:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108bcbb5b54b2aea3729797f41c64b0/0115212126.jpeg "Nachhaltige Cyber-Resilienz steht und fällt mit einer unternehmensweiten Cybersicherheitskultur der gemeinsamen Verantwortung, die den Menschen ins Zentrum stellt. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Maßnahmen erforderlich NIS2-Richtlinie: Warum KMU dringend in IT-Security investieren sollten
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
KRITIS-Unternehmen müssen bis Ende 2024 die NIS2-Richtlinie umgesetzt haben. Wer nun hier aufhört zu lesen, weil er glaubt, nicht in die KRITIS-Klasssifikation zu fallen, könnte falsch liegen. Denn künftig wird das deutlich mehr Branchen betreffen als bislang.
253 IT-Störungen bei kritischer Infrastruktur wurden dem BSI seit dem Ausbruch des Ukraine-Krieges allein bis Ende Oktober 2022 gemeldet. Das passt ins Bild, wenn Security-Anbieter warnen, dass bei einer weiteren Eskalation des Konflikts andere Länder stärker als zuvor in den Fokus staatlich motivierter Cyberangriffe geraten könnten. Und manche sind es bereits ohne es zu wissen, wie Eset befürchtet. „Es ist nicht auszuschließen, dass Computersysteme kleinerer Versorgungsunternehmen, z.B. lokale Energieversorger bereits erfolgreich infiltriert wurdenׅ“, so Thorsten Urbanski, Director Marketing und PR bei Eset.
Darum geht es bei NIS2
Um Unternehmen, Menschen, Lieferketten und die Infrastruktur abzusichern und allgemeingültige Rahmenbedingungen zu schaffen, gibt es Regelwerke. Eines davon ist die DSGVO, ein anderes die NIS-Richtlinie. NIS steht dabei für Network and Information Security. Die aktuelle NIS2-Fassung ist Nachfolger von NIS1, einer Richtlinie, die es seit 2016 gibt und bereits damals Betreiber kritischer Infrastrukturen verpflichtete, Maßnahmen zur Sicherstellung von Cybersecurity umzusetzen.
:quality(80)/p7i.vogel.de/wcms/ed/27/ed2773a24450672b3fc0a0455c0f1a89/0110510278.jpeg "Die Lage der IT-Sicherheit in Deutschland in Zahlen.")
:quality(80)/p7i.vogel.de/wcms/95/52/9552ee5816816de56c3f5ad472983172/0110510280.jpeg "Welche Themen sorgen für eine Veränderung bei IT-Security in den nächsten 5 Jahren?")
:quality(80)/p7i.vogel.de/wcms/b1/d3/b1d34cea5a5d641096dcd763443cfaf5/0110510279.jpeg "Die Wahrnehmung der Bedrohungslage ist ein zweischneidiges Schwert, wie eine Befragung des Eco-Verbandes offenlegt.")
:quality(80)/p7i.vogel.de/wcms/43/17/431789ca1c8e0fc590d4bbee1fdedc18/0110510281.jpeg "Eine Professionalisierung der Cybercrime-Szene beobachtet der Bitkom.")
Das hat nicht so ganz funktioniert. Einerseits, weil das EU-Recht in den einzelnen Ländern nicht einheitlich umgesetzt wurde, andererseits weil die Überwachung der Umsetzung nicht geregelt war. Genau das soll mit NIS2 jetzt anders werden. Und es gibt noch einen weiteren gravierenden Unterschied: Von NIS2 sind weit mehr Unternehmen betroffen, als das mit NIS1 der Fall war. Und weit mehr als viele landläufig glauben. Zwar sind weiterhin kleine und Kleinstunternehmen von der NIS2-Direktive kaum betroffen. In der Richtlinie sind Schwellwerte von mindestens 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz festgelegt. Doch zur kritischen Infrastruktur zählen nun deutlich mehr Branchen als noch 2016. Und für manche Branchen fällt eben auch die Mitarbeitergrenze, wenn sie alleiniger Anbieter eines Dienstes in einem Land sind. Konkret bedeutet dies, dass künftig auch Branchen wie Abwasserbetriebe, Öffentliche Verwaltung, Abfallwirtschaft, Kurierdienste, Lebensmittel- Produktion, -Verarbeitung und -Handel unter die Regelung fallen.
Wahrnehmung und Wirklichkeit
Diese Richtlinie trifft auf eine Wirtschaft, die auf die wachsende Zahl der Cyberangriffe und die damit verbundenen, nötigen IT-Security-Maßnahmen noch nicht vorbereitet sind. „46,79 Prozent der Verantwortlichen kämpfen noch immer mit fehlenden Budgets und/oder Personal,“ zitiert Urbanski die Umfrage zum „Stand der IT-Sicherheit 2023“, die Eset durchgeführt hat. Erstaunlich ist auch die Wahrnehmung der Bedrohungslage. Während fast 80 Prozent der Befragten in einer Studie des Eco-Verbandes glauben, dass die deutsche Wirtschaft nur unzureichend gegen Cybercrime gewappnet ist, sind sich über 50 Prozent derselben Gruppe sicher, dass ihr eigenes Unternehmen sehr wohl gut bis sehr gut abgesichert ist.
Beruhigend ist allerdings, dass 57,75 Prozent der von Eset Befragten den finanziellen Aufwand für IT-Security in den nächsten 3 Jahren als Hoch oder sogar sehr Hoch einschätzen. Lediglich 3,74 Prozent rechnen mit geringen oder mäßigen Mehrkosten.
Weitere Erkenntnisse aus der Umfrage:
- Technologischer Nachholbedarf vor allem bei KMU
- Der Stellenwert von IT-Security wächst rapide
- Bewusstsein für die aktuelle Bedrohungslage
- Verantwortliche schätzen und suchen Orientierung
Im nächsten Schritt muss es dann darum gehen passende Lösungen zu finden und zu implementieren. Umso wichtiger wird das, wenn man parallel dazu den Mindestanforderungskatalog aus dem NIS2-Regelwerk liest, der nicht nur Mitarbeitertrainings, sondern auch die Lieferkette und Zutrittskontrollen umfasst.
- Policies: Richtlinien für Risiken und Informationssicherheit
- Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
- Business Continuity: BCM mit Backup Management, DR, Krisen Management Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
- Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
- Effektivität: Vorgaben zur Messung von Cyber- und Risiko Maßnahmen
- Training: und Cyber-Security-Hygiene
- Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung
- Personal: Human Resources Security
- Zugangskontrolle
- Asset Management (ISMS)
- Authentication: Einsatz von Multi Factor Authentisierung und SSO
- Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
- Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme
Angesichts überlasteter IT-Abteilungen, fehlender Fachkräfte und einer zunehmenden Digitalisierung ist deshalb für viele Unternehmen der Schritt hin zum Outsourcing der IT-Security-Aufgaben künftig wahrscheinlich. Denn laut der Eset-Befragung nutzen erst knapp 35 Prozent der Unternehmen einen Dienstleister.
(ID:49410599)
:quality(80)/p7i.vogel.de/wcms/61/9b/619bdf395f67b38d13392f7e32bb9b51/0110183645.jpeg "Die Cybersicherheit in Europa soll besser werden. Herzstück dieses Plans ist die NIS2-Richtlinie; aber für deutsche Unternehmen drängt die Zeit für die Umsetzung. (Bild: garrykillian - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/61/ea615fff956d73c3cfdc6f6fafc5f7c1/0112940061.jpeg "Die Uhr zur Umsetzung der NIS2-Richtlinie tickt... KRITIS-Betriebe sollten schon jetzt damit beginnen, die erforderlichen Maßnahmen zu implementieren. (Bild: sorapop - stock.adobe.com)")