Auf Mastodon ansehen
Das Allianz Risk Barometer identifiziert die „wichtigsten Geschäftsrisiken für 2025“[1]. Insbesondere die Ergebnisse zur Cyberkriminalität sind besorgniserregend.
Cybervorfälle (38 % der Antworten) sind das globale Top-Risiko für 2025, und zwar mit größerem Abstand als je zuvor - 7 %-Punkte vor der Betriebsunterbrechung auf Platz 2. Es ist das vierte Jahr in Folge, dass Cyberrisiken den ersten Platz einnehmen, nachdem sie 2020 erstmals an erster Stelle standen. Vor zehn Jahren rangierte es weltweit nur auf Platz 8 mit nur 12 % der Antworten.
Das könnte womöglich mit der Digitalisierung zusammenhängen [2]:
Home-Office ist für mittelständische Unternehmen kein Fremdwort mehr. In Sachen dezentrale Organisation, virtuelle Führung und Unternehmenskultur im digitalen Zeitalter sind Firmen inzwischen fit. Doch je mehr sie sich auf digitale Strukturen verlassen, desto angreifbarer werden sie, wenn nicht vorgesorgt wird.
Sichtbar wird das auch am Beispiel Windows 10: Sechs von zehn Rechnern weltweit laufen mithilfe dieser Errungenschaft [3] – im Oktober 2025 ist jedoch Schluss: Dann endet der kostenlose Support von Microsoft für das Betriebssystem.
Microsoft hat bereits angekündigt, dass es einen erweiterten, kostenpflichtigen Support für Windows 10 geben wird. Neu ist, dass auch Privatanwender diesen Service kaufen können. Die Kosten sind allerdings hoch und steigen mit jedem Jahr der Nutzung um das Doppelte. Auch im Unternehmensbereich sind gerade veraltete Systeme ein Hauptziel für Cyberkriminelle. [4]
Apropos Kriminelle:
In diesem Papier werden erfolgreiche Beispielangriffe wie Jailbreaks, umgekehrte Psychologie und Prompt-Injection-Angriffe auf ChatGPT demonstriert. Außerdem wird untersucht, wie Cyberkriminelle die GenAI-Tools bei der Entwicklung von Cyberangriffen nutzen können, und es werden Szenarien untersucht, in denen ChatGPT von Angreifern für Social-Engineering-Angriffe, Phishing-Angriffe, automatisiertes Hacking, die Generierung von Angriffsnutzlasten, die Erstellung von Malware und polymorpher Malware genutzt werden kann. [5]
Werden menschliche [6] und/oder technische Schwächen [7] ausgenutzt, kann es teuer werden:
Scalable Capital muss 2500 Euro Schadensersatz zahlen [...] Nach dem Verzicht auf eine Berufung muss der Vermögensverwalter Scalable Capital einem seiner früheren Kunden 2500 Euro Schadenersatz zahlen. Es ist das erste rechtskräftige Urteil nach dem Datenleck vom Oktober 2020, das bis zu 33.000 Kunden des Neobrokers betraf. [8]
Und jetzt wird es spannend – der Europäische Gerichtshof ist nämlich der Ansicht, ein „Datenschutzverstoß“ sei „nicht weniger schwerwiegend als Körperverletzung“[9].
Zu allem Überfluss lässt [10] der Bundesgerichtshof auch noch Sammelklagen zu:
Es ist ein Urteil, vor dem sich viele Unternehmen gefürchtet haben: Der Bundesgerichtshof hat Opfern von Datendiebstahl im Internet das Recht auf Schadensersatz zugesprochen. Damit könnten auf die Facebook-Mutter Meta nun riesige Sammelklagen zukommen.
Wer Wert darauf legt, seine gewerblichen Kundinnen auch künftig noch betreuen zu können, ist gut beraten, diese – zum Umstieg auf GNU/Linux – zu einer Hardware-basierten Authentifizierung, zu einer Verschlüsselung von Mitarbeiterinnen-/Kundinnen-/Dienstleisterinnen-Daten und zu einem Berechtigungsmanagement zu bewegen [11]: Die Verantwortliche haftet [12] für den Nachweis, dass ihre Datenverarbeitung dem „Stand der Technik“ entspricht.
Das war DSGVO. Seit Oktober letzten Jahres gilt zusätzlich (für die kritischen Infrastrukturen) NIS-2 [13], DORA für die Kreditwirtschaft [14] und die UNECE 155 [15] für die Automobilindustrie. In Deutschland gibt es [16] dann noch etwas Spezielles für Ärztinnenpraxen/Kliniken. Möglich, dass sich andere das zum Vorbild nehmen. Ab Februar 2025 ist das KI-Gesetz [17] schrittweise anzuwenden. Bis 2028 kommt dann noch das Cybersicherheitsgesetz für die vernetzten Dinge [18]
Das Ergebnis heißt „Compliance 4.0“: Wir müssen flächendeckend, systematisch, proaktiv investieren in ein 'System vernetzter Sicherheit' – einschließlich Sicherheits-, Notfallkonzepten, physikalischem Einbruchschutz, elektronische Signaturen, kryptografische Verschlüsselung Überwachung des internen Netzes auf Anomalien sowie des öffentlichen Netzes auf bevorstehende Angriffe – beides jeweils in Echtzeit!
Sonst klappt das nicht mit der Digitalisiererei!
Titelbild: KI-generiert (der Prompt wurde vom Autor nicht mitgeteilt)
Quellen (manche hinter einer Paywall):
[1] https://commercial.allianz.com/content/dam/onemarketing/commercial/commercial/reports/Allianz-Risk-Barometer-2025.pdf
[2] https://wtsh.de/de/die-dunkle-seite-der-digitalisierung
[3] https://www.theregister.com/2025/01/02/windows_10_grows/
[4] https://it-sicherheit.de/news/32-mio-computer-in-deutschland-laufen-noch-mit-windows-10/
[5] https://arxiv.org/abs/2307.00691
[7] https://trendreport.de/hardware-basierte-authentifizierung-schuetzt/
[8] https://trendreport.de/kmu-muessen-ihre-netze-schon-heute-rund-um-die-uhr-ueberwachen-ki-quanten-erpressungstrojanern-kommen-erst-noch/
[9] https://www.faz.net/aktuell/finanzen/scalable-capital-muss-2500-euro-schadensersatz-zahlen-18251062.html
[10] https://www.faz.net/aktuell/finanzen/eugh-urteilt-zu-datenleck-bei-scalable-19802997.html
[11] https://www.juve.de/verfahren/bgh-oeffnet-das-tor-fuer-sammelklagen-gegen-freshfields-mandantin-meta/
[12] https://trendreport.de/die-verwendung-von-windows-10-ist-ab-14-oktober-2025-datenschutzrechtlich-unzulaessig/
[13] https://trendreport.de/compliance-4-0-der-blog-zur-regelkonformen-vollautomatisierung-der-welt/
[14] https://trendreport.de/nis-2-die-security-awareness-stellt-eine-verantwortung-auf-hohem-niveau-dar-und-kann-sogar-nahtoderfahrungen-vermeiden-helfen/
[15] https://trendreport.de/ist-die-funktionsfaehigkeit-des-finanzsystems-gefaehrdet/
[16] https://trendreport.de/der-betrieb-automobiler-botnetze-ist-mit-der-unece-r155-unvereinbar/
[17] https://www.buzer.de/gesetz/2497/b37140.htm
[18] https://www.activemind.legal/de/guides/ai-act/
[18] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html
Das Supportende für W10 wird von Microsoft benutzt, um die Nutzer zu W11 zu erpressen, was aber kaum jemand will, weil technisch einfach nur unterterste Schublade. Ich kann nur allen empfehlen, endlich Microsoft den Rücken zu kehren und auf andere Systeme umzusteigen. BTW Windows 7 tut auch heute noch bestens seine Dienste. Das Risiko ist in einer abgesicherten DMZ überschaubar und vermutlich deutlich kleiner als mit der Bloatware W11.
Der Witz ist doch, dass weder Windows 11 noch Windows 10 DSVGO konform sind. Ebenso wenig alle Microsoft Cloud-Produkte und generell der Einsatz aller außereuropäischen Clouds. Die Politik, die EU oder das BSI können da so viele Regeln, Gesetze oder Compliance-Handbücher "mit Tipps & Tricks" veröffentlichen wie sie wollen. Es verändert nicht diese ojektive und sehr offensichtliche Tatsache.
Das eine Datenverarbeitung dem „Stand der Technik“ entspricht, ist ein SEHR dehnbarer Rechtsbegriff. Wenn 2/3, meist reichen sogar 50% aller Unternehmen die gleiche Infrastruktur (Betriebsysteme & funktionsähnliche Software) einsetzen, wird kein Richter die Nichteinhaltung dieser Anforderung feststellen. Deshalb ist das auch nicht Antrieb oder Grund für Firmen ihr IT-Netzwerk von Windows auf Linux umzustellen. ("Für den Einsatz von Microsoft ist noch niemand gefeuert worden")
Sehr viel dramatischer als ein Datenleak oder Datendiebstahl ist für die Unternehmen heute der Zusammenbruch ihrer IT. Daumenregel: Einen Tag Ausfall stecken die Kunden weg. Bei drei Tagen Ausfall fangen die Kunden an zu wechseln. Und nach 1 Woche ist die Firma pleite. Und da kann ein gutes IT-Sicherheitskonzept und natürlich der Einsatz von Linux mit seiner offenen stabilen Basis, mit dem eingebauten Rechtesystem und mit freier Software punkten!