Special_05_it-sa_web

1

Verlagsbeilage Oktober 2025 Die Zeitschrift für Informations-Sicherheit m i t L e s e p r o b e a u s d e m S p e c i a l H a u p t h e f t Digitale Zwillinge: Den Angreifern voraus Seite 16 Cyber- Souveränität: Deutschland wohnt zur Miete Seite 12 it-sa 2025 Trends, Produkte, Lösungen

2

3

Mitherausgeber Inhalt Inhalt Verzahnte Security-Strategien SaaS oder Insellösungen? Der Weg zur modernen Public-Key-Infrastruktur Reifegrad der KI und Auswirkun- gen auf die Risikoexposition Deutschland wohnt technologisch zur Miete Vision 2026: Sicherheit, die mitwächst Den Angreifern einen Schritt voraus KI-Governance: Pfl icht oder Wettbewerbsvorteil? 4 6 8 10 12 14 16 18 it-sa 2025: IT-Sicherheitshersteller ESET stellt die Vertrauensfrage 20 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025 m o c . e b o d a . k c o t s / e t e P : d l i B 3

4

it-sa 2025 Verzahnte Security-Strategien Wie integrierte Führungs- und Technikstrukturen Cybersicherheit nachhaltig stärken Fehlende Abstimmung zwischen Sicherheitstechnik und Governance-Strukturen schwächt die Cy- bersicherheit vieler Organisationen. Besonders die Schnittstellen zwischen Technologie, Manage- ment und Unternehmensprozessen weisen kritische Lücken auf, die Angreifer ausnutzen können. Von Tim Cappelmann, AirITSystems GmbH Noch immer arbeiten viele Organisationen in Cy- bersecurity-Technik-Silos. Über die Jahre haben sich Tech- nologie-Stacks entwickelt, getrieben von Bedrohungslagen, Innovationen und Zufällen. Diese bilden bis heute die Grundlage für Erkennung und Reaktion auf Cybervorfälle. „Historisch gewachsen“ erklärt zwar Ineffizienzen, doch tatsächlich entstehen viele Probleme, weil technische Security-Lösungen kein konsistentes Ökosystem bilden. Zu viele Brüche behindern Automatisierung und erschwe- ren die flexible Anpassung an neue Bedrohungen. Diese fehlende Integration erzeugt „horizontale Systembrüche“ innerhalb derselben Sicherheitsschicht. Mit Blick auf nachhaltige Effekte prägt der Securi- ty-Spezialist AirITSystems den Begriff der „vertikalen Sys- tembrüche“: strukturelle Lücken zwischen Security-Tech- nologien, Managementsystemen und geschäftskritischen Prozessen. Sie entstehen dort, wo Technologie-Stack, Be- triebsführung und IT-Governance eigentlich ineinander- greifen sollten und führen zu ineffizientem Budgeteinsatz, falschen Prioritäten und Ressourcenknappheit in der pro- aktiven Cyberabwehr. Die Symptome dieses strukturellen Problems sind deutlich: Richtlinien des Informationssicherheitsbeauftrag- ten (ISB) erscheinen technischen Spezialisten oft zu abs- trakt und schwer umsetzbar. Security-Maßnahmen werden meist reaktiv im- plementiert, statt von Projektbeginn an integriert. Das Sicherheitsniveau ist uneinheitlich: Während die Perimetersicherung oft stark ausgebaut ist, bleibt die Cloud-Absicherung schwach. Methodisches Risikomanagement ist im operati- ven IT-Betrieb häufig nicht ausreichend verankert. Fehlende Architekturstandards und unklare Steu- erung führen zu horizontalen Systembrüchen in Security- Technologien. Verzahnte Security- Strategien: Struktu- relle Herausforderun- gen erkennen und proaktiv lösen (Bild: AirITSystems GmbH) Normierte Risiko-Daten | gemeinsame Betriebsführungs-Prozesse | ISMS -Board oder -Komitee Technologie Governance Management o u Q s u t a t S n e b a g r o v l e Z i Technik-Silos Fehlende Systemintegration Inkompatible Sicherheitslösungen Veraltete Software • • • • • Geringe Automatisierung • Unklare Rollen und Zuständigkeiten • Brüche zwischen Technologie, Governance, und Management Fragmentierte Steuerung von IT-Risiken Formale Strukturen ohne echte Zusammenarbeit Reaktive, unkoordinierte Sicherheitsmaßnahmen • • • Abstrakte, schwer umsetzbare Richtlinien Reaktive Sicherheitsstrategie • • • Uneinheitliches Sicherheitsniveau • Risikomanagement nicht im Betrieb verankert Trennung zwischen IT-Security und Informationssicherheitsbeauftragten (ISB) • Ad-hoc-Reaktionen auf Ereignisse → Integrierte Sicherheitsarchitektur → Einheitliche Schnittstellen → Kompatible Sicherheitslösungen → Aktuelle Softwareplattformen → Hohe Automatisierung & Flexibilität → Klar deﬁnierte Rollen und Zuständigkeiten → Verzahnung von Technologie, Governance und Management → Integrierte IT-Risikosteuerung → Verbindliche, gelebte Zusammenarbeit → Proaktive Sicherheitssteuerung auf Vorstandsebene → Klare, praxisorientierte Vorgaben → Integriertes, proaktives Sicherheitsmanagement → Einheitliches, messbares Sicherheitsniveau → Vollintegriertes Risikomanagement → Zusammenarbeit statt Silos Security-Initiativen und kontinuierliche Verbesserung Ergebnis Durch die Verzahnung von Technologie, Governance und Management entsteht eine Sicherheitsarchitektur, die Resilienz, Efﬁzienz und Agilität stärkt. 4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025

5

Die Ursachen liegen häufig in der organisatori- schen IT-Struktur. Vertikale Systembrüche deuten auf un- gelöste Führungsfragen hin. Sicherheitsmanagement im Elfenbeinturm Die Verantwortlichen für IT-Security agieren häu- fig zu isoliert vom Beauftragtenwesen. Dadurch entstehen oft komplexe Informationssicherheits-Managementsyste- me (ISMS), in denen Verantwortliche in einem kontinu- ierlichen Verbesserungsprozess die Sicherheit vermeintlich erhöhen, ohne IT-Security-Experten und zugrundeliegen- de Technologien ausreichend einzubeziehen. Das Top-Management definiert den Rahmen für das anzustrebende Sicherheitsniveau, bezieht dabei Infor- mationssicherheits-Experten ein und bestellt einen Beauf- tragten für die Steuerung der Informationssicherheit. Die- ser entwickelt verbindliche Vorgaben und implementiert das Regelwerk als Geschäftsanweisungen. Die operativen IT-Einheiten sind anschließend verantwortlich, diese Vor- gaben umzusetzen und mit geeigneten Technologien und Prozessen darauf zu reagieren. In der Praxis sind viele Sicherheitstechnologien und begleitende Betriebsprozesse bereits von IT-Fachex- perten initiiert worden. Firewalls und Schadcodescanner sind etabliert, oft lange vor der formellen Dokumentation durch den Informationssicherheitsbeauftragten. Dadurch wird der ISB von den Experten als wenig unterstützend wahrgenommen. Um diese Lagerbildung zu überwinden, müssen organisatorische Barrieren abgebaut und die Zu- sammenarbeit etabliert werden. Organisatorische Brüche als Sicherheitsrisiko Es fehlt an verbindenden Elementen zwischen dem formalen ISMS-Paperwork und der technischen Um- setzung. Die Symptome resultieren aus nicht verzahnten vertikalen Brüchen in der Organisationsstruktur. Zustän- digkeitsgrenzen verhindern oft die enge Zusammenarbeit, was für die Querschnittsfunktion Sicherheit kontrapro- duktiv ist. Klare Regelungen zu Zuständigkeiten und Verant- wortlichkeiten sind Kernpflicht der Geschäftsführung, des Vorstands oder der Behördenleitung. Wird diese Pflicht vernachlässigt, können Schadenersatzforderungen und strafrechtliche Konsequenzen drohen. Der Automatismus, Beauftragte für Informa- tionssicherheitsmanagement, Risikomanagement und Datenschutz zu bestellen, senkt die Haftungsrisiken der Führungsebene. Gleichzeitig führt er oft dazu, dass die oberste Leitung sich zu sehr auf formale Bestellungen be- schränkt. Die Organisation erreicht mit Normanforderun- gen den gewünschten Reifegrad bei Managementsyste- men, Schnittstellen und Zuständigkeiten nur langsam. Gleichzeitig zwingen der dynamische IT-Markt und die Schnelllebigkeit der Angreifer die IT zu reaktivem Han- deln. Lösungen werden von Technikern beschafft, im- plementiert und vom IT-Betrieb dann mühsam am Lau- fen gehalten. So entstehen fragmentierte IT-Systeme, die kaum noch zu verteidigen sind. Ganzheitliche Sicherheitsstrategien Das reine Ausweiten von Organisationen durch Managementsysteme und Beauftragte in Stabsstellen reicht nicht aus. Unternehmenssicherheitsziele müssen stärker in die Geschäftsstrategie integriert werden, jedoch unter Be- rücksichtigung rechtlicher und branchenspezifischer Anfor- derungen. Daraus entsteht die Notwendigkeit, diese in eine passende Sicherheitsarchitektur zu übersetzen. Doch was bedeutet es konkret, Sicherheit am Business auszurichten? Die Integration rechtlicher, technischer und or- ganisatorischer Perspektiven ist essenziell und erfordert Dolmetscher: Business-Analysten, Enterprise-Architekten sowie Experten für Informationssicherheit, Datenschutz und Cybersecurity arbeiten mit Business-Vertretern, Con- trollern und Risikomanagern in einem interdisziplinären Gremium für Unternehmenssicherheit, das direkt an die oberste Führung berichtet. IT-Risiken müssen ernsthaft im allgemeinen Ri- sikokatalog verankert und zugänglich gemacht werden, denn unterschiedliche Fachsprachen und Komplexi- tät führen häufig zu Integrationsbrüchen. Risiken wer- den oft pauschal bewertet oder verschwinden hinter Sam- melbegriffen wie Patch- oder Benutzermanagement. Eine verstärkte Kooperation zwischen IT und Controlling ist zukünftig notwendig, um Bewertungsmaßstäbe zu verein- heitlichen und IT-Risiken unternehmensweit transparent zu machen. Das Risikomanagement steuert so Investitio- nen, priorisiert Maßnahmen und löst Abhängigkeiten. Erweitert man Governance-Funktionsstellen um Business-Vertreter und orientiert das Risikomanagement konsequent am Organisationszweck inklusive der IT-Risi- ken, entsteht die Grundlage für die Steuerung von Verbes- serungspotenzialen, Schwachstellen und Risiken. Einzel- beauftragte werden durch agile, multidisziplinäre Teams ersetzt, was eine moderne, schnelle und ef- fektive Steuerungsstruktur gewährleistet. ■ AirITSystems GmbH Halle 7, Stand 105 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025 5

6

noris Halle 7, Stand 7 – 212 it-sa 2025 SECaaS oder Insellösungen? Security-as-a-Service verspricht aktuelle Schutzmechanismen ohne eigene IT-Sicherheitsinfra- struktur. Doch was steckt dahinter, für wen lohnt sich das Modell und worauf sollten Unterneh- men achten? Von Stefan Tiefel, noris network AG Security-as-a-Service (SECaaS) bedeutet, IT-Si- cherheitsfunktionen an spezialisierte Anbieter auszula- gern. Die Dienste kommen aus der Cloud, ähnlich wie bei SaaS-Angeboten. Unternehmen mieten Sicherheitstech- nologien, die von Experten betreut und regelmäßig aktu- alisiert werden. Häufig ist das Zero-Trust-Prinzip integra- ler Bestandteil. Im Gegensatz zur traditionellen IT-Sicherheit, bei der Unternehmen Hardware und Software selbst ver- walten, basiert SECaaS auf Cloud-Technologie. Das spart Ressourcen und erhöht die Flexibilität. Gleichzeitig erset- zen Zero-Trust-Strategien das „Vertrauen durch Stand- ort“: Sie verifizieren jeden Zugriff, bevor sie ihn gewähren. ren Kunden vom Fachwissen der Anbieter, die eine Rund- um-die-Uhr-Überwachung, schnelle Reaktionszeiten und kontinuierliche Weiterentwicklung der Sicherheitslösun- gen gewährleisten. Die automatische Aktualisierung der Systeme und die konsequente Umsetzung von Zero-Trust- Prinzipien stellen weitere Pluspunkte dar. Diesen Vorteilen stehen jedoch auch Risiken ge- genüber: Die Abhängigkeit vom Anbieter (Vendor-Lock- in) kann problematisch werden, besonders wenn ein Wechsel erforderlich wird. Datenschutzrechtliche Beden- ken müssen sorgfältig geprüft werden, und Unternehmen müssen der Cloud-Infrastruktur von Drittanbietern ein gewisses Vertrauen entgegenbringen. Modulare Bausteine Einfache Integration Security-as-a-Service-Angebote bestehen typi- scherweise aus verschiedenen Komponenten, die Unter- nehmen bedarfsgerecht kombinieren können: Identity and Access Management (IAM): Steue- rung des Datenzugriffs Netzwerkschutz: Firewalls und Intrusion Detec- tion Endpunktschutz: Schutz für Geräte wie Laptops oder Smartphones Cloud-Sicherheit: Schutz für Plattformen wie Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS) Data Loss Prevention (DLP): Verhinderung unbe- absichtigter Datenverluste Zero-Trust-Architekturen: Verhindern unautori- sierter Zugriffe durch strikte Zugriffskontrollen Vorteile und Risiken Das SECaaS-Modell bietet mehrere Vorteile: Es ermöglicht hohe Flexibilität und Skalierbarkeit, da Un- ternehmen neue Nutzer oder Funktionen unkompliziert hinzufügen können. Statt hoher Anfangsinvestitionen fal- len planbare monatliche Gebühren an. Zudem profitie- Die Einführung von SECaaS gestaltet sich meist unkompliziert, sofern die technischen Grundvorausset- zungen erfüllt sind. Die meisten Anbieter unterstützen ihre Kunden beim Setup, bei Schulungen und der fort- laufenden Betreuung. Zero-Trust-Konzepte lassen sich schrittweise integrieren und an bestehende Systeme anpas- sen. Bei der Auswahl eines Dienstleisters sollte man auf transparente Preismodelle, auf einen zuverlässigen Sup- port, auf DSGVO-Konformität und auf Zertifizierungen (z. B. ISO 27001) achten. Neben technischen Aspekten spielen rechtliche Vorgaben und Compliance-Anforderungen eine zentrale Rolle bei der Entscheidung für SECaaS. Entscheidend ist, dass die Datenverarbeitung in europäischen Rechenzen- tren oder unter gleichwertigen Datenschutzstandards er- folgt. Zertifizierungen schaffen zusätzliche Sicherheit und Nachvollziehbarkeit. Unternehmen müssen zudem das Prinzip der ge- teilten Verantwortung (Shared-Responsibility-Model) berücksichtigen: Bestimmte Aufgaben übernimmt der Anbieter, während andere eindeutig beim Kunden verblei- ben. Diese Verantwortlichkeiten sollten vertraglich klar geregelt sein. ■ 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025

7

OT-Cybersicherheit für Industrial Automation und Control Systems (IACS): Vom Risiko zur Resilienz: Mit dem Seminar zum OT-Security Manager (TÜV®) Warum OT-Cybersicherheit heute unverzichtbar ist Produktionsanlagen, Energieversorgung, Logistik – sie alle basieren auf Operational Technology (OT). Diese Syste- me sind das Herzstück moderner Industrieprozesse. Doch mit der zunehmenden Vernetzung von IT und OT steigt die Gefahr: Cyberangriffe auf industrielle Steuerungssysteme (IACS) sind längst keine Seltenheit mehr. Die Folgen? Produktionsausfälle, Sicherheitsrisiken, hohe Kosten und Reputationsschäden. Die EU-Richtlinie NIS-2 und die internationale Norm IEC 62443 setzen klare Anforderungen: Unternehmen müssen ihre OT-Systeme systematisch schützen – und das nicht nur technisch, sondern auch organisatorisch und strategisch. Die zentralen Aufgaben der OT-Cybersicherheit OT-Cybersicherheit ist mehr als Firewalls und Virenscanner. Sie umfasst:  Risikomanagement: Welche Bedrohungen existieren für Ihre Anlagen? Welche Schwachstellen sind kritisch?  Zieldefinition: Welche Sicher- heitsniveaus (Security Levels) sind für Ihre Systeme angemessen?  Zonenbildung: Welche Bereiche müssen voneinander getrennt werden, um Angriffsflächen zu minimieren? die Effizienz durch klare Prozesse. Gleichzeitig bleiben Ihre Anlagen über den gesamten Lebenszyklus hinweg zuverlässig und sicher – ein echter Wettbewerbsvorteil für Ihr Unternehmen. Die wichtigsten Schritte zur Umsetzung 1. Analyse der OT-Umgebung: Verstehen Sie Ihre Systeme und deren Abhängigkeiten 2. Einführung eines Management- systems: Strukturierte Prozesse für Sicherheit und Compliance  Verantwortlichkeiten: Wer trägt 3. Integration in bestehende wofür die Verantwortung – vom Management bis zur Technik?  Kontinuierliche Überwachung: Wie stellen Sie sicher, dass Ihre Schutzmaßnahmen dauerhaft wirken? Eine starke OT-Cybersicherheits- strategie schützt nicht nur vor Angriffen, sondern sorgt für stabile Produktionsabläufe und rechtliche Sicherheit. Sie erfüllt Anforderun- gen wie NIS-2, schafft Vertrauen bei Kunden und Partnern und steigert Frameworks: OT-Sicherheit wird Teil Ihrer Unternehmensstrategie 4. Schulung und Sensibilisierung: Alle Beteiligten müssen die Risi- ken kennen und handeln können 5. Audit und Review: Regelmäßige Überprüfung und Anpassung Ihrer Maßnahmen Unterstützung für Unternehmen  OT-Cybersicherheit strategisch steuern und gesetzeskonform umsetzen: Das Seminar OT- Security Manager (TÜV®) Schlüsselrolle in der OT-Cyber- sicherheit übernehmen! Das 4-tägiges Seminar vermittelt praxisnahes Wissen zur IEC 62443 und NIS-2 – speziell aus Manage- mentperspektive. Mit Fallstudien, Workshops und einem TÜV-Zerti- fikat sind Sie bestens gerüstet, Ihre OT-Sicherheit auf das nächste Level zu bringen. Alle Details zum Seminar: OT-Security Manager (TÜV®)

8

it-sa 2025 Vom Zertifikatschaos zur Krypto-Agilität: Der Weg zur modernen Public-Key-Infrastruktur Über Jahre gewachsene Zertifikatslandschaften stoßen heute an ihre Grenzen. Steigende An- forderungen durch Cloud, IoT und Quantenkryptografie machen ein Umdenken erforderlich. Wie Organisationen von manueller Verwaltung zur modernen, skalierbaren Public-Key-Infrastruktur (PKI) gelangen können, zeigt dieser Beitrag. Von Thomas Weber, ID Security Die Zertifikatsverwaltung ist in vielen Organisa- tionen von gewachsenen Strukturen geprägt: Über Jah- re entstandene Infrastrukturen treffen auf knappe interne Ressourcen, was eine strukturierte Verwaltung erschwert. Obwohl der Bedarf an Zertifikaten kontinuierlich gestie- gen ist, wurden die Prozesse nur unzureichend angepasst. Certificate Automation bleibt vielfach Wunschdenken. Parallel dazu beschleunigt die IT-Transformati- on den Zertifikatsbedarf: Microservices, DevOps, Cloud und das Internet of Things lassen die Zahl der Zertifika- te rasant anwachsen. Zahlreiche Organisationen verwalten TLS/SSL-, Code-Signing-, Geräte- und Client-Zertifikate noch manuell – ein Vorgehen, das erhebliche Risiken für Ausfälle und Sicherheitslücken birgt. Spätestens wenn der Chief Information Securi- ty Officer (CISO) Fragen stellt wie „Sind wir Post-Quan- tum-ready?“ oder „Wo finde ich eine Übersicht aller kryp- tografischen Assets?“, wird deutlich, dass einfache Excel-Tabellen nicht mehr ausreichen. Die zentrale Her- ausforderung lautet: Wie gelingt der Umstieg auf eine moderne, skalierba- re und zukunftssichere Public-Key- Infrastruktur? ID Security Halle 9, Stand 9 – 346 (TeleTrust Messestand) Awareness und Strategien Ein professionelles Vorgehen beginnt mit Trans- parenz: Grundlage ist die vollständige Inventarisierung al- ler Zertifikate, Certification Authorities (CAs) und kryp- tografischen Assets. Nur auf dieser Basis lassen sich gezielte Modernisierungsschritte umsetzen. Unterstützung bieten spezialisierte Tools, die Schlüssel, Zertifikate, Algorith- men, Bibliotheken und Protokolle systematisch erfassen. Ein standardisiertes Inventar der Kryptokomponenten – vergleichbar mit einer Stückliste für Software (Software Bill of Materials, SBOM), jedoch auf kryptografische As- sets zugeschnitten – wird im sogenannten Cryptography Bill of Materials (CBOM) abgebildet (siehe Infokasten). Darauf aufbauend folgt die Definition eines Ziel- bildes: Welche Architektur soll künftig gelten? Eine zen- trale PKI oder mehrere spezialisierte Instanzen? On-Pre- mises oder als Software as a Service (SaaS)? Ziel ist ein tragfähiges Architekturmodell, das skalierbar ist und zu- gleich regulatorischen sowie branchenspezifischen Anfor- derungen entspricht. Einführung eines modernen CLM-Systems Mit diesen Zielen im Blick folgt die Auswahl eines Certificate-Lifecycle-Management-(CLM)-Systems, das nicht nur Automatisierung verspricht, sondern auch um- fassende Sichtbarkeit, Self-Service-Möglichkeiten, Gover- nance-Funktionen und eine echte Policy-Steuerung bietet. Denn Automatisierung allein reicht nicht – sie muss an konkreten Zielen ausgerichtet sein. Daneben sind Zertifikats-Discovery, Workflow-Automatisierung und Integrationen mit bestehenden Systemen essenziell für den Einsatz eines CLMs. Neben Rollen und Verantwort- lichkeiten werden auch Genehmigungsketten (Approval- Workflows) im CLM abgebildet. So entsteht eine stabile Basis, die Wildwuchs und Ausfälle verhindert. In der IT-Landschaft übernimmt das CLM die Funktion einer zentralen Steuerungs- und Integrations- schicht. Es kann klassisch On-Premises betrieben werden, wo es sich eng an bestehende interne PKI-Infrastrukturen und Sicherheitsvorgaben anlehnt, oder in der Cloud, wo es durch Skalierbarkeit und Anbindung an moderne Platt- 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025

9

formdienste zusätzliche Flexibilität bietet. Besonders in- teressant ist ein hybrides Modell: Ein CLM in der Cloud kann mit einer lokalen PKI kombiniert werden und so eine Brücke zwischen bestehenden Strukturen und neuen Cloud-Architekturen schlagen. Diese Positionierung er- möglicht es Unternehmen, zunächst ihre Prozesse zentral zu konsolidieren und zu automatisieren, um dann schritt- weise – wenn regulatorisch und strategisch sinnvoll – eine vollständige Migration in die Cloud vorzubereiten. Standardisierte Protokolle wie ACME, CEP/CES oder EST bieten bereits eine breite Unterstützung für die automatische Ausstellung, Verlängerung und den Wider- ruf von Zertifi katen. Ein zukunftsorientiertes CLM geht jedoch darüber hinaus und stellt zusätzlich eine REST-API bereit. Diese Schnittstelle ist im DevOps-Umfeld beson- ders wertvoll, weil sich Zertifi katsprozesse damit nahtlos in CI/CD-Pipelines, Container-Orchestrierungen oder individuelle Business-Applikationen integrieren lassen. Zertifi kate werden so zu einem automatisierten, unsicht- baren Bestandteil des Entwicklungs- und Betriebsprozes- ses – und nicht länger zu einem manuellen Engpass. Dabei gilt es aber auch, die technologische Zu- kunftssicherheit im Blick zu behalten. Das ältere SCEP- Protokoll hat im Netzwerkumfeld lange gute Dienste ge- leistet, erfüllt jedoch moderne Sicherheitsanforderungen nicht mehr und ist für eine Quantum-safe-Strategie un- geeignet. Unternehmen sollten daher frühzeitig Pläne ent- wickeln, um von SCEP auf zeitgemäßere Protokolle zu migrieren. Intelligente Discovery-Verfahren In der Praxis reicht ein einfaches Port-Scanning längst nicht mehr aus. Zwar lassen sich so Zertifi kate auf off enen Services identifi zieren, doch bleibt der Blick ober- fl ächlich. Fortschrittliche Methoden setzen auf intelligen- tes Port-Scanning, bei dem zusätzlich die Konfi gurationen von Web- oder Applikationsservern ausgelesen werden. So lässt sich nicht nur ermitteln, welche Zertifi kate eingesetzt werden, sondern auch, welche kryptografi schen Algo- rithmen zugelassen sind – ein entscheidender Faktor, um mögliche Schwachstellen frühzeitig zu erkennen. Darüber hinaus können weitere Verfahren zum Einsatz kommen: Die Synchronisation mit CA-Daten- banken deckt ungemanagte Zertifi kate auf, die bislang außerhalb des CLM geführt werden. Netzwerksniffi ng – meist mit dedizierten Hardware-Appliances – bietet zu- sätzliche Einsichten in den laufenden Verkehr. Ebenso wichtig ist das Filesystem-Scanning, das gezielt nach loka- len Keystores sucht und diese in das CLM integriert. Da- mit wird nicht nur die Transparenz erhöht, sondern auch der Grundstein für das automatisierte Management dieser Keystores gelegt. Cryptography Bill of Materials (CBOM) Ein vergleichsweise neues Konzept im Kon- Ein vergleichsweise neues Konzept im Kon- text von Zertifi kats- und Schlüsselmanagement ist die Cryptography Bill of Materials (CBOM). Darin werden kryptografi sche Eigenschaften dokumentiert – von Algorithmen, Zertifi katen, Protokollen und Schlüsseln bis zu sicherheitsrelevanten Werten wie Tokens, Nonces oder Passwörtern. Guter Einstieg: CBOMkit von IBM (OpenSource), https://github.com/ IBM/cbomkit (Bild: ID Security) Wesentlich ist, dass Discovery nicht als einmalige Bestandsaufnahme verstanden wird, sondern als kontinu- ierlicher Prozess: Die gefundenen Zertifi kate und Schlüssel müssen fortlaufend im Policy-Modul des CLM mit den un- ternehmensspezifi schen Sicherheitsrichtlinien abgeglichen werden. Nur durch diese laufende Risikoanalyse lassen sich veraltete Algorithmen, schwache Schlüssel oder falsch kon- fi gurierte Zertifi kate rechtzeitig identifi zieren. ■ Automatisierung mit einem CLM Als zentrales Backend einer Zertifi katsverwal- Als zentrales Backend einer Zertifi katsverwal- tung steuert eine CLM alle Prozesse für interne und externe PKI Systeme. Flexible Dashboards ermögli- chen die Darstellung relevanter Daten und bevorste- hender Ereignisse. Modernes CLM: CEMA von ID Security, www.id-security.com (Bild: ID Security) © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025 9

10

it-sa 2025 Reifegrad der KI und Auswirkun- gen auf die Risikoexposition Experten diskutieren auf der it-sa, ob KI die Sicherheitsland- schaft revolutioniert oder nur ein weiteres Werkzeug ist Die zunehmende Nutzung von Künstlicher Intelligenz (KI) in der Cybersicherheit wirft grundle- gende Fragen zur Verteidigungsstrategie auf. Bis 2026 könnte sich zeigen, ob KI nur ein weiteres Werkzeug oder eine echte technologische Revolution darstellt. Sicherheitsexperten stehen vor der Herausforderung, das richtige Maß an Vertrauen und Kontrolle für KI-Systeme zu finden. Von Bastian Hallbauer, Kafka Kommunikation Die Häufung von Schwachstellen und erfolgrei- chen Angriffen auf KI-Systeme zeigt die Verwundbarkeit dieser Technologie. Gleichzeitig entwickeln Cyberkrimi- nelle eigene KI-Tools oder nutzen vorhandene Systeme durch geschicktes Prompting für ihre Zwecke. Für IT-Sicherheitsverantwortliche stellt sich die Frage, wie viel Vertrauen sie der KI schenken können – und aufgrund von Ressourcenmangel vielleicht auch müssen. Sie müssen entscheiden, wie viel Governan- ce von KI oder mit KI sie zulassen können oder müssen und wie sie diese Kontrollebene außerdem so flexibel halten, dass sie mit den nächsten Sprüngen mithalten kann. Cloudflare in Halle 7A – 226 KnowBe4 in Halle 6 – 105 Proliance in Halle 7 – 205 Auf einem Panel auf der it-sa werden die Teilnehmer Stefan Henke, RVP DACH bei Cloudflare, Dr. Martin Krämer, Securi- ty Awareness Advocate bei KnowBe4 und Florian Müller Head of Product & Technology bei Proliance dieses The- ma diskutieren. Martin Krämer sieht in KI eine große Chance für die Cybersicherheit, insbesondere Agentic AI verspricht Effizienz- und Qualitätssteigerungen, die bei der Vertei- digung entscheidende Verbesserungen liefern können. „Es geht darum, KI wohlüberlegt, in großem Umfang und mit mehrschichtigen Abwehrmaßnahmen einzusetzen“, gibt Stefan Henke zu Bedenken, doch „wer zögert, ris- kiert, nicht nur von Angreifern überholt zu werden, son- dern auch von Wettbewerbern.“ Florian Müller teilt die Einschätzung, sieht aber einen Unterschied im Reifegrad und in der Governance: „Unkuratiert eingesetzte KI erhöht die Komplexität der Sicherheitslandschaft und schafft neue Angriffswege.“ Doch auch die andere Seite setzt auf KI. Sie er- möglicht Cyberkriminellen Exploits aufzudecken oder großflächige Social Engineering-Attacken mit geringem Aufwand durchzuführen. Speziell in der Cloud kann so ein Angriff in unter zehn Minuten gelingen. Letztlich stärkt KI also beide Seiten, Verteidiger aber auch Angrei- fer. Für Henke ist daher entscheidend, wer ihre Fähigkei- ten effektiver nutzt. Governance als Schlüsselfaktor KI vergrößert allerdings auch die Angriffsfläche. Krämer ist der Meinung, „dass Effizienzsteigerungen bei der Verteidigung sie möglicherweise kleiner oder wenigs- tens einfacher zu bewältigen erscheinen lassen.“ Müller pflichtet ihm bei, „wenn KI als Kontrollverstärker wirkt, kann sie für weniger unerkannte Schwachstellen und de- ren schnellere Schließung sorgen.“ Es kommt also auf die richtige Governance an, die für Henke ein „lebendi- ges Rahmenwerk, ein Betriebssystem des Vertrauens“ sein muss: „Im Kern sollten klare Grenzen dafür definiert wer- den, wie KI-Systeme in Sicherheitsumgebungen trainiert, eingesetzt und überwacht werden.“ Krämer ergänzt die für ihn wichtigen Faktoren: „Transparenz und Nachvollzieh- barkeit, menschliche Kontrolle und Resilienzsteigerung, Robustheit, und Verantwortlichkeit.“ Wie KI für die IT-Sicherheit richtig eingebettet wird, soll auf dem Panel am Mittwoch, den 8. Oktober von 13:00 bis 13:30 Uhr auf der it-sa in Halle 7, Forum D unter der Moderation von <kes>-Chefredakteur Norbert Luckhardt diskutiert werden. ■ 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025

11

Proaktive Sicherheit beginnt hier. Ihr Weg zu Innovationen beginnt mit einer Cybersecurity-Plattform, die Risikomanagement, Security Operations und mehrschichtigen Schutz in sich vereint. Machen Sie Security zum Innovationstreiber mit Trend Vision One™. Erfahren Sie mehr unter trendmicro.com/visionone Besuchen Sie uns auch auf der it-sa 2025 in Nürnberg: Halle 7, Stand 7-137 & 7-139 ©2025 Trend Micro, Inc. All rights reserved

12

it-sa 2025 Digitale Souveränität Deutschland wohnt technologisch zur Miete Deutschland fordert digitale Souveränität – lebt im Alltag aber den US-Stack. Zwischen Forde- rungen, Selbsteinschätzung und gelebter Praxis klaffen große Lücken. Katharina M. Schwarz, Head of Global Affairs bei Myra Security, legt anhand neuer Studiendaten dar, wie es um die digitale Souveränität hierzulande bestellt ist und wo die größten Hürden liegen. Von Katharina M. Schwarz, Myra Security Kaffeeduft erfüllt den Raum, die Dashboards leuchten grün. Nichts deutet auf Probleme hin – bis die Finanzabteilung auf die neue Li- zenzrechnung hinweist. Der Preis zieht an, die Klauseln auch. „Was, wenn der Anbieter morgen die Re- geln ändert?“, fragt der CISO. Nie- mand antwortet. Man hat sich einge- richtet im bequemen Schatten eines globalen Ökosystems, das sich an- fühlt wie eigene Infrastruktur – aber jemand anderem gehört. Fragen wie aus diesem bei- spielhaften Szenario dürften sich vie- le Entscheidende in den vergangenen Monaten gestellt haben. Diskussio- nen rund um die digitale Souveräni- tät sind überall zu finden. Doch wo steht Deutschland hier genau? Ant- worten hierzu liefert die Studie „The State of Digital Sovereignty 2025“. Im Auftrag von Myra befragte Ci- vey dafür 1500 IT-Entscheidende in Deutschland. Europäische Lösungen für Public- und KRITIS-Sektor Konsens im Maschinen- raum: 84,4 Prozent der IT-Verant- wortlichen fordern, dass Staat und Betreiber kritischer Infrastrukturen vorrangig europäische Anbieter nut- zen. „Ja, auf jeden Fall“ übertrumpft sogar das vorsichtigere „Eher ja“. Nur 8,3 Prozent sprechen sich dagegen aus. Das ist ein klares Mandat – und ein Auftrag an Beschaffung, Regulie- rung und Budgets, diese Linie konse- quent zu fahren. Gleichzeitig zeigt die Studie aber auch: In den eigenen Un- ternehmen bleibt die Umsetzung zäh; weniger als ein Drittel plant binnen 24 Monaten die Einführung europäi- scher Software, fast die Hälfte winkt ab. Die Sonntagsreden sagen das eine, die Wochenpläne das andere. Abhängigkeiten dort, wo es weh tut Besonders in wichtigen Zu- kunftsfeldern, in denen sich kritische und sensible Prozesse – und damit auch Daten – bündeln, hängen Un- ternehmen am digitalen US-Tropf. 39,7 Prozent empfinden eine star- ke bis sehr starke Abhängigkeit bei Cloud-Services, 39,5 Prozent in der Cybersicherheit; bei KI-Infrastruktur sehen 36,6 Prozent dasselbe Muster. In der Praxis nutzen nur 20,5 Pro- zent europäische Security-Lösun- gen; bei KI-Infrastruktur sind es mit 10,2 Prozent sogar noch weniger. In Cloud-Umgebungen bleibt der EU- Anteil ebenfalls unter 25 Prozent. Ein Blick auf die „grünen Zo- nen“ relativiert nur wenig: In Enter- prise Resource Planning (ERP) und Finanzsoftware ist Europa traditionell stark – 39,6 Prozent beziehungsweise 41,5 Prozent nutzen bereits europäi- sche Lösungen, die wahrgenommene Abhängigkeit fällt dort deutlich ge- ringer aus. Diese Inseln sind jedoch nur ein Hoffnungsschimmer, solange wichtige Bereiche wie Cloud, KI und Security fest in US-Hand bleiben. Wahrnehmungslücke: Des Kaisers neue digitale Kleider Die Studie zeigt eine dop- pelte Blindstelle. Erstens: Viele Ent- scheidende kennen europäische Al- ternativen nicht. In ERP, Customer Relationship Management (CRM) und Finanzen nennen knapp die Hälf- te konkrete Anbieter; bei Collaborati- on und KI liegt die Bekanntheit nur bei 21,8 beziehungsweise 21,9 Pro- zent. Selbst in der Security wissen nur 32,4 Prozent von europäischen Opti- onen. Sichtbarkeit entscheidet – wer Alternativen nicht kennt, migriert nicht. Die Folge ist eine anhaltende Präferenz für US-Lösungen. Zweitens: Viele überschät- zen die eigene Unabhängigkeit. In der KI-Infrastruktur nutzen nur 10,2 Prozent europäische Lösungen, aber mehr als die Hälfte bewertet die 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025

13

Abhängigkeit als schwach oder nicht vorhanden. In der Security liegt die Nutzung europäischer Produkte bei 20,5 Prozent – trotzdem schätzen 47,2 Prozent der Befragten die Ab- hängigkeit als gering ein. Souverän im Selbstbewusstsein, aber im digita- len Sinne weitgehend nackt. Wechselbereitschaft: Mehrheit hält an US-Lösungen fest Nur 20,4 Prozent der be- fragten Unternehmen befinden sich bereits aktiv in der Einführung ei- ner oder mehrerer europäischer Lö- sungen. Weitere 12,3 Prozent pla- nen dies innerhalb der nächsten zwei Jahre. Parallel dazu bleibt das Lager der Zauderer groß: 47,7 Prozent pla- nen gar keinen Umstieg, 17,4 Pro- zent sind unentschieden oder wissen es nicht. Ein umfassender Trend zu mehr digitaler Souveränität ist bis- lang nicht zu erkennen. Was braucht es also, um Ent- scheidende vom Wechsel zu über- zeugen? Leistungsparität ist dabei das wichtigste Kriterium: 69,9 Pro- zent der IT-Entscheidenden würden auf europäische Software umsteigen, wenn diese die gleiche Funktionalität und Zuverlässigkeit wie die bestehen- de Lösung bietet. Datensicherheit ist nahezu ebenso relevant: 69,4 Prozent nennen sie als Hauptmotiv für einen Wechsel. Zwei Drittel (66,5 Prozent) der Unternehmen wären bei deutlich niedrigeren Kosten bereit, auf euro- päische Lösungen umzusteigen. Ein weiterer Faktor: Für 62,5 Prozent der Befragten ist die garantierte Daten- speicherung in der EU ein entschei- dendes Kriterium für die zukünftige Nutzung europäischer Software. Politik und Praxis: Rückenwind statt Rezepte aus der Mottenkiste Frankreich hat mit dem 2021 gestarteten Programm „Parcours de cybersécurité“ gezeigt, wie staatliche Abbildung 1: Fast die Hälfte aller IT-Entscheidenden plant innerhalb der nächsten zwei Jahre keine Einführung europäischer Softwareprodukte. (Bild: Myra Security) Abbildung 2: Bei den Kriterien für einen Wechsel dominieren vor allem Leistung, Datensicherheit und Kosten. (Bild: Myra Security) Förderung die digitale Souveränität stärken kann. Unter der Leitung der nationalen Cybersicherheitsbehörde ANSSI wurden 945 Einrichtungen finanziell unterstützt, darunter Kom- munen, Krankenhäuser und weitere öffentliche Institutionen. Das Pro- gramm umfasste standardisierte Au- dits und die Realisierung von über 3000 Sicherheitsmaßnahmen wie die Härtung von Systemen, Netzwerk- segmentierung und Backup-Stra- tegien. Die Einrichtungen trugen lediglich einen 30-prozentigen finan- ziellen Eigenanteil an den nötigen Maßnahmen. Im Schnitt investierten sie aber 30 Prozent mehr als nötig. Letztlich stieg der durchschnittliche Cyber-Reifegrad der Teilnehmenden durch das Projekt von „D+“ auf „B“. Finanzielle Anreize sind ein zentraler Hebel. Mehr als die Hälf- te der Entscheidenden würde bei entsprechender Förderung einen Wechsel zu europäischen Anbietern erwägen. Ein in Deutschland einge- führter „Souveränitäts-Check“ bei öffentlichen IT-Beschaffungen – wie er bereits für Hoster existiert – könn- te die Prüfung europäischer Alterna- tiven rechtlich verankern und deren Sichtbarkeit erhöhen. Fazit: Souveränität heißt nicht Autarkie Die Daten der Studie spre- chen eine deutliche Sprache: breite Zustimmung für europäische Lösun- gen in KRITIS, kritische Abhängig- keiten bei Cloud, KI und Security, Wissenslücken bei Alternativen und eine Wechselbereitschaft, die an harte Kriterien gebunden ist. Europa muss nun eine entsprechende technolo- gische Landschaft aufbauen. Dabei geht es nicht um Autarkie, sondern darum, einen Gegenpol zur Domi- nanz der US-Techgiganten zu schaf- fen. Klar, dieser wird nicht von heute auf morgen entstehen – aber weiter- hin nur auf Sicht zu fahren, ist keine Option. Langfristig wird der Markt in Deutschland und Europa hier- durch diverser, stärker und innovati- ver. Ein Markt, der tatsächliche Wa h l f r e i h e i t und damit reel- le Souveränität bietet. ■ Myra Security Halle 7, Stand 7 – 204 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025 13

14

it-sa 2025 Vision 2026: Sicherheit, die mitwächst Unternehmen verlagern ihre IT-Infrastruktur zunehmend in hybride Cloud-Umgebungen. Diese Fragmentierung schafft jedoch neue Angriffsfl ächen für Cyberkriminelle. Ein neuer Sicherheits- ansatz soll dieses Problem lösen. Von Lothar Geuenich, Marco Eggerling und Thomas Boele, Check Point Software Technologies Im Jahr 2026 wird Cybersicherheit nicht länger als Kostenfaktor betrachtet, sondern als strategischer Busi- ness Enabler für Innovation, Resilienz und Wachstum. Dafür benötigen Organisationen ein Sicherheitsmodell, das sich genauso dynamisch weiterentwickelt wie ihre IT- Infrastruktur. Komplexität schafft Angriffsfl ächen Moderne Unternehmen verlagern geschäftskri- tische Workloads zunehmend in hybride Umgebungen, verteilt über eigene und fremde Rechenzentren, Multi- Cloud-Modelle und Software-as-a-Service (SaaS)-Dienste. Doch genau diese Fragmentierung wird von Angreifern systematisch ausgenutzt. Laut Check Point Research verzeich- neten deutsche Organisationen zuletzt im Schnitt 1286 Angrif- fe pro Woche. Bei erfolgreichen Kompromittierungen bleiben Angreifer teils mehrere Tage un- entdeckt – Zeit, die für erhebli- che Schäden genutzt wird. Ohne übergreifende Transpa- renz und koordinierte Abwehrmechanismen bleiben selbst hohe Investitionen in Einzellösungen oft wirkungslos. Check Point Soft- ware Technologies Halle 6, Stand 6 – 328 unabhängig davon, wo sie auftritt. Durch zentrale Th re- at Intelligence und herstellerübergreifende Integration entsteht eine einheitliche Sicht auf Bedrohungen. KI-ge- stützte Analysen erkennen abweichende Muster frühzei- tig, lösen automatisierte Reaktionen aus, isolieren kom- promittierte Segmente in Echtzeit und passen Richtlinien dynamisch an. Verkürzte Reaktionszeiten und mehr Kontrolle Mit HMA verkürzen Unternehmen nicht nur die Zeit bis zur Erkennung (Mean-Time-to-Detect, MTTD) und die Zeit bis zur Reaktion (Mean-Time-to-Respond, MTTR) drastisch, sie gewinnen auch Kontrolle über ein fragmentiertes System zurück. Eine Bedrohung auf ei- nem Endpunkt löst unmittelbar Schutzmaßnahmen aus, wie das Sperren von Zugriff en oder zusätzliche Authenti- fi zierungsstufen, ganz im Sinne eines Zero-Trust-Modells. In der Folge entsteht ein durchgängiger Schutz von der Edge bis zur Cloud: hochautomatisiert, skalierbar und zu- kunftsfähig. Von Insellösungen zu integrierter Resilienz Integrierter Sicherheitsansatz durch Mesh-Architektur Als Antwort auf diese Herausforderung etabliert sich die sogenannte Hybrid Mesh Architecture (HMA). Diese Architektur verbindet grundlegende Sicherheits- funktionen wie Bedrohungsabwehr, Richtliniendurch- setzung, dynamische Segmentierung und Telemetrie in einem vernetzten Framework über alle Kontrollpunkte hinweg. Das Ergebnis ist eine adaptive, skalierbare Sicher- heitsstruktur, die auf jede Bedrohung konsistent reagiert, Die Cyberbedrohungslage wird sich bis 2026 wei- ter verschärfen, aber Organisationen können vorbereitet sein. Die Hybrid Mesh Architecture ist der Schlüssel zu einer ganzheitlichen, intelligenten Sicherheitsstrategie. Sie verwandelt fragmentierte Sicherheitslandschaften in adap- tive Schutzsysteme. Entscheidungsträger sollten jetzt die Weichen für eine Abkehr von isolierten Tools hin zu einer konsolidierten Architektur stellen, die nicht nur schützt, sondern Schäden aktiv mindert. Check Point Software Technologies unterstützt Organisationen mit BSI-zertifi zierten Sicherheitslösungen mit EAL4+ und dem C5-Testat. ■ 14 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025

15

16

it-sa 2025 Digitale Zwillinge in der Cybersicherheit Den Angreifern einen Schritt voraus Indem digitale Zwillinge IT-Umgebungen präzise virtuell abbilden, ermöglichen sie proaktive Cybersicherheit auf einem neuen Level: Unternehmen können Risiken kontinuierlich simulieren, Abwehrmaßnahmen realitätsnah testen und strategische Entscheidungen auf fundierter Basis treffen – bevor Angreifer Schaden anrichten. Von Tobias Grabitz, Trend Micro Cyberkriminelle setzen zunehmend künstliche In- telligenz ein, um Angriffe zu skalieren, Schwachstellen au- tomatisiert zu identifizieren und gezielt auszunutzen. Mit Large Language Models (LLMs) erstellen sie täuschend echte Phishingmails und entwickeln kontinuierlich neue Malware-Varianten. KI ermöglicht heute Kampagnen in bisher ungeahntem Ausmaß und Tempo. Schneller als je zuvor können Bedrohungsakteure nach der Erstinfektion ihre Rechte erweitern und lateral im Netzwerk vordringen. Um sich vor dieser massiven Bedrohungswelle zu schüt- zen, brauchen auch Security-Teams Verteidigungsmaß- nahmen in Maschinengeschwindigkeit – nicht nur für eine schnelle Erkennung und Reaktion, sondern auch für ein kontinuierliches, proaktives Risikomanagement. Wer es schafft, Bedrohungen vorherzusehen, kann seine Securi- ty-Strategie zielgerichtet stärken, um den Angreifern einen Schritt voraus zu sein. Eine entscheidende Rolle spielen dabei Cybersecurity Digital Twins. Definition und Funktionsweise Ein digitaler Zwilling ist ein virtuelles Abbild ei- nes physischen Produkts, Prozesses oder Systems. Er wird kontinuierlich mit Echtzeitdaten gespeist, um Verhalten, Interaktionen und Zustände zu simulieren, zu analysieren und zu überwachen – ohne die reale Umgebung zu beein- trächtigen. In der Industrie wird dieses Konzept seit Jahren erfolgreich eingesetzt, etwa zur Überwachung technischer Anlagen oder zur Optimierung von Wartungsintervallen. Übertragen auf die Cybersicherheit bildet ein Digital Twin die sicherheitsrelevante Struktur und das Verhalten einer digitalen Umgebung ab. Dabei geht es nicht um eine voll- ständige Kopie, sondern um eine Modellierung der Ele- mente, die für den jeweiligen Anwendungszweck relevant sind. So erfasst ein Cybersecurity Digital Twin die Infra- struktur, Datenflüsse, Identitäten, Kontrollmechanismen und Verhaltensweisen mit angemessener Genauigkeit, um Im Einsatz: Digitaler Zwilling in der Cyber- security (Quelle: Trend Micro) Organizational Environment Digital Twin App Server Backend Database App Server Backend Database Firewall Load Balance VPC Firewall Load Balance VPC App Server Backend Storage Cloud Business Apps SBOM IaC Template Activity Logs Telemetry Logs App Server Backend Storage Cloud Business Apps Network Appliance Network Device Developer Laptop Identity Employee Desktop Mobile File Server App Server Network Appliance Network Device Developer Laptop Identity Employee Desktop Mobile File Server App Server Workplace Workplace 16 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025

17

aussagekräftige Simulationen und Validierungen zu er- möglichen. Technologische Voraussetzungen Digitale Zwillinge sind kein neues Konzept. In der Cybersicherheit halten sie aber erst jetzt Einzug, weil bisher die technischen Voraussetzungen fehlten. Erst die Kombination aus fortschrittlicher Telemetrie, skalierba- ren Cloud-Infrastrukturen und KI ermöglicht es, komple- xe digitale Umgebungen kontinuierlich und realitätsnah zu modellieren. Moderne Security-Umgebungen erzeugen enorme Mengen an Streaming-Daten, die in den digitalen Zwilling einfließen, sodass ein präzises, lebendiges Risiko- modell entsteht. Auf Cloud-Architekturen lässt sich das virtuelle Abbild praktikabel, kosteneffizient und sicher be- treiben. KI-Agenten und LLMs wiederum kommen zum Einsatz, um Angreiferverhalten dynamisch zu simulieren, intelligente Testszenarien zu entwerfen und automatisiert Schlussfolgerungen zu ziehen. So können sich Security- Teams besser auf neue Bedrohungen vorbereiten und den Angreifern zuvorkommen. Die Bedeutung von proaktiver Security ist heu- te hinlänglich bekannt: Viele Unternehmen haben bereits Maßnahmen wie Application Security Testing, Pentes- ting oder gar Red Teaming etabliert. Diese sind zweifellos wertvoll, stellen aber immer nur eine Momentaufnahme dar. Da solche Maßnahmen mit einem hohen finanziellen und manuellen Aufwand verbunden sind, erfolgen sie nur sporadisch. In dynamischen Umgebungen, in denen sich Konfigurationen, Systeme und Risiken permanent verän- dern, reicht das nicht weit genug. Digitale Zwillinge er- möglichen dagegen eine automatisierte, kontinuierliche Sicherheitsbewertung. Praktische Anwendungsbeispiele Welche Vorteile ein Cybersecurity Digital Twin bringt, lässt sich am besten anhand von konkreten Use Cases darstellen: Auf High-Impact-Angriffsszenarien vorbereiten: Im virtuellen Abbild simulieren KI-Agenten das Verhal- ten, die Ziele und Taktiken potenzieller Angreifer. Sobald neue Threat Intelligence verfügbar ist, setzen sie diese au- tomatisiert um. Gleichzeitig analysieren sie die Auswir- kungen in Echtzeit und testen die Wirksamkeit der Ab- wehrstrategien. So erhalten Security-Teams validierte Ergebnisse und Entscheidungsgrundlagen, um die Sicher- heit gezielt zu verbessern. Investitionen in die Sicherheit strategisch pla- nen: Viele Unternehmen entscheiden anhand von Bran- chentrends, Compliance-Vorgaben oder schlichtweg aus dem Bauch heraus über neue Security-Technologien. Wie wirksam die Investitionen tatsächlich sind, lässt sich schwer messen. Im Cybersecurity Digital Twin können Entscheidungsträger dagegen unter realen Bedingungen testen, welchen Einfluss welche Maßnahmen auf das Si- cherheitsniveau haben. Indem sie neue Technologien, ver- änderte Richtlinien oder Architektur-Anpassungen vorab durchspielen, sind sie in der Lage, Investitionen evidenz- basiert und strategisch zu planen. Die Resilienz stärken: Digitale Zwillinge zeigen nicht nur technische Abhängigkeiten, sondern auch die Folgen von Störungen für Entscheidungen und Geschäfts- kontinuität. Ausfallszenarien lassen sich simulieren, ohne die Produktivsysteme zu beeinträchtigen. So erhalten Führungskräfte Einblick, wie Assets, Datenflüsse und Ge- schäftsprozesse zusammenhängen, und können ihre Disas- ter-Recovery-Strategien verbessern. Implementierungsvoraussetzungen Damit ein Cybersecurity Digital Twin wirksam funktioniert, benötigt er hochqualitative Telemetrie. Un- vollständige oder veraltete Daten können die Simulatio- nen verzerren und zu falschen Sicherheitsentscheidungen führen. Genauso wichtig ist die Skalierbarkeit: Da sich IT- Umgebungen stetig weiterentwickeln, muss auch der Digi- tale Zwilling mitwachsen, ohne an Leistung oder Aussage- kraft zu verlieren. Außerdem darf das System keine isolierte Insellösung sein, sondern soll- te sich nahtlos in bestehende IT-, OT- und Cloud-Landschaften integrieren. Nicht zu- letzt ist es wichtig, den digitalen Zwilling auch selbst vor Cyberangriffen zu schützen. Schließlich enthält er sensible Informationen über Assets, Schwachstellen und Angriffswe- ge, die nicht in falsche Hände geraten dür- fen. Hier gelten dieselben Security-Empfehlungen wie für alle geschäftskritischen Systeme: mehrschichtige Sicher- heitskontrollen und regelmäßige Härtungsmaßnahmen. Trend Micro Halle 7, Stand 137 und 139 Mensch und Technologie Während Cyberkriminelle in KI-Geschwindigkeit angreifen, können wir ihnen mit gleicher Kraft begegnen. Digitale Zwillinge versetzen uns in die Lage, unsere Secu- rity-Posture kontinuierlich proaktiv an neue Risiken an- zupassen, sodass wir den Angreifern einen Schritt voraus sind. Trend Vision One stellt ein leistungsfähiges digita- les Abbild auf Basis von agentenbasierter KI und NVI- DIA NIM Microservices in einem Plattformansatz bereit. Trotz Automatisierung und KI bleibt der Mensch dabei unverzichtbar. Auch künftig braucht es kompetente Se- curity-Mitarbeiter, die die Ziele des digitalen Zwillings definieren, ihn strategisch steuern und seine Ergebnisse interpretieren. Im Zusammenspiel werden menschliche Expertise und moderne Technologie zum schlagkräftigen Team, das künftigen Sicherheitsherausforderungen selbst- bewusst begegnen kann. ■ © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025 17

18

it-sa 2025 KI-Governance: Pflicht oder Wettbewerbsvorteil? ISACA macht Unternehmen fit für die KI-Governance der Zukunft Künstliche Intelligenz (KI) revolutioniert unseren Arbeitsalltag. Doch für europäische Unterneh- men bedeutet die rasante Entwicklung der KI auch einen enormen Druck: Das neue EU KI-Gesetz fordert umfassende Anpassungen von ihnen. Im Spannungsfeld zwischen Innovation und stren- ger Regulierung übernimmt ISACA eine entscheidende Rolle als Navigator. Von Chris Dimitriadis, ISACA Der jüngste ISACA AI Poll zeigt: Bereits 83 Pro- zent der IT- und Geschäftsexperten in Europa sind über- zeugt, dass ihre Mitarbeitenden KI nutzen. Gleichzeitig hinkt die Absicherung dieser Entwicklung dramatisch hinterher: Nur 31 Prozent der Unternehmen verfügen über eine umfassende KI-Richtlinie. Diese Diskrepanz birgt erhebliche Risiken, die durch das EU KI-Gesetz nun eine neue Dimension erhalten. Denn neben den mögli- chen operativen, finanziellen oder reputationsbezogenen Schäden kommen auch rechtliche Konsequenzen hinzu. EU KI-Gesetz erhöht Handlungsdruck Mit dem neuen KI-Gesetz treten schrittweise ent- scheidende Verpflichtungen in Kraft, die weitreichende Auswirkungen auf Governance, Transparenz und Haftung in Bezug auf KI-Systeme haben. Die Regulierungen die- nen zwar dazu, Vertrauen und Sicherheit zu gewährleis- ten. Für europäische Unternehmen können sie aber auch einen signifikanten Wettbewerbsnachteil gegenüber Regi- onen mit weniger strengen Vorgaben bedeuten: Ressour- cen werden für Compliance gebunden, die Innovationsge- schwindigkeit kann leiden. Als globaler Verband für IT-Governance, Cyber- security und -Audit sieht ISACA hier eine kritische Füh- rungsaufgabe. Um die Potenziale der KI sicher zu nutzen und die neuen Anforderungen des KI-Gesetzes strategisch zu erfüllen, sind robuste Governance-Rahmenwerke und qualifiziertes Personal unerlässlich. ISACA steht seit über 55 Jahren für den Aufbau von digitalem Vertrauen und die Professionalisierung der Tech-Belegschaft. Mit praxisna- hen Leitfäden und Best Practices hilft ISACA Unterneh- men dabei, den Spagat zwischen Compliance und Agilität zu meistern und Vertrauen als Wettbewerbsvorteil zu etab- lieren. Denn Innovation braucht einen sicheren Rahmen. Balance zwischen Innovation und Compliance Besonders die Rolle von Auditoren entwickelt sich weiter und wird im Zeitalter der KI-Governance unver- zichtbar. Sie sind entscheidend, um KI-Systeme unabhän- gig zu prüfen, zu steuern und zu sichern. Die Qualifika- tionslücke stellt dabei ein erhebliches Compliance-Risiko dar: 42 Prozent der Fachleute glauben, ihr KI-Wissen in- nerhalb der nächsten sechs Monate erheblich verbessern zu müssen. ISACA (www.isaca.org) adressiert diese Lücke mit international anerkannten Zertifizierungen. Von CISA und CISM bis hin zu neuen, spezialisierten Zertifizierun- gen wie AAIA (AI Audit & Assurance) und AAISM (Ad- vanced in AI Security Management), vermittelt ISACA das spezifische Wissen, das Fachkräfte benötigen, um sich für die neuen Anforderungen der KI-Ära zu rüsten. Fort- bildung kann nicht warten – sie ist entscheidend für den Schutz von Innovationen und die Aufrechterhaltung des Vertrauens in die digitale Wirtschaft. ■ 18 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025

19

20

it-sa 2025 it-sa 2025: IT-Sicherheitshersteller ESET stellt die Vertrauensfrage Sicherheit braucht heute mehr als Technik: Unternehmen müssen auf Herkunft, Rechtskonfor- mität und Verlässlichkeit von Herstellern und Lösungen vertrauen können. ESET gibt auf der it-sa 2025 in Halle 9, Stand 434 fundierte Antworten auf technische, rechtliche und strategische Herausforderungen. Von Michael Klatte, ESET Deutschland GmbH Wer die it-sa in Nürnberg besucht, erwartet haupt- sächlich neue Produkte. ESET liefert seit Jahren aber mehr als das, nämlich strategische Konzepte für ganzheitliche Cybersicherheit. Ob Multi-Secured Endpoint, Zero Trust oder Prevention First – im Mittelpunkt standen nie ein- zelne Lösungen, sondern Sicherheitsarchitekturen. Auch 2025 geht es am ESET-Stand nicht um die eine Super-Se- curitysoftware, sondern um eine Haltung: Vertrauen. Damit reagiert ESET auf das veränderte Messepu- blikum. Längst kommen nicht mehr nur technische Spe- zialisten, sondern auch Firmenchefs. Denn mit Vorgaben wie NIS-2 stehen sie heute persönlich in der Verantwor- tung für IT-Sicherheit. Sie müssen entscheiden, wem sie ihre Sicherheitsarchitektur anvertrauen und wie diese Ent- scheidungen nach innen und außen belegbar sind. ESET beantwortet die Vertrauensfrage auf meh- reren Ebenen: mit nachvollziehbarer Herkunft, mit ei- ner skalierbaren Plattform und mit einem modernen Ver- ständnis für die Rolle des Mitarbeiters. Vertrauensdefi zite als Risiko Die politische und wirtschaftliche Lage erhöht den Druck auf Unternehmen, bei der Auswahl ihrer IT-Si- cherheitsanbieter genau hinzusehen. Gesetzliche Vorgaben verlangen klare Verantwortlichkeiten, auch auf Ebene der Abbildung 1: Das ESET PROTECT Eco- system integriert Cloud-Schutz, Endpo- int-Sicherheit, Bedro- hungsabwehr und zentrale Verwaltung in einer Plattform. (Bild: ESET) ESET PROTECT Ecosystem ESET PROTECT Hub Reseller MSP Customer Integrations & Plugins API SIEM RMM Detection & Response ESET Inspect Advanced Threat Defense ESET LiveGuard Advanced U XDR Powered by ESET LiveSense ESET Services Cloud App Protection SharePoint Security Mail Server Security Server Security Vulnerability & Patch Management Professional Services Premium Support Deployment & Upgrade Security Services Managed Detection & Response Standard Support Standard Security Support Threat Intelligence Feeds Feeds APT Reports APT Reports Mobile Threat Defense Modern Endpoint Protection Multi-Factor Authentication Encryption 20 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025

21

Geschäftsführung. Gleichzeitig verunsichern geopolitische Spannungen viele Entscheider. Die Frage, ob ein Anbie- ter aus einem Drittstaat im Krisenfall noch rechtssicher agieren kann, wird zur realen Risikoabwägung. Wer IT-Si- cherheit auslagert, muss darauf vertrauen können, dass ge- setzliche Standards eingehalten und Daten souverän ver- arbeitet werden. nisch überzeugen, regulatorisch belastbar und langfristig tragfähig sein. Für die wachsenden Anforderungen durch Gesetze, Verordnungen und neuerdings auch Cyberver- sicherer braucht es mehr als punktuelle Schutzmechanis- men. Wichtig ist ein konsistenter, kontrollierbarer Sicher- heitsansatz, der sich in bestehende Strukturen integrieren lässt und dabei nachvollziehbar bleibt. Herkunft schafft Verlässlichkeit Im Mai 2025 hat ESET über 1200 IT-Entscheider aus Deutschland, Österreich und der Schweiz befragt, in- wieweit die Herkunft eines Security-Herstellers für sie eine Rolle spielt. Die Studie liefert ein klares Bild: Die Her- kunft eines IT-Sicherheitsanbieters „Made in EU“ ist für viele Unternehmen zu einem der wichtigsten Auswahlkri- terien geworden. Zwei Drittel der Befragten würden sich bei der nächsten Beschaffung gezielt für einen Anbieter aus Europa entscheiden. In regulierten Branchen wie Gesundheitswesen, Finanzdienstleistung oder Industrie ist in Deutschland die Präferenz für europäische Anbieter besonders hoch. Dort, wo die Einhaltung von DSGVO, NIS-2 oder DORA ge- prüft wird, zählt nicht nur der technische Funktionsum- fang, sondern die Nachvollziehbarkeit von Entwicklung, Support und Datenverarbeitung. Vertrauen in die Lösung: Eine Plattform, viele Antworten Vertrauen in den Anbieter allein genügt selbstver- ständlich nicht, denn auch die Lösung selbst muss tech- ESET bietet als Antwort darauf die ESET PRO- TECT Plattform. Sie ist modular aufgebaut, cloudba- siert oder lokal installierbar und umfasst Endpoint Securi- ty, Mobile Security, Server-Schutz, Full Disk Encryption, Cloud Office Security, XDR-Funktionen, E-Mail-Schutz, Gerätekontrolle, Multi-Faktor-Authentifizierung und mehr. Nahezu alle Module werden über eine zentrale Konsole verwaltet. Die Plattform ermöglicht detaillierte Richtliniendefinition, Mandantenfähigkeit und vollstän- dige Protokollierung zur rechtskonformen Nachweisfüh- rung. Das schafft nicht nur technische Übersicht, sondern auch Vertrauen in die Nachvollziehbarkeit und Konformi- tät von Sicherheitsmaßnahmen. Exemplarisch für die vielen Optimierungen und Verbesserungen, die ESET permanent in seine Technolo- gien und Lösungen einbaut, stehen auf der it-sa-Agenda folgende Neuigkeiten: Die neue ESET Ransomware Remediation-Funk- tion erweitert das ESET Ransomware Shield um eine in- telligente Backup-Lösung, die im Fall eines Angriffs eine sichere Wiederherstellung der betroffenen Daten ermög- licht. Wichtiger Vorteil: Anders als herkömmliche Back- up-Methoden, die auf der sogenannten „Windows Volu- Abbildung 2: Drei Viertel der Befragten bevorzugen einen IT-Sicherheitsanbieter aus der Europäischen Union, während die USA mit 10 % deut- lich abgeschlagen auf Platz zwei liegen. (Bild: ESET) © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025 21

22

it-sa 2025 me Shadow Copy“ basieren, kann die ESET-Lösung nicht von Angreifern manipuliert oder gelöscht werden. Die Backups werden in einem geschützten Speicherbereich ab- gelegt, auf den Schadsoftware keinen Zugriff hat. ESET Cloud Offi ce Security (ECOS) schützt Mi- crosoft 365 und Google Workspace vor Malware, Phishing und Spam. Zuletzt wurden der Anti-Spoofi ng- und Ho- moglyphen-Schutz zur Erkennung und Blockierung von Phishing-Versuchen durch gefälschte E-Mail-Absender und manipulierte URLs hinzugefügt. Die neue E-Mail-Rückruf-Funktion er- möglicht es Administratoren, verdächti- ge E-Mails nachträglich aus Postfächern zu entfernen. Zudem wurden neue kon- fi gurierbare Dashboards mit anpass- baren Komponenten für eine bessere Übersicht und eine eff ektivere Richtli- nienverwaltung integriert. Die Einbin- dung in ESET PROTECT sorgt für konsistente Schutz- konzepte in hybriden Arbeitsumgebungen. ESET Halle 9, Stand 434 www.eset.de/itsa Die PROTECT-Plattform ist vollständig API-fä- hig und erlaubt über ESET Connect die Anbindung an eine Vielzahl von SIEM-, SOAR- oder Ticketing-Syste- men. Sicherheitsereignisse können über Syslog exportiert, Workfl ows automatisiert und Reports in bestehende Au- dit-Prozesse übernommen werden. So wird die Plattform Teil der Unternehmenssteuerung, nicht nur der IT-Ab- wehr. ESET Th reat Intelligence bietet ab sofort insge- samt 15 verschiedene Feeds an. Darüber hinaus bietet die Lösung nun drei verschiedene Level für APT-Reports an, die sich im Umfang der Services unterscheiden, von denen Kunden neben den Berichten Gebrauch machen können. Vertrauen in den Service: ESET MDR Mit ESET MDR erhalten Unternehmen Zugang zu einem vollständig KI-gestützten Monitoring- und Re- aktionsdienst. Die Basis bildet eine automatische Analy- se sicherheitsrelevanter Ereignisse durch künstliche Intelli- genz in Kombination mit verhaltensbasierter Auswertung. Meldungen erfolgen priorisiert und in Echtzeit über die zentrale Managementkonsole. Für Unternehmen mit ho- hem Schutzbedarf steht ESET MDR Ultimate zur Verfü- gung. Diese Version erweitert den KI-basierten Ansatz um direkte Unterstützung durch erfahrene Sicherheitsexper- ten. Analysten übernehmen bei Bedarf die Detailbewer- tung, geben konkrete Handlungsempfehlungen oder lei- ten Incident-Response-Maßnahmen ein. Alle Schritte sind dokumentiert, auditierbar und rechtskonform. ESET MDR ist auch für Managed Service Provi- der verfügbar. Über die ESET-MSP-Administrator-Kon- sole lässt sich der Dienst mandantenfähig verwalten und fl exibel abrechnen. Die Kombination aus Automatisie- rung und menschlicher Expertise schaff t Sicherheit auf Augenhöhe – auch für Kunden im Outsourcing-Modell. Awareness als letzte Verteidigungslinie Mit dem ESET Cybersecurity Awareness Training (ECAT) adressiert ESET das größte Risiko der Cybersi- cherheit: den Menschen. Die Plattform bietet modulare, interaktive Schulungen mit Gamifi cation-Elementen, re- alistischen Phishing-Simulationen und adaptiven Kursen für verschiedene Zielgruppen. Unternehmen erhalten Reporting-Dashboards, Nutzerfortschrittskontrolle und Möglichkeiten zur auto- matisierten Nachschulung. Die Inhalte decken Th emen wie Social Engineering, Passwortsicherheit, Datenschutz, mobile Sicherheit und Compliance-Fragen ab. Regelmä- ßige Updates berücksichtigen aktuelle Bedrohungstrends und regulatorische Anforderungen. Wer in seine Mitarbei- ter investiert, investiert in eine vertrauenswürdige Sicher- heitskultur. ■ Impressum Bankverbindung: UniCredit Bank AG, München, IBAN: DE34 7002 0270 0015 7644 54 Alle Rechte vorbehalten, auch die des auszugs- weisen Nachdrucks, der Reproduktion durch Fotokopie, Mikrofi lm und andere Verfahren, der Speicherung und Auswertung für Daten- banken und ähnliche Einrichtungen. Media-Daten: Unsere Mediadaten fi nden Sie online auf www.kes.de/mediadaten. Herstellungsleitung und Vertrieb: Dieter Schulz, dieter.schulz@datakontext.com, Tel.: +49 2334 98949-99 Satz: Dirk Hemke (SatzPro), Krefeld; Markus Miller (Satz + Bild), München Zurzeit gültige Anzeigenpreisliste: Nr. 43 vom 01. Januar 2025 Druck: QUBUS media GmbH Beckstraße 10, 30457 Hannover Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Titelbild: [M] NürnbergMesse / Thomas Geiger Augustinusstraße 11 A, 50226 Frechen (DE) Tel.: +49 2234 98949-30 Fax: +49 2234 98949-32 redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Handelsregister Amtsgericht Köln, HRB 82299 22 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2025, Oktober 2025

23

Wir sind IT-Sicherheit! Besuchen Sie uns auf der it-sa 2025. Halle 7 Stand 106

24

IT-Sicherheit ist Vertrauenssache Machen Sie Ihr Unternehmen NIS2-Ready mit ESET Technologien aus der Europäischen Union eset.de/nis2

25

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ LESEPROBE <kes> AUF DEN FOLGESEITEN weitere Leseproben unter: kes.info/archiv/leseproben/

26

Vererbte Verwundbarkeiten KI-generierter Code – eine wachsende Bedrohung für die Softwaresicherheit Generative Modelle künstlicher Intelligenz (KI) unterstützen Entwickler zunehmend beim Pro- grammieren von Software. Was als Revolution der Produktivität gefeiert wird, birgt jedoch erhebliche Risiken für die Cybersicherheit. Unser Autor sieht einen besorgniserregenden Trend: Die wachsende Abhängigkeit von KI-generierten Codevorschlägen könnte so zu einer Flut neuer Sicherheitslücken in aktuellen und zukünftigen Softwareprojekten führen. Typische Schwachstellen in KI-Code Die durch KI-generierte Software eingeführ- ten Schwachstellen umfassen ein breites Spektrum (vgl. Abb. 2): Unsichere Standardeinstellungen: KI-generierte Konfigurationen enthalten oft schwache Sicherheitsein- stellungen wie leicht zu erratende Passwörter oder zu groß- zügige Zugriffsrechte. Klassische Schwachstellen: KI-Modelle generieren häufig Code, der anfällig für lang bekannte Sicherheits- probleme wie SQL-Injection und Cross-Site-Scripting (XSS) ist. Supply-Chain-Angriffe durch Abhängigkeiten: Ein aktuelles Beispiel hat eine besonders raffinierte Angriffs- form gezeigt, bei der Angreifer Softwarepakete mit Namen registrieren, die von KI-Systemen halluziniert wurden, so- dass der generierte Code automatisch diese bösartigen Abhängigkeiten einbindet. Gleichzeitig kann KI auch selbstständig unsicheren Code erzeugen und veröffentli- Von Daniel dos Santos, Rotterdam (NL) Das Kernproblem KI-automatisierter Software- entwicklung liegt in den Trainingsdaten der genutzten Large Language-Models (LLMs): Diese Modelle werden mit enormen Mengen an Code trainiert – in manchen Fällen Open-Source-Code und in vielen Fällen Code, der Sicherheitslücken enthält. Wenn Entwickler generative KI-Tools nutzen, replizieren und verstärken die Modelle anschließend in den Trainingsdaten vorhandene unsichere Programmierpraktiken in beispiellosem Ausmaß. Besonders problematisch: Die Sicherheitsmän- gel im generierten Code sind oft subtil und schwer zu er- kennen, da sie in syntaktisch korrektem Code eingebettet sind. Dies schafft ein falsches Sicherheitsgefühl bei Ent- wicklern, die möglicherweise nicht jede Zeile des KI-ge- nerierten Codes akribisch überprüfen. Alarmierender Forschungsstand Wissenschaftliche Untersuchungen bestätigen diese Bedenken mit alarmierenden Zahlen. Wissenschaft- ler des Center for Cybersecurity der New York University (NYU) stellten kurz nach dessen Veröffentlichung fest [1], dass etwa 40 % des von GitHub Copilot generierten Codes bekannte Sicherheitslücken enthielten (vgl. Abb. 1). Ebenso beunruhigend sind die Ergebnisse ei- ner Studie an der Stanford University [2], die zeigte, dass Entwickler, die LLMs verwenden, eher dazu neigen, un- sicheren Code zu produzieren – und gleichzeitig ein über- mäßiges Vertrauen in dessen Sicherheit zu haben. Diese gefährliche Kombination aus technischen Mängeln und menschlichem Fehlverhalten potenziert die Risiken. © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2025#5 13 Abbildung 1: Eine Forschungs- arbeit an der NYU [1] fand in 40 % des von Github Copilot gene- rierten Programm- codes bekannte Sicherheitslücken.

27

Bedrohung Software-Sicherheit Abbildung 2: Typische Schwach- stellen (qualitativ) in KI-generiertem Code chen, der später als Abhängigkeit in anderen Projekten verwendet wird. Fehlerhafte Implementierung von Standards und RFCs: Wenn KI Code basierend auf technischen Standards generiert, können Missverständnisse oder Mehrdeutigkei- ten in den Spezifi kationen zu kritischen Sicherheitslücken führen. Die Forescout-Forschungsprojekte Amnesia:33 [3] und Name:Wreck [4] haben bereits vor einigen Jahren gezeigt, dass Fehlinterpretationen von RFCs (etwa beim TCP Urgent Pointer und der DNS-Kompression) zu wie- derkehrenden Schwachstellen führen. Dass die meisten dieser Schwachstellen nicht neu sind, hilft dabei wenig. Die KI reproduziert bekannte Si- cherheitsprobleme, welche die Cybersecurity-Community seit Jahren zu bekämpfen versucht – nun aber in exponen- tiell größerem Umfang. Darüber hinaus können KI-Modelle selbst anfäl- lig für Angriff e sein, die zu Malicious Code führen. Als Beispiele sind hierzu Prompt-Injection (Angreifer gestal- ten Eingaben so, dass sie Sicherheitsschranken umgehen) und Data-Poisoning (Angreifer schleusen bösartige Daten in die Trainingsphase ein, um später schädliche Ergebnisse zu erzeugen) zu nennen. Produktivität versus Sicherheit Die Vorteile der generativen KI für die Software- entwicklung sind unbestreitbar: Entwickler können Code schneller schreiben, repetitive Aufgaben automatisieren und komplexe Probleme mit KI-Unterstützung lösen. Diese Produktivitätssteigerung hat jedoch ihren Preis: Si- cherheitslücken werden dabei in einem Tempo eingeführt, das die menschlichen Kapazitäten zur Erkennung und Be- hebung überfordert. Diese wachsende Anhäufung von unbehobenen Sicherheitsmängeln wird oft als „Security Debt“ bezeich- net – eine Metapher, welche die langfristigen Kosten kurz- fristiger Produktivitätsgewinne veranschaulicht. Je länger diese Schulden unbezahlt bleiben, desto größer wird das Risiko kostspieliger Sicherheitsverletzungen! Zudem sind die Auswirkungen dieses Problems nicht auf einzelne Unternehmen beschränkt: Da KI-gene- rierter Code auch in Open-Source-Bibliotheken und ge- meinsam genutzten Komponenten landet, können sich Schwachstellen kaskadenartig durch das gesamte Soft- ware-Ökosystem verbreiten. Risiken bei Security-Tools Ein oft übersehenes Risiko betriff t überdies den Einsatz von KI zur Generierung von Sicherheitsmaßnah- men selbst. KI-generierter Code für Sicherheitsanwendun- gen mag zwar nicht unmittelbar angreifbar sein, kann sich jedoch als ineff ektiv beim Erkennen und Blockieren von bösartigem Verhalten erweisen. Dies betriff t beispielsweise Erkennungsregeln in Netzwerk-Intrusion-Detec- tion-Systemen (NIDS), Literatur [1] Hammond Pearce, Baleegh Ahmad, Benjamin Tan, Brendan Dolan-Gavitt, Ramesh Karri, Asleep at the Keyboard? Assessing the Security of GitHub Copilot’s Code Contributions, Dezember 2021, https://arxiv.org/ abs/2108.09293 Breed Critical Vulnerabilities in IoT, OT and IT Devi- ces, Forescout Research Labs Report, Dezember 2020, www.forescout.com/resources/amnesia33-how-tcp-ip- stacks-breed-critical-vulnerabilities-in-iot-ot-and-it-de- vices/ [2] Neil Perry, Megha Srivastava, Deepak Kumar, Dan Boneh, Do Users Write More Insecure Code with AI Assistants?, Dezember 2023, https://arxiv.org/ abs/2211.03622 [3] Daniel dos Santos, Stanislav Dashevskyi, Jos Wet- zels, Amine Amri, Amnesia:33, How TCP/IP Stacks [4] Daniel dos Santos, Stanislav Dashevskyi, Amine Amri, Jos Wetzels, Shlomi Oberman, Moshe Kol, Name: Wreck, Breaking and fi xing DNS implementations, Fo- rescout Research Labs & JSOF Report, April 2021, www.forescout.com/resources/namewreck-breaking-and- fi xing-dns-implementations/ 14 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2025#5

28

Signaturen in Endpoint-Detection-and-Respon- se-Lösungen (EDR), neuer Schwachstellen in unsere digitale Infrastruktur einzuführen. Unternehmen sollten KI-gestützte Entwicklungs- tools dennoch nicht meiden, sondern einen proaktiven und sicherheitsbewussten Ansatz verfolgen. Die Inte- gration von Sicherheitsüberlegungen in jeden Schritt des KI-gestützten Entwicklungsprozesses ist letztlich entschei- dend, um die Vorteile dieser Technologie zu nutzen, ohne die Sicherheit und Integrität der Codebasis zu gefährden. Die Zukunft der sicheren Softwareentwicklung liegt nicht in der kategorischen Ablehnung von KI, son- dern in der intelligenten Kombination von KI-Effi zienz mit menschlicher Sicherheitsexpertise. Nur so lässt sich das volle Potenzial der generativen KI ausschöpfen, ohne ein unkalkulierbares Sicherheitsrisiko einzugehen. ■ Daniel dos Santos ist Senior Director und Leiter der For- schungsabteilung von Forescouts Cybersecurity-Forschungsab- teilung Vedere Labs und ist Mitglied mehrerer Vereinigungen zum Austausch von Bedrohungsdaten wie EE-ISAC, OT- ISAC, ETHOS und CISA JCDC. YARA-Regeln zur Malware-Erkennung, aber Sicherheitsfi lter auch andere und -mechanismen. Wenn KI unsichere oder unzureichende Sicher- heitsmaßnahmen generiert, entstehen Lücken in der Ver- teidigungslinie, die Angreifer ausnutzen können – ein doppeltes Risiko für die Cybersicherheit. Strategien zur Risikominimierung Um die mit KI-generiertem Code verbundenen Risiken zu minimieren, ist ein mehrdimensionaler Ansatz erforderlich: Rigoroser Code-Review: Menschliche Über- wachung bleibt entscheidend, um Sicherheitslücken zu erkennen, die KI-Modelle übersehen. Das Vier-Augen- Prinzip sollte strikt eingehalten werden – besonders bei si- cherheitskritischen Komponenten. Automatisierte Sicherheitstests: Die Integration von Sicherheitsanalysetools direkt in die Entwicklungs- pipeline kann helfen, um Schwachstellen möglichst in Echtzeit zu identifi zieren. Tools zur statischen Codeanaly- se, Software-Composition-Analysis sowie dynamische Si- cherheitstests sollten daher standardmäßig implementiert werden. Entwickler-Schulungen: Die Sensibilisierung von Entwicklern für die potenziellen Fallstricke KI-generierten Codes und die Förderung einer gesunden Skepsis sind un- erlässlich. Entwickler sollten verstehen, dass KI ein Werk- zeug ist – kein Ersatz für Sicherheitsexpertise. Überprüfung von Abhängigkeiten: Es braucht strenge Kontrollen für Code-Abhängigkeiten, um Supply- Chain-Angriff e zu verhindern. Dazu sollte man alle exter- nen Bibliotheken und Pakete gründlich validieren, bevor man sie in eigene Projekte integriert. Besondere Vorsicht bei der Implementierung von Standards: Wo KI zur Implementierung technischer Standards dient, sollten die Ergebnisse unbedingt von Ex- perten überprüft werden, die mit den Fallstricken und Mehrdeutigkeiten der Spezifi kationen vertraut sind. Sorgsame KI-Security: Nicht zuletzt müssen auch KI-Tools und -Modelle selbst sicher entwickelt werden – unter Verwendung von Eingabevalidierung und kontinu- ierlicher Überwachung. Fazit Während generative KI beginnt, die Software- entwicklung zu revolutionieren, bringt ihre aktuelle Im- plementierung erhebliche Sicherheitsherausforderungen mit sich. Die Bequemlichkeit und Geschwindigkeit, die sie bietet, sind mit dem Risiko verbunden, eine Flut © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2025#5 15