Episodes
-
Die ISO 27001 gibt in Kapitel 9 vor, dass Überwachung, Messung, Analyse und Bewertung des ISMS stattfinden muss – und ist damit eine klare Aufforderung Kennzahlen zu erheben. Aber wie findet man nun am besten Kennzahlen, die aussagekräftig sind und nicht nur mittels Raketenwissenschaft erhoben werden können?
In diesem Podcast wollen wir darauf eingehen, wie man Kennzahlen findet, welche Kennzahlen im ISMS sinnvoll sind, wie Kennzahlen im ISMS eingebunden werden können und vor allem welche doch hohe Bedeutung Kennzahlen im ISMS und im gesamten Sicherheitsprozess eines Unternehmens haben können.
Dieser Podcast richtet sich an die Informationssicherheitsbeauftragten im Unternehmen, weitere Verantwortliche im ISMS und natürlich an die Geschäftsführung, die das ISMS verantwortet. -
Zu viele Köche verderben den Brei – aber wie viele Köche braucht man eigentlich, um einen wirklich schmackhaften Brei zu bekommen? Eine ähnliche Frage kann man sich bei der Zusammenstellung des Projektteams für die Einführung eines ISMS stellen: wer sollte unbedingt dabei sein, damit alle Aspekte des Unternehmens sich auch im ISMS widerspiegeln?
In diesem Podcast wollen wir darauf eingehen, welche Personen und Personengruppen man bei der Einführung eines ISMS in Projektteam holen sollte, über welche Kompetenzen und Befugnisse sie verfügen sollten und welche Synergien sich ergeben können.
Dieser Podcast richtet sich an die Verantwortlichen im ISMS, die für die Zusammenstellung der Projektgruppe zuständig sind, sowie die Geschäftsleitung, die das gesamte ISMS verantwortet. -
Episodes manquant?
-
Die Vorstellung der eigenen Mitarbeiter auf der Firmenwebseite, Bilder der letzten Unternehmensfeier im Intranet oder auf Social Media oder einfach nur der Betriebsausweis mit Lichtbild - im Unternehmensumfeld gibt es immer wieder Situationen in denen Bilder genutzt werden, um einen persönlichen Bezug herstellen zu können. Aber was sagt der Datenschutz zu dieser Praxis.
In diesem Podcast wollen wir darauf eingehen, welche datenschutzrechtlichen Punkte bei der Aufnahme und vor allem bei der Veröffentlichung von Fotos von Mitarbeitern, Kunden oder Besuchern zu beachten ist. Wir gehen darauf ein, wann eine Einwilligung der Fotografierten nötig ist, was bei externen Fotografen zu beachten ist und welchen Problematiken sich bei der Veröffentlichung von Fotos in Printmedien oder im Internet ergeben können.
Dieser Podcast richtet sich vor allem an Mitarbeiter in der Personalabteilung, im Marketing und in der Veranstaltungsabteilung von Unternehmen, aber natürlich auch an alle Mitarbeiter die ggf. betroffen sind. -
In allen Managementsystemen wie einem ISMS oder QMS sind Richtlinien als dokumentierter Nachweis wie Prozesse laufen sollen, essenziell.
In diesem Podcast wollen wir darauf eingehen, wie man Richtlinien möglichst einfach, einheitlich und verständlich erstellt und im Unternehmensalltag integriert. Dabei ist es auch wichtig, Richtlinien nicht als Hürde oder bürokratische Zeitfresser zu sehen, sondern als sinnvolle Leitplanken, die im Arbeitsalltag, bei Unklarheiten und bei Haftungsfragen hilfreich sind.
Dieser Podcast richtet sich an die Unternehmensleitung und an alle die für die Erstellung und den Lebenszyklus von Richtlinien zuständig sind. -
In 2022 wurden die ISO Normen 27001 und 27002 aktualisiert. Neben kleineren Änderungen und Ergänzungen in den Normkapiteln der ISO 27001 gab es große Änderungen in der ISO 27002 und damit auch im Anhang der ISO 27001, in den Controls und Maßnahmen zur Umsetzung eines ISMS. Bis 2025 müssen alle bereits zertifizierten ISM Systeme nach den aktualisierten Normen ausgerichtet werden, daher ist eine Beschäftigung mit den Änderungen unumgänglich.
In diesem Podcast unterhalten sich ein Berater und ein Auditor über die Änderungen in der Norm, über Schwierigkeiten bei der Umsetzung und über die Wichtigkeit die aktualisierte Norm noch einmal genau zu lesen um auch kleine Änderungen zu erkennen und konform umzusetzen.
Dieser Podcast richtet sich an alle, die mit der Umsetzung eines ISMS nach ISO 27001 beschäftigt sind, also von der Geschäftsführung, über Informationssicherheitsbeauftragte bis hin zu den Mitarbeitern im entsprechenden Bereich. -
Seit einigen Jahren macht die Entwicklung der Künstlichen Intelligenz (KI) enorme Sprünge - von reinem „Maschinenlernen“ zu gefühlter Intelligenz ist spätestens seit der Einführung von Chat GPT der Wandel vollzogen. Doch wie kann man diese Technologie im Unternehmen rechtssicher einsetzen? Welche Anwendungsmöglichkeiten gibt es, wie kann so ein Einführungsprojekt bestmöglich umgesetzt werden, welche Risiken sind zu beachten und wie können Mitarbeiter überzeugt werden, dass die KI sie nicht überflüssig machen soll?
Unser Gesprächspartner ist diesmal Steffen Maas, einer der Gründer der ai.Impact GmbH in Hamburg, der Unternehmen bei der Einführung von KI unterstützt (https://ai-impact.com).
Dieser Podcast richtet sich an alle, die sich mit der Einführung von künstlicher Intelligenz im Unternehmen beschäftigen also von der Geschäftsführung, über Mitarbeiter in der IT, Informationssicherheits- und Datenschutzbeauftragte bis hin zu den Mitarbeitern im entsprechenden Bereich. -
Videoüberwachung am Arbeitsplatz – ein sehr sensibles Thema, bei dem sich Mitarbeiter oftmals unwohl fühlen, der Arbeitgeber hingegen gern darauf setzt, um aussagekräftiges Material im Schadens- oder Streitfall zu haben.
In diesem Podcast wollen wir darauf eingehen, was bei dem Einsatz von Videotechnik auf Firmengelände unbedingt beachtet werden muss, um datenschutzrechtlich konform zu handeln.
Dieser Podcast richtet sich an alle, die sich mit betrieblicher Videoüberwachung auseinandersetzen wollen oder müssen, also von der Geschäftsführung, über Datenschutzbeauftragte bis hin zu den Mitarbeitern im entsprechenden Bereich. -
Die notwendige Risikobetrachtung bzw. Notfallplanung in einem ISMS oder BCM erscheint oftmals wie ein riesiger, unübersichtlicher und schwer zu bezwingender Berg – wo soll man anfangen, auf was muss man achten, wie schafft man es vor lauter Risiken den Kopf nicht in den Sand zu stecken?
Am Beispiel des Risikos „Hochwasser“ wollen wir in diesem Podcast einmal Schritt für Schritt durchgehen, wie ein Risiko betrachtet und im BCM bestmöglich damit umgeht. Wir gehen darauf ein, wie man Risiken erkennt und sie normgerecht dokumentiert und behandelt. Und schon wird aus einem riesigen Berg nur noch ein kleiner Hügel.
Dieser Podcast richtet sich an Informationssicherheitsbeauftragte, BCM-Manager und alle, die sich im Unternehmen mit der Notfallplanung oder dem Business Continuity Management beschäftigen. -
Nachdem wir in vorherigen Podcasts bereits über die Auswahl der passenden Norm, die Aufgaben von ISB und Geschäftsführung, den ersten Schritten im ISMS sowie der Methodik gesprochen haben, uns also den Kapitel 4 (Kontext), 6 (Planung) und teilweise 8 (Betrieb) gewidmet haben – geht es in diesem Podcast um die Kapitel 5 = Führung, 9 = Überwachung (Bewertung der Leistung) und 10 = Verbesserung – sprich um die Teile des ISMS bei denen es um die Steuerung geht.
Dieser Podcast richtet sich zum einen an Geschäftsführer, Vorstände und die oberste Managementebene, zum anderen aber auch an die Hauptverantwortlichen im ISMS, wie ISB oder CISOs. -
Das Jahr 2023 neigt sich dem Ende entgegen, Zeit, um einmal zurückzublicken, was uns das Jahr im Bereich des Datenschutzes gebracht hat.
In diesem Podcast werden wir vor allem den Datenschutz bei der Nutzung von Künstlicher Intelligenz, neue Regelungen und Bestrebungen zum Thema Datenschutz der Europäischen Union und auch was sich auf nationaler Ebene getan hat, beleuchten.
Dieser Podcast richtet sich an alle, die mit Datenschutz im Unternehmen zu tun haben, z.B. Geschäftsführung, Datenschutzbeauftragte, Datenschutzkoordinatoren, Mitarbeiter im Personalbereich. -
Das Jahr 2023 neigt sich dem Ende entgegen, Zeit, um einmal zurückzublicken, was uns das Jahr im Bereich der Informationssicherheit gebracht hat.
Von der Zertifizierung der aktualisierten ISO 27001 über die ersten Auswirkungen der in 2022 verabschiedeter Gesetze und Richtlinien bis hin zum spannenden Thema der Chancen und Risiken künstlicher Intelligenz, in diesem Podcast wollen wir all diese Punkte einmal beleuchten.
Dieser Podcast richtet sich an alle, die mit Informationswerten und Informationssicherheit im Unternehmen zu tun haben, vom Geschäftsführer, über ISBs, CISOs bis zu allen Verantwortlichen von Informationswerten im Unternehmen. -
Nachdem man sich Gedanken gemacht hat, warum, durch wen und nach welchem Standard ein ISMS eingeführt werden soll, sollte man nicht einfach wild drauf los starten. Besser ist es, sich schon am Anfang des ganzen Projektes grundlegende Gedanken zur Dokumentation, Klassifizierung, zum Risiko- und Assetmanagement zu machen.
In unserem Podcast wollen wir darauf eingehen, welche Vorteile es hat, sich zuerst mit der Methodik und erst dann mit der Umsetzung in einem ISMS zu befassen, welche Hilfestellungen es geben kann und warum man nicht nach Schablone F vorgehen sollte. -
Seit Mai 2023 müssen Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, dem BSI nachweisen, dass sie Systeme zur Angriffserkennung (SzA) betreiben. Diese Nachweise sind durch eine externe Prüfung zu erbringen.
Die ANMATHO AG hat solche Prüfungen in 2023 durchgeführt und erste Erkenntnisse zur Umsetzung der Anforderungen gesammelt. In unserem Podcast wollen wir nun darauf eingehen, was bei der Meldung an das BSI zu beachten ist und wie die Systeme zu Angriffserkennung bestmöglich eingeführt und weiterentwickelt werden können. -
Seit 2021 ist das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Zu Anfang gab es wohl so etwas wie eine Umsetzungsfrist bei der die Aufsichtsbehörden ein Auge zu gedrückt haben. Doch jetzt beschäftigt vor allem das Thema Webseitentracking und nicht konforme Cookiebanner die Datenschutzbehörden in ganz Europa. Ob versteckte Ablehn-Bottons oder Nudging, eine Vielzahl an Cookiebannern entspricht nicht der geforderten Form und führt zu entsprechenden Bußgeldern.
In unserem Podcast wollen wir darauf eingehen, welche Punkte aus dem TTDSG aktuell immer wieder die Behörden beschäftigen, was bei Cookiebannern unbedingt zu beachten ist, um Bußgelder zu vermeiden und was die Zukunft in dem Bereich bringt. -
Ein verabschiedetes IT-Sicherheitsgesetz für alle Zeit? Nein, so einfach ist es leider nicht, sowohl deutschland- als auch EU-weit wird der Schutz von Informationen immer weiter vorangetrieben. So werden nun mit durch das IT-Sicherheitsgesetzt 2.0 (IT-SiG 2.0) und die NIS2 Richtlinie neue Anforderungen an Unternehmen gestellt.
In unserem Podcast wollen wir darauf eingehen, was im IT-SiG 2.0 und in der NIS2 Richtlinie steht, welche Forderungen neu hinzugekommen sind, welche erweiterten Befugnisse das BSI nun hat und welche Themen in Zukunft aus IT-SiG 2.0, 3.0 und NIS 2 auf die Unternehmen zukommen werden. -
Man kann noch so gut planen und sich an Regeln halten, passieren kann trotzdem immer etwas. Aber wie geht man damit um, wann handelt es sich tatsächlich um einen Vorfall und wann nur um ein Ereignis, dass zwar beobachtet werden muss, aber noch kein wirkliches Problem darstellt?
In unserem Podcast wollen wir darauf eingehen, wie die Begriffsdefinition von Schwachstelle, Ereignis und Vorfall zu unterscheiden ist. Wer sollte wann und an wen melden, sowohl intern als auch extern und welche Aufgaben hat der ISB in diesem Prozess. -
Aller Anfang ist schwer – auch bei der Einführung eines ISMS stellen sich viele Fragen: warum, wie, wer? Einfach anfangen ist auch nicht ratsam, ein unstrukturiertes Vorgehen verschwendet nur unnötig Ressourcen. Aber wie beginnt man ein ISMS-Projekt nun richtig?
In unserem Podcast wollen wir darauf eingehen, welche Fragen Sie sich zu Beginn eines ISMS-Projektes stellen müssen. Angefangen bei dem warum, dass nicht nur mit „weil wir es müssen“ beantwortet werden sollte, über das was (soll zertifiziert werden), bis hin zum wer (soll sich darum kümmern). Wir gehen auf die Wichtigkeit der Geschäftsführung in diesem Projekt ein und auch auf die Zeitplanung für das Projekt, die nicht zu knapp gefasst sein darf. -
Für ein zertifiziertes und funktionierendes ISMS nach ISO 27001 ist eine Risikobewertung und Risikobehandlung unverzichtbar. Im Anhang A werden viele Punkte aufgegriffen, die Risiken bergen können. Aber reicht es, diese Controls einfach abzuarbeiten? Und wie schafft man es bei der Fülle an Risiken nicht zu verzweifeln?
In unserem Podcast wollen wir darauf eingehen, wie Sie Risiken in Ihrem Unternehmen finden, bewerten, priorisieren und behandeln können? Wir geben Tipps, wie man auch die speziellen Risiken für das eigenen Unternehmen finden kann, die nicht im Anhang der ISO 27001 erwähnt werden und warum ein kontinuierliches Bearbeiten der Risikoanalyse so wichtig ist. -
Das Mobile Device Management ist zum einen eine softwarebasierte Verwaltung von mobilen Geräten wie Laptops, Smartphones usw. aber auch ein Konzept in dem klare Regeln aufgestellt werden, wie diese mobilen Geräte eingesetzt werden dürfen.
In unserem Podcast „Mobile Device Management (MDM) aus Informationssicherheits- und Datenschutzsicht“ gehen wir darauf ein, welche Vorteile ein MDM bietet und worauf zu achten ist, um die Vorgaben aus Sicht der Informationssicherheit und dem Datenschutz zu erfüllen. -
Laut ISO 27001:2022 Kapitel 9.2 sind interne Audits ein verpflichtender Bestandteil eines funktionierenden ISMS. Jedoch sollte man diese Audits nicht als Zwang wahrnehmen, sondern eher als Möglichkeit, gezielt Schwachstellen aufzugreifen und rechtzeitig abzustellen.
In unserem Podcast „Audits in der ISO 27001 – wie, wer, was?“ gehen wir darauf ein, welche Rolle interne Audits im Vergleich zu Zertifizierungsaudits spielen, wie Audits am besten geplant werden und wie mit den Ergebnissen umgegangen werden sollte. - Montre plus