,

TISAX® – Informationssicherheit im Detail, Teil 6

Bereits im vorherigen Artikel  wurden einige Aspekte des mobilen Arbeitens angerissen. Der Schwerpunkt lag in der Schaffung eines Verständnisses und in der Unterscheidung der verschiedenen Arbeitsorte, die unter dem Oberbegriff „Mobiles Arbeiten“ zusammenfassen lassen. Ebenfalls wurde bereits die Verbindung zwischen mobilem Arbeiten und den Themen Sicherheitszonen, Klassifizierung und Umgang mit Datenträgern erwähnt.

Wie bereits in einem früheren Artikel  dargestellt wurde, sind mit der Klassifizierung von Informationswerten auch die Vorgaben für den Umgang mit diesen Informationswerten verbunden. Es bietet sich an, auch das mobile Arbeiten hier mit zu betrachten. So sind Informationsträger, wie z.B. externe Datenträger, physische Modelle und Komponenten oder Papierunterlagen, natürlich beim Mitführen einer erhöhten Gefahr ausgesetzt. Sie können verloren gehen, gestohlen oder beschädigt werden, oder Unbekannte erlangen Einsicht. Es wäre daher sinnvoll, das Mitführen von solchen Informationsträgern einzuschränken. Hierfür bietet sich die Klassifizierung des Informationswertes an: je höher der Informationswert klassifiziert ist, umso restriktiver sollten die Vorgaben für das Mitführen sein.

An dieser Stelle ein kleiner Hinweis zum Klassifizierungsschema. Das Klassifizierungsschema orientiert sich in den meisten Fällen, so auch beim VDA-ISA Katalog, hauptsächlich am Schutzziel “Vertraulichkeit”. Prinzipiell können in dem Schema aber die Schutzziele “Verfügbarkeit” und “Integrität” mit berücksichtigt werden.

Transport und Entsorgung

Doch nicht nur der Transport, sondern auch die Aufbewahrung von Informationswerten sollte geregelt werden. Zu bedenken wären hier vor allem der Schutz der Vertraulichkeit, z.B. die mögliche Einsichtnahme durch Familienmitglieder in vertrauliche Unterlagen. Abhilfe ließe sich z.B. durch die Vorgabe zur Aufbewahrung in verschlossenen Schränken schaffen. Auch hier bietet es sich an, die Vorgaben zur Aufbewahrung anhand der Klassifizierung zu treffen.

Außerdem gehört in diesen Bereich auch die physikalische Vernichtung oder Entsorgung. Wie sonst auch, sollte es hier klare Regelungen geben. Viele Unternehmen nehmen für die sichere Entsorgung zertifizierte Dienstleiter in Anspruch. Eine sichere Entsorgung von Datenträgern ist somit oftmals nur an den Unternehmensstandorten selber möglich. Eine mögliche Vorgabe könnte also sein, dass die Vernichtung von Informationswerten und Datenträger nur am Unternehmensstandort mit den dort etablierten Verfahren vorgenommen werden darf. Alternativ wäre es denkbar, auch die häuslichen Arbeitsplätze mit Gerätschaften zur sicheren Entsorgung auszustatten, z.B. mit Schreddern die eine passende Sicherheitsstufe für die sichere Vernichtung von Papier haben.

Wie sich die Gedanken aus diesem Artikel in einem Zonenkonzept wiederfinden lassen, und welche Zusammenhänge es zwischen dem Klassifizierungsschema und dem Zonenkonzept geben kann, wird im folgenden Artikel näher beleuchtet …

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

KI-Schulung: Eine entscheidende Anforderung des AI Acts

In der sich rasant entwickelnden Welt der Künstlichen Intelligenz (KI) steht Ihr Unternehmen vor neuen Herausforderungen und Chancen. Durch den EU AI Act ist seit dem 2. Februar 2025 die Schulung Ihrer Mitarbeiter im Bereich KI nicht nur ein Wettbewerbsvorteil, sondern zu einer gesetzlichen Notwendigkeit geworden.

