IT-Security

Cybersecurity ist längst kein Randthema mehr – sie betrifft den Kern Ihres Unternehmens. In einer zunehmend vernetzten Welt sind digitale Angriffsflächen allgegenwärtig. Was früher ein IT-Problem war, ist heute eine strategische Unternehmensfrage.

Ob gezielte Sabotage, Wirtschaftsspionage oder Ransomware-Angriffe: Die Bedrohungen sind real, hochentwickelt und oft existenzgefährdend. Besonders kritisch wird es, wenn Angriffe nicht nur Daten, sondern Produktionsprozesse, Lieferketten oder sicherheitsrelevante Systeme betreffen. Dann steht nicht weniger als die operative Handlungsfähigkeit Ihres Unternehmens auf dem Spiel.

Wir helfen Ihnen, Ihre digitale Infrastruktur nicht nur abzusichern, sondern resilient zu gestalten – mit durchdachten Konzepten, praxisnaher Umsetzung und einem klaren Fokus auf Ihre unternehmenskritischen Prozesse.

Die ISO 27001 dient als Leitfaden zur dauerhaften Sicherstellung der Informationssicherheit im Unternehmen. Sie ist nach der High-Level-Structure (HLS) gegliedert, was ihre Integration in bestehende Managementsysteme sehr erleichtert.

Der “Anhang A” bietet eine konkrete Checkliste mit Einzelfragen zu allen Aspekten der Informationssicherheit. Eine Grundidee ist die Sicherung der “Assets” (schützenswerte Werte). Ebenso wichtig ist die Klassifizierung der Informationen in meist vier Klassen, auf deren Grundlage festgelegt wird, wie mit jeder Klasse umzugehen ist.

Heutzutage sind wir alle stark von IT abhängig. Daher ist es entscheidend, angemessene Systeme zu implementieren. Dies gilt besonders für Auftragsverarbeiter wie Softwarehäuser, Rechenzentren und Telekommunikationsanbieter, da das Zertifikat die Einhaltung der technischen und organisatorischen Maßnahmen (TOM) nachweist.

Wir bieten Ihnen Unterstützung bei der normkonformen Dokumentation. Dabei gibt es meist zwei primäre Ausgangslagen:

Ihr Kunde fordert von Ihnen die ISO 27001:

• Entweder sind Sie Auftragsverarbeiter gemäß DSGVO und müssen die Umsetzung der TOM nachweisen oder
• Ihre Kunden verlangen eine Zertifizierung nach ISO 27001 als Bedingung für die Auftragsvergabe.

Sie möchten eine unabhängige Absicherung der Informationssicherheit:

• Lassen Sie sich auditieren zur regelmäßigen unabhängigen Kontrolle der angemessenen Umsetzung der CyberSecurity und nutzen Sie die bewährten Systematiken der ISO 27001.

Hier geht es zur Ermittlung von Auditzeit und Auditkosten (Richtwerte). Link

Unser Angebot
– Bereitstellung umfangreicher Vorlagen
– Projektleitung bei der Einführung
– Fachliche Unterstützung der Funktionsträger
– Durchführung notwendiger Schulungen
– Unterstützung bei der Auswahl des Zertifizierers
– Begleitung beim externen Audit

Die NIS-2-Richtlinie (Network and Information Security 2) ist eine EU-Richtlinie, die darauf abzielt, das Niveau der Cybersicherheit in der Europäischen Union zu erhöhen. Sie wurde am 14.12.2022 verabschiedet und ersetzt die vorherige NIS-Richtlinie von 2016.

Hier sind einige wichtige Punkte zur NIS-2-Richtlinie:

• Erweiterter Anwendungsbereich: Die NIS-2-Richtlinie umfasst mehr Sektoren und Organisationen als die ursprüngliche NIS-Richtlinie.
• Hier der Link zur BSI-Homepage, mit dessen Hilfe Sie ermitteln können, ob Sie von NIS-2 betroffen sind. Link
• Strengere Anforderungen: Es gibt strengere Anforderungen an das Cyber-Risiko-Management, die Überwachung und den Umgang mit Sicherheitsvorfällen.

Die NIS-2-Richtlinie tritt am 18.10.2024 in Kraft. Bis dahin müssen sie die Mitgliedsstaaten in nationales Recht umgesetzt haben. Der Gesetzgebungsprozess in Deutschland läuft derzeit noch.

Unser Angebot
– Bereitstellung umfangreicher Vorlagen
– Projektleitung bei der Umsetzung
– Fachliche Unterstützung der Funktionsträger
– Durchführung notwendiger Schulungen
– Übernahme der Informationssicherheits-Beauftragten
– Unterstützung bei Meldungen

Cyber-Security betrifft nicht nur die IT, sondern auch die räumliche Situation, die Prozesse und das Personal. Ohne die Berücksichtigung aller relevanten Bereiche ist ein erfolgreiches Sicherheitskonzept kaum möglich.

TISAX® ist eine Automotive-Plattform, auf der Unternehmen ihren Stand in Bezug auf die Informationssicherheit darstellen können. Die Grundlage bildet ein Self-Assessment des VDA (ISA VDA), das vom Unternehmen ausgefüllt und anschließend extern begutachtet wird, je nach Level. Es umfasst Bereiche wie “Informationssicherheit” (Grundlagen), “Prototypenschutz” (Vertraulichkeitsschutz von Prototypen) und “Datenschutz” (für Unternehmen, die als Auftragsverarbeiter gemäß DSGVO tätig sind).

Wir begleiten Sie durch den gesamten Prozess und unterstützen Sie mit Unterlagen, Schulungen und Projektmanagement. Der ISA VDA ist im Wesentlichen eine erweiterte Version der ISO 27001, die spezifisch auf die Anforderungen der Automobilbranche zugeschnitten ist.

Unser Angebot
– Bereitstellung umfangreicher Vorlagen
– Projektleitung bei der Einführung
– Fachliche Unterstützung der Funktionsträger
– Durchführung notwendiger Schulungen
– Unterstützung bei der Auswahl des Zertifizierers
– Begleitung beim externen Audit

Der EU AI Act ist das erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz (KI) weltweit. Ziel ist es, Innovation zu fördern und gleichzeitig Risiken für Sicherheit, Grundrechte und Datenschutz zu minimieren. Das Gesetz verfolgt einen risikobasierten Ansatz: KI-Systeme werden in vier Kategorien eingeteilt – von minimalem Risiko bis hin zu verbotenen Anwendungen wie Social Scoring.

Ab wann gilt der EU AI Act?

• 12. Juli 2024: Veröffentlichung im EU-Amtsblatt
• 1. August 2024: Inkrafttreten
• 2. Februar 2025: Erste Pflichten (z. B. Verbot bestimmter Praktiken, KI-Kompetenz)
• 2. August 2025: Transparenz- und Dokumentationspflichten für Anbieter und General-Purpose-AI
• 2. August 2026: Vollständige Anwendung für Hochrisiko-KI-Systeme
• Bis 2027: Alle Regelungen wirksam

 Was bedeutet das für Ihr Unternehmen?

Unternehmen müssen ihre KI-Systeme prüfen, klassifizieren und anpassen. Wichtige Anforderungen:

• Risikobewertung & Klassifizierung aller KI-Anwendungen
• Technische Dokumentation & Transparenz über Trainingsdaten und Funktionsweise
• Risikomanagement & Governance mit klaren Verantwortlichkeiten
• Schulung der Mitarbeitenden („AI Literacy“)

 Warum jetzt handeln?

Die Fristen laufen bereits. Wer früh beginnt, vermeidet Bußgelder bis zu 35 Mio. € oder 7 % des Jahresumsatzes, reduziert Risiken und stärkt das Vertrauen von Kunden und Partnern.

Unser Angebot
– Compliance-Check & Gap-Analyse Ihrer KI-Systeme
– Risikoklassifizierung & Dokumentation nach EU-Vorgaben
– Implementierung von Governance-Strukturen
– Schulungen für Führungskräfte und Mitarbeitende
– Beratung zu technischen und organisatorischen Maßnahmen
– Vorbereitung auf Audits und Zertifizierungen

Der EU Data Act ist eine zentrale Säule der europäischen Datenstrategie. Er schafft klare Regeln für den Zugang, die Nutzung und die Weitergabe von Daten, die durch vernetzte Geräte und digitale Dienste erzeugt werden. Ziel ist es, Datensilos aufzubrechen, Innovationen zu fördern und einen fairen Wettbewerb zu sichern. Betroffen sind insbesondere IoT-Geräte, Smart-Home-Produkte, vernetzte Fahrzeuge und Cloud-Dienste.

Ab wann gilt der EU Data Act?

• 11. Januar 2024: Inkrafttreten der Verordnung
• 12. September 2025: Beginn der unmittelbaren Anwendung in allen EU-Mitgliedstaaten
• 12. September 2026: Ende der Übergangsfrist für Pflichten zur Gestaltung vernetzter Produkte und Dienste
• Bis 2027: Vollständige Anwendung für bestehende Verträge und komplexe Regelungen

Was bedeutet das für Ihr Unternehmen?

Unternehmen müssen ihre Produkte, Verträge und Prozesse anpassen, um den neuen Anforderungen gerecht zu werden:

• Datenzugang & Portabilität: Nutzer erhalten Anspruch auf Zugriff und Weitergabe ihrer Gerätedaten
• Cloud-Switching: Einfacher Wechsel zwischen Datenverarbeitungsdiensten wird Pflicht
• Vertragsgestaltung: Verbot missbräuchlicher Klauseln in B2B-Datenverträgen
• Technische Anforderungen: API-Schnittstellen und Interoperabilität sicherstellen
• Governance & Compliance: Prozesse für Datenanfragen und Sicherheitsmaßnahmen implementieren

Warum jetzt handeln?

Die Fristen laufen bereits. Wer früh beginnt, vermeidet Bußgelder und rechtliche Risiken, stärkt die eigene Datenstrategie und schafft Wettbewerbsvorteile.

Unser Angebot
– Konzepterstellung für Ihre Umsetzung
– Projektleitung und Maßnahmencontrolling
– Schulungen für Personal und Führungskräfte

Aus unserer Beratungstätigkeit bei kleinen und mittleren Unternehmen, Praxen und Kanzleien, die keine eigene IT-Abteilung haben, hat sich der “IT-Check” entwickelt.

Hierbei prüfen wir die Anforderungen anhand der vorhandenen Hard- und Software und entwickeln ein Konzept zur Optimierung. Wir unterstützen Sie gerne bei der Suche nach einem kompetenten Partner für die Umsetzung, übernehmen jedoch nicht die Betreuung selbst.

Auf Wunsch führen wir Penetrationstests durch und erstellen entsprechende Testate. Zudem überprüfen wir Ihre Homepage auf DSGVO-Erfüllung und geben Ihnen entsprechende Hinweise.

Für die Analysen nutzen wir verschiedene Verfahren, je nach Bedarf. Häufig können Sie für diese Analysen staatliche Fördermittel beantragen.

Klassische Fragebögen:

• DSGVO
• ISA VDA
• Anhang A der ISO 27001
• BSI Grundschutz

Begehungen:

• Vor-Ort-Prüfungen des Zugangs und des Umgangs mit Daten außerhalb der IT werden anhand von Checklisten durchgeführt und dokumentiert.

In der Cyber-Security ist es entscheidend, den Schutz kontinuierlich zu verbessern. Daher legen wir die Ausrichtung der Maßnahmen fest und binden sie in eine dauerhafte Systematik ein.

Unsere Erfahrung zeigt, dass nur regelmäßige Kontrollen das gewünschte Ergebnis sicherstellen. Die Rahmenbedingungen ändern sich häufig, daher müssen Änderungen immer wieder ermittelt und berücksichtigt werden.

Unser Angebot
– Analyse Ihrer Hard- und Software
– Prüfung der Richtlinien und Verträge
– Empfehlung für die notwendigen Maßnahmen

Technische Schutzmaßnahmen sind unverzichtbar – doch wahre Sicherheit zeigt sich erst im Praxis-Test. Mit unseren Penetrationstests und Social Hacking-Simulationen prüfen wir Ihre Systeme und Ihre Organisation unter realen Bedingungen.

Unsere Penetrationstests decken Schwachstellen in Ihrer IT-Infrastruktur auf, bevor sie von Angreifern ausgenutzt werden. Dabei simulieren wir gezielte Angriffe auf Netzwerke, Anwendungen und Schnittstellen – kontrolliert, dokumentiert und mit klaren Handlungsempfehlungen.

Social Hacking geht einen Schritt weiter: Hier testen wir die menschliche Komponente Ihrer Sicherheitsstrategie. Wie leicht lassen sich Mitarbeitende zur Preisgabe sensibler Informationen verleiten? Wie gut funktionieren Awareness-Maßnahmen im Alltag? Die Ergebnisse sind oft überraschend – und liefern wertvolle Impulse für Ihre Sicherheitskultur.

Unser Angebot
– Analyse Ihrer Hard- und Software
– Empfehlung für die notwendigen Maßnahmen