惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Apple Machine Learning Research
Apple Machine Learning Research
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
S
Security @ Cisco Blogs
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Cisco Talos Blog
Cisco Talos Blog
Cyberwarzone
Cyberwarzone
SecWiki News
SecWiki News
Webroot Blog
Webroot Blog
L
LINUX DO - 最新话题
V
Vulnerabilities – Threatpost
T
Troy Hunt's Blog
Cloudbric
Cloudbric
L
LINUX DO - 热门话题
Google DeepMind News
Google DeepMind News
H
Heimdal Security Blog
S
Schneier on Security
NISL@THU
NISL@THU
The Hacker News
The Hacker News
Attack and Defense Labs
Attack and Defense Labs
A
Arctic Wolf
V2EX - 技术
V2EX - 技术
Security Latest
Security Latest
AWS News Blog
AWS News Blog
Scott Helme
Scott Helme
W
WeLiveSecurity
S
Secure Thoughts
Y
Y Combinator Blog
GbyAI
GbyAI
H
Hackread – Cybersecurity News, Data Breaches, AI and More
博客园 - Franky
量子位
人人都是产品经理
人人都是产品经理
雷峰网
雷峰网
K
Kaspersky official blog
P
Privacy & Cybersecurity Law Blog
T
Tenable Blog
The GitHub Blog
The GitHub Blog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
J
Java Code Geeks
Vercel News
Vercel News
Recent Commits to openclaw:main
Recent Commits to openclaw:main
Schneier on Security
Schneier on Security
云风的 BLOG
云风的 BLOG
小众软件
小众软件
Engineering at Meta
Engineering at Meta
宝玉的分享
宝玉的分享
C
CERT Recently Published Vulnerability Notes
Security Archives - TechRepublic
Security Archives - TechRepublic
C
CXSECURITY Database RSS Feed - CXSecurity.com
P
Palo Alto Networks Blog

CSO Online

Iranian state-backed spies pose as ransomware slingers in false flag attacks New malware turns Linux systems into P2P attack networks Poisoned truth: The quiet security threat inside enterprise AI Train like you fight: Why cyber operations teams need no-notice drills Die besten DAST- & SAST-Tools CISA mulls new three-day remediation deadline for critical flaws CISA pushes critical infrastructure operators to prepare to work in isolation CISOs step up to the security workforce challenge 10 Anzeichen für einen schlechten CSO Anthropic Mythos spurs White House to weigh pre-release reviews for high-risk AI models Security agencies draw red lines around agentic AI deployments The fake IT worker problem CISOs can’t ignore How CISOs should utilize data security posture management to inform risk Was ist ein Botnet? Human-centric failures: Why BEC continues to work despite MFA Just 34% of cyber pros plan to stick with their current employer Managing OT risk at scale: Why OT cyber decisions are leadership decisions 4 ways to prepare your SOC for agentic AI ‘Trivial’ exploit can give attackers root access to Linux kernel Bank regulator sounds warning over cybersecurity threat posed by AI models Dismantle implicit trust in OT networks, CISA tells critical infrastructure operators Max-severity RCE flaw found in Google Gemini CLI Stopping the quiet drift toward excessive agency with re-permissioning ODNI to CISOs on threat assessments: You’re on your own 10 wichtige Security-Eigenschaften: So setzen Sie die Kraft Ihres IT-Sicherheitstechnik-Teams frei Researchers unearth industrial sabotage malware that predated Stuxnet by 5 years AWS leans on prior ingenuity to face future AI and quantum threats What it takes to win that CSO role Third Party Risk Management: So vermeiden Sie Compliance-Unheil Critical Cursor bug could turn routine Git into RCE Securing RAG pipelines in enterprise SaaS What CISOs need to get right as identity enters the agentic era Stopping AiTM attacks: The defenses that actually work after authentication succeeds EDR-Software – ein Kaufratgeber Microsoft patched an ‘agent-only’ role that was not AI is reshaping DevSecOps to bring security closer to the code The 'manager of agents': How AI evolves the SOC analyst role 4 Wege aus der Security-Akronymhölle Autonome KI-Agenten: Strategien für die neue Bedrohungslage New US House privacy bills raise hard questions about enterprise data collection Scattered Spider co-conspirator pleads guilty Security-KPIs und -KRIs: So messen Sie Cybersicherheit Bitwarden CLI password manager trojanized in supply chain attack 3 practical ways AI threat detection improves enterprise cyber resilience The curious case of Sean Plankey’s derailed CISA nomination Google gets agent-ready for the Mythos age Google drafts AI agents secure systems against AI hackers CNAPP – ein Kaufratgeber Riddled with flaws, serial-to-Ethernet converters endanger critical infrastructure NFC tap-to-pay gets tapped by hackers Anthropic bets on EPSS for the coming bug surge SBOM erklärt: Was ist eine Software Bill of Materials? Thousands of Apache ActiveMQ instances still unpatched, weeks after an actively exploited hole discovered Prompt injection turned Google’s Antigravity file search into RCE Why identity is the driving force behind digital transformation Top techniques attackers use to infiltrate your systems today The thin gray line: Handala, CyberAv3ngers and Iran’s proxy ops Attackers abuse Microsoft Teams to impersonate the IT helpdesk in a new enterprise intrusion playbook CISOs reshape their roles as business risk strategists Copilot & Agentforce offen für Prompt-Injection-Tricks Claude Mythos – ist der Hype gerechtfertigt? Für Cyberattacken gewappnet – Krisenkommunikation nach Plan Critical sandbox bypass fixed in popular Thymeleaf Java template engine White House moves to give federal agencies access to Anthropic’s Claude Mythos Another Microsoft Defender privilege escalation bug emerges days after patch Palo Alto’s Helmut Reisinger sees a cyber sea change ahead as AI advances NIST cuts down CVE analysis amid vulnerability overload Was bei der Cloud-Konfiguration schiefläuft – und wie es besser geht The endless CISO reporting line debate — and what it says about cybersecurity leadership Behind the Mythos hype, Glasswing has just one confirmed CVE Insurance carriers quietly back away from covering AI outputs RCE by design: MCP architectural choice haunts AI agent ecosystem Critical nginx UI tool vulnerability opens web servers to full compromise Copilot and Agentforce fall to form-based prompt injection tricks The deepfake dilemma: From financial fraud to reputational crisis 7 biggest healthcare security threats The need for a board-level definition of cyber resilience Mallory Launches AI-Native Threat Intelligence Platform, Turning Global Threat Data Into Prioritized Action 13 Fragen gegen Drittanbieterrisiken April Patch Tuesday roundup: Zero day vulnerabilities and critical bugs 4 questions to ask before outsourcing MDR 5 trends defining the future of AI-powered cybersecurity EU regulators largely denied access to Anthropic Mythos China-linked cloud credential heist runs on typos and SMTP How AI is transforming threat detection The AI inflection point: What security leaders must do now Cyber-Inspekteur: Hybride Attacken nehmen weiter zu Anthropic’s Mythos signals a structural cybersecurity shift Seven IBM WebSphere Liberty flaws can be chained into full takeover Old Docker authorization bypass pops up despite previous patch Hacker Unknown now known, named on Europol’s most-wanted list The cyber winners and losers in Trump’s 2027 budget CMMC compliance in the age of AI Claude uncovers a 13‑year‑old ActiveMQ RCE bug within minutes Was CISOs von Moschusochsen lernen können Hackers have been exploiting an unpatched Adobe Reader vulnerability for months New ClickFix variant bypasses Apple safeguards with one‑click script execution Cloudflare ‘actively adjusting’ quantum priorities in wake of Google warning Patch windows collapse as time-to-exploit accelerates So geht Post-Incident Review
Positiv denken für Sicherheitsentscheider: 6 Mindsets, die Sie sofort ablegen sollten
2026-04-17 · via CSO Online
In einem falschen Security-Mindset gefangen?

In einem falschen Security-Mindset gefangen?

Foto: Paul Craft – shutterstock.com

Dass Jobs im Bereich Cybersecurity ein hohes Burnout-Potenzial aufweisen, ist längst kein Geheimnis mehr: Das Umfeld von Sicherheitsprofis ist vor allem geprägt von dem (gefühlten) Druck, täglich steigenden Anforderungen gerecht werden zu müssen. Dafür sind diverse Gründe ursächlich – in erster Linie aber die Art und Weise, wie über Security gedacht wird. Die gute Nachricht: Wenn Sie ein schädliches Mindset identifizieren, können Sie es verändern und sowohl sich als auch Ihre Teams besser für den Erfolg positionieren.

Cybersicherheit ist ein hochtechnisches Gebiet und in gewisser Hinsicht eine harte Wissenschaft. Auf der anderen Seite ist sie aber auch stark von Elementen der Psychologie und Moral geprägt. Wie effektiv die IT-Sicherheit letztlich ausfällt, hängt auch vom Mindset und den Überzeugungen der Fachkräfte und Entscheider auf diesem Gebiet ab.

Sollten Sie eines der folgenden sechs Mindsets an den Tag legen, ist Arbeit angesagt, damit ein gesünderes Security-Umfeld gedeihen kann.

1. “Security ist ein Ziel”

Ein besonders heimtückisches Security-Mindset ist die Überzeugung, dass es sich um eine Reise mit Start- und Zielpunkt handelt. Zu dieser Überzeugung kommt man (hoffentlich) nicht bewusst – Profis ist klar, dass es sich um eine kontinuierliche Aufgabe handelt. Unterbewusst kann es aber durchaus dazu kommen, dass es zu vorübergehender Untätigkeit kommt, wenn bestimmte Tasks gerade erledigt wurden.

Das führt allerdings nur dazu, dass alle im Team mehr unnötigen Stress haben. Denn wer ein Ende in Aussicht stellt, erzeugt ein subtiles Gefühl der Enttäuschung oder gar des Scheiterns, sobald offenbar wird, dass es doch immer noch etwas mehr zu tun gibt. Zur Ruhe werden Sie (und Ihr Team) erst kommen, wenn sie akzeptieren, dass Security ein fortlaufender Prozess ist.

2. “IT-Sicherheit ist nur was für Profis”

Die Auffassung, dass Security ausschließlich in den Händen der entsprechenden Spezialisten liegt, führt zu zweierlei unglücklichen Konsequenzen:

  1. Alle anderen Mitarbeiter werden – zumindest gefühlt – aus der Verantwortung entlassen.

  2. Sicherheitsprofis werden auf subtile Weise in eine Einzelkämpferrolle gedrängt.

Softwareentwickler sollten Security in jeder Phase des Lebenszyklus im Hinterkopf behalten, statt sich erst zur Auslieferung damit zu befassen. Das gilt jedoch auch für alle anderen Mitarbeiter im Unternehmen: Nur wenn Awareness herrscht, kann die Gefahr von Cyberangriffen minimiert werden.

Natürlich kommt den Sicherheitsexperten diesbezüglich eine führende, beziehungsweise leitende Rolle zu. Letztendlich sollte sich aber jeder Mitarbeiter dazu befähigt fühlen, zur allgemeinen Unternehmenssicherheit beitragen zu können. Eine gemeinschaftliche Aufgabe stärkt davon abgesehen auch das Wir-Gefühl.

3. “Security wird immer nur diffiziler”

Kaum etwas ist entmutigender als eine klassische Sisyphos-Aufgabe. Dieser Eindruck kann allerdings leicht entstehen, wenn es um Security geht: Cyberkriminelle werden immer raffinierter und nutzen immer bessere Tools, während die digitale Infrastruktur, die geschützt werden muss, sich immer umfangreicher, komplexer und vernetzter gestaltet.

In der Realität ist der Kampf zwischen White und Black Hats ein ständiges Geben und Nehmen. Das Phänomen Ransomware ist ein gutes Beispiel: Eine Zeit lang schienen sich Verschlüsselungstrojaner zu einer Plage zu entwickeln – inzwischen hat sich die Sicherheitsbranche entsprechend weiterentwickelt und messbar zurückgeschlagen.

Indem Sie die zyklische Natur der IT-Sicherheit akzeptieren, befähigen Sie sich dazu, eine Haltung einzunehmen, die die richtige Balance zwischen Entspannung und Wachsamkeit findet. Mentales Gleichgewicht ist der Schlüssel zu langfristigem (Security-)Erfolg.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

4. “Sicherheit ist ein Produkt”

Die IT Security wird nicht selten als Standalone-Funktion oder Zusatzprodukt betrachtet, die über die zugrundeliegende Infrastruktur “gestülpt” wird oder als konkrete “Sache”, die finalisiert und ausgeliefert werden muss. Das ähnelt ein bisschen der einstigen Perspektive auf Qualität im Allgemeinen als eine eigenständige, separate Komponente der Dinge. Um es mit Aristoteles zu sagen: “Qualität ist keine Handlung, sondern eine Gewohnheit”.

Security wiederum ist wie Qualität kein fertiges Produkt, sondern (wie bereits angemerkt) eine fortlaufende Disziplin. Sicherheit als eine Praxis zu betrachten, die ständig verfeinert werden muss, setzt die dafür nötige Energie frei. Sie sollten es als Segen betrachten, in einem Bereich zu arbeiten, der kontinuierlich Raum für Wachstum und die Möglichkeit bietet, Ihre Skills vollumfänglich zur Geltung zu bringen. Haben Sie dieses Mindset verinnerlicht, gilt es, das mit dem gesamten Unternehmen zu teilen.

Security sollte in keinem Fall wie ein Produkt ausgeliefert werden, denn sie ist keine Begleiterscheinung oder ein Hilfsmittel. Vielmehr sollte sie der Treiber für Kultur und bewusstes Handeln sein. Kurzum: IT-Sicherheit sollte Teil des täglichen Doings sein – auf individueller und organisatorischer Ebene.

5. “Die Kriminellen treiben die Security”

Security-Profis, die kontinuierlich damit beschäftigt sind, Brände zu löschen, können zur Überzeugung kommen, dass die Cyberkriminellen das Spiel beherrschen. Diese reaktive Perspektive auf die IT-Sicherheit sorgt für Frustration und ein Gefühl der Machtlosigkeit.

In der Realität haben die Unternehmen das Ruder in der Hand: Sie sind es schließlich, deren Assets für Kriminelle verlockende Ziele darstellen. Die Angreifer sind in den meisten Fällen nicht zu unterschätzen – es ist jedoch das Business, dass die Sicherheit treibt.

6. “100 Prozent reicht gerade”

Gute Sicherheit braucht messbare Faktoren. Metriken wie die “Mean Time to Detect” (MTTD) ermöglichen es, die Situation zu monitoren und die Effektivität von Programmen zu messen. Problematisch wird es in diesem Bereich, wenn Sie der Vorstellung erliegen, dass sich sämtliche Indikatoren stets in eine positive Richtung – oder noch schlimmer im “perfekten” Bereich – bewegen müssen. Diese unrealistische Erwartung ist ein Einfallstor für verzerrte Messwerte.

Stattdessen sollten Sie Metriken eher als Wegweiser sehen, die Sie ans Ziel bringen können. Der Schlüssel liegt jedoch darin, die nötigen Schritte zu unternehmen und Maßnahmen einzuziehen, um die Dinge in die richtige Richtung lenken. Das macht es essenziell, sich ehrlich mit Messungen auseinanderzusetzen. (fm)

vgwort

ABONNIERE UNSEREN NEWSLETTER

Von unseren Redakteuren direkt in Ihren Posteingang

Beginnen Sie, indem Sie unten Ihre E-Mail-Adresse eingeben.