In diesem Blog zeigen wir an Praxisbeispielen, wie leicht Unternehmen aufgrund mangelhafter Sicherheitsmaßnahmen Schäden in Millionenhöhe erleiden können. Außerdem erklären wir, warum schon eine einzige übersehene Schwachstelle schwerwiegende Folgen haben kann. Lesen Sie in diesem Blog, warum Unternehmen in Sachen Sicherheit aufrüsten müssen. Um das tun zu können, müssen sie allerdings erst einmal herausfinden, wie es um ihre aktuelle Sicherheit steht.
2024 wurde Orion, ein weltweit führender Hersteller von Carbon Black (Industrieruß), Opfer eines kostspieligen Cyberangriffs, der einen Schaden von etwa 60 Millionen US-Dollar verursachte. Das Unternehmen ging in die Falle, als Hacker einen Mitarbeiter durch eine Täuschung dazu verleiteten, mehrere Überweisungen in Höhe des genannten Betrags zu tätigen.1
Dies ist ein Beispiel für einen typischen Business E-Mail Compromise (BEC)-Angriff, bei dem Cyberkriminelle sich per E-Mail als eine autorisierte Person innerhalb des Unternehmens ausgeben. Das Ziel ist, Mitarbeitende zu folgenschweren Fehlern zu verleiten, zum Beispiel sensible Informationen offenzulegen, Daten preiszugeben oder Gelder zu verschieben.
BEC-Angriffe setzen auf Social-Engineering-Taktiken und werden häufiger eingesetzt, als vielen bewusst ist. Allein in den USA haben BEC-Scams im Jahr 2023 Verluste in Höhe von schätzungsweise 2,9 Milliarden Dollar verursacht.2 Das Federal Bureau of Investigation (FBI) hat die Bedeutung und zunehmende Verbreitung des Problems erkannt und Statistiken sowie Präventionsempfehlungen veröffentlicht, um Betroffene dazu zu bewegen, solche Vorfälle zu melden. Es ist wichtig, herauszufinden, warum solche Angriffe erfolgreich sind.
In der Regel liegt die Ursache für Sicherheitsereignisse in der Cybersicherheit des Unternehmens. Falsch konfigurierte Systeme, veraltete Sicherheitswerkzeuge, unzureichende Zugriffskontrollen und verborgene Schwachstellen können über Monate oder sogar Jahre hinweg unentdeckt bleiben, bis sie von Angreifern ausgenutzt werden.
Unternehmen leiten oft Gegenmaßnahmen erst dann ein, wenn es schon zu einem Vorfall gekommen ist, also zu spät. Im Fall von Orion startete das Unternehmen eine interne Untersuchung, um die Auswirkungen des Vorfalls zu ermitteln und Schwachstellen zu identifizieren. Dabei arbeitete es eng mit den Strafverfolgungs- und Aufsichtsbehörden zusammen.
Aber das ist das typische, reaktive Vorgehen, doch nicht alle Unternehmen können sich kostspielige Wiederherstellungsprozesse leisten. Bei manchen steht die Existenz auf dem Spiel, andere erleiden Betriebsunterbrechungen mit verheerenden Folgen.
Im Jahr 2024 wurde der australische E-Rezept-Provider MediSecure Opfer einer Ransomware-Attacke. Die Angreifer erbeuteten etwa 6,5 TB Daten von etwa 12,9 Millionen Australiern. Diese boten sie angeblich im Darknet zum Verkauf an. Der Vorfall zwang das Unternehmen, seinen Betrieb für einen längeren Zeitraum offline zu nehmen, wodurch der Geschäftsbetrieb für mehr als 30 Tage beeinträchtigt war.3
Kurz nach dem Vorfall geriet das Unternehmen in ernste finanzielle Schwierigkeiten. Es musste Finanzhilfen beantragen und externe Agenturen hinzuziehen, um seinen Geschäftsbetrieb irgendwie weiterführen zu können. MediSecure verlor infolge des Angriffs außerdem seinen wichtigsten Regierungsauftrag.