Warum KI-Schulungen unerlässlich sind

KI ist längst nicht mehr nur ein Thema für Spezialisten. Smartphones, Microsoft Office-Anwendungen und Adobe-Programme kommen bereits mit integrierter KI-Funktionalität. Dies bedeutet, dass praktisch jeder Ihrer Mitarbeiter täglich mit KI interagiert, oft ohne es zu wissen.

Datenschutz und Informationssicherheit

Es ist von entscheidender Bedeutung, dass Ihre Mitarbeiter verstehen, welche Daten sie in KI-Systeme eingeben dürfen. Unwissenheit in diesem Bereich kann zu schwerwiegenden Datenschutz- und Sicherheitsvorfällen führen. Die VDI Nachrichten berichten von einer Umfrage der Shamundi Consulting in Zusammenarbeit mit der International School of Management (ISM) und vier deutschen Technologieunternehmen unter der Leitung von Kishor Sridhar die zeigt, wie unbedarft Mitarbeiter sensible Daten in frei zugängliche KI-Systeme eingeben.

Kritische Überprüfung von KI-Ergebnissen

Ebenso wichtig ist es, Ihre Mitarbeiter dafür zu sensibilisieren, dass KI-Systeme “halluzinieren” können – also falsche oder irreführende Informationen produzieren. Eine kritische Überprüfung der KI-generierten Ergebnisse ist daher unerlässlich, um Fehlentscheidungen zu vermeiden.

Unsere Schulungsangebote

Um Ihre Mitarbeiter optimal auf die Herausforderungen des AI Acts vorzubereiten, bieten wir maßgeschneiderte KI-Schulungen an, die sowohl in Präsenz oder Remote mit unseren Referenten durchgeführt werden können. Stellen Sie einfach eine Inhouse-Anfrage an uns und teilen uns mit, welche Themen Sie besprechen möchten. Oder buchen Sie unsere Basisschulung “KI im Unternehmen”. Eine weitere Möglichkeit ist die eLearning Basisschulung “KI im Unternehmen” ein flexibles Online-Training, das grundlegende KI-Kenntnisse vermittelt, ergänzt durch ein Quiz und eine Teilnahmebescheinigung. Zudem bieten wir in unserem Podcast interessante Einblicke in den AI Act und seine Auswirkungen auf Unternehmen – ideal für alle, die sich tiefer mit den Themen KI und Regulierung auseinandersetzen möchten.

Hören Sie rein!

/von
,

Interne Audits – Die unterschiedlichen Auditarten – Teil 3

Nachdem wir in unseren vorangegangenen Beiträgen „Die Bedeutung interner Audits…“ und die Ausbildung zum Internen Auditor beleuchtet haben. Geht es heute um unterschiedliche Auditarten.

Die Durchführung von Audits sind ein wesentlicher Bestandteil des Managements und der Qualitätssicherung in Unternehmen. Dabei ist es unerhebliche für welche Norm sie durchgeführt werden, oft gibt es sogar Überschneidungen bei den Themen, insbesondere bei der High Level Struktur. Audits helfen, die Einhaltung von Standards und Vorschriften zu überprüfen und Verbesserungspotenziale zu identifizieren. Dabei unterscheidet man zwischen internen und externen Audits, die jeweils unterschiedliche Ziele, Methoden und Perspektiven haben.

Interne Audits werden von Mitarbeitern des Unternehmens durchgeführt, die nicht direkt in die Prozesse involviert sind, die sie überprüfen. Diese Audits dienen in erster Linie der Selbstkontrolle und der kontinuierlichen Verbesserung. Interne Auditoren haben ein tiefes Verständnis für die internen Abläufe im Unternehmen und können spezifische Risiken und Schwächen identifizieren. Sie arbeiten oft eng mit den Abteilungen zusammen, um Lösungen zu entwickeln und die Umsetzung von Verbesserungsmaßnahmen zu unterstützen. Ein weiterer Vorteil interner Audits ist die Flexibilität in der Planung und Durchführung, da sie an die Bedürfnisse des Unternehmens angepasst werden können.

