BLOG

BLOG

Categories:   All Categories
Suggested keywords
x
Markus Groß
Updates abonnieren Abo von Updates dieses Autors beenden

Markus Groß ist Gründer und Administrator dieses Blogs und verfügt über umfassende Erfahrung in strategischen IT-Themen. Sein fachlicher Schwerpunkt liegt auf IT-Governance und Compliance, insbesondere in der Anwendung von COBIT, der Umsetzung regulatorischer Anforderungen wie DORA oder NIS2 und dem Aufbau belastbarer Steuerungsstrukturen. Im Bereich Service-Management bringt er langjährige Praxis mit ITIL sowie der Einführung von Best Practices ein.

Ein weiterer Kernbereich seiner Arbeit ist die Informationssicherheit, mit besonderem Fokus auf den Aufbau und die Weiterentwicklung von ISMS nach ISO27001 sowie BSI IT-Grundschutz, die Entwicklung von Sicherheitsstrategien und die Umsetzung von BYOD-Konzepten. Darüber hinaus ist Markus Groß versiert im Projektmanagement und wendet Methoden wie PRINCE2, LEAN/SIX SIGMA und agile Ansätze gezielt an, um Projekte effizient und erfolgreich zu steuern.

In seinen Beiträgen verbindet er fundierte Analysen mit praxisnahen Empfehlungen. Sein Ziel ist es, Leserinnen und Lesern tiefgehende, sachlich fundierte Einblicke zu geben, die sie in der strategischen Ausrichtung ebenso unterstützen wie in der operativen Umsetzung von IT-, Sicherheits- und Compliance-Vorhaben.

Markus Groß

Zwischen Kontrolle und Vertrauen: Wie Risk Management modern wird

IT
Zwischen Kontrolle und Vertrauen: Wie Risk Management modern wird

K ontrolle ist gut, Vertrauen ist besser – oder doch umgekehrt? Lange hat sich das Risikomanagement in Unternehmen an dieser scheinbaren Gegensätzlichkeit abgearbeitet. Auf der einen Seite Reglementierung, Policies, Vier-Augen-Prinzip, Audits. Auf der anderen Seite Eigenverantwortung, Ermessen, Unternehmergeist. Zwischen beiden Polen wurde die Organisation gespannt wie eine Saite, mal straff zugedreht, mal locker gelassen. Das Ergebnis: zeitweise Ordnung, regelmäßig Reibung, selten Geschwindigkeit. Heute, in einer Wirtschaft, die von Software, Plattformen, globalen Lieferketten und datengetriebenen Entscheidungen geprägt ist, reicht dieses Schwarz-Weiß nicht mehr. Modernes Risikomanagement lebt von kontrollierbarem Vertrauen: Regeln, die Freiräume ermöglichen; Kennzahlen, die Entscheidungen beschleunigen; Evidenzen, die unsicherheitstauglich sind; Kultur, die meldet statt verschweigt. Dieser Beitrag erkundet, wie der Weg dorthin aussieht – jenseits von Schlagwörtern, mitten in der operativen Realität.

1) Von der Absicherung zur Befähigung: Wozu Risikomanagement heute da ist

Klassisch wird Risikomanagement als Schutzfunktion verstanden: Risiken identifizieren, bewerten, behandeln, überwachen. Richtig – aber unvollständig. Die strategische Pointe lautet: Risiko ist eine Ressource. Nur wer risiko­bewusst handelt, kann schnellere Märkte, neue Technologien und knappe Budgets in Wachstum übersetzen. Absicherung ohne Befähigung lähmt. Befähigung ohne Absicherung ist Glücksspiel. Das moderne Zielbild lautet daher: Risiko als Entscheidungshilfe. In der Praxis bedeutet das:


Weiterlesen
3
Markiert in:
ISMS RIskManagement Risk
Tweet
40318 Aufrufe
Markus Groß

Governance 2026: Warum Kontrolle allein nicht mehr reicht

IT
Governance 2026: Warum Kontrolle allein nicht mehr reicht

Es gibt Jahre, in denen Governance wie ein gepflegter Maschinenraum wirkt: saubere Schaltbilder, klare Zuständigkeiten, geölte Prozesse, Prüfzeichen am richtigen Ort. Und es gibt Jahre, in denen das gleiche Bild plötzlich alt aussieht. 2026 ist so ein Jahr. Die Architektur der Kontrolle – Regeln, Freigaben, Checklisten – bewährt sich weiterhin, aber sie reicht nicht mehr aus, um Organisationen durch eine Welt zu steuern, in der digitale Abhängigkeiten unübersichtlich, Lieferketten fragil, regulatorische Erwartungen dynamisch und Technologien wie KI, Cloud und vernetzte Produkte zum Taktgeber geworden sind. Der Satz „Kontrolle allein reicht nicht“ klingt wie eine Plattitüde. In Wahrheit markiert er einen Wendepunkt: Governance verschiebt sich von der Frage „Ist es freigegeben?“ zu „Hält es unter Last – und können wir das beweisen, während wir uns anpassen?“

Der Bruch mit der Kontrolllogik

Die Klassik der Governance wurde von zwei Grundgedanken getragen: Erstens lässt sich Risiko durch Regeln und Rollen beherrschen. Zweitens genügt es, die Einhaltung in Zyklen zu prüfen – Jahresabschluss, Auditplan, Projektgate. Das funktionierte, solange Veränderung langsam und Abhängigkeiten überschaubar waren. Heute kollidieren beide Annahmen mit der Praxis. Veränderungen passieren kontinuierlich (Feature-Rollouts, Infrastruktur-Drifts, Datenströme), und Abhängigkeiten ziehen systemische Effekte nach sich (ein Ausfall in der Lieferkette, ein Software-Bug, eine kompromittierte Identität). Kontrolle bleibt nötig – aber sie ist nicht mehr die Königsdisziplin. Die neue Frage lautet: Wie bleibt die Organisation handlungsfähig, obwohl Kontrolle versagen kann – und wie lernt sie schneller als die Welt sich ändert?


Weiterlesen
6
Markiert in:
Informationssicherheit ISMS Resilienz Governance
Tweet
46617 Aufrufe
Markus Groß

Cyber Resilienz ist das neue Schwarz

IT
Cyber Resilienz ist das neue Schwarz

In der Welt der Informationssicherheit gab es immer wieder Schlagworte, die als „Must-have“ galten: Firewalls, Virenscanner, ISO 27001, Cloud Security, Zero Trust. Jedes dieser Themen hatte seine Zeit im Rampenlicht. Heute ist der Begriff, der in Vorträgen, Strategiepapiere und Gesetzesentwürfe gleichermaßen auftaucht, Cyber-Resilienz. Er klingt modern, fast schon schick – und genau deshalb wird er oft oberflächlich behandelt. Aber hinter diesem Schlagwort steckt weit mehr als ein Marketingtrend. Cyber-Resilienz ist nicht nur eine Erweiterung klassischer IT-Sicherheit, sondern ein strategischer Ansatz, der Unternehmen widerstandsfähig gegen digitale Angriffe, technische Störungen und sogar komplexe Krisen macht. Kurz gesagt: Es geht nicht mehr nur darum, Angriffe zu verhindern, sondern darum, auch dann handlungsfähig zu bleiben, wenn sie unvermeidlich eintreten.

Von Prävention zu Anpassungsfähigkeit: Was Cyber-Resilienz wirklich bedeutet

Der zentrale Unterschied zwischen traditioneller IT-Sicherheit und Cyber-Resilienz liegt in der Perspektive. Klassische Sicherheitskonzepte fokussieren stark auf Prävention – also darauf, Angriffe zu blockieren, Schwachstellen zu schließen und Risiken zu minimieren. Das ist wichtig, aber in einer Welt, in der Angreifer immer schneller neue Taktiken entwickeln und selbst hochgesicherte Systeme kompromittieren können, reicht Prävention allein nicht mehr aus. Cyber-Resilienz ergänzt diesen Ansatz um Detektion, Reaktion, Wiederherstellung und Lernen. Das bedeutet: Wir akzeptieren, dass ein Angriff oder Ausfall passieren kann, und sorgen dafür, dass wir schnell erkennen, angemessen reagieren und uns effizient erholen – ohne dass der Geschäftsbetrieb vollständig zum Erliegen kommt.


Weiterlesen
9
Markiert in:
ISMS Informationssicherheit Resilienz Cyber
Tweet
49651 Aufrufe
Markus Groß

Neue Pflichten, alte Strukturen: Wo DORA Unternehmen überfordert

IT
Neue Pflichten, alte Strukturen: Wo DORA Unternehmen überfordert

A uf dem Papier klingt alles logisch: Ein europäischer Rahmen, der digitale Resilienz messbar macht, Meldewege harmonisiert, Drittparteien in die Pflicht nimmt und das Silo-Denken zwischen IT, Betrieb, Einkauf und Compliance aufbricht. In der Praxis prallen diese neuen Pflichten auf alte Strukturen – gewachsene Organisationen, komplexe Lieferketten, Legacy-Systeme, projektgetriebene Budgets, fragmentierte Verantwortungen. Das Ergebnis ist vielerorts dasselbe Bild: ernsthafte Bereitschaft, viel Aktivität, lange To-do-Listen – und trotzdem das Gefühl, dass DORA wie ein Wellenbrecher immer neue Lücken in den Damm schlägt. Dieser Beitrag seziert, wo DORA Unternehmen überfordert, warum das so ist und wie sich der Knoten lösen lässt, ohne Dutzende Parallelprojekte zu starten, die am Ende nur mehr Papier produzieren.

1) Der Kern des Problems: DORA verlangt Fähigkeiten, nicht Formulare

Die erste Überforderung beginnt im Kopf: Viele Organisationen behandeln DORA wie eine weitere Compliance-Checkliste. Das ist bequem, aber falsch. DORA verlangt Fähigkeiten – erkennen, entscheiden, melden, wiederanlaufen, nachweisen – in klaren Zeitfenstern und über Bereichsgrenzen hinweg. Genau hier reibt sich die Verordnung an alten Mustern:


Weiterlesen
3
Markiert in:
Informationssicherheit ISMS DORA
Tweet
40374 Aufrufe
Markus Groß

Insider light: Warum kleine Rechte oft große Lücken reißen

IT
Insider light: Warum kleine Rechte oft große Lücken reißen

Manche Sicherheitsgeschichten beginnen mit einem Genie an der Kommandozeile, einem Domain-Admin im Mantel der Nacht, einem perfekt orchestrierten Angriff auf Kerberos oder KMS. Die meisten beginnen anders: mit alltäglichen Rechten, die niemand für gefährlich hält. Ein „Viewer“ in der Doku-Plattform. Ein „Reporting“-Zugang im CRM. Ein „Guest“ im Kollaborationstool. Ein Servicekonto mit Leserechten auf Logdateien. Ein Praktikanten-Account, der nur Tickets lesen darf. Diese scheinbar harmlosen Berechtigungen sind die Welt des Insider light – Personen und Prozesse innerhalb (oder knapp außerhalb) der Organisation, die keine „großen“ Rechte brauchen, um große Lücken zu reißen. Nicht, weil sie Superhacker wären, sondern weil unsere Systeme Informationen großzügig streuen, Workflows automatisch auslösen und Meta­daten verräterischer sind, als uns lieb ist. Wer Sicherheit heute ernst meint, darf das kleine Licht nicht unterschätzen, denn es beleuchtet überraschend viele Wege bis ins Herz der Organisation.

Was genau ist „Insider light“?

„Insider“ weckt oft das Bild des böswilligen Mitarbeiters mit Vollzugriff. „Light“ verschiebt die Perspektive: Es geht um Akteure mit begrenzten, formal unkritischen Rechten, die dennoch kritische Wirkung entfalten – absichtlich, fahrlässig oder weil sie selbst zum Opfer werden. Das Spektrum ist breit:


Weiterlesen
9
Markiert in:
Insider Security Informationssicherheit ISMS
Tweet
46636 Aufrufe
Image