Information Security

Die Cyber-Welt scheint bedrohlicher, Regulatorik immer komplexer. Beides steht im engen Zusammenhang und fordert smarte Lösungen. In diesem Buch startet der erste Beitrag direkt mit dem Thema NIS2. Im Fokus steht eine zielgerichtete Einführung der Anforderungen für kritische Infrastrukturen, insbesondere auch für die Zielgruppe der mittelständischen Unternehmen. Der US-Amerikanischen Gesetzgebung folgend wird die neue Gesetzgebung zu Whistleblowing mit etwas Verspätung nun auch innerhalb der EU durch entsprechende Gesetzgebung in Deutschland zur Pflicht. Dazu werden die wesentlichen Herausforderungen und passende Ansätze skizziert, wie Unternehmen sich diesbezüglich aufstellen sollten. Über die Nutzung von Cyber Frameworks zur Strategie-Implementierung und Risikosteuerung geht es im nächsten Beitrag. Einige der wesentlichen Frameworks (NIST und SANS20/CIS) werden dazu im Rahmen von Praxisbeispielen analysiert. Der Beitrag versucht Wege aufzuzeigen, wie gerade das Thema Risiko-Management auf der Basis von NIST konsistent auch für unstrukturierte Daten umgesetzt werden kann, um bestmöglichen Schutz auf Basis von risikobasierten Ansätzen zu erzielen. Ein Artikel zur Security in der Cloud schließt sich an. Nach einer allgemeinen Betrachtung der Anforderungen geht der Beitrag auf konkrete Best Practices und Tools für die Microsoft Azure Cloud ein, um am Ende die Frage zu erörtern: Wie sicher ist die Cloud-Security? Relativ hohe Aufwände in den Cyber-Security-Programmen der letzten Jahre sind zurecht in Identity und Access Management geflossen. Dieses Thema wird wegen der weiteren steigenden Verwendung von unstrukturierten Daten mit Partnern, Kunden und innerhalb von 3rd Party Services weiter an Bedeutung gewinnen, da auch diese Informationen unter Kontrolle gehalten werden müssen und entsprechend risikobezogen zu managen sind. Der Beitrag zu IAM geht auf die unterschiedlichen Disziplinen ein, die für ganzheitliches IAM relevant sind und stellt einige der wichtigsten Ansätze und Tools dazu vor. Mit der Veröffentlichung von ersten Detailanforderungen in diesem Jahr hat das Thema DORA nochmals höhere Priorität als im Jahr zuvor bekommen, zumal die Implementierung Ende 2024 abgeschlossen sein muss. Zur Sicherstellung der Widerstandsfähigkeit von Finanzinstituten und IKT-Drittdienstleistern wird dazu eine Betrachtung der wesentlichen Anforderungen und Herausforderungen diskutiert sowie entsprechende Ansätze und Vorgehensweisen zur Implementierung gegeben.