Kategorie: BCM

  • In aller Kürze: IT-Sicherheit, Cloud, Datenschutz und kritische Infrastruktur

    In aller Kürze: IT-Sicherheit, Cloud, Datenschutz und kritische Infrastruktur

    Auch in dieser Ausgabe fassen wir wieder aktuelle Entwicklungen rund um digitale Sicherheit, Cloud-Strategie und regulatorische Debatten kompakt zusammen – mit weiterführenden Links für alle, die tiefer einsteigen möchten.

    ePA: Massive Sicherheitslücken und politische Debatte

    Die elektronische Patientenakte (ePA) sorgt erneut für Kritik: Der Chaos Computer Club (CCC) deckte schwerwiegende Schwachstellen auf, durch die sich mit überschaubarem Aufwand auf die Akten beliebiger Versicherter zugreifen ließ. Die Gematik reagierte mit Sofortmaßnahmen, das BSI gibt vorsichtige Entwarnung – hatte jedoch zuvor intern vor solchen Risiken gewarnt. Kritik gibt es auch an der politischen Eile und an der Opt-out-Regelung für Kinderakten. Die Datenschutzdebatte ist in vollem Gange.

    Microsoft und die Cloud: Wachstum, Expansion und politisches Kalkül

    Microsofts Geschäft wächst aktuell fast ausschließlich durch Cloud-Dienste. Parallel kündigt der Konzern massive Investitionen in europäische Rechenzentren an – eine Reaktion auf politische Bedenken gegenüber der US-amerikanischen Kontrolle über digitale Infrastruktur. Mit neuen Zusicherungen versucht Microsoft, europäische Kunden in Sachen Datenschutz, Verfügbarkeit und Souveränität zu beruhigen.

    Blackout-Vorsorge: Spanien als Warnsignal – wie steht Deutschland da?

    Ein Stromausfall in Spanien und Portugal rückt das Thema Blackout-Risiken erneut ins Bewusstsein. Während Deutschlands Stromnetz technisch besser aufgestellt ist, gibt es auch hierzulande Szenarien, in denen kritische Infrastrukturen gefährdet wären – etwa durch Sabotage oder Extremwetter. Wichtig bleiben robuste Netze, Speicher und Notfallpläne.

    Transatlantischer Datenschutz: Das nächste Sturmtief?

    Trotz neuer Abkommen zwischen EU und USA bleibt die rechtliche Lage angespannt. Das EU–US Data Privacy Framework soll Datentransfers absichern, steht jedoch in der Kritik – unter anderem wegen anhaltender Zugriffsmöglichkeiten US-Geheimdienste (FISA, CLOUD Act). Datenschützer erwarten ein weiteres Verfahren vor dem EuGH (Stichwort: „Schrems III“). Unternehmen sind gut beraten, sensible Daten weiterhin besonders sorgfältig zu behandeln.

    Fazit:
    Ob Patientendaten, Cloud-Strategien oder digitale Resilienz: Die Anforderungen an sichere und nachvollziehbare IT-Strukturen wachsen weiter. Wer vorbereitet ist, bleibt souverän – technisch wie organisatorisch.

    Sie möchten wissen, wie diese Entwicklungen Ihre Organisation betreffen?
    Wir helfen Ihnen bei der strategischen Bewertung, Umsetzung von Standards und datenschutzkonformen Alternativen – fundiert, neutral und pragmatisch.

  • Warum Desaster-Recovery und Backups in der Cloud nicht obsolet sind

    Warum Desaster-Recovery und Backups in der Cloud nicht obsolet sind

    Cloud Computing ist heute Standard – aber die Verantwortung für Ausfallsicherheit bleibt.

    Viele Unternehmen haben den Schritt bereits vollzogen: Die Migration zentraler Systeme wie ERP, Finanzplattformen oder Kundenportale in die Cloud – häufig auf Basis leistungsfähiger PaaS- und IaaS-Dienste wie Microsoft Azure oder Oracle Cloud. Die Versprechen sind überzeugend: Skalierbarkeit, Hochverfügbarkeit und reduzierte Infrastrukturkosten.

    Was dabei oft übersehen wird: Desaster-Recovery und Backup-Konzepte werden dadurch nicht überflüssig – sondern gewinnen an neuer Bedeutung.

    Cloud schützt nicht vor allen Risiken

    Cloudanbieter stellen in der Regel eine robuste Infrastruktur bereit, inklusive redundanter Rechenzentren, automatisierter Replikation und globaler Verfügbarkeitszonen. Was jedoch nicht automatisch abgedeckt ist:

    • Die Verantwortung für Datenverlust oder Bedienfehler.
    • Die Orchestrierung eines strukturierten Wiederanlaufs nach einem Ausfall.
    • Die Absicherung gegen Angriffe oder logische Fehler im Systembetrieb.
    • Die Wiederherstellbarkeit eines konsistenten Systemzustands über mehrere Cloud-Dienste hinweg.

    Cloud ersetzt also nicht die Notwendigkeit, selbst für Resilienz zu sorgen.

    Typische Risiken – auch in modernen Cloudumgebungen

    Einige realistische Szenarien aus dem Praxisbetrieb verdeutlichen die Relevanz:

    1. Ausfall einer ganzen Cloud-Region

    Ein DNS-Fehler oder ein Authentifizierungsproblem kann dazu führen, dass über Stunden kein Zugriff mehr auf zentrale Cloud-Dienste besteht. Ohne vorbereitete Wiederanlaufstrategie bleiben produktive Systeme unerreichbar.

    2. Fehlkonfiguration beim Deployment

    Ein falsch gesetzter Parameter oder eine unvollständige Provisionierung genügt, um Services funktionsunfähig zu machen – inklusive automatischer Replikation des Fehlers in mehrere Instanzen.

    3. Fehlerhafte Software-Updates

    Ein Release mit einem schwerwiegenden Bug kann die Systemintegrität gefährden – selbst wenn die Infrastruktur selbst stabil bleibt.

    4. Externe Angriffe oder Ransomware

    Cloudbasierte Dienste sind nicht per se geschützt vor DDoS-Angriffen, kompromittierten Software-Lieferketten oder Schadsoftware, die über API-Zugänge eindringt.

    5. Bedienfehler mit kritischem Datenverlust

    Das versehentliche Löschen von produktiven Datensätzen oder der Import fehlerhafter Daten kann in Minuten irreversible Konsequenzen haben – wenn kein zeitnaher Wiederherstellungspunkt vorhanden ist.

    Desaster-Recovery & Backup – was wirklich notwendig ist

    Ein wirksamer Schutz vor den genannten Risiken basiert auf zwei Säulen:

    Desaster-Recovery-Plan (DRP)

    • Definition von RTO/RPO-Zielen (Wiederanlaufzeit / maximal tolerierter Datenverlust).
    • Festlegung klarer Verantwortlichkeiten und Wiederherstellungsprozesse.
    • Simulation und Test von Wiederanlaufszenarien.
    • Spezifikation von Alternativzugängen und Fallback-Mechanismen.

    Backup-Konzept

    • Regelmäßige, versionierte Backups aller kritischen Datenbestände.
    • Trennung zwischen Produktionssystem und Backup-Infrastruktur.
    • Immutable Speicherformate oder Air-Gap-Backups als Schutz gegen Manipulation.
    • Wiederherstellungstests zur Validierung der Backup-Qualität.

    Cloud-spezifische Normen liefern zusätzliche Orientierung

    Für Unternehmen, die Cloud-Dienste intensiver nutzen, lohnt sich auch ein Blick auf spezialisierte Sicherheitsstandards:

    • ISO/IEC 27017 liefert konkrete Maßnahmen zur Absicherung von Cloud-Infrastrukturen, etwa für administrative Zugriffskontrollen, virtuelle Maschinen oder Konfigurationsmanagement.
    • ISO/IEC 27018 konzentriert sich auf den Schutz personenbezogener Daten in der Cloud – insbesondere in Bezug auf Löschung, Weitergabe und Rückgabe bei Anbieterwechsel.

    Diese Standards helfen dabei, Cloud-Verträge, Sicherheitsarchitekturen und Recovery-Verfahren rechtssicher und nachvollziehbar zu gestalten.

    Fazit

    Cloudlösungen bieten zweifellos Vorteile in Stabilität und Skalierbarkeit. Doch Ausfallsicherheit und Datenintegrität bleiben in der Verantwortung des Anwenders. Ohne einen geprüften Desaster-Recovery-Plan und ein verlässliches Backup-Konzept entstehen erhebliche Risiken für die Betriebsfähigkeit – auch (und gerade) im Cloudbetrieb.

    Wer vorbereitet ist, handelt nicht nur verantwortungsvoll, sondern sichert auch das Vertrauen von Kunden, Partnern und internen Stakeholdern.

    Benötigen Sie eine strukturierte Übersicht für Ihr eigenes DR- oder Backup-Konzept? Auf Wunsch stellen wir praxisorientierte Checklisten zur Verfügung.

  • In aller Kürze: Wichtige IT- und Datenschutzmeldungen im Überblick

    In aller Kürze: Wichtige IT- und Datenschutzmeldungen im Überblick

    Willkommen zu unserer kompakten Zusammenfassung aktueller Entwicklungen rund um IT-Sicherheit, Cloud, KI und Datenschutz. Hier finden Sie die wichtigsten Nachrichten der vergangenen Tage – auf einen Blick.

    Microsoft und der wachsende Cloud-Druck

    Microsoft Copilot in Edge: Der KI-Assistent sieht, was Sie sehen
    Microsofts Copilot erhält im Edge-Browser neue Berechtigungen und kann künftig auf Inhalte zugreifen, die der Nutzer gerade betrachtet.

    Wie sich dies mit unserem Datenschutz verträgt bleibt aktuell ungeklärt.

    Mehr erfahren

    Exchange Server: Microsoft drängt Kunden zum Cloud-Umstieg
    Der Support für Exchange Server 2016 und 2019 endet im Oktober 2025. Microsoft empfiehlt klar den Wechsel zu Exchange Online.

    Wir raten an dieser Stelle, die eigene Daten- und Cloudstrategie zu hinterfragen.

    Zur Meldung bei heise.de
    Unser Hintergrundartikel zum Thema Cloud-Druck
    Microsoft Original-Post

    Datenschutz und Künstliche Intelligenz

    Meta: Widerspruch gegen KI-Training mit privaten Inhalten möglich
    Datenschützer rufen Nutzer dazu auf, der Nutzung ihrer privaten Inhalte für das Training von Metas KI-Systemen aktiv zu widersprechen. Hintergrund ist die geplante Anpassung der Nutzungsbedingungen von Facebook und Instagram.

    Mehr lesen bei heise.de

    OpenAI und Big Tech: Selbstbevorzugung bei eigenen KI-Diensten
    Wie Meta und Google bevorzugt auch OpenAI zunehmend eigene Dienste, Plattformen und Inhalte – zulasten von Transparenz und offener Konkurrenz. Experten warnen vor wachsender Marktmacht der großen Anbieter.

    Wir raten auch an dieser Stelle dazu die eigene Datenstrategie zu überprüfen, ob diese der aktuellen Gesamtsituation noch angemessen ist.

    Zum Hintergrundbericht

    OpenAI veröffentlicht GPT-4.1: Bessere Sprachmodelle für Coding und Agenten
    OpenAI stellt neue Modelle für GPT-4.1 vor, die unter anderem auf verbessertes Codieren, KI-Agenten und komplexere Aufgaben spezialisiert sind.

    Details bei heise.de

    IT-Sicherheit und Standardisierung

    Neue ISO-Norm für Lichtbildbewertung veröffentlicht
    Die ISO/IEC 29794-5:2024 definiert erstmals einheitliche Standards für die Bewertung biometrischer Lichtbilder – relevant für Ausweisdokumente und Identitätsprüfungen.

    Zur BSI-Meldung

    Zertifikatslaufzeiten drastisch verkürzt: Nur noch 47 Tage
    Zertifikate für sichere Verbindungen (TLS) sollen künftig eine maximale Laufzeit von nur noch 47 Tagen haben. Der Standard wird aktuell bei den Browserherstellern diskutiert und könnte ab 2025 in Kraft treten.

    Mehr bei golem.de

    Politische Entwicklungen

    Bundesinnenministerium: Warnung vor Abhängigkeit von US-Clouds
    Bundesinnenministerin Nancy Faeser warnt vor einer zu starken Abhängigkeit europäischer Organisationen von US-amerikanischen Cloud-Anbietern und fordert gezielte Investitionen in europäische Alternativen.

    Auch wir empfehlen an dieser Stelle Unternehmen ihre Strategie zu überprüfen und zu hinterfragen, ob ein IT-Notfallplan mit konkreten Handlungsoptionen an dieser Stelle sinnvoll wäre.

    Zur Meldung bei golem.de
    IT-Notfallstrategie gegen politische Risiken

    Fazit

    Technologische Entwicklungen schreiten schnell voran – bei Cloud, KI und IT-Sicherheit. Transparenz, Unabhängigkeit und klare strategische Planung sind wichtiger denn je.

    Sie möchten wissen, was diese Entwicklungen für Ihre Organisation bedeuten?
    Wir unterstützen Sie bei der Analyse und Integration neuer Anforderungen – neutral, vorausschauend und auf Ihre Bedürfnisse abgestimmt.

  • BSI warnt: Windows 10 bald ohne Sicherheitsupdates – jetzt handeln

    BSI warnt: Windows 10 bald ohne Sicherheitsupdates – jetzt handeln

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 14. April 2025 offiziell vor dem bevorstehenden Support-Ende von Microsoft Windows 10 gewarnt. Ab dem 14. Oktober 2025 stellt Microsoft die reguläre Versorgung mit Sicherheitsupdates ein – für Millionen von Geräten in Unternehmen, Behörden und privaten Haushalten ein potenzielles Sicherheitsrisiko.

    Was bedeutet das konkret?

    Nach dem Stichtag werden bekannte Sicherheitslücken in Windows 10 nicht mehr durch Updates geschlossen. Zwar bietet Microsoft ein kostenpflichtiges „Extended Security Update“-Programm (ESU) für Unternehmen an – das BSI sieht darin aber keine langfristige Lösung, sondern nur eine Übergangsmaßnahme für besonders kritische Systeme.

    Empfehlung des BSI

    Das BSI empfiehlt ausdrücklich, betroffene Systeme rechtzeitig auf ein sicher unterstütztes Betriebssystem umzustellen. Neben Windows 11 können je nach Anwendungsfall auch Linux-basierte Systeme eine Alternative darstellen – insbesondere in Szenarien, in denen langfristige Wartbarkeit, Kostentransparenz und Herstellerunabhängigkeit eine Rolle spielen.

    Was Sie jetzt tun sollten

    • IT-Inventur durchführen: Welche Systeme laufen noch mit Windows 10?
    • Migrationsstrategie entwickeln: Welche Alternativen sind wirtschaftlich und technisch sinnvoll?
    • Sicherheitsanforderungen prüfen: Was ergibt sich aus ISO 27001 oder internen Richtlinien?
    • Frühzeitig kommunizieren und planen: Updates sind nicht nur Technik, sondern auch Change-Management.

    Sie benötigen Unterstützung bei der Umstellung oder strategischen Bewertung?

    Wir begleiten Sie bei der Planung, Entscheidungsfindung und Kommunikation als neutrale Berater.
    Sprechen Sie uns an – wir helfen Ihnen, Ihre Systeme sicher in die Zukunft zu führen.

  • ZenDiS – BSI schafft Basis für sichere digitale Lieferketten

    ZenDiS – BSI schafft Basis für sichere digitale Lieferketten

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem Projekt ZenDiS („Zentraler Dienst für sichere Lieferketten“) eine neue Initiative gestartet, um IT-Lieferketten in Deutschland transparenter und sicherer zu gestalten. Begleitet wird das Vorhaben von einem Strategiepapier, das die zentralen Herausforderungen und Lösungsansätze für vertrauenswürdige Softwarelieferketten in Deutschland aufzeigt.

    Digitale Lieferketten: Risiko erkannt, aber oft unkontrolliert

    Wie das BSI betont, sind digitale Lieferketten heute Hauptangriffsvektor für Cyberbedrohungen. Ob Softwarebibliotheken, Cloud-Dienste oder technische Dienstleister – die meisten Unternehmen greifen auf Komponenten Dritter zurück, deren Sicherheitsniveau sie kaum beurteilen können. Im Fall einer Kompromittierung – wie etwa bei SolarWinds oder Log4Shell – entsteht oft großer Schaden, auch ohne eigenes Fehlverhalten.

    Was ist ZenDiS?

    ZenDiS soll als zentrale Plattform Unternehmen dabei unterstützen, ihre Lieferbeziehungen sicherer, überprüfbarer und vertrauenswürdiger zu gestalten. Ziel ist ein bundesweites Ökosystem, das:

    • Transparenz in Softwarelieferketten schafft (z. B. durch strukturierte Nachweise über eingesetzte Komponenten),
    • den Vertrauensaufbau zwischen Unternehmen fördert,
    • digitale Identitäten in der Lieferkette absichert,
    • und die Einhaltung regulatorischer Anforderungen unterstützt (z. B. DSGVO, NIS2, ISO 27001).

    Laut Strategiepapier soll das ZenDiS offene Schnittstellen und bestehende Standards wie SBOMs (Software Bill of Materials) oder VEX (Vulnerability Exploitability eXchange) einbeziehen.

    Relevanz für Unternehmen

    Ob Mittelstand oder KRITIS-Betreiber – Unternehmen, die bereits heute Anforderungen aus ISO 27001, TISAX, BAIT/KAIT oder dem IT-Sicherheitsgesetz erfüllen müssen, profitieren langfristig von systematischer Transparenz über ihre Lieferketten. Auch mit Blick auf die Umsetzung der NIS2-Richtlinie und kommende Meldepflichten wird der strukturelle Blick auf externe IT-Abhängigkeiten zunehmend relevant.

    Die Einführung von ZenDiS erfolgt stufenweise – 2025 sollen erste Pilotphasen starten.

    Fazit: Jetzt Strukturen schaffen – bevor Pflichten entstehen

    ZenDiS ist kein Kontrollinstrument, sondern ein Schritt in Richtung strukturiertes Vertrauen in der digital vernetzten Wirtschaft. Unternehmen, die ihre Prozesse, Partner und eingesetzten Komponenten heute schon systematisch dokumentieren und bewerten, sind im Vorteil – organisatorisch, regulatorisch und sicherheitstechnisch.

    Sie möchten Ihre IT-Lieferkette sichtbar, sicher und auditierbar machen?

    Wir unterstützen Sie bei der Identifikation Ihrer digitalen Abhängigkeiten, dem Aufbau strukturierter Nachweise und der Integration von Sicherheitsstandards in Ihre Prozesse – unabhängig, praxisnah und mit einem klaren Blick auf kommende Anforderungen.