Cyber-Sicherheit: Führungskräfte noch nicht auf Regularien vorbereitet

Kaspersky erinnert an aktuelle Cyber-Herausforderungen für Entscheider

[datensicherheit.de, 18.07.2024] Kaspersky erinnert in einer aktuellen Stellungnahme an die Cyber-Herausforderungen für Führungskräfte: „WP.29, NIS-2, ,EU Cyber Resilience Act’ und die ,EU Supply Chain Directive’ – in diesem Jahr tritt eine Reihe neuer Regularien in Kraft, die unter anderem die digitale Sicherheit und Integrität von Produkten, Services und Unternehmen gewährleisten sollen. Allerdings ist die Führungsriege in vielen Unternehmen nur unzureichend oder gar nicht darauf vorbereitet.“ Dies geht demnach aus der Kaspersky-Studie „Enterprise cybersecurity and increasing threats in the era of AI: Do business leaders know what they are doing?“ hervor.

Abbildung: kaspersky

Der Kaspersky-Report 2024 – „Enterprise cybersecurity and increasing threats in the era of AI: Do business leaders know what they are doing?“ – ist online verfügbar (s.u.)

EU und globale Organisationen bemühten sich um Stärkung der Cyber-Sicherheit

Die EU und auch weltweite Organisationen bemühten sich, die Cyber-Sicherheit zu erhöhen. So regele WP.29 eine Reihe gemeinsamer Cyber-Sicherheitsstandards für neue Fahrzeuge. Die Richtlinie NIS-2 setze dagegen den Rechtsrahmen für Kritische EU-Infrastruktursektoren wie Energie, Wasser, Telekommunikation, Transport, Finanzdienstleistungen, Gesundheitswesen und digitale Dienste.

Der „EU Cyber Resilience Act“ wiederum solle die IT- und digitale Sicherheit von Banken, Versicherungsunternehmen und Investmentfirmen in der EU stärken, „indem er sie widerstandsfähiger gegenüber schweren Betriebsstörungen macht“. Weiterhin solle die „EU Supply Chain Directive“ die Sorgfaltspflicht aller großen Unternehmen in Bezug auf Menschenrechte und Umwelt in der EU und in ihren globalen Wertschöpfungsketten sicherstellen.

Cyber- und insbesondere KI-Sicherheit bisher kaum in der Führungsriege thematisiert

„Allerdings scheint die Führungsriege mit der Umsetzung neuer Regularien überfordert – und zwar sowohl mit bereits aktiven Regularien als auch jenen, die in absehbarer Zeit eingeführt werden. So zeigt die Kaspersky-Studie beispielsweise, dass generative KI (GenAI) zwar am Arbeitsplatz zum Mainstream wird, Unternehmensleiter jedoch noch über die Cyber-Risiken aufgeklärt werden müssen, die mit der Implementierung der neuen Technologie verbunden sind.“

Zwar wisse der Großteil (95%) der Führungsriege um deren Nutzung im Unternehmen und mehr als die Hälfte (53%) gebe an, dass sie nahtlos zu entscheidenden Optimierungsabläufen beitrage. Allerdings sorgten sich nicht ein mal zwei Drittel (59%) der C-Level-Führungskräfte um KI-bezogene Datenlecks. Zudem hätten weniger als ein Viertel (22%) KI-Vorschriften auf Vorstands- oder Führungsebene diskutiert.

Auch im Automobilsektor in Cyber-Sicherheitsfragen noch Handlungsbedarf

„Diese Unvorbereitetheit betrifft aber nicht nur KI, sondern scheint eine allgemeine Herausforderung zu sein – unabhängig von Thema, Land oder Branche.“ Im Falle des Automobilsektors zeige eine weitere Kaspersky-Studie, „dass ein großer Teil der Branche möglicherweise noch nicht auf die neue WP.29-Verordnung vorbereitet ist“ – und das, obwohl diese seit Juli 2024 verpflichtend sei.

