Jede Organisation kennt sie, fast niemand denkt an sie: Multifunktionsgeräte, Druckerflotten, Scanner, Plotter, Etikettendrucker, Fax-Module, Kioskdrucker für Belege. Sie stehen unscheinbar im Flur, summen leise vor sich hin, produzieren zuverlässig Seiten – und werden in Security-Runden oft nur dann erwähnt, wenn es um Kosten oder papierlose Initiativen geht. Dabei sind genau diese Geräte in vielen Netzen hochprivilegierte, dauerhaft präsente, schwach gehärtete Systeme mit direktem Draht zu Fileservern, E-Mail-Gateways, Verzeichnisdiensten und manchmal sogar ins öffentliche Internet. Wer sie ignoriert, baut eine Sicherheitsarchitektur mit offener Seitentür. Zeit, das Licht einzuschalten: Warum sind Drucker, Scanner & Co. so attraktiv für Angreifer? Wo liegen die Schattenrisiken? Und wie macht man aus einem grauen Kasten im Flur ein steuerbares, belastbares Asset – statt einer vergessenen Schwachstelle?

Warum ausgerechnet Drucker? Die Logik des Angreifers

Angreifer suchen nicht den glamourösen Weg, sondern den einfachen. Sie lieben überall verfügbare Geräte mit weit offenen Protokollen, seltenen Patches, Standardpasswörtern, großzügigen Netzwerkrechten und Administrationsoberflächen, die niemand überwacht. Multifunktionsgeräte liefern dieses Paket frei Haus:

Es gibt Regulierungswellen, die über Unternehmen hinweglaufen, ein paar neue Formulare hinterlassen und dann im Tagesgeschäft versanden. Und es gibt Regulierungen, die die Statik eines Hauses verändern: wie Entscheidungen fallen, wie Risiken gemessen werden, wie Verträge geschrieben sind, wie IT gebaut, betrieben und wiederhergestellt wird. MaRisk war für viele Institute der Start in dieses neue Denken; DORA zwingt es nun zu Ende. Dazwischen liegen Jahre, in denen BAIT/VAIT/KAIT, EBA-Leitlinien, Outsourcing-Regelwerke, Datenschutz und sektorübergreifende Cybersicherheitsvorgaben das Puzzle immer dichter gemacht haben. Das Ergebnis ist mehr als „mehr Pflichten“. Es ist ein neues Governance-Paradigma: weg von Richtlinien als Selbstzweck, hin zu wirksamer Steuerung mit Evidenz – im Normalbetrieb und unter Stress.

Von der Checkliste zur Steuerung: Was MaRisk wirklich ausgelöst hat

MaRisk hat die Grundmechanik moderner Governance im Finanzsektor etabliert: Risikobasierung, Proportionalität, Verantwortlichkeit der Geschäftsleitung. Viele Häuser begannen, Ziele und Risiken systematisch zu kaskadieren, Kontrollfunktionen unabhängiger zu stellen und mit drei Verteidigungslinien zu arbeiten. Doch der vielleicht wichtigste Schritt fand still statt: die Einsicht, dass ein reproduzierbarer Entscheidungspfad wertvoller ist als die perfekte Einzelmaßnahme. Ein Limit nützt nichts ohne Schwellen, Eskalationsrechte, Fristen und Re-Checks. Ein Risiko ist nur dann „behandelt“, wenn die Maßnahme nachweislich wirkt – nicht, wenn sie einmal beschlossen wurde. Diese Logik wirkt heute in allen Vorgaben fort.

Die Cloud ist längst kein Zukunftsthema mehr, sondern Alltag. Unternehmen aller Größenordnungen verlagern Daten, Anwendungen und ganze Infrastrukturen in die Cloud – aus guten Gründen: Flexibilität, Skalierbarkeit, schnellere Time-to-Market und planbarere Kosten. Doch wo Geschwindigkeit und Dynamik steigen, wachsen auch die Risiken. Viele Organisationen gehen Cloud Security noch immer zu intuitiv an – ohne eindeutige Ziele, ohne messbare Kontrollen, ohne gelebte Verantwortlichkeiten. Die Folge: Fehlkonfigurationen bleiben unentdeckt, Identitäten sind überprivilegiert, Protokolle fehlen, Nachweise für Compliance sind lückenhaft. Wer Cloud Security ernst nimmt, braucht mehr als Tools – er braucht einen Plan: klar, wiederholbar, auditierbar.

Ziele und Schutzbedarfe: Was wirklich geschützt werden muss

Der wirksamste erste Schritt ist eine Schutzbedarfsanalyse mit eindeutiger Priorisierung. Typische Klassen sind:

Wer 5G richtig verstanden hat, weiß: Der Sprung zur nächsten Mobilfunkgeneration wird nicht durch ein größeres Balkendiagramm im Speedtest definiert, sondern durch einen Architekturwechsel. 6G verspricht kein bloßes „Mehr“ an Bandbreite, sondern ein „Anders“: Netze, die sehen, hören, orten, interpretieren und entscheiden; Netze, die nicht nur Daten transportieren, sondern Bedeutung übertragen; Netze, die so eng mit Sensorik, KI und Edge-Rechenleistung verzahnt sind, dass sie zu einem operativen Sinnesorgan für Wirtschaft und Gesellschaft werden. Genau darin liegt der Kern der kommenden Welle – und die Frage, wie Unternehmen sich heute schon auf die Möglichkeiten und Pflichten von morgen vorbereiten.

Warum 6G mehr ist als „5G, aber schneller“

Die Versuchung ist groß, 6G unter die Überschrift „Gigabit mal zwei“ zu stellen. Doch dieser Blick greift zu kurz. Schon 5G hat den Paradigmenwechsel eingeleitet: weg vom „best effort“-Funk, hin zu planbaren Eigenschaften (Latenz, Jitter, Verfügbarkeit) per Network Slicing und Edge Computing. 6G setzt genau dort an – und verschiebt die Grenzwerte in vier Richtungen:

Der „Wizard of GRC“ für eine Zeit, in der dein Kaffee noch warm ist

Es ist ein schwindelerregender Moment: Du öffnest den Editor, gibst zwei, drei Sätze in ein Prompt-Feld – und noch bevor dein Kaffee kalt wird, steht das Gerüst eines kompletten Dienstes vor dir. Routen, Controller, Datenmodell, API-Doku, Unit-Tests, Dockerfile, CI-Workflow: alles da. Was gestern noch ein Sprint war, passt heute in eine Session. Fantastisch für die Geschwindigkeit, beängstigend für die Sichtbarkeit. Denn jede generierte Codezeile erzählt nicht nur eine Geschichte von Produktivität, sondern auch eine über Compliance, Abhängigkeiten und Third-Party-Risiken.