BLOG

BLOG

Categories:   All Categories
Suggested keywords
x
Markus Groß
Updates abonnieren Abo von Updates dieses Autors beenden

Markus Groß ist Gründer und Administrator dieses Blogs und verfügt über umfassende Erfahrung in strategischen IT-Themen. Sein fachlicher Schwerpunkt liegt auf IT-Governance und Compliance, insbesondere in der Anwendung von COBIT, der Umsetzung regulatorischer Anforderungen wie DORA oder NIS2 und dem Aufbau belastbarer Steuerungsstrukturen. Im Bereich Service-Management bringt er langjährige Praxis mit ITIL sowie der Einführung von Best Practices ein.

Ein weiterer Kernbereich seiner Arbeit ist die Informationssicherheit, mit besonderem Fokus auf den Aufbau und die Weiterentwicklung von ISMS nach ISO27001 sowie BSI IT-Grundschutz, die Entwicklung von Sicherheitsstrategien und die Umsetzung von BYOD-Konzepten. Darüber hinaus ist Markus Groß versiert im Projektmanagement und wendet Methoden wie PRINCE2, LEAN/SIX SIGMA und agile Ansätze gezielt an, um Projekte effizient und erfolgreich zu steuern.

In seinen Beiträgen verbindet er fundierte Analysen mit praxisnahen Empfehlungen. Sein Ziel ist es, Leserinnen und Lesern tiefgehende, sachlich fundierte Einblicke zu geben, die sie in der strategischen Ausrichtung ebenso unterstützen wie in der operativen Umsetzung von IT-, Sicherheits- und Compliance-Vorhaben.

Markus Groß

Zwischen Kontrolle und Vertrauen: Wie Risk Management modern wird

IT
Zwischen Kontrolle und Vertrauen: Wie Risk Management modern wird

K ontrolle ist gut, Vertrauen ist besser – oder doch umgekehrt? Lange hat sich das Risikomanagement in Unternehmen an dieser scheinbaren Gegensätzlichkeit abgearbeitet. Auf der einen Seite Reglementierung, Policies, Vier-Augen-Prinzip, Audits. Auf der anderen Seite Eigenverantwortung, Ermessen, Unternehmergeist. Zwischen beiden Polen wurde die Organisation gespannt wie eine Saite, mal straff zugedreht, mal locker gelassen. Das Ergebnis: zeitweise Ordnung, regelmäßig Reibung, selten Geschwindigkeit. Heute, in einer Wirtschaft, die von Software, Plattformen, globalen Lieferketten und datengetriebenen Entscheidungen geprägt ist, reicht dieses Schwarz-Weiß nicht mehr. Modernes Risikomanagement lebt von kontrollierbarem Vertrauen: Regeln, die Freiräume ermöglichen; Kennzahlen, die Entscheidungen beschleunigen; Evidenzen, die unsicherheitstauglich sind; Kultur, die meldet statt verschweigt. Dieser Beitrag erkundet, wie der Weg dorthin aussieht – jenseits von Schlagwörtern, mitten in der operativen Realität.

1) Von der Absicherung zur Befähigung: Wozu Risikomanagement heute da ist

Klassisch wird Risikomanagement als Schutzfunktion verstanden: Risiken identifizieren, bewerten, behandeln, überwachen. Richtig – aber unvollständig. Die strategische Pointe lautet: Risiko ist eine Ressource. Nur wer risiko­bewusst handelt, kann schnellere Märkte, neue Technologien und knappe Budgets in Wachstum übersetzen. Absicherung ohne Befähigung lähmt. Befähigung ohne Absicherung ist Glücksspiel. Das moderne Zielbild lautet daher: Risiko als Entscheidungshilfe. In der Praxis bedeutet das:


Weiterlesen
1
Markiert in:
Risk RIskManagement ISMS
Tweet
2640 Aufrufe
Markus Groß

Governance 2026: Warum Kontrolle allein nicht mehr reicht

IT
Governance 2026: Warum Kontrolle allein nicht mehr reicht

Es gibt Jahre, in denen Governance wie ein gepflegter Maschinenraum wirkt: saubere Schaltbilder, klare Zuständigkeiten, geölte Prozesse, Prüfzeichen am richtigen Ort. Und es gibt Jahre, in denen das gleiche Bild plötzlich alt aussieht. 2026 ist so ein Jahr. Die Architektur der Kontrolle – Regeln, Freigaben, Checklisten – bewährt sich weiterhin, aber sie reicht nicht mehr aus, um Organisationen durch eine Welt zu steuern, in der digitale Abhängigkeiten unübersichtlich, Lieferketten fragil, regulatorische Erwartungen dynamisch und Technologien wie KI, Cloud und vernetzte Produkte zum Taktgeber geworden sind. Der Satz „Kontrolle allein reicht nicht“ klingt wie eine Plattitüde. In Wahrheit markiert er einen Wendepunkt: Governance verschiebt sich von der Frage „Ist es freigegeben?“ zu „Hält es unter Last – und können wir das beweisen, während wir uns anpassen?“

Der Bruch mit der Kontrolllogik

Die Klassik der Governance wurde von zwei Grundgedanken getragen: Erstens lässt sich Risiko durch Regeln und Rollen beherrschen. Zweitens genügt es, die Einhaltung in Zyklen zu prüfen – Jahresabschluss, Auditplan, Projektgate. Das funktionierte, solange Veränderung langsam und Abhängigkeiten überschaubar waren. Heute kollidieren beide Annahmen mit der Praxis. Veränderungen passieren kontinuierlich (Feature-Rollouts, Infrastruktur-Drifts, Datenströme), und Abhängigkeiten ziehen systemische Effekte nach sich (ein Ausfall in der Lieferkette, ein Software-Bug, eine kompromittierte Identität). Kontrolle bleibt nötig – aber sie ist nicht mehr die Königsdisziplin. Die neue Frage lautet: Wie bleibt die Organisation handlungsfähig, obwohl Kontrolle versagen kann – und wie lernt sie schneller als die Welt sich ändert?


Weiterlesen
5
Markiert in:
Informationssicherheit ISMS Resilienz Governance
Tweet
7794 Aufrufe
Markus Groß

Cyber Resilienz ist das neue Schwarz

IT
Cyber Resilienz ist das neue Schwarz

In der Welt der Informationssicherheit gab es immer wieder Schlagworte, die als „Must-have“ galten: Firewalls, Virenscanner, ISO 27001, Cloud Security, Zero Trust. Jedes dieser Themen hatte seine Zeit im Rampenlicht. Heute ist der Begriff, der in Vorträgen, Strategiepapiere und Gesetzesentwürfe gleichermaßen auftaucht, Cyber-Resilienz. Er klingt modern, fast schon schick – und genau deshalb wird er oft oberflächlich behandelt. Aber hinter diesem Schlagwort steckt weit mehr als ein Marketingtrend. Cyber-Resilienz ist nicht nur eine Erweiterung klassischer IT-Sicherheit, sondern ein strategischer Ansatz, der Unternehmen widerstandsfähig gegen digitale Angriffe, technische Störungen und sogar komplexe Krisen macht. Kurz gesagt: Es geht nicht mehr nur darum, Angriffe zu verhindern, sondern darum, auch dann handlungsfähig zu bleiben, wenn sie unvermeidlich eintreten.

Von Prävention zu Anpassungsfähigkeit: Was Cyber-Resilienz wirklich bedeutet

Der zentrale Unterschied zwischen traditioneller IT-Sicherheit und Cyber-Resilienz liegt in der Perspektive. Klassische Sicherheitskonzepte fokussieren stark auf Prävention – also darauf, Angriffe zu blockieren, Schwachstellen zu schließen und Risiken zu minimieren. Das ist wichtig, aber in einer Welt, in der Angreifer immer schneller neue Taktiken entwickeln und selbst hochgesicherte Systeme kompromittieren können, reicht Prävention allein nicht mehr aus. Cyber-Resilienz ergänzt diesen Ansatz um Detektion, Reaktion, Wiederherstellung und Lernen. Das bedeutet: Wir akzeptieren, dass ein Angriff oder Ausfall passieren kann, und sorgen dafür, dass wir schnell erkennen, angemessen reagieren und uns effizient erholen – ohne dass der Geschäftsbetrieb vollständig zum Erliegen kommt.


Weiterlesen
9
Markiert in:
ISMS Informationssicherheit Resilienz Cyber
Tweet
8204 Aufrufe
Markus Groß

Incident Reporting wie ein Profi – Keine Panik im Ernstfall

IT
Incident Reporting wie ein Profi – Keine Panik im Ernstfall

Wer in einer Organisation für Informationssicherheit, Compliance oder IT verantwortlich ist, weiß: Sicherheitsvorfälle passieren nicht nur bei anderen. Irgendwann kommt der Tag, an dem ein System ausfällt, Daten abfließen oder ein Cyberangriff den Geschäftsbetrieb stört. Für viele Unternehmen ist das ein Schreckmoment, der Adrenalin freisetzt und schnell in hektisches Handeln münden kann. Genau hier setzt DORA mit klaren Vorgaben für das Incident Reporting an – der strukturierten Meldung von schweren IKT-Vorfällen an die zuständigen Behörden. Die Idee dahinter ist einfach: Wenn Vorfälle einheitlich, zeitnah und vollständig gemeldet werden, können Aufsichtsbehörden die Lage besser einschätzen, koordinierte Gegenmaßnahmen einleiten und vor allem verhindern, dass ähnliche Angriffe unbemerkt andere Unternehmen treffen. Für die betroffenen Organisationen bedeutet das aber auch, dass sie ihre internen Prozesse so aufstellen müssen, dass sie im Ernstfall nicht improvisieren, sondern nach einem klaren Plan vorgehen.

Was unter DORA als schwerwiegender IKT-Vorfall gilt – und warum das nicht nur „große Hacks“ sind

Der erste Schritt ist das Verständnis, was unter DORA überhaupt als „schwerwiegender IKT-Vorfall“ gilt. Hier geht es nicht nur um spektakuläre Hackerangriffe oder großflächige Systemausfälle. Auch lang anhaltende Beeinträchtigungen einzelner kritischer Prozesse, der Verlust sensibler Daten oder sicherheitsrelevante Störungen in der Lieferkette können meldepflichtig sein. DORA definiert Kriterien, die sich an der Auswirkung auf Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität orientieren. Dazu zählen unter anderem die Anzahl betroffener Kunden, die Dauer der Störung, die geographische Reichweite, die potenziellen finanziellen Verluste und mögliche Auswirkungen auf die Stabilität des Finanzsystems. Unternehmen müssen diese Kriterien nicht erst im Ernstfall nachschlagen, sondern schon vorab in ihre eigenen Bewertungsverfahren integrieren. Gute Praxis ist eine interne Schwellwertmatrix, die technische Indikatoren (z. B. Umfang der Beeinträchtigung, Exfiltrationsindikatoren) mit Geschäftsauswirkungen (z. B. SLAs, verpasste Zahlungen, Marktkommunikation) verbindet und so schnell zur Entscheidung „meldepflichtig – ja/nein“ führt.


Weiterlesen
6
Markiert in:
EU Reporting Incident DORA
Tweet
53042 Aufrufe
Markus Groß

BSI IT-Grundschutz ohne Fachchinesisch – So funktioniert’s wirklich

IT
BSI IT-Grundschutz ohne Fachchinesisch – So funktioniert’s wirklich

Der Begriff BSI IT-Grundschutz klingt für viele zunächst nach einer komplizierten Sammlung von Vorschriften, die nur Behörden oder große Konzerne verstehen. Tatsächlich ist er eines der umfassendsten und praxisorientiertesten Werkzeuge, um Informationssicherheit strukturiert aufzubauen – und er stammt aus Deutschland. Entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), ist der IT-Grundschutz nicht nur ein theoretisches Modell, sondern ein praxiserprobtes Vorgehenskonzept, das Schritt für Schritt beschreibt, wie Organisationen ihre Informationswerte systematisch schützen können. Das Ziel: Sicherheit so in den Alltag integrieren, dass sie wirksam ist und trotzdem zum Geschäft passt. Wer mit IT-Grundschutz arbeitet, bekommt ein Methodenhandbuch, ein Maßnahmenbaukasten und eine gemeinsame Sprache für alle Beteiligten – von der IT über Compliance und Einkauf bis zur Geschäftsführung.

Ganzheitlicher Ansatz statt reiner Technikfixierung

Das Besondere am IT-Grundschutz ist seine ganzheitliche Sichtweise. Während manche Standards sich vor allem auf technische Maßnahmen konzentrieren, deckt der IT-Grundschutz alle relevanten Bereiche ab: Organisation, Personal, Technik, Infrastruktur und Notfallvorsorge. Er beginnt nicht mit Firewalls und Verschlüsselung, sondern mit der Frage: Was genau wollen wir schützen? Welche Informationen, Systeme und Prozesse sichern den Wertschöpfungsfluss – und welche Schäden drohen, wenn sie kompromittiert werden? Darauf aufbauend empfiehlt der Grundschutz differenziert skalierte Schutzmaßnahmen, die in der Praxis funktionieren und auditierbar sind. Die Folge: nicht „Sicherheit um der Sicherheit willen“, sondern angemessener Schutz nach Schutzbedarf und Risiko.


Weiterlesen
10
Tweet
51796 Aufrufe
Image