Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

[datensicherheit.de, 20.01.2025] Laut einer aktuellen Veeam-Studie zur NIS-2-Richtlinie zeichnet sich „ein ernüchterndes Bild der IT-Sicherheitslage in deutschen Unternehmen“ ab: Während sich 70 Prozent der befragten Firmen gut auf die neue EU-Richtlinie vorbereitet fühlten, seien nur 37 Prozent von ihnen nach eigener Angabe tatsächlich konform zur NIS-2. Diese eklatante Diskrepanz zwischen Selbstwahrnehmung und Realität sei bezeichnend für den oftmals leider noch zu laxen Umgang vieler Organisationen mit Cyber-Sicherheit und vor allem im KRITIS-Bereich bedenklich.

Foto: Veeam

Matthias Frühauf adressiert angesichts NIS-2 die zwingende Notwendigkeit eines umfassenden Ansatzes für Datenresilienz

87 Prozent hatten in den vergangenen zwölf Monaten mindestens einen durch NIS-2-Maßnahmen vermeidbaren Vorfall

Matthias Frühauf, „Regional Vice President EMEA Central“ bei Veeam, kommentiert: „Auch die Zahlen zu Sicherheitsvorfällen sind alarmierend: 87 Prozent der Teilnehmer räumen ein, dass sie in den vergangenen zwölf Monaten mindestens einen Vorfall erlebt haben, der durch NIS-2-Maßnahmen vermeidbar gewesen wäre.“ Mehr als ein Drittel – konkret 38 Prozent – berichte sogar von drei bis vier solcher Vorfälle. Wenn zudem 57 Prozent dieser Vorfälle als „hochgradig kritisch“ eingestuft würden, verdeutliche dies die dramatische Bedrohungslage für deutsche Unternehmen.

Geradezu fahrlässig erscheine vor diesem Hintergrund die aktuelle Budget-Entwicklung: „44 Prozent der IT-Sicherheitsverantwortlichen berichten von Kürzungen, weitere 22 Prozent von stagnierenden Budgets seit der NIS2-Ankündigung im Januar 2023.“ Diese Zahlen offenbarten ein gefährliches Missverständnis auf Führungsebene: „Datenresilienz und damit Cyber-Sicherheit werden noch immer als optionaler Kostenfaktor statt als geschäftskritische Investition in die Wettbewerbsfähigkeit des Unternehmens gewertet.“

Veraltete Technologien als Haupthindernis auf dem Weg zur NIS-2-Compliance

Die technischen Herausforderungen seien dabei zahlreich: „26 Prozent der Befragten nennen veraltete Technologien als Haupthindernis auf dem Weg zur NIS-2-Compliance, gefolgt von fehlendem Budget (24%) und organisatorischen Silos (23%).“

Am meisten beunruhigen sollte es Führungskräfte jedoch, wenn das eigene Unternehmen nicht über die sogenannte „letzte Verteidigungslinie“ verfüge: Nur 23 Prozent der befragten Sicherheitsexperten hätten fortgeschrittene Backup-Verfahren implementiert, die multiple, unveränderliche und offline gespeicherte Sicherungen anlegten und im Notfall so das Tagesgeschäft aufrechterhielten. In Zeiten zunehmender Ransomware-Attacken und Betriebsausfälle durch Malware-Infektionen sei es schlicht existenzgefährdend, „wenn Backup- und Recovery-Maßnahmen fehlen“.

Mit der NIS-2-Richtlinie wird Cyber-Sicherheit zwangsläufig zum heißen Thema auf C-Level

Die verhaltenen Erwartungen an NIS-2 spiegelten außerdem eine besorgniserregende Grundhaltung wider: Nur 51 Prozent der deutschen Befragten glaubten, dass die Richtlinie Unternehmen in ihrer Widerstandsfähigkeit gegen Ransomware stärken werde – der niedrigste Wert im internationalen Vergleich. 14 Prozent befürchteten sogar eine Verschlechterung ihrer Cyber-Sicherheit. Diese Skepsis sei jedoch keine Legitimation, notwendige Investitionen aufzuschieben. Mit der NIS-2-Richtlinie werde Cyber-Sicherheit zwangsläufig zum heißen Thema auf C-Level, denn sie mache Geschäftsführer und Vorstände bei Datenschutzverletzungen persönlich haftbar.

Die Konsequenzen mangelnder Sicherheit seien weitreichend: Neben empfindlichen Geldbußen drohten massive Reputationsschäden, Vertrauensverlust bei Kunden und verheerende Geschäftsausfälle. „Die Tatsache, dass 88 Prozent der IT-Verantwortlichen bereits externe Hilfe in Form von Audits, Beratern oder IT-Dienstleistern in Anspruch genommen haben, unterstreicht die enorme Komplexität der Anforderungen.“

Verbleibende Zeit bis zur NIS-2-Deadline zwingend für grundlegende Überprüfung und Neuausrichtung der Datenresilienz-Strategie nutzen!

„Unternehmen stehen dabei vor multiplen Herausforderungen: Neben NIS-2 nennen sie Profitabilität (29%), Fachkräftemangel (22%) und weitere Compliance-Anforderungen wie DSGVO, den ,Cyber Resilience Act’ (CRA) oder DORA (22%) als wesentliche Druckfaktoren.“ Dies verdeutliche die zwingende Notwendigkeit eines umfassenden Ansatzes für Datenresilienz, der sowohl technische als auch organisatorische und regulatorische Anforderungen vereine.

„Die verbleibende Zeit bis zur NIS-2-Deadline muss zwingend für eine grundlegende Überprüfung und Neuausrichtung der Datenresilienz-Strategie genutzt werden!“, betont Frühauf. Er führt hierzu weiter aus: „Die Implementierung moderner Backup- und Recovery-Lösungen, die Schulung von Mitarbeitern, die Auflösung organisatorischer Silos und eine Infrastruktur, die flexible Datenportabilität ermöglicht, sind dabei nicht verhandelbar!“ Die Investitionen in präventive Maßnahmen verblassten gegenüber den potenziellen Schäden eines erfolgreichen Cyber-Angriffs. Datenresilienz sei nun ein Grundpfeiler unternehmerischer Existenzsicherung im Digitalen Zeitalter. Abschließend gibt Frühauf zu bedenken: „Der Handlungsbedarf ist dringend, die Risiken sind real, doch robuste Lösungen sind verfügbar. Jetzt sind mutige Entscheidungen und konsequentes Handeln auf Führungsebene gefragt. ,Data Intelligence’ sollte das Leitmotiv sein, die eigene Ausfallsicherheit deutlich zu verbessern.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2024
Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an / Ende der „Ampel“-Koalition darf nicht zur weiteren Verzögerung führen

datensicherheit.de, 19.11.2024
Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren / Bisher offenbar nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf NIS-2-Richtlinie vorbereitet

datensicherheit.de, 14.11.2024
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland / Trotz unklarer Vorgaben erwarten 64 Prozent bis zum Jahresende 2024 NIS-2- Umsetzung ihres Unternehmens

Daniel Hanke kommentiert Umfrage anlässlich des „Tages für Computersicherheit am“ 30. November 2024

[datensicherheit.de, 29.11.2024] Die IT-Sicherheitslage in Deutschland verschärft sich offensichtlich weiter. Der TÜV Rheinland hatte laut einer eigenen Meldung eine Umfrage unter Fachleuten für Cybersecurity anlässlich des „Internationalen Tages für Computersicherheit“ am 30. November 2024 in Auftrag gegeben: In der von Civey im Oktober 2024 durchgeführten Online-Umfrage geben demnach neun von zehn Befragten (90,2%) an, dass die Gefahr von Cyber-Angriffen für Unternehmen und Institutionen in Deutschland in den vergangenen zwölf Monaten zugenommen hat. Befragt worden seien deutschlandweit rund 1.000 im Bereich Cyber-Sicherheit tätige Personen. „Unsere Befragung zeigt: Unternehmen sind mehr denn je mit Cyber-Angriffen konfrontiert – und müssen entsprechend in ihre Cybersecurity investieren“, berichtet Daniel Hanke, für Cybersecurity-Experte beim TÜV Rheinland.

Abbildung: TÜV Rheinland

Angespannte Lage für Cybersecurity in Deutschland: Gefahren von Angriffen im zurückliegenden Jahr haben weiter zugenommen

Aktueller BSI-Bericht zur Lage der IT-Sicherheit in Deutschland stützt Einschätzung

Die angespannte Lage in Deutschland bestätige auch der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland – vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Mitte November 2024 veröffentlicht: Das BSI schätze die Situation als „angespannt“ ein, auch wenn es eine Verbesserung in der Resilienz gegenüber Cyber-Angriffen sehe.

„Anders gesagt: Es stellt sich längst nicht mehr die Frage, ob ein Unternehmen Opfer eines Cyber-Angriffs wird, sondern wann und wie sich mögliche Schäden durch Cyber-Angriffe durch vorbeugende Maßnahmen verringern lassen“, erläutert Hanke.

Herausforderungen an die IT-Sicherheit: Veraltete Infrastruktur und mangelnde Vorbereitung

Der TÜV Rheinland habe ebenfalls danach fragen lassen, welches die größten Herausforderungen für die Gewährleistung von Cyber-Sicherheit in Unternehmen und Institutionen sind. Dabei steche ein Aspekt hervor: Die ausgemachten Herausforderungen ließen sich nicht auf wenige, einzelne reduzieren. Die „Steigende Zahl von Angriffen“ (39,2%), „Veraltete IT-Infrastruktur“ (38,9%) und „Mangelnde Vorbereitung gegen Cyberangriffe“ (36,3%) würden von den Befragten am häufigsten genannt. Ähnlich herausfordernd würden die „Wachsende Komplexität von IT-Systemen“ (35,3%), der „Fachkräftemangel im IT-Bereich“ (34,7%) und „KI-unterstützte Hackerangriffe“ (32,3%) wahrgenommen.

Mangelnde Budgets seien hingegen nur für jeden Fünften (21,9%) eine Herausforderung. „Einerseits haben die meisten Verantwortlichen offenbar erkannt, dass man an Cybersecurity nicht sparen sollte – andererseits ist es besorgniserregend, dass jeder Dritte die Unternehmen schlecht vorbereitet auf Cyber-Angriffe sieht“, so Hanke.

Strengere Vorschriften zur Cyber-Sicherheit künftig für mehr Sektoren und Unternehmen

Zur Bedrohungslage kämen Veränderungen auf Ebene der Regulierung hinzu. So führe die „Network and Information Security Directive 2“ (NIS-2-Richtlinie) der Europäischen Union (EU) strengere Vorschriften zur Cyber-Sicherheit für mehr Sektoren und Unternehmen ein.

Eigentlich müssten ab März 2025 damit Unternehmen ab 50 Mitarbeitern und mit mehr als zehn Millionen Euro Umsatz in 18 Sektoren verstärkte Cybersecurity-Maßnahmen umsetzen. Das Ziel der Regelung sei der Schutz von essentiellen, wichtigen Sektoren und (Kritischen) Infrastrukturen sowie eine höhere Widerstandsfähigkeit gegenüber Cyber-Angriffen.

EU führt zudem verbindliche Cyber-Sicherheitsanforderungen für „Produkte mit digitalen Elementen“ ein

Ebenfalls auf der Regulierungsebene setze der „Cyber Resilience Act“ (CRA) an. Damit führe die EU verbindliche Cyber-Sicherheitsanforderungen für „Produkte mit digitalen Elementen“ ein. Das Ziel sei auch hiermit, die Widerstandsfähigkeit gegen Cyber-Angriffe zu erhöhen und verlässliche digitale Dienste zu gewährleisten.

