:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neue EU-Sicherheitsrichtlinie für KRITIS Der Countdown für NIS2 läuft!
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Mit der neuen Richtlinie NIS2 reagiert die EU nun erneut und verschärft die Anforderungen an die Cybersicherheit Kritischer Infrastrukturen (KRITIS) – und schließt deutlich mehr Sektoren als bei NIS1 ein. Dr. Yvonne Bernard, CTO bei Hornetsecurity, erklärt, warum KRITIS-Betriebe jetzt damit beginnen sollten, die erforderlichen Maßnahmen der NIS2 umzusetzen.
Die Gefahr von Cyberangriffen wächst seit Jahren stetig an. Bereits 2016 reagierte die Europäische Kommission auf die Bedrohungslage und die fortschreitende Digitalisierung und verabschiedete die NIS1-Richtlinie (Network and Information Security). Danach wurden KRITIS-Betreiber, wie beispielsweise Betriebe der Strom- und Wasserversorgung, die Finanzbranche sowie das Gesundheitswesen, aber auch Anbieter von digitalen Diensten innerhalb der EU dazu verpflichtet, geeignete technische, operative und organisatorische Sicherheitsmaßnahmen nach dem neuesten Stand der Technik zu implementieren, um sich angemessen gegen Cyberattacken zu schützen. Mit der neuen Richtlinie NIS2 reagiert die EU nun erneut und verschärft die Anforderungen an die Cybersicherheit Kritischer Infrastrukturen (KRITIS) – und schließt deutlich mehr Sektoren als bei NIS1 ein.
NIS-Upgrade vonnöten
In Deutschland war die Ausgangslage zur Umsetzung von EU-NIS1 denkbar gut, waren doch viele Anforderungen mit dem 2015 in Kraft getretenen nationalen IT-Sicherheitsgesetz 1.0 bereits erfüllt. Mit dem IT-Sicherheitsgesetz 2.0 von 2021 gingen Bundestag und Bundesrat vor zwei Jahren noch einen Schritt weiter, indem sie den Geltungsbereich und die Pflichten für die betroffenen Unternehmen ausdehnten. Außerdem erhielt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mehr Aufgaben und Befugnisse. Seine Rolle als Cyber-Sicherheitsbehörde des Bundes wurde deutlich gestärkt.
Dieser Schritt war auch notwendig – schließlich konnte die Cyber-Bedrohungslage trotz NIS1 und den IT-Sicherheitsgesetzen nicht ausreichend eingedämmt werden, sondern stieg weiter an. Daher musste nun auch die EU ein Upgrade der eigenen Informationssicherheitsrichtlinien vornehmen. Nicht nur wurde die NIS1-Richtlinie in den Mitgliedstaaten nicht einheitlich umgesetzt, die Definition von KRITIS-Betrieben wich zudem in den einzelnen Ländern zu stark voneinander ab. Das hatte zur Folge, dass das Cybersicherheitsniveau in der EU als zu niedrig eingestuft wurde, weshalb zu Beginn des Jahres 2023 die neue NIS2-Richtlinie in Kraft trat, die bis Oktober 2024 in nationales Recht umzusetzen ist.
Mehr Unternehmen, höhere Anforderungen
Zu den wesentlichen Neuerungen zählt, dass deutlich mehr Sektoren und damit auch mehr Unternehmen in den Anwendungsbereich fallen. So kommen zu den bisherigen „Sektoren mit hoher Kritikalität“ weitere „kritische Sektoren“ hinzu, darunter Post- und Kurierdienste, die Abfallwirtschaft und Lebensmittelproduzenten. Außerdem wird der Adressatenkreis auf Unternehmen erweitert, die mindestens 50 Mitarbeiter beschäftigen und einen Jahresumsatz von über 10 Millionen Euro verzeichnen. Damit wurde der Geltungsbereich von NIS2 von bislang großen Unternehmen auch auf KMU ausgedehnt. Selbst wenn die Unternehmen und Einrichtungen in Deutschland mit der Umsetzung der IT-Sicherheitsgesetze 1.0 und 2.0 grundsätzlich bereits gut aufgestellt sind, ist oft noch manche wichtige Weiche bis zur NIS2-Reife zu stellen. Hier eine kleine Auswahl davon:
- Strengere Meldepflichten für Sicherheitsvorfälle: Um die Reaktionszeit gegenüber Cyberangriffen zu senken, müssen diese binnen 24 Stunden nach Kenntnisnahme bei der zuständigen nationalen Behörde angezeigt werden. Waren bislang nur solche Vorfälle zu erfassen, die die Sicherheit von Netz- und Informationssystemen beeinträchtigten, müssen künftig auch bereits Fälle zur Anzeige gebracht werden, in denen die Verfügbarkeit von Daten oder Diensten eingeschränkt ist. Spätestens einen Monat nach der ersten Meldung muss die betroffene Einrichtung bereits einen Abschlussbericht zum aktuellen Fall vorlegen können.
- Sicherung der Lieferketten: Ohne wirksamen Schutz der gesamten Cyber-Lieferketten nützt auch die beste Absicherung von Einzelunternehmen wenig. Daher fordert die EU KRITIS-Betriebe im Rahmen von NIS2 auf, Sicherheitsanforderungen für ihre Dienstleister und Lieferanten zu definieren. Zudem müssen die Betriebe deren Einhaltung durch Service Level Agreements (SLAs) oder periodische Prüfmechanismen gewährleisten. Besonderes Augenmerk sollte dabei auf den Schnittstellen zu den Partnern sowie auf Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen liegen.
- Verstärktes Risikomanagement: NIS2 verschärft die Anforderungen an die technischen, operativen und organisatorischen Mindestmaßnahmen von KRITIS-Betreibern. Dazu zählen die Implementierung von Risikoanalyse- und Sicherheitskonzepten für IT-Systeme, die Bewältigung von Sicherheitsvorfällen, ein Backup- und Krisenmanagement sowie Verfahren zur Bewertung der Wirksamkeit der eigenen Risikomanagement-Maßnahmen. Zu den zentralen Praktiken sollten unter anderem Zero-Trust-Prinzipien, regelmäßige Software-Updates und eine angemessene Netzwerksegmentierung gehören. Zudem sind ausreichendes Identitäts- und Zugriffsmanagement, Kryptografie und Verschlüsselung sowie Multi-Faktor-Authentifizierung (MFA) für eine nachhaltige Sicherheitsstrategie im Sinne der NIS2-Richtlinie essenziell. Gleichzeitig sollten die Mitarbeiter für die steigenden Cyberbedrohungen sensibilisiert und in der Abwehr geschult werden. Denn mittlerweile haben sich vor allem Social-Engineering-Techniken wie (Spear)-Phishing zur beliebtesten Angriffsart von Cyberkriminellen entwickelt. So fand der Cyber Security Report 2023 von Hornetsecurity heraus, dass bereits über 40 Prozent des gesamten E-Mail-Verkehrs eine potenzielle Bedrohung darstellen. Um diesen Risiken zu begegnen, empfehlen sich Security-Awareness-Maßnahmen, die Mitarbeiter dauerhaft zu einem vorsichtigen Umgang mit eingehenden E-Mails motivieren. Ideal ist eine Kombination aus klassischen Lernangeboten, wie E-Learnings, mit laufend durchgeführten und praxisnahen Spear-Phishing-Simulationen, deren Schwierigkeitsgrad automatisch an das aktuelle Sicherheitsverhalten jedes einzelnen Mitarbeiters angepasst wird.
- Cybersecurity als Chefsache: Die neue NIS2-Richtlinie erklärt IT-Sicherheit von KRITIS-Betrieben zur Chefsache und zum Compliance-Thema. Das bedeutet auch, dass die Leitungsorgane der Unternehmen und Organisationen die Risikomanagement-Maßnahmen genehmigen und deren Umsetzung überwachen müssen. Kommt es zu Verstößen gegen die nationalen Umsetzungsvorschriften, können die verantwortlichen Personen dafür persönlich verantwortlich gemacht und mit strafrechtlichen Sanktionen belegt werden. Darüber werden die Sanktionen und Strafen für Unternehmen künftig erheblich verschärft. Sie können bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen. Idealerweise lassen sich jedoch sowohl die technischen Maßnahmen zur Absicherung wichtiger Unternehmensdaten und Kommunikationskanäle als auch die Sensibilisierung und Schulung der Mitarbeiter weitestgehend automatisieren. Mit einer umfassenden und modernen Plattform, die unverzichtbare Cybersecurity-Services aus einer Hand liefert und direkt in die Microsoft Office-Plattform integriert wird, können Unternehmen zudem die Komplexität reduzieren. So stellen die verantwortlichen Personen sicher, dass sie ihren Aufsichtsplichten nachkommen und gleichzeitig die Geschäftskontinuität im Notfall nicht durch ineffiziente Sicherheitsprozesse beeinträchtigt wird.
Es ist an der Zeit zu handeln
Cyber-Attacken werden auch künftig zunehmen und vermehrt zu Notfallsituationen führen, da Cyberkriminelle mit immer moderneren Werkzeugen und ausgeklügelten Methoden auf Unternehmen zielen – Stichwort generative KI. Ein umfassendes Sicherheitskonzept sollte daher über eine reaktive Verteidigung hinaus gehen und den gesamten Sicherheitslebenszyklus abdecken: von der Prävention über den aktiven Schutz bis zur Gewährleistung oder – im Falle eines Falles – zur Wiederherstellung des Geschäftsbetriebs und der Daten. Im Zuge der von der EU verabschiedeten NIS2-Richtlinie haben die Mitgliedstaaten nun bis Oktober 2024 Zeit, die Vorgaben in nationales Recht zu überführen – und die jeweiligen KRITIS-Betriebe, dieses umzusetzen. Dieser Schritt wird in Deutschland voraussichtlich mit der Verabschiedung eines neuen IT-Sicherheitsgesetzes – des IT-SiG 3.0 – vollzogen. In jedem Fall besteht für die betroffenen Einrichtungen dringender Handlungsbedarf, gerade wenn sie bislang nicht zum Adressatenkreis der NIS-Richtlinie gehörten. NIS2-pflichtige Unternehmen sind daher gut beraten, rechtzeitig mit der Umsetzung der erforderlichen Maßnahmen zu beginnen. Denn schließlich ist Cybersicherheit keine lästige gesetzliche Auflage, sondern liegt im ureigensten Interesse der betroffenen Unternehmen und Organisationen.
Über die Autorin: Dr. Yvonne Bernard ist CTO bei Hornetsecurity.
(ID:49621218)
:quality(80)/p7i.vogel.de/wcms/61/9b/619bdf395f67b38d13392f7e32bb9b51/0110183645.jpeg "Die Cybersicherheit in Europa soll besser werden. Herzstück dieses Plans ist die NIS2-Richtlinie; aber für deutsche Unternehmen drängt die Zeit für die Umsetzung. (Bild: garrykillian - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/ac/9faca201431447da5e7b91ef47fc677b/0110984493.jpeg "Welche harten finanziellen und strafrechtlichen Folgen die Missachtung der DSGVO, der NIS2-Richtlinie oder des Cyber Resilience Act haben kann, ist vor allem KMU oft nicht bewusst. (Bild: DOC RABE Media - stock.adobe.com)")