foto magnific

Der Druck auf Unternehmen und Behörden wächst: mehr Angriffe, mehr Schwachstellen, mehr regulatorische Vorgaben. Gleichzeitig wird die IT-Landschaft immer unübersichtlicher – durch Schatten-IT, veraltete Systeme oder fehlende Prozesse. Im Gespräch erklären KIX-CEO Rico Barth und Greenbone-CEO Elmar Geese, warum die Zahl der Sicherheitslücken explodiert, weshalb Open Source bei IT-Security ein Vertrauensfaktor ist – und wieso viele Organisationen heute gar nicht mehr genau wissen, welche Geräte und Software sie überhaupt besitzen.

Die Zahl der Cyberangriffe steigt seit Jahren. Ist die IT-Sicherheit heute wirklich schlechter geworden, oder wird nur mehr darüber gesprochen?

Elmar Geese: Das Hauptproblem ist, dass die Angriffsfläche massiv gewachsen ist. Anfang der 2010er Jahre gab es rund 10.000 neue Schwachstellen pro Jahr, inzwischen sind wir bei über 50.000. Und die alten verschwinden ja nicht von Zauberhand. Deshalb liegt die Zahl heute vermutlich im Millionenbereich – mit einer großen Dunkelziffer. Und hinzu kommt: Die Angreifer sind immer im Vorteil und haben zudem einen starken ökonomischen Anreiz. Sie brauchen nur eine einzige Lücke, während die Verteidiger jederzeit alles abdecken müssen.

Rico Barth: Es stimmt aber auch, dass heute mehr darüber gesprochen wird. Das Thema ist schließlich fast allgegenwärtig und die potenziellen Schäden höher als je zuvor. Sei es durch Ransomware, bei der die Täter hohe Summen zur Freigabe der Systeme fordern, oder durch das Einnisten in Software, um möglichst viel auszuspionieren und später zuzuschlagen. Wie wichtig dieser Bereich ist, merken wir bei Gesprächen mit unseren Partnern und Kunden. Ihnen geht es dabei vor allem um Risikobewertung, Planung und nachhaltige Prozesse – also die administrativ-planerische Seite der IT-Sicherheit.

Gemeinsam für mehr Sicherheit: KIX-CEO Rico Barth (links) und Greenbone-CEO Elmar Geese.

Woher kommt die steigende Zahl an Sicherheitslücken – liegt es an den Entwicklern oder an der zunehmenden Komplexität von Soft- und Hardware?

Elmar Geese: Das liegt in erster Linie an der steigenden Komplexität. Und daran, dass Software in immer mehr Lebensbereiche vordringt. An manchen Stellen überschneiden sich Soft- und Hardware, etwa durch Firmware-Updates. Die allermeisten Schwachstellen gibt es aber klar in der Software – in Anwendungen, Betriebssystemen oder deren Konfigurationen. Oft geht es um unzureichende Zugriffskontrollen, Pufferüberläufe oder unsaubere Eingaben. Aber auch andere Faktoren spielen eine Rolle. Veraltete Technik beispielsweise, oder dass Cyberkriminalität heute ein Geschäftsmodell ist, teils staatlich gelenkt.

Mit Ihren Unternehmen setzen Sie nicht nur auf, sondern sich auch für Open-Source-Software ein. Für manche Kritiker aus dem Sicherheitsbereich ein gefundenes Fressen.

Rico Barth: Das stimmt, es wird sicherlich nie eine Einigung darüber geben, ob Open- oder Closed-Lösungen die größere Sicherheit bieten. Die Kritik an Open Source ist auf den ersten Blick verständlich beziehungsweise liegt in der Natur der Sache – der Offenheit. Alle Nutzer können den Quellcode einsehen, also können theoretisch auch Menschen mit böswilligen Absichten so Schwachstellen ausspähen. Aber gerade diese Offenheit macht für uns bei KIX den entscheidenden Unterschied aus. Denn durch die Zusammenarbeit der Community lassen sich Sicherheitslücken sehr schnell identifizieren und schließen.

Elmar Geese: Software ist immer unsicher, egal ob die Quellen öffentlich sind oder nicht. Unseren Kunden hilft auch keine Aussage, was theoretisch im Prinzip sicherer oder unsicherer ist, sondern wie sie sich im Einsatz von IT optimal schützen können. Wir prüfen daher die Lösungen im Betrieb, denn da liegt letztendlich die Wahrheit. Wir und auch KIX haben uns dafür entschieden, unseren Kunden die Möglichkeiten von Open Source als zusätzlichen Wert anzubieten, weil wir glauben, dass Offenheit immer ein Mehrwert für die Kunden ist. Auch proprietäre Angebote enthalten Open Source, legen also indirekt Quellen offen – nur aber selektiver als wir das tun. Daraus lässt sich jedoch keine Aussage zur Sicherheit der Software ableiten. Dafür gibt es Produkte wir unsere.

Zwischen Ihren Unternehmen gibt es seit Kurzem eine Technologiepartnerschaft. Wie würden Sie Laien das Zusammenspiel zwischen ITSM und Vulnerability Management und die Technik dahinter erklären?

Elmar Geese: Unser Ziel ist es, Schwachstellen zu entdecken, bevor Angreifer sie ausnutzen können. Dafür scannt unsere Anwendung OPENVAS die komplette IT-Landschaft, sämtliche Assets von Software bis Hardware. Sie können es sich so vorstellen: Sie wohnen in einem Haus und haben einen Schwarm von Robotern, der das Haus vor Einbrechern sichern soll. Die Roboter schwärmen aus, überprüfen jede Tür, jedes Fenster, jedes Schloss. Und sobald sie eine Schwachstelle entdeckt haben und diese als kritisch bewerten, schlagen sie Alarm und der Sicherheitsdienst prüft, ob und was zu tun ist. Das Haus ist in unserem Fall die IT-Landschaft eines Unternehmens oder einer Behörde.

Rico Barth: Und dann kommen wir quasi als der Besitzer ins Spiel. Wenn OPENVAS eine Schwachstelle erkennt, wird diese automatisch in unserer IT-Service-Management-Software gemeldet. Dort entsteht ein Ticket und der Workflow startet automatisch. Der Vorgang wird als Security Incident vorklassifiziert, mit dem betroffenen IT-Gerät oder Softwareprodukt aus der KIX-eigenen Asset-Datenbank verbunden und an das relevante Team zur weiteren Prüfung und Bearbeitung geschickt. Alle wesentlichen Informationen zur gefundenen Schwachstelle sind direkt am Ticket sichtbar – kein langes Suchen oder Rätselraten. Die IT-Administratoren erkennen sofort, was betroffen ist, wer informiert werden muss und wie im Gesamtkontext aller Assets die Bedrohungslage aussieht. So verhindern wir gleichzeitig Schatten-IT und dass der Überblick verloren geht.

Sie sprechen von fehlendem Überblick. Wie groß ist das Problem der sogenannten Schatten-IT inzwischen?

Rico Barth: Ziemlich groß – leider. Die Asset-Datenbank verbindet Soll- und Ist-Zustände der IT-Landschaft. Manchmal gibt es da blinde Flecken, weil etwa eine Fachabteilung in der Eile eine Software oder ein IT-Gerät ohne zentralen Freigabeprozess kauft. Durch einen ausführlichen Scan werden diese Differenzen im Asset-Bestand aufgearbeitet und dem normalen IT-Betreuungsprozess zugeordnet. Das ist insbesondere durch den Fachkräftemangel in der IT sehr hilfreich, weil es viel Zeit für manuelle Recherche einspart und sich die Teams auf ihre Kernaufgaben konzentrieren können.

Elmar Geese: Bei unseren Kunden gibt es öfter mal große Überraschungsmomente, wenn wir ihr Netzwerk zum ersten Mal durchleuchten. Schatten-IT ist einfach ein Komplexitätsproblem – je größer das Haus, desto schwieriger ist es, Ordnung zu halten.

Welche Unternehmen und öffentliche Einrichtungen sollten ihre IT-Sicherheit besonders unter die Lupe nehmen?

Rico Barth: Alle regulierten Bereiche, wie etwa Kommunal-, Landes- und Bundesbehörden, Sicherheitsorgane, Krankenhäuser, Rettungsdienste und Banken. Grundsätzlich sollten aber alle Organisationen und Unternehmen über den Tellerrand blicken und gleichzeitig an die Anforderungen denken, die beispielsweise mit NIS2, dem Cyber Resilience Act oder dem BSI-Grundschutz einhergehen. So lässt sich die Angriffsfläche für Hacker stark reduzieren.

Und welche weiteren Pläne haben Sie für den Security-Bereich?

Elmar Geese: Mittlerweile werden für Cyberangriffe häufiger Softwarelücken ausgenutzt als gestohlene Zugangsdaten. Wir nehmen daher immer größeren Bedarf für unsere Lösungen wahr, und auch für neue Funktionen. Im aktuellen Jahr sind das vor allem Container-Scanning, Agenten und die weitere Einbindung von KI. Und natürlich sind wir sehr gespannt, wie die Integration mit KIX vom Markt angenommen wird.

Rico Barth: Bei KIX haben wir die Security immer mitgedacht, auch wenn unser Fokus auf ITSM liegt. Etwa durch Datenanonymisierung, Verschlüsselung und sichere 2-Faktor-Authentifizierung. Ebenso ist die Integration von ISMS-Software ein wichtiger Pfeiler für die IT-Security, oder die vollintegrierte Planung und Dokumentation für Regelchecks, um zum Beispiel ISO27001-Anforderungen zu erfüllen. Diesen Weg möchten wir auch in Zukunft fortsetzen. Natürlich immer mit Open Source. Offenheit und Transparenz sind uns wichtig, denn sie sind aus unserer Sicht ein elementarer Bestandteil im vertrauensvollen Miteinander mit unseren Kunden.

5452 Artikel zu „IT-Sicherheit“

News | Produktmeldung | Rechenzentrum

Münchener Hypothekenbank stärkt IT-Sicherheit und -Compliance

28. April 2026

noris network realisiert Colocation-Projekt der Münchener Hypothekenbank Die Münchener Hypothekenbank hat sich im Rahmen eines strategischen IT-Projekts für eine Zusammenarbeit mit der noris network AG entschieden. Ziel war es, die IT-Infrastruktur den strengen regulatorischen Anforderungen der Europäischen Zentralbank (EZB), der Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) anzupassen. Dank der hochmodernen, georedundanten Rechenzentren von…