„Insgesamt führen die steigenden Risiken durch Cyber-Angriffe verbunden mit den neuen regulatorischen Anforderungen dazu, dass der Handlungsdruck in den Unternehmen steigt“, betont Hanke und bemerkt abschließend: „Die weltweit mehr als 250 Cybersecurity-Fachleute von TÜV Rheinland unterstützen dabei umfassend sowohl mit klassischen Cybersecurity-Dienstleistungen wie dem Pentesting wie auch bei der regelkonformen Umsetzung der Regulierungen.“

Weitere Informationen zum Thema:

TÜVRheinland
Cybersecurity – Sicherheit neu überdenken, die Zukunft gestalten / Stellen Sie sich den digitalen Herausforderungen

datensicherheit.de, 29.11.2024
NIS-2: EU leitet Vertragsverletzungsverfahren gegen Deutschland ein / Inzwischen ist mit einer NIS-2-Umsetzung nicht vor Herbst 2025 zu rechnen

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

datensicherheit.de, 13.11.2024
Erkenntnis aus BSI-Bericht 2024: Zahl der Cyber-Vorfälle in Deutschland erneut zugenommen / Kleine und mittlere Unternehmen – mithin das Rückgrat der deutschen Wirtschaft – stehen besonders im Fokus der Cyber-Angreifer

[datensicherheit.de, 07.11.2024] Laut einer aktuellen Bitkom-Meldung hat das Bundeskabinett hat am 6. November 2024 das sogenannte KRITIS-Dachgesetz ( KRITIS-DachG) beschlossen. Mit diesem soll demnach der Schutz Kritischer Infrastrukturen etwa in den Bereichen Energie, Verkehr oder Gesundheitswesen verbessert und die bereits im Januar 2023 in Kraft getretene europäische „Critical Entities Resilience Directive“ umgesetzt werden. Das KRITIS-Dachgesetz definiere „Kritische Anlagen“ und lege Mindeststandards sowie Meldepflichten fest. Grundlage der in der Meldung gemachten Angaben ist laut Bitkom eine Umfrage, welche „Bitkom Research“ im Auftrag des Digitalverbands durchgeführt hat: Dabei seien 1.003 Unternehmen ab zehn Beschäftigten und einem Jahresumsatz von mindestens einer Million Euro in Deutschland, darunter 556 Unternehmen aus KRITIS-Sektoren, telefonisch befragt worden. Diese Befragung habe im Zeitraum von KW 16 bis KW 24 2024 stattgefunden und sei als Gesamtumfrage repräsentativ.

Bitkom-Präsident begrüßt, dass KRITIS-Dachgesetz nach Verzögerungen nun endlich kommt

Der Bitkom-Präsident, Dr. Ralf Wintergerst. kommentiert: „Bitkom begrüßt, dass das KRITIS-Dachgesetz nach monatelangen Verzögerungen nun endlich kommt. Deutschland muss seine Kritischen Infrastrukturen besser schützen, dafür stellt das KRITIS-Dachgesetz die Weichen.“

Die Zahl der Angriffe auf deutsche Unternehmen habe zuletzt erneut zugenommen – und nichts spreche für eine Trendwende: „86 Prozent der KRITIS-Unternehmen waren in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen wie Sabotage, Industriespionage oder Datendiebstahl betroffen.“

Laut Bitkom muss das KRITIS-Dachgesetz aber unbedingt nachgebessert werden

80 Prozent bezeichneten die Bedrohungslage für das eigene Unternehmen durch diese Attacken als „sehr groß“ oder „eher groß“. Neben den Unternehmen gerieten zunehmend aber auch Verwaltungen und öffentliche Einrichtungen in das Visier Cyber-Krimineller und hierzu müsse das KRITIS-Dachgesetz unbedingt nachgebessert werden:

„Wir dürfen nicht nur die Unternehmen in den Blick nehmen, auch alle Einrichtungen der Bundesverwaltung müssen als Kritische Infrastruktur gelten.“ Beim Schutzniveau dürften die Verwaltungen keine Kompromisse machen.

Bitkom betont Notwendigkeit einheitlicher, praxistauglich ausgestalteter Meldewege und -fristen

Wichtig sei jetzt, „dass das Gesetz zügig das parlamentarische Verfahren durchläuft und noch in dieser Legislatur in Kraft treten kann“. Die von der EU vorgegebene Umsetzungsfrist zum 17. Oktober 2024 sei bereits abgelaufen. Die Unternehmen brauchten und wollten Klarheit und Rechtssicherheit. „Dazu gehört auch, dass es zwischen KRITIS-Dachgesetz und dem NIS-2-Umsetzungsgesetz keine Widersprüche geben darf!“, fordert Dr. Wintergerst.

Abschließend betont der Bitkom-Präsident: „Wir brauchen einheitliche Meldewege und Meldefristen, die praxistauglich ausgestaltet sind!“ Bereits heute sagten drei Viertel der KRITIS-Unternehmen, dass der bürokratische Aufwand bei der Meldung von Cyber-Angriffen zu hoch sei.

Weitere Informationen zum Thema:

datensicherheit.de, 06.11.2024]
eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz / Unsicherheiten bei Unternehmen gilt es laut eco zu vermeiden, um den KRITIS-Schutz in Deutschland nachhaltig zu stärken

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

datensicherheit.de, 06.12.2022
KRITIS-Dachgesetz geplant: Sinnvolle Regulierung mit Augenmaß gefordert / Verabschiedung von Eckpunkten für einheitliche Schutzstandards in KRITIS-Unternehmen am 7. Dezember 2022 geplant

Der eco drängt auf zügige Verabschiedung des Gesetzes, um Rechtsklarheit für die rund 30.000 betroffenen Unternehmen zu schaffen

[datensicherheit.de, 04.11.2024] Laut einer Meldung vom eco – Verband der Internetwirtschaft e.V. vom 4. November 2024 hat sich an diesem Tag der „Ausschuss für Inneres und Heimat“ mit den noch offenen Fragen zur Umsetzung der NIS-2-Richtlinie, deren Frist zur nationalen Umsetzung bereits am 17. Oktober 2024 verstrichen ist, befasst. Der eco drängt auf „eine zügige Verabschiedung des Gesetzes, um Rechtsklarheit für die rund 30.000 betroffenen Unternehmen zu schaffen“.

Foto: eco e.V.

Klaus Landefeld: Die Bundesregierung muss jetzt zügig handeln und die NIS-2-Richtlinie in Deutschland umsetzen!

Bereits verstrichene Frist zur Umsetzung schafft laut eco Unsicherheit für international tätige Unternehmen

eco-Vorstand Klaus Landefeld kommentiert: „Die Bundesregierung muss jetzt zügig handeln und die NIS-2-Richtlinie in Deutschland umsetzen. Die bereits verstrichene Frist zur Umsetzung schafft Unsicherheit für international tätige Unternehmen!“ Ein zentraler Aspekt der NIS-2-Richtlinie sei die Übertragung von Verantwortlichkeiten für Cyber-Sicherheit auf die Führungsebene der Unternehmen.

eco betont: Cybersecurity nicht länger eine rein technische Aufgabe

Landefeld unterstreicht: „Dieser Schritt ist von großer Bedeutung, denn Cybersecurity wird nicht länger als rein technische Aufgabe betrachtet. Vielmehr ist sie zu einer strategischen Herausforderung geworden, die die gesamte Unternehmensführung betrifft.“ Die gesetzliche Regelung sollte von den Unternehmen als Chance genutzt werden, um ihre Sicherheitskultur nachhaltig zu stärken.

eco warnt vor Gefährdung der Sicherheit Kritischer Infrastrukturen

Ein weiterer kritischer Punkt, der demnach auch in der Anhörung behandelt werden sollte, ist das IT-Risikomanagement. „Die drängenden Fragen hierzu sind für die praktische Umsetzung entscheidend. Solange die NIS-2-Richtlinie nicht umgesetzt wird, bleibt die Sicherheit Kritischer Infrastrukturen gefährdet.“ Laut Landefeld ist es ist unerlässlich, dass Unternehmen sich jetzt vorbereiten, um den neuen Anforderungen gerecht zu werden.

Weitere Informationen zum Thema:

datensicherheit.de, 24.10.2024
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

datensicherheit.de, 16.10.2024
NIS-2 Richtlinie: Unternehmen müssen von der Reaktion zur Aktion gelangen / Technische Anforderungen der NIS-2-Richtlinie alles Andere als eine leichte Übung zum Abhaken

datensicherheit.de, 30.09.2024
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur / Anstatt zu der von NIS angestrebten Vereinheitlichung kam es in der Praxis zur Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes

[datensicherheit.de, 16.10.2024] Laut einer Meldung von NETSCOUT zeigt der aktuelle „NETSCOUT DDoS Threat Intelligence Report“, dass sogenannte hacktivistische Aktivitäten weltweit zunehmen und für Organisationen sowie Branchen eine zunehmende Bedrohung darstellen, indem sie ihre Netzwerke durch DDoS-Angriffe (Distributed Denial of Service) überfordern: „Netzwerke und Server werden hierbei gezielt mit einer überdurchschnittlich hohen Menge von Anfragen bombardiert, so dass Nutzer keinen Zugriff mehr erhalten und die Dienste ausfallen.“ Deutschland belegt demnach im weltweiten Vergleich in zwei Kategorien den ersten Platz. „Sowohl bei der Größe der Bandbreite als auch bei der Datenübertragungsgeschwindigkeit, während eines DDoS-Angriffs, wurden in Deutschland die höchsten Werte gemessen.“

DDoS-Attacken fokussieren insbesondere auf die DACH-Region

In der DACH-Region seien der Telekommunikations- und Hosting-Sektor das Hauptziel. Kritische Infrastrukturen (KRITIS) in Deutschland seien dem Bericht zufolge verglichen mit Österreich und der Schweiz am stärksten betroffen – sowohl im Bezug auf die Häufigkeit als auch auf die Komplexität der DDoS-Angriffe:

Während Österreich bis zu 12.918 und die Schweiz eine maximale Anzahl von 17.316 Angriffe erlitten habe, seien für Deutschland mit 119.330 fast das Siebenfache an Attacken im Vergleich zur Schweiz, bzw. Neunfache verglichen mit Österreich, zu verzeichnen.

Vermehrte Anzahl an DDoS-Attacken oft in Kombination mit politischen Ereignissen

Der Deutsche Spitzenwert sei auf Datenverarbeitungs- und Hosting-Dienste zurückführen, während sich der maximale Wert der Nachbarländer auf Festnetz-Telekommunikationsanbieter beziehe. DDoS-Attacken zeichneten sich in Deutschland durch Multivektoren aus, die ihr Ziel zeitgleich aus unterschiedlichen Richtungen attackierten und Schwachstellen auf der Netzwerk- und Anwendungseben ausnutzten. Ein weiteres kritisches Element sei die Dauer der DDoS-Angriffe. „Hierbei war die Höchstdauer von rund 65 Minuten in der Schweiz zu verzeichnen, gefolgt von Österreich mit fast 57 Minuten und Deutschland mit 54 Minuten.“

Die vermehrte Anzahl an DDoS-Attacken und „hacktivistischen“ Aktivitäten seien oft in Kombination mit politischen Ereignissen festzustellen. Ein Erklärungsansatz für den erheblichen Anstieg dieser Attacken in der sogenannten EMEA-Region und dem Nahe Osten könnten geopolitische Spannungen sein, doch auch internationale Großveranstaltungen wie die Fußball-Europameisterschaft und die 2024 in Europa stattgefundenen Olympischen Spiele könnten als Katalysator dienen.

