Cybersecurity Basement: Die Themen, die unser Jahr geprägt haben
2025 hat Cybersecurity an Breite, Tiefe und Verbindlichkeit gewonnen. Angriffe wurden automatisierter, taktischer und häufiger KI-gestützt. Gleichzeitig wuchsen die Anforderungen durch NIS2, den Cyber Resilience Act und DORA. IT, OT, Cloud, Lieferketten und KI sind heute miteinander verwoben – und Security muss all diese Ebenen im Blick behalten.
In unserem Podcast Cybersecurity Basement haben wir uns genau damit beschäftigt: mit Strategien, die tragen; mit OT-Umgebungen, die plötzlich im Zentrum der Bedrohungslage stehen; mit SOC-Betrieb, der mehr liefern muss als Alarme; mit Incidents, die zeigen, was funktioniert und was nicht; mit Regulatorik, die den Rahmen setzt; und mit KI, die Angreifern ein neues Tempo gibt.
Januar: Strategie und industrielle Angriffsflächen
Der Januar begann mit der Frage, wie eine Cybersecurity-Strategie aufgebaut sein muss, damit sie im Alltag trägt. Im Mittelpunkt stand der Gedanke, dass Security kein Sammelsurium von Tools sein darf, sondern ein bewusst gestaltetes System: mit klaren Prioritäten, transparenten Abhängigkeiten und definierten Verantwortlichkeiten.
Tools ohne Strategie erhöhen Komplexität. Strategie ohne Umsetzung erzeugt nur Sicherheitsgefühl. Wirkung entsteht erst dort, wo beides zusammenkommt und konsequent gelebt wird.
Parallel haben wir den Blick auf Industrieunternehmen gerichtet. OT-Umgebungen bestehen häufig aus jahrzehntealten Anlagen, gewachsenen Netzwerken und stark voneinander abhängigen Lieferketten. Viele dieser Systeme wurden nie für die heutige Vernetzung konzipiert und schon gar nicht für moderne Angriffsformen. Der Cyber Resilience Act verschärft hier den Druck, weil er Sicherheit über den gesamten Produktlebenszyklus fordert und Hersteller wie Betreiber in die Verantwortung nimmt.
Warum das wichtig ist: Industrie kann sich heute keine „Black Box“-Landschaften mehr leisten. Transparenz, Segmentierung und ein klares Verständnis über Assets und Lieferwege sind zur Voraussetzung geworden, um Produktion und Wertschöpfung sinnvoll zu schützen.
Februar: Lernen aus Incidents und Orientierung durch Regulierung
Im Februar haben wir uns mit einer Perspektive beschäftigt, die oft fehlt: dem Blick ein Jahr nach einem Sicherheitsvorfall. Wie sieht ein realistischer Idealfall aus? Wann ist ein Unternehmen wieder handlungsfähig und wann wirklich resilienter?
Deutlich wird: Wer Vorfälle nur abarbeitet, lernt wenig. Wer sie strukturiert auswertet, Prozesse anpasst und Architekturentscheidungen daraus ableitet, baut echte Widerstandsfähigkeit auf. Eine aktuelle TÜV-Studie zeigt, dass 15 Prozent der Unternehmen mit mindestens zehn Mitarbeitenden in den letzten zwölf Monaten sicherheitsrelevante Vorfälle hatten, die aktive Gegenmaßnahmen erforderten. Hier trennt sich die Spreu vom Weizen: nicht an der Frage, ob etwas passiert, sondern wie man darauf vorbereitet ist.
Im zweiten Schwerpunkt ging es um NIS2 und den Cyber Resilience Act. Beide Regelwerke machen klar, dass Sicherheit kein „Best Effort“ mehr ist, sondern konkret eingefordert wird: durch Governance-Strukturen, dokumentierte Risikobewertungen, technische Mindeststandards und Meldepflichten. Viele Unternehmen, die sich bislang auf punktuelle Projekte für „mehr Sicherheit“ verlassen haben, merken nun, dass es langfristige Strukturen braucht.
Die zentrale Botschaft: Regulatorik gibt nicht nur Pflichten vor, sondern liefert auch eine Blaupause dafür, wie moderne Security in Organisationen aussehen sollte.
März: Führung und Detection: Verantwortung und Tiefe
Im März stand das Thema Verantwortung im Fokus. Security funktioniert nur, wenn sie von oben getragen wird. Führungskräfte müssen Risiken verstehen, Prioritäten setzen, Budgets freigeben und Entscheidungen treffen, auch wenn sie unbequem sind. Ohne Management-Commitment bleibt Security ein IT-Projekt und geht im Tagesgeschäft unter.
Auf technischer Ebene sind wir tief in den SOC-Motorraum eingestiegen. Die Frage: Warum reichen Standardregeln in einem SIEM längst nicht mehr aus? Moderne Angriffe nutzen legitime Werkzeuge, verschmelzen mit Normalbetrieb und sind bewusst so gebaut, dass sie allgemeine Mustererkennung umgehen. Besonders in IT/OT-konvergenten Umgebungen steigen Komplexität und Fehlerrisiko deutlich.
Detection Engineering, so wurde klar, ist kein Nebenprodukt, sondern eine eigene Disziplin: mit eigenen Skills, eigener Roadmap und eigenem Qualitätsanspruch. Ohne diese Kompetenz bleibt ein SOC blind für genau die Angriffe, die wirklich weh tun.
April: SOC unter Realbedingungen: Industrie und Onboarding
Der April drehte sich um die Frage, wie ein SOC arbeiten muss, wenn nicht nur klassische IT, sondern auch Produktion im Spiel ist. In Fabriken und Anlagenparks sind Wartungsfenster knapp, Downtime teuer und Eingriffe in den Betrieb riskant. Ein SOC, das diese Realitäten ausblendet, wird scheitern.
Deshalb haben wir darüber gesprochen, wie passive Sensorik und digitale Zwillinge für Transparenz sorgen können, ohne in Systeme einzugreifen. Sichtbarkeit über Protokolle, Assets und Kommunikationswege ist der erste Schritt, ohne dass ein einziges Gerät dafür heruntergefahren werden muss.
In der zweiten Folge des Monats ging es um das SOC-Onboarding. Jene Phase, die oft unterschätzt wird. Netzwerkdokumentation, Schnittstellen, Rollen, Prozesse, Zusammenarbeit mit externen Dienstleistern: All das entscheidet darüber, ob ein SOC nach wenigen Wochen produktiv schützen kann oder bereits in der Implementierungsphase ins Stocken gerät.
Klar wurde: Ein SOC, das sauber „auf die Schiene gesetzt“ wird, hat ab Tag eins eine andere Schlagkraft als ein SOC, das im Nebel startet.
Mai: Qualität im SOC und realistische Risikomodelle
Im Mai haben wir uns dem SOC-Markt selbst gewidmet. Es gibt heute viele Angebote, viele Begriffe, viele Versprechen, aber nicht immer dahinter eine gleichwertige Leistung. Wir haben uns damit auseinandergesetzt, woran man erkennt, ob ein SOC echten Mehrwert bringt: transparente Leistungsbeschreibungen, klar definierte Use Cases, nachvollziehbare Reaktionswege, echte 24/7-Verantwortung statt bloßer Alarmweiterleitung.
Parallel ging es um die Verknüpfung von SOC und Cyberversicherung ohne klassischen Risikodialog. Die Idee dahinter: Anstatt lange Fragebögen auszufüllen, fließen reale Security-Daten in die Risikobewertung ein. So lassen sich sowohl Versicherungskonditionen als auch Sicherheitsmaßnahmen näher an der Realität ausrichten.
Diese Kombination steht exemplarisch für eine Entwicklung, die weiter zunehmen wird: Security wird messbar, und diese Messbarkeit wird nicht nur intern, sondern auch in der finanziellen Risikosteuerung relevant.
Juni: Cloud-Souveränität und die kritische erste Phase eines Angriffs
Im Juni haben wir uns mit einem Thema beschäftigt, das oft emotional diskutiert wird: Cloud in sicherheitskritischen Umgebungen. Der Kern: Es geht nicht darum, ob Cloud „gut“ oder „schlecht“ ist, sondern darum, wie sie konzipiert und betrieben wird. Physisch abgetrennte Umgebungen, klare Sicherheitsgrenzen und definierte Kontrollmechanismen können in vielen Fällen einen höheren Sicherheitsstandard bieten als überalterte On-Premises-Strukturen.
Die zweite Folge des Monats drehte sich um die Identifikationsphase eines Cyberangriffs. Wir haben beleuchtet, warum die ersten Minuten und Stunden darüber entscheiden, wie groß der Schaden wird. Fehlende Logs, unscharfe Zuständigkeiten oder vorschnelle Maßnahmen –- etwa unüberlegte Systemwiederherstellungen - können aus einem beherrschbaren Vorfall eine Krise machen.
Die Kernerkenntnis: Wer in der Lage ist, sauber zu beobachten, sinnvoll zu analysieren und gezielt zu handeln, bevor er „entstört“, spart Zeit, Geld und Vertrauen.
Juli: Regulierung als Praxis und unsere eigene Gründungsgeschichte
Im Juli haben wir uns zunächst angeschaut, was DORA in der Praxis bedeutet. Die Botschaft: IT-Sicherheit ist kein Selbstzweck. Sie ist direkt mit der Stabilität des Geschäftsmodells verknüpft. Besonders in regulierten Sektoren wird sichtbar, dass Security nur dann Wirkung entfaltet, wenn sie organisatorisch und kulturell verankert ist: mit klaren Rollen, KPIs, gelebter Governance und einer engen Verbindung zum Management.
Die zweite Juli-Folge war persönlicher: Wir haben über unsere eigene Gründungsgeschichte gesprochen. Darüber, wie aus der Erkenntnis „so, wie es heute läuft, passt es nicht mehr zu unseren Überzeugungen“ die Entscheidung wurde, ein eigenes Unternehmen zu gründen. Über Zweifel, erste Kunden, die „ja“ gesagt haben, und Nächte, in denen Technik und Haltung gleichzeitig wachsen mussten.
Warum gehört diese Geschichte in einen sicherheitsfachlichen Jahresrückblick? Weil sie zeigt, woraus unsere Sicht auf Security gewachsen ist: aus echten Vorfällen, echten Konflikten und echten Entscheidungen. Wenn man erlebt hat, wie viel Verantwortung man mit einem Incident übernimmt, ändert das die eigene Messlatte für Qualität, Ehrlichkeit und Verbindlichkeit.
Beide Juli-Folgen zusammen machen deutlich: Security ist nicht nur eine Frage von Regulierungsrahmen, sondern eine Frage von Haltung.
August: Digitalisierung im Sport und Grenzerfahrungen im Incident
Im August haben wir darüber gesprochen, wie ein Bundesligaverein IT-Sicherheit lebt. Sportorganisationen stehen unter konstantem öffentlichen Druck, sind hochgradig digitalisiert und müssen gleichzeitig sensible Daten schützen - von Fans, Partnern und Mitarbeitenden. Ticketing, medizinische Systeme, Trainings- und Spielanalyse, Medienproduktion: All das läuft längst auf komplexen IT- und OT-Setups.
Parallel dazu haben wir zwei Sicherheitsvorfälle aus unserer eigenen Geschichte aufgearbeitet – Ereignisse, die man nicht vergisst. Ein stillstehender Industriebetrieb. Eine international betroffene Hotelkette. Krisen, in denen Zeit, Klarheit und Entscheidungsfähigkeit die knappsten Ressourcen sind. Diese Erfahrungen zeigen, wie aus reiner Reaktion nach und nach belastbare Strukturen werden – und warum Incident Response heute bei uns so gedacht wird, wie sie gedacht wird: pragmatisch, direkt, auf Wirkung fokussiert.
September: Hardware-Sicherheit und Versicherbarkeit mit technischer Tiefe
Im September haben wir den Fokus nach unten verschoben. Auf die Ebene, auf der viele Security-Konzepte enden: Hardware. Firmware, BIOS und Netzwerkkarten sind heute Angriffsziele, weil sie selten im Blick sind und tiefe Kontrolle über Systeme ermöglichen. Wenn Sicherheit dort nicht mitgedacht wird, bleibt jede darüberliegende Schutzschicht verwundbar.
Zusätzlich haben wir darüber gesprochen, wie Versicherbarkeit und Security zusammenfinden können, wenn technische Tiefe vorhanden ist. Unternehmen, die ihre eigene Risikolage technisch verstehen, können diese besser darstellen und Versicherer, die technische Signale ernst nehmen, können realistischer kalkulieren.
Oktober: Lieferketten, Proof of Value und die Realität der Incident Response
Im Oktober standen externe Abhängigkeiten im Vordergrund. Digitale Lieferketten sind heute eine der größten Schwachstellen. Es reicht nicht mehr, die eigene Infrastruktur zu verstehen, wenn Dienstleister, Plattformen und Partner mit im Spiel sind. Ein Blick „von außen“ auf die eigene Angriffsfläche hilft, diese Risiken zu erkennen und priorisiert anzugehen.
Ein weiterer Schwerpunkt war der Proof of Value im SOC: Weg von PowerPoint, hin zu echter Erfahrung. Unternehmen sollen sehen, wie Detection, Triage und Reaktion im eigenen Kontext funktionieren. Nicht als Demo, sondern als prüfbares Setup.
Zum Abschluss des Monats haben wir offen darüber gesprochen, was Incident Response leisten kann und was nicht. Ein IR-Team kann in kurzer Zeit massive Struktur in Chaos bringen. Aber es kann keine Logs nachträglich erzeugen, keine Netzwerke spontan dokumentieren und keine Entscheidungskultur ersetzen. Vorbereitung bleibt der größte Hebel für gute Ergebnisse.
November: ISMS, NIS2 und KI auf Angreiferseite
Der November stand im Zeichen von Struktur und Tempo. Ein funktionierendes ISMS ist mehr als ein Zertifizierungsvorhaben. Es ist eine Art Skelett der Informationssicherheit: Prozesse, Verantwortlichkeiten, Dokumentation, kontinuierliche Verbesserung. Organisationen, die ihr ISMS leben, decken damit einen erheblichen Teil der NIS2-Anforderungen ab, ohne für jedes Detail ein neues Projekt aufzusetzen.
In der letzten Folge haben wir den Blick auf die Angreiferseite gerichtet: KI ist dort längst Alltag. Deepfakes, automatisierte Phishing-Kampagnen, KI-gestützte Reconnaissance und schnelle interne Bewegungen gehören inzwischen zu den Standardwerkzeugen. Wer heute noch glaubt, KI sei eine reine Zukunftsfrage, verschätzt sich.
Die Konsequenz: Verteidigung muss KI ebenso selbstverständlich nutzen: für Mustererkennung, Anomaliedetektion, Unterstützung der Analysten und für schnelle, fundierte Entscheidungen.
Fazit: Was wir aus diesem Jahr mitnehmen
Alle Themen, die wir in Cybersecurity Basement besprochen haben, laufen auf eine einfache, aber harte Wahrheit hinaus: Security ist kein Tool-Set. Security ist ein System. Ein System aus Strategie, Governance, transparenter OT, belastbarem SOC, geübter Incident Response, souveräner Cloud-Nutzung, verstandenen Lieferketten, tiefer Hardware-Sicherheit und einem bewussten Einsatz von KI. Unternehmen, die das verstanden haben, bauen Resilienz nicht auf dem Papier, sondern im Betrieb. Unternehmen, die weiter auf Insellösungen setzen, werden mit jeder neuen Regulierungsrunde und jeder neuen Angriffswelle stärker unter Druck geraten.
Die gute Nachricht: Alles, worüber wir in diesem Jahr gesprochen haben, lässt sich gestalten. Aber es braucht Entscheidungen. Und den Willen, Security nicht nur mitzudenken, sondern aktiv mitzugestalten.
Alle Folgen im Überblick:

Annika Gamerad
Event & Marketing Specialist
Veröffentlicht am 28.11.2025
