Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass die Cybersicherheitslandschaft fast immer von Vorfällen geprägt ist. Schwere Sicherheitslücken kosteten Unternehmen Milliarden von Pfund, da Angreifer ihre Taktiken verfeinerten und menschliche Schwächen skrupellos ausnutzten. Die Einführung von KI begann in vielen Unternehmen mit großem Nachdruck und vergrößerte so deren Angriffsfläche, während KI-gestützte Technologien gleichzeitig Angreifern einen Vorteil verschafften. Parallel dazu wuchs der Aufwand für die Einhaltung von Vorschriften, da Regulierungsbehörden alles daran setzten, die Cybersicherheit entlang der Lieferketten zu verbessern.

Werfen wir einen Blick auf fünf Dinge, die wir im Jahr 2025 gelernt haben:

Neue Vorschriften häufen sich

In den letzten zwölf Monaten folgten die Compliance-Fristen Schlag auf Schlag. Zuerst kam die Digital Operational Resilienz Gesetz (DORA) – eine EU-Initiative zum Schutz des Finanzdienstleistungssektors der Region. DORA stellt insbesondere neue Anforderungen an Risikomanagement, Tests und die Reaktion auf Sicherheitsvorfälle – und zwar nicht nur an die Finanzakteure selbst, sondern auch an deren IT- und andere operative Dienstleister. zielt auf Harmonisierung ab Gesetze im gesamten Block, die die grundlegende Sicherheit verbessern, indem leitende Angestellte persönlich für die Nichteinhaltung verantwortlich gemacht werden – was sich auf schätzungsweise 22,000 Unternehmen in der Region auswirkt.

Als kritische Infrastruktur war eine derartige Regulierung des Sektors längst überfällig. Cyberangriffe haben laut IWF in den letzten zwei Jahrzehnten globalen Finanzunternehmen direkte Verluste in Höhe von 12 Milliarden US-Dollar verursacht. Doch schon nach sechs Monaten wurde deutlich, dass die Umsetzung alles andere als einfach war. Eine Studie Eine im Sommer veröffentlichte Studie ergab, dass nur die Hälfte der befragten Organisationen die DORA-Anforderungen in ihre umfassenderen Resilienzprogramme integriert hatte. Die Mehrheit hatte die DORA-Resilienzstandards noch nicht erreicht.

Andernorts stieg der Aufwand für die Einhaltung der Vorschriften. mit Änderungen zum Cybersicherheitsgesetz (CSA) der EU, um Zertifizierungssysteme für Managed Security Services vorzuschreiben. Die Regierung hat ein entsprechendes Gesetz verabschiedet. längst überfälliges Update zur britischen DSGVO: das Datenschutzgesetz (Data (Use and Access) Act), das dazu beitragen soll, Bürokratie abzubauen, den sicheren Datenaustausch zu verbessern und die verantwortungsvolle Nutzung von Daten zu erleichtern.

Inzwischen ist auch eine neues NIST-Cybersicherheitsrahmenwerk wird den Standard weiterentwickeln, um ihn aktueller und zweckmäßiger zu gestalten – insbesondere im Kontext der KI-Entwicklung und der automatisierten Entscheidungsfindung.

Resilienz steht im Mittelpunkt

Eines der Gemeinsamkeiten vieler der oben genannten Gesetze und Regulierungsrahmen ist das Ziel, die Cyberresilienz zu verbessern. Schlagzeilen machende Vorfälle wie etwa große Lieferkettenangriffe Störung an mehreren europäischen Flughäfen und ein wochenlanger Ransomware-Angriff bei Großbritanniens größter Autohersteller Zeigen Sie uns, warum die Regulierungsbehörden in diese Richtung gehen. Laut einer WEF-Studie aus diesem Jahr sind über die Hälfte (54 %) der globalen Organisationen identifizieren Herausforderungen in der Lieferkette stellen das größte Hindernis für die Erreichung von Cyberresilienz dar.

Es handelt sich auch nicht nur um ein IT-Problem. Ein Dragos/Marsh McLennan berichten Aus dem August geht hervor, dass das OT-Risiko Unternehmen jährlich mindestens 330 Milliarden Dollar kosten könnte.

Deshalb drängen Organisationen wie das Nationale Zentrum für Cybersicherheit (NCSC) auf Maßnahmen. Die Agentur sagte, die Hälfte 48 % der Vorfälle, auf die das Incident-Management-Team im vergangenen Jahr reagierte, waren von nationaler Bedeutung, während die Zahl der als „hochbedeutend“ eingestuften Vorfälle um 50 % anstieg. Der Begriff „Resilienz“ wird im jüngsten Jahresbericht des NCSC 139 Mal erwähnt. Leider mangelt es an grundlegenden Sicherheitskapazitäten. sind flach oder in Bezug auf Schlüsselkompetenzen wie Mitarbeiterschulung, Lieferantenrisikomanagement und Reaktion auf Vorfälle, laut Regierungsangaben. Das ist mit ein Grund dafür, dass es Schließlich wurde der Gesetzentwurf zur Cybersicherheit und Resilienz eingebracht. im November.

Zahlreiche Sicherheitslücken treffen Kunden hart

In zu vielen großen Organisationen ist Sicherheit immer noch auf die IT-Abteilung beschränkt, anstatt als Wachstumstreiber betrachtet zu werden. Es bleibt zu hoffen, dass Regulierungen wie die oben genannten dazu beitragen werden, die Denkweise der Führungsetagen zu verändern. In der Zwischenzeit verfügen CISOs über immer mehr Belege, die ihre Finanzierungsanträge stützen, da weiterhin namhafte Cyberangriffe schwerwiegende Folgen haben.

Die bereits erwähnte Störung am Flughafen Heathrow ist ein gutes Beispiel dafür. Sie trat nach einem Ransomware-Angriff auf den Check-in-Softwareanbieter Collins Aerospace auf und führte zu wochenlangen Verspätungen an einigen europäischen Flughäfen. Ransomware-Angriffe auf der britischen Einkaufsstraße Einzelhändler M&S und die Co-op Group verursachten den Unternehmen direkte Kosten in Höhe von Hunderten von Millionen und Umsatzeinbußen und haben möglicherweise die hart erarbeitete Kundentreue zerstört.

Wenn Vorstände und Führungskräfte den Zusammenhang zwischen Cybersicherheit, Geschäftserfolg und langfristigem Markenwert nicht erkennen, werden es ihre Wettbewerber mit Sicherheit tun. Eine Sophos-Studie aus diesem Jahr ergab, dass Großbritannien im globalen Vergleich eine Sonderstellung einnimmt. Rund 70 % der Ransomware-Opfer waren von der Datenverschlüsselung betroffen – deutlich mehr als der globale Durchschnitt von 50 % und die für 2024 prognostizierten 46 %.

Die Bedrohungslandschaft entwickelt sich

Doch die Lage wird nicht einfacher. Die typische Angriffsfläche für Unternehmen wächst dank Investitionen in digitale Dienste, Cloud-Ökosysteme und KI stetig. Budgets und Fachkräfte sind jedoch knapp. Und Angreifer entwickeln sich ständig weiter und erfinden neue Wege.

In diesem Jahr haben wir eine wachsende Vorliebe für mithilfe von Fernzugriffstools (RATs) und Fernüberwachungs- und -verwaltungssysteme (RMM) wurden in Angriffe einbezogen. Oftmals bildeten diese die nächste Stufe eines mehrschichtigen Angriffs, bei dem der erste Zugriff durch Angriffe auf IT-Helpdesks und/oder Mitarbeiter mittels Vishing-Techniken erreicht wurde. Ausnutzung von Schwachstellen geht auch weiter um populär zu sein. Und die Schwächen des Open-Source-Ökosystems werden immer häufiger und mit zunehmender Wirkung untersucht. Ein Novum npm-Wurm zeigte wie weit Bedrohungsakteure bereit sind zu gehen, um zu bekommen, was sie wollen.

Organisationen müssen sich auch an eine neue Realität anpassen: Finanziell motivierte Cyberkriminelle und staatliche Akteure sind keine sich gegenseitig ausschließenden Einheiten mehr. Die Grenzen verschwimmen und die Risiken entwickeln sich rasant.

Neue KI-Risiken entstehen

Vor diesem Hintergrund stellt KI für Sicherheits- und Compliance-Teams sowohl eine Chance als auch ein Risiko dar. Einerseits kommen wöchentlich innovative neue Lösungen auf den Markt, die unter anderem Erkennung und Reaktion, Penetrationstests und Schwachstellenanalyse verbessern. Durch die Automatisierung von mehr Aufgaben können Teams zudem mit weniger Ressourcen mehr erreichen, was angesichts des anhaltenden Fachkräftemangels besonders hilfreich ist.

Aber KI birgt auch Risiken. Deloitte Australien entdeckteHalluzinationen können Unternehmen erheblichen Reputationsschaden zufügen. Künstliche Intelligenz kann auch für unlautere Zwecke missbraucht werden, beispielsweise zur Ausnutzung von Sicherheitslücken, für Social Engineering, zur Entwicklung von Schadsoftware und mehr. Das NCSC warnte dieses Jahr. Und Schwachstellen in bestehende große Sprachmodelle (LLMs) und Plattformen wie DeepSeek stellen Geschäftsrisiken dar, die besser gemanagt werden müssen.

Es ist gut zu sehen, dass die Regierung beim Thema KI-Sicherheit und Risikomanagement eine Vorreiterrolle einnimmt. neuer Verhaltenskodex könnte britischen Unternehmen helfen, das Potenzial der Technologie zu nutzen und Projekte auf einer solideren Grundlage zu realisieren. Und ein Regierungsinitiative Die Schaffung eines neuen Sektors für KI-gestützte Qualitätssicherung ist eine vielversprechende Idee.

Es ist aber noch einiges zu tun. In der Zwischenzeit können Standards wie ISO 27001 und ISO 42001 IT- und Sicherheitsteams dabei helfen, ihre Organisationen in die richtige Richtung zu lenken. Risiken sind unvermeidlich und entwickeln sich ständig weiter. Wer sie systematisch und agil managen kann, startet gestärkt ins Jahr 2026.

Um mehr über die aktuelle Bedrohungslage zu erfahren, lesen Sie unseren Stand der Informationssicherheit 2025 berichten.