Informationssicherheit, Cyber-Resilienz, Sicherheitsmanagement
Sicherheit ist planbar, die meisten Risiken vermeidbar!
Wesentliche Kriterien für Informationssicherheit, Cybersecurity, Datensicherheit, IT/OT-Sicherheit, etc., sind Risikomanagement und Sicherheitsstrategie. Darauf aufbauend müssen die zentralen, messbaren und kontrollierbaren Ziele, allen relevanten Stakeholdern von der Unternehmensleitung (Managementverantwortung) vorgegeben werden. Nur so ist zu erwarten, dass bekannt ist wohin die Reise gehen soll.
Während größere Organisationen mit entsprechenden Ressourcen (Personal, Kapital, Zeit) sehr wahrscheinlich ein vollwertiges Informations-Sicherheitsmanagement-System nach ISO/IEC 27001 umsetzen, implementieren kleine Unternehmen oftmals einfachere Lösungen.
Allerdings können auch kleine Unternehmen unmittelbar (zB. Kommunikationsnetze) oder mittelbar (Lieferkette) von den strengen
Sicherheitsanforderungen des NISG 2026 betroffen sein und müssen ihre bisherige Sicherheitsstrategie überdenken.
Mein Leistungsangebot an mittelgroße und kleine Unternehmen
Sicherheitscheck, Sicherheitsbewertung, GAP-Analysen
Wie der reale Sicherheitsbedarf, die tatsächlichen Anforderungen und die effektive Umsetzung der Sicherheit ihrer IT/OT-Systeme zu prüfen sein werden, ist abhängig von der jeweiligen Kundenorganisation und sollte mittels Requirements-Engineering vorbereitet werden.
Die meisten Angriffe gegen die IT Ihres Unternehmens beginnen tatsächlich durch aktive oder unbewusste Mitwirkung der Computeranwender, Netzwerkdrucker, IoT Geräte und dergleichen. Ihre OT-Systeme (Produktion/Fertigung) werden meistens über den Umweg der IT kompromittiert. Im schlimmsten Fall sind die OT-Systeme auch direkt aus dem Internet erreichbar.
Daher prüfe ich nicht ausschließlich die Sicherheit ihrer Netzwerkkomponenten, sondern analysiere neben Konfigurationsfehlern ihrer Hard- und Software, alle IT Prozesse ihres Unternehmens. Dazu
zählen beispielsweise: Sicherheits-, Risiko- und Wissensmanagement, Fehlerkultur, Gebäudeschutz, Brandschutz, Zutrittsschutz, Backup und Archivlösungen, Dokumentation, Incident Handling, udgl.
Bei größeren Organisationen orientiert sich die Sicherheitsprüfung natürlich am ISO/IEC-27000 Rahmenwerk. Für kleine Organisationen empfiehlt sich ein Vorgehen, das auf DIN Spec 27076 aufbaut.
RM consulting bietet ausschließlich ganzheitliche IT Sicherheitsprüfungen an. Dieser Prozess ist natürlich aufwendig und verlangt entsprechende Kenntnisse und Erfahrung auf diesem Gebiet. Falls sie ein ergebnisoffenes, unvoreingenommenes und qualitatives Sicherheitsaudit wünschen, dann kontaktieren sie mich bitte vorab telefonisch oder per E-Mail. Wir stimmen dann gemeinsam das weitere Vorgehen ab.
Resilienz der Netz- und Informationssysteme (NIS2, NISG 2026, CRA, CRE)
Die lange erwartete Novelle des nationalen NIS-Gesetzes zur Umsetzung der EU-Richtlinie 2022/2555, CELEX 32022L2555 (NIS2) wurde nun endlich
vom Nationalrat beschlossen. Mit 01. Oktober 2026 wird das NISG 2026 rechtsgültig. Aktuell gilt also noch eine 'Schonfrist' zur Umsetzung der geforderten Maßnahmen zum Schutz vor Cyberrisiken, zur Gewährleistung der Stabilität der Organisation, und der Sicherheit der genutzten IT/OT-Systeme.
Leider ist die notwendige nationale Verordnung für die geforderten Schutzmaßnahmen, welche sich mit hoher Wahrscheinlichkeit an den Empfehlungen der ENISA orientieren wird, noch ausständig. Diese wird die geforderten Parameter im Risiko- und Sicherheitsmanagement, sowie die (Mindest-) Standards der Schutzmaßnahmen definieren.
Einen Vorgeschmack bietet die Durchführungsverordnung EU 2024/2690, welche aktuell für bestimmte IT-Dienstleister gilt.
Selbst wenn das eigene Unternehmen nicht unmittelbar im Katalog der 'wichtigen, wesentlichen oder kritischen' Infrastruktur erfasst wird, so müssen zumindest vorgelagerte und/oder nachgelagerte Prozessketten (Lieferanten, Kunden, Geschäftspartner) ein besonderes Augenmerk auf die Einhaltung der Cybersecurity und Resilienz ihrer Prozesse und Schnittstellen legen. Somit werden auch viele kleine und mittlere Unternehmen strategische und operative Schritte zur Risikominimierung bzw. Gefahrenabwehr planen, dokumentieren, umsetzen, evaluieren und nachweisen müssen.
Gerne helfe ich Ihnen bzw. ihrem Unternehmen beim Aufbau eines auf die Bedürfnisse angepassten Informations-Sicherheits-Management-Systems (ISMS), beim Implementieren der geforderten Schutz- und Sicherheitsmaßnahmen, und beim Erstellen aller notwendigen Dokumente. Natürlich unterstütze ich auch bei allgemeinen Fragestellungen zu NIS2 [EU-Richtlinie 2022/2555, CELEX 32022L2555] und dem NISG 2026.
Informations-Sicherherheits-Management-System (ISMS)
Wenn Sie mich für die Implementierung eines ISMS, mit allen notwendigen strategischen, operativen und technologischen Planungs- und Umsetzungsmaßnahmen beauftragen, dann werde ich das übernommene Projekt überwiegend mittels agiler Methoden durchführen. Zudem folge ich meiner persönlichen Zielvorgabe, stets nur die richtigen Schritte umzusetzen (gem. LEAN, ohne Gold-Plating) und mittels systemisch komplementären Beratungsmethoden, die Kundenorganisation zu befähigen, zukünftige Herausforderungen (PDCA Zyklus) selbst bewerkstelligen zu können.
Als zertifizierter ISMS Manager nach ISO/IEC 27001:2022 stehe ich Ihnen als ihr Fachexperte und systemischer Coach zur Seite. Gemeinsam mit der verantwortlichen Unternehmensführung und dem motivierten, beigestellten Projektteam werden wir rasch ein auditierbares Informations-Sicherheits-Management-System, inkl. der nötigen Dokumente und allen erforderlichen Schutzmaßnahmen und Sicherheitskontrollen umsetzen.
Planen sie dennoch mit einer Einführungsphase von zumindest 4 bis 6 Monaten für die erste Version der Sicherheitsrichtlinien und Sicherheitsmaßnahmen nach ISO/IEC 27001:2022 iVm. ISO/IEC 27002:2022. Die Zertifizierung sollte allerdings erst im Folgejahr angestrebt werden, da ansonsten wesentliche Kriterien (Management-Review, laufende Evaluierung und Verbesserung, u.a.) für die Konformitätsprüfung fehlen.
Selbstverständlich können sie auch auf meine Expertise als ISMS Auditor nach ISO/IEC 27001:2022 zurückgreifen und mich für interne Compliance-/System-/Prozess- oder technische Audits buchen.
Ein internes Audit des ISMS durch betriebsfremde Experten kann für die Unternehmensführung (oberste Leitung) bzw. den CISO, die Qualität der Dokumente und Maßnahmen mittels unabhängiger und ergebnisoffener Fremdsicht offenlegen und bei der Erfüllung der Anforderungen gem. ISO/IEC-27001:2022 Kapitel 9 und 10 unterstützen.
Zudem empfiehlt sich ein unabhängiges internes Audit rechtzeitig vor den jährlichen externen Überprüfungs-Audits bzw. einem Rezertifizierungs-Audit durch die Zertifizierungsstelle durchzuführen, und so unerwartete und mitunter teure 'Überraschungen' zu vermeiden.
Als unabhängiger professioneller Berater sorge ich dafür, dass Ihnen die Vorteile, Chancen und Einsparungspotentiale bei der Erfüllung dieser 'Pflichten' bewusst werden. Weisen sie Ihren Kunden, Lieferanten, Mitarbeitern und auch Ihren Mitbewerbern nach, dass Sie ein verlässlicher Partner im Geschäftsalltag sind. Vergleichen Sie dazu auch gerne die Vorgaben nach dem NISG 2026 (EU-Richtlinie 2022/2555), der EU-Verordnung 2022/0272 (CyberResilienceAct) oder der EU-Produkthaftungsrichtlinie (EU 2024/2853) in Bezug auf Software und KI. Schließlich rechnet sich keine Investition in zusätzliche Sicherheitsmaßnahmen, wenn Sie oder Ihr Unternehmen nicht auch den Mehrwert erkennen und schätzen.
Datensicherheit, Datenschutz, EU-DSGVO, DSG, ...
Seit Mai 2018 müssen alle natürlichen und juristischen Personen sowie öffentliche Organisationen, welche personenbezogene Daten innerhalb der EU oder für Unternehmen in der EU speichern oder
verarbeiten, die Vorgaben der europäischen Datenschutz Grundverordnung 2016/679 erfüllen.
Leider habe ich immer noch Kontakt zu Unternehmen, welche die gesetzlichen Vorgaben hinsichtlich Datenschutz und Datensicherheit nicht oder nicht korrekt umgesetzt haben. Wenn Sie bzw. Ihr
Unternehmen nicht wirklich sicher sind, auch alle rechtlichen Vorgaben korrekt zu erfüllen (aber ohne unnötiges Gold Plating), dann sollten Sie mich rasch
kontaktieren. Zumindest noch bevor Sie von der Datenschutzbehörde zur Stellungnahme eingeladen werden.
Was tun, wenn die Sicherheitsvorkehrungen nicht gegriffen haben?
Aufarbeiten, lernen, verbessern, PDCA ...
Ein ordentliches Informationssicherheitsmanagement berücksichtigt auch Strategien, Ziele und Maßnahmen um Sicherheitsvorfälle unvoreingenommen aufzuarbeiten. Dabei sind standardisierte Vorgehensweisen
einzuhalten. Latente Spuren müssen konserviert werden, ohne Datenfragmente der Angreifer zu zerstören oder selbst Spuren zu setzen. Man nennt dies ein nicht invasives Vorgehen. Das Sichern, Aufbereiten,
Analysieren, und aus dem Gesamtbild die "richtigen Schlüsse" ziehen zu können, ist Aufgabe von erfahrenen, speziell geschulten Computerforensikern.
Aufgrund meiner langjährigen Tätigkeit als Computerforensiker kann ich Ihr Unternehmen im Anlassfall unterstützen. Hier finden Sie detaillierte Informationen zur
» Computerforensik.
Fördermaßnahmen
Nutzen Sie die Gelegenheit der geförderten Überprüfung ihrer » Cyber-Sicherheit mittels Quickcheck. Bis zu 8 Arbeitsstunden werden zu 100% gefördert.
Zudem werden vom TIP Nö Schwerpunktberatungen zu unterschiedlichen Themenbereichen (z.B. ISMS Projekte) gefördert. Gerne berate ich Ihr Unternehmen zu den möglichen Förderungen und unterstütze bei der Antragstellung. Detaillierte Informationen finden Sie auf der Webseite des TIP Nö.