Tauche ein in die Welt der Cybersicherheit und werde Teil einer wachsenden Community! Beim nächsten friends of carmasec Event in Essen erwarten dich spannende Gespräche mit Expert:innen und Interessierten, neue Impulse und jede Menge Networking-Möglichkeiten.

Ablauf:

18:00 Uhr: Treffen und Networking in unseren Büroräumen
18:45 Uhr: Gemeinsamer Wechsel in ein Restaurant (Details folgen)
19:00 Uhr: Abendessen und Austausch in entspannter Atmosphäre

Was erwartet dich bei unseren Events?

Unsere Treffen sind die perfekte Gelegenheit, um:

  • Dich mit Cyber Security-Expert:innen und Gleichgesinnten auszutauschen.
  • Neue Perspektiven und Impulse für deine Arbeit zu gewinnen.
  • Wertvolle Kontakte in einer Community zu knüpfen, die bereits über 100 Mitglieder zählt.

Ob erfahrener Profi oder neugieriger Neuling – wir heißen alle Interessierten herzlich willkommen!

Wenn du ebenfalls Teil unseres Netzwerks werden möchtest, melde dich hier an und verpasse keine Einladung mehr.

Das Ausgangsproblem: OT wurde nicht für Vernetzung gebaut

Operational Technology in der Energieversorgung, in Wasserwerken, in der Verkehrsinfrastruktur oder im Gesundheitswesen hat einen grundlegenden Konstruktionsfehler aus heutiger Perspektive: Sie wurde für Verfügbarkeit und Prozessstabilität entwickelt, nicht für Sicherheit gegen Cyberangriffe. Steuerungssysteme auf Basis proprietärer Protokolle wie Modbus, Profibus oder DNP3 liefen jahrzehntelang in physisch isolierten Umgebungen. Der sogenannte Air Gap, die physische Trennung vom Internet, war das primäre Sicherheitskonzept.

Diese Isolation existiert in der Form nicht mehr. Die zunehmende IT/OT-Konvergenz, ausgelöst durch Fernwartungsanforderungen, Effizienzprogramme und die Integration von Smart Grid, SCADA und industriellen IoT-Komponenten, hat die Grenzen aufgelöst. Was früher eine Produktionsinsel war, ist heute über ZTNA-Gateways, Cloud-Backends und Wartungs-VPNs mit der Außenwelt verbunden. Und damit angreifbar.

Das Purdue Enterprise Reference Architecture Model (PERA), lange Zeit der konzeptuelle Rahmen für OT-Sicherheit, beschreibt eine klare Zonierung in Ebenen: von der Feldgeräteebene über die Steuerungsebene bis hin zur Unternehmens-IT. Theorie und Praxis klaffen hier weit auseinander. In der Praxis überspringen Wartungszugänge, Remote-Dienste und Datenintegrationspfade diese Zonen. Angreifer:innen auch.

 

Was Zero Trust bedeutet und wo der Begriff herkommt

Den Begriff „Zero Trust“ prägte John Kindervag 2010 während seiner Zeit als Analyst bei Forrester Research. Die Kernthese: Kein Gerät, kein Nutzer, keine Verbindung darf allein aufgrund seiner Netzwerklokation als vertrauenswürdig gelten. Weder innerhalb noch außerhalb des Perimeters. Vertrauen muss explizit und kontinuierlich hergestellt werden, nicht implizit vorausgesetzt.

Das National Institute of Standards and Technology (NIST) hat diesen Rahmen 2020 mit der SP 800-207 formalisiert. Drei Kernprinzipien stehen im Zentrum: „Verify explicitly“ bedeutet, dass jede Zugriffsanfrage anhand von Identität, Gerätekontext und Verhalten geprüft wird. „Use least privilege access“ begrenzt Berechtigungen strikt auf das, was für eine Aufgabe erforderlich ist. „Assume breach“ geht davon aus, dass eine Kompromittierung bereits stattgefunden haben kann, und entwirft Architekturen, die laterale Bewegungen innerhalb des Netzwerks verhindern.

Die CISA (Cybersecurity and Infrastructure Security Agency) hat darauf aufbauend ein Zero Trust Maturity Model entwickelt, das fünf Säulen definiert: Identity, Devices, Networks, Applications and Workloads sowie Data. Diese Säulen beschreiben, wo Zero Trust-Kontrollen ansetzt und in welcher Reihenfolge eine Reifegradentwicklung sinnvoll ist.

Warum KRITIS ein besonderes Problem hat

KRITIS-Betreiber stehen vor Einschränkungen, die in der klassischen IT-Welt so nicht vorkommen.

Lange Betriebszyklen.
OT-Systeme laufen 15 bis 25 Jahre. Ein Leitsystem, das heute im Einsatz ist, wurde unter anderen Bedrohungsannahmen beschafft. Patches sind oft nicht möglich, weil der Hersteller keine bereitstellt, weil Zertifizierungen erlöschen würden, oder weil ein Neustart der Anlage operativ nicht tolerierbar ist. Das Ergebnis ist eine verwundbare, aber produktionskritische Landschaft, die sich nicht einfach modernisieren lässt.

Proprietäre Protokolle ohne Authentifizierungslogik.
Modbus kennt keine Authentifizierung. DNP3 in seiner Basisversion auch nicht. Viele OT-Protokolle wurden unter der Annahme entwickelt, dass niemand Unberechtigtes im Netz ist. Diese Annahme ist heute nicht mehr haltbar. Zero Trust kann hier nicht mit klassischen Nutzername-Passwort-Mechanismen arbeiten, sondern benötigt Lösungen wie zertifikatsbasierte Geräteidentitäten (X.509) und protokollbewusste Proxies.

Fehlende Security-Teams.
Viele KRITIS-Betreiber, insbesondere mittelgroße Stadtwerke, Wasserversorger oder Krankenhäuser, haben keine dedizierten OT-Security-Ressourcen. Der für Zero Trust notwendige Aufwand bei Inventarisierung, Klassifizierung und Monitoring erscheint vor diesem Hintergrund prohibitiv. Er ist es nicht, wenn man mit dem richtigen Scope beginnt.

Regulatorischer Druck steigt.
§8a BSIG verpflichtet KRITIS-Betreiber bereits heute zu technischen und organisatorischen Schutzmaßnahmen nach Stand der Technik. NIS2 (umgesetzt in Deutschland durch das NIS2UmsuCG) verschärft die Anforderungen und weitet den Geltungsbereich erheblich aus. Artikel 21 NIS2 fordert explizit Risikokonzepte, Netzwerksicherheitsmaßnahmen, Zugriffskontrollkonzepte und Segmentierung. Das sind genau die Bausteine, die Zero Trust adressiert.

Zero Trust in der OT-Praxis: Was funktioniert und was nicht

Die direkte Übertragung von IT-seitigen Zero Trust-Architekturen auf OT-Umgebungen scheitert in der Regel. Ein Industrieregler kann kein Software-Agenten ausführen. Eine SPS unterstützt keine MFA. Ein SCADA-System toleriert keine Latenzen durch kontinuierliche Authentifizierungsprüfungen, wenn Echtzeitsteuerung erforderlich ist.

Das bedeutet aber nicht, dass Zero Trust-Prinzipien in OT-Umgebungen nicht umsetzbar sind. Es bedeutet, dass die Implementierung angepasst werden muss.

Mikrosegmentierung nach Zone-Conduit-Modell

IEC 62443 beschreibt das Zone-Conduit-Modell als Grundlage für OT-Sicherheitsarchitekturen. Zonen gruppieren Assets nach Schutzbedarf und Kommunikationsprofil. Conduits definieren, welche Kommunikation zwischen Zonen erlaubt ist. Dieses Modell ist direkt mit Zero Trust-Prinzipien kompatibel: Kein Datenfluss zwischen Zonen ohne explizite Kontrolle und Protokollierung. Unidirektionale Datendioden für unkritische Monitoring-Daten von OT nach IT sind ein bewährtes Mittel, um Angriffsflächen strukturell zu reduzieren.

Geräteidentität statt Nutzeridentität

Wo Nutzer nicht authentifiziert werden können, müssen Geräte es sein. X.509-Zertifikate für OT-Endpunkte sind machbar, auch in Legacy-Umgebungen, wenn die Zertifikatsverwaltung über geeignete PKI-Infrastruktur erfolgt. Geräteidentitäten sind die Grundlage für granulare Zugriffskontrollen auf Netzwerkebene.

ZTNA statt VPN für Remote Access

Fernwartungszugänge auf Leittechnik sind einer der häufigsten Angriffsvektoren auf KRITIS-Infrastrukturen. Klassische VPN-Zugänge geben Wartungstechniker:innen oft weitreichenden Netzwerkzugriff weit über das hinaus, was für die jeweilige Aufgabe notwendig ist. ZTNA-Lösungen beschränken den Zugriff auf exakt die Ressource, die benötigt wird, für genau die Dauer, die erforderlich ist, mit vollständiger Protokollierung.

Network Detection and Response (NDR) für OT-Sichtbarkeit

Zero Trust setzt Sichtbarkeit voraus. In OT-Umgebungen, wo Agenten nicht einsetzbar sind, liefert passives NDR diese Sichtbarkeit durch Analyse des Netzwerkverkehrs. OT-fähige NDR-Lösungen verstehen proprietäre Protokolle und erkennen Anomalien im Kommunikationsverhalten, ohne aktiv in den Prozess einzugreifen. Das ist der Einstieg in kontinuierliches Monitoring, wie es das „Assume Breach“-Prinzip verlangt.

NIS-2 als konkreter Anlass

Die NIS2-Richtlinie ist kein abstraktes Compliance-Konstrukt. Sie definiert Mindestanforderungen, die inhaltlich stark mit Zero Trust-Prinzipien übereinstimmen. Risikomanagement und Risikoanalyse, Netzwerksicherheit und Segmentierung, Zugriffsverwaltung und Authentifizierung, Monitoring und Vorfallserkennung: Diese Anforderungen aus Artikel 21 NIS2 lassen sich nicht durch Dokumentation allein erfüllen. Sie erfordern technische Umsetzung.

Zero Trust bietet hier einen strukturierten Rahmen, der NIS2-Anforderungen nicht nur erfüllt, sondern operationalisiert. Wer Zero Trust als Architekturprinzip einführt, baut gleichzeitig die Evidenz auf, die ein NIS2-Audit erfordert: Zugriffsprotokolle, Segmentierungsnachweise, Geräteinventare, Anomalie-Alerts.

Wie der Einstieg gelingt: risikoorientiert, nicht maximal

Zero Trust ist kein Schalter, den man umlegt. Es ist ein Reifegradprozess. Der häufigste Fehler ist der Versuch, das gesamte Architekturkonzept auf einmal umzusetzen. Das scheitert an Ressourcen, an Legacy-Systemen und an der Komplexität der Abhängigkeiten.

Der richtige Ansatz ist risikobasiert: Welche Assets sind kritisch? Welche Zugänge sind am stärksten exponiert? Welche lateralen Bewegungspfade im Netz wären für Angreifer:innen am lukrativsten? Diese Fragen beantwortet eine strukturierte Risikoanalyse nach BSI IT-Grundschutz oder ISO 27001. Auf Basis dieser Antworten lässt sich eine Zero Trust-Roadmap entwickeln, die mit den wirkungsvollsten Maßnahmen beginnt und sukzessive ausbaut.

Das CISA Zero Trust Maturity Model beschreibt fünf Entwicklungsstufen je Säule: Traditional, Initial, Advanced, Optimal. Kein KRITIS-Betreiber muss auf Anhieb „Optimal“ erreichen. Ein klar definierter Ausgangszustand und ein realistischer Zielpfad sind wertvoller als eine ambitionierte Architektur, die in der Umsetzung steckenbleibt.

Fazit

Zero Trust für KRITIS ist kein Projekt, das du abschließt. Es ist eine Haltung gegenüber Sicherheit, die du in Architekturentscheidungen, Betriebsprozesse und Beschaffungsstrategien einbettest. Wer heute damit beginnt, gewinnt drei Dinge gleichzeitig: eine deutlich reduzierte Angriffsfläche durch Mikrosegmentierung und granulare Zugriffskontrollen, eine nachweisbare Erfüllung der NIS2-Anforderungen mit auditfähiger Evidenz, und die operative Sicherheit, dass ein erfolgreicher Einbruch in eine Teilinfrastruktur nicht zur vollständigen Kompromittierung der Gesamtanlage führt.

Sicherheit entsteht nicht durch den perfekten Perimeter. Sie entsteht durch die Annahme, dass der Perimeter bereits gefallen ist, und durch Architekturen, die genau darauf ausgelegt sind.

 

Du willst wissen, wo deine KRITIS-Infrastruktur heute steht?

 Wir bewerten deinen Reifegrad und entwickeln mit dir eine Zero Trust-Roadmap, die zu deiner Betriebsrealität passt.

Jetzt zur Bewertung

Maximale Sicherheit mit minimalem Aufwand

Besuch uns auf der it-sa 2025 in Nürnberg – Halle 7, Stand 416 und sicher dir jetzt deinen persönlichen Gesprächstermin mit uns.

Warum du bei carmasec vorbeischauen solltest?

Die it-sa ist Europas führende Fachmesse für IT-Security – aber was du brauchst, ist nicht noch ein Hochglanzversprechen, sondern echte Lösungen, die in der Praxis wirken.

Deine Herausforderung: Hohe Komplexität und unklare Wirksamkeit?

Genau hier setzt carmasec an. Wir sind dein Partner für pragmatische Cybersicherheit: Technisch stark, klar in der Sprache und schnell in der Umsetzung.
security. done. right.

Was dich bei uns erwartet:

  • Kosteneffizienz: Nutze vorhandene Infrastruktur statt Neukauf.
  • Zero‑Trust ohne Overhead: Schrittweise einführen mit sofortiger Wirkung.
  • Compliance ohne Chaos: KRITIS, DORA, NIS2, CRA pragmatisch erfüllen.
  • Lizenz‑Audit & Kosten‑Optimierung → Ø 18 % Einsparung
  • Cyber‑Risk‑Assessment in 15  Minuten (kostenfrei)

Du willst mit jemandem sprechen, der zuhört, mitdenkt und nicht einfach nur den nächsten Sales-Pitch bei dir macht?
Dann buche dir jetzt deinen Termin an unserem Stand und erhalte ein kostenloses Ticket. Wir bieten dir echte Orientierung und zeigen dir, wie du dein Sicherheitsniveau wirksam erhöhst.

Jetzt Termin buchen

Warum jetzt handeln?

Die Anforderungen wachsen, die Komplexität steigt und deine internen Kapazitäten sind begrenzt. Mit carmasec holst du dir einen Sparringspartner, der dich durch den Security-Dschungel führt und dabei dein Business im Blick behält.

Setz auf Sicherheit, die Wirkung zeigt.
Triff uns vom 07.–09. Oktober 2025 auf der it-sa.

Häufige Fragen zur it-sa 2025

Wo finde ich euch auf der Messe?

Du findest uns auf der it-sa 2025 in Halle 7, Stand 416-10 – am Gemeinschaftsstand des Landes NRW.

Brauche ich ein Ticket für die it-sa?

Ja. Wenn du ein kostenloses Ticket möchtest, fülle dieses Formular aus oder gib bei der Terminvereinbarung an, dass du eins benötigst. Wir schicken dir dann einen Code zu.

Kann ich im Vorfeld einen Termin mit euch vereinbaren, der länger als 15 Min dauern wird?

Sehr gerne. Du kannst dir direkt einen Termin mit unserem Team buchen. Einfach im Formular angeben, dass du mehr Zeit benötigst.

Wen treffe ich bei euch am Stand?

Du triffst Expert:innen aus unserem Team – von technischer Cybersecurity bis hin zu Governance, Risk & Compliance. Wenn du spezielle Themen mitbringst, gib sie einfach bei der Buchung an. So sorgen wir dafür, dass die passende Ansprechperson für dich vor Ort ist.

Ich habe kurzfristig keine Zeit – gibt es eine Alternative?

Ja. Falls du nicht zur it-sa kommen kannst, finden wir gerne einen anderen Termin – digital oder vor Ort. Hier kannst du dir direkt einen Termin mit Khalid buchen

Cybersicherheit ist keine Geheimwissenschaft und vieles, was Unternehmen für ausreichend halten, schützt im Ernstfall nicht. Aber kein Grund zur Panik: Wer Threat-Informed Defense konsequent anwendet, ist auf der sicheren Seite.

Vorschau des carmasec-Playbooks

Für CISOs und IT-Security-Teams, die Sicherheitsstrategien entwickeln wollen, die wirklich funktionieren.

Was du nach der Lektüre weißt: Wie Angreifer denken und welche TTPs Ransomware-Gruppen am häufigsten nutzen und wie du CISO- und IT-Ebene mit einer gemeinsamen Methodik zusammenbringst, die Budgets schützt und echte Resilienz schaffst.

4,45 Mio. USD

Ø Schaden eines Datenlecks
weltweit (IBM 2023)

95 %

aller Cyberangriffe beginnen mit
einer vermeidbaren Schwachstelle

#1

Cybervorfälle sind das
Top-Risiko weltweit (Allianz 2025)

Das sind die wirklichen wichtigen Stellschrauben für wirksame Cybersicherheit

Threat Intelligence

So weißt du, welche Angreifer dein Unternehmen ins Visier nehmen – bevor sie es tun.

TTPs kennen

Angreifer nutzen immer wieder dieselben Techniken. Wer sie kennt, kann sie stoppen.

Pentests & Simulation

Deine Security-Lösung ist nur so gut, wie sie konfiguriert ist. So findest du heraus, ob sie im Ernstfall wirklich greift.

CISO & IT zusammenbringen

Zwei Ebenen, eine Sprache. Ohne gemeinsame Priorisierung verpuffen Maßnahmen – so vermeidest du das.

Budget richtig einsetzen

Security-Budget auf Zuruf? Schlechte Idee. Wir zeigen dir, wie jeder Euro dort wirkt, wo echte Bedrohungen sind.

Defensive Measures

Technisches Know-how ist wichtig – aber nur gezielte Maßnahmen an den richtigen Stellen schaffen echte Resilienz.

Warum du dieses Playbook brauchst, um deine Cybersicherheit wirklich zu verbessern:

  • Erfahre, welche Angriffstechniken Ransomware-Gruppen gerade einsetzen – und an welchen Stellen deine Verteidigung wirklich ansetzen muss.
  • Lerne, wie du mit Threat-Informed Defense schnell erkennst, wo deine größten Schwachstellen liegen – ohne neue Tools zu kaufen.
  • Du erhältst erprobte Strategien aus realen TID-Projekten, die wir bei Unternehmen im gehobenen Mittelstand erfolgreich umgesetzt haben.
  • Du erhältst die 10 häufigsten Ransomware-TTPs, die für den Großteil aller erfolgreichen Angriffe verantwortlich sind – mit konkreten Gegenmaßnahmen.
  • Wir zeigen dir, wie CISOs und IT-Security-Leitung mit einer gemeinsamen Methodik endlich an einem Strang ziehen – und Budgets dort einsetzen, wo sie wirklich schützen.

 

Über die Autoren

Porträtfoto von Timm Börgers, Geschäftsführer bei der carmasec.Illustration eines Wookiee-Maskottchens auf einem goldenen Schutzschild

Timm Börgers

Managing Partner & Trusted Advisor

Als Managing Partner & Trust Adviasor von carmasec und studierter IT-Sicherheitsexperte der Ruhr-Universität Bochum begleitet Timm Unternehmen im gehobenen Mittelstand auf dem Weg zu nachhaltiger Cyberresilienz – von der Strategie bis zur Umsetzung. Mit carmasec hat er eine der führenden Cybersicherheitsberatungen im deutschsprachigen Raum aufgebaut, die DAX-Konzerne und Mittelstand gleichermaßen sicher durch komplexe Security-Herausforderungen steuert.

Lächelndes Porträtfoto von Pascal Waffenschmidt, Senior Security Consultant bei der carmasec.Schwarzweiss Porträtfoto von Pascal Waffenschmidt, Senior Security Consultant bei der carmasec.

Pascal Waffenschmidt

Security Consultant

Als Informatiker mit Masterabschluss der Universität Bonn und ehemaliger Werkstudent beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Pascal Waffenschmidt einer der gefragtesten Offensive-Security-Experten bei carmasec. Er führt Red Teaming Assessments, Penetrationstests und Angriffssimulationen durch und zeigt Unternehmen damit, was Dashboards und Zertifikate verbergen: wo sie wirklich verwundbar sind.

Illustration eines Wookiee-Maskottchens auf einem goldenen SchutzschildIllustration mit dem Spruch „May the Patch be with you

Noch Fragen?

carmasec Content & Marketing

Wir schreiben über Sicherheitsthemen, die bewegen, und lassen dabei kein Detail aus. Unsere Inhalte entstehen im Zusammenspiel aus Fachexpertise und redaktioneller Sorgfalt. Das Ergebnis: Wissen, das hält, was es verspricht.

Du hast Fragen oder wertvollen Input? Schreib uns.

Passwörter sind bis heute die am weitesten verbreitete Methode zum Schutz digitaler Zugänge. Doch in der heutigen Zeit werden sie zunehmend zur Schwachstelle: Phishing, Datenlecks, Brute-Force-Angriffe und die Wiederverwendung von Passwörtern lassen herkömmliche Authentifizierungssysteme immer mehr zum Sicherheitsrisiko werden.

Passwörter stellen zudem eine organisatorische Belastung dar – von den wiederkehrenden IT-Support-Anfragen bis hin zur Durchsetzung komplexer Passwort-Richtlinien und dem aufwändigen Einsatz von Passwortmanagern.

Mehr Sicherheit, mehr Komfort: Deshalb sind Passkeys die bessere Wahl für dein Unternehmen

 

Passkeys gewinnen als sichere und komfortable Alternative zu klassischen Passwörtern zunehmend an Popularität. Sie werden von großen Technologieplattformen wie Google, Apple und Microsoft aktiv unterstützt und auch immer mehr SaaS-Lösungen und Business-Tools integrieren Passkeys nativ in ihre Anwendungen. Prognosen gehen davon aus, dass Passkeys in den nächsten Jahren zum Standard in der Authentifizierung werden.

Was sind Passkeys und wie funktionieren sie?

