Auch die­ses Jahr durf­ten wir zahl­rei­che Unter­neh­men bei der Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­sys­tems (ISMS) und anschlie­ßen­der Zer­ti­fi­zie­rung nach ISO 27001 oder TISAX unter­stüt­zen. Auf­fal­lend war der star­ke Fokus der Prüf­dienst­leis­ter, dass Unter­neh­men eine schlüs­si­ge Stra­te­gie in ihrem ISMS von der Busi­ness-Impact-Ana­ly­se (BIA), über ein sich opti­mie­ren­des Risi­ko­ma­nage­ment zu aus­sa­ge­kräf­ti­gen KPIs des ISMS ent­wi­ckelt haben. Die Prü­fer zwin­gen Unter­neh­men zur ver­bind­li­chen Umset­zung von Info­Sec-Maß­nah­men mit klar defi­nier­ten Prio­ri­tä­ten und Fristen.

Im aktu­el­len “CISO im Dienst” Update geben wir nütz­li­che Tipps zur Erwei­te­rung Ihres ISMS im Bereich KI Com­pli­ance, phy­si­sche Sicher­heit und tech­ni­sche Maß­nah­men. Hier unser Inhalt:

  • Der euro­päi­sche AI Act, was müs­sen Unter­neh­men beachten?
  • Phy­si­sche Sicher­heit: ISO 27001 Zer­ti­fi­zie­rung mit Untermieter
  • SEC4YOU EINLADUNG: Kei­ne Angst vorm bösen [Com­pli­ance] Wolf — der CIS Sum­mit am 16. Sep­tem­ber 2025 in Wien
  • ISMS TIPP: Erklä­run­gen zu MUST, MUST NOT, SHOULD, SHOULD NOT und MAY
  • SOMMERAKTION: Som­mer, Son­ne, Sicher­heits­lü­cke? Nicht mit uns!
  • EMPFEHLUNG: Erstel­lung eines Dis­as­ter Reco­very Plans (DRP)

Der euro­päi­sche AI Act, was müs­sen Unter­neh­men beachten?

Die EU hat über den EU AI Act ent­schie­den, Pflich­ten und Auf­la­gen an das Risi­ko zu kop­peln, das von einem KI-Sys­tem für Grund­rech­te, Gesund­heit, Sicher­heit oder den Rechts­staat aus­geht. Neben dem Ver­bot von KI-Sys­te­men mit unan­nehm­ba­rem Risi­ko, gibt es stren­ge Auf­la­gen, z.B. Schu­lun­gen, Risi­ko­ma­nage­ment, Doku­men­ta­ti­on für KI-Sys­te­me bei­spiels­wei­se im Justiz‑, Gesundheits‑, Finanz- oder Bildungsbereich.

Risikobasierter Ansatz AI Act

Ler­nen Sie den Unter­schied zwi­schen KI-Sys­te­men mit unan­nehm­ba­rem Risi­ko, hohem Risi­ko, begrenz­tem Risi­ko und mini­ma­lem Risi­ko ken­nen und wel­che Pflich­ten damit ver­bun­den sind.

Phy­si­sche Sicher­heit: ISO 27001 Zer­ti­fi­zie­rung mit Untermieter

Die ISO 27001 stellt hohe Anfor­de­run­gen an die Infor­ma­ti­ons­si­cher­heit, ins­be­son­de­re bei gemein­sa­mer Nut­zung von Büro­räu­men mit soge­nann­ten Büro­part­nern (z.B. Unter­mie­ter, Büro­ge­mein­schaf­ten oder Kon­zern­fir­men). Dabei ent­ste­hen beson­de­re Her­aus­for­de­run­gen beim Schutz sen­si­bler Infor­ma­tio­nen, etwa in Bezug auf phy­si­sche Sicher­heit, Netz­werk­zu­gän­ge, End­ge­rä­te und Datenschutz.

Um Infor­ma­ti­ons­wer­te effek­tiv zu schüt­zen, emp­feh­len wir die Ein­rich­tung einer eige­nen lila Zone mit spe­zi­fi­schen Open-Space-Regeln.

  1. Zutritt für Mit­ar­bei­ter, Büro­part­ner, Gäste
  2. Clear Desk Poli­cy + weit­ge­hen­der Ver­zicht auf Papierdokumente
  3. Strik­ter Netz­werk­zu­gang und Netzwerksegmentierung
  4. Orga­ni­sa­to­ri­sche Maß­nah­men und Datenschutz

Wei­te­re kon­kre­te Umset­zungs­emp­feh­lun­gen fin­den Sie in unse­rer Veröffentlichung.

SEC4YOU EINLADUNG: Kei­ne Angst vorm bösen [Com­pli­ance] Wolf
— der CIS Sum­mit am 16. Sep­tem­ber 2025 in Wien

Der CIS Com­pli­ance Sum­mit 2025 fin­det am 16. Sep­tem­ber in Wien statt und ver­spricht erneut ein High­light für alle, die sich mit den neu­es­ten Trends und Her­aus­for­de­run­gen im Bereich der Infor­ma­ti­ons­si­cher­heit beschäf­ti­gen. Unter dem Titel „NIS‑2 TRIFFT KÜNSTLICHE INTELLIGENZ: Kei­ne Angst vorm bösen Wolf“ beleuch­tet die Ver­an­stal­tung die rasan­ten Ent­wick­lun­gen in der Cyber­si­cher­heits­land­schaft – von den neu­en Anfor­de­run­gen durch die NIS-2-Richt­li­nie bis hin zu den Chan­cen, die KI und Auto­ma­ti­sie­rung bieten.

Als Part­ner des CIS Com­pli­ance Sum­mit 2025 stel­len wir kos­ten­lo­se Tickets für unse­re Kun­den zur Ver­fü­gung. Wenn Sie Inter­es­se haben, an die­sem Tag wert­vol­le Insights zu gewin­nen, Net­wor­king zu betrei­ben und sich mit füh­ren­den Exper­ten aus­zu­tau­schen., dann siche­ren Sie sich ein Ticket für das Event und besu­chen Sie uns.

ISMS TIPP: Erklä­run­gen zu MUST, MUST NOT, SHOULD, SHOULD NOT und MAY

Nor­men und Stan­dards wer­den häu­fig die Wör­ter „MUST“, „MUST NOT“, „SHOULD“, „SHOULD NOT“ und „MAY“ genutzt. Jedoch gibt es in der deut­schen Spra­che ver­schie­de­ne Über­set­zun­gen für die­se Wör­ter mit leicht unter­schied­li­cher Bedeutung.

RFC 2119 einfach erklärt

Die Anfor­de­run­gen sind in den Nor­men leicht erkenn­bar, da die­se nach RFC 2119 immer in Groß­buch­sta­ben geschrie­ben wer­den. Wir erkä­ren die Unterschiede.

SOMMERAKTION: Som­mer, Son­ne, Sicher­heits­lü­cke? Nicht mit uns!

Wäh­rend Sie am Strand ent­span­nen, sind Cyber­kri­mi­nel­le hell­wach. Hacker machen kei­nen Urlaub – und genau des­halb soll­ten Sie auch im Som­mer nicht auf IT-Sicher­heit verzichten.

Im Zeit­raum von 16.6.2025 bis 15.8.2025 bie­ten wir 10% Rabatt auf aus­ge­wähl­te Pen­test, damit Sie sicher durch den Som­mer surfen!

Akti­on #1 Schwach­stel­len Scan der exter­nen Infra­struk­tur für bis zu 10 akti­ve IP-Adressen

Akti­on #2 Pene­tra­ti­ons­test einer ein­fa­chen Web-Appli­ka­ti­on inklu­si­ve Schwach­stel­len Scan und manu­el­le Prü­fung gemäß OWASP Top 10

Akti­on #3 Acti­ve Direc­to­ry Secu­ri­ty Assess­ment, auto­ma­ti­sier­te Erfas­sung der AD-Sicher­heits­kon­fi­gu­ra­ti­on mit­hil­fe eines bereit­ge­stell­ten Tools.

EMPFEHLUNG: Erstel­lung eines Dis­as­ter Reco­very Plans (DRP)

Ein Dis­as­ter Reco­very Plan (DRP) dient als zen­tra­les Steue­rungs­in­stru­ment zur Vor­be­rei­tung auf schwer­wie­gen­de IT-Stö­run­gen – von phy­si­schen Kata­stro­phen wie einem Brand im Ser­ver­raum bis hin zu geziel­ten Cyber­an­grif­fen, bei denen kom­plet­te IT-Struk­tu­ren ver­schlüs­selt werden.

Ein DRP unter­stützt bei:

  • Zeit­ge­winn im Not­fall: Durch kla­re Abläu­fe wird wert­vol­le Zeit gespart – und Still­stand minimiert.
  • Lücken­iden­ti­fi­ka­ti­on: Häu­fig ver­zö­gern Klei­nig­kei­ten den Wie­der­an­lauf – etwa feh­len­de Lizenz­schlüs­sel, unge­si­cher­te Kon­fi­gu­ra­tio­nen oder „ver­ges­se­ne“ Systeme.
  • Ganz­heit­li­ches Den­ken: Kata­stro­phen­sze­na­ri­en wer­den sys­te­ma­tisch durch­dacht – bevor die­se Rea­li­tät werden.
  • Basis für Tests & Übun­gen: Ein DRP ist die Grund­la­ge für effek­ti­ve Wiederanlaufübungen.
  • Com­pli­ance: Der DRP erfüllt zen­tra­le Anfor­de­run­gen aus gesetz­li­chen Vor­ga­ben wie der NIS-2-Richt­li­nie und wird im BCM von ISO 27001, TISAX® und DORA gefordert.
Desaster Recovery Plan - DRP

Besu­chen Sie uns auch auf Lin­ke­dIn und fol­gen­den Sie uns, um in kür­ze­ren Abstän­den CISO News zu diver­sen The­men und Ver­an­stal­tun­gen zu erhalten. 

Sie erhal­ten den CISO im Dienst UPDATE nicht?

Wenn Sie den CISO im Dienst UPDATE noch nicht direkt erhal­ten, nut­zen Sie unse­re Anmel­de­for­mu­lar auf der rech­ten Sei­te und wir tra­gen Sie ger­ne in den Ver­tei­ler ein. Der CISO im Dienst UPDATE Ser­vice wird aus­schließ­lich CIS­Os und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten und ver­gleich­ba­ren Posi­tio­nen ange­bo­ten. Nach Ihrer Anmel­dung erfolgt eine manu­el­le Frei­schal­tung für den Ser­vice. Anfra­gen von Free­mail Accounts kön­nen wir lei­der nicht berücksichtigen.

CISO im Dienst UPDATE, ein abwechs­lungs­rei­cher Über­blick mit Neu­ig­kei­ten und Tipps im Bereich Infor­ma­ti­ons­si­cher­heit und Ver­bes­se­run­gen Ihres ISMS

Inter­es­se? Dann regis­trie­ren Sie sich für unse­ren News­let­ter, um regel­mä­ßig infor­miert zu sein!

Wir sen­den kei­nen Spam! Erfah­ren Sie mehr in unse­rer Daten­schutz­er­klä­rung.