Die meisten CEOs delegieren Informationssicherheit. Und genau das ist das Problem.
Informationssicherheit wird in vielen Unternehmen immer noch als IT-Thema behandelt. Also wird sie delegiert. → An die IT.→ An externe Dienstleister.→ An „irgendwen, der sich darum kümmert“. Was dabei übersehen wird:Sicherheit ist keine technische Frage.Sicherheit ist eine unternehmerische Entscheidung. Die Realität für Geschäftsführende?Mit NIS-2 verändert sich die Lage fundamental:→ Persönliche Haftung wird real→ Verantwortung ist […]
Prozess erfüllt. Problem ungelöst.
Die Wischerblätter meines Leasingfahrzeugs waren porös.Das Auto stand sechs Monate vor Übergabe – Laufleistung gering,Sicht jetzt eingeschränkt. Leasing inkl. Wartung & Verschleiß, Wischerblätter explizit enthalten. Also Anfrage bei der Vertragswerkstatt.Antwort: Kostenübernahme abgelehnt. Begründung: Erstzulassung erst sechs Monate her. Neue Wischerblätter frühestens nach zwölf Monaten.Mein Hinweis auf die aktuelle Einschränkung?Nicht vorgesehen. Wenden Sie sich an den […]
Blindflug fühlt sich selten gut an
Vor ein paar Wochen war ich bei einem Blind Dinner.Ein komplettes Menü – serviert in absoluter Dunkelheit. Alles war da: Essen, Getränke, Besteck, Service.Nur eben nicht sichtbar. Plötzlich stellen sich ganz neue Fragen:Wie trinke ich, ohne das Glas umzuwerfen?Wie esse ich, ohne das Dinner auf dem Hemd zu verteilen? Eine spannende Erfahrung und ein sehr […]
Warum Informationssicherheit kein IT-Projekt ist
„Die IT kümmert sich um Sicherheit.“Einer der häufigsten und gefährlichsten Denkfehler in Unternehmen. Informationssicherheit ist kein isoliertes IT-Projekt.Sie ist ein unternehmensweites Managementthema. Wer trägt denn eigentlich die Verantwortung?Informationssicherheit schützt Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und zwar überall im Business, nicht nur in der IT. Während die IT die Datenverarbeitung orchestriert, liegt die Verantwortung für […]
NIS-2 trifft DSGVO: Reicht eine Meldung, oder droht die nächste Haftungsfalle?
Kürzlich in einem NIS-2-Workshop mit dem Management eines Kunden.Thema: Meldepflichten bei IT-Sicherheitsvorfällen. Seit kurzem gibt es das zentrale BSI-Portal für die Meldung von Sicherheitsvorfällen – gut und richtig. Doch dann kam die entscheidende Frage aus dem C-Level: Was passiert, wenn ein IT-Sicherheitsvorfall zugleich personenbezogene Daten betrifft? Reicht die Meldung beim BSI, oder müssen wir zusätzlich […]
Spreu und Weizen: Die zwei Arten von InfoSec-Werbeversprechen
In den letzten Wochen habe ich in Gesprächen mit Kunden immer wieder dasselbe gehört: Die Branche rund um NIS-2 und ISO 27001 ist gerade eine einzige Goldgrube und viele verhalten sich auch genau so. Der Tenor lässt sich in zwei Extreme zusammenfassen: Extrem 1: Die Zertifikats-Drücker„In 3 Wochen zur ISO 27001 und NIS-2 gratis dazu. […]
„Den Rest mache ich mit ChatGPT.“ Warum ein ISMS kein Copy-Paste-Projekt ist
So sprach vor etwa einem Jahr ein Interessent zu mir:„Wissen Sie, Herr Neeff, was wir für unser ISO 27001 ISMS an Dokumentation brauchen, gibt’s mittlerweile kostenlos im Internet. Und den Rest mache ich mit ChatGPT.“ Ich liebe solche Sprüche, weil ich genau weiß, wie viel Substanz dahintersteckt. Nämlich KEINE. Wer so etwas sagt, betrachtet ein […]
Informationssicherheit beginnt nicht bei ISO 27001, sondern bei Ehrlichkeit.
Viele glauben, der Kern wirksamer Informationssicherheit liege in einer besonders „guten“ oder „schönen“ Umsetzung von ISO 27001 oder NIS-2. Doch der eigentliche Erfolgsfaktor ist ein anderer: eine ehrliche Bestandsaufnahme. Was bedeutet das konkret? Genau hier trennt sich die Spreu vom Weizen.Echte Profis beschäftigen sich zuerst mit dem jeweiligen Unternehmen – nicht mit Excel-Listen, Tool-Versprechen oder […]
Sicherheitsrisiko Vorstand: Wenn Ignoranz zur echten Schwachstelle wird
Während die Bedrohungslage eskaliert, spart ein börsennotierter Konzern weiter an der IT-Sicherheit und setzt lieber auf Hoffnung statt auf Verteidigung. Der CISO? Ohne Einfluss. Ohne Budget. Ohne Team. Jetzt sind die wenigen Mitarbeitenden krank und niemand kümmert sich.Die Führungsetage? Schaut weg. Jahrelange Überlastung, null Anerkennung, keine Entwicklungsmöglichkeiten und ein Management, das sich in falscher Sicherheit […]
Excel-Dieter, PowerPoint-Joe & das Managementsystem-Chaos
Wer sich mit dem Aufbau und Betrieb von Managementsystemen – etwa für Informationssicherheit nach ISO 27001 (ISMS) oder Qualitätsmanagement nach ISO 9001 – beschäftigt, kennt das Szenario nur zu gut: Seitenlange PowerPoint-Folien, riesige Excel-Dateien mit komplexen Formeln und dutzende Word-Dokumente bilden oft die Basis der gesamten Dokumentation. Und die wenigen Menschen, die diese Dateien erstellen […]