Security on Air

Diese Episode richtet sich an Geschäftsleitungen und Informationssicherheitsbeauftragte, die jetzt konkret in die NIS2-Umsetzung einsteigen müssen. Im Mittelpunkt stehen die neuen Managementpflichten, die verschärften Anforderungen an Risikomanagement und Meldeprozesse sowie die persönlichen Haftungsrisiken für die Geschäftsführung.

In dieser Folge sprechen wir über die zentrale Rolle der Maßnahmensteuerung im Informationssicherheits-Managementsystem nach ISO 27001. Im Fokus stehen die Definition, Priorisierung, Dokumentation und Überprüfung von Maßnahmen, um eine wirksame und nachvollziehbare Steuerung im Unternehmen sicherzustellen.

In dieser Folge diskutieren unsere Experten, warum Lieferantenmanagement nicht nur ein Randthema, sondern ein Schlüsselfaktor für Unternehmen ist. Qualitätsmanagement (ISO 9001), Informationssicherheit (ISO 27001), Datenschutz (DSGVO) oder Business Continuity – überall spielen externe Partner, Dienstleister und Lieferanten eine zentrale Rolle und müssen daher bewertet, gesteuert und ab und an auditiert werden, um sie optimal einzubinden.

In dieser Episode sprechen wir über Datenschutz im Bewerbungsprozess – ein Thema, das für jedes Unternehmen relevant ist. Wir beleuchten die Besonderheiten der DSGVO bei Bewerberdaten, geben Tipps zur sicheren Verarbeitung, zur Löschung unnötiger Informationen und erklären, wie Unternehmen Risiken vermeiden können. Außerdem erfahren Sie, was im Umgang mit Bewerbungsunterlagen, Bewerbungsgesprächen, KI-Nutzung und Datenspeicherung besonders zu beachten ist.

In unserer Folge „Praxistipps zum Audit – gut vorbereitet in die Prüfung“ sprechen wir über die optimale Vorbereitung auf Audits im Bereich Informationssicherheit, insbesondere im Hinblick auf Zertifizierungen wie ISO 27001. Zielgruppe sind Geschäftsführer*innen sowie Informationssicherheits- und Datenschutzbeauftragte. Unser Experte gibt praxisnahe Einblicke, wie Unternehmen typische Fehler vermeiden und alle Beteiligten – vom Management bis zu den Mitarbeitenden – sicher durch das Audit führen.

In dieser Podcastfolge sprechen wir über die Business Impact Analyse (BIA) – ein zentrales Werkzeug, um Unternehmen auf den Ernstfall vorzubereiten. Wir klären, was eine BIA ist, warum sie nicht nur für Konzerne, sondern auch für kleine und mittlere Unternehmen essenziell ist und wie sie sich von der klassischen Risikoanalyse unterscheidet. Gemeinsam gehen wir Schritt für Schritt durch die praktische Durchführung einer BIA, geben Tipps zur Identifikation kritischer Prozesse und zeigen, warum regelmäßige Notfallübungen unverzichtbar sind. Außerdem erfahren Sie, wie die BIA in ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 eingebettet ist. Am Ende gibt es noch einige Tipps aus der Praxis.

In dieser Folge dreht sich alles um Löschkonzepte im Unternehmen. Sie erfahren, warum ein Löschkonzept weit mehr ist als nur eine Formalität und wie Sie es praxisnah umsetzen. Ein gutes Löschkonzept ist unerlässlich, um gesetzlichen Anforderungen zu entsprechen und die Sicherheit sowie Integrität von Daten zu gewährleisten. Es erfordert eine systematische Bestandsaufnahme, klare Verantwortlichkeiten, individuelle Löschregeln und eine regelmäßige Überprüfung. Die Integration in bestehende Prozesse und die Schulung der Mitarbeitenden sind entscheidend für den Erfolg. Löschkonzepte unterstützen nicht nur die Einhaltung von Datenschutz und Informationssicherheit, sondern verbessern auch die organisatorische Effizienz. Die Episode richtet sich an Verantwortliche im Datenschutz, in der Informationssicherheit, IT-Leitende sowie alle, die mit sensiblen Daten arbeiten.

In dieser Podcastfolge erfahren Sie, wie sich Unternehmensänderungen wie Umzüge, die Eröffnung neuer Standorte oder der Zukauf von Unternehmensteilen auf das Informationssicherheits-Managementsystem (ISMS) auswirken. Sie erhalten praxisnahe Einblicke, warum der Verantwortliche für Informationssicherheit frühzeitig in die Planung eingebunden werden sollte und welche besonderen Anforderungen bei der Standortwahl, physischen Sicherheit und Anpassung von Richtlinien zu beachten sind. Außerdem wird erläutert, wie wichtig eine strukturierte Dokumentation sowie die rechtzeitige Information der Zertifizierungsgesellschaft ist, um Zertifikatslücken zu vermeiden. Abschließend erhalten Sie wertvolle Tipps, wie Sie mit guter Planung und Kommunikation auch größere Veränderungen reibungslos und sicher im Sinne des ISMS umsetzen können.

In dieser Podcast-Folge erfahren Sie, wie die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 in mittelständischen Unternehmen erfolgreich gestaltet werden kann. Wir geben Ihnen einen praxisnahen Überblick über die typischen Abläufe, Zeitrahmen und Herausforderungen bei der Umsetzung – von der Bildung eines interdisziplinären Projektteams über die Festlegung des Geltungsbereichs bis hin zur Integration der Anforderungen in die täglichen Prozesse. Dabei wird deutlich: Informationssicherheit ist ein unternehmensweites Thema, das alle Bereiche betrifft und nicht allein in der IT angesiedelt ist. Sie erhalten wertvolle Hinweise, wie Sie Ihr Team optimal einbinden und bestehende Strukturen nutzen.

In dieser Folge tauchen wir in die Welt des Verzeichnisses der Verarbeitungstätigkeiten (VVT) ein. Wir erklären, warum das VVT nicht nur eine lästige Pflicht nach der DSGVO ist, sondern auch ein wertvolles Werkzeug für Unternehmen darstellt. Es bietet einen klaren Überblick über die Verarbeitung personenbezogener Daten und liefert wichtige Informationen für das Risikomanagement im ISMS und das Qualitätsmanagement. Dabei folgen wir dem KISS-Prinzip (Keep It Simple and Stupid).

Künstliche Intelligenz verändert die Arbeitswelt – doch wie stellen Unternehmen sicher, dass ihre Mitarbeitenden die nötigen Kompetenzen besitzen? In dieser Folge sprechen wir über den AI Act, die Pflicht zu KI-Schulungen und wie Unternehmen die neuen Anforderungen umsetzen können.

In dieser Episode sprechen wir über die Integration verschiedener Managementsysteme im Unternehmen. Was muss beachtet werden, um die einzelnen Systeme miteinander zu verzahnen und bestmöglich zusammen zu betreiben? Welche Hürden können auftreten und wie können diese gemeistert werden?

Der Podcast „Jahresrückblick 2024“ beleuchtet zentrale Entwicklungen in den Bereichen Informationssicherheit, Datenschutz und KI. Wir diskutieren über neue Regularien wie NIS2, Herausforderungen der DSGVO, die wachsende Bedeutung von Künstlicher Intelligenz und deren Auswirkungen auf Unternehmen. Zudem wird auf die Notwendigkeit eines verbesserten Risikomanagements, Awareness-Schulungen und den Wandel in Arbeitsweisen eingegangen.

Künstliche Intelligenz ist mittlerweile aus dem Unternehmensalltag kaum noch wegzudenken. Die Nutzung von Chatbots, Unterstützung bei der Erstellung oder Analyse von Dokumenten und Informationen oder sogar die Entwicklung von KI in den eigenen Produkten – die Möglichkeiten des Einsatzes von KI im Unternehmen sind immens. In dieser Episode sprechen wir über das Thema „KI im ISMS“ und in wie weit KI zum einen die Informationssicherheit im Unternehmen unterstützen kann aber auch welche Schwachstellen die Nutzung von künstlicher Intelligenz im Unternehmen eröffnen kann.

In dieser Episode sprechen wir über das Thema berechtigtes Interesse nach der DSGVO. Dieses Konzept ermöglicht Unternehmen, personenbezogene Daten zu verarbeiten, ohne dafür eine explizite Einwilligung der betroffenen Personen einholen zu müssen – allerdings nur unter bestimmten Voraussetzungen. Wir klären, welche Voraussetzungen das sind und geben praktische Beispiele.

In dieser Episode sprechen wir über zentrale Regularien und Gesetze im Bereich der Informationssicherheit: NIS2, KRITIS-Dachgesetz, DORA, Finanzmarktdigitalisierungsgesetz und dem Cyberresilienz Act. Wir beleuchten die Gemeinsamkeiten, Ergänzungen und Dopplungen dieser Vorschriften und diskutieren, wie sie zusammenspielen, um den Schutz kritischer Infrastrukturen zu stärken. Dabei gehen wir insbesondere auf die Maßnahmen ein die Unternehmen zukünftig umsetzen müssen. Ein spannender Überblick für alle, die mit Cybersecurity und regulatorischen Anforderungen zu tun haben!

Mit der EU-Digitalstrategie zum Voranbringen des digitalen Fortschrittes innerhalb der europäischen Union kommen einige neue Verordnungen auf deutsche Unternehmen und Behörden zu. Ob nun Date Act, Digital Market Act oder Data Governance Act, alle beschäftigen sich mit der Vereinfachung und Verbesserung des Datenaustausches innerhalb der EU. Auch wenn es vorrangig um nicht-personenbezogene Daten geht, sind bei diesem Datenaustausch auch immer wieder personenbezogene Daten betroffen und damit ein Fall für eine datenschutzrechtliche Betrachtung. In diesem Podcast wollen wir darauf eingehen, was es mit dem Data Act und dem Data Governance Act auf sich hat, welche Unternehmen betroffen sind und welche Rechte und Pflichten auf sie zukommen. Außerdem wollen wir uns beide Verordnungen im Hinblick auf die Verbindung zur DSGVO ansehen. Dieser Podcast richtet sich vor allem an die Datenschutzbeauftragten und -koordinatoren im Unternehmen, an weitere Verantwortliche im Datenschutz sowie an die Geschäftsleitung.

Die ISO 27001 gibt in Kapitel 9 vor, dass Überwachung, Messung, Analyse und Bewertung des ISMS stattfinden muss – und ist damit eine klare Aufforderung Kennzahlen zu erheben. Aber wie findet man nun am besten Kennzahlen, die aussagekräftig sind und nicht nur mittels Raketenwissenschaft erhoben werden können? In diesem Podcast wollen wir darauf eingehen, wie man Kennzahlen findet, welche Kennzahlen im ISMS sinnvoll sind, wie Kennzahlen im ISMS eingebunden werden können und vor allem welche doch hohe Bedeutung Kennzahlen im ISMS und im gesamten Sicherheitsprozess eines Unternehmens haben können. Dieser Podcast richtet sich an die Informationssicherheitsbeauftragten im Unternehmen, weitere Verantwortliche im ISMS und natürlich an die Geschäftsführung, die das ISMS verantwortet.

Zu viele Köche verderben den Brei – aber wie viele Köche braucht man eigentlich, um einen wirklich schmackhaften Brei zu bekommen? Eine ähnliche Frage kann man sich bei der Zusammenstellung des Projektteams für die Einführung eines ISMS stellen: wer sollte unbedingt dabei sein, damit alle Aspekte des Unternehmens sich auch im ISMS widerspiegeln? In diesem Podcast wollen wir darauf eingehen, welche Personen und Personengruppen man bei der Einführung eines ISMS in Projektteam holen sollte, über welche Kompetenzen und Befugnisse sie verfügen sollten und welche Synergien sich ergeben können. Dieser Podcast richtet sich an die Verantwortlichen im ISMS, die für die Zusammenstellung der Projektgruppe zuständig sind, sowie die Geschäftsleitung, die das gesamte ISMS verantwortet.

Die Vorstellung der eigenen Mitarbeiter auf der Firmenwebseite, Bilder der letzten Unternehmensfeier im Intranet oder auf Social Media oder einfach nur der Betriebsausweis mit Lichtbild - im Unternehmensumfeld gibt es immer wieder Situationen in denen Bilder genutzt werden, um einen persönlichen Bezug herstellen zu können. Aber was sagt der Datenschutz zu dieser Praxis. In diesem Podcast wollen wir darauf eingehen, welche datenschutzrechtlichen Punkte bei der Aufnahme und vor allem bei der Veröffentlichung von Fotos von Mitarbeitern, Kunden oder Besuchern zu beachten ist. Wir gehen darauf ein, wann eine Einwilligung der Fotografierten nötig ist, was bei externen Fotografen zu beachten ist und welchen Problematiken sich bei der Veröffentlichung von Fotos in Printmedien oder im Internet ergeben können. Dieser Podcast richtet sich vor allem an Mitarbeiter in der Personalabteilung, im Marketing und in der Veranstaltungsabteilung von Unternehmen, aber natürlich auch an alle Mitarbeiter die ggf. betroffen sind.

In allen Managementsystemen wie einem ISMS oder QMS sind Richtlinien als dokumentierter Nachweis wie Prozesse laufen sollen, essenziell. In diesem Podcast wollen wir darauf eingehen, wie man Richtlinien möglichst einfach, einheitlich und verständlich erstellt und im Unternehmensalltag integriert. Dabei ist es auch wichtig, Richtlinien nicht als Hürde oder bürokratische Zeitfresser zu sehen, sondern als sinnvolle Leitplanken, die im Arbeitsalltag, bei Unklarheiten und bei Haftungsfragen hilfreich sind. Dieser Podcast richtet sich an die Unternehmensleitung und an alle die für die Erstellung und den Lebenszyklus von Richtlinien zuständig sind.

In 2022 wurden die ISO Normen 27001 und 27002 aktualisiert. Neben kleineren Änderungen und Ergänzungen in den Normkapiteln der ISO 27001 gab es große Änderungen in der ISO 27002 und damit auch im Anhang der ISO 27001, in den Controls und Maßnahmen zur Umsetzung eines ISMS. Bis 2025 müssen alle bereits zertifizierten ISM Systeme nach den aktualisierten Normen ausgerichtet werden, daher ist eine Beschäftigung mit den Änderungen unumgänglich. In diesem Podcast unterhalten sich ein Berater und ein Auditor über die Änderungen in der Norm, über Schwierigkeiten bei der Umsetzung und über die Wichtigkeit die aktualisierte Norm noch einmal genau zu lesen um auch kleine Änderungen zu erkennen und konform umzusetzen. Dieser Podcast richtet sich an alle, die mit der Umsetzung eines ISMS nach ISO 27001 beschäftigt sind, also von der Geschäftsführung, über Informationssicherheitsbeauftragte bis hin zu den Mitarbeitern im entsprechenden Bereich.

Seit einigen Jahren macht die Entwicklung der Künstlichen Intelligenz (KI) enorme Sprünge - von reinem „Maschinenlernen“ zu gefühlter Intelligenz ist spätestens seit der Einführung von Chat GPT der Wandel vollzogen. Doch wie kann man diese Technologie im Unternehmen rechtssicher einsetzen? Welche Anwendungsmöglichkeiten gibt es, wie kann so ein Einführungsprojekt bestmöglich umgesetzt werden, welche Risiken sind zu beachten und wie können Mitarbeiter überzeugt werden, dass die KI sie nicht überflüssig machen soll? Unser Gesprächspartner ist diesmal Steffen Maas, einer der Gründer der ai.Impact GmbH in Hamburg, der Unternehmen bei der Einführung von KI unterstützt (https://ai-impact.com). Dieser Podcast richtet sich an alle, die sich mit der Einführung von künstlicher Intelligenz im Unternehmen beschäftigen also von der Geschäftsführung, über Mitarbeiter in der IT, Informationssicherheits- und Datenschutzbeauftragte bis hin zu den Mitarbeitern im entsprechenden Bereich.

Videoüberwachung am Arbeitsplatz – ein sehr sensibles Thema, bei dem sich Mitarbeiter oftmals unwohl fühlen, der Arbeitgeber hingegen gern darauf setzt, um aussagekräftiges Material im Schadens- oder Streitfall zu haben. In diesem Podcast wollen wir darauf eingehen, was bei dem Einsatz von Videotechnik auf Firmengelände unbedingt beachtet werden muss, um datenschutzrechtlich konform zu handeln. Dieser Podcast richtet sich an alle, die sich mit betrieblicher Videoüberwachung auseinandersetzen wollen oder müssen, also von der Geschäftsführung, über Datenschutzbeauftragte bis hin zu den Mitarbeitern im entsprechenden Bereich.

Die notwendige Risikobetrachtung bzw. Notfallplanung in einem ISMS oder BCM erscheint oftmals wie ein riesiger, unübersichtlicher und schwer zu bezwingender Berg – wo soll man anfangen, auf was muss man achten, wie schafft man es vor lauter Risiken den Kopf nicht in den Sand zu stecken? Am Beispiel des Risikos „Hochwasser“ wollen wir in diesem Podcast einmal Schritt für Schritt durchgehen, wie ein Risiko betrachtet und im BCM bestmöglich damit umgeht. Wir gehen darauf ein, wie man Risiken erkennt und sie normgerecht dokumentiert und behandelt. Und schon wird aus einem riesigen Berg nur noch ein kleiner Hügel. Dieser Podcast richtet sich an Informationssicherheitsbeauftragte, BCM-Manager und alle, die sich im Unternehmen mit der Notfallplanung oder dem Business Continuity Management beschäftigen.

Nachdem wir in vorherigen Podcasts bereits über die Auswahl der passenden Norm, die Aufgaben von ISB und Geschäftsführung, den ersten Schritten im ISMS sowie der Methodik gesprochen haben, uns also den Kapitel 4 (Kontext), 6 (Planung) und teilweise 8 (Betrieb) gewidmet haben – geht es in diesem Podcast um die Kapitel 5 = Führung, 9 = Überwachung (Bewertung der Leistung) und 10 = Verbesserung – sprich um die Teile des ISMS bei denen es um die Steuerung geht. Dieser Podcast richtet sich zum einen an Geschäftsführer, Vorstände und die oberste Managementebene, zum anderen aber auch an die Hauptverantwortlichen im ISMS, wie ISB oder CISOs.

Das Jahr 2023 neigt sich dem Ende entgegen, Zeit, um einmal zurückzublicken, was uns das Jahr im Bereich des Datenschutzes gebracht hat. In diesem Podcast werden wir vor allem den Datenschutz bei der Nutzung von Künstlicher Intelligenz, neue Regelungen und Bestrebungen zum Thema Datenschutz der Europäischen Union und auch was sich auf nationaler Ebene getan hat, beleuchten. Dieser Podcast richtet sich an alle, die mit Datenschutz im Unternehmen zu tun haben, z.B. Geschäftsführung, Datenschutzbeauftragte, Datenschutzkoordinatoren, Mitarbeiter im Personalbereich.

Das Jahr 2023 neigt sich dem Ende entgegen, Zeit, um einmal zurückzublicken, was uns das Jahr im Bereich der Informationssicherheit gebracht hat. Von der Zertifizierung der aktualisierten ISO 27001 über die ersten Auswirkungen der in 2022 verabschiedeter Gesetze und Richtlinien bis hin zum spannenden Thema der Chancen und Risiken künstlicher Intelligenz, in diesem Podcast wollen wir all diese Punkte einmal beleuchten. Dieser Podcast richtet sich an alle, die mit Informationswerten und Informationssicherheit im Unternehmen zu tun haben, vom Geschäftsführer, über ISBs, CISOs bis zu allen Verantwortlichen von Informationswerten im Unternehmen.

Nachdem man sich Gedanken gemacht hat, warum, durch wen und nach welchem Standard ein ISMS eingeführt werden soll, sollte man nicht einfach wild drauf los starten. Besser ist es, sich schon am Anfang des ganzen Projektes grundlegende Gedanken zur Dokumentation, Klassifizierung, zum Risiko- und Assetmanagement zu machen. In unserem Podcast wollen wir darauf eingehen, welche Vorteile es hat, sich zuerst mit der Methodik und erst dann mit der Umsetzung in einem ISMS zu befassen, welche Hilfestellungen es geben kann und warum man nicht nach Schablone F vorgehen sollte.

Seit Mai 2023 müssen Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, dem BSI nachweisen, dass sie Systeme zur Angriffserkennung (SzA) betreiben. Diese Nachweise sind durch eine externe Prüfung zu erbringen. Die ANMATHO AG hat solche Prüfungen in 2023 durchgeführt und erste Erkenntnisse zur Umsetzung der Anforderungen gesammelt. In unserem Podcast wollen wir nun darauf eingehen, was bei der Meldung an das BSI zu beachten ist und wie die Systeme zu Angriffserkennung bestmöglich eingeführt und weiterentwickelt werden können.

Seit 2021 ist das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Zu Anfang gab es wohl so etwas wie eine Umsetzungsfrist bei der die Aufsichtsbehörden ein Auge zu gedrückt haben. Doch jetzt beschäftigt vor allem das Thema Webseitentracking und nicht konforme Cookiebanner die Datenschutzbehörden in ganz Europa. Ob versteckte Ablehn-Bottons oder Nudging, eine Vielzahl an Cookiebannern entspricht nicht der geforderten Form und führt zu entsprechenden Bußgeldern. In unserem Podcast wollen wir darauf eingehen, welche Punkte aus dem TTDSG aktuell immer wieder die Behörden beschäftigen, was bei Cookiebannern unbedingt zu beachten ist, um Bußgelder zu vermeiden und was die Zukunft in dem Bereich bringt.

Ein verabschiedetes IT-Sicherheitsgesetz für alle Zeit? Nein, so einfach ist es leider nicht, sowohl deutschland- als auch EU-weit wird der Schutz von Informationen immer weiter vorangetrieben. So werden nun mit durch das IT-Sicherheitsgesetzt 2.0 (IT-SiG 2.0) und die NIS2 Richtlinie neue Anforderungen an Unternehmen gestellt. In unserem Podcast wollen wir darauf eingehen, was im IT-SiG 2.0 und in der NIS2 Richtlinie steht, welche Forderungen neu hinzugekommen sind, welche erweiterten Befugnisse das BSI nun hat und welche Themen in Zukunft aus IT-SiG 2.0, 3.0 und NIS 2 auf die Unternehmen zukommen werden.

Man kann noch so gut planen und sich an Regeln halten, passieren kann trotzdem immer etwas. Aber wie geht man damit um, wann handelt es sich tatsächlich um einen Vorfall und wann nur um ein Ereignis, dass zwar beobachtet werden muss, aber noch kein wirkliches Problem darstellt? In unserem Podcast wollen wir darauf eingehen, wie die Begriffsdefinition von Schwachstelle, Ereignis und Vorfall zu unterscheiden ist. Wer sollte wann und an wen melden, sowohl intern als auch extern und welche Aufgaben hat der ISB in diesem Prozess.

Aller Anfang ist schwer – auch bei der Einführung eines ISMS stellen sich viele Fragen: warum, wie, wer? Einfach anfangen ist auch nicht ratsam, ein unstrukturiertes Vorgehen verschwendet nur unnötig Ressourcen. Aber wie beginnt man ein ISMS-Projekt nun richtig? In unserem Podcast wollen wir darauf eingehen, welche Fragen Sie sich zu Beginn eines ISMS-Projektes stellen müssen. Angefangen bei dem warum, dass nicht nur mit „weil wir es müssen“ beantwortet werden sollte, über das was (soll zertifiziert werden), bis hin zum wer (soll sich darum kümmern). Wir gehen auf die Wichtigkeit der Geschäftsführung in diesem Projekt ein und auch auf die Zeitplanung für das Projekt, die nicht zu knapp gefasst sein darf.

Für ein zertifiziertes und funktionierendes ISMS nach ISO 27001 ist eine Risikobewertung und Risikobehandlung unverzichtbar. Im Anhang A werden viele Punkte aufgegriffen, die Risiken bergen können. Aber reicht es, diese Controls einfach abzuarbeiten? Und wie schafft man es bei der Fülle an Risiken nicht zu verzweifeln? In unserem Podcast wollen wir darauf eingehen, wie Sie Risiken in Ihrem Unternehmen finden, bewerten, priorisieren und behandeln können? Wir geben Tipps, wie man auch die speziellen Risiken für das eigenen Unternehmen finden kann, die nicht im Anhang der ISO 27001 erwähnt werden und warum ein kontinuierliches Bearbeiten der Risikoanalyse so wichtig ist.

Das Mobile Device Management ist zum einen eine softwarebasierte Verwaltung von mobilen Geräten wie Laptops, Smartphones usw. aber auch ein Konzept in dem klare Regeln aufgestellt werden, wie diese mobilen Geräte eingesetzt werden dürfen. In unserem Podcast „Mobile Device Management (MDM) aus Informationssicherheits- und Datenschutzsicht“ gehen wir darauf ein, welche Vorteile ein MDM bietet und worauf zu achten ist, um die Vorgaben aus Sicht der Informationssicherheit und dem Datenschutz zu erfüllen.

Laut ISO 27001:2022 Kapitel 9.2 sind interne Audits ein verpflichtender Bestandteil eines funktionierenden ISMS. Jedoch sollte man diese Audits nicht als Zwang wahrnehmen, sondern eher als Möglichkeit, gezielt Schwachstellen aufzugreifen und rechtzeitig abzustellen. In unserem Podcast „Audits in der ISO 27001 – wie, wer, was?“ gehen wir darauf ein, welche Rolle interne Audits im Vergleich zu Zertifizierungsaudits spielen, wie Audits am besten geplant werden und wie mit den Ergebnissen umgegangen werden sollte.

Beim Einkaufen mit einer Payback-Karte, Bestellen von Waren im Internet oder bei einer einfachen telefonischen Anfrage bei einem Dienstleister – personenbezogene Daten werden beinahe ständig übermittelt. Damit die Betroffenen die Möglichkeit haben, Auskunft über ihre Daten zu haben, oder diese sogar wieder löschen zu lassen, ist in der DS-GVO ein eigenes Kapitel für die Rechte der betroffenen Personen vorhanden. In unserem Podcast „Betroffenenrechte – Rechte, Pflichten, Stolperfallen“ gehen wir darauf ein, welche Rechte Betroffene im Bezug auf die Verarbeitung ihrer personenbezogenen Daten haben, wie Unternehmen auf Auskunfts- und Löschersuche reagieren sollten und wo Fallstricke in der Bearbeitung dieser Anfragen liegen können.

Auch ISO Normen werden regelmäßig überprüft und an die aktuellen Gegebenheiten angepasst. So wurden in 2022 die aufeinander aufbauenden Normen 27001 und 27002 aktualisiert. Vor allem in der 27002, die die Maßnahmen zur Umsetzung der ISO 27001 beschreibt, hat sich einiges getan. In unserem Podcast „Die aktualisierten ISO Normen 27001 und 27002“ gehen wir darauf ein, welche Änderungen sich in der ISO 27001 und 27002 ergeben haben, wie damit am besten umzugehen ist und ab wann nach den aktualisierten Normen zertifiziert wird.

Auch beim Datenschutz am Arbeitsplatz gilt: personenbezogene Daten der Mitarbeiter dürfen nur erhoben, verarbeitet oder genutzt werden, wenn eine rechtliche Grundlage vorliegt bzw. wenn der Betroffene dem Vorgang eindeutig zugestimmt hat. Aber was bedeutet das jetzt für den Arbeitgeber? Und hat der Mitarbeiter auch Pflichten, die zu beachten sind? In unserem Podcast „Mitarbeiterdatenschutz“ gehen wir darauf ein, welche Pflichten der Arbeitgeber dem Arbeitnehmer gegenüber hat und auch was Mitarbeiter beim Umgang mit personenbezogenen Daten sowohl von Kolleginnen und Kollegen als auch von Externen zu beachten haben.

Die ISO-Normen – schon allein das Wort klingt nach viel Papier und Bürokratie. Aber ist die Angst, ein Bürokratie- und Papiermonster zu schaffen, wenn man z.B. die ISO 27001 für ein ISMS umsetzen möchte, gerechtfertigt? In unserem Podcast „Bürokratiemonster ISO Norm“ wollen wir Ihnen die Angst nehmen. Wir zeigen auf, dass es oftmals eher ein organisatorisches Problem ist, wenn viel zu viel Papier produziert oder alles nur für den Auditoren vorbereitet wird. Richtig umgesetzt, hilft die ISO 27001 auf schlankem Wege Prozesse im Unternehmen sicherer zu machen.

Kaum ein Unternehmen kommt heutzutage noch ohne eine eigenen Internetpräsenz aus. Aber, wie sollte es auch anders sein, darf man auch bei Webseiten den Datenschutz nicht aus den Augen verlieren. In unserem Podcast „Cookiebanner & Co.“ gehen wir auf die Gesetze ein, die für die Inhalte von Webseiten aus Datenschutzsicht gelten. Dabei erklären wir, was es mit der Impressumspflicht auf sich hat, warum die Datenschutzerklärung nicht einfach aus einer Vorlage übernommen werden sollte und was Kekse auf der Webseite zu suchen haben – oder auch nicht.

Das Jahr 2022 war auch aus Datenschutz- und Informationssicherheitssicht kein ruhiges Jahr. Neue Beschlüsse, geänderte Gesetze und aktualisierte Normen werfen Ihre Schatten auf 2023. Im Datenschutz ist weiterhin die Zusammenarbeit mit Drittstaaten ein großes Thema, in der Informationssicherheit stellen die aktualisierten Normen ISO 27001 und 27002 die Unternehmen vor neue Herausforderungen. In unserem Podcast wollen wir das Jahr 2022 Revue passieren lassen und auf einzelne, wichtige Punkte in den Bereich Datenschutz und Informationssicherheit eingehen.

Zum besseren Schutz unternehmenseigener Werte und Informationen ist die Einführung eines Informationssicherheitsmanagementsystems ratsam. Dieses kann nach unterschiedlichsten Standards aufgebaut und zertifiziert werden, die wohl am weitest verbreiteten in Deutschland sind die Implementierung eines ISMS nach ISO 27001 oder nach IT-Grundschutz vom BSI. In unserem Podcast wollen wir beide Vorgehensweisen und Zertifizierungen näher betrachten. Wo liegen Gemeinsamkeiten und wo die Unterschiede? Für wen ist welches Verfahren besser geeignet und nach welchen Kriterien kann das richtige Verfahren ausgewählt werden?

Zum besseren Schutz unternehmenseigener Werte und Informationen ist die Einführung eines Informationssicherheits-Managementsystems ratsam. In der Automobilindustrie und allen zugehörigen Bereichen hat sich der VDA Standard TISAX® etabliert, um einen vergleichbaren und umfänglichen Schutz herzustellen. Besonderheiten wie Prototypenschutz und Datenschutz werden hier zusätzlich berücksichtig. In unserem Podcast wollen wir das Verfahren nach TISAX® näher erläutern. Für wen ist es sinnvoll, welche Vorteile bringt er und wie ist er umzusetzen und zu zertifizieren?

Der Schutz von unternehmenseigenen Informationen und Werten nimmt einen immer höheren Stellenwert im Geschäftsleben ein. Aus diesem Grund ist die Einführung eines zertifizierten Informationssicherheitsmanagementsystems eine gute Möglichkeit diesen Schutz gezielt umzusetzen. Für die Koordinierung und zielgerichtete Umsetzung bietet es sich dann an, einen Informationssicherheitsbeauftragten (ISB) zu benennen, der der erste Ansprechpartner für alle Fragen rund um die Informationssicherheit ist. In unserem Podcast wollen wir die grundlegenden Aufgaben eines Informationssicherheitsbeauftragten beleuchten, seine Rolle als Berater und Ansprechpartner für die Geschäftsführung und Mitarbeiter und die Wichtigkeit des frühzeitigen Einbindens in alle Projekte.

Datenschutz ist ein unumgängliches Thema, unabhängig von der Unternehmensgröße. Ab 20 Mitarbeitern, die mit personenbezogenen Daten arbeiten, muss ein Datenschutzbeauftragter benannt werden, doch auch schon vorher macht es Sinn diese Position im Unternehmen zu besetzten. In unserem Podcast wollen wir die grundlegenden Aufgaben eines Datenschutzbeauftragten beleuchten, seine Rolle als Berater und Ansprechpartner für Aufsichtsbehörden und Mitarbeiter und die Wichtigkeit des frühzeitigen Einbindens in alle Projekte.

Der Schutz firmeneigenen Informationen ist in der heutigen Geschäftswelt elementar, ein ISMS (Informationssicherheits-Managementsystem) kann hier helfen durch das stürmische Gewässer „Informationssicherheit“ zu manövrieren. In unserem heutigen Podcast zeigen wir auf, was die Einführung eines ISMS aus Führungssicht bedeutet, welche Vorüberlegungen für ein erfolgreiches System nötig sind und welche handfesten Vorteile es bietet, nicht nur in Bezug auf IT-Sicherheit.

Wer ein Informationssicherheits-Managementsystem (ISMS) im Unternehmen eingeführt hat, kommt um eine Wirksamkeitsmessung der getroffenen Maßnahmen nicht herum. Doch wie geht man das am besten an? Wie weiß man was genau und wie oft gemessen werden muss? Und wen interessieren die Ergebnisse überhaupt? Die ISO 27004 gibt hier einige Hilfestellungen und auch die Ergebnisse aus der Risikoanalyse können wichtige Anhaltspunkte für die Wirksamkeitsmessung liefern. In unserem Podcast zur Wirksamkeitsmessung befassen wir uns damit, was bei der Umsetzung bedacht werden muss, worauf Auditoren gegebenenfalls achten und wie einem die Ergebnisse weiterhelfen das vorhandene ISMS zu verbessern.

Informationssicherheit und Datenschutz lassen sich aus dem heutigen Geschäftsalltag nicht mehr wegdenken. Gesetzliche Anforderungen, Bedrohungsszenarien von außen, aber auch das eigene Bewusstsein, mit Daten und Informationen schützend umzugehen erhöhen die Notwendigkeit sich mit den Themen nachweisbar zu beschäftigen. Die ISO 27701 gibt nun eine Hilfestellung, den Datenschutz in ein bestehendes Informationssicherheitsmanagementsystem zu integrieren. In unserem Podcast zur ISO 27701 befassen wir uns nun damit, wie die ISO 27701 aufgebaut ist, wie sie im Rahmen der ganzen ISO 2700er Reihe einzuordnen ist und was bei der Umsetzung beachtet werden muss.

Die wichtigsten Kernprozesse im Unternehmen sollten möglichst störungsfrei laufen. Doch in unserer heutigen Zeit wird das reibungslose Durchführen dieser Prozesse immer wieder und immer stärker bedroht. Hier hilft ein Business Continuity Management, kurz BCM, sich auf Störungen vorzubereiten, im Notfall gewappnet zu sein und das Wiederanlaufen der Kernprozesse kontrolliert und schnellstmöglich zu bewerkstelligen. In unserem Podcast zum Thema BCM befassen wir uns in 2 Folgen damit, wie ein BCM aufgebaut werden sollte, was es alles zu beachten gilt und geben auch kleine Tipps und Denkanstöße um bestmöglich auf Störungen vorbereitet zu sein. In der Folge 2 „jetzt aber richtig“ steigen wir tiefer in das Thema BCM ein – wo liegen Stolperfallen, wie sinnvoll sind Übungen und welche Aufgaben und Verantwortlichkeiten hat das BCM Team.

Die wichtigsten Kernprozesse im Unternehmen sollten möglichst störungsfrei laufen. Doch in unserer heutigen Zeit wird das reibungslose Durchführen dieser Prozesse immer wieder und immer stärker bedroht. Hier hilft ein Business Continuity Management, kurz BCM, sich auf Störungen vorzubereiten, im Notfall gewappnet zu sein und das Wiederanlaufen der Kernprozesse kontrolliert und schnellstmöglich zu bewerkstelligen. In unserem Podcast zum Thema BCM befassen wir uns in 2 Folgen damit, wie ein BCM aufgebaut werden sollte, was es alles zu beachten gilt und geben auch kleine Tipps und Denkanstöße um bestmöglich auf Störungen vorbereitet zu sein. Im der Folge 1 „die ersten Schritte“ geben wir einen groben Überblick über alles was beim BCM bedacht werden muss.

Auditoren achten sehr darauf, dass die Mitarbeiter ausreichend geschult und informiert werden, wenn Sie ein Managementsystem auditieren. Denn erst wenn jeder Mitarbeiter weiß, wie er wann zu reagieren hat und wie er Gefahren erkennt, kann er auch korrekt handeln. Das eLearning bietet hier eine zeitlich flexible, ortsungebundene und meist auch günstige Lösung die Mitarbeiter zu erreichen. Dabei wird auf das individuelle Lernverhalten und die jeweilige Arbeitssituation des Mitarbeiters eingegangen, um einen optimalen Lernerfolg zu erzielen. In dieser Podcast-Folge zum Theme „eLearning“ möchten wir Ihnen die Vor- und Nachteile, die ein solches eLearning hat, aufzeigen und Ihnen ein paar Hinweise an die Hand geben, worauf Sie beim Einsatz achten sollten.

Der Faktor „Mensch“ spielt eine wesentliche Rolle in der Informationssicherheit sowie im Datenschutz. Daher ist es enorm wichtig, allen Mitarbeitern die Risiken greifbar zu machen, das notwendig Wissen zu vermitteln und Akzeptanz und das Verständnis für die Sicherheitsrichtlinien und Maßnahmen zu fördern. Dabei sollte die Individualität jedes Mitarbeiters und Aufgabengebietes berücksichtigt werden. In unserem Podcast zum Thema „Das Konzept „Security Awareness“ möchten wir Ihnen in 2 Folgen Denkanstöße und Tipps zu diesem Thema geben. In der Folge 2 „Ein Ziel – viele Wege“ befassen wir uns mit der Wichtigkeit von zielgruppengerechten Awareness-Maßnahmen.

Der Faktor „Mensch“ spielt eine wesentliche Rolle in der Informationssicherheit sowie im Datenschutz. Daher ist es enorm wichtig, allen Mitarbeitern die Risiken greifbar zu machen, das notwendig Wissen zu vermitteln und Akzeptanz und das Verständnis für die Sicherheitsrichtlinien und Maßnahmen zu fördern. Dabei sollte die Individualität jedes Mitarbeiters und Aufgabengebietes berücksichtigt werden. In unserem Podcast zum Thema „Das Konzept „Security Awareness“ möchten wir Ihnen in 2 Folgen Denkanstöße und Tipps zu diesem Thema geben. In der Folge 1 „Aller Anfang ist nicht schwer“ befassen wir uns mit dem Start des Projektes „Security Awareness“.

Das Home-Office gehört seit der Corona Pandemie in den Unternehmen, in denen dies grundsätzlich möglich ist, zum festen Bestandteil der Arbeitswelt. Das Büro 4.0 wurde quasi ins Leben gerufen. Doch was als Provisorium begann, sollte nun gut durchdacht fortgeführt werden. Insbesondere mit Blick auf die Informationssicherheit. In unserem Podcast zum Thema „Security im Home-Office“ möchten wir Ihnen in 3 Folgen Denkanstöße und Tipps zum sicheren Arbeiten außerhalb des Büros geben. In der Folge 3 „Psychologie - Regeln hinter der Firewall“ befassen wir uns mit dem Faktor „Mensch“ im Home-Office und den bestehenden Gefahren aus Sicht der Informationssicherheit.

Das Home-Office gehört seit der Corona Pandemie in den Unternehmen, in denen dies grundsätzlich möglich ist, zum festen Bestandteil der Arbeitswelt. Das Büro 4.0 wurde quasi ins Leben gerufen. Doch was als Provisorium begann, sollte nun gut durchdacht fortgeführt werden. Insbesondere mit Blick auf die Informationssicherheit. In unserem Podcast zum Thema „Security im Home-Office“ möchten wir Ihnen in 3 Folgen Denkanstöße und Tipps zum sicheren Arbeiten außerhalb des Büros geben. In der Folge 2 „Die Regeln hinter der Firewall“ befassen wir uns mit Vorgaben und Regeln, die unter dem Aspekt der Informationssicherheit im Home-Office berücksichtigt werden müssen bzw. sollten.