Inhaltsverzeichnis

• Daten im digitalen Ökosystem
  • Datenverfügbarkeit
  • Datenzugriff steuern
  • Datenspeicherung
  • Datenqualität
• Datenanalysen: Die Kunst, Rohdaten in Gold zu verwandeln
  • Data Mining und Predictive Analytics
  • SQL und Python – Schlüsselkompetenzen
  • Tableau und Power BI für visuelle Analysen 
    
• Weiterbildung und Lernmöglichkeiten
  • Empfohlene Lernangebote
  • So finden Sie Ihren Lernpfad
• Ihr nächster Schritt mit Mr. 01 Analytics

Daten im digitalen Ökosystem: der Boden, auf dem Innovation wächst

Heutige Unternehmen sitzen auf einem Schatz: ihren Daten. Doch wie beim Todesstern nützt ein Schatz nichts ohne den richtigen Umgang damit. In diesem Kapitel betrachten wir vier zentrale Aspekte: Verfügbarkeit von Daten, kontrollierter Zugriff, geeignete Datenspeicherung sowie die Sicherung der Datenqualität.

Datenverfügbarkeit – Daten müssen nutzbar gemacht werden

Datenverfügbarkeit bedeutet, dass benötigte Daten jederzeit und zuverlässig abrufbar sind. Ohne schnelle Verfügbarkeit drohen erhebliche Nachteile im Tagesgeschäft: Wenn Daten unzugänglich sind, geraten Routineprozesse ins Stocken oder kommen ganz zum Erliegen. Stellen Sie sich ein E-Commerce-Unternehmen vor, dem in Stoßzeiten plötzlich Verkaufs- oder Lagerbestandsdaten fehlen. Entscheidungen werden dann zur Glückssache. 

Umgekehrt ermöglicht eine hohe Datenverfügbarkeit erst effiziente Abläufe. So können aktuelle Daten z. B. im Handel helfen, Bestände optimal zu verwalten, Lieferketten zu überwachen und Mitarbeiterperformance zu messen. Die richtige Information zur richtigen Zeit ist oft die Grundlage für Innovation: Laut einer aktuellen Analyse ist es entscheidend, die richtigen Daten, zur richtigen Zeit, im richtigen Kontext bereitzustellen, um im datengetriebenen Wettbewerb die Nase vorn zu haben. Der Erfolg liegt also nicht allein darin, möglichst viele Daten zu haben, sondern sie rechtzeitig und nutzbar verfügbar zu machen.

Datenzugriff steuern – Balance zwischen Offenheit und Sicherheit

Wer darf auf welche Daten zugreifen? Diese Frage desDatenzugriffsmanagements entscheidet mit darüber, ob Daten zum Schatz oder zum Risiko werden. Gute Daten-Governance sorgt dafür, dass Mitarbeitende im ganzen Unternehmen die Daten erhalten, die sie für fundierte Entscheidungen brauchen, ohne die Sicherheit zu gefährden. Ein zu restriktiver Ansatz („Datenzugriff nur für die IT-Abteilung!“) bremst die Datendemokratisierung und damit die Nutzung wertvoller Erkenntnisse aus den Fachbereichen. Ein zu laxer Ansatz („alle dürfen alles“) birgt hingegen erhebliche Sicherheits- und Datenschutzrisiken.

Praxisbeispiel: In vielen Organisationen werden Zugriffsrechte ad-hoc vergeben, ohne die Sensitivität der Daten zu berücksichtigen und so passiert es leicht, dass vertrauliche Daten in falsche Hände geraten oder umgekehrt wichtige Informationen vor den falschen Personen versteckt bleiben und Entscheidungsprozesse behindern. Die Kunst des Datenzugriffs liegt also in der Balance: so offen wie möglich, so abgesichert wie nötig. Moderne Konzepte wie rollenbasierte Zugriffssteuerung (RBAC) oder das Least-Privilege-Prinzip helfen dabei. Ebenso unerlässlich ist die Einhaltung von Datenschutzvorgaben (Stichwort DSGVO). Neben den Regelungen des Datenzugriffes, sollten auch technische Schutzmaßnahmen implementiert werden, sodass die freigegebenen Daten nicht ungewollt oder vorsätzlich abwandern.

Kurz: Datenzugriff will strategisch gemanagt sein, damit Ihre Daten sicher und zugänglich zugleich sind. Dies ist eine Grundvoraussetzung für Vertrauen und effiziente Datennutzung.

Datenspeicherung: Data Warehouse, Data Lake und Lakehouse

Daten sinnvoll zu nutzen, heißt auch, sie sinnvoll zu speichern. Hier haben sich verschiedene Konzepte etabliert, die je nach Bedarf eingesetzt werden:

• Data Warehouse: Das klassische Data Warehouse ist eine zentrale Datenbank für strukturierte, aufbereitete Daten. Unternehmen speichern dort z. B. bereinigte Transaktions- und Geschäftsdaten, um effiziente Berichte und Analysen zu ermöglichen. Ein Data Warehouse bietet eingebaute Abfrage- und BI-Funktionen und glänzt mit schneller SQL-Performance auf konsistenten Daten. Allerdings müssen die Daten vorab transformiert und modelliert werden, was Aufwand bedeutet. Data Warehouses eignen sich hervorragend für Business Intelligence und Standard-Reports aus konsolidierten Daten (finanzielle Kennzahlen, Vertriebsreports etc.).
  
• Data Lake: Ein Data Lake verfolgt einen anderen Ansatz. Hier werden Rohdaten in ihrem nativen Format gespeichert; seien es strukturierte Tabellen, aber auch unstrukturierte Logs, Texte, Bilder oder Sensorendaten. Dadurch ist ein Data Lake sehr flexibel, kostengünstig und skalierbar in der Speicherung. Er nimmt alles auf, ohne striktes Schema. Der Vorteil: Auch unbekannte oder zukünftige Fragen können mit historischen Rohdaten noch beantwortet werden. Datenwissenschaftler lieben Data Lakes für Big-Data- und KI-Workloads, wo große, vielfältige Datenmengen nötig werden. Der Nachteil: Ohne passende Tools droht der berüchtigte „Datensumpf”: Daten sind vorhanden, aber chaotisch und ohne Überblick. Herausforderungen bei Data Governance und Datenqualität sind typisch, wenn es keinen Mechanismus zur Ordnung und Qualitätssicherung gibt. Dennoch sind Data Lakes unschätzbar wertvoll, um alle Daten erstmal vorzuhalten. Backups, Archivdaten und wild wachsende neue Datenquellen finden hier ihren Platz.
  
• Data Lakehouse: Der neuere Lakehouse-Ansatz versucht, das Beste aus beiden Welten zu vereinen. Ein Data Lakehouse kann Daten aller Formate günstig speichern wie ein Lake und zugleich schnelle Abfragen und Analysen ähnlich einem Warehouse bieten. Technologisch werden dazu auf einem Data Lake zusätzliche Schichten für Metadaten, Indexierung und Governance eingezogen. So können z. B. Schemas durchgesetzt, ACID-Transaktionen unterstützt und Qualitätskontrollen gewährleistet werden. Dies sind Dinge, die in einem reinen Lake schwierig wären. Viele moderne Cloud-Datenplattformen (etwa Databricks mit Delta Lake) setzen auf dieses Konzept. Für die Praxis bedeutet das: Ein Unternehmen muss nicht mehr zwei getrennte Systeme für Reporting und Big Data unterhalten, sondern kann ein einheitliches Datenökosystem schaffen. Beispiel: Ein Finanzdienstleister könnte ein Lakehouse nutzen, um sowohl strukturierte Kundendaten für Dashboards bereitzustellen als auch unstrukturierte Social-Media-Feeds oder Logdaten für Data-Mining im gleichen System zu analysieren. Das Lakehouse reduziert so Redundanzen und Datensilos und vereinfacht die IT-Architektur und IT-Landschaft.

Für die Datenstrategie Ihres Unternehmens heißt das: Überlegen Sie, welche Speicherform zu Ihren Anforderungen passt. Für standardisierte Berichte und Kennzahlen ist ein Data Warehouse oft ideal. Wollen Sie hingegen vielseitige Rohdaten sammeln und explorativ nutzen (Stichwort: Data Science), führt an einem Data Lake kaum ein Weg vorbei. Und wenn Sie beides verbinden möchten, lohnt der Blick auf moderne Lakehouse-Plattformen. Wichtig ist, die Datenplattform skalierbar und zukunftssicher aufzusetzen, denn dann schaffen Sie die Grundlage, um aus Daten tatsächlich Werte zu schöpfen.

Datenqualität – Garbage in, Garbage out

Alle verfügbaren Daten nützen wenig, wenn ihre Qualität mangelhaft ist. Der Ausspruch „Garbage in, Garbage out“ gilt unverändert: Werden falsche, veraltete oder doppelte Daten verarbeitet, sind auch die Ergebnisse unzuverlässig. Schlechte Datenqualität wirkt sich dabei direkt auf den Geschäftserfolg aus. Außerdem werden Analysen, Prognosen und Entscheidungen verfälscht, je größer der Anteil fehlerhafter Daten ist.

Die Realität im Unternehmensalltag: Datenfehler bleiben oft lange unentdeckt. Datenqualität sicherstellen ist kein „nice-to-have“, sondern essenziell. Maßnahmen können hier umfassen: regelmäßige Datenbereinigung (Duplikate entfernen, Fehler korrigieren), Validierungsregeln in Systemen einbauen, Verantwortliche für Datenpflege benennen und ein systematisches Data Quality Management (DQM) etablieren. Kurzum, Qualität vor Quantität, denn verlässliche, konsistente Daten sind die Voraussetzung für belastbare Analysen und Geschäftsentscheidungen.

Tipp: Etablieren Sie in Ihrem Unternehmen das Bewusstsein, dass Datenqualität jederzeit ein Thema ist. Lieber kontinuierlich kleine Datenfehler beheben als irgendwann von einem Daten-Todesstern überrascht zu werden, der Ihre Entscheidungsgrundlagen sprengt.

Datenanalysen: Die Kunst, Rohdaten in Gold zu verwandeln

Daten allein entfalten ihren Wert erst durch die richtige operative Nutzung und strategische Analyse. In diesem Abschnitt möchten wir uns zwei Kernfragen widmen: Welche analytischen Methoden sollten Sie kennen, und welche Fähigkeiten braucht es in Ihrem Team, um Datenanalysen erfolgreich durchzuführen?

Data Mining und Predictive Analytics – Muster erkennen, Zukunft vorhersagen

Im Zeitalter von Big Data wollen Unternehmen nicht mehr nur vergangene Entwicklungen beschreiben, sondern zukünftige Trends antizipieren. Hier kommen Data Mining und Predictive Analytics ins Spiel. Data Mining bezeichnet die systematische Analyse großer Datenbestände, um verborgene Muster, Zusammenhänge und Auffälligkeiten aufzudecken. Diese Erkenntnisse bilden oft die Grundlage für Predictive Analytics, sprich vorausschauende Analysen, die statistische Modelle und Machine Learning einsetzen, um zukünftige Ereignisse vorherzusagen. Vereinfacht gesagt: Data Mining gräbt die Nuggets aus, Predictive Analytics verarbeitet sie zu Goldbarren.

Warum ist das wichtig? Wer proaktiv agiert, statt nur auf Vergangenes zu reagieren, verschafft sich einen enormen Wettbewerbsvorteil. Predictive Analytics nutzt Verfahren wie statistische Modellierung, Forecasting und Machine Learning, um aus den Ergebnissen der deskriptiven Analyse Prognosen abzuleiten. Die Einsatzfelder sind vielfältig: Unternehmen setzen prädiktive Analysen ein, um Services effizienter zu gestalten, neue Produkte zu entwickeln, potenzielle Risiken früh zu erkennen, die Wartung von Maschinen zu optimieren und sogar Leben zu retten.

Ein bekanntes Beispiel liefert die Industrie: Rolls-Royce nutzt Predictive Analytics, um bei Flugzeugtriebwerken den CO₂-Ausstoß zu senken und Wartungen vorausschauend zu planen. Die Intelligent Engine-Plattform von Rolls-Royce überwacht in Echtzeit, wie die Triebwerke genutzt werden und in welchem Zustand sie sind, und wendet Machine-Learning-Modelle darauf an, um individuelle Wartungspläne für jedes Triebwerk zu erstellen. Das Resultat: Die Triebwerke laufen länger störungsfrei, Kunden haben weniger ungeplante Ausfälle – ein klarer Mehrwert.

Ein anderes Beispiel kommt aus der Versorger-Branche: Die Wasserwerke von Washington D.C. (DC Water) nutzen KI-gestützte Analytik, um Videoaufnahmen von Abwasserrohren automatisch auf Defekte zu prüfen und Wartungen gezielt durchzuführen. Das Ziel dabei ist, Wasserverluste um 2 - 5 % zu reduzieren, denn jedes Prozent „gefundenes” Wasser spart rund 4 Millionen Dollar.

Weiterlesen: Predictive Analytics: Vier Erfolgsgeschichten von Rolls-Royce, DC Water, Ellie Mae und Kaiser Permanente

Diese Beispiele zeigen: Analytik verschiebt den Fokus vom Reaktiven zum Proaktiven. Data Mining liefert die Erkenntnisse, mit denen Predictive Analytics Maßnahmen ermöglicht. Durch vorausschauende Analysen können Unternehmen Prozesse verbessern (Predictive Maintenance wie bei Rolls-Royce), Kundenabwanderungen vorhersagen (und mit gezielten Aktionen entgegenwirken), Betrugsmuster erkennen (bevor Schaden entsteht) oder Markttrends frühzeitig antizipieren, um die Strategie anzupassen.

Wichtig ist, diese Analysen immer mit Fachexpertise zu kombinieren, denn Algorithmen liefern Wahrscheinlichkeiten und die Menschen entscheiden über das Vorgehen. Aber eines ist sicher: Wer seine Daten lediglich hütet, aber nicht analysiert, verschenkt enormes Potenzial.

SQL und Python – Schlüsselkompetenzen für Datenanalysten

Welche Fähigkeiten brauchen Ihre Mitarbeiter, um all das umzusetzen? Neben Domänen-Know-how sind im Bereich Analytics vor allem technische Skills gefragt. Zwei davon stechen heraus: SQL und Python.

SQL (Structured Query Language) ist die Sprache der Datenbanken. Kaum ein größeres Unternehmen kommt ohne relationale Datenbanken aus und damit ohne SQL. Mit SQL können strukturierte Daten effizient abgefragt, gefiltert und verändert werden. Ob Sie Verkaufszahlen aus einem Data Warehouse abrufen, Kundensegmente definieren oder ad-hoc eine Aggregation benötigen, ein:e Datenanalystin mit SQL-Kenntnissen kann diese Informationen selbstständig aus der Datenbank holen, anstatt auf IT-Spezialisten warten zu müssen. Die meisten Data-Analytics-Tools (von Python-Pandas, über Tableau bis zu Power BI) unterstützen SQL oder ähnliche Abfragesprachen, was die Vielseitigkeit noch erhöht. Entsprechend erstaunt es nicht, dass SQL seit Jahren zu den Top-Fähigkeiten in Stellenausschreibungen für Analyst:innen und Data Scientists zählt.

Python wiederum hat sich als das Schweizer Taschenmesser der Datenanalyse etabliert. Diese Programmiersprache ist unverzichtbar, um Daten zu manipulieren, statistische Analysen durchzuführen und sogar Machine-Learning-Modelle zu entwickeln. Python verdankt seine Stärke vor allem einem riesigen Ökosystem von Bibliotheken: Für nahezu jeden Datenanwendungsfall gibt es ein Paket – etwa Pandas für Datenaufbereitung, NumPy für numerische Berechnungen, Matplotlib Seaborn für Visualisierungen oder scikit-learn für maschinelles Lernen. Ein:e Analyst:in, der/die Python beherrscht, kann Daten aus verschiedensten Quellen zusammenführen, Bereinigungen und komplexe Transformationen automatisieren und über Statistik oder Machine Learning neue Insights generieren. Kein Wunder, dass Python zu den gefragtesten Sprachen in der Datenwelt gehört.

Zusammen mit SQL bildet es ein unschlagbares Duo: SQL holt die Daten aus den Systemen heraus, Python macht daraus Information.

Fazit: Investieren Sie in die Ausbildung Ihrer Mitarbeiter in SQL und Python. Diese beiden Skills sind so etwas wie Lesen und Schreiben in der Datenwelt. Sie ermöglichen es, die Sprache der Daten zu sprechen und Mehrwert daraus zu schaffen. Viele Weiterbildungsmöglichkeiten (auch kostenlose, siehe unten folgend) machen den Einstieg leicht. Teammitglieder mit diesen Fähigkeiten können nahtlos zwischen verschiedenen Rollen agieren und sorgen dafür, dass Ihr Unternehmen Daten wirklich leben kann. Kurz: SQL und Python sind das Lichtschwert und die Macht für den Daten-Analyst:innen. Sie sind mächtige Werkzeuge, die in keinem Arsenal fehlen sollten.

Tableau und Power BI – Das Sonnenlicht, das aus Daten Ideen wachsen lässt

Genau wie ein Jedi nicht ohne sein Lichtschwert auskommt, benötigt ein:e Analyst:in geeignete Werkzeuge, um aus Rohdaten wertvolle Erkenntnisse zu gewinnen und diese anschaulich zu präsentieren. Im Bereich Business Intelligence (BI) und Visual Analytics sind Tableau und Microsoft Power BI aktuell die führenden Lösungen, die Daten in wertvolle Ideen verwandeln und somit für Unternehmen wie das Sonnenlicht wirken, das Innovation und Wachstum ermöglicht.

Tableau gibt es bereits seit 2003 und hat sich insbesondere durch hochwertige, interaktive Visualisierungen und starkes Data Storytelling einen Namen gemacht. Anwender können intuitiv per Drag-and-Drop komplexe Dashboards, detaillierte Karten und aussagekräftige Diagramme erstellen. Die Flexibilität und ästhetische Qualität der Darstellungen macht Tableau besonders attraktiv für Analysten, die ihre Ergebnisse wirkungsvoll kommunizieren möchten.

Power BI ist ein jüngerer Konkurrent (Markteinführung 2015) und Teil der Microsoft-Produktfamilie. Es überzeugt vor allem durch seine nahtlose Integration mit bestehenden Microsoft-Lösungen wie Excel, Azure und Teams. Zudem bietet Power BI eine günstige Einstiegsmöglichkeit durch seine kostenlose Desktop-Version und ist Teil von Enterprise-Paketen. Diese niedrigschwellige Zugänglichkeit macht es gerade für kleinere und mittelständische Unternehmen attraktiv. Power BI punktet außerdem mit einer besonders intuitiven Bedienung, leichter Zusammenarbeit.

Beide Tools haben ihre individuellen Stärken und sind in den meisten datengetriebenen Unternehmen vertreten. Letztendlich ist bei der Auswahl entscheidend, welche Lösung besser zur bestehenden Infrastruktur, den Anforderungen und der Unternehmenskultur passt.

Takeaway: Moderne Tools wie Tableau und Power BI sind unerlässlich, um Rohdaten verständlich aufzubereiten und aus ihnen klare Erkenntnisse für konkrete Entscheidungen abzuleiten. Die Wahl des passenden Werkzeugs bestimmt maßgeblich, wie effektiv Unternehmen ihre Daten in reale Maßnahmen verwandeln können.

Weiterbildung: Der Schlüssel, um die Macht der Daten zu meistern

Die Datenwelt entwickelt sich rasant. Was heute aktuell ist, könnte morgen bereits überholt sein. Regelmäßige Weiterbildung ist deshalb unerlässlich. Glücklicherweise gibt es viele hochwertige und kostenlose Angebote:

• Microsoft Learn: Bietet kostenlose, interaktive Online-Kurse rund um Power BI, Azure Data Services und Datenanalyse. Ideal zur Vorbereitung auf Zertifizierungen wie PL-300 (Power BI Data Analyst).
  
• openHPI: Deutschsprachige MOOC-Plattform des Hasso-Plattner-Instituts mit kostenlosen Kursen zu Data Science, Big Data und KI, oft mit Zertifikaten. Beispiel: „Data Science Bootcamp“.
  
