ResKontIS – Informationssicherheit für KMU

Informationssicherheit ist heute eine zentrale Managementaufgabe. NIS2, ISO 27001, Lieferkettenrisiken, Cyberangriffe und Business Continuity Management betreffen nicht nur die IT, sondern die gesamte Unternehmensführung. Auf dieser Seite findest Du Fachartikel, Leitfäden und praxisnahe Beiträge zu Informationssicherheit, Cybersicherheit und Resilienz im Mittelstand. Die Inhalte richten sich an Geschäftsführer, Führungskräfte, Informationssicherheitsbeauftragte und alle, die Informationssicherheit wirksam und verständlich gestalten möchten. Die Beiträge basieren auf langjähriger Praxiserfahrung in Informationssicherheit, IT-Management, Krisenmanagement und ISO 27001 sowie auf aktuellen regulatorischen Anforderungen wie NIS2 und dem BSIG. Diese Seite dient als zentraler Wissens-Hub von ResKontIS. Die Beiträge sind thematisch gegliedert und werden laufend erweitert. Ziel ist es, Entscheidern einen praxisnahen Überblick über regulatorische Anforderungen, ...

NIS2 mit ISO 27001 umsetzen: Warum ein ISMS der klügste Weg zur Compliance ist 1. Management-Zusammenfassung NIS2 ist kein reines IT-Projekt. Für betroffene Unternehmen wird Cybersicherheit zu einer Managementpflicht. Geschäftsleitungen müssen nachweisen können, dass angemessene technische, organisatorische und risikobasierte Maßnahmen umgesetzt, überwacht und weiterentwickelt werden. Die ISO/IEC 27001 ist dafür einer der stärksten Umsetzungsrahmen. Sie bietet ein erprobtes Managementsystem für Informationssicherheit, schafft klare Verantwortlichkeiten, dokumentierte Risiken, messbare Maßnahmen und einen kontinuierlichen Verbesserungsprozess. Genau das brauchen Unternehmen, um NIS2 nicht nur formal, sondern steuerbar umzusetzen. Wichtig ist aber: Eine ISO-27001-Zertifizierung ersetzt NIS2 nicht vollständig. Sie deckt viele Anforderungen ab, insbesondere Risikomanagement, Sicherheitsmaßnahmen, Governance, Awareness, Lieferantensteuerung und kontinuier...

Schutzbedarfsfeststellung: Warum Unternehmen zuerst ihre Kronjuwelen kennen müssen 1. Management-Zusammenfassung Informationssicherheit beginnt nicht mit Technik. Sie beginnt mit einer einfachen Managementfrage: Welche Informationen, Prozesse und Systeme sind für unser Unternehmen wirklich kritisch? Die Schutzbedarfsfeststellung liefert genau diese Antwort. Sie zeigt, welche Unternehmenswerte besonders geschützt werden müssen, weil ihr Verlust, ihre Manipulation oder ihr Ausfall erhebliche geschäftliche Schäden verursachen würde. Im BSI IT-Grundschutz wird dabei der mögliche Schaden für die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit betrachtet. Für Geschäftsführer und Führungskräfte ist die Schutzbedarfsfeststellung deshalb kein technisches Detail, sondern ein strategisches Steuerungsinstrument. Sie macht sichtbar, wo die „Kronjuwelen“ des Unternehmens liegen: Kundendaten, Produktionssysteme, Rezepturen, Vertragsdaten, ER...

NIS2 Betroffenheitsprüfung: So erkennen Unternehmen ihre Pflichten und vermeiden Haftungsrisiken Management-Zusammenfassung Seit Inkrafttreten des deutschen NIS2-Umsetzungsgesetzes und der Anpassungen des BSI-Gesetzes am 6. Dezember 2025 hat sich die Frage der NIS2-Betroffenheit von einer theoretischen Überlegung zu einer konkreten Managementaufgabe entwickelt. Viele Geschäftsleitungen gehen noch immer davon aus, dass NIS2 nur Betreiber kritischer Infrastrukturen betrifft. Diese Einschätzung ist gefährlich. Tatsächlich wurden die regulatorischen Anforderungen auf zahlreiche Unternehmen des Mittelstands ausgeweitet. Hinzu kommt, dass Unternehmen zunehmend indirekt über Kunden, Lieferanten oder vertragliche Anforderungen betroffen sind. Besonders kritisch: Die Verantwortung für die Umsetzung liegt nicht allein bei der IT-Abteilung. Das Gesetz adressiert ausdrücklich die Unternehmensleitung. Fehlende oder fehlerhafte Betroffenheitsprüfun...

Lieferkette sichern, Haftung vermeiden: NIS2 als Führungsaufgabe im Mittelstand Management-Zusammenfassung NIS2 verändert die Verantwortung für Informationssicherheit im Mittelstand grundlegend. Besonders deutlich wird das in der Lieferkette. Unternehmen müssen nicht mehr nur ihre eigenen Systeme schützen, sondern auch Risiken aus Dienstleisterbeziehungen, Cloud-Nutzung, Softwarelieferungen und externen Betriebsleistungen angemessen steuern.

Claude Mythos, Project Glasswing und die neue Realität der Cybersicherheit Management-Zusammenfassung Claude Mythos und Project Glasswing stehen für eine Entwicklung, die Informationssicherheit grundlegend verändert: Künstliche Intelligenz kann Schwachstellen nicht mehr nur schneller analysieren, sondern zunehmend eigenständig finden, bewerten und teilweise auch ausnutzbar machen. Anthropic beschreibt Claude Mythos Preview als nicht öffentlich verfügbares Frontier-Modell, das im Rahmen von Project Glasswing gezielt für defensive Sicherheitsarbeit eingesetzt werden soll. Ziel ist es, kritische Software schneller abzusichern, bevor vergleichbare Fähigkeiten in die Hände von Angreifern gelangen. Für Geschäftsleitungen, IT-Verantwortliche und Informationssicherheitsmanager ist die zentrale Botschaft klar: Das klassische Schwachstellenmanagement gerät unter Druck. Wenn KI-Systeme tausende unbekannte Schwachstellen schneller finden können, als Hersteller, Be...

NIS2: Viele betroffene Unternehmen sind weiterhin nicht registriert, warum das jetzt zum wachsenden Unternehmensrisiko wird Management-Zusammenfassung Die Registrierungsfrist für betroffene Unternehmen im Rahmen der NIS2-Regulierung ist abgelaufen, dennoch haben sich tausende Unternehmen in Deutschland bislang nicht beim BSI registriert. Für viele Unternehmen ist das längst kein Randthema mehr, sondern ein wachsendes Compliance-, Sicherheits- und Geschäftsrisiko. Besonders kritisch: Zahlreiche mittelständische Unternehmen unterschätzen weiterhin, dass sie überhaupt unter NIS2 fallen könnten. Gleichzeitig steigt der regulatorische Druck. Behörden erwarten nachvollziehbare Sicherheitsmaßnahmen, dokumentierte Governance-Strukturen und eine aktive Risikosteuerung. Die eigentliche Gefahr liegt dabei nicht nur in möglichen Bußgeldern. Fehlende Registrierung ist häufig ein Hinweis auf tieferliegende organisatorische Herausforderungen. Dazu zähl...