Klicken Sie hier
01 - Aufbau und Steuerung der IT-Sicherheit in Unternehmen
• Die Bedeutung von IT-Sicherheit im Aufbau moderner Unternehmen
Praktische Übungen
• Gesetze und Regeln für die IT-Sicherheit und wie man sie einhält
Praktische Übungen
• Wichtige Zahlen und Kontrollen für die Informationssicherheit
• Zuständigkeiten und Aufgaben von Personen und Abteilungen
Praktische Übungen

© 2026 Digitale Forensik ANR GmbH

1

Inhaltsverzeichnis
Prüfungsvorbereitung

© 2026 Digitale Forensik ANR GmbH

2

Fallstudie
Ein Unternehmen ohne Sicherheitsstrategie
Die LogiTrans AG ist ein Logistikunternehmen mit 200 Mitarbeitern. An einem Montagmorgen stellen Mitarbeiter fest, dass alle Dateien auf den Servern verschlüsselt sind. Eine Lösegeldforderung über 150.000 € erscheint auf den Bildschirmen. Das Unternehmen hat keine IT-Sicherheitsstrategie, keinen Notfallplan und keine Backups. Der Betrieb steht still.
🔴 Das Problem
  • Keine IT-Sicherheitsverantwortlichen benannt
  • Keine Sicherheitsrichtlinien dokumentiert
  • Keine Backups vorhanden
  • Kein Notfallplan existiert
  • Mitarbeiter nicht geschult
💡 Was du in diesem Thema lernst
  • Warum IT-Sicherheit strategisch verankert sein muss
  • Welche Strukturen ein Unternehmen schützen
  • Wie ein CISO-Büro aufgebaut wird
  • Was ein ISMS leistet
  • Wie Verantwortlichkeiten klar geregelt werden (RACI)

© 2026 Digitale Forensik ANR GmbH

3

Firmenstrukturen
Warum ist IT-Sicherheit in modernen Unternehmen wichtig?
IT-Sicherheit ist heute ein zentraler Erfolgsfaktor. Datenlecks und Erpressersoftware können hohe Kosten verursachen und den Betrieb stoppen. Sicherheitsbudgets liegen im Schnitt bei 10,9% des IT-Budgets; nur 47% der Unternehmen konnten 2025 erhöhen.
Schütze deine Daten
Sensible Informationen bleiben vertraulich und besser kontrollierbar.
Halte Abläufe stabil
Gute Sicherheit reduziert Ausfälle und begrenzt Betriebsunterbrechungen.
Stärke Vertrauen
Sichere Prozesse schaffen Glaubwürdigkeit bei Kunden und Partnern.
Viele Firmen machen IT-Sicherheit zur Chefsache. Ein CISO oder CSO berichtet direkt an den Vorstand, damit Bedrohungen früh erkannt und Vorfälle schnell beantwortet werden. Gleichzeitig unterstützt regelmäßige Prüfung die Einhaltung von DSGVO und ISO 27001.
Quelle: IANS Research 2025

© 2026 Digitale Forensik ANR GmbH

4

IT-Sicherheitsstrategie
Stabile Strukturen für effektive IT-Sicherheit
So planst und steuerst du deine IT-Sicherheit strategisch — für mehr Schutz, klare Zuständigkeiten und weniger Ausfallzeit.
Compliance & Schutz
Erfülle DSGVO und ISO 27001.
CISO-Büro
Baue ein eigenes Team für IT-Sicherheit auf.
Klare Verantwortung
Ordne für 80% der wichtigen Systeme Zuständigkeiten mit RACI zu.
Risiken prüfen
Bewerte deine Risiken vierteljährlich.
Schnell reagieren
Ziele auf MTTD < 30 Minuten und MTTR ≤ 4 Stunden.

Merksatz: Gute IT-Sicherheit ist nicht nur Technik — sie braucht Struktur, Rollen und regelmäßige Kontrollen.

© 2026 Digitale Forensik ANR GmbH

5

Gruppenarbeit
Brainstorming zur IT-Sicherheit in deinem Unternehmen

Aufgabe: Führe ein Gruppenbrainstorming zur IT-Sicherheit in deinem eigenen Unternehmen durch.
Leitfragen für das Brainstorming:
1
Welche konkreten Risiken siehst du in deinem Unternehmen?
2
Wo gibt es blinde Flecken in der IT-Sicherheit?
3
Wer trägt in deinem Unternehmen Verantwortung für IT-Sicherheit?
4
Was würde ein erfolgreicher Cyberangriff für dein Unternehmen bedeuten?
5
Welche Maßnahmen sind bereits vorhanden – und welche fehlen noch?
Zeitrahmen: 10 Minuten in Kleingruppen, danach Präsentation der Ergebnisse im Plenum.

© 2026 Digitale Forensik ANR GmbH

6

Fallstudie
Wenn niemand das Steuer hält
Die RetailMax AG ist ein Einzelhandelskonzern mit 1.200 Mitarbeitern und 80 Filialen. Das Unternehmen wächst schnell – die IT-Sicherheit hält nicht mit. Es gibt keinen CISO, keine Sicherheitsrichtlinien und keine klare Governance-Struktur. Jede Abteilung kauft eigene Software, richtet eigene Zugänge ein und entscheidet selbst über Datenspeicherung. Dann passiert es: Ein ehemaliger Mitarbeiter greift monatelang auf Kundendaten zu – niemand bemerkt es.

🔴 Governance-Versagen im Detail
  • Kein CISO: IT-Sicherheit ist Nebensache des IT-Leiters
  • Keine Richtlinien: Jede Abteilung handelt eigenständig
  • Kein Offboarding-Prozess: Zugänge ehemaliger Mitarbeiter bleiben aktiv
  • Keine Zugriffskontrolle: Jeder kann auf alles zugreifen
  • Kein Audit-Log: Zugriffe werden nicht protokolliert
  • Kein Reporting an Vorstand: Sicherheitslage ist dem Management unbekannt
  • Kein Budget für IT-Sicherheit: 0 € im Jahresplan
📋 Folgen des Governance-Versagens
14
Monate
Dauer des unentdeckten Zugriffs
340.000
Betroffene Kundendatensätze
3,8 Mio. €
Gesamtschaden
(Bußgeld + Anwaltskosten + Reputationsverlust)
0
Sicherheitsrichtlinien vorhanden
Was gute Governance verhindert hätte
CISO & Verantwortung
Ein CISO hätte eine unternehmensweite Sicherheitsstrategie verantwortet und regelmäßig an den Vorstand berichtet.
Zugriffsmanagement (IAM)
Ein Identity & Access Management System hätte den Zugang des ehemaligen Mitarbeiters automatisch beim Austritt deaktiviert.
Audit-Logs & SIEM
Ein SIEM hätte den ungewöhnlichen Zugriff nach dem ersten Login erkannt und Alarm ausgelöst.
Governance-Richtlinien
Klare Richtlinien für Datenzugriff, Software-Beschaffung und Offboarding hätten das Chaos in den Abteilungen verhindert.

© 2026 Digitale Forensik ANR GmbH

7

Organisatorische Verankerung der IT-Sicherheit
Die Organisation der IT-Sicherheit ist vielseitig. Dazu gehören spezielle Security-Teams, die sich um Themen wie Betriebssicherheit, Risikomanagement und Anwendungs-Sicherheit kümmern. Auch hochmoderne Sicherheitszentren (SOCs) gehören dazu. Sie überwachen Systeme rund um die Uhr und nutzen dabei spezielle Software. Außerdem gibt es Regeln und Abläufe für das gesamte Unternehmen. Dazu zählen klare Sicherheitsrichtlinien, regelmäßige Schulungen für alle Mitarbeiter und umfassende Sicherheitsprüfungen. So werden Sicherheitsregeln fest in alle Geschäftsprozesse eingebaut, von der Entwicklung neuer Software bis zur Auswahl von Lieferanten.
Wichtige Punkte:
Management-Ebene
Ein CISO oder CSO berichtet direkt an den Vorstand und leitet die IT-Sicherheit strategisch.
Strategische Ausrichtung
Sicherheitsziele werden an den allgemeinen Geschäftszielen ausgerichtet, zum Beispiel in einem 3-5 Jahresplan.
Risikomanagement
Gefahren im Internet werden frühzeitig erkannt, bewertet und verringert. Dabei werden Zahlen genutzt (z.B. Risikowerte, Kosten-Nutzen-Analyse) und Cyber-Versicherungen in Betracht gezogen.
Regelkonformität
Bestimmte Branchenstandards und Gesetze werden eingehalten (z.B. NIST, KRITIS). Jährliche Prüfungen stellen dies sicher.
Ressourcen
Es gibt ausreichend Geld (typischerweise 10-15% des IT-Budgets), Personal und Schulungen für Sicherheitstools und -fähigkeiten.
Aktuelle Zahlen (2025):
  • Sicherheitsbudgets machen durchschnittlich 10,9% des IT-Budgets aus (Rückgang von 11,9% in 2024)
  • Budget-Wachstum nur noch 4% jährlich – niedrigster Wert seit 5 Jahren
  • Nur 11% der CISOs berichten ausreichende Personalausstattung; 89% sind unterbesetzt
Quelle: IANS Research & Artico Search, Security Budget Benchmark Report 2025

© 2026 Digitale Forensik ANR GmbH

8

Wie IT-Sicherheit im Unternehmen verankert wird
Sicherheit im Vorstand und Aufsichtsrat
Ein spezielles Sicherheitsteam im Vorstand und Aufsichtsrat trifft sich mindestens alle drei Monate. Dieses Team legt fest, wie viele Cyber-Risiken das Unternehmen eingehen darf. Es genehmigt das jährliche Budget für IT-Sicherheit (über X Mio. Euro) und prüft, ob globale Standards wie ISO 27001 oder NIST Cybersecurity Framework eingehalten werden. Es leitet wichtige Projekte und überprüft die wichtigsten Sicherheitsziele.
Der CISO: Chef für IT-Sicherheit
Die Rolle des Chief Information Security Officer (CISO) ist zentral. Er berichtet direkt an den CEO oder CIO. Der CISO ist dafür zuständig, eine komplette Sicherheitsstrategie zu entwickeln, das Sicherheitsbudget zu verwalten und alle Regeln sowie Vorschriften zu überwachen. Er führt das Notfallteam bei ernsten Sicherheitsvorfällen und stellt dem Vorstand regelmäßig Risikoanalysen und Maßnahmenpläne vor.

© 2026 Digitale Forensik ANR GmbH

9

Begriff
CISO
Chief Information Security Officer

Der CISO ist die ranghöchste Person im Unternehmen, die für die gesamte Informationssicherheitsstrategie verantwortlich ist. Er berichtet direkt an die Geschäftsführung oder den Vorstand.
Aufgaben
  • Entwicklung und Umsetzung der IT-Sicherheitsstrategie
  • Leitung des Security-Teams
  • Risikobewertung und -management
  • Kommunikation mit Vorstand und Aufsichtsrat
  • Sicherstellung der Compliance (DSGVO, NIS2, ISO 27001)
  • Reaktion auf Sicherheitsvorfälle (Incident Response)
Einordnung im Unternehmen
Vorstand → CISO → Security-Team (SOC, DSB, IT-Risikomanager)

Kein CISO = keine klare Verantwortung für IT-Sicherheit im Unternehmen.
Praxisbeispiel:
Bei der LogiTrans AG (unsere Fallstudie) gab es keinen CISO. Deshalb wusste niemand, wer im Ernstfall entscheiden durfte.

© 2026 Digitale Forensik ANR GmbH

10

Begriff
ISMS
Informationssicherheits-Managementsystem

Ein ISMS ist ein systematischer Ansatz zur Verwaltung sensibler Unternehmensinformationen. Es umfasst Richtlinien, Prozesse, Verfahren und Kontrollen zum Schutz von Informationen.
Kernbestandteile
  • Risikomanagement-Prozess
  • Sicherheitsrichtlinien und -verfahren
  • Rollen und Verantwortlichkeiten
  • Schulungs- und Sensibilisierungsprogramme
  • Regelmäßige Audits und Überprüfungen
  • Kontinuierliche Verbesserung (PDCA-Zyklus)
Basis-Standard
ISO/IEC 27001 ist der internationale Standard für ISMS. Eine Zertifizierung beweist Kunden und Partnern, dass Informationen sicher verwaltet werden.
PDCA-Zyklus
Plan → Do → Check → Act

"Ein ISMS ist kein Produkt, das man kauft – es ist ein lebendiger Prozess, den man lebt."
Praxisbeispiel:
Die LogiTrans AG hatte kein ISMS. Deshalb gab es keine Richtlinien, keine Backups und keinen Notfallplan.

© 2026 Digitale Forensik ANR GmbH

11

Unternehmensstrukturen und Steuerung der IT-Security
Eine robuste IT-Governance bildet das Fundament für die Sicherheit moderner Organisationen. Sie verbindet rechtliche Anforderungen mit internen Unternehmensstrukturen, um ein angemessenes Sicherheitsniveau zu gewährleisten und regulatorische Risiken systematisch zu minimieren.
Rechtliche Grundlagen und deren Befolgung in der IT-Governance
Unternehmensstrukturen
IT-Sicherheit benötigt eine klare organisatorische Verankerung durch Vorstandsbeschlüsse, einen benannten CISO und dedizierte Security-Teams, um Verantwortlichkeiten effektiv zuzuweisen.
IT-Governance
Steuerung und Kontrolle erfolgen über unternehmensweite Richtlinien, definierte Prozesse und steuernde Gremien, die den strategischen Rahmen für Sicherheitsentscheidungen bilden.
Rechtliche Grundlagen
Unternehmen müssen ein breites Spektrum an Gesetzen und Normen berücksichtigen, darunter DSGVO, NIS2, IT-SiG 2.0 sowie internationale Standards wie ISO 27001.
Compliance & Befolgung
Durch regelmäßige Audits, technische Kontrollen und eine lückenlose Dokumentation wird sichergestellt, dass interne Vorgaben und externe gesetzliche Regeln nachhaltig eingehalten werden.

Hinweis: IT-Governance und Compliance sind untrennbar miteinander verknüpft. Beide Disziplinen erfordern eine aktive strategische Führung, um die digitale Resilienz deines Unternehmens langfristig zu sichern.

© 2026 Digitale Forensik ANR GmbH

12

Operative Sicherheitsstrukturen
Sicherheitszentrum (SOC) und Überwachung rund um die Uhr
Ein 24/7-Sicherheitszentrum (SOC) wird aufgebaut und betrieben, um Systeme und Netzwerke ständig zu überwachen. Mit speziellen Tools (SIEM und Threat Intelligence) werden mögliche Gefahren erkannt und untersucht. Die Sicherheitsteams kümmern sich um Notfälle, Spurensicherung und nutzen Handlungsanweisungen, um Angriffe schnell abzuwehren. Ziel ist es, die durchschnittliche Erkennungszeit auf unter 30 Minuten zu senken.
Sicherheits-Champions in Abteilungen
Ein Netzwerk von "Sicherheits-Champions" wird aufgebaut. Das sind besonders geschulte Mitarbeiter in allen wichtigen Abteilungen (z.B. Entwicklung, Marketing, Personal). Diese Champions sind die ersten Ansprechpartner für Sicherheitsfragen in ihrem Team. Sie verbessern das Sicherheitsbewusstsein durch interne Schulungen (wie Phishing-Simulationen) und sorgen dafür, dass Sicherheitsregeln und bewährte Methoden (z.B. sichere Programmierung) in den Arbeitsalltag eingebunden werden. Außerdem machen sie einfache Risikoanalysen für Projekte ihrer Abteilung.

© 2026 Digitale Forensik ANR GmbH

13

Fallstudie
Datenpanne mit rechtlichen Folgen
Die HealthCare Plus GmbH betreibt eine Online-Plattform für Arzttermine und speichert Patientendaten. Nach einem Datenleck werden 80.000 Patientendatensätze im Darknet veröffentlicht. Die Datenschutzbehörde verhängt ein Bußgeld von 2,4 Millionen Euro. Das Unternehmen hatte weder einen Datenschutzbeauftragten noch ein Verzeichnis der Verarbeitungstätigkeiten.
🔴 Das Problem
  • Kein Datenschutzbeauftragter (DSB) benannt
  • Kein Verzeichnis der Verarbeitungstätigkeiten (VVT)
  • Keine Meldung des Vorfalls innerhalb von 72 Stunden
  • NIS2-Pflichten als wichtige Einrichtung ignoriert
  • Keine Datenschutz-Folgenabschätzung (DSFA) durchgeführt
💡 Was wir in diesem Thema lernen
  • Was die DSGVO konkret von Unternehmen verlangt
  • Welche Pflichten NIS2 für wichtige Einrichtungen vorschreibt
  • Was ISO 27001 als Standard bedeutet
  • Wie ein Compliance-Prozess aufgebaut wird
  • Welche Strafen bei Verstößen drohen

© 2026 Digitale Forensik ANR GmbH

14

Rechtliche Grundlagen
Gesetzliche Regeln für IT-Sicherheit
Die IT-Sicherheit muss viele Gesetze und Regeln beachten. Diese gelten für fast alle Bereiche eines Unternehmens. Dazu gehören die DSGVO (Schutz persönlicher Daten und Meldepflicht bei Datenpannen innerhalb von 72 Stunden), spezielle Regeln für bestimmte Branchen wie BAIT/VAIT im Finanzbereich oder NIS2 für wichtige Infrastrukturen. Auch das IT-Sicherheitsgesetz 2.0 und die KRITIS-Verordnung sind wichtig für Betreiber kritischer Infrastrukturen. Wenn du dich an diese Vorgaben hältst, erfüllst du nicht nur gesetzliche Pflichten. Du schützt auch die Geschäftsführung vor hohen Strafen (bis zu 4% des Jahresumsatzes bei DSGVO-Verstößen) und bewahrst den guten Ruf des Unternehmens.

DSGVO-Bußgelder 2024:
Im Jahr 2024 wurden europaweit Bußgelder in Höhe von 1,22 Milliarden Euro verhängt. Seit Inkrafttreten der DSGVO im Mai 2018 summieren sich die Strafen auf insgesamt 5,88 Milliarden Euro. Das höchste Bußgeld 2024: 310 Millionen Euro gegen LinkedIn (Irland).
Quelle: DLA Piper GDPR Fines and Data Breach Survey 2025
01
1. Wichtige Regeln finden
Alle geltenden Gesetze und Standards musst du regelmäßig sammeln und aktuell halten. Dazu gehört zum Beispiel die DSGVO (Artikel 32) zur Datensicherheit, die NIS2-Richtlinie (Anhang I: Sektoren und Maßnahmen), das IT-Sicherheitsgesetz 2.0 (Meldepflicht bei Vorfällen) und die KRITIS-Verordnung (was als kritischer Dienst gilt). Spezielle Programme (GRC-Software) können dir helfen, alle Regeln und deren Anforderungen zu erfassen und vierteljährlich zu aktualisieren.

© 2026 Digitale Forensik ANR GmbH

15

Begriff
DSGVO
Datenschutz-Grundverordnung (EU) 2016/679

Die DSGVO ist die europäische Datenschutzverordnung, die seit Mai 2018 gilt. Sie regelt, wie personenbezogene Daten von EU-Bürgern erhoben, verarbeitet und gespeichert werden dürfen.
Kernpflichten für Unternehmen
  • Verzeichnis der Verarbeitungstätigkeiten (VVT) führen
  • Datenschutzbeauftragten (DSB) benennen (ab bestimmter Größe)
  • Datenpannen innerhalb von 72 Stunden melden
  • Datenschutz-Folgenabschätzung (DSFA) bei Hochrisiko-Verarbeitung
  • Einwilligung der Betroffenen einholen
  • Recht auf Auskunft, Löschung und Datenübertragbarkeit gewähren
Strafen
Bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro – je nachdem, was höher ist.

"Jedes Unternehmen, das Daten von EU-Bürgern verarbeitet, fällt unter die DSGVO – unabhängig vom Firmensitz."
Praxisbeispiel
Die HealthCare Plus GmbH (unsere Fallstudie) hatte kein VVT und keinen DSB. Das Bußgeld: 2,4 Millionen Euro.

© 2026 Digitale Forensik ANR GmbH

16

Begriff
NIS2
Network and Information Security Directive 2 (EU 2022/2555)

NIS2 ist die überarbeitete EU-Richtlinie zur Cybersicherheit, die seit Oktober 2024 in nationales Recht umgesetzt werden musste. Sie erweitert den Anwendungsbereich erheblich und verschärft die Anforderungen.
Wer ist betroffen?
  • Wichtige Einrichtungen: Energie, Verkehr, Banken, Gesundheit, Wasser, digitale Infrastruktur
  • Besonders wichtige Einrichtungen: Kritische Infrastrukturen (KRITIS)
  • Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Umsatz in betroffenen Sektoren
10 Mindestmaßnahmen nach NIS2
  1. Risikoanalyse und Sicherheitskonzepte
  1. Incident Response (Vorfallsbehandlung)
  1. Business Continuity Management
  1. Lieferkettensicherheit
  1. Sicherheit bei Erwerb, Entwicklung und Wartung
  1. Bewertung der Wirksamkeit von Maßnahmen
  1. Cyberhygiene und Schulungen
  1. Kryptografie und Verschlüsselung
  1. Personalsicherheit und Zugriffskontrolle
  1. Multi-Faktor-Authentifizierung

"NIS2-Verstöße können mit bis zu 10 Millionen Euro oder 2% des Jahresumsatzes bestraft werden."

© 2026 Digitale Forensik ANR GmbH

17

Begriff
ISO 27001
Internationaler Standard für Informationssicherheits-Managementsysteme

"ISO/IEC 27001 ist der weltweit anerkannte Standard für den Aufbau, Betrieb, die Überwachung und Verbesserung eines ISMS. Eine Zertifizierung zeigt, dass ein Unternehmen Informationssicherheit systematisch managt."
Aufbau des Standards
  • Kontext der Organisation (Stakeholder, Scope)
  • Führung und Commitment (Vorstand, CISO)
  • Planung (Risikobeurteilung, Behandlungsplan)
  • Unterstützung (Ressourcen, Schulungen, Dokumentation)
  • Betrieb (Umsetzung der Maßnahmen)
  • Leistungsbewertung (Audits, Kennzahlen)
  • Verbesserung (Korrekturmaßnahmen, PDCA)
Anhang A – 93 Maßnahmen in 4 Bereichen
  1. Organisatorische Maßnahmen (37)
  1. Personenbezogene Maßnahmen (8)
  1. Physische Maßnahmen (14)
  1. Technologische Maßnahmen (34)

"ISO 27001 ist keine Pflicht – aber ein starkes Signal an Kunden, Partner und Behörden."
Gap-Analyse → Maßnahmen umsetzen → Internes Audit → Externes Audit → Zertifikat (3 Jahre gültig)

© 2026 Digitale Forensik ANR GmbH

18

Standards und branchenspezifische Vorgaben
ISO 27001
ISO/IEC 27001 ist der internationale Standard für Informationssicherheit. Er beschreibt einen klaren Weg, wie Risiken erkannt, bewertet und durch Schutzmaßnahmen (wie Zugriffsregeln, Datensicherungen, Mitarbeiterschulungen) verringert werden können. Eine ISO 27001-Zertifizierung, die alle drei Jahre erneuert wird, zeigt, dass eine Firma ein hohes Niveau an Informationssicherheit und Regelkonformität besitzt.
BSI IT-Grundschutz
Der BSI IT-Grundschutz ist eine Anleitung des Bundesamts für Sicherheit in der Informationstechnik. Er hilft Firmen, ihre IT-Systeme sicher zu machen. Er enthält über 1.000 genaue Empfehlungen (z.B. für Netzwerke, Software-Updates, Notfallpläne). So können Organisationen ihr Sicherheitsmanagement nach dem ISO 27001 Standard aufbauen. Es gibt verschiedene Schutzstufen, je nachdem wie wichtig die Daten sind.
Branchenspezifische Vorgaben
In stark regulierten Branchen gibt es zusätzliche, genaue Regeln. Im Finanzbereich sind das MaRisk und BAIT, die zum Beispiel strengere Vorgaben für die Auslagerung von Diensten und das Notfallmanagement machen. Im Gesundheitswesen ergänzt die KRITIS-Verordnung die Pflichten für Krankenhäuser. Im Telekommunikationsbereich stellt das TKG (Telekommunikationsgesetz) hohe Anforderungen an die Sicherheit von Netzen und den Schutz von Kommunikationsdaten.

© 2026 Digitale Forensik ANR GmbH

19

Zentrale rechtliche Rahmenwerke im Überblick
1
DSGVO
Die Datenschutz-Grundverordnung (DSGVO) schützt seit Mai 2018 persönliche Daten. Firmen müssen dafür passende technische und organisatorische Schutzmaßnahmen ergreifen, wie Daten verschlüsseln oder Zugänge kontrollieren. Bei Datenlecks musst du die zuständige Behörde innerhalb von 72 Stunden informieren. Wer sich nicht daran hält, riskiert hohe Strafen von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes.

2
IT-Sicherheitsgesetz 2.0
Das IT-Sicherheitsgesetz 2.0 (seit Mai 2021) legt strengere Regeln für Firmen fest, die wichtige Infrastrukturen betreiben (wie Energie, Wasser, Finanzen, Gesundheit). Große IT-Sicherheitsvorfälle müssen oft innerhalb von 24 Stunden dem BSI gemeldet werden. Firmen müssen auch Systeme nutzen, um Angriffe frühzeitig zu erkennen. Wer die Regeln nicht befolgt, riskiert Bußgelder von bis zu 50.000 Euro, bei bestimmten Verstößen sogar bis zu 100.000 Euro.
3
NIS2-Richtlinie
Die NIS2-Richtlinie (gültig ab Oktober 2024) soll die IT-Sicherheit in der EU vereinheitlichen. Sie betrifft viel mehr Unternehmen (z.B. Post, Abfallwirtschaft, digitale Dienste) und erhöht die Anforderungen an Risikomanagement und die Reaktion auf Vorfälle erheblich. Die Geschäftsführung kann persönlich haftbar gemacht werden. Unternehmen müssen Vorfälle innerhalb von 24 Stunden vorab und 72 Stunden vollständig melden, um hohe Strafen zu vermeiden.

© 2026 Digitale Forensik ANR GmbH

20

Begriff
KRITIS
Kritische Infrastrukturen – Betreiber systemrelevanter Anlagen

"KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen für die öffentliche Sicherheit führen würde."
KRITIS-Sektoren in Deutschland
  • Energie (Strom, Gas, Öl)
  • Wasser (Trinkwasser, Abwasser)
  • Ernährung (Lebensmittelversorgung)
  • Gesundheit (Krankenhäuser, Pharma)
  • Transport & Verkehr (Bahn, Flughafen, Häfen)
  • Finanz- & Versicherungswesen
  • Informationstechnik & Telekommunikation
  • Staat & Verwaltung
  • Medien & Kultur
Pflichten für KRITIS-Betreiber
  1. Registrierung beim BSI (Bundesamt für Sicherheit in der Informationstechnik)
  1. Meldung von Sicherheitsvorfällen (innerhalb von 24 Stunden)
  1. Umsetzung des IT-Sicherheitsgesetzes 2.0
  1. Nachweis angemessener Sicherheitsmaßnahmen alle 2 Jahre
  1. Einsatz von Angriffserkennung (§8a BSIG)

"KRITIS-Betreiber tragen besondere Verantwortung – ein Ausfall kann Millionen Menschen betreffen."
Praxisbeispiel: Die StadtWerk AG (Fallstudie) ist als Energieversorger ein KRITIS-Betreiber und unterliegt strengen BSI-Meldepflichten.

© 2026 Digitale Forensik ANR GmbH

21

Compliance-Prozess: Analyse und Umsetzung
01
1. Unterschiede erkennen
Vergleiche regelmäßig den aktuellen Stand deiner IT-Sicherheitsmaßnahmen mit den gesetzlichen Vorgaben. Dabei wird geprüft, wie gut die Sicherheitskontrollen nach Standards wie ISO 27001 oder dem NIST Cybersecurity Framework umgesetzt sind. So findest du heraus, wo Handlungsbedarf besteht. Zum Beispiel könnte auffallen, dass die Zwei-Faktor-Anmeldung für Fernzugriffe fehlt oder es kein geprüftes Notfallkonzept gibt. Für solche Mängel muss dann ein klarer Plan zur Behebung erstellt werden.
02
2. Sicherheitsmaßnahmen umsetzen
Setze technische und organisatorische Maßnahmen um, um die gefundenen Anforderungen zu erfüllen. Technisch können das zum Beispiel ein SIEM-System zur zentralen Protokollierung, Lösungen zur Verhinderung von Datenverlust (DLP) oder die Verschlüsselung aller wichtigen Daten sein. Organisatorisch sind regelmäßige Schulungen zum Sicherheitsbewusstsein (mindestens einmal im Jahr), ein klarer Plan für Sicherheitsvorfälle und aktuelle interne Regeln (z.B. für Passwörter oder Mobilgeräte) sehr wichtig.
03
3. Dokumentation sichern
Alle Aktivitäten zur Einhaltung der Regeln, getroffenen Schutzmaßnahmen und deren Wirksamkeit müssen vollständig dokumentiert werden. Das ist wichtig für Prüfungen und um dich gegen Haftungsansprüche zu schützen. Wichtige Dokumente sind: das Verzeichnis von Verarbeitungstätigkeiten (VvT) nach DSGVO, Sicherheitskonzepte, Notfallpläne, Risikobewertungen, Berichte von Sicherheitsaudits, Nachweise über Mitarbeiterschulungen und Verträge mit Drittanbietern, die Sicherheitsklauseln enthalten. Diese Dokumente sollten sicher und nachvollziehbar gespeichert werden.

© 2026 Digitale Forensik ANR GmbH

22

Compliance-Prozess: Überwachung und Verbesserung
5. Ständig überprüfen
Richte einen Prozess ein, um die Wirksamkeit der Maßnahmen und die dauerhafte Einhaltung der Regeln zu prüfen. Dies geschieht durch regelmäßige interne und externe Prüfungen (Audits), zum Beispiel jährlich ein ISMS-Audit nach ISO 27001. Auch Penetrationstests (mindestens halbjährlich für wichtige Systeme), Schwachstellenscans und Sicherheitsüberprüfungen sind nötig. Kennzahlen (KPIs) wie die Anzahl der gefundenen Schwachstellen, die durchschnittliche Reaktionszeit bei Vorfällen oder die Beteiligung an Sicherheitsschulungen helfen bei der Steuerung. Ein spezielles GRC-Tool kann die Überwachung und Berichterstattung automatisieren.

© 2026 Digitale Forensik ANR GmbH

23

Praktische Übung: Compliance-Check

Praxisaufgabe: Prüfe, ob dein Unternehmen alle Regeln einhält. Starte zum Beispiel in der Personalabteilung oder IT. Finde alle wichtigen Gesetze und Vorschriften (wie DSGVO, IT-Sicherheitsgesetz 2.0 oder branchenspezifische Regeln wie MaRisk für Banken). Hol dir dazu Hilfe von Anwälten oder nutze spezielle Software. Bewerte dann, wie gut du die Regeln bereits erfüllst: von 1 (gar nicht) bis 5 (vollständig). Halte genau fest, wo es Probleme gibt. Ordne die nötigen Schritte nach Dringlichkeit (z.B. hohe Strafen, schlechter Ruf) und Aufwand. So erstellst du einen klaren Plan für die nächsten 6-12 Monate.
Regeln sammeln
Erstelle eine aktuelle Liste aller wichtigen Gesetze und Vorschriften für deine Branche (z.B. Medizintechnik, Finanzen) und Unternehmensgröße, einschließlich Standards wie ISO 27001. Nutze dafür Fachverbände, offizielle Quellen und spezielle Programme, damit du nichts vergisst. Aktualisiere diese Liste mindestens alle drei Monate.
Stand prüfen
Untersuche systematisch, wie gut jede Regel umgesetzt ist. Sprich mit den Abteilungen, schau dir Dokumente und Prüfberichte an. Finde heraus, welche Regeln schon durch interne Prüfungen und Richtlinien erfüllt sind (z.B. 90% der Mitarbeiter haben die Datenschutzschulung gemacht) und wo du noch etwas tun musst, um die Regeln vollständig einzuhalten.
Schritte festlegen
Erstelle einen klaren Plan für jede gefundene Lücke. Lege konkrete Schritte, Zuständigkeiten (z.B. "Max Mustermann, IT-Leiter"), realistische Termine (z.B. "3. Quartal 2024") und messbare Ziele fest (z.B. "Einführung einer Zwei-Faktor-Authentifizierung für alle wichtigen Systeme"). Nimm diesen Plan in dein Risikomanagement auf und prüfe monatlich, wie weit du bist.

© 2026 Digitale Forensik ANR GmbH

24

Fallstudie
Wenn niemand die Zahlen kennt
Die FinanzNetz GmbH betreibt eine Banking-Plattform. Nach einem Angriff stellt sich heraus: Der Angreifer war 47 Tage unbemerkt im System. Die Wiederherstellung dauerte 3 Wochen. Niemand im Unternehmen konnte sagen, wie viele Systeme gepatcht waren oder wie viele Sicherheitsvorfälle es im letzten Jahr gab – denn es gab keine Kennzahlen.
🔴 Das Problem
  • Kein Security-Dashboard vorhanden
  • MTTD (Erkennungszeit): 47 Tage statt < 30 Minuten
  • MTTR (Wiederherstellungszeit): 3 Wochen statt < 4 Stunden
  • Patch-Abdeckung unbekannt (geschätzt ~30%)
  • Keine KPIs oder Metriken definiert
💡 Was du in diesem Thema lernst
  • Was KPIs, KRIs und Metriken in der IT-Sicherheit bedeuten
  • Wie MTTD und MTTR gemessen und verbessert werden
  • Welche vorbeugenden, erkennenden und behebenden Maßnahmen es gibt
  • Wie ein SIEM-System Kennzahlen liefert
  • Wie Sicherheitsziele messbar gemacht werden

© 2026 Digitale Forensik ANR GmbH

25

Zahlen & Kontrolle
Wichtige Zahlen im IT-Sicherheitsmanagement

Aktuelle Entwicklung 2025: Sicherheitsbudgets stehen unter Druck. Das durchschnittliche Wachstum ist auf nur 4% gesunken – der niedrigste Wert seit fünf Jahren. Nur 47% der CISOs erhielten 2025 eine Budgeterhöhung (2024: 62%). Gleichzeitig machen Sicherheitsbudgets nur noch 10,9% des IT-Budgets aus. Quelle: IANS Research 2025, Security Magazine 2025
Für ein gutes Sicherheitsmanagement brauchst du klare Zahlen. Dazu gehören zum Beispiel die Anzahl ungelöster Sicherheitslücken, der Anteil aktueller Software-Updates (z.B. 95%) oder wie gut Mitarbeiter bei Phishing-Tests abschneiden (z.B. unter 5% Klickrate). Diese Zahlen zeigen, wie gut die Sicherheitsmaßnahmen wirken. Wichtige Leistungsindikatoren (KPIs) wie die Zeit, die du brauchst, um einen Vorfall zu finden (MTTD) und wichtige Risikoindikatoren (KRIs) wie die Anzahl kritischer Schwachstellen, die nach 30 Tagen immer noch nicht behoben sind, helfen dir, kluge Entscheidungen zu treffen. So kann die Sicherheit ständig besser werden.
Welche Messwerte wichtig sind, hängt von der Größe deines Unternehmens, der Branche und wie weit deine Sicherheitsstrategie schon ist, ab. Ein neues Unternehmen achtet vielleicht nur auf grundlegende Updates und Mitarbeiterschulungen. Ein Finanzinstitut braucht aber genaue Daten zur Transaktionssicherheit und regelmäßige Prüfungen. Wichtig ist, dass diese Zahlen nicht nur gesammelt, sondern auch jede Woche oder jeden Monat vom Sicherheitsteam geprüft werden. Daraus ergeben sich dann Maßnahmen wie neue Sicherheitsregeln, zusätzliche Schulungen für Mitarbeiter oder Geld für neue Sicherheitstechnik.
Moderne Sicherheitsübersichten, oft in Systemen wie Splunk oder Microsoft Sentinel oder speziellen Plattformen, zeigen diese Zahlen in Echtzeit. So können Sicherheitsteams sofort auf ungewöhnliche Dinge reagieren, wie einen plötzlichen Anstieg fehlgeschlagener Anmeldungen. Und die Geschäftsleitung kann Entwicklungen erkennen, wie eine sinkende Rate bei Software-Updates, um frühzeitig strategische Entscheidungen zu treffen.

© 2026 Digitale Forensik ANR GmbH

26

Begriff
KPI & KRI
Key Performance Indicator & Key Risk Indicator

KPIs messen die Leistungsfähigkeit von Sicherheitsmaßnahmen. Sie zeigen, wie gut dein Unternehmen seine Sicherheitsziele erreicht.
Beispiele für KPIs
  • Anteil gepatchter Systeme (Ziel: >95%)
  • Anteil geschulter Mitarbeiter (Ziel: 100%)
  • Anzahl erkannter Angriffe pro Monat
  • Durchschnittliche Reaktionszeit auf Vorfälle
  • Anteil umgesetzter Sicherheitsrichtlinien

KRIs messen das aktuelle Risikoniveau. Sie warnen frühzeitig, wenn ein Risiko gefährlich ansteigt.
Beispiele für KRIs
  • Anzahl ungepatchter kritischer Schwachstellen
  • Anzahl fehlgeschlagener Anmeldeversuche pro Tag
  • Anteil veralteter Software im Einsatz
  • Anzahl offener Sicherheitsvorfälle
  • Anzahl externer Zugriffe ohne MFA

"KPIs sagen: Wie gut sind wir? KRIs sagen: Wie gefährdet sind wir?"

© 2026 Digitale Forensik ANR GmbH

27

Begriff
MTTD & MTTR
Mean Time to Detect & Mean Time to Recover
< 30 Min
MTTD Ziel
Angriff erkennen
47 Tage
MTTD Schlecht
FinanzNetz GmbH (Fallstudie)
< 4 Std
MTTR Ziel
System wiederherstellen
3 Wochen
MTTR Schlecht
Ohne Notfallplan
MTTD (Mean Time to Detect)
Die durchschnittliche Zeit, die vergeht, bis ein Sicherheitsvorfall erkannt wird. Je kürzer, desto besser.
Wie verbessern:
  • SIEM einsetzen
  • 24/7-Monitoring
  • automatische Alarme
  • regelmäßige Log-Analyse
MTTR (Mean Time to Recover)
Die durchschnittliche Zeit, die benötigt wird, um nach einem Vorfall den Normalbetrieb wiederherzustellen. Je kürzer, desto besser.
Wie verbessern:
  • Incident Response Plan
  • regelmäßige Backups
  • Wiederherstellungsübungen
  • klare Eskalationswege

"MTTD und MTTR sind die zwei wichtigsten Kennzahlen für die Reaktionsfähigkeit eines Unternehmens."

© 2026 Digitale Forensik ANR GmbH

28

Arten von Kennzahlen in der Informationssicherheit
Key-Performance-Indikatoren (KPI):
KPIs messen die Leistungsfähigkeit des Informationssicherheitsmanagementsystems (ISMS) und zeigen an, wie erfolgreich du die relevanten Maßnahmen und Prozesse umsetzt. Das ist ausreichend für die ISO 27001.
Key-Risk-Indikatoren (KRI):
KRIs überwachen Risiken und dienen als Früh- oder Spätindikatoren für potenzielle Risikobedingungen. Sie zeigen an, ob Veränderungen im Risikoprofil die definierten Toleranzgrenzen überschreiten und somit die Zielerreichung gefährden.
Key-Control-Indikatoren (KCI):
KCIs zeigen an, wie effektiv das gewünschte Ziel innerhalb der Toleranzgrenzen erreicht wurde. Sie bewerten, wie gut die relevanten Maßnahmen und Prozesse umgesetzt werden.
Return on Security Investment (ROSI):
ROSI zeigt, ob Ausgaben im Security-Bereich rechtfertigbar und kosteneffizient gemessen werden.

© 2026 Digitale Forensik ANR GmbH

29

Arten von Sicherheitszahlen (1/2)
Vorbeugende Zahlen
Messen, wie gut Sicherheitsvorfälle verhindert werden. Beispiele: Anteil der Systeme mit aktuellen Updates (z.B. 95% innerhalb von 7 Tagen aktualisiert), Anzahl ungelöster kritischer Sicherheitslücken, richtiger Einstellungen der Systeme (z.B. 90% der Server nach Vorgaben eingestellt), Erfolg von Mitarbeiterschulungen (z.B. über 80% bei Phishing-Tests).
Erkennende Zahlen
Messen, wie gut Sicherheitsvorfälle erkannt werden. Beispiele: Durchschnittliche Zeit, um einen Vorfall zu finden (z.B. unter 1 Stunde), Anzahl und Art der gefundenen Auffälligkeiten pro Tag, Rate der Fehlalarme (z.B. unter 10%), Abdeckung der Datenaufzeichnung (z.B. 99% aller Geräte).

© 2026 Digitale Forensik ANR GmbH

30

Beispiele Erkennende Sicherheitsmaßnahmen
SIEM-Regeln und Alarme
Ein SIEM-System vergleicht Daten aus mindestens 100+ Quellen. Beispiele für Regeln: 5+ fehlgeschlagene Anmeldungen in 1 Minute oder ungewöhnlicher Datenversand nach Mitternacht.

Beispiel: Du meldest dich morgens nicht am Arbeitsplatzrechner an, und das SIEM schlägt Alarm, weil dein Konto gleichzeitig von einem unbekannten Standort aus auf das VPN zugreift.
Abdeckung der Schwachstellen-Scans
Wöchentliche interne und monatliche externe Prüfungen auf Schwachstellen für alle Systeme und Webanwendungen. Tools: Nessus, OpenVAS.

Beispiel: Nach einem monatlichen Scan wird eine ungepatchte Sicherheitslücke auf dem Webserver entdeckt, bevor sie von außen ausgenutzt werden kann.
Log-Überwachung und Erkennung von Abweichungen
Zentrale Überwachung von System-, Anwendungs- und Netzwerk-Protokollen mit KI-basierten Systemen, um ungewöhnliches Verhalten wie auffällige Zugriffe auf sensible Daten zu erkennen.

Beispiel: Du öffnest normalerweise nur wenige Kundendatensätze, aber das System erkennt, dass plötzlich hunderte Datensätze in kurzer Zeit exportiert werden.
Penetrationstests und Red Teaming
Durchführung von jährlichen Penetrationstests und Red Teaming Übungen alle 2 Jahre für kritische Geschäftsabläufe und -anwendungen.

Beispiel: Ein externer Tester schafft es, über eine unsichere Formularfunktion Zugriff auf interne Testdaten zu erhalten, sodass Du die Schwachstelle vor dem Echtbetrieb behebst.

© 2026 Digitale Forensik ANR GmbH

31

Beispiele Behebende Sicherheitsmaßnahmen
Notfall-Reaktionsprozesse
Etablierung eines klaren 6-Schritte-Plans (Vorbereitung, Erkennung, Eindämmung, Beseitigung, Wiederherstellung, Nachbereitung) und regelmäßiger Übungen.

Beispiel: Bei einem Ransomware-Vorfall isolierst Du betroffene Rechner sofort, aktivierst den Notfallplan und informierst IT, Management und Datenschutz, damit der Betrieb geordnet weiterlaufen kann.
Geschäftsfortführungsplanung (BCP)
Erstellung und Test von BCPs (Business Continuity Plan) für alle wichtigen Systeme, inklusive Hot-, Warm- oder Cold-Standby-Strategien für eine schnelle Wiederaufnahme des Betriebs.

