In seinem Erfahrungsbericht als Penetrationstester schildert unser Autor mit einem Augenzwinkern, wie leicht man vielfach vom einfachen Nutzer zum Domänenadministrator aufsteigen kann.

Seite 6

Nicht selten führt mangelnde Cyber-Hygiene am Endpoint zu gravierenden Sicherheits- und Datenschutzverletzungen. Gerade angesichts der Komplexität heutiger IT-Landschaften ist es jedoch besonders wichtig, Endpunkte sorgsam zu erfassen und dort zumindest grundlegende Maßnahmen umzusetzen.

Seite 10

Eine wirklich nachhaltige Digitalisierung könnte den allgemeinen Stresslevel in Security-Abteilungen senken sowie dem Regulierungsdruck die Luft aus den Segeln nehmen. Das käme allen zugute, allerdings sind dabei auch alle gefragt, mahnt der Beitrag ab

Seite 16

Cloud-Services erschweren „Detection and Response“, weil der IT-Stack zum Teil in der Verantwortung des Cloud-Providers liegt. Um eine Gesamtkontrolle bei geteilter Verantwortung auszugestalten, müssen Informationen aus in eigener Regie geführten Logdateien sowie Daten des Cloud-Providers in die DR-Systeme einfl ießen, empfi ehlt unser Autor.

Seite 31

Eine intensive und regelmäßige Erhebung der eigenen Angriffsoberfl äche im Rahmen von Attack-Surface-Analysis und -Management (ASA/ASM) sollte in Zeiten stark verflochtener Dienste und agiler Bereitstellung neuer Systeme und Services ein wesentliches Element jeder Sicherheits-Strategie darstellen. Wie das aussehen kann, beschreibt der Artikel ab

Seite 48

Die ISO/IEC TS 27022 „Information technology – Guidance on information security management system processes“ beschreibt ein betriebsorientiertes ISMS-Prozess-Referenzmodell, das eine Fokussierung auf den nachhaltigen Betrieb des Informationssicherheits- Managements unterstützt und damit das Umschwenken von Maßnahmen- und Projektorientierung hin zu einem prozessorientierten Ansatz erleichtert.

Seite 54

„Schritt für Schritt“ ist nicht immer hilfreich – gerade bei der Beschaffung werde oft zu kurzfristig gedacht, warnt unser Autor, was in späteren Phasen des Lebenszyklus von IT-Produkten zu Problemen führen kann. Stattdessen beschreibt und empfi ehlt er ein modellbasiertes ganzheitliches Lifecycle-Management, das vor allem organisatorische, aber auch technische Aspekte umfasst, die negative Auswirkungen auf das Informations-Sicherheits-Niveau vermeiden helfen.

Seite 60

Trotz etlicher Ausnahmen stellt die NIS-2-Richtlinie auch Anforderungen an viele Bereiche der öffentlichen Verwaltung. Unsere Grundschutz-Rubrik beleuchtet drohende Probleme bei der Implementierung sowie Chancen einer frühzeitigen Umsetzung geforderter Maßnahmen durch den öffentlichen Sektor.

Seite 27