Der einzig wirksame Weg, größere Schäden zu vermeiden oder sie zumindest einzugrenzen, besteht darin, die internen Sicherheitsmaßnahmen zu verstärken. Dies sollte für jeden Chief Information Security Officer (CISO) oberste Priorität und ein wichtiger Leistungsindikator sein, besonders vor dem Hintergrund, dass 98 % der CISOs davon ausgehen, dass Cyberangriffe in den nächsten drei Jahren zunehmen werden.4
Angesichts der immer kritischer werdenden Bedrohungslage müssen Unternehmen der Optimierung ihres Sicherheitskonzepts höchste Priorität einräumen. Ein guter Ausgangspunkt ist die Beurteilung der bestehenden Architektur und die Identifizierung von Schwachstellen. Dabei sollte man im Blick behalten, dass es bei der Verbesserung der Sicherheit nicht in erster Linie darum geht, in neue Tools zu investieren, sondern vielmehr darum, bestehende Sicherheitslücken zu schließen.
Falls nicht bereits geschehen, ist dies der erste praktische Schritt, um eine solide Grundlage in Sachen Sicherheit zu schaffen. Das schließt eine umfassende Sicherheitsbewertung und eine risikobasierte Evaluierung der gesamten Technologieumgebung ein. Die wichtigsten Prüfpunkte sind Netzwerke, Endpunkte, intelligente Geräte, Anwendungen, Daten, Benutzer, Prozesse und die Datenbankinfrastruktur. Ziel ist es, nachzuvollziehen, wie der Zugriff auf Systeme funktioniert und wie diese geschützt, überwacht und aktualisiert werden.
Stellen Sie sich vor, ein Unternehmen bewertet seine Endpunkt-Sicherheit. Eine typische Evaluation würde unter anderem folgende Informationen liefern: die Gesamtzahl der Endpunkte im Netzwerk, wie viele davon gesichert sind, ob auf Laptops noch veraltete Sicherheitssoftware läuft und ob es Geräte gibt, auf denen Antivirenprogramme oder Firewalls deaktiviert sind.
Diese Art der Bewertung liefert Einblicke, die ansonsten verborgen blieben. Vereinzelte Laptops, auf denen Sicherheitsupdates fehlen, mögen auf den ersten Blick unbedeutend erscheinen, können aber die Ursache für eine Sicherheitsverletzung sein. Tatsächlich haben 68 % der Unternehmen schon einmal einen Cyberangriff erlebt, der auf ungesicherte Endgeräte zurückzuführen war.5
Dies zeigt: Schon eine einzige Schwachstelle kann zu einer Sicherheitsverletzung führen – es ist lediglich eine Frage der Zeit. Ein bekanntes Beispiel ist der berüchtigte Equifax-Hack. Das US-amerikanische Kreditauskunftsunternehmen musste nach einer unbeabsichtigten Offenlegung personenbezogener Daten Schadenersatz in Höhe von über 1,4 Milliarden US-Dollar leisten. 147 Millionen Amerikaner waren von dem Datenleck betroffen. Dazu gekommen war es wegen einer einzelnen Schwachstelle in einer Webanwendung, die Hacker als Einfallstor nutzten. Der Fall zeigt, dass man kein noch so kleines Risiko ignorieren sollte.6
Zwischenfälle wie diese kommen häufig vor. Ein anderer Bericht deckte auf, dass 70 % der Webanwendungen schwere Sicherheitslücken aufweisen.7 Daher beginnt eine umfassende Risikobewertung in der Regel mit einer Bestandsaufnahme der vorhandenen Architektur, einschließlich der Cloud und lokaler Systeme. Anschließend werden Lücken in Richtlinien, Konfigurationen und Kontrollmechanismen identifiziert.
Rahmenwerke wie das NIST Cyber Security Framework, ISO/IEC 27001, CIS Critical Security Controls und SOC 2 können je nach Branche als Referenz genutzt werden. Beispielsweise sind Unternehmen, die Finanzdaten und Zahlungssysteme handhaben, möglicherweise dazu verpflichtet, das PCI DSS-Regelwerk einzuhalten. Solche Rahmenwerke beinhalten strukturierte und wiederholbare Prozesse, um die Sicherheitsaufstellung eines Unternehmens zu beurteilen und zu stärken.
