Der Compliance-Druck steigt ständig und zwingt Unternehmen, sich intensiv mit EU-Regularien und Zertifizierungen zu beschäftigen. CISOs sind gefordert, die sensiblen Informationen und Systeme der Unternehmen vor Cyberangriffen und Datenverlusten zu schützen und gleichzeitig Compliance-Anforderungen einzuhalten. Mit dem “CISO im Dienst” Update geben wir wertvolle Tipps zu neuen InfoSec Themen wie KI und OSINT und helfen bei der Weiterentwicklung Ihres ISMS.
In diesem Update erfahren Sie viel Neues:
- Generative KI: Die neue Waffe der Angreifer – was CISOs jetzt wissen müssen
- Vertraulichkeit, Integrität, Verfügbarkeit und jetzt noch Authentizität?!
- Hochrisiko-KI im Datenschutz-Check: Vier Herausforderungen, die Sie überwinden müssen
- SEC4YOU WEBINAR: OSINT (Open Source Intelligence) und seine Relevanz für die Cybersicherheit
- NIS2 WEBINAR: OT-Risikomanagement – OT Erstbewertung für NIS2 Betroffene [CMG Event]
- ISMS TIPP: Die Top 7 ISMS KPI nach dem KISS Prinzip
- EMPFEHLUNG: Terminbuchungen für ISO 27001, TISAX und NIS2 Coaching
Generative KI: Die neue Waffe der Angreifer – was CISOs jetzt wissen müssen
Generative KI ermöglicht es böswilligen Akteuren, Angriffe in einer Qualität und Geschwindigkeit auszuführen, die bis dato undenkbar war. Unternehmen werden neuartigen Bedrohungen ausgesetzt, die nicht mehr nur auf technologische Schwachstellen, sondern gezielt auf Emotionen, sprich Menschen und deren Entscheidungsprozesse abzielen. Ein Beispiel dafür sind Deepfake-Technologien, die sich in den letzten Jahren stark weiterentwickelt haben.
Wir haben 6 Sofortmaßnahmen für CISOs zusammengestellt, die vor KI-basierten Bedrohungen schützen und zum anderen sicherstellen, dass die eigenen KI-Anwendungen den gesetzlichen Anforderungen entsprechen.
Vertraulichkeit, Integrität, Verfügbarkeit und jetzt noch Authentizität?!
Bei der Authentizität geht es darum, dass Daten vor der Verarbeitung geprüft werden, ob diese von einer authentischen Quelle stammen und unverändert sind. Gleichzeitig müssen Systeme auch sicherstellen, dass übermittelte Informationen und ausgelöste Aktionen zuverlässig von einem überprüfbaren Kommunikationspartner stammen und dieser Nachweis auch zu einem späteren Zeitpunkt prüfbar bleibt.
Dies trifft vor allem NIS2 betroffene Unternehmen, da das neue InfoSec Schutzziel Authentizität explizit für IoT/OT Infrastrukturen gefordert ist. Mit den folgenden IT-Sicherheitsstrategien kann das Schutzziel erreicht werden:
- Verpflichtende Authentifizierung von Personen und Endpoints
- Sicherstellung der Datenintegrität während der Übertragung
- Nachweisbare Authentizitätsprüfung
- Protokollierung der Authentizitätsprüfung
Konkrete technische Umsetzungsempfehlungen finden Sie in unserer Veröffentlichung.
Hochrisiko-KI im Datenschutz-Check:
Vier Herausforderungen, die Sie überwinden müssen
In dem Artikel erfahren Sie vier Herausforderungen, die ein KI-Einsatz mit sich bringen kann, besonders dann, wenn von sogenannter „Hochrisiko-KI“ die Rede ist. Natürlich zeigen wir auch wieder auf, wie Sie diese Herausforderungen meistern und mögliche Risiken mitigieren können.
Aufgrund der Bestimmungen des AI Acts fallen die meisten KI-Systeme aus dem Bereich Human Resources in die Kategorie der sogenannten „Hochrisiko-KI“ – weswegen wir diese in den Fokus unseres Blogbeitrages rücken wollen und im weiteren Verlauf auch das Beispiel einer (erfundenen) Recruiting-Plattform verwenden möchten. Konkret gehen wir in unserem Beispiel davon aus, dass neben Lebensläufen, Dienstzeugnissen und anderen Unterlagen, die automatisiert gescreent werden, auch Rankings der vielversprechendsten Bewerber*innen auf eine bestimmte Position erstellt werden.
SEC4YOU WEBINAR: OSINT (Open Source Intelligence) und die Relevanz für die Cybersicherheit
In dem kostenfreien Webinar am 28. April lernen Sie, wie Angreifer OSINT verwenden, um Schwachstellen zu identifizieren und erhalten Einblicke in effektive Abwehrmethoden sowie praktische Tools zur Risikominderung. Die Agenda umfasst Themen wie einen Überblick über OSINT, OSINT aus der Sicht eines IT-Prüfers, die Perspektive von Angreifern, welche Tools typischerweise eingesetzt werden und eine Checkliste für ein Self-Assessment zur Abwehr. Geplant ist auch eine Live-Demo.
Ferat Aydin leitet das Pentest-Team bei SEC4YOU. Als erfahrener Experte für IT-Sicherheitsarchitektur und technische Security Audits berät er Unternehmen, wenn es um Cybersecurity geht. Sein fundiertes Wissen aus Großunternehmen über Infrastrukturen und bewährte Best Practices bildet dabei die Grundlage.
NIS2 WEBINAR: OT-Risikomanagement –
OT Erstbewertung für NIS2 Betroffene [CMG Event]
Ausgehend von den Inputs und Diskussionen unseres ersten Treffens zum Thema „OT-Risikomanagement im NIS2-Kontext“ im Rahmen der 48. CMG Action Group Informationssicherheit & Cybersecurity im Jänner 2025, wurde unter der Leitung von Laurin DÖRR, OT Cyber Security Experte bei TG alpha, und vielen mitwirkenden TeilnehmerInnen ein erstes Konzept für eine NIS2 konforme OT-Risikomanagement-Methode erstellt. An diesem wollen wir nun weiterarbeiten und die Inhalte konkretisieren.
ISMS TIPP: Die Top 7 ISMS KPI nach dem KISS Prinzip
KPIs (Key Performance Indicators) sind essenzielle Kennzahlen, um den Erfolg von Unternehmen, Projekten oder Prozessen zu messen und zu steuern. In der Informationssicherheit sind KPIs besonders wichtig, um Risiken zu erkennen, Sicherheitsmaßnahmen zu bewerten und Compliance-Anforderungen einzuhalten.
Erfahren Sie wie sie die passenden KPIs nach dem KISS Prinzip (Keep-It-Short-and-Simple) auswählen und umsetzen können.
EMPFEHLUNG: Terminbuchungen für ISO 27001, TISAX und NIS2 Coaching
Aktuelle ISMS Beratungskunden und Kunden mit aktivem Coaching Paket über unser ISO 27001 oder NIS2 Richtlinienpaket, können nun sehr einfach einen Beratungstermin für ihre 27001 bzw. NIS2 Umsetzung mit unseren BeraterInnen vereinbaren.
Nutzen Sie folgenden Link und buchen Sie bis zu 24 Stunden im Voraus einen Termin bei bei Ihrem Berater oder Ihrer Beraterin.
Besuchen Sie uns auch auf LinkedIn und folgenden Sie uns, um in kürzeren Abständen CISO News zu diversen Themen und Veranstaltungen zu erhalten.
Sie erhalten den CISO im Dienst UPDATE nicht?
Wenn Sie den CISO im Dienst UPDATE noch nicht direkt erhalten, nutzen Sie unsere Anmeldeformular auf der rechten Seite und wir tragen Sie gerne in den Verteiler ein. Der CISO im Dienst UPDATE Service wird ausschließlich CISOs und Informationssicherheitsbeauftragten und vergleichbaren Positionen angeboten. Nach Ihrer Anmeldung erfolgt eine manuelle Freischaltung für den Service. Anfragen von Freemail Accounts können wir leider nicht berücksichtigen.