:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/88/a4/88a4cea0faefd5e74cc9bd5a9fb4ca87/0114037795.jpeg "Wird künstliche Intelligenz zum treuen Partner bei der Verteidigung von Unternehmensnetzen und sensiblen Daten oder zum unbezwingbaren Feind, der alles überrollt? (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/6c/596c4be93de433a4c8df15a6e71a07e1/0113377765.jpeg "Der Lepide Active Directory Auditor hilft auch aktiv dabei, Ransomware-Angriffe schnell zu erkennen und damit schnell reagieren zu können. (Bild: Lepide)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/70/2b/702b40d609cda50da0f641861d9c416f/0113940625.jpeg "Im Security-Insider Deep Dive stellt Sicherheitsspezialist Trend Micro seine Lösung Cloud One Conformity bis ins Detail vor. (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/09/9d/099d49006288e13bbb864fed5bf6c5be/0113940732.jpeg "Maltego ist ein Data-Mining-Tool mit visueller Graphendarstellung. Das interaktive Werkzeug wird auch von Sicherheitsanalysten und Behörden zur Informationssuche und -darstellung eingesetzt. (Bild: Maltego Technologies)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cybersicherheit im KRITIS-Sektor Die Uhr tickt zur Umsetzung von NIS2
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Systemrelevante Bereiche des öffentlichen Lebens wie Gesundheit, Bildung und Behörden geraten immer mehr ins Visier von kriminellen Akteuren. Um kritische Infrastrukturen besser zu schützen und für mehr Cybersicherheit zu sorgen, hat die Europäische Union nun zum Ende des vergangenen Jahres die neue EU-Richtlinie „Netzwerk- und Informationssysteme 2“ (NIS2) verabschiedet und die Uhr zu deren Umsetzung tickt.
Seit Verabschiedung der NIS2-Richtlinie haben Unternehmen 21 Monate Zeit die Vorgaben von NIS2 zu erfüllen, wenn sie Teil des KRITIS-Sektors sind. Viele Unternehmen gehören zu diesen kritischen Sektoren, sind sich dessen aber kaum bewusst. Kleine und mittlere Betriebe gehören genauso dazu wie Großkonzerne, denn Zulieferer müssen die Vorgaben ebenso erfüllen. Angesichts der realistischen Projektdauer von 24 Monaten bis zur endgültigen Etablierung aller Maßnahmen, sollten sich Verantwortliche jetzt schnellstmöglich mit dem Thema auseinanderzusetzen und überlegen, wie sie neue Sicherheitsstandards umsetzen.
Schutz der kritischen Infrastrukturen in der EU
Generell unterscheidet NIS2 zwischen „Sektoren mit hoher Kritikalität“ und „sonstige kritische Sektoren“. Erstere sind unter anderem Unternehmen aus der Energieversorgung, dem Gesundheitssystem, dem Transportwesen, Banken und Finanzmärkte sowie Unternehmen, die Internetknoten, DNS-Dienste und Cloud-Infrastrukturen anbieten. Diese Organisationen müssen besonders hohe Sicherheitsstandards erfüllen. Unternehmen wie Post- und Kurierdienste, die Abfallwirtschaft, die Chemie-Branche, Ernährung, Industrie, digitale Dienste und Forschung werden etwas weniger streng behandelt, müssen zukünftig aber auch die Einhaltung von NIS2 gewährleisten.
Dazu gehören auch Zulieferer dieser Sektoren. Zum Beispiel müssen auch Caterer, die ein Buffet für die Vorstellung eines Prototyps in der Industrie begleiten, NIS einhalten, wenn das entsprechende Unternehmen zu den kritischen Infrastrukturen zählt. Es ist zu erwarten, dass in Zukunft nahezu alle Unternehmen und Organisationen von den Anforderungen in NIS2 betroffen sind. Es ist bereits jetzt so, dass im Grunde genommen alle Unternehmen mit mehr als 50 Mitarbeitern und 10 Millionen Euro Umsatz in irgendeiner Art und Weise Teil einer Lieferkette sind, in der NIS2 relevant ist. Große Konzerne fordern in vielen Fälle ihre Lieferanten auf, nachzuweisen, wie die IT-Sicherheit umgesetzt wird und ob Richtlinien und Vorgaben aus NIS2 eingehalten werden. Ist das nicht der Fall, droht der Verlust von Kunden und Aufträgen. Kleinere und mittlere Zulieferer sollten daher keine Zeit verstreichen lassen und die Umsetzung vorantreiben.
Der Sinn hinter NIS2: Resilienz
Es zeigt sich schnell, dass NIS2 für sehr viele Unternehmen gilt und die verschiedenen Organisationen schnell handeln sollten, um alle gesetzlichen Richtlinien zu erfüllen. Angesichts der immer stärker steigenden Anzahl an Cyberattacken ist das auch mehr als sinnvoll. Vor allem KI-Technologien sorgen in diesem Umfeld für immer raffiniertere und damit effektivere Angriffe. Der BSI-Lagebericht 2022 legt dazu ganz deutlich dar: „Die Gefährdungslage im Cyber-Raum ist so hoch wie nie“.
Das zeigt: Abwarten ist längst keine Option mehr. Resilienz ist das Stichwort, das für alle Unternehmen und Organisationen immer wichtiger wird. In Zukunft wird die Anzahl an Angriffen weiter steigen und bei Cyberattacken auf ein Unternehmen stellt sich schon lange nicht mehr die Frage, ob eine stattfindet, sondern wann diese erfolgt und ob das Unternehmen gut genug auf einen Cyberangriff vorbereitet ist, um diesen abzuwehren und den Geschäftsbetrieb aufrecht zu erhalten.
Jede Organisation sollte deswegen jetzt ein Modell entwickeln, um die eigene Resilienz sicherzustellen. Im Angriffsfall müssen alle Stellen vorbereitet sein, richtig reagieren und dabei die Geschäftsabläufe möglichst optimal am Laufen halten. Genau dabei will NIS2 durch seine Richtlinien unterstützen.
Sind deutsche Unternehmen bereit?
Die NIS2-Direktive führt in den nächsten Monaten auch zu neuen Gesetzen in Deutschland, zum Beispiel dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) von manchen Experten auch „IT-Sicherheitsgesetz 3.0 “ genannt. Viele Experten erwarten, dass in diesem nationalen Gesetz weitere Konkretisierungen und unter Umständen sogar Verschärfungen erfolgen. Das Umsetzen der Richtlinien erfordert für Unternehmen aber natürlich etwas Vorlauf.
Leider sind sich noch immer nicht alle Unternehmen ihrer Bedeutung bewusst und verfügen über zu wenig Metriken, Audits und oft auch über kein Information Security Management System (ISMS). Diese Bereiche sind in Zukunft bei Einhaltung von NIS2 allerdings unerlässlich. Das kann viel Arbeit und Planung für Unternehmen bedeuten, die bisher noch keinen Schwerpunkt auf diese wichtigen Bereiche gelegt haben. Generell können sich Organisationen bereits jetzt an vorhandenen Standards orientieren. Beispiele dafür sind der IT-Grundschutz des BSI, ISO 27002:2022 mit Maßnahmen und Controls, sektorbasierte ISO270X (Telekommunikation, Health Care, Energie), technologiebasierte ISO270X (Cloud, Netzwerk, Storage, IoT) und ISO/IEC 27035 (Incident Management).
Wie können sich Unternehmen vorbereiten? Pläne sind wichtig!
Um sich auf die Herausforderungen von NIS2 und weiteren Cybersicherheitsgesetzen optimal vorzubereiten, sollten einige Punkte geklärt sein, um Sicherheit in der Infrastruktur zu erreichen. Leitplanken für den Schutz der Geschäftsmodelle des eigenen Unternehmens benötigen Fakten, die im Vorfeld klar sein müssen:
- Assetmanagement: Welche Assets gibt es im Unternehmen? Wer sind die Besitzer? Wo sind die Schwachstellen und Risiken dafür? Nur durch dieses Wissen lassen sich die entsprechenden Systeme auch optimal schützen.
- Daten- und Zugangsmanagement: Wie sind die Daten gespeichert und wer arbeitet damit? Gibt es Konzepte für neue und ausscheidende Mitarbeiter, um deren Zugriffe zu steuern? Sind Administrator-Rechte reguliert und eingeschränkt? Grundsätzlich gilt: Mitarbeiter sollen nur auf notwendige Daten Zugriff haben, der Rest gehört ins Archiv. Auch sollten Unternehmen sich bewusst sein, dass der komplette Wechsel in die Cloud nicht immer sinnvoll ist.
- Reaktion und Zusammenarbeit mit Partnern im Ernstfall: Sind Arbeitsabläufe dokumentiert, erstellt und getestet, die bei Cyberattacken ablaufen sollen? Werden Sicherheitsvorfälle sorgfältig analysiert und bestehen Konzepte für Angriffe? Unternehmen sollten sich auch damit beschäftigen, wie gut sie in Sachen Sicherheitspartnerschaften aufgestellt sind. Professionelle Hilfe kann im Notfall entscheidend sein. Vielleicht besteht auch die Möglichkeit mit anderen Unternehmen zusammenzuarbeiten, um Anforderungen gemeinsam zu erfüllen?
Empfehlungen für strategisches Vorgehen
Der Reifegrad der Security im Unternehmen sollte in der aktuellen Situation schnellstmöglich erfasst werden. Sicherheitsvorkehrungen und Reaktionsfähigkeiten müssen planbar sein. Das Ziel ist, dass die eigene Organisation nachweislich und wirksam gegen Angriffe geschützt ist und aus bereits erfolgten Angriffen lernt. Nur so kann der Geschäftsbetrieb geschützt und mögliche Schäden minimiert werden.
Im Rahmen einer Umsetzung sollten deswegen zunächst die organisatorischen Strukturen etabliert werden, die eine Zusammenarbeit mit allen Geschäftsbereichen ermöglicht. Wichtig sind in diesem Zusammenhang Besetzungen von relevanten Positionen wie den Chief Information Security Officer (CISO) oder einen IT-Sicherheitsbeauftragten (ITSIBE). Dadurch erreichen Unternehmen eine fortlaufende Optimierung der Cyber-Resilienz, die Schwerpunkt von NIS2 ist. Verantwortliche im Unternehmen müssen regelmäßig Berichte und Entscheidungsgrundlagen erhalten, um die richtigen strategischen Entscheidungen treffen zu können.
Aber Achtung! Ein großer Teil von Projekten wird nicht im Rahmen der zu Beginn festgelegten Zeitvorgaben und Budgets abgeschlossen. Das gilt es im Bereich der IT-Sicherheit durch NIS2 zu verhindern. Im Rahmen der Vorgehensweisen spielen dabei vor allem drei Fragen eine wesentliche Rolle:
- Wie ist die Verbindung zwischen operativen und der strategischen Ebene sichergestellt?
- Wie sind die Ziele genau definiert?
- Welche Ergebnisse sollen geliefert werden?
- Wie wird der Erfolg gemessen?
Können diese Fragen beantwortet werden, ist die Wahrscheinlichkeit die Umsetzung von NIS2 im Unternehmen zu erreichen sehr hoch. Vorbereitung und gute Pläne sind auch in diesem Fall eine wichtige Grundlage für ein erfolgreiches Projekt.
Über den Autor: Lars Linden ist Director Sales Large Enterprise bei Serviceware SE.
(ID:49617637)
:quality(80)/images.vogel.de/vogelonline/bdb/1946000/1946093/original.jpg "Ein anspruchsvoller Rechtsrahmen soll in Europa den Schutz des Cyberspace steigern. Die großflächige Abhängigkeit europäischer Firmen von der Versorgung mit kritischen Komponenten aus Drittstaaten erschwert den Erhalt der Konformität. Abhilfe sollen neue legislative Initiativen schaffen. (viperagp - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945800/1945875/original.jpg "Die EU-Kommission schlägt ein Chip-Gesetz vor, um die Halbleiterknappheit anzugehen und Europas technologische Führungsrolle zu stärken. (EU/Mauro Bottaro)")