BLOG

BLOG

Categories:   All Categories
Suggested keywords
x
Markus Groß
Updates abonnieren Abo von Updates dieses Autors beenden

Markus Groß ist Gründer und Administrator dieses Blogs und verfügt über umfassende Erfahrung in strategischen IT-Themen. Sein fachlicher Schwerpunkt liegt auf IT-Governance und Compliance, insbesondere in der Anwendung von COBIT, der Umsetzung regulatorischer Anforderungen wie DORA oder NIS2 und dem Aufbau belastbarer Steuerungsstrukturen. Im Bereich Service-Management bringt er langjährige Praxis mit ITIL sowie der Einführung von Best Practices ein.

Ein weiterer Kernbereich seiner Arbeit ist die Informationssicherheit, mit besonderem Fokus auf den Aufbau und die Weiterentwicklung von ISMS nach ISO27001 sowie BSI IT-Grundschutz, die Entwicklung von Sicherheitsstrategien und die Umsetzung von BYOD-Konzepten. Darüber hinaus ist Markus Groß versiert im Projektmanagement und wendet Methoden wie PRINCE2, LEAN/SIX SIGMA und agile Ansätze gezielt an, um Projekte effizient und erfolgreich zu steuern.

In seinen Beiträgen verbindet er fundierte Analysen mit praxisnahen Empfehlungen. Sein Ziel ist es, Leserinnen und Lesern tiefgehende, sachlich fundierte Einblicke zu geben, die sie in der strategischen Ausrichtung ebenso unterstützen wie in der operativen Umsetzung von IT-, Sicherheits- und Compliance-Vorhaben.

Markus Groß

Automatisierte Compliance: Wenn Kontrollprozesse sich selbst prüfen

IT
Automatisierte Compliance: Wenn Kontrollprozesse sich selbst prüfen

Es gibt eine stille Revolution in Governance, Risk & Compliance (GRC). Sie steht nicht auf Folien, sie hängt nicht an Stichtagen, sie produziert keine Papierstapel. Sie läuft im Hintergrund – als permanenter, ereignisgetriebener Takt aus Regeln, Sensoren, Ereignissen und Nachweisen. Automatisierte Compliance bedeutet nicht, dass „die Maschine Verantwortung übernimmt“. Sie bedeutet, dass Regeln ausführbar werden, Kontrollen ständig laufen, Abweichungen sofort sichtbar sind und Nachweise nebenbei entstehen. In Zeiten, in denen Anforderungen, Architekturen und Angriffsflächen sich im Monatsrhythmus ändern, ist das kein Luxus, sondern die einzige Chance, wirksam zu bleiben. Dieser Beitrag zeigt, wie Organisationen den Sprung schaffen: von Dokumentationspflichten zu Controls-as-Code, von stichprobenhaften Prüfungen zu Continuous Controls Monitoring (CCM), von aufwändigen Audit-Sprints zu einem Evidence Layer, der Beweise automatisch sammelt, schützt und bereitstellt. Mit mehr Struktur, weniger Lärm – und mit Kennzahlen, die Entscheidungen auslösen statt PowerPoint zu befüllen.

Warum „mehr vom Gleichen“ nicht mehr reicht

Jahrelang war die Antwort auf zunehmende Regulierung: mehr Richtlinien, mehr Checklisten, mehr Trainings, mehr Audits. Das Ergebnis war vorhersehbar – steigende Kosten, steigende Ermüdung, sinkende Wirksamkeit. Je mehr Menschen unterschreiben müssen, dass sie etwas gelesen haben, desto weniger bleibt im Alltag erhalten. Je öfter man manuell nachweist, desto größer werden Lücken, Artefaktwüsten und Interpretationsspielräume. Automatisierung ist nicht die Flucht vor Verantwortung, sie ist die Rationalisierung von Verantwortung. Wenn das System im Moment des Handelns durchsetzt, was gilt, muss niemand erinnern, diskutieren, kopieren. Der Effekt ist doppelt: Risiken werden früher sichtbar, und Teams werden entlastet.


Weiterlesen
4
Markiert in:
Informationssicherheit ISMS Compliance
Tweet
2993 Aufrufe
Markus Groß

Von Theorie zu Pflicht – Die 5 Säulen der digitalen Resilienz

IT
Von Theorie zu Pflicht – Die 5 Säulen der digitalen Resilienz

Digitale Resilienz ist in den letzten Jahren zu einem festen Begriff in der Finanzwelt geworden. Unternehmen sprechen darüber in Strategiepapieren, Beratungsfirmen verwenden ihn in Hochglanzpräsentationen, und auch Regulierungsbehörden betonen immer wieder seine Bedeutung. Doch während Resilienz lange Zeit vor allem als gutes Ziel galt – als eine Art Leitlinie, an der man sich orientieren konnte – hat sich die Situation mit dem Digital Operational Resilience Act, kurz DORA, grundlegend verändert. Aus der Theorie ist eine gesetzliche Pflicht geworden, und die EU hat dafür fünf zentrale Säulen definiert, die jedes betroffene Unternehmen umsetzen muss. Diese Säulen sind nicht nur Überschriften in einem Gesetzestext, sondern bilden ein verbindliches Gerüst, das alle relevanten Aspekte abdeckt, um den Betrieb auch unter digitalen Extrembedingungen aufrechtzuerhalten. Wer sie versteht, erkennt schnell: Es geht nicht nur um Technik, sondern um ein Zusammenspiel aus Prozessen, Organisation und Kultur.

Der Gesamtzusammenhang: Warum DORA digitale Resilienz neu definiert

DORA ist keine weitere „IT-Compliance-Checkliste“, sondern ein Rahmenwerk, das das Zusammenspiel von Risikomanagement, operativem Betrieb, Lieferkette, Testkultur und sektorweitem Lernen in den Mittelpunkt stellt. Der Kernunterschied zu älteren Regelwerken: DORA verlangt Wirksamkeit. Es genügt nicht, Policies zu schreiben oder Tools zu beschaffen. Entscheidend ist, ob ein Institut seine kritischen Dienstleistungen auch dann liefern kann, wenn Teile der IT gestört, angegriffen oder extern beeinträchtigt werden. Messbar wird das an Reaktionszeiten, Wiederanlauf, Qualität der Kommunikation, Stabilität der Lieferkette und geübten Notfallabläufen. Die fünf Säulen bilden dafür die Struktur – die Umsetzung wird am Ergebnis gemessen.


Weiterlesen
6
Tweet
53574 Aufrufe
Markus Groß

Was schützt die Informationssicherheit eigentlich wirklich?

IT
Was schützt die Informationssicherheit eigentlich wirklich?

Wenn über Informationssicherheit gesprochen wird, fällt ein Name fast immer: ISO 27001. Für viele klingt es nach einem dieser kryptischen Kürzel, die nur Berater, Auditoren und IT-Abteilungen verstehen. Manche halten es für eine rein formale Zertifizierung, eine Pflichtübung, um Kunden oder Aufsichtsbehörden zufriedenzustellen. Doch hinter der nüchternen Bezeichnung steckt weit mehr: ISO 27001 ist ein weltweit anerkannter Standard, der den Rahmen vorgibt, wie Organisationen ihre Informationssicherheit systematisch planen, umsetzen, überwachen und verbessern können. Wer ihn richtig versteht, erkennt, dass es nicht nur um IT geht, sondern um ein strategisches Managementsystem, das tief in die Organisation hineinwirkt. ISO 27001 macht Informationssicherheit mess-, steuer- und auditierbar und bringt damit Ordnung in ein Feld, das sonst leicht zur Ansammlung isolierter Maßnahmen verkommt.

Ein kurzer Blick zurück: Von BS 7799 zur globalen Referenz

Um zu verstehen, warum ISO 27001 so wichtig ist, lohnt ein Blick zurück. In den 1990er-Jahren wuchs die Erkenntnis, dass Informationssicherheit nicht nur aus technischen Maßnahmen wie Firewalls und Virenscannern bestehen kann. Unternehmen bauten globale Lieferketten auf, verarbeiteten Daten grenzüberschreitend und setzten immer stärker auf vernetzte Systeme. Gleichzeitig nahmen Angriffe zu, der Markt professionalisierte sich. Die British Standards Institution veröffentlichte 1995 den BS 7799, den direkten Vorläufer von ISO 27001. Ziel war es, einen strukturierten, nachvollziehbaren Ansatz für das Management von Informationssicherheit zu schaffen – mit klaren Rollen, Prozessen und Nachweisen. 2005 wurde der Standard zusammen mit der International Organization for Standardization weiterentwickelt und als ISO/IEC 27001 international etabliert. Seitdem gab es wichtige Anpassungen, zuletzt 2022: ISO/IEC 27001:2022 passt Terminologie, Struktur und Anhang A an die modernisierte ISO/IEC 27002:2022 an.


Weiterlesen
8
Tweet
52000 Aufrufe
Markus Groß

Third Party Resilience: Nach DORA ist vor der Prüfung

IT
Third Party Resilience: Nach DORA ist vor der Prüfung

Am Tag, an dem DORA anwendbar wurde, endete kein Projekt – es begann ein Dauerzustand. Kaum irgendwo wird das deutlicher als bei der Resilienz von Drittparteien. Die Jahre zuvor hatten viele Häuser in Fragebögen, Vertragsanhängen und Zertifikaten einen hinreichenden Nachweis gesehen, dass ihre Auslagerungen „unter Kontrolle“ seien. Heute weiß jeder, der operative Verantwortung trägt: Kontrolle beginnt nicht im PDF, sondern im Betrieb. Sie beginnt dort, wo Informationsflüsse, Schnittstellen, Protokolle, Wiederanläufe, Meldungen und Entscheidungen sich tatsächlich bewegen. Und sie endet nicht mehr an der Unternehmensgrenze. „Third Party Resilience“ ist zur Kernkompetenz geworden – fachlich, technisch, organisatorisch, juristisch. Der Satz „Nach DORA ist vor der Prüfung“ bringt es auf den Punkt: Wer jetzt nicht in einen belastbaren Betriebsmodus wechselt, wird die nächste Aufsichtsrunde nicht nur als Formalie, sondern als Stresstest erleben.

Von der Auslagerung zur Abhängigkeit: Warum die Messlatte gestiegen ist

Die Modernisierung der Finanz-IT hat drei Bewegungen zusammengeführt: Cloudifizierung kritischer Kernprozesse, Spezialisierung entlang der Wertschöpfungskette und ein exponentielles Wachstum an Software-as-a-Service in Fachbereichen. Was als Effizienz- und Innovationsmotor begann, hat die Systemkopplung dramatisch erhöht. Eine Authentifizierungsstörung in einem globalen IAM-Dienst, eine Aktualisierung im Zahlungs-Gateway, eine veränderte Drosselungslogik in einer API-Plattform – schon kleine Ereignisse strahlen heute weit in Geschäftsprozesse hinein. DORA hat diese Realität nicht geschaffen, aber sie hat sie regulatorisch sichtbar gemacht: Verantwortlichkeit bleibt im Institut, auch wenn Leistung extern erbracht wird. Das ist keine Drohung, es ist eine Einladung zur Professionalität. Wer die Kaskaden versteht, steuert; wer sie ignoriert, hofft.


Weiterlesen
4
Markiert in:
TPRM DORA 3rdParty ISMS
Tweet
2901 Aufrufe
Markus Groß

From Policy to Practice: Governance, die tatsächlich wirkt

IT
From Policy to Practice: Governance, die tatsächlich wirkt

Es klingt immer überzeugend, wenn Unternehmen ihre Governance herausstellen: aktuelle Richtlinien, detailreiche Prozesslandkarten, sauber benannte Rollen, ein Gremium für jedes Thema. Und doch bleibt in vielen Häusern das gleiche Gefühl zurück: Warum ändert das alles so wenig am Alltag? Warum geraten Entscheidungen ins Stocken, obwohl die Regeln klar sind? Warum werden Risiken sauber beschrieben, aber zu spät adressiert? Warum explodieren Vorfälle in Kosten, obwohl alle ihre Pflichten kennen? Der Grund liegt selten in mangelndem Willen, fast nie im Fehlen von Papier – er liegt in der Lücke zwischen Policy und Praxis. Governance wirkt erst, wenn sie nicht nur sagt, was sein soll, sondern wie es zur richtigen Zeit am richtigen Ort geschieht, messbar, wiederholbar, beweisbar. Dieser Beitrag zeichnet eine Landkarte, wie man diese Lücke schließt: von der Sprache zur Ausführbarkeit, von der Absicht zur Evidenz, von der Gremienroutine zum operativen Takt, von der Einzellösung zur unternehmensweiten Lernschleife.

Warum gute Policies oft wenig bewegen

Richtlinien sind Versprechen. Sie definieren Erwartungen, beschreiben Grenzen, sichern Pflichten ab. In der Praxis prallen sie jedoch auf drei unsichtbare Wände. Erstens ist die kognitive Last zu hoch: Mitarbeitende sollen komplexe, juristisch präzise Texte erinnern und in Sekunden auf reale Situationen übertragen – unter Zeitdruck, mit unvollständiger Information, über Systemgrenzen hinweg. Zweitens fehlt die Anschlussfähigkeit: Selbst exzellent formulierte Policies enden an der Schranke zum Tagesgeschäft, wenn Systeme, Workflows und Verträge nicht so gestaltet sind, dass das Richtige durch das Doing passiert. Drittens fehlt die Konsequenz: Wo Verstöße folgenlos bleiben, wo Ausnahmen nicht ablaufen, wo Eskalationen aus Höflichkeit vertagt werden, verliert Governance ihre Schärfe. Sie wird zur höflichen Bitte. Policies, die bewegen sollen, müssen daher Verständlichkeit, Ausführbarkeit und Konsequenz vereinen – sonst bleiben sie gute Literatur.


Weiterlesen
4
Markiert in:
Governance Policy ISMS
Tweet
2924 Aufrufe
Image
Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern. Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Akzeptieren Ablehnen
Datenschutz | Impressum