:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/74/8d744322f5404e58e35ede9a656bd8f6/0111572445.jpeg "Der API Protection Report befasst sich mit den größten Bedrohungen für Programmierschnittstellen. (Bild: Cequence Security)")
:quality(80)/p7i.vogel.de/wcms/16/70/1670e0b2f524899b0af813ce4105f882/0111866524.jpeg "Die Forscher des 32Guards-Research-Teams registrierten besonders im Juli 2022 und Ende Oktober 2022 ein erhöhtes Spam-Aufkommen. Besonders ruhig war es dagegen – wie auch in den Vorjahren – in den ersten beiden Januarwochen. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/c1/87/c187643f818e4cb0ac1204bd3695e8c0/0111925819.jpeg "Die praktische Umsetzung der Orientierungshilfe für die Implementierung von Systemen zu Angriffserkennung des BSI offenbart an vielen Stellen schnell große Herausforderungen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/b7/ebb733db7b47d492e23de27663d5d722/0111892587.jpeg "Wie gehen Angreifer vor, um Unternehmen in Microsoft 365 zu attackieren und was sollten Unternehmen als Schutz dagegen tun? (Bild: Amgun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/cd/23cd04136e527ec8ac226206f27f54f1/0112178275.jpeg "Der 365 Permission Manager ermöglicht Unternehmen die einfache Überwachung interner und externer Richtlinien für die Freigabe von Sites, Dateien und Ordnern. (Bild: Terablete - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/4a/a94a6bb011745090ce53140a6ed498eb/0111343516.jpeg "Die EU will im Kampf gegen Kindesmissbrauch digitale Datenaustauschdienste lückenlos überwachen – und verstößt damit nach Expertenmeinung gegen das deutsche Recht auf informationelle Selbstbestimmung. (Bild: rolffimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/d0/e8d089e2fef18a46c1dba398f3895447/0111885922.jpeg "Warum die Kombination von Cyber-Sicherheit und Cyber-Versicherung unerlässlich ist, erklären Vincent Weafer, CTO und Oliver Delvos, Head of International, bei Corvus Insurance. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/3f/623fb0e26fafb675966311f8f170b3fd/0111189652.jpeg "Unter Security-as-a-Service (SECaaS) versteht man die Verlagerung von Sicherheitsprozessen in die Cloud mit Sicherheitslösungen als Service einer Cloud-Plattform. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die überarbeitete NIS-Richtlinie (NIS2) Wie die Cybersicherheit in der EU widerstandsfähiger werden soll
Die Widerstandsfähigkeit kritischer Einrichtungen muss gestärkt werden, daran lassen die zunehmenden Cyberattacken keinen Zweifel. In der EU gibt es mehrere Vorhaben, die die Cyber-Resilienz erhöhen sollen. Auch Unternehmen, die nicht als kritisch eingestuft werden, sollten die Anforderungen an Cyber-Resilienz zum Anlass nehmen, mehr für ihre digitale Widerstandskraft zu tun.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Wirtschaft und Gesellschaft sind nun schon lange im Krisenmodus, bedingt durch die Corona-Pandemie. Eine hohe Belastbarkeit und möglichst keine Ausfälle, das braucht man nicht nur im Bereich digitaler Dienste. Trotzdem spielt die Resilienz der digitalen Dienste eine besonders große Rolle in Krisenzeiten, das hat die Corona-Pandemie mehr als deutlich gemacht.
Auch bei Eintritt anderer Krisensituationen müssen IT-Infrastrukturen, IT-Systeme und Daten verfügbar bleiben. Das fordert bereits der Datenschutz nach Datenschutz-Grundverordnung (DSGVO), generell und explizit: Zum Datenschutz gehört auch die die Fähigkeit, die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen, ebenso die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
Neben die Datenschutzvorgaben treten die IT-Sicherheitsvorgaben. Wir erinnern uns: Zur Verbesserung der digitalen wie auch der physischen Widerstandsfähigkeit kritischer Einrichtungen und Netze hatte die EU-Kommission im Dezember 2020 Vorschläge unterbreitet für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (überarbeitete NIS-Richtlinie, kurz „NIS 2“) und für eine neue Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen. Diese decken eine Vielzahl von Bereichen ab und haben zum Ziel, aktuelle und künftige Risiken online und offline, von Cyberangriffen bis hin zu Kriminalität oder Naturkatastrophen, zu bewältigen.
Eine höhere Abwehrfähigkeit gegen Cyberbedrohungen
Europas kollektive Abwehrfähigkeit gegen Cyberbedrohungen soll gestärkt werden, so dass alle Bürgerinnen und Bürger und Unternehmen die Vorzüge vertrauenswürdiger und zuverlässiger Dienste und digitaler Instrumente uneingeschränkt nutzen können, so die EU-Kommission. Gleich ob die Menschen in Europa vernetzte Geräte, Stromnetze oder Banken, Flugzeuge, öffentliche Verwaltungen oder Krankenhäuser nutzen oder aufsuchen möchten, sie verdienen dabei die Gewissheit, vor Cyberbedrohungen geschützt zu sein, betont die EU-Kommission.
Bestehende Maßnahmen auf EU-Ebene zum Schutz wichtiger Dienste und Infrastrukturen vor physischen Risiken und Cybergefahren müssen aktualisiert werden. Der Grund: Mit zunehmender Digitalisierung und Vernetzung verändern sich die Cybersicherheitsrisiken ständig.
Um auf die wachsenden Bedrohungen durch Digitalisierung und Vernetzung zu reagieren, soll die vorgesehene Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (überarbeitete NIS-Richtlinie oder „NIS 2“) mittlere und große Einrichtungen aus einer größeren Anzahl von Sektoren erfassen, wobei deren strategische Bedeutung für Wirtschaft und Gesellschaft zum Maßstab genommen wird.
Wichtig ist dabei: Die NIS 2 stellt höhere Sicherheitsanforderungen an die Unternehmen, widmet sich der Sicherheit der Lieferketten und den Beziehungen zwischen den Anbietern, vereinfacht die Berichterstattungspflichten, sieht strengere Aufsichtsmaßnahmen durch die nationalen Behörden sowie strengere Durchsetzungsanforderungen vor und zielt auf einheitlichere Sanktionsregelungen in den Mitgliedstaaten ab.
Mit der vorgeschlagenen Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen wird die Richtlinie über europäische kritische Infrastrukturen von 2008 erweitert und vertieft. Erfasst werden nunmehr zehn Sektoren: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Der Richtlinienvorschlag sieht vor, dass die Mitgliedstaaten nationale Strategien zur Gewährleistung der Widerstandsfähigkeit kritischer Einrichtungen festlegen und regelmäßige Risikobewertungen durchführen.
Stärkung der EU-weiten Cybersicherheit und Resilienz
Im Dezember 2021 hat sich nun der Rat der Europäischen Union auf einen Standpunkt zu Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU geeinigt, um die Resilienz und die Kapazitäten zur Reaktion auf Sicherheitsvorfälle sowohl des öffentlichen als auch des privaten Sektors und der EU als Ganzes weiter zu verbessern. Nach ihrer Annahme wird die neue Richtlinie mit der Bezeichnung NIS 2 die derzeit geltende Richtlinie zur Netz- und Informationssicherheit (die NIS-Richtlinie) ersetzen.
Mit der überarbeiteten Richtlinie sollen Unterschiede bei den Anforderungen an die Cybersicherheit und bei der Umsetzung von Cybersicherheitsmaßnahmen zwischen verschiedenen Mitgliedstaaten beseitigt werden.
Während nach der alten NIS-Richtlinie die Mitgliedstaaten dafür zuständig waren, festzulegen, welche Einrichtungen die Kriterien für die Einstufung als Betreiber wesentlicher Dienste erfüllen, wird mit der neuen NIS 2-Richtlinie ein Schwellenwert für die Größe eingeführt. Das bedeutet, dass alle mittleren und großen Unternehmen, die in den von der Richtlinie erfassten Sektoren tätig sind oder die unter die Richtlinie fallende Art von Diensten erbringen, in den Anwendungsbereich der Richtlinie fallen.
Der Standpunkt des Rates hält zwar an dieser allgemeinen Regel fest, enthält aber auch zusätzliche Bestimmungen, um die Verhältnismäßigkeit, ein höheres Maß an Risikomanagement und eindeutige Kritikalitätskriterien zur Bestimmung der erfassten Einrichtungen zu gewährleisten. Außerdem wurden die Meldepflichten gestrafft, um übermäßige Meldungen und einen übermäßigen Aufwand für die betreffenden Einrichtungen zu vermeiden.
Sowohl der Rat als auch das Europäische Parlament müssen sich auf den endgültigen Text einigen. Die Mitgliedstaaten müssten die Vorschriften der Richtlinie innerhalb von zwei Jahren nach ihrem Inkrafttreten in nationales Recht umsetzen.
Das bleibt zwar noch abzuwarten, doch Unternehmen, ob als kritisch, als wesentliche oder wichtige Einrichtung eingestuft oder nicht, sollten sich stärker mit Cyber-Resilienz befassen. Dazu bietet NIS 2 mehr als nur Anregungen.
Was Unternehmen (freiwillig) tun sollten
Ein wesentlicher Gesichtspunkt von NIS 2 ist die kollektive Widerstandskraft, es geht darum, dass sich die Mitgliedsstaaten auf gemeinsame Maßnahmen verständigen. Nicht ohne Grund blickt NIS 2 auch speziell auf Lieferketten. Widerstandsfähigkeit ist ohne eine sichere Lieferkette nicht möglich.
Das gilt aber nicht nur für die EU als Ganzes, sondern für jedes Unternehmen. Wenn ein Unternehmen belastbar und ausfallsicher und damit widerstandsfähig auch in Krisenzeiten sein will, geht dies nicht ohne abgestimmte, kollektive Maßnahmen zusammen mit den Partnern in der Lieferkette.
Die Automobilbranche macht dies bereits sehr deutlich mit den Sicherheitsanforderungen an Lieferanten. Dies sollte aber in jeder Branche und bei jedem Unternehmen die Regel werden. Ohne Sicherheitsanforderungen an die Partner und Lieferanten kann kein Unternehmen gewiss sein, in Krisenzeiten zu bestehen. Zu hoch sind die Abhängigkeiten in der Wirtschaft, wie ebenfalls die Corona-Pandemie klarmacht.
Übergreifende IT-Sicherheitsanforderungen, die sich an gemeinsamen Regeln orientieren und die die Risiken in der ganzen Lieferkette berücksichtigen, werden zur Pflicht werden, nicht nur im Geltungsbereich von NIS 2, sondern generell, denn lückenhafte Schutzmaßnahmen, die unsichere Lieferbeziehungen zulassen, können keine Widerstandsfähigkeit sicherstellen. Ohne eine hohe digitale Widerstandsfähigkeit aber kann kein Unternehmen wirklich Bestand haben, zu hoch sind die Risiken und zu mannigfaltig die möglichen Krisensituationen.
(ID:47987032)
:quality(80)/images.vogel.de/vogelonline/bdb/1951800/1951897/original.jpg "Mit neuen und einheitlichen Vorschriften will die EU ihre Abwehrfähigkeit ausbauen und so eine resiliente Verwaltung sicherstellen (Milen Lesemann – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945800/1945875/original.jpg "Die EU-Kommission schlägt ein Chip-Gesetz vor, um die Halbleiterknappheit anzugehen und Europas technologische Führungsrolle zu stärken. (EU/Mauro Bottaro)")