Der Bedarf an ISO 27001 und TISAX® Zer­ti­fi­zie­run­gen sowie DORA und NIS2 Umset­zun­gen steigt rapi­de. Unser “CISO im Dienst” Update hilft bei der Ver­bes­se­rung Ihres ISMS mit Info­Sec Grund­la­gen, pra­xis­be­zo­ge­nen Erwei­te­run­gen und wert­vol­len Tipps.

In die­sem Update bie­ten wir fol­gen­de Inhalte:

• Update 2024: Erhe­bung der Infor­ma­ti­ons­si­cher­heits-Risi­ken für ISO 27001, TISAX® und NIS2
• Der Cyber Resi­li­ence Act (CRA) – ein­fach erklärt
• Die 5 Schlüs­sel­fak­to­ren beim daten­schutz­kon­for­men Ein­satz von KI
• TOP EVENT: ISACA Aus­tria Chap­ter & (ISC)² Aus­tria Chap­ter Kon­fe­renz 2025
• TIPPS & TRICKS: Pass­wort-Kna­cken? Ein ein­fa­ches Pass­wort in 22 Stun­den kna­cken, so funk­tio­niert das!
• EMPFEHLUNG: Neue Daten­schutz-Richt­li­nie im Online Shop

Kürz­lich haben wir die Ver­öf­fent­li­chung „Erhe­bung Infor­ma­ti­ons­si­cher­heits-Risi­ken für 27001, TISAX® und NIS2“ aktua­li­siert und emp­feh­len KMUs für das Risi­ko-Manage­ment im ISMS eine kom­pri­mier­te Lis­te von 18 Gefährdungen.

Neu hin­zu­ge­kom­men sind S15 Angrif­fe auf mobi­le End­ge­rä­te, S16 Betrug auch mit Hil­fe von KI und S17 Miss­brauch von IoT Anwen­dun­gen und Gerä­ten. Aktua­li­siert haben wir die Gefähr­dung S07 Ran­som­wa­re inkl. Mul­tivek­tor­an­grif­fe, da Ran­som­wa­re ver­mehrt mit DoS-Angrif­fen und Daten­dieb­stahl kom­bi­niert wird. Zwei Gefähr­dun­gen haben wir in unse­rer Gefähr­dungs­lis­te entfernt.

Der EU Cyber Resi­li­ence Act (CRA) bzw. auf Deutsch die Cyber­re­si­li­enz-Ver­ord­nung ist eine Ver­ord­nung der Euro­päi­schen Uni­on, die dar­auf abzielt, die Cyber­si­cher­heit von Pro­duk­ten mit digi­ta­len Ele­men­ten zu ver­bes­sern. Es soll gewähr­leis­ten, dass sol­che Pro­duk­te sicher sind, bevor sie in der EU auf den Markt kom­men und wäh­rend ihrer gesam­ten Lebens­dau­er sicher blei­ben. Der CRA rich­tet sich ins­be­son­de­re an Her­stel­ler und Ent­wick­ler von Soft­ware und Hard­ware, die für den EU-Markt produzieren.

Die Ver­ord­nung tritt am 11. Dezem­ber 2024 in Kraft. Die Mel­de­pflich­ten für Schwach­stel­len und Sicher­heits­vor­fäl­le sind ab 11. Sep­tem­ber 2026 ein­zu­hal­ten, die gesam­ten CRA-Anfor­de­run­gen sind bei neu­en Pro­duk­ten ab 11. Dezem­ber 2027 verpflichtend.

Je kom­ple­xer ein KI-Sys­tem, des­to kom­ple­xer natür­lich auch die damit ver­bun­de­nen Daten­schutz­aspek­te. Unse­re Gast­re­dak­teu­rin und Daten­schutz­ex­per­tin Bet­ti­na Ster­ner nutzt ein fik­ti­ves Bei­spiel eines KI unter­stütz­ten Kun­den­ti­cket­sys­tems und erklärt die wesent­li­chen 5 Schlüs­sel­ele­men­te die auf jeden Fall beach­tet wer­den soll­ten: das KI-Set­up, die gefor­der­te Trans­pa­renz, Doku­men­ta­ti­on der Ver­ar­bei­tung, Trai­ning für die Funk­ti­ons­wei­se und die Betrof­fe­nen­rech­te nach der DSGVO.

Die ISACA Aus­tria Chap­ter & (ISC)² Aus­tria Chap­ter Kon­fe­renz 2025 ist eine ganz­tä­gi­ge Kon­fe­renz in Wien und steht unter dem Mot­to „Cyber Resi­li­ence und Arti­fi­ci­al Intel­li­gence“. SEC4YOU spon­sert die Kon­fe­renz mit einem eige­nen Infor­ma­ti­ons­stand. Wir freu­en uns auf den Erfahrungsaustausch!

Die Teil­nah­me ist für ISACA Aus­tria Chap­ter und (ISC)² Aus­tria Chap­ter Mit­glie­der nach vor­her­ge­hen­der Anmel­dung und Erhalt der Teil­nah­me­be­stä­ti­gung gratis.

Ein­fa­che Pass­wör­ter mit bei­spiels­wei­se 8 Zei­chen kön­nen je nach Kom­ple­xi­tät in weni­ger als einem Tag über einen Bru­te-Force-Angriff geknackt wer­den. Dazu brau­chen Angrei­fer han­dels­üb­li­che PCs mit star­ken Gra­fik­kar­ten und die frei ver­füg­ba­re Open Source Hack­ing-Soft­ware „hash­cat“.

Je älter Anwen­dun­gen sind, des­to kryp­to­gra­phisch schlech­ter oft auch die Spei­che­rung der Pass­wort-Hash­es. Exper­ten emp­feh­len eine Entro­pie von >60 für siche­re Pass­wör­ter, dies erreicht man jedoch erst ab 10 Zei­chen. Wei­te­re Emp­feh­lun­gen zur Pass­wort­si­cher­heit fin­den Sie in unse­rem Artikel.

Auf­grund der regen Nach­fra­ge zu unse­rer Daten­schutz-Richt­li­nie haben wir die­se grund­le­gend über­ar­bei­tet und erwei­tert. Neben einer Defi­ni­ti­on der wesent­li­chen Daten­schutz­be­grif­fe haben wir die Rol­le des Daten­schutz­ko­or­di­na­tors prä­zi­siert und die Vor­la­ge um pra­xis­be­zo­ge­ne Bei­spie­le für die Rechts­grund­la­gen von Ver­ar­bei­tungs­tä­tig­kei­ten ergänzt.

Alle wesent­li­chen Daten­schutz­prin­zi­pi­en und deren Imple­men­tie­rung, die Daten­schutz­maß­nah­men, der Auf­bau des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten (VVZ), alle fünf wesent­li­chen Betrof­fe­nen­rech­te und das The­ma Daten­schutz­ver­let­zung / Data Breach sowie Daten­schutz-Fol­ge­ab­schät­zun­gen sind in der 18-sei­ti­gen Richt­li­nie abgedeckt.

!! Mit dem Gut­schein­code: 10%DS erhal­ten Sie bis 31.01.2025 10% Rabatt !!

Besu­chen Sie uns auch auf Lin­ke­dIn und fol­gen­den Sie uns, um in kür­ze­ren Abstän­den CISO News zu diver­sen The­men und Ver­an­stal­tun­gen zu erhalten. 

Sie erhal­ten den CISO im Dienst UPDATE nicht?

Wenn Sie den CISO im Dienst UPDATE noch nicht direkt erhal­ten, nut­zen Sie unse­re Anmel­de­for­mu­lar auf der rech­ten Sei­te und wir tra­gen Sie ger­ne in den Ver­tei­ler ein. Der CISO im Dienst UPDATE Ser­vice wird aus­schließ­lich CIS­Os und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten und ver­gleich­ba­ren Posi­tio­nen ange­bo­ten. Nach Ihrer Anmel­dung erfolgt eine manu­el­le Frei­schal­tung für den Ser­vice. Anfra­gen von Free­mail Accounts kön­nen wir lei­der nicht berücksichtigen.