ISMS

Grundschutz++: Mehr Resilienz in der Informationssicherheit?

Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) steht vor einer umfassenden Weiterentwicklung. Mit dem Grundschutz++ (GS++) löst das BSI die statische, dokumentenzentrierte Bereitstellung von Sicherheitsanforderungen im IT-Grundschutz-Kompendium ab und etabliert ein maschinenlesbares Regelwerk für die Ära der NIS-2-Richtlinie. Das BSI bildet das Regelwerk dabei in einem maschinenlesbaren digitalen Format (OSCAL/JSON) ab – ein Ansatz, der in der Fachwelt auch als „Compliance as Code“ oder „Rules as Code“ diskutiert wird (im Folgenden wird auf den Begriff „Compliance as […]

Risikomanagement

Vertrauen im digitalen Zeitalter

Oft steht in der IT die Frage im Raum, ob eine bestimmte Anwendung oder Hardware „sicher“ sei. Die kompetente Antwort enthält dabei fast immer das Stichwort „Threat Modelling“ und den Zusatz „es kommt darauf an“. Aber worauf eigentlich genau? Die kurze Antwort lautet, Sicherheit basiert immer auf Vertrauen. Denn eine noch so gute Anwendung bringt nichts, wenn die Angreifer die darunterliegenden Systeme kompromittiert haben. Insbesondere erfordert dies ein grundlegendes Vertrauen gegenüber den Herstellern und Lieferanten, dass diese nicht selbst die […]

Allgemein, Kolumne

Cybersicherheit 2026: Ein Blick in die Glaskugel

Die auf schwarzem Samt gebettete Glaskugel ist das traditionelle Requisit für die professionelle Hellseherei, um den Blick in die Zukunft zu wagen. Die Korrektheit der Aussagen aus den Tiefen der Glaskugel dürfte wissenschaftlich schwer zu belegen sein – aber vielleicht geht es auch mehr um eine gefühlte Zukunft, wenn gegen Ende des Jahres auf Grundlage von Daten aus der Vergangenheit darüber spekuliert wird, was die Zukunft bringen könnte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht seinen Bericht zur […]

Allgemein, Weiterbildung

Serious Gaming im Business Continuity Management

In einer Welt, in der Cyberangriffe, Naturkatastrophen und technische Ausfälle längst keine Ausnahmen mehr sind, stehen Unternehmen vor einer zentralen Herausforderung: Sie müssen sicherstellen, dass ihre wichtigsten Geschäftsprozesse auch in Krisensituationen weiterlaufen. Das Business Continuity Management (BCM) ist hierfür das strategische Instrument. Es soll gewährleisten, dass Unternehmen selbst bei schwerwiegenden Störungen handlungsfähig bleiben. Doch auch das beste BCM-Konzept kann durch menschliche Fehler Schwachstellen aufweisen. Studien zeigen seit Jahren, dass der Mensch ein zentrales Sicherheitsrisiko darstellt. Dies geschieht häufig nicht aus […]

Allgemein, Malware, Penetrationstest, Risikomanagement

Über Zero-Click Chains und das Security Modell von Mobilgeräten

In letzter Zeit machen regelmäßig Security-Meldungen über Schwachstellen in Messengern die Runde. Erst kürzlich berichtete Heise von Zero-Click-Angriffen auf Apple-Geräte via WhatsApp. Warum die vermehrten Berichte und Panik verbreitenden LinkedIn-Posts einen weiterhin ruhig schlafen lassen sollten, versuche ich in diesem Blogpost zu erklären.

Allgemein, ISMS, Passwörter, Phishing, Weiterbildung

Klassische Phishing-Simulationen sind tot, lang lebe der Phishing Drill 

Was sind Phishing-Simulationen und welchen Zweck haben sie bisher verfolgt?  Phishing-Simulationen werden bisher als eine etablierte Methode eingesetzt, um Mitarbeitende gegenüber der Gefahr, welche von potentiell schädlichen E-Mails ausgeht, zu sensibilisieren und zu schulen.    Bei klassischen Phishing-Angriffen per E-Mail wird ein Szenario ausgearbeitet, welches einer authentischen E-Mail sehr nahekommt. Allerdings verweist der Link in der E-Mail nicht auf die zu erwartende Website, sondern auf eine präparierte nachgebaute Seite eines Angreifers. Dies verfolgt häufig den Zweck, Nutzerdaten abzufangen und für weitergehende […]