Externe Audits hingegen werden von unabhängigen Dritten durchgeführt, die nicht mit dem Unternehmen verbunden sind. Diese Auditoren bringen eine objektive Perspektive mit und sind oft mit branchenspezifischen Standards und gesetzlichen Anforderungen vertraut. Externe Audits sind häufig erforderlich, um die Einhaltung von Vorschriften zu bestätigen, beispielsweise bei Zertifizierungen oder regulatorischen Anforderungen. Sie bieten eine wertvolle externe Validierung der internen Prozesse und können das Vertrauen von Kunden und Partnern stärken.

Lieferantenaudits sind eine spezielle Form des Audits, die sich auf die Bewertung von Lieferanten und deren Prozesse konzentriert. Diese Audits sind entscheidend, um sicherzustellen, dass die Lieferanten die erforderlichen Qualitätsstandards und Compliance-Vorgaben einhalten. Lieferantenaudits helfen Unternehmen, Risiken in der Lieferkette zu identifizieren und die Zuverlässigkeit ihrer Partner zu bewerten. Sie können sowohl intern als auch extern durchgeführt werden, wobei interne Audits oft von den Einkaufs- oder Qualitätsmanagementteams des Unternehmens durchgeführt werden, während externe Audits von unabhängigen Dritten oder spezialisierten Auditoren vorgenommen werden besonders wenn die Leistung des Lieferanten so spezifisch ist das eine korrekte Beurteilung nur von Fachexperten vorgenommen werden kann..

Zusammenfassend lässt sich sagen, dass interne, externe und Lieferantenaudits komplementäre Rollen im Auditprozess spielen. Während interne Audits auf kontinuierliche Verbesserung und interne Kontrolle abzielen, bieten externe Audits eine objektive Bewertung und Bestätigung der Einhaltung von Standards. Lieferantenaudits hingegen konzentrieren sich auf die Qualität und Zuverlässigkeit der Lieferanten. Alle drei Auditarten sind entscheidend für die Sicherstellung von Qualität und Compliance in einem Unternehmen.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Ratgeber Informationssicherheit für Geschäftsführung

Warum Sie diesen Ratgeber Informationssicherheit für Geschäftsführung und Vorstände nicht verpassen sollten:

Ob Datenschutz-Grundverordnung (DSGVO), das IT-Sicherheitsgesetz (IT-SiG), das NIS2-Umsetzungsgesetz oder branchenspezifische Vorgaben – die rechtlichen Anforderungen an den Schutz von Informationen sind vielfältig und streng. Diese Vorgaben nicht nur zu kennen, sondern sie systematisch in die Unternehmensprozesse zu integrieren, ist eine der größten Herausforderungen für die Unternehmensleitung. Ein effektives Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bietet die ideale Grundlage, um diese Anforderungen zu erfüllen.

Unser neuer Ratgeber zeigt Ihnen, kurz und übersichtlich was Sie bei der Implementierung, Überwachung und kontinuierlichen Verbesserung eines ISMS beachten sollten – praxisnah und verständlich.

Was bietet Ihnen unser “Ratgebers Informationssicherheit für die Geschäftsführung”:

1. Aufbau eines kompetenten Projektteams und klarer Rollenverteilung: Ein starkes Team und klare Verantwortlichkeiten sind die Basis für die erfolgreiche Umsetzung eines ISMS.

2. Kennzahlen und Wirksamkeitsmessung: Definieren und überwachen Sie Kennzahlen, um die Effektivität Ihres ISMS gezielt zu messen und zu optimieren.

3. Interne Audits & Auditprogramme: Audits decken Schwachstellen auf und fördern die kontinuierliche Verbesserung Ihres ISMS.

4. Managementbewertung: Prüfen Sie regelmäßig die Leistung Ihres ISMS und treffen Sie fundierte strategische Entscheidungen.

5. Integration in bestehende Unternehmensprozesse: Integrieren Sie Ihr ISMS nahtlos in die täglichen Abläufe, um es effizient und nachhaltig zu gestalten.

Fazit: Die Führungsebene ist für ein erfolgreiches ISMS essenziell

Insgesamt erfordert die erfolgreiche Implementierung und Verwaltung eines ISMS nach ISO 27001 das Engagement und die Unterstützung der Geschäftsführung auf allen Ebenen. Durch die konsequente Anwendung der im Ratgeber beschriebenen Prinzipien und Maßnahmen können Sie nicht nur die Informationssicherheit in Ihrem Unternehmen stärken, sondern auch Vertrauen bei Kunden und Partnern aufbauen und gesetzliche sowie regulatorische Anforderungen erfüllen.

Sichern Sie sich jetzt den Ratgeber und übernehmen Sie die Führung in Sachen Informationssicherheit!

Adobe Stock | 968083173 | KI generiert

Ratgeber Informationssicherheit für Geschäftsführung

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Geschäftsführer und Vorstände“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Notfallvorsorge in der IT: eine kurze Übersicht

Wir sind ja in den vorherigen Beiträgen schon mehrfach auf das Thema Notfallvorsorge, Wiederanlaufplanung und Übungsszenarien in der IT eingegangen. In der heutigen digitalisierten Welt ist die IT-Infrastruktur das Rückgrat vieler Unternehmen. Cyberangriffe, Systemausfälle und andere unerwartete Ereignisse können jedoch erhebliche Schäden verursachen. Die EU hat sich mit der NIS 2 Richtlinie und dem CRA (Cyber Resilience Act) diesem Problem angenommen.

Hier nochmal eine kurze Übersicht, was zu beachten ist:

Notfallvorsorge und Wiederanlaufplanung

Die Basis einer effektiven Notfallvorsorge bildet nach wie vor ein detaillierter IT-Notfallplan. Dieser sollte folgende Kernelemente enthalten:

  1. Risikobewertung und Bedrohungsanalyse
  2. Festlegung eines Notfallteams und klarer Verantwortlichkeiten
  3. Dokumentation von Wiederanlaufprozessen
  4. Technische und organisatorische Maßnahmen zur Risikominimierung

Ein wesentlicher Bestandteil des Notfallplans ist die Wiederanlaufplanung. Sie definiert präzise Schritte zur Wiederherstellung kritischer IT-Systeme und -Dienste. Ein effektiver Wiederanlaufplan sollte folgende Aspekte abdecken:

  • Technische und organisatorische Voraussetzungen zum Wiederanlauf
  • Detaillierte Aktivitäten für den Wiederanlauf
  • Beschreibung von Funktionstests und Übergabe in den Notbetrieb
  • Maßnahmen zur Rückführung in den Normalbetrieb

Übungsszenarien und deren Bedeutung

Regelmäßige IT-Notfallübungen sind unerlässlich, um die Wirksamkeit der Notfallpläne zu testen und das Notfallteam auf den Ernstfall vorzubereiten. Professionelle Übungsszenarien fokussieren sich auf:

  • Rasche Erfassung der IT-Situation und Lagebilderstellung
  • Anwendung von Methoden zur Problemerfassung
  • Schnelle und korrekte Lagebeurteilung
  • Hochfahren des Cyber-Notfallmanagements
  • Überprüfung der Disaster Recovery Pläne
  • Praktische Anwendung der Notfallkommunikation

Diese Übungen helfen, Schwachstellen im Notfallmanagement aufzudecken und kontinuierliche Verbesserungen vorzunehmen. Die Bedeutung der IT-Notfallvorsorge wird durch regulatorische Anforderungen wie die NIS 2 Richtlinie unterstrichen, die höhere Sicherheitsanforderungen für Unternehmen mit kritischen Infrastrukturen vorschreibt und entsprechende Nachweise einfordert.

Zusammenfassend lässt sich sagen, dass eine gründliche Notfallvorsorge, detaillierte Wiederanlaufplanung und regelmäßige Übungsszenarien entscheidend sind, um die Resilienz eines Unternehmens gegenüber IT-Notfällen zu stärken. Nur so können Unternehmen im digitalen Zeitalter bestehen und ihre Geschäftskontinuität auch in Krisensituationen sicherstellen.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Podcast – Security on Air – Heute Jahresrückblick 2024

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Ein ereignisreiches Jahr für Informationssicherheit, Datenschutz und KI

Das Jahr 2024 neigt sich dem Ende zu, und in unserer letzten Podcast-Folge werfen wir einen umfassenden Blick auf die Entwicklungen, Herausforderungen und Chancen in den Bereichen Informationssicherheit, Datenschutz und Künstliche Intelligenz (KI). Unternehmen sahen sich in diesem Jahr nicht nur mit neuen Regularien wie NIS2 konfrontiert, sondern auch mit einer immer stärkeren Integration von KI-Technologien, die die Arbeitswelt nachhaltig verändern.

Highlights der Folge

Künstliche Intelligenz (KI): Automatisierung und neue Perspektiven

KI hat in diesem Jahr eine Schlüsselrolle eingenommen – sei es in der Beratung, der Überprüfung von Richtlinien oder als Chance zur Automatisierung in der Informationssicherheit. Doch der Einsatz von KI bringt auch Herausforderungen mit sich, etwa hinsichtlich ihrer Berücksichtigung in Datenschutzregelungen und der Anpassung interner Prozesse.

Datenschutz und DSGVO: Kritik und neue Herausforderungen

Die Datenschutz-Grundverordnung (DSGVO) steht weiterhin im Fokus, nicht nur durch Kritik an ihrem starren Regelwerk, sondern auch durch neue Technologien, die bislang kaum in den Vorschriften berücksichtigt werden. Besonders KI wirft neue Fragen zum Umgang mit personenbezogenen Daten auf und zeigt, dass Anpassungen dringend nötig sind.

NIS2-Umsetzung: Auswirkungen auf Unternehmen

Mit der NIS2-Richtlinie kamen weitreichende Änderungen für Unternehmen, doch die Umsetzung verlief vielerorts schleppend. Die stark gestiegene Zahl betroffener Unternehmen bringt neue Anforderungen und Risiken mit sich, die den Handlungsbedarf 2024 noch einmal deutlich gemacht haben.

Awareness und Schulungen: Sensibilisierung wird essenziell

Cybergefahren und der richtige Umgang mit KI erfordern ein höheres Maß an Bewusstsein und Kompetenz. Neue gesetzliche Schulungspflichten unterstreichen, wie wichtig es ist, Mitarbeiter und Geschäftsführungen regelmäßig zu sensibilisieren und auf den neuesten Stand zu bringen.

ANMATHO AG: Zurück im Winterhuder Weg

Die ANMATHO AG kehrt an ihren ursprünglichen Standort im Winterhuder Weg in Hamburg zurück. Ein Schritt, der die Weichen für ein produktives und erfolgreiches Jahr 2025 stellt.

 

Hier ein Paar Links zum Thema „Jahresrückblick 2024“

Lesen Sie hier die Beiträge aus 2024: https://anmatho.de/neuigkeiten/blog-artikel/

Hier finden Sie die Podcasts zu den neuen Regularien: https://anmatho.de/neuigkeiten/podcast/

Regularien in der Informationssicherheit: https://www.openkritis.de/

Leitfaden zur sicheren Nutzung von KI-Systemen:

https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Leitfaden_KI-Systeme_230124.html

Informationen zum TDDDG: https://de.wikipedia.org/wiki/Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz

 

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein und starten Sie bestens informiert ins Jahr 2025!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Podcast – Security on Air – Heute KI im ISMS

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Künstliche Intelligenz ist mittlerweile aus dem Unternehmensalltag kaum noch wegzudenken. Die Nutzung von Chatbots, Unterstützung bei der Erstellung oder Analyse von Dokumenten und Informationen oder sogar die Entwicklung von KI in den eigenen Produkten – die Möglichkeiten des Einsatzes von KI im Unternehmen sind immens.

In dieser Episode sprechen wir über das Thema „KI im ISMS“ und inwieweit KI zum einen die Informationssicherheit im Unternehmen unterstützen kann aber auch welche Schwachstellen die Nutzung von künstlicher Intelligenz im Unternehmen eröffnen kann.

Hier ein Paar Links zum Thema „KI im ISMS – eine gute Idee?“

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Notfallvorsorge in der IT: Die Bedeutung der NIS 2 Richtlinie

In der heutigen digitalen Welt ist die Notfallvorsorge in der IT von entscheidender Bedeutung. Cyberangriffe, Systemausfälle und andere unerwartete Ereignisse können Unternehmen erheblich schaden. Die neue NIS 2 Richtlinie, die im Januar 2023 in Kraft trat, stellt einen wichtigen Schritt zur Verbesserung der Cybersicherheit in der Europäischen Union dar und hat weitreichende Auswirkungen auf die Notfallvorsorge in der IT.

Die NIS 2 Richtlinie zielt darauf ab, die Sicherheitsanforderungen für Unternehmen, die kritische Infrastrukturen betreiben, zu erhöhen. Sie erweitert den Anwendungsbereich der vorherigen NIS-Richtlinie und umfasst nun auch kleinere Unternehmen und Anbieter von digitalen Diensten. Dies bedeutet, dass mehr Organisationen verpflichtet sind, robuste Sicherheitsmaßnahmen zu implementieren und Notfallpläne zu entwickeln.

Die NIS 2 Richtlinie (Richtlinie (EU) 2022/2555) befasst sich gleich in mehreren Kapiteln mit Notfallvorsorge und Resilienz.

Die wichtigsten Kapitel, die Notfallvorsorge und Resilienz behandeln, sind:

1. Kapitel II – Sicherheitsanforderungen: Dieses Kapitel legt die grundlegenden Sicherheitsanforderungen fest, die von den betroffenen Unternehmen und Organisationen eingehalten werden müssen. Es betont die Notwendigkeit, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Netz- und Informationssysteme zu gewährleisten. Dazu gehört auch die Entwicklung von Notfallplänen und die Durchführung von Risikobewertungen.

2. Kapitel III – Vorfallmanagement: In diesem Kapitel wird die Notwendigkeit eines effektiven Vorfallmanagements hervorgehoben. Unternehmen müssen Verfahren zur Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle implementieren. Dies ist entscheidend für die Resilienz, da eine schnelle und koordinierte Reaktion auf Vorfälle die Auswirkungen auf die Organisation minimieren kann.

3. Kapitel IV – Zusammenarbeit und Informationsaustausch: Dieses Kapitel fördert die Zusammenarbeit zwischen den Mitgliedstaaten und den betroffenen Unternehmen. Der Austausch von Informationen über Bedrohungen und Sicherheitsvorfälle ist entscheidend für die Verbesserung der Resilienz und der Notfallvorsorge auf europäischer Ebene.

4. Kapitel V – Aufsicht und Durchsetzung: Hier werden die Aufsichtsmechanismen beschrieben, die sicherstellen sollen, dass die Sicherheitsanforderungen eingehalten werden. Die Durchsetzung dieser Anforderungen trägt zur allgemeinen Resilienz der kritischen Infrastrukturen bei.

Diese Kapitel zusammen bilden den Rahmen für eine umfassende Notfallvorsorge und Resilienz-Strategie, die Unternehmen dabei unterstützt, sich besser auf Cyberbedrohungen vorzubereiten und darauf zu reagieren.

Ein zentraler Aspekt der NIS 2 Richtlinie ist die Verpflichtung zur Risikobewertung und -management. Unternehmen müssen potenzielle Bedrohungen identifizieren und Strategien entwickeln, um diese zu minimieren. Dazu gehört auch die regelmäßige Durchführung von Notfallübungen, um sicherzustellen, dass alle Mitarbeiter im Ernstfall wissen, wie sie reagieren müssen.

