Kontakt
Kontakt aufnehmen

Massgeschneiderte IT-Security für Sie.

Gemeinsam in eine sichere, digitale Zukunft.

Wirkungsvoller Schutz für Ihre Organisation

Die Rewion GmbH bietet Ihnen eine umfassende Beratung im Bereich der IT-Security. Wir unterstützen Sie dabei, Ihr Unternehmen gegen die steigenden Bedrohungen zu schützen, die Risiken zu minimieren und die Auswirkungen einzuschränken. Wir helfen Ihnen bei der Ausarbeitung einer Strategie und Governance, koordinieren mit Ihnen die Vorhaben und begleiten Sie bei der Einführung von Umsetzungsmaßnahmen und Initiativen.

Kontakt aufnehmen

Ihre Schlüsselelemente der IT-Sicherheit

Zugriffsmanagement

Effiziente Kontrolle und Schutz Ihrer Daten durch maßgeschneiderte Lösungen, die nur autorisierten Personen Zugang gewähren und Compliance-Anforderungen erfüllen.

Richtlinien & Schulung

Umfassende Richtlinien und Schulungen, die Ihr Team befähigen, Sicherheitsstandards zu verstehen und umzusetzen, um Risiken zu minimieren und die Compliance zu gewährleisten.

Datensicherheit & Verschlüsselung

Schützen Sie Ihre sensiblen Daten mit fortschrittlichen Verschlüsselungstechniken und umfassenden Sicherheitsmaßnahmen vor unbefugtem Zugriff und Datenverlust.

Zero Trust

Maximale Sicherheit durch das Prinzip „Vertrauen ist gut, Kontrolle ist besser“ – jeder Zugriff wird überprüft, um Bedrohungen effektiv zu verhindern.

Vorbereitung von Zertifizierungen

Gezielte Unterstützung und Beratung, um Ihr Unternehmen optimal auf IT-Sicherheitszertifizierungen vorzubereiten und die erforderlichen Standards zu erfüllen.

Netzwerksicherheit

Schützen Sie Ihr Netzwerk vor Bedrohungen mit umfassenden Sicherheitslösungen, die Angriffe erkennen und abwehren, bevor sie Schaden anrichten können.

Incident Response

Schnelle und effektive Reaktion auf Sicherheitsvorfälle, um Schäden zu minimieren und den normalen Betrieb so schnell wie möglich wiederherzustellen.

IT-Security Beratung mit unseren Experten

Haben Sie Fragen oder ein Anliegen zum Thema IT-Security? Wünschen Sie mehr Informationen oder benötigen Sie eine Zweitmeinung? Wir kümmern uns gerne darum und unterstützen Sie auf Ihrem Weg. Vereinbaren Sie jetzt Ihre kostenlose Erstberatung direkt online.

Julian Steil

Termin vereinbaren

Unsere Mission

Wir fördern die digitale Sicherheit und Resilienz von Organisationen durch gezielte Beratung bei der Einführung branchenüblicher Standards und Methoden. In vertrauensvoller Zusammenarbeit auf Augenhöhe optimieren wir Sicherheit und Compliance nachhaltig.

Erfolgreiche Projekte mit Rewion als Trusted Advisor

Sicherheit ist heute Business-¬Enabler. Mit einem soliden Fundament aus IT-Security und Datenschutz stärken wir die Informationssicherheit Ihres Unternehmens. Darauf aufbauend setzen wir auf moderne Ansätze wie Zero Trust, Endpoint Protection, Hardening und die Einhaltung zentraler Regulatorien. Das Ergebnis ist ein zukunftssicheres Sicherheitskonzept, das Risiken reduziert, digitale Transformation ermöglicht und Vertrauen bei Kunden wie Partnern schafft.

Wirkungsvolle Dienstleistungen für eine sichere Organisation

Mit individueller Betrachtung schaffen wir maßgeschneiderte Lösungen.

ISB Management Service

Maximale Sicherheit bei minimalem Aufwand: Der ISB-Management-Service entlastet interne Teams, reduziert Kosten und schützt vor Sicherheits- und Compliance-Risiken. So entsteht ein wirksames ISMS, das Ihr Unternehmen auditfest und zukunftssicher macht.

Leistung erkunden

Cloud-Security

Risiken früh erkennen, Kosten sparen und Compliance sichern: Unser Zero-Trust-Cloud-Security-Assessment liefert klare Einblicke, priorisierte Quick-Wins und eine fundierte Entscheidungsbasis für eine sichere und zukunftsfähige Cloud.

Leistung erkunden

Endpoint Protection

Mit einer passgenauen Endpoint-Protection sichern Sie Ihr Unternehmen ganzheitlich ab. Wir begleiten von der Anforderungsanalyse bis zum Betrieb, reduzieren Kosten durch Automatisierung und vermeiden Risiken durch geprüfte Compliance und robuste Architektur.

Leistung erkunden

Härtung

Von Quick Wins bis Auditfähigkeit: Unser Härtungsmanagement bringt Ihre IT-Sicherheit auf das nächste Level. Standardkonform, integriert ins ISMS und zukunftssicher für nachhaltigen Schutz und effiziente Prozesse.

Leistung erkunden

Zero Trust

Wir gestalten und implementieren Zero‑Trust für Cloud, Hybrid und On‑Prem (On‑Premises): Vom Assessment über Roadmap bis zum Pilot bauen wir eine NIST‑konforme Architektur nach „never trust, always verify“.

Leistung erkunden

IT-Security Beratung mit unseren Experten

Haben Sie Fragen oder ein Anliegen zum Thema IT-Security? Wünschen Sie mehr Informationen oder benötigen Sie eine Zweitmeinung? Wir kümmern uns gerne darum und unterstützen Sie auf Ihrem Weg. Vereinbaren Sie jetzt Ihre kostenlose Erstberatung direkt online.

David Morva

Termin vereinbaren

Produkte für Ihre erfolgreiche IT-Security

There are no results matching your search

Events & Seminare

  • 28.11.2025, 09:00–10:00 Uhr
  • IT-Security

Zero Trust in der Praxis: Moderne Zugriffsmodelle mit Microsoft 365

In 60 Minuten zeigen wir, wie Sie mit Conditional Access, sinnvollen Baseline-Policies und praxiserprobten Tipps Ihr Zugriffsmodell schnell und sicher weiterentwickeln. Kompakt, verständlich und direkt umsetzbar: kurze Zero-Trust-Einführung, konkrete Beispiele aus Microsoft 365 sowie klare Empfehlungen für Rollout, Governance und Notfallzugriffe. Ideal für IT- und Security-Verantwortliche, die ohne Buzzwords zu belastbaren Ergebnissen kommen wollen. Jetzt anmelden und Platz sichern.

  • Praxisnahe Demos zu Conditional Access, MFA-Strategien und sicheren Break-Glass-Accounts
  • Klarer Stufenplan mit Report-only, Pilotgruppen und kontrolliertem Rollout ohne Unterbrechungen
  • Checkliste, Quick Wins und Vorlagen für Governance, Monitoring und Dokumentation in Microsoft 365
Jetzt Anmelden

Referenzen - IT-Security Projekte

  • Prüfungsdienstleister

Erarbeiten von Cloud Security Requirements

Das Cloud-Umfeld erfordert in vieler Hinsicht ein Umdenken. Dieses Umdenken ist auch in Bezug auf die IT-Sicherheit ein Muss. Die Entwicklung von Cloud Security Requirements sind daher essenziell für eine erfolgreiche und vor allem sichere Cloud Transformation. Nur so können Unternehmen auch im Cloud-Umfeld sicher und geschützt sein.

Mehr erfahren

Whitepaper zum Thema IT-Security

Whitepaper: NIS2 im Gesundheitswesen

Dieses Whitepaper bietet einen Überblick über die NIS2-Richtlinie für Krankenhäuser und MedTech Unternehmen. Es umfasst

  • einen Überblick, wer von NIS2 betroffen ist
  • Korrelationen zwischen NIS2, ISO 27001 und ISMS
  • eine Selbsteinschätzung mit Handlungsempfehlungen

Whitepaper: Risikomanagement in der IT-Security

In diesem Whitepaper erfahren Sie, wie Sie ein Risikomanagementsystem aufbauen und wie Sie Risikomanagement betreiben.

  • Was ist Risikomanagement?
  • Wie Sie die richtigen Ziele setzen
  • Wie Sie Risiken managen und überwachen

Whitepaper: CIS Critical Security Controls

Das Center for Internet Security (CIS) hat eine Liste von Sicherheitsmaßnahmen erstellt, die Ihnen dabei hilft, ein effektives und allumfassendes IT-Sicherheitskonzept zu erarbeiten.

  • Was sind die CIS Critical Security Controls?
  • Einfache Verwendung durch Mapping zu Frameworks
  • So arbeiten Sie erfolgreich mit den Critical Security Controls
  • Einfache Konfiguration von Software-Produkten mit CIS Benchmark
  • Die top Gründe, die Critical Security Controls zu verwenden

Whitepaper: Zugriffskontrolle als Basis von Zero Trust

Zugriffskontrollen sind im Zero Trust Kontext ein grundlegender Bestandteil für die Umsetzung der Prinzipien. Dabei ist die explizite Verifizierung, die Durchsetzung eines minimalen Zugriffs und die Annahme einer Sicherheitsverletzung durch eine Bewertung des Zugriffsrisikos im Fokus.

  • Warum Zero Trust?
  • Entlang welcher Säulen findet Verifizierung statt?
  • Wie wird die Richtlinie durchgesetzt?
  • Implementierung der Zugriffskontrolle
  • Die Grade der Zero Trust Integration

Whitepaper: Zero Trust Security Framework

Das Zero Trust Security Framework gibt Unternehmen neue Werkzeuge, um ihre Organisation zu schützen. Diese Inhalte erwarten Sie im Whitepaper:

  • Wodurch entstand Zero Trust?
  • Was ist Zero Trust?
  • Die Grundsätze von Zero Trust
  • Fünf grundlegende Prinzipien von Zero Trust
  • Kritische Aspekte von Zero Trust

Whitepaper: Backup Strategie

In diesem Whitepaper erhalten Sie einen Überblick über das Thema Backup:

  • Gesetzliche Regelungen
  • Backup Methoden
  • Medientyp zur Datensicherung im Vergleich

Ihr Partner für IT-Beratung und Services.

Blogartikel zum Thema IT-Security

  • September. 2025
  • Datenschutz

Data Security Posture Management mit Microsoft Purview

Daten wachsen rasant, Teams kollaborieren über mehrere Clouds und Standorte hinweg – Data Security Posture Management in Microsoft Purview bringt Transparenz, Ordnung und Steuerbarkeit in diese Landschaft. Mit Data Security Posture Management (kurz DSPM) erkennen Unternehmen, wo sensible Informationen liegen, wer darauf zugreift und welche Risiken bestehen, um gezielt zu handeln, statt nur zu reagieren. Für moderne Arbeitsumgebungen erweitert Purview diese Sicht gezielt um AI‑Kontexte wie Copilot und andere AI-Anwendungen, sodass DSPM auch neue Datenpfade absichert.

Was ist Data Securty Posture Management?

DSPM kombiniert Datenerkennung, Klassifizierung, Zugriffsanalyse, Überwachung und Abhilfemaßnahmen zu einem durchgängigen Programm für Datensicherheit. Der Ansatz priorisiert den Schutz der Daten selbst – unabhängig davon, ob sie on‑premises, in SaaS oder in Cloud‑Speichern liegen.

Wichtige Funktionen

  • Daten inventarisieren und klassifizieren: Tools scannen strukturierte und unstrukturierte Quellen, identifizieren sensible Typen und ordnen geschäftliche Relevanz zu.

  • Risiken bewerten und remediieren: DSPM findet Fehlkonfigurationen, übermäßige Berechtigungen und offene Freigaben und schlägt konkrete Korrekturen vor.

  • Schutz durchsetzen: Maßnahmen umfassen DLP, Verschlüsselung, Zugriffskontrollen und Monitoring mit nachvollziehbaren Berichten.

Abgrenzung zu Cloud Security Posture Management und Data Loss Prevention

CSPM härtet primär Cloud‑Infrastruktur, während DLP Abflüsse an Senken verhindert; DSPM fokussiert sich auf die Datenebene selbst. In der Praxis ergänzen sich die Disziplinen und schließen gemeinsam Sichtbarkeits‑ und Schutzlücken im Lebenszyklus der Daten.

DSPM in Microsoft Purview

Microsoft Purview bündelt DSPM‑Analysen, Empfehlungen und Richtlinien, sodass Transparenz und Abhilfe aus einem Portal steuerbar sind. Für AI‑Kontexte liefert Purview zusätzlich ein DSPM‑Dashboard mit One‑click‑Policies, Activity Explorer und wöchentlichen Data‑Risk‑Assessments für stark genutzte SharePoint‑Sites. Folgende Kernfunktionen beinhaltet das DSPM in MS Purview:

  • Analysen und Trends: Dynamische Reports zu Datenrisiken, Sensitivity‑Label‑Nutzung, DLP‑Abdeckung und Verhaltensänderungen liefern eine fortlaufende Sicht auf die Sicherheitslage.

  • Empfehlungen zu Richtlinien: Geführte Vorschläge erstellen mit wenigen Klicks passende DLP‑ und Insider‑Risk‑Policies, um identifizierte Lücken sofort zu schließen.

