,

Erfolgreiches Kompaktseminar NIS2 Orientierungshilfe

Das Kompaktseminar NIS2 Orientierungshilfe stieß an beiden Veranstaltungsterminen auf großes Interesse. Zahlreiche Teilnehmende aus unserem Kundenkreis nutzten die Gelegenheit, sich einen fundierten ersten Überblick über die neuen gesetzlichen Anforderungen des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) zu verschaffen. Die rege Beteiligung und der konstruktive Austausch zeigten, dass das Thema Cybersicherheit und Compliance aktuell in vielen Unternehmen hohe Priorität hat.

Im Mittelpunkt des Seminars standen die wesentlichen Neuerungen, die sich durch die Umsetzung der europäischen NIS2-Richtlinie in deutsches Recht ergeben. Behandelt wurden insbesondere die erweiterten Pflichten für Unternehmen, die Bestimmung der betroffenen Organisationen sowie die erhöhten Anforderungen an Risikomanagement, Meldeprozesse und Nachweispflichten. Anhand praxisnaher Beispiele wurde verdeutlicht, welche Maßnahmen frühzeitig einzuleiten sind, um die Compliance-Anforderungen rechtzeitig zu erfüllen.

Darüber hinaus bot das Seminar konkrete Handlungsempfehlungen für den Aufbau oder die Anpassung eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO 27001 sowie zur Integration von NIS2-Anforderungen in bestehende Governance-Strukturen. Die Teilnehmenden erhielten klare Hinweise und Empfehlungen, um den Umsetzungsprozess in ihren Organisationen gezielt voranzutreiben.

Insgesamt zeigte das Feedback: Der kompakte Überblick schafft die notwendige Orientierung, um jetzt die richtigen Prioritäten zu setzen.

Wir bieten Ihnen auch die passenden Vertiefungsseminare zu Einzelthemen wie z.B. der geforderten Geschäftsführungsschulung, dem Risikomanagement, BCM und natürlich auch der Auditvorbereitung.

Sie haben den Termin verpasst? Kein Problem. Hier ist die nächste Chance…

Kompaktseminar NIS2 Orientierungshilfe

 

/von
, ,

DSMS planen – ISO 27701:2025 erschienen

Im Oktober 2025 ist die neue Version der ISO 27701 erschienen, zunächst nur in englischer Sprache. Da die rechtlichen Anforderungen aus dem Datenschutz sich seit dem Erscheinen der DIN EN ISO/IEC 27701:2021 nicht wesentlich geändert haben, bringt diese Version der Norm wenig inhaltliche Neuerungen mit sich. Umso größer sind die strukturellen Änderungen.

Eigenständiges Managementsystem

Im Artikel “Informationssicherheit und Datenschutz – mit der ISO 27701 Synergien nutzen und die Wettbewerbsfähigkeit stärken” und in der Artikelserie “Datenschutz in ein bestehendes ISMS integrieren” habe ich beschrieben, wie der Datenschutz mit Hilfe der DIN ISO 27701:2021 in ein bestehendes ISMS nach ISO 27001 integriert werden kann. Die ISO 27701:2025 beschreibt jetzt ein eigenständiges Datenschutz-Managementsystem (DSMS). Dies ist die wesentliche Neuerung in dieser Version. Die Struktur der Norm folgt nun der Harmonized Structure (vormals High Level Structure) der ISO-Managementnormen.

Inhaltlich sind natürlich immer noch viele technische und organisatorische Maßnahmen (TOM) des Datenschutzes ebenso Maßnahmen der Informationssicherheit. Der Überschneidungsbereich ist groß. Der Ansatz eines integrierten Managmentsystemes ist daher nach wie vor ratsam und wird von der Harmonized Structure unterstützt.

Die Datenschutzfolgenabschätzung findet sich jetzt im Kapitel 6.1.2, die Datenschutz-Risikobehandlung in Kapitel 6.1.3. Damit werde ich mich in einem späteren Blog-Beitrag beschäftigen.

Die ISO 27701:2025 verfügt über zwei normative Anhänge. Anhang A beschreibt Referenzmaßnahmenziele und Maßnahmen für verantwortliche Stellen und Auftragsverarbeiter, Anhang B gibt Umsetzunghinweise. Dabei werden im wesentlichen die Kapitel 6, 7 und 8 der DIN ISO 27701:2021 zusammengefasst und von den Normen für Informationssicherheit (ISO 27001 und ISO 27002) unabhängig gestaltet. Auf die Details werde ich ebenfalls in einem späteren Blog-Artikel eingehen.

Wie es weiter geht

In einem der nächsten Artikel werde ich mich detailliert mit der neuen ISO 27701:2025 auseienander setzen, u.a. mit der Beziehung zwischen Risikomanagement und Datenschutzfolgeabschätzung.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

TISAX® – Informationssicherheit im Detail, Teil 7

Im vorherigen Blogartikel tauchte im Zusammenhang mit dem mobilen Arbeiten und der Informationssicherheit nach TISAX® auch der Begriff Zonenkonzept auf. Dieser Begriff soll an dieser Stelle näher beleuchtet werden.

Die meisten Standards und Normen für Informationssicherheit kennen die Idee der Sicherheitszonen, wenn es um die Betrachtung der physischen Sicherheit geht. Bei einem solchen Zonenkonzept werden die Räumlichkeiten und Flächen des Unternehmens anhand von Lageplänen, Raumplänen u.ä. in verschiedene Bereiche unterteilt. Diese Unterteilung orientiert sich daran, wie sensibel und kritisch die Informationswerte sind, die im jeweiligen Bereich gespeichert, gelagert oder verarbeitet werden.

Whitepaper des VDA

Da in dem VDA-Whitepaper zur „Harmonisierung der Klassifizierungsstufen“ ein vierstufiges Schema zur Klassifizierung vorgeschlagen wird (zur Erinnerung: „öffentlich“, „intern“, „vertraulich“ und „streng vertraulich“), sehen auch viele Zonenkonzepte eine solche vierstufige Einteilung vor. Diese 4 Sicherheitszonen (auch: Sicherheitsbereiche) werden oft als „öffentliche Zone“, „kontrollierte Zone“, „eingeschränkte Zone“ und „Hochrisikozone“ bezeichnet. Aus Gründen der Übersichtlichkeit und auch zur Kennzeichnung von Räumlichkeiten werden den 4 Klassifizierungsstufen, ebenfalls auf Anregung des VDA, Farben zugeordnet. Somit ergibt sich nach einem erweiterten Ampelprinzip vor: weiß für die öffentliche Zone, grün für die kontrollierte Zone, gelb für die eingeschränkte Zone und rot für die Hochrisikozone.

Festlegung von Sicherheitszonen

Die Unterteilung in Zonen ist nur dann sinnvoll, wenn für die einzelnen Zonen auch unterschiedliche Vorgaben gemacht werden, bzw. wenn sich die Tätigkeiten und Aktivitäten in den Zonen auch klar unterscheiden lassen. Diese Vorgaben können sich auf verschiedene Bereiche beziehen und natürlich werden diese Vorgaben aufsteigend strenger und umfassender. In einem weißen Bereich, also der „öffentlichen Zone“, wird man meist nur wenige Vorgaben machen. So ist oft z.B. das Mitführen und auch Benutzen von Mobiltelefonen und anderen Aufzeichnungsgeräten nicht eingeschränkt, und auch der Zutritt wird nicht gesteuert. Am entgegengesetzten Ende der Skala, in der rot markierten „Hochsicherheitszone“, müssen Aufzeichnungsgeräte oft vor dem Betreten abgegeben werden, Verschwiegenheitserklärungen unterschrieben werden, und der Zutritt ist nur für einen stark limitierten Personenkreis zulässig.

Welche Regelungen für die jeweilige Sicherheitszone getroffen werden, hängt zunächst von der Einschätzung des eigenen Unternehmens zur Kritikalität der in der Zone befindlichen Informationswerte ab. Ebenfalls müssen die Kundenvorgaben berücksichtigt werden, die den Umgang mit Informationswerten des Kunden betreffen. Auch hier ist es hilfreich, wenn sowohl der Kunde als auch das eigene Unternehmen vergleichbare Schemata zur Klassifizierung nutzen und auch ein gleiches Verständnis von Sicherheitszonen haben. Kleiner Praxistipp: Es ist eine gute Idee, sicherheitshalber mit den externen Partnern abzugleichen, ob die genutzten Schemata zur Klassifizierung und zum Verständnis der Sicherheitsbereiche gleich sind.

Zu diesem Zeitpunkt werden die Ausführungen aus dem vorherigen Blogartikel vermutlich verständlicher. Auch die mobilen und häuslichen Arbeitsplätze der Mitarbeiter sollten einem der genannten Sicherheitsbereiche zugeordnet werden – mit der Konsequenz, dass natürlich für diese beiden Arten von Arbeitsplätzen die gleichen Vorgaben gelten wie für die Arbeitsplätze in den jeweiligen Sicherheitsbereichen auf dem Unternehmensgelände. Und auch der Umgang mit Informationswerten, wie z.B. mobilen Datenträgern, sollte bei beiden Arten von Arbeitsplätzen vergleichbar sein. Doch dazu mehr im nächsten Blogartikel ….

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Security Awareness – Sicherheit leben – Teil 1: Passwörter

In den bisherigen Artikeln (Teil1, Teil2 und Teil 3, Teil 4) hatten wir dargestellt, wie ein Security Awareness Konzept aussehen kann. Sie wandten sich somit eher an Verantwortliche, die Security Awareness im Unternehmen konzeptionell betreuen und strukturiert aufbauen wollen. In dieser neuen Folge von Blogbeiträgen sollen dagegen einzelne Themen adressiert werden, die sich als Inhalte für Awarenessmaßnahmen eignen könnten.

Authentizität bei der Anmeldung

Passwörter dienen dazu, die Authentizität bei der Anmeldung an ein System oder eine Anwendung sicherzustellen. Dieses Vorgehen setzt voraus, dass nur die berechtige Person selber das Passwort kennt, das mit dem genutzten Login verbunden ist. Aus diesem Grund verbieten auch die meisten Passwortrichtlinien die Weitergabe des eigenen Passwortes an andere Personen. Gemeint sind hier vor allem personalisierte Zugänge – also Anmeldeinformationen bzw. Konten, die genau einer Person zugeordnet sind. In seltenen Fällen kann es jedoch auch erforderlich sein, dass mehrere Personen sich ein Konto „teilen“ bzw. gemeinsam nutzen. Dies kann z.B. bei sehr alten Systemen der Fall sein, welche nicht in der Lage sind, zwischen verschiedenen Konten zu unterscheiden. Bei aktuellen Systemen sollte es aber in den meisten Fällen sehr wohl möglich sein, zwischen verschiedenen Konten bzw. verschiedenen Personen zu unterscheiden. Oder anders gesagt: die Nutzung von Konten durch mehrere Personen sollte eine absolute Ausnahme sein und nach Möglichkeit vermieden werden.

Hintergrund dieser strengen Formulierung ist das Schutzziel „Zurechenbarkeit“. Aktivitäten in Systemen werden in der Art protokolliert, dass der Kontoname aufgezeichnet wird, also der Login, mit dem eine Aktivität durchgeführt wird. Bei der Aufarbeitung von Vorfällen ist es meist wichtig, präzise zuordnen zu können, welche Person problematische Aktivitäten durchgeführt hat. Wenn ein Konto also von mehreren Personen genutzt werden könnte, ist diese eindeutige Zuordnung nicht mehr möglich.

Konten sollen also durch Passwörter geschützt werden – und diese Passwörter müssen stark sein. Durch die fortschreitende Entwicklung der Rechentechnik kann es möglich sein, ein eigentlich geheimes Passwort durch einfaches „Ausprobieren“ herauszufinden. Dieses Ausprobieren dauert umso länger, je länger ein Passwort ist. Interessanterweise ist der Zusammenhang zwischen der Passwortlänge und der zum Ausprobieren benötigten Zeit nicht etwa linear, sondern eher exponentiell: eine Verdopplung der Passwortlänge bedeutet daher keine Verdopplung der benötigten Zeit, sondern eher (sehr grob gesagt) eine Vervierfachung der Zeit. Ein Passwort kann man also dadurch stärker gestalten, dass man die Passwortlänge erhöht. Mit aktueller Standardhardware geht man derzeit davon aus, dass ein Passwort mindestens 8 Stellen haben sollte, um als sicher zu gelten. Allerdings darf die Länge gerne größer gewählt werden, um Angreifern das Leben schwerer zu machen …

Passwortschutz und Multifaktorauthentifizierung

Neue Technologien im Bereich Passwortschutz und Multifaktorauthentifizierung gehen heute weit über das klassische Passwort hinaus und bieten Unternehmen deutlich mehr Sicherheit bei gleichzeitig höherem Komfort für die Mitarbeitenden. Statt sich komplizierte Kombinationen merken zu müssen, setzen moderne Lösungen auf biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung, Sicherheitsschlüssel nach dem FIDO2-Standard oder als zeitgesteuerte Einmalfreigaben (TOTP) per App. Die Idee dahinter ist einfach: Es wird nicht mehr nur ein einzelner Faktor – wie das Passwort – abgefragt, sondern eine Kombination aus Wissen, Besitz und persönlichem Merkmal. So wird das Risiko von Angriffen wie Phishing oder gestohlenen Zugangsdaten erheblich reduziert. Für Unternehmen bedeutet dies nicht nur bessere Sicherheitsstandards, sondern auch eine spürbare Entlastung in der täglichen Praxis, da die Anmeldung schneller, bequemer und gleichzeitig zuverlässiger abläuft.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Sicherheit leben“

Weitere Seminare finden Sie unter https://anmatho.de/seminare. Diese können Sie auch als individuelles Inhouse-Seminar buchen.
Sprechen Sie uns gern an.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Interne Audits – Erstellung eines
Auditprogrammes – Teil 4

Interne Audits sind ein essenzielles Instrument, um Prozesse, Systeme und Managementansätze kontinuierlich zu verbessern. Sie helfen Unternehmen dabei, Schwachstellen zu identifizieren, Konformität mit Normen wie ISO 27001, ISO 9001, ISO 14001 oder ISO 45001 sicherzustellen und die Leistungsfähigkeit nachhaltig zu steigern. In den folgenden Artikeln beleuchten wir Schritt für Schritt die Kernbereiche – von der Erstellung eines Auditprogrammes bis zu Herausforderungen und Best Practices.

In den vorherigen Beiträgen wurde die Bedeutung interner Audits nach ISO 27001 für die Informationssicherheit im Unternehmen, die Ausbildung zum Auditor und die unterschiedlichen Auditarten besprochen. Dieses Mal geht es um die Erstellung eines Auditprogrammes.

Erstellung eines Auditprogrammes

Ein wirksames Auditprogramm bildet die Grundlage für alle späteren Auditaktivitäten. Es handelt sich dabei nicht nur um eine formale Planung, sondern um ein strukturiertes Dokument, das langfristig Orientierung bietet. Das Ziel ist alle relevanten Geschäftsprozesse systematisch zu überprüfen und so kontinuierliche Verbesserungen anzustoßen.

Zu Beginn ist es entscheidend, den Zweck des Auditprogramms klar zu definieren. Typische Ziele sind z. B. die interne Überprüfung auf Einhaltung gesetzlicher Anforderungen, die Bewertung von Risiken oder die Sicherstellung von Qualitätsstandards in Bezug auf Kundenanforderungen.

Ein effektives Auditprogramm berücksichtigt mehrere entscheidende Faktoren:

  • Umfang und Geltungsbereich: Welche Abteilungen, Prozesse oder Standorte sollen geprüft werden?
  • Auditkriterien: Gegen welche Normen, Richtlinien oder Unternehmensstandards wird verglichen?
  • Auditfrequenz: In welchen Intervallen werden die Audits durchgeführt (z. B. quartalsweise, jährlich oder risikobasiert)?
  • Risikobasierter Ansatz: Besonders kritische Prozesse mit hohem Risiko für Compliance-Verstöße sollten häufiger auditiert werden.
  • Verantwortlichkeiten: Wer erstellt, koordiniert und überwacht das Auditprogramm?

Ebenso sollten die Ressourcen berücksichtigt werden. Dazu gehören geschulte Auditoren, verfügbare Zeitfenster sowie unterstützende Tools wie digitale Auditmanagement-Software.

Wesentlicher Bestandteil ist auch die Kommunikation: Das Auditprogramm sollte allen relevanten Stakeholdern wie Bereichsleitern, Führungskräften und Mitarbeitern transparent zur Verfügung gestellt werden. Eine klare Kommunikation erhöht die Akzeptanz und reduziert Widerstände.

Schließlich sollte das Auditprogramm dynamisch angelegt sein. Das bedeutet, dass es regelmäßig überprüft und an neue Entwicklungen angepasst wird – sei es aufgrund neuer Gesetze, interner Veränderungen oder geänderter Unternehmensstrategien.

Fazit:

Ein gut durchdachtes Auditprogramm ist das Fundament erfolgreicher Audits. Es stellt sicher, dass keine relevanten Aspekte vernachlässigt werden, und bietet dem Unternehmen einen strategischen Rahmen für kontinuierliche Verbesserung.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

KI im Unternehmen – Segen, Fluch oder doch ein Muss?

Künstliche Intelligenz (KI) ist längst im Unternehmensalltag angekommen – und polarisiert wie kaum eine andere Technologie. Ihre Einsatzmöglichkeiten wachsen rasant, von automatisierten Workflows über präzise Datenanalysen bis hin zu Chatbots im Kundenservice. Doch ist KI nun ein Fluch oder ein Segen für Unternehmen? Die Wahrheit liegt – wie so oft – in der differenzierten Betrachtung.

Vorteile: Effizienz, Innovation, Wachstum

Die wohl größte Stärke von KI liegt in der Automatisierung wiederkehrender Aufgaben. Routinetätigkeiten, die früher Stunden oder Tage in Anspruch nahmen, lassen sich heute in Sekunden erledigen. Mitarbeitende gewinnen dadurch Freiraum für komplexere, kreative oder strategische Aufgaben – das steigert nicht nur die Produktivität, sondern oft auch die Zufriedenheit im Job.

Ein weiterer enormer Mehrwert: Datenanalyse in Echtzeit. KI-Systeme eröffnen Unternehmen völlig neue Einblicke in Markttrends, Kundenverhalten und interne Prozesse. Entscheidungen können so datenbasiert und schneller getroffen werden. Auch für die Prognose zukünftiger Entwicklungen bietet KI zuverlässige Unterstützung. Viele Unternehmen profitieren zudem von Kosteneinsparungen durch effizientere Prozesse und weniger Fehlerquellen.

Gerade im Kundenkontakt zeigt sich ein zusätzlicher Vorteil: KI-gestützte Service-Tools wie Chatbots sind rund um die Uhr erreichbar und beantworten blitzschnell standardisierte Anfragen – ein klarer Pluspunkt in einer zunehmend digitalisierten und schnelllebigen Welt.

Nachteile: Risiken für Menschlichkeit und Sicherheit

So viele Chancen KI bringt, so groß sind aber auch die Herausforderungen. Ein zentraler Kritikpunkt ist der potenzielle Verlust von Arbeitsplätzen: Wo Algorithmen und Maschinen Aufgaben menschlicher Arbeitskräfte übernehmen, verändert sich zwangsläufig die Beschäftigungslandschaft. Besonders betroffen sind dabei Berufe mit hohem Routineanteil.

Zudem steht die Frage nach Datenschutz und IT-Sicherheit im Raum. Mit wachsender Bedeutung von KI wächst auch die Menge sensibler Daten, die täglich verarbeitet werden. Datenschutz und ein verantwortungsvoller Umgang mit Informationen sind daher unverzichtbar, nicht zuletzt wegen gesetzlicher Vorgaben wie der DSGVO. Ebenso ist die Integrität von Informationen in Zeiten von Deep Fake und KI generierten Sprachnachrichten und Videos nur schwer zu gewährleisten und jeder der damit konfrontiert wird sollte gut geschult sein und nicht blind vertrauen. Aktuell ist die KI noch recht schnell zu erkennen, aber die Technik entwickelt sich rasend schnell weiter und damit müssen alle schritthalten.

Auch die Abhängigkeit von Technologie birgt Risiken: Technische Ausfälle oder Cyberangriffe können weitreichende Folgen haben. Hinzu kommt, dass KI-Systemen oft die „menschliche Note“ fehlt – Empathie, Kreativität oder ethische Sensibilität lassen sich nur schwer automatisieren, was vor allem im direkten Kundenkontakt zum Nachteil werden kann, denn was nicht standardisiert ist kann oft von der KI auch nicht beantwortet werden.

Fazit: Segen, Fluch – oder doch ein Muss?

Die Gretchenfrage – KI nutzen oder nicht? – beantwortet sich zunehmend von selbst: Unternehmen, die sich dem Thema verwehren, laufen Gefahr, den Anschluss zu verlieren. Die meisten Experten sind sich einig, dass der sinnvolle, verantwortungsbewusste Einsatz von KI ein enormer Wettbewerbsvorteil sein kann. Voraussetzung dafür ist allerdings, die Schattenseiten zu kennen und die Technologie gezielt, ethisch und mit klaren Spielregeln einzusetzen.

KI ist also weder Fluch noch Segen per se. Sie ist ein mächtiges Werkzeug – und wie jede mächtige Technologie entscheidet der Mensch darüber, wie sie zum Einsatz kommt. Ein bewusster Umgang, ständige Weiterbildung und der offene Diskurs über Chancen und Risiken werden darüber bestimmen, ob KI zum Fortschrittsmotor oder Problemfall im Unternehmen wird.

Was Sie auch interessieren könnte:

Seminar:

“KI im Unternehmen – Rechtliche Anforderungen und praktische Umsetzung”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Beitrag:

KI-Schulung: Eine entscheidende Anforderung des AI Acts

/von
,

Business Continuity Management – Weil der Ernstfall schon lange keine Ausnahme mehr ist

Wer hätte gedacht, dass ein Begriff wie Business Continuity Management (kurz: BCM) einmal salonfähig wird – nicht nur in den Chefetagen, sondern auch beim entspannten Smalltalk am Kaffeeautomaten. Doch genau das ist in Europa anno 2025 Realität. Zwischen regulatorischen Bestimmungen wie der NIS2-Richtlinie, DORA, KRITIS und dem ständigen Rattern der Risiko-News-Ticker erkennt selbst der härteste Krisenleugner: „Vielleicht sollten wir echt mal drüber reden, was passiert, wenn das Internet ausfällt – und nicht nur, wenn der WLAN-Router im Homeoffice spinnt“.

Was ist BCM überhaupt?

Stellen Sie sich BCM wie eine robuste Rettungsweste für Unternehmen vor. Zwar blickt niemand gern auf mögliche Krisen – sei es Cyberangriffe, Naturkatastrophen, Lieferkettenchaos oder plötzlich verschwundene Mitarbeitende nach einer (zu) gelungenen Weihnachtsfeier. Aber wenn’s ernst wird, will niemand ohne Schwimmhilfe ins Wasser springen. Ein gutes BCM sorgt dafür, dass die elementaren Unternehmensprozesse nicht untergehen und der Betrieb weiter dümpelt – notfalls auch auf hoher See.

Aktuelle Sicherheitslage: Europa, das Stress-Test-Labor

In Europa jagt gerade eine Herausforderung die nächste: Wirtschaftliche Wasserrutschen, politische Sturmwinde, neue Hacker-Wellen. Die EU füllt den Gesetzgebungs-Ozean mit immer mehr Vorschriften, um Unternehmen zur BCM-Pflicht zu motivieren (DORA, NIS2, KRITIS – alle dabei!). Wer denkt, „wird schon nix passieren“, landet inzwischen schneller am Existenzrand als ein defekter USB-Stick im Sondermüll. Deloitte: „Benchmarkstudie Business Continuity Management 2025“

Und der Mittelstand?

Gerade kleine und mittlere Unternehmen stehen vor der Mammutaufgabe, aus dem Vorschriften-Dschungel einen eigenen Notfall-Plan zu schnitzen. Denn: Der Kunde von heute glaubt an alles – außer daran, dass Ausreden wie „Server kaputt“ morgen noch Sympathiepunkte bringen. Ein solides BCM ist mittlerweile auch Türöffner für große Ausschreibungen und sogar immer öfter Pflicht in manchen Kundenbeziehungen.

Fazit (keine Panik, nur Planung!)

Nein, Business Continuity heißt nicht, dass man ab jetzt alle Mitarbeitenden in Alufolie einwickeln muss. Aber ein bisschen Vorbereitung schadet nie – zumal die nächste Krise bestimmt kommt. BCM: Nicht nur Pflichtprogramm, sondern vielleicht bald die entspannte Rückversicherung für Ihren sorgenfreien Geschäftsalltag.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 6)

Die Managementbewertung

In den ersten Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzens eines Projektteams für die Einführung des ISMS, mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS, mit Berichtswegen, der Integration der ISMS-Prozesse in die Prozesse des Unternehmens und dem Auditprogramm als Steuerungsinstrument beschäftigt.

In diesem Teil soll es ausführlich um die Managementbewertung gehen, die wir in dem Artikel über die Berichtswege schon kurz angeschnitten hatten.

Pflichten der Geschäftsführung bzw. des Vorstands

Es gehört zu den originären Pflichten einer Geschäftsführung eine funktionierende Unternehmensorganisation sicherzustellen, Risiken zu überwachen und ggf. Maßnahmen zur Schadensprävention zu ergreifen. Dies ergibt sich u.a. aus dem StaRUG. Im Falle der Informationssicherheit kommt sie diesen Pflichten durch die Einrichtung eines wirksamen Informationssicherheits-Managementsystems (ISMS) in geeigneter Weise nach.

Nur in kleinen Unternehmen wird sich die Geschäftsführung selbst der ISMS-Einführung annehmen. Meist beauftragt sie einen Mitarbeiter mit der Einrichtung und dem Betrieb des ISMS. Dieser trägt dann den Titel Informationssicherheitsbeauftragter (ISB) , Chief Information Security Officer (CISO) oder eine andere vergleichbare Bezeichnung. Mit der Bestellung eines solchen Beauftragten ist die Arbeit für die oberste Leitung nicht erledigt. Sie muss sich angemessen davon überzeugen, dass die von ihr beauftragte Person diese Aufgabe auch in ihrem Sinne ausfüllt. Die Geschäftsführung bzw. der Vorstand müssen die Eignung, Angemessenheit und Wirksamkeit ihres ISMS feststellen.

Feststellung der Eignung, Angemessenheit und Wirksamkeit des ISMS

Zur Feststellung der Eignung, Angemessenheit und Wirksamkeit des ISMS muss die oberste Leitung ihr ISMS in geplanten Abständen bewerten. Diese Bewertung erfolgt oft in einem Meeting, das auch den Namen Managementbewertung (Management Review) trägt.

Ablauf der Managementbewertung

In der Praxis sieht es meist so aus, dass der Informationssicherheitsbeauftragte (ISB) der obersten Leitung berichtet. Gegenstand des Berichts sind u.a.

  • der Status von Maßnahmen als Folge vorheriger Managementbewertungen,
  • Veränderungen bei verschiedenen, das ISMS betreffenden Themen,
  • Nichtkonformitäten und zugehörige Ursachenanalysen sowie Korrekturmaßnahmen,
  • wichtige Kennzahlen,
  • Auditergebnisse,
  • Stand bei der Erreichung von Informationssicherheitszielen,
  • Ergebnisse der Risikobeurteilung,
  • Umsetzungsgrad beschlossener Maßnahmen sowie
  • allgemeine Möglichkeiten zur fortlaufenden Verbesserung.

Die Führung muss auf den Stand und die Entwicklung bei diesen Themen wertend reagieren. Notwendige Entscheidungen müssen von der obersten Leitung getroffen werden. Die Managementbewertung ist also nichts, was die oberste Leitung einfach konsumieren darf. Vielmehr ist es andersherum. Der Bericht des ISB liefert nur die Informationen, die als Grundlage für die Bewertung und Anpassung des ISMS durch die Geschäftsführung bzw. Vorstand dienen.

Häufigkeit der Managementbewertung

Die ISO 27001:2022 fordert eine Managementbewertung in geplanten Abständen. In der Praxis wird dies übersetzt in “mindestens jährlich”. Mindestens ist aber nicht gleichbedeutend mit angemessen. Was angemessen ist, muss jede Führung selbst festlegen. Gerade in der Einführungsphase eines ISMS können kürzere Abstände durchaus hilfreich und notwendig sein.

In kleineren Unternehmen ist die Geschäftsführung häufig so dicht am operativen Geschäft dran, dass alle oben genannten Themen von ihr ohnehin im Tagesgeschäft beachtet und bearbeitet werden. Hier könnte auch eine Vielzahl von unterschiedlichen Meetings und Formaten in der Summe als Managementbewertung betrachtet werden. Der ISB muss dabei darauf achten, dass im Laufe eines Jahres wirklich alle Pflichtpunkte der Managementbewertung behandelt wurden, dies dokumentiert wurde und ggf. im Audit auch darstellbar ist.

Entscheidet man sich für eine klassische Managementbewertung so hat diese in kleineren Unternehmen häufig den Charakter eines wiederholten Durchgehens bereits bearbeiteter Punkte. Auch in diesem Fall muss darauf geachtet werden, dass dies dokumentiert wird und das eine Bewertung der obersten Leitung bezüglich der Eignung, Angemessenheit und Wirksamkeit des ISMS erkennbar ist.

In mittleren Unternehmen hat sich eine Zahl von zwei bis vier Managementbewertungen im Kalenderjahr bewährt. Eine Führung, die wegen der Größe der eigenen Organisation nicht mehr mit allen Aspekten des Tagesgeschäftes befasst ist, kann sich so in angemessen Abständen mit dem Stand der Informationssicherheit im eigenen Unternehmen auseinandersetzen. Bei Fehlentwicklungen kann wirksam gegengesteuert werden.

Die angeratene Mindestzahl von zwei Managementbewertungen ergibt sich aus der Mindestzahl von Audits in zertifizierten Unternehmen. Einmal im Jahr kommt der Zertifizierungsauditor, mindestens einmal im Jahr findet ein internes Audit statt. Wenn diese gleichmäßig über das Jahr verteilt sind, bei zwei Audits also im Abstand von 6 Monaten, ergeben sich mit den Auditberichten zwei gute Gelegenheiten für die oberste Leitung sich mit dem Stand und der Entwicklung der Informationssicherheit auseinander zu setzen. Liegen die Audits zeitlich zu dicht beieinander, führt dies zu ähnlichen Auditberichten, die eine gesonderte Befassung unnötig erscheinen lassen.

In großen Organisation gibt es auch eine eigene Informationssicherheitsorganisation. Diese bearbeitet viele Aspekte der Informationssicherheit und des Informationssicherheitsmanagements selbstständig. Sie verfügt hierzu in der Regel über alle Kompetenzen und Ressourcen. In diesem Fall ist eine Befassung durch die oberste Leitung einmal jährlich meist ausreichend.

Teilnehmer der Managementbewertung

Im Sinne der ISO 27001 ist es ausreichend, wenn die Managementbewertung durch ein Mitglied der obersten Leitung durchgeführt wird. Geschäftsführungen und Vorstände sind allerdings kollektiv haftende Organe. Diese Haftung lässt sich beschränken, wenn es einen (hoffentlich dokumentierten und nicht nur gelebten) Geschäftsverteilungsplan gibt. Aber auch in diesem Fall bleibt die Gesamtverantwortung bestehen. Das heißt, die nicht für ein Ressort zuständigen Mitglieder der obersten Leitung  müssen die Arbeit ihrer Kollegen überwachen und bei erkennbaren Pflichtverletzungen einschreiten. Versäumen sie dies, ist eine Haftung weiterhin möglich.

Die Managementbewertung ist für die “nicht zuständigen” Mitglieder der Geschäftsführung eine sehr gute Möglichkeit, sich davon zu überzeugen, dass die Aufgabe Informationssicherheit bzw. Informationssicherheitsmanagement von ihrem zuständigen Kollegen angemessen organisiert und bearbeitet wird. Jeder Geschäftsführer ist daher gut beraten an der Managementbewertung zumindest teilzunehmen, auch wenn das Thema nicht in den eigenen Zuständigkeitsbereich fällt.

Wie es weiter geht?

Damit endet (vorerst) die Artikelreihe über die Aufgaben der obersten Leitung im ISMS. Sie haben noch Fragen? Nehmen Sie gerne Kontakt zu uns auf.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, , ,

Awareness – Maßnahme oder Konzept? – Teil 4

In den bisherigen Artikeln (Teil1, Teil2 und Teil 3) hatten wir dargestellt, warum die alleinige Fokussierung auf rein technische Aspekte bei der Informationssicherheit nicht ausreichend ist. Als Gegenentwurf skizzieren wir ein Awareness-Konzept, das deutlich mehr beinhaltet als einige oberflächliche Schulungsveranstaltungen.

In Teil 3 des Blogs wurde die Fragestellung der Darbietungsform bereits angerissen. Gerade bei zugekauften Inhalten neigen die meisten dazu, Inhalte so einzusetzen, wie sie vom Anbieter kommen. Nur selten wird hinterfragt, ob die angebotene Form der Lerninhalte auch wirklich zur Zielgruppe selber, zu den vorgesehenen Lernzielen und nicht zuletzt zum Inhalt passt. So werden oftmals eLearnings und Präsentationen übernommen, ohne die Eignung der Unterlagen zu hinterfragen.

Psychologische Aspekte

Einige psychologische Ansätze beschreiben sogenannte Lernkanäle – hauptsächlich die Sinneskanäle, wie Sehen und Hören, aber auch die Motorik (das Selbermachen, mit den eigenen Händen) oder den kognitiven Lernkanal, der auf die Ergänzung und Vervollständigung des bestehenden, eigenen Wissensgerüstes fokussiert. Die Kernaussage der Theorie über die Lernkanäle besteht darin, dass verschiedene Menschen die verschiedenen Lernkanäle unterschiedlich effizient nutzen. Je nach eigenem Lerntyp fällt dem Einzelnen das Lernen also mal etwas leichter, mal etwas schwerer – je nachdem, über welchen Kanal die Lerninhalte aufgenommen werden.

Die zweite Kernaussage der Theorie der Lernkanäle zielt auf eine möglichst vielfältige Gestaltung der Lerninhalte. Wenn die Materialen und Medien so aufgebaut werden, dass möglichst viele Kanäle genutzt werden, adressiert man auf diese Art die verschiedenen Lerntypen und erreicht in der Summe ein besseres Ergebnis bei der Vermittlung der Lerninhalte. Eine bewusstere Auswahl der Darbietungsform beugt also nicht nur einer gefühlten oder tatsächlichen Eintönigkeit vor, sondern kann auch das Lernergebnis insgesamt verbessern.

Und noch einen Gedanken sollte man bei der Auswahl der Darbietungsform und der genutzten Medien nicht vergessen. In Teil 2 wurde das Tripel aus Wissen, Wollen und Können angesprochen. Bei der Auswahl der Methoden und Darbietungsformen kann auch der gewollte Schwerpunkt eine Rolle spielen. So eignet sich z.B. eine Präsentation eher zum Vermitteln und Darstellen von Wissen. Wenn es dagegen eher um den Erwerb oder die Verbesserung des Könnens gehen soll, wäre eine praktische Übung für jeden Teilnehmer sicher passender. Natürlich gibt es auch hier oft eine innere Logik für die Reihenfolge: zumeist muss zuerst Wissen vermittelt werden, um dieses dann in praktischen Übungen in Können umzuwandeln. Beide Aspekte gehören für viele Inhalte zusammen – was jedoch nicht heißt, dass sie zwingend auch zusammen, in einer Veranstaltung, dargeboten werden müssen …

Übrigens – falls die Frage aufgekommen sein sollte, welche Überlegungen hinter der Idee des Awareness-Konzeptes stehen: den zugrundeliegenden Ansatz stellt Matthias Weigmann in einem Blogartikel vor!

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

TISAX® – Informationssicherheit im Detail, Teil 6

Bereits im vorherigen Artikel  wurden einige Aspekte des mobilen Arbeitens angerissen. Der Schwerpunkt lag in der Schaffung eines Verständnisses und in der Unterscheidung der verschiedenen Arbeitsorte, die unter dem Oberbegriff „Mobiles Arbeiten“ zusammenfassen lassen. Ebenfalls wurde bereits die Verbindung zwischen mobilem Arbeiten und den Themen Sicherheitszonen, Klassifizierung und Umgang mit Datenträgern erwähnt.

Wie bereits in einem früheren Artikel  dargestellt wurde, sind mit der Klassifizierung von Informationswerten auch die Vorgaben für den Umgang mit diesen Informationswerten verbunden. Es bietet sich an, auch das mobile Arbeiten hier mit zu betrachten. So sind Informationsträger, wie z.B. externe Datenträger, physische Modelle und Komponenten oder Papierunterlagen, natürlich beim Mitführen einer erhöhten Gefahr ausgesetzt. Sie können verloren gehen, gestohlen oder beschädigt werden, oder Unbekannte erlangen Einsicht. Es wäre daher sinnvoll, das Mitführen von solchen Informationsträgern einzuschränken. Hierfür bietet sich die Klassifizierung des Informationswertes an: je höher der Informationswert klassifiziert ist, umso restriktiver sollten die Vorgaben für das Mitführen sein.

An dieser Stelle ein kleiner Hinweis zum Klassifizierungsschema. Das Klassifizierungsschema orientiert sich in den meisten Fällen, so auch beim VDA-ISA Katalog, hauptsächlich am Schutzziel “Vertraulichkeit”. Prinzipiell können in dem Schema aber die Schutzziele “Verfügbarkeit” und “Integrität” mit berücksichtigt werden.

Transport und Entsorgung

Doch nicht nur der Transport, sondern auch die Aufbewahrung von Informationswerten sollte geregelt werden. Zu bedenken wären hier vor allem der Schutz der Vertraulichkeit, z.B. die mögliche Einsichtnahme durch Familienmitglieder in vertrauliche Unterlagen. Abhilfe ließe sich z.B. durch die Vorgabe zur Aufbewahrung in verschlossenen Schränken schaffen. Auch hier bietet es sich an, die Vorgaben zur Aufbewahrung anhand der Klassifizierung zu treffen.

Außerdem gehört in diesen Bereich auch die physikalische Vernichtung oder Entsorgung. Wie sonst auch, sollte es hier klare Regelungen geben. Viele Unternehmen nehmen für die sichere Entsorgung zertifizierte Dienstleiter in Anspruch. Eine sichere Entsorgung von Datenträgern ist somit oftmals nur an den Unternehmensstandorten selber möglich. Eine mögliche Vorgabe könnte also sein, dass die Vernichtung von Informationswerten und Datenträger nur am Unternehmensstandort mit den dort etablierten Verfahren vorgenommen werden darf. Alternativ wäre es denkbar, auch die häuslichen Arbeitsplätze mit Gerätschaften zur sicheren Entsorgung auszustatten, z.B. mit Schreddern die eine passende Sicherheitsstufe für die sichere Vernichtung von Papier haben.

Wie sich die Gedanken aus diesem Artikel in einem Zonenkonzept wiederfinden lassen, und welche Zusammenhänge es zwischen dem Klassifizierungsschema und dem Zonenkonzept geben kann, wird im folgenden Artikel näher beleuchtet …

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen