Cyberangriffe kosten Unternehmen jedes Jahr Millionen, oft sind Standardfehler dafür verantwortlich. Hersteller liefern vernetzte Systeme oft unsicher aus, was Angreifern Tür und Tor öffnet. Secure by Default schützt bereits ab Werk – Unternehmen sparen sich dadurch Aufwand, Ärger und Kosten.
Cyberangriffe durch Sicherheitslücken und fehlerhafte Konfigurationen verursachten in den vergangenen Jahren massive Schäden. Nachträgliche Schutzmaßnahmen reichen längst nicht mehr aus. Die Regulierungsbehörden reagieren und verschärfen die Vorgaben: Systeme müssen von Anfang an geschützt sein – bevor Angreifer zuschlagen.
Entwickler müssen IT-Systeme heute von Grund auf sicher gestalten. Der Schutz gilt längst nicht mehr als lästiges Anhängsel, sondern als integraler Bestandteil der Entwicklung neuer Lösungen. Experten nennen diesen Ansatz Security by Design, der Schwachstellen bereits in der Entwicklungsphase verhindern soll.
Hersteller müssen neue Systeme von Anfang an sicher ausliefern. Die Systeme müssen also bereits in der Standardkonfiguration so viel Schutz bieten, dass Administratoren oder Benutzer selbst keine Maßnahmen mehr ergreifen müssen. Das bedeutet konkret:
Diese Maßnahmen reduzieren die Angriffsfläche erheblich. Zu den konkreten Positiv-Beispielen zählen Switches, die Managementzugriffe nur über verschlüsselte Protokolle erlauben, IoT-Geräte mit automatisch aktivierten Update-Funktionen oder auch standardmäßig verschlüsselte Buckets in der Cloud. Solche Konfigurationen schützen Firmen ohne zusätzlichen Administrationsaufwand.
Doch warum richten viele Hersteller ihre Produkte nicht von Anfang an sicher ein? Die Antwortet lautet: Oft wollen sie ihre Kunden nicht verschrecken. Systeme, die standardmäßig vieles blockieren oder externe Zugriffe einschränken, frustrieren Nutzer schnell. Anfragen an den Support nehmen zu, die Nutzer fühlen sich ausgebremst.
Die Folgen sind spürbar: Die Verkäufe brechen ein, wenn sich Kunden über Einschränkungen ärgern. Viele Hersteller liefern ihre Produkte deshalb „freizügig“ konfiguriert aus und setzen auf nachträgliche Absicherung durch die Anwender. Diese Strategie birgt allerdings erhebliche Risiken für die IT-Sicherheit.
Ein laxer Umgang mit Grundeinstellungen widerspricht zudem geltenden Vorgaben – die Datenschutz-Grundverordnung (DSGVO) schreibt einen „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ vor.
Seit Dezember 2025 gilt in Deutschland die NIS-2 Richtlinie. Betroffene Betriebe in wichtigen Sektoren wie Energie, Gesundheit und Wasser müssen sich unmittelbar bei den zuständigen Behörden registrieren. Anschließend beginnt die Umsetzung der vorgeschriebenen Sicherheitsmaßnahmen.
Dazu gehören Risikoanalysen, die Absicherung der Lieferketten, Security-Awareness-Trainings, Verschlüsselung und die Einrichtung der Multifaktor-Authentifizierung. Außerdem müssen Unternehmen ihr Netzwerk angemessen schützen.
Das bedeutet konkret: Sie teilen Netzwerke in getrennte Segmente auf, richten Zugriffskontrollen ein, schützen Remote-Zugänge, sperren nicht benötigte Ports und nutzen nur als sicher anerkannte Protokolle.
Der Cyber Resilience Act (CRA) geht noch einen Schritt weiter: Er legt ein „Mindestmaß an Cybersicherheit für alle vernetzten Produkte fest, die auf dem EU-Markt erhältlich sind“. Er betrifft alle in der EU verkauften Waren, die „digitale Elemente“ enthalten – und das sind sehr viele. Nur Open-Source-Lösungen ohne kommerziellen Fokus bleiben von den Regelungen ausgenommen.
Hersteller müssen neue Produkte einer Risikobewertung unterziehen und potenzielle Cybersicherheitsrisiken beheben, bevor diese die Marktreife erreichen. Außerdem müssen sie vernetzte Produkte sicher konfiguriert ausliefern. Das betrifft schwache Standardpasswörter, die nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) nicht mehr zum Einsatz kommen dürfen. Außerdem muss die automatische Installation von Security-Patches aktiviert sein.
Hersteller müssen zudem Schwachstellen offenlegen und an eine zentrale Meldeplattform berichten, die die europäische IT-Sicherheitsbehörde ENISA betreibt. Außerdem gilt es, Sicherheitsupdates über den gesamten Support-Zeitraum eines Produkts bereitzustellen – dieser beträgt laut BSI in der Regel fünf Jahre oder mehr.
Am Beispiel von Fernzugriffen zeigen wir, wie sich diese realisieren lassen, ohne die Angriffsfläche zu vergrößern. Eine besondere Rolle spielen dabei die folgenden Themen.
Virtual Private Networks verschlüsseln die Verbindungen mit Protokollen wie IPSec oder TLS, sensible Anwendungen schützt eine zusätzliche Ende-zu-Ende-Verschlüsselung auch innerhalb des VPNs. Unverschlüsselte Protokolle wie Telnet oder FTP sind tabu.
Als eine der besten Methoden für sichere Anmeldungen hat sich die Multi-Faktor-Authentifizierung (MFA) bewährt. Sie lässt sich zusätzlich mit zeitlich basierten Einmalcodes (TOTP) kombinieren. Sofern noch Passwörter zum Einsatz kommen, müssen sie bestimmte Mindeststandards einhalten – zum Beispiel mehr als zwölf Zeichen Länge, hohe Komplexität und keine Wiederverwendung.
Zugriffe dürfen nur auf Systeme und Daten erfolgen, die der Nutzer wirklich benötigt (Least Privilege), und zwar nur in gesicherten Zonen (Netzwerksegmentierung). Zentral erfasste und gespeicherte Protokolle aller Fernverbindungen ermöglichen später im Notfall eine schnellere Ursachensuche.
In den Logs sollten die Log-in- und Log-out-Zeiten, fehlgeschlagene Anmeldeversuche sowie Änderungen an Berechtigungen erfasst werden. Bei verdächtigen Aktivitäten wie einem Log-in zu ungewöhnlichen Zeiten oder von einem weit entfernten Standort aus löst das System einen Alarm aus.
Viel Augenmerk benötigen auch die Endgeräte, weshalb Unternehmen zum Beispiel nur selbstverwaltete Clients zulassen sollten. „Bring Your Own Device“ (BYOD) sollte – falls toleriert – nur mit geprüfter Endpoint Security, aktuellen Patch-Levels für Betriebssystem und Anwendungen, aktiviertem Malware-Schutz und Personal Firewalls zugelassen werden.
Secure by Default und sichere Remote-Zugänge bilden die Grundlage moderner Sicherheitsarchitekturen. Die beschriebenen Maßnahmen greifen am besten in einem ganzheitlichen Sicherheitskonzept, in dem moderne VPN-Lösungen die Anforderungen in der Praxis umsetzen.
Das könnte Sie auch interessieren:
Gemeinsam lachen, Zeit verbringen – und erfolgreich sein? Ein Blick hinter die Kulissen bei NCP
In unserem letzten Beitrag haben wir über unseren Onboarding-Prozess und die ersten Schritte neuer Teammitglieder bei uns gesprochen. Doch ein strukturierter Einstieg ist nur das Fundament. Entscheidend für langfristigen Erfolg ist vor allem die Zusammenarbeit im Team und das ...
NIS-2 ist in Kraft: Wie sieht die Umsetzung in der Praxis aus?
Seit Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland offiziell in Kraft und stellt rund 30.000 Unternehmen vor neue Herausforderungen in der IT-Sicherheit. Doch obwohl die NIS-2 Richtlinie klare Anforderungen formuliert, zeigt sich in der Praxis: Viele Unternehmen ...
Notfallplan: Wie IT-Verantwortliche einen Data Breach bewältigen
Data Breach meistern: Notfallplan aktivieren, Behörden informieren, Schäden begrenzen – ein 72-Stunden-Leitfaden für IT-Verantwortliche.