Darüber hinaus können Unternehmen sie nutzen, um Sicherheitslücken zu ermitteln, Best Practices einzuführen, die Einhaltung von Vorschriften sicherzustellen und Risiken zu verringern. Ergänzende Praktiken wie Schwachstellen-Scans, Konfigurationsprüfungen, Identitäts-Checks, Zugriffskontrollen und Penetrationstests sind ebenfalls sinnvoll, um Schwachstellen aufzudecken. Einem Bericht zufolge wurden in den vergangenen zwölf Monaten pro Minute mehr als fünf Schwachstellen entdeckt.8
Schwachstellen-Scans und Penetrationstests unterscheiden sich in Ansatz und Zielsetzung erheblich. Ersteres dient dazu, Schwachstellen, veraltete Software und Fehlkonfigurationen zu ermitteln. Letzteres simuliert realistische Angriffe, die diese Schwachstellen ausnutzen, um anschließend den potenziellen Business Impact zu bewerten. Beides ist notwendig, wobei aber gerade Penetrationstests häufig Probleme aufdecken, die herkömmliche Scans nicht erfassen.
Wichtig ist auch, die Reife und Wirksamkeit der bestehenden Kontrollen zu bewerten. Sind Firewalls ordnungsgemäß konfiguriert? Ist für Konten mit hohem Risiko eine Multi-Faktor-Authentifizierung eingerichtet? Werden Protokolle zentral erfasst und überprüft? Viele Unternehmen glauben, gut geschützt zu sein, nur weil sie Sicherheitstools verwenden. Setzt man diese Tools jedoch nicht effektiv ein, konfiguriert sie falsch oder überwacht sie nicht aktiv, ist ihre Schutzwirkung minimal.
Neben den technischen Tools müssen aber auch die Unternehmensprozesse auf den Prüfstand. Abwehrmaßnahmen sollten dokumentiert und regelmäßig getestet werden. Datensicherungen und Wiederherstellungsmechanismen müssen zuverlässig funktionieren und ständig überprüft werden. Patching-Praktiken sind fristgerecht und lückenlos auszuführen.
Nicht zuletzt sollten Unternehmen ein Risikoregister erstellen, in dem Schwachstellen und ihr möglicher Business Impact aufgelistet sind. So lassen sich Abhilfemaßnahmen ausgehend von den tatsächlichen Risiken und nicht auf der Grundlage von Annahmen priorisieren. Diese umfassende Bewertung bildet die Grundlage für einen maßgeschneiderten und umsetzbaren Plan, mit dem die Resilienz eines Unternehmens gestärkt werden kann.
Ist der aktuelle Stand erfasst, müssen Unternehmen ihren Fokus darauf richten, die Schwachstellen zu beheben und ihre Abwehrmaßnahmen zu stärken – schrittweise und sinnvoll priorisiert. Das Hauptziel sollte eine Risikominderung sein, beginnend mit den kritischsten Schwachstellen und Vermögenswerten, deren Kompromittierung zu schwerwiegenden Störungen führen könnte.
Als erste Maßnahmen bieten sich die Korrektur von Fehlkonfigurationen, das Patchen bekannter Schwachstellen und eine Verschärfung der Identitätskontrollen an, insbesondere im Zusammenhang mit privilegierten Zugriffen. Diese Schritte sind die Grundlage für ein robustes, widerstandsfähiges Sicherheitskonzept.
Patch-Management mag als Lösung einfach erscheinen, ist aber höchst effektiv. Mehr als die Hälfte aller Datenverstöße weltweit lässt sich durch rechtzeitige Updates und Patches verhindern. Rund 84 % der Unternehmen haben hochriskante Schwachstellen, und 50 % davon könnten ganz einfach durch ein Software-Update behoben werden.9
Wenn ältere Systeme und Anwendungen nicht aktualisiert werden können, sollten sie durch die Deaktivierung unnötiger Funktionen und Dienste gehärtet oder isoliert werden, um ihre Anfälligkeit zu verringern. Alle Ressourcen, die mit dem Internet verbunden sind, erfordern strenge Zugriffskontrollen und eine kontinuierliche Überwachung.
