Der Com­pli­ance-Druck steigt stän­dig und zwingt Unter­neh­men, sich inten­siv mit EU-Regu­la­ri­en und Zer­ti­fi­zie­run­gen zu beschäf­ti­gen. CIS­Os sind gefor­dert, die sen­si­blen Infor­ma­tio­nen und Sys­te­me der Unter­neh­men vor Cyber­an­grif­fen und Daten­ver­lus­ten zu schüt­zen und gleich­zei­tig Com­pli­ance-Anfor­de­run­gen ein­zu­hal­ten. Mit dem “CISO im Dienst” Update geben wir wert­vol­le Tipps zu neu­en Info­Sec The­men wie KI und OSINT und hel­fen bei der Wei­ter­ent­wick­lung Ihres ISMS.

In die­sem Update erfah­ren Sie viel Neues:

  • Gene­ra­ti­ve KI: Die neue Waf­fe der Angrei­fer – was CIS­Os jetzt wis­sen müssen
  • Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und jetzt noch Authentizität?!
  • Hoch­ri­si­ko-KI im Daten­schutz-Check: Vier Her­aus­for­de­run­gen, die Sie über­win­den müssen
  • SEC4YOU WEBINAR: OSINT (Open Source Intel­li­gence) und sei­ne Rele­vanz für die Cybersicherheit
  • NIS2 WEBINAR: OT-Risi­ko­ma­nage­ment – OT Erst­be­wer­tung für NIS2 Betrof­fe­ne [CMG Event]
  • ISMS TIPP: Die Top 7 ISMS KPI nach dem KISS Prinzip
  • EMPFEHLUNG: Ter­min­bu­chun­gen für ISO 27001, TISAX und NIS2 Coaching

Gene­ra­ti­ve KI: Die neue Waf­fe der Angrei­fer – was CIS­Os jetzt wis­sen müssen

Gene­ra­ti­ve KI ermög­licht es bös­wil­li­gen Akteu­ren, Angrif­fe in einer Qua­li­tät und Geschwin­dig­keit aus­zu­füh­ren, die bis dato undenk­bar war. Unter­neh­men wer­den neu­ar­ti­gen Bedro­hun­gen aus­ge­setzt, die nicht mehr nur auf tech­no­lo­gi­sche Schwach­stel­len, son­dern gezielt auf Emo­tio­nen, sprich Men­schen und deren Ent­schei­dungs­pro­zes­se abzie­len. Ein Bei­spiel dafür sind Deepf­ake-Tech­no­lo­gien, die sich in den letz­ten Jah­ren stark wei­ter­ent­wi­ckelt haben.

KI als Angreifer - Beitragsbild

Wir haben 6 Sofort­maß­nah­men für CIS­Os zusam­men­ge­stellt, die vor KI-basier­ten Bedro­hun­gen schüt­zen und zum ande­ren sicher­stel­len, dass die eige­nen KI-Anwen­dun­gen den gesetz­li­chen Anfor­de­run­gen entsprechen.

Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und jetzt noch Authentizität?!

Bei der Authen­ti­zi­tät geht es dar­um, dass Daten vor der Ver­ar­bei­tung geprüft wer­den, ob die­se von einer authen­ti­schen Quel­le stam­men und unver­än­dert sind. Gleich­zei­tig müs­sen Sys­te­me auch sicher­stel­len, dass über­mit­tel­te Infor­ma­tio­nen und aus­ge­lös­te Aktio­nen zuver­läs­sig von einem über­prüf­ba­ren Kom­mu­ni­ka­ti­ons­part­ner stam­men und die­ser Nach­weis auch zu einem spä­te­ren Zeit­punkt prüf­bar bleibt.

Dies trifft vor allem NIS2 betrof­fe­ne Unter­neh­men, da das neue Info­Sec Schutz­ziel Authen­ti­zi­tät expli­zit für IoT/OT Infra­struk­tu­ren gefor­dert ist. Mit den fol­gen­den IT-Sicher­heits­stra­te­gien kann das Schutz­ziel erreicht werden:

  1. Ver­pflich­ten­de Authen­ti­fi­zie­rung von Per­so­nen und Endpoints
  2. Sicher­stel­lung der Daten­in­te­gri­tät wäh­rend der Übertragung
  3. Nach­weis­ba­re Authentizitätsprüfung
  4. Pro­to­kol­lie­rung der Authentizitätsprüfung

Kon­kre­te tech­ni­sche Umset­zungs­emp­feh­lun­gen fin­den Sie in unse­rer Veröffentlichung.

Hoch­ri­si­ko-KI im Datenschutz-Check:
Vier Her­aus­for­de­run­gen, die Sie über­win­den müssen

In dem Arti­kel erfah­ren Sie vier Her­aus­for­de­run­gen, die ein KI-Ein­satz mit sich brin­gen kann, beson­ders dann, wenn von soge­nann­ter „Hoch­ri­si­ko-KI“ die Rede ist. Natür­lich zei­gen wir auch wie­der auf, wie Sie die­se Her­aus­for­de­run­gen meis­tern und mög­li­che Risi­ken miti­gie­ren können.

Auf­grund der Bestim­mun­gen des AI Acts fal­len die meis­ten KI-Sys­te­me aus dem Bereich Human Resour­ces in die Kate­go­rie der soge­nann­ten „Hoch­ri­si­ko-KI“ – wes­we­gen wir die­se in den Fokus unse­res Blog­bei­tra­ges rücken wol­len und im wei­te­ren Ver­lauf auch das Bei­spiel einer (erfun­de­nen) Recrui­ting-Platt­form ver­wen­den möch­ten. Kon­kret gehen wir in unse­rem Bei­spiel davon aus, dass neben Lebens­läu­fen, Dienst­zeug­nis­sen und ande­ren Unter­la­gen, die auto­ma­ti­siert gescre­ent wer­den, auch Ran­kings der viel­ver­spre­chends­ten Bewerber*innen auf eine bestimm­te Posi­ti­on erstellt werden.

SEC4YOU WEBINAR: OSINT (Open Source Intel­li­gence) und die Rele­vanz für die Cybersicherheit

In dem kos­ten­frei­en Web­i­nar am 28. April ler­nen Sie, wie Angrei­fer OSINT ver­wen­den, um Schwach­stel­len zu iden­ti­fi­zie­ren und erhal­ten Ein­bli­cke in effek­ti­ve Abwehr­me­tho­den sowie prak­ti­sche Tools zur Risi­ko­min­de­rung. Die Agen­da umfasst The­men wie einen Über­blick über OSINT, OSINT aus der Sicht eines IT-Prü­fers, die Per­spek­ti­ve von Angrei­fern, wel­che Tools typi­scher­wei­se ein­ge­setzt wer­den und eine Check­lis­te für ein Self-Assess­ment zur Abwehr. Geplant ist auch eine Live-Demo.

Ferat Aydin lei­tet das Pen­test-Team bei SEC4YOU. Als erfah­re­ner Exper­te für IT-Sicher­heits­ar­chi­tek­tur und tech­ni­sche Secu­ri­ty Audits berät er Unter­neh­men, wenn es um Cyber­se­cu­ri­ty geht. Sein fun­dier­tes Wis­sen aus Groß­un­ter­neh­men über Infra­struk­tu­ren und bewähr­te Best Prac­ti­ces bil­det dabei die Grundlage.

NIS2 WEBINAR: OT-Risi­ko­ma­nage­ment –
OT Erst­be­wer­tung für NIS2 Betrof­fe­ne [CMG Event] 

Aus­ge­hend von den Inputs und Dis­kus­sio­nen unse­res ers­ten Tref­fens zum The­ma „OT-Risi­ko­ma­nage­ment im NIS2-Kon­text“ im Rah­men der 48. CMG Action Group Infor­ma­ti­ons­si­cher­heit & Cyber­se­cu­ri­ty im Jän­ner 2025, wur­de unter der Lei­tung von Lau­rin DÖRR, OT Cyber Secu­ri­ty Exper­te bei TG alpha, und vie­len mit­wir­ken­den Teil­neh­me­rIn­nen ein ers­tes Kon­zept für eine NIS2 kon­for­me OT-Risi­ko­ma­nage­ment-Metho­de erstellt. An die­sem wol­len wir nun wei­ter­ar­bei­ten und die Inhal­te konkretisieren.

ISMS TIPP: Die Top 7 ISMS KPI nach dem KISS Prinzip

KPIs (Key Per­for­mance Indi­ca­tors) sind essen­zi­el­le Kenn­zah­len, um den Erfolg von Unter­neh­men, Pro­jek­ten oder Pro­zes­sen zu mes­sen und zu steu­ern. In der Infor­ma­ti­ons­si­cher­heit sind KPIs beson­ders wich­tig, um Risi­ken zu erken­nen, Sicher­heits­maß­nah­men zu bewer­ten und Com­pli­ance-Anfor­de­run­gen ein­zu­hal­ten.

KPI - Top ISMS Empfehlungen SEC4YOU

Erfah­ren Sie wie sie die pas­sen­den KPIs nach dem KISS Prin­zip (Keep-It-Short-and-Simp­le) aus­wäh­len und umset­zen können.

EMPFEHLUNG: Ter­min­bu­chun­gen für ISO 27001, TISAX und NIS2 Coaching

Aktu­el­le ISMS Bera­tungs­kun­den und Kun­den mit akti­vem Coa­ching Paket über unser ISO 27001 oder NIS2 Richt­li­ni­en­pa­ket, kön­nen nun sehr ein­fach einen Bera­tungs­ter­min für ihre 27001 bzw. NIS2 Umset­zung mit unse­ren Bera­te­rIn­nen vereinbaren.

Nut­zen Sie fol­gen­den Link und buchen Sie bis zu 24 Stun­den im Vor­aus einen Ter­min bei bei Ihrem Bera­ter oder Ihrer Beraterin.

Besu­chen Sie uns auch auf Lin­ke­dIn und fol­gen­den Sie uns, um in kür­ze­ren Abstän­den CISO News zu diver­sen The­men und Ver­an­stal­tun­gen zu erhalten. 

Sie erhal­ten den CISO im Dienst UPDATE nicht?

Wenn Sie den CISO im Dienst UPDATE noch nicht direkt erhal­ten, nut­zen Sie unse­re Anmel­de­for­mu­lar auf der rech­ten Sei­te und wir tra­gen Sie ger­ne in den Ver­tei­ler ein. Der CISO im Dienst UPDATE Ser­vice wird aus­schließ­lich CIS­Os und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten und ver­gleich­ba­ren Posi­tio­nen ange­bo­ten. Nach Ihrer Anmel­dung erfolgt eine manu­el­le Frei­schal­tung für den Ser­vice. Anfra­gen von Free­mail Accounts kön­nen wir lei­der nicht berücksichtigen.

CISO im Dienst UPDATE, ein abwechs­lungs­rei­cher Über­blick mit Neu­ig­kei­ten und Tipps im Bereich Infor­ma­ti­ons­si­cher­heit und Ver­bes­se­run­gen Ihres ISMS

Inter­es­se? Dann regis­trie­ren Sie sich für unse­ren News­let­ter, um regel­mä­ßig infor­miert zu sein!

Wir sen­den kei­nen Spam! Erfah­ren Sie mehr in unse­rer Daten­schutz­er­klä­rung.