,

„Security Awareness – Sicherheit leben“ Teil 2: Phishing

In einer Serie von Blogartikeln zum Thema Security Awareness (Artikel 1 ; Artikel 2; Artikel 3; Artikel 4; Artikel 5; Artikel 6; Artikel 7; Artikel 8; Artikel 9) haben wir gezeigt, dass Awareness-Maßnahmen für einen nachhaltigen Erfolg systematisch aufgebaut und strukturiert werden müssen. Das vorgestellte Awareness-Konzept ist in gewisser Hinsicht ein Gegenpol zu den oftmals in der Praxis anzutreffenden Einzelmaßnahmen. Doch auch ein gut durchdachtes Konzept besteht aus einzelnen Maßnahmen, und es beginnt mit der Frage, welche Ziele durch eine Awareness-Maßnahme bei einer spezifischen Zielgruppe erreicht werden sollen.

Das Ziel einer Awareness-Maßnahme ergibt sich oft aus der Tatsache heraus, dass erfolgreiche Angriffe auf Unternehmen und Einrichtungen auf nur einigen wenigen Schwachstellen beruhen. Daher verwundert es nicht, wenn Awareness-Maßnahmen häufig genau diese Schwachstellen adressieren. Auf einige der geradezu klassischen Schwachstellen soll in diesem ersten Beitrag eingegangen werden.

Einstiegsmöglichkeit Nummer 1: Phishing

Eine viel genutzte Angriffsmethode sind Phishingversuche. Hierbei sollen die Opfer durch oft gut gemachte E-Mails oder Anrufe dazu verleitet werden, sensible Informationen preiszugeben, die dadurch bei den Angreifern landen und von diesen missbraucht werden können. Viele dieser Phishingversuche basieren darauf, dass die Opfer auf anscheinend echte, tatsächlich aber vom Angreifer nachgebildete Seiten gelockt werden. Da diese Seiten sehr vielfältig sein können und sich die initialen Phishingversuche auch stark unterscheiden, ist es fast unmöglich, konkrete Phishingversuche inhaltlich vorauszuahnen. Die beste Möglichkeit zur Abwehr solcher Angriffe ist es daher, die potenziellen Opfer zu schulen und zu informieren, damit Phisingangriffe erkannt und sicher abgewehrt werden können.

Warum funktioniert Phishing so oft?

Obwohl der richtige Umgang mit Phisingversuchen in Awarenessmaßnahmen sehr häufig thematisiert werden, sind Phishingversuche leider in der Praxis oft erfolgreich. Das liegt unter anderem daran, dass die Angreifer in psychologischer Hinsicht geschickt gestalten. So werden dem Empfänger z.B. Vorteile versprochen, insbesondere bei schneller Reaktion. In diesem Beispiel wirkt die Psychologie gleich doppelt: die Aussicht auf Vorteile überlagert das kritische Nachdenken, und dieser Effekt wird durch ein kleines Zeitfenster noch verstärkt. Das Unter-Druck-Setzen funktioniert auch in Kombination mit angedrohten negativen Umständen, wie die Sperrung von Konten oder das Erheben von Strafzahlungen.

Eine weitere Gestaltungsmöglichkeit von erfolgreichen Phishingversuchen beruht in der (scheinbaren) Nutzung von realen Kommunikationspartnern, mit denen das Opfer in Verbindung zu stehen scheint. Somit erhält der Angriff einen Anschein von Echtheit, und als Empfänger ist man eher geneigt, auf den Kommunikationsversuch einzugehen.

Einstiegsmöglichkeit Nummer 2: Social Engineering

Verkürzt könnte man sagen, dass Social Engenieering teilweise auf ähnlichen Wirkmechanismen beruht, wie die Phishingversuche. Allerdings geht es meist nicht primär um das Erlangen von Zugangsdaten und Passwörtern dadurch, dass die Zugangsdaten in nachempfundene Systeme eingegeben werden sollen. Vielmehr ist es das Ziel des Angreifers, das Opfer zu einem eigentlich als verboten bekannten Verhalten zu animieren. Dies erfolgt oft in direkter zwischenmenschlicher Interaktion. Der Angreifer versucht auf vielfältige Art und Weise, ein Vertrauensverhältnis aufzubauen, z.B. (wieder) durch das Einräumen von Vorteilen, oder durch Vortäuschen einer Notsituation. Das Opfer fühlt sich verpflichtet, auf die Wünsche oder die Notlage des Angreifers einzugehen, eben weil ein Vertrauensverhältnis zum Angreifer wahrgenommen wird. Dabei nimmt das Opfer auch bewusst in Kauf, gegen bestehende Sicherheitsvorgaben zu verstoßen.

Was Sie auch interessieren könnte:

Seminar:

In unserem Seminar Security Awareness – Sicherheit leben gehen wir gezielt auf mögliche Angriff Szenarien ein und üben mit den Teilnehmern das erkennen von Warnsignalen. Buchen Sie jetzt und stärken das Sicherheitsbewusstsein in Ihrem Unternehmen.

„Security Awareness – Sicherheit leben“

Weitere Seminare finden Sie unter https://anmatho.de/seminare. Diese können Sie auch als individuelles Inhouse-Seminar buchen.
Sprechen Sie uns gern an.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

„Geschäftsleitung fit für NIS2“ – Teil 1

Seit dem 6. Dezember 2025 ist die NIS2-Richtlinie der EU in deutsches Recht umgesetzt. Allerdings finden sich die Vorgaben nicht – wie man vielleicht erwarten könnte – in einem einzigen, eigenständige „NIS-2-Gesetz“, sondern vielmehr an mehreren verschiedenen Stellen. Für Energieversorgungsunternehmen (EVU) finden sich einige der Regelungen beispielsweise in den neu hinzugefügten Paragrafen §5c bis §5e des Energiewirtschaftsgesetzes (EnWG), ähnlich ist es bei Telekommunikationsunternehmen. Für die meisten Unternehmen, die unter die Regulierung nach NIS2 fallen, finden sich die Vorgaben im komplett neu verfassten BSI-Gesetz (BSI-G).

In den Rezensionen der EU-NIS2-Richtlinie bzw. des BSI-G wird meist hervorgehoben, dass es sich um Vorgaben zur Stärkung und Verbesserung der Cybersicherheit von Unternehmen handelt. Und in der Tat findet auch ein wesentlicher Teil der Umsetzung im Bereich Management von Cyberrisiken statt. Allerdings kommen weitere Aspekte hinzu, die bei bisher nicht regulierten Unternehmen doch einiges an Umdenken und Umstrukturierung erfordern, wie z.B. die Meldepflichten oder die Betonung der Einbindung der Unternehmensleitung.

Gerade die Unternehmensleitungen werden im BSI-G direkt angesprochen, mit „Umsetzungs-, Schulungs- und Überwachungspflicht für Geschäftsleitungen“ (§38 BSI-G). Die Schulungspflicht für die Geschäftsleitungen adressiert vermutlich die Notwendigkeit, dass Geschäftsleitungen ein ausreichendes Verständnis für den Hintergrund von Maßnahmen zur Verbesserung der Informationssicherheit haben müssen, um ihren Umsetzungs- und Überwachungspflichten nachkommen zu können. Anders formuliert: Geschäftsleitung einerseits und Informationssicherheitsbeauftragte oder IT-Abteilung andererseits sollen nicht aneinander vorbeireden, wenn es um die Bewertung von Cyberrisken oder die Umsetzung passender Maßnahmen geht.

Aus diesem Grund hat die ANMATHO AG ihr Schulungs- und Seminarprogramm um die Schulungen „Geschäftsleitungen fit für NIS2“ (für Unternehmen im Bereich der Energieversorgung “Geschäftsleitung fit für NIS2 (Stadtwerke)”) ergänzt. Die Schulungen orientieren sich in Aufbau und Umfang an den Handreichungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie vermitteln Geschäftsleitungen einen Einblick in die Gesetzeslage bezüglich der NIS2-Umsetzung sowie ein grundlegendes Verständnis für den Umgang mit Informationssicherheitsrisiken. Last but not least dient die Teilnahme an dem Seminar auch dem Nachweis, dass der Schulungspflicht nachgekommen wurde.

Übrigens: „Geschäftsleitungen“ adressiert alle Arten von Organisationen, die NIS2-pflichtig sind, unabhängig von der Recht- oder Organisationsform. Also Geschäftsführer, Vorstände, Behördenleiter, …

Was Sie auch interessieren könnte:

Seminar:

“Kompaktseminar NIS2 Orientierungshilfe”

Weitere Seminare finden Sie unter https://anmatho.de/seminare, diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.
Hören Sie rein!

/von
,

Audit-Fragen verstehen: Wie Zertifizierungsauditoren im ISMS wirklich denken

Auditgespräche im Rahmen eines Informationssicherheits-Managementsystems (ISMS) sind für viele Mitarbeitende eine ungewohnte Situation. Auditorinnen und Auditoren stellen Fragen, die auf den ersten Blick banal oder gar verwirrend wirken. Doch hinter jeder dieser Fragen steckt eine gezielte Technik – nicht um jemanden in die Enge zu treiben, sondern um die Funktionsweise des Managementsystems wirklich zu verstehen. Hier klären wir die Hintergründe und die Art der Fragetechniken für Sie auf:

Warum Audit-Fragen oft so „komisch“ wirken

Ein externer ISO 27001-Auditor stellt Fragen, die für viele Mitarbeitende zunächst rätselhaft erscheinen. Sie wirken indirekt, manchmal sogar wie Fangfragen. Doch genau diese Art der Fragestellung ist kein Zufall – sie gehört zum professionellen Werkzeug eines Auditors.

Diese Technik nennt sich verhaltensorientierte Befragung und ist besonders effektiv, um die Umsetzung gelebter Prozesse zu erkennen. Sie deckt Unterschiede auf zwischen „wir haben ein Verfahren“ und „wir wenden es tatsächlich an“.

Der Grund ist einfach: Ein Zertifizierungsauditor kennt die Organisation nicht aus dem Alltag. Er muss sich innerhalb weniger Tage ein objektives Bild machen – über Prozesse, Rollen, Entscheidungslogiken und gelebte Informationssicherheit. Dafür braucht er Fragen, die tiefer gehen und nicht nur auswendig gelerntes Wissen abfragen.

Auditoren wollen nicht hören, was im Handbuch steht, sondern wie das Unternehmen tatsächlich handelt. Deshalb beginnen Gespräche oft mit scheinbar alltäglichen Situationen, etwa:

„Wie würden Sie reagieren, wenn Sie einen fremden USB-Stick auf dem Parkplatz finden?“

Diese Frage zielt nicht auf Richtlinienkenntnis, sondern auf Sicherheitsbewusstsein ab – also darauf, ob die ISMS-Prinzipien im Alltag wirklich gelebt werden.

Die Psychologie hinter der Auditfrage

Auditoren wissen: Menschen neigen dazu, Dinge im besten Licht darzustellen – besonders in Prüfungssituationen. Um diese natürliche Tendenz auszugleichen, werden Fragen so gestellt, dass spontane und authentische Antworten entstehen. Das kann sich für die Befragten ungewohnt oder sogar „trickreich“ anfühlen. In Wahrheit geht es jedoch um Objektivität: Nur durch Neutralität und Quervergleiche lassen sich Schwachstellen und Verbesserungspotenziale erkennen.

Darüber hinaus nutzen Auditoren Triangulation – das bedeutet, sie stellen ähnliche Fragen auf unterschiedlichen Ebenen: an Mitarbeitende, an Führungskräfte und anhand von Dokumenten. Stimmen die Antworten über alle Ebenen hinweg überein, spricht das für ein stabiles System. Weichen sie stark voneinander ab, liegt möglicherweise ein Kommunikations- oder Schulungsdefizit vor.

Die Ziele hinter den Audit-Fragen

Im Kern möchten externe Zertifizierungsauditoren drei Dinge verstehen:

  1. Wird das ISMS tatsächlich umgesetzt?
    Sie prüfen, ob Prozesse wie Risikobewertung, Asset-Management oder Incident Response nicht nur beschrieben, sondern auch angewendet werden.
  2. Sind Maßnahmen wirksam und angemessen?
    Ein System kann formal korrekt sein – entscheidend ist, ob die Maßnahmen ihre Ziele erreichen.
  3. Wird die kontinuierliche Verbesserung gelebt?
    Das Audit soll zeigen, ob das Unternehmen aus Erfahrungen lernt, Prozesse optimiert und Schwachstellen behebt.

Um all das zu prüfen, bedienen sich Auditoren verschiedener Fragetechniken – eine gezielte Mischung aus offenen, prüfenden und verifizierenden Fragen.

Die drei Ebenen der Auditfragetechnik

  1. Offene Fragen:
    Diese beginnen oft mit Wie, Was oder Wodurch und regen zur freien Beschreibung an. Beispiel:

„Wie stellen Sie sicher, dass Ihre Zutrittskontrollen auch außerhalb der Bürozeiten wirksam bleiben?“

  1. Prüfende Fragen:
    Hier will der Auditor Belege oder Nachweise sehen:

„Können Sie mir das letzte Zutrittsprotokoll oder eine Schulungsunterlage zeigen?“

  1. Verifizierende Fragen:
    Diese überprüfen, ob Praxis und Dokumentation zusammenpassen:

„Ist diese Vorgehensweise in Ihrer Sicherheitsrichtlinie so beschrieben?“

Durch die Kombination dieser Ebenen entsteht ein vollständiges Bild – von der Theorie über die Umsetzung bis zur Nachweisführung.

Objektivität und Psychologie: Warum die Distanz notwendig ist

Zertifizierungsauditoren sind zur Neutralität und Unabhängigkeit verpflichtet. Anders als interne Auditoren kennen sie keine internen Strukturen oder persönlichen Hintergründe – und genau das ist ihr Vorteil. Sie betrachten das ISMS von außen und entdecken so inkonsistente Prozesse oder Kommunikationslücken, die intern oft übersehen werden.

Für Mitarbeitende kann diese Distanz zunächst irritierend wirken, weil Fragen manchmal sehr präzise oder emotional neutral gestellt werden. Doch sie dient dazu, jede Antwort unvoreingenommen zu bewerten. Der Auditor will verstehen, was IST, nicht was beabsichtigt war.

Erfahrene Auditoren schaffen dabei eine Balance aus Strenge und Empathie. Sie wissen, dass ein auditiver Dialog nur funktioniert, wenn Vertrauen entsteht. Ein respektvoller Umgang und transparente Kommunikation sind daher Teil einer professionellen Audittechnik.

Warum Fragen so gestellt werden, wie sie gestellt werden

Ein häufiger Irrtum ist, dass ein Auditor versteckte Prüfziele hat oder Mitarbeitende in Verlegenheit bringen will. In Wahrheit sind Audit-Fragen zielorientiert strukturiert – jede dient einem bestimmten Nachweis:

  • Wirksamkeit: Funktioniert der Prozess im Alltag?
  • Angemessenheit: Passt die Maßnahme zur Risikolage?
  • Nachvollziehbarkeit: Sind Aussagen durch Belege stimmig?

Dass diese Fragen manchmal indirekt formuliert sind, liegt daran, dass direkte Fragen leicht zu „Standardantworten“ führen. Indirekte Fragen fördern authentische, praxisnahe Antworten – sie zeigen, ob Informationssicherheit im täglichen Handeln verankert ist.

Souverän mit Audit-Fragen umgehen: Vier Praxistipps

  1. Innehalten und verstehen.
    Wenn eine Frage unklar oder kompliziert klingt, ruhig kurz nachdenken. Häufig steckt eine einfache Intention dahinter – etwa: „Wie funktioniert’s in der Praxis?“
  2. Ehrlich und aus der Praxis heraus antworten.
    Der Auditor möchte Ihre tatsächliche Vorgehensweise hören, keine idealisierte Theorie. Auch ein „Wir machen das derzeit manuell, planen aber eine Automatisierung“ ist eine gute, ehrliche Antwort.
  3. Nachfragen ist Professionalität – kein Schwächezeichen.
    Bei Unsicherheit einfach fragen: „Meinen Sie das bezogen auf den Prozess oder das Dokument?“ – das zeigt Engagement und Verständnis. Auch wenn eine Frage völlig unklar ist, jederzeit gerne Nachfragen, Menschen sind nun einmal unterschiedlich, in Ausdrucksweise und Verständnis.
  4. Beispiele nutzen.
    Konkrete Situationen oder Vorfälle aus dem Arbeitsalltag sind glaubwürdig und zeigen, dass Prozesse tatsächlich verankert sind.

Fazit: Die Frage als Spiegel des Systems

Ein externer Zertifizierungsauditor ist kein Gegner, sondern ein Spiegel – er zeigt, wie reif und wirksam das ISMS tatsächlich ist. Seine Fragetechnik offenbart nicht Mängel, sondern Chancen: die Möglichkeit, Abläufe zu hinterfragen, Verantwortlichkeiten zu schärfen und die Informationssicherheit langfristig zu stärken.

Wer erkennt, dass jede Auditfrage einen Sinn hat und Teil eines strukturierten Prüfkonzepts ist, erlebt Audits nicht mehr als Belastung, sondern als Gewinn – fachlich, organisatorisch und menschlich.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Hören Sie rein!

 

/von
,

Erfolgreiches Kompaktseminar NIS2 Orientierungshilfe

Das Kompaktseminar NIS2 Orientierungshilfe stieß an beiden Veranstaltungsterminen auf großes Interesse. Zahlreiche Teilnehmende aus unserem Kundenkreis nutzten die Gelegenheit, sich einen fundierten ersten Überblick über die neuen gesetzlichen Anforderungen des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) zu verschaffen. Die rege Beteiligung und der konstruktive Austausch zeigten, dass das Thema Cybersicherheit und Compliance aktuell in vielen Unternehmen hohe Priorität hat.

Im Mittelpunkt des Seminars standen die wesentlichen Neuerungen, die sich durch die Umsetzung der europäischen NIS2-Richtlinie in deutsches Recht ergeben. Behandelt wurden insbesondere die erweiterten Pflichten für Unternehmen, die Bestimmung der betroffenen Organisationen sowie die erhöhten Anforderungen an Risikomanagement, Meldeprozesse und Nachweispflichten. Anhand praxisnaher Beispiele wurde verdeutlicht, welche Maßnahmen frühzeitig einzuleiten sind, um die Compliance-Anforderungen rechtzeitig zu erfüllen.

Darüber hinaus bot das Seminar konkrete Handlungsempfehlungen für den Aufbau oder die Anpassung eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO 27001 sowie zur Integration von NIS2-Anforderungen in bestehende Governance-Strukturen. Die Teilnehmenden erhielten klare Hinweise und Empfehlungen, um den Umsetzungsprozess in ihren Organisationen gezielt voranzutreiben.

Insgesamt zeigte das Feedback: Der kompakte Überblick schafft die notwendige Orientierung, um jetzt die richtigen Prioritäten zu setzen.

Wir bieten Ihnen auch die passenden Vertiefungsseminare zu Einzelthemen wie z.B. der geforderten Geschäftsführungsschulung, dem Risikomanagement, BCM und natürlich auch der Auditvorbereitung.

Sie haben den Termin verpasst? Kein Problem. Hier ist die nächste Chance…

Kompaktseminar NIS2 Orientierungshilfe

 

/von
, ,

DSMS planen – ISO 27701:2025 erschienen

Im Oktober 2025 ist die neue Version der ISO 27701 erschienen, zunächst nur in englischer Sprache. Da die rechtlichen Anforderungen aus dem Datenschutz sich seit dem Erscheinen der DIN EN ISO/IEC 27701:2021 nicht wesentlich geändert haben, bringt diese Version der Norm wenig inhaltliche Neuerungen mit sich. Umso größer sind die strukturellen Änderungen.

Eigenständiges Managementsystem

Im Artikel “Informationssicherheit und Datenschutz – mit der ISO 27701 Synergien nutzen und die Wettbewerbsfähigkeit stärken” und in der Artikelserie “Datenschutz in ein bestehendes ISMS integrieren” habe ich beschrieben, wie der Datenschutz mit Hilfe der DIN ISO 27701:2021 in ein bestehendes ISMS nach ISO 27001 integriert werden kann. Die ISO 27701:2025 beschreibt jetzt ein eigenständiges Datenschutz-Managementsystem (DSMS). Dies ist die wesentliche Neuerung in dieser Version. Die Struktur der Norm folgt nun der Harmonized Structure (vormals High Level Structure) der ISO-Managementnormen.

Inhaltlich sind natürlich immer noch viele technische und organisatorische Maßnahmen (TOM) des Datenschutzes ebenso Maßnahmen der Informationssicherheit. Der Überschneidungsbereich ist groß. Der Ansatz eines integrierten Managmentsystemes ist daher nach wie vor ratsam und wird von der Harmonized Structure unterstützt.

Die Datenschutzfolgenabschätzung findet sich jetzt im Kapitel 6.1.2, die Datenschutz-Risikobehandlung in Kapitel 6.1.3. Damit werde ich mich in einem späteren Blog-Beitrag beschäftigen.

Die ISO 27701:2025 verfügt über zwei normative Anhänge. Anhang A beschreibt Referenzmaßnahmenziele und Maßnahmen für verantwortliche Stellen und Auftragsverarbeiter, Anhang B gibt Umsetzunghinweise. Dabei werden im wesentlichen die Kapitel 6, 7 und 8 der DIN ISO 27701:2021 zusammengefasst und von den Normen für Informationssicherheit (ISO 27001 und ISO 27002) unabhängig gestaltet. Auf die Details werde ich ebenfalls in einem späteren Blog-Artikel eingehen.

Wie es weiter geht

In einem der nächsten Artikel werde ich mich detailliert mit der neuen ISO 27701:2025 auseienander setzen, u.a. mit der Beziehung zwischen Risikomanagement und Datenschutzfolgeabschätzung.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

TISAX® – Informationssicherheit im Detail, Teil 7

Im vorherigen Blogartikel tauchte im Zusammenhang mit dem mobilen Arbeiten und der Informationssicherheit nach TISAX® auch der Begriff Zonenkonzept auf. Dieser Begriff soll an dieser Stelle näher beleuchtet werden.

Die meisten Standards und Normen für Informationssicherheit kennen die Idee der Sicherheitszonen, wenn es um die Betrachtung der physischen Sicherheit geht. Bei einem solchen Zonenkonzept werden die Räumlichkeiten und Flächen des Unternehmens anhand von Lageplänen, Raumplänen u.ä. in verschiedene Bereiche unterteilt. Diese Unterteilung orientiert sich daran, wie sensibel und kritisch die Informationswerte sind, die im jeweiligen Bereich gespeichert, gelagert oder verarbeitet werden.

Whitepaper des VDA

Da in dem VDA-Whitepaper zur „Harmonisierung der Klassifizierungsstufen“ ein vierstufiges Schema zur Klassifizierung vorgeschlagen wird (zur Erinnerung: „öffentlich“, „intern“, „vertraulich“ und „streng vertraulich“), sehen auch viele Zonenkonzepte eine solche vierstufige Einteilung vor. Diese 4 Sicherheitszonen (auch: Sicherheitsbereiche) werden oft als „öffentliche Zone“, „kontrollierte Zone“, „eingeschränkte Zone“ und „Hochrisikozone“ bezeichnet. Aus Gründen der Übersichtlichkeit und auch zur Kennzeichnung von Räumlichkeiten werden den 4 Klassifizierungsstufen, ebenfalls auf Anregung des VDA, Farben zugeordnet. Somit ergibt sich nach einem erweiterten Ampelprinzip vor: weiß für die öffentliche Zone, grün für die kontrollierte Zone, gelb für die eingeschränkte Zone und rot für die Hochrisikozone.

Festlegung von Sicherheitszonen

Die Unterteilung in Zonen ist nur dann sinnvoll, wenn für die einzelnen Zonen auch unterschiedliche Vorgaben gemacht werden, bzw. wenn sich die Tätigkeiten und Aktivitäten in den Zonen auch klar unterscheiden lassen. Diese Vorgaben können sich auf verschiedene Bereiche beziehen und natürlich werden diese Vorgaben aufsteigend strenger und umfassender. In einem weißen Bereich, also der „öffentlichen Zone“, wird man meist nur wenige Vorgaben machen. So ist oft z.B. das Mitführen und auch Benutzen von Mobiltelefonen und anderen Aufzeichnungsgeräten nicht eingeschränkt, und auch der Zutritt wird nicht gesteuert. Am entgegengesetzten Ende der Skala, in der rot markierten „Hochsicherheitszone“, müssen Aufzeichnungsgeräte oft vor dem Betreten abgegeben werden, Verschwiegenheitserklärungen unterschrieben werden, und der Zutritt ist nur für einen stark limitierten Personenkreis zulässig.

Welche Regelungen für die jeweilige Sicherheitszone getroffen werden, hängt zunächst von der Einschätzung des eigenen Unternehmens zur Kritikalität der in der Zone befindlichen Informationswerte ab. Ebenfalls müssen die Kundenvorgaben berücksichtigt werden, die den Umgang mit Informationswerten des Kunden betreffen. Auch hier ist es hilfreich, wenn sowohl der Kunde als auch das eigene Unternehmen vergleichbare Schemata zur Klassifizierung nutzen und auch ein gleiches Verständnis von Sicherheitszonen haben. Kleiner Praxistipp: Es ist eine gute Idee, sicherheitshalber mit den externen Partnern abzugleichen, ob die genutzten Schemata zur Klassifizierung und zum Verständnis der Sicherheitsbereiche gleich sind.

Zu diesem Zeitpunkt werden die Ausführungen aus dem vorherigen Blogartikel vermutlich verständlicher. Auch die mobilen und häuslichen Arbeitsplätze der Mitarbeiter sollten einem der genannten Sicherheitsbereiche zugeordnet werden – mit der Konsequenz, dass natürlich für diese beiden Arten von Arbeitsplätzen die gleichen Vorgaben gelten wie für die Arbeitsplätze in den jeweiligen Sicherheitsbereichen auf dem Unternehmensgelände. Und auch der Umgang mit Informationswerten, wie z.B. mobilen Datenträgern, sollte bei beiden Arten von Arbeitsplätzen vergleichbar sein. Doch dazu mehr im nächsten Blogartikel ….

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Security Awareness – Sicherheit leben – Teil 1: Passwörter

In den bisherigen Artikeln (Teil1, Teil2 und Teil 3, Teil 4) hatten wir dargestellt, wie ein Security Awareness Konzept aussehen kann. Sie wandten sich somit eher an Verantwortliche, die Security Awareness im Unternehmen konzeptionell betreuen und strukturiert aufbauen wollen. In dieser neuen Folge von Blogbeiträgen sollen dagegen einzelne Themen adressiert werden, die sich als Inhalte für Awarenessmaßnahmen eignen könnten.

Authentizität bei der Anmeldung

Passwörter dienen dazu, die Authentizität bei der Anmeldung an ein System oder eine Anwendung sicherzustellen. Dieses Vorgehen setzt voraus, dass nur die berechtige Person selber das Passwort kennt, das mit dem genutzten Login verbunden ist. Aus diesem Grund verbieten auch die meisten Passwortrichtlinien die Weitergabe des eigenen Passwortes an andere Personen. Gemeint sind hier vor allem personalisierte Zugänge – also Anmeldeinformationen bzw. Konten, die genau einer Person zugeordnet sind. In seltenen Fällen kann es jedoch auch erforderlich sein, dass mehrere Personen sich ein Konto „teilen“ bzw. gemeinsam nutzen. Dies kann z.B. bei sehr alten Systemen der Fall sein, welche nicht in der Lage sind, zwischen verschiedenen Konten zu unterscheiden. Bei aktuellen Systemen sollte es aber in den meisten Fällen sehr wohl möglich sein, zwischen verschiedenen Konten bzw. verschiedenen Personen zu unterscheiden. Oder anders gesagt: die Nutzung von Konten durch mehrere Personen sollte eine absolute Ausnahme sein und nach Möglichkeit vermieden werden.

Hintergrund dieser strengen Formulierung ist das Schutzziel „Zurechenbarkeit“. Aktivitäten in Systemen werden in der Art protokolliert, dass der Kontoname aufgezeichnet wird, also der Login, mit dem eine Aktivität durchgeführt wird. Bei der Aufarbeitung von Vorfällen ist es meist wichtig, präzise zuordnen zu können, welche Person problematische Aktivitäten durchgeführt hat. Wenn ein Konto also von mehreren Personen genutzt werden könnte, ist diese eindeutige Zuordnung nicht mehr möglich.

Konten sollen also durch Passwörter geschützt werden – und diese Passwörter müssen stark sein. Durch die fortschreitende Entwicklung der Rechentechnik kann es möglich sein, ein eigentlich geheimes Passwort durch einfaches „Ausprobieren“ herauszufinden. Dieses Ausprobieren dauert umso länger, je länger ein Passwort ist. Interessanterweise ist der Zusammenhang zwischen der Passwortlänge und der zum Ausprobieren benötigten Zeit nicht etwa linear, sondern eher exponentiell: eine Verdopplung der Passwortlänge bedeutet daher keine Verdopplung der benötigten Zeit, sondern eher (sehr grob gesagt) eine Vervierfachung der Zeit. Ein Passwort kann man also dadurch stärker gestalten, dass man die Passwortlänge erhöht. Mit aktueller Standardhardware geht man derzeit davon aus, dass ein Passwort mindestens 8 Stellen haben sollte, um als sicher zu gelten. Allerdings darf die Länge gerne größer gewählt werden, um Angreifern das Leben schwerer zu machen …

Passwortschutz und Multifaktorauthentifizierung

Neue Technologien im Bereich Passwortschutz und Multifaktorauthentifizierung gehen heute weit über das klassische Passwort hinaus und bieten Unternehmen deutlich mehr Sicherheit bei gleichzeitig höherem Komfort für die Mitarbeitenden. Statt sich komplizierte Kombinationen merken zu müssen, setzen moderne Lösungen auf biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung, Sicherheitsschlüssel nach dem FIDO2-Standard oder als zeitgesteuerte Einmalfreigaben (TOTP) per App. Die Idee dahinter ist einfach: Es wird nicht mehr nur ein einzelner Faktor – wie das Passwort – abgefragt, sondern eine Kombination aus Wissen, Besitz und persönlichem Merkmal. So wird das Risiko von Angriffen wie Phishing oder gestohlenen Zugangsdaten erheblich reduziert. Für Unternehmen bedeutet dies nicht nur bessere Sicherheitsstandards, sondern auch eine spürbare Entlastung in der täglichen Praxis, da die Anmeldung schneller, bequemer und gleichzeitig zuverlässiger abläuft.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Sicherheit leben“

Weitere Seminare finden Sie unter https://anmatho.de/seminare. Diese können Sie auch als individuelles Inhouse-Seminar buchen.
Sprechen Sie uns gern an.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Interne Audits – Erstellung eines
Auditprogrammes – Teil 4

Interne Audits sind ein essenzielles Instrument, um Prozesse, Systeme und Managementansätze kontinuierlich zu verbessern. Sie helfen Unternehmen dabei, Schwachstellen zu identifizieren, Konformität mit Normen wie ISO 27001, ISO 9001, ISO 14001 oder ISO 45001 sicherzustellen und die Leistungsfähigkeit nachhaltig zu steigern. In den folgenden Artikeln beleuchten wir Schritt für Schritt die Kernbereiche – von der Erstellung eines Auditprogrammes bis zu Herausforderungen und Best Practices.

In den vorherigen Beiträgen wurde die Bedeutung interner Audits nach ISO 27001 für die Informationssicherheit im Unternehmen, die Ausbildung zum Auditor und die unterschiedlichen Auditarten besprochen. Dieses Mal geht es um die Erstellung eines Auditprogrammes.

Erstellung eines Auditprogrammes

Ein wirksames Auditprogramm bildet die Grundlage für alle späteren Auditaktivitäten. Es handelt sich dabei nicht nur um eine formale Planung, sondern um ein strukturiertes Dokument, das langfristig Orientierung bietet. Das Ziel ist alle relevanten Geschäftsprozesse systematisch zu überprüfen und so kontinuierliche Verbesserungen anzustoßen.

Zu Beginn ist es entscheidend, den Zweck des Auditprogramms klar zu definieren. Typische Ziele sind z. B. die interne Überprüfung auf Einhaltung gesetzlicher Anforderungen, die Bewertung von Risiken oder die Sicherstellung von Qualitätsstandards in Bezug auf Kundenanforderungen.

Ein effektives Auditprogramm berücksichtigt mehrere entscheidende Faktoren:

  • Umfang und Geltungsbereich: Welche Abteilungen, Prozesse oder Standorte sollen geprüft werden?
  • Auditkriterien: Gegen welche Normen, Richtlinien oder Unternehmensstandards wird verglichen?
  • Auditfrequenz: In welchen Intervallen werden die Audits durchgeführt (z. B. quartalsweise, jährlich oder risikobasiert)?
  • Risikobasierter Ansatz: Besonders kritische Prozesse mit hohem Risiko für Compliance-Verstöße sollten häufiger auditiert werden.
  • Verantwortlichkeiten: Wer erstellt, koordiniert und überwacht das Auditprogramm?

Ebenso sollten die Ressourcen berücksichtigt werden. Dazu gehören geschulte Auditoren, verfügbare Zeitfenster sowie unterstützende Tools wie digitale Auditmanagement-Software.

Wesentlicher Bestandteil ist auch die Kommunikation: Das Auditprogramm sollte allen relevanten Stakeholdern wie Bereichsleitern, Führungskräften und Mitarbeitern transparent zur Verfügung gestellt werden. Eine klare Kommunikation erhöht die Akzeptanz und reduziert Widerstände.

Schließlich sollte das Auditprogramm dynamisch angelegt sein. Das bedeutet, dass es regelmäßig überprüft und an neue Entwicklungen angepasst wird – sei es aufgrund neuer Gesetze, interner Veränderungen oder geänderter Unternehmensstrategien.

Fazit:

Ein gut durchdachtes Auditprogramm ist das Fundament erfolgreicher Audits. Es stellt sicher, dass keine relevanten Aspekte vernachlässigt werden, und bietet dem Unternehmen einen strategischen Rahmen für kontinuierliche Verbesserung.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

KI im Unternehmen – Segen, Fluch oder doch ein Muss?

Künstliche Intelligenz (KI) ist längst im Unternehmensalltag angekommen – und polarisiert wie kaum eine andere Technologie. Ihre Einsatzmöglichkeiten wachsen rasant, von automatisierten Workflows über präzise Datenanalysen bis hin zu Chatbots im Kundenservice. Doch ist KI nun ein Fluch oder ein Segen für Unternehmen? Die Wahrheit liegt – wie so oft – in der differenzierten Betrachtung.

Vorteile: Effizienz, Innovation, Wachstum

Die wohl größte Stärke von KI liegt in der Automatisierung wiederkehrender Aufgaben. Routinetätigkeiten, die früher Stunden oder Tage in Anspruch nahmen, lassen sich heute in Sekunden erledigen. Mitarbeitende gewinnen dadurch Freiraum für komplexere, kreative oder strategische Aufgaben – das steigert nicht nur die Produktivität, sondern oft auch die Zufriedenheit im Job.

Ein weiterer enormer Mehrwert: Datenanalyse in Echtzeit. KI-Systeme eröffnen Unternehmen völlig neue Einblicke in Markttrends, Kundenverhalten und interne Prozesse. Entscheidungen können so datenbasiert und schneller getroffen werden. Auch für die Prognose zukünftiger Entwicklungen bietet KI zuverlässige Unterstützung. Viele Unternehmen profitieren zudem von Kosteneinsparungen durch effizientere Prozesse und weniger Fehlerquellen.

Gerade im Kundenkontakt zeigt sich ein zusätzlicher Vorteil: KI-gestützte Service-Tools wie Chatbots sind rund um die Uhr erreichbar und beantworten blitzschnell standardisierte Anfragen – ein klarer Pluspunkt in einer zunehmend digitalisierten und schnelllebigen Welt.

Nachteile: Risiken für Menschlichkeit und Sicherheit

So viele Chancen KI bringt, so groß sind aber auch die Herausforderungen. Ein zentraler Kritikpunkt ist der potenzielle Verlust von Arbeitsplätzen: Wo Algorithmen und Maschinen Aufgaben menschlicher Arbeitskräfte übernehmen, verändert sich zwangsläufig die Beschäftigungslandschaft. Besonders betroffen sind dabei Berufe mit hohem Routineanteil.

Zudem steht die Frage nach Datenschutz und IT-Sicherheit im Raum. Mit wachsender Bedeutung von KI wächst auch die Menge sensibler Daten, die täglich verarbeitet werden. Datenschutz und ein verantwortungsvoller Umgang mit Informationen sind daher unverzichtbar, nicht zuletzt wegen gesetzlicher Vorgaben wie der DSGVO. Ebenso ist die Integrität von Informationen in Zeiten von Deep Fake und KI generierten Sprachnachrichten und Videos nur schwer zu gewährleisten und jeder der damit konfrontiert wird sollte gut geschult sein und nicht blind vertrauen. Aktuell ist die KI noch recht schnell zu erkennen, aber die Technik entwickelt sich rasend schnell weiter und damit müssen alle schritthalten.

Auch die Abhängigkeit von Technologie birgt Risiken: Technische Ausfälle oder Cyberangriffe können weitreichende Folgen haben. Hinzu kommt, dass KI-Systemen oft die „menschliche Note“ fehlt – Empathie, Kreativität oder ethische Sensibilität lassen sich nur schwer automatisieren, was vor allem im direkten Kundenkontakt zum Nachteil werden kann, denn was nicht standardisiert ist kann oft von der KI auch nicht beantwortet werden.

Fazit: Segen, Fluch – oder doch ein Muss?

Die Gretchenfrage – KI nutzen oder nicht? – beantwortet sich zunehmend von selbst: Unternehmen, die sich dem Thema verwehren, laufen Gefahr, den Anschluss zu verlieren. Die meisten Experten sind sich einig, dass der sinnvolle, verantwortungsbewusste Einsatz von KI ein enormer Wettbewerbsvorteil sein kann. Voraussetzung dafür ist allerdings, die Schattenseiten zu kennen und die Technologie gezielt, ethisch und mit klaren Spielregeln einzusetzen.

KI ist also weder Fluch noch Segen per se. Sie ist ein mächtiges Werkzeug – und wie jede mächtige Technologie entscheidet der Mensch darüber, wie sie zum Einsatz kommt. Ein bewusster Umgang, ständige Weiterbildung und der offene Diskurs über Chancen und Risiken werden darüber bestimmen, ob KI zum Fortschrittsmotor oder Problemfall im Unternehmen wird.

Was Sie auch interessieren könnte:

Seminar:

“KI im Unternehmen – Rechtliche Anforderungen und praktische Umsetzung”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Beitrag:

KI-Schulung: Eine entscheidende Anforderung des AI Acts

/von
,

Business Continuity Management – Weil der Ernstfall schon lange keine Ausnahme mehr ist

Wer hätte gedacht, dass ein Begriff wie Business Continuity Management (kurz: BCM) einmal salonfähig wird – nicht nur in den Chefetagen, sondern auch beim entspannten Smalltalk am Kaffeeautomaten. Doch genau das ist in Europa anno 2025 Realität. Zwischen regulatorischen Bestimmungen wie der NIS2-Richtlinie, DORA, KRITIS und dem ständigen Rattern der Risiko-News-Ticker erkennt selbst der härteste Krisenleugner: „Vielleicht sollten wir echt mal drüber reden, was passiert, wenn das Internet ausfällt – und nicht nur, wenn der WLAN-Router im Homeoffice spinnt“.

Was ist BCM überhaupt?

Stellen Sie sich BCM wie eine robuste Rettungsweste für Unternehmen vor. Zwar blickt niemand gern auf mögliche Krisen – sei es Cyberangriffe, Naturkatastrophen, Lieferkettenchaos oder plötzlich verschwundene Mitarbeitende nach einer (zu) gelungenen Weihnachtsfeier. Aber wenn’s ernst wird, will niemand ohne Schwimmhilfe ins Wasser springen. Ein gutes BCM sorgt dafür, dass die elementaren Unternehmensprozesse nicht untergehen und der Betrieb weiter dümpelt – notfalls auch auf hoher See.

Aktuelle Sicherheitslage: Europa, das Stress-Test-Labor

In Europa jagt gerade eine Herausforderung die nächste: Wirtschaftliche Wasserrutschen, politische Sturmwinde, neue Hacker-Wellen. Die EU füllt den Gesetzgebungs-Ozean mit immer mehr Vorschriften, um Unternehmen zur BCM-Pflicht zu motivieren (DORA, NIS2, KRITIS – alle dabei!). Wer denkt, „wird schon nix passieren“, landet inzwischen schneller am Existenzrand als ein defekter USB-Stick im Sondermüll. Deloitte: „Benchmarkstudie Business Continuity Management 2025“

Und der Mittelstand?

Gerade kleine und mittlere Unternehmen stehen vor der Mammutaufgabe, aus dem Vorschriften-Dschungel einen eigenen Notfall-Plan zu schnitzen. Denn: Der Kunde von heute glaubt an alles – außer daran, dass Ausreden wie „Server kaputt“ morgen noch Sympathiepunkte bringen. Ein solides BCM ist mittlerweile auch Türöffner für große Ausschreibungen und sogar immer öfter Pflicht in manchen Kundenbeziehungen.

Fazit (keine Panik, nur Planung!)

Nein, Business Continuity heißt nicht, dass man ab jetzt alle Mitarbeitenden in Alufolie einwickeln muss. Aber ein bisschen Vorbereitung schadet nie – zumal die nächste Krise bestimmt kommt. BCM: Nicht nur Pflichtprogramm, sondern vielleicht bald die entspannte Rückversicherung für Ihren sorgenfreien Geschäftsalltag.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen