Leitlinien für ein Minimum an Cybersicherheit sollen es insbesondere kleinen bzw. jungen Unternehmen ermöglichen, Schwachstellen in ihrer IT schnell zu erkennen und ihre Security-Maßnahmen zu verbessern.
Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind.
(Bild: chinnarach - stock.adobe.com)
Heute kann jeder von Hacker-Attacken betroffen sein. Deswegen sollten alle Organisationen sich angemessen darauf vorbereiten. Sollte es nun doch zu einem Angriff kommen, ist es unter anderem entscheidend, Datensicherungen zur Verfügung zu haben, um die Geschäftskontinuität sicherzustellen. Mindestanforderungen an IT-Security-Standards lassen sich in folgende Kategorien systematisieren, die von allen Organisationen und Unternehmen, die Compliance anstreben, erfüllt oder idealerweise übertroffen werden sollten:
Identifizierung von Bedrohungen
Die Identifizierung von Schwachstellen bzw. Bedrohungen sollte eine solide Basis jeder wirksamen IT-Security-Strategie darstellen, die sich wiederum in verschiedene Unterabschnitte einteilen lässt.
Im ersten Schritt geht es um die Einrichtung geeigneter Governance-Prozesse für die IT-Security. Diese Richtlinien müssen den benannten Personen klare Verantwortlichkeiten für den Schutz sicherer Informationen vorgeben. Zudem sind Risikobewertungen im Hinblick auf bestehende bzw. in Fachkreisen bekannte Bedrohungen der internen Sicherheitsstrukturen durchzuführen. Ferner sollten immer auch die Sicherheitsprozesse von Partnern aus den Lieferketten überprüft werden.
In einem nächsten Schritt müssen die gespeicherten sensiblen Daten identifiziert und katalogisiert werden. Dabei sind unter anderem folgende Fragen zu klären:
Welche sensiblen Daten werden verarbeitet?
Warum sind diese Daten relevant?
Wo werden sensible Daten gespeichert?
Welche Systeme werden für die Verarbeitung verwendet?
Welche potenziellen Auswirkungen hat der Verlust dieser Daten?
Daten schützen
Die Einrichtung angemessener Maßnahmen für den Datenschutz ist ein wesentlicher Bestandteil eines proaktiven IT-Security-Ansatzes. Dies lässt sich in drei entscheidende Phasen wie folgt unterteilen.
Zum einen der Zugriff auf sensible Daten und wichtige Services darf nur identifizierten, authentifizierten und autorisierten Usern oder Systemen gewährt werden. Systeme, die vertrauliche Daten oder wichtige Services verarbeiten, müssen vor Bedrohungen auf zumindest bekannte Schwachstellen geschützt werden. Dazu gehören vollständige Software-Audits, Validierungen, Verschlüsselungen und Patchings und so weiter.
Hochprivilegierte Daten dürfen nie anfällig für Hacker-Attacken sein. Sie sollten nicht nur komplexen Passwörtern unterliegen, die sich von Standardeingaben unterscheiden, und mit einer Multi-Faktor-Authentifizierung einhergehen, sondern auch nur Personen mit hohem Zugriffsrecht zugewiesen werden. Solche Daten dürfen daher niemals für „Hochrisikofunktionen“ wie beispielsweise Surfen im Internet oder einen E-Mail-Zugriff verwendet werden.
Bedrohungen rechtzeitig erkennen
Mit der Erkennung lässt sich sicherstellen, dass Risiken eindeutig erkannt werden, bevor ein Schaden entstehen oder ein Verstoß auftreten kann. Die Abteilungen müssen für die Erkennung häufiger Hacker-Attacken folgende Maßnahmen ergreifen.
Neben der Definition, was geschützt werden muss und warum, sollten Ereignisse erfasst werden, die mit gängigen Quellen für Bedrohungsinformationen kombiniert werden können, um bekannte Bedrohungen zu erkennen.
Hacker, die versuchen, gängige Cyber-Angriffe durchzuführen, sollten nicht in der Lage sein, unentdeckt auf Technologiedienste zuzugreifen. Für digitale Services, die für Hacker attraktiv sind, sollten Techniken zur Transaktionsüberwachung implementiert werden.
Gezielte Reaktionen
Nach einer Kompromittierung müssen die betroffenen Organisationen in der Lage sein, angemessene und unverzügliche Maßnahmen einzuleiten.
Die Verantwortlichen sollten für den Fall eines Hacker-Angriffs über definierte, geplante und vor allem auch getestete Reaktions- und Managementpläne verfügen, die sich auf sensible Daten oder wichtige Services auswirken.
Effiziente Wiederherstellung
Für einen fortlaufenden Geschäftsbetrieb ist eine schnelle und effiziente Wiederherstellung der betroffenen Daten und Services unabdingbar.
