Netzwerk Informationssicherheit 2026: Von Regulierung zu wirksamer Resilienz

NIS-2, KRITIS-Dachgesetz, Cybercrime, KI-Risiken, Incident Management und SIEM: Informationssicherheitsmanagement resilient aufstellen und auf dynamische Bedrohungslagen ausrichten

Wirksames ISMS muss heute weit mehr leisten, als Normanforderungen zu erfüllen: Es muss regulatorische Entwicklungen einordnen, reale Angriffsszenarien berücksichtigen und belastbare Strukturen für Prävention, Erkennung, Reaktion und Wiederanlauf schaffen. Diese Zusammenhänge aus Regulierung, Technik, Organisation und praktischer Erfahrung aus einer ermittelnden Behörde prägten das GUTcert Netzwerk Informationssicherheit am 17.06.2026.

Tim Stauffenberg (GUTcert) gab zum Auftakt einen Überblick über die aktuellen Entwicklungen rund um ISO/IEC 27001, IT-Sicherheitskatalog, KRITIS, NIS-2, EU AI Act und Cyber Resilience Act. Deutlich wurde: Bestehende Managementsysteme bieten eine gute Grundlage, müssen aber gezielt um neue Pflichten, Meldewege und Verantwortlichkeiten ergänzt werden.

Die aktuelle Bedrohungslage zeigt, warum Informationssicherheit nicht isoliert betrachtet werden kann. Olaf Borries und Lars Huwald von der Zentralen Ansprechstelle Cybercrime des LKA Berlin machen deutlich, wie professionell Cyberangriffe heute organisiert sind. Der Blick auf DDoS, Ransomware, Ransom-Leak und Supply-Chain-Angriffe stellt klar, warum Prävention, Notfallplanung, Protokollierung und schnelle Reaktion zusammengedacht werden müssen.

Egal, wie gut man „zusammendenkt“, der „Risikofaktor Mensch“ bleibt, wie Joachim Reinke (einfachISO) darlegte: Menschen umgehen Sicherheitsregeln vor allem dann, wenn sichere Prozesse im Alltag zu kompliziert sind. Awareness wird deshalb erst wirksam, wenn sie mit verständlichen, nutzbaren und realistischen Sicherheitsprozessen verbunden wird.

Mit Blick auf KRITIS-Anforderungen (Tobias Strohbach, MVV Enamic) und Incident Management (Sascha Zaczyk, EnBW Cyber Security) wurde außerdem deutlich, wie wichtig belastbare Strukturen für Krisenfälle sind. Bestandsaufnahme, Risikoanalyse, Resilienzplanung, Krisenkommunikation, nachvollziehbare Dokumentation und regelmäßige Übungen bilden die Grundlage dafür, dass Organisationen aus Vorfällen lernen und im Ernstfall handlungsfähig bleiben.

Künstliche Intelligenz (KI) war bewusst nicht das bestimmende Thema der Veranstaltung, spielt aber natürlich eine zunehmend wichtige Rolle im Bereich IT-Sicherheit. Nimrod Briller (Berlin Cert) beleuchtete aus diesem Grunde die Sicherheitsrisiken beim Einsatz von KI-Tools, wie etwa Prompt Injection, Datenabfluss oder zu weit reichende Agentenrechte. Sein Fazit: Verantwortungsvolle Nutzung braucht klare Governance, technische Schutzmaßnahmen und regelmäßige Überprüfung.

Den letzten Vortrag dieses spannenden Tages hielt Prof. Dr. Michael Pilgermann (TH Brandenburg) und erklärte, warum SIEM, Logging und Security Monitoring zentrale Bausteine moderner Informationssicherheit sind: Nur, wer relevante Ereignisse erkennt, korreliert und bewertet, kann Angriffe rechtzeitig einordnen und angemessen reagieren.

Fazit:

Informationssicherheit ist eine Aufgabe für alle Bereiche und Personen im Unternehmen.
Regulierung, Technik, Organisation und Krisenfähigkeit sind inzwischen eng miteinander verbunden – ein wirksames ISMS schafft hier den Rahmen für ihre Organisation.

Wir danken allen Referenten und Teilnehmenden für den konstruktiven Austausch und freuen uns schon jetzt auf das Netzwerk Informationssicherheit 2027!

 

Bei Fragen oder Anmerkungen zum Thema ISMS wenden Sie sich gerne an Tim Stauffenberg.

Netzwerk Informationssicherheit: Get-Together am Vorabend
Geistreiche Gespräche bei geistigen Getränken
Immer gibt es Diskussionsbedarf!
Tim Staufenberg (GUTcert): Aktuelle Entwicklungen und Gesetzesänderungen im Kontext von ISO 27001, IT-Sicherheitskatalog und KRITIS
Lars Huwald (LKA): Wilder Westen Cybercrime (Vortrag mit Olaf Borries)
Nimrod Briller (Berlin Cert): KI-Tools: Gefahren trotz verantwortungsvoller Nutzung