Was ist IT-Sicherheit?

Der Umfang der IT-Sicherheit ist breit gefächert und umfasst häufig eine Mischung aus Technologien und Sicherheitslösungen. Diese arbeiten zusammen, um Schwachstellen in digitalen Geräten, Computernetzwerken, Servern, Datenbanken und Softwareanwendungen zu beheben.

Zu den am häufigsten genannten Beispielen für IT-Sicherheit zählen Disziplinen der digitalen Sicherheit wie Endgerätesicherheit, Cloud-Sicherheit, Netzwerksicherheit und Anwendungssicherheit. Zur IT-Sicherheit gehören jedoch auch physische Sicherheitsmaßnahmen – z. B. Schlösser, Ausweise, Überwachungskameras –, die zum Schutz von Gebäuden und Geräten erforderlich sind, in denen sich Daten und IT-Ressourcen befinden.

IT-Sicherheit wird oft mit Cybersicherheit verwechselt, einer engeren Disziplin, die technisch gesehen eine Teilmenge der IT-Sicherheit darstellt. Cybersicherheit konzentriert sich in erster Linie auf den Schutz von Unternehmen vor digitalen Angriffen wie Ransomware, Malware und Phishing-Betrug. IT-Sicherheit hingegen umfasst die gesamte technische Infrastruktur eines Unternehmens, einschließlich der Hardwaresysteme, Softwareanwendungen und Endgeräte wie Laptops und mobile Geräte. Die IT-Sicherheit schützt auch das Unternehmensnetzwerk und seine verschiedenen Komponenten, wie z. B. physische und cloudbasierte Rechenzentren.

Cyberangriffe und Sicherheitsvorfälle können einen enormen Tribut in Form von Geschäftseinbußen, Rufschädigung, Geldbußen und in einigen Fällen auch Erpressung und gestohlenen Assets fordern.

Laut dem IBM® Cost of a Data Breach Report 2025 betragen die weltweiten durchschnittlichen Kosten eines Datenschutzverstoßes 4,45 Millionen USD. Zu den Faktoren, die zu den Kosten beitragen, gehören unter anderem Benachrichtigung von Kunden, Führungskräften und Aufsichtsbehörden bis hin zu Bußgeldern, Umsatzeinbußen während der Ausfallzeit und dem dauerhaften Verlust von Kunden.

Einige Sicherheitsvorfälle sind teurer als andere. Ransomware-Angriffe verschlüsseln die Daten eines Unternehmens, machen die Systeme unbrauchbar und erfordern ein teures Lösegeld für einen Entschlüsselungscode, um die Daten freizugeben. Zunehmend wird von Cyberkriminellen ein zweites Lösegeld verlangt, um die Weitergabe sensibler Daten an die Öffentlichkeit oder andere Cyberkriminelle zu verhindern. Laut dem Definitive Guide to Ransomware von IBM sind die Lösegeldforderungen auf sieben- und achtstellige Beträge angestiegen und betrugen in Extremfällen bis zu 80 Millionen US-Dollar.

Es war abzusehen, dass die Investitionen in IT-Sicherheit weiter steigen. Der Branchenanalyst Gartner geht davon aus, dass der Markt in den kommenden Jahren stark ansteigen undbis 2026 die Marke von 260 Mrd. USD überschreiten wird.

Jedes Unternehmen ist anfällig für interne und externe Cyberbedrohungen. Diese Bedrohungen können absichtlich erfolgen, wie bei Cyberkriminellen, oder unbeabsichtigt, wie bei Mitarbeitern oder Auftragnehmern, die versehentlich auf schädliche Links klicken oder Malware herunterladen.

Die IT-Sicherheit zielt darauf ab, dieses breite Spektrum von Sicherheitsrisiken zu bewältigen und alle Arten von Bedrohungsakteuren und ihre unterschiedlichen Motivationen, Taktiken und Fähigkeiten zu berücksichtigen.

Malware ist eine Schadsoftware, die infizierte Systeme unbrauchbar machen, Daten vernichten, Informationen stehlen und sogar Dateien löschen kann, die kritisch für das Betriebssystem sind.

Zu den bekannten Arten von Malware gehören:

• Ransomware ist Malware, die die Daten oder das Gerät eines Opfers sperrt und droht, diese weiterhin gesperrt zu lassen oder Schlimmeres damit zu tun, wenn das Opfer kein Lösegeld zahlt. Laut dem IBM X-Force Threat Intelligence Index sind Ransomware-Angriffe die am häufigsten eingesetzte Form von Malware.
   

