Einführung von Grundschutz++

Mittwoch, 9. Juli 2025

Stichtag für die Einführung von Grundschutz++ ist der 1.1.2026. Das Datum wurde vom BSI in offiziellen Ankündigungen, Präsentationen und Fachveranstaltungen als verbindlicher Startpunkt kommuniziert. Ab diesem Zeitpunkt soll das neue, digitale und prozessorientierte Regelwerk den bisherigen IT-Grundschutz ablösen.

Auch wenn abzuwarten bleibt in wie weit dieser Termin realistisch ist und wie lang die Übergangsfristen für die Umstellung sein werden. So ist doch abzusehen das der Aufwand und Zeitdruck, insbesondere für größere und zertifizierte Verbünde erheblich sein wird. Auch wenn es aktuell noch keine konkreten Beschreibungen zur Methodik und Modellierung gibt, können und sollten sich Anwender schon jetzt vorbereiten. Dazu können die folgenden Maßnahmen dienen:

  • Laufende Information über den aktuellen Stand (Internet-Seiten des BSI, Vorträge und Veröffentlichungen).
  • Konsolidierung der bestehenden Verbünde (Reduzierung der Komplexität, konsistente Dokumentation der Gruppierung und Modellierung).
  • Kontakt zu Toolherstellern und drängen auf eine zügige Umsetzung in den verwendeten ISMS-Tools.
  • Frühzeitige Planung der Bereitstellung entsprechender personeller Ressourcen für die Umstellung auf Grundschutz++ ab Mitte 2026.
  • Ggf. frühzeitige Reservierung externer Ressourcen.
  • Klare interne Kommunikation über die bevorstehenden erhöhten Aufwände für die Umstellung (Schulungen, neue (erst-)GSCs und Anpassung der Dokumentation)

ISMS-Ratgeber Wiki: Grundschutz++

BYOD-Richtlinie

Freitag, 2. Mai 2025

Muster Richtlinie zur sicheren Integration privater Endgeräte (Smartphones, Tablets, Laptops) ins Unternehmensnetz. Vorgaben zu Verschlüsselung, MDM, Containerisierung & Compliance.

Muster-Richtlinie für den Einsatz von Bring Your Own Device (BYOD)

Notfallhandbuch für KMU

Freitag, 25. April 2025

Ein Strukturiertes Muster-Notfallhandbuch für kleine und mittlere Unternehmen (KMU) mit Best Practices für Notfallvorsorge, Krisenmanagement und Wiederanlauf.

Notfallhandbuch für KMU

Chancen und Risiken von KI in Unternehmen und Behörden

Freitag, 25. April 2025

Chancen und Risiken von KI-Einsatz in Unternehmen und Behörden. Von Effizienzsteigerung bis Datenschutz: Ein umfassender Leitfaden zu rechtlichen, technischen und ethischen Aspekten, eine Richtlinie zum rechtskonformen Einsatz von KI sowie eine Mustervorlage für ein KI-Register.

KI Cybersicherheit

Chancen und Risiken von KI in Unternehmen und Behörden.

Richtlinie für den sicheren Einsatz von Künstlicher Intelligenz (KI)

Mustervorlage für ein KI-Register

BSI IT-Grundschutz++

Freitag, 4. April 2025

Grundschutz++ ist ein Reformprojekt des BSI zur grundlegenden Modernisierung des IT-Grundschutzes, das ab 2026 umgesetzt wird.
Ziel ist eine stärkere Automatisierung und Vereinfachung durch die Umstellung auf ein maschinenlesbares, OSCAL/JSON-basiertes Regelwerk.
Die Struktur wird modularer und prozessorientierter, um Redundanzen zu reduzieren und die Dokumentationslast zu senken.

IT-Grundschutz++ 2026: Digitale Reform & OSCAL/JSON-basierte Sicherheit

Der Cyber-Risiko-Check (CRC)

Sonntag, 16. März 2025

Der Cyber-Risiko-Check (CRC) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Verfahren, das kleinen und kleinsten Unternehmen (KKU) hilft, ihr IT-Sicherheitsniveau zu bewerten. Es basiert auf der DIN SPEC 27076 und wird von speziell geschulten IT-Dienstleistern durchgeführt.

Ziel des CRC ist es, IT-Sicherheitsrisiken strukturiert zu identifizieren und konkrete Handlungsempfehlungen zur Verbesserung der Sicherheitslage eines Unternehmens zu geben.

Der Cyber-Risiko-Check (CRC)

Informationssicherheit beim Einsatz von Social Media im Unternehmen

Sonntag, 16. März 2025

Social Media werden in Unternehmen zunehmend als strategisches Instrument eingesetzt – sei es für Marketing, Kundenkommunikation oder Employer Branding.
Gleichzeitig ergeben sich jedoch auch Risiken für die Informationssicherheit. Dieser Artikel beleuchtet die Problematik und zeigt Lösungsansätze auf, die einen regelkonformen Umgang ermöglichen, ohne den flexiblen Einsatz von Social Media unnötig einzuschränken.

Informationssicherheit beim Einsatz von Social Media

Geschäftsprozesse

Montag, 24. Februar 2025

Geschäftsprozesse bilden den Kern der Unternehmensabläufe und sind zentral für die Wertschöpfung und damit auch relevant für Informationsicherheit.

Aber was sind Geschäftsprozesse? Und wie finde ich sie?
Das Theme füllt Bücher, einen kleinen Abriss aus Sicht der Informationssicherheit findet ihr jetzt im Artikel zu Geschäftsprozesse

Geschäftsprozesse und ihre Relevanz für die Informationssicherheit

Internes zu Kommentaren

Montag, 24. Februar 2025

Natürlich dürft ihr gern kommentieren, aber bitte nur als “Kommentar”.
Falls ihr konkrete Fragen habt zum Blog allgemein oder einzelnen Beiträgen, nutzt bitte das Kontaktformular, da ich nicht sicherstellen kann, dass ich alle Kommentare zeitnah lese :)

Neue Muster Richtlinie Authentisierung (passkey-Richtlinie)

Mittwoch, 9. Oktober 2024

Traditionelle Passwort-basierte Authentifizierung ist anfällig für Sicherheitsrisiken wie Phishing, Brute-Force-Angriffe und das Wiederverwenden von Passwörtern.

Moderne passwortlose Verfahren wie Passkeys bieten einen höheren Schutz, da sie auf Public-Key-Kryptographie basieren und die Sicherheit nicht von der Geheimhaltung eines Passworts abhängt. Passkeys sind weniger anfällig für klassische Angriffe und bieten eine verbesserte Benutzerfreundlichkeit, da sie den Aufwand für Passwortmanagement eliminieren.

Diese Muster-Richtlinie unterstützt die schrittweise Einführung passwortloser Verfahren, um die Sicherheit der IT-Systeme einer Organisation zu erhöhen.

Muster Richtlinie Authentisierung

Neue Beitrag zur Sensibilisierung

Mittwoch, 9. Oktober 2024

Die Seite Sensibilisierung mit Bildkampagnen zeigt, wie Sensibilisierung durch Plakate, Poster und Bilder ein nützlicher Bestandteil von Aufklärungs- und Sensibilisierungskampagnen zur Informationssicherheit und zum Datenschutz sein kann. Der Artikel zeigt einige praktische Beispiele, die auch gern direkt verwendet werden können.

Sensibilisierung mit Bildkampagnen

Zusätzliche/spezifische Gefährdungen für Risikoanalysen

Freitag, 19. Juli 2024

Die Seite Zusätzliche Gefährdungen im ISMS-Ratgeber behandelt verschiedene zusätzliche Risiken, die in einr Risikoanalyse nach BSI Standard 200-3 berücksichtigt werden könnten. Sie bietet eine detaillierte Übersicht über potenzielle zusätzliche/spezifische Gefährdungen und deren Auswirkungen.

Zusätzliche Gefährdungen: Risiken und Gefährdungen