Blog

K ontrolle ist gut, Vertrauen ist besser – oder doch umgekehrt? Lange hat sich das Risikomanagement in Unternehmen an dieser scheinbaren Gegensätzlichkeit abgearbeitet. Auf der einen Seite Reglementierung, Policies, Vier-Augen-Prinzip, Audits. Auf der anderen Seite Eigenverantwortung, Ermessen, Unternehmergeist. Zwischen beiden Polen wurde die Organisation gespannt wie eine Saite, mal straff zugedreht, mal locker gelassen. Das Ergebnis: zeitweise

In der Welt der Informationssicherheit gab es immer wieder Schlagworte, die als „Must-have“ galten: Firewalls, Virenscanner, ISO 27001, Cloud Security, Zero Trust. Jedes dieser Themen hatte seine Zeit im Rampenlicht. Heute ist der Begriff, der in Vorträgen, Strategiepapiere und Gesetzesentwürfe gleichermaßen auftaucht, Cyber-Resilienz. Er klingt modern, fast schon schick – und genau deshalb wird er oft oberflächlich behandelt. Aber hinter diesem

A uf dem Papier klingt alles logisch: Ein europäischer Rahmen, der digitale Resilienz messbar macht, Meldewege harmonisiert, Drittparteien in die Pflicht nimmt und das Silo-Denken zwischen IT, Betrieb, Einkauf und Compliance aufbricht. In der Praxis prallen diese neuen Pflichten auf alte Strukturen – gewachsene Organisationen, komplexe Lieferketten, Legacy-Systeme, projektgetriebene Budgets, fragmentierte Verantwortungen. Das Ergebnis ist vielero

Manche Sicherheitsgeschichten beginnen mit einem Genie an der Kommandozeile, einem Domain-Admin im Mantel der Nacht, einem perfekt orchestrierten Angriff auf Kerberos oder KMS. Die meisten beginnen anders: mit alltäglichen Rechten, die niemand für gefährlich hält. Ein „Viewer“ in der Doku-Plattform. Ein „Reporting“-Zugang im CRM. Ein „Guest“ im Kollaborationstool. Ein Servicekonto mit Leserechten auf Logdateien. Ein Praktikanten-Account, der nur

Operational Resilience galt lange als Sonderdisziplin für Krisenmanager, als Notfallplan für seltene, extreme Ereignisse: Rechenzentrum brennt, Leitungen fallen aus, Angriff trifft die Kernsysteme, Lieferant stürzt ab. Dann kam die Dauerkrise – nicht als einzelner Paukenschlag, sondern als Takt: Cloud-Migrationswellen, Release-Kadenz im Wochenrhythmus, global vernetzte Lieferketten, Meldepflichten mit engen Fristen, Angreifer, die sich industrial

D ie Ära der wohlgeordneten Checklisten ist vorbei. Was lange als erstrebenswerter Zustand galt – „prüfungsreif“, „compliant“, „auditfähig“ – wirkt 2025 wie ein Raster aus einer anderen Zeit. Nicht, weil Gesetze unwichtiger geworden wären. Im Gegenteil: Nie zuvor griffen so viele Regelwerke gleichzeitig ineinander. Aber Compliance ist nicht mehr das Ziel, sondern die Einstiegshürde. Die wirkliche Führungsaufgabe heißt heute Governance: sichtbar s

Jede Organisation kennt sie, fast niemand denkt an sie: Multifunktionsgeräte, Druckerflotten, Scanner, Plotter, Etikettendrucker, Fax-Module, Kioskdrucker für Belege. Sie stehen unscheinbar im Flur, summen leise vor sich hin, produzieren zuverlässig Seiten – und werden in Security-Runden oft nur dann erwähnt, wenn es um Kosten oder papierlose Initiativen geht. Dabei sind genau diese Geräte in vielen Netzen hochprivilegierte, dauerhaft präsente, s

Es gibt Regulierungswellen, die über Unternehmen hinweglaufen, ein paar neue Formulare hinterlassen und dann im Tagesgeschäft versanden. Und es gibt Regulierungen, die die Statik eines Hauses verändern: wie Entscheidungen fallen, wie Risiken gemessen werden, wie Verträge geschrieben sind, wie IT gebaut, betrieben und wiederhergestellt wird. MaRisk war für viele Institute der Start in dieses neue Denken; DORA zwingt es nun zu Ende. Dazwischen lieg

Die Cloud ist längst kein Zukunftsthema mehr, sondern Alltag. Unternehmen aller Größenordnungen verlagern Daten, Anwendungen und ganze Infrastrukturen in die Cloud – aus guten Gründen: Flexibilität, Skalierbarkeit, schnellere Time-to-Market und planbarere Kosten. Doch wo Geschwindigkeit und Dynamik steigen, wachsen auch die Risiken. Viele Organisationen gehen Cloud Security noch immer zu intuitiv an – ohne eindeutige Ziele, ohne messbare Kontroll

Wer 5G richtig verstanden hat, weiß: Der Sprung zur nächsten Mobilfunkgeneration wird nicht durch ein größeres Balkendiagramm im Speedtest definiert, sondern durch einen Architekturwechsel. 6G verspricht kein bloßes „Mehr“ an Bandbreite, sondern ein „Anders“: Netze, die sehen, hören, orten, interpretieren und entscheiden; Netze, die nicht nur Daten transportieren, sondern Bedeutung übertragen; Netze, die so eng mit Sensorik, KI und Edge-Rechenlei