Besuchen Sie meinen Vortrag auf der heise security Tour 2025
Auch in diesem Jahr gibt es eine heise security Tour, auf der ich diesmal einen Vortrag zu einem häufig vernachlässigten, aber dennoch eigentlich allgegenwärtigen Thema halten werde, denn: Egal ob NIS-2, DORA, DSGVO oder eine andere aktuelle Compliance-Vorgabe, ein Risikomanagement bildet die Grundlage für eine angemessene und zielgerichtete Informationssicherheit. Und das gilt natürlich auch abseits aller Regulatorik, denn nur wer seine Problemzonen kennt, kann auch gezielt etwas unternehmen.
Im Vortrag stelle ich daher das Thema Risikomanagement in seinen Grundzügen vor, bilde Analogien zum Risikomanagement im Alltag und illustriere gleichzeitig auch die Notwendigkeit desselben im Rahmen der Umsetzung einer angemessenen Informationssicherheit. Anhand von etablierten Standards zeige ich dann die typischen Wege und Möglichkeiten im Risikomanagement auf und diskutiere zudem die Verantwortlichkeiten im Unternehmen.
Die Veranstaltung findet diesmal an folgenden Terminen und Orten statt:
- am 5. Juni 2025 2024 in Köln
- am 12. Juni 2025 in Hannover
- am 18. Juni 2025 online
- am 26. Juni 2025 in Stuttgart
- am 25. September 2025 online
Das ist natürlich auch eine sehr gute Gelegenheit, sich mal wieder persönlich zu treffen. Wer also Lust auf fachlichen Austausch oder auch nur ein wenig Plauderei hat, ist herzlich willkommen.
In diesem Sinne: Man sieht sich *Zwinkersmiley*
(Neues) Schaubild zum
NIS2UmsuCG-E
Auf der IT-Defense 2024 habe ich -wie bereits hier angekündigt- einen Roundtable zum Thema "Neue Anforderungen durch NIS-2 und Co. – aber was bedeutet das eigentlich für unser/mein Unternehmen?" gehalten.
Da es dabei recht viele Nachfragen gab, welche Vorgaben der NIS-2-Richtlinie und des (deutschen) Umsetzungsgesetzes für welche Kategorien von Einrichtungen gelten, habe ich für eine erste Übersicht zu dieser Frage ein einfach gehaltenes Schaubild erstellt.
Dieses ist als Illustration bei diesem Blogeintrag vorhanden und darf für nicht-kommerzielle Zwecke gerne verwendet werden. Und bei etwaigen Rückfragen gilt wie immer: Bitte einfach fragen *Zwinkersmiley*
Update vom 8. Mai 2024: Ich habe das Schaubild an den offiziellen Referentenentwurf zum NIS2UmsuCG vom 7. Mai 2024 angepasst.
Update vom 27. Juni 2024: Ich habe das Schaubild an den offiziellen Referentenentwurf zum NIS2UmsuCG vom 24. Juni 2024 angepasst.
Update vom 24. Juli 2024: Ich habe das Schaubild an den offiziellen Gesetzentwurf zum NIS2UmsuCG vom 22. Juli 2024 angepasst.
Unser Buch zum Thema
Datenschutz und IT-Compliance
Es ist vollbracht - und auch wenn das Buch schon seit Oktober 2023 auf dem Markt ist, freue ich mich immer noch wie Bulle, dass dieser lange Weg doch noch ein gutes Ende gefunden hat! Denn: Es war wie immer viel mehr Arbeit als gedacht, es hat wie immer viel mehr Zeit gekostet.
Herausgekommen ist ein Buch von Praktikern für Praktiker, das ich zusammen mit den beiden juristischen Kollegen Dennis Werner und Joerg Heidrich geschrieben habe. Ein Buch, was aus unserer Sicht ziemlich einzigartig ist: ein Fachbuch zum Thema Datenschutz und IT-Compliance für IT-Verantwortliche und Administratoren, interdisziplinär und vor allem praxisnah.
Wir hoffen, dass wir die avisierte Zielgruppe nicht enttäuschen, und freuen uns auf jeden Fall auf Feedback sowie auf hoffentlich viele positive Rezensionen *Zwinkersmiley*
Treffen und sprechen wir uns auf der DuD-Konferenz 2025?
Auch auf der DuD-Konferenz 2025, die in diesem Jahr vom 2.-4 Juni 2025 in Potsdam stattfindet, werde ich präsent sein. Diesmal halte ich allerdings keinen eigenen Vortrag, sondern darf -und das freut mich ganz besonders- zusammen mit Dr. Britta Alexandra Mester die Moderation der Veranstaltung übernehmen.
Natürlich ist auch das eine sehr gute Gelegenheit, sich wieder einmal persönlich auszutauschen. Wer also Lust und Gelegenheit hat, ist herzlich willkommen – ich freue mich schon auf anregende Gespräche!
In diesem Sinne: Man sieht sich *Zwinkersmiley*
Alle Jahre wieder: Update der BSI TR zur Kryptographie
Relativ geräuschlos hat das BSI am 4. März 2025 die alljährliche Aktualisierung der auf seiner Webseite veröffentlichten vierteiligen Technischen Richtlinie „BSI TR-02102 – Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ vorgenommen. Neben zahlreichen kleineren Anpassungen -vor allem bei den Angaben zu den jeweiligen Verwendungszeiträumen- sind in der BSI TR-02102-1 vor allem die Ergänzungen zum Thema PQC interessant. Hier einige aus meiner Sicht besonders interessante Aspekte:
- Erweiterung des grundsätzlichen Betrachtungszeitraums um ein Jahr, nunmehr bis zum Jahr 2031 (vgl. dazu TR-02102-1, Abschnitt 1.2)
- Konkretisierung des Migrationszeitraums auf PQC-Verfahren bei "hochsensitive Anwendungen" auf das Jahr 2030 (vgl. dazu TR-02102-1, Abschnitt 2.1)
- Verlängerung des Einsatzzeitraums für eine Vielzahl von "Algorithmen", die bisher auf 2030+ beschränkt waren, auf nunmehr 2031+ (übergreifend für die TR-02102-2 bis TR-02102-4).
Unbedingt sollte man aber Einschränkungen der Verwendungszeiträume -die auch bisher schon so vorgegeben waren- im Blick behalten, bspw. für den Einsatz von
- "Cipher-Suiten für TLS 1.2 ohne Perfect Forward Secrecy" (hier Ende des Verwendungszeitraums 2026, vgl. dazu TR-02102-2, Abschnitt 3.3.1.2, Tabelle 3),
- "Cipher-Suiten für TLS 1.2 mit Pre-Shared Key auf Basis von RSA" (hier Ende des Verwendungszeitraums 2026, vgl. dazu TR-02102-2, Abschnitt 3.3.1.3, Tabelle 4) oder auch
- "RSA als Signaturverfahren für TLS 1.2" (hier Ende des Verwendungszeitraums 2025(!), vgl. dazu TR-02102-2, Abschnitt 3.3.3, Tabelle 6).
PS: Warum zwischen dem Datum in den pdf-Dateien und der Veröffentlichung auf der Webseite wiederum mehr als vier Wochen liegen, verstehen wahrscheinlich auch nur die Eingeweihten *Zwinkersmiley*
Konkretisierung der „Produkte“ im CRA: Konsultation läuft
Die Europäische Kommission hat Mitte März einen Entwurf für die "Technical description of important and critical products with digital elements" erstellt. Dieser dient dazu, die Kriterien und Merkmale von im Kontext des Cyber Resilience Act (CRA) regulierten Produkten mit Digitalen Elementen näher zu definieren und ist ausschlaggebend für die Art des nach Art. 32 CRA notwendigen Konformitätsbewertungsprozesses.
Im Rahmen des Konsultationsverfahrens "Have your say: Public Consultations and Feedback" haben Interessierte noch bis zum 15. April 2025 die Möglichkeit, ihre Anregungen einzubringen.
Also: Nicht immer nur über Regulierung meckern, sondern -so wie ich hier- diese im Bereich des Möglichen selbst mitgestalten! Worauf wartet Ihr noch?!? Los geht's! *Zwinkersmiley*