• Überblick des Hasso-Plattner-Instituts zu verschiedenen Lerninhalten der MOOC-Plattform
• Konkrete Python Kurse:
• Python – schnell und intensiv Programmieren lernen
• Programmieren lernen mit Python - Schulversion
• Programmieren lernen mit Python
• DataCamp: Interaktive Einstiegskapitel vieler Kurse zu Python, R, SQL und Machine Learning sind gratis verfügbar. Zusätzlich kostenlose Tutorials und Community-Inhalte gibt es auch. datacamp.com
  
• Weitere Ressourcen:
  
• YouTube-Kanäle wie freeCodeCamp, StatQuest, Edureka
• Hochschulkurse auf Coursera und edX (Audit-Modus kostenlos) z.B. edX Computer Science Courses and Programs from Harvard University
• Wettbewerbe und Micro-Kurse auf Kaggle
• Offizielle Dokumentationen und Beispiele von Anbietern (z. B. Tableau, Power BI)

Wichtig: Planen Sie aktiv Zeit für Weiterbildung ein. Sei es für sich selbst oder für Ihr Team. Datenkompetenz ist keine einmalige Anschaffung, sondern ein kontinuierlicher Prozess. Die oben genannten Plattformen helfen Ihnen, am Puls der Zeit zu bleiben, neue Trends (wie z. B. Analytics mit KI-Unterstützung) mitzunehmen und ganz praktisch Tools und Techniken zu üben. Oft reichen schon ein paar Stunden pro Woche, um sich deutlich voranzubringen. Nutzen Sie die frei verfügbaren Angebote, denn das Investment ist nur Ihre Zeit, doch der Return on Invest kann immens sein in Form neuer Insights und Fähigkeiten.

Redaktioneller Hinweis: Bei all den Chancen durch Data & Analytics dürfen Datenethik und Data Governance nicht vergessen werden. Verantwortungsvolle Datennutzung, der Schutz von Privatsphäre und die Einhaltung von Richtlinien sind zentral, um das Vertrauen von Kunden und Partnern zu erhalten. Themen wie faire Algorithmen, Transparenz, Bias-Vermeidung und Compliance (z. B. DSGVO) bilden das Fundament jeder Datenstrategie. Diese Aspekte sprengen den Rahmen dieses Beitrags und werden wir in zukünftigen Blog-Artikeln gezielt aufgreifen. Seien Sie also gespannt auf eine der kommenden Folgen, in der wir uns mit den letzten Verteidigern und der Ethik in der IT befassen.

So finden Sie Ihren persönlichen Lernpfad

1. Aufgaben und Ziele klären: Möchten Sie Entscheidungen treffen, Dashboards bauen, Betrugsfälle erkennen oder Maschinendaten in Echtzeit überwachen?
   
2. Vorkenntnisse einschätzen: Ein kurzer Skill-Check zeigt, ob Grundlagen (z. B. Tabellenstrukturen) oder fortgeschrittene Themen (z. B. Modellüberwachung) naheliegen.
   
3. Lernform wählen: Selbstlernmodule, Team-Workshops oder projektbegleitendes Coaching – je nach Zeitbudget und Lernstil.
   
4. Kleine Meilensteine setzen: Jede Woche ein Mini-Erfolg: eine SQL-Abfrage, ein Datenmodell erstellen, eine Datenvalidierung durchführen, eine Analyse durchführen, ein Modell trainieren, etc. 
   

Ihr nächster Schritt mit Mr. 01 Analytics

Die wahre Macht von Daten und Analysen entscheidet darüber, ob Sie Informationen nur sammeln oder aktiv nutzen und gestalten. Wer heute lernt, Daten sicher zu speichern, zu verbinden und effektiv auszuwerten, kann morgen innovative Geschäftsmodelle entwickeln, präzise Prognosen erstellen und datenbasierte Entscheidungen treffen.

Anders gesagt: Wie Luke Skywalker in Star Wars erst die Grundlagen der Macht versteht, bevor er das Universum rettet, sollten auch Sie zunächst die essenziellen Bausteine von Data & Analytics beherrschen, um die Chancen der digitalen Transformation voll auszuschöpfen. Kontinuierliche Weiterbildung und praxisnahe Erfahrung bilden die Grundlage, um komplexe Herausforderungen souverän zu meistern.

Bei Mr. 01 Analytics begleiten wir Sie langfristig und gezielt durch individuelles „Coaching on the Job“, maßgeschneiderte Lernprogramme und praxisorientierte Tool-Kits. So unterstützen wir Sie dabei, nachhaltig Datenkompetenz aufzubauen und Schritt für Schritt zu Data-Experten zu werden – ganz gleich, wo Sie aktuell stehen.

Interesse?

• Füllen Sie unser Kontaktformular aus und skizzieren Sie Ihre Ziele. Wir melden uns mit einem Vorschlag.
  
• Abonnieren Sie unseren Newsletter für monatliche Lernimpulse und praktische Tool-Tipps.
  

Gemeinsam finden wir den optimalen Lernpfad für Sie. Individuell abgestimmt auf Ihre Aufgaben, Ihr Tempo und Ihr Unternehmen.

Möge die Macht der Daten und Analysen mit Ihnen sein!

Möge die Macht des Lernens mit dir sein! Anlässlich des Star-Wars-Tages am 4. Mai beschäftigen wir uns in dieser Blog-Serie mit der „Macht des Lernens“.

➛

Zur May the 4th Blog-Serie

Inhaltsverzeichnis

• Episode III – Die Rache der Sith
• Cybersicherheit und Risikomanagement
• Organisatorische und technische Schutzmaßnahmen
• Datensicherung (Backup) als letzte Bastion
• Präventiv, detektierend, reaktiv – drei Säulen der Sicherheit
• Praxisbeispiele – Wenn die dunkle Seite zuschlägt
• Mitarbeitersensibilisierung: Die Menschen zur hellen Seite führen
• Ihr nächster Schritt mit Mr. 01 Analytics

Episode III – Die Rache der Sith

In Episode III sehen wir, wie aus dem vielversprechenden Jedi Anakin ein Werkzeug des Bösen wird. Was hätte diese Tragödie verhindern können? Wahrscheinlich mehr Disziplin, Wissen und Vorsicht. Genau das brauchen auch IT-Profis, um den Verlockungen der Bequemlichkeit und Unwissenheit zu widerstehen. In der IT entspricht die helle Seite der Macht einer proaktiven Sicherheitskultur: kluge Vorsichtsmaßnahmen, regelmäßige Backups, geschulte Mitarbeiter, all das hält uns auf der guten Seite der Macht. Die dunkle Seite hingegen spiegelt sich in veralteten Systemen, schlampigem Umgang mit Passwörtern oder „Das wird schon gutgehen“-Mentalität wider. In diesem Beitrag wollen wir einen Blick darauf werfen, wie wir in der IT-Weiterbildung die richtigen Lehren ziehen, um nicht von der dunklen Seite überwältigt zu werden.

Cybersicherheit und Risikomanagement

Cybersicherheit ist Risikomanagement. Jede neue Technologie, jede digitale Vernetzung bringt immense Chancen, aber eben auch Risiken mit sich. Es gibt ein bekanntes Sprichwort: „Es gibt zwei Arten von Unternehmen: solche, die bereits gehackt wurden, und solche, die es noch nicht wissen.“ Dieser leicht düstere Witz enthält einen wahren Kern. Heutzutage müssen wir davon ausgehen, dass ein Vorfall jederzeit passieren kann. Umso wichtiger ist ein systematisches Risikomanagement: Welche Bedrohungen (Threats) gibt es? Wo sind unsere Schwachstellen (Vulnerabilities)? Und welche potenziellen Schäden (Impacts) müssen wir einkalkulieren? Ein praxisnahes Risikomanagement identifiziert diese Punkte und priorisiert Maßnahmen danach, wie wahrscheinlich und gravierend Risiken sind. Zum Beispiel wird ein Unternehmen im Finanzsektor Phishing- und Trojaner-Angriffe ganz oben auf die Liste setzen, während ein Produktionsbetrieb sich verstärkt gegen Sabotage oder Ausfall von Anlagen absichert. Wichtig ist: 100% Sicherheit gibt es nicht. Aber durch kluges Risikomanagement senken wir die Wahrscheinlichkeit erfolgreicher Angriffe und mindern mögliche Schäden.

Konkrete Hilfestellung bieten hierbei anerkannte Standards und Frameworks: Etwa die ISO/IEC 27001 oder der BSI IT-Grundschutz. Sie geben einen Leitfaden, um Risiken systematisch zu erheben und geeignete Sicherheitsprozesse zu implementieren. So hat z.B. der Allianz Risk Barometer 2023 Cybervorfälle erstmals auf Platz 1 der Geschäftsrisiken weltweit gesetzt, noch vor klassischen Risiken wie Naturkatastrophen. Das zeigt, dass Cyberrisiken inzwischen Chefsache sind. Von der Geschäftsführung bis zum Admin im Serverraum sollten alle verstehen: Sicherheit ist Teamarbeit. Es fängt beim Bewusstsein an („Risikobewusstsein stärken, die Gefahr erkennen, man muss!” würde Yoda sagen) und endet bei der technischen Umsetzung. Im nächsten Abschnitt sehen wir uns an, welche organisatorischen und technischen Schutzmaßnahmen kombiniert werden müssen, um ein rundes Sicherheitskonzept zu ergeben.

Organisatorische und technische Schutzmaßnahmen

Organisatorische Maßnahmen bilden das Fundament der IT-Sicherheit. Dazu zählen klare Sicherheitsrichtlinien, Prozesse und Verantwortlichkeiten. Stell dir vor, es gibt eine „Jedi-Ratsversammlung“ in deiner Firma, wo Regeln festgelegt werden: Passwort-Richtlinien (z.B. regelmäßiges Ändern, Komplexität), Zugriffsberechtigungen nach dem Need-to-Know-Prinzip, ein Ablaufplan für Sicherheitsvorfälle (Incident Response Plan) und regelmäßige Schulungen für Mitarbeiter. Ohne diese Grundlagen hilft dir die beste Technik wenig, denn wenn Mitarbeiter z.B. Passwörter auf Post-its kleben oder Anhänge unbekannter E-Mails öffnen, nützt auch der modernste Virenscanner nichts. Ein gutes organisatorisches Gerüst stellt sicher, dass alle im Unternehmen Sicherheit mitdenken. Es schafft eine Kultur, in der man lieber einmal nachfragt, bevor man unbekannte USB-Sticks ansteckt, und in der Sicherheitsvorfälle offen gemeldet statt vertuscht werden.

Technische Maßnahmen: Neben Prozessen spielen natürlich technische Schwachstellen eine große Rolle. Technische Risikoaspekte der IT-Sicherheit ergeben sich vor allem aus dem Fehlen geeigneter Sicherheitsstandards und -maßnahmen:

• Ungepatchte Schwachstellen: Kaum etwas wird so gnadenlos von Angreifern ausgenutzt wie bekannte Sicherheitslücken. Wenn wichtige Updates fehlen oder veraltete Software eingesetzt wird, ist das wie ein offenes Einfallstor Beispiel: Die WannaCry-Attacke 2017 nutzte eine Windows-Lücke, für die es bereits einen Patch gab – viele hatten ihn nur nicht eingespielt. Deshalb: Patch- und Update-Management hat oberste Priorität. Ein gutes Risikomanagement führt eine Art Inventarliste: Welche Systeme haben welche Risiken, z.B. weil der Support ausläuft? Dann kann priorisiert werden, was dringend ersetzt oder gepatcht werden muss.
  
• Fehlkonfigurationen: Nicht nur Softwarefehler, auch falsch konfigurierte Systeme stellen ein großes Risiko dar. Beispiele: Ein Cloud-Speicher, der versehentlich öffentlich zugänglich ist. Oder eine Firewall, die an einer Stelle „Any Any“ erlaubt (also kompletten Durchlass). Solche Schnitzer passieren leider häufig und das teils aus Unwissen, teils aus Eile. Hier helfen Standards und Automatisierung: z.B. Vorlagen für sichere Konfigurationen, Prinzipien wie „Secure by Default”, und Tools, die Abweichungen erkennen.
  
• Netzwerk-Sicherheit: In Firmen muss das interne Netz geschützt sein, z.B. durch Segmentierung. Ansonsten breitet sich ein einmal eingedrungener Schädling aus wie ein Sith im Jedi-Tempel. Netzwerk-Security (Firewalls, Intrusion Detection Systeme etc.) ist ein Muss, wird aber zum Risiko, wenn sie nicht gepflegt wird. Ein IDS, das niemand auswertet, bringt wenig. Technisches Risikomanagement heißt auch, die Überwachung im Blick zu haben. Wer schaut auf die Logs? Gibt es Alerts bei Anomalien?
  
• Zugriffsschutz & Berechtigungen: Fehlen technische Maßnahmen zur Zugangskontrolle, kann im Prinzip jeder alles. Ein Albtraum! Deshalb Prinzipien wie Least Privilege (jeder nur so viel Rechte wie nötig) und Multi-Faktor-Authentifizierung einführen. Ein gern übersehenes technisches Risiko sind Standardpasswörter auf Geräten oder Datenbanken. Die Checklisten einer guten Systemadministration enthalten daher immer: „efault Creds geändert? Nicht benötigte Dienste abgeschaltet?” und so weiter.
  

Datensicherung (Backup) als letzte Bastion

Die Kombination aus organisatorischen und technischen Maßnahmen macht letztlich das Sicherheitsprofil aus. Nehmen wir Phishing an: Organisatorisch hilft eine klare Richtlinie („Wir fragen niemals Passwörter per E-Mail ab“) und Sensibilisierung der Mitarbeiter, solche E-Mails zu erkennen. Technisch ergänzt man das z.B. mit E-Mail-Filtern und Sandboxing von Anhängen. Nur zusammen entsteht ein rundum Schutz. Genauso wichtig ist die regelmäßige Überprüfung dieser Maßnahmen, in Form von Audits, Penetrationstests oder zumindest Routinen, ob Backup und Notfallpläne noch aktuell sind. Sicherheitsmaßnahmen sind kein „einmal einrichten und vergessen”; sie müssen lebendig bleiben, angepasst an neue Bedrohungen und veränderte Geschäftsprozesse. Wie ein Jedi, der jeden Tag trainiert, um fit zu bleiben, muss auch unsere Sicherheitsinfrastruktur ständig gepflegt und verbessert werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont in seinen Lageberichten und Empfehlungen ausdrücklich die Bedeutung von Backups; insbesondere angesichts der vergangenen Ransomware-Wellen. Ransomware ist aktuell die wohl größte Bedrohung für Unternehmen aller Größen, warnt das BSI, und ohne Backup sind Opfer solcher Angriffe oft gezwungen, Lösegeld zu zahlen oder stehen vor dem Ruin. 

Wichtig: Das Backup muss selbst sicher sein. Moderne Erpressungstrojaner versuchen nämlich gezielt, auch gleich die Sicherungskopien mit zu verschlüsseln. Daher sind Offline-Backups oder zumindest vom Netz getrennte Sicherungen Gold wert. Die Fachbranche spricht vom 3-2-1-Prinzip: 3 Kopien, auf 2 verschiedenen Medien, 1 davon off-site (und auch offline). Nur so können im Ernstfall die befallenen Systeme plattgemacht werden und die Daten aus der „Zeitkapsel” zurückgeholt werden. Gibt es hingegen keine funktionierende Datensicherung, bleibt oft nur noch der Weg in den Notbetrieb, was mit extremen Zeit- und Kostenaufwänden verbunden ist, ganz zu schweigen vom möglichen Verlust aller Daten.

Praxis-Tipp: Backups testen! Ein ungetestetes Backup ist fast so schlimm wie kein Backup. Viele Unternehmen wiegen sich in falscher Sicherheit, bis sie feststellen, dass die Sicherungen unvollständig oder unbrauchbar sind. Regelmäßige Restore-Übungen sollten eingeplant werden (z.B. monatlich eine Test-Rücksicherung eines wichtigen Systems). Das gibt Routine und Vertrauen, dass im Notfall alles funktioniert. Denn nichts ist schlimmer, als im Krisenfall festzustellen, dass die Backup-Datei defekt ist oder die Dokumentation zum Wiederherstellen fehlt. Wie in Star Wars die Wartungscrew den Millennium Falken ständig checkt, müssen wir unsere „Daten-Falken” auch überprüfen, damit sie im Hyperraum nicht liegenbleiben.

Präventiv, detektierend, reaktiv – drei Säulen der Sicherheit

Zum Abschluss sei noch erwähnt, dass man Sicherheitsmaßnahmen grob in drei Kategorien einteilen kann: präventiv, detektierend und reaktiv. Jede Organisation sollte in allen drei Bereichen aktiv sein:

• Präventiv: Alles, was Angriffe im Vorfeld verhindert. Dazu zählen Firewalls, Zugangsbeschränkungen, Security-Awareness-Schulungen, sichere Softwareentwicklung, regelmäßige Updates etc. – quasi alle „Jedi-Meister”-Maßnahmen, um die dunkle Seite gar nicht erst aufkommen zu lassen.
  
• Detektierend: Da man nie alle Attacken verhindern kann, braucht es Mechanismen, die Angriffe schnell erkennen. Beispielsweise Intrusion Detection Systeme, SIEM-Tools zur Log-Analyse, aber auch aufmerksame Mitarbeiter, die ungewöhnliche Emails melden. Wichtig ist, dass Meldungen dann nicht im Sande verlaufen, sondern ein Prozess dahintersteht.
  
• Reaktiv: Wenn der Sicherheitsvorfall eintritt, muss man ihn eindämmen und Schäden minimieren. Reaktive Maßnahmen sind Incident Response Pläne, Forensik-Teams, Backup-Wiederherstellung (hier kommen Backups ins Spiel!), und Kommunikationspläne (z.B. Informieren von Kunden, falls Daten abgeflossen sind).
  

Diese drei Säulen greifen ineinander. Ein gut präventiv aufgestelltes Unternehmen mit geschultem Personal (die „Jedis”) wird weniger Incidents haben und diese schneller entdecken. Aber es übt trotzdem regelmäßig den Ernstfall (reaktiv), um im Falle eines Falles nicht kopflos dazustehen. So wie der Jedi-Orden neben der Meditation auch den Kampf trainiert hat: man hofft zwar, ihn nie anwenden zu müssen, aber wenn, dann richtig.

Praxisbeispiele – Wenn die dunkle Seite zuschlägt

Schauen wir nun auf ein paar reale Geschichten, die zeigen, was passieren kann – und was wir daraus lernen können. Leider gibt es genügend Beispiele, in denen Cyberangriffe verheerende Folgen hatten:

• Universitätsklinik Düsseldorf 2020: Ein Ransomware-Angriff verschlüsselte 30 Server der Klinik. Tragischerweise konnte die Klinik dadurch zeitweise Notfallpatienten nicht mehr versorgen und eine Patientin verstarb, weil sie in ein weiter entferntes Krankenhaus verlegt werden musste. Der Vorfall zeigt brutal, dass Cyberangriffe längst Menschenleben betreffen können, besonders wenn kritische Infrastrukturen wie Krankenhäuser getroffen werden. Für uns bedeutet das: Ob Gesundheitswesen, Produktion oder Verwaltung, überall müssen Notfallpläne existieren und Systeme so gut wie möglich abgesichert sein, damit im Ernstfall nicht alles stillsteht.
  
• Norsk Hydro 2019: Der norwegische Aluminiumhersteller wurde Opfer der Ransomware LockerGoga. Große Teile der Produktion standen still, das Unternehmen musste zur Kommunikation sogar auf Facebook ausweichen, weil E-Mail & Website ausfielen. Doch anstatt Lösegeld zu zahlen, blieb Norsk Hydro standhaft: Dank guter Backups und Incident Response konnten sie ihre Systeme schrittweise selbst wiederherstellen. Dieser Fall gilt heute als positives Beispiel, wie ein vorbereitetes Unternehmen eine Cyber-Attacke überstehen kann. Natürlich waren die Schäden immer noch beträchtlich, aber sie hatten einen Schlachtplan in der Schublade und mussten sich nicht der Erpresserforderung beugen.
  
• CrowdStrike-Vorfall 2024: CrowdStrike ist ein führendes Softwareunternehmen, das branchenübergreifend IT-Sicherheitslösungen anbietet. Ziel dieser Lösungen ist es, das Risiko von Ausfällen zu minimieren und IT-Systeme vor Bedrohungen zu schützen. Doch ein fehlerhaftes Update ihrer Schutzsoftware „CrowdStrike Falcon“ führte dazu, dass Millionen von Computern weltweit lahmgelegt wurden. Das Update verursachte einen „Blue Screen of Death“ (BSOD) auf zahlreichen Windows-Systemen, was dazu führte, dass viele Unternehmen, darunter auch kritische Infrastrukturen wie Flughäfen und Krankenhäuser, zeitweise stillstanden. Betroffene Systeme mussten manuell zurückgesetzt werden, um den Betrieb wieder aufzunehmen. Unternehmen, die keine aktuellen Backups hatten, waren gezwungen, auf zeitaufwändige Workarounds zurückzugreifen, die die Wiederherstellung des Normalbetriebs erheblich verzögerten. Entstandene Finanz- und Reputations-Schäden waren enorm.
  
• Microsoft Exchange-Ausfall 2021: Ein fehlerhafter Patch führte zu massiven Ausfällen in E-Mail-Systemen weltweit. Unternehmen, die gut vorbereitet waren und über aktuelle Backups verfügten, konnten ihre Systeme schnell wiederherstellen und die Ausfallzeiten minimieren. Dieser Vorfall unterstreicht erneut, wie kritisch es ist, Backup- und Wiederherstellungspläne zu haben, um den Betrieb aufrechtzuerhalten.
  
• SolarWinds-Hack 2020: Ein Cyberangriff, der über ein Update der SolarWinds-Software eingeschleust wurde, führte zu weitreichenden Sicherheitsvorfällen. Viele Unternehmen und Behörden waren betroffen, was zeigt, dass selbst vertrauenswürdige Softwareanbieter ein Risiko darstellen können. Auch hier waren Backups oft die letzte Verteidigungslinie, um Systeme wiederherzustellen und weitere Schäden zu verhindern.
  
• GitLab Datenverlust 2017: GitLab erlitt einen massiven Datenverlust, der durch ein fehlgeschlagenes Backup noch verschärft wurde. Dieses Ereignis verdeutlicht, dass auch professionelle Anbieter Fehler machen können, was die Bedeutung von sorgfältig geplanten und regelmäßig getesteten Backup-Strategien noch einmal unterstreicht.
  

Diese Beispiele machen deutlich: Die dunkle Seite schlägt real zu und oft genau dann, wenn man sie am wenigsten erwartet. Aber sie zeigen auch zwei Seiten der Medaille: Ohne Vorbereitung führt ein Angriff ins Chaos; mit Prävention und Notfallkonzept lässt er sich zumindest begrenzen.

Das soll kein Angstmachen sein, sondern ein Weckruf. Administratoren, Führungskräfte, Eigentümer:innen und alle Mitarbeiter:innen können einen Beitrag leisten, damit unser Todesstern keine offene Schwachstelle hat.

Leseempfehlungen:

• Lehren aus dem CrowdStrike-Vorfall 
  
• Weitere Details zu Vorfällen, Präventionsmöglichkeiten, Notfallwiederherstellungsplänen, Datensicherungsstrategien, Arbeitshilfen und Vorlagen finden Sie in unserem Buch: 
  

Datensicherung als Teil der IT- und Cybersecurity

➛

Mehr Lesen

Sensibilisierung der Mitarbeitende: Die Menschen zur hellen Seite führen

Im Kampf gegen die dunkle Seite der IT-Sicherheit gibt es eine oft unterschätzte Geheimwaffe: aufgeklärte, wachsame Mitarbeiter:innen. Schließlich nützt die beste Technik wenig, wenn jemand per Social Engineering den Generalschlüssel erschleicht. Der Mensch gilt häufig als „schwächstes Glied“ in der Sicherheitskette, aber wir können ihn auch zur stärksten Verteidigungslinie machen! Dazu braucht es Sensibilisierung und Training.

Was bedeutet das konkret? Security Awareness heißt, jedem im Unternehmen, vom Azubi bis zum Vorstand, bewusst zu machen, welche Gefahren drohen und wie man sich richtig verhält. Angefangen bei simplen Dingen wie: Wie erkenne ich eine Phishing-Mail? Was tue ich, wenn plötzlich das Telefon klingelt und jemand sich als IT-Support ausgibt und mein Passwort wissen will? Solche Szenarien kann man erklären, aber am besten erlebt man sie in einer sicheren Umgebung. Hier kommt der Aspekt Weiterbildung und auch Gamification ins Spiel.

Viele klassische Sicherheitsschulungen waren leider trocken und einschläfernd und da schaltet das Gehirn schnell ab. Doch es geht auch anders, wie Gamification-Ansätze zeigen. Gamification bedeutet, spielerische Elemente in sonst nüchterne Schulungen einzubauen, um Motivation und Lernerfolg zu steigern. SAP zum Beispiel hat hervorragende Erfahrungen damit gemacht: Dort werden immersive Spielwelten wie digitale Escape Rooms oder Horror-Labyrinthe gebaut, in denen Mitarbeiter Sicherheitsrätsel lösen müssen. Die Mitarbeiter:innen haben riesigen Spaß dabei und vergessen fast, dass sie etwas lernen. Das Ergebnis: Das Wissen bleibt viel besser hängen. Studien schätzen, dass Lernen durch spielerische Elemente eine Behaltensquote von bis zu 75% erzielt, verglichen mit nur 5% bei rein passivem Lernen. 75% vs. 5%(!), das ist beinahe so, als würde ein Jedi mit Lichtschwert trainieren, statt nur Bücher über den Kampf zu lesen. Weiterlesen: SAP | Gamification helps our employees learn cybersecurity.

Auch kleinere Unternehmen können Gamification nutzen. Es gibt inzwischen spezialisierte Anbieter wie Fabula Games, die Security-Trainings als interaktive Games anbieten. Bei sogenannten Cyber Security Game Events können Mitarbeiter simulierte, spielerische Hackerangriffe durchlaufen Sie treten in Teams oder gegeneinander an, lösen Aufgaben unter Zeitdruck und erleben so hautnah, was im Ernstfall zu tun ist; aber ohne echtes Risiko. Solche Events kombinieren fachliches Wissen mit einem Schuss Adrenalin und Wettbewerbsgeist. Am Ende gibt’s vielleicht sogar eine kleine Belohnung für das Siegerteam. Wichtig ist: Die Teilnehmer erhalten anschließend auch eine Auswertung und „Knowledge kompakt” zum Mitnehmen, damit der Lerneffekt gefestigt wird. Das ist wie eine Jedi-Prüfung, nach der man genau weiß, wo die eigenen Stärken und Schwächen liegen. Weiterlesen: Cybersicherheit – Wie man die Mitarbeiter mit Gamification wirklich für die Risiken sensibilisieren kann (Teil I) sowie (Teil II).

Natürlich besteht Awareness nicht nur aus Spielen. Ein umfassendes Programm setzt auf vielfältige Methoden: Regelmäßige kurze E-Learnings (Microlearning), Poster mit Sicherheitstipps im Büro, Phishing-Mail-Tests, interne Newsletter mit aktuellen Bedrohungen, vielleicht sogar Live-Hacking-Demos, wo ein:e Expert:in zeigt, wie leicht ein unsicheres WLAN geknackt ist. Entscheidend ist, die Mitarbeitende nicht mit erhobenem Zeigefinger zu nerven, sondern sie für das Thema zu gewinnen. Erklären Sie, warum Security auch das Problem von Mitarbeitenden ist: Etwa, dass eine erfolgreiche Attacke den Unternehmenserfolg (und damit auch Arbeitsplätze) bedrohen kann, oder private Daten auf dem Spiel stehen. Zudem motiviert Mitarbeitende, wenn parallelen zu den privaten Anwendungsbereichen gezogen: das erkannte Phishing der nachgemachten Hausbank sorgt z.B. dafür, dass die Urlaubskasse nicht entwendet wird und der Jahresurlaub als Folge nicht ausfallen muss.

Noch ein Aspekt: Führungskräfte einbinden. Wenn Chefs Security ernst nehmen und selbst die Schulungen durchlaufen, färbt das ab. Nichts untergräbt eine Sicherheitskultur mehr, als wenn „oben“ die Regeln ignoriert werden („Ach, schickt mir doch den Zugang mal per WhatsApp, ist schon ok.“). Daher sollte Awareness immer von der Unternehmensleitung unterstützt und kommuniziert werden.

Zusammengefasst: Die hellste Kerze gegen die dunkle Seite ist Aufklärung. Investieren Sie in die Mitarbeitende. Es sind die Menschen, die in kritischen Momenten die richtige Entscheidung treffen müssen (z.B. nicht auf „Enable Content“ bei einer Office-Makro-Warnung zu klicken!). Und mit modernen, kreativen Schulungsmethoden kann Security sogar Spaß machen. Die Zeit der langweiligen PowerPoints ist vorbei, denn lernende Organisationen setzen auf interaktive, kontinuierliche Weiterbildung. Wie Yoda sagen würde: „Wirken die Übungen kindisch – ja, sie tun. Aber meistern du sie musst, wenn retten du die Galaxis willst.”

Ihr nächster Schritt mit Mr. 01 Analytics

Cybersicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Lern- und Entwicklungsprozess. Genau wie Jedi-Ritter ihre Fähigkeiten ständig trainieren, profitieren IT-Professionals und Unternehmen davon, sich regelmäßig mit neuen Sicherheitsmethoden und Risikomanagement-Strategien auseinanderzusetzen. Doch es gibt keine universelle Sicherheitsstrategie, denn jedes Unternehmen, jedes Team und jede Person startet mit individuellen Zielen, Voraussetzungen und Risiken.

Bei Mr. 01 Analytics wissen wir, dass erfolgreiche Cybersicherheit maßgeschneidert sein muss. Während einige Unternehmen bereits umfassende IT-Sicherheitsstrategien verfolgen und komplexe Schutzmechanismen einsetzen, stehen andere gerade erst am Anfang. Ob Sie erste Sicherheitsrichtlinien erstellen, Ihre Backup-Strategie verbessern, oder eine umfassende Awareness-Kampagne starten möchten: Unsere Stärke liegt darin, genau dort anzusetzen, wo Sie aktuell stehen.

Mit individuell abgestimmten Lernplänen, praxisnahem Coaching („Coaching on the Job“) und speziell auf Ihre Bedürfnisse zugeschnittenen Sicherheits-Toolkits unterstützen wir Sie und Ihr Team dabei, Ihr Unternehmen sicherer zu machen und Bedrohungen stets einen Schritt voraus zu sein.

Interesse geweckt?

Mit individuellen Lernplänen, praxisnahem Coaching („Coaching on the Job“) und passgenauen Toolkits unterstützen wir Sie und Ihr Team dabei, die Macht der Automatisierung voll auszuschöpfen.

Interesse geweckt?

• Kontaktformular ausfüllen und Ziele skizzieren. Wir melden uns mit einem Vorschlag.
  
• Newsletter abonnieren, um monatliche Lernimpulse und Tool-Tipps zu erhalten.
  

Gemeinsam finden wir genau den Lern- und Sicherheitsweg, der optimal zu Ihren Anforderungen, Ihrem Unternehmen und Ihrer aktuellen Situation passt.

Möge die Macht der Cybersicherheit mit Ihnen sein!

Möge die Macht des Lernens mit dir sein! Anlässlich des Star-Wars-Tages am 4. Mai beschäftigen wir uns in dieser Blog-Serie mit der „Macht des Lernens“.

➛

Zur May the 4th Blog-Serie

Inhaltsverzeichnis

• Episode II – Angriff der Klonkriege
• Automatisierung als Schlüssel zu Effizienz
• Wichtige Technologien der Automatisierung
  • Robotic Process Automation – Die digitalen Klonkrieger
  • Business Process Management und Workflow-Automatisierung
  • Process Mining – Transparenz als Voraussetzung
  • Low-Code- und No-Code-Plattformen – Macht für die Fachabteilung
  • Künstliche Intelligenz und intelligente Automatisierung
• Erfolgreiche Automatisierungen in der Praxis
• Tipps zur Weiterbildung: Werde zum Automatisierungs-Jedi
• Ihr nächster Schritt mit Mr. 01 Analytics

Episode II – Angriff der Klonkriege

Armee die Galaxis aufmischt. Tausende identische Klonkrieger kämpfen Seite an Seite, perfekt koordiniert und effizient unter Führung der Jedi. Diese Science-Fiction-Metapher lässt sich überraschend gut auf die heutige IT-Welt übertragen: Unternehmen können mit Hilfe von Automatisierung eine digitale „Armee“ von Helfern erschaffen, Software-Roboter, Skripte und KI-Assistenten, die wie Klonkrieger Aufgaben in hoher Zahl und Geschwindigkeit ausführen. Das Ergebnis? Enorme Effizienzgewinne und Freiräume für die menschlichen Mitarbeiter, sich auf strategische und kreative Aufgaben zu konzentrieren.

Im ersten Teil dieser Blogserie (Episode I: Der Anfang – Die Macht der IT-Grundlagen) ging es um die Bedeutung der Grundlagen, sozusagen die Ausbildung zum Jedi, bevor man sich in die Schlacht stürzt. Nun, in Episode II, rücken wir die Automatisierung ins Zentrum. Wir betrachten, wie Automatisierung in Unternehmen ganz real eingesetzt wird, welche Technologien dahinterstecken und welchen Nutzen sie stiftet. Ganz im Sinne von “Möge die Macht mit dir sein” heißt es hier: „Möge die Effizienz mit dir sein!“

Automatisierung als Schlüssel zu Effizienz

Moderne Unternehmen stehen unter dem Druck, schneller, kostengünstiger und fehlerfreier zu arbeiten. Hier kommt die Automatisierung ins Spiel. Ähnlich wie die Klonkrieger im Film repetitive Aufgaben übernehmen und so die Jedi entlasten, können digitale Automatisierungen den Menschen monotonen Aufwand abnehmen. Routineprozesse laufen durch Software automatisiert im Hintergrund ab, und das rund um die Uhr, in gleichbleibender Qualität und oft deutlich schneller als manuell.

Der Gewinn an Effizienz ist in vielen Bereichen spürbar: Prozesse, die früher Stunden oder Tage dauerten, werden in Minuten oder Sekunden erledigt. Fehlerquoten sinken, weil automatisierte Abläufe sich strikt an definierte Regeln halten. Mitarbeiter können ihre Zeit vermehrt für wertschöpfende Tätigkeiten nutzen, z.B. für die Lösung komplexer Probleme, die Betreuung von Kunden oder die Innovation neuer Produkte. Statt Daten manuell von A nach B zu kopieren (eine Aufgabe, die einem Droiden würdig wäre), können Fachkräfte ihre Energie dort einsetzen, wo menschliche Kreativität und Entscheidungskraft gefragt sind.

Darüber hinaus macht Automatisierung Unternehmen skalierbarer. Wenn die Auftragslage wächst oder Spitzenzeiten anstehen, lässt sich eine digitale Belegschaft von Software-Bots quasi unbegrenzt aufstocken, und zwar so, als würden weitere Klonkrieger aus der Kamino-Fabrik bestellt werden. Ein realer Nebeneffekt: Automatisierung sorgt auch für bessere Nachverfolgbarkeit und Konsistenz. Jeder Schritt ist protokolliert, und Prozesse laufen einheitlich ab, was in regulierten Branchen ein Segen für die Compliance ist.

Wichtige Technologien der Automatisierung

Automatisierung ist kein einzelnes Werkzeug, sondern ein ganzes Arsenal an Technologien und im Vergleich so vielfältig wie die Ausrüstung eines Jedi-Tempels. Am Markt gibt es eine Vielzahl an allgemeinen und spezialisierten Tools. Im Folgenden möchte ich deswegen einen allgemeinen Überblick über zentrale Ansätze und Tools geben, mit denen Unternehmen ihre Prozesse automatisieren.

Robotic Process Automation – Die digitalen Klonkrieger

Robotic Process Automation (RPA) meint den Einsatz von Software-Robotern, die menschliche Benutzeraktionen nachahmen. RPA-Bots klicken, tippen und navigieren durch Anwendungen, als wären sie virtuelle Mitarbeiter. Damit eignen sie sich perfekt für repetitive, regelbasierte Aufgaben: z.B. Dateneingaben, Abgleich von Tabellen oder Übernahme von Informationen aus E-Mails in ERP-Systeme. Bekannte RPA-Tools sind etwa UiPath, Blue Prism oder Automation Anywhere, die es Unternehmen ermöglichen, ohne große Programmierung eigene Bots zu konfigurieren. 

Ist eine Automatisierung erstellt, so kann diese nicht nur wiederholt, sondern auch parallelisiert werden. Dies lässt sich dann wie eine persönliche Klonarmee im Büro vorstellen, die 24/7 die Vorgänge im Akkord bearbeitet. Ebenso werden manuelle Fehler, die bei repetitiven Tätigkeiten passieren, reduziert. Letzteres jedoch nur, wenn die Automatisierungen korrekt und nachhaltig implementiert sind.

Aus diesem Grund ist es wichtig den Unterschied zwischen sogenannten „Klick-Bots“ und „programmierte Bots“ zu kennen, die sich in der Programmierung und vor allem in ihrer Arbeitsweise unterscheiden. 

• Klick-Bots sind typische RPA-Bots: Sie imitieren Benutzeraktionen wie Mausbewegungen, Klicks und Tastatureingaben direkt auf dem Bildschirm und können so auch ohne spezielle Schnittstellen (APIs) mit Anwendungen interagieren. 
  
• Programmierte Bots dagegen arbeiten direkt über Programmcode, etwa mittels Skripten oder API-Anbindungen, und erledigen Aufgaben im Hintergrund. Dadurch sind sie oft stabiler und flexibler, denn sie nutzen offizielle Schnittstellen und sind weniger anfällig für Änderungen in der Oberfläche. Allerdings erfordert die Entwicklung solcher Bots mehr technisches Know-how.
  

Mein persönliches Fazit: Beide Ansätze haben ihre Daseinsberechtigung und können häufig zu wiederholende Aufgaben effektiv automatisieren. Welche Variante besser passt, hängt von den jeweiligen Anforderungen und Ressourcen ab. Zwei einfache Beispiele:

• Wenn einmalig eine Stammdatenliste mit 1 Mio. Einträge durchgegangen werden muss, um eine bestimme Prüfung und Änderung vorzunehmen, dann ist ein Klick-Bot eine hilfreiche Option. Sie sind schnell und einfach erstellt und die Wahrscheinlichkeit, dass sich die Oberfläche, Parameter oder sonstige Rahmenbedingungen in der sehr kurzen Nutzungsdauer verändern, ist bei Null.
  
• Wenn der Prozess für Service-Anfragen langfristig überarbeitet wird und eine Automatisierung eingebaut werden soll, welche das entsprechende E-Mail Postfach rund um die Uhr überwacht, und beim Eingang einer Anfrage weitere Informationen aus unterschiedlichen Systemen zusammenträgt, dann sind aufgrund der Langlebigkeit und der Systemverbindungen programmierte Bots zu empfehlen.
  

Business Process Management und Workflow-Automatisierung

Wo RPA auf der Ebene einzelner Klicks ansetzt, betrachtet das Business Process Management (BPM) bzw. die Workflow-Automatisierung den größeren Prozessfluss. Hier geht es darum, ganze Abläufe in Unternehmen digital abzubilden und zu steuern – von der Urlaubsantrags-Bearbeitung bis zur Bestellfreigabe. Moderne BPM-Suiten (z.B. WebMethods, Camunda, Pega oder Appian) erlauben es, Prozesse zu modellieren, mit automatischen Regeln zu versehen und die Zusammenarbeit zwischen Menschen und Software zu koordinieren. Ein definiertes Workflow-System sorgt dafür, dass der „Ball“ automatisch von Schritt zu Schritt weitergereicht wird: Formulare werden automatisch weitergeleitet, Genehmigungen digital eingeholt, und wenn irgendwo ein Engpass entsteht, ist dieser sofort sichtbar. So eine End-to-End-Automatisierung eines gesamten Prozesses steigert die Effizienz immens, da Medienbrüche und manuelle Übergaben entfallen.

Process Mining – Transparenz als Voraussetzung

Bevor jedoch Prozesse automatisiert werden, müssen diese vollständig verstanden werden. Und zwar nicht der definierte SOLL-Prozess, sondern die gelebten IST-Varianten. Genau hier kommt Process Mining ins Spiel, eine Technologie, die wie ein Jedi-Meister den „Fluss der Macht“ innerhalb von Prozessen sichtbar macht. Tools wie Celonis (Marktführer aus Deutschland), aber auch Lösungen wie Fluxicon Disco, SAP Signavio oder Microsoft Process Advisor, analysieren digitale Spurdaten (etwa Logfiles aus IT-Systemen). Daraus rekonstruieren sie, wer was wann in welchem Prozessschritt getan hat. Das Ergebnis ist ein objektives, visuelles Abbild der Ist-Prozesse einschließlich aller Schleifen, Wartezeiten und Engpässe.

