FAQ Informationssicherheit

Technische und organisatorische Maßnahmen allein reichen nicht aus, wenn Mitarbeitende sie nicht akzeptieren oder umsetzen. Eine gelebte Sicherheitskultur sorgt dafür, dass Informationssicherheit im Alltag selbstverständlich wird und nicht als Belastung empfunden wird.

Eine Sicherheitskultur entsteht durch:

• regelmäßige Awareness-Trainings

• Vorbildfunktion der Führungskräfte

• klare Kommunikation und einfache Meldewege

• positive Fehlerkultur ohne Angst vor Sanktionen

• Integration von Sicherheit in den Alltag, nicht als Zusatzhürde

So wird Informationssicherheit Teil der Unternehmenskultur und von allen mitgetragen. Eine starke Sicherheitskultur stärkt das Bewusstsein aller Beteiligten und macht Informationssicherheit zu einem Teil der Unternehmens-DNA.

Die Schutzziele beschreiben, worauf alle Sicherheitsmaßnahmen ausgerichtet sind. Sie helfen, Risiken systematisch zu bewerten und angemessene Schutzmaßnahmen auszuwählen. Dabei unterscheidet man zwischen primären und sekundären Schutzzielen.

Primäre Schutzziele
Diese drei Kernziele bilden die Grundlage jeder Sicherheitsstrategie:

• Vertraulichkeit: Informationen dürfen nur von Personen eingesehen oder genutzt werden, die dazu berechtigt sind. Schutzmaßnahmen sind z. B. Verschlüsselung, Zugriffskontrollen und klare Berechtigungskonzepte.

• Integrität: Informationen müssen vollständig und unverändert bleiben. Schutz bieten Verfahren wie Prüfsummen, digitale Signaturen oder Versionskontrolle.

• Verfügbarkeit: Systeme und Daten müssen zuverlässig und rechtzeitig nutzbar sein. Maßnahmen sind z. B. Redundanzen, Backups und Notfallpläne.

Sekundäre Schutzziele
Diese ergänzen die Kernziele und schaffen zusätzliche Sicherheit:

• Authentizität: Echtheit von Daten und Identitäten muss sichergestellt sein, z. B. durch Zertifikate oder starke Authentisierung.

• Verbindlichkeit / Nichtabstreitbarkeit: Handlungen und Transaktionen müssen eindeutig einer Person zugeordnet werden können, etwa durch digitale Signaturen.

• Nachvollziehbarkeit: Änderungen und sicherheitsrelevante Ereignisse müssen dokumentiert und überprüfbar sein, z. B. durch Logging und Audit-Trails.

Unternehmen sollten alle Maßnahmen an den Schutzzielen ausrichten. Für jedes System oder jede Information ist festzulegen, welches Schutzziel im Vordergrund steht – bei Patientendaten meist Vertraulichkeit, bei Produktionssystemen Verfügbarkeit, bei Verträgen Integrität.

Informationssicherheit bedeutet nicht, jede denkbare Maßnahme umzusetzen, sondern Risiken zielgerichtet zu managen. Der risikoorientierte Ansatz stellt sicher, dass Schutzmaßnahmen im Verhältnis zur Bedrohung und zu den verfügbaren Ressourcen stehen. So wird Sicherheit weder übertrieben noch vernachlässigt, sondern sinnvoll ausbalanciert.

Grundprinzipien

• Angemessenheit: Maßnahmen orientieren sich an den tatsächlichen Gefahren für das Unternehmen.

• Verhältnismäßigkeit: Aufwand und Kosten stehen im Verhältnis zum Nutzen und zur Schadenshöhe.

• Nachweisbarkeit: Entscheidungen müssen dokumentiert werden, damit sie nachvollziehbar und prüfbar sind.

Typische Schritte

1. Identifikation – Welche Werte (Informationen, Systeme, Prozesse) müssen geschützt werden?

2. Analyse – Welche Bedrohungen und Schwachstellen bestehen?

3. Bewertung – Wie wahrscheinlich ist ein Schaden, und wie hoch wäre er?

4. Priorisierung – Welche Risiken sind kritisch und müssen zuerst behandelt werden?

5. Behandlung – Risiken vermeiden, verringern, übertragen (z. B. Versicherung) oder akzeptieren.

6. Dokumentation – Entscheidungen und Maßnahmen nachvollziehbar festhalten.

7. Überprüfung – regelmäßige Neubewertung, z. B. jährlich oder bei wesentlichen Änderungen.

Praxisbeispiel
Ein Unternehmen betreibt ein Webportal mit Kundendaten.

• Risiko: unverschlüsselte Datenübertragung → Bedrohung durch Abhören

• Bewertung: Eintrittswahrscheinlichkeit hoch, Schaden erheblich

• Maßnahme: Umstellung auf TLS 1.3 (Stand der Technik) ist angemessen und verhältnismäßig

• Dokumentation: Risikoanalyse, Freigabe durch Management, Nachweis für Audit

Vorteile

• Sicherheitsmaßnahmen sind wirtschaftlich vertretbar

• kritische Risiken werden zuerst adressiert

• Ressourcen werden effizient eingesetzt

• Entscheidungen sind gegenüber Behörden und Partnern belegbar

Der Begriff „Stand der Technik“ beschreibt das aktuelle, allgemein anerkannte Niveau von Verfahren, Methoden und Werkzeugen, die in der Praxis verfügbar sind. Unternehmen sind verpflichtet, ihre Schutzmaßnahmen daran auszurichten – unabhängig davon, ob eine Zertifizierung vorliegt oder nicht. Der Stand der Technik entwickelt sich ständig weiter, daher müssen Maßnahmen regelmäßig überprüft und angepasst werden.

Wichtige Merkmale des Standes der Technik sind:

• Allgemeine Anerkennung
  Die Maßnahme wird in Fachkreisen und durch Institutionen wie BSI, ISO oder ENISA empfohlen oder beschrieben.

• Praktische Bewährung
  Die Technik wird im Alltag angewendet und hat sich dort nachweislich bewährt.

• Aktualität
  Veraltete Verfahren gelten nicht mehr als Stand der Technik, auch wenn sie früher üblich waren.

Beispiele für Maßnahmen nach Stand der Technik sind:

• Verschlüsselung mit modernen Verfahren (z. B. TLS 1.3 für Datenübertragung, AES-256 für Datenspeicherung)

• zeitnahes Einspielen von Sicherheitsupdates und Patches

• Mehrfaktor-Authentisierung (MFA) für den Zugang zu kritischen Systemen

• Härtung von Betriebssystemen und Anwendungen (Deaktivierung unnötiger Dienste, sichere Konfigurationen)

• Netzwerksegmentierung und Zero-Trust-Ansätze statt flacher Netzwerke

• sichere Standardkonfigurationen, die ohne manuelle Änderungen bereits ein hohes Schutzniveau bieten („Security by Default“)

Unternehmen müssen den Stand der Technik nachweisen können. Typische Nachweise sind:

• interne Richtlinien und technische Dokumentationen

• Bezug auf BSI-Standards, ISO-Normen oder Herstellerempfehlungen

• Protokolle über Sicherheitsupdates, Tests und Audits

Nicht alle Informationen sind gleich sensibel. Um passende Schutzmaßnahmen festzulegen, müssen Unternehmen den Schutzbedarf bestimmen. Typisch ist eine Einstufung in Kategorien, die sich nach den möglichen Schäden bei Verlust, Veränderung oder Offenlegung richtet.

Klassische Schutzbedarfskategorien

• Öffentlich
  frei zugänglich, keine besonderen Anforderungen

• Intern
  nur für Mitarbeitende bestimmt, nicht für Dritte gedacht

• Vertraulich
  nur für einen klar abgegrenzten Personenkreis freigegeben, Offenlegung würde schaden

• Streng vertraulich
  höchster Schutzbedarf, nur für sehr wenige Berechtigte zugänglich

Traffic Light Protocol (TLP)
Das BSI nutzt zusätzlich das TLP, um Informationen zwischen Organisationen klar gekennzeichnet weiterzugeben. Dabei wird über Farben geregelt, wie weit Informationen verbreitet werden dürfen:

• TLP:RED
  nur für die direkt angesprochenen Personen bestimmt, keine Weitergabe erlaubt

• TLP:AMBER+STRICT
  nur innerhalb der eigenen Organisation, nicht an Tochtergesellschaften oder externe Partner

• TLP:AMBER
  Weitergabe innerhalb der eigenen Organisation oder an Partner mit direktem Handlungsbedarf

• TLP:GREEN
  Weitergabe innerhalb der eigenen Community (z. B. Branche), aber nicht öffentlich

• TLP:CLEAR
  frei zur Weitergabe, auch öffentlich

Beide Prinzipien gehören zu den Grundpfeilern der Informationssicherheit und regeln, wie Zugriffsrechte vergeben werden. Sie stellen sicher, dass Mitarbeitende oder Systeme nur auf Informationen und Ressourcen zugreifen können, die sie für ihre jeweilige Aufgabe wirklich benötigen. Dadurch wird die Angriffsfläche verkleinert und das Risiko von Datenmissbrauch oder -verlust reduziert.

Need-to-Know-Prinzip
Zugriff wird nur gewährt, wenn es für die Erfüllung einer Aufgabe unbedingt notwendig ist.
Praxisbeispiele:

• Ein Mitarbeiter in der Buchhaltung darf auf Finanzdaten, aber nicht auf Personalakten zugreifen.

• Ein Projektteam erhält nur Zugriff auf die Unterlagen des eigenen Projekts, nicht aber auf andere Projekte.

• Vertrauliche Dokumente werden nur den Personen bereitgestellt, die aktiv daran arbeiten.

Least-Privilege-Prinzip
Jede Rolle oder Person erhält die kleinstmöglichen Rechte, die für ihre Tätigkeit ausreichen.
Praxisbeispiele:

• Ein Nutzer erhält Lesezugriff, wenn er keine Änderungen vornehmen muss.

• Administratorrechte werden nur für Tätigkeiten vergeben, die sie zwingend erfordern, und anschließend wieder entzogen.

• Temporäre Berechtigungen werden nur für die Dauer eines Projekts oder eines konkreten Auftrags gewährt.

Kombination beider Prinzipien
Need-to-Know und Least Privilege ergänzen sich: Das eine regelt, wer überhaupt Zugriff auf bestimmte Informationen erhält, das andere bestimmt, welche Rechte dieser Zugriff umfasst. Unternehmen setzen diese Prinzipien um durch:

• rollenbasierte Zugriffskonzepte (RBAC)

• regelmäßige Rezertifizierung von Berechtigungen

• Prozesse für Eintritt, Rollenwechsel und Austritt von Mitarbeitenden

• das Vier-Augen-Prinzip bei besonders kritischen Aktionen

Beide Ansätze gehören zu den grundlegenden Sicherheitsstrategien. Sie verfolgen das Ziel, Angriffe abzuwehren, selbst wenn eine einzelne Maßnahme versagt. Der Unterschied liegt darin, wie diese Schutzschichten organisiert werden.

Defense-in-Depth (mehrschichtige Verteidigung)
Hierbei werden mehrere unabhängige Sicherheitsmaßnahmen übereinander gelegt, damit ein Angreifer nicht schon mit dem Durchbruch einer einzelnen Barriere Erfolg hat. Jede Schicht soll einen Angriff erkennen, verlangsamen oder stoppen.
Praxisbeispiele:

• Perimeter-Schutz durch Firewalls und Intrusion-Prevention-Systeme

• Absicherung von Endgeräten mit Virenschutz und Patch-Management

• Segmentierung von Netzwerken, um Angriffe lokal einzudämmen

• Zugriffssteuerung mit starken Passwörtern und Mehrfaktor-Authentisierung

• regelmäßige Backups als letzte Verteidigung gegen Datenverlust

Zero Trust (Vertrauen ist kein Standard)
Zero Trust geht einen Schritt weiter und stellt das klassische Modell „innen = sicher, außen = unsicher“ in Frage. Grundannahme: keinem Gerät, Nutzer oder Netzwerk wird automatisch vertraut, auch nicht im internen Netz.
Praxisprinzipien:

• jede Anfrage wird überprüft („never trust, always verify“)

• Identitäten werden kontinuierlich kontrolliert (z. B. durch MFA, Gerätezustand, Standort)

• Netzwerke werden in kleine Segmente aufgeteilt, sodass Angreifer sich nicht ungehindert bewegen können

• Zugriff auf Anwendungen erfolgt nach klar definierten Policies, oft mit zusätzlicher Überprüfung bei sensiblen Aktionen

Kombination in der Praxis
Viele Unternehmen setzen heute beide Konzepte kombiniert ein: Defense-in-Depth sorgt für abgestufte Schutzschichten, Zero Trust verschärft die Anforderungen, indem selbst innerhalb der Schutzschichten keine pauschale Vertrauensstellung existiert. So entsteht ein Sicherheitskonzept, das auch modernen Bedrohungen wie Ransomware oder Insider-Angriffen standhält.

Informationssicherheit darf nicht erst am Ende berücksichtigt werden, wenn Systeme oder Prozesse bereits fertig sind. Der Lebenszyklus-Ansatz stellt sicher, dass Sicherheit von Anfang an integriert wird („Security by Design“) und dass Voreinstellungen bereits ein hohes Schutzniveau bieten („Security by Default“). Damit lassen sich Fehler, Lücken und hohe Folgekosten vermeiden.

Security by Design
Sicherheit wird systematisch in allen Phasen der Entwicklung berücksichtigt:

• Planung: Bedrohungen und Risiken werden früh identifiziert (Threat Modeling).

• Entwicklung: sichere Architektur, saubere Programmierung, Code-Reviews.

• Test: Sicherheitsprüfungen mit automatisierten Scans, Penetrationstests oder Red-Teaming.

• Betrieb: kontinuierliche Updates, Patch-Management und Monitoring.

• Stilllegung: sichere Außerbetriebnahme von Systemen und Löschung sensibler Daten.

Security by Default
Systeme und Anwendungen werden so ausgeliefert, dass sie im Standardzustand möglichst sicher sind – ohne dass Nutzer erst Einstellungen anpassen müssen. Beispiele sind:

• standardmäßig aktivierte Verschlüsselung

• sichere Passwortvorgaben statt schwacher Default-Passwörter

• minimale Berechtigungen bei Erstauslieferung

• deaktivierte, nicht benötigte Dienste oder Schnittstellen

Vorteile des Lebenszyklus-Ansatzes

• Reduktion von Sicherheitslücken durch frühe Prävention

• geringere Kosten, da Nachbesserungen im Betrieb deutlich teurer sind

• besserer Nachweis gegenüber Kunden, Aufsichtsbehörden und Auditoren

• höhere Akzeptanz bei Nutzern durch klare und sichere Standardkonfigurationen

Informationssicherheit funktioniert nur, wenn Zuständigkeiten klar geregelt sind. Ohne definierte Rollen bleibt unklar, wer Entscheidungen trifft, Risiken bewertet oder Vorfälle bearbeitet. Darum müssen Unternehmen Verantwortlichkeiten auf allen Ebenen festlegen und dokumentieren.

Wichtige Rollen im Unternehmen

• Geschäftsleitung: trägt die Gesamtverantwortung, legt Strategie und Budget fest und ist rechtlich verpflichtet, Informationssicherheit zu steuern.

• Informationssicherheitsbeauftragter (ISB) oder CISO: koordiniert das Sicherheitsmanagement, berät die Geschäftsleitung und sorgt für die Umsetzung von Maßnahmen.

• Asset-Owner: verantworten einzelne Systeme, Anwendungen oder Datenbestände und entscheiden über deren Schutzbedarf.

• IT-Abteilung / Systemadministratoren: setzen technische Maßnahmen wie Zugriffssteuerung, Patches oder Monitoring praktisch um.

• Fachabteilungen: stellen sicher, dass Prozesse sicher ablaufen und Mitarbeitende geschult sind.

• Notfall- und Incident-Manager: leiten Maßnahmen im Krisenfall, koordinieren Wiederherstellung und Kommunikation.

• Auditoren/Revision: prüfen regelmäßig, ob Maßnahmen wirksam umgesetzt und dokumentiert sind.

Unterstützende Strukturen

• Sicherheitsgremium (Security Board): trifft übergreifende Entscheidungen, priorisiert Maßnahmen und stimmt Fachbereiche ab.

• Awareness-Verantwortliche oder Multiplikatoren: sorgen dafür, dass Sicherheitsregeln in den Alltag getragen werden.

• externe Partner oder Dienstleister: können Rollen wie ISB oder Penetrationstester übernehmen, wenn intern keine Ressourcen vorhanden sind.

Jede Rolle sollte schriftlich beschrieben und in einem Organigramm oder Rollenmodell verankert sein. Wichtig ist außerdem das Vier-Augen-Prinzip bei kritischen Aufgaben, um Missbrauch oder Fehler zu verhindern.

Sicherheitsvorfälle bleiben oft unentdeckt, wenn Unternehmen keine geeigneten Erkennungsmechanismen einsetzen. Logging, Monitoring und Detektion sind daher unverzichtbar, um Angriffe oder Fehlverhalten frühzeitig zu erkennen und angemessen reagieren zu können. Sie schaffen Transparenz, liefern Beweise für Analysen und ermöglichen eine schnelle Reaktion im Ernstfall.

Logging

• beschreibt die systematische Aufzeichnung sicherheitsrelevanter Ereignisse

• Beispiele: Anmeldeversuche, Konfigurationsänderungen, Datenzugriffe, Fehlermeldungen

• Anforderungen: manipulationssichere Speicherung, Zeitstempel, ausreichende Aufbewahrungsdauer

Monitoring

• bedeutet die aktive Überwachung von Systemen und Prozessen in Echtzeit

• Werkzeuge wie SIEM-Systeme (Security Information and Event Management) oder SOCs (Security Operation Center) fassen Daten aus verschiedenen Quellen zusammen

• Ziel ist es, Auffälligkeiten sichtbar zu machen und Alarme bei verdächtigen Aktivitäten auszulösen

Detektion

• ist die konkrete Erkennung von Sicherheitsvorfällen anhand der gesammelten Informationen

• Methoden sind z. B. Signaturerkennung, Verhaltensanalysen oder Anomalieerkennung durch KI

• wichtig ist die Definition von Use Cases: Welche Ereignisse gelten als kritisch, und wie soll darauf reagiert werden?

Praxisempfehlung

• zentrale Logsammlung einrichten (Log-Server, SIEM)

• Zugriff auf Logs streng beschränken und vor Manipulation schützen

• Alarmregeln und Dashboards einrichten, die sofortige Reaktionen ermöglichen

• regelmäßige Auswertung durch geschulte Teams oder externe Dienstleister

• Forensik-Prozesse vorbereiten, damit Beweise bei Vorfällen gesichert werden können

Ein wirksames Sicherheitskonzept umfasst den gesamten Ablauf eines Vorfalls – von der Vermeidung über die Erkennung bis hin zur Beseitigung der Folgen. Diese vier Phasen ergänzen sich und müssen in einem abgestimmten Prozess ineinandergreifen.

Prävention
Ziel ist es, Angriffe oder Fehlverhalten so weit wie möglich zu verhindern.

• Maßnahmen: Härtung von Systemen, Firewalls, Antivirensoftware, Patch-Management, Schulungen, sichere Konfigurationen

• Fokus: Risiken minimieren, bevor sie Schaden anrichten können

Detektion
Trotz Prävention bleiben Restrisiken bestehen, daher ist die Erkennung entscheidend.

• Maßnahmen: Logging, Monitoring, Intrusion Detection, Anomalieerkennung, Alarmierung

• Fokus: Vorfälle frühzeitig erkennen, um Schaden zu begrenzen

Reaktion
Wenn ein Vorfall erkannt wird, muss schnell gehandelt werden.

• Maßnahmen: Incident-Response-Plan, Eskalationswege, Kommunikation mit Fachbereichen, Notfallteams, erste Eindämmung

• Fokus: Schaden begrenzen, Ursache identifizieren, Täterhandeln unterbinden

Wiederherstellung
Nach einem Vorfall müssen Systeme und Prozesse sicher in den Normalbetrieb zurückgeführt werden.

• Maßnahmen: Backup- und Restore-Verfahren, Notfallhandbuch, Business-Continuity-Management

• Fokus: Betriebsfähigkeit herstellen und gleichzeitig Lehren für die Zukunft ziehen

Zusammenhang der Phasen
Alle vier Phasen bilden einen Kreislauf: Prävention reduziert die Wahrscheinlichkeit von Vorfällen, Detektion sorgt für rechtzeitige Erkennung, Reaktion begrenzt den Schaden und Wiederherstellung stellt den Betrieb sicher. Die daraus gewonnenen Erkenntnisse fließen wiederum in die Prävention ein – so verbessert sich die Sicherheit kontinuierlich.

Ein ISMS ist ein systematischer Ansatz, mit dem Unternehmen ihre Informationssicherheit ganzheitlich steuern. Es legt fest, wie Risiken identifiziert, Maßnahmen umgesetzt, Verantwortlichkeiten verteilt und Ergebnisse überprüft werden. Ziel ist es, Informationssicherheit nicht punktuell, sondern dauerhaft und nachweisbar zu gewährleisten.

Kernbestandteile eines ISMS

• Richtlinien und Leitlinien: klare Vorgaben, wie Informationen geschützt werden sollen

• Rollen und Verantwortlichkeiten: z. B. Geschäftsleitung, Informationssicherheitsbeauftragter, Asset-Owner

• Risikoanalyse und Risikobehandlung: Ermittlung von Bedrohungen, Bewertung der Eintrittswahrscheinlichkeit und Definition von Maßnahmen

• Maßnahmenkatalog: technische, organisatorische und personelle Schutzmaßnahmen (z. B. Zugriffskontrolle, Schulungen, Monitoring)

• Dokumentation und Nachweise: Protokolle, Reports und Auditunterlagen für interne und externe Stellen

• Kontinuierliche Verbesserung: regelmäßige Überprüfung und Anpassung des Sicherheitsniveaus

Vorteile eines ISMS

• schafft Transparenz über den Stand der Informationssicherheit

• erleichtert die Einhaltung gesetzlicher Anforderungen (z. B. DSGVO, NIS-2)

• ermöglicht Nachweise gegenüber Kunden, Partnern und Behörden

• reduziert Risiken durch ein strukturiertes Vorgehen

• bildet die Grundlage für Zertifizierungen wie ISO/IEC 27001 oder den BSI-Grundschutz

Ein ISMS ist kein reines IT-Projekt, sondern ein Organisationssystem. Es sollte in die Unternehmensführung eingebettet sein und regelmäßig an neue Bedrohungen oder Geschäftsanforderungen angepasst werden.

Der PDCA-Zyklus („Plan-Do-Check-Act“) ist ein Modell für kontinuierliche Verbesserung. In der Informationssicherheit sorgt er dafür, dass Maßnahmen nicht einmalig umgesetzt werden, sondern regelmäßig überprüft, angepasst und verbessert werden. Dadurch bleibt das Sicherheitsniveau aktuell und wirksam, auch wenn sich Bedrohungen oder Unternehmensstrukturen ändern.

Plan (Planen)

• Risiken analysieren und bewerten

• Sicherheitsziele und -richtlinien festlegen

• Maßnahmen zur Risikobehandlung auswählen

• Ressourcen und Verantwortlichkeiten definieren

Do (Umsetzen)

• beschlossene Maßnahmen technisch und organisatorisch einführen

• Mitarbeitende schulen und Verantwortlichkeiten kommunizieren

• Prozesse für Vorfallmanagement, Backups oder Zugriffskontrolle etablieren

• Ergebnisse dokumentieren

Check (Prüfen)

• Wirksamkeit der Maßnahmen durch interne Audits, Tests und Monitoring bewerten

• Kennzahlen (KPIs) wie Patch-Stand, Backup-Erfolge oder Awareness-Quoten erfassen

• Abweichungen und Schwachstellen dokumentieren

• Compliance mit Normen und Gesetzen überprüfen

Act (Anpassen/Verbessern)

• aus Audits und Vorfällen lernen

• Maßnahmen und Prozesse optimieren

• Richtlinien aktualisieren, wenn sich Bedrohungen oder Geschäftsprozesse ändern

• Ergebnisse an die Geschäftsleitung berichten und neue Ziele festlegen

Der PDCA-Zyklus ist kein einmaliger Vorgang, sondern ein Regelkreis. Nach jeder Runde startet der Prozess erneut mit einer aktualisierten Planung. So bleibt das Sicherheitsmanagement dynamisch und kann auf neue Anforderungen reagieren – von technologischen Entwicklungen bis hin zu rechtlichen Änderungen wie NIS-2.

Informationssicherheit ist kein isoliertes IT-Thema, sondern ein zentraler Bestandteil verantwortungsvoller Unternehmensführung. Sie unterstützt die Einhaltung von Gesetzen, Standards und Verträgen (Compliance) und ist eng mit Steuerung und Kontrolle des Unternehmens (Governance) verknüpft.

Bezug zu Compliance

• Erfüllung gesetzlicher Vorgaben wie DSGVO, NIS-2, IT-Sicherheitsgesetz oder branchenspezifischer Regelungen (z. B. DORA im Finanzsektor)

• Nachweis gegenüber Behörden und Aufsichtsorganen, dass Sicherheitsmaßnahmen umgesetzt und dokumentiert sind

• Einhaltung von Verträgen mit Kunden und Partnern, die Sicherheitsstandards voraussetzen

• Unterstützung bei Audits und Zertifizierungen (z. B. ISO 27001, BSI-Grundschutz)

Bezug zu Governance

• Verankerung von Informationssicherheit in Leitlinien und Unternehmensrichtlinien

• Einbindung in Entscheidungsprozesse auf Management-Ebene

• Definition klarer Verantwortlichkeiten (Geschäftsleitung, ISB, Fachabteilungen)

• Einrichtung von Gremien oder Boards, die über Sicherheitsprioritäten und Budgets entscheiden

• regelmäßige Berichterstattung an Geschäftsführung und Aufsichtsorgane

Informationssicherheit sollte Teil des integrierten Governance-, Risk- und Compliance-Systems (GRC) sein. Nur wenn Sicherheitsziele mit Unternehmenszielen abgestimmt sind, entsteht ein wirksamer und nachhaltiger Schutz.

Kennzahlen (Key Performance Indicators, KPIs) helfen Unternehmen, den Erfolg ihrer Sicherheitsmaßnahmen sichtbar und steuerbar zu machen. Sie zeigen, ob Maßnahmen tatsächlich wirken, ob Ressourcen effizient eingesetzt werden und wo Verbesserungen notwendig sind. Ohne Messung bleibt Informationssicherheit oft eine abstrakte Größe – mit Kennzahlen wird sie konkret und überprüfbar.

Technische Kennzahlen
Diese messen die Wirksamkeit von Systemhärtung, Monitoring und Schutzmaßnahmen:

• Patch-Compliance: Anteil der Systeme, die mit aktuellen Sicherheitsupdates versehen sind

• Abdeckung durch Mehrfaktor-Authentisierung (MFA)

• Anteil verschlüsselter Datenübertragungen (z. B. TLS)

• Erkennungsrate von Angriffen durch SIEM oder Intrusion Detection

• Anzahl und Schwere von Schwachstellen, die bei Scans gefunden wurden

Prozess- und Organisationskennzahlen
Hier geht es um Abläufe, Verantwortlichkeiten und gelebte Sicherheitskultur:

• Zeit bis zur Erkennung eines Vorfalls (Mean Time to Detect, MTTD)

• Zeit bis zur Behebung/Eindämmung eines Vorfalls (Mean Time to Respond/Recover, MTTR)

• Anzahl gemeldeter Sicherheitsvorfälle pro Quartal und deren Trend

• Quote erfolgreich getesteter Backup- und Wiederherstellungsverfahren

• Abschlussquote bei Awareness-Trainings (Teilnahme und Testergebnisse)

Strategische Kennzahlen
Diese zeigen, wie gut Informationssicherheit in die Gesamtorganisation eingebettet ist:

• Anteil umgesetzter Maßnahmen aus der Risikoanalyse

• Fortschritt bei der Erfüllung regulatorischer Vorgaben (z. B. NIS-2, ISO 27001)

• Anzahl interner Audits und Abweichungen

• Status der Lieferantenbewertungen (z. B. Anzahl geprüfter kritischer Partner)

Kennzahlen sollten regelmäßig erhoben, visualisiert und in Berichten an die Geschäftsleitung kommuniziert werden. Wichtig ist eine ausgewogene Mischung: zu viele technische Details überfordern, zu wenige Kennzahlen bleiben zu abstrakt. Sinnvoll ist ein Set von ca. 8–12 KPIs, die sowohl technische als auch organisatorische Aspekte abdecken.

Diese Begriffe werden oft gleich verwendet, haben aber unterschiedliche Schwerpunkte.

• IT-Sicherheit
  konzentriert sich auf den Schutz technischer Systeme wie Netzwerke, Server und Endgeräte.

• Cyber-Security
  bezieht sich auf den Schutz digitaler Infrastrukturen vor Angriffen aus dem Internet, z. B. Hacking oder Malware.

• Informationssicherheit
  geht über beide hinaus und umfasst alle Informationen, unabhängig von Medium und Form – also auch Papierdokumente, Gespräche oder organisatorische Prozesse.

Bedrohungen, Technologien und gesetzliche Anforderungen ändern sich ständig. Informationssicherheit ist deshalb nie abgeschlossen, sondern ein fortlaufender Prozess. Kontinuierliche Verbesserung bedeutet:

• regelmäßige Neubewertung von Risiken und Maßnahmen

• Anpassung an neue Bedrohungslagen oder Unternehmensänderungen

• Lernen aus Vorfällen, Tests und Audits

• Aktualisierung von Richtlinien, Schulungen und technischen Standards
  Nur so bleibt das Sicherheitsniveau langfristig wirksam und zukunftsfähig.

Informationssicherheit und Datenschutz verfolgen ähnliche Ziele, haben aber unterschiedliche Schwerpunkte. Informationssicherheit schützt alle Informationen, unabhängig davon, ob sie personenbezogen sind oder nicht. Datenschutz konzentriert sich dagegen ausschließlich auf personenbezogene Daten und deren rechtmäßige Verarbeitung.

Überschneidungen entstehen, weil personenbezogene Daten im Rahmen der Informationssicherheit genauso geschützt werden müssen wie andere sensible Informationen. Dazu gehören z. B. Zugriffskontrollen, Verschlüsselung oder Protokollierung.

Abgrenzung:

• Informationssicherheit
  schützt Vertraulichkeit, Integrität und Verfügbarkeit aller Informationen (z. B. Konstruktionspläne, Verträge, Quellcode).

• Datenschutz
  regelt, ob und wie personenbezogene Daten verarbeitet werden dürfen (z. B. Rechtsgrundlagen, Einwilligungen, Betroffenenrechte).

Zusammenarbeit ist entscheidend: Der Informationssicherheitsbeauftragte (ISB) und der Datenschutzbeauftragte (DSB) sollten eng kooperieren, um Doppelarbeit zu vermeiden und ein konsistentes Sicherheits- und Datenschutzkonzept zu gewährleisten.

Informationssicherheit betrifft nicht nur digitale Daten, sondern auch Informationen in physischer Form. Papierdokumente, Akten, Ausdrucke oder Gespräche können ebenso sensibel sein wie elektronische Daten. Werden sie nicht geschützt, entstehen erhebliche Risiken – etwa durch Diebstahl, Verlust oder unbefugte Einsichtnahme.

Typische Maßnahmen für physische Sicherheit:

• Zutrittskontrolle
  Gebäude und Räume dürfen nur von berechtigten Personen betreten werden.

• Dokumentenmanagement
  vertrauliche Unterlagen werden in verschlossenen Schränken oder Archiven aufbewahrt.

• Sicherer Umgang mit Papier
  Aktenvernichter oder Dienstleister für datenschutzkonforme Aktenentsorgung.

• Clean-Desk-Policy
  keine vertraulichen Informationen offen auf Schreibtischen oder Bildschirmen liegen lassen.

• Gesprächsdisziplin
  sensible Themen nicht in öffentlichen Bereichen oder über unsichere Kommunikationskanäle besprechen.

So wird sichergestellt, dass Informationen auch außerhalb von IT-Systemen vor unbefugtem Zugriff geschützt bleiben.

Die Informationssicherheit ist eine zentrale Führungsaufgabe. Cyberangriffe nehmen weiter zu – sie sind gezielter, technischer und wirtschaftlich folgenreicher denn je. Unternehmen, die Informationssicherheit als reines IT-Thema behandeln, setzen sich einem unkalkulierbaren Risiko aus. Entscheider stehen zunehmend in der Verantwortung, Risiken strategisch zu bewerten, Maßnahmen aktiv zu priorisieren und organisatorische Resilienz zu stärken.

Bedrohung
Wer oder was gefährdet mein Unternehmen konkret?
Welche Akteure, Technologien und Entwicklungen bedrohen mein Unternehmen – und mit welcher Motivation?

Angriffsfläche
Wo ist mein Unternehmen verwundbar?
Welche technischen, organisatorischen oder personellen Angriffsflächen bestehen in meinem Unternehmen, und wie lassen sie sich reduzieren?

Gefährdung
Wann wird eine Bedrohung zum Risiko für mein Unternehmen?
Wie konkret sind die Angriffsszenarien, und wo treffen sie auf Schwachstellen in meinem Unternehmen?

Schadwirkung
Was steht im Ernstfall auf dem Spiel?
Welche Prozesse, Daten und Werte sind besonders kritisch – und welche Folgen hat ein Ausfall oder Datenverlust für mein Unternehmen?

Resilienz
Wie gut ist Ihr Unternehmen auf Angriffe vorbereitet?
Welche Maßnahmen sichern meine  Handlungsfähigkeit – technisch, organisatorisch und personell?

Informationssicherheit ist kein Projekt – sie ist Kultur und Haltung!

Die Dimension „Bedrohung“ beantwortet die Frage, wer oder was Ihr Unternehmen grundsätzlich angreifen oder schädigen kann – unabhängig davon, ob bereits eine Lücke ausnutzbar ist.

Begriff und Zweck
Eine Bedrohung ist ein potentieller Störfaktor (Akteur, Ereignis, Zustand), der Schaden an Informationen, Systemen oder Prozessen verursachen kann. Ziel ist ein aktuelles Bedrohungsbild als Basis für Prioritäten und Investitionen.

Typen von Bedrohungen

• Menschlich: Social Engineering, Phishing, Insider, Fehlbedienung, Sabotage.

• Technologisch: Schadsoftware, Zero-Day-Exploits, Fehlkonfigurationen, Supply-Chain-Exploits.

• Physisch/Natürlich: Brand, Wasser, Stromausfall, Diebstahl, Vandalismus.

• Organisatorisch/Prozessual: unklare Zuständigkeiten, fehlende Vertretungen, veraltete Richtlinien.

• Extern/Geopolitisch: staatliche oder organisierte Gruppen, branchenspezifische Angreiferprofile.

Leitfragen

• Gegen wen oder was müssen wir uns realistisch absichern?

• Welche Angriffsarten sind in unserer Branche besonders verbreitet?

• Welche Entwicklungen verschärfen unsere Lage im nächsten Jahr?

Maßnahmen und Good Practices

• Bedrohungsanalysen in festen Zyklen durchführen und dokumentieren.

• Frühwarninformationen (Threat Intelligence) bewerten und in Maßnahmen übersetzen.

• Szenarioarbeit (z. B. Ransomware, Lieferkettenausfall) mit IT, Fachbereichen und Leitung üben.

• Sicherheitsrichtlinien und Schulungen an die aktuelle Bedrohungslage anpassen.

• Frühzeitige Einbindung der Lieferanten in Bedrohungsbewertungen.

Kennzahlen und Nachweise

• Aktualität des Bedrohungsbilds (z. B. jährliches Review).

• Anzahl/Qualität der durchgeführten Szenario-Workshops.

• Zeit bis zur Bewertung kritischer Bedrohungshinweise.

Typische Fehler

• Einmalige statt kontinuierliche Lagebilder.

• „Copy/Paste“-Listen ohne Branchen- oder Unternehmensbezug.

• Keine Verknüpfung von Erkenntnissen zu konkreten Maßnahmen.

Die Dimension „Angriffsfläche“ beschreibt alle technischen, organisatorischen und menschlichen Ansatzpunkte, über die Bedrohungen in Ihr Unternehmen eindringen können.

Bestandteile der Angriffsfläche

• Systeme und Netzwerke: ungepatchte Server, offene Ports, schwache Segmentierung, unsichere Remote-Zugänge.

• Identitäten und Endgeräte: fehlende Mehrfaktor-Authentisierung, alte Betriebssysteme, BYOD ohne Kontrolle.

• Anwendungen und Dienste: Schatten-IT, Cloud-Fehlkonfigurationen, unsichere APIs, verwaiste Accounts.

• Prozesse und Partner: weitreichende Drittzugriffe, unklare Schnittstellen, unüberwachte Integrationen.

• Physische Umgebung: ungesicherte Räume, fehlende Zutrittskontrollen, ungeschützte Datenträger.

Leitfragen

• Wissen wir vollständig, welche Assets, Dienste und Schnittstellen existieren?

• Welche Exponierungen sind aus dem Internet erreichbar oder über Partner zugänglich?

• Wo entstehen durch Komplexität oder Wachstum neue Angriffsflächen?

Maßnahmen und Good Practices

• Vollständige Inventarisierung (Assets, Dienste, Identitäten) mit Verantwortlichkeiten.

• Reduktion unnötiger Dienste und Berechtigungen („Minimalprinzip“).

• Härtung und Baselines für Systeme, Cloud und Anwendungen.

• Patch- und Vulnerability-Management mit klaren Fristen.

• Netzwerksegmentierung und Zero-Trust-Prinzipien etablieren.

• Shadow-IT verhindern und genehmigte Alternativen bereitstellen.

• Mobile- und Endgeräte-Management mit Verschlüsselung und Remote-Wipe.

Kennzahlen und Nachweise

• Abdeckung der Asset-Inventarisierung in Prozent.

• Anteil Systeme mit MFA/aktuellen Patches/Hardening.

• Anzahl öffentlich erreichbarer Dienste ohne Geschäftsnutzen.

• Zeit bis zur Schließung kritischer Exponierungen.

Typische Fehler

• Unbekannte oder „vergessene“ Systeme/Dienste.

• Wachstum ohne Sicherheits-Baselines.

• Fehlende Cloud-Konfigurationskontrollen und keine API-Governance.

Die Dimension „Gefährdung“ beschreibt die konkrete Situation, in der eine Bedrohung auf eine vorhandene Schwachstelle trifft und damit ein plausibles Schadensszenario entsteht.

Begriff und Bewertungslogik
Gefährdung entsteht erst durch das Zusammenwirken von Bedrohung und Schwachstelle an einem schützenswerten Asset. Erst damit lassen sich Eintrittswahrscheinlichkeit und mögliche Schadenshöhe realistisch einschätzen.

Leitfragen

• Welche Schwachstellen sind in unserer Umgebung vorhanden und relevant?

• Wie wahrscheinlich ist die Ausnutzung – heute und in den nächsten Monaten?

• Welche Assets und Prozesse wären unmittelbar betroffen?

Maßnahmen und Good Practices

• Kontinuierliches Schwachstellenmanagement (Scans, Priorisierung, Nachverfolgung).

• Konfigurations-Compliance und regelmäßige Härtungsprüfungen.

• Penetrationstests und ggf. Red-Team-Übungen für realistische Angriffspfade.

• Risikoanalyse mit klaren Kriterien, Risikoregister und Behandlungsplänen.

• Definierte Risikoakzeptanz durch das Management (begründet und befristet).

• Eindeutige Risk Owner je Asset/Prozess.

Kennzahlen und Nachweise

• Anzahl kritischer Schwachstellen älter als definierte Frist (z. B. 30 Tage).

• Rate geschlossener Risiken pro Quartal und durchschnittliche Schließzeit.

• Anteil Assets mit dokumentiertem Risk Owner und aktueller Bewertung.

Typische Fehler

• „Feuerwehr“-Vorgehen ohne Priorisierung.

• Risikoakzeptanzen ohne Ablaufdatum oder Begründung.

• Fehlende Verknüpfung von Schwachstellen zu betroffenen Geschäftsprozessen.

Die Dimension „Schadwirkung“ beschreibt die Folgen eines erfolgreichen Angriffs oder Ausfalls und macht sichtbar, was im Ernstfall tatsächlich auf dem Spiel steht.

Vom Wert zur Wirkung
Die Bewertung beginnt bei kritischen Werten (Prozesse, Systeme, Daten) und deren Abhängigkeiten. Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit dienen als Raster, um Auswirkungen strukturiert zu beurteilen.

Arten möglicher Schadwirkungen

• Finanziell: Umsatzverlust, Vertragsstrafen, Krisenkosten, Wertminderung.

• Rechtlich/Regulatorisch: Bußgelder, Haftung, Meldepflichten, Auflagen.

• Operativ: Produktionsstillstände, Lieferverzug, Qualitätsverluste.

• Reputativ: Vertrauensverlust bei Kunden, Partnern, Öffentlichkeit.

Leitfragen

• Welche maximal tolerierbare Ausfallzeit haben unsere Kernprozesse?

• Welche Daten wären bei Verlust/Offenlegung besonders kritisch?

• Welche Abhängigkeiten (intern/extern) verstärken eine Wirkungskaskade?

Maßnahmen und Good Practices

• Business-Impact-Analyse mit klaren RTO/RPO-Zielwerten.

• Notfall- und Wiederanlaufpläne, Alternativprozesse und Kommunikationsleitfäden.

• Backups mit regelmäßigen Restore-Tests, Offline-Kopien für Ransomware-Szenarien.

• Kritische Lieferanten in die Wirkungsanalyse einbeziehen und SLAs anpassen.

• Versicherbarkeit prüfen (Cyber, Betriebsunterbrechung) als Ergänzung, nicht Ersatz.

Kennzahlen und Nachweise

• Erreichte RTO/RPO in Tests und realen Vorfällen.

• Erfolgsquote von Wiederherstellungstests und durchschnittliche Wiederanlaufzeit.

• Dokumentierte Wirkungsanalysen für Top-Prozesse und Datenklassen.

Typische Fehler

• Fokus nur auf Prävention, ohne Folgenabsicherung.

• Ungetestete Notfallpläne und Backups.

• Vernachlässigte Kommunikations- und Behördenprozesse.

Die Dimension „Resilienz“ beschreibt die Fähigkeit, trotz Störungen handlungsfähig zu bleiben und schnell in einen stabilen Zustand zurückzukehren – technisch, organisatorisch und kulturell.

Bausteine der Resilienz

• Organisation: klare Rollen, Eskalationswege, geübter Krisenstab, Entscheidungsfähigkeit.

• Technik: robuste Architekturen, Redundanzen, Segmentierung, verlässliche Backups und Wiederherstellungsroutinen.

• Lieferketten: belastbare SLAs, Sicherheitsklauseln, Ausweichkonzepte und Exit-Strategien.

• Menschen und Kultur: Awareness, regelmäßige Übungen, Lessons Learned und offene Fehlerkultur.

Leitfragen

• Können wir einen schweren Vorfall entdecken, eindämmen und innerhalb definierter Zeiten wiederherstellen?

• Sind Schlüsselrollen vertreten und geübt, auch außerhalb regulärer Zeiten?

• Funktionieren unsere Pläne nicht nur auf dem Papier, sondern auch in Tests?

Maßnahmen und Good Practices

• ISMS mit PDCA konsequent leben und kontinuierliche Verbesserung nachweisen.

• Krisenübungen (Tabletop, technische Wiederherstellung, Blackout-Szenario) regelmäßig durchführen.

• „Assume Breach“-Denken: Detection & Response stärken, Lateralmovement erschweren, Notfall-Zugänge absichern.

• Daten- und System-Resilienz: Offline-Backups, unveränderliche Snapshots, priorisierte Wiederanlaufreihenfolgen.

• Lieferanten-Resilienz: gemeinsame Übungen, abgestimmte Meldungen, klar geregelte Verantwortlichkeiten.

Kennzahlen und Nachweise

• Zeit bis zur Erkennung, Eindämmung und Wiederherstellung (MTTD/MTTC/MTTR).

• Übungsfrequenz und -ergebnis je Krisenszenario.

• Anteil kritischer Dienste mit getesteter Redundanz und Offline-Backup.

Typische Fehler

• „Prevention-only“-Strategien ohne Wiederherstellungskompetenz.

• Keine Vertretungsregelungen für Schlüsselrollen.

• Ungeübte Pläne, fehlende Priorisierung beim Wiederanlauf.

Die Informationssicherheit eines Unternehmens lässt sich nicht auf einzelne Maßnahmen oder Technologien reduzieren. Sie basiert auf einem strukturierten Zusammenspiel von fünf grundlegenden Dimensionen: Bedrohung, Angriffsfläche, Gefährdung, Schadwirkung und Resilienz. Gemeinsam bilden sie das Fundament für ein wirksames Sicherheitsmanagement – und damit für die nachhaltige Handlungsfähigkeit eines Unternehmens im digitalen Raum.

Bedrohungen zeigen, woher Gefahren konkret drohen. Ohne ein klares Lagebild bleiben Risiken unsichtbar – und Prävention bleibt reaktiv. Die systematische Beobachtung und Bewertung der Bedrohungslage ist daher der erste Schritt zu jeder Sicherheitsstrategie.

Angriffsflächen verdeutlichen, wo das Unternehmen verwundbar ist. Sie entstehen durch Technik, Prozesse und Menschen – und wachsen mit jedem ungepatchten System, jeder unklaren Zuständigkeit oder jedem ungeschulten Mitarbeitenden. Wer seine Angriffsfläche nicht kennt, bietet Angreifern unnötige Angriffsvektoren.

Gefährdungen entstehen, wenn eine Bedrohung auf eine konkrete Schwachstelle trifft – und daraus ein realistisches Szenario mit Schadenspotenzial wird. Erst die Gefährdungsanalyse ermöglicht eine fundierte Risikobewertung und sinnvolle Priorisierung von Schutzmaßnahmen.

Schadwirkungen beschreiben, was im Ernstfall tatsächlich auf dem Spiel steht: Betriebsunterbrechungen, finanzielle Verluste, Reputationsschäden oder regulatorische Konsequenzen. Sie sind der zentrale Maßstab für wirtschaftlich angemessene Sicherheitsentscheidungen und die Grundlage für Notfallvorsorge.

Resilienz schließlich ist die Fähigkeit, trotz eines erfolgreichen Angriffs stabil und handlungsfähig zu bleiben. Sie entscheidet über das Ausmaß eines Vorfalls – und darüber, ob ein Unternehmen nur gestört oder existenziell getroffen wird. Resilienz entsteht durch Technik, Organisation, Menschen – und durch Führung.

Die fünf Dimensionen wirken wie Zahnräder: Bedrohungen treffen auf Angriffsflächen, erzeugen Gefährdungen, führen im Ernstfall zu Schadwirkungen – und werden durch Resilienz begrenzt. Wer alle fünf Dimensionen sichtbar macht, kann Risiken adressieren, Budgets begründen und die eigene Widerstandsfähigkeit messbar steigern.

Die folgenden Beispiele zeigen, wie Bedrohung, Angriffsfläche, Gefährdung, Schadwirkung und Resilienz zusammenwirken. Sie machen deutlich, dass Investitionen in Prävention deutlich günstiger sind als die Kosten eines Sicherheitsvorfalls.

Beispiel 1: Ungepatchter VPN-Zugang

Ein mittelständisches Unternehmen wurde über einen nicht aktualisierten VPN-Server angegriffen.

• Bedrohung: Cyberkriminelle, die automatisiert nach offenen Systemen suchen.

• Angriffsfläche: Server mit ungepatchter Schwachstelle.

• Gefährdung: Kombination aus bekanntem Exploit und fehlendem Monitoring.

• Schadwirkung: Produktionsstillstand und Datenabfluss mit Kosten von ca. 400.000 Euro.

• Resilienz: Ohne vorbereitete Notfallpläne dauerte die Wiederherstellung mehrere Wochen.

Ein konsequentes Patch-Management mit jährlichen Kosten von ca. 30.000 Euro hätte den Schaden verhindert.

Beispiel 2: Phishing-Angriff ohne MFA

Mitarbeitende eines Unternehmens wurden Opfer eines Phishing-Angriffs.

• Bedrohung: Täuschend echte E-Mails von Angreifern.

• Angriffsfläche: Benutzerkonten ohne Mehrfaktor-Authentisierung.

• Gefährdung: Leichte Ausnutzbarkeit durch ungeschützte Login-Daten.

• Schadwirkung: Abfluss sensibler Kundendaten, rechtliche Aufarbeitung, Kosten von ca. 250.000 Euro.

• Resilienz: Die fehlende Schulung und MFA führten zu langer Erkennungs- und Reaktionszeit.

Regelmäßige Awareness-Trainings und MFA hätten jährlich rund 15.000 Euro gekostet und den Vorfall verhindert.

Beispiel 3: Stromausfall im Gesundheitswesen

Ein Stromausfall legte die IT-Systeme einer Klinik lahm.

• Bedrohung: Naturereignis durch Stromunterbrechung.

• Angriffsfläche: Server ohne Notstromversorgung.

• Gefährdung: Fehlende Redundanzen und Wiederanlaufpläne.

• Schadwirkung: IT-Ausfall mit erheblichen Beeinträchtigungen in der Patientenversorgung, Gesamtschaden ca. 600.000 Euro.

• Resilienz: Ohne getestete Notfallpläne war die Wiederanlaufzeit zu lang.

Investitionen in eine Notstromversorgung und Notfallübungen (80.000 Euro einmalig, 10.000 Euro jährlich) hätten den Schaden deutlich reduziert.

Beispiel 4: Angriff über die Lieferkette

Ein Zulieferer wurde Opfer eines Angriffs, über den Schadsoftware in das Netzwerk eines Industrieunternehmens gelangte.

• Bedrohung: Supply-Chain-Angriff durch externe Täter.

• Angriffsfläche: Offene Schnittstellen und fehlende Sicherheitsprüfungen der Partner.

• Gefährdung: Fehlende vertragliche Vorgaben und Sicherheitsnachweise.

• Schadwirkung: Produktionsausfälle über zwei Wochen mit Kosten von mehr als 1 Mio. Euro.

• Resilienz: Keine vorbereiteten Alternativlieferanten, verzögerte Reaktion.

Sicherheitsprüfungen und SLAs mit Partnern hätten jährlich rund 50.000 Euro gekostet und das Risiko erheblich gesenkt.

Beispiel 5: Fehlkonfigurierte Cloud-Datenbank

Ein Cloud-Dienstleister stellte sensible Kundendaten versehentlich offen ins Internet.

• Bedrohung: Angreifer, die nach ungeschützten Cloud-Instanzen suchen.

• Angriffsfläche: Fehlkonfigurierte Datenbank ohne Zugriffsbeschränkung.

• Gefährdung: Keine Sicherheitsüberprüfung nach der Einrichtung.

• Schadwirkung: Bußgelder und Vertrauensverlust, Gesamtkosten ca. 500.000 Euro.

• Resilienz: Fehlendes Compliance-Monitoring führte zu verspäteter Entdeckung.

Ein automatisiertes Konfigurations- und Compliance-Monitoring hätte jährlich rund 20.000 Euro gekostet und den Vorfall verhindert.

Die Gesamtverantwortung liegt bei der Geschäftsleitung. Sie muss sicherstellen, dass Informationssicherheit in der Unternehmensstrategie verankert ist, Ressourcen bereitgestellt werden und ein wirksames Managementsystem existiert. Auch wenn operative Aufgaben an Fachabteilungen oder den Informationssicherheitsbeauftragten (ISB) delegiert werden, bleibt die Geschäftsleitung in der Pflicht. Rechtlich bedeutet das: Verstöße oder Versäumnisse können zu persönlicher Haftung führen, insbesondere wenn grobe Fahrlässigkeit vorliegt.

In vielen Unternehmen wird mindestens einmal im Jahr ein Management-Review durchgeführt. Dort prüft die Geschäftsleitung Risikoberichte, Audit-Ergebnisse und Vorfälle und entscheidet über neue Maßnahmen oder Budgets.

Rechtliche Grundlage
Vorgaben aus NIS-2, dem IT-Sicherheitsgesetz, der DSGVO und Standards wie ISO 27001 oder BSI Grundschutz machen deutlich, dass Managementebene und Aufsichtsgremien für den Schutz von Informationen verantwortlich sind.

Der ISB oder CISO ist die zentrale Koordinationsstelle für Informationssicherheit. Er berät die Geschäftsleitung, erstellt Richtlinien, koordiniert Risikoanalysen und überwacht die Umsetzung von Sicherheitsmaßnahmen. Wichtig ist seine Unabhängigkeit: Der ISB sollte nicht gleichzeitig operativ für IT-Systeme verantwortlich sein, um Interessenkonflikte zu vermeiden.

Aufgaben eines ISB/CISO im Überblick:

• Erstellung und Pflege von Sicherheitskonzepten und Richtlinien

• Beratung und Bericht an die Geschäftsleitung

• Koordination von Risikoanalysen und Maßnahmenplänen

• Sensibilisierung und Schulung der Mitarbeitenden

• Schnittstelle zu Behörden, Kunden und Partnern

• Überprüfung der Wirksamkeit von Maßnahmen, z. B. durch Audit

In KMU übernimmt oft ein externer ISB die Rolle, da intern nicht genug Kapazität vorhanden ist.
In Konzernen berichtet ein CISO meist direkt an den Vorstand oder die Geschäftsführung.

Die Geschäftsleitung legt die Sicherheitsstrategie fest, genehmigt Richtlinien und stellt sicher, dass Verantwortlichkeiten klar verteilt sind. Sie entscheidet über Budgets, priorisiert Risiken und muss sich regelmäßig über den Status der Informationssicherheit informieren lassen.

Typische Pflichten:

• Genehmigung der Sicherheitsrichtlinie und -strategie

• Freigabe von Budgets für Technik, Personal und externe Leistungen

• regelmäßige Information durch Berichte des ISB oder CISO

• Überprüfung der Wirksamkeit im Rahmen von Management-Reviews

• Schulung der eigenen Mitglieder, um Entscheidungen fundiert treffen zu können

Viele Aufsichtsbehörden erwarten, dass Geschäftsleitungen Sicherheitsberichte mindestens quartalsweise prüfen und protokollieren. Auch Aufsichtsrat oder Beirat müssen in größeren Unternehmen eingebunden sein, um sicherzustellen, dass Informationssicherheit Teil der Unternehmenssteuerung ist.

Ein funktionierendes Sicherheitsmanagement lebt von klaren Rollen. Ein hilfreiches Modell ist RACI:

• Responsible
  führt eine Aufgabe aus

• Accountable
  trägt die Verantwortung für die Entscheidung

• Consulted
   wird beratend einbezogen

• Informed
  wird über Ergebnisse informiert

Typische Rollen im Unternehmen:

• Asset-Owner
  verantwortlich für einzelne Systeme, Anwendungen oder Daten

• Systemadministratoren
  Umsetzung technischer Maßnahmen

• Fachabteilungen
  Anwendung sicherer Prozesse und Melden von Vorfällen

• Incident-Manager
  Koordination im Krisenfall

• Revision/Audit
  unabhängige Kontrolle

In vielen Unternehmen sind Rollen nicht klar dokumentiert, oder Mitarbeitende haben doppelte Zuständigkeiten, die zu Konflikten führen. Deshalb sollte ein aktuelles Rollenmodell schriftlich festgehalten werden. Rollen und Verantwortlichkeiten sollten in Organigrammen, Rollenbeschreibungen und Verantwortungsmatrizen festgehalten werden. Sie sind Teil der Nachweispflichten gegenüber internen und externen Auditoren.

Um Informationssicherheit wirksam zu steuern, braucht es unterstützende Strukturen:

• Security Board
  ein Gremium aus IT, Fachbereichen und Management, das über Prioritäten entscheidet

• Awareness-Multiplikatoren
  geschulte Mitarbeitende, die Sicherheitsbewusstsein in ihre Abteilungen tragen

• Schnittstellen zum Datenschutzbeauftragten
  enge Zusammenarbeit, da sich Informationssicherheit und Datenschutz überschneiden

• Betriebsrat/Personalvertretung
  Einbindung, wenn Sicherheitsmaßnahmen die Mitarbeitenden betreffen (z. B. Monitoring)

• Externe Partner
  Beratung, Audits, externer ISB oder Penetrationstests, wenn internes Know-how fehlt

Viele Unternehmen kombinieren ein Security Board mit einem jährlichen externen Audit, um interne und externe Sicht zusammenzuführen.

Informationssicherheit funktioniert nur, wenn alle Beteiligten ihre Rolle kennen. IT-Abteilungen sind für technische Umsetzung zuständig, Fachbereiche für sichere Prozesse und Management für Entscheidungen und Ressourcen.

Alle Bereiche haben eigene Aufgaben:

• IT: technische Umsetzung (Firewalls, Patches, Monitoring)

• Fachbereiche: sichere Prozesse und Einhaltung von Vorgaben

• Management: Ressourcen, Strategie und Entscheidungshoheit

Best Practices für die Zusammenarbeit:

• regelmäßige Sicherheitsmeetings oder Risiko-Workshops

• Teilnahme von IT und Fachbereichen an Projekten ab der Planungsphase („Security by Design“)

• klare Eskalationswege bei Vorfällen

• Verknüpfung von Sicherheit mit Projektmanagement und Change-Management-Prozessen

In vielen Organisationen gibt es ein „Change Advisory Board“, das Änderungen prüft. Dort ist der ISB eingebunden, um Sicherheitsaspekte zu bewerten.

Das Vier-Augen-Prinzip verhindert, dass kritische Aufgaben von einer Person allein durchgeführt werden. Es dient sowohl der Fehlervermeidung als auch dem Schutz vor Missbrauch.

Beispiele:

• Freigabe von Zahlungen oder sicherheitskritischen Änderungen in Systemen

• Vergabe oder Entzug von Administratorrechten

• Zugriff auf streng vertrauliche Informationen

• Notfallzugriffe im Rahmen von Incident Response

Das Vier-Augen-Prinzip sollte sowohl technisch (z. B. durch Systemeinstellungen) als auch organisatorisch (z. B. durch Prozesse) abgesichert sein.

Risikomanagement ist das Herzstück der Informationssicherheit, weil es entscheidet, wo Maßnahmen notwendig sind und wie intensiv diese ausfallen müssen. Die operative Verantwortung liegt bei den Fachbereichen und Asset-Ownern: Sie kennen ihre Prozesse, Systeme und Daten und können am besten einschätzen, welche Bedrohungen bestehen. Der ISB koordiniert und überwacht den Prozess, sorgt für einheitliche Methoden und stellt sicher, dass Ergebnisse dokumentiert werden.
Die Entscheidung über die Behandlung oder Akzeptanz von Risiken liegt jedoch immer bei der Geschäftsleitung. Nur das Management darf Restrisiken formal akzeptieren, da es die Gesamtverantwortung trägt. Diese Entscheidungen müssen schriftlich festgehalten und regelmäßig überprüft werden. So entsteht Transparenz darüber, wie Risiken bewertet wurden und warum bestimmte Maßnahmen umgesetzt oder nicht umgesetzt wurden.

Business Continuity Management stellt sicher, dass kritische Geschäftsprozesse auch in Krisen weiterlaufen können. Es ergänzt die Informationssicherheit um organisatorische Abläufe, wenn Prävention und technische Schutzmaßnahmen nicht ausreichen. Die Verantwortung für BCM liegt in der Regel bei einem eigenen BCM-Beauftragten oder in kleineren Unternehmen beim ISB oder Risikomanager.
Zu den Aufgaben gehören:

• Identifikation kritischer Geschäftsprozesse (Business Impact Analysis)

• Entwicklung und Pflege von Notfallplänen

• Festlegung klarer Verantwortlichkeiten im Krisenstab

• regelmäßige Übungen, um Abläufe im Ernstfall zu testen

• Dokumentation von Kommunikationswegen und Eskalationsstufen
  Im Zusammenspiel mit Informationssicherheit sorgt BCM dafür, dass Ausfälle nicht zum Stillstand führen, sondern geordnet bewältigt werden können.

Im Falle eines Sicherheitsvorfalls ist die externe Kommunikation besonders sensibel. Falsche oder unkoordinierte Informationen können das Vertrauen von Kunden, Partnern und Behörden zerstören. Daher dürfen nur klar definierte Rollen nach außen auftreten.
Meistens gilt:

• Der ISB bewertet den Vorfall und liefert die Faktenbasis.

• Die Geschäftsleitung entscheidet, ob eine Meldung an Behörden notwendig ist.

• Meldungen an das BSI, Datenschutzaufsichtsbehörden oder andere Stellen erfolgen durch die Leitung oder in enger Abstimmung.

• Öffentlichkeitsarbeit wird von der Pressestelle oder Unternehmenskommunikation gesteuert, abgestimmt mit ISB und Management.
  Wichtig ist, dass diese Abläufe vorab in Richtlinien und Notfallplänen festgelegt sind, damit im Ernstfall keine Zeit verloren geht und keine widersprüchlichen Aussagen nach außen gelangen.

Schulungen sind Pflicht, weil Mitarbeitende das größte Einfallstor für Angriffe sind. Die Gesamtverantwortung liegt bei der Geschäftsleitung, die sicherstellen muss, dass Schulungen regelmäßig und verpflichtend durchgeführt werden. Der ISB entwickelt die Inhalte, wählt geeignete Formate (Präsenz, E-Learning, Awareness-Kampagnen) und koordiniert die Durchführung. Die Personalabteilung organisiert die Teilnahme und dokumentiert, wer geschult wurde. Der Betriebsrat wird eingebunden, wenn es um verpflichtende Programme geht.
Wichtige Elemente sind:

• Grundlagenschulungen für alle Mitarbeitenden (z. B. Passwortsicherheit, Phishing, sichere Datennutzung)

• vertiefte Trainings für bestimmte Rollen (z. B. Administratoren, Entwickler, Management)

• regelmäßige Wiederholung, damit Wissen aktuell bleibt

• Tests oder Übungen, um Lernerfolg und Wirksamkeit zu überprüfen
  Nur wenn Schulungen organisatorisch verankert sind, entsteht eine Sicherheitskultur, die nicht auf Papier, sondern in der Praxis gelebt wird.

Rollen wie ISB oder Incident-Manager müssen dauerhaft besetzt sein. Unternehmen sollten definieren, wer im Krankheits- oder Urlaubsfall einspringt, und Übergaben dokumentieren. So wird sichergestellt, dass keine Sicherheitslücken entstehen, wenn Schlüsselpersonen ausfallen.

Viele Unternehmen betreiben bereits Managementsysteme, etwa für Qualität (ISO 9001), Umwelt (ISO 14001) oder Arbeitssicherheit (ISO 45001). Informationssicherheit lässt sich hier sinnvoll einbinden, weil ähnliche Strukturen genutzt werden können – z. B. Richtlinien, Verantwortlichkeiten, Audits oder Management-Reviews.
Vorteile einer Integration:

• effizientere Nutzung vorhandener Prozesse (z. B. für Risikomanagement oder Dokumentation)

• weniger Doppelarbeit durch gemeinsame Audits und Berichte

• einheitliche Steuerung im Rahmen von Governance, Risk & Compliance (GRC)
  Praxisbeispiel: In vielen Unternehmen wird das ISMS nach ISO 27001 als Teil eines integrierten Managementsystems betrieben, das Qualität, Umwelt und Informationssicherheit unter einem Dach vereint.

In größeren Unternehmen haben auch Aufsichtsgremien eine Verantwortung für Informationssicherheit. Sie müssen prüfen, ob Geschäftsleitung und Management ihrer Pflicht zum Schutz von Informationen nachkommen. Dazu gehört, sich regelmäßig über Risiken, Vorfälle und Maßnahmen berichten zu lassen.
Typische Aufgaben:

• Einfordern von Sicherheitsberichten und Kennzahlen

• Bewertung der Angemessenheit von Budgets und Strategien

• Nachverfolgung von Sicherheitsvorfällen und deren Behandlung

• Unterstützung bei strategischen Entscheidungen, z. B. zu Investitionen oder Zertifizierungen

Einige Aufsichtsräte führen einmal jährlich eine gesonderte Sitzung zu IT- und Sicherheitsrisiken durch, um sicherzustellen, dass das Thema angemessen behandelt wird.

Unternehmen sind heute eng mit Dienstleistern, Partnern und Zulieferern vernetzt. Sicherheitsvorfälle bei Partnern können erhebliche Auswirkungen haben. Darum ist die Geschäftsleitung verpflichtet, auch die Informationssicherheit in der Lieferkette zu berücksichtigen.
Typische Verantwortlichkeiten:

• Einkauf/Vertragsmanagement: Prüfung von Sicherheitsanforderungen in Verträgen (z. B. AVV, Sicherheitsklauseln)

• ISB/Compliance: Bewertung von Risiken bei externen Partnern und Durchführung von Lieferantenbewertungen

• Fachbereiche: Überwachung, ob externe Dienstleister Vorgaben einhalten

• Geschäftsleitung: Entscheidung über kritische Partnerschaften und Akzeptanz von Risiken in der Lieferkette

Lieferantenbewertungen sollten dokumentiert und regelmäßig aktualisiert werden. Kritische Partner können verpflichtet werden, eigene Zertifizierungen oder Nachweise vorzulegen.

Organisatorische Maßnahmen bilden die Grundlage eines wirksamen Sicherheitskonzepts. Sie legen fest, wie Informationssicherheit gesteuert wird, wer welche Verantwortung trägt und nach welchen Regeln gearbeitet wird. Ohne klare Organisation greifen technische Schutzmaßnahmen oft ins Leere.

Sicherheitsrichtlinien und Leitlinien
Schriftliche Vorgaben, die Ziele, Verantwortlichkeiten und Regeln für den Umgang mit Informationen definieren.

Rollen- und Verantwortlichkeitsmodelle
Klare Zuweisung, wer Entscheidungen trifft, Risiken bewertet oder Vorfälle behandelt.

Schulungs- und Awareness-Programme
Regelmäßige Trainings, damit Mitarbeitende Risiken erkennen und sich sicher verhalten.

Zugriffs- und Berechtigungskonzepte
Prozesse für die Vergabe, Kontrolle und Entziehung von Rechten.

Lieferantenmanagement
Regelungen für die Auswahl, Prüfung und Überwachung von Dienstleistern und Partnern.

Dokumentations- und Nachweispflichten
Nachweise über Risiken, Maßnahmen und Kontrollen, die für interne und externe Audits erforderlich sind.

Notfall- und Krisenmanagement
Organisatorische Festlegung, wie bei Ausfällen oder Angriffen vorzugehen ist.

Diese organisatorischen Grundlagen müssen schriftlich dokumentiert, regelmäßig überprüft und in alle Abteilungen kommuniziert werden. Nur so entstehen klare Strukturen, die im Alltag auch gelebt werden.

Technische Maßnahmen ergänzen die organisatorischen Regeln und sorgen dafür, dass Sicherheitsvorgaben praktisch wirksam werden. Sie schützen Systeme, Netzwerke und Daten vor unbefugtem Zugriff, Manipulation und Ausfällen.

Zugriffskontrollen
Technische Verfahren zur Authentifizierung und Autorisierung, z. B. starke Passwörter, Mehrfaktor-Authentisierung oder rollenbasierte Berechtigungen.

Netzwerksicherheit
Absicherung durch Firewalls, Intrusion-Detection- und -Prevention-Systeme sowie Netzwerksegmentierung, um Angriffe einzudämmen.

Verschlüsselungstechnologien
Einsatz moderner Verfahren zur Sicherung von Daten bei Übertragung und Speicherung, z. B. TLS 1.3 oder AES-256.

Patch- und Update-Management
Regelmäßige Aktualisierung von Betriebssystemen, Anwendungen und Firmware, um bekannte Schwachstellen zu schließen.

Malware- und Angriffserkennung
Schutz durch Virenscanner, Endpoint Detection & Response (EDR) oder Security Information & Event Management (SIEM).

Backup- und Wiederherstellungssysteme
Automatisierte Datensicherungen mit regelmäßigen Tests, um eine funktionierende Wiederherstellung sicherzustellen.

Monitoring und Logging
Zentrale Erfassung und Überwachung sicherheitsrelevanter Ereignisse, um Angriffe frühzeitig zu erkennen.

Physische Schutzmaßnahmen
Technische Zutrittskontrollen, Alarmanlagen oder Videoüberwachung zum Schutz sensibler Bereiche.

Technische Maßnahmen müssen regelmäßig überprüft, aktualisiert und auf den Stand der Technik gebracht werden, damit sie ihre Schutzwirkung langfristig entfalten.

Patch- und Vulnerability-Management sind entscheidend, um bekannte Schwachstellen schnell zu schließen und Angriffsflächen zu minimieren. Ohne ein geregeltes Vorgehen entstehen erhebliche Risiken, da Angreifer oft auf öffentlich bekannte Lücken setzen.

Regelmäßige Schwachstellenscans
Automatisierte Prüfungen von Systemen und Anwendungen, um Sicherheitslücken frühzeitig zu identifizieren.

Bewertung von Risiken
Einstufung der gefundenen Schwachstellen nach Kritikalität, Eintrittswahrscheinlichkeit und möglichem Schaden.

Zeitnahe Updates
Einspielen von Patches und Sicherheitsupdates nach einem festgelegten Zeitplan oder bei kritischen Lücken sofort.

Dokumentation und Nachverfolgung
Protokollierung aller gefundenen Schwachstellen und durchgeführten Maßnahmen, damit Nachweise für Audits vorliegen.

Testumgebungen
Einsatz von Staging- oder Testsystemen, um Updates vor der Auslieferung in der Produktion zu prüfen.

Verantwortlichkeiten
Klare Zuständigkeiten für Schwachstellenmanagement, damit keine Lücken übersehen werden.

Ein wirksames Patch- und Vulnerability-Management reduziert das Risiko von Angriffen erheblich und ist eine Grundvoraussetzung für den Nachweis, dass Sicherheitsmaßnahmen dem Stand der Technik entsprechen.

Wie wird der Zugang zu Systemen und Daten gesichert?
Der Schutz von Zugängen ist ein zentrales Element der Informationssicherheit. Ziel ist es, sicherzustellen, dass nur berechtigte Personen und Systeme auf Informationen zugreifen können – und dies nur im notwendigen Umfang.

Authentifizierung
Verfahren zur sicheren Identifizierung von Nutzenden, z. B. durch starke Passwörter, Mehrfaktor-Authentisierung oder Hardware-Token.

Autorisierung
Vergabe von Rechten nach dem Prinzip „Need-to-Know“ und „Least Privilege“, sodass nur die notwendigen Zugriffe möglich sind.

Zentralisiertes Identity- und Access-Management (IAM)
Verwaltung von Benutzerkonten, Rollen und Rechten über zentrale Systeme, inklusive Single Sign-On und automatisierter Prozesse.

Regelmäßige Überprüfung
Rezertifizierung von Rechten, um sicherzustellen, dass ehemalige Mitarbeitende oder wechselnde Rollen keine unnötigen Zugriffe behalten.

Protokollierung und Monitoring
Aufzeichnung von Anmeldeversuchen und Zugriffen auf sensible Daten, um Missbrauch oder Angriffe erkennen zu können.

Absicherung privilegierter Zugriffe
Besonderer Schutz für Administratoren und andere mit weitreichenden Rechten, z. B. durch getrennte Konten und strenge Freigabeprozesse.

Eine konsequent umgesetzte Zugangskontrolle verhindert unberechtigten Zugriff und reduziert die Gefahr von Insider-Bedrohungen oder externen Angriffen erheblich.

Verschlüsselung schützt Informationen vor unbefugtem Zugriff, selbst wenn Daten abgefangen oder entwendet werden. Sie ist eine der wichtigsten technischen Maßnahmen und sollte sowohl bei der Speicherung als auch bei der Übertragung von Daten eingesetzt werden.

Datenübertragung
Absicherung von Verbindungen durch aktuelle Standards wie TLS 1.3 für Webseiten, VPNs für externe Zugriffe und verschlüsselte E-Mail-Übertragung (z. B. S/MIME oder PGP).

Datenspeicherung
Verschlüsselung von Festplatten, Servern, mobilen Endgeräten oder Cloud-Speichern, um bei Verlust oder Diebstahl unbefugten Zugriff zu verhindern.

Schlüsselmanagement
Sichere Erstellung, Aufbewahrung und Rotation von Schlüsseln, z. B. durch Hardware-Sicherheitsmodule (HSM) oder zentrale Key-Management-Systeme.

Datenbanken und Anwendungen
Einsatz von Datenbankverschlüsselung, Verschlüsselung auf Feldebene oder in Anwendungen, wenn besonders sensible Informationen verarbeitet werden.

Backup und Archiv
Sicherungskopien und Archivdaten müssen genauso geschützt werden wie produktive Systeme.

Starke Algorithmen
Nutzung von Verfahren nach Stand der Technik, z. B. AES-256 für Symmetrische Verschlüsselung oder RSA/ECC mit ausreichend langen Schlüsseln für Asymmetrische Verfahren.

Eine durchdachte Verschlüsselungsstrategie stellt sicher, dass Informationen auch dann geschützt bleiben, wenn Systeme kompromittiert oder Datenträger entwendet werden.

Backups sind die letzte Verteidigungslinie gegen Datenverlust. Sie schützen vor Schäden durch technische Defekte, menschliche Fehler, Malware oder Cyberangriffe wie Ransomware. Entscheidend ist, dass nicht nur Daten gesichert, sondern auch die Wiederherstellung regelmäßig getestet wird.

Backup-Strategie
Definition, welche Systeme und Daten in welchem Rhythmus gesichert werden. Orientierung an der Schutzbedarfsanalyse und den Recovery-Anforderungen.

3-2-1-Regel
Drei Kopien von Daten, auf zwei verschiedenen Medien, davon eine Kopie außerhalb des Hauptstandorts (z. B. Cloud oder externes Rechenzentrum).

Automatisierung
Automatische Sicherungen verringern das Risiko menschlicher Fehler und stellen eine gleichbleibende Qualität sicher.

Aufbewahrungsfristen
Festlegung, wie lange Backups aufbewahrt werden müssen, abhängig von gesetzlichen Vorgaben und geschäftlichen Anforderungen.

Verschlüsselung und Zugriffsschutz
Backups enthalten oft besonders sensible Daten und müssen daher verschlüsselt und vor unbefugtem Zugriff geschützt werden.

Wiederherstellungstests
Regelmäßige Tests, um sicherzustellen, dass Daten im Ernstfall tatsächlich und innerhalb der geforderten Zeit wiederhergestellt werden können.

Ein wirksames Backup- und Wiederherstellungsmanagement stellt sicher, dass Unternehmen auch nach schwerwiegenden Vorfällen schnell wieder arbeitsfähig sind und keine dauerhaften Schäden entstehen.

Netzwerksegmentierung teilt ein Unternehmensnetz in voneinander abgegrenzte Bereiche. Dadurch wird verhindert, dass sich Angreifer oder Schadsoftware ungehindert ausbreiten können, wenn ein Bereich kompromittiert wird. Segmentierung erhöht die Sicherheit und verbessert gleichzeitig die Übersicht über den Datenverkehr.

Trennung nach Schutzbedarf
Kritische Systeme wie Produktionsanlagen oder Finanzsysteme werden in eigene Segmente gelegt, getrennt von Büro-IT oder weniger sensiblen Netzen.

DMZ (Demilitarisierte Zone)
Bereiche für öffentlich erreichbare Systeme wie Webserver oder Mailserver werden von internen Netzen getrennt, um Angriffe besser abzufangen.

Firewalls und Zugriffsregeln
Segmentgrenzen werden durch Firewalls oder Router abgesichert, die nur den unbedingt notwendigen Datenverkehr zulassen.

Zero-Trust-Architekturen
Feingranulare Segmentierung bis auf Benutzer- oder Anwendungsebene, sodass jede Verbindung geprüft wird („never trust, always verify“).

Überwachung und Monitoring
Segmentierung erleichtert das Erkennen von ungewöhnlichem Datenverkehr, weil nicht alle Systeme miteinander kommunizieren dürfen.

Beispiel aus der Praxis
Wenn ein Mitarbeiter-PC mit Malware infiziert wird, verhindert die Segmentierung, dass direkt auf Produktionssysteme oder sensible Datenbanken zugegriffen werden kann.

Durch eine konsequente Netzwerksegmentierung wird die Angriffsfläche deutlich reduziert und die Widerstandsfähigkeit des Unternehmensnetzwerks gestärkt.

Anwendungen sind oft das direkte Einfallstor für Angreifer. Ein sicherer Betrieb stellt sicher, dass Software von der Entwicklung über den Einsatz bis zur Stilllegung kontrolliert und geschützt wird.

Sichere Entwicklung (Secure Coding)
Bereits in der Programmierung werden Sicherheitsprinzipien berücksichtigt, z. B. Eingabevalidierung, sichere Fehlerbehandlung und Schutz vor SQL-Injection oder Cross-Site-Scripting.

Change- und Release-Management
Änderungen an Anwendungen erfolgen nach definierten Prozessen, werden dokumentiert und vor der Freigabe getestet.

Regelmäßige Updates
Anwendungen werden kontinuierlich auf neue Versionen und Sicherheitspatches geprüft, um bekannte Schwachstellen zu schließen.

Schutz sensibler Daten
Anwendungen müssen Verschlüsselung, Zugriffskontrollen und sichere Schnittstellen nutzen, wenn vertrauliche Informationen verarbeitet werden.

Monitoring im Betrieb
Protokollierung und Überwachung verdächtiger Aktivitäten, z. B. durch SIEM-Systeme oder Intrusion Detection.

Sichere Stilllegung
Wenn Anwendungen außer Betrieb gehen, müssen Daten sicher gelöscht und Zugriffe entzogen werden, damit keine Hintertüren offenbleiben.

Ein strukturierter Ansatz zum sicheren Betrieb von Anwendungen minimiert Risiken und stellt sicher, dass Sicherheitsmaßnahmen während des gesamten Lebenszyklus wirksam sind.

Physische Sicherheit schützt Gebäude, Räume und Geräte vor unbefugtem Zutritt, Diebstahl oder Manipulation. Sie ist ein grundlegender Bestandteil der Informationssicherheit, da Angreifer sonst technische Schutzmaßnahmen umgehen könnten.

Zutrittskontrolle
Nur berechtigte Personen dürfen sicherheitsrelevante Bereiche betreten, z. B. durch Schlüssel, Chipkarten oder biometrische Systeme.

Überwachung und Alarmanlagen
Kameras, Bewegungsmelder und Alarmanlagen sichern besonders sensible Bereiche wie Rechenzentren oder Archive.

Sicherung von Endgeräten
Server, Arbeitsplatzrechner und mobile Geräte müssen vor Diebstahl oder Manipulation geschützt werden, z. B. durch Gehäuseschlösser oder Kabelsicherungen.

Brandschutz und Umweltschutz
Rauchmelder, Feuerlöscheinrichtungen, Klimatisierung und Überspannungsschutz verhindern Schäden durch Brände, Hitze, Wasser oder Stromausfälle.

Besuchermanagement
Externe Besucher müssen sich anmelden, erhalten zeitlich begrenzte Berechtigungen und werden begleitet, wenn sie sich in sensiblen Bereichen bewegen.

Schutz von Informationen in Papierform
Vertrauliche Unterlagen gehören in abschließbare Schränke oder Archive, Aktenvernichter sorgen für sichere Entsorgung.

Physische Sicherheit stellt sicher, dass Informationen nicht durch direkten Zugriff auf Gebäude, Geräte oder Papierdokumente kompromittiert werden können.

Mitarbeitende sind oft das schwächste Glied in der Sicherheitskette. Awareness- und Schulungsmaßnahmen sorgen dafür, dass alle im Unternehmen Gefahren erkennen und sich sicher verhalten können.

Grundlagenschulungen
Alle Mitarbeitenden erhalten regelmäßige Trainings zu Basisthemen wie Passwortsicherheit, Phishing, Social Engineering und sicherer Umgang mit Daten.

Rollenbasierte Trainings
Zusätzliche Schulungen für bestimmte Gruppen, z. B. Administratoren, Entwickler, Führungskräfte oder Support-Mitarbeitende.

Regelmäßige Wiederholung
Wissen muss aufgefrischt werden, da Angriffsarten und Bedrohungen sich ständig verändern.

Praktische Übungen
Phishing-Simulationen, Sicherheitsübungen oder Notfalltests helfen, das Wissen im Alltag anzuwenden.

Kommunikationsmaßnahmen
Poster, Newsletter oder kurze Videos halten das Thema präsent und sensibilisieren dauerhaft.

Verbindlichkeit
Schulungen sind Pflicht und werden dokumentiert, um Nachweise für Prüfungen und Audits zu erbringen.

Awareness-Programme sind erfolgreich, wenn sie regelmäßig stattfinden, an die jeweilige Zielgruppe angepasst sind und dazu beitragen, eine gelebte Sicherheitskultur im Unternehmen zu schaffen.

Unkontrollierte Änderungen an Systemen und falsche Konfigurationen gehören zu den häufigsten Ursachen für Sicherheitslücken. Ein strukturiertes Change- und Konfigurationsmanagement stellt sicher, dass Änderungen geplant, geprüft und dokumentiert werden.

Formalisierte Änderungsprozesse
Jede Änderung an Systemen, Anwendungen oder Infrastruktur erfolgt nach klar definierten Abläufen.

Freigabe und Prüfung
Änderungen werden vor der Umsetzung geprüft und von Verantwortlichen freigegeben, um Risiken zu minimieren.

Dokumentation
Alle Änderungen werden nachvollziehbar protokolliert, damit spätere Fehleranalysen oder Audits möglich sind.

Testumgebungen
Neue Konfigurationen oder Updates werden zunächst in einer kontrollierten Umgebung getestet, bevor sie in die Produktion gehen.

Rückfallpläne
Für kritische Änderungen gibt es definierte Notfallpläne, um Systeme bei Problemen schnell in den vorherigen Zustand zurückzuführen.

Kontinuierliche Überprüfung von Konfigurationen
Regelmäßige Audits und automatisierte Tools prüfen, ob Systeme noch den Vorgaben entsprechen.

Ein wirksames Change- und Konfigurationsmanagement verhindert Ausfälle und Sicherheitslücken, die durch unkoordinierte oder fehlerhafte Änderungen entstehen können.

Logging und Monitoring sind zentrale Bausteine der Angriffserkennung. Sie stellen sicher, dass sicherheitsrelevante Ereignisse erfasst, ausgewertet und im Ernstfall schnell erkannt werden. Ohne diese Maßnahmen bleiben viele Angriffe unbemerkt.

Zentrale Protokollierung
Sicherheitsrelevante Ereignisse wie Anmeldeversuche, Änderungen an Systemen oder Zugriffe auf sensible Daten werden systematisch erfasst.

Echtzeit-Monitoring
Automatisierte Systeme überwachen Ereignisse in Echtzeit und schlagen bei verdächtigen Aktivitäten Alarm.

Korrelation von Ereignissen
Security-Information-and-Event-Management-Systeme (SIEM) oder moderne Security Operations Center (SOC) werten Daten aus verschiedenen Quellen aus, um Angriffe zu erkennen.

Aufbewahrung von Logs
Protokolle werden für definierte Zeiträume gespeichert, um Sicherheitsvorfälle nachvollziehen und für Audits auswerten zu können.

Zugriffsschutz für Logdaten
Protokolle selbst müssen geschützt werden, da sie sensible Informationen enthalten und nicht manipuliert werden dürfen.

Integration in Incident-Management
Monitoring liefert die Grundlage, um Vorfälle schnell zu identifizieren, einzuordnen und zu bearbeiten.

Ein durchdachtes Logging- und Monitoring-Konzept sorgt dafür, dass Bedrohungen nicht unentdeckt bleiben und Unternehmen rechtzeitig reagieren können.

Incident-Management sorgt dafür, dass Sicherheitsvorfälle schnell erkannt, bewertet und behandelt werden. Ziel ist es, Schäden zu begrenzen, Ursachen zu beseitigen und Lehren für die Zukunft zu ziehen.

Klare Definition von Vorfällen
Festlegung, was als Sicherheitsvorfall gilt, z. B. Malware-Infektionen, Datenabfluss oder unbefugter Zugriff.

Meldewege
Etablierte Kanäle, über die Mitarbeitende Vorfälle unkompliziert und sofort melden können.

Rollen und Zuständigkeiten
Benennung von Incident-Handlern, die Vorfälle untersuchen und koordinieren, sowie Eskalationsstufen für schwerwiegende Fälle.

Standardisierte Abläufe
Playbooks oder Handlungsanweisungen, die für verschiedene Szenarien vorgeben, wie reagiert wird.

Kommunikation
Abgestimmte Information an Management, betroffene Fachbereiche und – falls nötig – externe Stellen wie BSI oder Datenschutzbehörden.

Dokumentation
Lückenlose Aufzeichnung von Vorfällen, Entscheidungen und Maßnahmen für spätere Auswertungen und Audits.

Nachbereitung und Lessons Learned
Analyse der Ursachen und Ableitung von Maßnahmen, um Wiederholungen zu verhindern.

Ein strukturiertes Incident-Management minimiert Schäden und erhöht die Reaktionsfähigkeit des Unternehmens bei Angriffen oder Störungen.

Notfall- und Krisenmanagement stellt sicher, dass Unternehmen auch bei schweren Störungen oder Angriffen handlungsfähig bleiben. Während das Incident-Management akute Vorfälle behandelt, geht es hier um die strukturierte Bewältigung von größeren Ausfällen und Krisensituationen.

Business Impact Analyse (BIA)
Ermittlung, welche Geschäftsprozesse kritisch sind und wie lange deren Ausfall tolerierbar ist.

Notfallpläne
Dokumentierte Anweisungen, die genau festlegen, wer im Ernstfall welche Aufgaben übernimmt.

Krisenstab
Ein Gremium aus Management, IT, Kommunikation und betroffenen Fachbereichen, das im Krisenfall Entscheidungen trifft.

Kommunikation im Notfall
Festgelegte Kommunikationswege für Mitarbeitende, Kunden, Partner und Behörden, um Chaos und Falschinformationen zu vermeiden.

Notfallübungen
Regelmäßige Tests, z. B. Blackout-Simulationen oder Ransomware-Übungen, damit Abläufe eingeübt sind.

Rückkehr zum Normalbetrieb
Maßnahmen und Kriterien, um nach einer Krise geordnet wieder in den Regelbetrieb überzugehen.

Ein wirksames Notfall- und Krisenmanagement schützt Unternehmen davor, dass einzelne Vorfälle zu langfristigen Betriebsunterbrechungen oder existenzbedrohenden Situationen führen.

Tests und Audits prüfen, ob Sicherheitsmaßnahmen wirksam sind und ob Systeme dem Stand der Technik entsprechen. Sie helfen, Schwachstellen zu erkennen, bevor Angreifer diese ausnutzen können.

Technische Tests
Regelmäßige Schwachstellenscans und Konfigurationsprüfungen, um fehlerhafte Einstellungen oder Sicherheitslücken aufzudecken.

Penetrationstests
Gezielte Angriffe durch interne oder externe Experten, die reale Angriffsszenarien simulieren, um die Widerstandsfähigkeit von Systemen und Anwendungen zu prüfen.

Red-Teaming
Erweiterte Szenarien, bei denen Angriffe längerfristig und mit verschiedenen Methoden durchgeführt werden, oft ohne Vorankündigung an die Organisation.

Notfall- und Wiederherstellungstests
Prüfung, ob Backups und Notfallpläne in der Praxis funktionieren und Systeme im Ernstfall rechtzeitig wiederhergestellt werden können.

Audits
Interne und externe Überprüfungen von Prozessen, Richtlinien und technischen Maßnahmen, z. B. nach ISO 27001 oder BSI-Grundschutz.

Compliance-Tests
Überprüfung, ob gesetzliche Vorgaben wie NIS-2, DSGVO oder branchenspezifische Standards eingehalten werden.

Regelmäßige Tests und Audits schaffen Vertrauen, sorgen für kontinuierliche Verbesserung und liefern Nachweise für Behörden, Kunden und Partner.

Externe Partner und Cloud-Anbieter sind oft eng in Geschäftsprozesse eingebunden. Damit erhöhen sie die Abhängigkeit, aber auch die Angriffsfläche. Sicherheit in der Zusammenarbeit muss deshalb vertraglich, organisatorisch und technisch sichergestellt werden.

Vertragliche Regelungen
Sicherheitsanforderungen müssen in Verträgen oder Auftragsverarbeitungsverträgen (AVV) festgelegt werden, einschließlich Meldepflichten bei Vorfällen.

Anbieterbewertung
Vor Vertragsabschluss sollte geprüft werden, ob der Anbieter über Zertifizierungen wie ISO 27001, BSI C5 oder SOC-Reports verfügt.

Risikobewertung
Abhängig vom Schutzbedarf werden Dienstleister nach Kritikalität eingestuft und in das eigene Risikomanagement aufgenommen.

Technische Absicherung
Verschlüsselte Verbindungen, strikte Zugriffskontrollen und Trennung von Daten sorgen dafür, dass Informationen geschützt bleiben.

Überwachung und Audits
Regelmäßige Prüfungen und Nachweise des Anbieters stellen sicher, dass vereinbarte Maßnahmen tatsächlich umgesetzt werden.

Exit-Strategie
Vorab wird festgelegt, wie Daten im Falle einer Kündigung sicher zurückgeführt oder gelöscht werden.

Eine strukturierte Einbindung externer Partner reduziert Risiken in der Lieferkette und stärkt die Vertrauenswürdigkeit von Geschäftsbeziehungen.

Die Lieferkette ist oft ein unterschätzter Risikofaktor. Schwachstellen bei Partnern oder Dienstleistern können gravierende Folgen für das eigene Unternehmen haben. Deshalb müssen Sicherheitsanforderungen entlang der gesamten Lieferkette konsequent umgesetzt und überwacht werden.

Vertragliche Sicherheitsanforderungen
Sicherheitsstandards und Meldepflichten werden verbindlich in Verträgen oder Rahmenvereinbarungen festgelegt.

Lieferantenbewertung
Dienstleister und Zulieferer werden vor der Zusammenarbeit auf ihre Sicherheitsmaßnahmen geprüft, z. B. durch Fragebögen oder Zertifikate.

Risikobasierte Einstufung
Partner werden nach Kritikalität bewertet – besonders sensible oder systemrelevante Lieferanten unterliegen strengeren Kontrollen.

Kontinuierliche Überwachung
Regelmäßige Überprüfungen, Audits oder Nachweise stellen sicher, dass Sicherheitsvorgaben eingehalten werden.

Sicherer Datenaustausch
Informationen mit Partnern werden verschlüsselt übertragen und durch klare Zugriffsregelungen geschützt.

Notfallplanung mit Partnern
Abstimmung, wie im Falle von Sicherheitsvorfällen oder Ausfällen in der Lieferkette gemeinsam reagiert wird.

Eine systematische Einbindung der Lieferkette in das eigene Sicherheitsmanagement schützt vor indirekten Risiken und erfüllt gleichzeitig regulatorische Anforderungen wie NIS-2.

Standards und Best Practices bieten Unternehmen Orientierung, um Informationssicherheit strukturiert und nach anerkannten Vorgaben umzusetzen. Sie helfen, Maßnahmen vergleichbar zu machen und Nachweise gegenüber Kunden, Partnern und Behörden zu erbringen.

ISO/IEC 27001
International anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS), Grundlage vieler Zertifizierungen.

ISO/IEC 27002
Sammlung von Maßnahmen und Leitlinien, die als Umsetzungshilfe für ISO 27001 dienen.

BSI IT-Grundschutz
Deutscher Standard mit Modulen, Bausteinen und Maßnahmenkatalogen, geeignet für eine praxisnahe Umsetzung.

NIS-2 und IT-Sicherheitsgesetz
Rechtliche Vorgaben für Unternehmen, die kritische oder besonders wichtige Einrichtungen betreiben.

CIS Controls
Kompakte Sammlung von priorisierten Sicherheitsmaßnahmen, insbesondere für den technischen Bereich.

NIST Cybersecurity Framework
International verbreitetes Rahmenwerk, das Informationssicherheit in die Bereiche Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen einteilt.

Branchenspezifische Vorgaben
Spezielle Standards wie PCI DSS für den Zahlungsverkehr oder TISAX für die Automobilindustrie.

Die Nutzung solcher Standards erleichtert es, Informationssicherheit systematisch aufzubauen, kontinuierlich zu verbessern und den Stand der Technik nachzuweisen.

Ein Unternehmen kann nur schützen, was es kennt. Deshalb ist ein vollständiger Überblick über alle Systeme, Anwendungen und Informationen unverzichtbar. Asset- und Informationsmanagement schafft Transparenz über den Bestand und den Schutzbedarf.

Inventarisierung
Alle IT-Systeme, Anwendungen, Geräte und Informationen werden in einer zentralen Datenbank erfasst.

Klassifizierung
Informationen und Systeme werden nach Kritikalität und Schutzbedarf eingestuft, um Sicherheitsmaßnahmen gezielt einzusetzen.

Verantwortlichkeiten
Für jedes Asset wird ein Verantwortlicher benannt, der über Risiken, Änderungen und Sicherheitsmaßnahmen entscheidet.

Aktualität
Das Verzeichnis wird regelmäßig gepflegt, damit neue oder ausgemusterte Systeme erfasst sind.

Ein systematisches Asset- und Informationsmanagement ist die Grundlage für Risikoanalysen, Schutzbedarfsermittlung und wirksame Sicherheitsmaßnahmen.

Wenn Unternehmen eigene Anwendungen entwickeln, ist Sicherheit von Anfang an ein Muss. Ein sicherer Softwareentwicklungsprozess (Secure Development Lifecycle, SDLC) berücksichtigt Sicherheitsaspekte in jeder Phase.

Sicheres Design
Schon in der Konzeptphase werden Bedrohungen berücksichtigt („Threat Modeling“).

Sicheres Programmieren
Entwickler nutzen sichere Bibliotheken, Code-Reviews und Automatisierungstools, um typische Fehler zu vermeiden.

Testen
Automatisierte Sicherheitstests und manuelle Prüfungen decken Schwachstellen auf, bevor Software in Betrieb geht.

DevSecOps
Sicherheitsprüfungen werden kontinuierlich in den Entwicklungs- und Deployment-Prozess integriert.

Patch-Management
Nach Veröffentlichung werden Anwendungen regelmäßig aktualisiert und bekannte Lücken geschlossen.

Durch die Integration von Sicherheit in die Entwicklung entstehen Anwendungen, die von Beginn an widerstandsfähiger gegen Angriffe sind.

Alte Datenträger, Geräte oder Papierunterlagen enthalten oft noch sensible Informationen. Werden sie nicht sicher entsorgt, können Daten in falsche Hände geraten.

Datenlöschung
Sicheres Überschreiben von Datenträgern nach anerkannten Verfahren, z. B. mehrfaches Überschreiben mit Zufallswerten.

Physische Zerstörung
Shreddern, Schmelzen oder andere Verfahren, um Datenträger endgültig unbrauchbar zu machen.

Papierunterlagen
Einsatz von Aktenvernichtern nach DIN 66399 oder zertifizierte Entsorgungsdienstleister.

Nachweise
Dokumentation der Entsorgungsvorgänge, besonders bei externen Dienstleistern.

Prozesse
Verbindliche Regelungen, wie alte Geräte und Unterlagen gesammelt, behandelt und entsorgt werden.

Eine sichere Datenlöschung und Entsorgung verhindert, dass sensible Informationen nachträglich offengelegt werden.

Informationssicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Der PDCA-Zyklus (Plan-Do-Check-Act) sorgt dafür, dass Maßnahmen regelmäßig überprüft und weiterentwickelt werden.

Plan
Risiken analysieren, Ziele festlegen und Maßnahmen planen.

Do
Die geplanten Maßnahmen technisch und organisatorisch umsetzen.

Check
Wirksamkeit der Maßnahmen prüfen, z. B. durch Audits, Tests und Monitoring.

Act
Ergebnisse auswerten, Verbesserungen ableiten und in die nächste Planungsrunde übernehmen.

Dieser Zyklus wird kontinuierlich durchlaufen und sorgt dafür, dass das Sicherheitsniveau Schritt für Schritt steigt und an neue Bedrohungen angepasst wird.

Informationssicherheit und Datenschutz überschneiden sich stark, verfolgen aber unterschiedliche Schwerpunkte. Informationssicherheit schützt alle Informationen, egal ob personenbezogen oder nicht. Die DSGVO bezieht sich ausschließlich auf personenbezogene Daten und verlangt deren rechtmäßige Verarbeitung.

Technische und organisatorische Maßnahmen (TOMs)
Die DSGVO fordert den Schutz personenbezogener Daten durch geeignete Sicherheitsmaßnahmen. Diese TOMs sind inhaltlich deckungsgleich mit Maßnahmen aus der Informationssicherheit.

Verantwortlichkeiten
Der Datenschutzbeauftragte (DSB) überwacht die Einhaltung der DSGVO, der Informationssicherheitsbeauftragte (ISB) koordiniert Sicherheitsmaßnahmen – beide Rollen müssen eng zusammenarbeiten.

Rechtsgrundlagen
Während Informationssicherheit auf Standards wie ISO 27001 oder BSI-Grundschutz basiert, hat die DSGVO direkten Gesetzescharakter mit Bußgeldandrohungen.

Ziel
Beide Bereiche verfolgen ein gemeinsames Ziel: den Schutz von Informationen und Vertrauen bei Kunden, Mitarbeitenden und Partnern.

Das IT-Sicherheitsgesetz (IT-SiG) ist das zentrale deutsche Regelwerk für Cybersicherheit. Es verpflichtet bestimmte Unternehmen, Mindeststandards einzuhalten und Sicherheitsvorfälle zu melden. Ziel ist es, kritische Infrastrukturen und die Gesamtwirtschaft widerstandsfähiger gegen Angriffe zu machen.

Kritische Infrastrukturen (KRITIS)
Betreiber in Bereichen wie Energie, Gesundheit, Transport oder Finanzen müssen nachweisen, dass ihre Systeme angemessen geschützt sind.

Meldepflichten
Schwerwiegende Sicherheitsvorfälle müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

Mindeststandards
Das BSI kann verbindliche Vorgaben zum „Stand der Technik“ machen, die Unternehmen einhalten müssen.

IT-SiG 2.0
Die Neufassung von 2021 hat den Geltungsbereich erweitert: Auch „Unternehmen im besonderen öffentlichen Interesse“ (UBI) wie Rüstungshersteller oder große Cloud-Anbieter sind einbezogen.

Das IT-Sicherheitsgesetz ergänzt europäische Vorgaben wie NIS-2 und bildet die nationale Grundlage für Aufsicht und Durchsetzung in Deutschland.

Die NIS-2-Richtlinie ist die wichtigste europäische Vorgabe für Cybersicherheit. Sie erweitert die bisherigen Pflichten und bezieht deutlich mehr Unternehmen ein. Ziel ist es, die digitale Widerstandsfähigkeit in allen Mitgliedstaaten zu erhöhen.

Erweiterter Geltungsbereich
Nicht nur kritische Infrastrukturen, sondern auch zahlreiche weitere Sektoren (z. B. Verwaltung, Abfallwirtschaft, Postdienste, Hersteller) fallen unter die Richtlinie.

Sicherheitsanforderungen
Unternehmen müssen ein systematisches Sicherheitsmanagement aufbauen und zehn Kernanforderungen erfüllen – darunter Risikomanagement, Business Continuity, Incident-Handling, Monitoring, Kryptografie und Sicherheit in der Lieferkette.

Meldepflichten
Schwerwiegende Sicherheitsvorfälle sind innerhalb von 24 Stunden als Frühwarnung und innerhalb von 72 Stunden als detaillierte Meldung einzureichen.

Verantwortung der Geschäftsleitung
Das Management haftet für Verstöße und muss persönlich für die Umsetzung sorgen.

Sanktionen
Es drohen empfindliche Bußgelder, die sich an den Jahresumsätzen orientieren.

NIS-2 schafft einen europaweit einheitlichen Mindeststandard und zwingt Unternehmen, Cybersicherheit auf Managementebene verbindlich zu verankern.

Die europäische Verordnung DORA (Digital Operational Resilience Act) richtet sich speziell an Banken, Versicherungen, Zahlungsdienstleister und andere Finanzunternehmen. Sie soll sicherstellen, dass die Finanzbranche widerstandsfähig gegenüber IT-Störungen und Cyberangriffen ist.

Umfassender Geltungsbereich
Neben klassischen Banken und Versicherungen sind auch Fonds, Wertpapierfirmen, Kryptodienstleister und kritische Drittanbieter wie Cloud-Provider betroffen.

Risikomanagement
Unternehmen müssen ein einheitliches Rahmenwerk für IT- und Cyberrisiken einführen, das regelmäßig geprüft und dokumentiert wird.

Incident-Meldungen
IT-Vorfälle müssen standardisiert und fristgerecht an die Aufsichtsbehörden gemeldet werden.

Resilienztests
Regelmäßige Tests, darunter Bedrohungsanalysen, Penetrationstests und Szenarioübungen, werden vorgeschrieben.

Drittanbieter-Management
Finanzunternehmen müssen Risiken in der Lieferkette besonders streng überwachen und Verträge mit kritischen Dienstleistern anpassen.

DORA schließt eine Regulierungslücke im Finanzsektor und sorgt dafür, dass IT-Sicherheit und betriebliche Resilienz verbindlich gesteuert werden.

Der BSI-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik entwickeltes Vorgehensmodell für Informationssicherheit. Er bietet praxisnahe Bausteine, Maßnahmen und Hilfsmittel, mit denen Unternehmen Sicherheitskonzepte systematisch umsetzen können.

Strukturierte Vorgehensweise
Der Grundschutz gliedert Sicherheitsmaßnahmen in Bausteine, die typischen Geschäftsprozessen, IT-Systemen und Anwendungen zugeordnet sind.

Schutzbedarfsermittlung
Unternehmen lernen, ihren individuellen Schutzbedarf einzuschätzen und passende Maßnahmen auszuwählen.

Kombination mit ISO 27001
Der Grundschutz ist kompatibel mit internationalen Standards und ermöglicht sogar eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz.

Praxisnähe
Durch klare Vorgaben und Hilfsmittel wie Gefährdungskataloge oder Muster-Sicherheitskonzepte ist er besonders für Behörden, mittelständische und große Unternehmen geeignet.

Der BSI-Grundschutz schafft eine solide Basis, um Informationssicherheit systematisch, nachvollziehbar und nachprüfbar aufzubauen.

ISO/IEC 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Er definiert die Anforderungen, wie Informationssicherheit systematisch eingeführt, betrieben und kontinuierlich verbessert werden kann.

Managementsystem-Ansatz
Der Standard fordert, dass Informationssicherheit auf oberster Managementebene verankert und strategisch gesteuert wird.

Risikoorientierung
Maßnahmen werden nicht pauschal vorgegeben, sondern auf Basis einer Risikoanalyse geplant und umgesetzt.

Annex A Maßnahmenkatalog
ISO/IEC 27001 enthält einen Katalog mit zentralen Sicherheitskontrollen, die als Orientierung für technische und organisatorische Maßnahmen dienen.

Zertifizierung
Unternehmen können ihr ISMS von unabhängigen Stellen prüfen und zertifizieren lassen, um die Wirksamkeit nachzuweisen.

Internationale Anerkennung
Als globaler Standard erleichtert ISO 27001 den Nachweis von Sicherheit gegenüber internationalen Kunden, Partnern und Behörden.

ISO/IEC 27001 unterstützt Unternehmen dabei, Informationssicherheit strukturiert, nachvollziehbar und überprüfbar umzusetzen.

ISO 27001 und BSI-Grundschutz verfolgen das gleiche Ziel – den systematischen Aufbau von Informationssicherheit –, unterscheiden sich aber in Methodik und Detailtiefe. Unternehmen können je nach Bedarf und Rahmenbedingungen das passende Modell auswählen oder beide kombinieren.

ISO/IEC 27001

• internationaler Standard, weltweit anerkannt

• risikoorientierter Ansatz: Maßnahmen richten sich nach den Ergebnissen der Risikoanalyse

• Fokus auf Managementsystem (ISMS) und kontinuierliche Verbesserung

• Zertifizierung für internationale Geschäftsbeziehungen besonders wertvoll

BSI-Grundschutz

• nationaler Standard, vom BSI entwickelt

• detailreicher Maßnahmenkatalog mit Bausteinen und Gefährdungskatalog

• praxisnah, vor allem für Behörden und mittelständische Unternehmen geeignet

• ermöglicht ebenfalls eine ISO-27001-Zertifizierung „auf Basis von IT-Grundschutz“

Kombination
Viele Organisationen nutzen ISO 27001 als übergeordneten Rahmen und den BSI-Grundschutz als praxisnahe Umsetzungshilfe.

Damit ergänzen sich beide Ansätze: ISO 27001 bietet den globalen Standard, während der BSI-Grundschutz für detaillierte nationale Vorgaben sorgt.

Unternehmen, die als Betreiber kritischer Infrastrukturen (KRITIS) gelten, unterliegen in Deutschland besonderen Sicherheits- und Meldepflichten. Ziel ist der Schutz von Einrichtungen, deren Ausfall erhebliche Folgen für Gesellschaft, Wirtschaft oder Sicherheit hätte.

Definition von KRITIS
Dazu zählen Betreiber aus Sektoren wie Energie, Wasser, Ernährung, Gesundheit, Finanzen, Transport und Informationstechnik. Schwellenwerte legen fest, ab welcher Größe ein Unternehmen als KRITIS-Betreiber gilt.

Nachweispflichten
KRITIS-Unternehmen müssen regelmäßig belegen, dass ihre Systeme nach dem Stand der Technik geschützt sind. Dies erfolgt durch Sicherheitskonzepte, Prüfungen und Audits.

Meldepflichten
Schwerwiegende Sicherheitsvorfälle sind unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Aufsicht durch das BSI
Das BSI überprüft Sicherheitskonzepte, führt Prüfungen durch und kann bei Mängeln Auflagen erteilen.

Zusammenhang mit NIS-2
Mit der Umsetzung der NIS-2-Richtlinie wird der Kreis der betroffenen Unternehmen größer. Auch Unternehmen außerhalb der klassischen KRITIS-Sektoren müssen künftig vergleichbare Anforderungen erfüllen.

Unternehmen mit KRITIS-Relevanz müssen Informationssicherheit als gesetzliche Pflicht umsetzen und stehen dabei unter ständiger Aufsicht des BSI.

Neben allgemeinen Standards wie ISO 27001 oder BSI-Grundschutz existieren branchenspezifische Vorgaben, die auf besondere Anforderungen eingehen. Unternehmen müssen prüfen, ob für ihre Branche zusätzliche Standards gelten.

PCI DSS (Payment Card Industry Data Security Standard)
Pflichtstandard für alle, die Kreditkartendaten verarbeiten oder speichern. Umfasst Vorgaben zu Netzwerksicherheit, Zugriffskontrolle, Verschlüsselung und regelmäßigen Tests.

TISAX (Trusted Information Security Assessment Exchange)
Standard der Automobilindustrie zur Bewertung der Informationssicherheit von Zulieferern. Verbindlich für viele Hersteller und Lieferanten in der Automobilbranche.

HIPAA (Health Insurance Portability and Accountability Act, USA)
Gesetzliche Vorgabe für den Gesundheitssektor in den USA, mit Fokus auf Datenschutz und Sicherheit medizinischer Daten.

ISO 27701
Erweiterung von ISO 27001 für Datenschutzmanagement, relevant für Unternehmen mit stark personenbezogenen Datenprozessen.

Weitere branchenspezifische Beispiele

• B3S (Branchenspezifische Sicherheitsstandards) für KRITIS-Sektoren in Deutschland

• SWIFT Customer Security Programme (Finanzsektor)

• GMP-Anforderungen in der Pharmaindustrie

Branchenspezifische Standards ergänzen die allgemeinen Vorgaben und stellen sicher, dass besondere Risiken in einzelnen Branchen berücksichtigt werden.

nformationssicherheit, Compliance und Governance sind eng miteinander verbunden. Zusammen bilden sie das Fundament für verantwortungsvolle Unternehmensführung und Risikomanagement.

Informationssicherheit
Schützt Daten, Systeme und Prozesse durch technische und organisatorische Maßnahmen.

Compliance
Sorgt dafür, dass gesetzliche, regulatorische und vertragliche Vorgaben eingehalten werden, z. B. DSGVO, NIS-2 oder branchenspezifische Standards.

Governance
Steuert das Unternehmen auf strategischer Ebene und legt fest, wie Verantwortlichkeiten, Risiken und Entscheidungen organisiert sind.

Zusammenspiel

• Informationssicherheit liefert die Maßnahmen für den Schutz von Werten.

• Compliance prüft, ob diese Maßnahmen den Vorgaben entsprechen.

• Governance stellt sicher, dass Sicherheit und Compliance im Unternehmen langfristig verankert und kontrolliert werden.

Ein integrierter Ansatz sorgt dafür, dass Informationssicherheit nicht isoliert betrachtet wird, sondern Teil der Gesamtsteuerung und Unternehmenskultur ist.

Viele Unternehmen betreiben bereits Managementsysteme für Qualität, Umwelt oder Arbeitssicherheit. Die Integration von Informationssicherheit in diese Strukturen spart Ressourcen und sorgt für einheitliche Abläufe.

Synergien nutzen
Bestehende Prozesse wie Risikomanagement, Dokumentation, Schulungen oder Audits können für Informationssicherheit mitverwendet werden.

Effizienzgewinne
Doppelte Strukturen und parallele Prüfungen entfallen, wenn Informationssicherheit Teil eines integrierten Managementsystems ist.

Einheitliche Steuerung
Alle Managementsysteme werden übergreifend gesteuert, was Transparenz schafft und die Unternehmensführung unterstützt.

Kompatibilität
ISO-Standards wie 9001 (Qualität), 14001 (Umwelt) oder 45001 (Arbeitssicherheit) lassen sich nahtlos mit ISO 27001 für Informationssicherheit verbinden.

Nachweisfähigkeit
Ein integrierter Ansatz erleichtert interne und externe Audits, da Nachweise in einer konsistenten Struktur vorliegen.

Die Integration von Informationssicherheit in bestehende Managementsysteme macht Prozesse effizienter und sorgt für einheitliche Standards im gesamten Unternehmen.

Das NIST Cybersecurity Framework (CSF) wurde in den USA entwickelt, ist aber weltweit im Einsatz. Es bietet Unternehmen eine flexible Struktur, um Cybersicherheit zu planen, umzusetzen und zu überwachen.

Kernfunktionen
Das Framework gliedert Sicherheitsmaßnahmen in fünf Funktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.

Flexibilität
Es ist nicht gesetzlich verpflichtend, sondern als Best Practice gedacht. Unternehmen können es an ihre Größe und Branche anpassen.

Internationale Bedeutung
Viele Unternehmen nutzen das NIST CSF als Ergänzung zu ISO 27001, um eine praxisnahe und verständliche Struktur für ihr Sicherheitsmanagement zu haben.

Das NIST CSF eignet sich besonders als Orientierungsrahmen, um Sicherheitsmaßnahmen verständlich zu strukturieren und Prioritäten zu setzen.

Die CIS Controls sind eine Sammlung von 18 priorisierten Sicherheitsmaßnahmen. Sie bieten eine pragmatische Grundlage, besonders für Unternehmen, die schnell ein Mindestniveau an Sicherheit erreichen wollen.

Struktur
Die Controls reichen von Inventarisierung von Hardware und Software über Zugriffskontrolle bis hin zu Incident Response.

Priorisierung
Die Maßnahmen sind nach Relevanz sortiert, sodass Unternehmen mit den wichtigsten Schritten beginnen können.

Praxisorientiert
Die Controls sind bewusst einfach formuliert und bieten Checklisten, die direkt umgesetzt werden können.

Die CIS Controls sind vor allem für KMU hilfreich, weil sie eine schnelle und nachvollziehbare Orientierung bieten.

B3S sind vom BSI anerkannte Sicherheitsstandards, die speziell für KRITIS-Sektoren entwickelt wurden. Sie übersetzen allgemeine Vorgaben in branchenspezifische Maßnahmen.

Entwicklung
B3S werden von Branchenverbänden oder Unternehmen gemeinsam erarbeitet und vom BSI geprüft.

Anwendung
KRITIS-Betreiber können mit einem B3S nachweisen, dass sie ihre Systeme nach dem Stand der Technik schützen.

Beispiele
Es gibt B3S für Sektoren wie Energieversorgung, Wasserwirtschaft, Gesundheitswesen oder Finanzwesen.

B3S erleichtern es Unternehmen, branchenspezifische Anforderungen praxisnah und anerkannt umzusetzen.

UP KRITIS (Umsetzungsplan KRITIS) ist eine öffentlich-private Partnerschaft zwischen dem BSI, anderen Behörden und Unternehmen kritischer Infrastrukturen. Ziel ist die gemeinsame Stärkung der Resilienz in KRITIS-Sektoren.

Kooperation
Unternehmen, Branchenverbände und Behörden arbeiten zusammen, um Standards, Best Practices und Handlungsempfehlungen zu entwickeln.

Austausch
Teilnehmende erhalten Zugang zu Informationen über Bedrohungen, Vorfälle und Schutzmaßnahmen.

Handlungsleitfäden
UP KRITIS veröffentlicht regelmäßig Best-Practice-Dokumente, z. B. zum Notfallmanagement oder zu Mindeststandards in der Lieferkette.

Version 4.0
Die aktuelle Ausgabe von 2023 enthält konkrete Maßnahmen zur Umsetzung von NIS-2 und zur Erhöhung der Widerstandsfähigkeit kritischer Infrastrukturen.

UP KRITIS schafft eine Plattform für Austausch und Zusammenarbeit und ist ein zentrales Instrument für Unternehmen, die zu den kritischen Infrastrukturen zählen.

Der Einstieg in die Informationssicherheit wirkt oft komplex, doch er lässt sich in klaren Schritten strukturieren. Entscheidend ist, die Basis zu schaffen und von Anfang an Management und Mitarbeitende einzubinden.

Bestandsaufnahme
Zunächst wird erfasst, welche Systeme, Prozesse und Informationen vorhanden sind und wie sie aktuell geschützt werden.

Schutzbedarf bestimmen
Unternehmen identifizieren die wichtigsten Informationen und Systeme und stufen sie nach Kritikalität ein.

Ziele definieren
Das Management legt fest, welches Sicherheitsniveau erreicht werden soll, und priorisiert Maßnahmen.

Verantwortlichkeiten klären
Ein Informationssicherheitsbeauftragter (ISB) oder eine vergleichbare Rolle wird benannt, um das Thema zu koordinieren.

Erste Maßnahmen
Einfache, sofort wirksame Schritte wie starke Passwörter, regelmäßige Updates oder Backup-Prüfungen schaffen schnelle Fortschritte.

Der Start gelingt, wenn Informationssicherheit nicht als Einzelprojekt gesehen wird, sondern als kontinuierlicher Prozess, der Schritt für Schritt ausgebaut wird.

KMU haben oft weniger Ressourcen, müssen aber dennoch die zentralen Anforderungen an Informationssicherheit erfüllen. Der Einstieg gelingt, wenn die wichtigsten Grundlagen priorisiert und pragmatisch umgesetzt werden.

Bewusstsein schaffen
Geschäftsführung und Mitarbeitende müssen verstehen, warum Informationssicherheit wichtig ist und welche Risiken bestehen.

Basismaßnahmen umsetzen
Zu den ersten Schritten gehören regelmäßige Updates, sichere Passwörter, Datensicherungen und die Sensibilisierung gegen Phishing.

Risikoeinschätzung
Eine einfache Risikoanalyse zeigt, welche Systeme oder Daten besonders schützenswert sind.

Verantwortung festlegen
Auch ohne eigenes Sicherheitsteam sollte ein Verantwortlicher benannt werden, der das Thema koordiniert.

Externe Unterstützung nutzen
Bei fehlendem Fachwissen können externe ISB, Berater oder Vorlagen helfen, effizient ein Mindestniveau aufzubauen.

Für KMU ist es entscheidend, klein zu starten, schnell sichtbare Fortschritte zu erzielen und die Sicherheitsmaßnahmen kontinuierlich auszubauen.

Der Reifegrad zeigt, wie weit ein Unternehmen seine Informationssicherheit bereits entwickelt hat. Er dient als Standortbestimmung und als Grundlage für Verbesserungspläne.

Selbstbewertung
Unternehmen können Fragebögen oder Checklisten (z. B. nach ISO 27001, BSI-Grundschutz oder CIS Controls) nutzen, um ihren aktuellen Stand zu erfassen.

Reifegradmodelle
Modelle wie CMMI oder die BSI-Orientierungshilfen stufen Sicherheit von „ad-hoc“ bis „optimiert“ ein.

Externe Assessments
Ein externer Blick durch Berater, Audits oder Cyber-Risk-Checks schafft Objektivität und Vergleichbarkeit.

Vergleich mit Standards
Durch Abgleich mit Anforderungen wie ISO 27001 oder NIS-2 lässt sich feststellen, wo Lücken bestehen.

Priorisierung
Aus den Ergebnissen werden Maßnahmenpläne erstellt, die zunächst die größten Risiken adressieren.

Ein klar bestimmter Reifegrad hilft Unternehmen, ihre Ressourcen gezielt einzusetzen und Fortschritte messbar zu machen.

Informationssicherheit verursacht Kosten, ist aber vor allem eine Investition in die Stabilität und Zukunftsfähigkeit eines Unternehmens. Ein angemessenes Budget entscheidet, ob Maßnahmen wirksam und nachhaltig umgesetzt werden können.

Kostenfaktoren
Zu den typischen Ausgaben gehören technische Lösungen (Firewalls, Monitoring, Backup), organisatorische Maßnahmen (Schulungen, Richtlinien) und externe Leistungen (Audits, Beratung).

Risikoabwägung
Das Budget sollte sich am Schutzbedarf orientieren: Je größer die Abhängigkeit von IT-Systemen und sensiblen Daten, desto höher muss die Investition ausfallen.

Vergleich mit Schäden
Die möglichen Schäden durch Ausfälle oder Angriffe (z. B. Produktionsstillstand, Reputationsverlust, Bußgelder) übersteigen meist die Präventionskosten deutlich.

Management-Beteiligung
Die Geschäftsleitung muss Budgetentscheidungen treffen und verantworten, da Informationssicherheit ein strategisches Thema ist.

Ein realistisch kalkuliertes Budget schafft die Grundlage, um Risiken zu reduzieren und regulatorische Anforderungen zuverlässig zu erfüllen.

Nicht jedes Unternehmen verfügt über ausreichend interne Fachkräfte für Informationssicherheit. Externe Unterstützung kann helfen, Wissen und Kapazitäten gezielt zu ergänzen.

Externer Informationssicherheitsbeauftragter (ISB)
Gerade KMU setzen häufig auf externe ISB, um regulatorische Anforderungen wie NIS-2 oder ISO 27001 zu erfüllen, ohne eigenes Personal aufbauen zu müssen.

Beratung und Projekte
Externe Experten unterstützen bei Risikoanalysen, Aufbau eines ISMS, Auswahl von Tools oder Umsetzung spezifischer Sicherheitsmaßnahmen.

Audits und Assessments
Unabhängige Prüfungen durch externe Stellen zeigen objektiv, wo Lücken bestehen, und schaffen Nachweise für Kunden, Partner oder Behörden.

Spezialwissen
Bei Themen wie Penetrationstests, Forensik oder Cloud-Security ist externes Fachwissen oft unverzichtbar.

Externe Unterstützung lohnt sich immer dann, wenn intern Ressourcen oder Know-how fehlen oder wenn neutrale Nachweise erforderlich sind.

Gerade am Anfang hilft es, pragmatische Werkzeuge einzusetzen, die schnelle Verbesserungen bringen und leicht zu bedienen sind. Wichtig ist, dass Tools Prozesse unterstützen, aber nicht ersetzen.

Grundlegende Sicherheitswerkzeuge
Antivirus-Lösungen, Firewalls und sichere E-Mail-Gateways schützen vor den häufigsten Angriffen.

Backup- und Recovery-Tools
Automatisierte Datensicherungen mit regelmäßigen Wiederherstellungstests sind ein Muss.

Patch- und Update-Management
Tools, die Betriebssysteme und Anwendungen automatisch aktuell halten, reduzieren Sicherheitslücken.

Awareness-Services
Phishing-Simulationen und E-Learning-Plattformen erhöhen das Sicherheitsbewusstsein der Mitarbeitenden.

Monitoring und Logging
Einstiegslösungen für Protokollierung und Überwachung helfen, ungewöhnliche Aktivitäten früh zu erkennen.

Cloud-Services
Viele Anbieter bieten Sicherheitsfunktionen wie MFA (Multi-Faktor-Authentifizierung), Verschlüsselung und Zugriffskontrolle bereits integriert an.

Für den Einstieg sollten Unternehmen einfache, wirksame Lösungen wählen und diese später Schritt für Schritt ausbauen.

Viele Unternehmen, insbesondere KMU, haben nur eingeschränkte Mittel für Informationssicherheit. Umso wichtiger ist es, Prioritäten zu setzen und die vorhandenen Ressourcen effizient einzusetzen.

Risikobasiertes Vorgehen
Maßnahmen sollten sich auf die größten Risiken und die wichtigsten Systeme konzentrieren.

Basismaßnahmen zuerst
Einfache und kostengünstige Schritte wie starke Passwörter, regelmäßige Updates, Datensicherungen und Sensibilisierung bringen sofort Wirkung.

Externe Unterstützung
Durch Outsourcing oder den Einsatz externer Experten können Lücken geschlossen werden, ohne dauerhaft Personal aufzubauen.

Standardisierte Lösungen
Zertifizierte Cloud-Dienste oder fertige Sicherheitslösungen sind oft günstiger und sicherer als Eigenentwicklungen.

Förderprogramme
In vielen Ländern gibt es finanzielle Förderungen oder Beratungsangebote speziell für KMU.

Wer mit knappen Ressourcen arbeitet, sollte sich auf das Wesentliche konzentrieren und schrittweise Verbesserungen anstreben.

Ein Sicherheitsvorfall erfordert sofortiges, strukturiertes Handeln. Ziel ist es, Schäden zu begrenzen, Ursachen zu klären und den Betrieb schnellstmöglich wiederherzustellen.

Erkennen und melden
Mitarbeitende müssen Vorfälle sofort melden können, z. B. verdächtige E-Mails, Datenabfluss oder ungewöhnliches Systemverhalten.

Erste Maßnahmen
Betroffene Systeme werden isoliert, Passwörter zurückgesetzt und Zugänge gesperrt, um die Ausbreitung zu stoppen.

Kommunikation
Das Management und, wenn notwendig, Kunden, Partner oder Behörden (z. B. BSI, Datenschutzaufsicht) werden informiert.

Analyse
Fachkräfte untersuchen die Ursache, sammeln Beweise und dokumentieren alle Schritte.

Wiederherstellung
Systeme und Daten werden aus Backups oder durch Reparaturen wiederhergestellt.

Nachbereitung
Aus dem Vorfall werden Lehren gezogen, Prozesse angepasst und Maßnahmen verstärkt, um Wiederholungen zu verhindern.

Ein klarer Notfallplan hilft, im Ernstfall strukturiert zu handeln und unnötige Schäden zu vermeiden.

Sicherheitsmaßnahmen entfalten nur dann Wirkung, wenn sie regelmäßig überprüft und an neue Bedrohungen angepasst werden. Unternehmen müssen daher ihre Wirksamkeit systematisch kontrollieren.

Audits und Reviews
Regelmäßige interne und externe Audits prüfen, ob Prozesse eingehalten und Anforderungen erfüllt werden.

Technische Tests
Schwachstellenscans, Penetrationstests und Konfigurationsprüfungen zeigen, ob Systeme wie geplant abgesichert sind.

Kennzahlen und KPIs
Messgrößen wie Patch-Status, Phishing-Erkennungsrate oder Zeit bis zur Incident-Behebung machen Fortschritte sichtbar.

Monitoring-Ergebnisse
Protokolle und Alarme aus Monitoring-Systemen helfen, die Effektivität von Schutzmaßnahmen einzuschätzen.

Mitarbeiterbeteiligung
Feedback und Übungen, etwa durch Phishing-Simulationen, zeigen, ob Awareness-Maßnahmen greifen.

Die Wirksamkeitsprüfung ist kein einmaliger Vorgang, sondern ein fortlaufender Prozess, der in den PDCA-Zyklus eingebettet sein sollte.

Mitarbeitende sind ein zentraler Faktor für den Erfolg der Informationssicherheit. Nur wenn sie aktiv eingebunden werden, können technische und organisatorische Maßnahmen ihre volle Wirkung entfalten.

Sensibilisierung
Regelmäßige Schulungen und Awareness-Kampagnen vermitteln, warum Sicherheit wichtig ist und welche Rolle jeder Einzelne spielt.

Klare Regeln
Richtlinien zum Umgang mit Passwörtern, mobilen Geräten oder sensiblen Informationen geben Orientierung im Alltag.

Einfachheit
Sicherheitsmaßnahmen müssen alltagstauglich sein. Komplexe Prozesse führen dazu, dass Mitarbeitende Umgehungslösungen suchen.

Feedback und Beteiligung
Mitarbeitende sollten Sicherheitsvorfälle einfach melden und Verbesserungsvorschläge einbringen können.

Vorbildfunktion
Führungskräfte müssen Regeln selbst konsequent umsetzen und Sicherheit vorleben.

Die Einbindung der Mitarbeitenden schafft Akzeptanz, stärkt die Sicherheitskultur und reduziert menschliche Fehler als Risikofaktor.

Die Geschäftsleitung trägt die Gesamtverantwortung für Informationssicherheit. Sie muss sicherstellen, dass Risiken angemessen gesteuert, Ressourcen bereitgestellt und Vorgaben eingehalten werden.

Strategische Verantwortung
Informationssicherheit ist ein Managementthema, keine reine IT-Frage. Entscheidungen über Budget, Prioritäten und Risikobereitschaft liegen bei der Geschäftsführung.

Ressourcenbereitstellung
Nur wenn Zeit, Personal und finanzielle Mittel bereitgestellt werden, können Sicherheitsmaßnahmen umgesetzt werden.

Vorbildfunktion
Die Leitung muss Sicherheitsregeln selbst einhalten und damit die Kultur im Unternehmen prägen.

Haftung
Nach Gesetzen wie NIS-2 haftet die Geschäftsleitung bei Pflichtverletzungen und kann persönlich zur Verantwortung gezogen werden.

Einbindung in Entscheidungsprozesse
Sicherheitsaspekte müssen in Projekte, Investitionen und strategische Entscheidungen einbezogen werden.

Eine aktive und sichtbare Rolle der Geschäftsleitung ist entscheidend, damit Informationssicherheit im Unternehmen ernst genommen und wirksam umgesetzt wird.

Informationssicherheit ist ein dynamisches Feld. Neue Bedrohungen, technische Entwicklungen und gesetzliche Änderungen machen es notwendig, Richtlinien und Maßnahmen regelmäßig zu überprüfen und anzupassen.

Regelmäßige Zyklen
Mindestens einmal jährlich sollten alle sicherheitsrelevanten Dokumente und Maßnahmen überprüft werden.

Anlassbezogene Überprüfung
Nach größeren Änderungen wie Systemumstellungen, Fusionen, neuen Gesetzen oder Sicherheitsvorfällen ist eine sofortige Anpassung erforderlich.

Audits und Kontrollen
Interne Audits, externe Prüfungen und Zertifizierungen liefern wichtige Hinweise, ob Dokumente und Maßnahmen noch aktuell sind.

Verantwortlichkeiten
Für jedes Dokument und jede Maßnahme sollte ein Verantwortlicher benannt sein, der die Aktualität sicherstellt.

Transparenz
Änderungen müssen dokumentiert und kommuniziert werden, damit alle Mitarbeitenden auf dem neuesten Stand sind.

Durch regelmäßige und anlassbezogene Überprüfungen bleibt das Sicherheitsniveau stabil und passt sich den aktuellen Risiken an.

Fehlende Management-Unterstützung
Wenn die Geschäftsleitung Sicherheit nicht priorisiert, fehlen Budget, Ressourcen und Akzeptanz.

Einmalige Projekte statt kontinuierlicher Prozess
Sicherheit wird oft als einmalige Aufgabe verstanden, anstatt sie dauerhaft im Unternehmen zu verankern.

Übermäßige Technikfokussierung
Zu viel Aufmerksamkeit für Tools und Systeme, zu wenig für Organisation, Prozesse und Mitarbeitende.

Mangelnde Dokumentation
Ohne nachvollziehbare Nachweise können weder Audits bestanden noch Vorfälle sauber analysiert werden.

Keine Schulung der Mitarbeitenden
Uninformierte Mitarbeitende bleiben ein Einfallstor für Phishing, Social Engineering oder Fehlbedienungen.

Unklare Verantwortlichkeiten
Ohne feste Zuständigkeiten bleibt vieles liegen oder wird lückenhaft umgesetzt.

Wer diese Fehler vermeidet, kann Informationssicherheit mit deutlich geringerem Aufwand und höherer Wirksamkeit etablieren.

Externe Prüfungen und Audits bewerten, ob Sicherheitsmaßnahmen wirksam sind und den Anforderungen entsprechen. Eine gute Vorbereitung erleichtert den Ablauf und reduziert Risiken.

Dokumentation bereitstellen
Alle Richtlinien, Konzepte, Protokolle und Nachweise sollten vollständig und aktuell vorliegen.

Selbstprüfung durchführen
Interne Audits oder Pre-Assessments helfen, Schwachstellen vor der offiziellen Prüfung zu erkennen.

Verantwortlichkeiten klären
Es muss feststehen, wer Fragen beantwortet, Unterlagen liefert und den Kontakt zu Prüfern hält.

Mitarbeitende vorbereiten
Alle Betroffenen sollten wissen, wie ein Audit abläuft und welche Rolle sie darin spielen.

Technische Systeme prüfen
Logs, Konfigurationen und Testnachweise müssen verfügbar und nachvollziehbar sein.

Kommunikation organisieren
Ein zentraler Ansprechpartner sorgt dafür, dass Anfragen schnell und konsistent beantwortet werden.

Wer sich gut vorbereitet, signalisiert Professionalität, vermeidet Überraschungen und besteht externe Prüfungen deutlich leichter.

Dokumentation ist ein zentrales Element der Informationssicherheit. Sie dient als Nachweis für Audits, erleichtert interne Abläufe und stellt sicher, dass Wissen nicht verloren geht.

Zentrale Struktur
Alle relevanten Dokumente wie Richtlinien, Konzepte, Risikoanalysen und Nachweise sollten in einem einheitlichen System abgelegt sein.

Versionierung
Jede Änderung muss nachvollziehbar dokumentiert werden, damit jederzeit ersichtlich ist, wer was wann angepasst hat.

Verantwortlichkeiten
Für jedes Dokument wird ein Verantwortlicher benannt, der Pflege und Aktualisierung sicherstellt.

Revisionssicherheit
Dokumente müssen so gespeichert sein, dass sie nicht nachträglich unbemerkt verändert werden können.

Praxisnähe
Die Dokumentation sollte klar, verständlich und nicht überladen sein. Wichtig ist, dass sie im Alltag genutzt werden kann und nicht nur für Audits existiert.

Digitale Werkzeuge
Spezialisierte GRC- oder ISMS-Tools, aber auch strukturierte Ablagen in SharePoint oder Dokumentenmanagementsystemen erleichtern Verwaltung und Nachweisführung.

Eine revisionssichere und praxistaugliche Dokumentation schafft Transparenz und ist die Grundlage für Vertrauen bei internen wie externen Prüfungen.

Partner und Dienstleister sind oft tief in Geschäftsprozesse eingebunden. Ohne klare Sicherheitsvorgaben entstehen Risiken in der Lieferkette, die sich direkt auf das eigene Unternehmen auswirken können.

Vertragliche Vereinbarungen
Sicherheitsanforderungen und Meldepflichten müssen im Vertrag oder im Auftragsverarbeitungsvertrag (AVV) festgelegt sein.

Risikobewertung
Dienstleister werden je nach Kritikalität eingestuft. Für besonders sensible Partner gelten strengere Prüf- und Nachweispflichten.

Nachweise einfordern
Zertifikate (z. B. ISO 27001, SOC-Reports, TISAX) oder B3S-Nachweise zeigen, dass Partner ihre Sicherheitsmaßnahmen ernst nehmen.

Regelmäßige Überprüfung
Audits, Fragebögen oder Monitoring stellen sicher, dass Sicherheitsanforderungen eingehalten werden.

Sicherer Datenaustausch
Kommunikation und Datentransfers erfolgen verschlüsselt und nur über autorisierte Kanäle.

Notfallmanagement abstimmen
Mit wichtigen Partnern wird festgelegt, wie im Krisenfall gemeinsam reagiert wird.

Die Einbindung von Partnern in das eigene Sicherheitskonzept ist entscheidend, um Lieferkettenrisiken zu reduzieren und regulatorische Vorgaben wie NIS-2 zuverlässig zu erfüllen.

Informationssicherheit ist kein statisches Ziel, sondern ein fortlaufender Prozess. Nur durch regelmäßige Anpassung an neue Bedrohungen und Entwicklungen bleibt das Sicherheitsniveau wirksam.

PDCA-Zyklus
Mit dem Prinzip Plan–Do–Check–Act werden Maßnahmen geplant, umgesetzt, überprüft und verbessert.

Regelmäßige Audits
Interne und externe Audits zeigen Schwachstellen auf und liefern Ansatzpunkte für Optimierungen.

Lernprozesse
Aus Sicherheitsvorfällen und Übungen werden Lehren gezogen und in Maßnahmen umgesetzt („Lessons Learned“).

Kennzahlen und KPIs
Messgrößen wie Patch-Status, Vorfallsreaktionszeit oder Awareness-Quoten machen Fortschritte sichtbar.

Feedback-Kultur
Mitarbeitende können Probleme oder Verbesserungsvorschläge melden, die direkt in den Verbesserungsprozess einfließen.

Technische Weiterentwicklung
Neue Tools, Sicherheitsstandards und Bedrohungslagen werden regelmäßig beobachtet und bewertet.

Kontinuierliche Verbesserung sorgt dafür, dass Informationssicherheit Schritt für Schritt wächst und dauerhaft im Unternehmen verankert wird.

Kennzahlen (Key Performance Indicators, KPIs) machen Informationssicherheit messbar. Sie zeigen, ob Maßnahmen wirksam sind, und liefern eine Grundlage für Managemententscheidungen.

Transparenz schaffen
KPIs geben einen Überblick über den aktuellen Sicherheitsstatus und machen Fortschritte oder Schwachstellen sichtbar.

Typische Kennzahlen

• Anteil gepatchter Systeme

• Zeit bis zur Schließung kritischer Schwachstellen

• Reaktionszeit bei Sicherheitsvorfällen

• Quote bestandener Phishing-Simulationen

• Anzahl erfolgreich durchgeführter Backups

Management-Reporting
Mit KPIs können Verantwortliche der Geschäftsleitung den Nutzen von Investitionen aufzeigen und Prioritäten begründen.

Vergleichbarkeit
Durch regelmäßige Messung lassen sich Trends erkennen und Maßnahmen zielgerichtet anpassen.

Kennzahlen verbinden Technik und Management, indem sie Sicherheit greifbar machen und die Grundlage für kontinuierliche Verbesserung schaffen.