Von wegen „Safety first“ NIS2-Skepsis, Budget-Kürzungen und jede Menge Sicherheitsvorfälle

Anbieter zum Thema

Veeam Software

Fsas Technologies GmbH

FAST LTA GmbH

FTAPI Software GmbH

Gemessen an den Ergebnissen hat man sich vielerorts mehr erhofft, in Hinblick auf die NIS2-Verordnung. In einer ernüchternden Selbst­ein­schätzung zeigt sich, wo der Schuh in Sachen IT-Sicherheit drückt.

Geht man nach einer aktuellen Studie zur NIS2-Richtlinie von Veeam, zeichnet sich ein er­nüch­terndes Bild der IT-Sicherheitslage in deutschen Unternehmen. Während sich 70 Prozent der befragten Firmen gut auf die neue EU-Richtlinie vorbereitet fühlen, sind nur 37 Prozent von ihnen nach eigener Angabe tatsächlich konform zur NIS2. „Diese eklatante Diskrepanz zwischen Selbstwahrnehmung und Realität ist bezeichnend für den oftmals leider noch zu laxen Umgang vieler Organisationen mit Cybersicherheit und vor allem im KRITIS-Bereich bedenklich“, kommentiert Matthias Frühauf, Regional Vice President EMEA Central bei Veeam.

Strengere KRITIS-Vorgaben

Gespräche über Schutz kritischer Anlagen gescheitert

Sicherheitsvorfälle sind keine Seltenheit

Auch die Zahlen zu Sicherheitsvorfällen sind nach Einschätzung von Frühauf alarmierend: Nach der Datenlage aus der Umfrage räumen 87 Prozent der Teilnehmer ein, dass sie in den ver­gan­genen zwölf Monaten mindestens einen Vorfall erlebt haben, der durch NIS2-Maßnahmen vermeidbar gewesen wäre. Mehr als ein Drittel (38 Prozent) berichtet sogar von drei bis vier solcher Vorfälle. Wenn zudem 57 Prozent dieser Vorfälle als „hochgradig kritisch“ eingestuft werden, verdeutlicht dies die dramatische Bedrohungslage für deutsche Unternehmen.

„Katastrophales Signal“

Bundesregierung streicht Stellen bei IT-Sicherheit

Es fehlt das Geld für IT-Budgets

Die Budgets werden laut 44 Prozent der IT-Sicherheitsverantwortlichen derweil gekürzt, weitere 22 Prozent berichten von stagnierenden Budgets seit der NIS2-Ankündigung im Januar 2023. „Diese Zahlen offenbaren ein gefährliches Missverständnis auf Führungsebene“, findet der Veeam-Manager, denn „Datenresilienz und damit Cybersicherheit werden noch immer als optionaler Kostenfaktor statt als geschäftskritische Investition in die Wettbewerbsfähigkeit des Unternehmens gewertet.“

Wenn die „letzte Verteidigungslinie“ fehlt

Die technischen Herausforderungen sind dabei laut Umfrage zahlreich: 26 Prozent der Befragten nennen veraltete Technologien als Haupthindernis auf dem Weg zur NIS2-Compliance, gefolgt von fehlendem Budget (24 Prozent) und organisatorischen Silos (23 Prozent). Am meisten beunruhigen sollte es Führungskräfte jedoch, wenn das eigene Unternehmen nicht über die sogenannte „letzte Verteidigungslinie“ verfügt: So haben nur 23 Prozent der befragten Sicherheitsexperten fortgeschrittene Backup-Verfahren implementiert, die multiple, unveränderliche und offline gespeicherte Sicherungen anlegen und im Notfall so das Tagesgeschäft aufrechterhalten.

In zehn Schritten zur NIS-2-Konformität, Teil 1

NIS 2 – Anschnallpflicht für Unternehmen

Skepsis gegenüber NIS2

Gegenüber NIS2 sind viele skeptisch: Nur 51 Prozent der deutschen Befragten glauben, dass die Richtlinie Unternehmen in ihrer Widerstandsfähigkeit gegen Ransomware stärken wird – der niedrigste Wert im internationalen Vergleich. 14 Prozent befürchten sogar eine Verschlechter­ung ihrer Cybersicherheit. „Die Tatsache, dass 88 Prozent der IT-Verantwortlichen bereits externe Hilfe in Form von Audits, Beratern oder IT-Dienstleistern in Anspruch genommen haben, unterstreicht die enorme Komplexität der Anforderungen“, so Frühauf.

Multiple Herausforderungen und Druckfaktoren

Unternehmen stehen vor multiplen Herausforderungen, wie die Umfrage nahelegt: Neben NIS2 nennen die Firmen Profitabilität (29 Prozent), Fachkräftemangel (22 Prozent) und weitere Com­pliance-Anforderungen wie DSGVO, den Cyber Resilience Act (CRA) oder DORA (22 Prozent) als wesentliche Druckfaktoren. Dies verdeutlicht die zwingende Notwendigkeit eines umfassenden Ansatzes für Datenresilienz, der sowohl technische als auch organisatorische und regulato­rische Anforderungen vereint.

Resümee

„Die verbleibende Zeit bis zur NIS2-Deadline muss zwingend für eine grundlegende Über­prüfung und Neuausrichtung der Datenresilienz-Strategie genutzt werden“, findet der Veeam-Manager. Die Implementierung moderner Backup- und Recovery-Lösungen, die Schulung von Mitarbeitern, die Auflösung organisatorischer Silos und eine Infrastruktur, die flexible Datenportabilität ermöglicht, seien dabei nicht verhandelbar.

(ID:50304481)