🚗 #AutomotiveSecurity: Von 0 auf 100... Schwachstellen!

Neue Angriffsfläche:
📡 Connectivity (5G, WiFi, Bluetooth)
🖥️ Infotainment (Android Auto)
🛰️ Telematics (GPS, Fleet Management)
🤖 Autonomous Functions

Regulation:
UN Regulation No. 155 (CSMS)
UN Regulation No. 156 (OTA Updates)

📢 #Whistleblower-Schutzgesetz trifft IT-Security!

Interne Meldestelle (ab 50 MA):
✅ Vertrauliche Kanäle
✅ Schutz vor Vergeltung
✅ Anonymität gewährleisten

IT-Security-Bezug:
🔐 Sichere Kommunikation
👤 Anonymisierung
🗂️ DSGVO-konforme Verarbeitung

Habt ihr Whistleblowing-Systeme?

🛒 #ECommerce #Security: Vertrauen ist Umsatz!

E-Commerce Threat Landscape:
💳 Payment Fraud
🛍️ Account Takeover
🎣 Phishing (Fake Shops)
🤖 Bot Attacks
📊 Data Breaches

Compliance:
💳 PCI DSS (Payment Card Industry)
📋 DSGVO

Defense in Depth:
✅ WAF ✅ Bot Management ✅ MFA ✅ Real-time Fraud Detection

🎯 Preview: #Compliance & #Regulatory!

📋 NIS-2-Richtlinie (was JETZT zu tun)
🇪🇺 EU Cyber Resilience Act
🏭 KRITIS-Updates
🛡️ Cyber Security Act
🏦 DORA für Finance
🔗 Lieferkettensorgfalt
🔍 BSI-Grundschutz 2025

Welches Regulatory-Thema brennt euch?

🔄 ISMS ist niemals "fertig"!

Warum kontinuierliche Verbesserung essential:
🌊 Bedrohungslandschaft ändert sich täglich
📈 Business entwickelt sich weiter
🎯 Neue Technologien = neue Risiken

#PDCA-Cycle: Plan → Do → Check → Act 🔄

Wie stellt ihr sicher, dass euer #ISMS nicht einschläft?

🚨 Incident Response: Die ersten 60 Minuten

⏰ Min 1-5: Isolieren + Team aktivieren
⏰ Min 5-30: Analysieren + Eindämmen
⏰ Min 30-60: Koordinieren + Kommunizieren

Vorbereitung ist alles!

Habt ihr euren Notfallplan schon mal getestet? 🧪

#IncidentResponse #Ransomware #InfoSec

🔬 IT-#Forensik: Digitale Spuren sichern

Erste Regel: NICHTS löschen, ALLES sichern! 🚫

Forensischer Prozess:
1️⃣ Preparation
2️⃣ Identification
3️⃣ Preservation (Chain of Custody!)
4️⃣ Analysis
5️⃣ Presentation

Praxis-Tipp: Forensik-Readiness VORHER aufbauen!

Welche Forensik-Tools nutzt ihr?

🏆 Zertifizierungs-Audit: Auditor-Insider-Tipps

✅ DOS: Ehrlich sein, Evidenzen zeigen, entspannt bleiben
❌ DON'Ts: Schönreden, improvisieren, defensiv werden

Geheim-Tipp: Gute Auditoren wollen, dass ihr besteht! Wir sind Partner, nicht Gegner 🤝

Welche Audit-Erfahrungen habt ihr?

#Audit #ISO27001

#Versicherungsrecht: IT-Security als Obliegenheit

#Obliegenheiten = Pflichten des Versicherungsnehmers
Verletzt = kein Schutz! ⚠️

Typische IT-Security-Obliegenheiten:
✅ Aktueller Virenschutz
✅ Firewall konfiguriert
✅ Updates & Patches
✅ MFA für kritische Systeme

Habt ihr alles im Blick?

🏦 #FinanceSecurity: Geld regiert die (Cyber-)Welt

Warum Finance im Fokus:
💸 Direkter Zugriff auf Geld
📊 Wertvolle Transaktionsdaten
⚖️ Strenge Compliance (#DORA, PCI DSS)

Advanced Persistent Threats:
🎯 Lazarus (North Korea)
🇷🇺 Sandworm (Russia)

Defense: Zero Trust + Real-time Monitoring

Warum ein #ISB mehr als 150 Euro im Monat kosten MUSS!

#Kosten #Realitätscheck

📚 Dokumentation, die lebt:

✂️ Kurz & knackig (max. 2 Seiten)
🔍 Suchbar & digital (kein PDF-Friedhof!)
🎨 Visuell unterstützt (Bilder > 1000 Worte)
🔄 Regelmäßig aktualisiert
👥 Von Nutzern für Nutzer

"Das steht im Handbuch" + Augenrollen = Epic Fail! 🙄

#Dokumentation #ISMS

🚨 #IncidentResponse: Template vs. Realität

Warum Pläne scheitern:
📚 Zu detailliert (50 Seiten!)
🧪 Nicht getestet
🤔 Falsche Annahmen
🏗️ Keine Flexibilität

Minimal-Template:
1️⃣ DETECT → 2️⃣ RESPOND → 3️⃣ COMMUNICATE → 4️⃣ CONTAIN → 5️⃣ RECOVER → 6️⃣ LEARN

Was war euer Learning-Moment?

🚀 Change Management für IT-Security:

1️⃣ WIESO erklären (nicht nur WAS)
2️⃣ Mitarbeiter einbeziehen
3️⃣ Quick Wins zeigen
4️⃣ Kontinuierlich unterstützen
5️⃣ Belohnen statt bestrafen

"Schutz vor Ransomware" > "Policy XY befolgen"

Wie geht ihr mit Security-Müdigkeit um?

#ChangeManagement

🤔 Reflexion:

Was war eure größte IT-Sicherheits-Herausforderung diese Woche?

🔥 Phishing-Versuch?
📊 Compliance-Dokumentation?
💻 Software-Update-Chaos?
👥 Mitarbeiter-Schulung?

Teilt eure Erfahrungen! Wir lernen voneinander. 🤝

#Erfahrungsaustausch #Community

🏭 EU #CyberResilienceAct: Game-changer für Produkthersteller!

Betroffen:
🏭 Hersteller von Hardware/Software
🔄 Importeure in EU-Markt
📦 Distributoren & Händler

Kritische Produkte:
🔐 Password Manager, 🌐 Browser, 🛡️ Antivirus, 🚗 Connected Cars

Entwickelt ihr digitale Produkte?

🌍 International: #GDPR vs. andere #Datenschutzgesetze

Global Privacy Landscape:
🇪🇺 GDPR: Comprehensive, extraterritorial
🇺🇸 CCPA/CPRA: California-specific
🇨🇳 PIPL: Data localization
🇧🇷 LGPD: GDPR-inspired
🇰🇷 PIPA: Tech-heavy

Conflicting Laws!

Strategy: GDPR als Baseline (meist höchster Standard)

🤖 #KI in #CyberSecurity: Fluch oder Segen?

BEIDES! 🎭

🛡️ Verteidigung:
+ Anomaly Detection
+ Automated Response
+ Malware Analysis

⚔️ Angriff:
- Deepfake Phishing
- AI-powered Malware
- Automated Hacking

KI verändert das Spiel, entscheidet es aber nicht!

Nutzt ihr KI-Security-Tools?

📋 Asset-Inventar: Der langweilige erste Schritt

"Was haben wir eigentlich alles?" 🤯

💻 Hardware (Server, Laptops...)
📱 Software (Lizenzen, Cloud...)
📊 Daten (nach Kritikalität)
👥 Personal (Zugriffe)

Kann nicht schützen, was man nicht kennt!

Wie führt ihr euer Inventar? Excel? 😅

#AssetManagement

👔 Management Review in 5 Minuten:

1️⃣ Executive Summary (Status: 🟢🟡🔴)
2️⃣ Zahlen, Daten, Fakten (KPIs + Trends)
3️⃣ Action Items (Management-Entscheidungen nötig?)

Pro-Tipp: Storytelling nutzen!
"Dank Investment X haben wir Angriff Y verhindert und 500k€ gespart"

#Management #CISO #Reporting

🔒 #ZeroTrust: "Never trust, always verify"

Warum JETZT relevant:
🏠 Perimeter ist tot (Remote Work, Cloud)
🎯 Insider Threats (60% der Angriffe)
⚡ Lateral Movement

Core Principles:
1️⃣ Verify Identity
2️⃣ Validate Device
3️⃣ Limit Access
4️⃣ Monitor Everything

Wie weit seid ihr mit Zero Trust?

#InsiderThreats: 60% aller Incidents!

3 Typen:
😈 Malicious (20%): Bewusst schädlich
🎣 Compromised (30%): Unfreiwillig gehackt
🤷 Negligent (50%): Unabsichtlich schädlich

Schutz:
✅ User Behavior Analytics
✅ Data Loss Prevention
✅ Security Culture (Report, don't punish)

Habt ihr Incidents gehabt?

#EducationSecurity: Digitale Bildung sicher gestalten

Warum Bildung Ziele sind:
📊 Wertvolle Schüler-/Studentendaten
💰 Begrenzte Security-Budgets
👥 Viele Nutzer
🌐 Offene Lernumgebung

Spezielle Herausforderungen:
👦 Minderjährige (DSGVO Art. 8)
📱 #BYOD (Bring Your Own Device)
🏠 Remote Learning

🔒 DSGVO meets ISMS:

DSGVO = Schutz personenbezogener Daten
ISMS = Schutz ALLER Unternehmensinformationen

ISMS ist breiter:
✅ Technische Daten
✅ Geschäftsgeheimnisse
✅ Strategische Infos

Ein ISMS hilft bei DSGVO-Compliance! 💪

#DSGVO #ISMS #Datenschutz

❌ Mythos entlarvt: "ISMS in 3 Tagen"

Realität:
✅ Risikoanalyse: Wochen
✅ Prozessintegration: Monate
✅ Mitarbeiter Buy-in: dauerhaft
✅ Kontinuierliche Verbesserung: für immer

Quick-Fix = hohes Ausfallrisiko!

Habt ihr auch "Schnell-Angebote" gesehen? 🤔

#ISMS #ISO27001 #QualityOverSpeed

Max von ING ISM hier - euer Experte für Informationssicherheit aus dem Raum Bielefeld.

Als #ISO27001 Auditor & BSI IT-Grundschutz Praktiker teile ich hier praxisnahe Insights zu #ISMS, #CyberSecurity und #Compliance.
Lasst uns gemeinsam die digitale Welt sicherer machen! 💪