Blog

Für viele Unternehmen ist das Wort „Audit“ immer noch ein Synonym für Stress, lange To-do-Listen und schlaflose Nächte. Das gilt umso mehr, wenn es um neue regulatorische Anforderungen wie DORA geht. Schließlich verlangt die EU-Verordnung nicht nur, dass Unternehmen ihre digitale Resilienz aufbauen und pflegen – sie müssen auch jederzeit nachweisen können, dass sie dies tatsächlich tun. Audits sind das zentrale Instrument, mit dem Aufsichtsbehörd

C5 hat sich leise, aber stetig vom Katalog für Cloud-Kontrollen zur Referenz für gelebte Cloud-Governance entwickelt. 2025 markiert den Punkt, an dem diese Entwicklung sichtbar wird: Nicht mehr die Frage „Welche Kriterien erfüllt der Provider?“ dominiert, sondern „Wie steuern wir als Unternehmen – nachweisbar, zeitkritisch und wiederholbar – unsere Cloud-Realität?“ Wer C5 noch als Attest versteht, verschenkt Wirkung. Wer C5 als Betriebssprache, a

Das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist so etwas wie die „Enzyklopädie“ der deutschen Informationssicherheit – und trotzdem kennen viele Unternehmen es nur vom Hörensagen oder sehen es als schwerfälligen Behördenwälzer, den man allenfalls für Audits hervorholt. In Wahrheit ist dieses Werk eine der wertvollsten und praxisnahsten Ressourcen, die es im Bereich Cyber- und Informationssicherheit

Resilienz ist kein Zufallsprodukt. Sie entsteht nicht allein durch technische Schutzmaßnahmen oder durch das Verfassen von Notfallplänen. Wirkliche Widerstandsfähigkeit zeigt sich erst im Ernstfall – und dafür müssen Unternehmen vorbereitet sein. DORA macht deshalb unmissverständlich klar: Digitale Resilienz ist nicht nur zu planen, sondern regelmäßig und systematisch zu testen. Der Grundgedanke ist einfach: Ein Unternehmen kann nur dann sicherst

E s gibt ein Wort, das in vielen Unternehmen noch immer unterschätzt wird, obwohl es über Budgets, Zeitpläne und im Zweifel über die eigene Lizenz zum Geschäft entscheidet: Vorbereitung. Nicht im Sinne eines last-minute „Ordner-Pimpings“ vor dem Prüftermin, sondern als betriebliche Fähigkeit, die jeden Tag wirkt: Nachweise aus dem Betrieb heraus zu erzeugen, konsistent zu halten und auf Abruf bereitzustellen – ohne Hauruckaktionen, ohne Nachtschi

Wer in Deutschland ein strukturiertes Informationssicherheits-Managementsystem (ISMS) aufbauen will, steht früher oder später vor einer strategischen Weichenstellung: ISO/IEC 27001 oder BSI IT-Grundschutz? Beide Ansätze sind anerkannt, beide gelten als robust, beide können zu einer Zertifizierung führen. Und doch unterscheiden sie sich in Philosophie, Detailtiefe, Flexibilität, Nachweisführung und internationaler Reichweite. Die Entscheidung ist

Vertrauen ist die Währung des modernen Wirtschaftssystems. Ohne Vertrauen, dass Lieferanten liefern, Dienstleister leisten, Plattformen stabil bleiben und Updates sicher sind, stünde jede Organisation still. Doch genau an diesem Punkt entsteht ein Paradox: Je mehr wir auslagern, standardisieren und „as-a-Service“ konsumieren, desto öfter liegt der kritischste Teil unserer Wertschöpfung außerhalb unserer direkten Kontrolle. Lieferketten – ob physi

Die NIS2-Richtlinie ist beschlossen, die Frist zur nationalen Umsetzung läuft – und für viele Unternehmen stellt sich jetzt die Frage: Wie fange ich an? Die Umsetzung ist mehr als ein paar technische Anpassungen. Sie verlangt ein strukturiertes Vorgehen, das rechtliche Anforderungen, organisatorische Prozesse und technische Maßnahmen sauber miteinander verbindet. Wer unvorbereitet startet, verzettelt sich leicht in Detailfragen, investiert zu frü

Die Digitalisierung der Finanzwelt hat in den letzten Jahren einen klaren Trend hervorgebracht: Immer mehr Leistungen werden an externe Partner ausgelagert. Cloud-Computing, spezialisierte IT-Dienstleister, externe Rechenzentren, Software-as-a-Service-Lösungen oder Managed Security Services – kaum ein Finanzunternehmen betreibt heute noch seine gesamte IT selbst. Diese Entwicklung hat enorme Vorteile: schnellere Innovation, flexiblere Skalierung,

Es gibt Momente, in denen Regulierung den Kurs einer ganzen Branche verändert. Der Cyber Resilience Act (CRA) ist so ein Moment. Er verschiebt Cybersicherheit vom „nice to have“ zum Marktzugangskriterium – und zwingt Hersteller, Integratoren und Importeure, das zu tun, was sie lange als Kür betrachtet haben: Lieferketten sichtbar machen, Updates beherrschbar ausrollen, Sicherheitslücken professionell managen und offen darüber reden. Wer den CRA a