Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Cloud Compliance und Tools - CASB, WAF, Zero Trust Überblick
Informationssicherheit

Cloud Compliance und Tools: CASB, WAF, Zero Trust im Überblick

ISO 27001, BSI C5 und NIS2 in der Cloud umsetzen - mit CASB, WAF-Deployment, Zero Trust und einem Tool-Vergleich für den Mittelstand.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
13 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

Cloud-Compliance bedeutet mehr als DSGVO-Häkchen: ISO 27001, BSI C5 und NIS2 stellen spezifische Anforderungen an Cloud-Umgebungen, die technisch mit CASB, WAF und Zero-Trust-Architektur umgesetzt werden. Ein CASB schließt die Sichtbarkeitslücke gegenüber Shadow IT - Mitarbeiter nutzen durchschnittlich 80 bis 100 Cloud-Dienste, IT-Abteilungen kennen oft weniger als 20. Eine WAF schützt als Defense-in-Depth-Layer gegen OWASP-Top-10-Angriffe, muss aber zunächst im Detection-Modus betrieben und sorgfältig auf False Positives getuned werden. Dieser Artikel erklärt alle vier Themen mit konkreten Deployment-Empfehlungen und einem Tool-Vergleich.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (8 Abschnitte)

Cloud-Compliance ist kein einmaliges Projekt - sie ist ein dauerhafter Prozess, der technische Werkzeuge, organisatorische Maßnahmen und regulatorisches Wissen verbindet. Unternehmen, die Cloud-Dienste im Unternehmenskontext einsetzen, sehen sich mit einer Reihe von Anforderungen konfrontiert: der europäischen Datenschutz-Grundverordnung, dem BSI Cloud Computing Compliance Criteria Catalogue (C5), der ISO 27001 sowie der NIS2-Richtlinie für Betreiber wesentlicher und wichtiger Einrichtungen.

Dieser Artikel behandelt, welche Compliance-Anforderungen in der Cloud gelten, wie CASB-Lösungen Shadow-IT und Datenverlust kontrollieren, wie WAFs als Defense-in-Depth-Schicht eingesetzt werden, was Zero Trust in der Cloud bedeutet und wie ein Implementierungsleitfaden aussieht.

Die grundlegenden Cloud-Sicherheitsmaßnahmen - MFA, Zugriffsrechte, Backup, Incident Response - behandelt unser Schwesterartikel Cloud Security: Der vollständige Leitfaden für Unternehmen.

Compliance-Anforderungen für Cloud-Umgebungen

ISO 27001 in der Cloud

ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Er definiert Anforderungen, keine Technologien - das bedeutet, dass Cloud-Umgebungen in einen ISO-27001-konformen Betrieb integriert werden können, wenn die entsprechenden Kontrollen (Annex A, Controls 5 bis 8) auf die Cloud-Nutzung angewendet werden.

Konkret relevant für Cloud-Umgebungen sind insbesondere:

  • A.5.23 (Information security for use of cloud services): Explizit neu in ISO 27001:2022 - fordert eine definierte Richtlinie für die Cloud-Nutzung, Klassifizierung von Cloud-Diensten und Festlegung der Verantwortlichkeiten
  • A.8.10 (Information deletion): Können Daten aus Cloud-Diensten DSGVO-konform und vollständig gelöscht werden?
  • A.5.19-A.5.22 (Supplier relationships): Cloud-Anbieter als Auftragsverarbeiter oder Lieferant - mit regelmäßigen Überprüfungen
  • A.8.20-A.8.25 (Network security, cryptography): Verschlüsselung im Transit und im Ruhezustand, sichere Konfiguration von Cloud-Netzwerken

Ein Cloud-Anbieter kann selbst ISO-27001-zertifiziert sein - aber das entbindet den Kunden nicht von der Pflicht, die eigene Cloud-Nutzung sicher zu gestalten. Zuständigkeiten aus dem Shared Responsibility Model müssen im ISMS dokumentiert sein.

BSI C5 - Cloud Computing Compliance Criteria Catalogue

Der BSI C5 ist ein deutsches Prüfschema für Cloud-Dienste, das 2016 vom Bundesamt für Sicherheit in der Informationstechnik veröffentlicht wurde. Er basiert auf anerkannten Standards (ISO 27001, SOC 2, CSA CCM) und enthält 17 Themengebiete mit 55 grundlegenden und 58 zusätzlichen Anforderungen.

Für Unternehmen, die Cloud-Dienste von BSI-C5-zertifizierten Anbietern nutzen, ergibt sich ein Vorteil: Viele Anforderungen aus der eigenen Compliance (insbesondere im öffentlichen Sektor) gelten als erfüllt, wenn der Anbieter ein aktuelles C5-Testat vorlegen kann. Wichtige BSI-C5-zertifizierte Anbieter sind AWS, Azure, Google Cloud und diverse deutsche Cloud-Anbieter.

Für die eigene Nutzung bleibt die Pflicht zur Konfigurationssicherheit, zur Durchführung regelmäßiger Audits und zur Dokumentation der Cloud-Nutzung beim Kunden.

NIS2 und Cloud-Dienste

Die NIS2-Richtlinie (Network and Information Security Directive 2) gilt seit Oktober 2024 für Betreiber wesentlicher und wichtiger Einrichtungen in der EU. Sie verpflichtet diese Organisationen zu:

  • Risikomanagement: Cloud-Dienste müssen in die Risikoanalyse einbezogen werden
  • Sicherheitsmaßnahmen: Verschlüsselung, Zugriffskontrolle, Schwachstellenmanagement - auch für Cloud-Umgebungen
  • Incident Reporting: Sicherheitsvorfälle, die Cloud-Dienste betreffen, müssen innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (detaillierter Bericht) gemeldet werden
  • Lieferkettensicherheit: Cloud-Anbieter gelten als Teil der Lieferkette und müssen auf ihre Sicherheitspraktiken geprüft werden

Betroffen sind u. a. Unternehmen aus den Sektoren Energie, Wasser, digitale Infrastruktur, Gesundheitswesen, Finanzdienstleistungen, öffentliche Verwaltung und Transport - ab einer Größe von 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz.

DSGVO und Cloud: Was wirklich zählt

Datenschutz-Grundverordnung und Cloud-Nutzung sind keine Gegensätze - aber die DSGVO stellt klare Anforderungen an die Verarbeitung personenbezogener Daten in der Cloud:

  • Auftragsverarbeitungsvertrag (AVV): Jeder Cloud-Anbieter, der personenbezogene Daten verarbeitet, muss als Auftragsverarbeiter eingetragen und ein gültiger AVV muss vorhanden sein
  • Datenresidenz: In welchem Land werden Daten physisch gespeichert? Transfers in Drittländer erfordern geeignete Garantien (Standard Contractual Clauses, Adequacy Decision)
  • Löschkonzept: Können personenbezogene Daten auf Anfrage vollständig und nachweislich aus allen Cloud-Systemen gelöscht werden?
  • Verarbeitungsverzeichnis: Alle Cloud-Dienste, in denen personenbezogene Daten verarbeitet werden, müssen im Verarbeitungsverzeichnis nach Art. 30 DSGVO erfasst sein

CASB - Cloud Access Security Broker erklärt

Was ein CASB leistet

Mitarbeiter nutzen im Durchschnitt 80 bis 100 Cloud-Dienste - IT-Abteilungen kennen oft weniger als 20 davon. Shadow-IT, Datenverlust durch falsch konfigurierte Cloud-Freigaben, Compliance-Verstöße durch unbekannte SaaS-Tools: Cloud Access Security Broker wurden genau für dieses Problem entwickelt.

Ein CASB positioniert sich zwischen Cloud-Nutzern und Cloud-Diensten und übernimmt vier Kernfunktionen (nach Gartner 4 Pillars):

1. Visibility (Shadow-IT-Discovery): Welche Cloud-Dienste werden von Mitarbeitern genutzt? Ein Cloud-App-Inventar mit Risikobewertung macht unkontrollierten Datentransfer in unbekannte Anwendungen sichtbar.

