,

Podcast – Security on Air – Heute Sonderfolge NIS2 Umsetzungsgesetz

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Das NIS2-Umsetzungsgesetz ist endgültig verabschiedet. Mit der neuen Richtlinie setzt die EU ihre Cybersicherheitsstrategie konsequent fort und verpflichtet deutlich mehr Unternehmen, ein robustes Informationssicherheitsmanagement einzuführen. Künftig müssen nicht nur Betreiber kritischer Infrastrukturen, sondern auch zahlreiche mittelständische Unternehmen aus allen Branchen nachweislich angemessene technische und organisatorische Maßnahmen zum Schutz ihrer IT und OT treffen.

Die Anforderungen orientieren sich stark an internationalen Standards wie ISO 27001, gehen aber in der Tiefe oft darüber hinaus. Gefordert sind unter anderem effiziente Risikomanagementprozesse, kontinuierliche Schwachstellenbewertung, Lieferkettensicherheit und ein funktionierendes Incident-Management. Verstöße können mit Bußgeldern in Millionenhöhe geahndet werden – ähnlich wie bei der DSGVO.

Unternehmen sollten jetzt handeln: Eine Gap-Analyse gegenüber ISO 27001 ist der ideale Startpunkt, um Lücken frühzeitig zu erkennen und gezielte Maßnahmen zu planen. Denn eines ist klar: Cybersicherheit wird zur gesetzlichen Pflicht und zum entscheidenden Wettbewerbsvorteil. Wer rechtzeitig vorbereitet ist, erfüllt nicht nur die gesetzlichen Vorgaben, sondern stärkt auch das Vertrauen von Kunden, Partnern und Behörden

Diese Episode richtet sich an Geschäftsleitungen und Informationssicherheitsbeauftragte, die jetzt konkret in die NIS2-Umsetzung einsteigen müssen.

In unserer Folge NIS2 gilt jetzt – Was bedeutet das?beleuchten wir folgende Themen:

Was jetzt zu tun ist

  • Prüfen, ob das Unternehmen betroffen ist und bei Betroffenheit die Registrierung vornehmen.
  • Bestehendes ISMS gegen die NIS2-Anforderungen spiegeln, eine GAP-Analyse erstellen und konkrete Maßnahmen mit Verantwortlichkeiten, Prioritäten und Fristen hinterlegen.
  • Risikomanagement, Meldeprozesse, Notfall- und Wiederanlaufpläne sowie Krisenorganisation so ausbauen, dass NIS2-Meldefristen erfüllt und Nachweise gegenüber der Aufsicht jederzeit erbracht werden können.

 Anforderungen an die Geschäftsleitung

  • Die Geschäftsleitung muss Risikomanagementmaßnahmen genehmigen, Ressourcen bereitstellen und die Umsetzung fortlaufend überwachen; Delegation entbindet nicht von der Gesamtverantwortung.
  • Geschäftsleitung ist verpflichtet, regelmäßig an Schulungen zu Cybersicherheit und NIS2 teilzunehmen (mindestens alle drei Jahre) und diese Schulungen nachweisbar zu dokumentieren.
  • Ein strukturiertes Vorgehen mit klaren Nachweisen (Protokolle, Beschlüsse, Berichte, Schulungsnachweise) ist essenziell.

BSI Betroffenheitsprüfung NIS2:

https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung.html

Hören Sie rein!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Was Sie auch interessieren könnte:

Seminar:

“NIS2 für Geschäftsführer” entsprechend der BSI Orientierungshilfe steht in den Startlöchern. Wer sich schonmal informieren möchte kann gern mit uns Kontakt aufnehmen.

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

/von
,

Podcast – Security on Air – Heute Maßnahmensteuerung

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Erleben Sie praxisnahe Einblicke in die Welt der Maßnahmensteuerung im ISMS – speziell für Verantwortliche, Entscheider und Informationssicherheitsbeauftragte. Unser neues Podcast-Interview mit einem erfahrenen Informationssicherheitsberater zeigt, wie Sie Maßnahmen im Unternehmen sinnvoll initiieren, steuern und dokumentieren.

Inhalte dieser Episode “Maßnahmensteuerung”:

  • Klarheit über die Herkunft und Auswahl von Maßnahmen nach ISO 27001
  • Praktische Tipps zur Steuerung, Priorisierung und Dokumentation
  • Warum die SMART-Methode auch für Security-Maßnahmen Sinn macht
  • Tools und Prozesse für übersichtliche Verwaltung und Integration von Maßnahmen in den Alltag
  • Wie regelmäßige Meetings und Kennzahlen im Management helfen, Maßnahmen im Blick zu behalten

Warum reinhören?

Die Folge “Maßnahmensteuerung” bietet wertvolle Hinweise für alle, die ihr ISMS wirksamer und strukturierter gestalten möchten, von der Initialisierung bis zur Erfolgskontrolle. Lernen Sie, wie Prozesse, Tools und stimmige Dokumentation die Umsetzung und Nachverfolgung nachhaltig verbessern.

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

Podcast – Security on Air – Heute Lieferantenmanagement

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Kaum ein Unternehmen kommt heute ohne externe Partner und Dienstleister aus. Doch genau hier lauern Risiken – für Qualität, Informationssicherheit und Datenschutz. In unserer neuen Podcast-Folge zeigen wir, warum Lieferantenmanagement in allen Managementsystemen eine entscheidende Rolle spielt und wie Unternehmen von einem integrierten Ansatz profitieren.

Unsere Experten zeigen, dass Lieferantenbewertungen weit über ein reines „Pflichtprogramm“ hinausgehen und als strategisches Element für den Unternehmenserfolg gelten. Nicht nur die ISO 9001 für Qualitätsmanagement, sondern auch die ISO 27001 für Informationssicherheit sowie die DSGVO stellen zentrale und verbindliche Anforderungen an Lieferanten, insbesondere bei der Verarbeitung sensibler und personenbezogener Daten. Dabei sind vielfältige Kriterien zu berücksichtigen: Von der Austauschbarkeit und Kritikalität eines Lieferanten bis hin zu Fragen wie dem Datentransfer ins Ausland sowie dem Umgang mit Service-Level-Agreements und Vertraulichkeitsvereinbarungen. Regelmäßige Audits sowie transparente Kommunikation und Leistungsüberwachung bilden die Basis für eine sichere und erfolgreiche Zusammenarbeit mit externen Partnern – sie helfen dabei, aktuelle Risiken frühzeitig zu erkennen und die Qualität und Sicherheit dauerhaft zu gewährleisten.

Die Episode lohnt sich für alle, die in Qualitätsmanagement, Informationssicherheit, Datenschutz, Einkauf oder Projektmanagement Verantwortung tragen – und die sicherstellen wollen, dass externe Partner wirklich Mehrwert schaffen und keine Risiken verursachen.

Hier ein Paar Links die zum Thema „Lieferantenmanagement – Schlüsselfaktor für Qualität, Informationssicherheit und Datenschutz“ nützlich sein können:

Hören Sie rein und erfahren Sie, wie Sie Lieferantenmanagement als strategischen Erfolgsfaktor nutzen können!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

TISAX® – Informationssicherheit im Detail, Teil 7

Im vorherigen Blogartikel tauchte im Zusammenhang mit dem mobilen Arbeiten und der Informationssicherheit nach TISAX® auch der Begriff Zonenkonzept auf. Dieser Begriff soll an dieser Stelle näher beleuchtet werden.

Die meisten Standards und Normen für Informationssicherheit kennen die Idee der Sicherheitszonen, wenn es um die Betrachtung der physischen Sicherheit geht. Bei einem solchen Zonenkonzept werden die Räumlichkeiten und Flächen des Unternehmens anhand von Lageplänen, Raumplänen u.ä. in verschiedene Bereiche unterteilt. Diese Unterteilung orientiert sich daran, wie sensibel und kritisch die Informationswerte sind, die im jeweiligen Bereich gespeichert, gelagert oder verarbeitet werden.

Whitepaper des VDA

Da in dem VDA-Whitepaper zur „Harmonisierung der Klassifizierungsstufen“ ein vierstufiges Schema zur Klassifizierung vorgeschlagen wird (zur Erinnerung: „öffentlich“, „intern“, „vertraulich“ und „streng vertraulich“), sehen auch viele Zonenkonzepte eine solche vierstufige Einteilung vor. Diese 4 Sicherheitszonen (auch: Sicherheitsbereiche) werden oft als „öffentliche Zone“, „kontrollierte Zone“, „eingeschränkte Zone“ und „Hochrisikozone“ bezeichnet. Aus Gründen der Übersichtlichkeit und auch zur Kennzeichnung von Räumlichkeiten werden den 4 Klassifizierungsstufen, ebenfalls auf Anregung des VDA, Farben zugeordnet. Somit ergibt sich nach einem erweiterten Ampelprinzip vor: weiß für die öffentliche Zone, grün für die kontrollierte Zone, gelb für die eingeschränkte Zone und rot für die Hochrisikozone.

Festlegung von Sicherheitszonen

Die Unterteilung in Zonen ist nur dann sinnvoll, wenn für die einzelnen Zonen auch unterschiedliche Vorgaben gemacht werden, bzw. wenn sich die Tätigkeiten und Aktivitäten in den Zonen auch klar unterscheiden lassen. Diese Vorgaben können sich auf verschiedene Bereiche beziehen und natürlich werden diese Vorgaben aufsteigend strenger und umfassender. In einem weißen Bereich, also der „öffentlichen Zone“, wird man meist nur wenige Vorgaben machen. So ist oft z.B. das Mitführen und auch Benutzen von Mobiltelefonen und anderen Aufzeichnungsgeräten nicht eingeschränkt, und auch der Zutritt wird nicht gesteuert. Am entgegengesetzten Ende der Skala, in der rot markierten „Hochsicherheitszone“, müssen Aufzeichnungsgeräte oft vor dem Betreten abgegeben werden, Verschwiegenheitserklärungen unterschrieben werden, und der Zutritt ist nur für einen stark limitierten Personenkreis zulässig.

Welche Regelungen für die jeweilige Sicherheitszone getroffen werden, hängt zunächst von der Einschätzung des eigenen Unternehmens zur Kritikalität der in der Zone befindlichen Informationswerte ab. Ebenfalls müssen die Kundenvorgaben berücksichtigt werden, die den Umgang mit Informationswerten des Kunden betreffen. Auch hier ist es hilfreich, wenn sowohl der Kunde als auch das eigene Unternehmen vergleichbare Schemata zur Klassifizierung nutzen und auch ein gleiches Verständnis von Sicherheitszonen haben. Kleiner Praxistipp: Es ist eine gute Idee, sicherheitshalber mit den externen Partnern abzugleichen, ob die genutzten Schemata zur Klassifizierung und zum Verständnis der Sicherheitsbereiche gleich sind.

Zu diesem Zeitpunkt werden die Ausführungen aus dem vorherigen Blogartikel vermutlich verständlicher. Auch die mobilen und häuslichen Arbeitsplätze der Mitarbeiter sollten einem der genannten Sicherheitsbereiche zugeordnet werden – mit der Konsequenz, dass natürlich für diese beiden Arten von Arbeitsplätzen die gleichen Vorgaben gelten wie für die Arbeitsplätze in den jeweiligen Sicherheitsbereichen auf dem Unternehmensgelände. Und auch der Umgang mit Informationswerten, wie z.B. mobilen Datenträgern, sollte bei beiden Arten von Arbeitsplätzen vergleichbar sein. Doch dazu mehr im nächsten Blogartikel ….

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Security Awareness – Sicherheit leben – Teil 1: Passwörter

In den bisherigen Artikeln (Teil1, Teil2 und Teil 3, Teil 4) hatten wir dargestellt, wie ein Security Awareness Konzept aussehen kann. Sie wandten sich somit eher an Verantwortliche, die Security Awareness im Unternehmen konzeptionell betreuen und strukturiert aufbauen wollen. In dieser neuen Folge von Blogbeiträgen sollen dagegen einzelne Themen adressiert werden, die sich als Inhalte für Awarenessmaßnahmen eignen könnten.

Authentizität bei der Anmeldung

Passwörter dienen dazu, die Authentizität bei der Anmeldung an ein System oder eine Anwendung sicherzustellen. Dieses Vorgehen setzt voraus, dass nur die berechtige Person selber das Passwort kennt, das mit dem genutzten Login verbunden ist. Aus diesem Grund verbieten auch die meisten Passwortrichtlinien die Weitergabe des eigenen Passwortes an andere Personen. Gemeint sind hier vor allem personalisierte Zugänge – also Anmeldeinformationen bzw. Konten, die genau einer Person zugeordnet sind. In seltenen Fällen kann es jedoch auch erforderlich sein, dass mehrere Personen sich ein Konto „teilen“ bzw. gemeinsam nutzen. Dies kann z.B. bei sehr alten Systemen der Fall sein, welche nicht in der Lage sind, zwischen verschiedenen Konten zu unterscheiden. Bei aktuellen Systemen sollte es aber in den meisten Fällen sehr wohl möglich sein, zwischen verschiedenen Konten bzw. verschiedenen Personen zu unterscheiden. Oder anders gesagt: die Nutzung von Konten durch mehrere Personen sollte eine absolute Ausnahme sein und nach Möglichkeit vermieden werden.

Hintergrund dieser strengen Formulierung ist das Schutzziel „Zurechenbarkeit“. Aktivitäten in Systemen werden in der Art protokolliert, dass der Kontoname aufgezeichnet wird, also der Login, mit dem eine Aktivität durchgeführt wird. Bei der Aufarbeitung von Vorfällen ist es meist wichtig, präzise zuordnen zu können, welche Person problematische Aktivitäten durchgeführt hat. Wenn ein Konto also von mehreren Personen genutzt werden könnte, ist diese eindeutige Zuordnung nicht mehr möglich.

Konten sollen also durch Passwörter geschützt werden – und diese Passwörter müssen stark sein. Durch die fortschreitende Entwicklung der Rechentechnik kann es möglich sein, ein eigentlich geheimes Passwort durch einfaches „Ausprobieren“ herauszufinden. Dieses Ausprobieren dauert umso länger, je länger ein Passwort ist. Interessanterweise ist der Zusammenhang zwischen der Passwortlänge und der zum Ausprobieren benötigten Zeit nicht etwa linear, sondern eher exponentiell: eine Verdopplung der Passwortlänge bedeutet daher keine Verdopplung der benötigten Zeit, sondern eher (sehr grob gesagt) eine Vervierfachung der Zeit. Ein Passwort kann man also dadurch stärker gestalten, dass man die Passwortlänge erhöht. Mit aktueller Standardhardware geht man derzeit davon aus, dass ein Passwort mindestens 8 Stellen haben sollte, um als sicher zu gelten. Allerdings darf die Länge gerne größer gewählt werden, um Angreifern das Leben schwerer zu machen …

Passwortschutz und Multifaktorauthentifizierung

Neue Technologien im Bereich Passwortschutz und Multifaktorauthentifizierung gehen heute weit über das klassische Passwort hinaus und bieten Unternehmen deutlich mehr Sicherheit bei gleichzeitig höherem Komfort für die Mitarbeitenden. Statt sich komplizierte Kombinationen merken zu müssen, setzen moderne Lösungen auf biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung, Sicherheitsschlüssel nach dem FIDO2-Standard oder als zeitgesteuerte Einmalfreigaben (TOTP) per App. Die Idee dahinter ist einfach: Es wird nicht mehr nur ein einzelner Faktor – wie das Passwort – abgefragt, sondern eine Kombination aus Wissen, Besitz und persönlichem Merkmal. So wird das Risiko von Angriffen wie Phishing oder gestohlenen Zugangsdaten erheblich reduziert. Für Unternehmen bedeutet dies nicht nur bessere Sicherheitsstandards, sondern auch eine spürbare Entlastung in der täglichen Praxis, da die Anmeldung schneller, bequemer und gleichzeitig zuverlässiger abläuft.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Sicherheit leben“

Weitere Seminare finden Sie unter https://anmatho.de/seminare. Diese können Sie auch als individuelles Inhouse-Seminar buchen.
Sprechen Sie uns gern an.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Interne Audits – Erstellung eines
Auditprogrammes – Teil 4

Interne Audits sind ein essenzielles Instrument, um Prozesse, Systeme und Managementansätze kontinuierlich zu verbessern. Sie helfen Unternehmen dabei, Schwachstellen zu identifizieren, Konformität mit Normen wie ISO 27001, ISO 9001, ISO 14001 oder ISO 45001 sicherzustellen und die Leistungsfähigkeit nachhaltig zu steigern. In den folgenden Artikeln beleuchten wir Schritt für Schritt die Kernbereiche – von der Erstellung eines Auditprogrammes bis zu Herausforderungen und Best Practices.

In den vorherigen Beiträgen wurde die Bedeutung interner Audits nach ISO 27001 für die Informationssicherheit im Unternehmen, die Ausbildung zum Auditor und die unterschiedlichen Auditarten besprochen. Dieses Mal geht es um die Erstellung eines Auditprogrammes.

Erstellung eines Auditprogrammes

Ein wirksames Auditprogramm bildet die Grundlage für alle späteren Auditaktivitäten. Es handelt sich dabei nicht nur um eine formale Planung, sondern um ein strukturiertes Dokument, das langfristig Orientierung bietet. Das Ziel ist alle relevanten Geschäftsprozesse systematisch zu überprüfen und so kontinuierliche Verbesserungen anzustoßen.

Zu Beginn ist es entscheidend, den Zweck des Auditprogramms klar zu definieren. Typische Ziele sind z. B. die interne Überprüfung auf Einhaltung gesetzlicher Anforderungen, die Bewertung von Risiken oder die Sicherstellung von Qualitätsstandards in Bezug auf Kundenanforderungen.

Ein effektives Auditprogramm berücksichtigt mehrere entscheidende Faktoren:

  • Umfang und Geltungsbereich: Welche Abteilungen, Prozesse oder Standorte sollen geprüft werden?
  • Auditkriterien: Gegen welche Normen, Richtlinien oder Unternehmensstandards wird verglichen?
  • Auditfrequenz: In welchen Intervallen werden die Audits durchgeführt (z. B. quartalsweise, jährlich oder risikobasiert)?
  • Risikobasierter Ansatz: Besonders kritische Prozesse mit hohem Risiko für Compliance-Verstöße sollten häufiger auditiert werden.
  • Verantwortlichkeiten: Wer erstellt, koordiniert und überwacht das Auditprogramm?

Ebenso sollten die Ressourcen berücksichtigt werden. Dazu gehören geschulte Auditoren, verfügbare Zeitfenster sowie unterstützende Tools wie digitale Auditmanagement-Software.

Wesentlicher Bestandteil ist auch die Kommunikation: Das Auditprogramm sollte allen relevanten Stakeholdern wie Bereichsleitern, Führungskräften und Mitarbeitern transparent zur Verfügung gestellt werden. Eine klare Kommunikation erhöht die Akzeptanz und reduziert Widerstände.

Schließlich sollte das Auditprogramm dynamisch angelegt sein. Das bedeutet, dass es regelmäßig überprüft und an neue Entwicklungen angepasst wird – sei es aufgrund neuer Gesetze, interner Veränderungen oder geänderter Unternehmensstrategien.

Fazit:

Ein gut durchdachtes Auditprogramm ist das Fundament erfolgreicher Audits. Es stellt sicher, dass keine relevanten Aspekte vernachlässigt werden, und bietet dem Unternehmen einen strategischen Rahmen für kontinuierliche Verbesserung.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Podcast – Security on Air – Heute Praxistipps zu Audits

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Mit einer guten Vorbereitung entspannt ins Audit gehen? In unserer aktuellen Podcast-Folge „Praxistipps zum Audit – Gut vorbereitet in die Prüfung“ geben wir Ihnen konkrete, praxisnahe Einblicke, wie Sie sich als Unternehmensleitung, Datenschutz- oder Informationssicherheitsbeauftragte optimal auf das nächste Zertifizierungsaudit vorbereiten. Die Folge hält wertvolle Tipps direkt aus der gelebten Prüfungspraxis bereit.

Worum geht es in der Episode?

Audits sind oft mit Unsicherheit und Aufregung verbunden: Wurde an alles gedacht? Sind die Umsetzungen ausreichend? Was passiert, wenn eine Regel zwar gelebt, aber nicht dokumentiert ist – oder umgekehrt? Unser Podcast-Experte, selbst als Auditor und Berater aktiv, nimmt Sie Schritt für Schritt mit durch typische Prüfungsfragen und gibt wertvolle Hinweise:

  • Regelkonformität & Nachweise: Worauf achtet ein Auditor? Warum reicht „gelebte Praxis“ alleine nicht aus?
  • Dokumentation: Was muss schriftlich festgelegt sein – und wie beweisen Sie das im Audit?
  • Interne Audits als Generalprobe: Wie nutzen Sie interne Audits zur Überprüfung und Schulung des Teams?
  • Vorbereitung der Geschäftsführung: Welche Fragen werden an die oberste Leitung gestellt – und wie beantworten Sie diese überzeugend?
  • Remote-Audits – Besonderheiten: Was müssen Sie bei Online-Prüfungen bedenken und bereithalten?
  • Typische Stolperfallen und wie Sie diese vermeiden: Von fehlenden Nachweisen bis zu unklaren Verantwortlichkeiten.
  • Audit-Etikette & Kommunikation: Wie antworten Sie souverän und vermeiden Missverständnisse?
  • Hilfsmittel für Ihre Audit-Vorbereitung: Als Kunde der ANMATHO AG erhalten Sie einen Audit-Kompass, der speziell die wichtigsten Fragestellungen für die Geschäftsleitung bündelt.

Warum reinhören?

Ob Neueinsteiger oder erfahrener Informationssicherheitsbeauftragter – die Folge bietet kompaktes Wissen, wertvolle Prüfungsstrategien, Erfahrungsberichte und praktische Hinweise, die Ihnen Sicherheit geben. Profitieren Sie von Tipps aus erster Hand und erfahren Sie, wie Sie Audits nicht nur bestehen, sondern auch zur kontinuierlichen Verbesserung Ihres Managementsystems nutzen.

Neugierig?

Hören Sie rein – Ihr Weg zum entspannten Auditstart beginnt mit einem Klick!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

KI im Unternehmen – Segen, Fluch oder doch ein Muss?

Künstliche Intelligenz (KI) ist längst im Unternehmensalltag angekommen – und polarisiert wie kaum eine andere Technologie. Ihre Einsatzmöglichkeiten wachsen rasant, von automatisierten Workflows über präzise Datenanalysen bis hin zu Chatbots im Kundenservice. Doch ist KI nun ein Fluch oder ein Segen für Unternehmen? Die Wahrheit liegt – wie so oft – in der differenzierten Betrachtung.

Vorteile: Effizienz, Innovation, Wachstum

Die wohl größte Stärke von KI liegt in der Automatisierung wiederkehrender Aufgaben. Routinetätigkeiten, die früher Stunden oder Tage in Anspruch nahmen, lassen sich heute in Sekunden erledigen. Mitarbeitende gewinnen dadurch Freiraum für komplexere, kreative oder strategische Aufgaben – das steigert nicht nur die Produktivität, sondern oft auch die Zufriedenheit im Job.

Ein weiterer enormer Mehrwert: Datenanalyse in Echtzeit. KI-Systeme eröffnen Unternehmen völlig neue Einblicke in Markttrends, Kundenverhalten und interne Prozesse. Entscheidungen können so datenbasiert und schneller getroffen werden. Auch für die Prognose zukünftiger Entwicklungen bietet KI zuverlässige Unterstützung. Viele Unternehmen profitieren zudem von Kosteneinsparungen durch effizientere Prozesse und weniger Fehlerquellen.

Gerade im Kundenkontakt zeigt sich ein zusätzlicher Vorteil: KI-gestützte Service-Tools wie Chatbots sind rund um die Uhr erreichbar und beantworten blitzschnell standardisierte Anfragen – ein klarer Pluspunkt in einer zunehmend digitalisierten und schnelllebigen Welt.

Nachteile: Risiken für Menschlichkeit und Sicherheit

So viele Chancen KI bringt, so groß sind aber auch die Herausforderungen. Ein zentraler Kritikpunkt ist der potenzielle Verlust von Arbeitsplätzen: Wo Algorithmen und Maschinen Aufgaben menschlicher Arbeitskräfte übernehmen, verändert sich zwangsläufig die Beschäftigungslandschaft. Besonders betroffen sind dabei Berufe mit hohem Routineanteil.

Zudem steht die Frage nach Datenschutz und IT-Sicherheit im Raum. Mit wachsender Bedeutung von KI wächst auch die Menge sensibler Daten, die täglich verarbeitet werden. Datenschutz und ein verantwortungsvoller Umgang mit Informationen sind daher unverzichtbar, nicht zuletzt wegen gesetzlicher Vorgaben wie der DSGVO. Ebenso ist die Integrität von Informationen in Zeiten von Deep Fake und KI generierten Sprachnachrichten und Videos nur schwer zu gewährleisten und jeder der damit konfrontiert wird sollte gut geschult sein und nicht blind vertrauen. Aktuell ist die KI noch recht schnell zu erkennen, aber die Technik entwickelt sich rasend schnell weiter und damit müssen alle schritthalten.

Auch die Abhängigkeit von Technologie birgt Risiken: Technische Ausfälle oder Cyberangriffe können weitreichende Folgen haben. Hinzu kommt, dass KI-Systemen oft die „menschliche Note“ fehlt – Empathie, Kreativität oder ethische Sensibilität lassen sich nur schwer automatisieren, was vor allem im direkten Kundenkontakt zum Nachteil werden kann, denn was nicht standardisiert ist kann oft von der KI auch nicht beantwortet werden.

Fazit: Segen, Fluch – oder doch ein Muss?

Die Gretchenfrage – KI nutzen oder nicht? – beantwortet sich zunehmend von selbst: Unternehmen, die sich dem Thema verwehren, laufen Gefahr, den Anschluss zu verlieren. Die meisten Experten sind sich einig, dass der sinnvolle, verantwortungsbewusste Einsatz von KI ein enormer Wettbewerbsvorteil sein kann. Voraussetzung dafür ist allerdings, die Schattenseiten zu kennen und die Technologie gezielt, ethisch und mit klaren Spielregeln einzusetzen.

KI ist also weder Fluch noch Segen per se. Sie ist ein mächtiges Werkzeug – und wie jede mächtige Technologie entscheidet der Mensch darüber, wie sie zum Einsatz kommt. Ein bewusster Umgang, ständige Weiterbildung und der offene Diskurs über Chancen und Risiken werden darüber bestimmen, ob KI zum Fortschrittsmotor oder Problemfall im Unternehmen wird.

Was Sie auch interessieren könnte:

Seminar:

“KI im Unternehmen – Rechtliche Anforderungen und praktische Umsetzung”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Beitrag:

KI-Schulung: Eine entscheidende Anforderung des AI Acts

/von
,

Business Continuity Management – Weil der Ernstfall schon lange keine Ausnahme mehr ist

Wer hätte gedacht, dass ein Begriff wie Business Continuity Management (kurz: BCM) einmal salonfähig wird – nicht nur in den Chefetagen, sondern auch beim entspannten Smalltalk am Kaffeeautomaten. Doch genau das ist in Europa anno 2025 Realität. Zwischen regulatorischen Bestimmungen wie der NIS2-Richtlinie, DORA, KRITIS und dem ständigen Rattern der Risiko-News-Ticker erkennt selbst der härteste Krisenleugner: „Vielleicht sollten wir echt mal drüber reden, was passiert, wenn das Internet ausfällt – und nicht nur, wenn der WLAN-Router im Homeoffice spinnt“.

Was ist BCM überhaupt?

Stellen Sie sich BCM wie eine robuste Rettungsweste für Unternehmen vor. Zwar blickt niemand gern auf mögliche Krisen – sei es Cyberangriffe, Naturkatastrophen, Lieferkettenchaos oder plötzlich verschwundene Mitarbeitende nach einer (zu) gelungenen Weihnachtsfeier. Aber wenn’s ernst wird, will niemand ohne Schwimmhilfe ins Wasser springen. Ein gutes BCM sorgt dafür, dass die elementaren Unternehmensprozesse nicht untergehen und der Betrieb weiter dümpelt – notfalls auch auf hoher See.

Aktuelle Sicherheitslage: Europa, das Stress-Test-Labor

In Europa jagt gerade eine Herausforderung die nächste: Wirtschaftliche Wasserrutschen, politische Sturmwinde, neue Hacker-Wellen. Die EU füllt den Gesetzgebungs-Ozean mit immer mehr Vorschriften, um Unternehmen zur BCM-Pflicht zu motivieren (DORA, NIS2, KRITIS – alle dabei!). Wer denkt, „wird schon nix passieren“, landet inzwischen schneller am Existenzrand als ein defekter USB-Stick im Sondermüll. Deloitte: „Benchmarkstudie Business Continuity Management 2025“

Und der Mittelstand?

Gerade kleine und mittlere Unternehmen stehen vor der Mammutaufgabe, aus dem Vorschriften-Dschungel einen eigenen Notfall-Plan zu schnitzen. Denn: Der Kunde von heute glaubt an alles – außer daran, dass Ausreden wie „Server kaputt“ morgen noch Sympathiepunkte bringen. Ein solides BCM ist mittlerweile auch Türöffner für große Ausschreibungen und sogar immer öfter Pflicht in manchen Kundenbeziehungen.

Fazit (keine Panik, nur Planung!)

Nein, Business Continuity heißt nicht, dass man ab jetzt alle Mitarbeitenden in Alufolie einwickeln muss. Aber ein bisschen Vorbereitung schadet nie – zumal die nächste Krise bestimmt kommt. BCM: Nicht nur Pflichtprogramm, sondern vielleicht bald die entspannte Rückversicherung für Ihren sorgenfreien Geschäftsalltag.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Security Awareness die wirkt! – Der aktuelle “Stand der Technik” kommt von ANMATHO

Menschliches Fehlverhalten ist immer noch der Hauptgrund für erfolgreiche Cyberangriffe und Sicherheitsvorfälle. Für technische Systeme gibt es mittlerweile eine ganze Armada an Lösungen, um die Gefahren zu verringern.

Doch wie steht es um die sichere Handlungsfähigkeit der eigenen Mitarbeiter?

Wie kann sicheres Verhalten im Unternehmen sich vom Zufall zum Standard entwickeln?

Awareness-Maßnahmen sind seit vielen Jahren Bestandteil unseres Angebotes innerhalb verschiedener Bereiche rund um die Informationssicherheit.

Der neue Stand der Technik von TeleTrusT: Ein Maßstab für Awareness. Von und mit der ANMATHO AG.

Gemeinsam haben wir unsere langjährige Erfahrung und den aktuellen Stand der Wissenschaft rund um “Security Awareness” zusammengeführt und weiterentwickelt.

Diese Expertise findet sich jetzt auch im vollständig überarbeiteten „Stand der Technik in der IT-Sicherheit“ Kapitel „Sensibilisierung der Anwender“. Damit legt der TeleTrusT e.V. einen branchenweit anerkannten, praxisnahen Referenzrahmen vor, der nicht nur technische, sondern explizit auch organisatorische und menschliche Aspekte adressiert.

Die Handreichung schließt eine entscheidende Lücke: Während Gesetzgeber wie das IT-Sicherheitsgesetz und die DSGVO hohe Anforderungen formulieren, bleiben konkrete methodische Ansätze oft vage. Der “Stand der Technik in der IT-Sicherheit” liefert klare Handlungsempfehlungen und definiert, wie Security Awareness als integraler Bestandteil des „Stands der Technik“ in Unternehmen verankert werden sollte. Gerade in Hinblick auf die kommende NIS2 Umsetzung eine nicht zu unterschätzende Hilfe.

Unser Ansatz: Validiert durch Forschung und den Stand der Technik

Unsere Produkte basieren auf der Forschung und Validierung führender Wissenschaftler im Bereich der Security Awareness Studies sowie der langjährigen Erfahrung Sicherheit umfassend zu denken.

Von der Sicherheitshygiene bis zum erfolgreich gelernten sicheren Umgang mit kritischen Systemen: Unsere verschiedenen Bausteine versetzen ihre Mitarbeiter in die Lage sicheres Verhalten zu zeigen.

Immer im Mittelpunkt: Der Mensch.

Die neue TeleTrusT-Handreichung bestätigt: Security Awareness ist heute mehr als ein „Nice-to-have“ – sie ist ein zentraler Bestandteil des Standes der Technik und damit Pflicht für jedes verantwortungsvolle Unternehmen. Wer jetzt in die sichere Handlungsfähigkeit seiner Mitarbeitenden investiert, schützt nicht nur seine Daten und Prozesse, sondern sichert sich auch finanzielle und strategische Vorteile.

Machen Sie Security Awareness zum Standard in Ihrem Unternehmen – wir unterstützen Sie dabei mit maßgeschneiderten, validierten Lösungen. Sprechen Sie uns an und erfahren Sie, wie Sie den Stand der Technik in Ihrer Organisation pragmatisch, wirksam und wirtschaftlich umsetzen!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen