Für eine wirksame Strategie zur Verteidigung von IT-Infrastrukturen ist es erforderlich zu wissen, welche Techniken und Methoden bei Angriffen auf IT-Infrastukturen im Trend liegen und am häufigsten für digitale Einbrüche und Datendiebstähle verwendet werden. Dieser Artikel beschäftigt sich in diesem Zusammenhang mit Sicherheitsvorfällen aus dem Jahr 2024 und nutzt dabei den M-Trends 2025 Report als […]
Informationssicherheit
Datenschutz-Management nach ISO/IEC 27701
Für unser Team aus der Informationssicherheit sind Normen wie die ISO/IEC 27001 unser Tagesgeschäft. Was für Außenstehende nur wie eine Aneinanderreihung von schwammigen Regelungen aussieht, ist in Wirklichkeit der Aufbau eines strukturierten Managementsystems für die Informationssicherheit (kurz ein ISMS), individuell anpassbar auf die Branche, Größe und Kronjuwelen des jeweiligen Unternehmens. Auch andere Bereiche haben analoge […]
„sicher & resilient“: Herausforderungen und Chancen durch die neuen Regelwerke – Teil 6
Im letzten Teil unserer Blogreihe „sicher & resilient“ werfen wir einen Blick auf die Herausforderungen, aber auch auf die Chancen durch die drei Regelwerke. Die neuen Regelwerke stellen Unternehmen nicht nur vor technologische und organisatorische Herausforderungen, sondern erfordern auch ein grundlegendes Umdenken im Umgang mit Sicherheit. Die Integration von NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG, Regierungsentwurf), KRITIS-Dachgesetz […]
„sicher & resilient“: Auditierung, Konformitätsbewertung und die Rolle der Konformitätsbewertungsstellen (KBS) – Teil 5
Im fünften Teil unserer Blogreihe „sicher & resilient“ geht es um Auditierung, Konformitätsbewertung und die Konformitätsbewertungsstellen (KBS). Mit dem Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG, Regierungsentwurf), des KRITIS-Dachgesetzes (Regierungsentwurf) und des Cyber Resilience Acts (CRA) stehen Unternehmen und Hersteller digitaler Produkte vor der Herausforderung, ihre Sicherheitsmaßnahmen nicht nur zu implementieren, sondern auch regelmäßig auf ihre […]
„sicher & resilient“: Cyber Resilience Act – Produktsicherheit und Herstellerpflichten – Teil 4
Im vierten Teil unserer Blogreihe „sicher & resilient“ schauen wir auf den Cyber Resilience Act (CRA) und dessen Anforderungen an die Produktsicherheit sowie die Pflichten für Hersteller. Der CRA ergänzt die bestehenden Sicherheitsregelungen, indem er erstmals die Produktsicherheit digitaler Geräte und Software in den Fokus rückt. Während das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG, Regierungsentwurf) und das […]
„sicher & resilient“: das KRITIS-Dachgesetz – Teil 3
Im dritten Teil unserer Blogreihe „sicher & resilient“ schauen wir auf das KRITIS-Dachgesetz, das als Regierungsentwurf am 06.11.2024 verabschiedet, aber als Gesetz bisher noch nicht verkündet wurde. Das KRITIS-Dachgesetz ergänzt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG, Regierungsentwurf), indem es die Anforderungen an die Sicherheit und Resilienz kritischer Infrastrukturen in Deutschland erweitert. Während das NIS2UmsuCG den Fokus […]
„sicher & resilient“: Anforderungen und Umsetzung des NIS2UmsuCG – Teil 2
Im zweiten Teil unserer Blogreihe „sicher & resilient“ befassen wir uns mit den Anforderungen und der Umsetzung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, kurz NIS2UmsuCG (Regierungsentwurf vom 22.07.2024, das Gesetz ist noch nicht verkündet). Das NIS2UmsuCG markiert einen Meilenstein für die Cybersicherheitsstrategie in Deutschland. Es setzt die EU-Richtlinie NIS 2 national um und verpflichtet Betreiber kritischer und […]
„sicher & resilient“: NIS2UmsuCG, KRITIS-Dachgesetz und Cyber Resilience Act (CRA) – Teil 1
In unserer Blogreihe „sicher & resilient“ möchten wir Ihnen einen Überblick über die neuen Anforderungen aus dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), dem KRITIS-Dachgesetz und dem Cyber Resilience Act (CRA) geben. Wir beleuchten dabei die Synergien dieser Regelwerke und zeigen praktische Herausforderungen für den Umsetzungs- und Auditierungsprozess auf. Die Sicherheit kritischer Infrastrukturen und digitaler Produkte steht […]
RUN – Neue Prüfvorgaben des BSI
Das „RUN“-Dokument – steht für „Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung“ – des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde am 2. Januar 2025 in Version 1.0 veröffentlicht (vgl. Mitteilung des BSI). Es bietet einen einheitlichen und strukturierten Ansatz, um die Umsetzung der Anforderungen aus § 8a BSIG zu bewerten. Dieser Blogbeitrag beschreibt […]
NIS-2 Umsetzung in Deutschland nicht mehr vor der Bundestagswahl
Nachdem Mitte Januar vom Bitkom noch eine Meldung kam, dass die FDP kurzfristig auf einen Beschluss zum NIS2UmsuCG hinwirken möchte, berichtete der Tagesspiegel Background heute, dass die Gespräche dazu gescheitert sind. Das NIS2UmsuCG wird in dieser Legislaturperiode also nicht mehr verabschiedet – genau wie das KRITIS-Dachgesetz. Laut Tagesspiegel Background geben sich SPD, Grüne und FDP […]
Verarbeitung von Sozial- und Gesundheitsdaten in der Cloud: Mehraufwand durch C5-Testat?
Seit dem 01. Juli 2024 ist der §393 SGB V „Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung“ gültig. Hierin beschreibt der Gesetzgeber IT-Sicherheitsanforderungen an Cloud-Computing-Dienste betreffend der Verarbeitung von Sozial- und Gesundheitsdaten. Das kann z. B. Cloud-Anbieter betreffen, deren Kunden Ärzt*innen, Krankenhäuser, Therapeut*innen, Apotheken oder Kranken- und Pflegekassen bzw. Dienstleister, die im Auftrag Sozial- und Gesundheitsdaten prozessieren, sind. Demnach […]
Kritische Infrastrukturen im Fokus: Der All-Gefahren-Ansatz der CER-Richtlinie für Physische Sicherheit, Cybersicherheit und Resilienzmanagement
Die Sicherstellung der Stabilität und Sicherheit kritischer Infrastrukturen hat in der heutigen Zeit oberste Priorität. Mit der Critical Entities Resilience (CER)–Richtlinie (EU 2022/2557) und der NIS2-Richtlinie (EU 2022/2555) verfolgt die Europäische Union das Ziel, die Resilienz von Betreibern kritischer Infrastrukturen zu stärken. Während die CER-Richtlinie den Schwerpunkt auf physischen Schutz legt, fokussiert sich die NIS2-Richtlinie […]
TRBS 1115 Teil 1: Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen
In der heutigen vernetzten und technologiegetriebenen Welt gewinnt die Anlagensicherheit zunehmend an Bedeutung, da Anlagen immer komplexer werden und die Konsequenzen von Sicherheitsversagen gravierend sein können. Cyberangriffe auf Anlagensteuerungssysteme können dabei nicht nur die Anlagenverfügbarkeit gefährden, sondern ggf. auch das Personal und die Umwelt. Daher ist es entscheidend, Cybersicherheit als integralen Bestandteil der Arbeitsschutzstrategie zu […]
Bundeslagebild Cybercrime – wie Cyberkriminelle vorgehen
Vor Kurzem erschien das Bundeslagebild Cybercrime 2023, vorgestellt vom Bundeskriminalamt (BKA) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Bei diesem Dokument handelt es sich um einen jährlichen Bericht des BKA, der die aktuelle Lage und Entwicklung der Cyberkriminalität im Land darstellt. Wir wollen die Gelegenheit nutzen, um einige Aspekte davon etwas genauer zu […]
Landeskriminalamt Bremen bietet Alarmierungsliste für Cyberangriffe
Cyberangriffe auf Unternehmen und Organisationen sind heute leider allgegenwärtig und nehmen weiter zu (siehe auch Bundeslagebild Cybercrime 2023). Umso wichtiger ist es, einen Notfallplan für den Fall eines Cyberangriffs zu haben. Eine Alarmierungsliste kann hierbei wertvolle Dienste leisten. Sinnvolles Werkzeug für IT-Notfälle In der heutigen digitalisierten Welt sind Unternehmen, Verwaltungen und Dienstleister zunehmend auf eine […]