Der nächste Schritt ist, robuste Sicherheitskontrollen in allen kritischen Bereichen einzuführen. Dazu gehören Endpoint Detection and Response (EDR), die Verschlüsselung sensibler Daten und die Einführung der Multi-Faktor-Authentifizierung (MFA) in allen Systemen, dies besonders dann, wenn der Zugriff aus der Ferne erfolgt.
Auch die Netzwerkarchitektur bedarf einer Bewertung und gegebenenfalls Umstrukturierung. Dabei sollten die Netzwerksegmentierung und Zero-Trust-Prinzipien berücksichtigt werden, um im Falle einer Sicherheitsverletzung die laterale Bewegungsfreiheit des Angreifers einzuschränken. Es hat sich gezeigt, dass Unternehmen mit dem Zero-Trust-Sicherheitskonzept die finanziellen Auswirkungen von Zwischenfällen um etwa 1 Million US-Dollar reduzieren können.10
In Cloud-Umgebungen bleiben Fehlkonfigurationen eines der wichtigsten Sicherheitsrisiken. Der Einsatz von Tools für das Cloud Security Posture Management (CSPM) und die Ausrichtung der Konfiguration an Sicherheits-Benchmarks sind unerlässlich, um dieses Risiko zu mindern.
Unternehmen müssen außerdem die Transparenz des Systems und ihre Reaktionsfähigkeit verbessern. Eine zentralisierte Protokollverwaltung oder eine SIEM-Lösung (Security Information and Event Management) ermöglicht eine Echtzeitüberwachung, mit der zudem Bedrohungen schneller erkannt werden. Automatisierte Alarme und vorab festgelegte Abhilfemaßnahmen sorgen im Ernstfall für eine einheitliche Reaktion. Automatisierung und Künstliche Intelligenz (KI) spielen eine wichtige Rolle, wenn es darum geht, den Sicherheitsansatz zu verbessen. Sie beugen Verstößen vor und mindern deren Auswirkungen. Diese Technologien ersparen Unternehmen Folgekosten in Höhe von rund 2,2 Millionen Euro.11
Auch die Wiederherstellung nach einem Vorfall ist wichtig. Backup-Lösungen erfordern regelmäßige Tests. Und als Vorsichtsmaßnahme gegen Ransomware-Angriffe sollten moderne Archivierungstechniken wie unveränderliche Backups oder isolierte Wiederherstellungsumgebungen vorhanden sein. Jede Verbesserung muss auf die ursprünglichen Risikoergebnisse zugeschnitten sein. Auf diese Weise kann man einen geschlossenen Prozess schaffen und sicherstellen, dass das Konzept ausgereift ist.
Technologie und Tools sind zwar wichtig, doch ein starker Sicherheitsansatz setzt zunächst einmal voraus, dass in der Unternehmenskultur ein Sicherheitsbewusstsein verankert ist. 50 % aller Cyberangriffe basieren auf Phishing und Social Engineering. Mehrere Berichte kommen zu dem Schluss, dass menschliche Faktoren in 75 % bis 95 % der Cybervorfälle die Hauptursache sind.12
Mitarbeitende aller Abteilungen sollten regelmäßig rollenspezifische Sicherheitsschulungen absolvieren, die über das bloße Abhaken von Compliance-Checklisten hinausgehen. Simulierte Phishing-Tests, Workshops zum sicheren Umgang mit Daten und Übungen zur Meldung von Vorfällen tragen dazu bei, eine Kultur der Wachsamkeit aufzubauen. Menschen sind häufig das schwächste Glied in der Sicherheitskette, doch mit dem richtigen Training können sie jedoch zur ersten Verteidigungslinie werden. Schulungen und Sensibilisierungsmaßnahmen können Vorfälle drastisch reduzieren. 70 % der Angriffe können so verhindert werden.13 Diese Programme zahlen sich aus und tragen dazu bei, dass Teams im Umgang mit sensiblen Daten und IT-Systemen vorsichtiger werden.