Stand Januar hätten zwar 23 Prozent der Befragten in Deutschland bereits Pläne entwickelt, aber noch nicht mit deren Umsetzung begonnen oder diese realisiert. „Lediglich 37 Prozent befanden sich im Umsetzungsprozess.“

Führungskräfte offenbar auch nicht für kommende Regularien zur Cyber-Sicherheit vorbereitet

Angesichts dieser Ergebnisse sei davon auszugehen, „dass die Führungsriege vermutlich auch nicht genügend auf NIS-2, den ,EU Resilience Act’ und die ,EU Supply Chain Directive’ vorbereitet ist“. Dies müsse sich schnellstmöglich ändern, betont Waldemar Bergstreiser, „General Manager Central Europe“ bei Kaspersky:

„Cyber-Sicherheit ist ein wesentlicher Bestandteil unseres alltäglichen Lebens – sowohl privat als auch beruflich; das reicht von privaten Computern über Fahrzeuge bis hin zu kritischen Geschäftsfunktionen. Dennoch hapert es noch oft an der Umsetzung der Schutzmaßnahmen beziehungsweise ,Compliance’ mit Regularien, die die EU und andere Organisationen vorgeben.“ Unternehmen müssten dringend Ressourcen bereitstellen, um sich auf zukünftige Regularien vorbereiten, da sie sonst mit schwerwiegenden Konsequenzen rechnen müssten.

Kaspersky-Empfehlungen für mehr Cyber-Sicherheit in Unternehmen:

1. In Weiterbildung investieren!
Schulungen und Cyber-Sicherheitsinitiativen für alle Mitarbeiter-Ebenen anbieten, Security-Awareness-Trainings implementieren, um spezifische Sicherheitsanforderungen zu adressieren und das Risiko für interne Cyber-Sicherheitsvorfälle zu reduzieren.

2. Fortlaufend informieren!
In Vorbereitung auf neue Regelungen wie WP.29 und die NIS-2-, RCE-, Lieferketten- und KI-Regulierungen der EU alle Mitarbeiter, einschließlich der IT- und InfoSec-Experten, regelmäßig über neue Cyber-Bedrohungen und Maßnahmen zu ihrer Abwehr informieren.

3. Interaktive Simulatoren einsetzen!
„Diese helfen dabei, das Fachwissen und die Entscheidungsfähigkeit einzelner Personen in kritischen Situationen zu bewerten.“ Szenarien aus der IT-Abteilung und interaktive Lernspiele könnten simulieren, wie sie Angriffe überwachen und auf diese reagieren.

4. Threat-Intelligence-Dienste einsetzen!
Schulungen von Experten für Cyber-Sicherheit (beispielsweise die „Kaspersky Expert-Schulungen“) unterstützten Unternehmen dabei, die Fähigkeiten von Infosec-Mitarbeitern mithilfe modernster EDR-, MDR- und XDR-Lösungen – wie etwa „Kaspersky Next“ – zu verbessern.

5. Supply Chain Risk Assessment durchführen!
Unternehmen sollten eine vollständige Bestandsaufnahme der von ihnen genutzten Produkte und Services sowie der damit verbundenen Prozesse durchführen. Dazu gehöre auch eine sorgfältige Prüfung der Cyber-Sicherheitsaufzeichnungen und Risikomanagementpläne aller Lieferanten.

6. Prozesse, die einer strengen Einhaltung unterliegen, sollten vollständig nachvollziehbar sein!
Dies umfasse alle Strategien zum Umgang mit Cyber-Risiken und den gesamten Lebenszyklus des Produktes sowie der damit verbundenen Dienstleistungen. Jede Änderung im Entwicklungs- und Konstruktionsprozess der Lieferkette sollte mithilfe eines strukturierten und definierten Prozesses kontinuierlich überwacht werden.

7. Rechtzeitig mit der Vorbereitung auf Regularien beginnen!
„Im Falle der NIS-2 unterstützt Kaspersky Unternehmen mit einer dedizierten Webseite…“

Weitere Informationen zum Thema:

kaspersky
Report 2024 / Enterprise cybersecurity and increasing threats in the era of AI: Do business leaders know what they are doing?

kaspersky
What is the NIS 2 Directive about?