Die mangelhafte Verwaltung von Zugriffsrechten stellt eines der größten IT-Sicherheitsrisiken dar. Häufig werden einmal vergebene Rechte nicht wieder entzogen, selbst wenn sich die Rolle des Mitarbeiters ändert oder er gar das Unternehmen verlassen hat. Das klassische Beispiel sind Auszubildende, die im Rahmen ihrer Ausbildung verschiedene Abteilungen durchlaufen und in jeder entsprechende Zugriffsrechte enthalten. Am Ende der Ausbildung haben diese Accounts oft mehr Rechte als ein Geschäftsführer.
In diesem heise-Whitepaper erläutere ich, wie sich solche Risiken minimieren lassen. Es zeigt auf, welche konkreten Gefahren durch ein nachlässiges Rechtemanagement entstehen können, erklärt verschiedene Konzepte (Policies, Rollen) für die Rechteverwaltung, stellt deren Vor- und Nachteile dar und gibt Hilfestellungen für den Aufbau eines auf Zero-Trust-Prinzipien basierenden Zugriffsmanagements.
Schlagwort-Archiv: IT
Webcast E-Invoicing in Europa: Was auf Unternehmen zukommt
Die Einführung der verpflichtenden elektronischen Rechnungsstellung schreitet in Europa rasant voran. In Deutschland, Frankreich, Spanien, Belgien und vielen weiteren EU-Mitgliedstaaten stehen neue gesetzliche Vorgaben kurz bevor. Mit der EU-Initiative „VAT in the Digital Age“ (VIDA) rücken zudem grenzüberschreitende Meldepflichten näher.
Im CIO-Webcast am 28. Oktober 2025 um 11 Uhr spreche ich mit Experten von PwC und Comarch darüber, welche Maßnahmen Unternehmen jetzt ergreifen müssen, um die aktuellen E-Invoicing-Regeln einzuhalten und sich auf künftige Anforderungen vorzubereiten.
NIS-2-Umsetzung in der EU: Chaos und Bummelei
Nur in vier Ländern der EU wurde die Sicherheitsrichtlinie NIS 2 fristgerecht umgesetzt. Das wäre schon schlimm genug, noch schwerer wiegt jedoch der große Interpretationsspielraum, den sich die Länder bei der Umsetzung genehmigt haben. So wird das erklärte Ziel, ein einheitliches Cybersicherheitsniveau in der Europäischen Union zu gewährleisten, kaum erreicht werden. Meine Analyse der aktuellen Situation auf Golem.
Whitepaper: Der Cyber Resilience Act (CRA) und seine Umsetzung
Am 10. Dezember 2024 trat der Cyber Resilience Act (CRA) in Kraft. Die neue EU-Verordnung ist Teil der Cybersicherheitsstrategie der Europäischen Union, die Verbraucher und Unternehmen besser vor Cyberangriffen schützen soll. Der CRA gilt für alle Produkte, die digitale Komponenten enthalten, sofern sie nicht bereits durch andere Gesetze reguliert werden. Wer solche Produkte herstellt oder in der Europäischen Union in den Verkehr bringt, muss bei der Entwicklung und Produktion bestimmte Sicherheitsstandards einhalten, Updates und Security-Patches über dem gesamten Lebenszyklus zur Verfügung stellen und Verbraucher über die potenziellen Sicherheitsrisiken digitaler Komponenten informieren.
In diesem Whitepaper, das ich im Auftrag von heise geschrieben habe, stelle ich die Anforderungen des CRA und dessen Auswirkungen auf Hersteller, Verkäufer und Nutzer von Produkten mit digitalen Elementen dar und zeige, welche Produkte unter die neue Gesetzgebung fallen, wie Hersteller die geforderten Sicherheitselemente integrieren und wie sie die Konformität ihrer Produkte nachweisen können.
Whitepaper: Betriebsumgebungen vor Cyberattacken schützen
Die Zeiten, in denen Informationstechnik (IT) und Betriebstechnik (Operational Technology, OT) strikt voneinander getrennt waren, sind längst vorbei. Fertigungsstraßen, Maschinen, Werkzeuge – alles ist vernetzt und wird über Computersysteme gesteuert. Konzepte wie Smart Factory oder Digital Twin sind überhaupt nur realisierbar, wenn IT- und OT-Systeme miteinander kommunizieren und Daten austauschen können.
Diese Offenheit birgt jedoch auch neue Risiken. Die Protokolle und Schnittstellen der OT-Welt sind für geschlossene Betriebsumgebungen konzipiert, nicht für das offene Internet. Ohne zusätzliche Schutzmaßnahmen haben Angreifer daher leichtes Spiel.
Mein Whitepaper, das ich im Auftrag von heise erstellt habe, zeigt, welche Folgen ein unzureichender Schutz von OT-Systemen haben kann und welche Sicherheitsvorkehrungen Unternehmen treffen müssen, um OT-Umgebungen vor Cyberangriffen zu schützen. Es stellt außerdem ein mehrstufiges Konzept vor, mit dem sich Betriebsumgebungen effizient absichern lassen.
NIS 2 und die Folgen
Mitte Januar 2023 ist die neue EU-Sicherheitsrichtlinie NIS 2 (Network and Information Security 2) in Kraft getreten. Was sie für Unternehmen bedeutet und warum die Richtlinie Auswirkungen über den Bereich Kritischer Infrastrukturen hinaus haben wird, das diskutiere ich am 04. Juli mit dem SUSE-Sicherheitsexperten Knut Trepte im COMPUTERWOCHE Webcast.
Hier geht’s zur Registrierung.
Geht Cloud auch sicher?
Sicherheit in der Cloud darf nicht allein dem Provider überlassen werden. Im Webcast am 28. Juni 2023 spreche ich mit den Experten von T-Systems darüber, wie Anwender ein Security Assessment für ihre Cloud-Instanzen bei Amazon Web Services durchführen können, und wie sich in der AWS-Cloud Datensouveränität, Vertraulichkeit und Compliance sicherstellen lassen.
Mehr Information finden Sie auf der Anmeldeseite.
Interview mit Prof. Dr. Volker Quaschning
Prof. Dr. Volker Quaschning ist einer der wichtigsten und prominentesten Experten für Erneuerbare Energien in Deutschland. Für meinen Artikel über Green IT habe ich mit ihm über nachhaltige Strategien in der IT-Beschaffung gesprochen. Lesen Sie hier das Interview mit Prof. Quaschning. Den gesamten Artikel finden Sie unter diesem Link.
Webinar: Wie sieht der Arbeitsplatz der Zukunft aus?
Im Computerwoche-Webinar Modernes Arbeiten in Zeiten der Cloud – Vernetzte Arbeitskonzepte in einer digitalen Welt, das in Kooperation mit Bechtle veranstaltet wird, gehen wir der Frage nach, was moderne Arbeitplätze auszeichnet, wie sie sich realisieren lassen und welche Vorteile der „Modern Workplace“ sowohl Unternehmen als auch Mitarbeitern bietet. Das Webinar findet am am 06.06.2019 um 11 Uhr statt.
Webinar: Endlich alle Daten im Griff
Im harten internationalen Wettbewerb spielen Daten heute die entscheidende Rolle. Dabei gilt es nicht nur, die richtigen Daten zu erfassen, sondern vor allem auch die bestehenden Datenbestände umfassend auswerten zu können.
Viele Unternehmen scheitern jedoch genau an diesem Schritt. Ihre Datenbestände sind fragmentiert, klassische Datenintegrationsprojekte über ETL (Extract, Transform, Load) verschlingen Unsummen, dauern Jahre und scheitern oft. Entscheidungen werden deshalb weiterhin auf unvollständiger Datenbasis getroffen.
Im COMPUTERWOCHE-Webinar „Ihre Daten: Rundumsicht statt Rätsel raten“ in Zusammenarbeit mit MarkLogic werden wir zeigen, wie sich Datenintegrationsprojekte nicht nur um den Faktor 4 bis 10 beschleunigen, sondern auch garantiert erfolgreich abschließen lassen.