Security Spike anmelden

Security Spikes auf eine Blick

20 praktische Checklisten auf dem Weg zur BSI-Grundschutz Absicherung

Der BSI-Grundschutz umfasst inzwischen über 5.000 Seiten und ist mindestens so umfangreich wie eine ISO 27000-Zertifizierung. Damit auch kleinere Firmen oder Verwaltungen ein praktikables Sicherheitsniveau erreichen, hat das BSI drei kompakte Varianten entwickelt – von groß nach klein:

  1. BSI Basis-Absicherung
  2. BSI Grundschutz für Kommunale Verwaltung
  3. BSI Weg in die Basisabsicherung (WiBa) – 20 praktische Checklisten auf 200 Seiten

Die Checklisten sind praktisch, leicht verständlich und direkt anwendbar – auch für IT-Teams ohne ISB- oder CISO-Hintergrund.

  • Die Checklisten decken technische und organisatorische Maßnahmen ab
  • Sie eignen sich perfekt für neue ISBs oder IT-Verantwortliche, die schnell einsteigen möchten
  • Einfach nach Kapiteln gegliedert, leicht verständlich und sofort nutzbar

Mit einem Klick können Sie hier die WiBa-Checklisten direkt beziehen.

Wir unterstützen Sie bei der praktischen Umsetzung und helfen, Sicherheit effizient zu gestalten.

Bei komplexeren Fragen zu einem Lean-ISMS, Notfallplänen oder Schutzklassen-Definitionen können Sie sich jederzeit mit einem unserer CAIRO-Experten ab.

Schutzklassen und IT-Risiken richtig festlegen

Viele Unternehmen stehen vor der Frage, wie sie Daten und IT-Systeme korrekt klassifizieren und Risiken verlässlich bewerten können. Entscheidend ist die enge Zusammenarbeit zwischen IT, Fachbereichen und Informationssicherheit. Das Ziel ist eine einheitliche Vorgehensweise im Unternehmen zur Bestimmung von Schutzklassen (SK) und zur Berechnung von Unternehmensrisiken.

Der etablierte Ablauf

  1. Begriffsverständnis schaffen
    IT erklärt Fachbereichen den Schutzklassen-Begriff – Grundlage für einheitliche Bewertung.
  2. Vorbewertung durch Fachbereich
    Fachbereich legt erste SK fest (ohne finalen Schadensbezug) – nur hier ist die fachliche Kritikalität bekannt.
  3. Kritische Systeme beschreiben (ab SK ≥ 2)
    IT ergänzt technische Perspektive: Benutzer, Berechtigungen, Komponenten, Abhängigkeiten, Schutzmaßnahmen.
  4. Risikobewertung durchführen
    Gemeinsame Analyse von:
    • wirtschaftlichem Schaden
    • Eintrittswahrscheinlichkeit
    Ergebnis: finale SK auf Basis Schadenshöhe.
  5. SLAs fachlich definieren
    Fachbereich beschreibt Anforderungen ähnlich einem Lastenheft:
    • MTD (Datenverlust)
    • MTA (Ausfallzeit)
    • BCM-Überlegungen für Notfälle
  6. SLAs technisch garantieren
    IT liefert passende Lösungen (Pflichtenheft) und zeigt Gap-Analyse zwischen Bedarf und Machbarkeit.

Warum sich der Aufwand lohnt:

Die monetäre Bewertung der Risiken schafft Entscheidungsgrundlagen für:

  • Cyber-Versicherungen
  • Budget- und Investitionsplanung
  • Priorisierung von Sicherheitsmaßnahmen
  • BCM- & Notfallstrategien

Typische Schäden bei Ausfall oder Cyberangriff

  • Verlust von Unternehmenswert
  • Umsatz- & Produktivitätsverluste
  • zusätzlicher IT-Aufwand / externe Experten
  • Hardware-Kosten
  • DSGVO-Bußgelder

Bei weiterem Fragen stimmen Sie sich mit einem unserer CAIRO-Experten ab.

Maximale Datensicherheit in M365 – mit der Purview Suite

Microsoft Purview ist die Datenschutz-, Compliance- und Governance-Plattform innerhalb von Microsoft 365. Sie integriert sich nahtlos in Dienste wie SharePoint, Teams und Exchange und hilft Unternehmen, sensible Daten zu erkennen, zu schützen und Aktivitäten revisionssicher nachzuverfolgen.

Die Purview Suite gliedert sich in mehrere spezialisierte Funktionsbereiche: 

  • Information Protection: Schutz sensibler Daten mithilfe von Sensitivity Labels, Verschlüsselung und granularen Zugriffskontrollen. 
  • Data Loss Prevention: Verhindert unbeabsichtigte Datenabflüsse und schützt vertrauliche Informationen – vollständig integriert mit Sensitivity Labels. 
  • Insider Risk Management: Identifiziert und bewertet potenzielle Risiken durch auffälliges Benutzerverhalten, z. B. ungewöhnlich große Daten-Exports. 
  • eDiscovery & Audit: Umfassende Protokollierung von Benutzeraktivitäten, Änderungen, Zugriffen und Berechtigungen – inklusive 80 detaillierter Audit-Bereiche. 
  • Records Management & Retention: Effiziente Steuerung von Aufbewahrungsrichtlinien für Daten, Dokumente und strukturierte Inhalte. 
  • Message Encryption & Customer Key: Sichere E-Mail-Verschlüsselung und Kontrolle über eigene Schlüssel – besonders relevant für regulierte Branchen wie Finanzwesen, Gesundheitswesen oder öffentliche Verwaltung. 
  • Records & Lifecycle Management: Automatisierte, richtlinienkonforme Aufbewahrungs- und Löschprozesse. 
  • Compliance Management: Zentrales Dashboard zur Verwaltung und Umsetzung von regulatorischen Anforderungen wie DSGVO oder ISO 27000. 
  • Data Map: Aktuelle, durchsuchbare Übersicht aller relevanten Datenquellen im Unternehmen. 
  • Unified Data Catalog: Zentraler Katalog zur Verwaltung, Kuratierung und Governance sämtlicher Datenquellen. 

Bei Fragen zur Purview-Implementierung stehen die  CAIRO M365-Experten zur Verfügung.

Entdecken Sie 185 mögliche Lücken im Benutzer-Management

Viele Mitarbeitende nutzen täglich AD oder Entra ID, weshalb starke Sicherheitsmaßnahmen essenziell sind. Dennoch finden sich in fast allen Organisationen kritische, oft jahrelang unentdeckte Fehlkonfigurationen.

Der AD Deep Scan von CAIRO bietet dafür einen automatisierten Sicherheitscheck mit 185 Tests für AD, Entra ID und angebundene Systeme wie Okta.

Sie erhalten: 

  • einen deutschsprachigen, ausführlichen Report mit klaren Handlungsempfehlungen 
  • eine interaktive Expertenbesprechung Ihrer Ergebnisse 
  • die Identifikation von Indicators of Exposure (IoE) und tatsächlichen Indicators of Compromise (IoC). Die Prüfung umfasst Fehlkonfigurationen in den Bereichen AD-Infrastruktur, Kontosicherheit, Delegationen, Gruppenrichtlinien und Kerberos-Sicherheit. 
  • eine Bewertung nach DISA-Best Practices und dem MITRE ATT&CK®-Framework 

Möchten Sie wissen, wie Ihr AD wirklich dasteht? 
Dann sichern Sie sich unverbindlich Ihren Deep-Scan-Termin und stimmen Sie sich mit einem unserer CAIRO IT-Experten ab.

Ihre IT ist nur so stark wie Ihr schwächstes System

IT-Systeme in Unternehmen sind durch neue Features, Konfigurationsänderungen und hybride Cloud-Umgebungen ständig Angriffen ausgesetzt. Effektiver Schutz gelingt durch Systemhärtung:
Mit Maßnahmen von der Applikation bis zum Netzwerk reduzieren Sie die Angriffsfläche und steigern die IT-Resilienz.

Eine kompakte Checkliste hilft beim direkten Einstieg.

Sie zeigt die wichtigsten Schritte, um: 

  • Sicherheitslücken schnell zu erkennen und zu schließen
  • Systeme effizient zu härten 
  • Compliance-Anforderungen einfach zu erfüllen 
Checkliste herunterladen

BSI veröffentlicht neues Framework für IT-Verteidigungsfähigkeit

Anfang November 2025 veröffentlichte das BSI gemeinsam mit internationalen Partnern ein neues Framework zur modernen verteidigungsfähigen IT-Architektur (MDA).
Ziel ist es, IT-Nutzern und IT-Management die Umsetzung von „Security by Design & Default“ und „Zero Trust“ zu erleichtern.

Das Framework besteht aus 10 zentralen Foundations:

  1. Centrally managed enterprise identities
  2. High confidence authentication
  3. Contextual authorisation
  4. Reliable asset inventory
  5. Secure endpoints
  6. Reduced attack surface
  7. Resilient networks
  8. Secure-by-Design
  9. Comprehensive validation and assurance
  10. Continuous and actionable monitoring

 Die detaillierten Leitfäden für die jeweiligen Bereiche finden Sie hier.

Die Leitfäden unterstützen beim Abschluss einer Cyberversicherung, beim Aufbau eines ISMS und bei der Vorbereitung auf eine ISO-27001-Zertifizierung.

NIS2 wird Gesetz – was Sie in der IT jetzt tun müssen

Die NIS2-Richtlinie wird bald in deutsches Recht umgesetzt und betrifft über 30.000 Unternehmen. Sie macht Cybersecurity, stabile IT-Strukturen und sichere Prozesse zur Pflicht.

Die Anforderungen steigen deutlich: Risikomanagement, Meldepflichten, technische Schutzmaßnahmen und Schulungen werden verbindlich – auch für Mittelständler, selbst wenn sie bisher nicht als KRITIS galten.

Der CAIRO NIS2-Plan zeigt:

  • welche Pflichten und Fristen gelten,
  • wie Ihr Unternehmen gesetzeskonform und effizient vorgeht,
  • welche Technologien und Prozesse Priorität haben (z. B. ISMS, Schwachstellenmanagement, MFA, IDS/IPS, Schulungen)
  • und wie Sie Bußgelder vermeiden.
Plan herunterladen

NIS2: So machen Sie den ersten Schritt

Ab Anfang 2026 wird die EU-Richtlinie NIS2 in deutsches Recht umgesetzt. Für Unternehmen bedeutet das: Informationssicherheit ist Pflicht. Wer die Vorgaben nicht erfüllt, riskiert Bußgelder und schwächt die eigene IT-Sicherheit.

Um den Überblick zu behalten, haben wir eine kompakte NIS2-Checkliste erstellt. Sie fasst die wichtigsten technischen und organisatorischen Maßnahmen zusammen und ermöglicht eine schnelle Eigenüberprüfung, ganz ohne Gesetzestexte.

Checkliste herunterladen

Schneller Einstieg ins ISMS

Ein ISMS hilft, Risiken systematisch zu erkennen und zu minimieren. Im Alltag fehlt oft die Zeit, Richtlinien und Verfahren zu entwickeln und umzusetzen.

Unser Ansatz bietet einen kompakten Überblick und zeigt, dass bereits ein praktisches „Mini-ISMS“ die Sicherheit spürbar erhöhen kann. Laden Sie jetzt unseren kostenlosen Plan herunter und starten Sie direkt in die ISMS-Erstellung.

Plan herunterladen

Ihre IT-Sicherheit im Blick

2024 wurde jedes zweite mittelständische Unternehmen in Deutschland Opfer eines Cyberangriffs. Hohe Kosten, Ausfallzeiten und Reputationsschäden sind die Folge. Oft fehlt im Alltag der klare Blick auf eigene Sicherheitslücken.

Unsere kompakte Checkliste zeigt die 20 häufigsten Schwachstellen – z. B. VPN-Nutzer auf Firewalls – und bietet Ihnen ein praktisches Werkzeug zur schnellen Selbsthilfe.

Checkliste herunterladen