Darüber hinaus fordert die NIS 2 Richtlinie eine engere Zusammenarbeit zwischen den Mitgliedstaaten und den betroffenen Unternehmen. Der Austausch von Informationen über Bedrohungen und Sicherheitsvorfälle wird gefördert, um eine schnellere Reaktion auf Cyberangriffe zu ermöglichen.

Insgesamt ist die NIS 2 Richtlinie ein wichtiger Schritt in Richtung einer besseren Notfallvorsorge in der IT. Unternehmen sollten diese Vorgaben ernst nehmen und ihre Sicherheitsstrategien entsprechend anpassen, um nicht nur gesetzliche Anforderungen zu erfüllen, sondern auch ihre eigene Resilienz zu stärken. In einer Zeit, in der Cyberbedrohungen allgegenwärtig sind, ist proaktive Notfallvorsorge unerlässlich.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

 

/von
,

“Information Security Risk Management: Risikomanagement mit ISO/IEC 27001, 27005 und 31010” von Sebastian Klipper, eine Rezension

Bereits am 3. März 2015 ist bei Springer Vieweg auf 216 Seiten  “Information Security Risk Management: Risikomanagement mit ISO/IEC 27001, 27005 und 31010” von Sebastian Klipper erschienen. Soweit ich weiß, ist es nach wie vor das einzige deutschsprachige Buch speziell zum Thema Informationssicherheitsrisikomanagement.

In seinen ersten Kapiteln führt das Buch in das Risikomanagement in der ISO-Normenwelt ein. Betrachtet werden die Normen der ISO 27000-Reihe insbesondere die ISO 27005. Daneben geht der Autor auf die ISO 31000-Reihe ein. Die ISO 31000 ist eine Norm, die sich allgemein mit Risikomanagement beschäftigt. Auch wenn es für die besprochenen Normen jeweils bereits neue Versionen gibt, so sind die Ausführungen des Buches immer noch weitgehend richtig. In der ISO 27001:2022 haben sich die Anforderungen zum Risikomanagement nicht wesentlich geändert. Auch die besprochenen Risikonormen sind in ihrer Grundstruktur nicht wesentlich verändert. Diese Normen sind im ISMS nach ISO 27001 auch nur informativ, d.h. sie haben empfehlenden Charakter. Daher gibt es nichts, was in den zum Zeitpunkt des Erscheinens des  Buches gültigen Normen steht, was heute falsch wäre.

Viele ISMS-Verantwortliche, die sich mit den formalen Anforderungen der ISO 27001 vertraut gemacht haben, stehen vor der schwierigen Aufgabe, diese Anforderungen in die Praxis umsetzen zu müssen. Hier hilft das Kapitel 5 des Buches gut weiter. Besprochen werden konkrete Methoden zum Durchführen von Risiko-Assessments. Neben geläufigen Methoden wie Brainstorming oder Business Impact Analysen (BIA), werden auch in der Praxis der Informationssicherheit weniger verbreitete Methoden, wie z.B. die aus anderen Bereichen bekannte Delphi-Methode, vorgestellt. Dabei geht es darum, dass die möglicherweise unterschiedlichen Ansichten verschiedener Experten konsolidiert werden.

Zu jeder Methode wird dargelegt, in welcher Phase des Risiko-Assessments sie zum Tragen kommen kann: bei Risikoidentifikation, -abschätzung, oder -bewertung. Die Methoden werden vom Autor jeweils nach ihrer Komplexität, dem Grad der Ergebnisunsicherheit, dem Ressourcenbedarf und dem quantitativen Output bewertet. Leider funktionieren die Links zu weiterführenden Informationen nicht mehr, da der Blog des Autors anscheinend umgezogen ist.

Kapitel über die Risikokommunikation und Wirtschaftlichkeitsbetrachtungen runden das Buch ab. Gerade Wirtschaftlichkeitsbetrachtungen werden bei zu theoretischen Ansätzen des Risikomanagements auf dem Altar einer scheinbaren Vollständigkeit und “Reinheit” des gewählten Vorgehens gerne vernachlässigt. Dies führt in der Praxis jedoch früher oder später dazu, dass diese “umfassenden” Ansätze als unpraktikabel wieder verworfen werden. Man darf dem Autor dankbar sein für diesen praxisorientierten Blick auf die Materie.

Fazit

Auch wenn das Buch schon über 9 Jahre alt ist, so ist es im Kern immer noch aktuell. Außerdem ist es, wie eingangs erwähnt, weiterhin das einzige Werk in deutscher Sprache, das sich explizit mit Informationssicherheits-Risikomanagement beschäftigt. Ich kann das Buch sehr empfehlen und würde mich über eine an den aktuellen Normenstand angepasste Neuauflage freuen.

/von
, ,

Awareness – Sicherheits-Hygiene

Im vorhergehenden Blog-Beitrag “Awareness – ein Konzept!” habe ich einen Überblick über eine strukturierte Vorgehensweise und The new Awareness Curve gegeben. In diesem Beitrag möchte ich auf den ersten Schritt der Awareness Curve die Sicherheits-Hygiene eingehen.

Sicherheits-Hygiene

Unter Sicherheits-Hygiene versteht man die routinemäßigen, alltagstauglichen Sicherheitspraktiken, die von Endbenutzern durchgeführt werden müssen, um ein Grundniveau an Sicherheit zu gewährleisten. Dabei ist Wert darauf zu legen, dass Maßnahmen so gestaltet sind, dass sie wenig kognitive Belastung oder Aufwand für die Menschen darstellen.  Sicherheitsmaßnahmen sollen praktikabel, intuitiv und mit den täglichen Arbeitsabläufen kompatibel sein.

Informationssicherheit wird oft als zusätzliche Belastung für den Menschen wahrgenommen, insbesondere wenn sie als zu kompliziert oder störend empfunden wird. Die Sicherheits-Hygiene muss daher einfach und effizient gestaltet sein. Sie muss selbstverständlich sein, wie das Händewaschen in der körperlichen Hygiene.

In der Sicherheits-Hygiene sind daher zunächst die eigenen Regelungen auf tatsächliche und praktische Umsetzbarkeit zu prüfen. Niemandem darf zugemutet werden, Regeln zu befolgen, die im Kontext der eigenen Tätigkeit nicht oder nur unter erheblichen Erschwernissen umzusetzen sind. Dies gilt auch für die Benutzung von Werkzeugen, wie z.B. ein VPN. Die Benutzung darf im Ergebnis die Menschen kognitiv nicht mehr anstrengen als Händewaschen. Nur dann besteht eine gute Chance, dass elementare Regeln eingehalten und aus Sicherheitsperspektive notwendige Werkzeuge und Methoden auch wirklich eingesetzt werden. Anderenfalls wird es immer wieder zu Umgehungshandlungen kommen.

Die Sicherheits-Hygiene bildet damit die Grundlage für weiterführende Awareness-Maßnahmen. Sie stellt sicher, dass die grundlegenden Sicherheitspraktiken einfach verstanden und praktikabel gelebt werden können. Erst in der Folge können komplexere Themen angegangen werden. Die Sicherheits-Hygiene zielt darauf ab, ein Basisniveau an Sicherheitsbewusstsein und -verhalten in der gesamten Organisation zu etablieren. Durch die Fokussierung auf diese grundlegenden Aspekte wird eine solide Basis für die Entwicklung einer umfassenderen Sicherheitskultur geschaffen. Die Sicherheits-Hygiene ist somit der notwendige erster Schritt auf der Security Awareness Curve.

Wie es weiter geht?

Der nächste Blog-Artikel zum Thema Awareness wird sich mit dem nächsten Schritt der Awarenss Curve der Information der Mitarbeiter beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen