IndustryHub
TECHNOLOGIEN / SICHERHEIT

IT-Cybersicherheit (Information Technology)

IT

IT-Cybersicherheit (Information Technology)

Schutz des Unternehmens-IT-Systems — Endgeräte, Server, Cloud, Anwendungen, Daten. ISO 27001, NIST CSF, Zero Trust, Defense in Depth, Governance und Compliance nach DSGVO / NIS2 / DORA. Das digitale Gegenstück zur OT-Sicherheit, mit eigener Logik und Tool-Ökosystem.

CIA-Triade — Grundlage der IT-Sicherheit

Drei gleichzeitig zu garantierende Eigenschaften. Anders als OT (Verfügbarkeit > Integrität > Vertraulichkeit) priorisiert IT traditionell Vertraulichkeit > Integrität > Verfügbarkeit — Abwägung kontextabhängig.

C

Vertraulichkeit

Daten nur für autorisierte Personen zugänglich. Verschlüsselung (TLS, AES-256, RSA), Datenklassifizierung, Zugangskontrollen, Data Loss Prevention.

I

Integrität

Daten werden nicht unbefugt verändert. Digitale Signaturen, Hash (SHA-256), Versionskontrollen, unveränderlicher Audit-Trail, File Integrity Monitoring.

A

Verfügbarkeit

Systeme und Daten bleiben für legitime Nutzer zugänglich. Redundanz, Hochverfügbarkeit, DRP, Backups, DDoS-Schutz, Kapazitätsplanung.

Schlüsselbereiche der IT-Cybersicherheit

Acht technische + kulturelle Bereiche, die sich addieren. Keiner wichtiger als die anderen — das schwächste Glied bestimmt das tatsächliche Niveau.

Identitäts- und Zugriffsverwaltung

Die neue Grenze. SSO (Okta, Microsoft Entra, Ping), MFA überall, Privileged Access Management (CyberArk, BeyondTrust), Berechtigungs-Reviews, Aufgabentrennung, Identity Lifecycle.

Endgerätesicherheit

Nachfolger der Antivirenprogramme: EDR (CrowdStrike, SentinelOne, Microsoft Defender), dann XDR mit Aggregation Endpoint + Netz + Cloud + Mail. Verhaltensanalyse, MITRE ATT&CK Detection.

Netzwerksicherheit

Next-Gen Firewall (Palo Alto, Fortinet, Check Point), Mikro-Segmentierung, VPN schrittweise durch ZTNA ersetzt, TLS-Inspektion, IDS/IPS, NDR.

Cloud-Sicherheit

Das Shared-Responsibility-Modell ändert die Spielregeln. CSPM (Wiz, Prisma), CWPP, CASB, SSPM, KMS, Cloud-IAM, Secrets-Management (HashiCorp Vault).

Datenschutz

Klassifizierung (öffentlich / intern / vertraulich / geheim), Verschlüsselung at-rest und in-transit, DLP (Microsoft Purview, Symantec, Forcepoint), Maskierung und Tokenisierung, DSGVO Recht auf Vergessenwerden.

Anwendungssicherheit (DevSecOps)

Security Shift-Left. SAST (SonarQube, Checkmarx), DAST (Burp, OWASP ZAP), SCA (Snyk, Mend), Secrets Scanning, Container-Härtung, SBOM-Signaturen.

SOC, SIEM, SOAR

Security Operations Centre — Menschen + Werkzeuge. SIEM (Splunk, Microsoft Sentinel, Elastic, Wazuh), SOAR (Palo Alto XSOAR, Splunk SOAR), Threat Intelligence (MITRE ATT&CK, MISP).

Sensibilisierung und Faktor Mensch

80 % der Vorfälle beginnen mit einem Menschen. Simuliertes Phishing (KnowBe4, Cofense), zielgerichtetes E-Learning, Tabletop-Übungen, nicht-angsterzeugende Kommunikation.

Zero Trust — das moderne Paradigma

„Never trust, always verify." Verlassen des „Burg-mit-Graben"-Modells zugunsten kontinuierlicher Verifikation jedes Zugriffs. Referenz NIST SP 800-207. Drei Strukturprinzipien.

Explizit verifizieren

Immer authentifizieren UND autorisieren, basierend auf allen Signalen: Identität, Gerät, Standort, Systemzustand, Datenklassifizierung, Anomalien.

Least Privilege

Just-In-Time und Just-Enough-Access. Risikobasierte Policies. Daten standardmäßig geschützt. Keine permanenten Admin-Konten.

