, ,

Podcast – Security on Air – Heute Löschkonzepte

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

In unserem Podcast „Löschkonzepte – Mehr als nur Papierkram“ erfahren Sie, warum ein Löschkonzept weit über das einfache Drücken von „Strg-Alt-Entf“ hinausgeht. Die Datenschutzgrundverordnung (DSGVO) schreibt im Artikel 5 das Prinzip der Speicherbegrenzung vor: Daten dürfen nicht länger gespeichert werden, als es für den ursprünglichen Zweck erforderlich ist. Gleichzeitig haben betroffene Personen das Recht auf Löschung ihrer Daten (Artikel 17 DSGVO). Ein strukturiertes Löschkonzept ist daher unerlässlich – und zwar für digitale wie auch für Papierdaten.

Informationssicherheit und Datenschutz: Zwei Seiten einer Medaille

Auch aus Sicht der Informationssicherheit, etwa nach ISO 27001, ist das Löschen nicht mehr benötigter Informationen Pflicht. Sie müssen nachweisen können, wann und wie Sie Daten gelöscht haben – unabhängig davon, ob es sich um personenbezogene oder andere vertrauliche Informationen handelt.

Wie erstellen Sie wirksame Löschkonzepte?

Wir geben Ihnen im Podcast konkrete Tipps:

  • Beginnen Sie mit einer systematischen Inventur Ihrer Daten: Wo liegen welche Daten? In welchen Systemen, auf welchen Servern oder in welchen Papierarchiven?
  • Kategorisieren Sie Ihre Daten und ordnen Sie ihnen die jeweiligen gesetzlichen Aufbewahrungsfristen zu.
  • Legen Sie klare Verantwortlichkeiten fest: Wer löscht welche Daten, wann und wie?
  • Integrieren Sie Löschprozesse direkt in Ihre Arbeitsabläufe, statt sie als lästigen „Papiertiger“ zu behandeln.
  • Dokumentieren Sie alle Löschvorgänge nachvollziehbar, ohne sensible Details zu protokollieren.

Typische Fallstricke – und wie Sie sie vermeiden

Im Podcast sprechen wir offen über die häufigsten Herausforderungen:

  • Fehlende Verantwortlichkeiten und unklare Zuständigkeiten
  • Unübersichtliche Datenbestände, insbesondere bei Alt-Systemen und Cloud-Diensten
  • Widersprüchliche gesetzliche Vorgaben zu Aufbewahrungs- und Löschfristen
  • Schwierigkeiten bei der Löschung von Daten bei externen Dienstleistern

Unsere Experten zeigen Ihnen, wie Sie diese Stolpersteine umgehen und warum die Zusammenarbeit von Datenschutz und Informationssicherheit dabei entscheidend ist.

Unsere Praxistipps für Ihr Unternehmen

  • Führen Sie regelmäßige Dateninventuren durch und aktualisieren Sie Ihr Löschkonzept bei neuen Datenbeständen.
  • Erstellen Sie für unterschiedliche Datenkategorien individuelle Löschregeln.
  • Automatisieren Sie Löschprozesse, wo immer möglich – und testen Sie diese regelmäßig auf ihre Wirksamkeit.
  • Schulen Sie Ihre Mitarbeiter und machen Sie die Bedeutung des Themas im Unternehmen sichtbar.

Fazit: Löschkonzepte lohnen sich!

Ein gut durchdachtes Löschkonzept unterstützt nicht nur die Einhaltung gesetzlicher Vorgaben, sondern verbessert auch Ihre internen Prozesse im Datenschutz und der Informationssicherheit. Klare Verantwortlichkeiten, strukturierte Dokumentation und regelmäßige Überprüfung sind dabei der Schlüssel zum Erfolg.

Hier ein Paar Links die zum Thema „Löschkonzepte – Mehr als nur Papierkram“ nützlich sein können:

Hören Sie rein und profitieren Sie vom Fachwissen unserer Experten!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

 

/von
,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 6)

Die Managementbewertung

In den ersten Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzens eines Projektteams für die Einführung des ISMS, mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS, mit Berichtswegen, der Integration der ISMS-Prozesse in die Prozesse des Unternehmens und dem Auditprogramm als Steuerungsinstrument beschäftigt.

In diesem Teil soll es ausführlich um die Managementbewertung gehen, die wir in dem Artikel über die Berichtswege schon kurz angeschnitten hatten.

Pflichten der Geschäftsführung bzw. des Vorstands

Es gehört zu den originären Pflichten einer Geschäftsführung eine funktionierende Unternehmensorganisation sicherzustellen, Risiken zu überwachen und ggf. Maßnahmen zur Schadensprävention zu ergreifen. Dies ergibt sich u.a. aus dem StaRUG. Im Falle der Informationssicherheit kommt sie diesen Pflichten durch die Einrichtung eines wirksamen Informationssicherheits-Managementsystems (ISMS) in geeigneter Weise nach.

Nur in kleinen Unternehmen wird sich die Geschäftsführung selbst der ISMS-Einführung annehmen. Meist beauftragt sie einen Mitarbeiter mit der Einrichtung und dem Betrieb des ISMS. Dieser trägt dann den Titel Informationssicherheitsbeauftragter (ISB) , Chief Information Security Officer (CISO) oder eine andere vergleichbare Bezeichnung. Mit der Bestellung eines solchen Beauftragten ist die Arbeit für die oberste Leitung nicht erledigt. Sie muss sich angemessen davon überzeugen, dass die von ihr beauftragte Person diese Aufgabe auch in ihrem Sinne ausfüllt. Die Geschäftsführung bzw. der Vorstand müssen die Eignung, Angemessenheit und Wirksamkeit ihres ISMS feststellen.

Feststellung der Eignung, Angemessenheit und Wirksamkeit des ISMS

Zur Feststellung der Eignung, Angemessenheit und Wirksamkeit des ISMS muss die oberste Leitung ihr ISMS in geplanten Abständen bewerten. Diese Bewertung erfolgt oft in einem Meeting, das auch den Namen Managementbewertung (Management Review) trägt.

Ablauf der Managementbewertung

In der Praxis sieht es meist so aus, dass der Informationssicherheitsbeauftragte (ISB) der obersten Leitung berichtet. Gegenstand des Berichts sind u.a.

  • der Status von Maßnahmen als Folge vorheriger Managementbewertungen,
  • Veränderungen bei verschiedenen, das ISMS betreffenden Themen,
  • Nichtkonformitäten und zugehörige Ursachenanalysen sowie Korrekturmaßnahmen,
  • wichtige Kennzahlen,
  • Auditergebnisse,
  • Stand bei der Erreichung von Informationssicherheitszielen,
  • Ergebnisse der Risikobeurteilung,
  • Umsetzungsgrad beschlossener Maßnahmen sowie
  • allgemeine Möglichkeiten zur fortlaufenden Verbesserung.

Die Führung muss auf den Stand und die Entwicklung bei diesen Themen wertend reagieren. Notwendige Entscheidungen müssen von der obersten Leitung getroffen werden. Die Managementbewertung ist also nichts, was die oberste Leitung einfach konsumieren darf. Vielmehr ist es andersherum. Der Bericht des ISB liefert nur die Informationen, die als Grundlage für die Bewertung und Anpassung des ISMS durch die Geschäftsführung bzw. Vorstand dienen.

Häufigkeit der Managementbewertung

Die ISO 27001:2022 fordert eine Managementbewertung in geplanten Abständen. In der Praxis wird dies übersetzt in “mindestens jährlich”. Mindestens ist aber nicht gleichbedeutend mit angemessen. Was angemessen ist, muss jede Führung selbst festlegen. Gerade in der Einführungsphase eines ISMS können kürzere Abstände durchaus hilfreich und notwendig sein.

In kleineren Unternehmen ist die Geschäftsführung häufig so dicht am operativen Geschäft dran, dass alle oben genannten Themen von ihr ohnehin im Tagesgeschäft beachtet und bearbeitet werden. Hier könnte auch eine Vielzahl von unterschiedlichen Meetings und Formaten in der Summe als Managementbewertung betrachtet werden. Der ISB muss dabei darauf achten, dass im Laufe eines Jahres wirklich alle Pflichtpunkte der Managementbewertung behandelt wurden, dies dokumentiert wurde und ggf. im Audit auch darstellbar ist.

Entscheidet man sich für eine klassische Managementbewertung so hat diese in kleineren Unternehmen häufig den Charakter eines wiederholten Durchgehens bereits bearbeiteter Punkte. Auch in diesem Fall muss darauf geachtet werden, dass dies dokumentiert wird und das eine Bewertung der obersten Leitung bezüglich der Eignung, Angemessenheit und Wirksamkeit des ISMS erkennbar ist.

In mittleren Unternehmen hat sich eine Zahl von zwei bis vier Managementbewertungen im Kalenderjahr bewährt. Eine Führung, die wegen der Größe der eigenen Organisation nicht mehr mit allen Aspekten des Tagesgeschäftes befasst ist, kann sich so in angemessen Abständen mit dem Stand der Informationssicherheit im eigenen Unternehmen auseinandersetzen. Bei Fehlentwicklungen kann wirksam gegengesteuert werden.

Die angeratene Mindestzahl von zwei Managementbewertungen ergibt sich aus der Mindestzahl von Audits in zertifizierten Unternehmen. Einmal im Jahr kommt der Zertifizierungsauditor, mindestens einmal im Jahr findet ein internes Audit statt. Wenn diese gleichmäßig über das Jahr verteilt sind, bei zwei Audits also im Abstand von 6 Monaten, ergeben sich mit den Auditberichten zwei gute Gelegenheiten für die oberste Leitung sich mit dem Stand und der Entwicklung der Informationssicherheit auseinander zu setzen. Liegen die Audits zeitlich zu dicht beieinander, führt dies zu ähnlichen Auditberichten, die eine gesonderte Befassung unnötig erscheinen lassen.

In großen Organisation gibt es auch eine eigene Informationssicherheitsorganisation. Diese bearbeitet viele Aspekte der Informationssicherheit und des Informationssicherheitsmanagements selbstständig. Sie verfügt hierzu in der Regel über alle Kompetenzen und Ressourcen. In diesem Fall ist eine Befassung durch die oberste Leitung einmal jährlich meist ausreichend.

Teilnehmer der Managementbewertung

Im Sinne der ISO 27001 ist es ausreichend, wenn die Managementbewertung durch ein Mitglied der obersten Leitung durchgeführt wird. Geschäftsführungen und Vorstände sind allerdings kollektiv haftende Organe. Diese Haftung lässt sich beschränken, wenn es einen (hoffentlich dokumentierten und nicht nur gelebten) Geschäftsverteilungsplan gibt. Aber auch in diesem Fall bleibt die Gesamtverantwortung bestehen. Das heißt, die nicht für ein Ressort zuständigen Mitglieder der obersten Leitung  müssen die Arbeit ihrer Kollegen überwachen und bei erkennbaren Pflichtverletzungen einschreiten. Versäumen sie dies, ist eine Haftung weiterhin möglich.

Die Managementbewertung ist für die “nicht zuständigen” Mitglieder der Geschäftsführung eine sehr gute Möglichkeit, sich davon zu überzeugen, dass die Aufgabe Informationssicherheit bzw. Informationssicherheitsmanagement von ihrem zuständigen Kollegen angemessen organisiert und bearbeitet wird. Jeder Geschäftsführer ist daher gut beraten an der Managementbewertung zumindest teilzunehmen, auch wenn das Thema nicht in den eigenen Zuständigkeitsbereich fällt.

Wie es weiter geht?

Damit endet (vorerst) die Artikelreihe über die Aufgaben der obersten Leitung im ISMS. Sie haben noch Fragen? Nehmen Sie gerne Kontakt zu uns auf.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Einflüsse von Unternehmensänderungen auf das ISMS

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Unternehmensumzug, neuer Standort oder Zukauf – was bedeutet das eigentlich für Ihr Informationssicherheits-Managementsystem (ISMS)? In der neuen Podcastfolge beleuchten wir, warum solche Veränderungen weit mehr sind als eine bloße Adressänderung und welche Herausforderungen und Chancen sich daraus für die Informationssicherheit ergeben. Sie erfahren, weshalb es entscheidend ist, den Verantwortlichen für Informationssicherheit frühzeitig in die Planung einzubinden, wie Sie Risiken und neue Anforderungen rechtzeitig erkennen und welche Rolle die Zertifizierungsgesellschaft bei größeren Veränderungen spielt. Außerdem erhalten Sie praxisnahe Tipps, wie Sie Ihr ISMS effizient an neue Gegebenheiten anpassen und typische Stolperfallen vermeiden.

Hören Sie rein und erfahren Sie, wie Sie Ihr Unternehmen auch in Zeiten des Wandels sicher aufstellen!

Hier ein Paar Links die zum Thema „Einflüsse von Unternehmensänderungen auf das ISMS – Neuer Standort“ nützlich sein können:

Jetzt reinhören!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, , ,

Awareness – Maßnahme oder Konzept? – Teil 4

In den bisherigen Artikeln (Teil1, Teil2 und Teil 3) hatten wir dargestellt, warum die alleinige Fokussierung auf rein technische Aspekte bei der Informationssicherheit nicht ausreichend ist. Als Gegenentwurf skizzieren wir ein Awareness-Konzept, das deutlich mehr beinhaltet als einige oberflächliche Schulungsveranstaltungen.

In Teil 3 des Blogs wurde die Fragestellung der Darbietungsform bereits angerissen. Gerade bei zugekauften Inhalten neigen die meisten dazu, Inhalte so einzusetzen, wie sie vom Anbieter kommen. Nur selten wird hinterfragt, ob die angebotene Form der Lerninhalte auch wirklich zur Zielgruppe selber, zu den vorgesehenen Lernzielen und nicht zuletzt zum Inhalt passt. So werden oftmals eLearnings und Präsentationen übernommen, ohne die Eignung der Unterlagen zu hinterfragen.

Psychologische Aspekte

Einige psychologische Ansätze beschreiben sogenannte Lernkanäle – hauptsächlich die Sinneskanäle, wie Sehen und Hören, aber auch die Motorik (das Selbermachen, mit den eigenen Händen) oder den kognitiven Lernkanal, der auf die Ergänzung und Vervollständigung des bestehenden, eigenen Wissensgerüstes fokussiert. Die Kernaussage der Theorie über die Lernkanäle besteht darin, dass verschiedene Menschen die verschiedenen Lernkanäle unterschiedlich effizient nutzen. Je nach eigenem Lerntyp fällt dem Einzelnen das Lernen also mal etwas leichter, mal etwas schwerer – je nachdem, über welchen Kanal die Lerninhalte aufgenommen werden.

Die zweite Kernaussage der Theorie der Lernkanäle zielt auf eine möglichst vielfältige Gestaltung der Lerninhalte. Wenn die Materialen und Medien so aufgebaut werden, dass möglichst viele Kanäle genutzt werden, adressiert man auf diese Art die verschiedenen Lerntypen und erreicht in der Summe ein besseres Ergebnis bei der Vermittlung der Lerninhalte. Eine bewusstere Auswahl der Darbietungsform beugt also nicht nur einer gefühlten oder tatsächlichen Eintönigkeit vor, sondern kann auch das Lernergebnis insgesamt verbessern.

Und noch einen Gedanken sollte man bei der Auswahl der Darbietungsform und der genutzten Medien nicht vergessen. In Teil 2 wurde das Tripel aus Wissen, Wollen und Können angesprochen. Bei der Auswahl der Methoden und Darbietungsformen kann auch der gewollte Schwerpunkt eine Rolle spielen. So eignet sich z.B. eine Präsentation eher zum Vermitteln und Darstellen von Wissen. Wenn es dagegen eher um den Erwerb oder die Verbesserung des Könnens gehen soll, wäre eine praktische Übung für jeden Teilnehmer sicher passender. Natürlich gibt es auch hier oft eine innere Logik für die Reihenfolge: zumeist muss zuerst Wissen vermittelt werden, um dieses dann in praktischen Übungen in Können umzuwandeln. Beide Aspekte gehören für viele Inhalte zusammen – was jedoch nicht heißt, dass sie zwingend auch zusammen, in einer Veranstaltung, dargeboten werden müssen …

Übrigens – falls die Frage aufgekommen sein sollte, welche Überlegungen hinter der Idee des Awareness-Konzeptes stehen: den zugrundeliegenden Ansatz stellt Matthias Weigmann in einem Blogartikel vor!

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute ISMS Einführung – Projektablauf

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

In dieser Podcast-Folge erfahren Sie, wie die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 in mittelständischen Unternehmen erfolgreich gestaltet werden kann. Wir geben Ihnen einen praxisnahen Überblick über die typischen Abläufe, Zeitrahmen und Herausforderungen bei der Umsetzung – von der Bildung eines interdisziplinären Projektteams über die Festlegung des Geltungsbereichs bis hin zur Integration der Anforderungen in die täglichen Prozesse. Dabei wird deutlich: Informationssicherheit ist ein unternehmensweites Thema, das alle Bereiche betrifft und nicht allein in der IT angesiedelt ist. Sie erhalten wertvolle Hinweise, wie Sie Ihr Team optimal einbinden und bestehende Strukturen nutzen.

Hier ein Paar Links zum Thema „Einführung eines ISMS nach ISO 27001 – der Projektablauf“

Jetzt reinhören!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

TISAX® – Informationssicherheit im Detail, Teil 6

Bereits im vorherigen Artikel  wurden einige Aspekte des mobilen Arbeitens angerissen. Der Schwerpunkt lag in der Schaffung eines Verständnisses und in der Unterscheidung der verschiedenen Arbeitsorte, die unter dem Oberbegriff „Mobiles Arbeiten“ zusammenfassen lassen. Ebenfalls wurde bereits die Verbindung zwischen mobilem Arbeiten und den Themen Sicherheitszonen, Klassifizierung und Umgang mit Datenträgern erwähnt.

Wie bereits in einem früheren Artikel  dargestellt wurde, sind mit der Klassifizierung von Informationswerten auch die Vorgaben für den Umgang mit diesen Informationswerten verbunden. Es bietet sich an, auch das mobile Arbeiten hier mit zu betrachten. So sind Informationsträger, wie z.B. externe Datenträger, physische Modelle und Komponenten oder Papierunterlagen, natürlich beim Mitführen einer erhöhten Gefahr ausgesetzt. Sie können verloren gehen, gestohlen oder beschädigt werden, oder Unbekannte erlangen Einsicht. Es wäre daher sinnvoll, das Mitführen von solchen Informationsträgern einzuschränken. Hierfür bietet sich die Klassifizierung des Informationswertes an: je höher der Informationswert klassifiziert ist, umso restriktiver sollten die Vorgaben für das Mitführen sein.

An dieser Stelle ein kleiner Hinweis zum Klassifizierungsschema. Das Klassifizierungsschema orientiert sich in den meisten Fällen, so auch beim VDA-ISA Katalog, hauptsächlich am Schutzziel “Vertraulichkeit”. Prinzipiell können in dem Schema aber die Schutzziele “Verfügbarkeit” und “Integrität” mit berücksichtigt werden.

Transport und Entsorgung

Doch nicht nur der Transport, sondern auch die Aufbewahrung von Informationswerten sollte geregelt werden. Zu bedenken wären hier vor allem der Schutz der Vertraulichkeit, z.B. die mögliche Einsichtnahme durch Familienmitglieder in vertrauliche Unterlagen. Abhilfe ließe sich z.B. durch die Vorgabe zur Aufbewahrung in verschlossenen Schränken schaffen. Auch hier bietet es sich an, die Vorgaben zur Aufbewahrung anhand der Klassifizierung zu treffen.

Außerdem gehört in diesen Bereich auch die physikalische Vernichtung oder Entsorgung. Wie sonst auch, sollte es hier klare Regelungen geben. Viele Unternehmen nehmen für die sichere Entsorgung zertifizierte Dienstleiter in Anspruch. Eine sichere Entsorgung von Datenträgern ist somit oftmals nur an den Unternehmensstandorten selber möglich. Eine mögliche Vorgabe könnte also sein, dass die Vernichtung von Informationswerten und Datenträger nur am Unternehmensstandort mit den dort etablierten Verfahren vorgenommen werden darf. Alternativ wäre es denkbar, auch die häuslichen Arbeitsplätze mit Gerätschaften zur sicheren Entsorgung auszustatten, z.B. mit Schreddern die eine passende Sicherheitsstufe für die sichere Vernichtung von Papier haben.

Wie sich die Gedanken aus diesem Artikel in einem Zonenkonzept wiederfinden lassen, und welche Zusammenhänge es zwischen dem Klassifizierungsschema und dem Zonenkonzept geben kann, wird im folgenden Artikel näher beleuchtet …

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

KI-Schulung: Eine entscheidende Anforderung des AI Acts

In der sich rasant entwickelnden Welt der Künstlichen Intelligenz (KI) steht Ihr Unternehmen vor neuen Herausforderungen und Chancen. Durch den EU AI Act ist seit dem 2. Februar 2025 die Schulung Ihrer Mitarbeiter im Bereich KI nicht nur ein Wettbewerbsvorteil, sondern zu einer gesetzlichen Notwendigkeit geworden.

Warum KI-Schulungen unerlässlich sind

KI ist längst nicht mehr nur ein Thema für Spezialisten. Smartphones, Microsoft Office-Anwendungen und Adobe-Programme kommen bereits mit integrierter KI-Funktionalität. Dies bedeutet, dass praktisch jeder Ihrer Mitarbeiter täglich mit KI interagiert, oft ohne es zu wissen.

Datenschutz und Informationssicherheit

Es ist von entscheidender Bedeutung, dass Ihre Mitarbeiter verstehen, welche Daten sie in KI-Systeme eingeben dürfen. Unwissenheit in diesem Bereich kann zu schwerwiegenden Datenschutz- und Sicherheitsvorfällen führen. Die VDI Nachrichten berichten von einer Umfrage der Shamundi Consulting in Zusammenarbeit mit der International School of Management (ISM) und vier deutschen Technologieunternehmen unter der Leitung von Kishor Sridhar die zeigt, wie unbedarft Mitarbeiter sensible Daten in frei zugängliche KI-Systeme eingeben.

Kritische Überprüfung von KI-Ergebnissen

Ebenso wichtig ist es, Ihre Mitarbeiter dafür zu sensibilisieren, dass KI-Systeme “halluzinieren” können – also falsche oder irreführende Informationen produzieren. Eine kritische Überprüfung der KI-generierten Ergebnisse ist daher unerlässlich, um Fehlentscheidungen zu vermeiden.

Unsere Schulungsangebote

Um Ihre Mitarbeiter optimal auf die Herausforderungen des AI Acts vorzubereiten, bieten wir maßgeschneiderte KI-Schulungen an, die sowohl in Präsenz oder Remote mit unseren Referenten durchgeführt werden können. Stellen Sie einfach eine Inhouse-Anfrage an uns und teilen uns mit, welche Themen Sie besprechen möchten. Oder buchen Sie unsere Basisschulung “KI im Unternehmen”. Eine weitere Möglichkeit ist die eLearning Basisschulung “KI im Unternehmen” ein flexibles Online-Training, das grundlegende KI-Kenntnisse vermittelt, ergänzt durch ein Quiz und eine Teilnahmebescheinigung. Zudem bieten wir in unserem Podcast interessante Einblicke in den AI Act und seine Auswirkungen auf Unternehmen – ideal für alle, die sich tiefer mit den Themen KI und Regulierung auseinandersetzen möchten.

Hören Sie rein!

/von
,

Interne Audits – Die unterschiedlichen Auditarten – Teil 3

Nachdem wir in unseren vorangegangenen Beiträgen „Die Bedeutung interner Audits…“ und die Ausbildung zum Internen Auditor beleuchtet haben. Geht es heute um unterschiedliche Auditarten.

Die Durchführung von Audits sind ein wesentlicher Bestandteil des Managements und der Qualitätssicherung in Unternehmen. Dabei ist es unerhebliche für welche Norm sie durchgeführt werden, oft gibt es sogar Überschneidungen bei den Themen, insbesondere bei der High Level Struktur. Audits helfen, die Einhaltung von Standards und Vorschriften zu überprüfen und Verbesserungspotenziale zu identifizieren. Dabei unterscheidet man zwischen internen und externen Audits, die jeweils unterschiedliche Ziele, Methoden und Perspektiven haben.

Interne Audits werden von Mitarbeitern des Unternehmens durchgeführt, die nicht direkt in die Prozesse involviert sind, die sie überprüfen. Diese Audits dienen in erster Linie der Selbstkontrolle und der kontinuierlichen Verbesserung. Interne Auditoren haben ein tiefes Verständnis für die internen Abläufe im Unternehmen und können spezifische Risiken und Schwächen identifizieren. Sie arbeiten oft eng mit den Abteilungen zusammen, um Lösungen zu entwickeln und die Umsetzung von Verbesserungsmaßnahmen zu unterstützen. Ein weiterer Vorteil interner Audits ist die Flexibilität in der Planung und Durchführung, da sie an die Bedürfnisse des Unternehmens angepasst werden können.

Externe Audits hingegen werden von unabhängigen Dritten durchgeführt, die nicht mit dem Unternehmen verbunden sind. Diese Auditoren bringen eine objektive Perspektive mit und sind oft mit branchenspezifischen Standards und gesetzlichen Anforderungen vertraut. Externe Audits sind häufig erforderlich, um die Einhaltung von Vorschriften zu bestätigen, beispielsweise bei Zertifizierungen oder regulatorischen Anforderungen. Sie bieten eine wertvolle externe Validierung der internen Prozesse und können das Vertrauen von Kunden und Partnern stärken.

Lieferantenaudits sind eine spezielle Form des Audits, die sich auf die Bewertung von Lieferanten und deren Prozesse konzentriert. Diese Audits sind entscheidend, um sicherzustellen, dass die Lieferanten die erforderlichen Qualitätsstandards und Compliance-Vorgaben einhalten. Lieferantenaudits helfen Unternehmen, Risiken in der Lieferkette zu identifizieren und die Zuverlässigkeit ihrer Partner zu bewerten. Sie können sowohl intern als auch extern durchgeführt werden, wobei interne Audits oft von den Einkaufs- oder Qualitätsmanagementteams des Unternehmens durchgeführt werden, während externe Audits von unabhängigen Dritten oder spezialisierten Auditoren vorgenommen werden, besonders wenn die Leistung des Lieferanten so spezifisch ist, dass eine korrekte Beurteilung nur von Fachexperten vorgenommen werden kann..

Zusammenfassend lässt sich sagen, dass interne, externe und Lieferantenaudits komplementäre Rollen im Auditprozess spielen. Während interne Audits auf kontinuierliche Verbesserung und interne Kontrolle abzielen, bieten externe Audits eine objektive Bewertung und Bestätigung der Einhaltung von Standards. Lieferantenaudits hingegen konzentrieren sich auf die Qualität und Zuverlässigkeit der Lieferanten. Alle drei Auditarten sind entscheidend für die Sicherstellung von Qualität und Compliance in einem Unternehmen.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Ratgeber Informationssicherheit für Geschäftsführung

Warum Sie diesen Ratgeber Informationssicherheit für Geschäftsführung und Vorstände nicht verpassen sollten:

Ob Datenschutz-Grundverordnung (DSGVO), das IT-Sicherheitsgesetz (IT-SiG), das NIS2-Umsetzungsgesetz oder branchenspezifische Vorgaben – die rechtlichen Anforderungen an den Schutz von Informationen sind vielfältig und streng. Diese Vorgaben nicht nur zu kennen, sondern sie systematisch in die Unternehmensprozesse zu integrieren, ist eine der größten Herausforderungen für die Unternehmensleitung. Ein effektives Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bietet die ideale Grundlage, um diese Anforderungen zu erfüllen.

Unser neuer Ratgeber zeigt Ihnen, kurz und übersichtlich was Sie bei der Implementierung, Überwachung und kontinuierlichen Verbesserung eines ISMS beachten sollten – praxisnah und verständlich.

Was bietet Ihnen unser “Ratgebers Informationssicherheit für die Geschäftsführung”:

1. Aufbau eines kompetenten Projektteams und klarer Rollenverteilung: Ein starkes Team und klare Verantwortlichkeiten sind die Basis für die erfolgreiche Umsetzung eines ISMS.

2. Kennzahlen und Wirksamkeitsmessung: Definieren und überwachen Sie Kennzahlen, um die Effektivität Ihres ISMS gezielt zu messen und zu optimieren.

3. Interne Audits & Auditprogramme: Audits decken Schwachstellen auf und fördern die kontinuierliche Verbesserung Ihres ISMS.

4. Managementbewertung: Prüfen Sie regelmäßig die Leistung Ihres ISMS und treffen Sie fundierte strategische Entscheidungen.

5. Integration in bestehende Unternehmensprozesse: Integrieren Sie Ihr ISMS nahtlos in die täglichen Abläufe, um es effizient und nachhaltig zu gestalten.

Fazit: Die Führungsebene ist für ein erfolgreiches ISMS essenziell

Insgesamt erfordert die erfolgreiche Implementierung und Verwaltung eines ISMS nach ISO 27001 das Engagement und die Unterstützung der Geschäftsführung auf allen Ebenen. Durch die konsequente Anwendung der im Ratgeber beschriebenen Prinzipien und Maßnahmen können Sie nicht nur die Informationssicherheit in Ihrem Unternehmen stärken, sondern auch Vertrauen bei Kunden und Partnern aufbauen und gesetzliche sowie regulatorische Anforderungen erfüllen.

Sichern Sie sich jetzt den Ratgeber und übernehmen Sie die Führung in Sachen Informationssicherheit!

Adobe Stock | 968083173 | KI generiert

Ratgeber Informationssicherheit für Geschäftsführung

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Geschäftsführer und Vorstände“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Notfallvorsorge in der IT: eine kurze Übersicht

Wir sind ja in den vorherigen Beiträgen schon mehrfach auf das Thema Notfallvorsorge, Wiederanlaufplanung und Übungsszenarien in der IT eingegangen. In der heutigen digitalisierten Welt ist die IT-Infrastruktur das Rückgrat vieler Unternehmen. Cyberangriffe, Systemausfälle und andere unerwartete Ereignisse können jedoch erhebliche Schäden verursachen. Die EU hat sich mit der NIS 2 Richtlinie und dem CRA (Cyber Resilience Act) diesem Problem angenommen.

Hier nochmal eine kurze Übersicht, was zu beachten ist:

Notfallvorsorge und Wiederanlaufplanung

Die Basis einer effektiven Notfallvorsorge bildet nach wie vor ein detaillierter IT-Notfallplan. Dieser sollte folgende Kernelemente enthalten:

  1. Risikobewertung und Bedrohungsanalyse
  2. Festlegung eines Notfallteams und klarer Verantwortlichkeiten
  3. Dokumentation von Wiederanlaufprozessen
  4. Technische und organisatorische Maßnahmen zur Risikominimierung

Ein wesentlicher Bestandteil des Notfallplans ist die Wiederanlaufplanung. Sie definiert präzise Schritte zur Wiederherstellung kritischer IT-Systeme und -Dienste. Ein effektiver Wiederanlaufplan sollte folgende Aspekte abdecken:

  • Technische und organisatorische Voraussetzungen zum Wiederanlauf
  • Detaillierte Aktivitäten für den Wiederanlauf
  • Beschreibung von Funktionstests und Übergabe in den Notbetrieb
  • Maßnahmen zur Rückführung in den Normalbetrieb

Übungsszenarien und deren Bedeutung

Regelmäßige IT-Notfallübungen sind unerlässlich, um die Wirksamkeit der Notfallpläne zu testen und das Notfallteam auf den Ernstfall vorzubereiten. Professionelle Übungsszenarien fokussieren sich auf:

  • Rasche Erfassung der IT-Situation und Lagebilderstellung
  • Anwendung von Methoden zur Problemerfassung
  • Schnelle und korrekte Lagebeurteilung
  • Hochfahren des Cyber-Notfallmanagements
  • Überprüfung der Disaster Recovery Pläne
  • Praktische Anwendung der Notfallkommunikation

Diese Übungen helfen, Schwachstellen im Notfallmanagement aufzudecken und kontinuierliche Verbesserungen vorzunehmen. Die Bedeutung der IT-Notfallvorsorge wird durch regulatorische Anforderungen wie die NIS 2 Richtlinie unterstrichen, die höhere Sicherheitsanforderungen für Unternehmen mit kritischen Infrastrukturen vorschreibt und entsprechende Nachweise einfordert.

Zusammenfassend lässt sich sagen, dass eine gründliche Notfallvorsorge, detaillierte Wiederanlaufplanung und regelmäßige Übungsszenarien entscheidend sind, um die Resilienz eines Unternehmens gegenüber IT-Notfällen zu stärken. Nur so können Unternehmen im digitalen Zeitalter bestehen und ihre Geschäftskontinuität auch in Krisensituationen sicherstellen.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen