Jede Organisation kennt sie, fast niemand denkt an sie: Multifunktionsgeräte, Druckerflotten, Scanner, Plotter, Etikettendrucker, Fax-Module, Kioskdrucker für Belege. Sie stehen unscheinbar im Flur, summen leise vor sich hin, produzieren zuverlässig Seiten – und werden in Security-Runden oft nur dann erwähnt, wenn es um Kosten oder papierlose Initiativen geht. Dabei sind genau diese Geräte in vielen Netzen hochprivilegierte, dauerhaft präsente, schwach gehärtete Systeme mit direktem Draht zu Fileservern, E-Mail-Gateways, Verzeichnisdiensten und manchmal sogar ins öffentliche Internet. Wer sie ignoriert, baut eine Sicherheitsarchitektur mit offener Seitentür. Zeit, das Licht einzuschalten: Warum sind Drucker, Scanner & Co. so attraktiv für Angreifer? Wo liegen die Schattenrisiken? Und wie macht man aus einem grauen Kasten im Flur ein steuerbares, belastbares Asset – statt einer vergessenen Schwachstelle?

Warum ausgerechnet Drucker? Die Logik des Angreifers

Angreifer suchen nicht den glamourösen Weg, sondern den einfachen. Sie lieben überall verfügbare Geräte mit weit offenen Protokollen, seltenen Patches, Standardpasswörtern, großzügigen Netzwerkrechten und Administrationsoberflächen, die niemand überwacht. Multifunktionsgeräte liefern dieses Paket frei Haus:

Es gibt Regulierungswellen, die über Unternehmen hinweglaufen, ein paar neue Formulare hinterlassen und dann im Tagesgeschäft versanden. Und es gibt Regulierungen, die die Statik eines Hauses verändern: wie Entscheidungen fallen, wie Risiken gemessen werden, wie Verträge geschrieben sind, wie IT gebaut, betrieben und wiederhergestellt wird. MaRisk war für viele Institute der Start in dieses neue Denken; DORA zwingt es nun zu Ende. Dazwischen liegen Jahre, in denen BAIT/VAIT/KAIT, EBA-Leitlinien, Outsourcing-Regelwerke, Datenschutz und sektorübergreifende Cybersicherheitsvorgaben das Puzzle immer dichter gemacht haben. Das Ergebnis ist mehr als „mehr Pflichten“. Es ist ein neues Governance-Paradigma: weg von Richtlinien als Selbstzweck, hin zu wirksamer Steuerung mit Evidenz – im Normalbetrieb und unter Stress.

Von der Checkliste zur Steuerung: Was MaRisk wirklich ausgelöst hat

MaRisk hat die Grundmechanik moderner Governance im Finanzsektor etabliert: Risikobasierung, Proportionalität, Verantwortlichkeit der Geschäftsleitung. Viele Häuser begannen, Ziele und Risiken systematisch zu kaskadieren, Kontrollfunktionen unabhängiger zu stellen und mit drei Verteidigungslinien zu arbeiten. Doch der vielleicht wichtigste Schritt fand still statt: die Einsicht, dass ein reproduzierbarer Entscheidungspfad wertvoller ist als die perfekte Einzelmaßnahme. Ein Limit nützt nichts ohne Schwellen, Eskalationsrechte, Fristen und Re-Checks. Ein Risiko ist nur dann „behandelt“, wenn die Maßnahme nachweislich wirkt – nicht, wenn sie einmal beschlossen wurde. Diese Logik wirkt heute in allen Vorgaben fort.

Obwohl wir in den letzten Monaten bzw. Blogeinträgen schon relativ weit ins Detail gegangen sind, möchte ich jetzt etwas über die Entstehung des Trends berichten. Das Phänomen Bring your own Device (ByoD) ist in Europa ein relativ neuer Trend, welcher sich bisher noch nicht wirklich durchsetzen konnte.

Ursprünglich kommt er aus den USA und kam auf, weil (mobile) Devices, wie Smartphones, Tablets und auch Notebooks heutzutage kaum noch aus dem Alltag wegzudenken sind. Viele Leute haben diese Begleiter ständig bei sich und nutzen sie sowohl in ihrer Freizeit, auch im Beruf. Dies ist gerade bei den jüngeren Menschen bzw. Mitarbeitern der Fall, da diese jederzeit für alle über das Internet verfügbar sein wollen. Die Generation der Digital Natives, sprich die Generation derer, die nach 1980 geboren worden und mit Handy, Internet und Co. aufgewachsen sind, bewegen sich im Internet genauso sicher, wie in der realen Welt. Entsprechend einiger Forscher verändert sich durch ihr Verhalten, allerdings nicht nur das private Umfeld, sondern auch die Arbeitswelt. Häufig erscheinen Digital Natives, als kreativer, offener und vernetzter, weshalb die sogenannten Digital Immigrants, die Gruppe der Personen, die vor 1980 geboren worden sind, diese Fähigkeiten(von den Digital Natives) lernen müssen. So hinken sie auch was Medienkompetenz angeht häufig hinterher und fühlen sich selten ebenso im Internet zu Hause, wie ihre jüngeren Mitmenschen. Dies drückt sich auch in der Arbeitswelt aus, im Gegensatz zur Generation X, den vor 1980 geborenen, sind die Digital Natives, auch Generation Y genannt, häufig vom ersten Tag an auf der Arbeit online und vernetzt. Die Generation Y kennt eine Arbeitswelt ohne Computer und Internet nicht mehr und kann sich vermutlich auch nicht vorstellen, ohne auskommen zu müssen.Daher erwartet diese junge Generation auch mehr von einem Unternehmen und deren Infrastruktur, als vielleicht ein Mitarbeiter der Generation X. Eine dieser Erwartung könnte sein, seine eigenen Endgeräte mit an den Arbeitsplatz nehmen zu dürfen. Dieser Trend wird heute unter dem Schlagwort „Bring your own Device“ diskutiert.

Die Cloud ist längst kein Zukunftsthema mehr, sondern Alltag. Unternehmen aller Größenordnungen verlagern Daten, Anwendungen und ganze Infrastrukturen in die Cloud – aus guten Gründen: Flexibilität, Skalierbarkeit, schnellere Time-to-Market und planbarere Kosten. Doch wo Geschwindigkeit und Dynamik steigen, wachsen auch die Risiken. Viele Organisationen gehen Cloud Security noch immer zu intuitiv an – ohne eindeutige Ziele, ohne messbare Kontrollen, ohne gelebte Verantwortlichkeiten. Die Folge: Fehlkonfigurationen bleiben unentdeckt, Identitäten sind überprivilegiert, Protokolle fehlen, Nachweise für Compliance sind lückenhaft. Wer Cloud Security ernst nimmt, braucht mehr als Tools – er braucht einen Plan: klar, wiederholbar, auditierbar.

Ziele und Schutzbedarfe: Was wirklich geschützt werden muss

Der wirksamste erste Schritt ist eine Schutzbedarfsanalyse mit eindeutiger Priorisierung. Typische Klassen sind:

Die Verheißung von 5G ist spektakulär: deterministische Latenz, garantierbare Qualität durch Network Slicing, Rechenleistung direkt am Netzrand, Millionen adressierbarer Geräte pro Quadratkilometer. Doch je näher das Netz an kritische Geschäftsprozesse rückt, desto deutlicher zeigt sich die Gegenforderung der Aufsicht: Wer mit 5G Wertschöpfung steuert, muss 5G auch beherrschen – technisch, organisatorisch und regulatorisch. Nicht nur Telekommunikationsanbieter stehen im Fokus, sondern alle Unternehmen, die 5G in produktiven Abläufen nutzen: Industrie, Logistik, Energie, Gesundheits- und Finanzsektor. Die Fragen lauten daher nicht mehr „Wie schnell ist 5G?“, sondern: Wer trägt wofür Verantwortung? Welche Nachweise werden fällig? Wo enden Provider-SLAs – und wo beginnt die eigene Governance?

Dieser Beitrag entfaltet die Lage aus Sicht von Unternehmen: Welche EU-Vorgaben und deutschen Aufsichtslogiken gelten? Wie greifen BNetzA, BSI und BaFin ineinander? Was bedeutet das für Resilienz- und Nachweispflichten in realen 5G-Architekturen – Public Slices, Campusnetze, Hybridmodelle? Und vor allem: Wie baut man 5G so, dass Audits bestanden, Vorfälle beherrscht und Geschäftsprozesse verlässlich bleiben? Keine Panikfolklore, sondern eine praxisnahe Karte zwischen Regulierung, Resilienz und Realität.