketten. Gleichzeitig hebt KI die Spielregeln auf beiden Seiten – Angreifer automatisieren Phishing und Malware-Erstellung, Verteidiger setzen KI in SOC und SIEM ein. Diese Lektion zeigt dir die aktuelle Bedrohungslandschaft, das Paradigma Zero Trust als Ablösung des Perimeter-Modells, Konzepte der Cloud-Sicherheit (CASB, CSPM, CWPP, SASE), die wichtigsten Regulierungen (NIS-2, DORA, Cyber Resilience Act, DSGVO) und neue Trends wie SBOM, Confidential Computing und Post-Quantum-Crypto. Tiefere Grundlagen findest du in K07 IT-Sicherheit Grundlagen – hier geht's um den Trend-Aspekt.

1) Aktuelle Bedrohungslandschaft

Die größten Bedrohungen 2024/25 nach BSI-Lagebericht, ENISA Threat Landscape und Verizon DBIR:

💀Ransomware

Verschlüsselung von Daten plus Erpressung. Bei „Double Extortion" zusätzlich Veröffentlichungs-Drohung. Aktive Gruppen: LockBit, BlackCat, Cl0p (mit MOVEit-Massenattacke 2023).

2024 ~ +20 % Vorfälle in DE

🎣Phishing & Social Engineering

Klassisch, durch KI massiv professioneller: makelloses Deutsch, gezielte Spear-Attacks, geklonte Stimmen. Phishing bleibt Einfallstor Nr. 1.

~ 70 % aller Vorfälle starten so

⛓Supply-Chain-Attacks

Ein kompromittierter Lieferant infiziert hunderte Kunden auf einen Schlag. SolarWinds, MOVEit, XZ-Utils. Open Source besonders verwundbar.

Spektakulärster Wachstums-Trend

🤖KI-gestützte Angriffe

WormGPT, FraudGPT generieren Phishing/Malware. Deepfake-CEO-Anrufe (CEO-Fraud), automatisierte Vulnerability-Scans.

Niedrige Einstiegs-Hürde für Angreifer

☁Cloud-Misskonfiguration

Offene S3-Buckets, falsch konfigurierte IAM-Rollen, ungesicherte APIs. Häufigste Ursache für Datenverluste in der Cloud.

~ 45 % aller Cloud-Vorfälle

🔓Identitäts-Diebstahl

Credentials werden in Dumps gehandelt, MFA-Fatigue-Attacks, Token-Theft. Identität ist der „neue Perimeter".

Mehrere Mrd Credentials im Darknet

📡DDoS

Distributed Denial of Service – Webseiten und Dienste lahmlegen. Politisch motiviert (Hacktivisten, Staaten), wirtschaftlich (Erpressung).

Spitzen bis 5+ Tbit/s

🎯State-Actors / APT

Staatliche Cyber-Akteure (Russland, China, Nordkorea, Iran). Spionage, Sabotage, hybride Kriegsführung. KRITIS hochgefährdet.

Geopolitik = Cyber-Eskalation

2) Vom Perimeter-Modell zu Zero Trust

Klassisch wurde IT-Sicherheit wie eine Burg mit Mauer gedacht: außen das gefährliche Internet, innen das geschützte Firmennetz, dazwischen die Firewall als Tor. Dieses Modell ist mit Cloud, Mobile, Remote Work, BYOD kollabiert:

Perimeter-Modell vs. Zero Trust

Die Zero-Trust-Prinzipien:

Never Trust, Always Verify. Kein Nutzer und kein Gerät ist automatisch vertrauenswürdig – auch nicht im internen Netz.
Least Privilege. Minimal nötige Rechte, just-in-time, just-enough.
Assume Breach. Davon ausgehen, dass es bereits einen Angreifer im Netz gibt – Auswirkungen minimieren.
Mikro-Segmentierung. Jeder Dienst eigene Sicherheits-Zone, kein freier seitlicher Verkehr (kein „Lateral Movement").
Identitäts-zentriert. Identity ist der neue Perimeter – starke Auth (MFA, Conditional Access).
Kontinuierliche Validierung. Nicht nur einmal Login, sondern laufend prüfen (Risk-Score, Geräte-Zustand, Verhalten).

3) Cloud-Sicherheit – neue Werkzeug-Kategorien

Mit Cloud sind neue Abkürzungen entstanden – alle sinnvoll, alle wichtig zu kennen:

Cloud-Security-Werkzeuge im Überblick

IAM

Identity & Access Management. Zentrale Verwaltung von Identitäten, Rollen, Berechtigungen. Beispiele: Azure AD / Entra ID, Okta, Auth0. Fundament für Zero Trust.

CASB

Cloud Access Security Broker. Vermittler zwischen Nutzer und Cloud-Diensten. Erzwingt Policies (DLP, Verschlüsselung), erkennt Schatten-IT. Beispiele: Netskope, Microsoft Defender for Cloud Apps.

CSPM

Cloud Security Posture Management. Prüft Cloud-Konfigurationen auf Schwachstellen und Compliance-Verstöße (offene S3, lockere Security Groups). Beispiele: Wiz, Prisma Cloud, Defender for Cloud.

CWPP

Cloud Workload Protection Platform. Schutz von VMs, Containern, Serverless im Betrieb – Vulnerability-Scans, Runtime-Schutz. Beispiele: Sysdig, Aqua, Falco.

SASE

Secure Access Service Edge. Konvergenz aus Netzwerk-Sicherheit (SD-WAN, FWaaS, ZTNA) als Cloud-Service. Ablösung klassischer VPN. Anbieter: Zscaler, Cato, Cisco+, Netskope.

SIEM

Security Information & Event Management. Sammelt Logs zentral, korreliert, alarmiert. Klassisch im SOC. Beispiele: Splunk, Microsoft Sentinel, Elastic.

XDR

Extended Detection & Response. Nachfolger von EDR (Endpoint). Korreliert Endpoint + Network + Cloud + Identity. Beispiele: CrowdStrike, SentinelOne, Microsoft Defender XDR.

SOAR

Security Orchestration, Automation & Response. Automatisierte Reaktionen auf Vorfälle – Playbooks, Workflows. Ergänzt SIEM.

4) Regulierung – die wichtigsten Rahmen 2024/25

🇪🇺 DSGVO

Datenschutz-Grundverordnung – seit 2018 in Kraft. Strafen bis 4 % des weltweiten Jahresumsatzes. Kern: Einwilligung, Zweckbindung, Datensparsamkeit, Auskunfts- und Löschrechte.

betrifft: jedes Unternehmen mit personenbezogenen Daten

🛡 NIS-2-Richtlinie

EU-Richtlinie für Cyber-Sicherheit kritischer und wichtiger Einrichtungen. Seit Okt 2024 zu nationalem Recht zu machen (DE-Umsetzung verzögert). Geltung deutlich erweitert (~30 000 Firmen in DE). Pflichten: Risiko-Management, Meldung von Vorfällen, Schulungen.

betrifft: mittlere & große Unternehmen in 18 Branchen

💳 DORA

Digital Operational Resilience Act – für den Finanzsektor (Banken, Versicherungen, IKT-Dienstleister). Seit Jan 2025 in Kraft. Strenger Test der IT-Resilienz, Management von Drittparteien-Risiken.

betrifft: Finanz-Branche und deren IT-Dienstleister

📦 Cyber Resilience Act (CRA)

EU-Verordnung für Produkte mit „digitalen Elementen" (Hardware, Software, IoT). Hersteller müssen Sicherheit über den Lebenszyklus garantieren, Schwachstellen melden, Updates liefern. Geltung schrittweise bis 2027.

betrifft: Hersteller von IT-Produkten

🤖 EU AI Act

Risiko-basierte Regulierung von KI-Systemen. Inkrafttreten gestaffelt 2025-2027. Strafen bis 35 Mio € oder 7 % Jahresumsatz. Mehr in L3.

betrifft: KI-Anbieter und -Anwender

🏛 IT-Sicherheitsgesetz 2.0 / KRITIS-DachG

Deutsche Umsetzung. KRITIS-Betreiber: BSI-Meldepflichten, IT-Sicherheits-Audits. Erweitert 2024 um „Unternehmen im besonderen öffentlichen Interesse" (UBI).

betrifft: KRITIS-Sektoren in DE

5) Neue Sicherheits-Trends 2024/25

Trend	Beschreibung
SBOM Software Bill of Materials	Verzeichnis aller Komponenten einer Software – Open Source, Bibliotheken, Versionen. Pflicht in den USA (Executive Order 14028), kommt mit CRA in die EU. Formate: SPDX, CycloneDX.
Confidential Computing	Daten bleiben auch während der Verarbeitung verschlüsselt (in der CPU-Enklave). Intel SGX, AMD SEV. Wichtig für Cloud mit sensiblen Daten.
Post-Quantum-Cryptography (PQC)	Quantencomputer könnten klassische Verschlüsselung knacken. NIST hat 2024 erste PQC-Standards veröffentlicht (CRYSTALS-Kyber, -Dilithium). Migration jetzt beginnen.
Passkeys / WebAuthn	Phishing-resistente Anmeldung ohne Passwörter. Kryptographische Schlüssel statt Geheimnis. Microsoft, Google, Apple unterstützen.
DevSecOps	Sicherheit von Anfang an in der Entwicklung – Shift-Left. SAST, DAST, IaC-Scanning, Secret-Scanning in CI/CD-Pipelines.
KI in der Verteidigung	SIEM/XDR mit ML zur Anomalie-Erkennung. KI für Phishing-Erkennung. Aber: Angreifer-KI hält oft Schritt.
Threat Intelligence-Sharing	Branchen-CERTs, ISACs, MISP-Plattformen tauschen IOCs (Indicators of Compromise) aus. Gemeinsame Verteidigung.
Cyber-Versicherung	Wachsender Markt, aber strengere Bedingungen. Versicherer fordern MFA, EDR, Backup-Konzept – sonst keine Police.

6) Build vs. Buy: SOC, MSSP, MDR

Größere Unternehmen brauchen ein Security Operations Center (SOC) – aber selber bauen ist teuer (24/7-Personal, Skill-Mangel). Optionen:

Modell	Beschreibung	Wann sinnvoll
In-House-SOC	Eigene Analysten, eigene Tools, eigene Prozesse	Großkonzern, KRITIS, Datenschutz-sensible Branche
MSSP Managed Security Service Provider	Externer Dienstleister betreibt Tooling und Monitoring	Mittelstand ohne 24/7-Kapazität
MDR Managed Detection & Response	MSSP plus aktive Reaktion auf Vorfälle, oft 24/7	Mittelstand mit kritischen Systemen
SOC-as-a-Service	Komplette SOC-Funktion als Cloud-Service	Schnell, ohne Aufbau, oft mit fester Pauschale
Hybrid	1st/2nd Level extern, 3rd Level intern	Größere Mittelständler mit eigener Expertise

7) Incident Response & Resilienz

Bei der Frage „nicht ob, sondern wann" ist Vorbereitung entscheidend:

Incident Response Plan. Wer macht was im Ernstfall? Rollen, Eskalationswege, Kommunikation intern und extern. Mindestens jährlich proben.
Backup-Strategie 3-2-1. Drei Kopien, zwei Medien, eine off-site. Offline-Kopie schützt gegen Ransomware. Restore regelmäßig testen.
Tabletop-Übungen. Krisenstab spielt Cyber-Vorfall durch – findet Lücken in Plan und Prozessen.
BSI-Standard 200-4 / BCM. Business Continuity Management als Disziplin – IT-Krise hat Schnittstellen zu Personal, PR, Recht.
Cyber-Versicherung. Deckt nicht alles, aber: Forensik, Krisen-Beratung, Wiederherstellung. Aufmerksam lesen, Ausschlüsse beachten.
Meldepflichten. DSGVO: binnen 72 h an Aufsicht. NIS-2: Early Warning binnen 24 h, Initial Report binnen 72 h, Final Report binnen 1 Monat.
Threat Hunting. Proaktive Suche nach Angreifern, die durch Detection-Regeln durchgerutscht sind. Anspruchsvoll, lohnt sich.
Penetration Tests. Regelmäßig (jährlich, nach Major-Releases) – externe Pen-Tester finden, was interne nicht sehen.

8) Antipatterns

„Wir sind zu klein, niemand greift uns an." Falsch. Automatisierte Massen-Scans treffen jeden – Mittelständler oft als Sprungbrett für Lieferketten-Attacken.
MFA nur für Admins. Normale User werden gephisht, dann Lateral Movement. Lösung: MFA für alle, phishing-resistente Verfahren (Passkeys).
Sicherheit als IT-Thema. Geschäftsführung delegiert komplett. Aber Cyber-Vorfall ist Vorstands-Thema, Pflicht-Sorgfalt. Lösung: regelmäßiges Reporting ans C-Level, Vorstands-Übungen.
Patches verschleppt. Bekannte Schwachstelle, kein Patch über Monate – klassische Einfallstür. Lösung: Patch-Management mit klaren SLAs, ggf. Mitigation bis Patch.
Schatten-IT ignoriert. Fachbereiche kaufen SaaS, IT erfährt nichts. Sicherheits-Lücken. Lösung: CASB, klare Beschaffungs-Wege.
Backups nur online. Ransomware verschlüsselt auch das NAS. Lösung: Offline-/Immutable-Backups, regelmäßig getestete Restores.
„Erstmal Tools kaufen, Prozess später." EDR im Karton, SIEM ohne Use Cases, niemand schaut hin. Lösung: erst Prozesse, dann Tools dafür.
Default-Passwörter, Default-Konfig. Cloud-Workloads, IoT-Devices, Netzwerk-Komponenten mit Werks-Defaults. Lösung: Hardening-Baseline, regelmäßiger Scan.
Phishing-Awareness als Einmal-Schulung. Einmal jährlich Folie zeigen. Lösung: regelmäßige simulierte Phishing-Kampagnen, Lern-Loops.
Lieferanten-Sicherheit blind vertrauen. „Die werden schon sicher sein." Lösung: Lieferanten-Risiko-Assessment, SBOM-Pflicht, Vertragsklauseln.
Krypto-Migration auf später vertagen. Quantum-Bedrohung erscheint fern, aber „Harvest now, decrypt later" ist reale Strategie. Lösung: jetzt PQC-Roadmap planen.
Logs für Stunden statt Monate. Vorfall wird Wochen später entdeckt, Logs schon weg. Lösung: Aufbewahrungsfristen passend zur Branchen-Compliance.

Zusammenfassung

IT-Sicherheit ist 2025 ein Megatrend mit zwei Seiten: Bedrohungen werden komplexer (Ransomware, Supply-Chain, KI-Phishing, Cloud-Misskonfig), die Regulierung wird strenger (NIS-2, DORA, Cyber Resilience Act, DSGVO, AI Act). Das klassische Perimeter-Modell wird durch Zero Trust abgelöst – „Never Trust, Always Verify" mit Mikro-Segmentierung und Identitäts-zentriertem Ansatz. Neue Cloud-Security-Werkzeuge: IAM, CASB, CSPM, CWPP, SASE, SIEM, XDR, SOAR. Aktuelle Trends: SBOM, Confidential Computing, Post-Quantum-Cryptography, Passkeys, DevSecOps. Größte Fehler: „Wir sind zu klein", MFA nur für Admins, Backups nur online, Sicherheit als reines IT-Thema delegiert. Im Ernstfall entscheiden Vorbereitung, Incident-Response-Plan, getestete Backups und Meldedisziplin.

Verwandte Lektionen: CIA-Triade (K07) · Cloud-Megatrend · KI & ML · und mehrWeitere relevante LektionenSchwachstellen-Mgmt Kryptografie IDS vs. IPS Shared Responsibility IoT Digitalisierung IHK-Aufgaben