  • Workflow „Erkennen‑Handeln‑Nachverfolgen“: Opt‑in zu Analytics, Einsichten bewerten, Maßnahmen anstoßen und Fortschritt über Trendberichte nachvollziehen

  • One‑click‑Policies für AI: Mit einem Klick aktivierte Standardrichtlinien erfassen AI‑Interaktionen, schützen sensible Inhalte in Prompts und liefern erste Ergebnisse nach ~24 Stunden.

  • Endpunkt‑/Browser‑Anbindung: Geräte‑Onboarding und Purview‑Browser‑Erweiterung ermöglichen Sichtbarkeit und Kontrolle bei Dritt‑AI‑Sites wie ChatGPT oder Gemini.

Fazit

Mit Microsoft Purview DSPM entsteht ein zentraler, durchgängiger Sicherheits‑Workflow, der sensible Daten sichtbar macht, Risiken priorisiert und Abhilfemaßnahmen direkt auslöst. Deshalb reduzieren Unternehmen Oversharing und Datenabflüsse messbar, beschleunigen Audits und skalieren moderne Zusammenarbeit und Copilot‑Szenarien sicher und regelkonform. Kurz: DSPM verbindet Transparenz, Schutz und Compliance zu einem kontinuierlichen Programm statt einmaligen Projekten.

Sie möchten für Ihr Unternehmen MS Purview mit DSPM einführen? Sprechen Sie uns gerne an. Ebenfalls auch interessant, der MS Blogartikel zu diesem Thema.

Jetzt lesen
  • September. 2025
  • IT-Security

ISO 27001 im Homeoffice: Personalsicherheit richtig umsetzen

Die zunehmende Verlagerung von Arbeitsplätzen ins Homeoffice oder in hybride Modelle stellt Unternehmen vor neue Herausforderungen in der Informationssicherheit. Besonders wichtig ist dabei die Umsetzung von ISO 27001 in Remote-Work-Umgebungen. Ein zentraler Bestandteil ist Anhang A.7 der ISO 27001, der die Personalsicherheit regelt. Dieser Abschnitt begleitet den gesamten Lebenszyklus eines Beschäftigungsverhältnisses von der Einstellung über die Beschäftigungsphase bis hin zur Beendigung. Gerade im Homeoffice ist die praktische Umsetzung dieser Anforderungen entscheidend, um Risiken zu minimieren und gleichzeitig die Produktivität aufrechtzuerhalten.

Personalsicherheit nach ISO 27001 in Remote Work-Umgebungen

Bereits vor der Einstellung spielen digitale Hintergrundprüfungen und vertragliche Vereinbarungen eine große Rolle. Online-Identitätsprüfungen und E-Signaturen erleichtern es, Remote-Mitarbeitende sicher einzustellen und gleichzeitig alle relevanten Sicherheitsklauseln verbindlich zu machen. Mit rollenbasierten Zugriffskonzepten über Identity-Management-Systeme wie Okta oder Azure AD lässt sich sicherstellen, dass Mitarbeitende nur auf die Daten und Systeme zugreifen können, die für ihre Tätigkeit erforderlich sind. So wird die Personalsicherheit nach ISO 27001 auch im verteilten Arbeitsumfeld gewährleistet.

Praktische Maßnahmen für Informationssicherheit im Homeoffice

Praktische Informationssicherheit im Homeoffice basiert auf zwei Säulen: kontinuierliche Awareness-Schulungen für Mitarbeitende und technische Maßnahmen wie VPN, MFA und Mobile Device Management.

Schulungen und Awareness-Programme für Remote-Mitarbeitende

Während der Beschäftigung sind kontinuierliche Schulungen und Sensibilisierungsmaßnahmen entscheidend. Da der direkte persönliche Austausch fehlt, gewinnen digitale E-Learning-Programme und regelmäßige Remote-Sicherheitsübungen an Bedeutung. Phishing-Simulationen, verpflichtende Awareness-Kurse oder kurze Videotrainings helfen, das Sicherheitsbewusstsein dauerhaft hochzuhalten.

Technische Absicherung: VPN, MFA und Mobile Device Management

Unternehmen müssen technische Rahmenbedingungen schaffen, die den sicheren Zugriff auf Unternehmensressourcen ermöglichen. Dazu gehören Mobile Device Management für Updates und Patches, verpflichtende Nutzung von VPN mit Multi-Faktor-Authentifizierung sowie klare Leitlinien für die Absicherung des heimischen Arbeitsplatzes. Mitarbeitende benötigen konkrete Vorgaben, etwa zur Trennung privater und geschäftlicher IT-Nutzung oder zur sicheren Konfiguration des Heimnetzwerks. Unternehmen, die ihre Informationssicherheit im Homeoffice professionell managen wollen, setzen hier auf klare Vorgaben und eine transparente Sicherheitskultur.

Remote Onboarding und Offboarding nach ISO 27001

Am Ende eines Beschäftigungsverhältnisses ist ein strukturiertes Remote-Offboarding unverzichtbar. Zugänge müssen unmittelbar gesperrt und alle Konten deaktiviert werden. Ticket-Systeme wie ServiceNow oder Jira helfen dabei, den Prozess zu automatisieren und keine Schritte zu übersehen. Auch der Rückversand von Unternehmensgeräten sollte geregelt und nachvollziehbar dokumentiert werden. Zusätzlich ist es sinnvoll, austretende Mitarbeitende an bestehende Geheimhaltungsverpflichtungen zu erinnern und die Vernichtung lokaler Daten bestätigen zu lassen. Damit wird ein wichtiger Punkt der ISO 27001 Personalsicherheit auch in Remote-Setups wirksam umgesetzt.

Sicherheitskultur im Homeoffice: Mensch als Schlüsselfaktor

Neben Prozessen und Technik ist die Sicherheitskultur der entscheidende Faktor für die Wirksamkeit von Anhang A.7. Gerade in einer Remoteumgebung fühlen sich Mitarbeitende schnell isoliert, weshalb es wichtig ist, sie aktiv einzubinden. Virtuelle Sicherheitsbotschafter in jeder Abteilung, spielerische Elemente wie kleine Wettbewerbe bei Awareness-Trainings oder regelmäßige Feedbackschleifen stärken das Sicherheitsbewusstsein und fördern die Akzeptanz.

ISO 27001 im Homeoffice erfolgreich umsetzen

Die Umsetzung von ISO 27001 im Homeoffice gelingt dann besonders gut, wenn Unternehmen auf drei Säulen setzen: klare digitale Prozesse, durchgängige technische Unterstützung und eine gelebte Sicherheitskultur. Auf diese Weise wird die Informationssicherheit in Remote-Arbeit nicht nur ein theoretischer Bestandteil des ISMS, sondern ein praktischer Schutzfaktor für Mitarbeitende und Organisation gleichermaßen.

Auch Interessant: ISO 27001 und NIS2

Oder: ISO 27001 und BSI

Jetzt lesen
  • September. 2025
  • IT-Security

On Premises oder Cloud: Welcher Weg ist der richtige?

Während zahlreiche Unternehmen bereits große Teile ihrer IT-Infrastruktur in der Cloud abbilden, setzen viele auch weiterhin auf klassische On Premises Strukturen mit eigenen Servern. Die Gründe für beide Wege sind vielfältig – vom Wunsch nach mehr Flexibilität und Skalierbarkeit mit der Cloud bis zu hohen Anforderungen an Datenhoheit und Sicherheit mit On Premises Lösungen. Für immer mehr Unternehmen kommt eine grundsätzliche Frage für ihre IT-Infrastruktur auf: Ist die Cloud der richtige Weg oder sind es die eigenen Server? Wie so oft gibt es auch hier keine allgemeingültige Antwort. Wir sprechen deshalb über die Vor- und Nachteile beider Wege und geben Ihnen eine Entscheidungshilfe an die Hand.

Die Vor- und Nachteile von On Premises und Cloud-Lösungen

On Premises und Cloud-Infrastrukturen unterscheiden sich maßgeblich voneinander. Während On Premises mit eigenen Servern oder Rechenzentren und maximaler Datenhoheit arbeiten, stellt die Cloud flexible, skalierbare und oft preiswertere Dienste über das Internet bereit. Beide Modelle haben dabei verschiedene Vor- und Nachteile.

Vorteile von On Premises Infrastrukturen

  • Sicherheit & Kontrolle: Unternehmen haben die volle Kontrolle über ihre Daten und Hardware.
  • Compliance: In der Regel ist die Einhaltung hoher Compliance-Anforderungen einfacher.
  • Souveränität: Es besteht keinerlei Abhängigkeit von einem externen Anbieter.
  • Zugriff ohne Internet: Der Zugriff auf Daten erfolgt über das firmeninterne Netzwerk, sodass kein Internet dafür nötig ist.

Nachteile von On Premises Infrastrukturen

  • Hohe Kosten: Sowohl Anschaffung der Hardware als auch Wartung und Betrieb sind mit hohen Investitionen und Personalkosten verbunden.
  • Personal: Um eine eigene IT-Infrastruktur im Unternehmen aufzubauen, ist Personal mit entsprechendem Fachwissen nötig.
  • Skalierung: Aufgrund nötiger Investitionen in neue Hardware ist die Skalierung von On Premises Systemen deutlich komplexer als in der Cloud.
  • Bereitstellung: Die Implementierung neuer Lösungen ist oft mit umfassenderen Projekten verbunden.

Vorteile von Cloud-Infrastrukturen

  • Flexibilität & Skalierbarkeit: Unternehmen können nötige Ressourcen schnell und unkompliziert skalieren.
  • Kosten: Mit Modellen wie Pay-as-you-go zahlen Unternehmen nur für die Instanzen, die sie tatsächlich benötigen, wodurch die Gesamtkosten oft sinken.
  • Verwaltung: Die Verwaltung der Cloud-Services kann an einen externen Anbieter ausgelagert werden und benötigt damit keine internen Kapazitäten und Kenntnisse.
  • Bereitstellung: Cloud-Lösungen können in der Regel besonders schnell bereitgestellt werden.

Nachteile von Cloud-Infrastrukturen

  • Abhängigkeit: Unternehmen begeben sich mit der Auslagerung ihrer IT-Infrastruktur in Abhängigkeit zu einem oder mehreren externen Anbietern.
  • Sicherheitsanforderungen: Branchen mit erhöhten Sicherheitsanforderungen können bei einigen Cloud-Anbietern auf Herausforderungen stoßen.
  • Compliance: Ähnlich wie erhöhte Sicherheitsanforderungen können auch strenge Compliance-Vorgaben zu Herausforderungen führen.
  • Zugang: Für den Zugang in die Cloud wird immer Internet benötigt.

On Premises oder Cloud im Unternehmen: so treffen Sie eine Entscheidung

Sowohl On Premises als auch Cloud-Lösungen haben ihre eigenen Vorteile und Herausforderungen. Umso mehr stellt sich in Unternehmen deshalb die Frage, wie sie eine für sie passende Entscheidung treffen können. Ein Geheimrezept gibt es an dieser Stelle nicht – aber einige Schritte und Fragen, an denen Sie sich orientieren können.

 

  • Wie steht es um Anforderungen an Compliance und Datenschutz? Gibt es spezifische Regulierungen oder gesetzliche Vorgaben zur Datenspeicherung, müssen Unternehmen Nachweise über den Datenspeicherort erbringen und ist es rechtlich möglich, internationale Cloud-Anbieter einzusetzen? Gerade die kritische Infrastruktur wie das Gesundheitswesen oder auch Behörden müssen besondere Anforderungen an Compliance und Datenschutz erfüllen, die in vielen Fällen noch On Premises Lösungen erfordern.
  • Wie sieht ihr Budget aus? Ist ein entsprechendes Budget für langfristige Investitionen in eigene Infrastruktur vorhanden? Oder ist ein nutzungsbasiertes Abrechnungsmodell bei Cloud-Services der passendere Weg? Stellen Sie am besten ein Modell über die Gesamtkosten der nächsten 3 – 5 Jahre auf, um sich einen klaren Überblick zu verschaffen.
  • Gibt es intern genügend IT-Know-how und personelle Ressourcen, um eine eigene Infrastruktur aufzusetzen und sicher betreiben und warten zu können? Letztendlich gibt es hier sowohl für On Premises Infrastrukturen als auch für die Cloud Möglichkeiten zum Outsourcing – viele Unternehmen entscheiden sich für die Zusammenarbeit mit einem IT- oder Cloud-Partner.
  • Welche Sicherheitsstrategie verfolgen Sie und welche Bedrohungsszenarien gibt es? Grundsätzlich geht es hier darum, einzuschätzen, in welchem Modell die nötige Datensicherheit geschaffen werden kann. Sind die Sicherheitsmaßnahmen im eigenen Rechenzentrum der bessere Weg oder die Maßnahmen des externen Cloud-Anbieters? Klare Notfallpläne und Backup-Strategien sollte es unabhängig vom gewählten Modell geben.
  • Welche bestehenden Systeme gibt es und wie steht es um ihre Integrationsfähigkeit in eine möglicherweise neue Cloud-Infrastruktur? Planen Sie eine schrittweise Migration oder eine umfassende Modernisierung? Teilweise gibt es Legacysysteme, die Unternehmen nicht in der Cloud abbilden können – in diesem Fall steht die Suche nach Alternativen an oder Sie arbeiten alternativ mit einem hybriden Modell.

