Warum die Kombination von IT- und Cyber Security-Verantwortung in einer Führungsrolle ein Risiko ist
Kürzlich meinte LinkedIn, ich solle mich doch bewerben als “Director Global IT & Cyber Security“: mittelständisches Unternehmen, mehrere Standorte, bekannte Marke. Abgesehen davon, dass ich bei der TEN Information Management genügend zu tun habe, habe ich mich mal mit der Stellenbeschreibung auseinandergesetzt. Warum? Weil ich aus der Organisation höre, dass die Position seit bald einem […]
Bürokratie, Teil 748923: Von der Schwierigkeit, Rechnungen pünktlich zu bezahlen
Als Unternehmer kennt man das: wenn es wirtschaftlich nicht ganz so rund läuft, häufen sich manchmal die Außenstände. Die meisten Geschäftspartner bezahlen dann nach einer freundlichen Aufforderung, manchmal erlebt man aber auch abstruse Situationen. Von einer solchen möchte ich heute berichten. Sie gehört meines Erachtens in die Kategorie Bürokratie, die die Welt nicht braucht – […]
Wesentliche Änderungen der ISO/IEC 27006-1:2024 im Überblick
Die Überarbeitung der ISO27006 bringt entscheidende Anpassungen für ISMS-Audits nach ISO27001 – besonders für digitalisierte Unternehmen. Ich habe mich mal damit beschäftigt und folgende Kernpunkte identifiziert: Neue Berechnungslogik für Audit-Tage Modernisierte Remote-Audit-Regeln Vereinfachte Auditor-Qualifikation Keine starren Erfahrungswerte: Quantitative Vorgaben wie “4 Jahre Berufserfahrung” für Auditoren wurden gestrichen. Die Kompetenzbewertung erfolgt jetzt risikobasiert. Technische Anpassungen Transparentere Multi-Site-Audits Detailierte Vorgaben: Annex C […]
Vokabular im Umfeld der Informationssicherheit – Grundvoraussetzung für das gemeinsame Verständnis!
In der Praxis und im Marketing begegnet man häufig irreführenden Begrifflichkeiten im Zusammenhang mit Informationssicherheitsstandards wie ISO 27001 und SOC 2. Diese ungenaue Verwendung führt nicht nur zu Missverständnissen, sondern kann auch das Vertrauen von Kunden und Partnern beeinträchtigen. Im Folgenden beleuchte ich die typischen Fehlinterpretationen und ergänze um weitere Beispiele aus dem Bereich Zertifizierungen […]
Kollektive Verantwortungslosigkeit in der Lieferkette: Warum Informationssicherheit beim Lieferanten-Onboarding oft scheitert
In der Theorie klingt es einfach: Lieferanten werden nach definierten Kriterien ausgewählt, Risiken bewertet und dann ausgewählt. Die Praxis läuft meist anders. Speziell beim Onboarding von Lieferanten zeigt sich oft ein Muster kollektiver Verantwortungslosigkeit – jeder im Unternehmen geht davon aus, dass „die anderen“ sich schon um die Details kümmern werden. Das Ergebnis: ein bürokratischer […]
Das Policy-Problem: Warum niemand mehr Richtlinien liest – und wie wir das ändern können
Das „Policy-Problem“ plagt viele Unternehmen und ist zur lästigen Realität geworden: Es gibt unzählige Richtlinien zu nahezu jedem Thema, doch kaum jemand weiß, welche für ihn oder sie relevant sind. Gerade im Bereich der Informationssicherheit ist das fatal – Dinge, die sich nur organisatorisch regeln lassen, kommen dadurch „unter den Radar“ der Zielgruppe. Was ist […]
ISO 42001: AI Risk Assessment vs. AI System Impact Assessment
AI Risk Assessment vs. AI System Impact Assessment: gemäß ISO 42001 Die ISO 42001, der internationale Standard für KI-Managementsysteme, fordert von Organisationen sowohl ein AI Risk Assessment als auch ein AI System Impact Assessment. In diesem Artikel möchte ich auf die Unterschiede zwischen diesen beiden Assessments eingehen und darauf, welche Perspektive das jeweilige Assessment adressiert. […]
Pseudo-IT-Sicherheit – vom CIO gefördert und gefordert
Kürzlich führte ich ein Erstgespräch mit einem Interessenten – ein größerer Mittelständler aus dem produzierenden Gewerbe. Der CIO berichtete, man habe bereits verschiedene Maßnahmen zur IT-Sicherheit umgesetzt und erachte es nun als an der Zeit, diese mal von unabhängiger Stelle auf ihre Effektivität hin überprüfen zu lassen. Konkreter Trigger sei ein kürzlich durchgeführtes ISO 27001 […]
IT-Sicherheit im Bankenumfeld: Wie man als Bank der IT-Sicherheit einen Bärendienst erweist (und Kunden vertreibt)
Der nachfolgende Erlebnisbericht ist so unglaublich, dass er glatt aus dem berühmten Paulanergarten stammen könnte – würde ich den Betroffenen nicht seit über 10 Jahren kennen. Daher weiß ich – das Beschriebene hat so stattgefunden. Also einmal tief durchatmen – und los! Was ist passiert? Ein langjähriger Geschäftspartner unterhielt seit mehr als 15 Jahren seine […]
Synergien zwischen ISO 27001 und ISO 42001: Informationssicherheit und AI Management ganzheitlich gedacht
Synergien zwischen ISO 27001 und ISO 42001: Informationssicherheit und AI Management ganzheitlich gedacht Die kürzlich veröffentlichte ISO 42001 markiert einen bedeutenden Meilenstein für den methodischen Einsatz von Künstlicher Intelligenz (KI) in Unternehmen. Diese Norm beschreibt ein systematisches Vorgehen zur Einführung und dem Betrieb von KI-Systemen in Organisationen. Sie folgt, wie nahezu alle Managementsysteme der ISO, […]