NIS2 Umsetzung in Deutschland: Risikomanagement

NIS2 Umsetzung in Deutschland: Neue Pflichten für Unternehmen

Nach einigen Geburtswehen hat der Bundestag im Dezember 2025 den Weg frei gemacht für die nationale Umsetzung der europäischen NIS2-Richtlinie (EU-NIS2). Dadurch werden in Deutschland nach ersten Schätzungen circa 30000 Unternehmen verpflichtet, den eigenen Geschäftsbetrieb gegen Cyberbedrohungen abzusichern.

Der Großteil der Anforderungen, die durch die Umsetzung der NIS2-Richtlinie entstehen, findet sich im vollständig erneuerten BSI-Gesetz (BSI-G). Sie adressieren u.a. die Verantwortlichkeiten der Geschäftsleitung, enthalten Melde- und Registrierungspflichten und fordern vor allem ein angemessenes Management von Informationssicherheitsrisiken.

§30 BSI-G: Risikomanagementmaßnahmen im Überblick

Paragraf 30 des BSI-G konkretisiert unter der Überschrift „Risikomanagementmaßnahmen“ zehn Bereiche, in denen pflichtige Unternehmen mindestens den „Stand der Technik“ einhalten und internationale Normen berücksichtigen sollen. Zu diesen Bereichen gehören u.a. die Bewältigung von Sicherheitsvorfällen, Maßnahmen zur Aufrechterhaltung des Betriebs und Krisenmanagement, Betrachtungen zur Lieferkette, Schulungen für alle Mitarbeiter (Stand der Technik für Security Awareness), die Nutzung von Kryptografie oder der Umgang mit Schwachstellen.

Alle die genannten und auch nicht genannten Bereiche sind Maßnahmen, die ergriffen werden sollen, um bestehende Risiken zu behandeln. Ob diese Maßnahmen ausreichend sind, ob sie auch tatsächlich wirksam sind oder in welcher Detailtiefe man sie umsetzen sollte – diese Fragen kann man jedoch nur mit Hilfe einer passenden Methodik zur Risikoanalyse und -bewertung beantworten. Ja – auch dieser Punkt ist vom Gesetzgeber mit aufgeführt, und findet sich im Punkt 6 des Paragrafen 30: „Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen“.

Es drängt sich der Gedanke auf, für Umsetzung einen der etablierten generischen Standards zu nutzen, die in Deutschland häufig anzutreffen sind: der IT-Grundschutz sowie die ISO 27001.

ISO 27001 als pragmatischer Ansatz zur NIS2-Umsetzung

So liefert die ISO 27001 in ihrem Kapitel 6 z.B. Anforderungen an ein Informationssicherheits-Risikomanagement – was ein möglicher Ansatz wäre, die Forderung aus dem BSI-G nach „Konzepten in Bezug auf die Risikoanalyse“ zu erfüllen. Oder aber man nutzt das Control A.8.24 „Verwendung von Kryptografie“, um die gesetzliche Forderung nach „Konzepte(n) und Prozesse(n) für den Einsatz von kryptographischen Verfahren“ umzusetzen.

Kurz: es ist eine mögliche Herangehensweise, die ISO 27001 zu nutzen, um die Anforderungen der NIS2-Richtline, wie sie im BSI-G verpflichtend vorgegeben sind, im eigenen Unternehmen systematisch umzusetzen. Für fast alle Forderungen des §30 BSI-G zu Risikomanagementmaßnahmen lassen sich Entsprechungen in der ISO 27001 finden, und man nutzt dabei noch eine etablierte und bewährte Methodik.

Grenzen der ISO 27001 bei NIS2-Anforderungen

Zwei Hinweise sind an dieser Stelle noch notwendig. Zunächst einmal deckt die ISO 27001 nicht zwingend alle Forderungen des BSI-G ab. Meldefristen oder Registrierungspflichten finden sich z.B. bestenfalls implizit in der ISO 27001, d.h. sie müssen daher zusätzlich berücksichtigt werden.

Andererseits ermöglicht die Nutzung etablierter Standards, diese im Unternehmen auch umfassender anzuwenden, als es der Gesetzgeber eigentlich fordert. Der Aufwand, das entstandene ISMS nach ISO 27001 zertifizierungsreif zu machen, sollte nach der Umsetzung der NIS2-Pflichten deutlich geringer sein. Außerdem ergeben sich bei einer sinnvollen Einführung von Managementsystemen oft auch Möglichkeiten, das eigene Unternehmen weiterzuentwickeln.

Was Sie auch interessieren könnte:

Seminar:

„Risikomanagement im ISMS“

„Geschäftsleitung fit für NIS2

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Krisenkommunikation

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Notfall- und Krisenkommunikation: Der unterschätzte Erfolgsfaktor im Ernstfall

Wenn IT-Systeme ausfallen oder ein Cyberangriff Ihr Unternehmen trifft, steht meist die technische Wiederherstellung im Fokus. Doch ein anderer Schaden entsteht häufig an anderer Stelle: in der Kommunikation.

Unklare Aussagen, verspätete Reaktionen oder widersprüchliche Informationen führen schnell zu Vertrauensverlust, Reputationsschäden und regulatorischen Risiken. Gerade für Geschäftsleitungen, CISOs und ISBs ist professionelle Krisenkommunikation daher ein zentraler Bestandteil wirksamer Resilienz Strategien.

Warum Krisenkommunikation entscheidend ist

In der Praxis zeigt sich immer wieder: Unternehmen reagieren zu spät oder nicht abgestimmt. Gleichzeitig verbreiten sich Informationen über Medien und soziale Netzwerke in kürzester Zeit.

Die Folgen:

  • Gerüchte und Kontrollverlust in der Öffentlichkeit.

  • Vertrauensverlust bei Kunden und Partnern.

  • Erhöhte regulatorische und rechtliche Risiken.

Schweigen wird dabei häufig als Unsicherheit oder Inkompetenz interpretiert. Eine klare, frühzeitige Kommunikation stabilisiert hingegen Vertrauen – selbst in kritischen Situationen.

Erfolgsfaktoren wirksamer Krisenkommunikation

Professionelle Krisenkommunikation basiert auf klaren Strukturen und Vorbereitung:

  • Definierte Rollen, insbesondere ein zentraler Krisensprecher.

  • Abgestimmte interne und externe Kommunikationsprozesse.

  • Vorbereitete Botschaften und Kommunikationsleitfäden.

  • Zielgruppengerechte und empathische Ansprache.

  • Regelmäßige Updates – auch bei unvollständiger Informationslage.

Wichtig ist: Es geht nicht um Perfektion, sondern um Transparenz, Klarheit und Geschwindigkeit.

Kommunikation muss auch ohne IT funktionieren

Ein häufiger Schwachpunkt: Kommunikationskanäle brechen genau dann weg, wenn sie gebraucht werden.

Deshalb entscheidend:

  • Out-of-band-Kommunikation (z. B. alternative Messenger, Telefonketten).

  • Notfallwebseiten und vorbereitete Statusmeldungen.

  • Offline verfügbare Krisenhandbücher und Kontaktlisten.

  • Technische und organisatorische Redundanzen.

Krisenkommunikation muss auch bei Stromausfall oder IT-Ausfall handlungsfähig bleiben.

Typische Fehler vermeiden

Aus zahlreichen Projekten und realen Vorfällen kennen wir die häufigsten Schwächen:

  • Zu spätes oder zögerliches Kommunizieren.

  • Beschönigung oder mangelnde Transparenz.

  • Fehlende Abstimmung zwischen interner und externer Kommunikation.

  • Zu technische oder nicht zielgruppengerechte Inhalte.

Diese Fehler verstärken Krisen unnötig – und lassen sich durch strukturierte Vorbereitung vermeiden.

Vorbereitung entscheidet – nicht die Krise

Wirksame Krisenkommunikation entsteht nicht im Ernstfall, sondern im Vorfeld:

  • Entwicklung von Krisenkommunikationsplänen und Leitfäden.

  • Erstellung von Textbausteinen und Szenarien.

  • Durchführung realistischer Übungen und Simulationen.

  • Schulung von Führungskräften und Krisenstäben.

  • Integration in bestehende BCM- und ISMS-Strukturen (z. B. ISO 27001, NIS2).

Dabei gilt: Übungen und Lessons Learned sind wertvoller als jedes theoretische Konzept.

Ihre Verantwortung als Management

Krisenkommunikation ist keine rein operative Aufgabe. Die Verantwortung liegt bei der Unternehmensleitung.

Regulatorische Anforderungen wie NIS2 sowie steigende Haftungsrisiken unterstreichen die Bedeutung. Entscheidend ist nicht nur Delegation, sondern aktive Steuerung und Kontrolle.

Unser Ansatz: Vorbereitung statt Reaktion

Als erfahrene Berater im Bereich Informationssicherheit und Business Continuity unterstützen wir Sie dabei, Ihre Krisenkommunikation strukturiert und praxistauglich aufzubauen.

Unser Fokus:

  • Entwicklung individueller Krisenkommunikationsstrategien.

  • Integration in bestehende ISMS- und BCM-Strukturen.

  • Durchführung von realistischen Krisenübungen.

  • Vorbereitung Ihrer Führungskräfte auf den Ernstfall.

Denn eine Krise lässt sich nicht immer verhindern – aber professionell steuern.

Jetzt die neue Folge anhören

In diesem Podcast erfahren Sie, wie professionelle Krisen‑ und Notfallkommunikation funktioniert, welche typischen Fehler Unternehmen im Ernstfall machen und wie sich Geschäftsleitung, CISOs und ISBs bereits im Vorfeld gezielt auf Krisensituationen vorbereiten können.

Hören Sie rein!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Was Sie noch interessieren könnte…

Seminare:

“Business Continuity Management (BCM) nach ISO 22301”

„Risikomanagement im ISMS“

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

/von
,

„Geschäftsleitung fit für NIS2“, Teil 3

Nachdem wir im ersten Teil dieser Reihe von Blogartikeln zur Umsetzung der NIS2-Richtlinie in Deutschland dargestellt hatten, warum es eine Schulungspflicht für Geschäftsleitungen im entsprechenden BSI-Gesetz (BSI-G) gibt, ging es im zweiten Teil um das Risikomanagement und die Möglichkeiten der Unternehmensleitung, das Risikomanagement aktiv zu gestalten.

Mittlerweile ist die sofort nach Inkrafttreten des BSI-Gesetzes einsetzende 3-monatige Frist zur Registrierung des Unternehmens am 3. März 2026 abgelaufen, und es tritt ein eigentlich schon abgehaktes Thema wieder neu auf die Tagesordnung: die Frage nach der Betroffenheit.

Fehlinterpretationen in der Betroffenheitsprüfung

Von der gesetzlichen Vorgabe, die Anforderungen aus dem BSI-Gesetz zu erfüllen, sind nicht alle Unternehmen betroffen. Schon vor dem finalen Inkrafttreten des Gesetzes hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Webseite eine recht eingängig gehaltene Unterstützung veröffentlich, in der man durch Beantwortung einiger weniger einfacher Fragen selbständig (unverbindlich!) prüfen konnte, ob das eigene Unternehmen nach dem BSI-G pflichtig ist.

Interessanterweise ist das Wissen über die Pflichtigkeit in Unternehmen extrem verschieden ausgeprägt. Einige Unternehmen haben die Pflichtigkeit schon vor dem Inkrafttreten des BSI-G geprüft und erste, grobe Planungen angestellt, wie, mit welchen Ressourcen und mit welcher Unterstützung eventuelle Anforderungen sinnvoll und strukturiert umgesetzt werden könnten.

Unsicherheiten bei der Einschätzung

Einige Einschätzung aus dem März 2026 gehen davon aus, dass besonders in kleineren und kleinen umsatzstarken Unternehmen die Betroffenheit des eigenen Unternehmens immer noch falsch eingeschätzt wird. Der Anteil der Unternehmen, die für sich fälschlicherweise davon ausgehen, dass sie nicht betroffen seien, obwohl sie es tatsächlich sind, liegt nach diesen Einschätzungen bei ca. 50 Prozent (laut Cyber Security Report 2026 – Schwarz Digits KG).

Parameter Unternehmensgröße

Die Betroffenheit ergibt sich für die meisten Unternehmen aus den beiden Parametern „Unternehmensgröße“ und „Geschäftsfeld“. Die Unternehmensgröße wird an den Mitarbeiterzahlen und an Finanzdaten festgemacht: mit mehr als 250 Mitarbeitern ODER (!) mehr als 50 Millionen € Umsatz bzw. mehr als 43 Millionen € Bilanzsumme gilt man als Großunternehmen und damit potenziell als „besonders wichtige Einrichtung“. Zu den mittleren Unternehmen zählt man mit mehr als 50 Mitarbeitern ODER (!) mit mehr als 10 Millionen € Umsatz bzw. Jahresbilanz.

Parameter Geschäftsfeld

Der Parameter „Unternehmensgröße“ allein führt allerdings noch nicht zwingend zu einer Betroffenheit – es muss auch der zweite Parameter „Geschäftsfeld“ erfüllt sein. Hierfür gibt es im BSI-G die beiden Anlagen 1 und 2, in der recht detailliert die Geschäftsfelder aufgeführt sind, die im Zusammenspiel mit der Unternehmensgröße zu einer Betroffenheit führen.

Besonderheiten

Allerdings gibt es auch noch einige Besonderheiten. So sind Unternehmen unabhängig von den beiden genannten Parametern pflichtig, wenn sie z.B. als Anbieter von DNS-Diensten oder Qualifizierten Vertrauensdiensten tätig sind. Auch Betreiber Kritischer Anlagen sind unabhängig von der Unternehmensgröße betroffen. Im BSI-G finden sich neben der Definition, welche Unternehmen betroffen sind, auch abweichende Regelungen für Unternehmen, die bereits nach dem Energiewirtschaftsgesetzt (EnWG) oder dem Telekommunikationsgesetz (TKG) reguliert sind.

Es ist nachvollziehbar, dass neben der Uninformiertheit auch Fehlinterpretationen des Gesetzestextes zu einer falschen Einschätzung der eigenen NIS2-Pflichtigkeit führen. Rechtzeitige Information, eine Vernetzung mit anderen Unternehmen und Spezialisten und Inanspruchnahme von Unterstützungsangeboten helfen dabei, unangenehme Fehlentscheidungen zu vermeiden. Alles übrigens Dinge, die auch ein einem ISMS gefordert werden.

Strukturiert vorgehen

Wenn festgestellt wurde, dass man doch unter die NIS2-Richtlinie fällt, stellt sich für viele Verantwortliche unmittelbar die nächste zentrale Frage: Was ist konkret zu tun, wenn man betroffen ist? Neben der Umsetzung geeigneter Sicherheitsmaßnahmen rückt dabei insbesondere eine formale Anforderung in den Fokus, die häufig unterschätzt wird – die Registrierung im Melde- und Informationsportal des Bundesamts für Sicherheit in der Informationstechnik (BSI). Diese stellt den ersten verbindlichen Schritt dar, um den gesetzlichen Pflichten nachzukommen und als betroffene Einrichtung gegenüber den zuständigen Behörden sichtbar zu werden.

Ablauf der Registrierung in Kürze

  1. Prüfung, ob das Unternehmen unter NIS-2 fällt. Zur Betroffenheitsprüfung
  2. Im Portal von Mein Unternehmenskonto mit einer deutschen Steuernummer ein Organisationszertifikat beantragen.
  3. Aktivierung per E-Mail und Post abwarten und das Zertifikat freischalten.
  4. Mit diesem Zugang im BSI-Portal anmelden.
  5. Dort die NIS-2-Registrierung abschließen und die erforderlichen Unternehmensdaten sowie eine Kontaktstelle angeben.

Wichtige Hinweise

  • Für jede Person mit Portalzugriff kann ein eigenes ELSTER-Organisationszertifikat sinnvoll sein. Übrigens: Dieses Zertifikat hat nichts mit dem ELSTER-Zertifikat für die private Steuereklärung zu tun!
  • Die Registrierung sollte nicht aufgeschoben werden, da für betroffene Unternehmen eine Frist gilt, diese Frist bereits abgelaufen ist, und die Aktivierung einige Zeit in Anspruch nehmen kann.

Fazit

Abschließend zeigt sich deutlich: Die NIS2-Betroffenheit wird nach wie vor von vielen Unternehmen unterschätzt oder falsch eingeordnet – insbesondere von kleineren, aber umsatzstarken oder kritischen Organisationen. Gerade hier besteht akuter Handlungsbedarf. Die Registrierung im BSI-Portal ist kein optionaler Schritt, sondern eine zentrale gesetzliche Verpflichtung, die nicht aufgeschoben werden sollte.

Unternehmen sollten daher zeitnah prüfen, ob sie unter die Richtlinie fallen, und die Registrierung strukturiert angehen.

Was Sie auch interessieren könnte:

Seminar:

„Geschäftsleitung fit für NIS2“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Der neue Newsletter ist da…

Der Blick auf Informationssicherheit und Datenschutz verändert sich derzeit schneller als je zuvor. Neue regulatorische Anforderungen, technologische Entwicklungen und immer raffiniertere Angriffsmethoden stellen Unternehmen vor kontinuierliche Herausforderungen. Genau hier setzt unser aktueller Newsletter an.

In der neuesten Ausgabe beleuchten wir zentrale Entwicklungen, die für Verantwortliche in IT-Sicherheit, Datenschutz und Unternehmensführung unmittelbar relevant sind.

Ein besonderer Fokus liegt auf dem Paradigmenwechsel in der KRITIS-Regulierung. Die Anforderungen steigen nicht nur in der Tiefe, sondern auch in der Breite – und betreffen zunehmend mehr Organisationen. Wer frühzeitig versteht, wie sich regulatorische Erwartungen verändern, kann Risiken gezielt steuern und Wettbewerbsvorteile sichern.

Darüber hinaus widmen wir uns der wachsenden Bedeutung von OT-Security im Kontext von NIS2. Betriebstechnik rückt immer stärker in den Fokus der Sicherheitsstrategien und wird für CISOs zum Pflichtprogramm. Wir zeigen, warum klassische IT-Sicherheitsansätze hier nicht ausreichen und welche Maßnahmen jetzt entscheidend sind.

Ein weiteres zentrales Thema ist die datenschutzkonforme Nutzung von KI-Tools. Viele Unternehmen stehen vor der Frage, wie sich innovative Technologien rechtssicher einsetzen lassen. Wir geben einen praxisnahen Überblick über Anforderungen, Risiken und bewährte Best Practices für den unternehmensweiten Einsatz.

Und weil sich Bedrohungslagen ständig weiterentwickeln, greifen wir auch ein altbekanntes, aber immer aktuelles Thema auf: Phishing – in seiner gefühlt 3276sten Variante. Wir zeigen, wie sich Angriffe verändern, warum sie nach wie vor erfolgreich sind und wie Sie Ihre Organisation wirksam sensibilisieren können.

Unser Newsletter liefert Ihnen regelmäßig kompakte, praxisorientierte Einblicke in die wichtigsten Themen rund um Informationssicherheit und Datenschutz – verständlich aufbereitet und mit direktem Mehrwert für Ihre tägliche Arbeit.

Melden Sie sich jetzt an und bleiben Sie auf dem neuesten Stand: https://anmatho.de/neuigkeiten/newsletter/

/von
, ,

KI im Unternehmen – Chancen nutzen, Risiken managen

Die Einführung von Künstlicher Intelligenz (KI) im Unternehmen verspricht Effizienz, automatisierte Analysen und kreative Unterstützung. Doch gerade in sensiblen Bereichen wie Energieversorgung, Verwaltung oder kritischer Infrastruktur ist Vorsicht geboten: KI kann nur dann ein Gewinn sein, wenn sie sicher, rechtskonform und gezielt eingesetzt wird.

Öffentliche KI vs. Eigene Unternehmens-KI

Der Unterschied zwischen öffentlicher KI (z. B. ChatGPT u.a.) und unternehmensintern trainierten Modellen ist entscheidend.

  • Öffentliche KI: Sie ist einfach nutzbar, aber es gibt Risiken beim Datenschutz und Urheberrecht. Zusätzlich können alle eingegebenen Daten zur Modellverbesserung (Trainingszwecken) verwendet werden.
  • Eigene KI / On-Premise KI: Läuft in der Unternehmensumgebung und ist ideal für sensible oder vertrauliche Informationen. Anbieter wie Microsoft Copilot in geschützter Azure-Umgebung oder OpenGPT Enterprise bieten entsprechende Schutzmechanismen.

Tipp: Prüfen Sie bei jeder Anwendung, wo Daten verarbeitet und gespeichert werden, wer Zugriff erhält, und welche Lizenzbedingungen gelten. Ein internes KI-Governance-Dokument ist Pflicht, ebenso ein Freigabeprozess für neue Tools.

Überprüfung von KI-Ergebnissen – wie geht das zuverlässig?

KI liefert gute Erstentwürfe, aber keine garantierten Wahrheiten.

  • Vier-Augen-Prinzip: Lassen Sie Ergebnisse durch Fachpersonen oder Compliance-Verantwortliche validieren.
  • Fact-Checking-Tools: Externer Quellenabgleich, z. B. über Google Fact Check Tools oder spezialisierte Tools zur Prüfung für technische Berechnungen helfen bei der Überprüfung von Ergebnissen.
  • Protokollierung: Jede KI-gestützte Entscheidung sollte dokumentiert werden (z. B. in einem Ticketsystem oder Audit-Trail).

Praxisbeispiel: Ein Stadtwerk nutzte KI zur Auswertung von Kundenfeedback. Die Ergebnisse waren zunächst irreführend, weil Dialekte als negative Kommentare erkannt wurden. Nach kurzer Feinjustierung durch ein menschliches Audit-Team stieg die Trefferquote der Analyse auf über 85 %.

KI und Urheberrecht bei Bildern

Bei der Nutzung KI-generierter Bilder besteht weiterhin das Risiko, dass Trainingsdaten Inhalte enthalten, die urheberrechtlich geschützt sind.

Geprüfte Anbieter:

  • Adobe Firefly: Ist nur mit eigenen Stockmaterialien trainiert und ist mit entsprechender kostenpflichtiger Lizensierung für die kommerzielle Nutzung erlaubt.
  • Getty Images Generative AI: Entwickelt mit vollständig eigenem Bildmaterial.
  • Midjourney, DALL·E 3: Bietet eine hohe Qualität, allerdings besteht eine rechtlich unsichere Lizenzlage für kommerzielle Zwecke.

Prüftipp: Nutzen Sie Tools wie „Have I Been Trained?“ zur Kontrolle, ob geschützte Bildinhalte in Trainingsdaten vorkommen.
Rechtlicher Hinweis: Nach EU-Urheberrechtsgesetz haftet der Ersteller, nicht der KI-Anbieter. „Unwissenheit schützt vor Strafe nicht.“

KI-Schutz für Diensthandys

Mit steigender mobiler KI-Nutzung wächst das Risiko für Datenabfluss.

Empfohlene Maßnahmen:

  • MDM-Lösung (Mobile Device Management) mit KI-Zugriffskontrolle.
  • Sperrung öffentlicher KI-Apps für dienstliche Nutzung, außer über geprüfte Unternehmenskanäle.
  • Einsatz von App-Sandboxing für KI-Chatfunktionen.
  • Schulungen für Mitarbeitende zu Datenschutz und KI-Nutzung auf Smartphones.

Basis-Schulung und Governance-Struktur

Jede KI-Anwendung braucht eine eigene Bewertung hinsichtlich:

  • Datenschutz (personenbezogene Daten, DSGVO)
  • Sicherheit (Training, Zugriff, Speicherung)
  • Lizenz- und Nutzungsrechte
  • Transparenz und Nachvollziehbarkeit

Für die Einführung empfiehlt sich eine zweistufige Schulung:

  1. Grundverständnis, was KI kann, wo liegen die Grenzen.
  2. Schulung auf das konkrete KI-Tool, was ist bei der Nutzung zu beachten, sprich welche Daten dürfen eingegeben werden, wie ist das Ergebnis zu prüfen usw.

Checkliste: Sicherer und effektiver KI-Einsatz im Unternehmen

Diese Checkliste dient als Leitfaden für die Bewertung, Einführung und regelmäßige Kontrolle von KI-Anwendungen.

  1. Strategische Vorbereitung
  • Zieldefinition: Welche konkreten Aufgaben soll die KI übernehmen (z.  Textanalyse, Prozessautomatisierung, Vorhersage)?
  • Welches Modell: Öffentliche KI oder On-Premise Lösung
  • Kosten-Nutzen-Abwägung: Wirtschaftlicher Mehrwert und bestehende Alternativen prüfen.
  • Governance-Festlegung: Verantwortlichkeiten, Freigabeprozess und Auditintervalle definieren.
  1. Datenschutz & Compliance
  • DSGVO-konform: Werden personenbezogene Daten verarbeitet? Wenn ja, mit Einwilligung oder Berechtigungsgrundlage.
  • Datentransfer prüfen: Fließen Daten außerhalb des europäischen Rechtsraums (z.B.  über Cloud-API)?
  • Vertragliche Vereinbarungen: Lizenzbedingungen, Datenschutzerklärungen und Nutzungsrechte dokumentieren.
  • Audit-Trail: Ergebnisse der KI müssen nachvollziehbar und nachprüfbar gespeichert werden.
  1. Informationssicherheit
  • Zugriffsrechte: KI-Anwendungen nur für autorisierte Mitarbeitende zugänglich.
  • MDM-Integration: Diensthandys und mobile Geräte über zentrale Sicherheitssteuerung schützen.
  • Cloud-Sicherheit: Verschlüsselung und separate Datenräume („Data Sovereignty Zones“) verwenden.
  • Incident Response: KI-Einsatz im Notfallplan bzw. ISMS berücksichtigen.
  1. Qualitätskontrolle der KI-Ergebnisse
  • Vier-Augen-Prinzip: Fachliche Review der durch KI erstellten Inhalte oder Analysen.
  • Bias-Tests: Gibt es systematische Verzerrungen in den Ergebnissen?
  • Regelmäßiges Retraining: Modelle regelmäßig mit aktuellen, validierten Daten füttern.
  • Dokumentation: KI-Version, Trainingszeitpunkt und Quellen eindeutig vermerken.
  1. Urheberrecht & Inhaltssicherheit
  • Bilder und Textquellen prüfen: Nur freigegebene oder eigens erstellte Inhalte verwenden.
  • KI-Tool auswählen: Bevorzugt Anbieter mit transparenten Trainingsdaten.
  • Rechtsprüfung: Vor Publikation oder Produktivsetzung durch Juristen oder Compliance-Teams prüfen lassen.
  • Beweisführung: Bei generativen Inhalten immer Herkunftsnachweis (Source Tag) abspeichern.
  1. Schulung & Awareness
  • Mitarbeiterschulung: Grundlagen der KI-Nutzung, Datenschutz und rechtliche Risiken.
  • Praxisübungen: „Gute vs. riskante“ KI-Beispiele durchspielen.
  • Rollenbezogene Trainings: Fachbereiche lernen, KI-Ergebnisse korrekt zu hinterfragen.
  • Kommunikation: Interne Richtlinie zur Nutzung öffentlicher KI-Systeme veröffentlichen.

Whitepaper und Checklisten finden Sie z. B. auch bei:

Was Sie auch interessieren könnte:

Seminar:

“KI im Unternehmen – Rechtliche Anforderungen und praktische Umsetzung”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

 

/von
,

Business Continuity Management (BCM) und Notfallvorsorge: Ihr Ratgeber für Resilienz

In einer Welt voller Unwägbarkeiten wie Cyberangriffen, Naturkatastrophen oder Ausfällen kritischer Systeme ist Business Continuity Management (BCM) essenziell, um Unternehmen handlungsfähig zu halten. Ein BCM integriert die Notfallvorsorge strategisch, minimiert Ausfälle und schützt Reputation sowie Wirtschaftlichkeit.

Warum BCM und Notfallvorsorge priorisieren?

BCM geht über reine Krisenreaktion hinaus: Es stärkt die gesamte Unternehmensresilienz. Studien zeigen, dass Firmen mit einem robustem BCM schneller wieder im Normalbetrieb und wettbewerbsfähiger bleiben. Besonders in den KRITIS-Sektoren wie Energie oder Telekommunikation ist es regulatorisch vorgeschrieben, z. B. nach NIS2 oder ISO 27001. Eine gute Notfallvorsorge fokussiert sich auf eine unmittelbare Gefahrenabwehr, während BCM die langfristige Kontinuität sichert.

Schritt-für-Schritt-Ratgeber zur Umsetzung

  1. Risikoanalyse durchführen: Identifizieren Sie Bedrohungen via Business Impact Analysis (BIA) und Risiko Impact Analysis (RIA). Bewerten Sie die Eintrittswahrscheinlichkeit und das mögliche Schadenspotenzial – priorisieren Sie kritische Prozesse.
  2. Policy und Governance festlegen: Definieren Sie Ziele, Rollen (z. B. BCM-Manager) und Eskalationswege. Holen Sie sich den Support ihres Top-Managements ein.
  3. Pläne erstellen: Entwickeln Sie Business Continuity Plans (BCP) mit Notfall-, Wiederanlauf- und Kommunikationsstrategien. Üben sie Wiederherstellungsszenarien und halten Sie die dafür notwendigen Zeiten fest. So wissen Sie wie lange ihre Wiederherstellung z.B. aus einem Backup dann tatsächlich dauert. Integrieren Sie Evakuierungspläne, Checklisten und Backup-Lösungen in ihre Planung.
  4. Tests und Übungen: Führen Sie regelmäßige Simulationen durch, um die Pläne zu validieren. Aktualisieren Sie die Pläne und Szenarien jährlich basierend auf den „Lessons Learned“.
  5. Kommunikation etablieren: Schulen Sie ihre Mitarbeiter, definieren Sie Informationsflüsse und informieren Sie Stakeholder. Legen Sie sich ggf. vorgefertigte Texte für Presse und Kundenkommunikation in die Schublade.

Praktische Tipps für den Einstieg

Nutzen Sie Vorlagen wie z.B. das IHK-Notfall-Handbuch für Unternehmen für die Erstellung ihrer individuellen Checklisten. Integrieren Sie ein IT-Notfallmanagement (z. B. Disaster Recovery) und PDCA-Zyklus für kontinuierliche Verbesserung in ihre Unternehmensprozesse. Für KRITIS-Betreiber: Erfüllen Sie BSI-Standards durch regelmäßige Audits.

Vorteile und Fazit

Ein gut strukturiertes funktionierendes BCM reduziert Insolvenzrisiken und schafft Risikobewusstsein. Es ist Ihre Versicherung gegen den Worst Case – investieren Sie jetzt, um gestärkt aus Krisen hervorzugehen.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

TISAX® – Informationssicherheit im Detail, Teil 8

In den bisherigen Blogartikeln wurde an verschiedenen Stellen (Teil7, Teil6 und Teil1) der Aspekt der Klassifizierung angesprochen. Die meisten Klassifizierungsschemata adressieren das Schutzziel der Vertraulichkeit, so auch das Whitepaper des VDA.

Auch der grundsätzliche Gedanke, dass ein Klassifizierungsschema (oder genaugenommen: eine vorgenommene Klassifizierung) dazu dienen soll, dem Bearbeiter oder Benutzer eines Informationswertes Hinweise über den Umgang und die Handhabung des Informationswertes mitzugeben, kam bereits an mehrere Stellen zur Sprache. Der TISAX® Prüfkatalog fordert als MUSS ebenfalls ein Klassifizierungsschema, das das Schutzziel „Vertraulichkeit“ adressiert.

Probleme in der Umsetzung

In der Praxis tut man sich jedoch manchmal etwas schwer, die im TISAX® Prüfkatalog als SOLLTE ebenfalls geforderte Berücksichtigung der Schutzziele Integrität und Verfügbarkeit in dieses Klassifizierungsschema mit einzubauen. Eine oft anzutreffende Fehlannahme ist hierbei, dass die Bezeichnungen für die einzelnen Klassifizierungsstufen identisch sein müssten – doch dem ist nicht so. Es ist ja auch naheliegend, dass Vokabeln wie „intern“ oder „geheim“ nicht geeignet sind, die Kritikalität hinsichtlich der Verfügbarkeit zu beschreiben. Viel besser passen dagegen Vokabeln wie z.B. „unbedenklich“, „normal“, „kritisch“, um zu beschreiben, wie die Anforderungen an einen Informationswert hinsichtlich seiner Verfügbarkeit sind. Auch für das Schutzziel Integrität würden diese Bezeichnungen besser passen …

Nun ist es toll, ein passendes Klassifizierungsschema zu haben – stellt sich die Frage nach dem praktischen Nutzen. Auch bei den beiden neu hinzugekommenen Schutzzielen (Verfügbarkeit, Integrität) verhält es sich wie schon zuvor bei der Vertraulichkeit: passend zur Klassifizierung werden Handhabungsvorgaben gemacht. Die Klassifizierung eines Informationswertes als „kritisch“ hinsichtlich der Verfügbarkeit könnte so z.B. zu der Auflage führen, nach Möglichkeit eine Redundanz für diesen Informationswert zu etablieren, oder zu dem Verbot, diesen Informationswert vom Unternehmensgelände zu entfernen. Wenn ein anderer Informationswert dagegen als „unbedenklich“ hinsichtlich der Verfügbarkeit angesehen wird, werden die Handhabungsvorgaben sicher weniger streng ausfallen.

Die Philosophie hinter der Klassifizierung

Abschließend sei noch auf die sinnvolle Reihenfolge bei der Nutzung eines Klassifizierungsschemas hingewiesen. Natürlich wird als erstes ein organisationsweites Klassifizierungsschema festgelegt. Zu den Aufgaben der Werteverantwortlichen gehört es dann, die einzelnen Informationswerte hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität zu klassifizieren. Durch die Klassifikation ergeben sich die Handhabungsvorgaben, die für die Benutzung des einzelnen Informationswertes zu beachten sind.

Bliebe als letztes die Frage, woran man seine Einschätzung bei der Klassifizierung eines Informationswertes festmachen soll. Die Antwort ist recht einfach – an der Höhe und der Art des Schadens, der entsteht, wenn das jeweilige Schutzziel beeinträchtigt ist. Man wird ein Dokument oder ein Prototyp als „geheim“ klassifizieren, wenn es bei der Verletzung der Vertraulichkeit zu einem hohen Schaden kommen könnte.

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Webseite.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Sicherheitsüberprüfung von Personal

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Die in der ISO 27001 im Control A.6.1 geforderte personelle Sicherheitsüberprüfung ist ein zentraler Hebel, um Ihre Daten vor Innentätern, Fehleinstellungen und Audit-Findings zu schützen. Genau darum geht es in der neuen Folge unseres Podcasts „Security on Air“.

Warum diese Folge für Sie spannend ist

Als ISB, CISO oder Führungskraft kennen Sie das Dilemma:
Technisch sind Sie gut aufgestellt – aber beim Thema „Personenscreening“ stoßen Sie schnell auf Grauzonen zwischen Arbeitsrecht, Datenschutz, HR-Praxis und ISO-27001-Anforderungen. Im Podcast beleuchten wir genau diese Schnittstellen.

Wir erklären im Gespräch:

  • warum das Control A.6.1 deutlich mehr ist als eine Personalakte mit Häkchen,
  • wie Sie den Faktor Mensch risikobasiert bewerten, ohne eine Misstrauenskultur zu etablieren,
  • und welche Rolle Plausibilitätsprüfung von Dokumenten, Wirtschaftsauskünfte, SÜG und Sanktionslisten in der Praxis wirklich spielen.

Konkrete Fragen aus Ihrem Alltag

Die Folge setzt genau dort an, wo es in Projekten und Audits knirscht:

  • Wie staffeln Sie Rollen nach Zugriffsrechten, Informationswert und Schadenspotenzial – statt alle pauschal gleich zu prüfen?
  • Wo liegen die Grenzen bei Führungszeugnis, Bonitätsprüfung & Co. – und wie holen Sie Einwilligungen sinnvoll ein?
  • Wer macht was: HR, ISB, Datenschutz, Rechtsabteilung, Fachbereich, Lieferantensteuerung?
  • Was möchte ein Auditor zu A.6.1 tatsächlich sehen – und welche typischen Findings können Sie vermeiden?

An einem durchgehenden Beispiel – der Einstellung eines Datenbank-Administrators – wird Schritt für Schritt deutlich, wie ein sinnvolles, dokumentiertes und auditfestes Screening aussehen kann: von der Identitäts- und Plausibilitätsprüfung über Wirtschaftsauskünfte bis hin zu angemessenen Berechtigungen und Dokumentationsnachweisen.

Typische Stolperfallen – offen adressiert

Im Gespräch geht es ausdrücklich nicht um Theorie, sondern um reale Fallstricke:

  • „Die Personalabteilung macht das immer“ – aber nirgendwo ist dokumentiert, was konkret geprüft wurde.
  • Richtlinien fordern ein Führungszeugnis, sagen aber nicht, welches – und schon gar nicht, was bei Einträgen passiert.
  • Sicherheitsüberprüfungen im laufenden Arbeitsverhältnis werden rechtlich heikler, Prozesse aber nicht angepasst.
  • Lieferanten und externe Dienstleister werden vergessen – obwohl deren Personal auf Ihre Kronjuwelen zugreift.

Sie bekommen Impulse, wie Sie solche Lücken schließen, ohne Ihre Organisation mit Bürokratie zu überziehen.

Quick Wins, die Sie sofort umsetzen können

Zum Schluss gibt es kompakte Quick Wins, die Sie direkt mitnehmen können, zum Beispiel:

  • Identitätsprüfung bereits im Bewerbungsprozess systematisch verankern.
  • Eine kurze Checkliste für die Plausibilitätsprüfung von Unterlagen (Zeugnisse, Institute, Artefakte) etablieren.
  • Referenzen und berufliche Netzwerke gezielt nutzen – und klare Regeln definieren, was erlaubt ist.
  • Risikoaspekte je Rolle in bestehende HR-Prozesse und das Berechtigungskonzept integrieren, statt ein Insellösungs-Tool zu schaffen.

Damit wird aus „wir sollten mal was zu A.6.1 machen“ ein konkreter, umsetzbarer Plan.

Hören Sie rein!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Was Sie noch interessieren könnte…

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

/von
,

“Geschäftsleitung fit für NIS2“, Teil 2

Die Umsetzung der NIS2-Richtlinie erfolgte in Deutschland durch ein sogenanntes Mantelgesetz. In diesem Mantelgesetz wurden mehrere andere gesetzliche Vorgaben entsprechend der  NIS2-Richtlinie angepasst. Der Großteil der NIS2-Anforderungen, die für NIS2-pflichtige Unternehmen relevant sind, finden sich daher im neu gefassten BSI-Gesetz (BSI-G). Im ersten Teil dieser Reihe von Blogartikeln zur Umsetzung der NIS2-Richtlinie in Deutschland hatten wir dargestellt, warum eine Schulungspflicht für Geschäftsleitungen im entsprechenden BSI-Gesetz (BSI-G) explizit mit aufgenommen worden ist. Doch es lassen sich noch weitere Aspekte der Informationssicherheit in den gesetzlichen Vorgaben finden.

Informationssicherheits-Managementsystem (ISO 27001)

Soll Informationssicherheit systematisch betrieben werden, so bauen viele Organisationen ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 auf. Und wie es das Wörtchen „Managementsystem“ schon andeutet – das Managementsystem soll für die Organisationsleitung Werkzeuge und Abläufe bereitstellen, mit deren Hilfe die Organisationsleitung das eigene Unternehmen zu Fragen der Informationssicherheit steuern kann. Eines der Kernelemente solcher Managementsysteme ist die „Managementbewertung“. Hier bewertet das Management (daher der Name) im Dialog mit dem Verantwortlichen für Informationssicherheit (meist ISB oder CISO genannt) die Lage des Unternehmens zur Informationssicherheit.

Managementbewertung

Die ISO 27001 sieht in einer solchen Managementbewertung z.B. vor, dass über identifizierte Risiken und den Status der Risikobehandlung berichtet wird, über sich ändernde Rahmenbedingungen oder über Informationssicherheitsvorfälle. Die Bewertung durch die Organisationsleitung gibt dem ISB und anderen Beteiligten wichtige Hinweise, ob die Maßnahmen zur Risikobehandlung aus Sicht der Organisationsleitung sinnvoll, angemessen und zielführend erscheinen. Natürlich ist eine Managementbewertung eine wiederkehrende Angelegenheit – über die Häufigkeit schweigt sich die ISO 27001 übrigens aus. Angemessen, je nach Informationsbedarf der Organisationsleitung und der konkreten Risikolage des Unternehmens, lautet die salomonische Antwort. In den meisten Fällen dürfte ein- bis viermal im Jahr ein passender Turnus sein.

Risikomanagementmaßnahmen

Nun fordert das BSI-Gesetz keine explizite Managementbewertung. Was jedoch von den Organisationsleitungen gefordert wird, ist die Überwachung der Umsetzung der zu ergreifenden Risikomanagementmaßnahmen (§38, Abs. 1 BSI-G). Es ist ein naheliegender Gedanke, für diese Tätigkeit auf etablierte und erprobte Abläufe zurückzugreifen. Und wenn man die Buchstaben des BSI-Gesetzes etwas genauer betrachtet, findet sich der Zusammenhang: Geschäftsleitungen sollen über das Risikomanagement geschult werden, damit (z.B. in Form einer Managementbewertung) eine fundierte Bewertung der Lage der Organisation erfolgen kann, inklusive der Lenkung des Unternehmens durch die Organisationsleitung.

Bei wem jetzt Informationsbedarf entstanden ist, findet auf unserer Webseite nicht nur das Seminar zur Schulung „Geschäftsleitung fit für NIS2“, sondern auch weitere Informationen, Schulungsangebote oder auch Podcasts zu einem ISMS oder der ISO27001. Und im kommenden Teil dieser Blogreihe wird es einen Blick hinter die Kulissen des Seminars „Geschäftsleitung fit für NIS2“ geben …

Was Sie auch interessieren könnte:

Seminar:

„Geschäftsleitung fit für NIS2“

Weitere Seminare finden Sie unter https://anmatho.de/seminare, diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.
Hören Sie rein!

/von
,

Rückblick ANMATHO-Forum: „Risiken managen – Stabilität schaffen“

Mit unseren Kunden in entspannter Runde, spannende Einblicke und reger Austausch – so lässt sich unser „ANMATHO-Forum: Risiken managen – Stabilität schaffen“ treffend zusammenfassen.

In gemütlicher Atmosphäre im Business Club Hamburg mit Blick auf die Elbe und mildem Frühlingswetter trafen sich Experten zu einem inspirierenden Austausch über zentrale Themen der Informationssicherheit und Resilienz.

Meldeverfahren für Sicherheitsvorfälle

Ein zentraler Fokus lag auf der neuen Gesetzgebung wie NIS2 und dem KRITIS-Dachgesetz und damit auf der Meldung von Sicherheitsvorfällen. Es wurden die Grundlagen von Meldepflichten und den Fristen und Meldestellen besprochen sowie welche Schwierigkeiten es häufig bei der Umsetzung gibt. Von der Erkennung über die Entscheidung bis zur Reaktion sind wir durchgegangen, wie ein Vorfall strukturiert angegangen werden kann. Einige Empfehlungen aus der Praxis, besonders dazu was im Vorwege vorbereitet werden sollte haben den Vortrag abgerundet.

NIS-2, andere aktuelle Gesetze und das Thema Risiko-Umsetzung

Die EU verfolgt mit NIS2, KRITIS-Dachgesetz, Cyber Resilience Act und der EU-Maschinenverordnung das Ziel, die Cybersicherheit und Resilienz kritischer Infrastrukturen und Produkte europaweit zu stärken. Dabei rücken auch Lieferketten in den Fokus. Allem Gemein ist die Forderung nach einem angemessenen Risikomanagement. Daher haben wir uns die unterschiedlichen Bereiche der Risikomanagement-Maßnahmen mal genauer angesehen. Dabei sind wir auch die unterschiedlichen Normen (ISO 27001, 31000, 31010, BSI IT-Grundschutz im Standard 200-3 usw.) durchgegangen die Unternehmen bei Aufbau / Verbesserung des eigenen Risikomanagements unterstützen können. Da gerade auch die OT immer häufiger Angriffen ausgesetzt ist, sollten auch die Risiken die von dieser Stelle ausgehen genau betrachtet werden. Ein Ausblick auf die Normenreihe IEC 62443 bzgl. der IT-Sicherheit für industrielle Automatisierungssysteme hat gezeigt was auf Betreiber zukommt.

BCM-Workshop: Praxis unter Zeitdruck

Daran anschließend ging es im BCM-Workshop um die praktische Umsetzung: In einem Rollenspiel unter Zeitdruck sind wir ein kombiniertes Szenario aus Stromausfall und Cyberangriff durchgegangen. Dabei konnten die Teilnehmenden aktiv die einzelnen Schritte und Maßnahmen diskutieren, die in einer solchen Situation erforderlich sind – und gleichzeitig spannende Unterschiede in der Herangehensweise verschiedener Unternehmen erkennen.

Cyberrisiken: Einblick der Polizei Hamburg

Ein weiteres Highlight war der Beitrag der Polizei Hamburg zum Thema Cyberrisiken. Eindrucksvoll gezeigt wurde, wie professionell und vielfältig Angreifer heute vorgehen und welche konkreten Schutzmaßnahmen Unternehmen ergreifen können, wie z. B. Vorbereitung auf Bitcoin, Kontaktliste, Multi-Faktor-Authentifizierung, regelmäßige Backups und Mitarbeiter-Training.

Herzlichen Dank an Ralf Lembke und Sönke Rasmussen von der Polizei Hamburg (ZAC) für ihre Expertise – und an alle Teilnehmenden für den inspirierenden Austausch!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

Wir sind zertifiziert nach ISO27001:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen