Unser kostenfreier Leitfaden gibt Ihnen einen kompakten Überblick über:
28 Seiten PDF Kostenlos und sofort verfügbar
So gelangst du zu deinem kostenlosen Whitepaper:
1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.
4. Besuche die Download-Seite und lade dir den Kompakt-Guide herunter.
Jan Sudmeyer
Managing Partner & Trusted Advisior
Holger Kühlwetter
Senior Security Consultant
Noch Fragen?
carmasec Content & Marketing
Worum geht’s?
Mit dem “Cyber Resilience Act” (CRA) hat die EU neue Anforderungen eingeführt, die grundlegende Veränderungen in Kundenorganisationen erfordern, die digitale Produkte herstellen oder in der EU vertreiben. Im Rahmen dieses Webinars zeigen wir, wie sich Unternehmen konkret auf die CRA-Anforderungen vorbereiten können. Es geht nicht nur um regulatorische Compliance, sondern um:
Das erwartet dich im Webinar:
Für wen ist das Webinar gedacht?
Zielgruppe:
Rollen im Unternehmen:
Carsten Marmulla
Founder & Brand Ambassador
Robert Heinlein
Security Experte – ehemaliger Mitarbeiter
Carsten Marmulla ist Managing Partner bei carmasec und seit über 20 Jahren als Trusted Advisor im Bereich Cybersicherheit tätig – für mittelständische Unternehmen ebenso wie für DAX-Konzerne. Sein technisches Verständnis verbindet er mit einem tiefen Gespür für Geschäftsprozesse, Risiken und Umsetzbarkeit.
Seine Projekterfahrung reicht von Telekommunikation und Medien über Chemie, Pharma und Gesundheit bis hin zu Logistik und Finanzdienstleistung. Was ihn antreibt: Cybersicherheit so zu gestalten, dass sie nicht bremst – sondern schützt, stärkt und skaliert.
„Cybersicherheit ist kein Zusatz mehr – sie wird integraler Bestandteil von Produktentwicklung, Business Continuity und Marktzugang. Der CRA macht das jetzt verbindlich.“ – Carsten Marmulla, Managing Partner bei carmasec
Robert Heinlein denkt Sicherheit nicht aus der Theorie, sondern aus dem Projektalltag – quer durch Mittelstand, Konzerne und den öffentlichen Sektor. Ob als Information Security Officer, Cyber-Security Consultant oder IT-Ingenieur: Er bringt technisches Know-how, strukturierte Umsetzung und ein Gespür für realistische Lösungen mit. Sein Anspruch: Komplexität verstehen, Klarheit schaffen, Sicherheit möglich machen.
„Der Cyber Resilience Act verankert Cybersicherheit als festen Qualitätsfaktor digitaler Produkte – gleichwertig mit Funktionalität, physischer Produktsicherheit und Energieeffizienz. Prozesse wie Schwachstellenmanagement, Patch Management und transparente Software-Stücklisten wie SBOMs werden künftig messbar zur Verbesserung der Cybersicherheit beitragen müssen.“ – Robert Heinlein, Cyber-Security Consultant bei carmasec
Wir unterstützen Unternehmen dabei, regulatorische Anforderungen wie den Cyber Resilience Act (CRA) in konkrete Sicherheitsmaßnahmen zu übersetzen. Unser Team vereint tiefes technisches Know-how mit Erfahrung in der Umsetzung – von Informationssicherheit über Secure Architecture bis hin zu Schwachstellenmanagement und Cloud Security.
Tauche ein in die Welt der Cybersicherheit und werde Teil einer wachsenden Community! Beim nächsten friends of carmasec Event in Essen erwarten dich spannende Gespräche mit Expert:innen und Interessierten, neue Impulse und jede Menge Networking-Möglichkeiten.
Ablauf:
18:00 Uhr: Treffen und Networking in unseren Büroräumen
18:45 Uhr: Gemeinsamer Wechsel in ein Restaurant (Details folgen)
19:00 Uhr: Abendessen und Austausch in entspannter Atmosphäre
Was erwartet dich bei unseren Events?
Unsere Treffen sind die perfekte Gelegenheit, um:
Ob erfahrener Profi oder neugieriger Neuling – wir heißen alle Interessierten herzlich willkommen!
Warum du bei carmasec vorbeischauen solltest?
