Eine kurze Meldung in eigener Sache: Das freie ISMS-Dokumenten-Workflow-Projekt Epyy hat am Wochenende von mir eine neue Website bekommen:1 https://epyy.de Dabei ist mir aufgefallen, dass es für Hugo mittlerweile kaum noch Templates ohne NPM-Abhängigkeiten gibt. Warum machen WebDevs sowas? Mir blieb in meiner Sturheit daher nichts anderes übrig, als ein älteres Theme zu nehmen und es gründlich “auf links” zu drehen.2 Sprich: Ohne Google-Fonts und mit einer sauberen Build-Pipeline ohne 3rd-Party-Ballast. Was man halt so an einem langen Wochenende macht. Read more

Das lange Wochenende habe ich genutzt, um Radarcharts im ISMS-Dokumenten-Workflow zu integrieren.1 Auditoren schätzen diese Darstellungsform sehr, da sich der organisatorische Reifegrad auf einen Blick erfassen lässt. Letzten Monat habe ich hier im Blog gezeigt, wie sich Piecharts in Markdown erzeugen lassen.2 Mit Radarcharts funktioniert das genauso einfach. Einfach im Markdown die nachfolgende Zeile schreiben: {{snippet: radarchart name="id1" labels="Unit1, Unit2, Unit3" values="3,3,3" max=5 }} Das Ergebnis in einer PDF sieht dann so aus: Read more

“Jetzt ist er ganz bekloppt” könnte der normale Leser von mir denken. Schließlich nutze ich für meinen Dokumenten-Workflow1 reinen (Markdown-)Text als “Single Source of Truth”2 und nun komme ich mit dem Wunsch um die Ecke, in Übersichten schöne Diagramme zur Visualisierung zu nutzen. Keine ASCII-Balken! Nein, runde Piecharts sollen es sein. Genau das, was Manager und Entscheider sehen wollen. Klingt nach einem unüberwindbaren Zielkonflikt. Mit der gesunden Portion Selbstbewusstsein behaupte ich, das elegant gelöst zu haben. Read more

Epyy, das ist der Name des neuen Icons und Maskottchens meines freien ISMS-Dokument-Workflows auf Codeberg.1 Sein Name ist abgeleitet vom griechischen ἐπισκοπεῖν (episkopeîn), was übersetzt inspizieren oder überwachen heißt. Ein freundliches und vor allem “lebendes” Dokument, das einen durch den ISO27001- und TISAX-Wust begleitet. Der ISMS-Workflow ist frei und Open Source. Für professionellen Support oder individuelle Anpassungen einfach eine Anfrage an mich stellen. PRs are welcome! Read more

Heute habe ich die ISO 27001:2022 Clauses und Controls (ohne SoA) in meinem ISMS-Workflow auf Codeberg aufgenommen.1 Das hat die Anzahl der PDF-Dokumente und somit leider auch die Build-Time mit pandoc deutlich erhöht. Durch Parallelisierung konnte ich bei 4 Cores die Build-Time erwartungsgemäß auf ein Viertel der Zeit wieder reduzieren. Bei dieser Gelegenheit habe ich auch eine langjährige pandoc-Warnung der Eisvogel LaTeX-Vorlage beseitigt. Nun läuft der Build sauber ohne WARNINGS durch. Read more

In den letzten Tagen bin ich wieder einmal im sprichwörtlichen Kaninchenbau versackt. Aber ganz von vorne: Am Samstag habe ich einen Blogbeitrag geschrieben, um einen automatisierten und deterministischen Dokumenten-Workflow zu veranschaulichen.1 Zur besseren Nachvollziehbarkeit habe ich außerdem ein Codeberg-Repository angelegt.2 Das Feedback war überraschend überwältigend und enthielt viele berechtigte Punkte. Tatsächlich war das Repo ursprünglich eher schnell als gründlich zusammengestellt, so dass ich es deutlich überarbeitet und im Zuge dessen auch umbenannt habe. Jetzt ist es mehr als nur ein Anschauungsobjekt. Es bildet nun einen vollständigen, sehr flexiblen und zugleich sehr einfachen Dokumenten-Workflow ab. Read more

Zum Wochenende habe ich auf Codeberg ein Beispiel-Repository veröffentlicht.1 Es enthält den methodischen Vorschlag, eine ISMS-Dokumentation wie Code zu behandeln. Konkretes Beispiel ist die ISO 27001 Risikobewertung von Assets in Organisationen. Im Mittelpunkt steht dabei weniger das konkrete Dokument als vielmehr das dahinterstehende Konzept. Geschrieben ist alles in einem universellen Text-Only-Format, das garantiert auch noch in 50 Jahren in jedem Editor bearbeitet werden kann: Markdown.2 Markdown hat dabei einige praktische Eigenschaften: Read more

Der BSI-Bericht für das Jahr 2025 (Stand Oktober 2025) wurde veröffentlicht.1 Im Grunde gibt es wenig grundlegend Neues. Die wichtigsten Punkte, kommentiert und kritisch eingeordnet: Die Bedrohungslage ist unverändert angespannt und stabilisiert sich auf einem hohen Niveau.2 Bemerkenswert ist, dass der Grad der Fehlkonfiguration von Systemen und Software von 28% im vorherigen Berichtszeitraum auf 44% gestiegen ist.3 Die Angriffsflächen bei Web-Oberflächen sind in einem “besorgniserregenden Zustand”.4 Scope sind hier alle erreichbaren IP-Adressen mit .de Domains. EDR und Security-Lösungen stellen keinen ausreichenden Schutz dar. Sie sind weiterhin gegenüber gängigen Angriffsszenarien wirkungslos und werden mit sogenannten “EDR-Killern” effektiv ausgehebelt, so die Kommentierung von Heise.5 Kleine und mittelständische Unternehmen (KMU) geraten mehr in den Fokus von Ransomware-Banden. Der Bericht spricht von einer “grundlegenden Fehleinschätzung” der Bedrohungs- und Gefährdungslage durch die Verantwortlichen.6 Zweifelhaftes Selbstlob Und das gehört leider auch zum BSI: Selbstlob mit vermeintlichen Schlägen gegen internationale Cyberkriminalität und verbesserten KRITIS-Schutz. Bemerkenswert, wenn im gleichen Bericht für KRITIS festgestellt wird:7 Read more

KI ist für viele das große Heilsversprechen. Mehr Effizienz, mehr Entlastung, mehr Zukunft. Alle reden darüber, also muss es richtig sein. Und so springen viele auf den vorbeirauschenden Zug, in dem von außen betrachtet eine schrille Party gefeiert wird. Die Diskussion in mittelständischen Unternehmen dreht sich meinem Eindruck nach eher um Potenziale, weniger um Realitäten. Der ehrliche Blick auf die Lage fehlt. Und damit meine ich nicht nur die Technik, sondern vor allem die nicht-technische Governance. Read more

In Schweden ist es zu einem massiven IT-Sicherheitsvorfall gekommen. Betroffen ist Miljödata, eine Software-HR Bude, dessen Systeme in rund 80% der schwedischen Kommunen und Städte zum Einsatz kommt. Die Plattform verarbeitet besonders sensible Personaldaten, dem zentralsten Datenpool des öffentlichen Sektors mit:1 Personalakten Arbeitsunfälle und Vorfälle medizinische Bescheinigungen Rehabilitationsfälle Daten zum Arbeitsschutzmanagement Der Fall erinnert stark an den Angriff auf den kommunalen Zweckverband SIT.2 Auch da fielen in Südwestfalen großflächig zahlreiche kommunale Systeme aus. Wie der öffentlich gewordene Incident Report damals zeigte: Fehlende bzw. keine Auswertung von Protokollen und Logs, keine Segmentierung, keine Systemhärtung: Völliger Blindflug im Betrieb eines Rechenzentrums.3 Read more