Cybersicherheit ist keine Geheimwissenschaft und vieles, was Unternehmen für ausreichend halten, schützt im Ernstfall nicht. Aber kein Grund zur Panik: Wer Threat-Informed Defense konsequent anwendet, ist auf der sicheren Seite.

Roundtable | 24.Juli 2025 | 11:00 Uhr | Online (60 Min.)

Deine Sicherheitsstrategie ist nur so stark wie dein Wissen über den Gegner. Wer verstehen will, wie Angreifer wirklich vorgehen und wo das eigene Unternehmen angreifbar ist bekommt beim carmasec Roundtable genau das: wertvolle Insights, keine Buzzwords und die 10 häufigsten Schwachstellen.

Sichere dir echtes Angreiferwissen und Quick-Wins für deinen Security-Alltag.

Das erwartet dich:

• Ein anderer Blick auf deine IT-Security und wie man Budgets zielführender einsetzen kann
• Wie man Cybersecurity Maßnahmen besser und realitätsnäher priorisiert
• Kompakte Impulse von Ethical Hackern & Security-Expert:innen
• Strategie- und Praxis-Tipps zu Angreifer-Taktiken, Schwachstellenpriorisierung und Verteidigungslogik
• Quick-Wins zur Verbesserung deiner Sicherheitslage, sofort umsetzbar für dich und dein Team
• Offene Diskussionsrunde mit anderen IT- und Security-Profis aus verschiedenen Branchen

Jetzt registrieren

Für wen ist das Event gemacht?

Für alle, die Cybersecurity nicht nur verwalten, sondern gestalten möchten. Egal, ob du strategisch entscheidest oder tief in der Technik steckst – wenn du Verantwortung für Sicherheit trägst und wissen willst, was im Ernstfall wirklich schützt, bist du hier richtig.

Warum du dich jetzt anmelden solltest?

Um den intensiven Austausch und die besondere Atmosphäre zu gewährleisten, ist die Teilnehmerzahl begrenzt. Registriere dich jetzt und sichere dir einen der limitierten Plätze für diesen exklusiven Roundtable.

Jetzt registrieren

Know how aus der Praxis
Unsere Expert:innen, Pascal Waffenschmitt und Timm Börgers, geben dir konkrete Beispiele, Tipps und hilfreiche Learnings aus dem Alltag der Angreifenden.

Content Snacks für deine Cybersecurity
Keine langen Slides, kein Monolog, sondern klare Antworten auf echte Fragen.

Netzwerk erweitern & mitdenken
Tausche dich mit IT- und Security-Expert:innen aus verschiedenen Branchen aus. Wenn du willst, lernst du beim offenen Austausch neue Perspektiven kennen oder bleibst fokussiert im Deep Dive.

Passwörter sind bis heute die am weitesten verbreitete Methode zum Schutz digitaler Zugänge. Doch in der heutigen Zeit werden sie zunehmend zur Schwachstelle: Phishing, Datenlecks, Brute-Force-Angriffe und die Wiederverwendung von Passwörtern lassen herkömmliche Authentifizierungssysteme immer mehr zum Sicherheitsrisiko werden.

Passwörter stellen zudem eine organisatorische Belastung dar – von den wiederkehrenden IT-Support-Anfragen bis hin zur Durchsetzung komplexer Passwort-Richtlinien und dem aufwändigen Einsatz von Passwortmanagern.

Mehr Sicherheit, mehr Komfort: Deshalb sind Passkeys die bessere Wahl für dein Unternehmen

Passkeys gewinnen als sichere und komfortable Alternative zu klassischen Passwörtern zunehmend an Popularität. Sie werden von großen Technologieplattformen wie Google, Apple und Microsoft aktiv unterstützt und auch immer mehr SaaS-Lösungen und Business-Tools integrieren Passkeys nativ in ihre Anwendungen. Prognosen gehen davon aus, dass Passkeys in den nächsten Jahren zum Standard in der Authentifizierung werden.

Was sind Passkeys und wie funktionieren sie?

Passkeys basieren auf der Public-Key-Kryptografie. Die Technologie ist erprobt und bietet ein hohes Maß an Sicherheit. Anstelle eines Passworts wird ein digitales Schlüsselpaar verwendet:

1. Der private Schlüssel wird sicher auf dem Gerät des Nutzers gespeichert.
2. Der öffentliche Schlüssel verbleibt beim Dienstanbieter.

