Es gibt Frameworks, die man aus Pflichtgefühl pflegt – und es gibt solche, die den Alltag wirklich verändern. Die CIS Controls gehören zur zweiten Kategorie. Sie sind längst kein Poster mehr an der Bürowand, keine Prüfliste, die man kurz vor einem Audit abhakt, und auch kein exotischer „Nice-to-have“-Standard. Sie sind eine Betriebsanleitung für gelebte Sicherheit: priorisiert, messbar, anschlussfähig an bestehende Governance – und robust genug, um in hybriden Realitäten aus Cloud, SaaS, Remote Work und komplexen Lieferketten zu tragen. Spätestens mit der jüngsten Evolutionsstufe haben die Controls die Grenze zwischen „Security-Projekt“ und „Security-Betrieb“ endgültig verwischt. Wer sie ernst nimmt, arbeitet anders: transparenter, wiederholbarer, nachweisbarer – und vor allem wirksamer.

Vom Poster zur Betriebsanleitung

Die ursprüngliche Stärke der Controls war immer ihre Frechheit der Priorisierung: Statt alles für gleich wichtig zu erklären, benennen sie wenige Hebel, die die meisten Angriffe früh stoppen oder schnell sichtbar machen. Dieses Grundprinzip ist erhalten geblieben – aber die Controls sind erwachsen geworden. Die aktuelle Fassung versteht unter „Asset“ nicht mehr nur die Maschine unterm Schreibtisch, sondern den ganzen Zoo moderner Unternehmens-IT: Cloud-Workloads, containerisierte Dienste, SaaS-Komponenten, mobile Endgeräte, Identitäten und Konfigurationen als eigene Schutzgüter. Dass die offizielle Controls-Liste heute konsequent von 18 Themenfeldern spricht, ist kein Modedetail, sondern die logische Folge dieser Realität. Damit spiegeln die Controls eine Gegenwart, in der Angriffsflächen nicht mehr am Rechenzentrumszaun enden.

In vielen Unternehmen ist Security Awareness ein Pflichtprogramm, das Mitarbeitende mit derselben Begeisterung erwarten wie eine Steuerprüfung. Jedes Jahr eine Pflichtschulung, ein paar Folien, vielleicht ein Multiple-Choice-Test am Ende – und fertig. Das Problem: Diese Form von Sensibilisierung erreicht selten ihr Ziel. Im besten Fall haken die Teilnehmenden sie ab, im schlimmsten Fall sorgt sie für kollektives Augenrollen und den Eindruck, dass Sicherheit nur Bürokratie ist. Dabei ist Security Awareness einer der entscheidendsten Faktoren für die Informationssicherheit überhaupt. Die meisten Sicherheitsvorfälle haben menschliche Ursachen – sei es ein Klick auf einen schädlichen Link, das Teilen sensibler Daten oder das Ignorieren von Sicherheitswarnungen. Wenn Awareness-Programme nicht hängen bleiben, bleiben Lücken offen, die keine Firewall der Welt schließen kann.

Der Schlüssel zu wirksamer Awareness liegt darin, die Perspektive zu wechseln: weg von der Pflichtveranstaltung, hin zu einer Erfahrung, die relevant, verständlich und einprägsam ist. Genau das verlangt ein didaktisches Re-Design: Storytelling statt Paragrafen, Rollenrelevanz statt Gießkanne, Interaktion statt Vorlesen, Kontinuität statt Jahresmarathon, Vorbild statt Verordnung – und Messbarkeit statt Bauchgefühl.

Kurz gesagt: Der EU-AI-Act macht aus Ideen Produkte – und aus Produkten Verantwortung. Er zwingt niemanden zur Perfektion, sondern zu nachweislich vernünftigem Handeln. Genau das ist die Abkürzung zu robusteren Releases, weniger Rückrufen und mehr Vertrauen.

1) Vom „Wow“ zur Wirklichkeit: Worum es beim EU-AI-Act wirklich geht

In Europa ist etwas Bemerkenswertes passiert: Künstliche Intelligenz ist von der Bühne der Demos, Prototypen und „Wow“-Momente heruntergestiegen und hat den nüchternen Maschinenraum der Verantwortung betreten. Der EU-AI-Act sorgt bei manchen für Schweißperlen und bei anderen für Schulterzucken. Beide Reaktionen greifen zu kurz. Wer nur Regulierung sieht, übersieht den eigentlichen Kern: Der AI-Act ist die Bauordnung für KI-Produkte. Niemand verbietet Ihnen, kreativ zu bauen; definiert werden nur tragende Wände, Fluchtwege und nicht brennbare Materialien. Architekten hassen Bauordnungen nicht – sie nutzen sie, um ambitionierte Entwürfe in reale, sichere Gebäude zu verwandeln. Genauso funktioniert guter KI-Produktbau unter dem AI-Act.

Ein Sicherheits-Deep-Dive, inspiriert von einer Prozessgrafik – und ergänzt um das, was die Praxis wirklich ausmacht

Wer heute an der Kasse sein Smartphone an das Terminal hält, löst damit ein erstaunlich komplexes Zusammenspiel aus Kryptografie, Hardware-Sicherheitskomponenten, Token-Diensten der Karten­netzwerke, Bankprüfungen und Händler-Backends aus. Von all dem bekommt man in der Regel nichts mit – und das ist gut so. Die eingangs gezeigte Prozessgrafik macht einen wichtigen Punkt sichtbar: Apple Pay und Google Pay verfolgen ähnlichen Zweck, aber unterscheiden sich im Architekturdetail, vor allem bei der Frage, wo sensible Informationen liegen und wie eine Zahlung kryptografisch gebunden wird. Aus dieser scheinbar kleinen Designentscheidung erwachsen spürbare Unterschiede in Angriffsfläche, Datenschutz und Betriebsmodell.

Mit dem Entwurf IDW EPS 528 (08.2025) legt das Institut der Wirtschaftsprüfer erstmals einen branchenübergreifenden Prüfungsstandard für die aufsichtliche Prüfung nach DORA vor. Der Standard adressiert Institute, Versicherungsunternehmen, externe Kapitalverwaltungsgesellschaften sowie bestimmte Investmentvermögen und schafft damit einen konsistenten, methodisch klar strukturierten Rahmen für Planung, Durchführung und Berichterstattung von DORA-Prüfungen. Er ist bis zum 31.10.2025 zur Stellungnahme geöffnet.
Zum Entwurf: https://lnkd.in/dyWzguDM

Einordnung: Warum dieser Standard jetzt wichtig ist

DORA ist seit dem 17. Januar 2025 anzuwenden und markiert den Übergang von isolierten IT-Sicherheitsanforderungen hin zu einem einheitlichen europäischen Rahmen für digitale operationale Resilienz. Das Finanzmarktdigitalisierungsgesetz (FinmadiG) verankert zugleich die Prüfung ausgewählter DORA-Pflichten im Rahmen der Jahresabschlussprüfung – erstmals für Geschäftsjahre, die nach dem 31.12.2024 beginnen. In dieser Lage fehlte bislang ein sektorübergreifender Prüfungsmaßstab, der die Vielzahl an Einzelanforderungen in ein nachvollziehbares Prüfungsprogramm übersetzt. IDW EPS 528 schließt diese Lücke: Er formuliert eine prinzipienorientierte, risikobasierte Prüfarchitektur, die die Proportionalität in den Mittelpunkt stellt und gleichzeitig die Anschlussfähigkeit an die Aufsichtspraxis sicherstellt.