2. Data Security (DLP): Sensible Daten in der Cloud erkennen - Personenbezogene Informationen, Kreditkartennummern, geistiges Eigentum. Data-Loss-Prevention-Richtlinien durchsetzen und Verschlüsselung für Cloud-Daten erzwingen.

3. Threat Protection: Anomalie-Erkennung (Impossible Travel, Massen-Download), Malware-Scanning in Cloud-Storage, Erkennung kompromittierter Accounts.

4. Compliance: Cloud-Konfigurationen gegen Richtlinien prüfen, DSGVO und weitere Standards in Cloud-Umgebungen durchsetzen, Audit-Trails für Compliance-Nachweise erstellen.

CASB-Deployment-Modelle im Vergleich

ModellFunktionsprinzipIdeal für
API-basiertDirekte API-Integration mit Cloud-Provider (Microsoft 365, Google Workspace, Salesforce)DLP in genehmigten SaaS-Apps, kein Proxy-Overhead
Forward-ProxyClient-Traffic läuft über CASB-Proxy zum InternetShadow-IT-Kontrolle, granulare App-Steuerung, Echtzeit-Enforcement
Reverse-ProxyAuthentifizierung leitet zur CASB-Proxy-Schicht um (agentless)Externe Nutzer, Partner, BYOD-Szenarien

In der Enterprise-Praxis werden diese Modelle kombiniert: API-CASB für genehmigte SaaS-Dienste, Forward-Proxy für allgemeinen Web-Traffic (Shadow-IT-Erkennung), Integration in eine SASE-Plattform für globale Skalierung.

Führende CASB-Lösungen

Microsoft Defender for Cloud Apps (MDCA) ist die erste Wahl für Unternehmen, die bereits Microsoft 365 einsetzen. MDCA bietet tiefe Integration in Microsoft 365 und Entra ID, API-Connectoren für über 100 bekannte Cloud-Apps, Shadow-IT-Discovery über Microsoft Defender for Endpoint ohne eigenen Proxy und Conditional-Access-App-Control für Browser-Sessions. Die Kosten liegen bei ca. 3,50 EUR/Nutzer/Monat oder sind in Microsoft 365 E5 enthalten.

Netskope Security Cloud zeichnet sich durch Instance-Level-Kontrolle aus: Während normale CASB-Lösungen nur zwischen “Google Drive erlaubt” und “Google Drive blockiert” unterscheiden, ermöglicht Netskope die Differenzierung zwischen unternehmenseigenem Google Drive (erlaubt) und privatem Google Drive (Upload blockiert). Der Katalog umfasst über 40.000 bewertete Apps. Die Kosten liegen ab ca. 15 EUR/Nutzer/Monat.

Zscaler Internet Access (ZIA) ist nahtlos in die Zscaler-SASE-Plattform integriert und bietet sehr geringe Latenz durch über 150 Points of Presence weltweit. Ideal für Unternehmen, die bereits Zscaler für Zero Trust Network Access nutzen.

Shadow-IT-Governance-Prozess

Nicht jede entdeckte App sollte sofort blockiert werden. Oft steckt ein unerfülltes Geschäftsbedürfnis hinter der Nutzung nicht autorisierter Dienste - und das Blockieren ohne Alternative führt zu Umgehungsmaßnahmen über private Geräte oder USB-Sticks. Ein strukturierter Governance-Prozess umfasst:

  1. Discovery: Monatliche Analyse neuer Cloud-Apps (über Firewall-Logs oder CASB)
  2. Risikobewertung: Jede App erhält einen Score (0-10) anhand von Verschlüsselung, Zertifizierungen, DSGVO-Konformität, Penetrationstest-Nachweisen
  3. Entscheidung: Sanktionieren, vorläufig dulden mit Auflagen oder blockieren
  4. Kommunikation: Nutzer über Status informieren und ggf. autorisierte Alternative anbieten
  5. Enforcement: Nicht sanktionierte Apps via Firewall/Proxy blockieren

WAF im Cloud-Kontext

Warum eine WAF in der Cloud notwendig ist

Eine Web Application Firewall ist als Defense-in-Depth-Layer unverzichtbar - aber kein Allheilmittel. Sie schützt gegen OWASP-Top-10-Angriffe wie SQL Injection, Cross-Site-Scripting und Command Injection, gegen HTTP-spezifische Angriffe, Brute-Force-Versuche, Bot-Traffic und Layer-7-DDoS. Sie schützt nicht gegen Anwendungslogik-Fehler, Authentifizierungsprobleme oder Insider-Bedrohungen.

AWS WAF, Azure WAF und Cloudflare im Vergleich

AWS WAF bindet über WebACLs an CloudFront (CDN-Edge, empfohlen für globalen Schutz) oder Application Load Balancer. Das AWSManagedRulesCommonRuleSet schützt gegen OWASP Top 10 mit über 700 Regeln. Rate-Based Rules blockieren automatisch ab einer konfigurierbaren Anfragezahl je IP und Zeitfenster. Der Account-Takeover-Protection-Regelset erkennt Credential-Stuffing-Angriffe auf Login-Endpunkte.

Azure WAF bietet zwei Deployment-Optionen: Application Gateway WAF v2 für regionales Deployment mit OWASP 3.2 Managed Ruleset, und Azure Front Door WAF (Premium) für globales Edge-Deployment mit Microsoft-Managed-Rules DRS 2.1 und globalem Bot-Schutz. Für global erreichbare Anwendungen ist Front Door WAF die bevorzugte Option.

Cloudflare WAF punktet mit über 300 Edge-Standorten, Anycast-Architektur für DDoS-Absorption und einem besonders einfachen Setup ohne eigene Infrastruktur. Der Challenge-Modus (CAPTCHA oder JavaScript-Challenge) bietet einen Mittelweg zwischen vollständigem Blockieren und Durchlassen verdächtiger Requests - legitime Nutzer werden nicht geblockt, Bots werden abgefangen. Cloudflare Workers ermöglichen darüber hinaus erweiterte WAF-Logik am Edge, z. B. Geolocation-Blocking oder JWT-Validierung.

False-Positive-Tuning: Der entscheidende Schritt

Alle drei Anbieter empfehlen dasselbe Vorgehen: WAF zunächst im Detection-Modus betreiben (mindestens zwei Wochen), alle Events sammeln, echte Angriffe von False Positives unterscheiden, Ausnahmen für legitime Use-Cases definieren (z. B. Rich-Text-Editoren, die HTML-Content übermitteln), und erst dann den Prevention-Modus aktivieren - schrittweise, mit Monitoring der Conversion-Rate als Indikator für geblockte legitime Nutzer.

Eine False-Positive-Rate von unter 0,1 % legitimer Traffic gilt als angemessenes Ziel. Die WAF-Latenz sollte unter 5 ms zusätzlicher Verzögerung liegen.

Zero Trust in der Cloud

Das Zero-Trust-Konzept

Zero Trust basiert auf dem Grundsatz “Never trust, always verify”. Im Gegensatz zu traditionellen Netzwerk-Sicherheitsmodellen, die Vertrauen auf Basis des Standorts im Netzwerk vergeben (wer im internen Netzwerk ist, gilt als vertrauenswürdig), überprüft Zero Trust jede Anfrage - unabhängig davon, ob sie aus dem internen Netzwerk, einem VPN oder direkt aus dem Internet kommt.

Zero Trust im Cloud-Kontext umsetzen

In Cloud-Umgebungen bedeutet Zero Trust konkret:

Identität als neuer Perimeter: Statt Netzwerkgrenzen entscheidet die Identität des Nutzers und des Geräts über Zugang. MFA, Conditional Access und Privileged Identity Management sind die technischen Bausteine.

Least Privilege konsequent umsetzen: Keine dauerhaften Admin-Rechte, IAM-Rollen statt permanente IAM-Nutzer, zeitlich begrenzte Zugriffsberechtigungen (Just-in-Time-Access).

Mikrosegmentierung: Cloud-Workloads werden nicht durch einen gemeinsamen Perimeter geschützt, sondern durch individuelle Netzwerkregeln auf Workload-Ebene. Anwendungen kommunizieren nur mit den Diensten, die sie benötigen.

Kontinuierliche Verifizierung: Vertrauen wird nicht einmalig vergeben, sondern bei jedem Zugriff neu evaluiert - basierend auf Nutzer, Gerät, Standort, Uhrzeit und risikobezogenen Signalen.

Gerätekomplianz als Zugangsbedingung: Nur verwaltete, konfigurationsgeprüfte Geräte erhalten Zugang zu Cloud-Ressourcen. Unverwaltete oder private Geräte werden in sichere, eingeschränkte Bereiche geleitet.

SASE - Zero Trust plus Cloud-Delivery

Secure Access Service Edge (SASE) kombiniert Netzwerk- und Sicherheitsfunktionen in einer Cloud-basierten Plattform: SD-WAN, Zero Trust Network Access (ZTNA), Secure Web Gateway (SWG), CASB und Firewall as a Service (FWaaS). Der Vorteil gegenüber separaten Tools: eine einheitliche Policy-Engine, keine On-Premises-Proxies, konsistente User Experience für Remote-Arbeit, Büro und mobile Nutzung.

Führende SASE-Anbieter mit integriertem CASB sind Netskope Security Cloud, Zscaler Internet Access, Palo Alto Prisma Access und Microsoft Entra mit Defender for Cloud Apps.

Tool-Vergleich: Was für welches Unternehmen?

Die richtige Tool-Auswahl hängt von der bestehenden Infrastruktur, dem Schutzbedarf und dem verfügbaren Budget ab. Die folgende Übersicht gibt eine erste Orientierung.

SchutzzielEmpfehlung KMU mit M365Empfehlung Enterprise
Shadow-IT-KontrolleMicrosoft Defender for Cloud AppsNetskope oder MDCA
WAFCloudflare (einfachstes Setup)AWS WAF oder Azure Front Door WAF
Zero Trust AccessEntra ID Conditional AccessZscaler ZTNA oder Palo Alto Prisma Access
Cloud-SicherheitspostureMicrosoft Defender for CloudPrisma Cloud (CNAPP)
Container-SchutzAzure Defender for ContainersAqua Security oder Sysdig
SIEM/LoggingMicrosoft SentinelSplunk oder IBM QRadar

Wichtig: Für Microsoft-365-Umgebungen ist Microsoft Defender for Cloud Apps die kostengünstigste Option mit der tiefsten Integration. Für Unternehmen, die stark auf AWS oder Multi-Cloud setzen, lohnt sich die Investition in plattformunabhängige Tools wie Netskope oder Zscaler.

Implementierungsleitfaden: Von Null zu Cloud Compliance

Phase 1: Sichtbarkeit herstellen (Monat 1-3)

Bevor Maßnahmen ergriffen werden, muss Klarheit über den Status quo bestehen:

  • Firewall-Logs oder Endpoint-Agent-Daten in ein CASB-Tool einbinden
  • Shadow-IT-Inventar erstellen und alle Cloud-Apps identifizieren
  • Cloud-Konfigurationen gegen CIS-Benchmarks oder BSI-C5-Anforderungen prüfen (AWS Trusted Advisor, Microsoft Defender for Cloud)
  • Compliance-Anforderungen dokumentieren: Welche Standards gelten? Welche Lücken bestehen?

Phase 2: Governance etablieren (Monat 3-6)

  • DLP-Policies für genehmigte SaaS-Dienste einrichten (API-basiertes CASB)
  • Shadow-IT-Governance-Prozess einführen (monatliche Reviews, Sanktionierungsprozess)
  • WAF im Detection-Modus einschalten, False Positives dokumentieren
  • Zero-Trust-Basismaßnahmen umsetzen: MFA für alle, Conditional Access, PIM

Phase 3: Enforcement und kontinuierliche Verbesserung (ab Monat 6)

  • WAF in den Prevention-Modus schalten (nach False-Positive-Tuning)
  • Nicht sanktionierte Cloud-Apps blockieren (Firewall/Proxy-Integration)
  • Session-Control für Conditional Access einrichten
  • SIEM-Integration für Cloud-Events aktivieren
  • Regelmäßige Cloud Security Reviews einplanen (mindestens jährlich)
  • Compliance-Nachweise für ISO 27001, BSI C5 oder NIS2 dokumentieren

FAQ: Cloud Compliance und Tools

Muss ich einen CASB einsetzen, um DSGVO-konform zu sein?