Die Unterstützung durch die Führungsebene ist entscheidend, damit Sicherheitsmaßnahmen erfolgreich sind. Sicherheitsteams müssen sich an den Unternehmenszielen orientieren und die wirtschaftlichen Aspekte der Risiken Entscheidungsträgern gegenüber kommunizieren. Die Einbindung der Führungsebene sichert die Finanzierung, fördert die Zusammenarbeit und stellt sicher, dass dem Thema Sicherheit Priorität eingeräumt wird. Dashboards, KPIs und Briefings für Führungskräfte verbessern die Transparenz und schaffen Bewusstsein für die Verantwortung.
Angesichts der veränderlichen Bedrohungslage in der heutigen Zeit müssen Unternehmen ihre Abwehrmaßnahmen regelmäßig überprüfen. Um sicherzustellen, dass die Kontrollen effektiv und immer auf dem neuesten Stand sind, sind viele Maßnahmen notwendig. Etwa kontinuierliche Schulungen von Notfallteams, Penetrationstests, Simulationen und Konfigurationsprüfungen.
Unternehmen mit guter Reaktionsfähigkeit und solche, die ihre Systeme regelmäßig testen, sparen im Vergleich zu denjenigen, die das nicht tun, rund 2,66 Millionen US-Dollar.14
Sicherheitsmaßnahmen können allerdings im Laufe der Zeit durch verschiedene Einflussfaktoren an Wirksamkeit verlieren. Beispiele sind die Einführung neuer Technologien, verändertes Benutzerverhalten oder neu aufkommende Bedrohungen. Darum ist eine regelmäßige Neubewertung und Feinabstimmung des Sicherheitskonzepts unerlässlich. Unternehmen, die Investitionen nach dem bestehenden Risiko priorisieren, sind dreimal seltener von Cyberangriffen betroffen.15
Für viele Unternehmen, insbesondere solche mit begrenzten internen Ressourcen, hat die Zusammenarbeit mit Managed Security Service Providern (MSSPs) oder die Nutzung von Managed Detection and Response (MDR)-Diensten erhebliche Vorteile. Sie bieten Betreuung durch erfahrene Analysten, Überwachung rund um die Uhr und erweiterte Bedrohungsinformationen. Diese Kapazitäten können viele Unternehmen intern nicht ständig bereitstellen.
Ein robustes Sicherheitskonzept beinhaltet mehr als nur Tools und Technologie. Sicherheit erfordert ständige Aufmerksamkeit, Weiterbildung und die Zusammenarbeit zwischen verschiedenen Bereichen und Funktionen im Unternehmen.
T-Systems unterstützt Sie gerne, wenn Sie Ihre Sicherheitsmaßnahmen bewerten und optimieren möchten. Mit unserem umfangreichen Know-how im Bereich der Cybersicherheit, einem globalen Netzwerk von SOCs und einem Team aus über 2.600 Experten sind wir bestens aufgestellt, um Sie auf Ihrem Weg zu mehr betrieblicher Resilienz zu unterstützen.
Nehmen Sie noch heute Kontakt mit uns auf und machen Sie den nächsten Schritt.
1 Orion Data Breach Article, 2024, CEN News
2 BEC Article, 2025, Proofpoint
3 MediSecure Data Breach Article, 2024, Forbes
4 CSC Survey, 2025, CSC Global
5 Endpoint Security Statistics, 2025, SpyHunter
6 The Equifax Hack Article, 2025, Framework Security
7 Security Gaps Statistics, 2025, Security Magazine
8 Cyber Security Vulnerability Statistics, 2025, Astra
9 Cyber Security Vulnerability Statistics, 2025, Astra
10 Zero Trust Implementation Article, 2024, Managed Services Journal
11 Cost of Data Breach, 2024, IBM
12 The Human Factor and Cybersecurity Article, 2025, RSA Conference
13 Security Awareness Statistics, 2025, Keepnet Labs
14 Cyber Security Incident Response Article, 2025, Balbix
15 Cyber Security Threat Management Article, 2023, Gartner
