Am 2. und 3. Juni 2025 fand in Berlin die AKKKO 2025 statt. Die AKKKO – ja, mit drei „K“ – ist die alle zwei Jahre stattfindende Akkreditierungskonferenz, ausgerichtet von der Deutschen Akkreditierungsstelle (DAkkS). Mit ca. 450 Teilnehmerinnen und Teilnehmern im Berliner Steigenberger Hotel war die diesjährige AKKKO wieder sehr gut besucht. Schwerpunkte der AKKKO […]
Informationssicherheit
Informationssicherheit
Cybersecurity durch Regulierung – der Cyber Resilience Act im Überblick
Die EU hat am 10.10.2024 den Cyber Resilience Act (CRA) – Verordnung (EU) 2024/2847 – verabschiedet, um Cyberangriffe auf Produkte mit digitalen Komponenten zu bekämpfen. Die Verordnung gilt direkt in allen EU-Mitgliedstaaten und betrifft nicht die internen Prozesse, sondern die digitalen Produkte, die das Unternehmen verlassen. Der CRA setzt verbindliche Cybersicherheitsstandards, die die Sicherheit dieser […]
ISO/IEC 27001 vs. NIST und SOC 2®: Ein Vergleich
In einer zunehmend digitalisierten Welt hat die Informationssicherheit eine immer höhere Relevanz. Unternehmen sind gefordert, ihre Daten zu schützen und gleichzeitig Anforderungen von Kunden, Partnern und Regulierungsbehörden zu erfüllen. In diesem Zusammenhang sind Standards wie ISO/IEC 27001, die Frameworks des NISTs (National Institute of Standards and Technology) und SOC 2® (Service Organization Control 2) von […]
Neue Angriffstrends im Bereich Informationssicherheit?
Für eine wirksame Strategie zur Verteidigung von IT-Infrastrukturen ist es erforderlich zu wissen, welche Techniken und Methoden bei Angriffen auf IT-Infrastukturen im Trend liegen und am häufigsten für digitale Einbrüche und Datendiebstähle verwendet werden. Dieser Artikel beschäftigt sich in diesem Zusammenhang mit Sicherheitsvorfällen aus dem Jahr 2024 und nutzt dabei den M-Trends 2025 Report als […]
Security Information and Event Management Systeme und die Auswirkungen auf den Datenschutz
Ein Security Information and Event Management System (kurz „SIEM“-System) ist vereinfacht gesagt ein zentrales Sicherheitsverwaltungstool, welches in der Regel mit Maschinendaten (konkret: Logfiles) gefüllt werden kann, diese analysiert, aufbereitet und den Verantwortlichen durch Berichte über bestehende Events (Sicherheitsvorfälle) alarmiert. Wofür werden SIEM-Systeme eingesetzt? Ein solches SIEM-System dient der zentralisierten Überwachung. D.h. sämtliche Log-Daten aus beispielsweise […]
Datenschutz-Management nach ISO/IEC 27701
Für unser Team aus der Informationssicherheit sind Normen wie die ISO/IEC 27001 unser Tagesgeschäft. Was für Außenstehende nur wie eine Aneinanderreihung von schwammigen Regelungen aussieht, ist in Wirklichkeit der Aufbau eines strukturierten Managementsystems für die Informationssicherheit (kurz ein ISMS), individuell anpassbar auf die Branche, Größe und Kronjuwelen des jeweiligen Unternehmens. Auch andere Bereiche haben analoge […]
„sicher & resilient“: Herausforderungen und Chancen durch die neuen Regelwerke – Teil 6
Im letzten Teil unserer Blogreihe „sicher & resilient“ werfen wir einen Blick auf die Herausforderungen, aber auch auf die Chancen durch die drei Regelwerke. Die neuen Regelwerke stellen Unternehmen nicht nur vor technologische und organisatorische Herausforderungen, sondern erfordern auch ein grundlegendes Umdenken im Umgang mit Sicherheit. Die Integration von NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG, Regierungsentwurf), KRITIS-Dachgesetz […]
„sicher & resilient“: Auditierung, Konformitätsbewertung und die Rolle der Konformitätsbewertungsstellen (KBS) – Teil 5
Im fünften Teil unserer Blogreihe „sicher & resilient“ geht es um Auditierung, Konformitätsbewertung und die Konformitätsbewertungsstellen (KBS). Mit dem Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG, Regierungsentwurf), des KRITIS-Dachgesetzes (Regierungsentwurf) und des Cyber Resilience Acts (CRA) stehen Unternehmen und Hersteller digitaler Produkte vor der Herausforderung, ihre Sicherheitsmaßnahmen nicht nur zu implementieren, sondern auch regelmäßig auf ihre […]
„sicher & resilient“: Cyber Resilience Act – Produktsicherheit und Herstellerpflichten – Teil 4
Im vierten Teil unserer Blogreihe „sicher & resilient“ schauen wir auf den Cyber Resilience Act (CRA) und dessen Anforderungen an die Produktsicherheit sowie die Pflichten für Hersteller. Der CRA ergänzt die bestehenden Sicherheitsregelungen, indem er erstmals die Produktsicherheit digitaler Geräte und Software in den Fokus rückt. Während das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG, Regierungsentwurf) und das […]
„sicher & resilient“: das KRITIS-Dachgesetz – Teil 3
Im dritten Teil unserer Blogreihe „sicher & resilient“ schauen wir auf das KRITIS-Dachgesetz, das als Regierungsentwurf am 06.11.2024 verabschiedet, aber als Gesetz bisher noch nicht verkündet wurde. Das KRITIS-Dachgesetz ergänzt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG, Regierungsentwurf), indem es die Anforderungen an die Sicherheit und Resilienz kritischer Infrastrukturen in Deutschland erweitert. Während das NIS2UmsuCG den Fokus […]
„sicher & resilient“: Anforderungen und Umsetzung des NIS2UmsuCG – Teil 2
Im zweiten Teil unserer Blogreihe „sicher & resilient“ befassen wir uns mit den Anforderungen und der Umsetzung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, kurz NIS2UmsuCG (Regierungsentwurf vom 22.07.2024, das Gesetz ist noch nicht verkündet). Das NIS2UmsuCG markiert einen Meilenstein für die Cybersicherheitsstrategie in Deutschland. Es setzt die EU-Richtlinie NIS 2 national um und verpflichtet Betreiber kritischer und […]
„sicher & resilient“: NIS2UmsuCG, KRITIS-Dachgesetz und Cyber Resilience Act (CRA) – Teil 1
In unserer Blogreihe „sicher & resilient“ möchten wir Ihnen einen Überblick über die neuen Anforderungen aus dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), dem KRITIS-Dachgesetz und dem Cyber Resilience Act (CRA) geben. Wir beleuchten dabei die Synergien dieser Regelwerke und zeigen praktische Herausforderungen für den Umsetzungs- und Auditierungsprozess auf. Die Sicherheit kritischer Infrastrukturen und digitaler Produkte steht […]
Rechnungsversand per E-Mail birgt erhebliche Risiken für Unternehmen
Viele Unternehmen versenden im B2C-Bereich ihre Rechnungen inzwischen digital. Dass dies jedoch auch nach hinten losgehen und das Unternehmen im schlimmsten Fall auf der unbezahlten Forderung sitzen bleibt, zeigt das Urteil des OLG Schleswig (OLG) vom 18.12.2024 (Az. 12 U 9/24). Zum Sachverhalt Ein privater Kunde überwies eine Rechnung in Höhe von über 15.000 Euro […]
RUN – Neue Prüfvorgaben des BSI
Das „RUN“-Dokument – steht für „Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung“ – des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde am 2. Januar 2025 in Version 1.0 veröffentlicht (vgl. Mitteilung des BSI). Es bietet einen einheitlichen und strukturierten Ansatz, um die Umsetzung der Anforderungen aus § 8a BSIG zu bewerten. Dieser Blogbeitrag beschreibt […]
NIS-2 Umsetzung in Deutschland nicht mehr vor der Bundestagswahl
Nachdem Mitte Januar vom Bitkom noch eine Meldung kam, dass die FDP kurzfristig auf einen Beschluss zum NIS2UmsuCG hinwirken möchte, berichtete der Tagesspiegel Background heute, dass die Gespräche dazu gescheitert sind. Das NIS2UmsuCG wird in dieser Legislaturperiode also nicht mehr verabschiedet – genau wie das KRITIS-Dachgesetz. Laut Tagesspiegel Background geben sich SPD, Grüne und FDP […]