Ein CASB ist keine gesetzliche Pflicht, aber ein wichtiges Werkzeug, um DSGVO-Anforderungen technisch umzusetzen - insbesondere die Kontrolle darüber, welche personenbezogenen Daten in welche Cloud-Dienste übertragen werden. Unternehmen, die Microsoft 365 nutzen, haben mit Microsoft Defender for Cloud Apps bereits einen CASB im Portfolio, der oft nur aktiviert und konfiguriert werden muss.

Was kostet ein CASB für ein KMU?

Microsoft Defender for Cloud Apps ist ab ca. 3,50 EUR/Nutzer/Monat verfügbar und in Microsoft 365 E5 enthalten. Für Unternehmen mit bestehender M365-E3/E5-Lizenz ist MDCA die kosteneffizienteste Option. Enterprise-Lösungen wie Netskope starten bei ca. 15 EUR/Nutzer/Monat.

Wie lange dauert ein WAF-Deployment?

Das technische Deployment einer Cloud-WAF (AWS WAF, Azure WAF, Cloudflare) ist innerhalb eines Tages abgeschlossen. Die kritische Phase ist das anschließende False-Positive-Tuning: Mindestens zwei Wochen im Detection-Modus, Analyse der Events, Definition von Ausnahmen. Erst danach kann der Prevention-Modus aktiviert werden.

Brauche ich eine WAF und eine CASB?

Ja - beide lösen unterschiedliche Probleme. Eine WAF schützt Web-Anwendungen vor bekannten Angriffstechniken (SQL Injection, XSS). Ein CASB kontrolliert, welche Cloud-Dienste Mitarbeiter nutzen und ob sensible Daten die Organisation verlassen. Beide sind Bestandteile einer Defense-in-Depth-Strategie und ergänzen sich.

Was ist der Unterschied zwischen BSI C5 und ISO 27001?

ISO 27001 ist ein internationaler Standard für Informationssicherheitsmanagementsysteme - er definiert Anforderungen an den Sicherheitsprozess einer Organisation, nicht spezifisch für Cloud-Dienste. BSI C5 ist ein deutsches Prüfschema speziell für Cloud-Dienste und adressiert deren spezifische Sicherheitsanforderungen. Beide ergänzen sich: Ein nach ISO 27001 zertifiziertes Unternehmen hat eine gute Grundlage, aber Cloud-Dienste benötigen zusätzlich C5-konforme Anbieter und cloud-spezifische Kontrollen.

Fazit

Cloud Compliance ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Die drei wichtigsten Prinzipien:

Erstens: Sichtbarkeit vor Enforcement. Man kann nur kontrollieren, was man kennt. CASB und Cloud-Sicherheitsposture-Tools schaffen die notwendige Transparenz.

Zweitens: Defense in Depth. WAF, CASB, Zero Trust und SIEM sind keine Alternativen - sie sind Schichten, die jeweils unterschiedliche Angriffsvektoren adressieren.

Drittens: Compliance als Prozess. ISO 27001, BSI C5 und NIS2 erfordern keine Perfektion zum Stichtag, sondern ein nachweisbares, kontinuierliches Sicherheitsmanagement.

Der erste Schritt für Unternehmen ohne geordnetes Cloud-Sicherheitskonzept sind die grundlegenden Maßnahmen aus dem Leitfaden Cloud Security für Unternehmen. Für Unternehmen, die ihre Cloud-Sicherheit auf den nächsten Level bringen oder eine ISO-27001-Zertifizierung anstreben, steht AWARE7 als Beratungspartner zur Verfügung.

ISMS-Beratung und ISO 27001 anfragen | Cloud Security Audit

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung