Wir leben im digitalen Zeitalter – alles wird vernetzt, die Komplexität steigt und für Unternehmen entstehen neue Risiken. Machen es Sicherheitslücken leicht sich ins System zu hacken oder sind die Mitarbeiter nicht für dieses Thema sensibilisiert, gelangen vertrauliche Daten schnell in die falschen Hände. Dieses ernstzunehmende Problem bedingt finanzielle Aufwendungen und Haftungsrisiken. Informationssicherheit ist daher ein Grundpfeiler für zukunftssicheren Unternehmenserfolg.
Securing Business in the Digital Age
Auch Unternehmen, deren Geschäftsmodell bislang eher wenig von Informationstechnologie abhing und ein vermeintlich geringeres Risikoprofil hatten, werden durch den Trend zur Digitalisierung einem massiven Ausbau ihrer IT-Kompetenz gegenüberstehen. Dies kann entweder durch eigenen Antrieb oder auf Druck vom Gesetzgeber, von Mitbewerbern oder Kunden geschehen. So müssen zum Beispiel die Betreiber kritischer Infrastrukturen die umfangreichen Anforderungen des IT-Sicherheitsgesetztes erfüllen und Automobilzulieferer Informationssicherheit gemäß TISAX umsetzen.
Informationssicherheit ist essenziell, um Unternehmen fit für die Zukunft zu machen und sollte daher nachhaltig in der Unternehmenskultur und -struktur verankert werden. In allen Prozessen und Bereichen (IT/OT/IoT, Facility Management, Personalmanagement etc.) braucht es Informationssicherheit, um die Risiken der Digitalisierung zu minimieren.
Ich überprüfe und bewerte Ihre Informationssicherheit, führe Risikoanalysen durch und unterstützte Sie beim Aufbau eines Informationssicherheitsmanagementsystems. Meine Devise lautet: So viel wie nötig, so wenig wie möglich. Ich biete keine Standardlösungen, sondern immer ein passgenaues wirtschaftliches Konzept für Ihr Unternehmen und Ihre Bedürfnisse. Mit meinem umfassenden und tiefen technischen Fach-Know-how und meinem Management- und Prozesswissen bin ich zudem in der Lage, zwischen den Welten zu vermitteln und Kommunikationsbrücken zwischen „Tekkis“ und der Management Ebene zu schlagen.
Meine Leistungen
- Auditierung und Reifegradbewertung der Informationssicherheit
Durchführung systematischer Sicherheitsbewertungen auf Basis anerkannter Standards wie VdS 10000, ISO/IEC 27001 sowie branchenspezifischer Sicherheitsstandards (B3S) im Rahmen von KRITIS-Prüfungen gemäß § 8a BSIG. - Technische Sicherheitsüberprüfungen
Durchführung von Schwachstellenanalysen, Penetrationstests und Red Team Assessments zur realitätsnahen Bewertung der technischen Sicherheitslage – inklusive physischer Testszenarien und Simulation gezielter Angriffe. - Beratung und Coaching in zentralen Sicherheitsdisziplinen
Strategische und operative Unterstützung in den Bereichen Informationssicherheitsmanagement (ISMS), Security Incident Response Management sowie IT-Notfallmanagement – inklusive Konzeption, Umsetzung und operativer Begleitung. - Einführung, Betrieb und Zertifizierung von ISMS
Begleitung beim Aufbau, der Weiterentwicklung und Zertifizierung von Informationssicherheitsmanagementsystemen nach VdS 10000, ISO/IEC 27001 oder branchenspezifischen KRITIS-Standards (B3S) – passgenau und risikoorientiert. - Interimsmanagement Informationssicherheit
Übernahme der Rolle des Informationssicherheitsbeauftragten (ISB) bzw. Chief Information Security Officer (CISO) auf Zeit – zur Überbrückung von Vakanzen oder als dauerhaft externe Sicherheitsverantwortung. - Awareness, Sensibilisierung und Fachvorträge
Durchführung von Fachvorträgen, Awareness-Kampagnen und Live-Hacking-Demonstrationen zur Sensibilisierung von Führungskräften, Fachbereichen und Mitarbeitenden – verständlich, praxisnah und eindrucksvoll.
Meine Fokusthemen
Um Informationssicherheit wirksam und nachhaltig im Unternehmen zu verankern – und damit sowohl operative Risiken als auch persönliche Haftungsrisiken für Geschäftsführung und Verantwortliche zu minimieren – ist die Einführung eines strukturierten Informationssicherheitsmanagementsystems (ISMS) unerlässlich. Ein ISMS bildet den organisatorischen und prozessualen Rahmen, um Informationssicherheit systematisch, nachvollziehbar und fortlaufend zu steuern.
Es basiert auf einer geeigneten Governance-Struktur, klar definierten Verantwortlichkeiten und regelmäßig wiederkehrenden Prozessen zur Identifikation, Bewertung und Behandlung von Risiken. Ziel ist es, ein angemessenes, an den Geschäftsanforderungen orientiertes Sicherheitsniveau zu etablieren und dieses kontinuierlich an sich verändernde Bedrohungslagen, rechtliche Anforderungen und technologische Entwicklungen anzupassen.
Ich unterstütze Sie umfassend beim Aufbau, der Weiterentwicklung oder der Optimierung Ihres ISMS – unabhängig davon, ob Sie sich an ISO/IEC 27001, VdS 10000, BSI IT-Grundschutz oder an branchenspezifischen Standards orientieren. Auf Wunsch übernehme ich die Funktion des externen Informationssicherheitsbeauftragten (CISO) und steuere Ihr Sicherheitsprogramm mit Weitblick, Augenmaß und dem Fokus auf Wirksamkeit und Wirtschaftlichkeit.
Der deutsche Senkrechtstarter bei den ISMS für kleine und mittlere Unternehmen (KMU) sind die VdS-Richtlinien 10000. Dieser 2015 von der Deutschen Versicherungswirtschaft veröffentlichte Standard folgt meinem Grundsatz „so wenig wie möglich, so viel wie nötig“ und ermöglicht es KMU, die Mindestanforderungen an Informationssicherheit mit vertretbarem Aufwand umzusetzen.
Als Co-Autor der VdS 10000 und erster offiziell anerkannter VdS-Berater für Cyber-Sicherheit verfüge ich über einzigartiges Know-how aus erster Hand, um Sie optimal bei der Einführung, Umsetzung oder Prüfung dieses Standards zu unterstützen. Ich habe die VdS-Richtlinien bereits in zahlreichen Unternehmen und Branchen erfolgreich eingeführt – praxisnah, effizient und passgenau.
Doch nicht nur KMU profitieren von der Eleganz und Klarheit der VdS-Richtlinien: Auch für den gehobenen Mittelstand bieten sie eine ausgezeichnete Grundlage zur strukturierten Gestaltung des Informationssicherheitsmanagements. Zudem ist die VdS 10000 vollständig aufwärtskompatibel zu umfangreicheren Standards wie ISO 27001 oder dem BSI IT-Grundschutz. Ein späterer Wechsel ist somit problemlos möglich – ohne die bisherige Arbeit infrage zu stellen.
Insbesondere für große, international aufgestellte Konzerne und Unternehmen empfiehlt sich die Wahl der international anerkannten ISO 27001 zur Implementierung eines ISMS. Dieser sehr generisch formulierte Standard lässt sich einfach an die oft heterogenen Unternehmensstrukturen anpassen und erfüllt aufgrund der hohen Vorgaben für Prozessreifegrade und Dokumentation die meisten gesetzlichen, regulatorischen oder vertraglichen Anforderungen.
Gerade weil die ISO 27001 bewusst branchen- und größenunabhängig formuliert ist, eignet sie sich auch hervorragend für kleine und mittlere Unternehmen (KMU). Der modulare Aufbau und der risikobasierte Ansatz ermöglichen eine praxisnahe, skalierbare Umsetzung – auch mit begrenzten Ressourcen.
Als zertifizierter Implementierer (Lead Implementer) und Leitender Auditor (Lead Auditor) für ISO 27001 unterstütze ich Unternehmen bei der Einführung eines ISMS nach ISO 27001 oder der Transition von einem ISMS gemäß VdS 10000.
Betreiber kritischer Infrastrukturen sind gesetzlich verpflichtet, die Sicherheit der relevanten Anlagen und Dienstleistungen gemäß dem aktuellen Stand der Technik umzusetzen und die Umsetzung von einer dafür qualifizierten Stelle prüfen zu lassen. Prüfungsgrundlage sind dabei meist branchenspezifische Sicherheitsstandards (B3S), die in der Regel von den jeweiligen Verbänden entwickelt und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassen wurden.
Seit Inkrafttreten der NIS2-Richtlinie sind zusätzlich zahlreiche Unternehmen aus dem gehobenen Mittelstand verpflichtet, vergleichbare Sicherheitsmaßnahmen zu ergreifen – auch wenn sie nicht als klassische KRITIS-Betreiber gelten. Betroffen sind insbesondere Unternehmen aus den Bereichen Energie, Transport, Gesundheit, Trinkwasser, digitale Infrastruktur, Verwaltung, Forschung, Finanz- und Versicherungswesen, Entsorgung, Lebensmittelwirtschaft, Industrie sowie IKT-Dienstleistungen.
Mit meiner langjährigen Erfahrung bei unterschiedlichen KRITIS-Betreibern unterstütze ich Sie bei der Erfüllung der gesetzlichen Anforderungen und bereite Ihr Unternehmen als Inhaber der Prüfverfahrens-Kompetenz nach § 8a (3) BSIG auf eine anstehende KRITIS-Prüfung vor – ebenso wie auf anstehende NIS2-Prüfungen oder Anforderungen Ihrer Aufsichtsbehörden und Kunden.
Wie gut ist Ihr Unternehmen aufgestellt?
Für eine aussagekräftige Standortbestimmung bedarf es einer Überprüfung sowohl technischer als auch organisatorischer Maßnahmen zur Informationssicherheit. Sind diese ausreichend und wirksam oder gibt es Schwachstellen in der Abwehr?
Neben Sicherheitsaudits auf Basis von VdS 10000, ISO 27001 oder den branchenspezifischen Sicherheitsstandards (B3S) der KRITIS-Branchen führe ich seit über 20 Jahren technische Sicherheitsüberprüfungen wie Schwachstellenanalysen oder Penetrationstests durch. Dabei reicht das Spektrum von der Simulation eines ungerichteten Angriffs, über physische Penetrationstests, bis zu einem Angriff mit (fast) allen zur Verfügung stehenden Mitteln – einem sogenannten Red Team Assessment. Hier kommen mir unter anderem meine langjährigen Erfahrungen und engen Kontakte in der Hacker-Community zugute. Zudem besitze ich auch auf diesem Gebiet aussagekräftige und international anerkannte Zertifizierungen.
Ergänzend biete ich strukturierte Workshops zur Cybersicherheit an.
Ziel dieser Workshops ist es, den aktuellen Umsetzungs- und Reifegrad Ihrer Sicherheitsmaßnahmen systematisch zu bewerten und auf dieser Basis konkrete, risikobasierte Maßnahmen zur Optimierung Ihrer Cyberresilienz zu entwickeln. Im Rahmen von Interviews, Technologie- und Architektur-Reviews sowie Dokumentenanalysen wird Ihre bestehende Sicherheitsarchitektur mit anerkannten Standards (z. B. BSI, NIST, MITRE ATT&CK) abgeglichen. Die Ergebnisse werden priorisiert und in einem Abschlussbericht dokumentiert, der als Entscheidungsgrundlage für weitere Investitionen in die Sicherheit dient.
Meine Fokusbranchen
Informationssicherheit ist ein branchenübergreifendes Thema. Doch jede Branche hat spezifische Anforderungen und Herausforderungen. Daher biete ich meine Leistungen grundsätzlich für Unternehmen jeder Art an, besitze aber in den folgenden Branchen besonders große Erfahrungen.
Die fortschreitende Digitalisierung in Krankenhäusern und Arztpraxen stellt Verantwortliche für Informationssicherheit kontinuierlich vor komplexe Herausforderungen. Selbst geringfügige Einschränkungen in der Verfügbarkeit oder Bedienbarkeit von Informations- oder Medizintechniksystemen sind im klinischen Alltag oft nicht vertretbar – mit der Folge, dass Sicherheitsmaßnahmen in der Praxis häufig zurückgestellt werden. Besonders im Bereich der Medizintechnik ist die Umsetzung etablierter Schutzmaßnahmen wie regelmäßiger Sicherheitsupdates technisch oder organisatorisch oft nur eingeschränkt möglich. Dadurch entsteht eine erhebliche Angriffsfläche, die Cyberkriminelle gezielt ausnutzen – prominente Vorfälle belegen dies eindrücklich.
Größere Krankenhäuser mit mindestens 30.000 vollstationären Behandlungsfällen pro Jahr gelten zudem als Betreiber kritischer Infrastrukturen (KRITIS) und sind gesetzlich verpflichtet, die Anforderungen des IT-Sicherheitsgesetzes umzusetzen – einschließlich regelmäßiger Prüfungen gemäß § 8a BSIG.
Darüber hinaus verpflichtet das Patientendaten-Schutz-Gesetz (PDSG) alle Gesundheitseinrichtungen, insbesondere Krankenhäuser, dazu, organisatorische und technische Maßnahmen zur Gewährleistung der IT-Sicherheit gemäß dem Stand der Technik umzusetzen. Dies gilt unabhängig von der KRITIS-Einstufung.
Mit der Umsetzung der EU-NIS2-Richtlinie wird der Druck zusätzlich erhöht: Die neue Gesetzgebung erweitert die Sicherheits- und Meldepflichten auch auf mittlere Einrichtungen im Gesundheitswesen und macht ein systematisches Informationssicherheitsmanagement für nahezu alle größeren medizinischen Einrichtungen zur Pflicht. Die Einhaltung des Stands der Technik wird damit zur prüfbaren und durchsetzbaren Anforderung – inklusive persönlicher Haftungsrisiken für die Leitungsebene.
Kritische Infrastrukturen sind die Lebensadern unserer modernen Gesellschaft. Dies hat auch der Gesetzgeber erkannt und mit den IT-Sicherheitsgesetzen sowie der europäischen NIS-2-Richtlinie umfangreiche und verbindliche Vorschriften für Betreiber kritischer und wesentlicher Einrichtungen geschaffen.
Neben dem Gesundheitswesen liegen meine Beratungsschwerpunkte in diesem Bereich insbesondere bei Ver- und Entsorgungsbetrieben – etwa Stadtwerken, Energieversorgern oder Abfallbeseitigungsunternehmen. Gerade in diesen Organisationen trifft klassische „Office-IT“ auf historisch gewachsene operationelle Technologie (OT) bzw. industrielle Automatisierungs- und Steuerungstechnik. Diese beiden technologischen Welten wurden ursprünglich nie für eine sichere Vernetzung konzipiert, sodass durch die zunehmende Integration im Rahmen von „Industrie 4.0“ und dem „Internet of Things“ (IoT) neuartige und komplexe Angriffsflächen entstehen.
Die NIS-2-Richtlinie verschärft die Anforderungen an die Cybersicherheit zusätzlich: Sie verpflichtet nicht nur klassische KRITIS-Betreiber, sondern auch viele mittelgroße Unternehmen aus kritischen Sektoren zur Einführung wirksamer Sicherheitsmaßnahmen, einem strukturierten Risikomanagement und zur Meldung signifikanter Sicherheitsvorfälle. Gleichzeitig steigt der Druck auf die Leitungsebene, denn Geschäftsführerinnen und Geschäftsführer haften künftig persönlich bei nachgewiesener Pflichtverletzung.
Wer diese Risiken nicht angemessen behandelt, macht kritische Infrastrukturen zu attraktiven Zielen für Sabotage, staatlich motivierte Angriffe oder hybride Konfliktszenarien im Cyber-Raum. Ich unterstütze Sie dabei, diesen Herausforderungen mit einem pragmatischen, wirksamen und regulatorisch konformen Sicherheitsansatz zu begegnen.
Die Automobilbranche hat seit jeher hohe Anforderungen an die Informationssicherheit. Es gilt insbesondere Prototypen vor Ausspähung zu schützen, um im Wettlauf um neue Designs und Technologien zu bestehen. Die unzähligen Zulieferer nehmen hierbei eine besondere Rolle ein, da mit diesen oft streng vertrauliche Informationen, wie CAD-Zeichnungen oder technische Details geteilt werden müssen. Aus diesem Grund prüfen Automobilhersteller bereits seit geraumer Zeit die Informationssicherheit bei ihren Zulieferern und stoppen bei unzureichend abgesicherten Unternehmen den Datenaustausch oder gar die komplette Zusammenarbeit. Seit 2017 bedienen sich zu diesem Zweck viele deutsche Hersteller dem „Trusted Information Security Assessment Exchange“ – kurz TISAX. Dieser vom Verband
Die Automobilbranche stellt seit jeher besonders hohe Anforderungen an die Informationssicherheit. Neben gesetzlichen und vertraglichen Vorgaben geht es vor allem darum, den Verlust von geistigem Eigentum zu verhindern – insbesondere im sensiblen Entwicklungsumfeld. Prototypen, neue Designs, innovative Fertigungstechnologien oder Softwareentwicklungen müssen zuverlässig vor Wirtschaftsspionage und unautorisiertem Zugriff geschützt werden, um im globalen Wettbewerb bestehen zu können.
Eine besondere Rolle kommt dabei den zahlreichen Zulieferunternehmen zu. Mit ihnen werden regelmäßig hochsensible Informationen ausgetauscht – darunter CAD-Zeichnungen, Fertigungsunterlagen, Testberichte oder technische Spezifikationen. Die Automobilhersteller sehen sich daher gezwungen, die Informationssicherheit ihrer Partner systematisch zu überprüfen. Unternehmen, die keine angemessenen Sicherheitsmaßnahmen vorweisen können, riskieren den sofortigen Stopp des Datenaustauschs – im Extremfall auch das Ende der gesamten Geschäftsbeziehung.
Um diesen Prüfprozess zu vereinheitlichen, bedienen sich viele deutsche Automobilhersteller seit 2017 des „Trusted Information Security Assessment Exchange“ – kurz TISAX. Dieser vom Verband der Automobilindustrie (VDA) entwickelte Prüf- und Austauschmechanismus basiert auf dem international anerkannten Standard ISO/IEC 27001, wurde jedoch gezielt auf die spezifischen Anforderungen der Automobilbranche angepasst. Bewertet werden unter anderem die Vertraulichkeit, Verfügbarkeit und Integrität sensibler Informationen sowie physische Sicherheitsmaßnahmen, insbesondere im Bereich Prototypenschutz.
TISAX trifft viele – insbesondere kleinere – Zulieferer unvorbereitet. In diesen Unternehmen fehlen häufig strukturierte Informationssicherheitsprozesse, dokumentierte Schutzmaßnahmen oder eine systematische Risikobetrachtung. Die Einführung eines TISAX-konformen Informationssicherheitsmanagementsystems (ISMS) ist jedoch in vielen Fällen Grundvoraussetzung für eine weitere Zusammenarbeit mit OEMs und Tier-1-Zulieferern.
Ich unterstütze Sie bei der pragmatischen und zielgerichteten Umsetzung der TISAX-Anforderungen – von der Gap-Analyse über den Aufbau notwendiger Prozesse bis zur erfolgreichen Prüfung. Dabei profitieren Sie von meiner Erfahrung als langjähriger Begleiter von Automobilzulieferern.
der Automobilindustrie (VDA) entwickelte Standard basiert auf ISO 27001 und wurde für die speziellen Anforderungen der Automobil-Welt angepasst. TISAX trifft viele – insbesondere kleine – Zulieferungen komplett unvorbereitet, da hier in der Regel keine oder kaum Informationssicherheitsprozesse existieren.
Der Maschinen- und Anlagenbau ist – neben der Automobilindustrie – einer der wichtigsten Exportschlager der deutschen Wirtschaft. Die internationale Wettbewerbsfähigkeit dieser Branche beruht auf Innovationskraft, technologischem Vorsprung, höchster Fertigungsqualität und ausgeprägter Liefertreue. Umso essenzieller ist es, diese Erfolgsfaktoren durch gezielte Maßnahmen zur Informationssicherheit zu schützen.
Insbesondere die sensiblen Bereiche Forschung & Entwicklung sowie Produktion stellen höchste Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Systemen. Konstruktionspläne, Steuerungsalgorithmen, Prozessdaten oder Fertigungspatente zählen zu den digitalen Kronjuwelen und sind zunehmend Ziel von Cyber-Spionage und Industriesabotage. Auch die Absicherung geistigen Eigentums gegenüber Wettbewerbern – insbesondere aus Drittstaaten – gewinnt stetig an Bedeutung.
Ein weiteres zentrales Risiko betrifft die Produktion selbst: In modernen Fertigungsumgebungen sind Maschinen, Anlagen und Steuerungstechnik (OT) heute eng mit klassischen IT-Systemen vernetzt. Diese IT-OT-Konvergenz ermöglicht zwar Effizienzgewinne, birgt jedoch erhebliche sicherheitstechnische Herausforderungen. Schwachstellen in einem Bereich können sich schnell auf andere Bereiche ausweiten – bis hin zum Produktionsstillstand durch gezielte Angriffe oder Schadsoftware.
Zudem fordern Kunden, Partner und internationale Regulierungsbehörden zunehmend den Nachweis eines angemessenen Sicherheitsniveaus – etwa durch ISO/IEC 27001-Zertifizierungen, branchenspezifische Sicherheitsstandards oder Sicherheitsanforderungen in Lieferantenverträgen.
Ich unterstütze Unternehmen im Maschinen- und Anlagenbau bei der Entwicklung und Umsetzung passgenauer Informationssicherheitskonzepte – vom Schutz des geistigen Eigentums bis zur Sicherstellung der Produktionskontinuität. Durch meine langjährige Erfahrung in der Industrie, meine umfassenden Qualifikationen und mein tiefes Verständnis für die Besonderheiten in der Fertigungswelt begleite ich Sie praxisnah und strategisch – damit Ihre Innovationen geschützt bleiben und Ihre Anlagen sicher laufen.