So lassen sich z.B. auch ineffiziente Pfade oder Engstellen erkennen, die perfekten Ansatzpunkte für Automatisierung. Deswegen wird Process Mining auch oft in Kombination mit RPA eingesetzt: Es identifiziert die besten Automatisierungskandidaten und misst anschließend den Erfolg. Beispielsweise entdeckte die Deutsche Telekom durch Process Mining Optimierungspotenziale im Einkauf und konnte über 66 Mio. € einsparen, indem doppelte Zahlungen vermieden und Skonto-Chancen besser genutzt wurden. Solche Ergebnisse zeigen, dass Transparenz der erste Schritt zur Effizienz ist.

Leseempfehlung: 12+ case studies that drive home the power of process mining

Low-Code- und No-Code-Plattformen – Macht für die Fachabteilung

Nicht jede Automatisierung erfordert fortgeschrittene Programmierkenntnisse. Low-Code- und No-Code-Plattformen geben auch weniger technischen Anwender:innenn die Möglichkeit, automatisierte Lösungen zu bauen. Mit Baukasten-Prinzip und grafischen Oberflächen können Fachexpert:innen (die sogenannten „Citizen Developer“) zum Beispiel eine App oder einen Workflow erstellen, ohne eine Zeile Code zu schreiben. Microsoft Power Automate, OutSystems oder Mendix sind Beispiele solcher Plattformen.

Damit können beispielsweise Mitarbeiter:innen aus der Personalabteilung den Urlaubsantragsprozess digitalisieren: Ein Formular löst automatisch eine Genehmigung aus, bei Freigabe werden alle relevanten Systeme aktualisiert und die relevanten Mitarbeiter per E-Mail benachrichtigt. Das alles ohne manuelles Hin und Her. 

Low-Code-Tools beschleunigen die Umsetzung von Automatisierung enorm und verbreitern den Kreis derjenigen, die digitale Lösungen entwickeln können. Das ist, als könnten nun nicht nur Jedi-Meister, sondern jeder fähige Padawan seine eigenen Automations-Jedi-Tricks anwenden. 

Künstliche Intelligenz und intelligente Automatisierung

Die Königsdisziplin ist die Verbindung von Künstlicher Intelligenz (KI) mit Automation, oft als Intelligent Automation oder Hyperautomation bezeichnet. Hier werden die Grenzen des Regelbasierten überwunden: KI kann Muster erkennen, natürliche Sprache verstehen oder Vorhersagen treffen. 

In der Praxis heißt das zum Beispiel: Ein KI-Modul liest automatisiert Rechnungen oder Verträge aus (Stichwort: OCR und Document Understanding mit Tools wie ABBYY oder dem UiPath Document Understanding), extrahiert die relevanten Informationen und ein RPA-Bot bucht diese direkt ins System. Oder ein Chatbot (etwa IBM Watson Assistant oder Rasa) beantwortet Kundenanfragen automatisiert im Chat, und nur komplexe Fälle gehen noch an menschliche Mitarbeiter:innen weiter. 

Solche intelligenten Helfer agieren wie besonders schlaue Klonkrieger, denn sie lernen aus Daten, treffen einfache Entscheidungen und erweitern den Automatisierungsradius auch auf unstrukturierte Aufgaben bzw. Daten. Unternehmen, die z.B. ein Callcenter mit KI-gestützten Bots ausstatten, können oft einen Großteil der Standardfragen rund um die Uhr beantworten lassen, während menschliche Agenten sich um kniffligere Anliegen kümmern. 

Erfolgreiche Automatisierungen in der Praxis

Theorie ist gut, Praxis ist besser. Werfen wir einen Blick auf einige Fallstudien, die zeigen, wie die Macht der Automatisierung Unternehmen zu echten Erfolgen verholfen hat:

• Bahnbrechende Effizienz bei der Dänischen Bahn: Der staatliche Bahnverkehr Dänemarks hat mit RPA seine Serviceprozesse drastisch beschleunigt. Ein Beispiel ist die Verlängerung der Jugend-Bahnkarte: Früher warteten Kunden bis zu zwei Wochen auf ihre neue Karte. Heute erledigt ein Software-Roboter den Vorgang in nur 4 Tagen, ohne dass zusätzliche Mitarbeiter eingestellt werden mussten. Im Kundenservice bearbeitet DSB nun zehntausende Anfragen automatisiert. Allein 2019 haben Software-Bots über 180.000 Fälle übernommen; insgesamt wurden dadurch rund 12 Personenjahre an Arbeitszeit eingespart, die nun für wertschöpfendere Tätigkeiten zur Verfügung stehen. Das ist Effizienzsteigerung auf galaktischem Niveau und die Kundenzufriedenheit stieg ebenfalls, weil Anfragen schneller gelöst werden. Leseempfehlung: DSB on Track to RPA Success with UiPath Center 
• Automatisierung des Order-to-Cash bei einem Fortune-500-Unternehmen: Ein weltweit führender Datenspeicher-Anbieter sah sich mit stark schwankendem Auftragsvolumen konfrontiert. Besonders zum Quartalsende stapelten sich Bestellungen und überforderten die manuelle Bearbeitung. Die Lösung war eine intelligente Dokumentenverarbeitung kombiniert mit RPA. Mithilfe von KI-basierter Dokumentenverarbeitung mit Automation Anywhere’s Document Automation strukturierte das Unternehmen unübersichtliche Bestelldaten und automatisierte etwa 20 % seines Order-to-Cash-Prozesses innerhalb von nur fünf Wochen. Dabei wurde eine Straight-Through-Processing-Rate von 75 % erreicht, d.h. drei Viertel aller Aufträge liefen komplett ohne menschlichen Eingriff durch. Acht Vollzeitmitarbeiter konnten auf höherwertige Aufgaben umgeschichtet werden, und innerhalb von drei Monaten wurden 350.000 USD eingespart. Außerdem ist das System nun flexibel: Bei Auftragsspitzen werden einfach mehr „Bot-Klonkrieger“ hochgefahren, um alles pünktlich zu erledigen. Dieses Beispiel zeigt, wie Automatisierung nicht nur Kosten senkt, sondern auch extreme Lastschwankungen abfangen kann. Leseempfehlung: Kognitive Automatisierung - Fortune-500-Unternehmen bringt Struktur in unstrukturierte Daten
  
• Intelligente Assistenz im Kundenservice: Automatisierungserfolg findet sich auch im Bankensektor. Die Bank of America setzte mit dem Chatbot Erica einen virtuellen KI-Assistenten ein, der Kunden bei Überweisungen, Kontostandabfragen oder Finanzfragen hilft. Binnen weniger Jahre nutzten Millionen von Kunden diesen Service, der über 100 Millionen Interaktionen erfolgreich durchführte (laut internen Berichten). Die Bank sparte dadurch nicht nur Supportkosten, sondern gewann auch an Servicequalität, denn die Kunden erhalten nun rund um die Uhr schnelle Antworten, ähnlich wie wenn man R2-D2 jederzeit um Rat fragen könnte. Dieser Erfolg hat viele Finanzdienstleister inspiriert, in „Conversational AI“ zu investieren, um ihre „Macht“ im Kundenservice zu vergrößern. Leseempfehlung: AI Adoption by BofA’s Global Workforce Improves Productivity, Client Service 
  

Anders als Star Wars sind diese Beispiele keine Science-Fiction, sondern Realität. Sie zeigen, dass Automatisierung in verschiedensten Branchen, von Transport über High-Tech bis Finanzwesen, zu erheblichen Verbesserungen führt. Wichtig ist dabei stets, die richtigen Prozesse auszuwählen (hier zahlt sich das IST-Prozessverständnis mittels Process Mining!) und die passenden Technologien einzusetzen. Dann entfaltet sich das volle Potenzial, und die Belegschaft aus Menschen und Software kann harmonisch zusammenarbeiten.

Tipps zur Weiterbildung: Werde zum Automatisierungs-Jedi

Automatisierung bietet enorme Chancen und wer diese Technologien beherrscht, wird zum gefragten Spezialisten. Zum Glück gibt es heute zahlreiche Möglichkeiten, sich das nötige Wissen anzueignen, oft sogar kostenlos:

• Hersteller-Akademien nutzen: Viele führende Anbieter stellen umfangreiche Trainings online bereit. Etwa bietet UiPath mit der UiPath Academy die weltweit erste kostenlose RPA-Lernplattform an, auf der Anwender:innen von Grundlagen bis zu Spezialthemen Kursmodule und Übungen finden. Ähnlich gibt es die Automation Anywhere University, Blue Prism University oder die Celonis Academy für Process Mining. Diese Portale sind ideal, um praktische Skills in den jeweiligen Tools zu entwickeln.
  
• Online-Kurse und MOOCs: Auf Lernplattformen wie Coursera, Udemy oder LinkedIn Learning findet sich eine Fülle an Kursen rund um Automatisierung. Von Einführungen in RPA bis hin zu Spezialisierungen. z.B. bietet Coursera eine mehrteilige Robotic Process Automation Spezialisierung in Zusammenarbeit mit UiPath an. Solche Kurse ermöglichen es, in eigenem Tempo die Grundlagen zu erlernen und mit Praxisprojekten zu üben. Auch Universitäten bieten vermehrt offene Onlinekurse an, etwa im Bereich Process Mining oder KI.
  
• Desweiteren gibt es auch verschiedene fachspezifische Weiterbildungsprogramme (häufig nicht kostenlos), die auf konkrete Anwendungsfälle bestimmter Berufsgruppen eingehen. Beispielsweise bietet die Frankfurt School of Finance & Management im Studiengang Audit Data Scientist jeweils ein Vertiefungsmodul zu Business Process Mining und Künstlicher Intelligenz an und geht hierbei auf die Bedürfnisse von Mitarbeiter:innen der Abteilungen Compliance, Revision, Audit, Risk Management ein.
  
• Zertifizierungen anstreben: Zertifikate sind ein offizieller Nachweis erworbener Automatisierungs-Fähigkeiten (sozusagen der persönlichen „Macht“). Führende Hersteller haben Zertifizierungsprogramme (häufig nicht kostenlos), die international anerkannt sind. Beispielsweise gibt es die „Microsoft Certified Power Platform Fundamentals“ Prüfung, welche Grundkenntnisse in Power Automate, Power Apps und Power BI attestiert. UiPath bietet ein mehrstufiges UiPath Certified Professional Programm an, u.a. mit dem Abschluss „Advanced RPA Developer (UiARD)“. Auch Automation Anywhere und Blue Prism haben gestufte Zertifizierungen für Entwickler:innen. Ein solches Zertifikat signalisiert nicht nur, dass hier Automatisierungs-Know-how auf professionellem Niveau vorliegt, sondern sorgt auch für Qualität in den Unternehmen und Stabilität der Automatisierungen.
  
• Community & Praxis: Neben formalen Kursen lernen Neulinge viel in der Praxis. Deswegen bieten viele Tool-Hersteller kostenlose Test- oder Community-Editionen zum Ausprobieren an. Es lohnt sich, an einem kleinen Automatisierungsprojekt im eigenen Arbeitsumfeld oder als Übung zu tüfteln: Learning by Doing! Zudem existieren aktive Communities und Foren (z.B. das UiPath Forum, Stack Overflow für Scripting-Fragen, etc.), in denen Fragen gestellt werden können und von den Erfahrungen anderer gelernt werden kann. Zudem sind typische Einstiegsfragen und häufige Fehler oft bereits in solchen Foren beantwortet, sodass eine Lösung schnell gefunden werden kann. 
  

Ihr nächster Schritt mit Mr. 01 Analytics

Automatisierung ist kein einmaliges Projekt, sondern ein kontinuierlicher Lern- und Entwicklungsprozess. Genau wie Jedi-Ritter regelmäßig trainieren, um ihre Fähigkeiten auszubauen, profitieren IT-Professionals davon, sich beständig mit neuen Automatisierungstechnologien und -methoden vertraut zu machen. Doch es gibt keinen universellen Lehrplan für diesen Weg, denn jedes Unternehmen, jedes Team und jede Person startet an einem individuellen Punkt, mit unterschiedlichen Zielen und Voraussetzungen.

Bei Mr. 01 Analytics wissen wir aus Erfahrung, dass erfolgreiche Automatisierung immer maßgeschneidert sein muss. Während einige Unternehmen bereits mit komplexen KI- und RPA-Lösungen arbeiten, starten andere gerade erst mit den ersten Automatisierungsschritten. Egal, ob Sie Anomalien entdecken, Berichte automatisieren oder eine Self-Service-Plattform etablieren möchten: Unsere Stärke liegt darin, genau dort anzusetzen, wo Sie gerade stehen.

Mit individuellen Lernplänen, praxisnahem Coaching („Coaching on the Job“) und passgenauen Toolkits unterstützen wir Sie und Ihr Team dabei, die Macht der Automatisierung voll auszuschöpfen.

Interesse geweckt?

• Kontaktformular ausfüllen und Ziele skizzieren. Wir melden uns mit einem Vorschlag.
  
• Newsletter abonnieren, um monatliche Lernimpulse und Tool-Tipps zu erhalten.
  

Gemeinsam finden wir genau den Lern- und Automatisierungspfad, der optimal zu Ihnen, Ihren Aufgaben und Ihrem Unternehmen passt.

Möge die Macht der Automatisierung mit Ihnen sein! 

Möge die Macht des Lernens mit dir sein! Anlässlich des Star-Wars-Tages am 4. Mai beschäftigen wir uns in dieser Blog-Serie mit der „Macht des Lernens“.

➛

Zur May the 4th Blog-Serie

„Es war einmal vor langer Zeit in einer weit, weit entfernten Galaxis …“

So beginnt nicht nur die epische Star-Wars-Saga, sondern auch meine persönliche Reise zurück zum Schreiben. Nachdem ich mich eine Zeit lang anderen Themen gewidmet hatte, habe ich kürzlich die Freude am Schreiben wiederentdeckt. Es hilft mir, meine Gedanken zu ordnen und Themen tiefer zu durchdringen.

In den kommenden Tagen möchte ich mich mit der „Macht des Lernens“ beschäftigen. Anlässlich des bevorstehenden Star-Wars-Tages am 4. Mai („May the force/4th be with you“) nehme ich am Countdown teil und starte mit diesem Beitrag, der sich der „Macht der Grundlagen“ widmet.

Möge die Macht des Lernens mit dir sein! Anlässlich des Star-Wars-Tages am 4. Mai beschäftigen wir uns in dieser Blog-Serie mit der „Macht des Lernens“.

➛

Zur May the 4th Blog-Serie

Auf diesen Seiten finden Sie weiterführende Downloads zu Checklisten sowie Anleitungen zur Konfiguration von Datensicherungen unter Microsoft Windows, Windows Server und Apple macOS. Neben detaillierten Schritt-für-Schritt-Erklärungen zur Einrichtung sicherer Backup-Prozesse erhalten Sie hier zudem praktische Tipps für die langfristige Wartung Ihrer Sicherungsstrategien. Die Inhalte werden regelmäßig ergänzt und aktualisiert, sodass Sie stets über die neuesten Entwicklungen im Bereich Datensicherung und IT-Sicherheit informiert sind. Dadurch können Sie nicht nur die im Buch beschriebenen Grundlagen vertiefen, sondern auch direkt in die Praxis umsetzen.

Arbeitshilfen und Vorlagen

Im Buch bieten wir Ihnen in Kapitel 8 exemplarische Arbeitshilfen und Vorlagen. Diese Beispiele dienen dabei nicht nur als Veranschaulichungen, sondern können auch als Vorlage für Ihre Erstellung der eigenen Checklisten und Richtlinien herangezogen werden.

Diese exemplarischen Orientierungshilfen können Sie hier als PDF herunterladen. Die Referenzen zu den Abschnitten im Buch haben wir ebenfalls aufgenommen.

(siehe Abschn. 8.1; zum Nachlesen: Abschn. 5.9)

(siehe Abschn. 8.2; zum Nachlesen: Abschn. 4.1.1)

(siehe Abschn. 8.3; zum Nachlesen: Abschn. 4.1.2)

(siehe Abschn. 8.4; zum Nachlesen: Abschn. 4.1.3)

(siehe Abschn. 8.5; zum Nachlesen: Abschn. 4.2.1)

(siehe Abschn. 8.6; zum Nachlesen: Abschn. 4.2.2)

(siehe Abschn. 8.7; zum Nachlesen: Abschn. 4.2.3)

(siehe Abschn. 8.8; zum Nachlesen: Abschn. 4.3)

(siehe Abschn. 8.9; zum Nachlesen: Abschn. 4.4)

Literatur- und Quellenverzeichnis

Da wir in diesem Buch auf Online-Quellen mit längeren Hyperlinks verweisen, möchten wir Ihnen die Möglichkeit bieten, diese über eine Linksammlung anzuklicken und nicht abschreiben zu müssen. Diese Linksammlung können Sie hier herunterladen: Literatur- und Quellenverzeichnis

Schritt-für-Schritt-Erklärungen zur Einrichtung der Backup-Prozesse

Nachdem Sie in unserem Buch bereits erfahren haben, welchen Zweck und welche Bedeutung die Datensicherung hat, wie vielfältig die damit verbundenen Risiken sein können und wie ein tragfähiges Sicherungskonzept entwickelt wird, möchten wir nun ganz konkret auf die Einrichtung dieser Sicherungen eingehen. Hierzu stellen wir Ihnen einen früheren Leitfaden Datensicherung leicht gemacht zur Verfügung.

Über die Autoren

	Vanessa Chamera absolvierte ihren Master in Economic Policy Consulting (M.Sc.) an der Ruhr-Universität Bochum und sammelte anschließend Berufserfahrung im Bereich IT-Sicherheit. Neben ihrer Arbeit in der Digitalen Forensik spezialisierte sie sich auf die Analyse von Informationssicherheitsmaßnahmen zur Risikoprävention.
	Martin Bodenstein ist Diplom-Informatiker (univ.), MBA mit militärischem Hintergrund und Experte für Hochsicherheitsanforderungen. Mit langjährigem, forensischem Know-how als Basis fokussiert er sich auf die kontinuierliche Weiterentwicklung und professionelle Härtung von Sicherheitsprofilen zur Herstellung einer „Forensic Readiness“.
	Patrick Müller, Diplom-Wirtschaftsinformatiker, ist ein Experte für forensische Datenanalyse und hat maßgeblich zur Optimierung von Analyseverfahren in führenden Beratungs- und Industrieunternehmen beigetragen. Als Dozent konzentriert er sich auf Forensische Datenanalyse, Audit Data Science und Visual Analytics. Sein Ethos, geprägt durch forensische Genauigkeit, zielt darauf ab, Unternehmen transformative Einblicke zu bieten und gleichzeitig Schäden vorzubeugen. Sein Credo in diesem Zusammenhang: „No Data, No Party“.

Weitere Leseempfehlung

Lehren aus dem CrowdStrike-Vorfall – Ein Kommentar

➛

Mehr Lesen

In der gegenwärtigen Informationsära sind Daten für Unternehmen weit mehr als nur neutrale Informationsträger. Sie sind das Herzstück strategischer Entscheidungsprozesse, ein entscheidender Wettbewerbsvorteil und oft auch der Kern eines gesamten Geschäftsmodells. Dabei ist es eine Ironie unserer Zeit, dass trotz ihrer zentralen Bedeutung, Datenverluste – sei es durch technische Pannen, menschliche Fehler oder bösartige Angriffe – immer noch eine reale und oft unterschätzte Bedrohung darstellen. Die Konsequenzen können verheerend sein und reichen von Imageverlusten bis zu erheblichen finanziellen Einbußen.

Mit diesem Buch erhalten Sie eine tiefgreifende und umfassende Einführung in das facettenreiche Gebiet der Datensicherung. Es beleuchtet nicht nur die mannigfaltigen Risikokategorien, denen Daten täglich ausgesetzt sind, sondern unterstreicht auch die fundamentale Bedeutung, die Datensicherung im Gesamtkontext der IT-Sicherheit einnimmt. Es zeigt auf, dass Schutzmaßnahmen weit über reaktive Backup-Lösungen hinausgehen müssen. Dies umfasst die Absicherung vor technischen Ausfällen, das Schützen vor unautorisierten Zugriffen und das Implementieren robuster Sicherheitsprotokolle.

Eine effektive Datensicherung geht weit über bloße Vorsichtsmaßnahmen hinaus. Das Buch vermittelt, dass ein strategisches Vorgehen notwendig ist, welches präventive, detektierende und reaktive Schutzmaßnahmen kombiniert. Diese Strategien müssen individuell auf die Risiken und Anforderungen eines Unternehmens zugeschnitten sein. Besonders hervorgehoben wird die Wichtigkeit korrekter Implementierungen und der regelmäßigen Überprüfung von Sicherungssystemen, da viele Probleme genau hier ihren Ursprung finden.

Abgerundet wird dieses fundierte Werk durch eine Sammlung praktischer Werkzeuge, darunter Arbeitshilfen und Vorlagen, die auch online abrufbar sind. Dieses Buch ist daher nicht nur ein Nachschlagewerk, sondern ein umfassender Leitfaden – unverzichtbar für jedes Unternehmen, das den Wert seiner Daten in einer digitalen Welt nicht nur erkennt, sondern diesen auch zu schützen weiß. 

Überblick über die Inhalte

In diesem Buch navigieren wir Sie durch die essenziellen Bereiche der Datensicherung, von den Bedrohungen bis hin zu praktischen Schutzstrategien. Mit konkreten Praxisbeispielen, Tipps und Leitfäden unterstützen wir Sie dabei, Ihre Daten effektiv zu schützen. Egal ob Sie Neuling oder bereits Expertin bzw. Experte sind, dieses Buch dient als Ihr Leitfaden in der Welt der Datensicherung. Zudem geben wir Ihnen einen Einblick in die IT-Sicherheit als Ergänzung zur Datensicherung.
Lassen Sie uns starten!

Datenvielfalt, Verlustkosten und Aufbewahrungspflichten:
In Kapitel 2 beschäftigen wir uns mit der Datenvielfalt, den Verlustkosten und möglichen Aufbewahrungspflichten. In der digitalen Ära sind Daten das Rückgrat der Unternehmen. Sie lassen sich in verschiedene Kategorien einteilen, die es zu erkennen und zu schützen gilt. Datenverluste können finanzielle Einbußen bedeuten und das Ansehen eines Unternehmens beeinträchtigen. Zudem bestehen je nach Standort, Branche und Datentyp rechtliche Aufbewahrungspflichten. Daher ist eine solide Datenhandhabung und -sicherung für jedes Unternehmen unverzichtbar.

Ursachen für Datenverluste:
In Kapitel 3 gehen wir auf Ursachen für Datenverluste ein. Diese Datenverluste resultieren aus unterschiedlichen Risikokategorien, darunter technische, räumliche und betriebliche Gefahren. Vor allem mobile Geräte sind anfällig für physische Schäden und Diebstahl. Unkenntnis in Technologie kann zu Missverständnissen über die Datenaufbewahrung führen. Internetkriminalität, ein wachsendes Risiko, nutzt sowohl technische Mängel als auch betriebliche Unzulänglichkeiten für ihre Angriffe. In diesem Kapitel gehen wir intensiv auf diese Bedrohungen ein und verdeutlichen sie mit praxisnahen Beispielen.

IT-Sicherheit als Ergänzung zur Datensicherung:
Um keinen falschen Eindruck zu erwecken, möchten wir an dieser Stelle betonen, dass, obwohl Datensicherung essenziell ist, andere Schritte erforderlich sind, um Datenverlust zu verhindern. In Kapitel 4 widmen wir uns der IT-Sicherheit als ergänzendes Element zur Datensicherung. In diesem Abschnitt beleuchten wir die organisatorischen und technologischen Gefahrenpunkte in der IT-Sicherheit und führen die verschiedenen Kategorien der Schutzmaßnahmen auf. IT-Sicherheit zielt darauf ab, digitale Daten zu schützen, was sämtliche Maßnahmen einschließt, die die IT-Systeme vor Ausfällen und unberechtigten Zugriffen bewahren. Daher spielt sie auch im Schutz von Backup-Daten eine zentrale Rolle. Angesichts der Wichtigkeit unveränderter Daten, vor allem in der Forensik, wird zudem der Stellenwert der Informationssicherheit innerhalb eines umfassenden Sicherheitsansatzes erörtert. Das Kapitel rundet sich mit praktischen Erfahrungsberichten ab.

Datensicherungsstrategie erstellen:
In der heutigen digitalen Ära ist die Datensicherung unerlässlich, um Datenintegrität zu sichern und Datenverluste zu vermeiden. Zum Erstellen einer Datensicherungsstrategie beleuchten wir in Kapitel 5 zu Beginn den Unterschied zwischen reaktiven und präventiven Sicherungsverfahren. Eine durchdachte Strategie erfordert die Kategorisierung von Daten, das Festlegen passender Backup-Verfahren und die Wahl des Speicherorts. Das 3-2-1-Prinzip, bei dem drei Datenversionen auf zwei unterschiedlichen Datenträgern gesichert und eine extern gelagert wird, steht dabei im Fokus. Sowohl zeitgemäße Lösungen wie Cloud-Backups als auch herkömmliche Verfahren werden betrachtet. Ein ausgereifter Notfallplan komplettiert die Herangehensweise. Zum Abschluss des Kapitels wird auf die Wichtigkeit wiederkehrender Überprüfungen und Anpassungen der Sicherungstaktik hingewiesen und ein umfassender Leitfaden zur Strategieerarbeitung vorgestellt.

Datensicherungsstrategie umsetzen:
In Kapitel 3 werden die Bedrohungen für Daten, darunter auch die Internetkriminalität, erörtert. Kapitel 5 zeigt, wie Sie diesen Bedrohungen mit einer sorgfältig ausgearbeiteten Datensicherung entgegenwirken. In Kapitel 6 verknüpfen wir die theoretischen Überlegungen mit praxisorientierten Lösungen, um ein die erarbeitete Datensicherungsstrategie umsetzen und ein solides Backup-Konzept zu erarbeiten. Es wird hervorgehoben, dass Schwierigkeiten oft auf lückenhafte Strategien oder mangelhafte Implementierungen zurückzuführen sind. Deshalb liegt ein besonderer Fokus auf dem technischen Design der Sicherungsinfrastruktur und dem organisatorischen Rahmen des Backup-Konzepts.

Sicherungskonzept implementieren:
In Kapitel 7 steht die Implementierung des Sicherungskonzeptes im Vordergrund. Den Anfang macht der Abschnitt zur Konfiguration, der das Augenmerk auf die korrekte Einrichtung von Backups legt. Im Teil „Kontrolle“ wird betont, wie essenziell regelmäßige Überprüfungen der Backups sind. Nach einem Datenverlust ermöglicht das Zurückspielen von Backups die Wiederherstellung von Daten oder Systemen. Die Verlässlichkeit von Backups wird durch wiederholte Rücksicherungstests bestätigt. Bei größeren Ausfällen könnte ein kompletter Systemneustart in Betracht gezogen werden. Der abschließende Abschnitt dieses Kapitels vertieft sich in die integrierten Tools verschiedener Betriebssysteme und Cloud-Dienste.

Arbeitshilfen und Vorlagen:
In Kapitel 8 bieten wir Ihnen Arbeitshilfen und Vorlagen an. Diese exemplarischen Checklisten und Orientierungshilfen können Sie auch als PDF herunterladen. Da wir in diesem Buch auf Online-Quellen mit längeren Hyperlinks verweisen, möchten wir Ihnen die Möglichkeit bieten, diese über eine Linksammlung anzuklicken und nicht abschreiben zu müssen. Diese Linksammlung können Sie ebenfalls herunterladen.

Kapitel- und Themenübersicht:

Über die Autoren

	Vanessa Chamera absolvierte ihren Master in Economic Policy Consulting (M.Sc.) an der Ruhr-Universität Bochum und sammelte anschließend Berufserfahrung im Bereich IT-Sicherheit. Neben ihrer Arbeit in der Digitalen Forensik spezialisierte sie sich auf die Analyse von Informationssicherheitsmaßnahmen zur Risikoprävention.
	Martin Bodenstein ist Diplom-Informatiker (univ.), MBA mit militärischem Hintergrund und Experte für Hochsicherheitsanforderungen. Mit langjährigem, forensischem Know-how als Basis fokussiert er sich auf die kontinuierliche Weiterentwicklung und professionelle Härtung von Sicherheitsprofilen zur Herstellung einer „Forensic Readiness“.
	Patrick Müller, Diplom-Wirtschaftsinformatiker, ist ein Experte für forensische Datenanalyse und hat maßgeblich zur Optimierung von Analyseverfahren in führenden Beratungs- und Industrieunternehmen beigetragen. Als Dozent konzentriert er sich auf Forensische Datenanalyse, Audit Data Science und Visual Analytics. Sein Ethos, geprägt durch forensische Genauigkeit, zielt darauf ab, Unternehmen transformative Einblicke zu bieten und gleichzeitig Schäden vorzubeugen. Sein Credo in diesem Zusammenhang: „No Data, No Party“.

Interessiert?

Unser Buch bietet eine umfassende Einführung in die Welt der Datensicherung und führt durch die essenziellen Bereiche – von Bedrohungen bis hin zu praktischen Schutzstrategien. Die digitale Ära macht Daten zum Rückgrat und Wettbewerbsvorteil von Unternehmen, wobei Datenverluste erhebliche Schäden verursachen können. Es gibt unterschiedliche Risikokategorien für Datenverluste, darunter technische und betriebliche Gefahren. Unser Buch umfasst Maßnahmen, die die IT-Systeme vor Ausfällen und unberechtigtem Zugriff schützen und die Wesentlichkeit der Datensicherung aufzeigen. Dabei werden präventive, detektierende und reaktive Schutzmaßnahmen berücksichtigt und eine individuelle und risikobasierte Strategie aufgezeigt. Das Buch bietet praktische Hinweise, darunter Checklisten und Vorlagen, die online verfügbar sind. Es dient als Leitfaden für Unternehmen, um ihre Daten effektiv sowie effizient zu schützen, die IT- und Cybersecurity zu erhöhen und den Wert ihrer Daten risikobasiert zu würdigen.

➡️ Besuchen Sie Springer mit kostenlosem Zugriff aus dem Firmennetzwerk mit Springer-Unternehmenslizenzen. 
➡️ Besuchen Sie Amazon.

Weitere Leseempfehlung:

Wenn die Cloud anfängt zu brennen

➛

Mehr Lesen

Trotz Digital-Boom fehlt Budget für mehr IT-Sicherheit

➛

Mehr Lesen

Backups als letzte Bastion

Am 19.07.2024 stand die Welt aufgrund eines fehlerhaften Updates des Software-Unternehmens CrowdStrike für einige Betriebe still.

Obwohl Unternehmen heutzutage umfangreiche IT-Sicherheitsmaßnahmen implementieren, sind selbst die besten Firewalls und Antivirenprogramme sowie auch die organisatorischen Prozesse im Hintergrund nicht unfehlbar. Menschliches Versagen und technische Fehler können nicht vollständig ausgeschlossen werden. In solchen Fällen kann ein gut geplantes Backup-Konzept die letzte Rettung sein.

Der Vorfall vom 19. Juli 2024, als ein fehlerhaftes Update des Software-Unternehmens CrowdStrike weltweit für Ausfälle sorgte, hat die Notwendigkeit einer soliden Backup-Strategie schmerzhaft ins Gedächtnis gerufen. Unternehmen, die über zuverlässige Backups verfügten, konnten ihre Systeme auf den Zustand vor dem Update zurücksetzen und den Betrieb schnell wieder aufnehmen. Doch viele Unternehmen unterschätzen immer noch die Bedeutung regelmäßiger Backups und effektiver Notfallwiederherstellungspläne.

Ein Sicherheitsupdate mit katastrophalen Folgen

CrowdStrike ist ein führendes Softwareunternehmen, das branchenübergreifend IT-Sicherheitslösungen anbietet. Ziel dieser Lösungen ist es, das Risiko von Ausfällen zu minimieren und IT-Systeme vor Bedrohungen zu schützen. Doch ein fehlerhaftes Update ihrer Schutzsoftware „CrowdStrike Falcon“[1] führte dazu, dass Millionen von Computern weltweit lahmgelegt wurden. Das Update verursachte einen „Blue Screen of Death“ (BSOD) auf zahlreichen Windows-Systemen, was dazu führte, dass viele Unternehmen, darunter auch kritische Infrastrukturen wie Flughäfen und Krankenhäuser, zeitweise stillstanden.

Eine fehlerhafte Datei, die in den frühen Morgenstunden des 19. Juli 2024 veröffentlicht und in die IT-Systeme eingespielt wurde, war für das Chaos verantwortlich. Betroffene Systeme mussten manuell zurückgesetzt werden, um den Betrieb wieder aufzunehmen. Unternehmen, die keine aktuellen Backups hatten, waren gezwungen, auf zeitaufwändige Workarounds zurückzugreifen, die die Wiederherstellung des Normalbetriebs erheblich verzögerten. Entstandene Finanz- und Reputations-Schäden waren enorm.

Ähnliche Vorfälle aus der Vergangenheit

Der CrowdStrike-Vorfall ist nicht der erste seiner Art, bei dem IT-Systeme durch Softwareprobleme oder Cyberangriffe großflächig beeinträchtigt wurden. Ein Blick auf ähnliche Vorfälle zeigt, wie wichtig es ist, auf solche Eventualitäten vorbereitet zu sein:

• Microsoft Exchange-Ausfall (März 2021): Ein fehlerhafter Patch [2] führte zu massiven Ausfällen in E-Mail-Systemen weltweit. Unternehmen, die gut vorbereitet waren und über aktuelle Backups verfügten, konnten ihre Systeme schnell wiederherstellen und die Ausfallzeiten minimieren. Dieser Vorfall unterstreicht erneut, wie kritisch es ist, Backup- und Wiederherstellungspläne zu haben, um den Betrieb aufrechtzuerhalten.
  
• SolarWinds-Hack (Dezember 2020): Ein Cyberangriff, der über ein Update der SolarWinds-Software eingeschleust wurde, führte zu weitreichenden Sicherheitsvorfällen. Viele Unternehmen und Behörden waren betroffen, was zeigt, dass selbst vertrauenswürdige Softwareanbieter ein Risiko darstellen können. Auch hier waren Backups oft die letzte Verteidigungslinie, um Systeme wiederherzustellen und weitere Schäden zu verhindern.
  
• GitLab Datenverlust (2017): GitLab erlitt einen massiven Datenverlust, der durch ein fehlgeschlagenes Backup noch verschärft wurde. Dieses Ereignis verdeutlicht, dass auch professionelle Anbieter Fehler machen können, was die Bedeutung von sorgfältig geplanten und regelmäßig getesteten Backup-Strategien noch einmal unterstreicht.
  

Backups als essenzielle Sicherheitsmaßnahme

Der CrowdStrike-Vorfall zeigt deutlich, dass regelmäßige Updates und das einhergehende, professionelle Patch-Management zwar wichtig sind, aber nicht ausreichen. Selbst die geeignetsten Maßnahmen können fehlschlagen und in solchen Fällen sind Backups die letzte Verteidigungslinie. Ein umfassender Notfallwiederherstellungsplan, der regelmäßige und geprüfte Backups umfasst, ist unerlässlich, um den Geschäftsbetrieb nach einem Vorfall schnell wiederherstellen zu können.

Notfallwiederherstellungspläne: Schnelle Reaktion in Krisensituationen

Notfallwiederherstellungspläne (Disaster-Recovery-Pläne) sind entscheidend, um die Auswirkungen eines IT-Ausfalls zu minimieren. Sie beschreiben die Prozesse und Verantwortlichkeiten für die Wiederherstellung kritischer Systeme und Daten. Ein wichtiger Bestandteil dieser Pläne sind regelmäßige simulierte Krisenübungen, um sicherzustellen, dass alle Beteiligten wissen, wie im Ernstfall zu handeln ist.

Ein gut gepflegtes Backup ist der einfachste Weg, verlorene Daten oder defekte Systeme wiederherzustellen. Je nach Risikobewertung und Ressourcen des Unternehmens kann eine Backup-Strategie von einfachen Daten-Backups bis hin zu redundanten IT-Infrastrukturen reichen, die im Ernstfall schnell aktiviert werden können. Unternehmen sollten, entsprechend der Kritikalität und Anforderungen an die Verfügbarkeit, dabei zwischen „kalten“ (Cold Site), „warmen“ (Warm Site) und „heißen“ (Hot Site) Backup-Umgebungen wählen.

Eine kalte Umgebung deckt die grundlegende Infrastruktur ab, um Betriebsabläufe wieder aufzunehmen. Die Wiederherstellungszeit kann in dem Fall länger dauern. Eine warme Umgebung verfügt darüber hinaus beispielsweise über vorinstallierte Systeme, während eine heiße Umgebung nahezu alles bietet, um den Geschäftsbetrieb zeitnah wieder aufzunehmen. Bei der Entscheidung darüber, welche Umgebung sinnvoll ist, müssen Risiken und Kosten abgewogen werden.

Prävention durch die richtige Backup-Strategie

In der heutigen dynamischen Cyberwelt ist es entscheidend, dass Unternehmen ihre Backup-Strategien regelmäßig überprüfen und anpassen. Eine durchdachte Backup-Strategie beginnt mit der Identifizierung kritischer Daten und der Auswahl geeigneter Speichermedien. Ebenso wichtig ist es, den Backup-Zyklus an Systemänderungen anzupassen und sicherzustellen, dass Backups selbst durch IT-Sicherheitsmaßnahmen geschützt sind. Regelmäßige Tests der Backup-Routinen sind unerlässlich, um sicherzustellen, dass sie im Ernstfall reibungslos funktionieren.

Der CrowdStrike-Vorfall zeigt, dass selbst bei sorgfältig geplanten Updates unvorhergesehene Probleme auftreten können. Deshalb sollte jede Backup-Strategie so konzipiert sein, dass sie die schnelle Rücksetzung auf eine funktionsfähige Vorversion (engl. Rollback) ermöglicht, falls ein Update fehlschlägt.

Lessons Learned und Empfehlungen

In Deutschland und Europa hat dieser Vorfall die Diskussion über die Cybersicherheit und die Verantwortung von Unternehmen weiter befeuert, insbesondere im Hinblick auf neue EU-Vorschriften wie die NIS2-Richtlinie, die die Anforderungen an IT-Sicherheit erheblich verschärfen wird. Unternehmen müssen nun verstärkt sicherstellen, dass ihre Systeme robust sind und dass Sicherheitsmaßnahmen regelmäßig überprüft und angepasst werden.

CrowdStrike hat aus dem Vorfall gelernt und angekündigt, zukünftige Updates schrittweise auszurollen, um die Kontrolle über auftretende Fehler zu verbessern und die Tragweite solcher Ausfälle zu minimieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert zudem, dass Softwareanbieter sicherstellen müssen, dass Systeme bei gravierenden Fehlern in einem abgesicherten Modus starten können.

Für Unternehmen lassen sich folgende Empfehlungen ableiten:

• Testumgebung: Updates sollten in einer geschützten, abgeschotteten Offline-Umgebung („Sandbox“) getestet werden, um potenzielle Probleme frühzeitig zu erkennen.
  
• Automatisierte Updates vermeiden: Statt automatisierte Updates zuzulassen, sollten diese manuell überprüft und kontrolliert angewendet werden.
  
• Rollback-Strategien: Es ist wichtig, vorbereitete Rollback-Strategien zu testen und bei Problemen schnell umzusetzen.
  
• Gestaffelte Updates: Updates sollten gestaffelt auf verschiedenen Systemen durchgeführt werden, um das Risiko flächendeckender Ausfälle zu minimieren.
  

Abschließend lässt sich festhalten, dass Backups weit mehr umfassen als nur die Speicherung von Daten. Sie sind ein essenzieller Bestandteil eines umfassenden IT-Sicherheitskonzepts, das Notfallwiederherstellungspläne, IT-Sicherheitsmaßnahmen nach anerkannten Standards und in manchen Fällen sogar redundante IT-Infrastrukturen umfasst.

Quellen und weitere Leseempfehlungen:

[1] Crowdstrike Falcon ist eine Endpoint Detection and Response (EDR) Software, die zur Abwehr von Cyberbedrohungen auf Endgeräten (PCs, Laptops, Tablets, Smartphones, Server) genutzt wird. Eine solche EDR-Software überwacht und analysiert das Verhalten der Endgeräte, um potenziell verdächtiges Verhalten zu erkennen. Bei Auffälligkeiten können automatisierte Reaktionen zur Abwehr ausgelöst werden, wie beispielsweise die Isolierung des betroffenen Geräts.

[2] Ein „Patch“ ist ein Software-Update, das Fehler behebt oder Sicherheitslücken schließt, um die Software sicherer und stabiler zu machen.

Weitere Details zu Präventionsmöglichkeiten, Notfallwiederherstellungsplänen, Datensicherungsstrategien, Arbeitshilfen und Vorlagen finden Sie in unserem Buch: 

Datensicherung als Teil der IT- und Cybersecurity

➛

Mehr Lesen

Über die Co-AutorInnen

Vanessa Chamera absolvierte ihren Master in Economic Policy Consulting (M. Sc.) an der Ruhr-Universität Bochum und sammelte anschließend Berufserfahrung im Bereich IT-Sicherheit. Neben ihrer Arbeit in der Digitalen Forensik spezialisierte sie sich auf die Analyse von Informationssicherheitsmaßnahmen zur Risikoprävention.
➡️LinkedIn

Martin Bodenstein ist Diplom-Informatiker (univ.), MBA mit Berufserfahrung im Bereich IT-Service-, Security- und Projekt-Management. Mit forensischem Know-how als Basis ist der Kern seiner Expertise die kontinuierliche Weiterentwicklung und professionelle Härtung von Information Security Maßnahmen. 
➡️LinkedIn

Dieser Bereich startet im frühen Sommer 2026 mit neuen Impulsen, Praxisbeispielen und vertiefenden Materialien zu deinem Lernprozess aus 80 Weeks of Data & AI.

Nutze bis dahin die Zeit, dein Workbook in Ruhe durchzugehen, Inhalte auszuprobieren und eigene Ideen zu entwickeln. Ab Januar findest du hier ergänzende Inhalte, wie zum Beispiel:

Neue Impulse & Praxisbeispiele

• Ausgefüllte Beispiele zu Backlog, Sprint und Lernwochen
  
• Inspirationen aus der Community: Wie andere ihre Lernzyklen gestalten
  
• Erweiterte Templates und Worksheets zum Download
  

Tools & Methoden klar erklärt

• Übersicht, welche Tools & Methoden sich für welche Fragestellungen eignen
  
• Zuordnung nach Ziel, Datentyp und Reifegrad – vom ersten Datensatz bis zur KI-Anwendung
  
• Klarstellung häufiger Missverständnisse (z. B. Process Mining ≠ Data Mining)
  

Data & AI Toolbox

• Praktische Kurzguides zu Themen wie „Python oder Tableau?“, „Wann lohnt sich Power Query?“ oder „Wie starte ich mit AI-Prototyping?“
  
• Schritt-für-Schritt-Erklärungen zu Tools aus den Fachkapiteln (z. B. Datenvalidierung, Fraud Detection, Visual Analytics)
  

Community & Austausch

• Möglichkeit, eigene Impulse einzureichen
  
• Einladung zu Themenwochen, Challenges und Q&A-Sessions unter www.community.80weeks.ai

Beweglichkeit – Bewegung – Kräftigung 

Damit Bewegung Teil deiner Lernroutine wird, braucht es keinen Trainingsplan, sondern Gewohnheiten. Hier findest du fünf gezielte Übungen, die du täglich anwenden kannst. Sie fördern Beweglichkeit, bringen dich in Bewegung und aktivieren wichtige Muskelgruppen. In wenigen Minuten, ganz ohne Geräte.

HINWEIS zur Anwendung: Die vorgestellten Übungen sind allgemein gehalten und ersetzen keine medizinische Beratung. Bei bestehenden gesundheitlichen Beschwerden oder Unsicherheiten solltest du vor Beginn der Übungen ärztlichen Rat einholen. Führe die Bewegungen langsam und kontrolliert aus. Achte auf dein Körpergefühl und stoppe bei Schmerzen.

1. Beweglichkeit: Pass Through

• Mit einem Handtuch oder Besenstiel
  
• Breiter Griff, Arme gestreckt vor dem Körper halten
  
• Langsam über den Kopf nach hinten führen, so weit wie angenehm und dann wieder zurück
• 2-3 Durchgänge à 10 Wiederholungen

2. Kräftigung: Scapula Push-up an der Wand

• Stelle dich eine Armlänge vor die Wand, Hände auf Schulterhöhe
  
• Arme gestreckt lassen
  
• Schulterblätter kontrolliert zusammenziehen (Brust zur Wand), dann aktiv auseinanderdrücken (Rundrücken)
• 2-3 Sätze à 10 Wiederholungen
  

3. Mobilität & Öffnung: Prayer am Schreibtisch

• Hände auf dem Schreibtisch ablegen, ein bis zwei Schritte zurückgehen
  
• Gesäß nach hinten schieben, Brust sinkt Richtung Boden
  
• Blick bleibt zum Boden, Arme gestreckt halten
  
• 2×30 Sekunden halten und dabei tief ein- und ausatmen
  

4. Bewegung: HWS-Mobilisation im Stehen

• Aufrecht stehen, Schultern locker, Blick nach vorn
  
• Kinn langsam zur Brust senken, dann wieder anheben (Flexion/Extension)
  
• Kopf langsam zur rechten & linken Seite neigen (Lateralflexion)
  
• Kopf kontrolliert nach rechts & links drehen (Rotation), dabei Schultern entspannt „hinten & unten“ lassen
• Jede Position für 3-5 Sekunden halten, 5-8 Wiederholungen pro Richtung
• Ziel: Die Halswirbelsäule wird in alle Bewegungsrichtungen mobilisiert, um Steifheit und Verspannungen im Nacken vorzubeugen

5. Aktivierung: Wall Sit (einbeinig erschwert)

• Mit dem Rücken an eine Wand lehnen, in die Sitzposition (90° Knie) rutschen
  
• Position 20-30 Sekunden halten
  
• Für Fortgeschrittene: ein Bein anheben und jeweils 10-15 Sekunden pro Seite halten
  

Die vollständige Playlist mit allen Videoanleitungen zu diesen fünf Übungen findest du in der Youtube Playlist.

Die Falle: ein deutsches Konto soll Sicherheit vortäuschen.

Die fortschreitende Digitalisierung bringt uns nicht nur Komfort & Effizienz, sondern öffnet leider auch die Türen für Cyberkriminelle, die sich immer weiter perfektionieren. Bankkonten können online eröffnet werden und eine ausgeklügelte Online-Video-Legitimation stellt sicher, dass es sich um diese Person handelt und kein sogenannter Deep Fake ist.

Um dieses System auszutricksen haben sich die Fraudster eine hinterlistige Methode ausgedacht: sie posten gefälschte Stellenangebote. Die Aufgabe besteht darin, den Prozess der Kontoeröffnung zu durchlaufen & anschließend Feedback zu geben.

Die getäuschten Bewerber:innen werden dazu aufgefordert, ihre persönlichen Daten zu Personalzwecken bereitzustellen. Mit diesen Daten eröffnen die Fraudster die Konten und senden den vermeintlichen Testern die Validierungslinks zu. Glauben die Opfer-Mitarbeiter:innen, dass sie dabei sind einen Testdurchlauf zu machen, bestätigen sie dabei unwissentlich ihre Daten & eine echte Kontoeröffnung.

Das Besorgniserregende an dieser Methode ist, dass die Opfer nicht einmal merken, dass sie betrogen wurden. Erst wenn es zu unerwarteten finanziellen Aktivitäten oder sogar rechtlichen Problemen kommt, wird das Ausmaß des Betrugs offenbart.

Diese Praktiken sind äußerst gefährlich für die Opfer, denn in vielen Fällen haften die Opfer für die betrügerischen Transaktionen, die von ihrem Konto ausgehen. In einigen Fällen kann es sogar zu strafrechtlichen Konsequenzen kommen.

Es ist wichtig, dass wir alle wachsam bleiben und Vorsichtsmaßnahmen treffen, um uns und unsere Unternehmen vor den Betrügereien zu schützen. Die Vorteile der Digitalisierung sollten dabei nicht durch ihre seltenen Schattenseiten überschattet werden.

Wie können wir gegen obiges Szenario präventiv vorgehen?

• Unternehmen sollten ihre Schulungsunterlagen dahingehend anpassen, dass die Passage zu den „ausländischen Konten“ als Warnsignal überarbeitet wird.
  
• Wir als Privatpersonen müssen hellhörig werden, wenn Kopien von unserem Ausweis oder Reisepass benötigt/gemacht werden. Sei dies der Arbeitgeber, eine Versicherung, ein Hotel, für den Mietwagen/ das Handy, etc.
  
• Die BaFin müsste die Vorgaben für Online-Legitimationen prüfen und z.B. Hinweise zum Ausschluss von Test- & Qualitätszwecke aufnehmen.
  
• Was tun, wenn doch getäuscht?
  
• Polizei kontaktieren, um weitere Unterstützung zu erhalten.
  
• Schufa-Selbstauskunft beantragen, um zu sehen, welche meldepflichtigen Aktivitäten in Ihrem Namen erfolgten. Dies ist evtl. auch anlassunabhängig ratsam.
  

Weitere Leseempfehlung:

CEO Fraud Blog - Ihr Ratgeber im Kampf gegen den raffinierten "Enkeltrick für Unternehmen".

➛

Zum CEO Fraud Blog

Gestern hatte ich die Gelegenheit, meine Rolle als Betrugsbekämpfer zu wechseln und mich bei der Kundenveranstaltung meiner Bank selbst zu informieren.

Es gab Einblicke in Angriffsvektoren und Abwehrstrategien im Bankensektor. Dabei habe ich unter anderem bestätigt bekommen, dass es eine große Schnittmenge zwischen den Präventionsmaßnahmen gegen Hackerangriffe auf Banken & ihren Kunden und den Maßnahmen zur Verhinderung von CEO Fraud, meinem aktuellen Schwerpunktthema, gibt.

Im Angriffskern geht es in beiden Fällen um Identitätsdiebstahl und so ergeben sich ähnliche Maßnahmen.

Einige Sicherheitstipps für das Online-Banking:

Für E-Mails:

• Überprüfen Sie Absender & Links, um gefälschte Herkunft zu erkennen.
  
• Lassen Sie sich nicht stressen. Zeitdruck ist ein Warnsignal! Banken planen Urlaub & Abwesenheit ihrer Kunden bei Kontaktaufnahme ein.
  
• Reagieren Sie nicht auf E-Mails oder Links. Öffnen Sie das entsprechende Online-Portal über Ihre bekannte Quelle. Wenn eine Aktivität von Ihnen gefordert wird, dann werden Sie üblicherweise nach dem Einloggen dazu aufgefordert.
  

Bei Webseiten:

URLs werden in den betrügerischen Mails oft täuschend echt gefälscht und die Überprüfung ist sehr zeitaufwendig. Deshalb:

• Speichern Sie URLs für Online-Banking als Lesezeichen ab.
  
• Achten Sie bei URLs auf die verschlüsselte HTTPS-Verbindung. Das unverschlüsselte HTTP ohne S reicht nicht aus.
  
• Nutzen Sie für den Aufruf Ihrer Bank immer das Lesezeichen im Browser. Nicht den Link in der Mail.
  

Bei Zugangsdaten:

• Verwenden Sie keine Passwörter mehrfach.
  
• Verwenden Sie sichere Passwörter. Dabei ist Länge wichtiger als Komplexität.
  
• Bei der Verwendung von vielen sehr komplexen und langen Passwörtern empfiehlt sich der Einsatz von Passwort-Managern wie zB. NordPass
  
• Aktivieren Sie immer die Zwei-Faktor-Authentifizierung.
  

Vertrauen ist gut, Kontrolle ist besser!

• Suchen Sie aktiv nach Ihren Daten im Internet.
  
• Passwort-Manager wie z.B. NordPass können auch die hinterlegten Daten überprüfen.
  
• Durchsuchen Sie zusätzlich Datenleck Datenbanken wie zB. Have I Been Pwned oder Leakchecker der Uni Bonn nach Ihren Daten.

Mein Fazit:

• Bank-Fraudster sind ähnlich faul wie CEO-Fraudster und springen nicht höher als sie müssen!
  
• Einfache Maßnahmen lösen unterschiedliche Angriffsvektoren.
  
• Die Informationen aus den geschäftlichen IT-Sicherheitstrainings können Sie auch im Privaten anwenden. Die Bank-Tips an Sie als Privatpersonen können Sie auch auf Ihre tägliche Arbeit im Unternehmen oder andere Zugänge übertragen. -> Win-Win!

Weitere Leseempfehlung:

Betrüger:innen springen nur so hoch wie sie müssen!

➛

Mehr Lesen

CEO Fraud Blog - Ihr Ratgeber im Kampf gegen den raffinierten "Enkeltrick für Unternehmen".

➛

Zum CEO Fraud Blog

Ich frage mich, ob es bei der Prävention dieser Fälle primär darauf ankommt, dass wir jeden Vorfall perfekt definieren? D.h. ist es für die Sensibilisierung der Mitarbeiter:innen wichtig, ob es sich in dem enttarnten Betrugsfall von Martin Meng bei konfidal um einen Identitätsdiebstahl handelt oder ob es sich ausschließlich um die Vortäuschung einer falschen Tatsache handelt?

Aus meiner Sicht ist es viel wichtiger, dass die Mitarbeiter:innen sehr gut darüber informiert sind, dass sehr viel kriminelle Energie in die Täuschungen gesteckt wird und aufgeklärt wird, welche Szenarien aktuell verbreitet sind.

(Redaktioneller Hinweis: Abdruckgenehmigung liegt vor.)

Bei der reinen Sensibilisierung für Red Flags darf es aber nicht bleiben.

Die Menschen, die täglich hunderte von Vorgängen operativ bearbeiten, brauchen auch Unterstützung bei der Echtheitsprüfung.

Die Zwei-Faktor-Authentifizierung (2FA) kennen wir von Passwörtern als ein Sicherheitsverfahren, bei dem zwei unterschiedliche und voneinander unabhängige Komponenten zur Bestätigung der Identität einer Person benötigt werden.

Im Purchase to Pay Beschaffungsprozess lässt sich dies bei der Rechnungseingangsprüfung relativ einfach auf das Vorhandensein von Lieferanten, Bestellungen oder angelegten Wareneingängen übertragen.

Wie sieht es aber bei Rechnungen ohne Bestellung aus?
Prozessvorgaben verbieten häufig solche Vorgänge, aber die Realität zeigt, dass es viele Gründe und Ausnahmen dafür gibt. Und genau diese Sonderfälle nutzen Betrüger:innen aus.

Deshalb sollte für solche Vorgänge analog zur Zwei-Faktor-Authentifizierung darüber nachgedacht werden, welche Möglichkeiten implementiert werden können, um die Integrität der Absender:innen oder Zahlungsempfänger:innen sicherzustellen.

Relativ einfacher Prüfschritt: Überprüfung der Bankverbindung.
z.B. einfach auf der Homepage der jeweiligen Behörde nachschauen oder bei dem bekannten Kontakt der Geschäftspartner:innen nachfragen.

Reicht das aus? Sicher nicht!
Was genau benötigt wird, muss vielmehr für jedes Unternehmen bzw. Abteilung individuell festgelegt werden. Es muss aber nicht immer kompliziert und ausgefallen, sondern praktikabel sein.

Derzeit beschäftige ich mich intensiv mit CEO Fraud, einer Betrugsmasche, bei der es um Identitätsdiebstahl geht. Bei den Überlegungen zu Präventionsmaßnahmen fällt mir immer wieder auf, dass die Prüfmethoden auch vor anderen Betrugsmaschen schützen, und zwar unabhängig davon, ob Chef:in anruft oder das Finanzamt schreibt.

Weitere Leseempfehlung:

Wenn Sie mögen, dann schauen Sie gerne mal im CEO Fraud Blog vorbei.

CEO Fraud Blog - Ihr Ratgeber im Kampf gegen den raffinierten "Enkeltrick für Unternehmen".

➛

Zum CEO Fraud Blog

Gestern hatte ich die spannende Gelegenheit, an der AEB getConnected teilzunehmen und dort am TMS-Workshop mitzuwirken. Als Digital Nerd hat mir die Eröffnungskeynote ein gewisses Schmunzeln ins Gesicht gezaubert. Johannes Klingebiel beantwortete die Frage „Was ist ein Hype und wie erkenne ich ihn?“ In seinem Vortrag ging es natürlich um KI, Blockchain & Co. Lesenswert ist in diesem Zusammenhang auch sein Zine mit dem Titel „Guide to Hype“.

Von der Keynote zum Workshop

Die Aufgabe im Workshop bestand darin, Lösungsansätze für das TMS zu erarbeiten und einen Prototyp für einen Control Tower zu erstellen. Dieser soll als zentraler Knotenpunkt für die Organisation und Steuerung der Transportabwicklung dienen. Die Aussage "No Data, No Party" verdeutlicht die Notwendigkeit, den Zugriff auf relevante Daten zu verbessern, um das Transportmanagement effektiv zu gestalten. Ein gut funktionierender Control Tower ermöglicht es den Unternehmen, alle Datenströme zu integrieren und Echtzeitinformationen über den Transportstatus, die Routenplanung, die Frachtkosten und andere Details und Parameter zu erhalten. Probleme und Engpässe werden transparent und wir können eingreifen. Nur mit diesen Informationen können wir die Party des optimalen Transportmanagements starten und dafür sorgen, dass alle Gäste die Party genießen.

Mein Pitch

In einem kleinen Pitch habe ich eine mögliche IT-Architektur skizziert. Mein Vorschlag war eine dezentrale serviceorientierte Architektur SOA. Die Idee dahinter ist, die notwendige Datentransparenz zu schaffen, die das TMS, aber auch andere Parteien wie Einkauf, Vertrieb, Lagerverwaltung & Außenhandel benötigen.

Methoden und Interaktion im Fokus

„War schon allen irgendwie klar, was ein Control Tower für Logistik-Prozesse ist. Aber wie rangehen?“ Diese Frage beschäftigte uns 14 Teilnehmende. Wir haben uns letztendlich für zwei Methoden entschieden:

• Troika, zum Kennenlernen und um die Problemstellung zu erarbeiten und 
• Design Studio, fürs Visualisieren der Aufgabenstellung und letztendlich das Problem zu lösen. 
  

Mein Fazit

Es war inspirierend, von den Erfahrungen und Strategien der Logistik-Praktiker:innen zu hören und davon zu lernen. Die Erkenntnisse und der Austausch mit Fachleuten aus verschiedenen Unternehmen haben meinen Horizont definitiv erweitert und mir geholfen, neue Perspektiven zu entwickeln. Bezogen auf eine dringlich benötigte Datenbasis als Fundament für einen Control Tower: No Data, No Party!

Take Away

Inspirierende Gespräche, neue Kontakte und ein selbst bedrucktes Stiftemäppchen. 

Sie erfahren, wie typische Angriffe ablaufen, welche Varianten es gibt, woran Sie Warnsignale in E-Mail, Telefon und Messenger erkennen, welche Systeme und öffentlich verfügbaren Informationen Täter ausnutzen und welche Prozesse, Kontrollen und Schulungen Ihr Unternehmen jetzt einführen sollte. Praxisnah. Kompakt. Umsetzbar.

Ich arbeite seit Jahren an der Schnittstelle von Forensic Analytics, Cybersecurity und Prävention. Die Beispiele stammen aus Projekten und Trainings mit Finance, Einkauf, IT und Interner Revision. Ziel ist ein klarer Fahrplan, der ohne Sonderwege auskommt und im Alltag funktioniert. Wir sprechen auch darüber, wie Datenanalysen und Anomalieerkennung unterstützen können und wo die Grenzen von Echtzeitanalysen liegen.

Der CEO Fraud ist keine einzigartige Betrugsmasche

Es gibt verschiedene ähnliche Betrugsmaschen, die in ähnlicher Weise wie der CEO Fraud darauf abzielen, Unternehmen oder Einzelpersonen finanziell zu schädigen; zB. beim Vorschuss-, Rechnungs-, Bestell-, Investment- & Mietbetrug.

Verallgemeinert gilt, dass es sich bei diesen Betrugsmaschen oft um eine Form des Identitätsdiebstahl handelt, bei dem Verbrecher:innen die Identität einer Person oder Firma stiehlt, um betrügerische Aktivitäten auszuführen oder vorzubereiten.

Im Zusammenhang treten dann auch Cybercrime Delikte auf, wie zB. Social Engineering und Phishing.

Varianten des CEO Fraud

In der Praxis treten mehrere Muster auf. Die wichtigsten Varianten im Überblick:

• Interne fiktive Geschäftsvorfälle: Aufforderung zu Überweisungen im Zusammenhang mit angeblichen Akquisitionen, Geschäftsabschlüssen oder Anschaffungen wie Patenten, Immobilien oder Maschinen.
• Rückzahlung angeblicher Überzahlungen: Forderung einer Erstattung, weil Kundenzahlungen vermeintlich doppelt oder zu hoch erfolgt seien.
• Dringende Intercompany-Zahlungen: Verweis auf angebliche Notfälle oder Liquiditätsengpässe innerhalb des Konzerns, oft gestützt durch plausibel wirkende Belege.
• Missbrauch externer Geschäftspartner:innen: Namen realer Kunden, Lieferanten oder Dienstleister werden genutzt, um Waren, Daten oder Zahlungen in laufenden oder neu konstruierten Vorgängen anzufordern.
• Anzahlungen und Vorauszahlungen: Bitte um Vorabzahlungen für vermeintliche Großbestellungen oder „Beschleunigungsgebühren“.
• Gefälschte Bestellungen: Fiktive Orders mit echten Ansprechpartnern und täuschend echten Dokumenten, um Ware oder Geld zu erlangen.
• Änderung von Bankdaten: Aufforderung zur Aktualisierung von Kontoverbindungen bei Lieferanten oder Kunden, um Zahlungen auf neue IBANs umzuleiten.
• Vortäuschung behördlicher Zuständigkeit: Schreiben mit Zahlungsaufforderungen für Steuern, Gebühren oder angebliche Strafen.

Kurz gesagt: CEO Fraud ist Identitätsdiebstahl in vielen Ausprägungen und betrifft Finance, Einkauf, Stammdaten, HR, IT und Management.

Der übliche Ablauf des CEO Fraud

1. Recherche und Vorbereitung: Täter sammeln offene Informationen über Unternehmen, Rollen, Abläufe und Kontaktwege. Quellen sind Website, Social Media, Handelsregister, Presse, Abwesenheitsnotizen und öffentlich sichtbare E-Mail-Muster.
2. Kontaktaufnahme per E-Mail, Telefon oder Messenger: Es folgen personalisierte Nachrichten an Finanzbereich, Einkauf oder Leitung. Absender wirken legitim, oft mit sehr ähnlichen Domains oder Display-Namen. Häufig wird schriftliche Kommunikation durch Anrufe gestützt.
3. Manipulation: Dringlichkeit und Vertraulichkeit sollen Rückfragen verhindern. Gefälschte Dokumente, angebliche Verträge oder PO-Nummern erhöhen die Glaubwürdigkeit. Aufforderungen zielen auf Prozessumgehungen und schnelle Entscheidungen.
4. Zahlungsfreigabe oder Stammdatenänderung: Verlangt werden Überweisungen auf neue Konten, Splitting in Teilbeträge oder die Änderung von Lieferanten-IBANs. Zweitkanal-Bestätigungen werden gezielt umgangen.
5. Verdeckung: Gelder fließen auf Auslands- oder Mule-Konten, werden weitergeleitet und abgezogen. Spuren werden gelöscht, Kommunikation wird beendet.

Präventionsmaßnahmen

Betrüger springen nur so hoch, wie sie müssen. Heben Sie die Latte an.

• Prozesse absichern: Vier-Augen-Prinzip und Zweitkanal-Freigabe ab definierten Betragsgrenzen. Keine Ausnahmen ohne schriftliche Dokumentation.
• Stammdaten schützen: Änderungen von Bankdaten nur nach Rückruf über bekannte Nummern aus dem ERP. Erste Zahlung nach neuer IBAN mit 24-Stunden-Wartezeit und zusätzlicher Freigabe.
• E-Mail-Sicherheit aktivieren: SPF, DKIM und DMARC auf Durchsetzung. Externe Absender kennzeichnen. Anzeige des vollständigen Absenders aktivieren. Anhänge in einer sicheren Umgebung prüfen.
• Öffentliche Informationen begrenzen: Abwesenheiten von Führungskräften nicht offen publizieren. Interne Durchwahlen, Organigramme und Rollenprofile nur wo nötig veröffentlichen.
• Anomalien erkennen: Zahlungs- und Stammdatenänderungen kontinuierlich per Datenanalyse überwachen. Regeln für untypische Beträge, neue Empfänger, Zahlungen kurz nach IBAN-Wechsel und ungewöhnliche Uhrzeiten.
• Schulen und testen: Regelmäßige Awareness-Trainings für Management, Finance, Einkauf, IT und Stammdatenpflege. Quartalsweise Phishing- und Social-Engineering-Tests mit Feedback.
• Vorbildfunktion des Managements: Keine Sonderwege bei Freigaben. Wenn Führungskräfte Prozesse umgehen, wirkt identisches Verhalten durch Täter glaubwürdig.
• Kommunikation und Notfallplan: Über aktuelle Maschen intern informieren. Klarer Ablauf bei Verdacht: Zahlstopp, Rückruf über Zweitkanal, Bank kontaktieren, Beweise sichern, Forensik einbinden.

CEO Fraud Blog - Ihr Ratgeber im Kampf gegen den raffinierten "Enkeltrick für Unternehmen".

➛

Zum CEO Fraud Blog

Der rasante Anstieg digitaler Kommunikation eröffnet Unternehmen neue Möglichkeiten, birgt jedoch auch erhebliche Risiken. Eine der gefährlichsten Bedrohungen ist der CEO-Fraud, bei dem Betrüger sich als Führungskräfte ausgeben, um vertrauliche Informationen oder Geld zu erlangen. Auf dem jüngsten Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden hierzu essenzielle Maßnahmen zur Betrugsprävention diskutiert.

Im Folgenden teile ich gerne meinen eigenen Arbeitsauftrag nach 2 Tagen BSI Sicherheitskongress 2023 … sowie meine ersten Erkenntnisse!

Da wir vermehrt digital kommunizieren, müssen wir auf Nachrichten, Links & Dateien vertrauen. Jedoch bietet die Flut an Nachrichten ein Einfallstor für Betrugsmaschen.

Bezogen auf Betrugsprävention nehme ich drei Schwerpunkte aus dem Event mit:

1. Zwei-Faktor-Authentifizierung (2FA): Eine zusätzliche Sicherheitsebene neben dem Passwort, die durch Einmalcodes oder biometrische Merkmale den Schutz von Benutzerkonten erhöht.
   
2. Digitale Signaturen: Diese bestätigen die Echtheit von E-Mails und Dokumenten, minimieren Manipulationsrisiken und erhöhen die Integrität und Glaubwürdigkeit.
   
3. Kontinuierlicher Scan nach geklauten Zugangsdaten: Regelmäßige Überprüfung öffentlicher Datenbanken nach eigenen Daten, um Sicherheitsverletzungen frühzeitig zu erkennen und entsprechende Maßnahmen zu ergreifen.
   

DEEP DIVES:

Zwei-Faktor-Authentifizierung (2FA)

Zwei-Faktor-Authentifizierungen2FA sind unerlässlich, um die Sicherheit von Online- und Benutzerkonten zu erhöhen. Dazu wird neben User-IDs & Passwörtern ein zweiter Kanal eingesetzt; z.B. Einmalcodes oder digitale/biometrische Merkmale.

"Time-Based One-Time Password" TOTP ist dabei ein Verfahren zur Erzeugung von zeitlich begrenzten Einmalpasswörtern & wird häufig in Authentifizierungs-Apps verwendet.

Meine Feststellungen:

• nicht bei allen meiner privaten Konten kann ich 2FA aktivieren bzw. die Option finden. Ich habe freundlich bei dem jeweiligen Support nachgefragt... mal abwarten.
  
• Bei allen geschäftlichen Zugängen konnte ich 2FA aktivieren bzw. als Unternehmensstandard definieren.
  
• Wenn 2FA verfügbar ist, werden SMS/Anruf- & TOTP-Verfahren angeboten. Letzteres bevorzuge ich.
  

Authentifizierungs-Apps:

• Google Authenticator
  
• Microsoft Authenticator
  
• Authy
  
• LastPass Authenticator
  

Weiterführende Informationen:

• Erklärvideo zu „Time-Based One-Time Password”
• FIDO 2 Authentifizierungsstandard der FIDO Alliance
• Erklärvideo zu „FIDO Enterprise“

Digitale Signaturen

Digitale Signaturen von E-Mails ermöglichen es, die Echtheit der Absender zu überprüfen & Manipulationen zu erkennen. In der Konsequenz lassen sich bei Verwendung die Integrität & Glaubwürdigkeit erhöhen sowie das Risiko von Betrug, Hacking oder Phishing reduzieren.

Ähnlich steht es um PDFs, denn mittels digitaler Signaturen können die Inhalte bestätigt werden.

Allerdings funktioniert dies nur, wenn stets digitale Signaturen verwendet werden, sodass das Fehlen ungewöhnlich ist.

Meine Erfahrung:

• Während Studium und früheren Anstellungen hatte ich als Anwender beides genutzt. Es war einfach und unkompliziert.
  
• Privat und in eigenen Firmen habe ich digitale Signaturen zuletzt jedoch noch nicht genutzt. Mir fehlt dazu ein Zertifikatsanbieter.
  
• Ich bin nun auf der Suche und schaue mir die Angebote in den nächsten Tagen genauer an. Mein aktueller Stand der Anbietersuche ist in der folgenden Linkliste.

Meine aktuelle Shortlist der Mail- & PDF-Zertifikatsanbieter zur weiteren Prüfung:

• GlobalSign
• DigiCert
• Sectigo
• Comodoca

Kontinuierlicher Scan nach geklauten Zugangsdaten

Ein "Breach Scanner" sucht nach potenziellen Daten- oder Sicherheitsverletzungen. Dabei werden öffentliche Datenbanken & veröffentlichte Informationen auf eigene Daten überprüft. Sie weisen somit frühzeitig auf Sicherheitsverletzungen hin & ermöglichen es Schutzmaßnahmen zu ergreifen z.B. Passwörter & E-Mail-Adressen zu wechseln.

Meine Nutzung:

• Eigene E-Mail-Adressen werden durch meinen Passwort-Manager NordPass überprüfen. 
• Eigene Domänen habe ich zur vollständigen Prüfung bei Have I Been Pwned registriert.
  
• Eine System-Mail-Adresse schlug an & wurde nun ausgetauscht.
• Eine weitere Überprüfungsmöglichkeit bietet der Leakchecker der Uni Bonn an.
  

Weitere Informationen zum 19. Deutscher IT-Sicherheitskongress 2023 - Digital sicher in eine nachhaltige Zukunft:

Weitere Leseempfehlung:

CEO Fraud Blog - Ihr Ratgeber im Kampf gegen den raffinierten "Enkeltrick für Unternehmen".

➛

Zum CEO Fraud Blog

In meinem letzten ➡️ Beitrag zum CEO Fraud ging es um die Variantenvielfalt und den Identitätsdiebstahl mit dem Fokus im Unternehmen Anweisungen zu geben.

Wenn die Betrüger:innen erfolgreich waren, dann wird eine Überweisung ausgeführt und das Geld verlässt das Unternehmen. Nun stellt sich die Frage wie es mit der Nachverfolgung oder Rücküberweisung aussieht.

Betrachten wir dazu die Variationen bei den Zahlungsempfänger:innen

In der Vergangenheit wurden die ahnungslosen Opfer idR angewiesen das Geld auf ausländische Bankkonten zu transferieren. Bestehende Meldepflichten und Sensibilisierungen sorgten dafür, dass diese Angriffe rechtzeitig enttarnt wurden.

Aus diesem Grund tauchen inzwischen immer mehr Varianten auf, bei denen die Überweisung an ein inländisches oder inner-EU Bankkonto erfolgen soll. Für diese Bankkonten gibt es dann verschiedene Szenarien:

• Das Konto wurde mit einer gefälschten Identität erstellt.
  
• Ein Konto wurde im Namen einer realen Person eröffnet und diese Person stellt beim CEO Fraud ein unbeteiligtes oder ebenfalls getäuschtes Opfer dar.
  
• Das Konto gehört einer realen Person und die Betrüger:innen sind aufgrund eines anderen Betruges im Besitz der Zugangsdaten gelangt.
  
• Das Konto gehört einer realen Person; jedoch ohne Zugriff durch die Betrüger:innen. Diese Person wird ebenfalls getäuscht und agiert ahnungslos als Geldbot:in.
  

Was haben diese Varianten gemeinsam?

Zwischen das Bankkonto der Unternehmen und der Betrüger:innen wird ein zusätzliches Bankkonto geschaltet. Bis die Firmen den Betrug bemerken, befindet sich idR das Geld nicht mehr auf dem Bankkonto des weiteren Opfers, sondern ist bereits weitergeleitet. Das Geld kann nicht zurücküberwiesen werden und eine Nachverfolgung ist meistens unmöglich, da das Geld in vielen Kleinstückelungen ins Ausland ging.

Neue und weitere Szenarien

Neue und weitere Szenarien sind zu erwarten, denn Betrüger:innen werden auch zukünftig Bankkonten benötigen, um ihre kriminellen Vorgänge abzuwickeln. Leider befinden wir uns in einer Art der Professionalisierung bzw. Industrialisierung von Betrug und es gibt Fraudster, welche sich auf die Bereitstellung von Bankkonten spezialisiert haben.

Bei einer erschreckenden Variante übernehmen die Opfer sogar die ganze Arbeit, denn ihnen wird als neu eingestellten Mitarbeitern vorgegaukelt, dass sie die Video-Identifikations-Dienstleistungen von Banken testen sollen. Dabei verifizieren sie dann nichtsahnend viele Kontoeröffnungen auf ihren Namen.

Weitere Leseempfehlung:

CEO Fraud Blog - Ihr Ratgeber im Kampf gegen den raffinierten "Enkeltrick für Unternehmen".

➛

Zum CEO Fraud Blog

Welche Varianten des CEO Fraud gibt es?
Verallgemeinert gilt, dass es sich bei dem CEO Fraud um eine Form des Identitätsdiebstahl handelt, bei dem Verbrecher:innen die Identität einer Person oder Firma stiehlt, um betrügerische Aktivitäten auszuführen oder vorzubereiten.

Wenn wir den Identitätsdiebstahl verallgemeinern so könnte auch von „internem/externen Geschäftspartner:innen Betrug“ gesprochen werden und so ergeben sich viele Betrugsmaschen, die ähnlich ablaufen und die ähnliche identifiziert bzw. ähnlich verhindert werden können.

Hierbei werden verschiedene Geschichten erfunden, welche das Ergebnis einer detaillierten Recherche sind und meistens an aktuelle Themen, Probleme, Schwachstellen oder Vorgänge anknüpfen. Aus diesem Grund können auch die Personen oder Firmen stark variieren, deren Identität missbraucht wird.

Einige Varianten:

• Interne fiktive Geschäftsvorfälle: Aufforderung zur Überweisung von Kaufbeträgen bei einer Unternehmensakquisition, einem Geschäftsabschluss oder sonstigen lukrativen Anschaffungen, wie z.B. Patenten, Immobilien oder Maschinen.
  
• Dringender Bedarf für Intercompany-Zahlung: oft in der Kombination mit realen Notfallkosten oder einer tatsächlich ausbleibenden Kundenzahlungen.
  
• Änderung von Bankdaten: Vortäuschung zur Änderung der Bankverbindung des Unternehmens bevor eine reale Überweisung erfolgt. Alternativ: Bitte um Anlage bzw. Korrektur von Lieferanten- oder Kundenbankdaten.
  
• Rückzahlungen von Kundenüberweisungen.
  
• Anzahlungen zu aktuellen Großbestellvorgängen.
  
• Vortäuschung behördlicher Zuständigkeit: Mahnung zur Begleichung von fälligen Steuerzahlungen oder sonstigen Gebühren.
  
• Externe Geschäftspartner: bestehende Kunden, Lieferanten oder Dienstleister können fiktiv eingebunden werden, um „Dinge“ zu bestehenden oder neu zu erstellenden Geschäftsvorfällen zu fordern.
  

‼️ Betrugsmaschen entwickeln sich weiter und passen sich an Umstände und Schwachstellen an. Obige Beispiele sind bekannte Angriffspunkte aus der Vergangenheit. Zukünftig werden eher neue Geschichten und Varianten erfunden.

Neue Geschichten werden wieder überzeugend und glaubwürdig klingen, da die Betrüger:innen sorgfältig recherchieren und Informationen über Unternehmen sowie Führungskräfte sammeln, um die Anweisungen so authentisch wie möglich zu gestalten.

Weitere Leseempfehlung:

CEO Fraud Blog - Ihr Ratgeber im Kampf gegen den raffinierten "Enkeltrick für Unternehmen".

➛

Zum CEO Fraud Blog

Warum nehmen die CEO Fraud Fälle zu?
Einer der Hauptgründe für die Zunahme dieser Betrugsmasche ist die fortschreitende Digitalisierung von Unternehmen und die damit verbundene Abhängigkeit von digitalen Abläufen, einer Vielzahl an Geschäftsvorfällen, fehlerhafte Prozessabläufe, Medienbrüchen und verschiedene Banking-Programmen. Dazu kommt eine Vielzahl an Kommunikationskanälen wie E-Mail, MS Team, SMS, WhatsApp, Ticketsystemen, Slack, etc.

Komplexität geknackt: Kriminelle nutzen die Unübersichtlichkeit durch Systeme, Tools und Verfahrensweisen sowie bestehende Prozessschwachstellen aus.

Ein weiterer Faktor ist die zunehmende Professionalisierung von Cyberkriminellen, die sich auf CEO Fraud spezialisiert haben und immer ausgefeiltere Methoden entwickeln, um Unternehmen zu täuschen. Darüber hinaus haben viele Unternehmen noch nicht ausreichend in Cybersecurity-Maßnahmen investiert, was es Cyberkriminellen erleichtert, Schwachstellen in Systemen auszunutzen.

Desweiteren erfolgte in den letzten Jahren eine Professionalisierung von Betrug. Diese ist mit der Industrialisierung des letzten Jahrhunderts zu vergleichen bei der sich Expert:innen auf eine bestimmte Aufgabe spezialisierten. Dadurch müssen CEO Fraudster lediglich verschiedene Betrugsmaschen oder Cyber-Services orchestrieren und müssen sich beispielsweise nicht im Detail mit Social Engineering, Hacking oder dem Eröffnen von Bankkonten unter fiktiven Namen beschäftigen.

Als letzten Grund kann die Anonymität des Internets dazu führen, dass die Strafverfolgung von Betrügern schwierig ist, was die Attraktivität von CEO Fraud als Betrugsart erhöht. 

Weitere Leseempfehlung:

CEO Fraud Blog - Ihr Ratgeber im Kampf gegen den raffinierten "Enkeltrick für Unternehmen".

➛

Zum CEO Fraud Blog

Hierbei sprechen wir unter anderem über:

1.  Datenanalyse
   
2.  Schwachstellenprüfung in den IT-Prozessen und
   
3.  Digitale Spurensuche, um betrügerische Aktivitäten aufzuspüren und zu dokumentieren.
   

Wir sind auf der Suche nach Betrüger:innen. Und mit Analytics finden wir am Ende die Betrüger:innen. Wir finden aber noch so viel mehr!
Wir finden zudem die Fehler in einem Unternehmen und wir finden zusätzlich auch die Potentiale. Und was da an Geld dahintersteckt, ist noch viel größer als die meisten Betrugsfälle.

Eigentlich ist es etwas Wunderschönes, denn der Anteil der Leute, die das eigene Unternehmen betrügen, ist im Normalfall viel geringer als der Anteil an den Personen im Unternehmen, die durch Fehler dafür sorgen, dass das Unternehmen Geld verliert. Und deswegen ist das auch der spannendere Ansatzpunkt. Trotzdem würde ich bei den Betrüger:innen anfangen und dort einen Block hinsetzen.

Einen Einblick wie ich bei anlassunabhängigen Prüfungen und anlassbezogenen Untersuchungen einsteige, gab ich in obigem Podcast Interview.

Häufig unberücksichtigt: diese (forensischen) Vorgehensweisen lassen sich auch auf andere Fragestellungen adaptieren: Fehler analysieren und Geschäftspotentiale identifizieren. Wo können Unternehmen besser werden? Wo verlieren Unternehmen unnötigerweise Geld? Letzteres ist Geld, dass Unternehmen sehr schnell für sich gewinnen und reinvestieren können.

Weitere Hörempfehlung:

Weitere Leseempfehlung:

Buchbegleitende Seite zu "Accounting Fraud"

➛

Mehr Lesen

Mit zeitgemäßer Prävention Bilanzfälschern auf der Spur

➛

Mehr Lesen

Geht es bei dieser Masche ausschließlich um große Beträge?
Die Antwort ist eindeutig: NEIN!

So gab es zuletzt in Langenhagen einen Vorfall mit 18.000 Euro bzw. in Kirchhorst eine fingierte Anweisung über 250.000 Euro. Über solche kleineren Beträge wird selten auf der Titelseite und in der bundesweiten Presse berichtet, sodass diese Vorgänge weniger bekannt sind und kleinere Firmen die Gefahr falsch einschätzen. Doch diese betraglich kleineren Vorgänge sind inzwischen keine Einzelfälle mehr, sondern wurden zu einem Geschäftsmodell für Betrüger:innen. Beispielsweise hat Europol ein Netzwerk identifiziert und zerschlagen, dem allein knapp 40 Mio. Euro an CEO Fraud Beute zugeschrieben werden.

Der anhaltende Trend zu kleineren Schadensbeträgen bei CEO-Fraud-Fällen zeigt, dass keine Organisation – unabhängig von ihrer Größe – immun gegen solche Betrugsversuche ist. Besonders kleine Unternehmen, die häufig weniger ausgefeilte IT-Infrastrukturen und automatisierte Prozesse haben, sind zunehmend gefährdet. Sie verlassen sich oft auf manuelle Freigaben und haben nicht immer die technologischen Mittel, um ausgeklügelte Betrügereien effektiv zu erkennen und zu verhindern.

Das Fazit daraus ist, dass auch kleinere Unternehmen eine ernsthafte und proaktive Aufklärung innerhalb ihrer Organisation betreiben müssen. Es ist entscheidend, dass sie ihre Mitarbeiter über die Risiken und Anzeichen von CEO Fraud informieren und regelmäßige Schulungen zur Sensibilisierung durchführen. Zudem sollten sie klare Verfahren für die Überprüfung und Freigabe von Zahlungsanweisungen etablieren, um die Möglichkeiten für Betrüger zu minimieren, erfolgreich Gelder zu entwenden.

Zusätzlich können selbst grundlegende Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung und regelmäßige Überprüfungen von E-Mail-Adressen und Anfrageinhalten erheblich dazu beitragen, die Sicherheitslage zu verbessern. Es ist wichtig, dass auch kleinere Firmen in die Schulung ihrer Mitarbeiter und in angemessene Sicherheitstools investieren, um sich vor finanziellen und reputativen Schäden durch CEO Fraud zu schützen.

Auswahl an Empfehlungen zur Vorbeugung – Prävention statt Reaktion ist die Devise

• Prozesse schulen, prüfen, anpassen und absichern.
  
• Prozessumgehungen sowie -abweichungen kontinuierlich mit Datenanalysen detektieren und abstellen.
  
• Risikomanagement, Interne Revision, Mitarbeitende und Management hinsichtlich Cybercrime & Social Engineering schulen, insbesondere Personen mit sensibleren Zugängen oder hohen Weisungsbefugnissen.
  
• Geschäftsführung und Top Management sensibilisieren, dass bei erlaubten Prozessumgehungen Identitätsdiebstähle erleichtert werden.
  
• Aktivierung von IT-Maßnahmen zur leichten Identifikation von externen Inhalten für die Anwender.
  
• Überprüfung von externen Unternehmensinformationen, Verfügbarkeiten beziehungsweise Abwesenheiten von Mitarbeitenden.
  
• Regelmäßiges Training von Angriffen etablieren – so sollte eine Alarmroutine entstehen wie bei der jährlichen Brandschutzübung oder bei Test-SPAM Mails.
  

Weitere Leseempfehlung:

CEO Fraud Blog - Ihr Ratgeber im Kampf gegen den raffinierten "Enkeltrick für Unternehmen".

➛

Zum CEO Fraud Blog

CEO Fraud verstehen

Für die Angriffe nutzen Betrüger für die Kontaktaufnahme entweder echt aussehende, jedoch gefälschte E-Mails, hacken die E-Mail-Konten der Geschäftsführung oder tätigen einen entsprechenden Anruf. Zudem kommt es immer häufiger vor, dass komplexere Angriffsszenarien konstruiert werden, bei denen mehrere Mitarbeitende zu Opfern beziehungsweise zu unwissenden Erfüllungsgehilfen werden.

Die zwei Phasen des CEO Frauds

Die lange und akribische Tatvorbereitung

• Öffentlich verfügbare Informationen des Unternehmens werden genutzt.
  
• Informationen zu laufenden Projekten, bevorstehenden Investitionen, Umstrukturierungen oder aktuellen Geschäftspartnern sind besonders von Bedeutung und werden häufig in der „Szenario-Geschichte“ eingebaut.
  
• Informationen über Mitarbeiter:innen in den sozialen Medien (Beförderungen, Abwesenheit, Funktionen im Unternehmen, besondere Ereignisse etc.) werden zur Erweiterung der Szenarien verwendet oder bieten Möglichkeit zum Gesprächseinstieg.
  

Die kurze und zielgerichtete Tatbegehung

• Kontaktaufnahme zu den ausgewählten und bereits ausgespähten Mitarbeiter.
  
• Verwendung einer falschen Identität in Kombination von einer sehr gut konstruierten Szenario-Geschichte und einem sehr geeigneten Zeitpunkt, wenn relevante Personen nicht erreichbar sind.
  
• Anweisung einer oder mehrerer Zahlung(en) mit hohem Gesamtbetrag und einer hohen zeitlichen Dringlichkeit.
  
• Überweisung sollen häufig an Auslandskonten getätigt werden. Gekaperte Inlandskonten oder die Einbindung von unwissenden Geldboten sind zudem auch gängig.
  

Planung und Durchführung des CEO Fraud

CEO Fraud ist dadurch gekennzeichnet, dass die Tat lange und akribisch vorbereitet wird, die Durchführung jedoch innerhalb kürzester Zeit und sehr zielgerichtet erfolgt.

Während der Vorbereitungsphase wird primär recherchiert, wer Berechtigungen für die Systeme und Bankkonten hat. Als Quelle hierzu dienen besonders die geschäftlichen sozialen Netzwerke wie Xing, LinkedIn und Polywork. Wurde die aus Betrugsperspektive richtige Person im Unternehmen identifiziert, so ist der prozessuale bzw. systemseitige Anteil des CEO Fraud Szenarios sehr überschaubar. Die unwissenden Erfüllungsgehilfen müssen lediglich dazu gebracht werden, eine manuelle Auszahlung im Buchhaltungs- oder ERP-System zu hinterlegen und einen Sonderzahllauf zu starten oder die Überweisung direkt im Online-Banking zu erfassen.

Zur weiteren Vorbereitung der Tat erfolgen erste Kontaktaufnahmen zu diesen Personen häufig Wochen vorher. Das Ziel ist es, Vertrauen und Bekanntheit aufzubauen Dies kann bereits mit einfachen Fragen zu realen Geschäftsvorgängen erreicht werden oder auch durch kurze Gespräche mit Gratulationen zum Geburtstag, Firmenjubiläum oder zur Beförderung.

Parallel dazu erfolgen Recherchen zu den Interessen und Zeitplanungen der Führungskräfte, deren Identitäten später vorgetäuscht werden. Im Mittelpunkt steht dabei die Identifikation von Abwesenheiten oder Unerreichbarkeiten. Diese bildet später den Zeitpunkt der Tat. Die schlechte Erreichbarkeit und der Grund hierfür werden zudem in die Szenario-Geschichte eingebaut, welche den Opfern vorgegaukelt wird. Einfache Gegenprüfungen fallen dann positiv aus. Beispielsweise bestätigt ein Sekretariat: „Ja, XY befindet sich auf dieser Konferenz oder ist auf dem besagten Langstreckenflug“. Bei der Tatbegehung werden entweder Anrufe getätigt oder gefälschte E-Mails an die ausgespähten Mitarbeitenden gesendet und dabei besonders auf Vertraulichkeit sowie Diskretion hingewiesen. Ebenso gängig ist die Aufnahme eines fiktiven Zeitdrucks. Beides soll dazu führen, dass wenig Rücksprache gehalten oder mit Kollegen über den Vorgang gesprochen wird.

Bei den erfundenen Szenario-Geschichten geht es meistens um Sondervorgänge wie (erfundene) Unternehmensakquisitionen oder sonstige lukrative Anschaffungen, wie z.B. den Erwerb von Patentrechten, Immobilien oder Maschinen. In diesem Kontext werden dann vermeintliche Gründe genannt, warum die Überweisung eines hohen Geldbetrages auf ein Auslandskonto erfolgen muss. Immer häufiger werden auch Inlandskonten verwendet, auf welche die Betrüger durch ein weiteres Betrugsszenario Zugriff haben und das Geld von dort ins Ausland weiterüberweisen.

Social Engineering und Hacking zur Informationsbeschaffung der Täter

Neben öffentlichen Quellen wie Bundesanzeiger und Handelsregister werden zudem zwei eher digitale Ansätze verknüpft: Das Social Engineering und das Hacking. Beim Social Engineering wird u.a. das persönliche Umfeld von Mitarbeitenden in den sozialen Netzwerken ausspioniert, um beispielsweise Details über Positionen, fachliche Interessen, Lebenslaufdetails, Teilnahmen an Konferenzen und Weiterbildungsmaßnahmen sowie Kontakte zu identifizieren.

Diese Informationen ermöglichen später eine zielgerichtete und vertrauenserweckende Kontaktaufnahme per Telefon oder E-Mail zu den potenziellen Opfern. Neben dem Hacking sorgen aber auch großzügige Einstellungen der Kommunikationssoftware wie Microsoft Teams, Skype, Slack etc. dazu, dass Informationen abfließen und so externen Personen der Verfügbarkeits- oder Abwesenheitsstatus sämtlicher Mitarbeitenden zur Verfügung steht.

Auswahl an Empfehlungen zur Vorbeugung – Prävention statt Reaktion ist die Devise

• Prozesse schulen, prüfen, anpassen und absichern.
  
• Prozessumgehungen sowie -abweichungen kontinuierlich mit Datenanalysen detektieren und abstellen.
  
• Risikomanagement, Interne Revision, Mitarbeitende und Management hinsichtlich Cybercrime & Social Engineering schulen, insbesondere Personen mit sensibleren Zugängen oder hohen Weisungsbefugnissen.
  
• Geschäftsführung und Top Management sensibilisieren, dass bei erlaubten Prozessumgehungen Identitätsdiebstähle erleichtert werden.
  
• Aktivierung von IT-Maßnahmen zur leichten Identifikation von externen Inhalten für die Anwender.
  
• Überprüfung von externen Unternehmensinformationen, Verfügbarkeiten beziehungsweise Abwesenheiten von Mitarbeitenden.
  
• Regelmäßiges Training von Angriffen etablieren – so sollte eine Alarmroutine entstehen wie bei der jährlichen Brandschutzübung oder bei Test-SPAM Mails.
  

Fazit

Es ist zu erkennen, dass die Vorbeugung auf neuere Betrugsmaschen immer komplexer wird. Um dieser Komplexität gerecht zu werden, ist eine Verzahnung von interdisziplinären Präventionsmaßnahmen unerlässlich. Neben klassischen Prozesskontrollen, präventiven (Daten)Analysen, einer unterstützenden IT-Konfiguration sowie organisatorischen Veränderungen sind präventive Schulungen des Risk Managements oder der Revision/Fraud Management empfehlenswert. Hierbei erhalten die Teilnehmenden Expertise für Daten- und Informationssicherheit, Social-Engineering-Angriffe, Falschidentitäten und Fälschungserkennung, Forensische Datenanalysen und werden zudem für ein datenfokussiertes Prüfungsvorgehen sensibilisiert.

Weitere Leseempfehlung:

CEO Fraud Blog - Ihr Ratgeber im Kampf gegen den raffinierten „Enkeltrick für Unternehmen“.

➛

Zum CEO Fraud Blog

Die vergangenen Jahre haben gezeigt, dass Bilanzen immer wieder durch betrügerische Handlungen manipuliert wurden. Dabei stellt sich die Frage, wie solche Vorgänge in der Buchhaltung aufgenommen wurden. Gewachsene IT-Landschaften und komplexe Prozesse ermöglichen es, dass diese dolosen Vorgänge über Vorsysteme und Schnittstellen in der Finanzbuchhaltung übernommen werden ohne, dass deren Mitarbeiter:innen in den Einzelfällen inhaltlich involviert waren.

Bei den Diskussionen der aktuellen Fälle fehlt aus unserer Sicht die Aufarbeitung wie die tatsächliche Manipulation handwerklich bzw. technisch vorgenommen wurde. Wurden die Salden der Sachkonten beim Konsolidieren und Überführen in die Bilanz- und GuV-Struktur manuell modifiziert? Wurde bereits in dem Buchhaltungssystem manipuliert? Oder wurden die betrügerischen Vorgänge über Prozesse wie Einkauf, Vertrieb, HR oder Warenwirtschaft eingespielt?

Wie kommt das Geld in die Kriegskasse?

Eine Bilanzmanipulation wird dann relevant, wenn für das Unternehmen signifikante Beträge modifiziert werden. Während einzelne und große Beträge auf einer Position leicht identifiziert und geprüft werden können, so bieten Positionen mit sehr vielen Transaktionen die Möglichkeit betrügerische Vorgänge in der Masse zu verschleiern. In der Praxis wird dann oft von der Suche nach der Nadel im Heuhaufen gesprochen. Doch so einfach ist es nicht. Wir verbinden mit der Betrugsaufklärung inzwischen eher ein Puzzle Spiel, denn es geht nicht nur um die einzelnen Vorgänge, sondern auch um die Zusammenhänge zwischen den Vorgängen und dem Gesamtbild, welches sich daraus ergibt.

Praxisbeispiel: Wie Rechnungen ohne Bestellbezug genutzt werden können, um Sachkonten oder Bankkonten zu befüllen.

In der Praxis kommt es hin und wieder vor, dass Fachbereiche eine Bestellung per Telefon oder E-Mail durchführen, ohne die Einkaufsabteilung einzubinden. Kommt es zur Rechnungsstellung, so bindet die Fachabteilung üblicherweise die Buchhaltung ein und bittet um Begleichung der Rechnung. Dabei erfasst die Buchhaltung eine Rechnung ohne Bestellbezug und löst auch so maschinelle Buchungsbelege mit den korrespondierenden Buchungssätzen aus. Dieser Vorgang ist in der folgenden Abbildung als Szenario 1 dargestellt. Werden bei diesem Vorgang die Bestands- oder Aufwandsart korrekt ausgewählt, so führt dieses Szenario 1 aus rein buchhalterischer Sicht zu keiner Beanstandung. Einkaufsentscheidungen und -kontrollmechanismen wurden jedoch ausgehebelt. Da dieses Vorgehen in bekannten Betrugsfällen häufig genutzt wurde, um fiktive und selbsterstellte Rechnungen zu einer Auszahlung auf ein betrügerisches Bankkonto zu erwirken, empfehlen wir, solche Vorgänge auf ein Minimum zu reduzieren.

Buchhalterisch kritisch wird es jedoch, wenn ein Vorgang prozessual aufgeteilt wird (siehe Szenario 2). Wird in einem ersten Einkaufsprozess zu einer vorhandenen Bestellung ein Wareneingang erfasst, so wird automatisch der Buchhaltungsbeleg mit der Materialbestandserhöhung erzeugt und gegen das WE/RE-Clearing Konto gebucht. Soweit alles richtig und durch die jeweiligen Anhänge zu reellen Vorgängen zuordenbar und belegbar. Wird nun die eingehende Rechnung nicht dem bereits gestarteten Prozess Nr. 1 zugeordnet, sondern wird, wie bei Szenario 1, eine kreditorische Rechnung ohne Bestellbezug als zweiter Prozess erstellt, so erfolgt erneut eine Materialbestandserhöhung. Während der Prozess Nr. 2 in sich schlüssig ist und aus rein buchhalterischer Sicht zu keiner Beanstandung führt, sorgt der eine aus Prozess Nr. 1 erzeugte Buchhaltungsbeleg zu einer buchhalterischen Fehldarstellung.

Passiert dieses Szenario 2 aus Versehen, so ist dies als Arbeitsfehler zu bewerten. Passiert dies jedoch mit Vorsatz, so kann von Bilanzmanipulation gesprochen werden. Offen bleibt zunächst, welchen Vorteil diese Manipulation liefert und wie mit den beiden manipulierten Sachkonten Materialbestand und WE/RE-Clearing fortgefahren wird. In einem späteren Schritt könnte dann dieser geschaffene Sachkontenbestand gezielt umgebucht werden, um ausgewählte Bilanzpositionen zu manipulieren oder prüfbare Gegenkonten zu korrigieren. 

Blick ins Buch: Rechnungen ohne Bestellbezug als etablierte Prozessumgehungen und mögliche Folgen

(Bildquelle: Rinker, Carola; Müller, Patrick: Münker, Frank (2022): Accounting Fraud – Bilanzmanipulationen praxisorientiert verstehen und mit Datenanalysen frühzeitig erkennen, aufklären und verhindern; Seite 70.)

Handlungsempfehlungen für die Analyse komplexer Zusammenhänge in Geschäftsprozess- und Buchhaltungsdaten als präventive Maßnahmen

Unser Empfehlungsschwerpunkt liegt auf den inhaltlichen und technischen Kontrollmöglichkeiten. Beispielsweise geht es darum Prozessabläufe zu schulen, zu prüfen, ggf. anzupassen und abzusichern. Prozessumgehungen und Prozessabweichungen sollten kontinuierlich mit Datenanalysen detektiert und abgestellt werden. Dabei ist es wichtig die richtigen analytischen Methoden anzuwenden und eine der Komplexität des Unternehmens angemessene Datengrundlage zu prüfen. Bei großen Unternehmen reicht es aus unserer Sicht nicht mehr aus, lediglich die Daten der Finanzbuchhaltung zu prüfen. Vielmehr geht es darum die einzelnen Vorgänge den jeweiligen Entstehungsprozessen zuzuordnen und dann zu prüfen. Verschiedene Verfahren und Prüfschritte stellen wir in unserem kürzlich erschienenen Buch vor.

Ebenso hilfreich ist die Einrichtung eines Whistleblower-Systems und die Durchführung von Continuous Monitoring bzw. Continuous Auditing. Durch Hinweise von Mitarbeiter:innen und Geschäftspartner:innen können frühzeitig Indizien oder Verdachtsmomente aufgegriffen und nachgegangen werden. Denn die Erfahrung in der Praxis hat gezeigt: Es gibt immer Mitwisser:innen der Manipulationen. Dies können beispielsweise Mitarbeiter:innen in der Buchhaltung sein, die Auffälligkeiten feststellen. Sofern es eine Anlaufstelle in Form eines Whistleblower-Systems gibt, wird die Möglichkeit der Meldung entsprechend vereinfacht – und langfristig der Schaden geringer sein als wenn die Mitarbeiter:innen keine Meldung absetzen können.

Eine ähnliche Früherkennungsmöglichkeit, jedoch ausgelöst durch Daten, ergibt sich aus den kontinuierlichen Prüfungen des Risikomanagements oder der internen Revision. Jedes System für sich ist bereits eine Bereicherung. Werden zudem nach dem „Sharing is caring“ Prinzip zusätzlich noch die Erkenntnisse und Verdachtsmomente zwischen den Bereichen der zweiten und dritten Verteidigungslinie auf der operativen Ebene in einem vertrauensvollen und angemessenen Rahmen ausgetauscht, so lassen sich auch neue präventive und datenfokussierte Analysen bzw. Kontrollen ableiten und vollautomatisiert sowie in Echtzeit durchführen.

Unser persönliches Anliegen ist, dass in den Teams, welche die Prüfungen vornehmen, die datenanalytischen Fähigkeiten vorhanden sind und in dem jeweiligen Management Grundkenntnisse für Daten sowie für Analysen vorliegen. Oft werden Expert:innen aus anderen Bereichen für Datenanalysen herangezogen oder für Programmierungen beauftragt. Bei diesem Analytics as a Service Ansatz sehen wir die Gefahr, dass relevante Informationen, Domänenwissen, Risikobereiche, Analyseauswahl sowie Feststellungen und Erkenntnisse auf der Strecke bleiben können oder falsch eingeschätzt werden. Das Outsourcing der Analytics Kompetenz mag zwar effizient sein, jedoch halten wir dies nicht für den geeigneten Weg.

Neben Weiterbildungsmaßnahmen zu Accounting und (digitalem) Audit empfehlen wir zudem, dass die Mitarbeiter des Risikomanagements und der internen Revision gelegentlich auch etwas „böse Luft“ schnuppern und erfahren, welche teilweise abstrusen Szenarien in der Realität stattfinden. D.h. die Perspektive wird vom Prüfen auf das vorsätzliche Betrügen und Manipulieren gewechselt. Dies hilft bei der Betrachtung von Prozessen und Berechtigungen und dem Durchspielen wo, wie und wie viel Schaden angerichtet werden kann. Einige Beispiele stellen wir auch in unserem kürzlich erschienenen Buch vor. 

Blick ins Buch: Kapitel- und Themenübersicht

(Bildquelle: Rinker, Carola; Müller, Patrick: Münker, Frank (2022): Accounting Fraud – Bilanzmanipulationen praxisorientiert verstehen und mit Datenanalysen frühzeitig erkennen, aufklären und verhindern; Seite 4.)

Weitere Leseempfehlung:

Buchbegleitende Seite zu "Accounting Fraud"

➛

Mehr Lesen

Podcast: Wie erkenne ich Bilanzmanipulation in IT-Systemen?

➛

Mehr Lesen