Blog

BLOG

Categories:   All Categories
Suggested keywords
x
Was wirklich hilft – Sicherheitsmaßnahmen mit Wirkung
Was wirklich hilft – Sicherheitsmaßnahmen mit Wirkung

In der Informationssicherheit gibt es unzählige Maßnahmen, Frameworks, Tools und Methoden. Wer sich in der Fachliteratur oder auf Messen umschaut, könnte glauben, dass es für jedes Risiko ein eigenes, hochspezialisiertes Werkzeug gibt – und dass man am besten alles gleichzeitig einführt. In der Realität haben Unternehmen jedoch begrenzte Ressourcen. Zeit, Budget und personelle Kapazitäten sind endlich. Deshalb ist die entscheidende Frage: Welche

Weiterlesen
Operational Resilience unter DORA: Warum Incident-Prozesse oft zu langsam sind
Operational Resilience unter DORA: Warum Incident-Prozesse oft zu langsam sind

Operational Resilience klingt wie ein großes Programm. In der Praxis entscheidet sich aber sehr vieles an einer erstaunlich einfachen Frage: Wie schnell wird aus einem technischen Problem eine klare Entscheidung – und wie schnell wird aus dieser Entscheidung ein koordinierter Ablauf? Genau an dieser Stelle sind Incident-Prozesse in vielen Organisationen zu langsam. Nicht, weil Menschen nicht reagieren. Sondern weil sie im entscheidenden Moment zu

Weiterlesen
Business Impact Analyse – Kein Hexenwerk
Business Impact Analyse – Kein Hexenwerk

Die Business Impact Analyse (BIA) gilt in vielen Unternehmen als kompliziertes und theoretisches Verfahren, das vor allem Berater oder Auditoren lieben, aber in der Praxis schwer greifbar ist. Tatsächlich ist sie ein zentrales Werkzeug für Business Continuity Management (BCM), Notfallplanung und Informationssicherheit – und weit weniger mysteriös, als ihr Ruf vermuten lässt. Eine gut gemachte BIA beantwortet im Kern eine einfache Frage: Was passi

Weiterlesen
GRC-KPIs, die Führung versteht: Von „Kontrollen“ zu „Steuerungsimpulsen“
GRC-KPIs, die Führung versteht: Von „Kontrollen“ zu „Steuerungsimpulsen“

GRC-KPIs sind in vielen Unternehmen ein Dauerbrenner – und trotzdem bleibt ein unangenehmes Gefühl: Wir messen viel, aber es verändert zu wenig. Es gibt Dashboards, Ampeln, Kontrollquoten, Reifegradwerte, Audit-Feststellungen, Maßnahmenlisten. Und dennoch fragen Führungskräfte irgendwann (zu Recht): „Was soll ich damit konkret entscheiden?“ Spätestens an diesem Punkt wird sichtbar, ob KPI-Reporting eine reine „Pflichtlage“ ist oder ein echtes Ste

Weiterlesen
KRITIS, NIS2, DORA: Eine Landkarte der Pflichten – ohne Nebel und Buzzwords
KRITIS, NIS2, DORA: Eine Landkarte der Pflichten – ohne Nebel und Buzzwords

KRITIS, NIS2, DORA – drei Kürzel, die in vielen Unternehmen gerade gleichzeitig aufschlagen. Und fast immer passiert dabei dasselbe: Es wird erst mal gesammelt. Anforderungen, Pflichten, Leitfäden, Listen, Zuständigkeiten. Dann entstehen Workstreams. Dann entstehen Überschneidungen. Und irgendwann stellt jemand die richtige Frage: „Moment – was davon betrifft uns wirklich, und wie vermeiden wir Doppelarbeit?“ Dieser Beitrag ist eine Landkarte. Ni

Weiterlesen
NIS2 im Nacken: Wenn Lieferketten plötzlich meldepflichtig werden
NIS2 im Nacken: Wenn Lieferketten plötzlich meldepflichtig werden

Es beginnt selten mit einem direkten Angriff auf das eigene Haus. Häufiger startet die Kettenreaktion einige Sprünge entfernt: ein „Minor Incident“ bei einem SaaS-Anbieter, eine Schwachstelle in einer File-Transfer-Lösung, ein überprivilegierter Account beim Managed Service Provider, ein Update, das im Build-Prozess eines Partners kompromittiert wurde. Für die Öffentlichkeit sind das zunächst nur Randnotizen. Für Betreiber kritischer oder wichtig

Weiterlesen
Gemeinsam stärker – Wie der Informationsaustausch den Sektor schützt
Gemeinsam stärker – Wie der Informationsaustausch den Sektor schützt

In der Welt der Cybersicherheit ist es ein offenes Geheimnis: Kein Unternehmen kann sich allein verteidigen. Die Angreifer arbeiten längst nicht mehr isoliert – sie tauschen sich aus, handeln im Darknet mit Schwachstellen und Angriffswerkzeugen und nutzen koordinierte Kampagnen, um möglichst viele Ziele gleichzeitig zu treffen. Wer darauf nur mit einer isolierten Verteidigungsstrategie reagiert, läuft Gefahr, in der Informationslücke zwischen den

Weiterlesen
AI Act & Risikoklassen: Die häufigsten Fehlklassifizierungen (und ihre Folgen)
AI Act & Risikoklassen: Die häufigsten Fehlklassifizierungen (und ihre Folgen)

Auf dem Papier wirkt die Risikologik des EU AI Act zunächst wie eine saubere Sortierung: Einordnen, Pflichten ableiten, fertig. In der Praxis ist genau dieser Schritt einer der größten Stolpersteine. Nicht, weil Teams das Thema „nicht verstehen“, sondern weil Klassifizierung im Alltag selten an einem klaren, stabilen Entscheidungsprozess hängt. Stattdessen passiert sie oft nebenbei: im Projekt, im Einkauf, in der IT, manchmal in der Fachabteilung

Weiterlesen
Schutzbedarf einfach gemacht – So klappt die Einstufung
Schutzbedarf einfach gemacht – So klappt die Einstufung

Die Schutzbedarfsfeststellung ist eine der zentralen Grundlagen der Informationssicherheit – und trotzdem gehört sie zu den am meisten unterschätzten Disziplinen. Viele Unternehmen starten in Projekte, schreiben Sicherheitskonzepte oder definieren Maßnahmen, ohne vorher genau zu wissen, welchen Schutzbedarf ihre Informationen und Systeme eigentlich haben. Das Ergebnis sind oft überdimensionierte Lösungen, die Zeit und Geld verschwenden, oder zu s

Weiterlesen
NIS2 trifft ISO 27001: Doppelarbeit vermeiden – Kontrollen intelligent bündeln
NIS2 trifft ISO 27001: Doppelarbeit vermeiden – Kontrollen intelligent bündeln

NIS2 und ISO 27001 begegnen sich in vielen Unternehmen gerade auf eine Weise, die erst einmal „logisch“ wirkt – und dann erstaunlich schnell anstrengend wird: Man hat ein etabliertes ISMS, dazu ein Set an Kontrollen, Richtlinien und Nachweisen. Dann kommt NIS2, und plötzlich entstehen neue Listen, neue Workstreams, neue Maßnahmenpläne, neue Reportings. Alles mit gutem Grund. Und trotzdem bleibt bei vielen Teams am Ende ein Gefühl: Wir machen viel

Weiterlesen
Image