,

TISAX® – Informationssicherheit im Detail, Teil 7

Im vorherigen Blogartikel tauchte im Zusammenhang mit dem mobilen Arbeiten und der Informationssicherheit nach TISAX® auch der Begriff Zonenkonzept auf. Dieser Begriff soll an dieser Stelle näher beleuchtet werden.

Die meisten Standards und Normen für Informationssicherheit kennen die Idee der Sicherheitszonen, wenn es um die Betrachtung der physischen Sicherheit geht. Bei einem solchen Zonenkonzept werden die Räumlichkeiten und Flächen des Unternehmens anhand von Lageplänen, Raumplänen u.ä. in verschiedene Bereiche unterteilt. Diese Unterteilung orientiert sich daran, wie sensibel und kritisch die Informationswerte sind, die im jeweiligen Bereich gespeichert, gelagert oder verarbeitet werden.

Whitepaper des VDA

Da in dem VDA-Whitepaper zur „Harmonisierung der Klassifizierungsstufen“ ein vierstufiges Schema zur Klassifizierung vorgeschlagen wird (zur Erinnerung: „öffentlich“, „intern“, „vertraulich“ und „streng vertraulich“), sehen auch viele Zonenkonzepte eine solche vierstufige Einteilung vor. Diese 4 Sicherheitszonen (auch: Sicherheitsbereiche) werden oft als „öffentliche Zone“, „kontrollierte Zone“, „eingeschränkte Zone“ und „Hochrisikozone“ bezeichnet. Aus Gründen der Übersichtlichkeit und auch zur Kennzeichnung von Räumlichkeiten werden den 4 Klassifizierungsstufen, ebenfalls auf Anregung des VDA, Farben zugeordnet. Somit ergibt sich nach einem erweiterten Ampelprinzip vor: weiß für die öffentliche Zone, grün für die kontrollierte Zone, gelb für die eingeschränkte Zone und rot für die Hochrisikozone.

Festlegung von Sicherheitszonen

Die Unterteilung in Zonen ist nur dann sinnvoll, wenn für die einzelnen Zonen auch unterschiedliche Vorgaben gemacht werden, bzw. wenn sich die Tätigkeiten und Aktivitäten in den Zonen auch klar unterscheiden lassen. Diese Vorgaben können sich auf verschiedene Bereiche beziehen und natürlich werden diese Vorgaben aufsteigend strenger und umfassender. In einem weißen Bereich, also der „öffentlichen Zone“, wird man meist nur wenige Vorgaben machen. So ist oft z.B. das Mitführen und auch Benutzen von Mobiltelefonen und anderen Aufzeichnungsgeräten nicht eingeschränkt, und auch der Zutritt wird nicht gesteuert. Am entgegengesetzten Ende der Skala, in der rot markierten „Hochsicherheitszone“, müssen Aufzeichnungsgeräte oft vor dem Betreten abgegeben werden, Verschwiegenheitserklärungen unterschrieben werden, und der Zutritt ist nur für einen stark limitierten Personenkreis zulässig.

Welche Regelungen für die jeweilige Sicherheitszone getroffen werden, hängt zunächst von der Einschätzung des eigenen Unternehmens zur Kritikalität der in der Zone befindlichen Informationswerte ab. Ebenfalls müssen die Kundenvorgaben berücksichtigt werden, die den Umgang mit Informationswerten des Kunden betreffen. Auch hier ist es hilfreich, wenn sowohl der Kunde als auch das eigene Unternehmen vergleichbare Schemata zur Klassifizierung nutzen und auch ein gleiches Verständnis von Sicherheitszonen haben. Kleiner Praxistipp: Es ist eine gute Idee, sicherheitshalber mit den externen Partnern abzugleichen, ob die genutzten Schemata zur Klassifizierung und zum Verständnis der Sicherheitsbereiche gleich sind.

Zu diesem Zeitpunkt werden die Ausführungen aus dem vorherigen Blogartikel vermutlich verständlicher. Auch die mobilen und häuslichen Arbeitsplätze der Mitarbeiter sollten einem der genannten Sicherheitsbereiche zugeordnet werden – mit der Konsequenz, dass natürlich für diese beiden Arten von Arbeitsplätzen die gleichen Vorgaben gelten wie für die Arbeitsplätze in den jeweiligen Sicherheitsbereichen auf dem Unternehmensgelände. Und auch der Umgang mit Informationswerten, wie z.B. mobilen Datenträgern, sollte bei beiden Arten von Arbeitsplätzen vergleichbar sein. Doch dazu mehr im nächsten Blogartikel ….

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Security Awareness – Sicherheit leben – Teil 1: Passwörter

In den bisherigen Artikeln (Teil1, Teil2 und Teil 3, Teil 4) hatten wir dargestellt, wie ein Security Awareness Konzept aussehen kann. Sie wandten sich somit eher an Verantwortliche, die Security Awareness im Unternehmen konzeptionell betreuen und strukturiert aufbauen wollen. In dieser neuen Folge von Blogbeiträgen sollen dagegen einzelne Themen adressiert werden, die sich als Inhalte für Awarenessmaßnahmen eignen könnten.

Authentizität bei der Anmeldung

Passwörter dienen dazu, die Authentizität bei der Anmeldung an ein System oder eine Anwendung sicherzustellen. Dieses Vorgehen setzt voraus, dass nur die berechtige Person selber das Passwort kennt, das mit dem genutzten Login verbunden ist. Aus diesem Grund verbieten auch die meisten Passwortrichtlinien die Weitergabe des eigenen Passwortes an andere Personen. Gemeint sind hier vor allem personalisierte Zugänge – also Anmeldeinformationen bzw. Konten, die genau einer Person zugeordnet sind. In seltenen Fällen kann es jedoch auch erforderlich sein, dass mehrere Personen sich ein Konto „teilen“ bzw. gemeinsam nutzen. Dies kann z.B. bei sehr alten Systemen der Fall sein, welche nicht in der Lage sind, zwischen verschiedenen Konten zu unterscheiden. Bei aktuellen Systemen sollte es aber in den meisten Fällen sehr wohl möglich sein, zwischen verschiedenen Konten bzw. verschiedenen Personen zu unterscheiden. Oder anders gesagt: die Nutzung von Konten durch mehrere Personen sollte eine absolute Ausnahme sein und nach Möglichkeit vermieden werden.

Hintergrund dieser strengen Formulierung ist das Schutzziel „Zurechenbarkeit“. Aktivitäten in Systemen werden in der Art protokolliert, dass der Kontoname aufgezeichnet wird, also der Login, mit dem eine Aktivität durchgeführt wird. Bei der Aufarbeitung von Vorfällen ist es meist wichtig, präzise zuordnen zu können, welche Person problematische Aktivitäten durchgeführt hat. Wenn ein Konto also von mehreren Personen genutzt werden könnte, ist diese eindeutige Zuordnung nicht mehr möglich.

Konten sollen also durch Passwörter geschützt werden – und diese Passwörter müssen stark sein. Durch die fortschreitende Entwicklung der Rechentechnik kann es möglich sein, ein eigentlich geheimes Passwort durch einfaches „Ausprobieren“ herauszufinden. Dieses Ausprobieren dauert umso länger, je länger ein Passwort ist. Interessanterweise ist der Zusammenhang zwischen der Passwortlänge und der zum Ausprobieren benötigten Zeit nicht etwa linear, sondern eher exponentiell: eine Verdopplung der Passwortlänge bedeutet daher keine Verdopplung der benötigten Zeit, sondern eher (sehr grob gesagt) eine Vervierfachung der Zeit. Ein Passwort kann man also dadurch stärker gestalten, dass man die Passwortlänge erhöht. Mit aktueller Standardhardware geht man derzeit davon aus, dass ein Passwort mindestens 8 Stellen haben sollte, um als sicher zu gelten. Allerdings darf die Länge gerne größer gewählt werden, um Angreifern das Leben schwerer zu machen …

Passwortschutz und Multifaktorauthentifizierung

Neue Technologien im Bereich Passwortschutz und Multifaktorauthentifizierung gehen heute weit über das klassische Passwort hinaus und bieten Unternehmen deutlich mehr Sicherheit bei gleichzeitig höherem Komfort für die Mitarbeitenden. Statt sich komplizierte Kombinationen merken zu müssen, setzen moderne Lösungen auf biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung, Sicherheitsschlüssel nach dem FIDO2-Standard oder als zeitgesteuerte Einmalfreigaben (TOTP) per App. Die Idee dahinter ist einfach: Es wird nicht mehr nur ein einzelner Faktor – wie das Passwort – abgefragt, sondern eine Kombination aus Wissen, Besitz und persönlichem Merkmal. So wird das Risiko von Angriffen wie Phishing oder gestohlenen Zugangsdaten erheblich reduziert. Für Unternehmen bedeutet dies nicht nur bessere Sicherheitsstandards, sondern auch eine spürbare Entlastung in der täglichen Praxis, da die Anmeldung schneller, bequemer und gleichzeitig zuverlässiger abläuft.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Sicherheit leben“

Weitere Seminare finden Sie unter https://anmatho.de/seminare. Diese können Sie auch als individuelles Inhouse-Seminar buchen.
Sprechen Sie uns gern an.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Interne Audits – Erstellung eines
Auditprogrammes – Teil 4

Interne Audits sind ein essenzielles Instrument, um Prozesse, Systeme und Managementansätze kontinuierlich zu verbessern. Sie helfen Unternehmen dabei, Schwachstellen zu identifizieren, Konformität mit Normen wie ISO 27001, ISO 9001, ISO 14001 oder ISO 45001 sicherzustellen und die Leistungsfähigkeit nachhaltig zu steigern. In den folgenden Artikeln beleuchten wir Schritt für Schritt die Kernbereiche – von der Erstellung eines Auditprogrammes bis zu Herausforderungen und Best Practices.

In den vorherigen Beiträgen wurde die Bedeutung interner Audits nach ISO 27001 für die Informationssicherheit im Unternehmen, die Ausbildung zum Auditor und die unterschiedlichen Auditarten besprochen. Dieses Mal geht es um die Erstellung eines Auditprogrammes.

Erstellung eines Auditprogrammes

Ein wirksames Auditprogramm bildet die Grundlage für alle späteren Auditaktivitäten. Es handelt sich dabei nicht nur um eine formale Planung, sondern um ein strukturiertes Dokument, das langfristig Orientierung bietet. Das Ziel ist alle relevanten Geschäftsprozesse systematisch zu überprüfen und so kontinuierliche Verbesserungen anzustoßen.

Zu Beginn ist es entscheidend, den Zweck des Auditprogramms klar zu definieren. Typische Ziele sind z. B. die interne Überprüfung auf Einhaltung gesetzlicher Anforderungen, die Bewertung von Risiken oder die Sicherstellung von Qualitätsstandards in Bezug auf Kundenanforderungen.

Ein effektives Auditprogramm berücksichtigt mehrere entscheidende Faktoren:

  • Umfang und Geltungsbereich: Welche Abteilungen, Prozesse oder Standorte sollen geprüft werden?
  • Auditkriterien: Gegen welche Normen, Richtlinien oder Unternehmensstandards wird verglichen?
  • Auditfrequenz: In welchen Intervallen werden die Audits durchgeführt (z. B. quartalsweise, jährlich oder risikobasiert)?
  • Risikobasierter Ansatz: Besonders kritische Prozesse mit hohem Risiko für Compliance-Verstöße sollten häufiger auditiert werden.
  • Verantwortlichkeiten: Wer erstellt, koordiniert und überwacht das Auditprogramm?

Ebenso sollten die Ressourcen berücksichtigt werden. Dazu gehören geschulte Auditoren, verfügbare Zeitfenster sowie unterstützende Tools wie digitale Auditmanagement-Software.

Wesentlicher Bestandteil ist auch die Kommunikation: Das Auditprogramm sollte allen relevanten Stakeholdern wie Bereichsleitern, Führungskräften und Mitarbeitern transparent zur Verfügung gestellt werden. Eine klare Kommunikation erhöht die Akzeptanz und reduziert Widerstände.

Schließlich sollte das Auditprogramm dynamisch angelegt sein. Das bedeutet, dass es regelmäßig überprüft und an neue Entwicklungen angepasst wird – sei es aufgrund neuer Gesetze, interner Veränderungen oder geänderter Unternehmensstrategien.

Fazit:

Ein gut durchdachtes Auditprogramm ist das Fundament erfolgreicher Audits. Es stellt sicher, dass keine relevanten Aspekte vernachlässigt werden, und bietet dem Unternehmen einen strategischen Rahmen für kontinuierliche Verbesserung.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Podcast – Security on Air – Heute Praxistipps zu Audits

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Mit einer guten Vorbereitung entspannt ins Audit gehen? In unserer aktuellen Podcast-Folge „Praxistipps zum Audit – Gut vorbereitet in die Prüfung“ geben wir Ihnen konkrete, praxisnahe Einblicke, wie Sie sich als Unternehmensleitung, Datenschutz- oder Informationssicherheitsbeauftragte optimal auf das nächste Zertifizierungsaudit vorbereiten. Die Folge hält wertvolle Tipps direkt aus der gelebten Prüfungspraxis bereit.

Worum geht es in der Episode?

Audits sind oft mit Unsicherheit und Aufregung verbunden: Wurde an alles gedacht? Sind die Umsetzungen ausreichend? Was passiert, wenn eine Regel zwar gelebt, aber nicht dokumentiert ist – oder umgekehrt? Unser Podcast-Experte, selbst als Auditor und Berater aktiv, nimmt Sie Schritt für Schritt mit durch typische Prüfungsfragen und gibt wertvolle Hinweise:

  • Regelkonformität & Nachweise: Worauf achtet ein Auditor? Warum reicht „gelebte Praxis“ alleine nicht aus?
  • Dokumentation: Was muss schriftlich festgelegt sein – und wie beweisen Sie das im Audit?
  • Interne Audits als Generalprobe: Wie nutzen Sie interne Audits zur Überprüfung und Schulung des Teams?
  • Vorbereitung der Geschäftsführung: Welche Fragen werden an die oberste Leitung gestellt – und wie beantworten Sie diese überzeugend?
  • Remote-Audits – Besonderheiten: Was müssen Sie bei Online-Prüfungen bedenken und bereithalten?
  • Typische Stolperfallen und wie Sie diese vermeiden: Von fehlenden Nachweisen bis zu unklaren Verantwortlichkeiten.
  • Audit-Etikette & Kommunikation: Wie antworten Sie souverän und vermeiden Missverständnisse?
  • Hilfsmittel für Ihre Audit-Vorbereitung: Als Kunde der ANMATHO AG erhalten Sie einen Audit-Kompass, der speziell die wichtigsten Fragestellungen für die Geschäftsleitung bündelt.

Warum reinhören?

Ob Neueinsteiger oder erfahrener Informationssicherheitsbeauftragter – die Folge bietet kompaktes Wissen, wertvolle Prüfungsstrategien, Erfahrungsberichte und praktische Hinweise, die Ihnen Sicherheit geben. Profitieren Sie von Tipps aus erster Hand und erfahren Sie, wie Sie Audits nicht nur bestehen, sondern auch zur kontinuierlichen Verbesserung Ihres Managementsystems nutzen.

Neugierig?

Hören Sie rein – Ihr Weg zum entspannten Auditstart beginnt mit einem Klick!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

KI im Unternehmen – Segen, Fluch oder doch ein Muss?

Künstliche Intelligenz (KI) ist längst im Unternehmensalltag angekommen – und polarisiert wie kaum eine andere Technologie. Ihre Einsatzmöglichkeiten wachsen rasant, von automatisierten Workflows über präzise Datenanalysen bis hin zu Chatbots im Kundenservice. Doch ist KI nun ein Fluch oder ein Segen für Unternehmen? Die Wahrheit liegt – wie so oft – in der differenzierten Betrachtung.

Vorteile: Effizienz, Innovation, Wachstum

Die wohl größte Stärke von KI liegt in der Automatisierung wiederkehrender Aufgaben. Routinetätigkeiten, die früher Stunden oder Tage in Anspruch nahmen, lassen sich heute in Sekunden erledigen. Mitarbeitende gewinnen dadurch Freiraum für komplexere, kreative oder strategische Aufgaben – das steigert nicht nur die Produktivität, sondern oft auch die Zufriedenheit im Job.

Ein weiterer enormer Mehrwert: Datenanalyse in Echtzeit. KI-Systeme eröffnen Unternehmen völlig neue Einblicke in Markttrends, Kundenverhalten und interne Prozesse. Entscheidungen können so datenbasiert und schneller getroffen werden. Auch für die Prognose zukünftiger Entwicklungen bietet KI zuverlässige Unterstützung. Viele Unternehmen profitieren zudem von Kosteneinsparungen durch effizientere Prozesse und weniger Fehlerquellen.

Gerade im Kundenkontakt zeigt sich ein zusätzlicher Vorteil: KI-gestützte Service-Tools wie Chatbots sind rund um die Uhr erreichbar und beantworten blitzschnell standardisierte Anfragen – ein klarer Pluspunkt in einer zunehmend digitalisierten und schnelllebigen Welt.

Nachteile: Risiken für Menschlichkeit und Sicherheit

So viele Chancen KI bringt, so groß sind aber auch die Herausforderungen. Ein zentraler Kritikpunkt ist der potenzielle Verlust von Arbeitsplätzen: Wo Algorithmen und Maschinen Aufgaben menschlicher Arbeitskräfte übernehmen, verändert sich zwangsläufig die Beschäftigungslandschaft. Besonders betroffen sind dabei Berufe mit hohem Routineanteil.

Zudem steht die Frage nach Datenschutz und IT-Sicherheit im Raum. Mit wachsender Bedeutung von KI wächst auch die Menge sensibler Daten, die täglich verarbeitet werden. Datenschutz und ein verantwortungsvoller Umgang mit Informationen sind daher unverzichtbar, nicht zuletzt wegen gesetzlicher Vorgaben wie der DSGVO. Ebenso ist die Integrität von Informationen in Zeiten von Deep Fake und KI generierten Sprachnachrichten und Videos nur schwer zu gewährleisten und jeder der damit konfrontiert wird sollte gut geschult sein und nicht blind vertrauen. Aktuell ist die KI noch recht schnell zu erkennen, aber die Technik entwickelt sich rasend schnell weiter und damit müssen alle schritthalten.

Auch die Abhängigkeit von Technologie birgt Risiken: Technische Ausfälle oder Cyberangriffe können weitreichende Folgen haben. Hinzu kommt, dass KI-Systemen oft die „menschliche Note“ fehlt – Empathie, Kreativität oder ethische Sensibilität lassen sich nur schwer automatisieren, was vor allem im direkten Kundenkontakt zum Nachteil werden kann, denn was nicht standardisiert ist kann oft von der KI auch nicht beantwortet werden.

Fazit: Segen, Fluch – oder doch ein Muss?

Die Gretchenfrage – KI nutzen oder nicht? – beantwortet sich zunehmend von selbst: Unternehmen, die sich dem Thema verwehren, laufen Gefahr, den Anschluss zu verlieren. Die meisten Experten sind sich einig, dass der sinnvolle, verantwortungsbewusste Einsatz von KI ein enormer Wettbewerbsvorteil sein kann. Voraussetzung dafür ist allerdings, die Schattenseiten zu kennen und die Technologie gezielt, ethisch und mit klaren Spielregeln einzusetzen.

KI ist also weder Fluch noch Segen per se. Sie ist ein mächtiges Werkzeug – und wie jede mächtige Technologie entscheidet der Mensch darüber, wie sie zum Einsatz kommt. Ein bewusster Umgang, ständige Weiterbildung und der offene Diskurs über Chancen und Risiken werden darüber bestimmen, ob KI zum Fortschrittsmotor oder Problemfall im Unternehmen wird.

Was Sie auch interessieren könnte:

Seminar:

“KI im Unternehmen – Rechtliche Anforderungen und praktische Umsetzung”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Beitrag:

KI-Schulung: Eine entscheidende Anforderung des AI Acts

/von
,

Business Continuity Management – Weil der Ernstfall schon lange keine Ausnahme mehr ist

Wer hätte gedacht, dass ein Begriff wie Business Continuity Management (kurz: BCM) einmal salonfähig wird – nicht nur in den Chefetagen, sondern auch beim entspannten Smalltalk am Kaffeeautomaten. Doch genau das ist in Europa anno 2025 Realität. Zwischen regulatorischen Bestimmungen wie der NIS2-Richtlinie, DORA, KRITIS und dem ständigen Rattern der Risiko-News-Ticker erkennt selbst der härteste Krisenleugner: „Vielleicht sollten wir echt mal drüber reden, was passiert, wenn das Internet ausfällt – und nicht nur, wenn der WLAN-Router im Homeoffice spinnt“.

Was ist BCM überhaupt?

Stellen Sie sich BCM wie eine robuste Rettungsweste für Unternehmen vor. Zwar blickt niemand gern auf mögliche Krisen – sei es Cyberangriffe, Naturkatastrophen, Lieferkettenchaos oder plötzlich verschwundene Mitarbeitende nach einer (zu) gelungenen Weihnachtsfeier. Aber wenn’s ernst wird, will niemand ohne Schwimmhilfe ins Wasser springen. Ein gutes BCM sorgt dafür, dass die elementaren Unternehmensprozesse nicht untergehen und der Betrieb weiter dümpelt – notfalls auch auf hoher See.

Aktuelle Sicherheitslage: Europa, das Stress-Test-Labor

In Europa jagt gerade eine Herausforderung die nächste: Wirtschaftliche Wasserrutschen, politische Sturmwinde, neue Hacker-Wellen. Die EU füllt den Gesetzgebungs-Ozean mit immer mehr Vorschriften, um Unternehmen zur BCM-Pflicht zu motivieren (DORA, NIS2, KRITIS – alle dabei!). Wer denkt, „wird schon nix passieren“, landet inzwischen schneller am Existenzrand als ein defekter USB-Stick im Sondermüll. Deloitte: „Benchmarkstudie Business Continuity Management 2025“

Und der Mittelstand?

Gerade kleine und mittlere Unternehmen stehen vor der Mammutaufgabe, aus dem Vorschriften-Dschungel einen eigenen Notfall-Plan zu schnitzen. Denn: Der Kunde von heute glaubt an alles – außer daran, dass Ausreden wie „Server kaputt“ morgen noch Sympathiepunkte bringen. Ein solides BCM ist mittlerweile auch Türöffner für große Ausschreibungen und sogar immer öfter Pflicht in manchen Kundenbeziehungen.

Fazit (keine Panik, nur Planung!)

Nein, Business Continuity heißt nicht, dass man ab jetzt alle Mitarbeitenden in Alufolie einwickeln muss. Aber ein bisschen Vorbereitung schadet nie – zumal die nächste Krise bestimmt kommt. BCM: Nicht nur Pflichtprogramm, sondern vielleicht bald die entspannte Rückversicherung für Ihren sorgenfreien Geschäftsalltag.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Security Awareness die wirkt! – Der aktuelle “Stand der Technik” kommt von ANMATHO

Menschliches Fehlverhalten ist immer noch der Hauptgrund für erfolgreiche Cyberangriffe und Sicherheitsvorfälle. Für technische Systeme gibt es mittlerweile eine ganze Armada an Lösungen, um die Gefahren zu verringern.

Doch wie steht es um die sichere Handlungsfähigkeit der eigenen Mitarbeiter?

Wie kann sicheres Verhalten im Unternehmen sich vom Zufall zum Standard entwickeln?

Awareness-Maßnahmen sind seit vielen Jahren Bestandteil unseres Angebotes innerhalb verschiedener Bereiche rund um die Informationssicherheit.

Der neue Stand der Technik von TeleTrusT: Ein Maßstab für Awareness. Von und mit der ANMATHO AG.

Gemeinsam haben wir unsere langjährige Erfahrung und den aktuellen Stand der Wissenschaft rund um “Security Awareness” zusammengeführt und weiterentwickelt.

Diese Expertise findet sich jetzt auch im vollständig überarbeiteten „Stand der Technik in der IT-Sicherheit“ Kapitel „Sensibilisierung der Anwender“. Damit legt der TeleTrusT e.V. einen branchenweit anerkannten, praxisnahen Referenzrahmen vor, der nicht nur technische, sondern explizit auch organisatorische und menschliche Aspekte adressiert.

Die Handreichung schließt eine entscheidende Lücke: Während Gesetzgeber wie das IT-Sicherheitsgesetz und die DSGVO hohe Anforderungen formulieren, bleiben konkrete methodische Ansätze oft vage. Der “Stand der Technik in der IT-Sicherheit” liefert klare Handlungsempfehlungen und definiert, wie Security Awareness als integraler Bestandteil des „Stands der Technik“ in Unternehmen verankert werden sollte. Gerade in Hinblick auf die kommende NIS2 Umsetzung eine nicht zu unterschätzende Hilfe.

Unser Ansatz: Validiert durch Forschung und den Stand der Technik

Unsere Produkte basieren auf der Forschung und Validierung führender Wissenschaftler im Bereich der Security Awareness Studies sowie der langjährigen Erfahrung Sicherheit umfassend zu denken.

Von der Sicherheitshygiene bis zum erfolgreich gelernten sicheren Umgang mit kritischen Systemen: Unsere verschiedenen Bausteine versetzen ihre Mitarbeiter in die Lage sicheres Verhalten zu zeigen.

Immer im Mittelpunkt: Der Mensch.

Die neue TeleTrusT-Handreichung bestätigt: Security Awareness ist heute mehr als ein „Nice-to-have“ – sie ist ein zentraler Bestandteil des Standes der Technik und damit Pflicht für jedes verantwortungsvolle Unternehmen. Wer jetzt in die sichere Handlungsfähigkeit seiner Mitarbeitenden investiert, schützt nicht nur seine Daten und Prozesse, sondern sichert sich auch finanzielle und strategische Vorteile.

Machen Sie Security Awareness zum Standard in Ihrem Unternehmen – wir unterstützen Sie dabei mit maßgeschneiderten, validierten Lösungen. Sprechen Sie uns an und erfahren Sie, wie Sie den Stand der Technik in Ihrer Organisation pragmatisch, wirksam und wirtschaftlich umsetzen!

/von
,

Business Impact Analyse im ISMS – Der Schlüssel für eine robuste Informationssicherheit

In der heutigen digitalisierten Welt sind Unternehmen zunehmend auf ihre IT-Systeme und Geschäftsprozesse angewiesen. Ein unerwarteter Ausfall kann erhebliche Folgen haben – von finanziellen Verlusten bis hin zu Reputationsschäden. Deshalb ist die Business Impact Analyse (kurz BIA), also die Untersuchung der Auswirkungen bei einem Ausfall eines wichtigen Geschäftsprozesses, ein unverzichtbarer Bestandteil eines effektiven Informationssicherheits-Managementsystems (ISMS).

Die BIA hilft den Organisationen, ihre kritischen Geschäftsprozesse zu identifizieren und deren Auswirkungen bei Störungen zu bewerten. Dabei werden Fragen geklärt wie:

  • Welche Prozesse sind essenziell für den Geschäftsbetrieb?
  • Welche Folgen hat eine Unterbrechung?
  • Und wie lange kann das Unternehmen ohne gravierende Schäden auskommen?

Im Rahmen des ISMS, beispielsweise nach ISO/IEC 27001, ist die Durchführung einer BIA ein wichtiger Schritt im Risikomanagement. Die Risikoanalyse ermittelt die übergeordneten Gefährdungen und Eintrittswahrscheinlichkeiten während die BIA die dahinterliegenden Prozesse und deren Auswirkungen detaillierter betrachtet, um dann im Rahmen der Notfallvorsorge weitere mögliche Schutzmaßnahmen und Vorsorgemöglichkeiten zu identifizieren. Sie liefert somit die Grundlage, um angemessene Sicherheitsmaßnahmen zu planen und Wiederherstellungsziele festzulegen. Besonders relevant sind dabei die Begriffe RTO (Recovery Time Objective) und RPO (Recovery Point Objective). Diese geben vor, wie schnell (tolerierbarer zeitlicher Rahmen) die Prozesse wiederhergestellt werden müssen und wie viel Datenverlust während dieser Zeit maximal akzeptabel ist.

Eine gut durchgeführte BIA ermöglicht es Unternehmen, Prioritäten zu setzen und Ressourcen gezielt einzusetzen. Sie trägt dazu bei, die Resilienz gegenüber Cyberangriffen, Systemausfällen oder Naturkatastrophen zu erhöhen. Zudem ist sie eine Voraussetzung für die Zertifizierung nach ISO 22301, dem Standard für Business Continuity Management.

Kurz gesagt: Die Business Impact Analyse ist das Fundament für eine nachhaltige und wirksame Informationssicherheitsstrategie. Sie hilft Unternehmen, Risiken zu minimieren und im Ernstfall schnell und effektiv zu reagieren.

Für weitere Informationen hören Sie unseren Podcast „Business Impact Analyse – für den Ernstfall vorbereitet“.

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein und profitieren Sie vom Fachwissen unserer Experten!

/von
, ,

Podcast – Security on Air – Heute Löschkonzepte

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

In unserem Podcast „Löschkonzepte – Mehr als nur Papierkram“ erfahren Sie, warum ein Löschkonzept weit über das einfache Drücken von „Strg-Alt-Entf“ hinausgeht. Die Datenschutzgrundverordnung (DSGVO) schreibt im Artikel 5 das Prinzip der Speicherbegrenzung vor: Daten dürfen nicht länger gespeichert werden, als es für den ursprünglichen Zweck erforderlich ist. Gleichzeitig haben betroffene Personen das Recht auf Löschung ihrer Daten (Artikel 17 DSGVO). Ein strukturiertes Löschkonzept ist daher unerlässlich – und zwar für digitale wie auch für Papierdaten.

Informationssicherheit und Datenschutz: Zwei Seiten einer Medaille

Auch aus Sicht der Informationssicherheit, etwa nach ISO 27001, ist das Löschen nicht mehr benötigter Informationen Pflicht. Sie müssen nachweisen können, wann und wie Sie Daten gelöscht haben – unabhängig davon, ob es sich um personenbezogene oder andere vertrauliche Informationen handelt.

Wie erstellen Sie wirksame Löschkonzepte?

Wir geben Ihnen im Podcast konkrete Tipps:

  • Beginnen Sie mit einer systematischen Inventur Ihrer Daten: Wo liegen welche Daten? In welchen Systemen, auf welchen Servern oder in welchen Papierarchiven?
  • Kategorisieren Sie Ihre Daten und ordnen Sie ihnen die jeweiligen gesetzlichen Aufbewahrungsfristen zu.
  • Legen Sie klare Verantwortlichkeiten fest: Wer löscht welche Daten, wann und wie?
  • Integrieren Sie Löschprozesse direkt in Ihre Arbeitsabläufe, statt sie als lästigen „Papiertiger“ zu behandeln.
  • Dokumentieren Sie alle Löschvorgänge nachvollziehbar, ohne sensible Details zu protokollieren.

Typische Fallstricke – und wie Sie sie vermeiden

Im Podcast sprechen wir offen über die häufigsten Herausforderungen:

  • Fehlende Verantwortlichkeiten und unklare Zuständigkeiten
  • Unübersichtliche Datenbestände, insbesondere bei Alt-Systemen und Cloud-Diensten
  • Widersprüchliche gesetzliche Vorgaben zu Aufbewahrungs- und Löschfristen
  • Schwierigkeiten bei der Löschung von Daten bei externen Dienstleistern

Unsere Experten zeigen Ihnen, wie Sie diese Stolpersteine umgehen und warum die Zusammenarbeit von Datenschutz und Informationssicherheit dabei entscheidend ist.

Unsere Praxistipps für Ihr Unternehmen

  • Führen Sie regelmäßige Dateninventuren durch und aktualisieren Sie Ihr Löschkonzept bei neuen Datenbeständen.
  • Erstellen Sie für unterschiedliche Datenkategorien individuelle Löschregeln.
  • Automatisieren Sie Löschprozesse, wo immer möglich – und testen Sie diese regelmäßig auf ihre Wirksamkeit.
  • Schulen Sie Ihre Mitarbeiter und machen Sie die Bedeutung des Themas im Unternehmen sichtbar.

Fazit: Löschkonzepte lohnen sich!

Ein gut durchdachtes Löschkonzept unterstützt nicht nur die Einhaltung gesetzlicher Vorgaben, sondern verbessert auch Ihre internen Prozesse im Datenschutz und der Informationssicherheit. Klare Verantwortlichkeiten, strukturierte Dokumentation und regelmäßige Überprüfung sind dabei der Schlüssel zum Erfolg.

Hier ein Paar Links die zum Thema „Löschkonzepte – Mehr als nur Papierkram“ nützlich sein können:

Hören Sie rein und profitieren Sie vom Fachwissen unserer Experten!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

 

/von
,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 6)

Die Managementbewertung

In den ersten Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzens eines Projektteams für die Einführung des ISMS, mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS, mit Berichtswegen, der Integration der ISMS-Prozesse in die Prozesse des Unternehmens und dem Auditprogramm als Steuerungsinstrument beschäftigt.

In diesem Teil soll es ausführlich um die Managementbewertung gehen, die wir in dem Artikel über die Berichtswege schon kurz angeschnitten hatten.

Pflichten der Geschäftsführung bzw. des Vorstands

Es gehört zu den originären Pflichten einer Geschäftsführung eine funktionierende Unternehmensorganisation sicherzustellen, Risiken zu überwachen und ggf. Maßnahmen zur Schadensprävention zu ergreifen. Dies ergibt sich u.a. aus dem StaRUG. Im Falle der Informationssicherheit kommt sie diesen Pflichten durch die Einrichtung eines wirksamen Informationssicherheits-Managementsystems (ISMS) in geeigneter Weise nach.

Nur in kleinen Unternehmen wird sich die Geschäftsführung selbst der ISMS-Einführung annehmen. Meist beauftragt sie einen Mitarbeiter mit der Einrichtung und dem Betrieb des ISMS. Dieser trägt dann den Titel Informationssicherheitsbeauftragter (ISB) , Chief Information Security Officer (CISO) oder eine andere vergleichbare Bezeichnung. Mit der Bestellung eines solchen Beauftragten ist die Arbeit für die oberste Leitung nicht erledigt. Sie muss sich angemessen davon überzeugen, dass die von ihr beauftragte Person diese Aufgabe auch in ihrem Sinne ausfüllt. Die Geschäftsführung bzw. der Vorstand müssen die Eignung, Angemessenheit und Wirksamkeit ihres ISMS feststellen.

Feststellung der Eignung, Angemessenheit und Wirksamkeit des ISMS

Zur Feststellung der Eignung, Angemessenheit und Wirksamkeit des ISMS muss die oberste Leitung ihr ISMS in geplanten Abständen bewerten. Diese Bewertung erfolgt oft in einem Meeting, das auch den Namen Managementbewertung (Management Review) trägt.

Ablauf der Managementbewertung

In der Praxis sieht es meist so aus, dass der Informationssicherheitsbeauftragte (ISB) der obersten Leitung berichtet. Gegenstand des Berichts sind u.a.

  • der Status von Maßnahmen als Folge vorheriger Managementbewertungen,
  • Veränderungen bei verschiedenen, das ISMS betreffenden Themen,
  • Nichtkonformitäten und zugehörige Ursachenanalysen sowie Korrekturmaßnahmen,
  • wichtige Kennzahlen,
  • Auditergebnisse,
  • Stand bei der Erreichung von Informationssicherheitszielen,
  • Ergebnisse der Risikobeurteilung,
  • Umsetzungsgrad beschlossener Maßnahmen sowie
  • allgemeine Möglichkeiten zur fortlaufenden Verbesserung.

Die Führung muss auf den Stand und die Entwicklung bei diesen Themen wertend reagieren. Notwendige Entscheidungen müssen von der obersten Leitung getroffen werden. Die Managementbewertung ist also nichts, was die oberste Leitung einfach konsumieren darf. Vielmehr ist es andersherum. Der Bericht des ISB liefert nur die Informationen, die als Grundlage für die Bewertung und Anpassung des ISMS durch die Geschäftsführung bzw. Vorstand dienen.

Häufigkeit der Managementbewertung

Die ISO 27001:2022 fordert eine Managementbewertung in geplanten Abständen. In der Praxis wird dies übersetzt in “mindestens jährlich”. Mindestens ist aber nicht gleichbedeutend mit angemessen. Was angemessen ist, muss jede Führung selbst festlegen. Gerade in der Einführungsphase eines ISMS können kürzere Abstände durchaus hilfreich und notwendig sein.

In kleineren Unternehmen ist die Geschäftsführung häufig so dicht am operativen Geschäft dran, dass alle oben genannten Themen von ihr ohnehin im Tagesgeschäft beachtet und bearbeitet werden. Hier könnte auch eine Vielzahl von unterschiedlichen Meetings und Formaten in der Summe als Managementbewertung betrachtet werden. Der ISB muss dabei darauf achten, dass im Laufe eines Jahres wirklich alle Pflichtpunkte der Managementbewertung behandelt wurden, dies dokumentiert wurde und ggf. im Audit auch darstellbar ist.

Entscheidet man sich für eine klassische Managementbewertung so hat diese in kleineren Unternehmen häufig den Charakter eines wiederholten Durchgehens bereits bearbeiteter Punkte. Auch in diesem Fall muss darauf geachtet werden, dass dies dokumentiert wird und das eine Bewertung der obersten Leitung bezüglich der Eignung, Angemessenheit und Wirksamkeit des ISMS erkennbar ist.

In mittleren Unternehmen hat sich eine Zahl von zwei bis vier Managementbewertungen im Kalenderjahr bewährt. Eine Führung, die wegen der Größe der eigenen Organisation nicht mehr mit allen Aspekten des Tagesgeschäftes befasst ist, kann sich so in angemessen Abständen mit dem Stand der Informationssicherheit im eigenen Unternehmen auseinandersetzen. Bei Fehlentwicklungen kann wirksam gegengesteuert werden.

Die angeratene Mindestzahl von zwei Managementbewertungen ergibt sich aus der Mindestzahl von Audits in zertifizierten Unternehmen. Einmal im Jahr kommt der Zertifizierungsauditor, mindestens einmal im Jahr findet ein internes Audit statt. Wenn diese gleichmäßig über das Jahr verteilt sind, bei zwei Audits also im Abstand von 6 Monaten, ergeben sich mit den Auditberichten zwei gute Gelegenheiten für die oberste Leitung sich mit dem Stand und der Entwicklung der Informationssicherheit auseinander zu setzen. Liegen die Audits zeitlich zu dicht beieinander, führt dies zu ähnlichen Auditberichten, die eine gesonderte Befassung unnötig erscheinen lassen.

In großen Organisation gibt es auch eine eigene Informationssicherheitsorganisation. Diese bearbeitet viele Aspekte der Informationssicherheit und des Informationssicherheitsmanagements selbstständig. Sie verfügt hierzu in der Regel über alle Kompetenzen und Ressourcen. In diesem Fall ist eine Befassung durch die oberste Leitung einmal jährlich meist ausreichend.

Teilnehmer der Managementbewertung

Im Sinne der ISO 27001 ist es ausreichend, wenn die Managementbewertung durch ein Mitglied der obersten Leitung durchgeführt wird. Geschäftsführungen und Vorstände sind allerdings kollektiv haftende Organe. Diese Haftung lässt sich beschränken, wenn es einen (hoffentlich dokumentierten und nicht nur gelebten) Geschäftsverteilungsplan gibt. Aber auch in diesem Fall bleibt die Gesamtverantwortung bestehen. Das heißt, die nicht für ein Ressort zuständigen Mitglieder der obersten Leitung  müssen die Arbeit ihrer Kollegen überwachen und bei erkennbaren Pflichtverletzungen einschreiten. Versäumen sie dies, ist eine Haftung weiterhin möglich.

Die Managementbewertung ist für die “nicht zuständigen” Mitglieder der Geschäftsführung eine sehr gute Möglichkeit, sich davon zu überzeugen, dass die Aufgabe Informationssicherheit bzw. Informationssicherheitsmanagement von ihrem zuständigen Kollegen angemessen organisiert und bearbeitet wird. Jeder Geschäftsführer ist daher gut beraten an der Managementbewertung zumindest teilzunehmen, auch wenn das Thema nicht in den eigenen Zuständigkeitsbereich fällt.

Wie es weiter geht?

Damit endet (vorerst) die Artikelreihe über die Aufgaben der obersten Leitung im ISMS. Sie haben noch Fragen? Nehmen Sie gerne Kontakt zu uns auf.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen