,

„Geschäftsleitung fit für NIS2“, Teil 3

Nachdem wir im ersten Teil dieser Reihe von Blogartikeln zur Umsetzung der NIS2-Richtlinie in Deutschland dargestellt hatten, warum es eine Schulungspflicht für Geschäftsleitungen im entsprechenden BSI-Gesetz (BSI-G) gibt, ging es im zweiten Teil um das Risikomanagement und die Möglichkeiten der Unternehmensleitung, das Risikomanagement aktiv zu gestalten.

Mittlerweile ist die sofort nach Inkrafttreten des BSI-Gesetzes einsetzende 3-monatige Frist zur Registrierung des Unternehmens am 3. März 2026 abgelaufen, und es tritt ein eigentlich schon abgehaktes Thema wieder neu auf die Tagesordnung: die Frage nach der Betroffenheit.

Fehlinterpretationen in der Betroffenheitsprüfung

Von der gesetzlichen Vorgabe, die Anforderungen aus dem BSI-Gesetz zu erfüllen, sind nicht alle Unternehmen betroffen. Schon vor dem finalen Inkrafttreten des Gesetzes hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Webseite eine recht eingängig gehaltene Unterstützung veröffentlich, in der man durch Beantwortung einiger weniger einfacher Fragen selbständig (unverbindlich!) prüfen konnte, ob das eigene Unternehmen nach dem BSI-G pflichtig ist.

Interessanterweise ist das Wissen über die Pflichtigkeit in Unternehmen extrem verschieden ausgeprägt. Einige Unternehmen haben die Pflichtigkeit schon vor dem Inkrafttreten des BSI-G geprüft und erste, grobe Planungen angestellt, wie, mit welchen Ressourcen und mit welcher Unterstützung eventuelle Anforderungen sinnvoll und strukturiert umgesetzt werden könnten.

Unsicherheiten bei der Einschätzung

Einige Einschätzung aus dem März 2026 gehen davon aus, dass besonders in kleineren und kleinen umsatzstarken Unternehmen die Betroffenheit des eigenen Unternehmens immer noch falsch eingeschätzt wird. Der Anteil der Unternehmen, die für sich fälschlicherweise davon ausgehen, dass sie nicht betroffen seien, obwohl sie es tatsächlich sind, liegt nach diesen Einschätzungen bei ca. 50 Prozent (laut Cyber Security Report 2026 – Schwarz Digits KG).

Parameter Unternehmensgröße

Die Betroffenheit ergibt sich für die meisten Unternehmen aus den beiden Parametern „Unternehmensgröße“ und „Geschäftsfeld“. Die Unternehmensgröße wird an den Mitarbeiterzahlen und an Finanzdaten festgemacht: mit mehr als 250 Mitarbeitern ODER (!) mehr als 50 Millionen € Umsatz bzw. mehr als 43 Millionen € Bilanzsumme gilt man als Großunternehmen und damit potenziell als „besonders wichtige Einrichtung“. Zu den mittleren Unternehmen zählt man mit mehr als 50 Mitarbeitern ODER (!) mit mehr als 10 Millionen € Umsatz bzw. Jahresbilanz.

Parameter Geschäftsfeld

Der Parameter „Unternehmensgröße“ allein führt allerdings noch nicht zwingend zu einer Betroffenheit – es muss auch der zweite Parameter „Geschäftsfeld“ erfüllt sein. Hierfür gibt es im BSI-G die beiden Anlagen 1 und 2, in der recht detailliert die Geschäftsfelder aufgeführt sind, die im Zusammenspiel mit der Unternehmensgröße zu einer Betroffenheit führen.

Besonderheiten

Allerdings gibt es auch noch einige Besonderheiten. So sind Unternehmen unabhängig von den beiden genannten Parametern pflichtig, wenn sie z.B. als Anbieter von DNS-Diensten oder Qualifizierten Vertrauensdiensten tätig sind. Auch Betreiber Kritischer Anlagen sind unabhängig von der Unternehmensgröße betroffen. Im BSI-G finden sich neben der Definition, welche Unternehmen betroffen sind, auch abweichende Regelungen für Unternehmen, die bereits nach dem Energiewirtschaftsgesetzt (EnWG) oder dem Telekommunikationsgesetz (TKG) reguliert sind.

Es ist nachvollziehbar, dass neben der Uninformiertheit auch Fehlinterpretationen des Gesetzestextes zu einer falschen Einschätzung der eigenen NIS2-Pflichtigkeit führen. Rechtzeitige Information, eine Vernetzung mit anderen Unternehmen und Spezialisten und Inanspruchnahme von Unterstützungsangeboten helfen dabei, unangenehme Fehlentscheidungen zu vermeiden. Alles übrigens Dinge, die auch ein einem ISMS gefordert werden.

Strukturiert vorgehen

Wenn festgestellt wurde, dass man doch unter die NIS2-Richtlinie fällt, stellt sich für viele Verantwortliche unmittelbar die nächste zentrale Frage: Was ist konkret zu tun, wenn man betroffen ist? Neben der Umsetzung geeigneter Sicherheitsmaßnahmen rückt dabei insbesondere eine formale Anforderung in den Fokus, die häufig unterschätzt wird – die Registrierung im Melde- und Informationsportal des Bundesamts für Sicherheit in der Informationstechnik (BSI). Diese stellt den ersten verbindlichen Schritt dar, um den gesetzlichen Pflichten nachzukommen und als betroffene Einrichtung gegenüber den zuständigen Behörden sichtbar zu werden.

Ablauf der Registrierung in Kürze

  1. Prüfung, ob das Unternehmen unter NIS-2 fällt. Zur Betroffenheitsprüfung
  2. Im Portal von Mein Unternehmenskonto mit einer deutschen Steuernummer ein Organisationszertifikat beantragen.
  3. Aktivierung per E-Mail und Post abwarten und das Zertifikat freischalten.
  4. Mit diesem Zugang im BSI-Portal anmelden.
  5. Dort die NIS-2-Registrierung abschließen und die erforderlichen Unternehmensdaten sowie eine Kontaktstelle angeben.

Wichtige Hinweise

  • Für jede Person mit Portalzugriff kann ein eigenes ELSTER-Organisationszertifikat sinnvoll sein. Übrigens: Dieses Zertifikat hat nichts mit dem ELSTER-Zertifikat für die private Steuereklärung zu tun!
  • Die Registrierung sollte nicht aufgeschoben werden, da für betroffene Unternehmen eine Frist gilt, diese Frist bereits abgelaufen ist, und die Aktivierung einige Zeit in Anspruch nehmen kann.

Fazit

Abschließend zeigt sich deutlich: Die NIS2-Betroffenheit wird nach wie vor von vielen Unternehmen unterschätzt oder falsch eingeordnet – insbesondere von kleineren, aber umsatzstarken oder kritischen Organisationen. Gerade hier besteht akuter Handlungsbedarf. Die Registrierung im BSI-Portal ist kein optionaler Schritt, sondern eine zentrale gesetzliche Verpflichtung, die nicht aufgeschoben werden sollte.

Unternehmen sollten daher zeitnah prüfen, ob sie unter die Richtlinie fallen, und die Registrierung strukturiert angehen.

Was Sie auch interessieren könnte:

Seminar:

„Geschäftsleitung fit für NIS2“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

KI im Unternehmen – Chancen nutzen, Risiken managen

Die Einführung von Künstlicher Intelligenz (KI) im Unternehmen verspricht Effizienz, automatisierte Analysen und kreative Unterstützung. Doch gerade in sensiblen Bereichen wie Energieversorgung, Verwaltung oder kritischer Infrastruktur ist Vorsicht geboten: KI kann nur dann ein Gewinn sein, wenn sie sicher, rechtskonform und gezielt eingesetzt wird.

Öffentliche KI vs. Eigene Unternehmens-KI

Der Unterschied zwischen öffentlicher KI (z. B. ChatGPT u.a.) und unternehmensintern trainierten Modellen ist entscheidend.

  • Öffentliche KI: Sie ist einfach nutzbar, aber es gibt Risiken beim Datenschutz und Urheberrecht. Zusätzlich können alle eingegebenen Daten zur Modellverbesserung (Trainingszwecken) verwendet werden.
  • Eigene KI / On-Premise KI: Läuft in der Unternehmensumgebung und ist ideal für sensible oder vertrauliche Informationen. Anbieter wie Microsoft Copilot in geschützter Azure-Umgebung oder OpenGPT Enterprise bieten entsprechende Schutzmechanismen.

Tipp: Prüfen Sie bei jeder Anwendung, wo Daten verarbeitet und gespeichert werden, wer Zugriff erhält, und welche Lizenzbedingungen gelten. Ein internes KI-Governance-Dokument ist Pflicht, ebenso ein Freigabeprozess für neue Tools.

Überprüfung von KI-Ergebnissen – wie geht das zuverlässig?

KI liefert gute Erstentwürfe, aber keine garantierten Wahrheiten.

  • Vier-Augen-Prinzip: Lassen Sie Ergebnisse durch Fachpersonen oder Compliance-Verantwortliche validieren.
  • Fact-Checking-Tools: Externer Quellenabgleich, z. B. über Google Fact Check Tools oder spezialisierte Tools zur Prüfung für technische Berechnungen helfen bei der Überprüfung von Ergebnissen.
  • Protokollierung: Jede KI-gestützte Entscheidung sollte dokumentiert werden (z. B. in einem Ticketsystem oder Audit-Trail).

Praxisbeispiel: Ein Stadtwerk nutzte KI zur Auswertung von Kundenfeedback. Die Ergebnisse waren zunächst irreführend, weil Dialekte als negative Kommentare erkannt wurden. Nach kurzer Feinjustierung durch ein menschliches Audit-Team stieg die Trefferquote der Analyse auf über 85 %.

KI und Urheberrecht bei Bildern

Bei der Nutzung KI-generierter Bilder besteht weiterhin das Risiko, dass Trainingsdaten Inhalte enthalten, die urheberrechtlich geschützt sind.

Geprüfte Anbieter:

  • Adobe Firefly: Ist nur mit eigenen Stockmaterialien trainiert und ist mit entsprechender kostenpflichtiger Lizensierung für die kommerzielle Nutzung erlaubt.
  • Getty Images Generative AI: Entwickelt mit vollständig eigenem Bildmaterial.
  • Midjourney, DALL·E 3: Bietet eine hohe Qualität, allerdings besteht eine rechtlich unsichere Lizenzlage für kommerzielle Zwecke.

Prüftipp: Nutzen Sie Tools wie „Have I Been Trained?“ zur Kontrolle, ob geschützte Bildinhalte in Trainingsdaten vorkommen.
Rechtlicher Hinweis: Nach EU-Urheberrechtsgesetz haftet der Ersteller, nicht der KI-Anbieter. „Unwissenheit schützt vor Strafe nicht.“

KI-Schutz für Diensthandys

Mit steigender mobiler KI-Nutzung wächst das Risiko für Datenabfluss.

Empfohlene Maßnahmen:

  • MDM-Lösung (Mobile Device Management) mit KI-Zugriffskontrolle.
  • Sperrung öffentlicher KI-Apps für dienstliche Nutzung, außer über geprüfte Unternehmenskanäle.
  • Einsatz von App-Sandboxing für KI-Chatfunktionen.
  • Schulungen für Mitarbeitende zu Datenschutz und KI-Nutzung auf Smartphones.

Basis-Schulung und Governance-Struktur

Jede KI-Anwendung braucht eine eigene Bewertung hinsichtlich:

  • Datenschutz (personenbezogene Daten, DSGVO)
  • Sicherheit (Training, Zugriff, Speicherung)
  • Lizenz- und Nutzungsrechte
  • Transparenz und Nachvollziehbarkeit

Für die Einführung empfiehlt sich eine zweistufige Schulung:

  1. Grundverständnis, was KI kann, wo liegen die Grenzen.
  2. Schulung auf das konkrete KI-Tool, was ist bei der Nutzung zu beachten, sprich welche Daten dürfen eingegeben werden, wie ist das Ergebnis zu prüfen usw.

Checkliste: Sicherer und effektiver KI-Einsatz im Unternehmen

Diese Checkliste dient als Leitfaden für die Bewertung, Einführung und regelmäßige Kontrolle von KI-Anwendungen.

  1. Strategische Vorbereitung
  • Zieldefinition: Welche konkreten Aufgaben soll die KI übernehmen (z.  Textanalyse, Prozessautomatisierung, Vorhersage)?
  • Welches Modell: Öffentliche KI oder On-Premise Lösung
  • Kosten-Nutzen-Abwägung: Wirtschaftlicher Mehrwert und bestehende Alternativen prüfen.
  • Governance-Festlegung: Verantwortlichkeiten, Freigabeprozess und Auditintervalle definieren.
  1. Datenschutz & Compliance
  • DSGVO-konform: Werden personenbezogene Daten verarbeitet? Wenn ja, mit Einwilligung oder Berechtigungsgrundlage.
  • Datentransfer prüfen: Fließen Daten außerhalb des europäischen Rechtsraums (z.B.  über Cloud-API)?
  • Vertragliche Vereinbarungen: Lizenzbedingungen, Datenschutzerklärungen und Nutzungsrechte dokumentieren.
  • Audit-Trail: Ergebnisse der KI müssen nachvollziehbar und nachprüfbar gespeichert werden.
  1. Informationssicherheit
  • Zugriffsrechte: KI-Anwendungen nur für autorisierte Mitarbeitende zugänglich.
  • MDM-Integration: Diensthandys und mobile Geräte über zentrale Sicherheitssteuerung schützen.
  • Cloud-Sicherheit: Verschlüsselung und separate Datenräume („Data Sovereignty Zones“) verwenden.
  • Incident Response: KI-Einsatz im Notfallplan bzw. ISMS berücksichtigen.
  1. Qualitätskontrolle der KI-Ergebnisse
  • Vier-Augen-Prinzip: Fachliche Review der durch KI erstellten Inhalte oder Analysen.
  • Bias-Tests: Gibt es systematische Verzerrungen in den Ergebnissen?
  • Regelmäßiges Retraining: Modelle regelmäßig mit aktuellen, validierten Daten füttern.
  • Dokumentation: KI-Version, Trainingszeitpunkt und Quellen eindeutig vermerken.
  1. Urheberrecht & Inhaltssicherheit
  • Bilder und Textquellen prüfen: Nur freigegebene oder eigens erstellte Inhalte verwenden.
  • KI-Tool auswählen: Bevorzugt Anbieter mit transparenten Trainingsdaten.
  • Rechtsprüfung: Vor Publikation oder Produktivsetzung durch Juristen oder Compliance-Teams prüfen lassen.
  • Beweisführung: Bei generativen Inhalten immer Herkunftsnachweis (Source Tag) abspeichern.
  1. Schulung & Awareness
  • Mitarbeiterschulung: Grundlagen der KI-Nutzung, Datenschutz und rechtliche Risiken.
  • Praxisübungen: „Gute vs. riskante“ KI-Beispiele durchspielen.
  • Rollenbezogene Trainings: Fachbereiche lernen, KI-Ergebnisse korrekt zu hinterfragen.
  • Kommunikation: Interne Richtlinie zur Nutzung öffentlicher KI-Systeme veröffentlichen.

Whitepaper und Checklisten finden Sie z. B. auch bei:

Was Sie auch interessieren könnte:

Seminar:

“KI im Unternehmen – Rechtliche Anforderungen und praktische Umsetzung”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

 

/von
,

Business Continuity Management (BCM) und Notfallvorsorge: Ihr Ratgeber für Resilienz

In einer Welt voller Unwägbarkeiten wie Cyberangriffen, Naturkatastrophen oder Ausfällen kritischer Systeme ist Business Continuity Management (BCM) essenziell, um Unternehmen handlungsfähig zu halten. Ein BCM integriert die Notfallvorsorge strategisch, minimiert Ausfälle und schützt Reputation sowie Wirtschaftlichkeit.

Warum BCM und Notfallvorsorge priorisieren?

BCM geht über reine Krisenreaktion hinaus: Es stärkt die gesamte Unternehmensresilienz. Studien zeigen, dass Firmen mit einem robustem BCM schneller wieder im Normalbetrieb und wettbewerbsfähiger bleiben. Besonders in den KRITIS-Sektoren wie Energie oder Telekommunikation ist es regulatorisch vorgeschrieben, z. B. nach NIS2 oder ISO 27001. Eine gute Notfallvorsorge fokussiert sich auf eine unmittelbare Gefahrenabwehr, während BCM die langfristige Kontinuität sichert.

Schritt-für-Schritt-Ratgeber zur Umsetzung

  1. Risikoanalyse durchführen: Identifizieren Sie Bedrohungen via Business Impact Analysis (BIA) und Risiko Impact Analysis (RIA). Bewerten Sie die Eintrittswahrscheinlichkeit und das mögliche Schadenspotenzial – priorisieren Sie kritische Prozesse.
  2. Policy und Governance festlegen: Definieren Sie Ziele, Rollen (z. B. BCM-Manager) und Eskalationswege. Holen Sie sich den Support ihres Top-Managements ein.
  3. Pläne erstellen: Entwickeln Sie Business Continuity Plans (BCP) mit Notfall-, Wiederanlauf- und Kommunikationsstrategien. Üben sie Wiederherstellungsszenarien und halten Sie die dafür notwendigen Zeiten fest. So wissen Sie wie lange ihre Wiederherstellung z.B. aus einem Backup dann tatsächlich dauert. Integrieren Sie Evakuierungspläne, Checklisten und Backup-Lösungen in ihre Planung.
  4. Tests und Übungen: Führen Sie regelmäßige Simulationen durch, um die Pläne zu validieren. Aktualisieren Sie die Pläne und Szenarien jährlich basierend auf den „Lessons Learned“.
  5. Kommunikation etablieren: Schulen Sie ihre Mitarbeiter, definieren Sie Informationsflüsse und informieren Sie Stakeholder. Legen Sie sich ggf. vorgefertigte Texte für Presse und Kundenkommunikation in die Schublade.

Praktische Tipps für den Einstieg

Nutzen Sie Vorlagen wie z.B. das IHK-Notfall-Handbuch für Unternehmen für die Erstellung ihrer individuellen Checklisten. Integrieren Sie ein IT-Notfallmanagement (z. B. Disaster Recovery) und PDCA-Zyklus für kontinuierliche Verbesserung in ihre Unternehmensprozesse. Für KRITIS-Betreiber: Erfüllen Sie BSI-Standards durch regelmäßige Audits.

Vorteile und Fazit

Ein gut strukturiertes funktionierendes BCM reduziert Insolvenzrisiken und schafft Risikobewusstsein. Es ist Ihre Versicherung gegen den Worst Case – investieren Sie jetzt, um gestärkt aus Krisen hervorzugehen.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

TISAX® – Informationssicherheit im Detail, Teil 8

In den bisherigen Blogartikeln wurde an verschiedenen Stellen (Teil7, Teil6 und Teil1) der Aspekt der Klassifizierung angesprochen. Die meisten Klassifizierungsschemata adressieren das Schutzziel der Vertraulichkeit, so auch das Whitepaper des VDA.

Auch der grundsätzliche Gedanke, dass ein Klassifizierungsschema (oder genaugenommen: eine vorgenommene Klassifizierung) dazu dienen soll, dem Bearbeiter oder Benutzer eines Informationswertes Hinweise über den Umgang und die Handhabung des Informationswertes mitzugeben, kam bereits an mehrere Stellen zur Sprache. Der TISAX® Prüfkatalog fordert als MUSS ebenfalls ein Klassifizierungsschema, das das Schutzziel „Vertraulichkeit“ adressiert.

Probleme in der Umsetzung

In der Praxis tut man sich jedoch manchmal etwas schwer, die im TISAX® Prüfkatalog als SOLLTE ebenfalls geforderte Berücksichtigung der Schutzziele Integrität und Verfügbarkeit in dieses Klassifizierungsschema mit einzubauen. Eine oft anzutreffende Fehlannahme ist hierbei, dass die Bezeichnungen für die einzelnen Klassifizierungsstufen identisch sein müssten – doch dem ist nicht so. Es ist ja auch naheliegend, dass Vokabeln wie „intern“ oder „geheim“ nicht geeignet sind, die Kritikalität hinsichtlich der Verfügbarkeit zu beschreiben. Viel besser passen dagegen Vokabeln wie z.B. „unbedenklich“, „normal“, „kritisch“, um zu beschreiben, wie die Anforderungen an einen Informationswert hinsichtlich seiner Verfügbarkeit sind. Auch für das Schutzziel Integrität würden diese Bezeichnungen besser passen …

Nun ist es toll, ein passendes Klassifizierungsschema zu haben – stellt sich die Frage nach dem praktischen Nutzen. Auch bei den beiden neu hinzugekommenen Schutzzielen (Verfügbarkeit, Integrität) verhält es sich wie schon zuvor bei der Vertraulichkeit: passend zur Klassifizierung werden Handhabungsvorgaben gemacht. Die Klassifizierung eines Informationswertes als „kritisch“ hinsichtlich der Verfügbarkeit könnte so z.B. zu der Auflage führen, nach Möglichkeit eine Redundanz für diesen Informationswert zu etablieren, oder zu dem Verbot, diesen Informationswert vom Unternehmensgelände zu entfernen. Wenn ein anderer Informationswert dagegen als „unbedenklich“ hinsichtlich der Verfügbarkeit angesehen wird, werden die Handhabungsvorgaben sicher weniger streng ausfallen.

Die Philosophie hinter der Klassifizierung

Abschließend sei noch auf die sinnvolle Reihenfolge bei der Nutzung eines Klassifizierungsschemas hingewiesen. Natürlich wird als erstes ein organisationsweites Klassifizierungsschema festgelegt. Zu den Aufgaben der Werteverantwortlichen gehört es dann, die einzelnen Informationswerte hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität zu klassifizieren. Durch die Klassifikation ergeben sich die Handhabungsvorgaben, die für die Benutzung des einzelnen Informationswertes zu beachten sind.

Bliebe als letztes die Frage, woran man seine Einschätzung bei der Klassifizierung eines Informationswertes festmachen soll. Die Antwort ist recht einfach – an der Höhe und der Art des Schadens, der entsteht, wenn das jeweilige Schutzziel beeinträchtigt ist. Man wird ein Dokument oder ein Prototyp als „geheim“ klassifizieren, wenn es bei der Verletzung der Vertraulichkeit zu einem hohen Schaden kommen könnte.

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Webseite.

Hören Sie rein!

/von
,

“Geschäftsleitung fit für NIS2“, Teil 2

Die Umsetzung der NIS2-Richtlinie erfolgte in Deutschland durch ein sogenanntes Mantelgesetz. In diesem Mantelgesetz wurden mehrere andere gesetzliche Vorgaben entsprechend der  NIS2-Richtlinie angepasst. Der Großteil der NIS2-Anforderungen, die für NIS2-pflichtige Unternehmen relevant sind, finden sich daher im neu gefassten BSI-Gesetz (BSI-G). Im ersten Teil dieser Reihe von Blogartikeln zur Umsetzung der NIS2-Richtlinie in Deutschland hatten wir dargestellt, warum eine Schulungspflicht für Geschäftsleitungen im entsprechenden BSI-Gesetz (BSI-G) explizit mit aufgenommen worden ist. Doch es lassen sich noch weitere Aspekte der Informationssicherheit in den gesetzlichen Vorgaben finden.

Informationssicherheits-Managementsystem (ISO 27001)

Soll Informationssicherheit systematisch betrieben werden, so bauen viele Organisationen ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 auf. Und wie es das Wörtchen „Managementsystem“ schon andeutet – das Managementsystem soll für die Organisationsleitung Werkzeuge und Abläufe bereitstellen, mit deren Hilfe die Organisationsleitung das eigene Unternehmen zu Fragen der Informationssicherheit steuern kann. Eines der Kernelemente solcher Managementsysteme ist die „Managementbewertung“. Hier bewertet das Management (daher der Name) im Dialog mit dem Verantwortlichen für Informationssicherheit (meist ISB oder CISO genannt) die Lage des Unternehmens zur Informationssicherheit.

Managementbewertung

Die ISO 27001 sieht in einer solchen Managementbewertung z.B. vor, dass über identifizierte Risiken und den Status der Risikobehandlung berichtet wird, über sich ändernde Rahmenbedingungen oder über Informationssicherheitsvorfälle. Die Bewertung durch die Organisationsleitung gibt dem ISB und anderen Beteiligten wichtige Hinweise, ob die Maßnahmen zur Risikobehandlung aus Sicht der Organisationsleitung sinnvoll, angemessen und zielführend erscheinen. Natürlich ist eine Managementbewertung eine wiederkehrende Angelegenheit – über die Häufigkeit schweigt sich die ISO 27001 übrigens aus. Angemessen, je nach Informationsbedarf der Organisationsleitung und der konkreten Risikolage des Unternehmens, lautet die salomonische Antwort. In den meisten Fällen dürfte ein- bis viermal im Jahr ein passender Turnus sein.

Risikomanagementmaßnahmen

Nun fordert das BSI-Gesetz keine explizite Managementbewertung. Was jedoch von den Organisationsleitungen gefordert wird, ist die Überwachung der Umsetzung der zu ergreifenden Risikomanagementmaßnahmen (§38, Abs. 1 BSI-G). Es ist ein naheliegender Gedanke, für diese Tätigkeit auf etablierte und erprobte Abläufe zurückzugreifen. Und wenn man die Buchstaben des BSI-Gesetzes etwas genauer betrachtet, findet sich der Zusammenhang: Geschäftsleitungen sollen über das Risikomanagement geschult werden, damit (z.B. in Form einer Managementbewertung) eine fundierte Bewertung der Lage der Organisation erfolgen kann, inklusive der Lenkung des Unternehmens durch die Organisationsleitung.

Bei wem jetzt Informationsbedarf entstanden ist, findet auf unserer Webseite nicht nur das Seminar zur Schulung „Geschäftsleitung fit für NIS2“, sondern auch weitere Informationen, Schulungsangebote oder auch Podcasts zu einem ISMS oder der ISO27001. Und im kommenden Teil dieser Blogreihe wird es einen Blick hinter die Kulissen des Seminars „Geschäftsleitung fit für NIS2“ geben …

Was Sie auch interessieren könnte:

Seminar:

„Geschäftsleitung fit für NIS2“

Weitere Seminare finden Sie unter https://anmatho.de/seminare, diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.
Hören Sie rein!

/von
,

„Security Awareness – Sicherheit leben“ Teil 2: Phishing

In einer Serie von Blogartikeln zum Thema Security Awareness (Artikel 1 ; Artikel 2; Artikel 3; Artikel 4; Artikel 5; Artikel 6; Artikel 7; Artikel 8; Artikel 9) haben wir gezeigt, dass Awareness-Maßnahmen für einen nachhaltigen Erfolg systematisch aufgebaut und strukturiert werden müssen. Das vorgestellte Awareness-Konzept ist in gewisser Hinsicht ein Gegenpol zu den oftmals in der Praxis anzutreffenden Einzelmaßnahmen. Doch auch ein gut durchdachtes Konzept besteht aus einzelnen Maßnahmen, und es beginnt mit der Frage, welche Ziele durch eine Awareness-Maßnahme bei einer spezifischen Zielgruppe erreicht werden sollen.

Das Ziel einer Awareness-Maßnahme ergibt sich oft aus der Tatsache heraus, dass erfolgreiche Angriffe auf Unternehmen und Einrichtungen auf nur einigen wenigen Schwachstellen beruhen. Daher verwundert es nicht, wenn Awareness-Maßnahmen häufig genau diese Schwachstellen adressieren. Auf einige der geradezu klassischen Schwachstellen soll in diesem ersten Beitrag eingegangen werden.

Einstiegsmöglichkeit Nummer 1: Phishing

Eine viel genutzte Angriffsmethode sind Phishingversuche. Hierbei sollen die Opfer durch oft gut gemachte E-Mails oder Anrufe dazu verleitet werden, sensible Informationen preiszugeben, die dadurch bei den Angreifern landen und von diesen missbraucht werden können. Viele dieser Phishingversuche basieren darauf, dass die Opfer auf anscheinend echte, tatsächlich aber vom Angreifer nachgebildete Seiten gelockt werden. Da diese Seiten sehr vielfältig sein können und sich die initialen Phishingversuche auch stark unterscheiden, ist es fast unmöglich, konkrete Phishingversuche inhaltlich vorauszuahnen. Die beste Möglichkeit zur Abwehr solcher Angriffe ist es daher, die potenziellen Opfer zu schulen und zu informieren, damit Phisingangriffe erkannt und sicher abgewehrt werden können.

Warum funktioniert Phishing so oft?

Obwohl der richtige Umgang mit Phisingversuchen in Awarenessmaßnahmen sehr häufig thematisiert werden, sind Phishingversuche leider in der Praxis oft erfolgreich. Das liegt unter anderem daran, dass die Angreifer in psychologischer Hinsicht geschickt gestalten. So werden dem Empfänger z.B. Vorteile versprochen, insbesondere bei schneller Reaktion. In diesem Beispiel wirkt die Psychologie gleich doppelt: die Aussicht auf Vorteile überlagert das kritische Nachdenken, und dieser Effekt wird durch ein kleines Zeitfenster noch verstärkt. Das Unter-Druck-Setzen funktioniert auch in Kombination mit angedrohten negativen Umständen, wie die Sperrung von Konten oder das Erheben von Strafzahlungen.

Eine weitere Gestaltungsmöglichkeit von erfolgreichen Phishingversuchen beruht in der (scheinbaren) Nutzung von realen Kommunikationspartnern, mit denen das Opfer in Verbindung zu stehen scheint. Somit erhält der Angriff einen Anschein von Echtheit, und als Empfänger ist man eher geneigt, auf den Kommunikationsversuch einzugehen.

Einstiegsmöglichkeit Nummer 2: Social Engineering

Verkürzt könnte man sagen, dass Social Engenieering teilweise auf ähnlichen Wirkmechanismen beruht, wie die Phishingversuche. Allerdings geht es meist nicht primär um das Erlangen von Zugangsdaten und Passwörtern dadurch, dass die Zugangsdaten in nachempfundene Systeme eingegeben werden sollen. Vielmehr ist es das Ziel des Angreifers, das Opfer zu einem eigentlich als verboten bekannten Verhalten zu animieren. Dies erfolgt oft in direkter zwischenmenschlicher Interaktion. Der Angreifer versucht auf vielfältige Art und Weise, ein Vertrauensverhältnis aufzubauen, z.B. (wieder) durch das Einräumen von Vorteilen, oder durch Vortäuschen einer Notsituation. Das Opfer fühlt sich verpflichtet, auf die Wünsche oder die Notlage des Angreifers einzugehen, eben weil ein Vertrauensverhältnis zum Angreifer wahrgenommen wird. Dabei nimmt das Opfer auch bewusst in Kauf, gegen bestehende Sicherheitsvorgaben zu verstoßen.

Was Sie auch interessieren könnte:

Seminar:

In unserem Seminar Security Awareness – Sicherheit leben gehen wir gezielt auf mögliche Angriff Szenarien ein und üben mit den Teilnehmern das erkennen von Warnsignalen. Buchen Sie jetzt und stärken das Sicherheitsbewusstsein in Ihrem Unternehmen.

„Security Awareness – Sicherheit leben“

Weitere Seminare finden Sie unter https://anmatho.de/seminare. Diese können Sie auch als individuelles Inhouse-Seminar buchen.
Sprechen Sie uns gern an.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

„Geschäftsleitung fit für NIS2“ – Teil 1

Seit dem 6. Dezember 2025 ist die NIS2-Richtlinie der EU in deutsches Recht umgesetzt. Allerdings finden sich die Vorgaben nicht – wie man vielleicht erwarten könnte – in einem einzigen, eigenständige „NIS-2-Gesetz“, sondern vielmehr an mehreren verschiedenen Stellen. Für Energieversorgungsunternehmen (EVU) finden sich einige der Regelungen beispielsweise in den neu hinzugefügten Paragrafen §5c bis §5e des Energiewirtschaftsgesetzes (EnWG), ähnlich ist es bei Telekommunikationsunternehmen. Für die meisten Unternehmen, die unter die Regulierung nach NIS2 fallen, finden sich die Vorgaben im komplett neu verfassten BSI-Gesetz (BSI-G).

In den Rezensionen der EU-NIS2-Richtlinie bzw. des BSI-G wird meist hervorgehoben, dass es sich um Vorgaben zur Stärkung und Verbesserung der Cybersicherheit von Unternehmen handelt. Und in der Tat findet auch ein wesentlicher Teil der Umsetzung im Bereich Management von Cyberrisiken statt. Allerdings kommen weitere Aspekte hinzu, die bei bisher nicht regulierten Unternehmen doch einiges an Umdenken und Umstrukturierung erfordern, wie z.B. die Meldepflichten oder die Betonung der Einbindung der Unternehmensleitung.

Gerade die Unternehmensleitungen werden im BSI-G direkt angesprochen, mit „Umsetzungs-, Schulungs- und Überwachungspflicht für Geschäftsleitungen“ (§38 BSI-G). Die Schulungspflicht für die Geschäftsleitungen adressiert vermutlich die Notwendigkeit, dass Geschäftsleitungen ein ausreichendes Verständnis für den Hintergrund von Maßnahmen zur Verbesserung der Informationssicherheit haben müssen, um ihren Umsetzungs- und Überwachungspflichten nachkommen zu können. Anders formuliert: Geschäftsleitung einerseits und Informationssicherheitsbeauftragte oder IT-Abteilung andererseits sollen nicht aneinander vorbeireden, wenn es um die Bewertung von Cyberrisken oder die Umsetzung passender Maßnahmen geht.

Aus diesem Grund hat die ANMATHO AG ihr Schulungs- und Seminarprogramm um die Schulungen „Geschäftsleitungen fit für NIS2“ (für Unternehmen im Bereich der Energieversorgung “Geschäftsleitung fit für NIS2 (Stadtwerke)”) ergänzt. Die Schulungen orientieren sich in Aufbau und Umfang an den Handreichungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie vermitteln Geschäftsleitungen einen Einblick in die Gesetzeslage bezüglich der NIS2-Umsetzung sowie ein grundlegendes Verständnis für den Umgang mit Informationssicherheitsrisiken. Last but not least dient die Teilnahme an dem Seminar auch dem Nachweis, dass der Schulungspflicht nachgekommen wurde.

Übrigens: „Geschäftsleitungen“ adressiert alle Arten von Organisationen, die NIS2-pflichtig sind, unabhängig von der Recht- oder Organisationsform. Also Geschäftsführer, Vorstände, Behördenleiter, …

Was Sie auch interessieren könnte:

Seminar:

“Kompaktseminar NIS2 Orientierungshilfe”

Weitere Seminare finden Sie unter https://anmatho.de/seminare, diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.
Hören Sie rein!

/von
,

Audit-Fragen verstehen: Wie Zertifizierungsauditoren im ISMS wirklich denken

Auditgespräche im Rahmen eines Informationssicherheits-Managementsystems (ISMS) sind für viele Mitarbeitende eine ungewohnte Situation. Auditorinnen und Auditoren stellen Fragen, die auf den ersten Blick banal oder gar verwirrend wirken. Doch hinter jeder dieser Fragen steckt eine gezielte Technik – nicht um jemanden in die Enge zu treiben, sondern um die Funktionsweise des Managementsystems wirklich zu verstehen. Hier klären wir die Hintergründe und die Art der Fragetechniken für Sie auf:

Warum Audit-Fragen oft so „komisch“ wirken

Ein externer ISO 27001-Auditor stellt Fragen, die für viele Mitarbeitende zunächst rätselhaft erscheinen. Sie wirken indirekt, manchmal sogar wie Fangfragen. Doch genau diese Art der Fragestellung ist kein Zufall – sie gehört zum professionellen Werkzeug eines Auditors.

Diese Technik nennt sich verhaltensorientierte Befragung und ist besonders effektiv, um die Umsetzung gelebter Prozesse zu erkennen. Sie deckt Unterschiede auf zwischen „wir haben ein Verfahren“ und „wir wenden es tatsächlich an“.

Der Grund ist einfach: Ein Zertifizierungsauditor kennt die Organisation nicht aus dem Alltag. Er muss sich innerhalb weniger Tage ein objektives Bild machen – über Prozesse, Rollen, Entscheidungslogiken und gelebte Informationssicherheit. Dafür braucht er Fragen, die tiefer gehen und nicht nur auswendig gelerntes Wissen abfragen.

Auditoren wollen nicht hören, was im Handbuch steht, sondern wie das Unternehmen tatsächlich handelt. Deshalb beginnen Gespräche oft mit scheinbar alltäglichen Situationen, etwa:

„Wie würden Sie reagieren, wenn Sie einen fremden USB-Stick auf dem Parkplatz finden?“

Diese Frage zielt nicht auf Richtlinienkenntnis, sondern auf Sicherheitsbewusstsein ab – also darauf, ob die ISMS-Prinzipien im Alltag wirklich gelebt werden.

Die Psychologie hinter der Auditfrage

Auditoren wissen: Menschen neigen dazu, Dinge im besten Licht darzustellen – besonders in Prüfungssituationen. Um diese natürliche Tendenz auszugleichen, werden Fragen so gestellt, dass spontane und authentische Antworten entstehen. Das kann sich für die Befragten ungewohnt oder sogar „trickreich“ anfühlen. In Wahrheit geht es jedoch um Objektivität: Nur durch Neutralität und Quervergleiche lassen sich Schwachstellen und Verbesserungspotenziale erkennen.

Darüber hinaus nutzen Auditoren Triangulation – das bedeutet, sie stellen ähnliche Fragen auf unterschiedlichen Ebenen: an Mitarbeitende, an Führungskräfte und anhand von Dokumenten. Stimmen die Antworten über alle Ebenen hinweg überein, spricht das für ein stabiles System. Weichen sie stark voneinander ab, liegt möglicherweise ein Kommunikations- oder Schulungsdefizit vor.

Die Ziele hinter den Audit-Fragen

Im Kern möchten externe Zertifizierungsauditoren drei Dinge verstehen:

  1. Wird das ISMS tatsächlich umgesetzt?
    Sie prüfen, ob Prozesse wie Risikobewertung, Asset-Management oder Incident Response nicht nur beschrieben, sondern auch angewendet werden.
  2. Sind Maßnahmen wirksam und angemessen?
    Ein System kann formal korrekt sein – entscheidend ist, ob die Maßnahmen ihre Ziele erreichen.
  3. Wird die kontinuierliche Verbesserung gelebt?
    Das Audit soll zeigen, ob das Unternehmen aus Erfahrungen lernt, Prozesse optimiert und Schwachstellen behebt.

Um all das zu prüfen, bedienen sich Auditoren verschiedener Fragetechniken – eine gezielte Mischung aus offenen, prüfenden und verifizierenden Fragen.

Die drei Ebenen der Auditfragetechnik

  1. Offene Fragen:
    Diese beginnen oft mit Wie, Was oder Wodurch und regen zur freien Beschreibung an. Beispiel:

„Wie stellen Sie sicher, dass Ihre Zutrittskontrollen auch außerhalb der Bürozeiten wirksam bleiben?“

  1. Prüfende Fragen:
    Hier will der Auditor Belege oder Nachweise sehen:

„Können Sie mir das letzte Zutrittsprotokoll oder eine Schulungsunterlage zeigen?“

  1. Verifizierende Fragen:
    Diese überprüfen, ob Praxis und Dokumentation zusammenpassen:

„Ist diese Vorgehensweise in Ihrer Sicherheitsrichtlinie so beschrieben?“

Durch die Kombination dieser Ebenen entsteht ein vollständiges Bild – von der Theorie über die Umsetzung bis zur Nachweisführung.

Objektivität und Psychologie: Warum die Distanz notwendig ist

Zertifizierungsauditoren sind zur Neutralität und Unabhängigkeit verpflichtet. Anders als interne Auditoren kennen sie keine internen Strukturen oder persönlichen Hintergründe – und genau das ist ihr Vorteil. Sie betrachten das ISMS von außen und entdecken so inkonsistente Prozesse oder Kommunikationslücken, die intern oft übersehen werden.

Für Mitarbeitende kann diese Distanz zunächst irritierend wirken, weil Fragen manchmal sehr präzise oder emotional neutral gestellt werden. Doch sie dient dazu, jede Antwort unvoreingenommen zu bewerten. Der Auditor will verstehen, was IST, nicht was beabsichtigt war.

Erfahrene Auditoren schaffen dabei eine Balance aus Strenge und Empathie. Sie wissen, dass ein auditiver Dialog nur funktioniert, wenn Vertrauen entsteht. Ein respektvoller Umgang und transparente Kommunikation sind daher Teil einer professionellen Audittechnik.

Warum Fragen so gestellt werden, wie sie gestellt werden

Ein häufiger Irrtum ist, dass ein Auditor versteckte Prüfziele hat oder Mitarbeitende in Verlegenheit bringen will. In Wahrheit sind Audit-Fragen zielorientiert strukturiert – jede dient einem bestimmten Nachweis:

  • Wirksamkeit: Funktioniert der Prozess im Alltag?
  • Angemessenheit: Passt die Maßnahme zur Risikolage?
  • Nachvollziehbarkeit: Sind Aussagen durch Belege stimmig?

Dass diese Fragen manchmal indirekt formuliert sind, liegt daran, dass direkte Fragen leicht zu „Standardantworten“ führen. Indirekte Fragen fördern authentische, praxisnahe Antworten – sie zeigen, ob Informationssicherheit im täglichen Handeln verankert ist.

Souverän mit Audit-Fragen umgehen: Vier Praxistipps

  1. Innehalten und verstehen.
    Wenn eine Frage unklar oder kompliziert klingt, ruhig kurz nachdenken. Häufig steckt eine einfache Intention dahinter – etwa: „Wie funktioniert’s in der Praxis?“
  2. Ehrlich und aus der Praxis heraus antworten.
    Der Auditor möchte Ihre tatsächliche Vorgehensweise hören, keine idealisierte Theorie. Auch ein „Wir machen das derzeit manuell, planen aber eine Automatisierung“ ist eine gute, ehrliche Antwort.
  3. Nachfragen ist Professionalität – kein Schwächezeichen.
    Bei Unsicherheit einfach fragen: „Meinen Sie das bezogen auf den Prozess oder das Dokument?“ – das zeigt Engagement und Verständnis. Auch wenn eine Frage völlig unklar ist, jederzeit gerne Nachfragen, Menschen sind nun einmal unterschiedlich, in Ausdrucksweise und Verständnis.
  4. Beispiele nutzen.
    Konkrete Situationen oder Vorfälle aus dem Arbeitsalltag sind glaubwürdig und zeigen, dass Prozesse tatsächlich verankert sind.

Fazit: Die Frage als Spiegel des Systems

Ein externer Zertifizierungsauditor ist kein Gegner, sondern ein Spiegel – er zeigt, wie reif und wirksam das ISMS tatsächlich ist. Seine Fragetechnik offenbart nicht Mängel, sondern Chancen: die Möglichkeit, Abläufe zu hinterfragen, Verantwortlichkeiten zu schärfen und die Informationssicherheit langfristig zu stärken.

Wer erkennt, dass jede Auditfrage einen Sinn hat und Teil eines strukturierten Prüfkonzepts ist, erlebt Audits nicht mehr als Belastung, sondern als Gewinn – fachlich, organisatorisch und menschlich.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Hören Sie rein!

 

/von
,

Erfolgreiches Kompaktseminar NIS2 Orientierungshilfe

Das Kompaktseminar NIS2 Orientierungshilfe stieß an beiden Veranstaltungsterminen auf großes Interesse. Zahlreiche Teilnehmende aus unserem Kundenkreis nutzten die Gelegenheit, sich einen fundierten ersten Überblick über die neuen gesetzlichen Anforderungen des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) zu verschaffen. Die rege Beteiligung und der konstruktive Austausch zeigten, dass das Thema Cybersicherheit und Compliance aktuell in vielen Unternehmen hohe Priorität hat.

Im Mittelpunkt des Seminars standen die wesentlichen Neuerungen, die sich durch die Umsetzung der europäischen NIS2-Richtlinie in deutsches Recht ergeben. Behandelt wurden insbesondere die erweiterten Pflichten für Unternehmen, die Bestimmung der betroffenen Organisationen sowie die erhöhten Anforderungen an Risikomanagement, Meldeprozesse und Nachweispflichten. Anhand praxisnaher Beispiele wurde verdeutlicht, welche Maßnahmen frühzeitig einzuleiten sind, um die Compliance-Anforderungen rechtzeitig zu erfüllen.

Darüber hinaus bot das Seminar konkrete Handlungsempfehlungen für den Aufbau oder die Anpassung eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO 27001 sowie zur Integration von NIS2-Anforderungen in bestehende Governance-Strukturen. Die Teilnehmenden erhielten klare Hinweise und Empfehlungen, um den Umsetzungsprozess in ihren Organisationen gezielt voranzutreiben.

Insgesamt zeigte das Feedback: Der kompakte Überblick schafft die notwendige Orientierung, um jetzt die richtigen Prioritäten zu setzen.

Wir bieten Ihnen auch die passenden Vertiefungsseminare zu Einzelthemen wie z.B. der geforderten Geschäftsführungsschulung, dem Risikomanagement, BCM und natürlich auch der Auditvorbereitung.

Sie haben den Termin verpasst? Kein Problem. Hier ist die nächste Chance…

Kompaktseminar NIS2 Orientierungshilfe

 

/von
, ,

DSMS planen – ISO 27701:2025 erschienen

Im Oktober 2025 ist die neue Version der ISO 27701 erschienen, zunächst nur in englischer Sprache. Da die rechtlichen Anforderungen aus dem Datenschutz sich seit dem Erscheinen der DIN EN ISO/IEC 27701:2021 nicht wesentlich geändert haben, bringt diese Version der Norm wenig inhaltliche Neuerungen mit sich. Umso größer sind die strukturellen Änderungen.

Eigenständiges Managementsystem

Im Artikel “Informationssicherheit und Datenschutz – mit der ISO 27701 Synergien nutzen und die Wettbewerbsfähigkeit stärken” und in der Artikelserie “Datenschutz in ein bestehendes ISMS integrieren” habe ich beschrieben, wie der Datenschutz mit Hilfe der DIN ISO 27701:2021 in ein bestehendes ISMS nach ISO 27001 integriert werden kann. Die ISO 27701:2025 beschreibt jetzt ein eigenständiges Datenschutz-Managementsystem (DSMS). Dies ist die wesentliche Neuerung in dieser Version. Die Struktur der Norm folgt nun der Harmonized Structure (vormals High Level Structure) der ISO-Managementnormen.

Inhaltlich sind natürlich immer noch viele technische und organisatorische Maßnahmen (TOM) des Datenschutzes ebenso Maßnahmen der Informationssicherheit. Der Überschneidungsbereich ist groß. Der Ansatz eines integrierten Managmentsystemes ist daher nach wie vor ratsam und wird von der Harmonized Structure unterstützt.

Die Datenschutzfolgenabschätzung findet sich jetzt im Kapitel 6.1.2, die Datenschutz-Risikobehandlung in Kapitel 6.1.3. Damit werde ich mich in einem späteren Blog-Beitrag beschäftigen.

Die ISO 27701:2025 verfügt über zwei normative Anhänge. Anhang A beschreibt Referenzmaßnahmenziele und Maßnahmen für verantwortliche Stellen und Auftragsverarbeiter, Anhang B gibt Umsetzunghinweise. Dabei werden im wesentlichen die Kapitel 6, 7 und 8 der DIN ISO 27701:2021 zusammengefasst und von den Normen für Informationssicherheit (ISO 27001 und ISO 27002) unabhängig gestaltet. Auf die Details werde ich ebenfalls in einem späteren Blog-Artikel eingehen.

Wie es weiter geht

In einem der nächsten Artikel werde ich mich detailliert mit der neuen ISO 27701:2025 auseienander setzen, u.a. mit der Beziehung zwischen Risikomanagement und Datenschutzfolgeabschätzung.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

Wir sind zertifiziert nach ISO27001:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen