Im Jahr 2026 ange­kom­men, hat sich der Auf­bau eines Infor­ma­ti­on Secu­ri­ty Manage­ment Sys­tems (ISMS) radi­kal von einer sta­ti­schen „Check­lis­ten-Men­ta­li­tät“ hin zu einem dyna­mi­schen, KI-gestütz­ten Pro­zess ent­wi­ckelt. Da die KI sich zuneh­mend in den Unter­neh­mens­pro­zess aus­brei­tet, muss ein moder­nes ISMS daher zwin­gend die Brü­cke zur KI-Gover­nan­ce schlagen.

Neben dem Markt­druck DORA- und NIS-2-Com­pli­ance nach­zu­wei­sen, steigt auch der Wunsch wach­sen­de Anfor­de­run­gen an  Busi­ness Con­ti­nui­ty Manage­ment (ISO 22301), KI-Gover­nan­ce (ISO 42001) und den Cyber Resi­li­ence Act (CRA) in einem inte­grier­ten Manage­ment­sys­tem zu adressieren.

Egal wie vie­le Regu­la­ri­en und Nor­men CIS­Os abde­cken wol­len, CIS­Os müs­sen die Wei­chen stel­len, um auf die Belastbarkeit/Resilienz zu schwen­ken und statt zeit­auf­wen­di­gen Audit-Vor­be­rei­tun­gen eine „Always-on“ Com­pli­ance – tech­nisch, ope­ra­tiv und orga­ni­sa­to­risch – zu realisieren.

Star­ten wir die ISMS-Tur­bi­ne und füt­tern sie mit unse­ren Compliance-Anforderungen!

Aus dem Inhalt:

• Ein­fluss der KI auf die Infor­ma­ti­ons­si­cher­heit und das ISMS
• ISMS TIPP: Wirk­sam­keits­prü­fung nach ISO 27001 und NIS‑2
• CISO WISSEN: Wie funk­tio­niert ein Post-Quan­tum Schlüsselaustausch?
• Acti­ve Direc­to­ry- und Micro­soft 365-Sicherheit
• WEBINAR EINLADUNG: ISO 27001 und NIS‑2 Lieferantenmanagement
• ONLINE-SHOP EMPFEHLUNG: KI-Kom­pe­tenz / KI-Awareness-Schulung

Weder im ISO 27001:2022 Annex A noch in den Risi­ko­ma­nage­ment­maß­nah­men von NIS‑2 gibt es eine kon­kre­te For­de­rung nach KI-Gover­nan­ce. Aber kein CISO kann heu­te die KI beim eige­nen Risi­ko­ma­nage­ment außer Acht lassen.

Für das Jahr 2026 emp­feh­len wir CIS­Os den fol­gen­den Aktionsplan:

1. Prü­fen Sie die Con­trols des Annex A ein­zeln, ob KI einen direk­ten Ein­fluss auf die ein­zel­ne Con­trol hat. Leicht zu erken­nen sind beispielsweise: 
   • Fake-Bewer­bun­gen, Fake-Zeug­nis­se im Einstellungsprozess
   • Com­pli­ance-Anfor­de­run­gen des AI Acts und ver­pflich­ten­de KI-Kompetenzschulungen
   • Frei­ga­be­pro­zess für Cloud KI-Anwendungen
   • Lizen­zie­rung von KI-Diensten
   • Data Loss Pre­ven­ti­on: Infor­ma­ti­ons­ver­lust durch KI-Nutzung
   • Neue Gefahr durch KI-gestütz­te Cyberangriffe
2. Füh­ren Sie für die­se neu­en Gefähr­dun­gen eine Risi­ko­be­wer­tung durch und lei­ten Sie Maß­nah­men ab.
3. Berück­sich­ti­gen Sie KI bei einer Not­fall­übung, z.B. einen KI-Data-Breach durch einen unacht­sa­men Mitarbeiter.
4. Mes­sen Sie die KI-Nut­zung (z.B. über den Web-Fil­ter) und berich­ten Sie die Stei­ge­rung im Management-Review.

Moder­ne ISMS-Sys­te­me nach ISO 27001 oder NIS‑2 erfor­dern die Wirk­sam­keits­prü­fung von Maß­nah­men als inte­gra­len Bestand­teil des Managementsystems.

In unse­rem Arti­kel zei­gen wir, was über­wacht und gemes­sen wer­den muss, wel­che Metho­den ver­wen­det wer­den kön­nen und wann der opti­ma­le Zeit­punkt für eine Wirk­sam­keits­prü­fung ist.

Wir haben auch 6 sehr pra­xis­na­he Bei­spie­le für erfolg­rei­che Wirk­sam­keits­prü­fun­gen beschrie­ben. Lesen lohnt sich!

Schon etwas von Post-Quan­tum bzw. ML-KEM gehört?

Der Stan­dard wird in Kür­ze bis­he­ri­ge Algo­rith­men ablö­sen und wird heu­te schon von Win­dows und Linux unterstützt.

In unse­rem Blog-Arti­kel erklä­ren wir die Unter­schie­de zum Dif­fie-Hell­man-Schlüs­sel­aus­tausch, aber auch die Vor- und Nach­tei­le des neu­en Algo­rith­mus und wir haben ein FAQ für Sie zusammengestellt.

In der moder­nen IT-Welt ist die Brü­cke zwi­schen dem klas­si­schen On-Pre­mi­se Acti­ve Direc­to­ry (AD) und der Cloud-Welt von Micro­soft 365 (Entra ID) oft das attrak­tivs­te Ziel für Angrei­fer. In unse­rem aktu­el­len Arti­kel beleuch­ten wir, war­um hybri­de Iden­ti­tä­ten oft ein Sicher­heits­ri­si­ko dar­stel­len und wie man sie absi­chert. Aus dem Inhalt:

• Kom­ple­xi­tät als Risi­ko — Risi­ko durch ver­al­te­te Objekte
• Pri­vi­le­gier­te Kon­ten, Trusts und Anomalien
• Redu­zie­rung der Erfolgs­wahr­schein­lich­keit rea­ler Angriffe

Mit der NIS-2-Richt­li­nie und der ISO 27001:2022 rückt die Lie­fer­ket­te (Sup­p­ly Chain) end­gül­tig ins Zen­trum der regu­la­to­ri­schen Auf­merk­sam­keit. In unse­rem Web­i­nar zei­gen wir Ihnen den Weg von der rei­nen Com­pli­ance-Pflicht hin zu einem leb­ba­ren, risi­ko­ba­sier­ten Lieferantenmanagement.

Sichern Sie sich Ihre Key-Takeaways:

• Klar­heit: Wel­che Maß­nah­men der ISO 27001 hel­fen im NIS‑2 Lieferantenmanagement?
• Effi­zi­enz: Wie Sie eine „Sicher­heits-Check­lis­te“ erstel­len, die wirk­lich funktioniert.
• Haf­tung: Wie Sie die Anfor­de­run­gen zur Sorg­falts­pflicht gegen­über den Auf­sichts­be­hör­den dokumentieren.

Künst­li­che Intel­li­genz ist längst kein Zukunfts­sze­na­rio mehr, son­dern fes­ter Bestand­teil unse­res Arbeits­all­tags. Doch mit den neu­en Mög­lich­kei­ten wach­sen auch die regu­la­to­ri­schen Anfor­de­run­gen und Sicher­heits­ri­si­ken. Mit unse­rer neu­en KI-Kom­pe­tenz-Schu­lung machen Sie Ihr Team bereit für den rechts­si­che­ren und effi­zi­en­ten Ein­satz von KI.

Aus dem Inhalt:

• Recht­li­che Sicher­heit: Ein kom­pak­ter Über­blick über den EU AI Act, Risi­koklas­sen und Ihre Pflich­ten als Betreiber.
• KI und Cyber Secu­ri­ty: Wie Sie sich vor KI-basier­ten Angrif­fen (Deepf­akes, auto­ma­ti­sier­tes Phis­hing) schüt­zen und Daten­pan­nen durch fal­sche KI-Nut­zung vermeiden.
• Pra­xis-Know-how: Effek­ti­ves „Promp­ting“ und der pro­duk­ti­ve Ein­satz von gene­ra­ti­ver KI im Büroalltag.
• Ethik und Ver­ant­wor­tung: Sen­si­bi­li­sie­rung für Bias (Vor­ein­ge­nom­men­heit) und Daten­schutz bei der Nut­zung von Sprachmodellen.

Besu­chen Sie uns auch auf Lin­ke­dIn und fol­gen Sie uns, um in kür­ze­ren Abstän­den CISO-News zu diver­sen The­men und Ver­an­stal­tun­gen zu erhalten. 

Sie erhal­ten den CISO im Dienst UPDATE nicht?

Wenn Sie den CISO im Dienst UPDATE noch nicht direkt erhal­ten, nut­zen Sie unse­re Anmel­de­for­mu­lar auf der rech­ten Sei­te und wir tra­gen Sie ger­ne in den Ver­tei­ler ein. Der CISO im Dienst UPDATE Ser­vice wird aus­schließ­lich CIS­Os und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten und ver­gleich­ba­ren Posi­tio­nen ange­bo­ten. Nach Ihrer Anmel­dung erfolgt eine manu­el­le Frei­schal­tung für den Ser­vice. Anfra­gen von Free­mail Accounts kön­nen wir lei­der nicht berücksichtigen.