Bei der Anmeldung erzeugt der Dienstanbieter eine kryptografische Challenge, die mit dem privaten Schlüssel signiert wird. Der öffentliche Schlüssel überprüft die Signatur und gewährt bei Übereinstimmung den Zugriff.

Warum sind Passkeys sicherer als herkömmliche Passwörter?

• Keine zentrale Speicherung: Passkeys eliminieren das Risiko von Datenlecks, da sensible Informationen wie Passwörter nicht in zentralen Datenbanken gespeichert werden müssen.
• Phishing-Resistenz: Selbst wenn Nutzer auf gefälschte Webseiten gelangen, können Passkeys nicht abgefangen oder missbraucht werden.
• Schutz vor Man-in-the-Middle-Angriffen: Die kryptografische Signatur verhindert, dass sich Angreifer zwischen Nutzer und Dienstanbieter schalten können.

Warum sind Passkeys benutzerfreundlicher?

• Kein Passwort merken oder eingeben: Passkeys eliminieren die Notwendigkeit, sich komplexe Passwörter zu merken oder manuell einzugeben, da die Authentifizierung automatisch über das Gerät erfolgt.
• Schnelle und einfache Anmeldung: Die Anmeldung erfolgt über eine biometrische Bestätigung (Gesichtserkennung, Fingerabdruck) oder eine einfache PIN, wodurch der Anmeldevorgang deutlich beschleunigt wird.
• Automatische Synchronisierung: Passkeys werden sicher auf dem Gerät gespeichert und können über vertrauenswürdige Cloud-Dienste plattformübergreifend synchronisiert werden, so dass sie jederzeit verfügbar sind.

Passkeys und Compliance

• DSGVO-Konformität: Passkeys unterstützen Unternehmen bei der Einhaltung der DSGVO, da keine persönlichen Passwörter gespeichert werden.
• Einhaltung von Sicherheitsstandards: Durch den Einsatz von Passkeys werden Standards wie ISO 27001 in den Bereichen Authentifizierung und Zugangskontrolle unterstützt.
• Branchenspezifische Vorteile: Besonders Branchen mit hohen Sicherheitsanforderungen wie der Finanzsektor oder das Gesundheitswesen profitieren von den Sicherheitsvorteilen der Passkeys.

Indem du auf Passkeys wechselst, kannst du Sicherheitsrisiken reduzieren, Kosten senken und den Arbeitsalltag deiner Kolleg:innen vereinfachen.

Du möchtest wissen, wie Passkeys deine IT-Sicherheit verbessern können?

Lass uns drüber sprechen!

Wie kannst du Passkeys erfolgreich in dein Unternehmen integrieren?

Die Einführung von Passkeys erfordert eine durchdachte Strategie, um technische Hürden zu überwinden und die Nutzerakzeptanz zu fördern. Wichtige Aspekte sind dabei:

Technische Integration:
Ältere Systeme unterstützen oft keine passwortlose Authentifizierung. Hier können Middleware-Systeme helfen, Passkeys in bestehende IT-Umgebungen einzubinden. Langfristig empfiehlt sich der Aufbau einer FIDO2-kompatiblen Infrastruktur.

Interoperabilität:
Passkeys müssen auf unterschiedlichen Geräten und Plattformen nahtlos funktionieren. Standards wie FIDO2 und die Unterstützung großer Anbieter erleichtern die Umsetzung.

Nutzerakzeptanz:
Viele Nutzer empfinden den neuen Login-Prozess anfangs als „zu einfach“ und unsicher. Hier hilft eine klare Kommunikation und Aufklärung über die Vorteile von Passkeys, z.B. in Form von regelmäßigen Schulungen.

Backup-Lösungen:
Passkeys sind oft gerätegebunden – Dein Unternehmen sollte hierfür Alternativen bereitstellen. Möglichkeiten hierfür sind Zweitgeräte, Recovery-Codes oder Cloud-Synchronisierung.

Eine Hybridlösung aus Passkeys und klassischen Authentifizierungsverfahren kann den Übergang erleichtern und die Sicherheit schrittweise erhöhen.

Unser Fazit: Passkeys sind ein strategischer Vorteil für dein Unternehmen

Passkeys bieten Unternehmen klare strategische Vorteile in der modernen Authentifizierung:

1. Höhere Sicherheit & Compliance: Passkeys minimieren Cyberrisiken, erleichtern die Einhaltung von Compliance-Vorgaben und schützen Unternehmen vor Cyber-Bedrohungen.
2. Kostensenkung & Effizienz: Weniger Passwort-Resets entlasten den IT-Support, sparen Kosten und steigern die Produktivität, da Mitarbeitende nicht durch vergessene Passwörter ausgebremst werden.
3. Einfache Implementierung ohne zusätzliche Kosten: Passkeys funktionieren mit vorhandener Hardware wie Laptops und Smartphones, so dass keine teuren Hardware- oder Software-Token benötigt werden.

Für IT-Leiter und CISOs ist die Einführung von Passkeys eine strategische Entscheidung, um das Unternehmen langfristig abzusichern. Sie reduzieren Angriffsflächen, verbessern die Benutzerfreundlichkeit und sorgen für eine zukunftssichere Authentifizierungsstrategie.

Ausblick: Die Zukunft ist passwortfrei

Die Entwicklung geht eindeutig in Richtung einer durchgängigen, passwortlosen Identifikation. Unternehmen, die frühzeitig auf Passkeys setzen, profitieren von erhöhter Sicherheit, reduzierten IT-Kosten und einer verbesserten Nutzerfahrung. Passwortlose Accounts werden bald Standard sein – und Passkeys sind der Schlüssel zu dieser Zukunft.

Wie sieht die Passkeys-Strategie für dein Unternehmen aus?

Möchtest du mehr über Passkey und die Integration in deine Systeme wissen?

Lass uns über Deine Anforderungen sprechen.

Die Bewertung von Risiken ist die Grundlage jeder strategischen Entscheidung. Trotzdem erleben wir in vielen Unternehmen, dass IT-Risikomanagement als reine IT-Aufgabe betrachtet wird – ein Fehler, der nicht nur Effizienz kostet, sondern auch das Risiko erhöht, Standards wie ISO 27001, TISAX oder NIS 2 nicht zu erfüllen. IT-Risikomanagement ist ein gesamtorganisatorisches Thema, das alle Abteilungen betrifft und daher von der Geschäftsleitung gesteuert werden muss.

In diesem Artikel stellen wir dir unseren dreistufigen Ansatz zur Implementierung eines IT-Risikomanagements vor und zeigen dir, wie du Risiken systematisch managest und dein Unternehmen nachhaltig absicherst.

Was ist IT-Risikomanagement?

IT-Risikomanagement ist eine Methode, mit der Unternehmen:

• Risiken wie Cyberangriffe, Datenschutzverletzungen oder Systemausfälle systematisch identifizieren, bewerten und behandeln,
• Maßnahmen zur Einhaltung von Standards wie ISO 27001, TISAX, DORA oder NIS 2 priorisieren
• und fundierte Entscheidungen treffen, die IT-Sicherheit und strategische Unternehmensziele verbinden

Die Vorteile eines funktionierenden IT-Risikomanagementsystems

Ein etabliertes IT-Risikomanagementsystem liefert klare Mehrwerte für Unternehmen und Führungskräfte:

• Transparenz: Risiken werden sichtbar und für alle Mitarbeitenden verständlich.
• Entscheidungsfähigkeit: Führungskräfte erhalten eine fundierte Entscheidungsgrundlage.
• Effizienz: Ressourcen werden gezielt eingesetzt, statt durch Aktionismus verschwendet.
• Zukunftssicherheit: Unternehmen werden nicht nur gegen aktuelle Bedrohungen geschützt, sondern auch auf kommende Herausforderungen vorbereitet.

Warum ist IT-Risikomanagement eine Aufgabe für die Chefetage?

Ein IT-Risikomanagementsystem betrifft nicht nur die IT-Abteilung. Die Implementierung ist ein gesamt-organisatorischer Veränderungsprozess, der alle Abteilungen einbezieht und übergreifend verankert werden muss.

Deshalb verankern wir unseren Ansatz im Management:

• Risikomanagement ist nicht nur Aufgabe der Geschäftsleitung als oberstem Risikoträger. Sie muss auf hoher Unternehmensebene angesiedelt sein, um effizient umgesetzt zu werden. Die aus der Risikobeurteilung abgeleiteten Maßnahmen haben oft abteilungsübergreifende Auswirkungen. Diese können nicht von einer Abteilung allein gelöst werden.
• Die Einführung eines IT-Risikomanagements ist nur dann erfolgreich, wenn sie die unternehmensspezifische Kultur berücksichtigt.
• Standards wie ISO 27001, TISAX, DORA und NIS 2 fordern klare Verantwortlichkeiten, die auf allen Ebenen des Unternehmens getragen werden.

Ein systematischer IT-Risikomanagementansatz für klare Ergebnisse

Führungskräfte stehen bei der Einführung eines Risikomanagement oft vor drei zentralen Fragen:

Welche Risiken sind für unser Unternehmen relevant? Wie lassen sich diese effizient und nachhaltig bewältigen? Welche Maßnahmen sind zwingend erforderlich und wie priorisieren wir sie?

Bei carmasec setzen wir auf einen dreistufigen Ansatz zur Implementierung eines IT-Risikomanagements. So können wir relevante Risiken frühzeitig identifizieren und gezielt behandeln.

1. Standortbestimmung und Zieldefinition

Im ersten Schritt analysieren wir die aktuelle Situation des Unternehmens:

• Welchen IT-Reifegrad hat das Unternehmen und wie gut ist das bestehende Risikomanagement etabliert?
• Welche Lücken (Gaps) bestehen in Hinblick auf Informationssicherheit und Datenschutz?
• Wo stehen wir in Bezug auf regulatorische Anforderungen?

Im Rahmen eines Workshops entwickeln wir gemeinsam ein Zielbild, das den spezifischen Anforderungen des Unternehmens entspricht.

2. Maßnahmenplan und Priorisierung

Auf Basis der Analyse erstellen wir einen konkreten Umsetzungsplan:

• Welche Risiken haben die höchste Relevanz und wie geht das Unternehmen damit um?
• Welche Maßnahmen sind kurzfristig notwendig, welche langfristig sinnvoll?
• Wie können wir mit minimalem Aufwand maximale Wirkung erzielen?

3. Implementierung und Verstetigung

Nach der Planung folgt die Umsetzung:

• Einführung eines operativen Risikomanagements mit klaren Prozessen und Verantwortlichkeiten.
• Schulungen und Trainings, um das gesamte Team einzubinden.
• Bereitstellung von Tools und Dokumenten wie Risikoregister und Heatmaps, die die Entscheidungsfindung unterstützen.

Unser Ziel ist ein lebendiges Risikomanagement, das nicht nur die IT-Infrastruktur absichert, sondern auch andere Risikofelder wie Enterprise-Risiken oder Chancenmanagement integrieren kann.

Unser Angebot: Maßgeschneiderte Lösungen und Umsetzung auf Augenhöhe

1. Maßgeschneiderte Beratung statt „One Fits All“

• Wir entwickeln für dein Unternehmen ein individuelles Zielbild, das präzise auf deinen spezifischen Anforderungen basiert.
• Unsere Lösungen sind unternehmenskompatibel – wir berücksichtigen die Kultur und Arbeitsweise Deines Unternehmens.

2. Praktische Unterstützung statt reiner Theorie

• Wir hören nicht bei Konzepten auf. Gemeinsam mit dir setzen wir Maßnahmen um und begleiten dich aktiv in der Praxis.

3. Interdisziplinäre Expertise

• Unser Team bringt Fachwissen aus verschiedenen Bereichen ein, um auch komplexe Anforderungen abzudecken.
• Durch unsere skalierbare Teamstruktur können wir dir jederzeit die benötigte Manpower und Expertise anbieten.

4. Von der Beratung bis zur sicheren Umsetzung: Unsere Kernkompetenzen

• Unsere Kernkompetenzen reichen vom Informationssicherheitsmanagement über den Aufbau sicherer IT-Infrastrukturen und Cloud Security bis hin zu Angriffssimulationen und Penetrationstests. Für dein IT-Risikomanagement erarbeiten wir nicht nur die notwendigen Maßnahmen, sondern setzen diese direkt um und testen sie bei Bedarf auf ihre Wirksamkeit.

Fazit: Ein Instrument für verantwortungsvolle Unternehmensführung

IT-Risikomanagement ist weit mehr als ein technisches Werkzeug. Es ist ein strategisches Instrument, das Unternehmen hilft, Sicherheit und Effektivität zu verbinden. Gleichzeitig ermöglicht es Führungskräften, ihrer Verantwortung gerecht zu werden – sei es im Hinblick auf regulatorische Anforderungen, den Schutz der Organisation oder die Vermeidung persönlicher Haftung.

Mit unserem dreistufigen Ansatz fokussieren wir auf die individuellen Anforderungen des Unternehmens – seien es regulatorische Vorgaben oder strategische Entwicklungsziele – und berücksichtigen die individuellen kulturellen Gepflogenheiten des Teams. Wir achten darauf, effiziente Prozesse zu implementieren und erleichtern Deinen Mitarbeitenden die Umstellung auf neue Prozesse mit intensiven Schulungs- und Trainingsmaßnahmen.

Ein Abend, bei dem der offene Austausch im Mittelpunkt steht.
Am 26. Juni 2025 treffen sich in Köln Menschen aus der IT Security mit unterschiedlichen Hintergründen. Was sie verbindet, ist die geteilte Überzeugung, voneinander zu lernen, Themen offen zu besprechen und persönliche Kontakte zu vertiefen.

Tauche ein in die Welt der Cybersicherheit und werde Teil einer wachsenden Community.
Beim nächsten friends of carmasec Event erwarten dich anregende Gespräche, neue Denkanstöße und viele Gelegenheiten, dich mit anderen zu vernetzen – in einer offenen und persönlichen Atmosphäre..

Ablauf:

Ablauf:

18:00 Uhr: Treffen und Networking in unseren Büroräumen
18:45 Uhr: Gemeinsamer Wechsel in ein Restaurant (Details folgen)
19:00 Uhr: Abendessen und Austausch in entspannter Atmosphäre

Was erwartet dich bei unseren Events?

Unsere Treffen sind die perfekte Gelegenheit, um:

• Dich mit Cyber Security-Expert:innen und Gleichgesinnten auszutauschen.
• Neue Perspektiven und Impulse für Deine Arbeit zu gewinnen.
• Wertvolle Kontakte in einer Community zu knüpfen, die bereits über 100 Mitglieder zählt.

Sicherheit, die funktioniert – Strategien, Best Practices und Fehler, die du vermeiden solltest

Die Cloud bietet viele Chancen – wenn man sie sicher nutzt. Ohne klare Regeln und Schutzmaßnahmen entstehen Sicherheitslücken, hohe Kosten oder Datenverluste.

In unserer Webinarreihe erfährst du, wie du die AWS Cloud von Grund auf sicher aufbaust, typische Fehler vermeidest und deine Cloud-Strategie nachhaltig absicherst.

AWS Cloud Security Essentials Teil 2:
Compliance & Cloud Governance

Datum: 19.03.2025
Uhrzeit: 11:00 – 11:45 Uhr
Speaker: Senior Security Consultant Dominik Sturm

Wie sorgst du in Deiner AWS Cloud für Governance und Compliance?

Viele Unternehmen denken: „Die Cloud Service Provider kümmern sich um Sicherheit, ich muss nichts tun.“ Doch ohne klare Prozesse und Regeln kann es schnell kritisch werden.

In diesem Webinar erfährst du:

• Welche Compliance-Vorgaben du auch in der Cloud beachten musst
• Wie du den für dein Unternehmen passenden Cloud Dienstleister findest
• Wie du dein Unternehmen vor Datenverlust schützt
• Warum Backups und eine Exit-Strategie wichtig sind

Dein Mehrwert:

Wir zeigen, wie du Verantwortlichkeiten klärst und vermeidest, dass dir Sicherheitsrisiken oder rechtliche Probleme später auf die Füße fallen.

Sicherheit, die funktioniert – Strategien, Best Practices und Fehler, die du vermeiden solltest

Die Cloud bietet viele Chancen – wenn man sie sicher nutzt. Ohne klare Regeln und Schutzmaßnahmen entstehen Sicherheitslücken, hohe Kosten oder Datenverluste.

In unserer Webinarreihe erfährst du, wie Du die AWS Cloud von Grund auf sicher aufbaust, typische Fehler vermeidest und deine Cloud-Strategie nachhaltig absicherst.

AWS Cloud Security Essentials Teil 1:
Wie baue ich eine sichere AWS-Umgebung auf?

Datum: 05.03.2025
Uhrzeit: 11:00 – 11:45 Uhr
Speaker: Information Security Consultant Robin Südkamp

Viele Unternehmen nutzen AWS, ohne sich Gedanken über Sicherheit zu machen. In diesem Webinar erklären wir, was eine Landing Zone ist, wie du Managed Services integrierst und mit welchen Tools du eine stabile, sichere Cloud Umgebung aufbaust.

Das nimmst du mit:

• Wie eine klare Cloud-Architektur aussieht
• Welche Sicherheitsmechanismen du von Anfang an brauchst
• Wie du Security Tools richtig einrichtest

Dein Mehrwert:

Lerne Strategien und Tools kennen, mit denen du deine AWS Cloud von Anfang an sicher gestaltest.

Sicherheit, die funktioniert – Strategien, Best Practices und Fehler, die du vermeiden solltest

Die Cloud bietet viele Chancen – wenn man sie sicher nutzt. Ohne klare Regeln und Schutzmaßnahmen entstehen Sicherheitslücken, hohe Kosten oder Datenverluste.

In unserer Webinarreihe erfährst du, wie du die AWS Cloud von Grund auf sicher aufbaust, typische Fehler vermeidest und deine Cloud-Strategie nachhaltig absicherst.

AWS Cloud Security Essentials Teil 3:
Risks, Fuckups & Best Practices

Datum: 02.04.2025
Uhrzeit: 11:00 – 11:45 Uhr
Speaker: Senior Security Consultant Patrick Brooks

Welche Fehler können in der AWS-Cloud passieren – und wie kannst du sie verhindern?

Viele Unternehmen stolpern über die gleichen Probleme:

• Zu viele Berechtigungen → Ungewollte Sicherheitslücken
• Falsch konfigurierte Dienste → Teure Überraschungen
• Unklare Verantwortlichkeiten → Sicherheitsrisiken

Dein Mehrwert:

Wir zeigen dir anhand realer Fälle, was in der AWS Cloud schiefgehen kann – und wie du es von Anfang an besser machst.
Mit Hilfe einer Live Demo und unseren Best Practices weißt du, wie du deine AWS-Umgebung absicherst und typische Fehler vermeidest.

Unser Team besteht aus vielen unterschiedlichen Charakteren mit spannenden Karrierewegen. Heute stellen wir Euch unsere Kollegin Stefanie Koß vor. Im Interview sprachen wir mit dem Multitalent über ihren Karriereweg, den Wechsel aus der Wissenschaft in die Beratung und fragten, was sie antreibt.

Generell interessierte ich mich dafür, wie Dinge funktionieren. In letzter Zeit habe ich mich mehr mit dem Küchenbau beschäftigt. Ich hatte immer mehr Ideen, wie die Küche besser nach meinen Wünschen gebaut werden könnte und wollte diese auch selbst umsetzen können. Ähnlich verhält es sich mit meinem Fahrrad, das ich gerne als Fortbewegungsmittel benutze und gelegentlich reparieren muss. Außerdem spiele ich sehr gerne Gesellschaftsspiele mit meinen Freund:innen und singe gerne im Chor.

Wie bist du zur IT-Sicherheit gekommen?

Eigentlich durch einen Zufall. Ich habe mein Informatikstudium in Aachen mit einem Master abgeschlossen. Während des Studiums habe ich mich hauptsächlich mit Themen der theoretischen Informatik beschäftigt. Meinen ersten Kontakt zur IT-Sicherheit hatte ich während eines Auslandssemesters in Edinburgh. Dort belegte ich das Fach Computer Security. Besonders begeisterten mich die vielen praktischen Übungen. Nach dem Studium nahm ich zunächst eine Stelle am Fraunhofer-Institut für Sichere Informationstechnologie an. Dort arbeitete ich unter anderem an der Weiterentwicklung und Optimierung eines Schwachstellenscanners, der mittels statischer Analyse Sicherheitslücken in Android-Apps und Java-Anwendungen findet – mein Interesse an der IT-Security war geweckt.

Was hat dich dazu bewogen in die Industrie zu gehen?

Ich wollte neue Erfahrungen sammeln, vor allem eigene Projekte entwickeln und mit unterschiedlichen Menschen zusammenarbeiten. Am Anfang wusste ich nicht genau, in welche Richtung ich gehen wollte. Ich konnte mir mehrere Möglichkeiten vorstellen: Softwareentwicklerin, etwas explizit mit IT-Sicherheit oder sogar eine Lehrtätigkeit.

Wie hast du deine Entscheidung schlussendlich getroffen?

Ich habe mich im Internet informiert und bin auf den Beruf des Consultant gestoßen. Das hat mir sofort gefallen, weil ich an verschiedenen Kundenprojekten arbeiten und unterschiedliche Branchen kennenlernen kann. Außerdem suchte ich einen Job, den ich mit meinem Interesse für IT-Sicherheit und Projektmanagement verbinden konnte.

Wieso hast du dich für die carmasec entschieden?

Bei carmasec kann ich mich nach meinen Wünschen weiterentwickeln und an verschiedenen Themen arbeiten. Als Beraterin finde ich es wichtig, dass man nicht einfach irgendeinen Kunden oder irgendein Projekt zugeteilt bekommt, sondern dass es zu einem passt und einen interessiert. Genau das bekomme ich hier geboten.

Weißt du schon, was die Zukunft für dich bereithält?

Aktuell habe ich noch keine langfristigen Pläne. Im Moment konzentriere ich mich weiterhin auf das Projektmanagement. Ich kann mir aber auch vorstellen, Abschlussarbeiten zu betreuen und möchte mich auch noch tiefer in das Informationssicherheitsmanagement einarbeiten. Generell möchte ich noch viel lernen und sehen.

Wir beschäftigen uns viel mit dem Thema Diversität und wir wissen bereits, dass Frauen in technischen Berufen unterrepräsentiert sind. Gibt es negative Erfahrungen die du machen musstest?

Bisher habe ich keine großen negativen Erfahrungen gemacht. Ich finde es aber schade, wenn veraltete Phrasen wie “die Jungs aus der IT” verwendet werden. Damit werden definitiv nicht alle Menschen angesprochen und das vermittelt ein falsches Bild. Ich habe auch schon erlebt, dass manche Leute ihren normalen Sprachgebrauch ändern, nur weil ich im Raum bin. Mein Tipp: Wenn Ihr wollt, dass sich die Personen in Eurem Umfeld mit Euch wohlfühlen, reflektiert gelegentlich Euren eigenen Sprachgebrauch.

Danke für das Interview!

Wann der IT-Grundschutz Pflicht ist, wann er sich freiwillig lohnt und warum Unternehmen, die ihn kennen, bei NIS-2 und DORA einen entscheidenden Vorsprung haben.

Dennoch hält sich hartnäckig das Missverständnis, der Grundschutz sei ein reines Behördenthema. In unserer täglichen Projektarbeit begegnet uns dieses Missverständnis regelmäßig, und es ist fast immer teuer: Unternehmen, die den Grundschutz ignoriert haben, stehen bei NIS-2-Audits, DORA-Harmonisierungen oder Cyberversicherungsverhandlungen ohne tragfähige Basis da.

Dieser Artikel erklärt, was der IT-Grundschutz wirklich leistet, für wen er verbindlich ist und wann sich die Umsetzung auch ohne regulatorischen Druck unmittelbar rechnet.

Was der BSI IT-Grundschutz wirklich ist

Der IT-Grundschutz ist keine Checkliste, die man einmal abarbeitet. Er ist eine vollständige Methodik zur Informationssicherheit, aufgebaut auf vier Kernstandards und einem umfangreichen Kompendium konkreter Sicherheitsbausteine.

• BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS) – die konzeptionelle Grundlage
• BSI-Standard 200-2: IT-Grundschutz-Methodik – die eigentliche Umsetzungsanleitung mit drei Vorgehensweisen
• BSI-Standard 200-3: Risikoanalyse auf Basis IT-Grundschutz – für erhöhten Schutzbedarf
• BSI-Standard 200-4: Business Continuity Management (BCM) – Resilienz über den Normalbetrieb hinaus

Das unterscheidet den IT-Grundschutz von vielen anderen Frameworks: Er liefert nicht nur Anforderungen, sondern sagt explizit, wie diese umgesetzt werden.

Pflicht oder Kür? Die differenzierte Antwort.

Die kurze Antwort: Für Bundesbehörden ist der IT-Grundschutz verbindlich. Für Unternehmen hängt es von ihrer Situation ab. Die lange Antwort ist komplexer und für strategische Entscheidungen deutlich relevanter.

Bundesbehörden: keine Diskussion

Das BSI-Gesetz verpflichtet alle Einrichtungen des Bundes zur Einhaltung der BSI-Mindeststandards. Diese basieren direkt auf dem IT-Grundschutz. Hier gibt es keinen Interpretationsspielraum und keine Alternativen.

KRITIS-Betreiber: anerkannt, aber nicht exklusiv

Unternehmen in kritischen Infrastrukturen wie Energie, Gesundheit, Wasser oder Transport müssen nach dem IT-Sicherheitsgesetz 2.0 geeignete Maßnahmen zur Cybersicherheit nachweisen. Der IT-Grundschutz ist eine anerkannte Methode hierfür, aber nicht die einzig zulässige. ISO 27001 oder branchenspezifische Standards wie B3S (Branchenspezifische Sicherheitsstandards) funktionieren ebenfalls. In der Praxis wählen viele KRITIS-Betreiber den IT-Grundschutz, weil er die konkreteste Umsetzungshilfe bietet.

Vertraglich verpflichtete Unternehmen

Öffentliche Auftraggeber und eine wachsende Zahl privater Großunternehmen verlangen von ihren Dienstleistern und Lieferanten nachweisbare IT-Sicherheit auf Basis anerkannter Standards. Der IT-Grundschutz wird dabei häufig explizit gefordert oder als gleichwertig zur ISO 27001 akzeptiert.

Alle anderen: freiwillig, aber strategisch klug

Für Unternehmen ohne gesetzliche Verpflichtung gilt: Der IT-Grundschutz ist die effizienteste Methode, ein nachweisbares Sicherheitsniveau aufzubauen. Wer ihn ernsthaft umsetzt, hat eine Basis, die Audits übersteht, Versicherungen überzeugt und Angriffsflächen systematisch reduziert.

Drei Vorgehensweisen, eine Methodik

Der BSI-Standard 200-2 definiert drei Umsetzungswege. Die Wahl hängt von Unternehmensgröße, Risikoexposition und verfügbaren Ressourcen ab.

Basis-Absicherung

Der strukturierte Einstieg für Organisationen, die zunächst ein Mindestniveau erreichen wollen. Die Basis-Absicherung adressiert die häufigsten und gefährlichsten Angriffsvektoren mit überschaubarem Aufwand. Sie ist kein Zielzustand, sondern ein Fundament. In unseren Projekten empfehlen wir sie als erste Phase, wenn Zeit und Budget limitiert sind oder ein schneller Nachweis gegenüber externen Stellen erforderlich ist.

Standard-Absicherung

Der empfohlene Weg für die meisten Unternehmen. Vollständige Strukturanalyse, Schutzbedarfsfeststellung und systematische Umsetzung aller relevanten Grundschutz-Bausteine. Wer eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz anstrebt, geht diesen Weg. Die Standard-Absicherung liefert eine lückenlose Dokumentation, die Audits und Behördenprüfungen standhält.

Kern-Absicherung

Fokus auf die wirklich kritischen Assets, die sogenannten Kronjuwelen. Unternehmen mit klar definierten hochsensiblen Bereichen, zum Beispiel Forschungs- und Entwicklungsdaten, Produktionssteuerungen oder Kernbankensysteme, schützen diese zunächst mit maximaler Tiefe. Ein pragmatischer Ansatz mit hohem Return on Investment in der Anfangsphase, besonders wenn eine vollständige Standard-Absicherung mittel- bis langfristig geplant ist.

Das Verhältnis zu ISO 27001: komplementär, nicht konkurrierend

ISO 27001 und IT-Grundschutz werden häufig als Alternativen behandelt. Das ist ein Fehler, der aus einem grundlegenden Missverständnis ihrer jeweiligen Stärken entsteht.

ISO 27001 definiert, was ein funktionierendes ISMS leisten muss: Risikobehandlung, Steuerung, kontinuierliche Verbesserung. Die Norm ist bewusst prinzipienbasiert und lässt Unternehmen Spielraum bei der konkreten Umsetzung. Das ist eine Stärke, die gleichzeitig zur größten Herausforderung wird: Viele Unternehmen wissen nach einer ISO 27001-Zertifizierung, was sie tun sollen, aber nicht präzise genug, wie.

Genau hier ist der IT-Grundschutz unverzichtbar. Er ist maßnahmenbasiert und liefert zu nahezu jedem Risiko konkrete, erprobte Gegenmaßnahmen aus dem Kompendium. Die Kombination aus ISO 27001-Zertifizierung auf Basis von IT-Grundschutz ist vom BSI als offizieller Zertifizierungsweg anerkannt und in Deutschland weitverbreitet. In unseren Projekten ist das der Standard für Unternehmen, die sowohl ein solides Sicherheitsniveau als auch internationale Anschlussfähigkeit anstreben.

Fazit: Grundschutz ist keine Pflichtübung. Er ist Architektur.

Wer den IT-Grundschutz als lästige Compliance-Übung behandelt, hat ihn nicht verstanden. Wer ihn als Architektur-Framework begreift, das systematisch Risiken identifiziert, priorisiert und adressiert, hat ein Instrument, das weit über reine Compliance hinausgeht.

Der entscheidende Faktor ist dabei nicht das Framework selbst, sondern die konsequente Umsetzung. Dokumente, die im Ordner verstauben, schützen keine Server. Maßnahmen, die implementiert, gepflegt und regelmäßig überprüft werden, tun es.

Die Unternehmen, mit denen wir arbeiten, die den IT-Grundschutz ernstnehmen, sind dieselben, die bei einem Sicherheitsvorfall handlungsfähig bleiben, bei Audits ruhig schlafen und bei neuen regulatorischen Anforderungen nicht bei null anfangen.