Passkeys basieren auf der Public-Key-Kryptografie. Die Technologie ist erprobt und bietet ein hohes Maß an Sicherheit. Anstelle eines Passworts wird ein digitales Schlüsselpaar verwendet:

  1. Der private Schlüssel wird sicher auf dem Gerät des Nutzers gespeichert.
  2. Der öffentliche Schlüssel verbleibt beim Dienstanbieter.

Bei der Anmeldung erzeugt der Dienstanbieter eine kryptografische Challenge, die mit dem privaten Schlüssel signiert wird. Der öffentliche Schlüssel überprüft die Signatur und gewährt bei Übereinstimmung den Zugriff.

Warum sind Passkeys sicherer als herkömmliche Passwörter?

  • Keine zentrale Speicherung: Passkeys eliminieren das Risiko von Datenlecks, da sensible Informationen wie Passwörter nicht in zentralen Datenbanken gespeichert werden müssen.
  • Phishing-Resistenz: Selbst wenn Nutzer auf gefälschte Webseiten gelangen, können Passkeys nicht abgefangen oder missbraucht werden.
  • Schutz vor Man-in-the-Middle-Angriffen: Die kryptografische Signatur verhindert, dass sich Angreifer zwischen Nutzer und Dienstanbieter schalten können.

Warum sind Passkeys benutzerfreundlicher?

  • Kein Passwort merken oder eingeben: Passkeys eliminieren die Notwendigkeit, sich komplexe Passwörter zu merken oder manuell einzugeben, da die Authentifizierung automatisch über das Gerät erfolgt.
  • Schnelle und einfache Anmeldung: Die Anmeldung erfolgt über eine biometrische Bestätigung (Gesichtserkennung, Fingerabdruck) oder eine einfache PIN, wodurch der Anmeldevorgang deutlich beschleunigt wird.
  • Automatische Synchronisierung: Passkeys werden sicher auf dem Gerät gespeichert und können über vertrauenswürdige Cloud-Dienste plattformübergreifend synchronisiert werden, so dass sie jederzeit verfügbar sind.

 

Passkeys und Compliance

  • DSGVO-Konformität: Passkeys unterstützen Unternehmen bei der Einhaltung der DSGVO, da keine persönlichen Passwörter gespeichert werden.
  • Einhaltung von Sicherheitsstandards: Durch den Einsatz von Passkeys werden Standards wie ISO 27001 in den Bereichen Authentifizierung und Zugangskontrolle unterstützt.
  • Branchenspezifische Vorteile: Besonders Branchen mit hohen Sicherheitsanforderungen wie der Finanzsektor oder das Gesundheitswesen profitieren von den Sicherheitsvorteilen der Passkeys.

Indem du auf Passkeys wechselst, kannst du Sicherheitsrisiken reduzieren, Kosten senken und den Arbeitsalltag deiner Kolleg:innen vereinfachen.

Wie kannst du Passkeys erfolgreich in dein Unternehmen integrieren?

Die Einführung von Passkeys erfordert eine durchdachte Strategie, um technische Hürden zu überwinden und die Nutzerakzeptanz zu fördern. Wichtige Aspekte sind dabei:

Technische Integration:
Ältere Systeme unterstützen oft keine passwortlose Authentifizierung. Hier können Middleware-Systeme helfen, Passkeys in bestehende IT-Umgebungen einzubinden. Langfristig empfiehlt sich der Aufbau einer FIDO2-kompatiblen Infrastruktur.

Interoperabilität:
Passkeys müssen auf unterschiedlichen Geräten und Plattformen nahtlos funktionieren. Standards wie FIDO2 und die Unterstützung großer Anbieter erleichtern die Umsetzung.

Nutzerakzeptanz:
Viele Nutzer empfinden den neuen Login-Prozess anfangs als „zu einfach“ und unsicher. Hier hilft eine klare Kommunikation und Aufklärung über die Vorteile von Passkeys, z.B. in Form von regelmäßigen Schulungen.

Backup-Lösungen:
Passkeys sind oft gerätegebunden – Dein Unternehmen sollte hierfür Alternativen bereitstellen. Möglichkeiten hierfür sind Zweitgeräte, Recovery-Codes oder Cloud-Synchronisierung.

Eine Hybridlösung aus Passkeys und klassischen Authentifizierungsverfahren kann den Übergang erleichtern und die Sicherheit schrittweise erhöhen.

Unser Fazit: Passkeys sind ein strategischer Vorteil für dein Unternehmen

Passkeys bieten Unternehmen klare strategische Vorteile in der modernen Authentifizierung:

  1. Höhere Sicherheit & Compliance: Passkeys minimieren Cyberrisiken, erleichtern die Einhaltung von Compliance-Vorgaben und schützen Unternehmen vor Cyber-Bedrohungen.
  2. Kostensenkung & Effizienz: Weniger Passwort-Resets entlasten den IT-Support, sparen Kosten und steigern die Produktivität, da Mitarbeitende nicht durch vergessene Passwörter ausgebremst werden.
  3. Einfache Implementierung ohne zusätzliche Kosten: Passkeys funktionieren mit vorhandener Hardware wie Laptops und Smartphones, so dass keine teuren Hardware- oder Software-Token benötigt werden.

Für IT-Leiter und CISOs ist die Einführung von Passkeys eine strategische Entscheidung, um das Unternehmen langfristig abzusichern. Sie reduzieren Angriffsflächen, verbessern die Benutzerfreundlichkeit und sorgen für eine zukunftssichere Authentifizierungsstrategie.

Ausblick: Die Zukunft ist passwortfrei

Die Entwicklung geht eindeutig in Richtung einer durchgängigen, passwortlosen Identifikation. Unternehmen, die frühzeitig auf Passkeys setzen, profitieren von erhöhter Sicherheit, reduzierten IT-Kosten und einer verbesserten Nutzerfahrung. Passwortlose Accounts werden bald Standard sein – und Passkeys sind der Schlüssel zu dieser Zukunft.

 

Wie sieht die Passkeys-Strategie für dein Unternehmen aus?

 

Möchtest du mehr über Passkey und die Integration in deine Systeme wissen?

Lass uns über Deine Anforderungen sprechen.

Die Bewertung von Risiken ist die Grundlage jeder strategischen Entscheidung. Trotzdem erleben wir in vielen Unternehmen, dass IT-Risikomanagement als reine IT-Aufgabe betrachtet wird – ein Fehler, der nicht nur Effizienz kostet, sondern auch das Risiko erhöht, Standards wie ISO 27001, TISAX oder NIS 2 nicht zu erfüllen. IT-Risikomanagement ist ein gesamtorganisatorisches Thema, das alle Abteilungen betrifft und daher von der Geschäftsleitung gesteuert werden muss.

In diesem Artikel stellen wir dir unseren dreistufigen Ansatz zur Implementierung eines IT-Risikomanagements vor und zeigen dir, wie du Risiken systematisch managest und dein Unternehmen nachhaltig absicherst.

Was ist IT-Risikomanagement?

IT-Risikomanagement ist eine Methode, mit der Unternehmen:

  • Risiken wie Cyberangriffe, Datenschutzverletzungen oder Systemausfälle systematisch identifizieren, bewerten und behandeln,
  • Maßnahmen zur Einhaltung von Standards wie ISO 27001, TISAX, DORA oder NIS 2 priorisieren
  • und fundierte Entscheidungen treffen, die IT-Sicherheit und strategische Unternehmensziele verbinden

 

Die Vorteile eines funktionierenden IT-Risikomanagementsystems

Ein etabliertes IT-Risikomanagementsystem liefert klare Mehrwerte für Unternehmen und Führungskräfte:

  • Transparenz: Risiken werden sichtbar und für alle Mitarbeitenden verständlich.
  • Entscheidungsfähigkeit: Führungskräfte erhalten eine fundierte Entscheidungsgrundlage.
  • Effizienz: Ressourcen werden gezielt eingesetzt, statt durch Aktionismus verschwendet.
  • Zukunftssicherheit: Unternehmen werden nicht nur gegen aktuelle Bedrohungen geschützt, sondern auch auf kommende Herausforderungen vorbereitet.

 

Warum ist IT-Risikomanagement eine Aufgabe für die Chefetage?

Ein IT-Risikomanagementsystem betrifft nicht nur die IT-Abteilung. Die Implementierung ist ein gesamt-organisatorischer Veränderungsprozess, der alle Abteilungen einbezieht und übergreifend verankert werden muss.

Deshalb verankern wir unseren Ansatz im Management:

  • Risikomanagement ist nicht nur Aufgabe der Geschäftsleitung als oberstem Risikoträger. Sie muss auf hoher Unternehmensebene angesiedelt sein, um effizient umgesetzt zu werden. Die aus der Risikobeurteilung abgeleiteten Maßnahmen haben oft abteilungsübergreifende Auswirkungen. Diese können nicht von einer Abteilung allein gelöst werden.
  • Die Einführung eines IT-Risikomanagements ist nur dann erfolgreich, wenn sie die unternehmensspezifische Kultur berücksichtigt.
  • Standards wie ISO 27001, TISAX, DORA und NIS 2 fordern klare Verantwortlichkeiten, die auf allen Ebenen des Unternehmens getragen werden.

 

Ein systematischer IT-Risikomanagementansatz für klare Ergebnisse

Führungskräfte stehen bei der Einführung eines Risikomanagement oft vor drei zentralen Fragen:

Welche Risiken sind für unser Unternehmen relevant? Wie lassen sich diese effizient und nachhaltig bewältigen? Welche Maßnahmen sind zwingend erforderlich und wie priorisieren wir sie?

Bei carmasec setzen wir auf einen dreistufigen Ansatz zur Implementierung eines IT-Risikomanagements. So können wir relevante Risiken frühzeitig identifizieren und gezielt behandeln.

1. Standortbestimmung und Zieldefinition

Im ersten Schritt analysieren wir die aktuelle Situation des Unternehmens:

  • Welchen IT-Reifegrad hat das Unternehmen und wie gut ist das bestehende Risikomanagement etabliert?
  • Welche Lücken (Gaps) bestehen in Hinblick auf Informationssicherheit und Datenschutz?
  • Wo stehen wir in Bezug auf regulatorische Anforderungen?

Im Rahmen eines Workshops entwickeln wir gemeinsam ein Zielbild, das den spezifischen Anforderungen des Unternehmens entspricht.

2. Maßnahmenplan und Priorisierung

Auf Basis der Analyse erstellen wir einen konkreten Umsetzungsplan:

  • Welche Risiken haben die höchste Relevanz und wie geht das Unternehmen damit um?
  • Welche Maßnahmen sind kurzfristig notwendig, welche langfristig sinnvoll?
  • Wie können wir mit minimalem Aufwand maximale Wirkung erzielen?

3. Implementierung und Verstetigung

Nach der Planung folgt die Umsetzung:

  • Einführung eines operativen Risikomanagements mit klaren Prozessen und Verantwortlichkeiten.
  • Schulungen und Trainings, um das gesamte Team einzubinden.
  • Bereitstellung von Tools und Dokumenten wie Risikoregister und Heatmaps, die die Entscheidungsfindung unterstützen.

Unser Ziel ist ein lebendiges Risikomanagement, das nicht nur die IT-Infrastruktur absichert, sondern auch andere Risikofelder wie Enterprise-Risiken oder Chancenmanagement integrieren kann.

Unser Angebot: Maßgeschneiderte Lösungen und Umsetzung auf Augenhöhe

1. Maßgeschneiderte Beratung statt „One Fits All“

  • Wir entwickeln für dein Unternehmen ein individuelles Zielbild, das präzise auf deinen spezifischen Anforderungen basiert.
  • Unsere Lösungen sind unternehmenskompatibel – wir berücksichtigen die Kultur und Arbeitsweise Deines Unternehmens.

2. Praktische Unterstützung statt reiner Theorie

  • Wir hören nicht bei Konzepten auf. Gemeinsam mit dir setzen wir Maßnahmen um und begleiten dich aktiv in der Praxis.

3. Interdisziplinäre Expertise

  • Unser Team bringt Fachwissen aus verschiedenen Bereichen ein, um auch komplexe Anforderungen abzudecken.
  • Durch unsere skalierbare Teamstruktur können wir dir jederzeit die benötigte Manpower und Expertise anbieten.

4. Von der Beratung bis zur sicheren Umsetzung: Unsere Kernkompetenzen

  • Unsere Kernkompetenzen reichen vom Informationssicherheitsmanagement über den Aufbau sicherer IT-Infrastrukturen und Cloud Security bis hin zu Angriffssimulationen und Penetrationstests. Für dein IT-Risikomanagement erarbeiten wir nicht nur die notwendigen Maßnahmen, sondern setzen diese direkt um und testen sie bei Bedarf auf ihre Wirksamkeit.

Fazit: Ein Instrument für verantwortungsvolle Unternehmensführung

IT-Risikomanagement ist weit mehr als ein technisches Werkzeug. Es ist ein strategisches Instrument, das Unternehmen hilft, Sicherheit und Effektivität zu verbinden. Gleichzeitig ermöglicht es Führungskräften, ihrer Verantwortung gerecht zu werden – sei es im Hinblick auf regulatorische Anforderungen, den Schutz der Organisation oder die Vermeidung persönlicher Haftung.

Mit unserem dreistufigen Ansatz fokussieren wir auf die individuellen Anforderungen des Unternehmens – seien es regulatorische Vorgaben oder strategische Entwicklungsziele – und berücksichtigen die individuellen kulturellen Gepflogenheiten des Teams. Wir achten darauf, effiziente Prozesse zu implementieren und erleichtern Deinen Mitarbeitenden die Umstellung auf neue Prozesse mit intensiven Schulungs- und Trainingsmaßnahmen.

 

Frag unseren Experten Till Bormann

Wenn du mehr darüber erfahren möchtest, wie ein maßgeschneidertes IT-Risikomanagement dein Unternehmen stärken kann, steht dir unser Kollege und Senior Security Consultant Till Bormann gerne zur Verfügung.

Porträtfoto von Till Bormann, Senior Security Consultant bei der carmasec.
„Kunden beauftragen Fachexpertise und brauchen häufig aber systematische Problemlösungen“

Till, Bormann

Das Jahr 2025 beginnt mit einer der bedeutendsten Änderungen im Bereich Cybersicherheit: Die EU-Richtlinie NIS 2 steht kurz vor der Einführung – und sie bringt eine Menge Pflichten für Unternehmen mit sich. Was bedeutet das für dich? Ganz einfach: Es ist höchste Zeit, zu handeln!

Dir fehlt der Überblick? Unser 15-minütiges LinkedIn Live am 05.02.2025 liefert dir die Orientierung, die du jetzt brauchst. Dominik Sturm, Senior Security Consultant bei carmasec, präsentiert dir den aktuellen Stand der EU-Richtlinie und zeigt dir, wie du sie effizient in deinem Unternehmen umsetzen kannst.

Warum du bei unserem Webinar dabei sein solltest

Wir wissen, dass deine Zeit wertvoll ist. Deswegen ist dieses LinkedIn Live kurz, knackig und direkt auf den Punkt gebracht:

  • Was steht im Gesetz? Der aktuelle Stand der NIS 2-Umsetzung und was wirklich relevant ist.
  • Bist du betroffen? Erfahre, welche Unternehmen unter die Regelung fallen und was das konkret bedeutet.
  • Weniger Aufwand, mehr Wirkung: Tipps, wie du auf bestehende Sicherheitsmaßnahmen wie dein ISMS oder ISO 27001-Zertifizierungen clever aufsetzt, um effizient NIS 2-compliant zu werden.
  • Fragen zur Umsetzung? Du kannst deine Herausforderungen live schildern und bekommst Antworten direkt vom Experten.
  • Keine Kosten! Das Webinar ist zudem kostenfrei – du kannst dich ohne Verpflichtungen und unnötigen Aufwand einfach auf LinkedIn dazuschalten.

Dein Experte: Senior Security Consultant Dominik Sturm

Lächelndes Porträtfoto von Dominik Sturm, Senior Security Consultant bei der carmasec

Dominik bringt nicht nur fundiertes Wissen als zertifizierter Datenschützer und ISO 27001-Experte mit, sondern auch jahrelange praktische Erfahrung. Er weiß genau, wie Unternehmen wie deines die NIS 2-Anforderungen erfolgreich umsetzen können – ohne dabei den Kopf zu verlieren.

Save the Date

  • Datum: 05.02.2025
  • Uhrzeit: 11:00 Uhr
  • Dauer: 15 Minuten

Hast du bereits Fragen zur NIS 2? Schreib sie in die Kommentare unseres LinkedIn-Events oder stelle sie direkt live. Dominik wird sich die Zeit nehmen, deine Fragen während des Events persönlich zu beantworten.

 

Ein Macbook Tastatur mit zwei Händen. Drüber ist ein User Login eingeblendet.

Während unterschiedlichste IT-Sicherheitsmaßnahmen bei Unternehmen bekannt sind, wird die Bedrohung durch eine Kompromittierung der Passwörter von Mitarbeiter:innen oft unterschätzt. In der Regel fällt der Diebstahl unternehmenseigener Zugangsdaten erst auf, wenn bereits große Schäden angerichtet wurden. Um sich hiervor effektiv zu schützen, benötigen Unternehmen eine systematische Herangehensweise zur Auswahl und dem Einsatz geeigneter Maßnahmen.

In seinem Whitepaper erläutert Cyber Security Consultant Dr. Timo Malderle typische Angriffsvektoren des Identitätsdiebstahls. Dazu gehören beispielsweise die Mehrfachnutzung von Passwörtern sowohl im unternehmerischen als auch im privaten Kontext sowie die Verwendung von schwachen Zugangsdaten, die für Kriminelle leicht zu erraten sind. Zudem stellt der Experte für Cybersicherheit sieben Security-Tipps vor, mit denen Unternehmen die eigene Sicherheit bezüglich der Passwort-Authentifikation deutlich ausbauen können.

Lade dir dein Whitepaper herunter um den Identitätsdiebstahl vorzubeugen

So gelangst du zu deinem kostenlosen Whitepaper:

1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.

Betreiber kritischer Infrastrukturen (KRITIS) müssen Informationssicherheit strukturiert umsetzen. Wir wurden von einem führenden Lebensmittelversorger, der als kritische Infrastruktur gilt, beauftragt, die Implementierung der KRITIS-Anforderungen zu begleiten.
Diese Case Study beleuchtet den Weg des Unternehmens von den ersten Schritten bis zur finalen Umsetzung der KRITIS-Anforderungen.

Porträtfoto von Till Bormann, Senior Security Consultant, und Dennis Miara, IT-Security Consultant, bei carmasec, lächelnd vor blauem Hintergrund

Ausgangsituationen und Ziele

Unser Kunde stand vor der Herausforderung, ein Informationssicherheits-Managementsystem (ISMS) von Grund auf neu aufzubauen. Dies sollte in einem Zeitrahmen von weniger als zwei Jahren geschehen. Aus Sicht unserer Consultants Till Bormann und Dennis Miara war der angewählte Zeitraum ambitioniert.

Deshalb legten sie den Fokus zunächst auf die Erfüllung des KRITIS-Anforderungskatalogs und dem Nachweis der KRITIS-Fähigkeit. Eine mögliche Zertifizierung nach ISO 27001 wurde für die Zukunft aber nicht ausgeschlossen. Ein Vorteil von KRITIS: Die Anforderungen sind im Vergleich zu anderen IT Security Frameworks wie die ISO 27001 oder der BSI IT-Grundschutz weniger umfangreich und können daher schneller umgesetzt werden. Gleichzeitig stellt die KRITIS-Fähigkeit einen wesentlichen Schritt in Richtung einer ISO 27001-Zertifizierung dar.

Die Herausforderung

Unsere Kollegen stellten sich dabei zwei großen Herausforderungen:

  • Die Erstellung und Dokumentation der für das ISMS notwendigen Unterlagen
  • Die Definition und Umsetzung von notwendigen Prozessen

 

Die Mitarbeitenden unseres Kunden hatten häufig wenig Zeit und kein ausreichendes Gesamtverständnis für die Beschreibung und Umsetzung der Prozesse. Dies betraf neben der im Fokus stehenden IT-Abteilung auch verschiedene andere Organisationsbereiche wie z.B. das Facility Management, Personal und den Einkauf.

Zudem gibt es im Unternehmen einen kritischen Fachkräftemangel, der den Projektfortschritt beeinträchtigen konnte. Unsere Kollegen, die zunächst nur beratend tätig sein sollten, wurden daher mit konkreten Aufgaben in das Projekt eingebunden, um das Unternehmen auch operativ zu unterstützen.

So haben wir die KRITIS-Anforderungen umgesetzt

Aufbau des ISMS und Dokumentation:

Unsere Berater haben gemeinsam mit dem Unternehmen ein ISMS aufgebaut und alle notwendigen Dokumentationen erstellt, abgestimmt und nach Freigabe für die Kommunikation im Unternehmen gesorgt. Dabei definierten wir die notwendigen Leitlinien und Richtlinien, um die Anforderungen des KRITIS-Katalogs zu erfüllen.

 

Beratung und Prozessimplementierung:

Till Bormann übernahm als kommissarischer Informationssicherheitsbeauftragter (ISB) und Projektleiter für die KRITIS-Nachweisführung die Verantwortung für die Umsetzung des ISMS. Er bereitete das Unternehmen auf das anstehende Assessment vor und führte simulierte Prüfungen durch, um die Mitarbeitenden zu schulen und Unsicherheiten auszuräumen.

 

Dokumentation und Unterstützung der IT-Mitarbeitenden:

Dennis Miara verantwortete die Dokumentation der Prozesse. Er half den IT-Mitarbeitenden, den Kontext der Anforderungen besser zu verstehen, Pain Points zu identifizieren und die notwendigen Anpassungen vorzunehmen. Zudem haben unsere Kollegen das IT-Betriebshandbuch (BHB) von Grund auf neu gestaltet und umfassend ergänzt. Insbesondere wurden wesentliche Verbesserungspotenziale der Informationstechnik identifiziert und für die anstehende Prüfung vorbereitet.

 

Aktive Einbindung und Wissenstransfer:

Ein wesentlicher Bestandteil unserer Arbeit war die aktive Einbindung der Mitarbeitenden in den Umsetzungsprozess. Durch kontinuierliche Beratung und Schulung konnten wir das Verständnis für die Relevanz der einzelnen Aktivitäten und Anforderungen verbessern. Zudem führten unsere Kollegen Workshops zu übergreifenden Themen wie beispielsweise Risikomanagement oder Incident Management durch.

 

Erfolge und Ausblick

Durch die enge Zusammenarbeit und unsere operative Unterstützung konnten wir unseren Kunden erfolgreich zur KRITIS-Fähigkeit führen. Die Einführung des ISMS und die Erfüllung des KRITIS-Anforderungskatalogs bilden nun eine solide Grundlage für die spätere ISO 27001-Zertifizierung oder die Umsetzung weiterer regulatorische Vorgaben wie NIS-2, das KRITIS-Dachgesetz oder andere Resilienz-Anforderungen.

 

Lessons Learned

Zeitmanagement:

Die Einführung eines ISMS benötigt Zeit und Ressourcen. Die frühzeitige Einbindung, das Coaching sowie die konsequente Zielausrichtung mit der notwendigen Priorisierung der Mitarbeitenden sind entscheidend für den Erfolg.

 

Fachkräftemangel:

Der Einsatz von externen Expert:innen kann kritische Engpässe überbrücken und den Wissenstransfer sicherstellen. Mittelfristig ist es für Unternehmen sinnvoll, mit Hilfe unserer Consultants interne Ansprechpartner:innen zu schulen und aufzubauen.

 

Prozesse und Dokumentation:

Zur Erfüllung der KRITIS-Anforderungen sind klar definierte Prozesse und eine umfassende Dokumentation unerlässlich. Dieser Punkt stellt häufig eine besondere Herausforderung dar, da im Unternehmen neben der Zeit auch nicht selten auch das Verständnis für die Prozessbeschreibung fehlt.

Fazit

Der Weg von „Zero to Hero“ in der IT-Sicherheit erfordert von Unternehmen eine sorgfältige Planung, umfassende Dokumentation, kontinuierliche Projektunterstützung und konsequente Arbeit an der Umsetzung sowie die aktive Einbindung der Mitarbeiter. Unser Ansatz, die KRITIS-Anforderungen als Vorstufe zur ISO 27001-Zertifizierung zu nutzen, hat sich bewährt und bietet eine praktikable Lösung für Unternehmen, die ihre IT-Sicherheitsmaßnahmen effizient und zielgerichtet umsetzen wollen.

Suchst du Informationen zur Umsetzung von KRITIS oder dem Aufbau eines ISMS in deinem Unternehmen?

Hier findest du eine Übersicht über unsere Leistungen im Bereich IT-GRC

Wann der IT-Grundschutz Pflicht ist, wann er sich freiwillig lohnt und warum Unternehmen, die ihn kennen, bei NIS-2 und DORA einen entscheidenden Vorsprung haben.

Wer sich in Deutschland ernsthaft mit IT-Sicherheit befasst, kommt am BSI IT-Grundschutz nicht vorbei. Das Bundesamt für Sicherheit in der Informationstechnik entwickelt dieses Framework seit den 1990er-Jahren weiter und hat damit ein Werk geschaffen, das in seiner Tiefe und Praxisorientierung international seinesgleichen sucht.

Dennoch hält sich hartnäckig das Missverständnis, der Grundschutz sei ein reines Behördenthema. In unserer täglichen Projektarbeit begegnet uns dieses Missverständnis regelmäßig, und es ist fast immer teuer: Unternehmen, die den Grundschutz ignoriert haben, stehen bei NIS-2-Audits, DORA-Harmonisierungen oder Cyberversicherungsverhandlungen ohne tragfähige Basis da.

Dieser Artikel erklärt, was der IT-Grundschutz wirklich leistet, für wen er verbindlich ist und wann sich die Umsetzung auch ohne regulatorischen Druck unmittelbar rechnet.

Was der BSI IT-Grundschutz wirklich ist

Der IT-Grundschutz ist keine Checkliste, die man einmal abarbeitet. Er ist eine vollständige Methodik zur Informationssicherheit, aufgebaut auf vier Kernstandards und einem umfangreichen Kompendium konkreter Sicherheitsbausteine.

  • BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS) – die konzeptionelle Grundlage
  • BSI-Standard 200-2: IT-Grundschutz-Methodik – die eigentliche Umsetzungsanleitung mit drei Vorgehensweisen
  • BSI-Standard 200-3: Risikoanalyse auf Basis IT-Grundschutz – für erhöhten Schutzbedarf
  • BSI-Standard 200-4: Business Continuity Management (BCM) – Resilienz über den Normalbetrieb hinaus

 

Dazu kommt das IT-Grundschutz-Kompendium, das in regelmäßig aktualisierten Editionen konkrete Bausteine für nahezu jeden denkbaren IT-Bereich liefert: von Serverräumen über Cloud-Infrastrukturen bis zu industriellen Steuerungssystemen. Es deckt technische, organisatorische, infrastrukturelle und personelle Aspekte ab und betrachtet Informationssicherheit konsequent ganzheitlich.

Das unterscheidet den IT-Grundschutz von vielen anderen Frameworks: Er liefert nicht nur Anforderungen, sondern sagt explizit, wie diese umgesetzt werden.

Pflicht oder Kür? Die differenzierte Antwort.

Die kurze Antwort: Für Bundesbehörden ist der IT-Grundschutz verbindlich. Für Unternehmen hängt es von ihrer Situation ab. Die lange Antwort ist komplexer und für strategische Entscheidungen deutlich relevanter.

Bundesbehörden: keine Diskussion

Das BSI-Gesetz verpflichtet alle Einrichtungen des Bundes zur Einhaltung der BSI-Mindeststandards. Diese basieren direkt auf dem IT-Grundschutz. Hier gibt es keinen Interpretationsspielraum und keine Alternativen.

KRITIS-Betreiber: anerkannt, aber nicht exklusiv

Unternehmen in kritischen Infrastrukturen wie Energie, Gesundheit, Wasser oder Transport müssen nach dem IT-Sicherheitsgesetz 2.0 geeignete Maßnahmen zur Cybersicherheit nachweisen. Der IT-Grundschutz ist eine anerkannte Methode hierfür, aber nicht die einzig zulässige. ISO 27001 oder branchenspezifische Standards wie B3S (Branchenspezifische Sicherheitsstandards) funktionieren ebenfalls. In der Praxis wählen viele KRITIS-Betreiber den IT-Grundschutz, weil er die konkreteste Umsetzungshilfe bietet.

Vertraglich verpflichtete Unternehmen

Öffentliche Auftraggeber und eine wachsende Zahl privater Großunternehmen verlangen von ihren Dienstleistern und Lieferanten nachweisbare IT-Sicherheit auf Basis anerkannter Standards. Der IT-Grundschutz wird dabei häufig explizit gefordert oder als gleichwertig zur ISO 27001 akzeptiert.

Alle anderen: freiwillig, aber strategisch klug

Für Unternehmen ohne gesetzliche Verpflichtung gilt: Der IT-Grundschutz ist die effizienteste Methode, ein nachweisbares Sicherheitsniveau aufzubauen. Wer ihn ernsthaft umsetzt, hat eine Basis, die Audits übersteht, Versicherungen überzeugt und Angriffsflächen systematisch reduziert.

Aus der Praxis:
Mittelstand ohne Pflicht, aber mit Konsequenzen

Ein mittelständisches Logistikunternehmen mit rund 800 Mitarbeitern wandte sich an uns, nachdem ein potenzieller Großkunde aus dem Automobilsektor eine Sicherheitszertifizierung als Vertragsvoraussetzung forderte. Das Unternehmen hatte keine strukturierte Sicherheitsdokumentation, keine Schutzbedarfsfeststellung, keine definierten Verantwortlichkeiten. Wir haben gemeinsam mit einer Basis-Absicherung begonnen, die innerhalb von vier Monaten die wesentlichen Anforderungen erfüllte und den Vertrag ermöglichte. Heute arbeitet das Unternehmen an der Standard-Absicherung in Richtung ISO 27001-Zertifizierung.

Drei Vorgehensweisen, eine Methodik

Der BSI-Standard 200-2 definiert drei Umsetzungswege. Die Wahl hängt von Unternehmensgröße, Risikoexposition und verfügbaren Ressourcen ab.

Basis-Absicherung

Der strukturierte Einstieg für Organisationen, die zunächst ein Mindestniveau erreichen wollen. Die Basis-Absicherung adressiert die häufigsten und gefährlichsten Angriffsvektoren mit überschaubarem Aufwand. Sie ist kein Zielzustand, sondern ein Fundament. In unseren Projekten empfehlen wir sie als erste Phase, wenn Zeit und Budget limitiert sind oder ein schneller Nachweis gegenüber externen Stellen erforderlich ist.

Standard-Absicherung

Der empfohlene Weg für die meisten Unternehmen. Vollständige Strukturanalyse, Schutzbedarfsfeststellung und systematische Umsetzung aller relevanten Grundschutz-Bausteine. Wer eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz anstrebt, geht diesen Weg. Die Standard-Absicherung liefert eine lückenlose Dokumentation, die Audits und Behördenprüfungen standhält.

Kern-Absicherung

Fokus auf die wirklich kritischen Assets, die sogenannten Kronjuwelen. Unternehmen mit klar definierten hochsensiblen Bereichen, zum Beispiel Forschungs- und Entwicklungsdaten, Produktionssteuerungen oder Kernbankensysteme, schützen diese zunächst mit maximaler Tiefe. Ein pragmatischer Ansatz mit hohem Return on Investment in der Anfangsphase, besonders wenn eine vollständige Standard-Absicherung mittel- bis langfristig geplant ist.

Aus der Praxis:
Kern-Absicherung im Produktionsumfeld

Ein Hersteller von Präzisionskomponenten für die Luft- und Raumfahrt hatte eine klare Priorität: Die Fertigungssteuerung und die CAD-Daten durften unter keinen Umständen kompromittiert werden. Ein Ransomware-Vorfall bei einem Wettbewerber hatte die Geschäftsführung sensibilisiert. Wir haben eine Kern-Absicherung für genau diese Assets entwickelt, inklusive Netzwerksegmentierung, Zugriffskontrollen und einem definierten Incident-Response-Prozess. Der Rest der IT-Infrastruktur wurde parallel in einem separaten Projekt auf Basis-Absicherungsniveau gebracht. Gesamtlaufzeit: sechs Monate.

Das Verhältnis zu ISO 27001: komplementär, nicht konkurrierend

ISO 27001 und IT-Grundschutz werden häufig als Alternativen behandelt. Das ist ein Fehler, der aus einem grundlegenden Missverständnis ihrer jeweiligen Stärken entsteht.

ISO 27001 definiert, was ein funktionierendes ISMS leisten muss: Risikobehandlung, Steuerung, kontinuierliche Verbesserung. Die Norm ist bewusst prinzipienbasiert und lässt Unternehmen Spielraum bei der konkreten Umsetzung. Das ist eine Stärke, die gleichzeitig zur größten Herausforderung wird: Viele Unternehmen wissen nach einer ISO 27001-Zertifizierung, was sie tun sollen, aber nicht präzise genug, wie.

Genau hier ist der IT-Grundschutz unverzichtbar. Er ist maßnahmenbasiert und liefert zu nahezu jedem Risiko konkrete, erprobte Gegenmaßnahmen aus dem Kompendium. Die Kombination aus ISO 27001-Zertifizierung auf Basis von IT-Grundschutz ist vom BSI als offizieller Zertifizierungsweg anerkannt und in Deutschland weitverbreitet. In unseren Projekten ist das der Standard für Unternehmen, die sowohl ein solides Sicherheitsniveau als auch internationale Anschlussfähigkeit anstreben.

Häufige Fragen zum BSI IT-Grundschutz

Ist der BSI IT-Grundschutz für mein Unternehmen verpflichtend?

Verbindlich ist er für alle Bundesbehörden. Für KRITIS-Betreiber ist er eine anerkannte Methode zum Nachweis geeigneter Sicherheitsmaßnahmen nach IT-SiG 2.0, aber nicht exklusiv vorgeschrieben. Für alle anderen Unternehmen besteht keine gesetzliche Pflicht, sofern keine vertraglichen Vereinbarungen oder branchenspezifischen Anforderungen existieren.

Was kostet eine IT-Grundschutz-Implementierung?

Das hängt maßgeblich von der gewählten Vorgehensweise, der Unternehmensgröße und dem Ausgangsniveau ab. Eine Basis-Absicherung für ein mittelständisches Unternehmen kann in wenigen Monaten umgesetzt werden. Eine vollständige Standard-Absicherung in Richtung ISO 27001-Zertifizierung dauert typischerweise 12 bis 24 Monate und bindet erhebliche interne Ressourcen. Wir empfehlen immer eine initiale Gap-Analyse, um den tatsächlichen Aufwand realistisch einschätzen zu können.

Wie verhält sich der IT-Grundschutz zur ISO 27001?

Die beiden Standards sind komplementär. ISO 27001 definiert die Anforderungen an ein funktionierendes ISMS. Der IT-Grundschutz liefert die konkreten Umsetzungsmaßnahmen. Eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz ist vom BSI offiziell anerkannt und in Deutschland der häufigste Zertifizierungsweg.

Hilft der IT-Grundschutz bei NIS-2 und DORA?

Ja, erheblich. Die inhaltlichen Überschneidungen mit NIS-2 und DORA sind substanziell. Unternehmen und Finanzinstitute, die den IT-Grundschutz bereits umgesetzt haben, haben bei der Erfüllung dieser Regularien einen strukturellen Vorsprung gegenüber Organisationen ohne diese Basis.

Kann ich den IT-Grundschutz ohne externen Berater umsetzen?

Theoretisch ja. Das BSI stellt alle Standards und das Kompendium kostenlos zur Verfügung. In der Praxis scheitern interne Umsetzungsversuche häufig an der Strukturanalyse, an der korrekten Bausteinauswahl und an der Objektivität bei der Bewertung des eigenen Sicherheitsniveaus. Ein externer Blick ist kein Luxus, sondern eine Qualitätssicherungsmaßnahme.

Fazit: Grundschutz ist keine Pflichtübung. Er ist Architektur.

Wer den IT-Grundschutz als lästige Compliance-Übung behandelt, hat ihn nicht verstanden. Wer ihn als Architektur-Framework begreift, das systematisch Risiken identifiziert, priorisiert und adressiert, hat ein Instrument, das weit über reine Compliance hinausgeht.

Der entscheidende Faktor ist dabei nicht das Framework selbst, sondern die konsequente Umsetzung. Dokumente, die im Ordner verstauben, schützen keine Server. Maßnahmen, die implementiert, gepflegt und regelmäßig überprüft werden, tun es.

Die Unternehmen, mit denen wir arbeiten, die den IT-Grundschutz ernstnehmen, sind dieselben, die bei einem Sicherheitsvorfall handlungsfähig bleiben, bei Audits ruhig schlafen und bei neuen regulatorischen Anforderungen nicht bei null anfangen.

Wo steht euer Unternehmen beim IT-Grundschutz?

Wir analysieren eure Ausgangslage, identifizieren Lücken und zeigen euch den effizientesten Weg zu nachweisbarer IT-Sicherheit. Unverbindlich, konkret und auf den Punkt.

Jetzt Erstgespräch vereinbaren Zum carmasec Kontakt