Zum Hauptinhalt springen

  • IT Aktuell

    ralfbehrend.ch - BlogIT

  • Ralf Behrend

    IT Consulting / CISO

  • Microsoft

  • Netzwerk

  • Server

  • Virtualisierung

  • Cloud

  • Workplace Management

  • Remote Workplace

    ....oder: Es muss wirklich nicht mehr CITRIX sein.

  • System Center Suite

  • Backup

  • Security Management Process

  • Informations Management

  • Password Manager

  • LAB Umgebung

  • Radio Station Automation

  • Kompetenzen

  • Just me

  • Safety by Design

    Ralf Behrend - Consulting.

  • Shop

    Shop - Dienstleistungspakete

Safety...by design

IT-Sicherheit – kein Produkt, sondern eine Haltung

IT-Sicherheit beginnt für mich nicht bei Firewalls oder Zertifikaten, sondern bei der Art, wie Systeme überhaupt entworfen werden. Viele Sicherheitsprobleme entstehen nicht durch „Hacker“, sondern durch schlechte Architektur, unklare Verantwortlichkeiten und historisch gewachsene IT-Landschaften, die nie für heutige Anforderungen gedacht waren.

Als IT-Ingenieur betrachte ich Sicherheit deshalb immer als Teil des Designs.

Wer Sicherheit erst am Ende „draufschraubt“, hat sie in Wahrheit schon verloren.


Security by Design – von Anfang an richtig gedacht

Sichere Systeme entstehen nicht durch einzelne Tools, sondern durch saubere Konzepte - klare Netzsegmentierung, minimale Angriffsflächen, durchdachte Berechtigungsmodelle und nachvollziehbare Datenflüsse.

In der Praxis bedeutet das:

Ich analysiere bestehende Umgebungen technisch und strukturell – nicht nur, ob etwas „funktioniert“, sondern ob es auch sinnvoll, wartbar und im Fehlerfall kontrollierbar ist.

Sicherheit heisst für mich:

...verstehen, was passiert – nicht hoffen, dass nichts passiert.


ISO 27001 – Struktur statt Aktionismus

ISO 27001 ist kein Zertifikat für die Website, sondern ein Managementsystem für reale Risiken. Richtig umgesetzt bringt es Ordnung in Themen, die sonst oft diffus bleiben: Zuständigkeiten, Prozesse, Notfallpläne, Dokumentation und Entscheidungswege.

Ich unterstütze Unternehmen nicht bei „Papier-Sicherheit“, sondern bei der technischen Übersetzung der Norm in den Alltag:

Welche Systeme sind wirklich kritisch?Wo liegen reale Abhängigkeiten?Was passiert, wenn ein Schlüsselmitarbeiter oder ein zentrales System ausfällt?

ISO 27001 ist dann sinnvoll, wenn sie das Unternehmen robuster macht – nicht, wenn sie nur ein Audit besteht.


NIS2 – Regulierung trifft Realität

Mit NIS2 wird IT-Sicherheit erstmals auch für viele KMU konkret verpflichtend. Das ist für viele neu – und oft auch unbequem. Denn NIS2 verlangt nicht nur Technik, sondern Governance:

Risikoanalysen, Meldeprozesse, Verantwortlichkeiten auf Management-Ebene.

Mein Ansatz ist pragmatisch:

Nicht „Angst vor der Regulierung“, sondern saubere technische Grundlagen schaffen. Wer seine Systeme im Griff hat, erfüllt einen grossen Teil von NIS2 automatisch – ohne hektische Einzelmassnahmen oder überdimensionierte Security-Projekte.


Mein Verständnis von IT-Sicherheit

Ich verkaufe keine Angst und keine Buzzwords.IT-Sicherheit ist für mich Ingenieurarbeit: analysieren, vereinfachen, strukturieren, absichern.

Mein Ziel ist nicht maximale Komplexität, sondern maximale Kontrolle.Systeme, die man versteht, kann man schützen.

Systeme, die man nicht mehr versteht, sind früher oder später ein Risiko – unabhängig vom Budget.

Wollen Sie mehr darüber erfahren - kontaktieren Sie mich gerne!