Die it-sa ist Europas führende Fachmesse für IT-Security – aber was du brauchst, ist nicht noch ein Hochglanzversprechen, sondern echte Lösungen, die in der Praxis wirken.
Deine Herausforderung: Hohe Komplexität und unklare Wirksamkeit?
Genau hier setzt carmasec an. Wir sind dein Partner für pragmatische Cybersicherheit: Technisch stark, klar in der Sprache und schnell in der Umsetzung.
security. done. right.
Was dich bei uns erwartet:
Du willst mit jemandem sprechen, der zuhört, mitdenkt und nicht einfach nur den nächsten Sales-Pitch bei dir macht?
Dann buche dir jetzt deinen Termin an unserem Stand und erhalte ein kostenloses Ticket. Wir bieten dir echte Orientierung und zeigen dir, wie du dein Sicherheitsniveau wirksam erhöhst.
Jetzt Termin buchen
Warum jetzt handeln?
Die Anforderungen wachsen, die Komplexität steigt und deine internen Kapazitäten sind begrenzt. Mit carmasec holst du dir einen Sparringspartner, der dich durch den Security-Dschungel führt und dabei dein Business im Blick behält.
Setz auf Sicherheit, die Wirkung zeigt.
Triff uns vom 07.–09. Oktober 2025 auf der it-sa.
Wo finde ich euch auf der Messe?
Du findest uns auf der it-sa 2025 in Halle 7, Stand 416-10 – am Gemeinschaftsstand des Landes NRW.
Brauche ich ein Ticket für die it-sa?
Ja. Wenn du ein kostenloses Ticket möchtest, fülle dieses Formular aus oder gib bei der Terminvereinbarung an, dass du eins benötigst. Wir schicken dir dann einen Code zu.
Kann ich im Vorfeld einen Termin mit euch vereinbaren, der länger als 15 Min dauern wird?
Sehr gerne. Du kannst dir direkt einen Termin mit unserem Team buchen. Einfach im Formular angeben, dass du mehr Zeit benötigst.
Wen treffe ich bei euch am Stand?
Du triffst Expert:innen aus unserem Team – von technischer Cybersecurity bis hin zu Governance, Risk & Compliance. Wenn du spezielle Themen mitbringst, gib sie einfach bei der Buchung an. So sorgen wir dafür, dass die passende Ansprechperson für dich vor Ort ist.
Ich habe kurzfristig keine Zeit – gibt es eine Alternative?
Ja. Falls du nicht zur it-sa kommen kannst, finden wir gerne einen anderen Termin – digital oder vor Ort. Hier kannst du dir direkt einen Termin mit Khalid buchen
Der CRA verändert die Anforderungen an digitale Produkte tiefgreifend. Welche Pflichten auf Hersteller zukommen, erfährst du hier kompakt zusammengefasst.
Der EU Cyber Resilience Act (EU CRA) ist eine rechtsverbindliche EU-Verordnung. Er legt ein Mindestmaß an Cybersicherheit für Produkte mit digitalen Elementen fest und verfolgt das Ziel eines einheitlichen Sicherheitsstandards innerhalb des europäischen Binnenmarktes. Durch Minimierung von Sicherheitslücken und Verringerung der Angriffsflächen sollen die Produkte und deren Nutzer besser vor Cyberangriffen und deren Auswirkungen geschützt werden.
Der CRA ist eine ergänzende Regulierung zu bereits bestehenden Anforderungen wie der NIS2-Richtlinie oder der RED-Directive und verknüpft sie miteinander. Zudem ist der EU CRA mit der CE-Kennzeichnung verbunden: Bei fehlender Compliance kann diese aberkannt oder von vornherein nicht erteilt werden.
Definition: Produkte mit digitalen Elementen
Gemeint sind Hardware- und Softwareprodukte, die eine direkte oder indirekte, logische oder physische Datenverbindung mit einem Gerät oder Netzwerk eingehen. Dazu zählen IoT-Geräte, industrielle Steuerungen, Betriebssysteme, Apps, Router, Wearables und Unternehmenssoftware mit Netzwerkanbindung.
Ohne belegbare CRA-Konformität entfällt die CE-Kennzeichnung. Ohne CE-Kennzeichnung kein Marktzugang in der EU.
Der EU Cyber Resilience Act betrifft alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Auch Unternehmen außerhalb der EU, die Produkte auf dem europäischen Markt vertreiben wollen, sind verpflichtet, den CRA zu erfüllen.
Bei kommerziellem Einsatz sind auch Open-Source-Produkte und -komponenten betroffen. Der CRA gilt für alle Produkte, die nach seinem Inkrafttreten auf dem EU-Markt in Verkehr gebracht werden. Bereits zuvor in Umlauf gebrachte Produkte sind nicht betroffen, solange keine wesentlichen Änderungen vorgenommen werden.
Der Cyber Resilience Act tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Für Unternehmen beginnt damit eine gestaffelte Umsetzungsphase. Die Übergangszeit sollte gezielt genutzt werden, um Sicherheitsarchitektur, Produktprozesse und Nachweisführung konform aufzustellen.
Der EU Cyber Resilience Act betrifft alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Auch Unternehmen außerhalb der EU, die Produkte auf dem europäischen Markt vertreiben wollen, sind verpflichtet, den CRA zu erfüllen.
Bei kommerziellem Einsatz sind auch Open-Source-Produkte und -komponenten betroffen. Der CRA gilt für alle Produkte, die nach seinem Inkrafttreten auf dem EU-Markt in Verkehr gebracht werden. Bereits zuvor in Umlauf gebrachte Produkte sind nicht betroffen, solange keine wesentlichen Änderungen vorgenommen werden.
Technische und organisatorische Sicherheitsanforderungen an Produkte:
Der CRA verlangt Sicherheit entlang des gesamten Produktlebenszyklus. Das gelingt nur, wenn Unternehmen passende Infrastrukturen aufbauen. Sie sichern die Umsetzung technischer und organisatorischer Anforderungen und schaffen die Grundlage für dauerhafte Compliance.
Die Anforderungen des Cyber Resilience Act sind umfangreich. Mit einem strukturierten Vorgehen lassen sie sich klar priorisieren und umsetzen. Wichtig ist, früh zu klären, welche Produkte betroffen sind, welche Lücken bestehen und welche Maßnahmen notwendig sind. carmasec begleitet Unternehmen entlang des gesamten Prozesses von der Analyse bis zur Umsetzung sicherheitsrelevanter Maßnahmen.
Allgemeine Betroffenheitsanalyse auf Organisationsebene. Produktspezifische Bewertung inklusive Risikoklassifizierung.
Durchführung einer Gap-Analyse und eines EU CRA Impact Assessments.
Abgleich mit den Fristen des CRA. Priorisierung nach Kritikalität und verfügbaren Ressourcen.
Die wichtigsten Maßnahmen für CRA-Compliance:
Der Cyber Resilience Act ist kein Papiertiger. Wer ihn ignoriert oder nur oberflächlich umsetzt, bringt sein Geschäftsmodell in Gefahr. Produkte ohne CRA-Konformität erhalten keine CE-Kennzeichnung und dürfen nicht auf den europäischen Markt. Unternehmen verlieren den Zugang zu Kunden und Umsätzen. Rückrufe und Vertriebsstopps verursachen hohe Kosten und reißen Lücken in Lieferketten und Roadmaps.
Verstöße gegen die Anforderungen führen zu empfindlichen Geldbußen. Die Strafen reichen bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes. Händler und Importeure zahlen bis zu 10 Millionen Euro oder 2 Prozent.
Hinzu kommt der Vertrauensverlust. Kunden stellen Fragen. Partner springen ab. Behörden schauen genauer hin. Aus einem Compliance-Fehler wird schnell ein Reputationsproblem.
Ohne Vorbereitung wird der CRA zum Geschäftsrisiko.
Wann tritt der CRA in Kraft?
Der CRA trat am 10. Dezember 2024 in Kraft. Es gibt gestufte Übergangsfristen: Ab 11. September 2026 gilt die Meldepflicht für aktiv ausgenutzte Schwachstellen. Ab 11. Dezember 2027 müssen alle neuen Produkte vollständig konform sein.
Gilt der CRA auch für mein Produkt?
Ja, wenn Dein Produkt eine direkte oder indirekte Datenverbindung mit einem Gerät oder Netzwerk eingeht und nach Dezember 2024 neu in Verkehr gebracht wird. Ausnahmen: Kraftfahrzeuge, Medizinprodukte, Militär. Im Zweifel gilt: Wenn es vernetzt ist, ist es betroffen.
Wie funktioniert die Konformitätsbewertung?
Die meisten Produkte (Standardkategorie) können sich per Selbstbewertung zertifizieren. Produkte der Klasse I und II erfordern eine externe Prüfung durch eine notifizierte Stelle. Die Einstufung hängt vom Risikopotenzial des Produkts ab.
Was ändert sich beim CE-Kennzeichen?
Die CRA-Konformität ist ab Dezember 2027 Voraussetzung für die CE-Kennzeichnung bei Produkten mit digitalen Elementen. Ohne nachweisbare Compliance kein CE-Zeichen und kein Marktzugang in der EU.
Was ist eine SBOM?
Eine Software Bill of Materials ist die vollständige Auflistung aller Software-Komponenten eines Produkts. Sie ist Pflichtbestandteil der technischen Dokumentation nach CRA, muss maschinenlesbar vorliegen, aber nicht veröffentlicht werden. Sie dient als Frühwarnsystem für Schwachstellen in der Lieferkette.
Wie schnell müssen Vorfälle gemeldet werden?
Bei aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen: initiale Meldung an ENISA innerhalb von 24 Stunden. Vollständige Meldung mit Details zu Ursache, Auswirkungen und Gegenmaßnahmen innerhalb von 72 Stunden.
Gilt der CRA auch für Hersteller außerhalb der EU?
Ja. Wer Produkte mit digitalen Elementen auf dem EU-Markt vertreiben will, muss den CRA erfüllen, unabhängig vom Unternehmenssitz. Ohne EU-Niederlassung ist die Benennung eines bevollmächtigten EU-Vertreters verpflichtend.
Reicht eine ISO 27001-Zertifizierung als CRA-Nachweis?
Nein. ISO 27001 adressiert das Informationssicherheitsmanagementsystem einer Organisation, nicht die produktspezifischen Anforderungen des CRA. Beide Frameworks ergänzen sich, ersetzen sich aber nicht gegenseitig.
Was ist TID und wie ergänzt es den CRA?
Threat-Informed Defense (TID) ist ein Ansatz, der Security-Maßnahmen an realen Angriffsmethoden ausrichtet. Im CRA-Kontext hilft TID dabei, die Wirksamkeit technischer Maßnahmen wie Penetrationstests und Schwachstellenmanagement gegenüber tatsächlichen Bedrohungsszenarien zu überprüfen.
Wie hilft carmasec bei der Umsetzung?
carmasec begleitet Unternehmen von der Betroffenheitsanalyse über die Gap-Analyse bis zur vollständigen Umsetzung aller CRA-Anforderungen. Das umfasst Risikoklassifizierung, SBOM-Aufbau, Schwachstellenmanagementprozesse, technische Sicherheitsmaßnahmen und Vorbereitung auf die Konformitätsbewertung.
Der Cyber Resilience Act ist kein regulatorisches Randthema. Er verändert, wie digitale Produkte entwickelt, dokumentiert und auf den Markt gebracht werden. Wer bis Dezember 2027 nicht vorbereitet ist, verliert den Zugang zum EU-Markt. Das ist keine Drohkulisse, das ist Verordnungstext.
Die gute Nachricht: Die Anforderungen sind planbar. Betroffenheit analysieren, Lücken schließen, Prozesse aufbauen. Wer früh beginnt, vermeidet Zeitdruck, reduziert Haftungsrisiken und schafft Strukturen, die länger halten als eine Übergangsfrist.
Drei Dinge, die du aus diesem Artikel mitnimmst: Der CRA gilt für fast jedes vernetzte Produkt. Die ersten Pflichten greifen bereits ab September 2026. Und Unternehmen, die Schwachstellenmanagement, SBOM und Security by Design jetzt aufbauen, sind compliant und wettbewerbsfähig.
Quellen: EU-Verordnung 2024/2847 (Cyber Resilience Act), Amtsblatt der Europäischen Union, 20. November 2024, BSI TR-03183 Technische Richtlinie Cyber Resilience Requirements, Bundesamt fur Sicherheit in der Informationstechnik, BSI: Cyber Resilience Act, bsi.bund.de/CRA, Europäische Kommission: Cyber Resilience Act, digital-strategy.ec.europa.eu
Wir analysieren eure Ausgangslage, identifizieren Lücken und zeigen euch den effizientesten Weg zu nachweisbarer IT-Sicherheit. Unverbindlich, konkret und auf den Punkt.
Noch Fragen?
carmasec Content & Marketing
Wir schreiben über Sicherheitsthemen, die bewegen, und lassen dabei kein Detail aus. Unsere Inhalte entstehen im Zusammenspiel aus Fachexpertise und redaktioneller Sorgfalt. Das Ergebnis: Wissen, das hält, was es verspricht.
Du hast Fragen oder wertvollen Input? Schreib uns.
Cybersicherheit ist keine Geheimwissenschaft und vieles, was Unternehmen für ausreichend halten, schützt im Ernstfall nicht. Aber kein Grund zur Panik: Wer Threat-Informed Defense konsequent anwendet, ist auf der sicheren Seite.
Für CISOs und IT-Security-Teams, die Sicherheitsstrategien entwickeln wollen, die wirklich funktionieren.
Was du nach der Lektüre weißt: Wie Angreifer denken und welche TTPs Ransomware-Gruppen am häufigsten nutzen und wie du CISO- und IT-Ebene mit einer gemeinsamen Methodik zusammenbringst, die Budgets schützt und echte Resilienz schaffst.
4,45 Mio. USD
Ø Schaden eines Datenlecks
weltweit (IBM 2023)
95 %
aller Cyberangriffe beginnen mit
einer vermeidbaren Schwachstelle
#1
Cybervorfälle sind das
Top-Risiko weltweit (Allianz 2025)
Threat Intelligence
So weißt du, welche Angreifer dein Unternehmen ins Visier nehmen – bevor sie es tun.
TTPs kennen
Angreifer nutzen immer wieder dieselben Techniken. Wer sie kennt, kann sie stoppen.
Pentests & Simulation
Deine Security-Lösung ist nur so gut, wie sie konfiguriert ist. So findest du heraus, ob sie im Ernstfall wirklich greift.
CISO & IT zusammenbringen
Zwei Ebenen, eine Sprache. Ohne gemeinsame Priorisierung verpuffen Maßnahmen – so vermeidest du das.
Budget richtig einsetzen
Security-Budget auf Zuruf? Schlechte Idee. Wir zeigen dir, wie jeder Euro dort wirkt, wo echte Bedrohungen sind.
Defensive Measures
Technisches Know-how ist wichtig – aber nur gezielte Maßnahmen an den richtigen Stellen schaffen echte Resilienz.
Timm Börgers
Managing Partner & Trusted Advisor
Als Managing Partner & Trust Adviasor von carmasec und studierter IT-Sicherheitsexperte der Ruhr-Universität Bochum begleitet Timm Unternehmen im gehobenen Mittelstand auf dem Weg zu nachhaltiger Cyberresilienz – von der Strategie bis zur Umsetzung. Mit carmasec hat er eine der führenden Cybersicherheitsberatungen im deutschsprachigen Raum aufgebaut, die DAX-Konzerne und Mittelstand gleichermaßen sicher durch komplexe Security-Herausforderungen steuert.
Pascal Waffenschmidt
Security Consultant
Als Informatiker mit Masterabschluss der Universität Bonn und ehemaliger Werkstudent beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Pascal Waffenschmidt einer der gefragtesten Offensive-Security-Experten bei carmasec. Er führt Red Teaming Assessments, Penetrationstests und Angriffssimulationen durch und zeigt Unternehmen damit, was Dashboards und Zertifikate verbergen: wo sie wirklich verwundbar sind.
Noch Fragen?
carmasec Content & Marketing
Wir schreiben über Sicherheitsthemen, die bewegen, und lassen dabei kein Detail aus. Unsere Inhalte entstehen im Zusammenspiel aus Fachexpertise und redaktioneller Sorgfalt. Das Ergebnis: Wissen, das hält, was es verspricht.
Du hast Fragen oder wertvollen Input? Schreib uns.
Die Bewertung von Risiken ist die Grundlage jeder strategischen Entscheidung. Trotzdem erleben wir in vielen Unternehmen, dass IT-Risikomanagement als reine IT-Aufgabe betrachtet wird – ein Fehler, der nicht nur Effizienz kostet, sondern auch das Risiko erhöht, Standards wie ISO 27001, TISAX oder NIS 2 nicht zu erfüllen. IT-Risikomanagement ist ein gesamtorganisatorisches Thema, das alle Abteilungen betrifft und daher von der Geschäftsleitung gesteuert werden muss.
In diesem Artikel stellen wir dir unseren dreistufigen Ansatz zur Implementierung eines IT-Risikomanagements vor und zeigen dir, wie du Risiken systematisch managest und dein Unternehmen nachhaltig absicherst.
IT-Risikomanagement ist eine Methode, mit der Unternehmen:
Ein etabliertes IT-Risikomanagementsystem liefert klare Mehrwerte für Unternehmen und Führungskräfte:
Ein IT-Risikomanagementsystem betrifft nicht nur die IT-Abteilung. Die Implementierung ist ein gesamt-organisatorischer Veränderungsprozess, der alle Abteilungen einbezieht und übergreifend verankert werden muss.
Deshalb verankern wir unseren Ansatz im Management:
Führungskräfte stehen bei der Einführung eines Risikomanagement oft vor drei zentralen Fragen:
Welche Risiken sind für unser Unternehmen relevant? Wie lassen sich diese effizient und nachhaltig bewältigen? Welche Maßnahmen sind zwingend erforderlich und wie priorisieren wir sie?
Bei carmasec setzen wir auf einen dreistufigen Ansatz zur Implementierung eines IT-Risikomanagements. So können wir relevante Risiken frühzeitig identifizieren und gezielt behandeln.
1. Standortbestimmung und Zieldefinition
Im ersten Schritt analysieren wir die aktuelle Situation des Unternehmens:
Im Rahmen eines Workshops entwickeln wir gemeinsam ein Zielbild, das den spezifischen Anforderungen des Unternehmens entspricht.
2. Maßnahmenplan und Priorisierung
Auf Basis der Analyse erstellen wir einen konkreten Umsetzungsplan:
3. Implementierung und Verstetigung
Nach der Planung folgt die Umsetzung:
Unser Ziel ist ein lebendiges Risikomanagement, das nicht nur die IT-Infrastruktur absichert, sondern auch andere Risikofelder wie Enterprise-Risiken oder Chancenmanagement integrieren kann.
1. Maßgeschneiderte Beratung statt „One Fits All“
2. Praktische Unterstützung statt reiner Theorie
3. Interdisziplinäre Expertise
4. Von der Beratung bis zur sicheren Umsetzung: Unsere Kernkompetenzen
Fazit: Ein Instrument für verantwortungsvolle Unternehmensführung
IT-Risikomanagement ist weit mehr als ein technisches Werkzeug. Es ist ein strategisches Instrument, das Unternehmen hilft, Sicherheit und Effektivität zu verbinden. Gleichzeitig ermöglicht es Führungskräften, ihrer Verantwortung gerecht zu werden – sei es im Hinblick auf regulatorische Anforderungen, den Schutz der Organisation oder die Vermeidung persönlicher Haftung.
Mit unserem dreistufigen Ansatz fokussieren wir auf die individuellen Anforderungen des Unternehmens – seien es regulatorische Vorgaben oder strategische Entwicklungsziele – und berücksichtigen die individuellen kulturellen Gepflogenheiten des Teams. Wir achten darauf, effiziente Prozesse zu implementieren und erleichtern Deinen Mitarbeitenden die Umstellung auf neue Prozesse mit intensiven Schulungs- und Trainingsmaßnahmen.
Frag unseren Experten Till Bormann
Wenn du mehr darüber erfahren möchtest, wie ein maßgeschneidertes IT-Risikomanagement dein Unternehmen stärken kann, steht dir unser Kollege und Senior Security Consultant Till Bormann gerne zur Verfügung.
„Kunden beauftragen Fachexpertise und brauchen häufig aber systematische Problemlösungen“
Till, Bormann
Das Jahr 2025 beginnt mit einer der bedeutendsten Änderungen im Bereich Cybersicherheit: Die EU-Richtlinie NIS 2 steht kurz vor der Einführung – und sie bringt eine Menge Pflichten für Unternehmen mit sich. Was bedeutet das für dich? Ganz einfach: Es ist höchste Zeit, zu handeln!
Dir fehlt der Überblick? Unser 15-minütiges LinkedIn Live am 05.02.2025 liefert dir die Orientierung, die du jetzt brauchst. Dominik Sturm, Senior Security Consultant bei carmasec, präsentiert dir den aktuellen Stand der EU-Richtlinie und zeigt dir, wie du sie effizient in deinem Unternehmen umsetzen kannst.
Wir wissen, dass deine Zeit wertvoll ist. Deswegen ist dieses LinkedIn Live kurz, knackig und direkt auf den Punkt gebracht:
Dein Experte: Senior Security Consultant Dominik Sturm
Dominik bringt nicht nur fundiertes Wissen als zertifizierter Datenschützer und ISO 27001-Experte mit, sondern auch jahrelange praktische Erfahrung. Er weiß genau, wie Unternehmen wie deines die NIS 2-Anforderungen erfolgreich umsetzen können – ohne dabei den Kopf zu verlieren.
Save the Date
Hast du bereits Fragen zur NIS 2? Schreib sie in die Kommentare unseres LinkedIn-Events oder stelle sie direkt live. Dominik wird sich die Zeit nehmen, deine Fragen während des Events persönlich zu beantworten.
Während unterschiedlichste IT-Sicherheitsmaßnahmen bei Unternehmen bekannt sind, wird die Bedrohung durch eine Kompromittierung der Passwörter von Mitarbeiter:innen oft unterschätzt. In der Regel fällt der Diebstahl unternehmenseigener Zugangsdaten erst auf, wenn bereits große Schäden angerichtet wurden. Um sich hiervor effektiv zu schützen, benötigen Unternehmen eine systematische Herangehensweise zur Auswahl und dem Einsatz geeigneter Maßnahmen.
In seinem Whitepaper erläutert Cyber Security Consultant Dr. Timo Malderle typische Angriffsvektoren des Identitätsdiebstahls. Dazu gehören beispielsweise die Mehrfachnutzung von Passwörtern sowohl im unternehmerischen als auch im privaten Kontext sowie die Verwendung von schwachen Zugangsdaten, die für Kriminelle leicht zu erraten sind. Zudem stellt der Experte für Cybersicherheit sieben Security-Tipps vor, mit denen Unternehmen die eigene Sicherheit bezüglich der Passwort-Authentifikation deutlich ausbauen können.
So gelangst du zu deinem kostenlosen Whitepaper:
1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.
Betreiber kritischer Infrastrukturen (KRITIS) müssen Informationssicherheit strukturiert umsetzen. Wir wurden von einem führenden Lebensmittelversorger, der als kritische Infrastruktur gilt, beauftragt, die Implementierung der KRITIS-Anforderungen zu begleiten.
Diese Case Study beleuchtet den Weg des Unternehmens von den ersten Schritten bis zur finalen Umsetzung der KRITIS-Anforderungen.
Unser Kunde stand vor der Herausforderung, ein Informationssicherheits-Managementsystem (ISMS) von Grund auf neu aufzubauen. Dies sollte in einem Zeitrahmen von weniger als zwei Jahren geschehen. Aus Sicht unserer Consultants Till Bormann und Dennis Miara war der angewählte Zeitraum ambitioniert.
Deshalb legten sie den Fokus zunächst auf die Erfüllung des KRITIS-Anforderungskatalogs und dem Nachweis der KRITIS-Fähigkeit. Eine mögliche Zertifizierung nach ISO 27001 wurde für die Zukunft aber nicht ausgeschlossen. Ein Vorteil von KRITIS: Die Anforderungen sind im Vergleich zu anderen IT Security Frameworks wie die ISO 27001 oder der BSI IT-Grundschutz weniger umfangreich und können daher schneller umgesetzt werden. Gleichzeitig stellt die KRITIS-Fähigkeit einen wesentlichen Schritt in Richtung einer ISO 27001-Zertifizierung dar.
Unsere Kollegen stellten sich dabei zwei großen Herausforderungen:
Die Mitarbeitenden unseres Kunden hatten häufig wenig Zeit und kein ausreichendes Gesamtverständnis für die Beschreibung und Umsetzung der Prozesse. Dies betraf neben der im Fokus stehenden IT-Abteilung auch verschiedene andere Organisationsbereiche wie z.B. das Facility Management, Personal und den Einkauf.
Zudem gibt es im Unternehmen einen kritischen Fachkräftemangel, der den Projektfortschritt beeinträchtigen konnte. Unsere Kollegen, die zunächst nur beratend tätig sein sollten, wurden daher mit konkreten Aufgaben in das Projekt eingebunden, um das Unternehmen auch operativ zu unterstützen.
Unsere Berater haben gemeinsam mit dem Unternehmen ein ISMS aufgebaut und alle notwendigen Dokumentationen erstellt, abgestimmt und nach Freigabe für die Kommunikation im Unternehmen gesorgt. Dabei definierten wir die notwendigen Leitlinien und Richtlinien, um die Anforderungen des KRITIS-Katalogs zu erfüllen.
Till Bormann übernahm als kommissarischer Informationssicherheitsbeauftragter (ISB) und Projektleiter für die KRITIS-Nachweisführung die Verantwortung für die Umsetzung des ISMS. Er bereitete das Unternehmen auf das anstehende Assessment vor und führte simulierte Prüfungen durch, um die Mitarbeitenden zu schulen und Unsicherheiten auszuräumen.
Dennis Miara verantwortete die Dokumentation der Prozesse. Er half den IT-Mitarbeitenden, den Kontext der Anforderungen besser zu verstehen, Pain Points zu identifizieren und die notwendigen Anpassungen vorzunehmen. Zudem haben unsere Kollegen das IT-Betriebshandbuch (BHB) von Grund auf neu gestaltet und umfassend ergänzt. Insbesondere wurden wesentliche Verbesserungspotenziale der Informationstechnik identifiziert und für die anstehende Prüfung vorbereitet.
Ein wesentlicher Bestandteil unserer Arbeit war die aktive Einbindung der Mitarbeitenden in den Umsetzungsprozess. Durch kontinuierliche Beratung und Schulung konnten wir das Verständnis für die Relevanz der einzelnen Aktivitäten und Anforderungen verbessern. Zudem führten unsere Kollegen Workshops zu übergreifenden Themen wie beispielsweise Risikomanagement oder Incident Management durch.
Durch die enge Zusammenarbeit und unsere operative Unterstützung konnten wir unseren Kunden erfolgreich zur KRITIS-Fähigkeit führen. Die Einführung des ISMS und die Erfüllung des KRITIS-Anforderungskatalogs bilden nun eine solide Grundlage für die spätere ISO 27001-Zertifizierung oder die Umsetzung weiterer regulatorische Vorgaben wie NIS-2, das KRITIS-Dachgesetz oder andere Resilienz-Anforderungen.
Die Einführung eines ISMS benötigt Zeit und Ressourcen. Die frühzeitige Einbindung, das Coaching sowie die konsequente Zielausrichtung mit der notwendigen Priorisierung der Mitarbeitenden sind entscheidend für den Erfolg.
Der Einsatz von externen Expert:innen kann kritische Engpässe überbrücken und den Wissenstransfer sicherstellen. Mittelfristig ist es für Unternehmen sinnvoll, mit Hilfe unserer Consultants interne Ansprechpartner:innen zu schulen und aufzubauen.
Zur Erfüllung der KRITIS-Anforderungen sind klar definierte Prozesse und eine umfassende Dokumentation unerlässlich. Dieser Punkt stellt häufig eine besondere Herausforderung dar, da im Unternehmen neben der Zeit auch nicht selten auch das Verständnis für die Prozessbeschreibung fehlt.
Der Weg von „Zero to Hero“ in der IT-Sicherheit erfordert von Unternehmen eine sorgfältige Planung, umfassende Dokumentation, kontinuierliche Projektunterstützung und konsequente Arbeit an der Umsetzung sowie die aktive Einbindung der Mitarbeiter. Unser Ansatz, die KRITIS-Anforderungen als Vorstufe zur ISO 27001-Zertifizierung zu nutzen, hat sich bewährt und bietet eine praktikable Lösung für Unternehmen, die ihre IT-Sicherheitsmaßnahmen effizient und zielgerichtet umsetzen wollen.
Suchst du Informationen zur Umsetzung von KRITIS oder dem Aufbau eines ISMS in deinem Unternehmen?
Hier findest du eine Übersicht über unsere Leistungen im Bereich IT-GRC
Du brauchst Unterstützung oder willst einfach mal loswerden, was dich in Sachen Cybersecurity oder ISMS gerade beschäftigt? Wir nehmen’s ernst und melden uns zeitnah.
Noch kein Kunde?
Nützliche Links