• Ein Trojanisches Pferd ist eine Malware, die Menschen dazu verleitet, sie herunterzuladen, indem sie sich als nützliches Programm tarnt oder sich in legitimer Software versteckt. Ein Remote-Access-Trojaner (RAT) schafft eine geheime Hintertür auf dem Gerät des Opfers, während ein Dropper-Trojaner zusätzliche Malware installiert, sobald er Fuß gefasst hat.
   

• Spyware sammelt heimlich sensible Informationen wie Benutzernamen, Kennwörter, Kreditkartennummern und andere personenbezogene Daten und sendet sie an den Hacker zurück.
   

• Ein Wurm ist eine sich selbst replizierende Malware, die sich automatisch zwischen Apps und Geräten verbreiten kann.

Social Engineering wird oft als „Human Hacking“ bezeichnet und manipuliert Opfer dahingehend, Maßnahmen zu ergreifen, die vertrauliche Informationen preisgeben, die Sicherheit ihrer Unternehmen gefährden oder dessen finanzielles Wohlergehen bedrohen.

Phishing ist die bekannteste und am weitesten verbreitete Art von Social-Engineering-Angriffen. Bei Phishing-Angriffen werden betrügerische E-Mails, Textnachrichten oder Telefonanrufe verwendet, um Menschen auszutricksen. Diese Angriffe zielen darauf ab, Menschen dazu zu bringen, personenbezogene Daten weiterzugeben oder auf Zugangsdaten zuzugreifen, Malware herunterzuladen, Geld an Cyberkriminelle zu überweisen oder andere Handlungen vorzunehmen, durch die sie Opfer von Cyberkriminalität werden könnten. Zu den besonderen Arten von Phishing gehören:

• Spear-Phishing – äußerst gezielte Phishing-Angriffe, bei denen eine bestimmte Person manipuliert wird, wobei oft Details aus den öffentlichen Social-Media-Profilen des Opfers verwendet werden, um die Täuschung überzeugender zu machen.
   

• Whale-Phishing– Spear-Phishing, das auf Führungskräfte von Unternehmen oder vermögende Privatpersonen abzielt.
   

• Business Email Compromise (BEC) – Betrug, bei dem sich Cyberkriminelle als Führungskräfte, Lieferanten oder vertrauenswürdige Geschäftspartner ausgeben, um Opfer dazu zu verleiten, Geld zu überweisen oder sensible Daten weiterzugeben.

Eine andere Social-Engineering-Taktik, das Tailgaiting, ist weniger technisch, aber nicht weniger bedrohlich für die IT-Sicherheit: Dabei wird eine Person mit physischem Zugang zu einem Rechenzentrum (z. B. jemand mit einem Ausweis) verfolgt (oder „beschattet“), um sich buchstäblich von hinten anzuschleichen, bevor sich die Tür schließt.

Bei einem DoS-Angriff wird eine Website, eine Anwendung oder ein System mit einer großen Menge an betrügerischem Datenverkehr überflutet, so dass es für legitime Benutzer zu langsam oder überhaupt nicht mehr verfügbar ist. Bei einem DDoS-Angriff (Distributed Denial of Service) wird ein Netzwerk von mit dem Internet verbundenen, mit Malware infizierten Geräten – ein sogenanntes Botnet – verwendet, um die Zielanwendung oder das Zielsystem lahmzulegen oder zum Absturz zu bringen.

Ein Zero-Day-Exploit profitiert von einer unbekannten oder noch nicht behobenen Sicherheitslücke in einer Computersoftware, -hardware oder -firmware. Der Begriff „Zero Day“ bezieht sich auf die Tatsache, dass der Software- oder Geräteanbieter „null Tage“ (auf Englisch „zero days“) bzw. keine Zeit hat, die Sicherheitslücke zu schließen, weil böswillige Akteure sie bereits nutzen können, um sich Zugang zu anfälligen Systemen zu verschaffen.

Insider-Threats stammen von Mitarbeitern, Partnern und anderen Benutzern mit autorisiertem Zugriff auf das Netzwerk. Ob unbeabsichtigt (z. B. ein Drittanbieter, der dazu verleitet wird, Malware zu starten) oder böswillig (z. B. ein verärgerter Mitarbeiter, der auf Rache aus ist) – Insider-Threats haben es in sich. 

Dem Bericht „Cost of a Data Breach Report“ zufolge sind Datenschutzverletzungen, die durch böswillige Insider verursacht werden, die teuersten. Sie kosten durchschnittlich 4,92 Millionen US-Dollar.

Bei einem MITM-Angriff beschattet ein Cyberkrimineller eine Netzwerkverbindung, fängt Nachrichten zwischen zwei Parteien ab und leitet sie weiter, um Daten zu stehlen. Ungesicherte WLAN-Netzwerke sind ein beliebtes Ziel für Hacker, die MITM-Angriffe starten.

Da die Bedrohungen der Cybersicherheit immer schneller und komplexer werden, setzen Unternehmen IT-Sicherheitsstrategien ein, die eine Reihe von Sicherheitssystemen, -programmen und -technologien kombinieren.

Unter der Aufsicht erfahrener Sicherheitsteams können diese IT-Sicherheitspraktiken und -technologien dazu beitragen, die gesamte IT-Infrastruktur eines Unternehmens zu schützen und die Auswirkungen bekannter und unbekannter Cyberangriffe zu vermeiden oder abzuschwächen.

Da viele Cyberangriffe, wie z. B. Phishing-Angriffe, menschliche Schwachstellen ausnutzen, ist die Schulung von Mitarbeitern zu einer wichtigen Verteidigungslinie gegen Insider-Threats geworden.

Schulungen zum Sicherheitsbewusstsein vermitteln Mitarbeitern die Möglichkeit, Sicherheitsbedrohungen zu erkennen und sichere Gewohnheiten am Arbeitsplatz anzuwenden. Zu den häufig behandelten Themen gehören die Sensibilisierung für Phishing, die Sicherheit von Passwörtern, die Bedeutung regelmäßiger Software-Updates und Fragen des Datenschutzes, z. B. wie Kundendaten und andere sensible Informationen geschützt werden können.

Für die Multi-Faktor-Authentifizierung sind zusätzlich zu einem Benutzernamen und einem Passwort eine oder mehrere Anmeldeinformationen erforderlich. Die Implementierung einer Multi-Faktor-Authentifizierung kann verhindern, dass ein Hacker Zugriff auf Anwendungen oder Daten im Netzwerk erhält. Diese Authentifizierung funktioniert selbst dann, wenn es dem Hacker gelingt, den Benutzernamen und das Passwort eines legitimen Benutzers zu stehlen oder zu erlangen.

Die Multifaktor-Authentifizierung ist für Unternehmen, die Single Sign-on-Systeme verwenden, von entscheidender Bedeutung. Diese Systeme ermöglichen es Benutzern, sich einmal bei einer Sitzung anzumelden und während dieser Sitzung auf mehrere verwandte Anwendungen und Dienste zuzugreifen, ohne sich erneut anmelden zu müssen.

Reaktion auf Vorfälle, manchmal auch Incident Response oder Reaktion auf Cybersicherheitsvorfälle genannt, bezieht sich auf die Prozesse und Technologien eines Unternehmens zur Erkennung und Reaktion auf Cyberbedrohungen, Sicherheitsverletzungen und Cyberangriffe. Das Ziel der Incident Response ist es, Cyberangriffe zu verhindern, bevor sie stattfinden, und die Kosten und die Unterbrechung des Geschäftsbetriebs, die sich aus einem Cyberangriff ergeben, zu minimieren.

Viele Unternehmen erstellen einen formellen Notfallplan für die Reaktion auf Vorfälle (Incident Response Plan, IRP), in dem die Prozesse und die Sicherheitssoftware festgelegt sind, die sie zur Erkennung, Eindämmung und Behebung der verschiedenen Arten von Cyberangriffen einsetzen. Laut dem Bericht Cost of a Data Breach lagen die Kosten einer Datenschutzverletzung bei Unternehmen, die einen formellen IRP erstellt und regelmäßig getestet haben, um 232.008 USD unter dem Durchschnitt von 4,45 Millionen USD.

Kein einzelnes Sicherheitstool kann Cyberangriffe vollständig verhindern. Dennoch können verschiedene Tools dazu beitragen, Cyberrisiken zu mindern, Cyberangriffe zu verhindern und den Schaden im Falle eines Angriffs zu minimieren.