Beispiel: Bei einem Ransomware-Vorfall isolierst Du betroffene Rechner sofort, aktivierst den Notfallplan und informierst IT, Management und Datenschutz, damit der Betrieb geordnet weiterlaufen kann.

Beispiel: Fällt das ERP-System aus, wechselst Du über die Warm-Standby-Umgebung auf ein Ersatzsystem, damit Bestellungen und Rechnungen weiter bearbeitet werden können.

Wiederherstellungsziele (RTO/RPO)
Recovery Point Objective (RPO) /Recovery Time Objective (RTO)
Festlegung von RTO (Zeit bis zur Wiederherstellung) von unter 4 Stunden und RPO (Datenverlust-Grenze) von unter 1 Stunde für primäre Datensysteme und wichtige Anwendungen.

Beispiel: Wenn das CRM um 10 Uhr ausfällt, stellst Du es bis spätestens 14 Uhr wieder her und akzeptierst maximal die Daten, die seit 9 Uhr geändert wurden.

Forensische Bereitschaft
Sicherstellung der Fähigkeit zur Beweismittelaufnahme durch gespeicherte Protokolle (mindestens 1 Jahr), System-Sicherungsprozesse und geschulte Forensik-Experten oder externe Partner.

Beispiel: Bei einem Ransomware-Vorfall isolierst Du betroffene Rechner sofort, aktivierst den Notfallplan und informierst IT, Management und Datenschutz, damit der Betrieb geordnet weiterlaufen kann.

Beispiel: Nach einem Verdacht auf Datenabfluss kannst Du die relevanten Server-Logs der letzten Monate sichern und mit einem externen Forensik-Partner die Ursache nachvollziehen.

© 2026 Digitale Forensik ANR GmbH

32

Fallstudie
Der Angriff, den das SIEM stoppte
Die BankSecure AG betreibt eine Online-Banking-Plattform mit 500.000 Kunden. An einem Dienstagabend um 23:14 Uhr registriert das SIEM-System eine ungewöhnliche Aktivität: Ein Benutzeraccount meldet sich aus Deutschland an – und 4 Minuten später aus Singapur. Gleichzeitig werden 47 fehlgeschlagene Anmeldeversuche auf Admin-Konten registriert. Das SIEM schlägt automatisch Alarm.
1
23:14 Uhr – SIEM erkennt Anomalie
Gleichzeitige Anmeldung aus Deutschland und Singapur (physikalisch unmöglich). SIEM-Regel "Impossible Travel" wird ausgelöst. Automatischer Alarm an SOC Tier 1.
2
23:16 Uhr – SOC Tier 1 analysiert
Tier-1-Analyst prüft den Alarm. Bestätigt: Account wurde kompromittiert. Eskalation an Tier 2. Account wird vorläufig gesperrt.
3
23:22 Uhr – Tier 2 untersucht
Forensische Analyse zeigt: Zugangsdaten wurden durch Phishing gestohlen. Weitere 12 betroffene Accounts identifiziert. Alle gesperrt.
4
23:45 Uhr – Gegenmaßnahmen
Alle betroffenen Passwörter zurückgesetzt. MFA für alle Accounts erzwungen. IP-Adressen aus Singapur blockiert. CISO informiert.
5
09:00 Uhr – Nachbereitung
Vollständiger Incident Report erstellt. Phishing-Kampagne identifiziert und gemeldet. SIEM-Regeln verfeinert. Kein Datenverlust.

Ohne SIEM wäre passiert:
  • Angriff wäre unbemerkt geblieben
  • Kontodaten von 500.000 Kunden gefährdet
  • MTTD: Tage oder Wochen statt 2 Minuten
  • Meldepflicht nach DSGVO (72h) wäre verletzt worden

🛡️ Dank SIEM erreicht:
  • MTTD: 2 Minuten (Ziel: < 30 Min )
  • MTTR: 31 Minuten (Ziel: < 4 Std )
  • Kein Datenverlust
  • Vollständige Dokumentation für BSI-Meldung

© 2026 Digitale Forensik ANR GmbH

33

Begriff
SIEM
Security Information and Event Management

Ein SIEM-System sammelt, korreliert und analysiert Sicherheitsereignisse aus dem gesamten Unternehmensnetzwerk in Echtzeit. Es ist das zentrale Nervensystem des SOC.
Wie SIEM funktioniert
01
Daten sammeln: Logs aus Firewalls, Servern, Anwendungen, Endgeräten (100+ Quellen)
02
Korrelieren: Ereignisse werden miteinander verknüpft und auf Muster geprüft
03
Alarmieren: Bei Anomalien werden automatisch Alarme ausgelöst (z.B. 5+ fehlgeschlagene Logins)
04
Reagieren: Das SOC-Team untersucht den Alarm und leitet Maßnahmen ein
Typische SIEM-Alarmregeln
  • 5+ fehlgeschlagene Anmeldeversuche in 10 Minuten
  • Anmeldung aus unbekanntem Land
  • Dateiübertragung >1 GB außerhalb der Geschäftszeiten
  • Deaktivierung von Antivirensoftware
  • Zugriff auf kritische Systeme außerhalb der Arbeitszeit
Bekannte SIEM-Produkte: Splunk, Microsoft Sentinel, IBM QRadar, Elastic SIEM

"Ohne SIEM ist ein SOC blind – mit SIEM sieht es alles."

© 2026 Digitale Forensik ANR GmbH

34

Vorbeugende Sicherheitsmaßnahmen
Firewall-Regeln und Netzwerk-Trennung
Einsatz von Mikro-Segmentierung (z.B. VLANs, Zero Trust) und regelmäßige Überprüfung der Firewall-Regeln, mindestens vierteljährlich, um unnötige Zugänge zu blockieren.

Beispiel: Ein Mitarbeiter aus dem Marketing darf nur auf das CRM und freigegebene Cloud-Dienste zugreifen, während der Zugriff auf Produktionsserver und sensible Finanzsysteme durch Netzwerktrennung gesperrt bleibt.
Zugangsverwaltung (IAM)
Einführung von Mehrfach-Anmeldung (MFA), Rollen-basierten Zugriffen (RBAC) und einmaligem Login (SSO) für alle wichtigen Anwendungen.

Beispiel: Wenn ein neuer Teamleiter startet, erhält er automatisch über RBAC nur die Rechte für seine Abteilung, meldet sich per SSO an und bestätigt kritische Aktionen zusätzlich per MFA..
Schutz für Endgeräte
Alle Geräte werden mit Erkennungs- (EDR) und Datenverlust-Schutz-Lösungen (DLP) ausgestattet. Dazu gehören automatische Updates und zentrale Überwachung.

Beispiel: Wird auf einem Laptop ein verdächtiger E-Mail-Anhang geöffnet, erkennt das EDR die Auffälligkeit, isoliert das Gerät automatisch und verhindert, dass sensible Kundendaten per USB oder Mail kopiert werden.
Sicherheits-Schulungen
Jährliche Schulung für 100% der Mitarbeiter, inklusive simulierter Phishing-Angriffe (mindestens 4x pro Jahr) und spezieller Trainings gegen Social Engineering.

Beispiel: Nach einer Phishing-Simulation erkennt das Vertriebsteam gefälschte Rechnungs-Mails schneller und meldet verdächtige Nachrichten direkt an die IT, bevor ein Schaden entstehen kann.

© 2026 Digitale Forensik ANR GmbH

35

Fallstudie
Das SOC, das einen Insider-Angriff stoppte
Die EnergiePlus AG betreibt ein Stromnetz für 2 Millionen Haushalte und gilt als KRITIS-Betreiber. Ein Mitarbeiter der IT-Abteilung beginnt, systematisch Zugangsdaten zu kopieren und sensible Netzwerkpläne auf einen privaten USB-Stick zu übertragen. Das SOC-Team bemerkt die Anomalie – und handelt.
1
14:03 Uhr – Anomalie erkannt:
Das SIEM meldet: Mitarbeiter "T.Hoffmann" greift auf 47 Ordner außerhalb seines Zuständigkeitsbereichs zu. Gleichzeitig wird ein unbekanntes USB-Gerät registriert. SOC Tier 1 wird automatisch alarmiert.
2
14:07 Uhr – Tier 1 prüft den Alarm:
Tier-1-Analyst bestätigt: Zugriffsmuster ist ungewöhnlich – normalerweise greift T.Hoffmann auf maximal 3 Ordner pro Tag zu. Eskalation an Tier 2. Account wird in "Read-Only"-Modus versetzt.
3
14:15 Uhr – Tier 2 analysiert forensisch:
Forensische Analyse zeigt: In den letzten 6 Wochen wurden 340 MB Daten auf externe Geräte übertragen. Darunter: Netzwerkpläne, Zugangsdaten für Steuerungssysteme, interne Notfallpläne. SOC Manager wird informiert.
4
14:28 Uhr – Sofortmaßnahmen:
Account vollständig gesperrt. USB-Port des Rechners remote deaktiviert. HR und Rechtsabteilung informiert. CISO und Vorstand benachrichtigt. BSI-Meldung vorbereitet (24h-Pflicht als KRITIS-Betreiber).
5
16:00 Uhr – Nachbereitung & Lessons Learned:
Vollständiger forensischer Bericht erstellt. Mitarbeiter freigestellt. BSI fristgerecht informiert. Neue SOC-Regel eingeführt: Alarm bei >10 Ordnerzugriffen außerhalb des Zuständigkeitsbereichs in 30 Minuten.

🔴 Ohne SOC wäre passiert:
  • Datendiebstahl wäre unbemerkt geblieben
  • Netzwerkpläne hätten Angreifer zur Sabotage des Stromnetzes genutzt
  • BSI-Meldepflicht wäre verletzt worden (Bußgeld bis 10 Mio. €)
  • 2 Millionen Haushalte potenziell ohne Strom

🛡️ Dank SOC erreicht:
  • MTTD: 4 Minuten (Ziel: < 30 Min )
  • Datenverlust auf 340 MB begrenzt – keine kritischen Systeme kompromittiert
  • BSI fristgerecht informiert
  • Neue SIEM-Regel verhindert Wiederholung

© 2026 Digitale Forensik ANR GmbH

36

Begriff
SOC
Security Operations Center

Das SOC ist die zentrale Einheit im Unternehmen, die rund um die Uhr (24/7/365) alle sicherheitsrelevanten Ereignisse überwacht, analysiert und auf Vorfälle reagiert.
Aufgaben des SOC
  • Echtzeit-Überwachung aller IT-Systeme
  • Analyse von SIEM-Alarmen und Log-Daten
  • Erkennung und Klassifizierung von Sicherheitsvorfällen
  • Einleitung von Gegenmaßnahmen (Incident Response)
  • Kommunikation mit CISO und Management
  • Dokumentation aller Vorfälle und Maßnahmen
SOC-Rollen
Tier 1 Analyst
Erste Sichtung von Alarmen, Triage, Weiterleitung
Tier 2 Analyst
Tiefere Analyse, Incident Response, Forensik
SOC Manager
Koordination, Reporting an CISO, Prozessverbesserung

"Ein SOC ist der Unterschied zwischen 47 Tagen und 30 Minuten Erkennungszeit."
Die StadtWerk AG (Fallstudie) hatte kein SOC. Der Angriff blieb wochenlang unbemerkt.

© 2026 Digitale Forensik ANR GmbH

37

Wichtige Sicherheits-Ziele und Schutzmaßnahmen
99.5%
Update-Quote
Anteil der Sicherheits-Updates, die pünktlich aufgespielt werden. Ziel: Wichtige Updates (hohes Risiko) sollen innerhalb von 24-48 Stunden auf allen aktiven Systemen installiert sein. Das schließt bekannte Schwachstellen schnell.
15min
Erkennungszeit
Die durchschnittliche Zeit, die es dauert, einen Sicherheitsvorfall zu entdecken, nachdem er begonnen hat. Messung: Spezial-Systeme (SIEM/EDR) erkennen verdächtige Aktivitäten (z.B. ungewöhnliche Logins oder Datenklau) sofort und schlagen Alarm.
2.5h
Reaktionszeit
Die durchschnittliche Zeit von der Entdeckung eines Problems bis zur vollständigen Lösung. Verkürzung: Automatische Abläufe, fertige Schutzmaßnahmen und geschulte Notfall-Teams machen diese Zeit viel kürzer.
87%
Lösung von Schwachstellen
Anteil der wichtigen Schwachstellen (CVSS 7.0+), die innerhalb von 30 Tagen nach Entdeckung behoben werden. Ablauf: Regelmäßige Prüfungen, Einstufung nach Wichtigkeit und Zuweisung über Ticketsysteme helfen, Probleme schnell zu lösen und erneut zu prüfen.

© 2026 Digitale Forensik ANR GmbH

38

Arten von Sicherheitszahlen (2/2)
Reagierende Zahlen
Messen, wie gut auf Sicherheitsvorfälle reagiert wird. Beispiele: Durchschnittliche Zeit zur Reaktion auf einen Vorfall (z.B. unter 4 Stunden), Durchschnittliche Zeit zur Wiederherstellung nach einem Vorfall (z.B. unter 8 Stunden), Anzahl der monatlich behobenen Sicherheitslücken, Effizienz des Reaktionsteams (z.B. 90% der wichtigen Vorfälle im Zeitrahmen gelöst).
Kosten-Nutzen-Zahlen
Bewerten die finanziellen Aspekte der Sicherheit. Beispiele: Sicherheitsbudget im Vergleich zum IT-Budget (z.B. 10-15%), Ertrag der Sicherheitsinvestitionen (z.B. Kostenreduzierung durch Schäden um X%), Kosten pro Vorfall, Einsparungen durch automatisierte Sicherheitsaufgaben.

© 2026 Digitale Forensik ANR GmbH

39

Fallstudie
Alle sind zuständig – niemand ist verantwortlich
Bei der StadtWerk AG, einem kommunalen Energieversorger, wird ein kritischer Server kompromittiert. Die Untersuchung ergibt: Der IT-Administrator dachte, der CISO sei zuständig. Der CISO dachte, die IT-Abteilung kümmere sich darum. Der Vorstand wusste von nichts. Es gab keine RACI-Matrix, keine klaren Eskalationswege und kein SOC.
🔴 Das Problem
  • Keine klare Rollenverteilung (kein RACI)
  • CISO-Rolle nicht definiert
  • Kein SOC für 24/7-Überwachung
  • Keine Eskalationswege dokumentiert
  • Vorstand nicht in Sicherheitsentscheidungen eingebunden
💡 Was du in diesem Thema lernst
  • Welche Rollen es in der IT-Sicherheit gibt (CISO, SOC, DSB, etc.)
  • Was eine RACI-Matrix ist und wie du sie erstellst
  • Wie Verantwortlichkeiten klar zugewiesen werden
  • Wie der Vorstand in die IT-Sicherheit eingebunden wird
  • Wie ein SOC organisiert und betrieben wird

© 2026 Digitale Forensik ANR GmbH

40

Verantwortlichkeiten
Aufgaben und Rollen in der IT-Sicherheit (Teil1)
Klare Aufgabenverteilung und Zuständigkeiten sind sehr wichtig für gute IT-Sicherheit. Das Prinzip der Funktionstrennung (SoD) hilft, Interessenkonflikte zu vermeiden. Es sorgt dafür, dass wichtige Schritte, wie das Genehmigen und Ausführen von Zahlungen, immer von verschiedenen Personen gemacht werden. So wird sichergestellt, dass wichtige Abläufe mehrfach geprüft werden. Das senkt das Risiko von Fehlern oder Betrug erheblich.
Vorstand/Geschäftsführung
Ist verantwortlich für die gesamte IT-Sicherheit der Firma. Genehmigt die große Sicherheitsstrategie und sorgt dafür, dass genug Geld und Leute für die Sicherheit da sind. Zum Beispiel werden jährlich über 5 Millionen Euro für Sicherheits-Investitionen freigegeben. Ein wichtiges Sicherheits-Gremium trifft sich jedes Quartal.
CISO (Leiter IT-Sicherheit)
Plant und setzt die Sicherheitsstrategie um, oft nach bekannten Standards wie NIST CSF oder ISO 27001. Er leitet das System für Informationssicherheit, findet und bewertet jährlich über 100 große Risiken. Monatlich prüft er, ob die Firma die Regeln einhält und organisiert jährliche Prüfungen von außen.
IT-Abteilung
Setzt technische Sicherheitsmaßnahmen um. Macht über 500 Server sicher, zum Beispiel nach BSI-Grundschutz-Regeln. Kümmert sich darum, dass wichtige Sicherheitslücken innerhalb von 72 Stunden geschlossen werden. Schützt die Systeme durch Netzwerktrennung und neue Sicherheitskonzepte wie Zero-Trust. Nutzt spezielle Software zur Erkennung und Abwehr von Bedrohungen (EDR, z.B. CrowdStrike, SentinelOne).

© 2026 Digitale Forensik ANR GmbH

41

Rollen in der IT-Sicherheit (Teil 2)
Security Operations Center (SOC)
Überwacht wichtige Systeme rund um die Uhr. Findet und behebt Sicherheitsvorfälle schnell (durchschnittlich unter 2 Stunden). Sucht aktiv nach neuen Bedrohungen und analysiert Sicherheitsereignisse genau. Automatisiert über 80% der einfachen Vorfälle mit speziellen Systemen (SOAR) und analysiert täglich über 10.000 Protokolldaten in Sicherheitssystemen (SIEM, z.B. Splunk, Azure Sentinel).
Risiko & Compliance
Prüft regelmäßig Sicherheitsrisiken nach anerkannten Methoden (z.B. BSI 200-3). Stellt sicher, dass gesetzliche Regeln (z.B. DSGVO, BAIT) eingehalten werden. Organisiert jährlich mehr als 5 externe Prüfungen. Pflegt und aktualisiert ständig über 20 Sicherheitsregeln und -standards.
Fachbereiche
Jeder Bereich ist für die Daten und Prozesse verantwortlich, die er nutzt. Hält sich an die zentralen Sicherheitsregeln, wie die 'Clean Desk Policy' (leerer Schreibtisch). 100% der Mitarbeiter werden jährlich in Sicherheitsthemen geschult und melden Phishing-E-Mails innerhalb von 15 Minuten. Sicherheits-Experten in den Teams helfen dabei, Sicherheitsanforderungen schon bei neuen Projekten zu beachten.

© 2026 Digitale Forensik ANR GmbH

42

Begriff
RACI
Responsible – Accountable – Consulted – Informed
R – Responsible (Durchführend):
Die Person, die die Aufgabe tatsächlich ausführt. Es kann mehrere R-Personen geben.
Beispiel: IT-Administrator patcht den Server
A – Accountable (Verantwortlich):
Die Person, die letztendlich für das Ergebnis verantwortlich ist. Es darf nur ein A pro Aufgabe geben.
Beispiel: CISO trägt die Gesamtverantwortung
C – Consulted (Beratend):
Personen, die vor der Entscheidung konsultiert werden. Kommunikation ist bidirektional.
Beispiel: Datenschutzbeauftragter wird bei DSGVO-Fragen einbezogen
I – Informed (Informiert):
Personen, die über Entscheidungen und Ergebnisse informiert werden. Kommunikation ist einseitig.
Beispiel: Vorstand wird über abgeschlossene Maßnahmen informiert

"Eine RACI-Matrix verhindert, dass alle zuständig sind – und niemand handelt."
Praxisbeispiel: Die StadtWerk AG (Fallstudie) hatte keine RACI-Matrix. Ergebnis: Niemand handelte beim Angriff.

© 2026 Digitale Forensik ANR GmbH

43

Praktische Übung: RACI-Matrix für Security-Aufgaben erstellen
Erstelle eine RACI-Matrix (Responsible, Accountable, Consulted, Informed) für wichtige Security-Aufgaben in deinem Unternehmen. Das hilft dir, Verantwortlichkeiten klar zu regeln und Probleme wie doppelte Arbeit, Lücken oder Streitigkeiten frühzeitig zu erkennen. So wird deine IT-Security effizienter und sicherer.

Deine Aufgabe: Erstelle eine RACI-Matrix für mindestens fünf bis sieben wichtige Security-Prozesse. Beispiele sind: Umgang mit Sicherheitsvorfällen (z.B. bei Phishing), Schwachstellenprüfung (z.B. vierteljährliche Scans), Zugriffsverwaltung (z.B. Genehmigung von Anfragen), Security-Schulungen (z.b. jährliche Trainings), Risikoanalyse (z.B. für neue Systeme), Datenschutz (DLP) oder Notfallplanung (BCM). Lege für jeden Prozess fest, welche Rolle oder Abteilung (z.B. CISO, IT-Betrieb, Rechtsabteilung) welche RACI-Aufgabe (R, A, C, I) übernimmt.
1
Aufgaben finden & ordnen
Liste alle wichtigen Security-Prozesse auf, für die du Zuständigkeiten klären musst (z.B. basierend auf ISO 27001-Anforderungen). Beginne mit den Prozessen, die für deine Geschäftsziele am wichtigsten sind oder hohe Regeln erfüllen müssen.
2
Rollen und Beteiligte festlegen
Bestimme alle internen und externen Personen oder Abteilungen (z.B. CISO, IT-Leiter, Fachbereichsleiter, Datenschutzbeauftragter), die an den Security-Prozessen mitwirken oder davon betroffen sind.
3
RACI-Aufgaben verteilen
Weise jeder festgelegten Rolle für jeden Prozess die passende RACI-Kategorie zu. Achte darauf, dass es pro Prozess immer nur einen "Responsible" (R) und einen "Accountable" (A) gibt. Beschreibe genau, was jede Kategorie bedeutet.
4
Mit wichtigen Personen abstimmen
Besprich den Entwurf der Matrix in Meetings mit allen Beteiligten, besonders mit den "Accountable" und "Responsible" Personen. Kläre Unklarheiten und passe die Matrix an, bis alle einverstanden sind und sie offiziell genehmigt werden kann.
5
Regelmäßig festhalten & informieren
Halte die fertige RACI-Matrix fest (z.B. im ISMS-Handbuch). Führe regelmäßige Schulungen für alle wichtigen Personen durch. Stelle sicher, dass die Matrix im Arbeitsalltag genutzt wird und als Nachschlagewerk dient.
Die klare Regelung von Verantwortlichkeiten mit RACI ist ein ständiger Prozess. Überprüfe deine RACI-Matrix mindestens einmal im Jahr oder wenn sich wichtige Dinge ändern (z.B. neue Systeme, Umstrukturierungen, neue Vorschriften) und passe sie an. Eine klare Struktur hilft, Probleme und Risiken zu vermeiden und schließt Sicherheitslücken durch unklare Zuständigkeiten. Das schafft eine starke Basis für eine widerstandsfähigere, effektivere und prüfbare IT-Security.

© 2026 Digitale Forensik ANR GmbH

44

Recherche
Aufgabe: Aktuelle Bedrohungen

Finde die aktuellsten Bedrohungen und Angriffe in der Cybersecurity und stelle sie in einer Übersicht mit Prioritäten und Angabe der Quellen dar! Welche Informationsquellen gibt es?
🔴 Ransomware (kritisch)
Verschlüsselung von Unternehmensdaten, Lösegeldforderungen
🔴 Phishing & Social Engineering (kritisch)
Gezielte Angriffe auf Mitarbeiter per E-Mail oder Telefon
🟠 Zero-Day-Exploits (hoch)
Ausnutzung unbekannter Schwachstellen in Software
🟠 Supply-Chain-Angriffe (hoch)
Kompromittierung über Drittanbieter und Lieferketten
🟡 DDoS-Angriffe (mittel)
Überlastung von Systemen und Diensten
🟡 Insider-Bedrohungen (mittel)
Datenmissbrauch durch eigene Mitarbeiter
🔴 Kritisch
🟠 Hoch
🟡 Mittel

© 2026 Digitale Forensik ANR GmbH

45

25 Prüfungsfragen (1/3)
Fragen 1–8
  1. ISMS: Welches der folgenden Elemente ist kein Bestandteil eines Informationssicherheits-Managementsystems (ISMS)?
  • a) Risikomanagement
  • b) Personalmanagement
  • c) Sicherheitsrichtlinien
  • d) Kontinuierliche Überwachung
  1. Governance: Welches der folgenden Prinzipien gehört zur IT-Governance?
  • a) Wertschöpfung
  • b) Projektmanagement
  • c) Rekrutierung
  • d) Budgetierung
  1. Recht: Welches Gesetz verpflichtet Unternehmen zur Einhaltung von Datenschutzbestimmungen?
  • a) UWG
  • b) BDSG
  • c) Energierecht
  • d) Aktiengesetz
  1. KRITIS: Welche Aussage über KRITIS (kritische Infrastrukturen) trifft zu?
  • a) KRITIS-Unternehmen sind nicht meldepflichtig bei Sicherheitsvorfällen.
  • b) KRITIS umfasst alle staatlichen Einrichtungen.
  • c) KRITIS-Unternehmen sind verpflichtet, Maßnahmen zum Schutz der IT-Systeme umzusetzen.
  • d) KRITIS bezieht sich nur auf den Energiesektor.
  1. CER: Was bedeutet CER im Kontext der Cybersicherheit?
  • a) Cyber Emergency Response
  • b) Critical Event Reporting
  • c) Cyber Event Recovery
  • d) Critical Error Resolution
  1. ISO/IEC 27001: Welches der folgenden Dokumente ist zentral in der ISO/IEC 27001-Norm?
  • a) Datenschutzbericht
  • b) Risikobewertung
  • c) Jahresbericht
  • d) Unternehmensrichtlinien
  1. BSI Grundschutz: Welche Organisation ist verantwortlich für den IT-Grundschutz in Deutschland?
  • a) TÜV
  • b) DIN
  • c) BSI
  • d) DEKRA
  1. DORA: Welcher Bereich wird durch DORA in der EU reguliert?
  • a) Datenschutz
  • b) Digitale Betriebsstabilität
  • c) Umweltrecht
  • d) Gesundheitswesen

© 2026 Digitale Forensik ANR GmbH

46

25 Prüfungsfragen (2/3)
Fragen 9–17
  1. NIS2: Was sind die Hauptziele der NIS2-Richtlinie?
  • a) Förderung des E-Commerce
  • b) Verbesserung der europäischen Cybersicherheit
  • c) Standardisierung von Betriebssystemen
  • d) Erweiterung von Cloud-Diensten
  1. DCGK: Der Deutsche Corporate Governance Kodex (DCGK) legt Empfehlungen zu welchem Thema fest?
  • a) Arbeitnehmerrechte
  • b) Rechnungswesen
  • c) Unternehmensführung
  • d) Steuergesetzgebung
  1. Risikoorientierter Sicherheitsansatz: Ein risikoorientierter Sicherheitsansatz in der IT bezieht sich am besten auf...
  • a) Unfallverhütung
  • b) Entwicklung eines Sicherheitsprodukts
  • c) Maximierung von Profiten
  • d) Schutz von Vermögenswerten basierend auf Risikobewertungen
  1. ROSI: Was bedeutet ROSI in Bezug auf Informationssicherheit?
  • a) Return on Security Investment
  • b) Registry of Secure Information
  • c) Regulation of Security Instructions
  • d) Repository of Security Incidents
  1. ISO/IEC 27001: In welchem Jahr wurde die erste Version von ISO/IEC 27001 veröffentlicht?
  • a) 1990
  • b) 2000
  • c) 2005
  • d) 2013
  1. BSI Grundschutz: Der IT-Grundschutz des BSI basiert auf welchem Ansatz?
  • a) Compliance-orientierter Ansatz
  • b) Gefahrenvermeidungsansatz
  • c) Risikoorientierter Ansatz
  • d) Managementansatz
  1. Governance: Welches Element ist ein zentraler Bestandteil effektiver IT-Governance?
  • a) Technologiekauf
  • b) Service Desk Management
  • c) Leistungsüberwachung und Berichterstattung
  • d) Wartungsvertrag
  1. KRITIS-Sektoren: Welche der folgenden Sektoren ist nicht typischerweise als kritisch (KRITIS) klassifiziert?
  • a) Gesundheitssektor
  • b) Landwirtschaft
  • c) Finanzsektor
  • d) Wasserversorgung
  1. Datenschutz: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen wird am besten durch welchen der folgenden Begriffe beschrieben?
  • a) Datenschutz-Grundverordnung (DSGVO)
  • b) Privacy by Design and Default
  • c) Sicherheitsaudit
  • d) Rechteverwaltung

© 2026 Digitale Forensik ANR GmbH

47

25 Prüfungsfragen (3/3)
Fragen 18–25
  1. KRITIS Verpflichtungen: Welche Verpflichtung hast du als KRITIS-Betreiber gegenüber dem BSI?
  • a) Quartalsweise Finanzberichte
  • b) Melden von Sicherheitsvorfällen
  • c) Offenlegung von Kundendaten
  • d) Kauf von Versicherungspolicen
  1. ROSI-Rechnung: Wie berechnest du den Return on Security Investment (ROSI)?
  • a) Gesamtausgaben – Einsparungen
  • b) (Nettovorteil aus den Sicherheitsmaßnahmen - Kosten der Maßnahmen) / Kosten der Maßnahmen
  • c) Durch Risiken eingesparte Zeit
  • d) Sicherheitsvorfälle multipliziert mit ihrer Eintrittswahrscheinlichkeit
  1. NIS2 Erweiterungen: Ein wesentliches Ziel der NIS2-Richtlinie ist es:
  • a) Den Verkauf von IT-Produkten zu maximieren
  • b) Die Harmonisierung der Cybersicherheitsanforderungen in der EU
  • c) Kleinunternehmen von Sicherheitsanforderungen auszuschließen
  • d) Nationale Souveränität in Cyberfragen zu fördern
  1. ISMS und ISO/IEC 27001: Welche der folgenden Aussagen trifft für ein ISMS nach ISO/IEC 27001 zu?
  • a) Es umfasst die kontinuierliche Verbesserung der Sicherheitsmaßnahmen.
  • b) Es konzentriert sich ausschließlich auf technische Sicherheitskontrollen.
  • c) Es erfordert die Durchführung regelmäßiger Risikobewertungen.
  • d) Es ist ausschließlich für IT-Unternehmen bestimmt.
  1. Governance: Welche Aussagen beschreiben wesentliche Aspekte der IT-Governance?
  • a) IT-Governance ist nur relevant für große Unternehmen.
  • b) IT-Governance umfasst die Ausrichtung der IT auf die Unternehmensziele.
  • c) IT-Governance sorgt für die Einhaltung von Compliance-Anforderungen.
  • d) IT-Governance konzentriert sich ausschließlich auf die Reduzierung von IT-Kosten.
  1. KRITIS: Welche der folgenden Pflichten haben Betreiber kritischer Infrastrukturen in Deutschland?
  • a) Sie müssen jährlich einen Bericht über operative Gewinne vorlegen.
  • b) Sie sind verpflichtet, IT-Sicherheitsvorfälle dem BSI zu melden.
  • c) Sie müssen eine kontinuierliche Überprüfung und Verbesserung von IT-Sicherheitsmaßnahmen durchführen.
  • d) Sie müssen jährliche Treffen mit dem Bundeskanzleramt organisieren.
  1. Datenschutz: Welche der folgenden Grundsätze sind Teil der DSGVO?
  • a) Datenminimierung
  • b) Unbeschränkte Datenaufbewahrung
  • c) Zweckbindung
  • d) Notwendigkeit der Zustimmung durch den Vorstand für jede Verarbeitung personenbezogener Daten
  1. NIS2: Welche Ziele verfolgt die NIS2-Richtlinie der EU? (Wähle zwei korrekte Antworten)
  • a) Ausschluss von KMUs von Sicherheitsanforderungen
  • b) Verstärkung der nationalen IT-Infrastrukturen ohne EU-weite Zusammenarbeit
  • c) Verbesserung der Zusammenarbeit und Informationsaustausch zwischen den EU-Mitgliedstaaten
  • d) Stärkung der Sicherheitsanforderungen für kritische Sektoren in der EU

© 2026 Digitale Forensik ANR GmbH

48

Richtige Antworten mit Erklärungen (1/3)
Fragen 1–8
  1. b) Personalmanagement – Personalmanagement ist kein direkter Bestandteil eines ISMS. Ein ISMS konzentriert sich auf den Schutz von Informationen und umfasst Risikomanagement, Sicherheitsrichtlinien und kontinuierliche Überwachung.
  1. a) Wertschöpfung – IT-Governance stellt sicher, dass IT-Investitionen dem Unternehmen zusätzlichen Wert bringen. Wertschöpfung ist ein zentrales Prinzip, das die IT als strategischen Vermögenswert nutzt.
  1. b) BDSG – Das Bundesdatenschutzgesetz (BDSG) befasst sich mit dem Schutz personenbezogener Daten in Deutschland und ergänzt die DSGVO.
  1. c) KRITIS-Unternehmen sind verpflichtet, Maßnahmen zum Schutz der IT-Systeme umzusetzen. – KRITIS-Unternehmen müssen gemäß gesetzlicher Vorgaben IT-Sicherheit gewährleisten und Schutzmaßnahmen ergreifen.
  1. a) Cyber Emergency Response – Bezieht sich auf schnelle und effektive Maßnahmen zur Bewältigung von Cyber-Notfällen, um Schäden zu minimieren und den Betrieb wiederherzustellen.
  1. b) Risikobewertung – In ISO/IEC 27001 ist die Risikobewertung ein zentrales Element zur Identifizierung und Bewertung von Informationssicherheitsrisiken.
  1. c) BSI – Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und pflegt den IT-Grundschutz.
  1. b) Digitale Betriebsstabilität – DORA (Digital Operational Resilience Act) stärkt die Widerstandsfähigkeit von Finanzinstitutionen gegen digitale Risiken.

© 2026 Digitale Forensik ANR GmbH

49

Richtige Antworten mit Erklärungen (2/3)
Fragen 9–17
  1. b) Verbesserung der europäischen Cybersicherheit – Die NIS2-Richtlinie zielt durch höhere Standards und verbesserte Zusammenarbeit zwischen den Mitgliedstaaten auf die Stärkung der Cybersicherheit in Europa ab.
  1. c) Unternehmensführung – Der DCGK bietet Empfehlungen für gute Unternehmensführung und -überwachung, insbesondere für börsennotierte Unternehmen, um Transparenz und Vertrauen zu fördern.
  1. d) Schutz von Vermögenswerten basierend auf Risikobewertungen – Ein risikoorientierter Sicherheitsansatz bewertet und priorisiert Sicherheitsmaßnahmen basierend auf den potenziellen Risiken für IT-Vermögenswerte.
  1. a) Return on Security Investment – ROSI bewertet die Effektivität von Sicherheitsinvestitionen, indem der finanzielle Nutzen den Kosten der Maßnahmen gegenübergestellt wird.
  1. c) 2005 – Die erste Ausgabe der ISO/IEC 27001 wurde 2005 veröffentlicht und stellte eine international anerkannte Grundlage für das Management der Informationssicherheit bereit.
  1. c) Risikoorientierter Ansatz – Der IT-Grundschutz des BSI basiert auf einem risikoorientierten Ansatz, der die Identifizierung, Bewertung und Steuerung von Risiken priorisiert.
  1. c) Leistungsüberwachung und Berichterstattung – Ein zentraler Bestandteil effektiver IT-Governance ist die kontinuierliche Überwachung und Berichterstattung über die IT-Leistung.
  1. b) Landwirtschaft – Gesundheitswesen, Finanzsektor und Wasserversorgung gelten als kritische Infrastrukturen; Landwirtschaft ist nicht direkt als KRITIS klassifiziert.
  1. b) Privacy by Design and Default – Dieser Ansatz stellt sicher, dass Datenschutz bereits bei der Entwicklung von Systemen berücksichtigt wird und Standardeinstellungen maximale Datensicherheit gewährleisten.

© 2026 Digitale Forensik ANR GmbH

50

Richtige Antworten mit Erklärungen (3/3)
Fragen 18–25
  1. b) Melden von Sicherheitsvorfällen – Betreiber kritischer Infrastrukturen müssen Sicherheitsvorfälle dem BSI melden, um zur Sicherheit der nationalen Infrastruktur beizutragen.
  1. b) (Nettovorteil aus den Sicherheitsmaßnahmen - Kosten der Maßnahmen) / Kosten der Maßnahmen – Diese Berechnungsmethode hilft dir, zu bewerten, ob Investitionen in Sicherheitsmaßnahmen einen positiven finanziellen Effekt haben.
  1. b) Die Harmonisierung der Cybersicherheitsanforderungen in der EU – NIS2 zielt darauf ab, die Cybersicherheitsanforderungen in der EU zu vereinheitlichen und eine kohärente Sicherheitsumgebung sicherzustellen.
  1. a) Es umfasst die kontinuierliche Verbesserung der Sicherheitsmaßnahmen. und c) Es erfordert die Durchführung regelmäßiger Risikobewertungen. – Ein effektives ISMS ist zyklisch und prozessorientiert (PDCA-Zyklus) und erfordert systematische Risikobewertung.
  1. b) IT-Governance umfasst die Ausrichtung der IT auf die Unternehmensziele. und c) IT-Governance sorgt für die Einhaltung von Compliance-Anforderungen. – IT-Governance sichert die strategische Ausrichtung der IT auf die Geschäftserfordernisse und überwacht die Einhaltung von Gesetzen und Richtlinien.
  1. b) Du bist verpflichtet, IT-Sicherheitsvorfälle dem BSI zu melden. und c) Du musst eine kontinuierliche Überprüfung und Verbesserung von IT-Sicherheitsmaßnahmen durchführen. – KRITIS-Betreiber müssen proaktiv Sicherheitsstandards aufrechterhalten und Vorfälle melden.
  1. a) Datenminimierung und c) Zweckbindung – Diese Grundsätze beschränken die Datensammlung auf das Notwendigste und erfordern, dass Daten nur für klar definierte Zwecke verarbeitet werden.
  1. c) Verbesserung der Zusammenarbeit und Informationsaustausch zwischen den EU-Mitgliedstaaten und d) Stärkung der Sicherheitsanforderungen für kritische Sektoren in der EU – NIS2 zielt auf Kooperation und standardisierte Sicherheitsanforderungen, um kritische Infrastruktur besser zu schützen.
Diese Erklärungen sollen die Wichtigkeit jeder Antwort im Kontext der Thematik beleuchten und zum besseren Verständnis beitragen.

© 2026 Digitale Forensik ANR GmbH

51

Fallstudie
Mittelständisches Unternehmen unter Druck
Hintergrund:
Die MediTech GmbH ist ein mittelständisches Unternehmen mit 350 Mitarbeitern, das medizinische Geräte herstellt und vertreibt. Das Unternehmen verarbeitet täglich sensible Patientendaten, Lieferantendaten und Finanzdaten. Es gibt keine dedizierte IT-Sicherheitsabteilung – ein einzelner IT-Administrator kümmert sich nebenbei um die Sicherheit.
Kein CISO, keine klaren Sicherheitsverantwortlichkeiten (RACI fehlt)
Keine dokumentierten Sicherheitsrichtlinien oder ISMS
DSGVO-Konformität unklar – kein Verzeichnis der Verarbeitungstätigkeiten
NIS2-Pflichten unbekannt, obwohl das Unternehmen als wichtige Einrichtung gilt
Kein SOC, kein SIEM, keine Überwachung rund um die Uhr
Letzter Sicherheitsvorfall: Ransomware-Angriff vor 6 Monaten, Wiederherstellung dauerte 3 Wochen

© 2026 Digitale Forensik ANR GmbH

52

Schritt 1 von 4
Lösung Schritt 1: Organisatorische Verankerung der IT-Sicherheit
Aufbau und Steuerung der IT-Sicherheit
CISO-Rolle einführen
Ernennung eines Chief Information Security Officers (CISO), der direkt an die Geschäftsführung berichtet. Verantwortlich für die gesamte IT-Sicherheitsstrategie.
RACI-Matrix erstellen
Klare Zuweisung von Verantwortlichkeiten für alle sicherheitsrelevanten Aufgaben (Responsible, Accountable, Consulted, Informed) für alle 350 Mitarbeiter.
Security-Team aufbauen
Aufbau eines kleinen internen Security-Teams (3–5 Personen): Security Analyst, Datenschutzbeauftragter, IT-Risikomanager.
ISMS einführen (ISO 27001)
Implementierung eines Informationssicherheits-Managementsystems nach ISO 27001 als Grundlage für alle weiteren Maßnahmen.

© 2026 Digitale Forensik ANR GmbH

53

Schritt 2 von 4
Lösung Schritt 2: Gesetzliche Compliance herstellen
Thema: Gesetze und Regeln für die IT-Sicherheit
1
DSGVO-Compliance
  • Erstellung eines vollständigen Verzeichnisses der Verarbeitungstätigkeiten (VVT).
  • Benennung eines Datenschutzbeauftragten (DSB).
  • Einführung von Datenschutz-Folgenabschätzungen (DSFA) für Patientendaten.
2
NIS2-Umsetzung
  • Registrierung beim BSI als wichtige Einrichtung.
  • Einführung von Meldeprozessen für Sicherheitsvorfälle (24h-Meldepflicht).
  • Umsetzung der 10 Mindestmaßnahmen nach NIS2 (Risikomanagement, Incident Response, Lieferkettensicherheit etc.).
3
Compliance-Monitoring
  • Einführung eines vierteljährlichen Compliance-Checks.
  • Nutzung eines Gap-Analysis-Prozesses zum Vergleich Ist- vs. Soll-Zustand.
  • Externe Audits jährlich.

© 2026 Digitale Forensik ANR GmbH

54

Schritt 3 von 4
Lösung Schritt 3: Kennzahlen und Kontrollen einführen
Thema: Wichtige Zahlen und Kontrollen für die Informationssicherheit
<30min
MTTD
Ziel: unter 30 Minuten
Vorher: 72+ Stunden
<4h
MTTR
Ziel: unter 4 Stunden
Vorher: 3 Wochen (504 Stunden)
95%
Patch-Abdeckung
Ziel: 95% aller Systeme aktuell gepatcht
Vorher: ~40%
100%
Sicherheitsschulungen
Ziel: 100% der Mitarbeiter jährlich geschult
Vorher: 0%
Diese Kennzahlen werden monatlich im Security-Dashboard überwacht und quartalsweise dem Vorstand berichtet. Ein SIEM-System aggregiert Daten aus allen kritischen Systemen und löst bei Anomalien automatisch Alarme aus.

© 2026 Digitale Forensik ANR GmbH

55

Schritt 4 von 4
Lösung Schritt 4: Operative Sicherheitsstrukturen & Ergebnis
Thema: Zuständigkeiten und Aufgaben von Personen und Abteilungen
01
SOC aufbauen
Einrichtung eines Security Operations Centers (SOC) mit 24/7-Überwachung. Einsatz eines SIEM-Systems mit Regeln für 100+ Datenquellen. Automatische Alarmierung bei verdächtigen Aktivitäten (z.B. 5+ fehlgeschlagene Anmeldeversuche).
02
Incident Response Plan
Einführung eines 6-Schritte-Notfallplans (Vorbereitung → Erkennung → Eindämmung → Beseitigung → Wiederherstellung → Nachbereitung). Regelmäßige Übungen (Tabletop Exercises) mit allen Beteiligten.
03
Vorbeugende Maßnahmen
Einführung von Firewall-Regeln und Netzwerksegmentierung. Regelmäßige Penetrationstests. Multi-Faktor-Authentifizierung für alle kritischen Systeme.
04
Ergebnis für MediTech GmbH
Von 0 auf ISO 27001-Zertifizierung in 18 Monaten. DSGVO- und NIS2-konform. Ransomware-Wiederherstellungszeit von 3 Wochen auf unter 4 Stunden reduziert. Klare Verantwortlichkeiten für alle 350 Mitarbeiter.

© 2026 Digitale Forensik ANR GmbH

56