95 % der Security-Verantwortlichen stehen unter Druck, schlechte Nachrichten zu unterdrücken
Ein neuer Bericht von Checkmarx mit dem Titel „The Future of Application Security in the Era of AI" zeigt, dass 95 % der CISOs unter Druck stehen, compliance-relevante Sicherheitsbefunde zu unterdrücken oder zu verzögern.
Der Druck kommt aus allen Richtungen: vom Board, aus PR, Produktentwicklung und Vertrieb sowie von C-Level-Führungskräften, die sich Sorgen um das Timing machen, nach dem klassischen Muster „nicht vor dem Earnings Call". Offen ausgesprochen wird das selten.
Sicherheitsbefunde werden als Hindernisse für Unternehmensziele dargestellt, nicht als Risikoinformation. Die zitierten Experten benennen eine konkrete Lösung: den CISO in die Unternehmensstrategie einzubinden und eine routinemäßige Offenlegung zur Normalität zu machen, bevor eine Krise eintritt, nicht erst während einer.
Quelle: Dark Reading · Checkmarx report, 15 Jun 2026
Meine Einschätzung
95 %. Lesen Sie diese Zahl noch einmal. Fast jede sicherheitsverantwortliche Person wurde bereits unter Druck gesetzt, zu schweigen, zu bremsen oder einen Befund abzumildern. Nicht von Bösewichtern. Vom Board, das eine Kennzahl schützt. Vom Vertrieb, der einen Deal schützt. Von der Kommunikationsabteilung, die einen Launch-Termin schützt.
Hier liegt die Falle. Der Druck wird fast nie schriftlich festgehalten. Niemand schreibt Ihnen eine E-Mail mit dem Inhalt „Decken Sie das zu." Sie spüren nur, wie die Stimmung im Raum eisig wird, sobald Sie das Thema ansprechen. Diese Abstreitbarkeit macht es gefährlich – und genau deshalb funktioniert es.
Die Antwort liegt nicht in Heldenrollen. Sie liegt darin, Offenlegung zur Routine zu machen. Normalisieren Sie sie, wenn nichts brennt, damit Ehrlichkeit bereits zur Gewohnheit geworden ist, wenn es dann doch brennt. Wenn Ihr Board von Security nur nach einem Vorfall hört, haben Sie die Auseinandersetzung schon Monate zuvor verloren.
86.000 Fortinet-Zugangsdaten, und niemand musste einbrechen
Eine Kampagne, die inzwischen als FortiBleed bekannt ist, hat eine verifizierte Datenbank mit mehr als 86.000 funktionierenden Anmeldedaten für internetexponierte Fortinet-Firewalls und VPNs in 194 Ländern erzeugt. Forscher Kevin Beaumont schätzt das auf etwa die Hälfte aller online exponierten Fortinet-Firewalls.
Viele der Passwörter wurden bei früheren Vorfällen gestohlen und nie geändert. Ein russischsprachiger Akteur knackt die SSL-VPN-Hashes und bewegt sich lateral in das interne Active Directory. Am 18.
Juni gab CISA eine Warnung heraus, in der Fortinet-Kunden aufgefordert werden, Zugangsdaten zurückzusetzen, Admin-Logins mit PBKDF2 zu speichern, Logs zu prüfen, phishing-resistente MFA zu aktivieren und den Management-Zugang abzusichern.
Quelle: SecurityWeek · CISA alert, 18 Jun 2026
Meine Einschätzung
Die Hälfte der ins Internet zeigenden Fortinet-Firewalls, mit funktionierenden Zugangsdaten, die in einer Datenbank liegen, die jemand zusammengestellt hat. Und ein Teil davon ist schlimmer als ein frischer Einbruch: Ein Teil dieser Passwörter wurde längst gestohlen und schlicht nie geändert.
Das ist die entscheidende Erkenntnis. Die Angreifer brechen nicht ein. Sie melden sich an. Gültige Zugangsdaten, Haupteingang, kein Exploit erforderlich.
Wenn Sie Fortinet-Edge-Geräte betreiben, hat CISA Ihnen die Wochendend-Liste geliefert: Sessions beenden, Zugangsdaten zurücksetzen, phishing-resistente MFA erzwingen, Management-Zugang absichern. Doch die eigentliche Lektion liegt noch weiter oben. Ein gestohlenes Passwort, das Sie nie rotieren, ist kein überstandener Vorfall. Es ist ein dauerhafter Schlüssel, für dessen Herstellung Sie weiter zahlen.
Ein vergessener GitHub-Token. Zwei Monate im Innern von Novo Nordisk.
Novo Nordisk, der dänische Hersteller von Ozempic, meldete am 11. Juni einen Sicherheitsvorfall. Der berichtete Eintrittspunkt war ein einziger hochprivilegierter GitHub-Access-Token, der in clientseitigem JavaScript auf einer unbekannten Subdomain exponiert war.
Von dort klonten die Angreifer private Repositories, ernteten weitere im Code enthaltene Zugangsdaten und drangen tiefer ein.
Die Gruppe, die den Angriff für sich beansprucht, gibt an, mehr als zwei Monate im System verbracht und über 700.000 Dateien, rund 1,3 TB, entnommen zu haben, darunter Quellcode, Arzneimitteldaten, interne KI-Modelle und Datensätze zu etwa 11.500 pseudonymisierten Studienteilnehmern.
Anschließend begann das Datenleck, nachdem ein Lösegeld von 25 Millionen Dollar nicht bezahlt wurde. Das Expertenurteil: Repos und CI/CD-Pipelines sind heute Produktivsysteme, Machine Credentials haben selten einen Verantwortlichen oder einen Rotationsplan, und der Wirkungsradius dieses einen Credentials war der gesamte Vorfall.
Quelle: Dark Reading · disclosed 11 Jun 2026
Meine Einschätzung
Ein einziger Token. In clientseitigem Code, auf einer Subdomain, die niemand im Blick hatte. Das war der gesamte Eintrittspfad. Zwei Monate im Innern eines der größten Pharmaunternehmen der Welt, und am Ende Quellcode, Arzneimitteldaten und Studienunterlagen außer Haus.
Dieselbe Geschichte wie FortiBleed, anderes Kostüm. Niemand hat einen Perimeter durchbrochen. Die Angreifer waren authentifiziert. Und die zusätzlichen Zugangsdaten, die sie für das weitere Vordringen benötigten, lagen einfach in den Repos und warteten.
Der unbequeme Teil für Sie: Sie haben mit hoher Wahrscheinlichkeit Hunderte von Machine Credentials, Tokens, Service Accounts, API-Keys, ohne Verantwortlichen, ohne Rotation, ohne Monitoring. Ihre Mitarbeitenden werden überwacht. Wer überwacht die Schlüssel? Behandeln Sie Repos und Pipelines als Produktivumgebung, denn für einen Angreifer sind die Code-Repos die Baupläne, kein Aktenschrank.
Man darf das Postfach eines ehemaligen Mitarbeitenden nicht behalten. Das musste ich diese Woche erklären.
Ich habe diese Woche ein ISO 27001-Audit für eine Zertifizierungsstelle durchgeführt. Das Unternehmen hält das Zertifikat seit Jahren und war aufrichtig überrascht, als es erfuhr, dass es die Postfächer ehemaliger Mitarbeitender nicht einfach weiter betreiben darf. Das ist nicht neu.
Anfang dieses Jahres verhängte die belgische Datenschutzbehörde gegen ein großes Technologieunternehmen eine Geldbuße von rund 176.000 Euro genau dafür: Ein ehemaliger Mitarbeiter stellte fest, dass sein Postfach sechs Monate nach seinem Austritt noch aktiv war. Die Haltung der Behörde ist eindeutig.
Sie können sich auf ein berechtigtes Interesse stützen, um ein Postfach für eine kurze Übergabe zu behalten, denken Sie an etwa einen Monat, danach muss es gelöscht werden. Und den Zugang zu sperren ist nicht dasselbe wie zu löschen. Gespeicherte Daten werden weiterhin verarbeitet.
Quelle: Baker McKenzie · Belgian DPA decision, May 2026
Meine Einschätzung
Dasselbe Thema wie bei den drei Punkten zuvor, diesmal aus der Compliance-Perspektive. Zugang und Daten, die längst hätten verschwinden sollen, sind noch vorhanden. Niemand hat etwas angegriffen. Die Exposition war bereits im Gebäude.
Zwei Fehler, die immer wieder gemacht werden. Erstens: Ein Konto zu sperren bedeutet nicht, es zu löschen. Ein Postfach, das Sie nicht mehr öffnen können, wird weiterhin gespeichert, und Speicherung ist unter GDPR weiterhin Verarbeitung. Die Behörde hat das klar formuliert.
Zweitens: Dieses Postfach enthält nicht nur die Daten der ehemaligen Person. Es ist voll mit Daten aller, die jemals an diese Person geschrieben haben. Der Wirkungsradius geht erneut über eine einzelne Person hinaus.
Und hier kommt der Teil, der wehtun sollte: Dieses Unternehmen war zertifiziert. Seit Jahren. Und hat es trotzdem falsch gemacht. Ein Framework zeigt Ihnen, wie gut aussieht. Es erledigt Ihr Offboarding nicht für Sie. Überprüfen Sie also ehrlich: Wenn jemand das Unternehmen verlässt, was passiert tatsächlich mit seinem Postfach, und wer bestätigt, dass es gelöscht wurde?
Mein neues PECB-Webinar ist live: den Decision Gap schließen
Zum Thema Entscheidungen unter Druck: Mein Webinar für PECB ist jetzt online.
Es trägt den Titel „Closing the Decision Gap: How Risk-Informed Decisions Build Digital Trust." Es geht um die Lücke zwischen dem Wissen um Risiken und dem tatsächlichen Handeln, und darum, warum fundierte Risikoentscheidungen das sind, was Vertrauen aufbaut – innerhalb der Organisation und gegenüber den Menschen, denen Sie dienen.
Wenn Sie der rote Faden dieser ganzen Ausgabe angesprochen hat, ist dies die strategische Variante desselben Gesprächs.
Quelle: Watch on YouTube · PECB webinar
Meine Einschätzung
Blicken Sie auf die vier Punkte oben zurück. Jeder davon ist im Kern eine Entscheidung, die niemand rechtzeitig getroffen hat. Den Schlüssel rotieren. Das Postfach löschen. Die schwierige Botschaft ans Board richten. Risk Management lebt oder stirbt in diesem Raum zwischen Wissen und Handeln.
Genau um diesen Raum geht es im gesamten Vortrag. Wenn Sie derjenige sind, der diese Entscheidungen treffen oder gegenüber Menschen vertreten muss, die sie lieber nicht hören wollen, schauen Sie ihn sich an. Und sagen Sie mir dann, ob ich falsch liege.