, ,

KI im Unternehmen – Chancen nutzen, Risiken managen

Die Einführung von Künstlicher Intelligenz (KI) im Unternehmen verspricht Effizienz, automatisierte Analysen und kreative Unterstützung. Doch gerade in sensiblen Bereichen wie Energieversorgung, Verwaltung oder kritischer Infrastruktur ist Vorsicht geboten: KI kann nur dann ein Gewinn sein, wenn sie sicher, rechtskonform und gezielt eingesetzt wird.

Öffentliche KI vs. Eigene Unternehmens-KI

Der Unterschied zwischen öffentlicher KI (z. B. ChatGPT u.a.) und unternehmensintern trainierten Modellen ist entscheidend.

  • Öffentliche KI: Sie ist einfach nutzbar, aber es gibt Risiken beim Datenschutz und Urheberrecht. Zusätzlich können alle eingegebenen Daten zur Modellverbesserung (Trainingszwecken) verwendet werden.
  • Eigene KI / On-Premise KI: Läuft in der Unternehmensumgebung und ist ideal für sensible oder vertrauliche Informationen. Anbieter wie Microsoft Copilot in geschützter Azure-Umgebung oder OpenGPT Enterprise bieten entsprechende Schutzmechanismen.

Tipp: Prüfen Sie bei jeder Anwendung, wo Daten verarbeitet und gespeichert werden, wer Zugriff erhält, und welche Lizenzbedingungen gelten. Ein internes KI-Governance-Dokument ist Pflicht, ebenso ein Freigabeprozess für neue Tools.

Überprüfung von KI-Ergebnissen – wie geht das zuverlässig?

KI liefert gute Erstentwürfe, aber keine garantierten Wahrheiten.

  • Vier-Augen-Prinzip: Lassen Sie Ergebnisse durch Fachpersonen oder Compliance-Verantwortliche validieren.
  • Fact-Checking-Tools: Externer Quellenabgleich, z. B. über Google Fact Check Tools oder spezialisierte Tools zur Prüfung für technische Berechnungen helfen bei der Überprüfung von Ergebnissen.
  • Protokollierung: Jede KI-gestützte Entscheidung sollte dokumentiert werden (z. B. in einem Ticketsystem oder Audit-Trail).

Praxisbeispiel: Ein Stadtwerk nutzte KI zur Auswertung von Kundenfeedback. Die Ergebnisse waren zunächst irreführend, weil Dialekte als negative Kommentare erkannt wurden. Nach kurzer Feinjustierung durch ein menschliches Audit-Team stieg die Trefferquote der Analyse auf über 85 %.

KI und Urheberrecht bei Bildern

Bei der Nutzung KI-generierter Bilder besteht weiterhin das Risiko, dass Trainingsdaten Inhalte enthalten, die urheberrechtlich geschützt sind.

Geprüfte Anbieter:

  • Adobe Firefly: Ist nur mit eigenen Stockmaterialien trainiert und ist mit entsprechender kostenpflichtiger Lizensierung für die kommerzielle Nutzung erlaubt.
  • Getty Images Generative AI: Entwickelt mit vollständig eigenem Bildmaterial.
  • Midjourney, DALL·E 3: Bietet eine hohe Qualität, allerdings besteht eine rechtlich unsichere Lizenzlage für kommerzielle Zwecke.

Prüftipp: Nutzen Sie Tools wie „Have I Been Trained?“ zur Kontrolle, ob geschützte Bildinhalte in Trainingsdaten vorkommen.
Rechtlicher Hinweis: Nach EU-Urheberrechtsgesetz haftet der Ersteller, nicht der KI-Anbieter. „Unwissenheit schützt vor Strafe nicht.“

KI-Schutz für Diensthandys

Mit steigender mobiler KI-Nutzung wächst das Risiko für Datenabfluss.

Empfohlene Maßnahmen:

  • MDM-Lösung (Mobile Device Management) mit KI-Zugriffskontrolle.
  • Sperrung öffentlicher KI-Apps für dienstliche Nutzung, außer über geprüfte Unternehmenskanäle.
  • Einsatz von App-Sandboxing für KI-Chatfunktionen.
  • Schulungen für Mitarbeitende zu Datenschutz und KI-Nutzung auf Smartphones.

Basis-Schulung und Governance-Struktur

Jede KI-Anwendung braucht eine eigene Bewertung hinsichtlich:

  • Datenschutz (personenbezogene Daten, DSGVO)
  • Sicherheit (Training, Zugriff, Speicherung)
  • Lizenz- und Nutzungsrechte
  • Transparenz und Nachvollziehbarkeit

Für die Einführung empfiehlt sich eine zweistufige Schulung:

  1. Grundverständnis, was KI kann, wo liegen die Grenzen.
  2. Schulung auf das konkrete KI-Tool, was ist bei der Nutzung zu beachten, sprich welche Daten dürfen eingegeben werden, wie ist das Ergebnis zu prüfen usw.

Checkliste: Sicherer und effektiver KI-Einsatz im Unternehmen

Diese Checkliste dient als Leitfaden für die Bewertung, Einführung und regelmäßige Kontrolle von KI-Anwendungen.

  1. Strategische Vorbereitung
  • Zieldefinition: Welche konkreten Aufgaben soll die KI übernehmen (z.  Textanalyse, Prozessautomatisierung, Vorhersage)?
  • Welches Modell: Öffentliche KI oder On-Premise Lösung
  • Kosten-Nutzen-Abwägung: Wirtschaftlicher Mehrwert und bestehende Alternativen prüfen.
  • Governance-Festlegung: Verantwortlichkeiten, Freigabeprozess und Auditintervalle definieren.
  1. Datenschutz & Compliance
  • DSGVO-konform: Werden personenbezogene Daten verarbeitet? Wenn ja, mit Einwilligung oder Berechtigungsgrundlage.
  • Datentransfer prüfen: Fließen Daten außerhalb des europäischen Rechtsraums (z.B.  über Cloud-API)?
  • Vertragliche Vereinbarungen: Lizenzbedingungen, Datenschutzerklärungen und Nutzungsrechte dokumentieren.
  • Audit-Trail: Ergebnisse der KI müssen nachvollziehbar und nachprüfbar gespeichert werden.
  1. Informationssicherheit
  • Zugriffsrechte: KI-Anwendungen nur für autorisierte Mitarbeitende zugänglich.
  • MDM-Integration: Diensthandys und mobile Geräte über zentrale Sicherheitssteuerung schützen.
  • Cloud-Sicherheit: Verschlüsselung und separate Datenräume („Data Sovereignty Zones“) verwenden.
  • Incident Response: KI-Einsatz im Notfallplan bzw. ISMS berücksichtigen.
  1. Qualitätskontrolle der KI-Ergebnisse
  • Vier-Augen-Prinzip: Fachliche Review der durch KI erstellten Inhalte oder Analysen.
  • Bias-Tests: Gibt es systematische Verzerrungen in den Ergebnissen?
  • Regelmäßiges Retraining: Modelle regelmäßig mit aktuellen, validierten Daten füttern.
  • Dokumentation: KI-Version, Trainingszeitpunkt und Quellen eindeutig vermerken.
  1. Urheberrecht & Inhaltssicherheit
  • Bilder und Textquellen prüfen: Nur freigegebene oder eigens erstellte Inhalte verwenden.
  • KI-Tool auswählen: Bevorzugt Anbieter mit transparenten Trainingsdaten.
  • Rechtsprüfung: Vor Publikation oder Produktivsetzung durch Juristen oder Compliance-Teams prüfen lassen.
  • Beweisführung: Bei generativen Inhalten immer Herkunftsnachweis (Source Tag) abspeichern.
  1. Schulung & Awareness
  • Mitarbeiterschulung: Grundlagen der KI-Nutzung, Datenschutz und rechtliche Risiken.
  • Praxisübungen: „Gute vs. riskante“ KI-Beispiele durchspielen.
  • Rollenbezogene Trainings: Fachbereiche lernen, KI-Ergebnisse korrekt zu hinterfragen.
  • Kommunikation: Interne Richtlinie zur Nutzung öffentlicher KI-Systeme veröffentlichen.

Whitepaper und Checklisten finden Sie z. B. auch bei:

Was Sie auch interessieren könnte:

Seminar:

“KI im Unternehmen – Rechtliche Anforderungen und praktische Umsetzung”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

 

/von
,

Business Continuity Management (BCM) und Notfallvorsorge: Ihr Ratgeber für Resilienz

In einer Welt voller Unwägbarkeiten wie Cyberangriffen, Naturkatastrophen oder Ausfällen kritischer Systeme ist Business Continuity Management (BCM) essenziell, um Unternehmen handlungsfähig zu halten. Ein BCM integriert die Notfallvorsorge strategisch, minimiert Ausfälle und schützt Reputation sowie Wirtschaftlichkeit.

Warum BCM und Notfallvorsorge priorisieren?

BCM geht über reine Krisenreaktion hinaus: Es stärkt die gesamte Unternehmensresilienz. Studien zeigen, dass Firmen mit einem robustem BCM schneller wieder im Normalbetrieb und wettbewerbsfähiger bleiben. Besonders in den KRITIS-Sektoren wie Energie oder Telekommunikation ist es regulatorisch vorgeschrieben, z. B. nach NIS2 oder ISO 27001. Eine gute Notfallvorsorge fokussiert sich auf eine unmittelbare Gefahrenabwehr, während BCM die langfristige Kontinuität sichert.

Schritt-für-Schritt-Ratgeber zur Umsetzung

  1. Risikoanalyse durchführen: Identifizieren Sie Bedrohungen via Business Impact Analysis (BIA) und Risiko Impact Analysis (RIA). Bewerten Sie die Eintrittswahrscheinlichkeit und das mögliche Schadenspotenzial – priorisieren Sie kritische Prozesse.
  2. Policy und Governance festlegen: Definieren Sie Ziele, Rollen (z. B. BCM-Manager) und Eskalationswege. Holen Sie sich den Support ihres Top-Managements ein.
  3. Pläne erstellen: Entwickeln Sie Business Continuity Plans (BCP) mit Notfall-, Wiederanlauf- und Kommunikationsstrategien. Üben sie Wiederherstellungsszenarien und halten Sie die dafür notwendigen Zeiten fest. So wissen Sie wie lange ihre Wiederherstellung z.B. aus einem Backup dann tatsächlich dauert. Integrieren Sie Evakuierungspläne, Checklisten und Backup-Lösungen in ihre Planung.
  4. Tests und Übungen: Führen Sie regelmäßige Simulationen durch, um die Pläne zu validieren. Aktualisieren Sie die Pläne und Szenarien jährlich basierend auf den „Lessons Learned“.
  5. Kommunikation etablieren: Schulen Sie ihre Mitarbeiter, definieren Sie Informationsflüsse und informieren Sie Stakeholder. Legen Sie sich ggf. vorgefertigte Texte für Presse und Kundenkommunikation in die Schublade.

Praktische Tipps für den Einstieg

Nutzen Sie Vorlagen wie z.B. das IHK-Notfall-Handbuch für Unternehmen für die Erstellung ihrer individuellen Checklisten. Integrieren Sie ein IT-Notfallmanagement (z. B. Disaster Recovery) und PDCA-Zyklus für kontinuierliche Verbesserung in ihre Unternehmensprozesse. Für KRITIS-Betreiber: Erfüllen Sie BSI-Standards durch regelmäßige Audits.

Vorteile und Fazit

Ein gut strukturiertes funktionierendes BCM reduziert Insolvenzrisiken und schafft Risikobewusstsein. Es ist Ihre Versicherung gegen den Worst Case – investieren Sie jetzt, um gestärkt aus Krisen hervorzugehen.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

TISAX® – Informationssicherheit im Detail, Teil 8

In den bisherigen Blogartikeln wurde an verschiedenen Stellen (Teil7, Teil6 und Teil1) der Aspekt der Klassifizierung angesprochen. Die meisten Klassifizierungsschemata adressieren das Schutzziel der Vertraulichkeit, so auch das Whitepaper des VDA.

Auch der grundsätzliche Gedanke, dass ein Klassifizierungsschema (oder genaugenommen: eine vorgenommene Klassifizierung) dazu dienen soll, dem Bearbeiter oder Benutzer eines Informationswertes Hinweise über den Umgang und die Handhabung des Informationswertes mitzugeben, kam bereits an mehrere Stellen zur Sprache. Der TISAX® Prüfkatalog fordert als MUSS ebenfalls ein Klassifizierungsschema, das das Schutzziel „Vertraulichkeit“ adressiert.

Probleme in der Umsetzung

In der Praxis tut man sich jedoch manchmal etwas schwer, die im TISAX® Prüfkatalog als SOLLTE ebenfalls geforderte Berücksichtigung der Schutzziele Integrität und Verfügbarkeit in dieses Klassifizierungsschema mit einzubauen. Eine oft anzutreffende Fehlannahme ist hierbei, dass die Bezeichnungen für die einzelnen Klassifizierungsstufen identisch sein müssten – doch dem ist nicht so. Es ist ja auch naheliegend, dass Vokabeln wie „intern“ oder „geheim“ nicht geeignet sind, die Kritikalität hinsichtlich der Verfügbarkeit zu beschreiben. Viel besser passen dagegen Vokabeln wie z.B. „unbedenklich“, „normal“, „kritisch“, um zu beschreiben, wie die Anforderungen an einen Informationswert hinsichtlich seiner Verfügbarkeit sind. Auch für das Schutzziel Integrität würden diese Bezeichnungen besser passen …

Nun ist es toll, ein passendes Klassifizierungsschema zu haben – stellt sich die Frage nach dem praktischen Nutzen. Auch bei den beiden neu hinzugekommenen Schutzzielen (Verfügbarkeit, Integrität) verhält es sich wie schon zuvor bei der Vertraulichkeit: passend zur Klassifizierung werden Handhabungsvorgaben gemacht. Die Klassifizierung eines Informationswertes als „kritisch“ hinsichtlich der Verfügbarkeit könnte so z.B. zu der Auflage führen, nach Möglichkeit eine Redundanz für diesen Informationswert zu etablieren, oder zu dem Verbot, diesen Informationswert vom Unternehmensgelände zu entfernen. Wenn ein anderer Informationswert dagegen als „unbedenklich“ hinsichtlich der Verfügbarkeit angesehen wird, werden die Handhabungsvorgaben sicher weniger streng ausfallen.

Die Philosophie hinter der Klassifizierung

Abschließend sei noch auf die sinnvolle Reihenfolge bei der Nutzung eines Klassifizierungsschemas hingewiesen. Natürlich wird als erstes ein organisationsweites Klassifizierungsschema festgelegt. Zu den Aufgaben der Werteverantwortlichen gehört es dann, die einzelnen Informationswerte hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität zu klassifizieren. Durch die Klassifikation ergeben sich die Handhabungsvorgaben, die für die Benutzung des einzelnen Informationswertes zu beachten sind.

Bliebe als letztes die Frage, woran man seine Einschätzung bei der Klassifizierung eines Informationswertes festmachen soll. Die Antwort ist recht einfach – an der Höhe und der Art des Schadens, der entsteht, wenn das jeweilige Schutzziel beeinträchtigt ist. Man wird ein Dokument oder ein Prototyp als „geheim“ klassifizieren, wenn es bei der Verletzung der Vertraulichkeit zu einem hohen Schaden kommen könnte.

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Webseite.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Sicherheitsüberprüfung von Personal

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Die in der ISO 27001 im Control A.6.1 geforderte personelle Sicherheitsüberprüfung ist ein zentraler Hebel, um Ihre Daten vor Innentätern, Fehleinstellungen und Audit-Findings zu schützen. Genau darum geht es in der neuen Folge unseres Podcasts „Security on Air“.

Warum diese Folge für Sie spannend ist

Als ISB, CISO oder Führungskraft kennen Sie das Dilemma:
Technisch sind Sie gut aufgestellt – aber beim Thema „Personenscreening“ stoßen Sie schnell auf Grauzonen zwischen Arbeitsrecht, Datenschutz, HR-Praxis und ISO-27001-Anforderungen. Im Podcast beleuchten wir genau diese Schnittstellen.

Wir erklären im Gespräch:

  • warum das Control A.6.1 deutlich mehr ist als eine Personalakte mit Häkchen,
  • wie Sie den Faktor Mensch risikobasiert bewerten, ohne eine Misstrauenskultur zu etablieren,
  • und welche Rolle Plausibilitätsprüfung von Dokumenten, Wirtschaftsauskünfte, SÜG und Sanktionslisten in der Praxis wirklich spielen.

Konkrete Fragen aus Ihrem Alltag

Die Folge setzt genau dort an, wo es in Projekten und Audits knirscht:

  • Wie staffeln Sie Rollen nach Zugriffsrechten, Informationswert und Schadenspotenzial – statt alle pauschal gleich zu prüfen?
  • Wo liegen die Grenzen bei Führungszeugnis, Bonitätsprüfung & Co. – und wie holen Sie Einwilligungen sinnvoll ein?
  • Wer macht was: HR, ISB, Datenschutz, Rechtsabteilung, Fachbereich, Lieferantensteuerung?
  • Was möchte ein Auditor zu A.6.1 tatsächlich sehen – und welche typischen Findings können Sie vermeiden?

An einem durchgehenden Beispiel – der Einstellung eines Datenbank-Administrators – wird Schritt für Schritt deutlich, wie ein sinnvolles, dokumentiertes und auditfestes Screening aussehen kann: von der Identitäts- und Plausibilitätsprüfung über Wirtschaftsauskünfte bis hin zu angemessenen Berechtigungen und Dokumentationsnachweisen.

Typische Stolperfallen – offen adressiert

Im Gespräch geht es ausdrücklich nicht um Theorie, sondern um reale Fallstricke:

  • „Die Personalabteilung macht das immer“ – aber nirgendwo ist dokumentiert, was konkret geprüft wurde.
  • Richtlinien fordern ein Führungszeugnis, sagen aber nicht, welches – und schon gar nicht, was bei Einträgen passiert.
  • Sicherheitsüberprüfungen im laufenden Arbeitsverhältnis werden rechtlich heikler, Prozesse aber nicht angepasst.
  • Lieferanten und externe Dienstleister werden vergessen – obwohl deren Personal auf Ihre Kronjuwelen zugreift.

Sie bekommen Impulse, wie Sie solche Lücken schließen, ohne Ihre Organisation mit Bürokratie zu überziehen.

Quick Wins, die Sie sofort umsetzen können

Zum Schluss gibt es kompakte Quick Wins, die Sie direkt mitnehmen können, zum Beispiel:

  • Identitätsprüfung bereits im Bewerbungsprozess systematisch verankern.
  • Eine kurze Checkliste für die Plausibilitätsprüfung von Unterlagen (Zeugnisse, Institute, Artefakte) etablieren.
  • Referenzen und berufliche Netzwerke gezielt nutzen – und klare Regeln definieren, was erlaubt ist.
  • Risikoaspekte je Rolle in bestehende HR-Prozesse und das Berechtigungskonzept integrieren, statt ein Insellösungs-Tool zu schaffen.

Damit wird aus „wir sollten mal was zu A.6.1 machen“ ein konkreter, umsetzbarer Plan.

Jetzt reinhören und ins Handeln kommen

Wenn Sie beim Thema NIS2-Meldepflichten und BSI-Portal noch das Gefühl haben „Wir müssten da dringend mal ran“, ist diese Folge genau für Sie gemacht. Nutzen Sie den Podcast als Einstieg, um im nächsten Schritt Ihre Registrierung, Prozesse und Unterlagen konkret anzugehen – bevor der erste erhebliche Vorfall eintritt.

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Was Sie noch interessieren könnte…

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

/von
,

“Geschäftsleitung fit für NIS2“, Teil 2

Die Umsetzung der NIS2-Richtlinie erfolgte in Deutschland durch ein sogenanntes Mantelgesetz. In diesem Mantelgesetz wurden mehrere andere gesetzliche Vorgaben entsprechend der  NIS2-Richtlinie angepasst. Der Großteil der NIS2-Anforderungen, die für NIS2-pflichtige Unternehmen relevant sind, finden sich daher im neu gefassten BSI-Gesetz (BSI-G). Im ersten Teil dieser Reihe von Blogartikeln zur Umsetzung der NIS2-Richtlinie in Deutschland hatten wir dargestellt, warum eine Schulungspflicht für Geschäftsleitungen im entsprechenden BSI-Gesetz (BSI-G) explizit mit aufgenommen worden ist. Doch es lassen sich noch weitere Aspekte der Informationssicherheit in den gesetzlichen Vorgaben finden.

Informationssicherheits-Managementsystem (ISO 27001)

Soll Informationssicherheit systematisch betrieben werden, so bauen viele Organisationen ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 auf. Und wie es das Wörtchen „Managementsystem“ schon andeutet – das Managementsystem soll für die Organisationsleitung Werkzeuge und Abläufe bereitstellen, mit deren Hilfe die Organisationsleitung das eigene Unternehmen zu Fragen der Informationssicherheit steuern kann. Eines der Kernelemente solcher Managementsysteme ist die „Managementbewertung“. Hier bewertet das Management (daher der Name) im Dialog mit dem Verantwortlichen für Informationssicherheit (meist ISB oder CISO genannt) die Lage des Unternehmens zur Informationssicherheit.

Managementbewertung

Die ISO 27001 sieht in einer solchen Managementbewertung z.B. vor, dass über identifizierte Risiken und den Status der Risikobehandlung berichtet wird, über sich ändernde Rahmenbedingungen oder über Informationssicherheitsvorfälle. Die Bewertung durch die Organisationsleitung gibt dem ISB und anderen Beteiligten wichtige Hinweise, ob die Maßnahmen zur Risikobehandlung aus Sicht der Organisationsleitung sinnvoll, angemessen und zielführend erscheinen. Natürlich ist eine Managementbewertung eine wiederkehrende Angelegenheit – über die Häufigkeit schweigt sich die ISO 27001 übrigens aus. Angemessen, je nach Informationsbedarf der Organisationsleitung und der konkreten Risikolage des Unternehmens, lautet die salomonische Antwort. In den meisten Fällen dürfte ein- bis viermal im Jahr ein passender Turnus sein.

Risikomanagementmaßnahmen

Nun fordert das BSI-Gesetz keine explizite Managementbewertung. Was jedoch von den Organisationsleitungen gefordert wird, ist die Überwachung der Umsetzung der zu ergreifenden Risikomanagementmaßnahmen (§38, Abs. 1 BSI-G). Es ist ein naheliegender Gedanke, für diese Tätigkeit auf etablierte und erprobte Abläufe zurückzugreifen. Und wenn man die Buchstaben des BSI-Gesetzes etwas genauer betrachtet, findet sich der Zusammenhang: Geschäftsleitungen sollen über das Risikomanagement geschult werden, damit (z.B. in Form einer Managementbewertung) eine fundierte Bewertung der Lage der Organisation erfolgen kann, inklusive der Lenkung des Unternehmens durch die Organisationsleitung.

Bei wem jetzt Informationsbedarf entstanden ist, findet auf unserer Webseite nicht nur das Seminar zur Schulung „Geschäftsleitung fit für NIS2“, sondern auch weitere Informationen, Schulungsangebote oder auch Podcasts zu einem ISMS oder der ISO27001. Und im kommenden Teil dieser Blogreihe wird es einen Blick hinter die Kulissen des Seminars „Geschäftsleitung fit für NIS2“ geben …

Was Sie auch interessieren könnte:

Seminar:

„Geschäftsleitung fit für NIS2“

Weitere Seminare finden Sie unter https://anmatho.de/seminare, diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.
Hören Sie rein!

/von
,

Rückblick ANMATHO-Forum: „Risiken managen – Stabilität schaffen“

Mit unseren Kunden in entspannter Runde, spannende Einblicke und reger Austausch – so lässt sich unser „ANMATHO-Forum: Risiken managen – Stabilität schaffen“ treffend zusammenfassen.

In gemütlicher Atmosphäre im Business Club Hamburg mit Blick auf die Elbe und mildem Frühlingswetter trafen sich Experten zu einem inspirierenden Austausch über zentrale Themen der Informationssicherheit und Resilienz.

Meldeverfahren für Sicherheitsvorfälle

Ein zentraler Fokus lag auf der neuen Gesetzgebung wie NIS2 und dem KRITIS-Dachgesetz und damit auf der Meldung von Sicherheitsvorfällen. Es wurden die Grundlagen von Meldepflichten und den Fristen und Meldestellen besprochen sowie welche Schwierigkeiten es häufig bei der Umsetzung gibt. Von der Erkennung über die Entscheidung bis zur Reaktion sind wir durchgegangen, wie ein Vorfall strukturiert angegangen werden kann. Einige Empfehlungen aus der Praxis, besonders dazu was im Vorwege vorbereitet werden sollte haben den Vortrag abgerundet.

NIS-2, andere aktuelle Gesetze und das Thema Risiko-Umsetzung

Die EU verfolgt mit NIS2, KRITIS-Dachgesetz, Cyber Resilience Act und der EU-Maschinenverordnung das Ziel, die Cybersicherheit und Resilienz kritischer Infrastrukturen und Produkte europaweit zu stärken. Dabei rücken auch Lieferketten in den Fokus. Allem Gemein ist die Forderung nach einem angemessenen Risikomanagement. Daher haben wir uns die unterschiedlichen Bereiche der Risikomanagement-Maßnahmen mal genauer angesehen. Dabei sind wir auch die unterschiedlichen Normen (ISO 27001, 31000, 31010, BSI IT-Grundschutz im Standard 200-3 usw.) durchgegangen die Unternehmen bei Aufbau / Verbesserung des eigenen Risikomanagements unterstützen können. Da gerade auch die OT immer häufiger Angriffen ausgesetzt ist, sollten auch die Risiken die von dieser Stelle ausgehen genau betrachtet werden. Ein Ausblick auf die Normenreihe IEC 62443 bzgl. der IT-Sicherheit für industrielle Automatisierungssysteme hat gezeigt was auf Betreiber zukommt.

BCM-Workshop: Praxis unter Zeitdruck

Daran anschließend ging es im BCM-Workshop um die praktische Umsetzung: In einem Rollenspiel unter Zeitdruck sind wir ein kombiniertes Szenario aus Stromausfall und Cyberangriff durchgegangen. Dabei konnten die Teilnehmenden aktiv die einzelnen Schritte und Maßnahmen diskutieren, die in einer solchen Situation erforderlich sind – und gleichzeitig spannende Unterschiede in der Herangehensweise verschiedener Unternehmen erkennen.

Cyberrisiken: Einblick der Polizei Hamburg

Ein weiteres Highlight war der Beitrag der Polizei Hamburg zum Thema Cyberrisiken. Eindrucksvoll gezeigt wurde, wie professionell und vielfältig Angreifer heute vorgehen und welche konkreten Schutzmaßnahmen Unternehmen ergreifen können, wie z. B. Vorbereitung auf Bitcoin, Kontaktliste, Multi-Faktor-Authentifizierung, regelmäßige Backups und Mitarbeiter-Training.

Herzlichen Dank an Ralf Lembke und Sönke Rasmussen von der Polizei Hamburg (ZAC) für ihre Expertise – und an alle Teilnehmenden für den inspirierenden Austausch!

/von
,

NIS2 – Frist zur Registrierung endet am 06.03.2026!

Mit Inkrafttreten des NIS2-Umsetzungsgesetzes am 06.12.2025 begann die 3-monatige Frist zur Registrierung als NIS2-Einrichtung beim BSI. Diese Frist endet somit diese Woche am 06.03.2026!

Was bei der Registrierung beachtet werden muss

Die Registrierung muss in zwei Schritten erfolgen: für die Anmeldung im BSI-Portal ist eine Registrierung des Unternehmens bei „Mein Unternehmenskonto“ (MUK) nötig. Hierbei ist zu beachten, dass für die Registrierung ein Elster-Zertifikat pro Person, die im Portal eingetragen werden soll, nötig ist, die Neuaustellung dieses Zertifikates nimmt ggf. einige Zeit in Anspruch. Daher sollte nun keine Zeit mehr verloren werden, falls bisher noch keine Registrierung erfolgt ist. Sollte die Anmeldung „nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig“ erfolgen, können gemäß §65 des Gesetzes zur Umsetzung der NIS2-Richtlinie Bußgelder drohen.

Unterstützungsangebote

Das BSI stellt online ein Starterpaket zur Verfügung das unter anderem Anleitungen für das BSI-Portal und „Mein Unternehmenskonto“ enthält. Bei Fragen zu der Registrierung helfen aber auch unsere Berater weiter, sprechen Sie uns daher gern an.

Wenn Sie sich unsicher sind, ob Ihr Unternehmen überhaupt unter die NIS2 Regelungen fällt: melden Sie sich für unser Kompaktseminar NIS2 Orientierungshilfe an, hier zeigen wir auf, unter welchen Voraussetzungen Unternehmen unter die NIS2-Pflicht fallen und was danach zu tun ist. Wir beraten Sie auch gern individuell und führen mit Ihnen eine Betroffenheitsanalyse durch.

Weitere Seminare finden Sie unter https://anmatho.de/seminare. Diese können Sie auch als individuelles Inhouse-Seminar buchen.
Sprechen Sie uns gern an.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website. Hier finden Sie auch die Folge: Meldung von Sicherheitsvorfällen, der sich unter anderem auch mit der Registrierung beim BSI-Portal beschäftigt.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Meldung von Sicherheitsvorfällen

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Viele Unternehmen sind plötzlich verpflichtet Sicherheitsvorfälle zu melden – doch kaum jemand fühlt sich wirklich vorbereitet. Genau darum geht es in unserer neuen Podcast-Folge „Meldung von Sicherheitsvorfällen – das neue BSI-Portal“.

Warum diese Folge wichtig ist

Mit NIS2 werden deutlich mehr Unternehmen als „wichtige“ oder „besonders wichtige“ Einrichtungen eingestuft – und damit meldepflichtig bei erheblichen Sicherheitsvorfällen. Ransomware auf der OT, Datenabfluss aus zentralen IT-Systemen oder der Ausfall kritischer Dienste: All das kann künftig nicht nur ein Sicherheitsproblem, sondern auch ein Meldeproblem werden.

Gleichzeitig sind die Fristen eng: Frühwarnung innerhalb von 24 Stunden, danach weitere Meldestufen bis hin zum Abschlussbericht. Wer hier keine klaren Prozesse, Zuständigkeiten und Zugänge hat, verliert im Ernstfall wertvolle Zeit – und riskiert Fehler.

Was Sie aus dem Podcast mitnehmen

In der Folge sprechen wir unter anderem darüber:

  • Ab wann ein Vorfall als „erheblich“ gilt, inklusive typischer Beispiele aus der Praxis.
  • Wie die mehrstufigen Meldefristen aussehen und warum eine frühe, notfalls unvollständige Meldung besser ist als gar keine.
  • Welche Rolle das neue BSI-Portal spielt, wie die Registrierung funktioniert und warum „Mein Unternehmenskonto“ (MUK) dabei der Startpunkt ist.
  • Welche Informationen im Meldeformular abgefragt werden – von Stammdaten über Art des Vorfalls bis hin zu Auswirkungen und Maßnahmen.
  • Wie Sie Meldepflichten sinnvoll in ISMS, BCM und Incident Response integrieren.
  • Wo in der Praxis erfahrungsgemäß die Stolperfallen liegen: verspätete Eskalation, fehlende Verantwortlichkeiten, ungeübter Portalzugang und Angst vor Reputationsschäden.
  • Zum Schluss geben wir 5 Todos die jetzt umgesetzt werden müssen.

Für wen sich das Hören lohnt

Die Episode richtet sich insbesondere an:

  • Informationssicherheitsbeauftragte (ISB)
  • CISOs
  • Mitglieder von Krisenstäben
  • Leitungen von Fachbereichen und Geschäftsführung in NIS2-betroffenen Unternehmen

Jetzt reinhören und ins Handeln kommen

Wenn Sie beim Thema NIS2-Meldepflichten und BSI-Portal noch das Gefühl haben „Wir müssten da dringend mal ran“, ist diese Folge genau für Sie gemacht. Nutzen Sie den Podcast als Einstieg, um im nächsten Schritt Ihre Registrierung, Prozesse und Unterlagen konkret anzugehen – bevor der erste erhebliche Vorfall eintritt.

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

„Security Awareness – Sicherheit leben“ Teil 2: Phishing

In einer Serie von Blogartikeln zum Thema Security Awareness (Artikel 1 ; Artikel 2; Artikel 3; Artikel 4; Artikel 5; Artikel 6; Artikel 7; Artikel 8; Artikel 9) haben wir gezeigt, dass Awareness-Maßnahmen für einen nachhaltigen Erfolg systematisch aufgebaut und strukturiert werden müssen. Das vorgestellte Awareness-Konzept ist in gewisser Hinsicht ein Gegenpol zu den oftmals in der Praxis anzutreffenden Einzelmaßnahmen. Doch auch ein gut durchdachtes Konzept besteht aus einzelnen Maßnahmen, und es beginnt mit der Frage, welche Ziele durch eine Awareness-Maßnahme bei einer spezifischen Zielgruppe erreicht werden sollen.

Das Ziel einer Awareness-Maßnahme ergibt sich oft aus der Tatsache heraus, dass erfolgreiche Angriffe auf Unternehmen und Einrichtungen auf nur einigen wenigen Schwachstellen beruhen. Daher verwundert es nicht, wenn Awareness-Maßnahmen häufig genau diese Schwachstellen adressieren. Auf einige der geradezu klassischen Schwachstellen soll in diesem ersten Beitrag eingegangen werden.

Einstiegsmöglichkeit Nummer 1: Phishing

Eine viel genutzte Angriffsmethode sind Phishingversuche. Hierbei sollen die Opfer durch oft gut gemachte E-Mails oder Anrufe dazu verleitet werden, sensible Informationen preiszugeben, die dadurch bei den Angreifern landen und von diesen missbraucht werden können. Viele dieser Phishingversuche basieren darauf, dass die Opfer auf anscheinend echte, tatsächlich aber vom Angreifer nachgebildete Seiten gelockt werden. Da diese Seiten sehr vielfältig sein können und sich die initialen Phishingversuche auch stark unterscheiden, ist es fast unmöglich, konkrete Phishingversuche inhaltlich vorauszuahnen. Die beste Möglichkeit zur Abwehr solcher Angriffe ist es daher, die potenziellen Opfer zu schulen und zu informieren, damit Phisingangriffe erkannt und sicher abgewehrt werden können.

Warum funktioniert Phishing so oft?

Obwohl der richtige Umgang mit Phisingversuchen in Awarenessmaßnahmen sehr häufig thematisiert werden, sind Phishingversuche leider in der Praxis oft erfolgreich. Das liegt unter anderem daran, dass die Angreifer in psychologischer Hinsicht geschickt gestalten. So werden dem Empfänger z.B. Vorteile versprochen, insbesondere bei schneller Reaktion. In diesem Beispiel wirkt die Psychologie gleich doppelt: die Aussicht auf Vorteile überlagert das kritische Nachdenken, und dieser Effekt wird durch ein kleines Zeitfenster noch verstärkt. Das Unter-Druck-Setzen funktioniert auch in Kombination mit angedrohten negativen Umständen, wie die Sperrung von Konten oder das Erheben von Strafzahlungen.

Eine weitere Gestaltungsmöglichkeit von erfolgreichen Phishingversuchen beruht in der (scheinbaren) Nutzung von realen Kommunikationspartnern, mit denen das Opfer in Verbindung zu stehen scheint. Somit erhält der Angriff einen Anschein von Echtheit, und als Empfänger ist man eher geneigt, auf den Kommunikationsversuch einzugehen.

Einstiegsmöglichkeit Nummer 2: Social Engineering

Verkürzt könnte man sagen, dass Social Engenieering teilweise auf ähnlichen Wirkmechanismen beruht, wie die Phishingversuche. Allerdings geht es meist nicht primär um das Erlangen von Zugangsdaten und Passwörtern dadurch, dass die Zugangsdaten in nachempfundene Systeme eingegeben werden sollen. Vielmehr ist es das Ziel des Angreifers, das Opfer zu einem eigentlich als verboten bekannten Verhalten zu animieren. Dies erfolgt oft in direkter zwischenmenschlicher Interaktion. Der Angreifer versucht auf vielfältige Art und Weise, ein Vertrauensverhältnis aufzubauen, z.B. (wieder) durch das Einräumen von Vorteilen, oder durch Vortäuschen einer Notsituation. Das Opfer fühlt sich verpflichtet, auf die Wünsche oder die Notlage des Angreifers einzugehen, eben weil ein Vertrauensverhältnis zum Angreifer wahrgenommen wird. Dabei nimmt das Opfer auch bewusst in Kauf, gegen bestehende Sicherheitsvorgaben zu verstoßen.

Was Sie auch interessieren könnte:

Seminar:

In unserem Seminar Security Awareness – Sicherheit leben gehen wir gezielt auf mögliche Angriff Szenarien ein und üben mit den Teilnehmern das erkennen von Warnsignalen. Buchen Sie jetzt und stärken das Sicherheitsbewusstsein in Ihrem Unternehmen.

„Security Awareness – Sicherheit leben“

Weitere Seminare finden Sie unter https://anmatho.de/seminare. Diese können Sie auch als individuelles Inhouse-Seminar buchen.
Sprechen Sie uns gern an.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

„Geschäftsleitung fit für NIS2“ – Teil 1

Seit dem 6. Dezember 2025 ist die NIS2-Richtlinie der EU in deutsches Recht umgesetzt. Allerdings finden sich die Vorgaben nicht – wie man vielleicht erwarten könnte – in einem einzigen, eigenständige „NIS-2-Gesetz“, sondern vielmehr an mehreren verschiedenen Stellen. Für Energieversorgungsunternehmen (EVU) finden sich einige der Regelungen beispielsweise in den neu hinzugefügten Paragrafen §5c bis §5e des Energiewirtschaftsgesetzes (EnWG), ähnlich ist es bei Telekommunikationsunternehmen. Für die meisten Unternehmen, die unter die Regulierung nach NIS2 fallen, finden sich die Vorgaben im komplett neu verfassten BSI-Gesetz (BSI-G).

In den Rezensionen der EU-NIS2-Richtlinie bzw. des BSI-G wird meist hervorgehoben, dass es sich um Vorgaben zur Stärkung und Verbesserung der Cybersicherheit von Unternehmen handelt. Und in der Tat findet auch ein wesentlicher Teil der Umsetzung im Bereich Management von Cyberrisiken statt. Allerdings kommen weitere Aspekte hinzu, die bei bisher nicht regulierten Unternehmen doch einiges an Umdenken und Umstrukturierung erfordern, wie z.B. die Meldepflichten oder die Betonung der Einbindung der Unternehmensleitung.

Gerade die Unternehmensleitungen werden im BSI-G direkt angesprochen, mit „Umsetzungs-, Schulungs- und Überwachungspflicht für Geschäftsleitungen“ (§38 BSI-G). Die Schulungspflicht für die Geschäftsleitungen adressiert vermutlich die Notwendigkeit, dass Geschäftsleitungen ein ausreichendes Verständnis für den Hintergrund von Maßnahmen zur Verbesserung der Informationssicherheit haben müssen, um ihren Umsetzungs- und Überwachungspflichten nachkommen zu können. Anders formuliert: Geschäftsleitung einerseits und Informationssicherheitsbeauftragte oder IT-Abteilung andererseits sollen nicht aneinander vorbeireden, wenn es um die Bewertung von Cyberrisken oder die Umsetzung passender Maßnahmen geht.

Aus diesem Grund hat die ANMATHO AG ihr Schulungs- und Seminarprogramm um die Schulungen „Geschäftsleitungen fit für NIS2“ (für Unternehmen im Bereich der Energieversorgung “Geschäftsleitung fit für NIS2 (Stadtwerke)”) ergänzt. Die Schulungen orientieren sich in Aufbau und Umfang an den Handreichungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie vermitteln Geschäftsleitungen einen Einblick in die Gesetzeslage bezüglich der NIS2-Umsetzung sowie ein grundlegendes Verständnis für den Umgang mit Informationssicherheitsrisiken. Last but not least dient die Teilnahme an dem Seminar auch dem Nachweis, dass der Schulungspflicht nachgekommen wurde.

Übrigens: „Geschäftsleitungen“ adressiert alle Arten von Organisationen, die NIS2-pflichtig sind, unabhängig von der Recht- oder Organisationsform. Also Geschäftsführer, Vorstände, Behördenleiter, …

Was Sie auch interessieren könnte:

Seminar:

“Kompaktseminar NIS2 Orientierungshilfe”

Weitere Seminare finden Sie unter https://anmatho.de/seminare, diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.
Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

Wir sind zertifiziert nach ISO27001:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen