Beratung anfordern
  • Concepture Gruppe

Fachliche Jahresrückblicke

2025 war das Jahr, in dem Security Compliance in vielen Bereichen den Charakter eines Umsetzungsprojekts verloren hat. Für viele Organisationen wurde sie Teil des operativen Tagesgeschäfts. Nicht als Selbstzweck, sondern als Reaktion auf reale Risiken, Prüfungen und Haftungsfragen.

Security Compliance

2025 war das Jahr, in dem Security Compliance in vielen Bereichen den Charakter eines Umsetzungsprojekts verloren hat.

Für viele Organisationen wurde sie Teil des operativen Tagesgeschäfts. Nicht als Selbstzweck, sondern als Reaktion auf reale Risiken, Prüfungen und Haftungsfragen. Im Finanzsektor war DORA ein zentraler Treiber. Seit dem 17. Januar 2025 ist die Verordnung anwendbar, und damit ging es für Banken, Versicherungen und deren IKT-Dienstleister nicht mehr um Interpretationen, sondern um Funktionsfähigkeit: Incident-Meldungen, Resilienztests, Governance von Drittparteien und nachvollziehbare technische Kontrollen. In der Praxis zeigte sich schnell, dass viele bestehende Strukturen zwar dokumentiert, aber nicht belastbar waren. DORA wirkt dort, wo Prozesse, Technik und Verantwortlichkeiten sauber ineinandergreifen. Papier allein reicht nicht.

Parallel dazu lief die Umstellung auf ISO/IEC 27001:2022 in die heiße Phase. Die neuen Schwerpunkte – Threat Intelligence, Cloud-Nutzung, Konfigurationsmanagement, Identitäten – haben deutlich gemacht, dass moderne Informationssicherheit stärker an tatsächlichen Architekturen ausgerichtet sein muss. Unternehmen, die die Revision nur als formales Update verstanden haben, geraten 2025 zunehmend unter Druck. Und dann bekamen wir  Anfang Dezember doch noch ein ganz besonderes Nikolausgeschenk: Seit dem 6. Dezember ist das NIS-2-Umsetzungsgesetz in Kraft. Viele sprechen dabei vom BSI-Gesetz 3.0 – faktisch eine tiefgreifende Novelle des BSI-Gesetzes. Für betroffene Unternehmen heißt das vor allem eines: Die Anforderungen sind jetzt nicht mehr theoretisch oder „in Vorbereitung“, sondern geltendes Recht.

Auf europäischer Ebene wurde mit dem Cyber Resilience Act klar, dass Sicherheit nicht mehr nur Betreiber-, sondern zunehmend Produktverantwortung ist. Hersteller und Integratoren müssen sich auf durchgängige Security-Governance, Schwachstellenmanagement und Transparenz einstellen. Auch wenn die Hauptpflichten erst in den kommenden Jahren greifen, war 2025 das Jahr, in dem klar wurde: Diese Anforderungen lassen sich nicht kurzfristig „nachziehen“. Wer 2025 seine Hausaufgaben nicht gemacht hat, wird im kommenden Jahr einiges aufzuholen haben. Ergänzt wurde das Bild durch die Critical Entities Resilience (CER)-Richtlinie, die physische, organisatorische und digitale Resilienz zusammenführt.

Für kritische Einrichtungen bedeutet das eine stärkere Fokussierung auf Abhängigkeiten, Szenarien und Durchhaltefähigkeit – nicht nur auf Prävention.

Physische Sicherheit

Die Bedrohungslage hat sich verändert.

Wir sprechen heute nicht mehr über klar getrennte Szenarien, sondern über koordinierte cyber-physische Angriffe. Digitale und physische Mittel greifen gezielt ineinander. Ein Eingriff in IT- oder OT-Systeme, kombiniert mit Sabotage vor Ort, Brandstiftung, Manipulation oder gezielten Anschlägen, kann kritische Dienste gleichzeitig auf mehreren Ebenen treffen. Genau diese Realität prägt die Sicherheitsdiskussionen des Jahres 2025.

Vor diesem Hintergrund ist physische Sicherheit kein Gegenspieler zur Cyber Security, sondern deren notwendige Ergänzung. Physische Sicherheitssysteme sind wichtige Bausteine zeitgemäßer Sicherheitskonzepte. Auch 2025 galt: Den realen Bedrohungen unserer Zeit müssen wir wirksame Antworten entgegensetzen. Für hybride Szenarien – ob staatlich motivierte Sabotage, Spionage, terroristisch motivierte Anschläge oder gezielte Manipulation – benötigen wir cyber-physisch verzahnte Sicherheitskonzepte und passende organisatorische Playbooks. Entsprechend rücken klassische Elemente physischer Sicherheit wieder stärker in den Fokus: Videoüberwachung, Zutrittskontrolle, Perimetersicherung, Detektion und Alarmierung. Entscheidend ist dabei nicht das einzelne System, sondern das Zusammenspiel. Was wird erkannt? Wie werden Informationen zusammengeführt? Und wer trifft im Ernstfall Entscheidungen? Physische Sicherheitsmaßnahmen entfalten ihre Wirkung nur dann, wenn sie in Prozesse, Lagebilder und Reaktionsmechanismen eingebettet sind.

Dass diese Entwicklung kein reines Branchenthema ist, zeigt auch der gesetzliche Rahmen. Mit der CER-Richtlinie auf EU-Ebene und den nationalen Umsetzungsbestrebungen, etwa im Rahmen des KRITIS-Dachgesetzes, wird Resilienz ausdrücklich ganzheitlich gedacht. Physische Schutzmaßnahmen, organisatorische Vorkehrungen und technische Sicherheit werden gemeinsam betrachtet. Ziel ist nicht absolute Prävention, sondern die Fähigkeit, auch unter Stress handlungsfähig zu bleiben.

Damit rückt neben der Technik auch die Organisation stärker in den Mittelpunkt. Business Continuity Management, Wiederanlaufpläne, klare Zuständigkeiten und geübte Abläufe sind zentrale Faktoren. Wer im Ernstfall nicht weiß, wie Standorte gesichert, Prozesse priorisiert oder Systeme wieder hochgefahren werden, verliert Zeit – unabhängig davon, wie gut einzelne Sicherheitskomponenten ausgelegt sind.

Cyber Security

2025 war kein Jahr der großen Überraschungen in der Cybersicherheit.

Aber es war ein Jahr, in dem sich vieles verfestigt hat. Angriffe sind nicht zwingend ausgefeilter geworden, aber konsequenter, schneller und stärker automatisiert. Phishing, Initial Access, Credential-Theft und die Ausnutzung bekannter Schwachstellen laufen heute oft industriell. Das ist kein Bauchgefühl, sondern gut belegt, etwa in den aktuellen Lagebildern von ENISA (Threat Landscape) und dem Verizon Data Breach Investigations Report (DBIR), die beide sehr klar zeigen, wie dominant automatisierte und identitätsbasierte Angriffe inzwischen sind.


–> ENISA EUROPA
–> VERIZON – REPORT

Ein Thema, das sich 2025 besonders herauskristallisiert hat, ist Identität. Viele Sicherheitsarchitekturen setzen heute stark auf Zero Trust, Identity-first-Ansätze und zentrale Cloud-Control-Planes. Grundsätzlich ist das richtig. In der Praxis zeigt sich aber zunehmend die Kehrseite: Diese Strukturen werden selbst zu kritischen Abhängigkeiten.

Genau das war auch eines unserer zentralen Learnings auf der DEF CON. Sehr prägnant wurde das in dem Talk
„Zero Trust Total Bust – Breaking into thousands of cloud-based VPNs with one bug“ von David Cash und Rich Warren:

–> ZERO TRUST TOTAL BUST SLIDES

Der Vortrag beweist, wie komplexe Zero-Trust- und Cloud-VPN-Implementierungen durch einen einzelnen Fehler zu systemischen Einfallstoren werden können. Nicht, weil das Zero-Trust-Prinzip falsch ist, sondern weil Control Planes, Abhängigkeiten und Vertrauensannahmen oft nicht ausreichend verstanden werden. Wenn Identitäten oder zentrale Steuerungsebenen kompromittiert sind, ist der Schaden häufig größer als bei klassischen Perimeter-Vorfällen. Das ist keine theoretische Diskussion, sondern gelebte Incident-Realität. Auch KI war 2025 allgegenwärtig, aber deutlich nüchterner als in den Jahren zuvor. Der Fokus lag nicht mehr auf Spielereien, sondern auf ganz praktischen Fragen: Wie testet man KI-Systeme? Wie erkennt man Manipulationen? Und wie behält man die Kontrolle über Systeme, die Entscheidungen automatisiert treffen? Gleichzeitig nutzen Angreifer KI pragmatisch, um bestehende Angriffsmuster effizienter zu skalieren. Kein Science-Fiction, sondern Werkzeug.

Ein weiterer Punkt, der 2025 endgültig Realität wurde, ist automatisierte Schwachstellenfindung. Spätestens mit der DARPA AI Cyber Challenge wurde sichtbar, dass KI heute eigenständig Schwachstellen finden, Patches erzeugen und validieren kann. Das verändert die Erwartungen an Secure Development genauso wie an Defense-Teams. Geschwindigkeit wird zum entscheidenden Faktor.

Ransomware blieb auch 2025 präsent, vor allem dort, wo Verfügbarkeit kritisch ist – Gesundheitswesen, Industrie, kommunale Strukturen. Die Muster sind bekannt und werden in den genannten Lagebildern gut beschrieben: Einstieg über Identitäten oder Drittparteien, schnelle Ausbreitung, maximaler Druck über Betriebsunterbrechung. Neu ist daran wenig. Neu ist eher, wie routiniert und effizient diese Angriffe inzwischen ablaufen.

Unser Resumé für Cyber in 2025: Cybersicherheit entscheidet sich weniger an einzelnen Tools oder Architekturmodellen. Entscheidend ist, ob Grundlagen belastbar umgesetzt sind. Saubere Identitäten, verstandene Abhängigkeiten, klare Verantwortlichkeiten und die Fähigkeit, im Incident schnell und fundiert zu entscheiden. Zero Trust funktioniert – aber nur, wenn man ihm nicht blind vertraut.

Manuel Bohe

Founder & CEO
Manuel Bohé ist Gründer und Geschäftsführer der Concepture Gruppe. Außerdem ist er begeisterter Cyber Security Researcher und Tech-Enthusiast.
Beratung anfordern
Weitere Beiträge

Jetzt weiterlesen!

Alle anzeigen

Security Compliance, Sicherheitsberatung

Initiativen in Deutschland und auf EU-Ebene

2025 war auch das Jahr, in dem man gesehen hat: Es gibt inzwischen viele Initiativen, die versuchen, aus „wir sollten“ ein „wir machen“ zu machen. Nicht alles davon ist sofort spürbar im Alltag eines Unternehmens. Aber die Richtung ist klar: mehr Resilienz, weniger Abhängigkeit, bessere Koordination.

Cybersicherheit

GPS-Spoofing und Drohnen

Ob bei automatisierten Inspektionsflügen oder in der Überwachung großer Areale – Drohnen sind stark auf GPS angewiesen. Wird dieses Signal manipuliert, kann GPS-Spoofing die Fluggeräte gezielt in die Irre führen. Die Folgen reichen von Kontrollverlust und Fehlflügen bis hin zu Sicherheitsrisiken und finanziellen Schäden.

Cybersicherheit

Deepfake Experiment Teil 1

Deep Fake lässt sich immer weniger erkennen. In einem Selbstexperiment spricht mein Avatar nun Japanisch. Auf Deep Fake folgt so Deep Fraud - immer mehr Menschen fallen darauf hinein und zahlen Geldbeträge an Cyberkriminelle.

Alternativ zum Formular können Sie uns auch eine E-Mail an info@concepture.de senden.