BLOG

BLOG

Security Awareness ohne Augenrollen – So bleibt’s hängen

Security Awareness ohne Augenrollen – So bleibt’s hängen

In vielen Unternehmen ist Security Awareness ein Pflichtprogramm, das Mitarbeitende mit derselben Begeisterung erwarten wie eine Steuerprüfung. Jedes Jahr eine Pflichtschulung, ein paar Folien, vielleicht ein Multiple-Choice-Test am Ende – und fertig. Das Problem: Diese Form von Sensibilisierung erreicht selten ihr Ziel. Im besten Fall haken die Teilnehmenden sie ab, im schlimmsten Fall sorgt sie für kollektives Augenrollen und den Eindruck, dass Sicherheit nur Bürokratie ist. Dabei ist Security Awareness einer der entscheidendsten Faktoren für die Informationssicherheit überhaupt. Die meisten Sicherheitsvorfälle haben menschliche Ursachen – sei es ein Klick auf einen schädlichen Link, das Teilen sensibler Daten oder das Ignorieren von Sicherheitswarnungen. Wenn Awareness-Programme nicht hängen bleiben, bleiben Lücken offen, die keine Firewall der Welt schließen kann.

Der Schlüssel zu wirksamer Awareness liegt darin, die Perspektive zu wechseln: weg von der Pflichtveranstaltung, hin zu einer Erfahrung, die relevant, verständlich und einprägsam ist. Genau das verlangt ein didaktisches Re-Design: Storytelling statt Paragrafen, Rollenrelevanz statt Gießkanne, Interaktion statt Vorlesen, Kontinuität statt Jahresmarathon, Vorbild statt Verordnung – und Messbarkeit statt Bauchgefühl.


Weiterlesen
6
29940 Aufrufe

Entwurf IDW EPS 528 (08.2025) zur DORA-Prüfung

Entwurf IDW EPS 528 (08.2025) zur DORA-Prüfung

Mit dem Entwurf IDW EPS 528 (08.2025) legt das Institut der Wirtschaftsprüfer erstmals einen branchenübergreifenden Prüfungsstandard für die aufsichtliche Prüfung nach DORA vor. Der Standard adressiert Institute, Versicherungsunternehmen, externe Kapitalverwaltungsgesellschaften sowie bestimmte Investmentvermögen und schafft damit einen konsistenten, methodisch klar strukturierten Rahmen für Planung, Durchführung und Berichterstattung von DORA-Prüfungen. Er ist bis zum 31.10.2025 zur Stellungnahme geöffnet.
Zum Entwurf: https://lnkd.in/dyWzguDM

Einordnung: Warum dieser Standard jetzt wichtig ist

DORA ist seit dem 17. Januar 2025 anzuwenden und markiert den Übergang von isolierten IT-Sicherheitsanforderungen hin zu einem einheitlichen europäischen Rahmen für digitale operationale Resilienz. Das Finanzmarktdigitalisierungsgesetz (FinmadiG) verankert zugleich die Prüfung ausgewählter DORA-Pflichten im Rahmen der Jahresabschlussprüfung – erstmals für Geschäftsjahre, die nach dem 31.12.2024 beginnen. In dieser Lage fehlte bislang ein sektorübergreifender Prüfungsmaßstab, der die Vielzahl an Einzelanforderungen in ein nachvollziehbares Prüfungsprogramm übersetzt. IDW EPS 528 schließt diese Lücke: Er formuliert eine prinzipienorientierte, risikobasierte Prüfarchitektur, die die Proportionalität in den Mittelpunkt stellt und gleichzeitig die Anschlussfähigkeit an die Aufsichtspraxis sicherstellt.


Weiterlesen
5
41440 Aufrufe

Sind Samsung KNOX oder Blackberry BALANCE die Lösung?

Sind Samsung KNOX oder Blackberry BALANCE die Lösung?

Das Thema BYOD hat in den letzten Monaten offenbar an Bedeutung eingebüßt, weil viele Verantwortliche mittlerweile erkannt haben, dass die damit verbundenen technischen und rechtlichen Probleme inhärent nicht beherrschbar sind und am Ende - insbesondere in Europa - die Verantwortung für dieses weitgehend verantwortungslose Konzept ganz allein bei den IT-Experten hängen bleibt. Dies wurde insbesondere in den letzten Blog Artikel offensichtlich.

Die grundsätzlich ähnlichen Konzepte von BlackBerry BALANCE oder Samsung KNOX, die zur Trennung von geschäftlichen und privaten Inhalten genutzt werden können, bringen neuen Schwung in die Diskussion über sichere und seriöse BYOD Konzepte. Unabhängig davon, dass man die rechtlichen Hürden in Deutschland, die BYOD mit keiner seriösen Technologie lösen kann, ist Samsung KNOX konzeptionell mehr als fragwürdig.


Weiterlesen
12
Markiert in:
108338 Aufrufe

Datenschutz und BYOD

Datenschutz und BYOD

Auch aus datenschutzrechtlicher Sicht kann es zu Schwierigkeiten bei Bring your own Device kommen. Anforderungen an den Datenschutz gibt es in Bezug auf die Zugriffskontrolle auf Unternehmensdaten, sowie im Umgang mit privaten Daten.

Daher muss aus datenschutzrechtlicher Sicht bei der Verarbeitung von Daten der Nutzer erfasst werden aufgrund von Vorschriften zu technischen und organisatorischen Maßnahmen, auf der anderen Seite jedoch ist der Arbeitgeber nicht berechtigt die bei der privaten Nutzung angefallenen personenbezogenen Daten zu kontrollieren. Denn grundsätzlich setzt die Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis voraus. Beide gelten nur für das jeweilige Unternehmen


Weiterlesen
13
Markiert in:
110563 Aufrufe

Datensicherheit und BYOD

Datensicherheit und BYOD

In meinen folgenden Postings möchte ich ByoD und seinen Einfluss auf IT Sicherheit / Compliance näher beleuchten. Dazu zunächst einmal die Einwirkung von ByoD auf Datensicherheit:

In Bezug auf die rechtliche Datensicherheit ist zu bedenken, dass die Sicherung von Daten vor unbefugtem Zugriff, der Zugriffsschutz für Unternehmensdaten, das Handling von Security Updates, sowie ein Schutz gegen Malware installiert sein muss.


Weiterlesen
14
Markiert in:
114412 Aufrufe
Image
Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern. Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.