Die Realität in vielen Unternehmen: hybride Modelle

In der Praxis hat sich gezeigt, dass viele Unternehmen sich nicht ausschließlich für eins der beiden Modelle entscheiden. Vielmehr sind hybride Modelle mit einer Kombination aus On Premises und Cloud-Infrastrukturen die Realität in vielen Unternehmen. Konkret bedeutet das, dass einige Systeme weiterhin lokal betrieben werden, während andere Anwendungen und Dienste in der Cloud bereitgestellt werden. Unternehmen profitieren mit diesem Modell von Flexibilität und Datenkontrolle – es benötigt aber auch eine durchdachte Strategie, um die verschiedenen Ressourcen passend miteinander zu verknüpfen.

Stehen Sie vor einer Modernisierung Ihrer IT-Infrastruktur und wünschen sich Unterstützung bei der Wahl des passenden Modells und bei der späteren Umsetzung, begleiten wir Sie gerne. Nehmen Sie einfach Kontakt zu uns auf und lassen Sie sich von unserem Team beraten!

Jetzt lesen
  • September. 2025
  • Datenschutz

Zero-Trust und der Datenschutz

Die Weiterentwicklung digitaler Lösungsangebote, wie zum Beispiel Software-as-a-Service, hat die Art und Weise Daten zu verarbeiten, geändert. Während in klassischen „on-premises“-Architekturen die Organisation selbst Herr über ihre Daten war, sind die Grenzen durch Auslagerung auf Server von Dritten nicht mehr so klar. Dazu kommt, dass der Vernetzungsgrad heute deutlich höher ist. Der Anspruch moderner Organisationen ist, dass Daten organisationsweit in Echtzeit zur Verfügung stehen. Wie aber kann dann der Schutz personenbezogener Daten, wie ihn die Datenschutz-Grundverordnung (DSGVO) fordert, effektiv umgesetzt werden? Ein Ansatz: Zero-Trust.

Was ist Zero-Trust?

Zero-Trust ist ein Ansatz beziehungsweise Konzept. Es folgt dem Leitsatz „Never trust, always verify„. Damit ist gemeint, dass Maßnahmen nicht nur den Schutz gegenüber Dritten außerhalb des eigenen Netzwerks zum Ziel haben. Zero-Trust erweitert den Fokus um potentielle Sicherheitsverletzungen durch bekannte (innere) Benutzer, Geräte oder Netzwerke. Dadurch wird jeder Nutzer regelmäßig authentisiert, autorisiert und validiert. Erst dann kann auf ein Netzwerk, ein System, eine Applikation oder auf Daten zugegriffen werden. Der richtige Grad an Berechtigungen und Attributen wird ständig verifiziert. Um dies umsetzen zu können, umfasst das Zero Trust Framework den gesamten Bereich an Zugriffs-, Netzwerk- und Datenpunkten.

Wie kann Zero-Trust den Datenschutz unterstützen?

Zuerst und offensichtlich wirkt sich der Zero-Trust-Ansatz positiv auf die Integrität und Vertraulichkeit von Daten aus. Das schließt personenbezogene Daten ein. Damit kann Zero-Trust eine Maßnahme sein, um den gleichnamigen Grundsatz der Datenverarbeitung „Integrität und Vertraulichkeit“ in Art. 5 Abs. 1 lit. f DSGVO zu fördern. Dieser verlangt ja eben gerade „eine angemessene Sicherheit der personenbezogenen Daten, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung“.

Auch die Zweckbindung aus Art. 5 Abs. 1 lit. b DSGVO kann durch Zero-Trust unterstützt werden. Das mag auf den ersten Blick nicht sofort einleuchten. Jedoch wird durch Zero-Trust jeder Zugriff auf Daten in Frage gestellt. Durch diesen restriktiv geregelten Ansatz zum Zugriff auf Daten im Allgemeinen und personenbezogene Daten im Besonderen kann vermieden werden, dass bereits für andere Zwecke erhobene personenbezogene Daten für eigene Zwecke verarbeitet werden, ohne dass diese Zwecke miteinander vereinbar wären.

Wie wird Zero-Trust im Hinblick auf den Datenschutz implementiert?

Damit Zero-Trust so granular funktioniert, stehen davor Überlegungen, die man vor einer Implementierung treffen muss. Das sind erst einmal die generellen drei Stufen, die bei der Einführung von Zero-Trust zu berücksichtigen sind:

  1. Verständnis und Visualisierung
  2. Entschärfung
  3. Optimierung

Näheres dazu findet sich auch im verlinkten Beitrag zu Zero-Trust am Ende dieses Artikels. Betrachten wir nun den Datenschutz, können die Überlegungen zum Schutz personenbezogener Daten in jeden Schritt ergänzt werden. Wichtig sind aber bereits in Schritt 1 die Vorüberlegungen. Ich muss als Verantwortlicher wissen, in welchen Systemen und Datenbanken überhaupt meine personenbezogenen Daten gespeichert sind. Sodann kann ich mir überlegen, wer und zu welchen Zwecken diese Nutzer Zugriff benötigen. Das kann in einem Rechte-Rollen-Konzept münden. Ausgehend von diesem können dann die weiteren Schritte unternommen werden, die Zero-Trust für die Implementierung vorsieht.

Fazit

Der klassische Kontrollverlust über Daten durch externe Server und die steigende Vernetzung erfordert neue Sicherheitskonzepte. Zero-Trust bietet hier einen vielversprechenden Ansatz: Durch kontinuierliche Verifizierung von Nutzern, Geräten und Zugriffsrechten kann nicht nur die Integrität und Vertraulichkeit gemäß DSGVO gewährleistet werden, sondern auch die Zweckbindung der Datenverarbeitung besser eingehalten werden. Eine erfolgreiche Implementierung von Zero-Trust setzt jedoch eine sorgfältige Analyse und Planung voraus, insbesondere im Hinblick auf die Speicherung und Nutzung personenbezogener Daten. So wird Datenschutz in modernen IT-Architekturen effektiv und zukunftssicher gestaltet.

Link zum Beitrag „Zero-Trust-Framework“: Das Zero Trust Security Framework – Rewion IT-Beratung & Services

Jetzt lesen
  • September. 2025
  • IT-Security

Fallstudie: Wie fehlende Rollen in der Informationssicherheit ein Projekt beinahe scheitern ließen

Informationssicherheit ist mehr als nur IT-Schutz. Sie beginnt bei der Planung und braucht klare Rollen, strukturierte Prozesse und technische Einbindung. Diese Fallstudie zeigt, wie ein mittelständisches Unternehmen durch ein fehlendes Sicherheitskonzept und unklare Verantwortlichkeiten in ein kritisches Projektproblem geriet und welche Lehren daraus gezogen wurden.

Hintergrund des Projekts

Ein mittelständisches Fertigungsunternehmen mit rund 800 Mitarbeitenden plante die Einführung einer cloudbasierten Plattform für die Lieferantenkommunikation. Ziel war es, Lieferprozesse zu digitalisieren, Dokumente auszutauschen und Transparenz in Echtzeit zu schaffen.

Die Projektleitung lag im Einkauf, die technische Umsetzung erfolgte über einen externen IT-Dienstleister. Die interne IT war nur beratend eingebunden. Ein Sicherheitskonzept war zu keinem Zeitpunkt definiert.

Der Vorfall

Kurz vor dem geplanten Go-live wurde bei einem internen Review festgestellt, dass geschäftskritische Informationen wie Lieferverträge, Preisabsprachen und Absatzprognosen unverschlüsselt übermittelt wurden. Die Authentifizierung der Lieferantenkonten basierte ausschließlich auf schwachen Passwörtern ohne Mehr-Faktor-Authentifizierung oder Zugriffsbeschränkung.

Die Folge: Der Go-live wurde gestoppt, Projekte verzögerten sich um Monate und das Unternehmen musste kurzfristig Sicherheitsmaßnahmen nachziehen, die ursprünglich nicht eingeplant waren. Die internen Spannungen zwischen Projektleitung, IT und Geschäftsführung wuchsen erheblich.

Analyse: Warum kam es zu diesem Risiko?

  1. Keine Sicherheitsarchitektur im Projekt
    Es fehlte eine übergeordnete Security-Architektur. Sicherheitsanforderungen waren weder definiert noch in die Systemlandschaft eingebettet.
  1. Fehlende Risikoanalyse
    Die Schutzbedarfsfeststellung wurde komplett ausgelassen. Das System wurde behandelt wie ein generisches Kommunikationswerkzeug, obwohl es sensible Informationen verarbeitete.
  1. Unklare Zuständigkeiten
    Weder Einkauf, IT noch Dienstleister fühlten sich für Sicherheit verantwortlich. Es gab keine benannte Rolle für Informationssicherheit im Projekt.
  1. Fehlende Governance im Projektverlauf
    Es existierten keine Sicherheitsgates, keine verpflichtenden Prüfprozesse oder Abnahmekriterien mit Sicherheitsbezug.

Lessons Learned: Was Unternehmen daraus mitnehmen sollten

Sicherheitsarchitektur frühzeitig einplanen
Sicherheit muss fester Bestandteil der Projektarchitektur sein, nicht eine Zusatzanforderung zum Schluss.

Klare Rollen und Verantwortlichkeiten schaffen
Es muss im Projekt klar benannt werden, wer für Sicherheitsanforderungen verantwortlich ist, wer sie prüft und wer die Umsetzung sichert.

Schutzbedarf methodisch analysieren
Ein standardisierter Risiko- und Schutzbedarfsprozess sollte frühzeitig im Projektablauf stattfinden, unabhängig von Technologie oder Projektart.

Sicherheit messbar und dokumentierbar machen
Entscheidungen über Sicherheitsmaßnahmen müssen nachvollziehbar und dokumentiert sein, um sie später verteidigen oder verbessern zu können.

Sicherheits-Governance in Projektmethoden integrieren
Frameworks wie Scrum, PRINCE2 oder HERMES sollten um Security-Gates, Abnahmekriterien und Kontrollpunkte ergänzt werden.

Diese Fallstudie zeigt deutlich: Sicherheitslücken entstehen nicht nur durch technische Versäumnisse, sondern vor allem durch fehlende Struktur, unklare Zuständigkeiten und mangelnde Integration in Projekte. Informationssicherheit braucht mehr als gute Tools; sie braucht Verantwortung, Prozesse und Architektur. Wer sie von Anfang an einplant, spart nicht nur Zeit und Geld, sondern schützt auch das Vertrauen seiner Kunden und Partner.

Auch interessant: IT-Projektmanagement-Methoden

Lerneinheit des BSI: 2.8 Das Sicherheitskonzept

Jetzt lesen
  • Juli. 2025
  • IT-Security

Warum ISO 27001 und NIS2 keine Bedrohung, sondern eine strategische Chance sind

Wie Sie durch Compliance, IT-Risikomanagement und Cybersecurity Vertrauen schaffen und Wettbewerbsvorteile sichern.

Regulierungen in der IT – Belastung oder Business-Booster?

ISO 27001, NIS2, IT-Compliance: Für viele IT-Leiter und Geschäftsführer klingen diese Begriffe zunächst nach Aufwand, Bürokratie und externer Kontrolle. Doch moderne IT-Sicherheitsstandards sind nicht nur regulatorische Pflicht, sondern auch ein echter Wettbewerbsvorteil, wenn sie strategisch eingesetzt werden.

Warum die Angst vor IT-Regulatorien verständlich ist – aber unbegründet

Die Einführung von ISO 27001 oder die Umsetzung der NIS2-Richtlinie kann ressourcenintensiv wirken. Typische Einwände:

  • Hoher Aufwand für Dokumentation und Prozesse
  • Kosten für Zertifizierungen und externe Berater
  • Interne Widerstände gegen neue Pflichten und Prüfungen

Doch wer genau hinsieht, erkennt: Diese Standards bieten eine klare Struktur für IT-Risikomanagement, Cybersecurity und Compliance und damit echte Business-Vorteile.

ISO 27001 & NIS2: 4 strategische Vorteile für Ihr Unternehmen

1. Strukturierte IT-Sicherheit statt ad-hoc Maßnahmen

Ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 macht Risiken sichtbar und steuerbar. IT-Sicherheit wird planbar und nachvollziehbar und nicht erst dann zum Thema, wenn der Ernstfall eintritt.

2. NIS2 verpflichtet und schützt

Die NIS2-Richtlinie nimmt erstmals auch die Geschäftsführung in die Pflicht. Sie verlangt einheitliche Mindeststandards für Cybersecurity und verankert IT-Sicherheit als Managementaufgabe. Damit steigt auch die Resilienz des gesamten Unternehmens.

3. Vertrauen durch nachweisbare Compliance

Mit einer ISO 27001-Zertifizierung oder NIS2-Compliance signalisieren Sie Kunden, Investoren und Partnern: „Bei uns sind Ihre Daten sicher.“ Das schafft Vertrauen und öffnet Türen zu neuen Märkten.

4. Krisenprävention spart Kosten

Datendiebstahl, Cyberangriffe oder DSGVO-Verstöße sind teuer. Eine proaktive Sicherheitsstrategie schützt vor Ausfällen, Bußgeldern und Imageschäden. Unternehmen mit zertifizierter Sicherheitsstruktur sind besser vorbereitet und handeln schneller.

Compliance ist kein Aufwand – sondern eine Investition in Sicherheit und Vertrauen

Für Geschäftsführer und IT-Leiter sind ISO 27001 und NIS2 keine Bedrohung, sondern strategische Werkzeuge für langfristigen Erfolg. Sie helfen, Risiken zu managen, Vertrauen aufzubauen und gesetzliche Anforderungen effizient zu erfüllen.

Setzen Sie nicht auf Hoffnung – setzen Sie auf strukturierte IT-Sicherheit.

Sind Sie bereit für ISO 27001 oder NIS2?

Lassen Sie uns gemeinsam Ihre IT-Sicherheitsstrategie weiterentwickeln und optimieren. Vereinbaren Sie jetzt ein unverbindliches Beratungsgespräch.

Lesen Sie auch: IT-Härtung

Jetzt lesen
  • Juli. 2025
  • IT-Security

Eine Maßnahme zu Zero-Trust: Das PIM in M365

Der Begriff Zero Trust hat sich mittlerweile in vielen Unternehmen und Sicherheitsorganisationen etabliert. Dennoch stehen viele Unternehmen und Sicherheitsorganisationen vor der Herausforderung, konkrete Maßnahmen zur Umsetzung von Zero Trust zu definieren. In diesem Blogartikel erfahren Sie, wie Sie mit Hilfe von Privileged Identity Management (PIM) in Microsoft 365 eine konkrete Maßnahme zur Umsetzung von Zero Trust einführen können.

Privileged Identity Management befasst sich mit der Verwaltung privilegierter Rollen und Rechte innerhalb einer Organisation oder eines Identitätsmanagementsystems. Das zugrundeliegende Prinzip dabei ist, dass hochprivilegierte Rollen & Rechte, etwa Administratorenrechte, nicht dauerhaft einem Benutzer zugewiesen sind. Stattdessen kann der Benutzer, wenn er diese Rollen oder Rechte benötigt, diese beantragen (Just-In-Time) und erhält sie nur für einen begrenzten Zeitraum. Der Zugriffe von hochprivilegierten Rechten kann somit genaustens nachverfolgt und dokumentiert werden. Das schützt vor Missbrauch und unterstützt die Intention von Zero-Trust.

JIT_Zugriff

JIT_Zugriff für Low Access User

In der oben gezeigten Grafik kann mit PIM auch ein Low Access User (ein User mit wenigen Rechten oder niedrigen Privilegien) mit einer Beantragung und einer weiteren Authentifizierung höhere Rechte bekommen, um auf bestimmte Ressourcen oder Systeme zuzugreifen zu können.

Die Vorteile von PIM zusammengefasst:

  • Reduzierung der Angriffsfläche: Dauerhafte Administratorrechte sind ein beliebtes Ziel für Angreifer und werden diese kompromittiert, hat der Angreifer freie Bahn.

  • Transparenz und Nachvollziehbarkeit: Mit PIM lässt sich genau nachvollziehen, wer wann welche Rechte hatte und warum.

  • Minimierung menschlicher Fehler: Zeitlich begrenzte Rechte verringern das Risiko, dass versehentlich Systeme verändert oder Daten gelöscht werden.

  • Sicherheitskonformität: Viele Normen und Standards (z. B. ISO 27001, BSI-Grundschutz) fordern den Schutz privilegierter Konten.

So funktioniert PIM in M365

PIM ist Teil von Microsoft Entra und benötigt eine Entra P2 Lizenz. In folgenden Bereichen kann PIM in M365 eingesetzt werden:

  • Rollen in Azure AD und Microsoft 365 (z. B. Globaler Administrator, Exchange-Administrator)

  • Azure-Ressourcen (z. B. Rollen in Subscriptions oder Ressourcengruppen)

  • Gruppenmitgliedschaften und Zugriffsrechte

Ein typischer Ablauf:

Ein Administrator legt im Vorfeld fest, welche Benutzer für bestimmte privilegierte Rollen, zum Beispiel „Globaler Administrator“ oder „Benutzeradministrator“, grundsätzlich berechtigt sind. Diese Zuweisung erfolgt nicht dauerhaft, sondern lediglich als potenzielle Berechtigung zur temporären Aktivierung der Rolle.

Wenn ein berechtigter Benutzer eine solche Rolle für eine administrative Aufgabe benötigt, meldet er sich im PIM-Portal von Microsoft Entra an und stellt aktiv einen Antrag auf Rollenzuweisung. Im Rahmen dieses Antrags kann das System je nach Sicherheitskonfiguration und Vorgaben aus der Sicherheitsorganisation eine Begründung für die Aktivierung, eine Genehmigung durch einen Vorgesetzten, sowie eine Multi-Faktor-Authentifizierung verlangen.

Sobald alle erforderlichen Bedingungen erfüllt sind, aktiviert PIM die angeforderte Rolle für einen vordefinierten Zeitraum. Das kann zum Beispiel 60min oder vier Stunden sein. Der Zeitraum sollte je nach Kritikalität und Auswirkung der Rolle individuell angepasst sein. Ebenso sollte es auf die Zeit der Tätigkeiten beschränkt werden. Daher muss jedes Unternehmen prüfen, wie lange ein User eine Rolle haben sollte. Hier sollte man sich an das „Least Privileged“-Prinzip halten. Während dieses Zeitraumes kann der Benutzer alle zugehörigen administrativen Aufgaben ausführen. Nach Ablauf dieser Frist entzieht PIM die Rechte automatisch, ohne dass ein manueller Eingriff erforderlich ist.

Während des gesamten Prozesses, vom Antrag über die Genehmigung bis zur Nutzung der privilegierten Rolle, erfasst und protokolliert PIM jede einzelne Aktion detailliert. Dadurch entsteht eine vollständige, revisionssichere Historie aller privilegierten Aktivitäten, die bei Bedarf zur Nachverfolgung, Analyse oder Auditierung herangezogen werden kann.

Dieser dynamische Ablauf reduziert die Angriffsfläche erheblich, erhöht die Transparenz und unterstützt Unternehmen dabei, die Prinzipien von Least Privilege Access und Zero Trust konsequent umzusetzen.

PIM als Baustein von Zero Trust

Die Umsetzung von Zero Trust muss nicht abstrakt bleiben – mit dem Privileged Identity Management für M365 steht eine konkrete und bei entsprechender Lizenz sofort nutzbare Maßnahme zur Verfügung, um die Kontrolle über (hoch-)privilegierte Zugriffe zu stärken und Sicherheitsrisiken deutlich zu senken.

Sie möchten PIM in Ihrer Microsoft-365-Umgebung einführen oder benötigen Unterstützung bei der Umsetzung von Zero Trust? Wir begleiten Sie gerne!

Schauen Sie sich ebenfalls unser Zero Trust Assessment an. Eine erste Analyse Ihrer IT-Landschaft und Einschätzung zu Zero Trust.

Jetzt lesen
Frau mit Code
  • Mai. 2025
  • Datenschutz

Awareness-Konzepte: Erfolgreiche vs. gescheiterte

Egal ob auf dem Weg zu einer Zertifizierung, als Teil eines Managementsystems oder einfach nur, weil die Relevanz erkannt wurde: Awareness-Maßnahmen in Organisationen sind essenziell. Denn die besten internen Regeln oder technischen Schutzmaßnahmen wirken alleine nicht. Dafür braucht es das zielgerichtete Engagement der Menschen in der Organisation. Wie stellen eben jene nun sicher, dass ihre Mitarbeitenden bestmöglich befähigt sind? Wir helfen nachfolgend bei der Konzeptualisierung wirksamer Awareness-Maßnahmen.

Einbindung in das „große Ganze“

Ein Awareness-Konzept funktioniert nicht losgelöst. Was wollen wir damit sagen? Am besten funktioniert ein Awareness-Konzept, wenn es in die Organisation verwoben ist. Somit bietet sich das Verankern von Awareness bereits in entsprechenden Informationssicherheits- oder Datenschutzmanagementsystemen an. Damit sind zwangsläufig auch zwei wichtige Erfolgsfaktoren sichergestellt:

  1. Awareness-Konzepte müssen von der Organisationsleitung gewollt und gesponsort sein.
  2. Awareness-Maßnahmen müssen Teil der gesamten Organisationskultur werden.

Wichtig ist, folgendes zu verstehen: Die Maßnahmen sollen sicherstellen, dass die Geschäftsprozesse der Organisation reibungslos ablaufen können. Alle daran beteiligten Personen müssen sich deshalb mit Awareness-Maßnahmen und deren Leben identifizieren können. Führungskräften kommt umso mehr Bedeutung zu, als dass diese die genannten Maßnahmen zu jeder Zeit vorleben müssen.

Awareness in „bits und bytes“

Oft erlebt man Awareness-Maßnahmen als Teil eines Onboardings oder jährlichen Pflichtschulungskataloges. In der Realität sitzen die Mitarbeitenden dann ein Mal im Jahr vor einem Rechner und klicken sich durch eine Präsentation oder ein E-Learning. Dieser Ansatz ist überholt und wird der Bedeutung nicht gerecht.

In der Praxis hat sich stattdessen ein deutlich integrativerer Prozess bewährt. Erfolgreiche Awareness-Konzepte setzen auf regelmäßige, kleine Lehreinheiten, statt ausufernden Pflichtschulungen für einen „grünen Haken“. 10- 15 Minuten pro Monat haben einen höheren Erinnerungseffekt als 60 Minuten pro Jahr. Zusätzlich lassen sich diese kleinen Einheiten in der Regel besser in den Tagesablauf integrieren. Man könnte also auch von „Win-Win“ sprechen.

(Un-)Sicherheitsfaktor Mensch

Nicht weniger relevant als die vermittelten Inhalte und deren Häufigkeit sind die Art und Weise, wie die Informationen transportiert werden. Reden Sie in Ihrer Organisation noch vom „Risiko Mensch“? Oder „dem Mensch als Unsicherheitsfaktor“? Mit dieser Kommunikation und dem mitschwingenden Vorurteil sollten Organisationen brechen. Das Gegenteil sollte der Fall sein und mitschwingen: Der Mitarbeitende ist der Erfolgsfaktor ihrer Sicherheitsstrategie!

Beispiel: Im Bereich Business Continuity legen Organisationen Meldewege für Detektion und Alarmierung von Sicherheitsvorfällen fest. Wenn nun aber aus Angst vor Fehlverhalten oder Konsequenzen die Mitarbeitenden Vorfälle nicht melden, haben Organisationen ein Problem. Eine positive Kommunikation sollte daher fest in der Kultur verankert werden.

Praxisnahe, zuhörergerechte Aufbereitung

Abschließend sind weitere Erfolgsfaktoren die Inhalte und auf welchem Weg diese an die Zuhörer herangetragen werden. Insbesondere die Inhalte sollten höchst zielgruppenrelevant sein! Bestenfalls transportieren praxisnahe, alltägliche Beispiele genau die Awareness, auf die es in der „First-Line of Defense“ ankommt. Das Ziel der Organisation mittels Awareness ist ja eben gerade die Erinnerung an „die richtige Maßnahme zur richtigen Zeit“. Geht diese Information in einer allgemeinen Flut unter, wurde der Zweck verfehlt.

Deswegen ist eine Live-Schulung durch qualifiziertes internes oder externes Personal auch einem E-Learning „on demand“ vorzuziehen. Sowohl aus dem Aspekt der gelungenen Interaktion als auch der Identifizierung mit dem Gelernten. Organisationen sollten ihrer Organisationssicherheit ein Gesicht geben.

Fazit und Schritte zum Awareness-Konzept

Mit einigen wenigen Gedankenanstößen und Maßnahmen trennt sich bei Awareness-Konzepten die Spreu vom Weizen. Wie kann daher ein Fahrplan für das Aufsetzen eines (neuen) Awareness-Konzeptes aussehen?

Awareness-Konzept

5 Schritte zum erfolgreichen Awareness-Konzept

Sie wollen wissen, wie effektiv Ihre Maßnahmen sind oder Ihr Awareness-Programm optimieren und verbessern können? Sprechen Sie gerne für eine individuelle und unverbindliche Einschätzung mit unseren Experten.

Datenschutzberatung bei der Rewion: Datenschutz Beratung – Rewion IT-Beratung & Services

Jetzt lesen

Wir sind für Sie da

Sie haben Fragen?

Deutschland

+49 7144 160 980

Schweiz

+41 43 883 08 70

E-Mail

info@rewion.ucepts.de

Social network

X-twitter Xing Linkedin

Downloads

Unternehmensportfolio

Sprechen Sie mit einem Experten

Für den erfolgreichen Einsatz von Strategien, Technologien und Konzepten in Ihrem Unternehmen.

Technischer Support

Willkommen bei unserem exklusiven Support für Bestandskunden. Hier finden Sie alle nötigen Informationen, um schnell und unkompliziert Hilfe bei technischen Anfragen zu erhalten.

Support-Hotline

Für dringende Anfragen erreichen Sie uns telefonisch unter:

+49 7144 160 9800

Support E-Mail

Senden Sie uns Ihr Anliegen mit allen relevanten Details an:

support-services@rewion.ucepts.de

Fernwartung via TeamViewer

Für eine direkte Unterstützung per Fernwartung, laden Sie bitte unser TeamViewer-Modul herunter:

TeamViewer starten

Bitte beachten Sie: Dieser Kanal ist speziell für technische Anfragen unserer Bestandskunden vorgesehen. Für allgemeine Anfragen, Informationen zu unseren Dienstleistungen oder eine Erstberatung nutzen Sie bitte unser Kontaktformular oder schreiben Sie eine E-Mail an info@rewion.ucepts.de.

Wird geladen …