Login

Security Awareness Insights

#07: Oktober ist Cybersecurity Awareness Month

🕒 4 Min. Lesezeit

Liebe Security Awareness-Interessenten,

Der Cybersecurity Awareness Month geht auf eine Initiative aus dem Jahr 2004 zurück. Damals erkannten die National Cybersecurity Alliance und das US-Heimatschutzministerium einen wachsenden Bedarf: Cybersicherheit war primär eine Angelegenheit von IT-Spezialisten, doch die Bedrohungen betrafen bereits alle Bereiche der Gesellschaft.

Die Idee war einfach: Einen Monat im Jahr zu nutzen, um Cybersicherheit aus der IT-Ecke herauszuholen und zum Thema für jeden zu machen - von Privatpersonen bis zu Unternehmensleitungen. Oktober wurde gewählt, da er im Herbst liegt, wenn Unternehmen oft ihre Budgets und Pläne für das Folgejahr erstellen.

Über 20 Jahre später beteiligen sich weltweit Tausende von Organisationen an der Kampagne. Die Cybersecurity and Infrastructure Security Agency (CISA) stellt kostenlose Ressourcen bereit, und das Motto 2025 lautet "Secure Our World". In Deutschland ist diese internationale Initiative bislang wenig bekannt. In dieser Newsletter-Ausgabe beleuchten wir die Kampagne und zeigen, welche praktischen Ansätze auch für deutsche Unternehmen wertvoll sind.

Viel Spaß beim Lesen wünscht

Werner Grohmann

Inhaltsverzeichnis

Cybersecurity Awareness Month
Quelle: National Cybersecurity Alliance

Cybersecurity Awareness Month 2025: Format, Ziele und praktische Maßnahmen

Die vier Säulen der Cybersicherheit

Die US-Cybersicherheitsbehörde CISA und die National Cybersecurity Alliance haben vier einfache, aber wirkungsvolle Verhaltensweisen definiert, die jeder sofort umsetzen kann:

1. Starke Passwörter verwenden

  • Mindestens 12 Zeichen, besser mehr
  • Einzigartig für jeden Account
  • Passwort-Manager nutzen

2. Multi-Faktor-Authentifizierung aktivieren

  • Für alle wichtigen Accounts
  • Besonders für E-Mail und Cloud-Dienste
  • Auch für private Accounts der Mitarbeiter

3. Software regelmäßig aktualisieren

  • Automatische Updates aktivieren
  • Nicht nur Betriebssystem, auch Programme und Apps
  • Firmware von Routern und Geräten nicht vergessen

4. Verdächtige Links und E-Mails melden

  • Schulung der Mitarbeiter zur Erkennung
  • Klare Meldewege etablieren
  • Positive Fehlerkultur schaffen

    Warum gerade jetzt?

    Die Zahlen sprechen eine deutliche Sprache: 70% der erfolgreichen Cyberattacken beginnen mit einer Phishing-E-Mail, die nicht als solche erkannt wird. Noch alarmierender: 95% aller Verstöße gegen die Cybersicherheit basieren auf menschlichem Versagen.

    Paradoxerweise sehen 80% der KMUs ein hohes Cyberrisiko für andere Unternehmen, aber nur 34% glauben, selbst gefährdet zu sein. Das klassische „Das trifft doch nur die Großen“-Denken. Dabei waren bereits 57% aller Mittelständler mit 50 bis 250 Mitarbeitenden mindestens einmal von einer Cyber-Attacke betroffen – mit durchschnittlichen Schäden von 95.000 Euro.

    Der Cybersecurity Awareness Month bietet die perfekte Gelegenheit, diese gefährliche Selbstüberschätzung zu durchbrechen und nachhaltige Sicherheitsgewohnheiten zu etablieren.

    Security Awareness Quick Check

    Neue kostenlose Checklisten: Datenschutz und Datensicherheit zum Download

    Passend zum Cybersecurity Awareness Month haben wir unsere Checklisten-Serie erweitert:

    Neu: Checkliste Datenschutz nach DSGVO

    • 8 Seiten mit über 40 Prüfpunkten
    • Prioritätskennzeichnung nach Dringlichkeit (kritisch/wichtig/wünschenswert)
    • Sofort-Auswertung mit konkreten Handlungsempfehlungen
    • Bußgeld-Vermeidungsstrategien und rechtssichere Dokumentation

    Kostenloser Download: security-awareness-toolbox.de/checkliste-datenschutz-dsgvo

    Bereits verfügbar: Checkliste Datensicherheit

    • 7 Seiten mit 35+ Prüfpunkten für IT-Sicherheit
    • Von Backup-Strategien bis Mitarbeiterschulungen
    • Über 500 Downloads seit dem Launch

    Kostenloser Download: security-awareness-toolbox.de/checkliste-datensicherheit

    Praxis-Tipp: Der 2-Stunden-Security-Check

    1. Woche 1: Beide Checklisten durchgehen (je 30 Minuten)
    2. Woche 2: Ergebnisse auswerten und priorisieren (30 Minuten)
    3. Woche 3: Mit kritischen Punkten beginnen (30 Minuten Setup)
    Ransomware-Attacke Erfahrung Teil 1

    Aus der Praxis: „Ransomware-Attacke – Wenn aus ‚Was gibt es bei uns schon zu holen?‘ bittere Realität wird“

    In unserer aktuellen Blog-Serie berichten wir offen über eine Ransomware-Attacke, die unser eigenes Unternehmen getroffen hat. Die Erfahrungen zeigen: Auch gut vorbereitete Unternehmen sind nicht vor Angriffen gefeit.

    Was wir gelernt haben:

    • Backup allein reicht nicht – die Wiederherstellung dauert länger als gedacht
    • Mitarbeiter-Sensibilisierung ist entscheidend – der Angriff kam über eine scheinbar harmlose E-Mail
    • Dokumentation rettet Zeit – wer seine Systeme kennt, erholt sich schneller

    Die wichtigsten Erkenntnisse:

    1. Incident Response Plan regelmäßig testen, nicht nur erstellen
    2. Offline-Backups sind unverzichtbar
    3. Kommunikation mit Kunden und Partnern frühzeitig planen
    4. Rechtliche Meldepflichten nicht unterschätzen (72-Stunden-Regel)

    Die komplette Serie finden Sie auf unserer Webseite – ehrliche Einblicke in eine Krisensituation und praktische Lehren für andere Unternehmen.

    Hacker

    Aktuelle Bedrohungslage: Oktober 2025

    Neue Phishing-Trends

    KI-generierte E-Mails werden zunehmend schwerer erkennbar. Besonders perfide: Gefälschte Nachrichten von bekannten Geschäftspartnern mit korrekten Firmen-Details und realistischem Ton.

    Warnsignale:

    • Ungewöhnliche Dringlichkeit bei Zahlungsaufforderungen
    • Links, die nicht zur angegebenen Website führen
    • E-Mails außerhalb der üblichen Geschäftszeiten

    CEO-Fraud 2.0

    Cyberkriminelle nutzen jetzt öffentlich verfügbare KI-Stimmgeneratoren für gefälschte Anrufe. Ein Schweizer Unternehmen verlor kürzlich 2,3 Millionen Euro durch einen täuschend echten „Anruf des Geschäftsführers“.

    Schutzmaßnahmen:

    • Vier-Augen-Prinzip bei Überweisungen über 10.000 Euro
    • Rückfragen auf anderem Kommunikationsweg (persönlich, andere Telefonnummer)
    • Schulung für Assistenz und Buchhaltung

    Supply Chain Angriffe

    Besonders kleine Software-Anbieter stehen im Fokus. Über manipulierte Updates oder Cloud-Services gelangen Angreifer in nachgelagerte Systeme.

    Empfehlungen:

    • Software-Lieferanten regelmäßig auf Sicherheitsstandards prüfen
    • Automatische Updates nur von vertrauenswürdigen Quellen
    • Isolierte Test-Umgebungen für kritische Software-Updates

    Praxis-Tipp des Monats: Der Oktober-Security-Sprint

    Nutzen Sie den internationalen Cybersecurity Awareness Month für einen 4-Wochen-Sprint:

    • Woche 1: Ist-Analyse mit unseren Checklisten
    • Woche 2: Mitarbeiter-Sensibilisierung (Phishing-Test, kurzes Briefing)
    • Woche 3: Technische Quick-Wins (MFA aktivieren, Updates, Backups testen)
    • Woche 4: Dokumentation und Prozesse (Incident Response Plan, Notfallkontakte)

    Ziel: Bis Ende Oktober haben Sie eine deutlich verbesserte Security-Baseline – ohne monatelange Projekte.

    Wie Sie von der Security Awareness Toolbox profitieren

    Die komplette Lösung für nachhaltiges Security Awareness in Ihrem Unternehmen:

    Monatliche Informationen zu aktuellen Bedrohungen und Schutzmaßnahmen Interaktive Schulungsmodule für alle Mitarbeiter-Gruppen Phishing-Simulation Tools mit über 18 realistischen Beispielen Compliance-Dokumentation für DSGVO, ISO 27001 und Cyber-Versicherungen

    12-Monats-Lizenz: 1.990,00 EUR zzgl. MwSt.

    Mehr erfahren: www.security-awareness-toolbox.de

    Nächste Schritte

    1. Checklisten herunterladen und 2-Stunden-Security-Check durchführen
    2. Blog-Serie zur Ransomware-Attacke lesen und Lehren ziehen
    3. Oktober als Cybersecurity Awareness Month in Ihrem Unternehmen etablieren
    4. Security Awareness Toolbox für nachhaltiges Programm nutzen

    Ich hoffe, dass Ihnen diese Ausgabe von Security Awareness Insights wertvolle Impulse für Ihr Unternehmen liefert. Für Fragen und Anregungen stehe ich jederzeit gerne zur Verfügung.

    Wenn Sie regelmäßig praxisnahe Tipps für mehr Bewusstsein zu Datenschutz und Datensicherheit im Unternehmen erhalten möchten, abonnieren Sie am besten gleich die Security Awareness Insights.

    Mit sicheren Grüßen

    Werner Grohmann

    Newsletter-Archiv

    Ohne Bewusstsein keine Sicherheit

    Die Security Awareness Toolbox bietet Ihnen alles, was Sie für die Konzeption und Umsetzung eines nachhaltigen Security Awareness-Programms benötigen
    Mehr erfahren