Blog

BLOG

Categories:   All Categories
Suggested keywords
x
CIS Controls heute: Warum sie mehr als nur eine Checkliste sind
CIS Controls heute: Warum sie mehr als nur eine Checkliste sind

Es gibt Frameworks, die man aus Pflichtgefühl pflegt – und es gibt solche, die den Alltag wirklich verändern. Die CIS Controls gehören zur zweiten Kategorie. Sie sind längst kein Poster mehr an der Bürowand, keine Prüfliste, die man kurz vor einem Audit abhakt, und auch kein exotischer „Nice-to-have“-Standard. Sie sind eine Betriebsanleitung für gelebte Sicherheit: priorisiert, messbar, anschlussfähig an bestehende Governance – und robust genug,

Continue reading
Vom Risiko-Register zum Entscheidungswerkzeug: So wird Risk Management handlungsfähig
Vom Risiko-Register zum Entscheidungswerkzeug: So wird Risk Management handlungsfähig

Viele Unternehmen haben ein Risikoregister. Manche haben sogar ein sehr gutes: sauber strukturiert, regelmäßig aktualisiert, mit Kategorien, Bewertungen, Maßnahmen, Verantwortlichen und hübschen Heatmaps. Und trotzdem bleibt im Alltag oft ein irritierender Eindruck: Das Register ist da – aber Entscheidungen passieren woanders. Projekte laufen, Provider werden gewechselt, Releases gehen live, Incidents eskalieren, Budgets werden gekürzt oder umges

Continue reading
Security Awareness ohne Augenrollen – So bleibt’s hängen
Security Awareness ohne Augenrollen – So bleibt’s hängen

In vielen Unternehmen ist Security Awareness ein Pflichtprogramm, das Mitarbeitende mit derselben Begeisterung erwarten wie eine Steuerprüfung. Jedes Jahr eine Pflichtschulung, ein paar Folien, vielleicht ein Multiple-Choice-Test am Ende – und fertig. Das Problem: Diese Form von Sensibilisierung erreicht selten ihr Ziel. Im besten Fall haken die Teilnehmenden sie ab, im schlimmsten Fall sorgt sie für kollektives Augenrollen und den Eindruck, dass

Continue reading
Zwischen Code und Konsequenz: Warum der EU-AI-Act kein Bremsklotz, sondern das Geländer ist, an dem Sie schneller vorankommen
Zwischen Code und Konsequenz: Warum der EU-AI-Act kein Bremsklotz, sondern das Geländer ist, an dem Sie schneller vorankommen

Kurz gesagt: Der EU-AI-Act macht aus Ideen Produkte – und aus Produkten Verantwortung. Er zwingt niemanden zur Perfektion, sondern zu nachweislich vernünftigem Handeln. Genau das ist die Abkürzung zu robusteren Releases, weniger Rückrufen und mehr Vertrauen. 1) Vom „Wow“ zur Wirklichkeit: Worum es beim EU-AI-Act wirklich geht In Europa ist etwas Bemerkenswertes passiert: Künstliche Intelligenz ist von der Bühne der Demos, Prototypen und „Wow“-Mom

Continue reading
Apple Pay vs. Google Pay – wer schützt meine Karte besser?
Apple Pay vs. Google Pay – wer schützt meine Karte besser?

Ein Sicherheits-Deep-Dive, inspiriert von einer Prozessgrafik – und ergänzt um das, was die Praxis wirklich ausmacht Wer heute an der Kasse sein Smartphone an das Terminal hält, löst damit ein erstaunlich komplexes Zusammenspiel aus Kryptografie, Hardware-Sicherheitskomponenten, Token-Diensten der Karten­netzwerke, Bankprüfungen und Händler-Backends aus. Von all dem bekommt man in der Regel nichts mit – und das ist gut so. Die eingangs gezeig

Continue reading
Entwurf IDW EPS 528 (08.2025) zur DORA-Prüfung
Entwurf IDW EPS 528 (08.2025) zur DORA-Prüfung

Mit dem Entwurf IDW EPS 528 (08.2025) legt das Institut der Wirtschaftsprüfer erstmals einen branchenübergreifenden Prüfungsstandard für die aufsichtliche Prüfung nach DORA vor. Der Standard adressiert Institute, Versicherungsunternehmen, externe Kapitalverwaltungsgesellschaften sowie bestimmte Investmentvermögen und schafft damit einen konsistenten, methodisch klar strukturierten Rahmen für Planung, Durchführung und Berichterstattung von DORA-Pr

Continue reading
AI Governance: Das Minimum, das Sie brauchen – und das Maximum, das sinnvoll ist
AI Governance: Das Minimum, das Sie brauchen – und das Maximum, das sinnvoll ist

AI Governance ist gerade dabei, zwei typische Extreme zu produzieren. Das erste Extrem ist „wir machen erst mal gar nichts, bis alles klar ist“. Das zweite Extrem ist „wir bauen sofort ein großes Programm, das alles abdeckt“. Beides führt in der Praxis selten zu einem stabilen Ergebnis. Das erste Extrem endet meistens in Schattennutzung und hektischer Nacharbeit. Das zweite endet oft in Überkomplexität, Widerstand und Workarounds. Die brauchbare

Continue reading
Halbzeit unter DORA: Was aus den ersten sechs Monaten gelernt wurde
Halbzeit unter DORA: Was aus den ersten sechs Monaten gelernt wurde

Sechs Monate sind vergangen, seit der Digital Operational Resilience Act (DORA) am 17. Januar 2025 in Kraft trat. Ein halbes Jahr, das für viele Unternehmen im Finanzsektor zugleich eine Compliance-Hürde und einen Prüfstein darstellte. Heute zeigt sich: Die ersten Erfahrungen sind klar – DORA ist kein Projekt mit Start- und Endpunkt, sondern der Beginn eines laufenden Transformationspfads. Was bisher gelungen ist, wo es noch hakt und warum die nä

Continue reading
PDCA klingt langweilig? Nicht wenn du’s richtig machst
PDCA klingt langweilig? Nicht wenn du’s richtig machst

Wer in der Welt von Qualitätsmanagement, Informationssicherheit oder Prozessoptimierung unterwegs ist, kommt an PDCA nicht vorbei. Vier Buchstaben, die für viele nach grauer Theorie aus ISO-Handbüchern und endlosen Audit-Checklisten klingen. Plan – Do – Check – Act. Klingt simpel, fast schon banal. Doch hinter diesem unscheinbaren Zyklus steckt einer der mächtigsten Ansätze, um nicht nur Managementsysteme, sondern ganze Organisationen kontinuierl

Continue reading
NIS2-Nachweispflichten: Welche Artefakte wirklich zählen – und welche nicht
NIS2-Nachweispflichten: Welche Artefakte wirklich zählen – und welche nicht

NIS2 wird in vielen Unternehmen gerade mit hohem Tempo umgesetzt. Das ist verständlich: Die Erwartungshaltung ist groß, der Druck ist real, und niemand möchte in eine Situation kommen, in der man im Ernstfall oder in einer Prüfung erklären muss, warum etwas „noch nicht fertig“ ist. Genau hier entsteht aber ein typisches Nebenproblem, das ich in der Praxis immer wieder sehe: Nachweise werden zu früh als „Dokumentationsprojekt“ verstanden. Dann wäc

Continue reading
Image