Blog

Wer sich mit Informationssicherheit beschäftigt, kennt sie: die drei klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Sie sind das Fundament der Sicherheitsarchitektur und bilden seit Jahrzehnten den Ausgangspunkt fast jeder Sicherheitsstrategie. Doch so zeitlos diese „magischen drei“ sind – die Welt, in der sie entstanden, war eine andere. Heute sind Unternehmen global vernetzt, Datenströme kennen keine Landesgrenzen mehr,

Zero Trust hat in den vergangenen Jahren viele Etiketten getragen: Paradigmenwechsel, neues Sicherheitsmodell, Buzzword. In der Praxis ist es weniger eine Revolution als ein Architekturprinzip, das Organisationen zwingt, ungeschriebene Annahmen sichtbar zu machen. Nicht mehr „im Netz = vertrauenswürdig“, nicht mehr „einmal angemeldet = immer berechtigt“, nicht mehr „VPN an = alles gut“. Zero Trust bedeutet, Vertrauen situativ und begründet zu ver

Daten waren lange das stille Versprechen der Digitalisierung: mehr Wissen, bessere Entscheidungen, neue Geschäftsmodelle. Heute sind sie zugleich größter Hebel und größtes Haftungsfeld. Zwischen Datenschutz, Compliance und aggressivem Einsatz von KI spannt sich ein Raum, in dem Chancen und Risiken stündlich neu verteilt werden. Governance, die hier wirksam sein soll, muss zwei Dinge gleichzeitig leisten: Vertrauen sichern – gegenüber Kunden, Aufs

Lange war C5 der pragmatische Schlüssel, um mit Hyperscalern auf Augenhöhe zu sprechen: klare Kontrollziele, nachvollziehbare Prüfberichte, eine Sprache, die Entwicklung, Betrieb, Einkauf, Recht und Revision zusammenbringt. Mit DORA – dem Digital Operational Resilience Act – verschiebt sich der Rahmen. Was zuvor „Best Practice“ oder „kundenseitige Due Diligence“ war, wird nun aufsichtliche Erwartung: belastbare Nachweise, risikobasierte Steuerung

In fast jedem Auditbericht taucht er auf, oft irgendwo im Mittelfeld zwischen Patch-Management und Backup-Strategie: der Punkt „Awareness & Schulungen“. Ein paar Pflichtmodule pro Jahr, eine Phishing-Simulation, vielleicht ein Poster in der Teeküche – und das Thema gilt als erledigt. Das Problem: So entsteht keine Resilienz, sondern Ritual. Menschen klicken, nicken, bestehen Quizfragen – und handeln am nächsten Tag so, wie es der reale Arbeit

Der Digital Operational Resilience Act (DORA) ist mehr als nur ein weiteres EU-Regelwerk. Er ist ein Paradigmenwechsel in der Art und Weise, wie Finanzunternehmen und ihre Dienstleister digitale Resilienz verstehen und umsetzen müssen. Mit dem Stichtag 17. Januar 2025 rückt die Frist für die vollständige Umsetzung näher, und in vielen Organisationen ist die Erkenntnis gereift: Wer jetzt nicht mit einem strukturierten Fahrplan startet, wird später

Wer sich mit Informationssicherheit beschäftigt, stößt früher oder später auf die Rolle des Informationssicherheitsbeauftragten (ISB). In vielen Unternehmen ist diese Position gesetzlich oder regulatorisch vorgeschrieben, in anderen wird sie freiwillig geschaffen, um dem Thema einen festen Platz zu geben. Der ISB ist dabei ein merkwürdiges Zwitterwesen: Er ist weder reiner Technikexperte noch bloßer Verwalter von Richtlinien. Er ist Übersetzer zw

Die neue NIS2-Richtlinie gilt als Meilenstein in der europäischen Cybersicherheitsgesetzgebung. Sie weitet den Anwendungsbereich deutlich aus, erhöht die Anforderungen und sieht spürbare Sanktionen vor. Für viele Unternehmen ist NIS2 jedoch nicht nur eine regulatorische Vorgabe, sondern auch eine ernsthafte organisatorische und technische Herausforderung. Denn zwischen dem Verständnis der Richtlinie und ihrer praktischen Umsetzung liegen oft Welt

In der Welt der Informationssicherheit gibt es ein Prinzip, das so grundlegend ist, dass es in fast jedem Lehrbuch, in jeder Norm und in jeder Schulung vorkommt. Es besteht aus drei scheinbar einfachen Begriffen: Vertraulichkeit, Integrität und Verfügbarkeit. Diese „drei magischen Worte“ sind mehr als nur Fachvokabular – sie sind das Fundament, auf dem jede Sicherheitsstrategie aufbaut. Wer sie versteht, begreift, was Informationssicherheit im Ke

Es gibt eine stille Revolution in Governance, Risk & Compliance (GRC). Sie steht nicht auf Folien, sie hängt nicht an Stichtagen, sie produziert keine Papierstapel. Sie läuft im Hintergrund – als permanenter, ereignisgetriebener Takt aus Regeln, Sensoren, Ereignissen und Nachweisen. Automatisierte Compliance bedeutet nicht, dass „die Maschine Verantwortung übernimmt“. Sie bedeutet, dass Regeln ausführbar werden, Kontrollen ständig laufen, Abw