Die fehlende Verbindung in Ihrer Cybersicherheitsstrategie

Sabine: Hallo und herzlich willkommen zu unserem heutigen Webinar “Die fehlende Verbindung in Ihrer Cybersicherheitssicherheitsstrategie”. Mein Name ist Sabine Bieringer und ich bin Ihr Moderator. Heute sind bei uns Nina Hrichak und Pourya Vatankhah zu Gast. Nina Hritchak ist der Vice President bei CSC und ist verantwortlich für das europäische Account Management Team. Sie fungiert als Executive Leader für die DACH/IT Region und Italien. Mit mehr als 15 Jahren Industrieerfahrung ist sie bekannt dafür, Ihre Expertise im Bezug auf globale Geschäftsstrategien, Stake-Holder-Management und der strategischen Führung leistungsstarke Teams im innovativen Umfeld.

Purya Vatankhah ist der Leiter der Dachregion für Buisness Develepoment und Consulting bei CSC mit Hauptsitz in Frankfurt. Mit fast einem Jahrzent Erfahrung im Bereich Digitales Branding und Cybersicherheit und Domainschutz, führt er strategische Initiativen, die globale Unternehmen dabei unterstützen, ihre digitalen Vermögenswerte zu sichern und ihre Online-Präsenz zu optimieren. In seiner Funktion verantwortet Pourya das Geschäftswachstum, sowie die technische Beratung in Deutschland, Österreich und der Schweiz. Sein Schwerpunkt liegt auf Domainsicherheit, DNS-Infrastruktur, Markenschutz und der Bekämpfung digitaler Betrugsformen. Und damit heißen wir herzlich willkommen: Pourya und Nina.

Pourya: Hallo Sabine und hallo Nina. Schönen Dank, dass du heute Zeit hast für unser Gespräch über den aktuellen CISO Outlook Report 2025. Ich denke, gerade für unsere Zielgruppe aus CISO und meinen Teammanagern ist das Thema „Domainsecurity“ und die Rolle von künstlicher Intelligenz ganz zentral.

Nina: Danke Pourya und auch noch einmal herzlich willkommen an unsere Zuschauer von meiner Seite. Ich sehe das ganz genauso. Es zeigt sich immer wieder, dass wirklich viele Unternehmen, Domainnamen immer noch viel zu sehr unter „Trademarks“ einordnen und nicht als das sehen, was es eigentlich ist: Eine ganz wichtige Sicherheitskomponente für mein Unternehmen.

Pourya: Ja und du hattest auch im Report sehr treffend formuliert, Nina, es ist vergleichsweise günstig Domains zu registrieren. Es gibt in vielen Ländern kaum Vorschriften. Das macht Domainsecurtiy umso wichtiger. Nicht nur in den Kernmärkten, sondern vor allem auch bei den Typosquatting-Domainnamen.

Nina: Ja, das ist ein ganz gravierender Punkt, weil es so scheint, als ob Unternehmen auch das Sicherheitsrisiko unterschätzen, weil der Aufwand bei Domains im Vergleich sehr gering erscheint.

Pourya: Das ist leider so und oft fehlt die Transparenz darüber, wie die digitale Infrastruktur gemanaged wird und wer genau (inaudible 02:41:00), Nina. Wenn das nicht auf der Security-Seite liegt, kann sehr schnell etwas übersehen werden. Sehr gute Beispiele sind Registery-Log oder Multi-Log, die eine einfache und kosteneffektive Schutzmaßnahme darstellen im Cybersecurity-Space.

Nina: Ja und für den CISO Security Report haben wir übrigens 300 CISOs befragt und interessanterweise gehen ganze 98 Prozent davon aus, dass Bedrohungsfaktoren weiterhin zunehmen werden. Die CISOS, die wir befragt haben, haben außerdem bestätigt, dass domainbasierte Bedrohungen im Jahr 2024 den ersten und zweiten Platz unter den drei größten Bedrohungsfaktoren einnehmen. Auf der anderen Seite hingegen, glauben nur 22 Prozent, dass sie intern über die richtigen Tools verfügen, um diesen Risiken auch wirksam entgegentreten zu können. Das bringt mich jetzt zu dem Punkt, den viele Unternehmen noch nicht ausreichen adressieren. Das Thema des „Two-Compliance“. Es wurde in unserer Umfrage als die größte Herausforderung genannt. Gerade, wegen der komplexen und teils sehr unstetigen Umsetzung in der EU.

Pourya: Ja und das bestätigt auch die Zahl, dass nur neun Prozent der Unternehmer vollständig nicht zu konform sind. Viele haben Schwierigkeiten, externe Partner in die Compliance miteinzubinden und verstehen auch die Anforderungen nicht. Das in der Tat, Nina.

Nina: Ja, die Parallele zu GDPA ist hier ganz klar. Alle wissen, dass sie handeln müssen, aber viele wissen nicht genau, wo sie anfangen sollen, und das macht die Arbeit für CISOS natürlich nicht leichter.

Pourya: Definitiv und in der aktuellen Bedrohungslage, die sich durch die künstliche Intelligenz weiter verschärft, brauchen sie eine Strategie, die sowohl technologische als auch organisatorische Aspekte benutzt.

Nina: Und apropros KI: Unser Bericht zeigt, dass dies einerseits hilft, Bedrohungen besser zu erkenne, aber auch der anderen Seite auch neue Angriffsformen ermöglicht. Also, es ist ein zweiseitiges Schwert. Was bedeutet das denn, deiner Meinung nach, für die praktische Umsetzung bei Unternehmen?

Pourya: Es heißt vor allem, dass Monitoring oder (inaudible 04:50:00) heute unerlässlich sind. Gerade im Bereich der Domains. Neue Domains werden ständig registriert, oft als Reaktion auf Productlaunches oder Nachrichten und ein plötzlicher Anstieg kann auf einen potenziellen Angriff oder Markenrechtsverletzung hinweisen.

Nina: Es ist also fast unmöglich, als firmeninternes Team den Überblick zu behalten?

Pourya: Richtig. Hier leisten erfahrene Partner, wie ich sehe, einen echten Mehrwert, indem sie automatisiertes Monitoring und menschliche Expertise kombinieren. Nur so können Unternehmen schnell reagieren und entscheiden, ob sie eine Domain defensiv registrieren oder eine (inaudible 05:30:00)-Maßnahme starten.

Nina: Da sbring tmich jetzt zu einer Frage, die uns sehr oft von CISOS gestellt wird: Wie finde ich den richtigen Partner für den richtigen Bereich der Domainsecurity ohne meinen Bereich der Domainsecurity, ohne meine Organisation mit viel zu vielen verschiedenen Dienstleistern zu verbinden?

Pourya: Ganz wichtig ist hier ein zentraler Ansprechpartner, Nina. Ein Partner, der die Strategie eng mit der Domaine absteckt. Zu viele unterschiedliche Anbieter erhöhen das Risiko und verlangsamen die Reaktionen im Ernstfall.

Nina: Das sehe ich ganz genauso und das passt gut zu dem Punkt, dass die Themen „Domain- und DNS-Sicherheit“ Hand in Hand gehen müssen. Ein isoliertes Monitoring bringt mir wenig, wenn ich parallel nicht auch global durchsetzen kann, dass Bedrohungen ganz schnell aus dem Netz entfernt werden.

Pourya: Genau. Ohne eine globale Durchsetzungmechanik bleibt man im Prinzip nur bei den Informationsbeschaffungsstellen. Das ist wie ein Rauchmelder, der zwar Alarm schlägt, aber niemanden alarmiert.

Nina: Ja und neben der Technologiethematik ist aber auch das Thema Governance ganz zentral und unser Bericht betont es auch, wie wichtig es ist, dass nicht nur das interne Team, sondern auch meine Partner und Lieferanten immer auf dem gleichen, auf dem neusten Stand sind.

Pourya: Genau. Du brauchst nur einer Person, die auf den falschen Link klickt oder einen Partner, der nachlässig wird, und das kann ein Riesenproblem verursachen.

Nina: Wie sehen denn, deiner Meinung nach, in der Praxis, CISOS die Budget-Thematik? Es gibt Berichte, dass Security-budgets bei Firmen auf Moderat steigen, obwohl die Bedrohungslage auf der anderen Seite immer ernster wird.

Pourya: Sehr einfach, Nina. Das ist ein Zeichen, dass das Thema in manchen Vorstandsetagen nicht genügend Priorität hat. Der Zusammenhang zwischen Domains und Cyberrisiken wird oft unterschätzt. Dabei ist der Schutz digitaler Vermögenswerte kostengünstig und effektiv.

Nina: Ich merk ein meinen Gesprächen unter anderem auch, dass Viele den Aspekt übersehen, dass Domains nicht nur für den Schutz der Marke wichtig sind, sondern auch auf ganz viele verschiedene andere Aspekte direkten Einfluss haben, z.B. meinen Vertrieb, meine Kundenbindung, Kommunikation, Marketing, und so weiter.

Pourya: Stimme ich dir zu. Wenn eine Domain komprimiert wäre, kann das zu Betrug und massiven Reparationsverlusten kommen, Nina. Da ist eine mehrschichtige Sicherheitsstrategie unverzichtbar.

Nina: Und noch ein Thema, was Einige beschäftigt und was ich gerne kurz anschneiden möchte. Das haben wir in dem Bericht auch kurz angesprochen, ist aber immer noch ein Thema, was in vielen Unternehmen noch nicht so wirklich angekommen ist. Und zwar der Brand, also meine eigene Marken-Top-Level-Domain, wie zum Beispiel Dot-zaxo, Dot-axa oder Dot-bakles.

Pourya: Ja und das ist ein wichtiger Punkt. Eine Dot-Brand ist im Grunde eine komplette geschlossene Umgebung. Keine dritte Partei kann Domains unter dieser Endung resistieren. Das heißt, kein Cybersquatting, keine Typosquatting, eine deutlich geringere Angriffsfläche, um maximale Kontrolle über alle registrierten Domains zu kriegen.

Nina: Das passt auch hervorragend in die aktuellen regulatorischen Entwicklungen unter NIS2 und auch den kommenden KI-Guidelines wird das Governance immer größer und essenzieller bewertet und eine Dot-Brand kann hier auch, aufgrund der Struktur und Kontrolle über meinen eigene Bereich, von Vorteil sein, weile s ganz klar Zuständigkeiten schafft und Missbrauch praktisch ausschließt.

Pourya: Ganz genau. Viele unserer Gespräche mit CISOS zeigen auch, dass Dot-Brands zunehmend aus strategischen Bestandteilen Domainsecurity gesehen werden. Nicht nur aus Marketingaspekten.

Nina: Wie sieht es denn mit der Veränderung ein der digitalen Zertifikats-Branche aus, die erneut die konstanten Veränderungen, die Dynamik im Domain-Ökosystem zeigen?

Pourya: Gute Frage, Nina. Die digitale Zertifikate-Branche hat sich in den vergangen acht Jahren verändert. Heute sehen wir eine deutliche Verkürzung der Lebensdauer von Zertifikaten, so wie (inaudible 09:34:00) veränderten Workflows vor deren Ausstellung. Damit Unternehmen künftig abgesichert sind, sollten sie auch in Zukunft sichere Lösungen setzen, die das LifeCycle (inaudible 09:46:00) von ihren Zertifikaten vollständig automatisieren kann. CSC hat diese Schritte dieses Jahr unternommen. Wir haben unser Domain-Control-Validation-Of-Service eingeführt, um Unternehmen genau bei diesen Veränderungen zu unterstützen. Ein weiteres Beispiel dafür, welche Art von Partnerschaften man von einem Anbieter benötigt, um diese Herausforderungen erfolgreich zu meistern.

Nina: Und was empfiehlst du CISOS, die sich gerade genau mit diesen Themen beschäftigen und vielleicht gerade erst das Domainsecurity-Thema in ihrem Unternehmen aufbauen, also eher am Anfang stehen?

Pourya: Ich würde raten, sich zuerst einen Überblick über das gesamte digitale Vermögensportfolio zu schaffen, inklusive Domains, Subdomains, DNS-Anträge, digitale Zertifikate. Dann gilt es, (inaudible 10:34:00), basierend auf der Risikobewertung zu setzen und die eigenen Schutzmaßnahmen zu implementieren. Von Registrierung bis Monitoring und Durchsetzung, Nina.

Nina: Ist das dann, deiner Meinung nach, der ideale Zeitpunkt, auch externe Experten hinzuzuziehen, die mit den neusten Trends und Tools vertraut sind?

Pourya: Absolut. Gerade bei schnellen Veränderungen, das Domain-Ecosystem, wie auch durch die künstliche Intelligenz neue Angriffsmethoden entstehen, hilft ein Partner, der den Finger am Puls der Zeit hat, sehr weit.

Nina: Ich habe noch eine Frage an dich. Wie siehst denn du die Entwicklung von Compliance in den verschiedenen Richtlinien in den kommenden Jahren? Es war schon viel Dynamik. Wie siehst du das in den kommenden Jahren und glaubst du, dass das Thema „Domainsecurity“ auch stärker in den Fokus rücken wird?

Pourya: Die Regulierungen werden immer strenger und umfassender. Nichts ist weiß, nur der Anfang. Auch Künstliche-Intelligenz-Compliance-Richtlinien kommen dazu. Unternehmen müssen Governance-Strukturen anpassen, um weiterhin compliant zu bleiben.

Nina: Es wird also immer wichtiger, dass CISOS nicht nur Technologien im Blick haben, sondern auch die einzelnen Teams innerhalb der eigenen Organisation und natürlich auch die Partner.

Pourya: Ja und das ist die größte Herausforderung für CISOS. Um ein gemeinsames Verständnis über Risiken und Verantwortlichkeit aufzubauen, braucht es Zeit und Kommunikation.

Nina: Noch eine Frage zum Abschluss: Was würdest du empfehlen, wo Unternehmen am besten starten können, wenn sie das Thema „Domainsecurity“ effektiv angehen wollen?

Pourya: Ich würde empfehlen, einen umfassenden Check ihrer Domain-Portfolio zu machen und die dazugehörige DNS-Infrastruktur durchzuführen. Am besten mit einer Lösung, die Monitoring schützt und Durchsetzung integriert hat. Dann gilt es, Prozesse zu definieren, die sicherstellen, dass Veränderungen oder Risiken zeitnah erkannt und adressiert werden.