Zur gängigen Sicherheitssoftware zur Erkennung und Abwehr von Cyberangriffen gehören:

• E-Mail-Sicherheitstools, einschließlich KI-basierte Anti-Phishing-Software, Spam-Filter und sichere E-Mail-Gateways

• Antivirensoftware zur Neutralisierung von Spyware oder Malware, die Angreifer verwenden könnten, um die Netzwerksicherheit zu untersuchen, Gespräche abzuhören oder E-Mail-Konten zu übernehmen

• System- und Software-Patches können technische Schwachstellen schließen, die häufig von Hackern ausgenutzt werden.

• Sichere Web-Gateways und andere Webfilter-Tools zum Blockieren bösartiger Websites, die häufig mit Phishing-E-Mails verknüpft sind.

• Lösungen zur Bedrohungserkennung und -abwehr nutzen Analysen, künstliche Intelligenz (KI) und Automatisierung, um Sicherheitsteams bei der Erkennung bekannter Bedrohungen und verdächtiger Aktivitäten zu unterstützen. Sie ermöglichen es den Sicherheitsteams, Maßnahmen zu ergreifen, um die Bedrohung zu beseitigen oder ihre Auswirkungen zu minimieren. Zu diesen Technologien gehören Security Orchestration, Automation and Response (SOAR), Security Incident and Event Management (SIEM), Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Extended Detection and Response (XDR).

Mit offensiver Sicherheit oder „OffSec“ wird eine Reihe proaktiver Sicherheitsstrategien bezeichnet, bei denen die Taktiken böswilliger Akteure bei realen Angriffen angewendet werden, um die Netzwerksicherheit zu stärken, statt sie zu schädigen.

Offensive Sicherheitsoperationen werden oft von ethischen Hackern durchgeführt, Cybersicherheitsexperten, die ihre Hacking-Fähigkeiten einsetzen, um IT-Systemfehler zu finden und zu korrigieren. Zu den gängigen offensiven Sicherheitsmethoden gehören:

• Schwachstellen-Scans– mit den gleichen Tools, die Cyberkriminelle verwenden, um ausnutzbare Sicherheitslücken und Schwachstellen in der IT-Infrastruktur und den Anwendungen eines Unternehmens zu erkennen und zu identifizieren.

• Penetrationsprüfung – Ausführung eines simulierten Cyberangriffs, um Schwachstellen in Computersystemen, Reaktionsabläufen und dem Sicherheitsbewusstsein der Benutzer aufzudecken. Einige Datenschutzvorschriften, wie der Payment Card Industry Data Security Standard (PCI-DSS), schreiben regelmäßige Penetrationsprüfungen als Voraussetzung für die Einhaltung vor.
   

• Red Teaming – Beauftragung eines Teams ethischer Hacker, einen simulierten, zielgerichteten Cyberangriff auf das Unternehmen auszuführen.

Offensive Sicherheit ergänzt Sicherheitssoftware und andere defensive Sicherheitsmaßnahmen – sie deckt unbekannte Cyberangriffswege oder -vektoren auf, die anderen Sicherheitsmaßnahmen möglicherweise entgehen. Und es liefert Informationen, die Sicherheitsteams nutzen können, um ihre defensiven Sicherheitsmaßnahmen zu verstärken.

Da sich die Begriffe „IT-Sicherheit“, „Informationssicherheit“ und „Cybersicherheit“ stark überschneiden, werden sie oft (und fälschlicherweise) synonym verwendet. Sie unterscheiden sich vor allem im Umfang.

• Unter Informationssicherheit versteht man den Schutz der digitalen Dateien und Daten, Papierdokumente, physischen Medien und sogar der menschlichen Sprache eines Unternehmens vor unbefugtem Zugriff, Offenlegung, Verwendung oder Änderung. Informationssicherheit hat den weitesten Umfang der drei Bereiche. Wie die IT-Sicherheit befasst sie sich mit dem Schutz physischer IT-Assets und Rechenzentren. Darüber hinaus geht es um die physische Sicherheit von Einrichtungen zur Aufbewahrung von Papierakten und anderen Datenträgern.
  
  
• Die Cybersicherheit konzentriert sich auf den Schutz digitaler Daten und Assets vor Cyberbedrohungen – böswillige Handlungen externer und interner Bedrohungsakteure sowie unbeabsichtigte Bedrohungen durch unvorsichtige Insider. Cybersicherheit ist zwar ein enormes Unterfangen, hat aber den engsten Anwendungsbereich der drei, da es nicht um den Schutz von Papier- oder analogen Daten geht.