Annahme: Verletzung

Design wie wenn Angreifer bereits drin wäre. Mikro-Segmentierung, End-to-End-Verschlüsselung, kontinuierliche Analytics und Detection, automatisierte Response, Red-Team-Übungen.

Wichtige Vorfälle

Fünf prägende Angriffe des Jahrzehnts, jeder enthüllte einen blinden Fleck moderner IT-Sicherheit — Patching, Supply-Chain, Open-Source-Abhängigkeiten, IAM.

2017

WannaCry

150 Länder, UK NHS

Ransomware nutzt EternalBlue (Windows-SMB-Lücke von NSA gestohlen). 300 000 Maschinen in 4 Tagen infiziert. Zeigt Patching- und interne Segmentierungs-Bedeutung.

2017

Equifax

USA — Daten von 147 M Personen

Nicht-gepatchte Apache-Struts-Lücke (2 Monate). Massive Identitätsdaten-Leck (SSN, Geburtsdaten, Kartennummern). 1,4 Mrd. $ Strafe. CEO trat zurück.

2020

SolarWinds

18 000 Kunden inkl. US-Reg. + Microsoft

Supply-Chain-Angriff: SolarWinds-Orion-Build kompromittiert. Ein legitim signiertes Update verteilte eine Backdoor an 18 000 Organisationen.

2021

Log4Shell

„Das gesamte Internet"

Kritische 10/10-CVSS-Lücke in der Java-log4j2-Bibliothek. Unauthentifiziertes RCE durch einfaches JNDI-String-Logging. Monate weltweiter Panik.

2023

MOVEit

2 700 Organisationen, 95 M Personendaten

SQL-Injection-Zero-Day in MOVEit Transfer (Progress), ausgenutzt von CL0P. Ransomware mit Exfiltration. BA, BBC, Sony, Shell, US-Behörden betroffen.

EU-Regulatorischer Rahmen

RGPD / GDPR

EU-Verordnung 2016/679 — seit Mai 2018

Schutz personenbezogener Daten. Grundsätze: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität-Vertraulichkeit, Rechenschaftspflicht. Meldepflicht binnen 72 h. Strafen bis 4 % Konzernumsatz oder 20 M€.

NIS2

EU-Richtlinie 2022/2555 — Umsetzung Okt 2024

Cybersicherheit „wesentlicher und wichtiger Einrichtungen". Deckt IT und OT ab. Risikoanalyse, technische Maßnahmen, Schulung Geschäftsleitung, Meldung 24 h. Bußgelder bis 10 M€ oder 2 % Konzernumsatz.

DORA

EU-Verordnung 2022/2554 — seit Jan 2025

Digital Operational Resilience Act — Finanzsektor. 5 Säulen: ICT-Risikomanagement, Incident-Management, Resilienztests (TLPT), ICT-Drittparteien-Management, Informationsaustausch. Strengster EU-Rahmen.

AI Act

EU-Verordnung 2024/1689 — gestaffelt 2025-2027

Weltweit erstes KI-Regulierungsrahmenwerk. Risikobasiert: inakzeptabel / hoch / begrenzt / minimal. Verschärfte Pflichten für Hochrisiko-Systeme (Gesundheit, HR, Justiz, kritische Infrastruktur).

Normen und Rahmenwerke

  • ISO 27001:2022 — Informationssicherheits-Managementsystem (ISMS) — internationale Referenz
  • ISO 27002:2022 — 93 organisatorische, technische und physische Sicherheitsmaßnahmen
  • ISO 27005 — Risikomanagement der Informationssicherheit
  • NIST CSF 2.0 — Cybersecurity Framework — 6 Funktionen (Govern, Identify, Protect, Detect, Respond, Recover)
  • NIST SP 800-207 — Zero Trust Architecture — offizielle Referenz
  • CIS Controls v8 — 18 Controls nach Implementation Groups (IG1 → IG3)
  • OWASP Top 10 — Top 10 Web-Risiken — Entwickler-Referenz
  • MITRE ATT&CK — Globale Wissensbasis der Angreifer-Taktiken und -Techniken

Siehe auch

OT-Cybersicherheit

Das industrielle Gegenstück: Purdue-Modell, IEC 62443, NIS2 für ICS, Anlagenschutz.

Werkzeuge

NIST-CSF-Reifegrad-Bewertung, ISO-27001-Checkliste, DSGVO-Aufwandsrechner — in Entwicklung.