Die Organisationen müssen über klar definierte und getestete Prozesse verfügen, um die Kontinuität wichtiger Services im Falle eines Ausfalls oder einer Kompromittierung sicherzustellen. Dafür sollten Geschäftskontinuitätspläne bzw. Notfallmechanismen eingerichtet und getestet werden, um die Kontinuität wichtiger Betriebsabläufe sicherzustellen.
Mindeststandards weiterentwickeln
Diese Mindeststandards bieten im Hinblick auf Bedrohungen jedoch nur einen rudimentären Schutz. Da sich die Bedrohungen kontinuierlich weiterentwickeln und verschärfen, müssen die Organisationen Möglichkeiten in Betracht ziehen, Best Practices für die Sicherheit bereitzustellen, die über diese Mindestanforderungen deutlich hinausgehen.
Das bedeutet, es muss eine noch robustere Security-Strategie etabliert werden, die für Hacker noch schwieriger zu überwinden ist. Organisationen sollten dabei folgende Kriterien beachten:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Schutz besonders sensibler Daten: Es müssen beispielsweise Regelungen im Hinblick auf die Arbeit im Homeoffice aufgestellt werden. Gerade hier taucht eine Vielzahl von Sicherheitsfragen auf. Mithilfe ein paar spezifischer Sicherheitsrichtlinien und VPN-Schutzmaßnahmen ist es bereits möglich, die Sicherheit deutlich zu erhöhen.
Schutz vor allen Arten von Bedrohungen: Mindeststandards legen die Notwendigkeit fest, sich vor allgemeinen Risiken zu schützen, aber der Anstieg der Cyber-Kriminalität in den letzten Jahren drehte sich oftmals um neue und sich entwickelnde Bedrohungen. Dazu zählen immer schwieriger zu handhabende Ransomware- und Phishing-Angriffe. Hier empfehlen sich unter anderem ein verstärkter Fokus auf Schulungen und reaktionsfähige Sicherheitspläne.
Penetrationstests: Maßnahmen wie beispielsweise Penetrationstests außerhalb der bestehenden Compliances ermöglichen es Unternehmen, technische Risikoniveaus zu identifizieren, die in diesen Standards nicht unbedingt berücksichtigt werden. Dadurch ist es möglich, auftretende Bedrohungen bei der Konfiguration von Sicherheitszielen zu berücksichtigen und eine Schutzbarriere mit dem Potenzial für weitaus umfassenderen Sicherheitswiderstand zu schaffen.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/42/07/4207a6ae481716e03ae4ec1b66b3743d/0129161840v1.jpeg "Patrick van Tent wird zum neuen Vorstand der Verbundgruppe berufen. (Bild: ElectronicPartner)")
:quality(80)/p7i.vogel.de/wcms/73/8a/738a14c02d5f128dc1aeeb97426878cb/0129113507v1.jpeg "Wire hat sein Führungsteam erweitert und Adam Low (l.) zum CTO sowie Oliver Brown zum CCO berufen. (Bild: Wire)")
:quality(80)/p7i.vogel.de/wcms/48/2a/482a0953bf55fcc497763f7dadb6c5d6/0129166170v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/58/9c/589c1ae4ba47109676e32d27326f4156/0129180939v1.jpeg "Omdia sagt für 2026 voraus, dass der Channel-Anteil der weltweiten IT-Ausgaben sinken wird, Partner aber weiterhin eine zentrale Rolle bei IT-Endscheidungen spielen werden. (Bild: GPT Image Editor / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d3/0f/d30f909ea304c3acfdd5bf0a6e54cfe7/0129179494v1.jpeg "Motorola hat neue günstige Smartphones vorgestellt, die IP64-zertifiziert sind und über leistungsfähige Kameras verfügen. (Bild: Motorola)")
:quality(80)/p7i.vogel.de/wcms/11/0f/110f00f836727507d8d29697099001f0/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v. l.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/00/1d0036c8b1393bfba719437de22a0659/0129020958v2.jpeg "Wer zieht noch die Fäden? Autonome KI-Systeme stellen Governance und Sicherheit in Unternehmen infrage. (Bild: © Autism in Focus - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/77/17/77171ecca0a91df61e4862f3f2c60d54/0124926759v2.jpeg "Cyber-Sicherheit ist für Unternehmen nicht mehr optional, sondern eine Notwendigkeit. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/7b/837b633d2b3f82b3d357b177d691e06a/0125618763v2.jpeg "Die Absicherung von SAP-Systemen ist eine kontinuierliche Herausforderung, die technisches Knowhow, strategische Planung und organisatorische Maßnahmen erfordert. (Bild: © Ben - stock.adobe.com)")