Uncategorized

NIS2 is not an IT project. It’s a compliance show if you approach it the wrong way.

Since December 6, 2025, NIS2 has been law in Germany. The registration deadline with the BSI expired on March 6, 2026. And now what? By March 2026, only around 38.5% of the estimated 29,500 affected companies had registered. This leaves more than 18,000 companies in a legal gray area. Registration is not the problem. The problem is that many companies treat NIS2 as a paperwork exercise – and in doing so, they neither prevent fines nor stop attackers. The BSI Situation Report 2025 shows that small and medium-sized enterprises meet, on average, only about 56% of the basic IT security requirements and often overestimate their level of protection. At the same time, an average of 119 new vulnerabilities in IT systems were disclosed every day – a growth of around 24% compared to the previous reporting period. AI-driven attacks will further intensify the problem, and we can expect to see more attacks in the future. Anyone who builds an Information Security Management System (ISMS) merely to satisfy auditors has already lost. Those who implement it because they understand that the company’s very existence depends on it are protecting their business from fines under Section 65 of the German Federal Office for Information Security Act (BSIG) – up to €10 million or 2% of global annual turnover- as well as from personal liability. How many companies do you know that take their ISMS seriously and how many are simply ticking boxes? Expected counterarguments & responses: Section 28 BSIG sets the threshold at 50 employees or €10 million in annual revenue across 18 sectors. Food production, mechanical engineering, chemicals, logistics – this is the heart of the SME sector. You can outsource the activity, not the responsibility. Section 38 BSIG places accountability squarely on management. Exactly. The BSI is currently building its enforcement capacity. Companies that fail to act now may become the next example case within 12 months. More insights can be found in the video below.

NIS2 is not an IT project. It’s a compliance show if you approach it the wrong way. Weiterlesen »

NIS2 ist kein IT-Projekt. Es ist eine Compliance-Show – wenn Sie es falsch angehen.

Seit dem 6. Dezember 2025 ist NIS2 in Deutschland Recht. Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Und nun? Bis März 2026 hatten sich nur rund 38,5 Prozent der geschätzt 29.500 betroffenen Unternehmen registriert. Mehr als 18.000 Unternehmen befinden sich damit in einer rechtlichen Grauzone. Die Registrierung ist nicht das Problem. Das Problem ist, dass viele Unternehmen NIS2 als Aktenordner-Übung verstehen – und damit weder Bußgeld noch Angreifer aufhalten. Der BSI-Lagebericht 2025 zeigt: Kleine und mittlere Unternehmen erfüllen im Schnitt nur etwa 56 Prozent der Basisanforderungen an IT-Sicherheit und überschätzen oft ihr Schutzniveau. Gleichzeitig wurden durchschnittlich täglich 119 neue Schwachstellen in IT-Systemen bekannt – ein Wachstum von rund 24 Prozent gegenüber dem vergangenen Berichtszeitraum und KI Angriffe werden das Problem verstärken und zukünftig werden wir mehr Angriffen sehen. Wer ein ISMS aufbaut, um Auditoren zufriedenzustellen, hat verloren. Wer es aufbaut, weil er weiß, dass die Existenz des Unternehmens davon abhängt, schützt sein Unternehmen vor §65 BSIG Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes t – und sich vor persönlicher Haftung. Wie viele Unternehmen kennen Sie, die ein ISMS ernst meinen – und wie viele, die nur Häkchen setzen? Erwartete Gegenargumente & Konter: §28 BSIG: Schwelle liegt bei 50 Mitarbeitern oder 10 Mio. € Umsatz in 18 Sektoren. Lebensmittel, Maschinenbau, Chemie, Logistik – das ist Mittelstand pur. Auslagerung der Tätigkeit, nicht der Verantwortung. §38 BSIG nimmt die Geschäftsleitung in die Pflicht. Genau. Das BSI baut gerade Vollzugskapazität auf. Wer jetzt nicht handelt, wird in 12 Monaten Beispielfall. Weitere Einblicke finden Sie im Video unten.

NIS2 ist kein IT-Projekt. Es ist eine Compliance-Show – wenn Sie es falsch angehen. Weiterlesen »

“PATECCO spricht Klartext”, Episode 2: Zero Trust and the New Identity Perimeter

The second episode of “PATECCO spricht Klartext”, hosted by Dr. Ina Nikolova and security expert Albert Harz, presents the topic of Zero Trust as an identity-based security approach. The discussion focusses on how modern organizations must rethink cybersecurity in a world where traditional network boundaries no longer exist. As cloud adoption, remote work, and increasingly sophisticated cyber threats transform the IT landscape, companies are facing a fundamental question: How can access to critical systems and data be secured when the network itself is no longer the perimeter? The main challenge considered is the widespread misunderstanding of Zero Trust. While many organizations believe that Zero Trust can be purchased as a technology solution, Albert Harz highlights that Zero Trust is an architectural principle and a strategic security approach. Successful implementation requires much more than deploying a new tool – it requires a fundamental change in how trust, access, and security are managed across the organization. Why identity has become the new perimeter? The conversation is also focused on why identity has become the new perimeter. As employees work from different locations, use multiple devices, and access applications hosted both on-premises and in the cloud, traditional network-based security models become less effective. The discussion explores why identity is now the most reliable factor in access decisions. Being part of a network is not proof of trust. Therefore, organizations must continuously verify who or what is requesting access, what permissions should be granted, and under what circumstances access should be granted. The role of Identity and Access Management as the foundation of Zero Trust Another important aspect discussed is the role of Identity and Access Management as the foundation of Zero Trust. The podcast highlights a challenge faced by many organizations – attempting to implement Zero Trust without first establishing strong identity governance. Before advanced security models can be introduced, organizations must understand their identities, permissions, and access rights. Topics such as Identity and Access Management (IAM), Identity Lifecycle Management, Privileged Access Management (PAM), least-privilege access, and access recertification are presented as essential building blocks for any successful Zero Trust strategy. The growing impact of regulatory requirements Finally, the discussion examines the growing impact of regulatory requirements The episode also addresses how regulations such as DORA and NIS2 are accelerating Zero Trust adoption across highly regulated industries. Security is no longer only a technical concern – it is increasingly becoming a compliance and business resilience requirement. Organizations that postpone their Zero Trust journey may eventually face greater challenges, higher costs, and increased pressure from regulators. Zero Trust is a security architecture for everyone The podcast’s core message is clear: Zero Trust is not a technology project, but a security architecture for everyone. Organizations that build a strong identity foundation today will be better prepared to implement effective Zero Trust architectures tomorrow. Those that wait until compliance deadlines or security incidents force action risk making rushed decisions that create long-term technical debt. Want to learn why many Zero Trust initiatives fail before they even begin and what organizations should do? Watch the full podcast episode with Dr. Ina Nikolova and Albert Harz for deeper insights and practical recommendations. Watch the full podcast in the video below:

“PATECCO spricht Klartext”, Episode 2: Zero Trust and the New Identity Perimeter Weiterlesen »

„PATECCO spricht Klartext“, Folge 2: Zero Trust und der neue Identitätsperimeter

In der zweiten Folge von „PATECCO spricht Klartext“, moderiert von Dr. Ina Nikolova und dem Sicherheitsexperten Albert Harz, wird das Thema Zero Trust als identitätsbasierter Sicherheitsansatz vorgestellt. Die Diskussion konzentriert sich darauf, wie moderne Unternehmen Cybersicherheit neu denken müssen, in einer Welt, in der traditionelle Netzwerkgrenzen nicht mehr existieren. Da Cloud-Nutzung, Remote Work und zunehmend ausgefeilte Cyberbedrohungen die IT-Landschaft verändern, stehen Unternehmen vor einer grundlegenden Frage: Wie kann der Zugriff auf kritische Systeme und Daten gesichert werden, wenn das Netzwerk selbst nicht mehr der Perimeter ist? Die größte Herausforderung besteht in dem weit verbreiteten Missverständnis bezüglich Zero Trust. Während viele Unternehmen glauben, Zero Trust könne als technologische Lösung erworben werden, betont Albert Harz, dass Zero Trust ein Architekturprinzip und ein strategischer Sicherheitsansatz ist. Eine erfolgreiche Umsetzung erfordert weit mehr als nur die Einführung eines neuen Tools – sie erfordert eine grundlegende Veränderung in der Art und Weise, wie Vertrauen, Zugriff und Sicherheit unternehmensweit verwaltet werden. Warum ist Identität zum neuen Perimeter geworden? Die Diskussion konzentriert sich auch darauf, warum Identität zum neuen Perimeter geworden ist. Da Mitarbeitende von unterschiedlichen Standorten aus arbeiten, verschiedene Geräte nutzen und auf Anwendungen zugreifen, die sowohl on-premises als auch in der Cloud gehostet sind, werden traditionelle netzwerkbasierte Sicherheitsmodelle zunehmend weniger effektiv. Das Gespräch gibt Einblicke warum Identität heute der zuverlässigste Faktor für Zugriffsentscheidungen ist. Netzwerkzugehörigkeit ist kein Vertrauensbeweis, daher müssen Organisationen kontinuierlich überprüfen, wer oder was Zugriff anfordert, wozu berechtigt werden soll und unter welchen Umständen Zugriff gewährt werden sollte. Die Rolle von Identity and Access Management als Grundlage von Zero Trust Ein weiterer wichtiger Aspekt der Diskussion ist die Rolle von Identity and Access Management als Fundament von Zero Trust. Der Podcast hebt eine Herausforderung hervor, mit der viele Unternehmen konfrontiert sind – der Versuch, Zero Trust umzusetzen, ohne zuvor eine starke Identity-Governance zu etablieren. Bevor fortgeschrittene Sicherheitsmodelle eingeführt werden können, müssen Organisationen ihre Identitäten, Berechtigungen und Zugriffsrechte verstehen. Themen wie Identity and Access Management (IAM), Identity Lifecycle Management, Privileged Access Management (PAM), Least Privilege Access und Access Recertification werden als wesentliche Bausteine für eine erfolgreiche Zero-Trust-Strategie dargestellt. Die wachsende Bedeutung regulatorischer Anforderungen Abschließend thematisiert die Diskussion die zunehmende Bedeutung regulatorischer Anforderungen. Die Folge geht darauf ein, wie Regulierungen wie DORA und NIS2 die Einführung von Zero Trust in stark regulierten Branchen beschleunigen. Sicherheit ist längst nicht mehr nur eine technische Frage – sie entwickelt sich zunehmend zu einer Anforderung an Compliance und geschäftliche Resilienz. Unternehmen, die ihre Zero-Trust-Transformation aufschieben, könnten letztlich mit größeren Herausforderungen, höheren Kosten und stärkerem regulatorischem Druck konfrontiert werden. Zero Trust ist eine Schutzarchitektur für alle Die Kernaussage des Podcasts ist klar: Zero Trust ist kein Technologieprojekt, sondern eine Schutzarchitektur für alle. Unternehmen, die heute eine starke Identity-Basis aufbauen, sind besser darauf vorbereitet, morgen effektive Zero-Trust-Architekturen umzusetzen. Wer wartet, bis Compliance-Fristen oder Sicherheitsvorfälle zum Handeln zwingen, riskiert überstürzte Entscheidungen, die langfristigen technischen Schulden verursachen. Möchten Sie erfahren, warum viele Zero-Trust-Initiativen scheitern, bevor sie überhaupt richtig beginnen, und was Unternehmen stattdessen tun sollten? Sehen Sie sich die vollständige Podcast-Episode mit Dr. Ina Nikolova und Albert Harz an, um tiefere Einblicke und praktische Empfehlungen zu erhalten. Vollständiger Podcast im Video unten:

„PATECCO spricht Klartext“, Folge 2: Zero Trust und der neue Identitätsperimeter Weiterlesen »

Behind the Strategy: How PATECCO Designs Secure Identity Architectures

In today’s connected business environment, designing a secure network architecture is a foundational element of any robust cybersecurity strategy. As organizations increasingly operate in hybrid cloud environments, rely on SaaS platforms, support remote and distributed workforces, and integrate IoT technologies, the network has become both a critical business enabler and a primary target for cyberattacks. Technology alone is no longer sufficient to ensure protection. A resilient security architecture must be structured to enforce access control, provide end-to-end visibility, and safeguard critical assets against threats such as ransomware, lateral movement, and data exfiltration. This article outlines a structured approach to building secure network architectures aligned with business objectives, compliance requirements, and modern threat landscapes. 1. Defining Security and Business Requirements Every secure architecture begins with a clear understanding of requirements. Without a precise definition of what must be protected and why, even the most advanced security technologies can leave critical gaps. Designing a secure network is comparable to constructing a highly secure facility: technical excellence alone is insufficient without a deep understanding of operational needs and risk exposure. Key questions to address include: In addition, legacy systems, existing network traffic patterns, and user populations must be carefully evaluated. The outcome of this phase should be a clearly defined architectural blueprint that aligns security controls with business risk, operational needs, and compliance obligations. 2. Implementing Zero Trust Network Access Modern cybersecurity design increasingly relies on the Zero Trust model as a core principle. Zero Trust operates on a fundamental assumption: no user, device, or system should be trusted by default – regardless of whether it resides inside or outside the network perimeter. Every access request must be continuously verified based on identity, device health, location, and contextual risk signals. This approach significantly enhances security in environments characterized by cloud adoption, remote work, and distributed infrastructure. It reduces the risk of unauthorized access and limits the potential impact of compromised credentials. 3. Enforcing the Principle of Least Privilege The Principle of Least Privilege (PoLP) is essential for minimizing attack surfaces and limiting the blast radius of security incidents. Under this model, users, applications, and systems are granted only the minimum level of access required to perform their tasks. This applies across all layers of the environment: Modern implementations often include just-in-time (JIT) access mechanisms supported by privileged access management (PAM) solutions, further reducing the risk of persistent privilege misuse. 4. Achieving Visibility, Monitoring, and Threat Detection Effective security is impossible without comprehensive visibility. If network activity cannot be observed and understood, it cannot be secured. In modern environments where a significant portion of traffic is encrypted, traditional inspection methods are no longer sufficient. Organizations must adopt advanced monitoring and detection capabilities, including: These technologies work together to provide a holistic view of network activity, enabling early detection of threats and faster incident response. 5. Implementing Security Event Logging and SIEM Logging is a critical yet often underestimated component of secure network architecture. Without centralized logging and correlation, organizations lack the ability to investigate incidents effectively or demonstrate compliance. Logs should be collected from all major infrastructure components, including: Security Information and Event Management (SIEM) platforms play a central role by aggregating logs, correlating events, and generating alerts based on predefined rules and behavioral patterns. Advanced security analytics further enhance detection capabilities by applying machine learning and threat intelligence to identify subtle or emerging attack techniques. Together, logging and SIEM capabilities ensure both operational visibility and audit readiness, which are essential for regulatory compliance and incident response effectiveness. 6. Ensuring Resilience and Eliminating Single Points of Failure Security and availability must be designed together. A secure network that is not resilient cannot support critical business operations. To ensure continuity and minimize disruption, architectures should incorporate: By eliminating single points of failure, organizations strengthen both their operational resilience and their ability to withstand cyber incidents without prolonged downtime. Balance Between Security, Compliance, and Usability in Enterprise Architecture PATECCO’s security architects focus on achieving a deliberate balance between usability, compliance, and security – three factors that often compete in complex enterprise environments. Designing a secure network architecture requires more than deploying firewalls or security tools. It demands structured planning, asset classification, segmentation, access control, policy enforcement, visibility and continuous monitoring. A well-designed cybersecurity architecture reduces risk, limits attack impact, and strengthens governance, risk management and compliance outcomes. If you require assistance in designing secure network architecture, performing security audits or implementing cybersecurity framework, PATECCO provides end-to-end cybersecurity services to help organisations build, manage and monitor resilient security programs.

Behind the Strategy: How PATECCO Designs Secure Identity Architectures Weiterlesen »

Blick hinter Die Strategie – Wie PATECCO sichere Identitätsarchitekturen entwickelt

In der heutigen vernetzten Geschäftswelt ist die Entwicklung einer sicheren Netzwerkarchitektur ein grundlegender Bestandteil jeder belastbaren Cybersicherheitsstrategie. Da Unternehmen zunehmend in hybriden Cloud-Umgebungen arbeiten, auf SaaS-Plattformen setzen, verteilte und remote arbeitende Belegschaften unterstützen und IoT-Technologien integrieren, hat sich das Netzwerk sowohl zu einem geschäftskritischen Enabler als auch zu einem bevorzugten Ziel für Cyberangriffe entwickelt. Technologie allein reicht jedoch nicht mehr aus, um einen wirksamen Schutz zu gewährleisten. Eine resiliente Sicherheitsarchitektur muss so konzipiert sein, dass sie Zugriffskontrollen konsequent durchsetzt, eine durchgängige Transparenz über alle Systeme hinweg ermöglicht und kritische Ressourcen vor Bedrohungen wie Ransomware, lateralen Bewegungen von Angreifern und Datenexfiltration schützt. Dieser Artikel beschreibt einen strukturierten Ansatz zur Entwicklung sicherer Netzwerkarchitekturen, die mit den Geschäftszielen, regulatorischen Anforderungen und den Herausforderungen moderner Bedrohungslandschaften in Einklang stehen. 1. Definition von Sicherheits- und Geschäftsanforderungen Jede sichere Architektur beginnt mit einem klaren Verständnis der Anforderungen. Ohne eine präzise Definition dessen, was geschützt werden muss und warum, können selbst die fortschrittlichsten Sicherheitstechnologien kritische Schwachstellen hinterlassen. Die Entwicklung eines sicheren Netzwerks lässt sich mit dem Bau einer hochsicheren Einrichtung vergleichen: Technische Exzellenz allein genügt nicht – entscheidend ist ein tiefgehendes Verständnis der betrieblichen Anforderungen und der bestehenden Risikolage. Zu den zentralen Fragestellungen gehören: Darüber hinaus müssen Altsysteme, bestehende Netzwerkverkehrsmuster sowie die verschiedenen Benutzergruppen sorgfältig analysiert werden. Das Ergebnis dieser Phase sollte ein klar definiertes Architekturkonzept sein, das Sicherheitsmaßnahmen gezielt an Geschäftsrisiken, betrieblichen Anforderungen und Compliance-Vorgaben ausrichtet. 2. Implementierung von Zero Trust Network Access Moderne Cybersicherheitsarchitekturen basieren zunehmend auf dem Zero-Trust-Modell. Dabei gilt der Grundsatz, dass kein Benutzer, Gerät oder System standardmäßig als vertrauenswürdig angesehen wird – unabhängig davon, ob es sich innerhalb oder außerhalb des Netzwerks befindet. Jeder Zugriff wird kontinuierlich anhand von Identität, Gerätezustand, Standort und weiteren Risikofaktoren überprüft. Dieser Ansatz erhöht die Sicherheit insbesondere in Cloud-Umgebungen, bei Remote-Arbeit und in verteilten Infrastrukturen. Er reduziert das Risiko unbefugter Zugriffe und begrenzt die Auswirkungen kompromittierter Zugangsdaten. 3. Durchsetzung des Prinzips der geringsten Rechte Das Prinzip der geringsten Rechte (Principle of Least Privilege, PoLP) ist entscheidend, um die Angriffsfläche zu minimieren und die Auswirkungen von Sicherheitsvorfällen zu begrenzen. Dabei erhalten Benutzer, Anwendungen und Systeme nur die minimal notwendigen Zugriffsrechte, die sie zur Ausführung ihrer Aufgaben benötigen. Dies gilt für alle Ebenen der Umgebung: Moderne Implementierungen nutzen häufig Just-in-Time-(JIT)-Zugriff, unterstützt durch Privileged Access Management (PAM)-Lösungen. Dadurch wird das Risiko eines dauerhaften Missbrauchs von Berechtigungen zusätzlich reduziert. 4. Transparenz, Überwachung und Bedrohungserkennung sicherstellen Effektive Sicherheit ist ohne umfassende Transparenz nicht möglich. Was im Netzwerk nicht sichtbar und nachvollziehbar ist, kann auch nicht zuverlässig geschützt werden. In modernen IT-Umgebungen, in denen ein großer Teil des Datenverkehrs verschlüsselt ist, reichen traditionelle Inspektions- und Überwachungsmethoden nicht mehr aus. Unternehmen müssen daher auf fortschrittliche Monitoring- und Erkennungslösungen setzen, darunter: Diese Technologien ergänzen sich gegenseitig und ermöglichen eine ganzheitliche Sicht auf die Netzwerkaktivitäten. Dadurch können Bedrohungen frühzeitig erkannt, Sicherheitsvorfälle schneller untersucht und geeignete Gegenmaßnahmen zeitnah eingeleitet werden. 5. Implementierung von Sicherheitsprotokollierung und SIEM Die Protokollierung von Sicherheitsereignissen ist ein kritischer, jedoch häufig unterschätzter Bestandteil einer sicheren Netzwerkarchitektur. Ohne eine zentrale Erfassung und Korrelation von Log-Daten fehlt Unternehmen die Grundlage, Sicherheitsvorfälle effektiv zu untersuchen oder die Einhaltung regulatorischer Anforderungen nachzuweisen. Protokolle sollten aus allen wesentlichen Infrastrukturkomponenten gesammelt werden, darunter: Security Information and Event Management (SIEM)-Plattformen übernehmen hierbei eine zentrale Rolle. Sie aggregieren Log-Daten aus unterschiedlichen Quellen, korrelieren Ereignisse und generieren Warnmeldungen auf Basis definierter Regeln sowie verhaltensbasierter Analysen. Moderne Sicherheitsanalysen erweitern diese Fähigkeiten zusätzlich, indem sie Verfahren des maschinellen Lernens und Threat-Intelligence-Daten nutzen, um auch subtile oder neuartige Angriffsmuster zu erkennen. Gemeinsam schaffen Logging- und SIEM-Lösungen die notwendige Transparenz für den sicheren Betrieb der IT-Umgebung und stellen gleichzeitig die Nachvollziehbarkeit sicher, die für Audits, regulatorische Compliance und eine effektive Incident Response erforderlich ist. 6. Resilienz sicherstellen und Single Points of Failure vermeiden Sicherheit und Verfügbarkeit müssen gemeinsam geplant und umgesetzt werden. Ein sicheres Netzwerk, das nicht ausreichend resilient ist, kann geschäftskritische Prozesse im Ernstfall nicht zuverlässig unterstützen. Um die Betriebskontinuität sicherzustellen und Ausfallzeiten zu minimieren, sollten Netzwerkarchitekturen folgende Maßnahmen berücksichtigen: Durch die konsequente Vermeidung von Single Points of Failure (SPOF) erhöhen Unternehmen sowohl ihre operative Widerstandsfähigkeit als auch ihre Fähigkeit, Cyberangriffe oder technische Störungen ohne längere Unterbrechungen des Geschäftsbetriebs zu bewältigen. Eine resiliente Architektur sorgt dafür, dass kritische Systeme selbst bei Hardwareausfällen, Netzwerkstörungen oder Sicherheitsvorfällen weiterhin verfügbar bleiben oder innerhalb kurzer Zeit wiederhergestellt werden können. Dadurch werden nicht nur die Auswirkungen potenzieller Angriffe reduziert, sondern auch die Anforderungen an Geschäftskontinuität, Serviceverfügbarkeit und Risikomanagement erfüllt. Balance zwischen Sicherheit, Compliance und Benutzerfreundlichkeit in der Unternehmensarchitektur Die Sicherheitsarchitekten von PATECCO legen besonderen Wert auf eine Balance zwischen Benutzerfreundlichkeit, Compliance und Sicherheit – drei Faktoren, die in komplexen Unternehmensumgebungen oft im Widerspruch zueinander stehen. Die Entwicklung einer sicheren Netzwerkarchitektur erfordert mehr als nur die Bereitstellung von Firewalls oder Sicherheitstools. Sie erfordert eine strukturierte Planung, die Klassifizierung von Ressourcen, Segmentierung, Zugriffskontrolle, die Durchsetzung von Richtlinien, Transparenz und eine kontinuierliche Überwachung. Eine gut konzipierte Cybersicherheitsarchitektur reduziert Risiken, begrenzt die Auswirkungen von Angriffen und stärkt die Ergebnisse in den Bereichen Governance, Risikomanagement und Compliance. Wenn Sie Unterstützung bei der Konzeption einer sicheren Netzwerkarchitektur, der Durchführung von Sicherheitsaudits oder der Implementierung eines Cybersicherheits-Frameworks benötigen, bietet PATECCO umfassende Cybersicherheitsdienstleistungen an, um Unternehmen beim Aufbau, der Verwaltung und der Überwachung widerstandsfähiger Sicherheitsprogramme zu unterstützen.

Blick hinter Die Strategie – Wie PATECCO sichere Identitätsarchitekturen entwickelt Weiterlesen »

Your cyber insurance is probably worthless. And nobody is telling you.

Three letters that can reduce your insurance coverage to zero: OLG (Higher Regional Court) Cyber insurance is sold to small and medium-sized businesses much like household insurance – but when a claim occurs, it behaves more like a minefield. Anyone who does not complete the risk assessment questionnaire with the mindset of an IT forensic investigator may find themselves without coverage when it matters most, facing instead an expensive legal dispute. In its decision of January 9, 2025 (Case No. 16 U 63/24), the Higher Regional Court of Schleswig (OLG Schleswig) ruled that an insurer may expect a certain degree of diligence from a larger company when answering risk-related questions. A complete lack of knowledge about common cyber insurance practices is not sufficient. Nor is a “good-faith” belief that everything is in order. Earlier, the Regional Court of Tübingen (LG Tübingen) and the Regional Court of Kiel (LG Kiel) had reached similar conclusions – in cases involving losses of up to €500,000, which the companies ultimately had to bear themselves. And the market is becoming stricter: nearly one in three applications is now being rejected- a significant increase compared to the previous year. A cyber insurance policy without an Information Security Management System (ISMS) is like a life insurance policy where a pre-existing medical condition was concealed. When a claim arises, it is not worth the paper it is written on. When was the last time you reviewed your risk questionnaire with your CISO (Chief Information Security Officer)? Do you need support? Expected objections and responses: The broker is not responsible for the reality of your IT environment. Under Section 19 of the German Insurance Contract Act (VVG), you personally bear the duty of disclosure. That’s exactly what the timber wholesaler in Schleswig thought. The lawsuit involved more than €500,000. Certifications are only snapshots in time. Insurance questionnaires focus on your ongoing operations: patch management, backups, MFA coverage, and other day-to-day security controls.

Your cyber insurance is probably worthless. And nobody is telling you. Weiterlesen »

Ihre Cyberversicherung ist wahrscheinlich wertlos. Und niemand sagt es Ihnen.

Drei Buchstaben, die Ihren Versicherungsschutz auf null setzen können: OLG (Oberlandesgericht) Cyberversicherungen werden im Mittelstand wie Hausratversicherungen verkauft – im Schadensfall verhalten sie sich aber wie ein Minenfeld. Wer den Risikofragebogen nicht mit einer IT-Forensik-Mentalität ausfüllt, hat im Ernstfall keinen Schutz, sondern einen kostenpflichtigen Rechtsstreit. Das OLG Schleswig hat im Beschluss vom 9. Januar 2025 (16 U 63/24) entschieden: Der Versicherer darf von einem größeren Unternehmen bei Risikofragen eine gewisse Sorgfalt erwarten. Keinerlei Kenntnisse über die Gepflogenheiten bei der Cyber-Versicherung genügen nicht. Auch der „gute Glaube“, dass schon alles in Ordnung sei, reicht nicht aus. Bereits zuvor hatten LG Tübingen und LG Kiel ähnlich entschieden – mit Schadensummen bis zu 500.000 €, die das Unternehmen selbst trug. Und der Markt verschärft sich: Inzwischen wird fast jeder dritte Antrag abgelehnt – ein deutlicher Anstieg gegenüber dem Vorjahr. Eine Cyberversicherung ohne ISMS ist wie eine Lebensversicherung mit verschwiegener Vorerkrankung. Im Schadensfall ist sie das Papier nicht wert, auf dem sie steht. Wann haben Sie das letzte Mal Ihren Risikofragebogen mit Ihrem CISO durchgesprochen? Brauchen Sie Unterstützung? Erwartete Gegenargumente & Konter: Der Makler haftet nicht für Ihre IT-Realität. Sie tragen die Anzeigepflicht nach §19 VVG persönlich. Genau das hat der Holzgroßhändler in Schleswig auch gedacht. Die Klage ging über 500.000 €.  Zertifikate sind Momentaufnahmen. Versicherungsfragen beziehen sich auf den laufenden Betrieb. Patch-Stand. Backups. MFA-Coverage.

Ihre Cyberversicherung ist wahrscheinlich wertlos. Und niemand sagt es Ihnen. Weiterlesen »

Warum ist Cybersecurity Chefsache?

„Cybersecurity ist Chefsache – jetzt nicht mehr nur als Floskel, sondern als Haftungsfalle.“ Liebe Geschäftsführer-Kollegen Ihre D&O-Versicherung deckt vieles. Aber nicht das, was seit 6. Dezember 2025 auf Sie zukommt. NIS2 hat aus Cybersecurity ein Vorstands- und Geschäftsführer-Thema gemacht – im juristischen, nicht im rhetorischen Sinne. Wer 2026 noch glaubt, das könne man „in die IT delegieren“, organisiert seine eigene persönliche Haftung. Mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat eine neue Verantwortungsebene in Kraft: Geschäftsführer und Aufsichtsräte unterliegen nun gesetzlicher Haftung für Cyberrisiken. §38 BSIG verpflichtet Geschäftsleitungen, Risikomanagementmaßnahmen zu billigen, ihre Umsetzung zu überwachen und sich regelmäßig zu schulen. Mehr als 90 Prozent der KMU schätzen ihre eigene Sicherheit als „gut“ ein. Untersuchungen des BSI deuten hingegen eher auf das genaue Gegenteil hin: Ihnen zufolge erfüllen deutsche KMU im Durchschnitt nur 56 Prozent der Basisanforderungen. Die Differenz zwischen „90 % halten sich für sicher“ und „56 % haben die Basics im Griff“ ist der Prozentbereich, in dem Geschäftsführer-Haftung passiert. Mit durchschnittlichen Schäden selbst bei einem kleinen KMU von ca. 100.000 Euro und die D&O zahlt nicht. Wollen Sie das riskieren? Wann haben Sie das Cyber-Risiko zuletzt im Beirat/Aufsichtsrat protokolliert behandelt – mit Beschlussfassung? Erwartete Gegenargumente & Konter: Jetzt mehr im Video erfahren:

Warum ist Cybersecurity Chefsache? Weiterlesen »

Why Is Cybersecurity a Management Responsibility?

Cybersecurity is a management responsibility – no longer just a buzzword, but a real liability trap. Dear fellow CEOs, your D&O insurance covers a lot – but not what is coming your way as of December 6, 2025. NIS2 has made cybersecurity a matter for executive boards and managing directors – in a legal, not a rhetorical, sense. Anyone who still believes in 2026 that this can be “delegated to IT” is setting themselves up for personal liability. With the NIS2 Implementation Act (NIS2UmsuCG), a new level of responsibility has come into effect: managing directors and supervisory board members are now subject to legal liability for cyber risks. Section 38 of the BSIG requires management to approve risk management measures, monitor their implementation, and undergo regular training. More than 90 percent of SMEs rate their own security posture as “good.” However, studies conducted by the BSI indicate quite the opposite: according to their findings, German SMEs meet only 56 percent of the basic security requirements on average. The gap between “90% believe they are secure” and “56% actually have the basics under control” is exactly the zone where executive liability begins. With average damages of around €100,000 even for small SMEs – and with D&O insurance potentially refusing to pay – the question is: do you really want to take that risk When was the last time you formally addressed and documented cyber risk in the supervisory/advisory board – including a resolution? Expected counterarguments & responses: • “I don’t understand IT.”That is exactly the point. §38 BSIG does not require IT expertise, but a duty of training for executive management – not technical detail knowledge, but risk awareness. • “We have an IT manager.”Delegating responsibility has not been sufficient since the KonTraG. With NIS2, this is finally no longer acceptable. • “Fines are probably not that serious.”Perhaps. But the bigger risk is liability claims under §43 GmbHG (breach of duty of care) by shareholders – an often-underestimated escalation level. For more information, play the video below:

Why Is Cybersecurity a Management Responsibility? Weiterlesen »

Nach oben scrollen