Wie kann ich als Informationssicherheitsbeauftragter (ISB) die notwendigen Investitionen so darstellen, dass sie als Risikominderung und sogar als Wertschöpfung für das Unternehmen verstanden werden?

Die NIS2-Richtlinie enthält diverse Pflichten für von ihr erfasste Akteure. Insbesondere solche Institutionen, die zu den Kritischen Infrastrukturen (KRITIS) gehören, müssen ihre „Hausaufgaben“ erledigen. Ein zentraler Punkt ist die Pflicht für Leitungspersonen, sich selbst im Bereich Cybersecurity fortzubilden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt hierzu eine Handreichung bereit.

Der IT-Leiter eines mittelständischen Unternehmens sitzt im wöchentlichen Jour fixe mit der Geschäftsführung. Die Frage nach dem Stand des Notfallmanagements kommt routiniert: „Alles gut vorbereitet?“ Seine Antwort: „Klar, der BCM-Plan ist fertig. 150 Seiten, alle Prozesse dokumentiert, liegt seit einem Jahr im Sharepoint.“ Die Geschäftsführung nickt zufrieden. Was niemand erwähnt: Der Plan wurde nie getestet. Kein einziges Mal. Drei Wochen später: Ransomware. Die Produktion steht still, die IT-Systeme sind verschlüsselt. Jetzt soll der Notfallplan greifen. Doch beim Versuch, die dokumentierten Prozesse umzusetzen, stellt sich heraus: Der Notfallplan liegt auf einem von den Angreifern verschlüsselten Server. Die einzige Version ist leider nicht aktuell, es ist die zum Korrekturlesen ausgedruckte Version. Die Telefonnummern im Alarmierungsplan sind veraltet, der alternative Serverstandort existiert nicht mehr, und die Wiederherstellungsanleitung bezieht sich auf Systeme, die vor zwei Jahren abgelöst wurden. Aber auch in der Version auf dem Sharepoint-Server sind die Informationen nur minimal aktueller. Der Schaden: Mehrere Millionen Euro, wochenlanger Stillstand, massive Reputationsverluste. Diese Situation ist kein Einzelfall. Sie zeigt: Ein Plan, der nur auf dem Papier existiert, ist im Ernstfall wertlos.

Kaum hat sich die Geschäftswelt mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO) arrangiert, steht mit der NIS-2-Richtlinie die nächste große Herausforderung ins Haus. Ab Ende 2025 müssen zehntausende Organisationen in Deutschland, Österreich und der Schweiz nachweisen, dass sie ihre Netz- und Informationssicherheit auf ein neues Niveau gehoben haben.

Montagmorgen, 8 Uhr. Der IT-Leiter eines mittelständischen Unternehmens trinkt entspannt seinen Kaffee. Das Backup-System läuft seit Jahren zuverlässig, jeden Abend sichert es automatisch alle Daten in die Cloud. „Läuft alles“, denkt er sich. Die Geschäftsführung ist zufrieden, die Kosten überschaubar, die grünen Häkchen im Dashboard beruhigend. Doch dann, drei Wochen später: Ransomware. Die Produktion steht still. Jetzt soll das Backup die Rettung sein. Der IT-Leiter öffnet das Backup-System – und stellt fest: Auch die Backups sind verschlüsselt. Die Angreifer hatten Zugriff auf das komplette System. Die letzte „sichere“ Kopie ist drei Monate alt. Der Schaden: Mehrere hunderttausend Euro, wochenlanger Stillstand, Reputationsverlust. Diese Situation ist kein Einzelfall mehr. Sie zeigt: Ein Backup, das einfach nur „läuft“, reicht heute nicht mehr aus.

Meine Antwort: Eine hervorragende Frage, die zeigt, dass Sie über das Papier hinausdenken. Ein Incident-Response-Plan ist wie ein Erste-Hilfe-Koffer: Er bringt nur dann etwas, wenn man ihn im Ernstfall auch […]

Deutschland plant die verpflichtende Einführung strengerer Cybersicherheitsregeln bis Anfang 2026. Rund 29.000 Unternehmen und Einrichtungen sollen künftig verbindliche Schutzmaßnahmen gegen Cyberangriffe umsetzen müssen, wie BSI-Präsidentin Claudia Plattner der Deutschen Presse-Agentur mitteilte.

Daten sind unterwegs. In der Cloud, in hybriden Anwendungen, auf Plattformen, von denen Sie als IT-Sicherheitsbeauftragter manchmal erst erfahren, wenn das Kind schon im digitalen Brunnen liegt. Die wachsende Menge unstrukturierter Informationen macht es schwer, den Überblick zu behalten, geschweige denn Risiken frühzeitig zu erkennen. Dabei wird genau das immer wichtiger.

Lange Zeit schien es so, als friste der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) ein Schattendasein. Zwar gab und gibt es einige Institutionen, die ihn umsetzen müssen, etwa Bundesbehörden. Aber in Unternehmen nimmt man überwiegend Abstand von diesem Rahmenwerk für die Informationssicherheit. Dabei bietet der IT-Grundschutz gerade mit Blick auf NIS2 und DORA eine Chance.

Eine aktuelle TÜV-Umfrage unter 506 deutschen Unternehmen offenbart eine bedenkliche Kluft zwischen Selbstwahrnehmung und Realität in der Cybersicherheit. Während 91 Prozent der befragten Firmen ihre IT-Sicherheit als gut oder sehr gut bewerten, widerspricht BSI-Präsidentin Claudia Plattner dieser optimistischen Einschätzung deutlich.

Ganz klar: Nein. So komfortabel es wäre aber die Nutzung eines etablierten Cloud-Dienstes wie Microsoft 365 bedeutet noch lange nicht, dass ein Unternehmen automatisch die Anforderungen der NIS2-Richtlinie erfüllt. Microsoft […]

Cyberangriffe gehören längst zur betrieblichen Realität. Doch während Firewalls modernisiert, Backups auf Immutable-Storage verschoben und SOC-Dienste eingekauft werden, bleibt ein entscheidender Faktor allzu oft unangetastet: die Haltung und das Handeln der Unternehmensführung. Dabei ist genau sie es, die über den Erfolg oder das Scheitern eines ganzheitlichen Sicherheitskonzepts entscheidet. Resilienz ist eben keine rein technische Eigenschaft, sie ist eine Führungsaufgabe.