:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108bcbb5b54b2aea3729797f41c64b0/0115212126.jpeg "Nachhaltige Cyber-Resilienz steht und fällt mit einer unternehmensweiten Cybersicherheitskultur der gemeinsamen Verantwortung, die den Menschen ins Zentrum stellt. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
EU-weite Gesetzgebung zur Cybersicherheit NIS2, was kommt jetzt auf Unternehmen zu?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die EU will mit ihrer überarbeiteten Richtlinie zur Sicherheit von Netz- und Informationssystemen, kurz NIS2, mehr Resilienz in die gesamte Infrastruktur bringen. Bisher wurden viele Branchen von entsprechenden Konzepten weitgehend verschont – nun wird es ernst. Mit NIS2 kommen auf Unternehmen dabei zahlreiche Herausforderungen zu. Umso wichtiger wird es, frühzeitig zu handeln.
Am 10. Oktober 2022 hat das Europäische Parlament in Brüssel ein Abkommen mit den EU-Staaten gebilligt, das Netz- und Informationssysteme besser vor Hackerangriffen schützen soll. Mit den neuen Anforderungen sollen vor allem die Regeln in den 27 EU-Ländern vereinheitlicht werden. Dazu werden Mindestanforderungen an das Schutzniveau und Mechanismen zur Zusammenarbeit zwischen den Ländern geschaffen. Nun haben die Mitgliedsstaaten 21 Monate Zeit, um NIS2 in nationales Recht umzusetzen. Das heißt, spätestens im Herbst 2024 werden sich deutsche Unternehmen mit neuen Regularien konfrontiert sehen.
Weil der eigenverantwortliche Selbstschutz unter dem wirtschaftlichen Handlungsdruck vieler Akteure oftmals zu kurz kommt, greift die Politik immer häufiger ein. Denn viele Unternehmen, allen voran Betreiber kritischer Infrastrukturen, nehmen den Schutz ihrer IT-Infrastruktur trotz zunehmender Gefahren aus dem Cyberraum und anhaltender Krisen mit Auswirkungen auf die Lieferketten nicht ernst. Dabei entsteht laut einer Studie des Branchenverbands Bitkom der deutschen Wirtschaft durch Datendiebstahl, Spionage und Sabotage ein jährlicher Schaden von rund 203 Milliarden Euro. Die Wirtschaft fürchtet laut Analysen vor allem Ransomware-Angriffe. Gleichzeitig wünschen sich 98 Prozent der Befragten mehr Einsatz für eine verstärkte EU-weite Zusammenarbeit bei der Cybersicherheit. 77 Prozent meinen, die Politik solle die Ermittlungsbefugnisse erweitern.
:quality(80)/p7i.vogel.de/wcms/13/58/13584331347a9b82a7d6bea82c2fb44c/0110183150.jpeg "Übersicht Änderungen NIS2.")
:quality(80)/p7i.vogel.de/wcms/95/75/957566e19b9f7f9ddc4d0ea591241fa0/0110183146.jpeg "Übersicht Important- und Essential-Sektoren.")
:quality(80)/p7i.vogel.de/wcms/b0/c9/b0c996c43866118ea4544acd18b098b1/0110183147.jpeg "Übersicht der geforderten Cybersecurity-Maßnahmen.")
Mehr Sektoren, strengere Vorgabe, schärfere Strafen
Diesem Wunsch nach stärkerer Regulierung muss der Gesetzgeber nun spätestens 2024 nachkommen. Künftig werden Unternehmen nicht mehr vor die Wahl gestellt, ob sie sich ausreichend gegen Hacker schützen wollen – vielmehr müssen sie einen Mindeststandard an Sicherheit erfüllen. Angesichts der Tatsache, dass sich aufgrund der rasanten Entwicklungen im Bereich der Cyberrisiken Schwächen von NIS1 und damit die Notwendigkeit zur Anpassung der Vorgaben gezeigt haben, hat die EU nun die Vorschriften in drei Kernbereichen verschärft: Aufsichtsmaßnahmen und Geldbußen, Zusammenarbeit und Kooperation sowie Anforderungen an das Risikomanagement. Gleichzeitig haben die Verantwortlichen den Adressatenkreis des bisherigen Gesetzes deutlich ausgeweitet – insgesamt kommen acht neue Sektoren hinzu. NIS2 unterscheidet dabei zwischen „Essential Services“ (wesentliche Dienste) und „Important Services“ (wichtige Dienste). Die wesentlichen Dienste werden durch die Sektoren Abwasser, Raumfahrt und die öffentliche Verwaltung ergänzt, die wichtigen Dienste wiederum durch die Sektoren Post und Kurier, Abfallwirtschaft, Chemikalien, Ernährung, Industrie sowie Bildung und Forschung. Vor allem der digitalen Infrastruktur widmet die Richtlinie ein großes Augenmerk. Darüber hinaus sollen künftig neben den KRITIS-Einrichtungen auch Unternehmen und Organisationen mit 50 oder mehr Mitarbeitenden sowie einem Jahresumsatz von mindestens zehn Millionen Euro erfasst werden. Schätzung zufolge wird sich damit die Zahl der betroffenen Unternehmen in Europa um 100.000 neue Betriebe und Organisationen erhöhen.
Gleichzeitig ist genau spezifiziert, was technisch notwendig ist. So müssen Unternehmen künftig mindestens die folgenden Cybersecurity-Maßnahmen umsetzen, um IT-Infrastruktur und Netzwerke ihrer kritischen Dienstleistungen zu schützen:
- Policies: Richtlinien für Risiken und Informationssicherheit
- Incident Management: Prävention, Detektion und Bewältigung von Sicherheitsvorfällen
- Business Continuity: Backup-Management, Desaster Recovery, Krisenmanagement
- Supply Chain: Sicherheit in der Lieferkette
- Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
- Effektivität: Vorgaben zur Messung von Cyber- und Risikomaßnahmen
- Kryptographie: Verschlüsselung wo immer möglich
- Zugangskontrolle: Einsatz von Multi-Faktor-Authentifizierung und Single Sign-on
- Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
In der technischen Umsetzung können die Verantwortlichen viele dieser Aspekte mit einer Zero-Trust-Strategie und einem SIEM (Security Information and Event Management)- oder SOC (Security Operations Center)-System abdecken.
Ein Papiertiger sieht anders aus
Aber auch ein anderer Punkt wird die Unternehmen vor ernste Herausforderungen stellen: Innerhalb von 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls muss eine erste Meldung als Frühwarnung bei den zuständigen Behörden eingehen. In dieser wird angegeben, ob der Sicherheitsvorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist. Innerhalb von 72 Stunden muss dann ein weiterer Bericht ausgehändigt werden, der die sogenannten Indicators of Compromise beschreibt und der ohne dediziertes Security-Know-how zu einer fast unlösbaren Aufgabe wird. Spätestens einen Monat nach dem Vorfall ist schließlich noch ein Abschlussbericht fällig, der mindestens eine ausführliche Beschreibung des Sicherheitsvorfalls, seines Schweregrads und seiner Auswirkungen sowie Angaben zur Art der Bedrohung und den getroffenen Abhilfemaßnahmen beinhalten muss.
Gleichzeitig wird eine Laissez-faire-Haltung in der Abwehr von Hackerangriffen künftig spürbar bestraft: Statt der 150.000 Euro, die die erste NIS-Fassung als Höchstbetrag für Sanktionen vorsah, drohen Betreibern essentieller Services künftig Geldbußen von bis zu 1,4 Prozent des Jahresumsatzes beziehungsweise 7 Millionen Euro. Betreiber entscheidender Dienste müssen sogar mit Geldbußen in Höhe von 2 Prozent des Jahresumsatzes oder 10 Millionen Euro rechnen. Hinzu kommt: Die Unternehmensführung wird für etwaige Verstöße in Verantwortung genommen und ist damit haftbar. Gleichzeitig werden die Befugnisse der Aufsichtsbehörden deutlich ausgebaut: Sie dürfen nun Inspektionen vor Ort, regelmäßige und gezielte Sicherheitsaudits, Ad-hoc-Überprüfungen im Ernstfall und Sicherheits-Scans durchführen. Jedes Land muss zudem eine Strategie für die aktive Cyberreaktion formulieren. Das heißt, es reicht künftig nicht mehr aus, nur reaktiv Vorfälle zu melden, vielmehr müssen Angriffe verhindert werden. Darüber hinaus müssen die jeweiligen CSIRTs (Computer Security Incident Response Teams) der einzelnen Mitgliedsstaaten zusammenarbeiten, um groß angelegte Cyberangriffe zu bewältigen.
Vorgaben kommen nicht aus heiterem Himmel
Fakt ist, viele Firmen setzen bislang nur symbolische Maßnahmen im Bereich der Cybersicherheit um und nur wenige überprüfen regelmäßig die Wirksamkeit dieser Lösungen. Selbst grundlegende Maßnahmen wie die Netzwerksegmentierung, um ein weiteres Vordringen der Hacker zu vermeiden, werden kaum genutzt. Dabei steht in Deutschland nicht erst mit NIS2 eine verschärfte Regulatorik vor der Tür: Bereits ab dem 1. Mai 2023 ist beispielsweise der Einsatz von Technologien wie SIEM und SOC mit dem IT-Sicherheitsgesetz 2.0 verpflichtend. Aber auch hier zeigt die Erfahrung, dass viele der betroffenen Unternehmen die notwendigen Maßnahmen dafür bislang noch nicht in Angriff genommen haben. Das könnte sogar zum Stolperstein einer fristgerechten Umsetzung von NIS2 werden. Denn die wenigsten Betriebe sind in der Lage, mit der eigenen IT-Mannschaft die geforderten Auflagen zu erfüllen. Einen dedizierten Chief Information Security Officer (CISO) haben die meisten nicht.
Die notwendigen Fachkräfte, um diese Lücken zu schließen, fehlen allerdings – entsprechend beunruhigt zeigen sich die Verantwortlichen: 72 Prozent der für die Bitkom-Studie befragten Unternehmen sehen den Mangel an IT-Sicherheitsexperten als Bedrohung für den eigenen Betrieb an. Denn selbst große Unternehmen in attraktiven Metropolregionen haben Schwierigkeiten, kompetente Kräfte für ihre Sicherheitsteams zu finden. Ob kleine Mittelständler in ländlichen Gegenden in Anbetracht dieses Wettbewerbs an das begehrte Personal kommen, bleibt mehr als fraglich. Wenn man zudem bedenkt, dass manche Hardwarekomponenten derzeit immer noch eine Lieferfrist von bis zu einem Jahr haben, ist der Zeitrahmen, um ein adäquates Sicherheitspaket zu schnüren, mehr als knapp bemessen.
Zwar mögen sich Unternehmen über die zahlreichen Regularien ärgern, ein standardisiertes Vorgehen gegen Risiken jeder Art ist heute aber dringend notwendig. Statt sich von der Gesetzgebung treiben zu lassen, sollten Unternehmen proaktiv vorangehen und Problemfelder frühzeitig adressieren. Denn der nächste Cyberangriff ist in der Regel nur eine Frage der Zeit.
Über den Autor: Bernhard Kretschmer ist Vice President Services und Cybersecurity bei NTT.
(ID:49233867)
:quality(80)/p7i.vogel.de/wcms/ea/61/ea615fff956d73c3cfdc6f6fafc5f7c1/0112940061.jpeg "Die Uhr zur Umsetzung der NIS2-Richtlinie tickt... KRITIS-Betriebe sollten schon jetzt damit beginnen, die erforderlichen Maßnahmen zu implementieren. (Bild: sorapop - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/ac/9faca201431447da5e7b91ef47fc677b/0110984493.jpeg "Welche harten finanziellen und strafrechtlichen Folgen die Missachtung der DSGVO, der NIS2-Richtlinie oder des Cyber Resilience Act haben kann, ist vor allem KMU oft nicht bewusst. (Bild: DOC RABE Media - stock.adobe.com)")