Das „RUN“-Dokument – steht für „Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung“ – des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde am 2. Januar 2025 in Version 1.0 veröffentlicht (vgl. Mitteilung des BSI). Es bietet einen einheitlichen und strukturierten Ansatz, um die Umsetzung der Anforderungen aus § 8a BSIG zu bewerten. Dieser Blogbeitrag beschreibt […]
Informationssicherheit
Informationssicherheit

NIS-2 Umsetzung in Deutschland nicht mehr vor der Bundestagswahl
Nachdem Mitte Januar vom Bitkom noch eine Meldung kam, dass die FDP kurzfristig auf einen Beschluss zum NIS2UmsuCG hinwirken möchte, berichtete der Tagesspiegel Background heute, dass die Gespräche dazu gescheitert sind. Das NIS2UmsuCG wird in dieser Legislaturperiode also nicht mehr verabschiedet – genau wie das KRITIS-Dachgesetz. Laut Tagesspiegel Background geben sich SPD, Grüne und FDP […]

Enhancing Cybersecurity in the EU: Implementing the NIS2 Directive
The European Commission has taken a significant step forward in ensuring robust cybersecurity across the Union with the adoption of the Commission Implementing Regulation C(2024) 7151 on October 17, 2024. This regulation delineates the technical and methodological requirements for cybersecurity risk management under the NIS2 Directive. It also specifies when incidents are to be considered […]

Europäischer Datenschutzausschuss zur Verarbeitung personenbezogener Daten
Neben verschiedenen aktuellen höchstrichterlichen Entscheidungen zu der Auslegung von Art. 6 Abs. 1 lit f der Datenschutz-Grundverordnung (DSGVO) und einigen spärlichen konkreten Aussagen zur Anwendbarkeit und Auslegung der Rechtsgrundlage durch die deutschen Aufsichtsbehörden (bspw. zur Anwendbarkeit der Rechtsgrundlage im Falle der Direktwerbung) veröffentlichte nun der Europäische Datenschutzausschuss (EDSA) am 9. Oktober 2024 seine neue Leitlinie […]

Verarbeitung von Sozial- und Gesundheitsdaten in der Cloud: Mehraufwand durch C5-Testat?
Seit dem 01. Juli 2024 ist der §393 SGB V „Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung“ gültig. Hierin beschreibt der Gesetzgeber IT-Sicherheitsanforderungen an Cloud-Computing-Dienste betreffend der Verarbeitung von Sozial- und Gesundheitsdaten. Das kann z. B. Cloud-Anbieter betreffen, deren Kunden Ärzt*innen, Krankenhäuser, Therapeut*innen, Apotheken oder Kranken- und Pflegekassen bzw. Dienstleister, die im Auftrag Sozial- und Gesundheitsdaten prozessieren, sind. Demnach […]

Kritische Infrastrukturen im Fokus: Der All-Gefahren-Ansatz der CER-Richtlinie für Physische Sicherheit, Cybersicherheit und Resilienzmanagement
Die Sicherstellung der Stabilität und Sicherheit kritischer Infrastrukturen hat in der heutigen Zeit oberste Priorität. Mit der Critical Entities Resilience (CER)–Richtlinie (EU 2022/2557) und der NIS2-Richtlinie (EU 2022/2555) verfolgt die Europäische Union das Ziel, die Resilienz von Betreibern kritischer Infrastrukturen zu stärken. Während die CER-Richtlinie den Schwerpunkt auf physischen Schutz legt, fokussiert sich die NIS2-Richtlinie […]
TRBS 1115 Teil 1: Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen
In der heutigen vernetzten und technologiegetriebenen Welt gewinnt die Anlagensicherheit zunehmend an Bedeutung, da Anlagen immer komplexer werden und die Konsequenzen von Sicherheitsversagen gravierend sein können. Cyberangriffe auf Anlagensteuerungssysteme können dabei nicht nur die Anlagenverfügbarkeit gefährden, sondern ggf. auch das Personal und die Umwelt. Daher ist es entscheidend, Cybersicherheit als integralen Bestandteil der Arbeitsschutzstrategie zu […]
Zero Trust Security
In einer Ära, in der die Gefahr von Cyberangriffen hoch ist und Datenschutzverstöße fast täglich Schlagzeilen machen, reichen traditionelle Sicherheitsmaßnahmen nicht mehr aus, um sensible Informationen zu schützen. Eine mögliche Lösung kann die Zero Trust Architektur – ein revolutionärer Ansatz für die Cybersicherheit, der das traditionelle Sicherheitsmodell auf Basis von Perimetern herausfordert und sich für […]

Cloud-Computing im Gesundheitswesen: Neue Regelungen ab Juli 2024
Zum 1. Juli 2024 ist eine eine bedeutende Änderung im Bereich des Cloud-Computings im Gesundheitswesen in Kraft getreten. Der § 393 des Sozialgesetzbuchs V (SGB V) wurde im Rahmen des Artikel 2 Nummer 6 des Digitalgesetzes (DigiG) umfassend überarbeitet. Diese Anpassung soll die Nutzung von Cloud-Computing-Diensten durch Leistungserbringer, Kranken- und Pflegekassen sowie ihres Auftrags(daten)verarbeiter (ja, […]
Umsetzung der NIS-2-Richtlinie – es geht weiter
Das Bundesministeriums des Innern und für Heimat (BMI) hat einen vierten Referentenentwurf zum NIS-2-Umsetzungs-und Cybersicherheitsstärkungsgesetz veröffentlicht (NIS2UmsuCG, Bearbeitungsstand: 24.06.2024 16:13). Was hat sich im Wesentlichen geändert? Bei der Regulierung von Einrichtungen der Bundesverwaltung haben sich einige Details geändert. Informationssicherheitsbeauftragte der Bundesministerien und -behörden sollen ihre Berichts- und Beratungsaufgaben unabhängig und weisungsfrei erfüllen. Die Ausnahmen für […]
Bundeslagebild Cybercrime – wie Cyberkriminelle vorgehen
Vor Kurzem erschien das Bundeslagebild Cybercrime 2023, vorgestellt vom Bundeskriminalamt (BKA) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Bei diesem Dokument handelt es sich um einen jährlichen Bericht des BKA, der die aktuelle Lage und Entwicklung der Cyberkriminalität im Land darstellt. Wir wollen die Gelegenheit nutzen, um einige Aspekte davon etwas genauer zu […]
Landeskriminalamt Bremen bietet Alarmierungsliste für Cyberangriffe
Cyberangriffe auf Unternehmen und Organisationen sind heute leider allgegenwärtig und nehmen weiter zu (siehe auch Bundeslagebild Cybercrime 2023). Umso wichtiger ist es, einen Notfallplan für den Fall eines Cyberangriffs zu haben. Eine Alarmierungsliste kann hierbei wertvolle Dienste leisten. Sinnvolles Werkzeug für IT-Notfälle In der heutigen digitalisierten Welt sind Unternehmen, Verwaltungen und Dienstleister zunehmend auf eine […]
Sicherheit von Industriesteuerungen
Galten industrielle Steuerungssysteme (Industrial Control Systems, ICS) und Betriebstechnologie (Operation Technology, OT) gegenüber äußeren Angriffen von Hackern durch ihre physische sowie logische Trennung vom Internet oder den Unternehmensnetzen als geschützt, geht in Zeiten der Industrie 4.0 dieser „natürliche“ Schutz immer mehr verloren. Anlagen werden vernetzt, können untereinander kommunizieren und werden nicht selten aus der Ferne […]
Neue Anforderungen an IT-Sicherheit im Gesundheitssektor durch das Digital-Gesetz
Um im Gesundheitswesen Patienten besser und schneller versorgen zu können, ist der verstärkte Einsatz digitaler Datenverarbeitung erforderlich. Da besonders sensible personenbezogene Daten von zu versorgenden Personen umfangreich verarbeitet werden, ist auch ein verbesserter Schutz dieser Daten geboten. Zur Wegbereitung dieser digitalen Transformation wurde deshalb das „Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG)“ […]
Warum ist Spear-Phishing besonders gefährlich?
Die negativen Konsequenzen, die eine Phishing-Mail verursachen kann, dürfen heutzutage den meisten Unternehmen sowie ihren Beschäftigten bekannt sein. Im Rahmen von Schulungen werden Mitarbeiter dann auch darauf hingewiesen, wie eine Phishing-Mail zu erkennen ist – insbesondere Merkmale wie eine unpersönlichen Anrede, Rechtschreibfehler und die Aufforderung zur schnellen Handlung sollten stutzig machen. Unternehmen müssen sich jedoch […]