Weitere Informationen zum Thema:

NETSCOUT
DDoS THREAT INTELLIGENCE REPORT

NETSCOUT
Germany

[datensicherheit.de, 19.09.2024] Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben nach eigenen Angaben 47 in Deutschland gehostete, für cyber-kriminelle Zwecke genutzte Exchange-Services abgeschaltet. Es handelte sich demnach um Plattformen, auf denen herkömmliche Währungen und Krypto-Währungen umgetauscht werden konnten. Den Betreibern werde vorgeworfen, bewusst durch mangelhafte Umsetzung von gesetzlichen Vorgaben zur Geldwäschebekämpfung (sog. Know-Your-Customer-Prinzip) in großem Stil die Herkunft kriminell erlangter Gelder verschleiert und sich somit der Geldwäsche und dem Betreiben krimineller Handelsplattformen im Internet gemäß §§ 127, 261 Abs. 1 Satz 1 Nr. 2 und Abs. 4 StGB strafbar gemacht zu haben.

Schlag gegen relevantesten Bausteine der cyber-kriminellen Wertschöpfungskette

Konkret hätten die Exchange-Services Tauschgeschäfte ohne Durchlaufen eines Registrierungsprozesses und ohne Prüfung von Identitätsnachweisen („Know-Your-Customer“-Prinzip) ermöglicht. Das Angebot sei darauf ausgerichtet gewesen, schnell, einfach und anonym sogenannte Krypto-Währungen untereinander oder in digitale Währungen zu tauschen, um so deren Herkunft zu verschleiern.

„Exchange-Services, die solche anonymen Finanztransaktionen und somit Geldwäsche ermöglichen, stellen einen der relevantesten Bausteine in der kriminellen Wertschöpfungskette des Phänomenbereichs Cybercrime dar.“ Unter den Nutzern befänden sich Ransomware-Gruppierungen, DarkNet-Händler und Botnetz-Betreiber, welche über solche Dienste erpresstes Lösegeld oder andere Taterträge in den regulären Währungskreislauf einbrächten, um dann das kriminell erlangte Geld verwerten zu können.

Cyber-Kriminelle im Ausland für deutsche Strafverfolgung oftmals unerreichbar

„Im Zuge der Maßnahmen konnten BKA und ZIT sowohl umfangreiche Nutzer- als auch Transaktionsdaten von den abgeschalteten Exchange-Services sicherstellen.“ Diese Daten stellten nun wertvolle Ermittlungsansätze bei der Bekämpfung von Cybercrime dar. Um der Cyber-Kriminalität nachhaltig zu begegnen, seien personelle Ermittlungen, also die Identifizierung und erfolgreiche Verfolgung von Straftätern, ein wichtiger und effektiver Ansatz. „Da sich Cyber-Kriminelle jedoch oftmals im Ausland aufhalten und von einigen Ländern geduldet oder sogar geschützt werden, bleiben sie für die deutschen Strafverfolgung oftmals unerreichbar.“

Daher seien die Maßnahmen der deutschen Strafverfolgungsbehörden ebenfalls darauf ausgerichtet, die Infrastruktur der Cyber-Kriminellen zu schwächen und zu zerschlagen. „Durch diesen Infrastrukturansatz konnten der ,Underground Economy’ in jüngster Vergangenheit teils beträchtliche Finanzmittel entzogen werden.“ Außerdem seien IT-Systeme und Daten sichergestellt worden, welche zu weiteren Ermittlungsansätzen geführt hätten.

Bekämpfung der Top-Bedrohungen aus dem Cyber-Raum

So sei es 2023 etwa gelungen, die Server-Infrastruktur des weltweit umsatzstärksten Krypto-Mixers im DarkNet, „ChipMixer“, zu beschlagnahmen und umgerechnet rund 90 Millionen Euro sicherzustellen. Darüber hinaus sei die Infrastruktur mehrerer krimineller Marktplätze beschlagnahmt worden – darunter „Kingdom Market“. Zudem habe 2023 die Schadsoftware „Qakbot“ und 2021 „Emotet“ vom Netz genommen werden können.

„Beide zählten zu den Top-Bedrohungen aus dem Cyber-Raum und verursachten weltweit Schäden in Höhe von mehreren hundert Millionen Euro.“ 2024 habe sich nun die internationale Operation „Endgame“ gegen gleich sechs der größten Schadsoftware-Familien gerichtet – gegen deren Infrastrukturen, konkrete Akteure und ihre Finanzmittel.

Weitere Informationen zum Thema:

Bundeskriminalamt & Generalstaatsanwaltschaft Frankfurt am Main ZIT
OPERATION FINAL EXCHANGE

Bundeskriminalamt BKA, 19.09.2024
Cybercrime: Infrastruktur von digitalen Geldwäschern der Underground Economy zerschlagen

datensicherheit.de, 15.07.2019
Kryptowährungen: Zunehmend verlockend auch für Cyber-Kriminelle / „Kryptowährung für Dummies“ gibt Einblick in „Bitcoin“, „Ethereum“, „Litecoin“, „Ripple“ u.a.

[datensicherheit.de, 18.09.2024] Im Prinzip bekommt ein Appell an die unternehmerische Verantwortung in Fragen der IT-Sicherheit kurz vor dem NIS-2-Stichtag am 17. Oktober 2024 einen schalen Beigeschmack, so Adlon Intelligent Solutions in einer aktuellen Stellungnahme: Dennoch sind es in Deutschland ofensichtlich noch zu viele Unternehmen, welche ihre Geschäftsabläufe nicht ausreichend geschützt haben und ihre Kontinuität sowie Integrität nicht gewährleisten können. Ziel der NIS-2-Verordnung zur Cyber-Sicherheit von Netz- und Informationssystemen ist es gerade, möglichst viele Unternehmen in die Pflicht von IT-Sicherheitsstandards zu nehmen – betroffen sind 15 Branchen und über 160.000 Organisationen in Deutschland. Unternehmen, welche sich noch kurzfristig auf NIS-2 vorbereiten möchten, könnten sich mit dem von Adlon Intelligent Solutions angebotenen NIS-2-Check „pragmatisch und angemessen auseinandersetzen“. Man habe einen Lösungsweg erstellt, welcher die Umsetzung von NIS-2 auch in kurzer Zeit ermögliche.

Vor NIS-2: Fehlende Standards trotz Zunahme der Cyber-Sicherheitsverletzungen

Obwohl immer wieder über IT-Security-Schadensvorfälle und Cyber-Angriffe berichtet wird, zögern viele Unternehmen noch immer, ihre Cyber-Resilienz zu stärken. Befragungen zeigen demnach, dass mangelnde Ressourcen und fehlendes Knowhow häufig als Gründe genannt werden.

Die strategische Ausrichtung des Outsourcings durch „Managed Security Services“ wie „Managed XDR“ oder kontinuierliches Risikomanagement werde oft unterschätzt. Anstatt in Abhängigkeit vom Dienstleister zu geraten, sorge dieser Ansatz für maximale Transparenz sowie klare Prozesse und schaffe mehr Freiraum für eigene Wertschöpfung, während Personalmangel und Kostendruck reduziert würden.

Regulierung der IT-Sicherheit mittels NIS-2: Höchste Zeit zum Handeln!

Mit dem o.g. Stichtag habe der Bund einen Handlungszeitraum definiert, welcher bei den meisten Unternehmen vor allem eines ausgelöst habe – Empörung. „Von Aussitzen oder Verschiebung des Termins ist die Rede. Alles Humbug, denn der Termin 17. Oktober 2024 steht. Und das Gesetz ermöglicht eines: Kontrolle der Regularien bei hohen Bußgeldern. Viel Zeit bleibt also nicht mehr!“

NIS-2-Anforderungen laut Adlon Intelligent Solutions in Kürze:

• Risikoanalyse
• Umgang mit Sicherheitsvorfällen
• Aufrechterhalten des Betriebes
• Sicherheit der Lieferkette
• Sicherheitsmaßnahmen in IT-Systemen
• Bewertung der Wirksamkeit von Risikomanagement-Maßnahmen
• Cyber-Hygiene und IT-Sicherheitsschulungen
• Kryptographie und Verschlüsselung
• Personalsicherheit und Zugriffskontrolle

Weitere Informationen zum Thema:

adlon
NIS2 Umsetzung

datensicherheit.de, 12.09.2024
NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden / NIS-2 betrifft rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur

datensicherheit.de, 11.09.2024
NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung / NIS-2-Richtlinie von EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umzusetzen

datensicherheit.de, 23.08.2024
Der Countdown läuft: ESET-Whitepaper zur NIS-2-Richtlinie / Unterstützung für CISOs, um das Problembewusstsein und die NIS-2-Umsetzung bei Führungskräften zu fördern

Laut internationaler Umfrage waren 83 Prozent der Unternehmen 2023 Ziel von Ransomware-Angriffen

[datensicherheit.de, 27.08.2024] Eine internationale Umfrage unter 900 IT- und Security-Verantwortlichen zeigt laut Semperis, „dass 83 Prozent der Unternehmen im vergangenen Jahr Ziel von Ransomware-Angriffen waren, was alarmierende Trends in Bezug auf Häufigkeit, Schwere und Folgen von Angriffen aufzeigt“. Semperis ging demnach mit einer internationalen Studie der Prävalenz, Häufigkeit und den durch Lösegeldzahlungen und Kollateralschäden verursachten Kosten von Ransomware-Angriffen auf den Grund. Für diese Studie seien Unternehmen aus verschiedenen Branchen in Deutschland, Frankreich, Großbritannien und den USA befragt worden.

Foto: semperis

Oliver Keizers: Entscheidungsträger im Ernstfall in dier Lage versetzen, den Ransomware-Angreifern eine Zahlung zu verweigern!

Wenige Unternehmen sehen Alternative zur Lösegeldzahlung nach Ransamoware-Befall…

Die Studie wurde nach eigenen Angaben in der ersten Jahreshälfte 2024 durchgeführt. Dies sind laut Semperis die wichtigsten Ergebnisse:

Ransomware-Angriffe bleiben kein einmaliges Ereignis
74 Prozent der Befragten, die in den letzten zwölf Monaten gegen Lösegeld attackiert wurden, seien mehrfach angegriffen worden – viele innerhalb einer Woche.

Unternehmen können es nicht mit Ransomware aufnehmen
In Deutschland seien 82 Prozent der befragten Unternehmen in den vergangenen zwölf Monaten von Ransomware betroffen gewesen, davon 78 Prozent sogar öfter als einmal. „66 Prozent bezahlten mehrfach Lösegeld, 49 Prozent – und mit diesem Wert ist Deutschland unter allen Regionen in dieser Studie Spitzenreiter – sogar öfter als vier Mal.“ Im Gesamtdurchschnitt aller befragten Länder hätten 78 Prozent der betroffenen Unternehmen Lösegeld gezahlt – davon 72 Prozent mehrmals und 33 Prozent viermal oder häufiger.

Nur wenige Unternehmen sehen eine Alternative zur Lösegeldzahlung
87 Prozent der Angriffe hätten zu Betriebsunterbrechungen geführt – selbst bei denen, die Lösegeld zahlten – einschließlich Datenverlust und der Notwendigkeit, Systeme offline zu nehmen. „Für 16 Prozent der Befragten stellte der Angriff ein Dilemma um Alles oder Nichts dar – bei den Befragten aus Deutschland lag dieser Wert bei 19 Prozent.“

Die Zahlung von Lösegeld garantiert keine Rückkehr zum normalen Geschäftsbetrieb
35 Prozent der Opfer, die Lösegeld gezahlt haben, hätten entweder keine oder fehlerhafte Decodierungsschlüssel erhalten.

Recovery Time Objectives (RTOs) werden nicht erreicht
49 Prozent der Befragten hätten ein bis sieben Tage benötigt, um den Geschäftsbetrieb nach einem Ransomware-Angriff auf ein Minimum an IT-Funktionalität wiederherzustellen, „und zwölf Prozent benötigten sieben Tage oder länger“.

Die o.g. Ergebnisse unterstrichen einen alarmierenden Trend zu mehreren, manchmal gleichzeitigen Angriffen, was Führungskräfte dazu zwinge, ihre Cyber-Resilienz-Strategien neu zu bewerten, um häufige Fehlerquellen, wie beispielsweise unzureichende Backup- und Wiederherstellungspraktiken für Identitätssysteme, zu beheben.

Nicht nur gegen Ransomware: IT-Umgebung verteidigungsfähig machen und sie dann verteidigen!

Nur wenige Unternehmen verfügten über umfassenden, dedizierten Identitätsschutz: „Obwohl 70 Prozent der Befragten angaben, dass sie über einen Plan zur Wiederherstellung von Identitäten verfügen, was einen starken Fortschritt in Richtung IAM-zentrierter Sicherheit signalisiert, gaben nur 27 Prozent (36% in Deutschland) an, über dedizierte, Active-Directory-spezifische Backup-Systeme zu verfügen.“ Ohne AD-spezifische, malware-freie Backups und einen getesteten Wiederherstellungsplan werde die Wiederherstellung länger dauern, was die Wahrscheinlichkeit erhöhe, dass sich das Unternehmen entscheidet, Lösegeld zu zahlen, um den Geschäftsbetrieb wiederherzustellen.

„Im Mittelpunkt dieser ganzen Diskussion steht die Rentabilität von Unternehmen. Angreifer versuchen, diese zu gefährden, um sie überzeugen können, sich freizukaufen. Wenn ihnen ein erfolgreicher Angriff auf die Identität gelingt, besitzen sie Privilegien, die sie dann zu ihrem Vorteil nutzen können“, so Chris Inglis, „Semperis Strategic Advisor“ und erster U.S. National Cybersecurity Director. Er führt weiter aus: „Wenn man bedenkt, dass es eine 24/7-Bedrohung für die heutigen Unternehmen gibt, kann man nie sagen ‚Ich bin in Sicherheit‘ oder sich einen Moment frei nehmen. Das Beste, was sie tun können, ist, ihre Umgebung verteidigungsfähig zu machen und sie dann zu verteidigen.“

Geschäftsleitung und Vorstand müssen bei Ransomwae-Angriff fundierte Entscheidung treffen können!

Von den anhaltenden Herausforderungen im Bereich der Cyber-Sicherheit, die Unternehmen nannten, habe die mangelnde Unterstützung durch den Vorstand ganz oben auf der Liste gestanden. Weitere Bedenken betrafen „Budgetbeschränkungen, Personalmangel, veraltete Systeme sowie Vorschriften und Richtlinien zur Cyber-Sicherheit“.

„Damit die Geschäftsleitung und der Vorstand eine fundierte Entscheidung gegen die Zahlung von Lösegeld treffen können, müssen sie wissen, wie lange die Wiederherstellung dauern wird und sich darauf verlassen können“, betont Oliver Keizers, „Area Vice President EMEA“ bei Semperis. Dafür müssten Unternehmen ihren Wiederherstellungsplan in einem möglichst realitätsnahen Szenario testen und ihn dem Vorstand vorstellen, bevor ein Angriff erfolgt. Keizers unterstreicht: „Auf diese Weise sind die Entscheidungsträger im Ernstfall in der Lage, den Angreifern eine Zahlung zu verweigern.“

Weitere Informationen zum Thema:

semperis
Ransomware-Risikobericht: Die Denkweise des Einbrechers annehmen / Opfer mehrfach getroffen, 78% zahlten Lösegeld

datensicherheit.de, 23.08.2024
Neuer WithSecure-Report zeigt: Jüngste Schläge gegen Ransomware-Gruppen hatten Wirkung / „Produktivität“ der Ransomware-Branche nach ihrem Höhepunkt Ende 2023 nicht weiter angestiegen

datensicherheit.de, 02.08.2024
Verschleierungstechnik für Spionage: Ransomware mit cyber-kriminellem Mehrfachnutzen / Ransomware-Bedrohungsakteure könnten von „ChamelGang“-Aktivitäten Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln

datensicherheit.de, 21.06.2024
Ransomware-Attacken: Druck zu mehr Transparenz wächst / Beispielhafte Folgen der jüngsten Ransomware-Attacken: 800 verschobene Operationen, geschlossene Rathäuser und ausgefallene Video-Dienste

Deutschlands Plastische und Ästhetische Chirurgen melden Teilerfolg mit Petition zur Kennzeichnungspflicht

[datensicherheit.de, 25.06.2024] Laut einer aktuellen Stellungnahme der Deutschen Gesellschaft für Ästhetisch-Plastische Chirurgie (DGAEPC) gibt es in Norwegen seit Juli 2022 die Kennzeichnungspflicht für digital bearbeitetes Bildmaterial – in Frankreich bereits seit 2017 (Erweiterung 2023) und in Israel sogar seit 2013. „Endlich gibt es in Deutschland nun einen ersten Vorstoß des Bundestags zum Schutz junger Menschen.“ Dank einer gemeinsam eingereichten Petition der drei großen Fachgesellschaften für Plastische und Ästhetische Chirurgie in Deutschland – DGPRÄC, VDPÄC und DGÄPC – und regem Austausch mit dem Petitionsausschuss, sei dieses Anliegen nun im Deutschen Bundestag beraten worden – mit dem Beschluss, diese Petition den Bundesministerien für Justiz und für Familie, Senioren, Frauen und Jugend zu überweisen. „Je früher wir die Menschen für gefilterte und bearbeitete Bilder sensibilisieren und so vor unerreichbaren Schönheitsidealen schützen, desto geringer werden die Spätschäden ausfallen.“

Abbildung: DGÄPC

So oder so ähnlich könnte laut DGÄPC ein Kennzeichnungslogo in Deutschland aussehen

Gesetzliche Regelung für Kennzeichnungspflicht von digital bearbeitetem und KI-generiertem Bild- und Videomaterial gefordert

Seit geraumer Zeit setzten sich die drei o.g. Fachgesellschaften gemeinsam verstärkt dafür ein, „dass vor allem die junge, noch leicht zu beeinflussende Zielgruppe im Umgang mit Sozialen Medien geschützt wird“. Dies geschehe, da gerade in den Praxen und Kliniken der Fachärzte für Plastische und Ästhetische Chirurgie auffällig viele junge Patienten mit realitätsfremden Wünschen vorstellig würden.

Anfang 2024 sei nun eine Petition eingereicht worden, welche eine „gesetzliche Regelung für eine Kennzeichnungspflicht für digital bearbeitetes und KI-generiertes Bild- und Videomaterial in den Sozialen Medien sowie der Werbung in Deutschland“ fordere. Da diese durch eine Petition aus dem Jahr 2021 blockiert worden sei, habe erst jetzt über beide Petitionen im Bundestag beraten werden können. Mit einem Offenen Brief an die zuständigen Ministerien (s.u.) hätten die Fachgesellschaften das Thema weiter verdeutlicht und zum Dialog eingeladen.

Kennzeichnung, um für unrealistische und uniforme Schönheitsideale zu sensibilisieren

„Nachdem trotz verstärkter medialer Präsenz und steigender Sensibilität für dieses Thema politisch lange Zeit das große Schweigen herrschte, begrüßen wir den Beschluss des Bundestags“, kommentiert Prof. Dr. Henrik Menke, „Past-Präsident“ der Deutschen Gesellschaft für Plastische, Rekonstruktive und Ästhetische Chirurgie (DGPRÄC). Denn Tatsache sei: Viele – vor allem junge – Menschen nutzten täglich mehrfach einen oder auch mehrere Social-Media-Accounts und würden dort mit unrealistischen und uniformen Schönheitsidealen konfrontiert. Die Auswirkungen hiervon seien in mehreren Studien belegt worden.

„Gerade bei jungen Menschen nimmt die Zahl der Beauty-Eingriffe rapide zu, weil ein noch nicht so gefestigtes Selbstbild auf mehrstündigen Social-Media-Konsum pro Tag trifft. Je früher wir die Menschen für gefilterte und bearbeitete Bilder sensibilisieren und so vor unerreichbaren Schönheitsidealen schützen, desto geringer werden die Spätschäden ausfallen“, betont Prof. Ada Borkenhagen, die sich nach eigenen Angaben als „Professorin für Gendersensitive Medizin und Psychotherapie“ intensiv mit diesem Thema beschäftige und diese Petition sowie das Vorgehen unterstütze.

Zunahme der Fälle von Selbstwahrnehmungsstörungen als Auslöser für Forderung der Kennzeichnung

Die neuesten Zahlen der DGÄPC-Statistik zeigten über die letzten drei Jahre sehr deutlich, dass die Beeinflussung der Sozialen Medien auf das Selbstbild eklatant sei: „Wir sehen es auch bei uns in den Praxen und Kliniken. Die Fälle von Selbstwahrnehmungsstörungen (Dysmorphophobie) nehmen weiter zu – mit teils sehr grotesken Wünschen und Vorstellungen auf Patientenseite“, berichtet Dr. Alexander P. Hilpert, „Past-Präsident“ der DGÄPC. Dabei könne eine Kennzeichnungspflicht bei der täglichen Auseinandersetzung mit idealisierten und unrealistischen Körperbildern und Gesichtern helfen, das Selbstwertgefühl zu schützen und auch psychischen Erkrankungen wie der Dysmorphophobie vorbeugen.

„Um weiter auf die Wichtigkeit einer Kennzeichnungspflicht aufmerksam zu machen und diese voranzutreiben, freuen wir uns über jeden, der unser Anliegen auch weiterhin unterstützt.“ Denn auch das, so der Facharzt für „Plastische und Ästhetische Chirurgie“, zeigten die neuesten Zahlen: Mehr als die Hälfte der befragten Patienten unter 30 Jahren spreche sich für eine Kennzeichnungspflicht bearbeiteter Bilder aus.

Wichtiger Schritt in die richtige Richtung zur Kennzeichnungspflicht

Mit dem vorliegenden Beschluss des Bundestags, sich weiter mit einer gesetzlichen Regelung für eine Kennzeichnungspflicht von digital bearbeitetem Bildmaterial zu beschäftigen, sei der erste wichtige Schritt in die richtige Richtung zwar getan – „dennoch mahlen die politischen Mühlen langsam“.

Prof. Dr. Detlev Hebebrand, Präsident der Vereinigung der Deutschen Ästhetisch-Plastischen Chirurgen (VDÄPC) zeigt sich indes weiterhin motiviert und führt abschließend aus: „Wir müssen hier jetzt alle am Ball bleiben und uns weiter für das Thema stark machen, um den Druck auf die Politik zu erhöhen. Auch wenn wir als Fachärzte und -ärztinnen für Plastische und Ästhetische Chirurgie vermeintlich unseren Unterhalt damit verdienen, Menschen zu mehr Selbstwertgefühl zu verhelfen, so gibt es ganz klare ethische Grenzen. Wir sehen uns in der Pflicht, diese leicht zu beeinflussenden Patienten zu schützen.“

Weitere Informationen zum Thema:

DGÄPC Deutsche Gesellschaft für Ästhetisch-Plastische Chirurgie, 25.06.2024
Offener Brief bzgl. Kennzeichnungspflicht

DGÄPC Deutsche Gesellschaft für Ästhetisch-Plastische Chirurgie, 09.01.2024
Mit der Petition wird gefordert, in Deutschland eine Kennzeichnungspflicht für digital bearbeitetes und KI-generiertes Bildmaterial – ähnlich wie in Norwegen, Israel und Frankreich – gesetzlich zu regeln

BBK hat Auswertungsbericht der „Länder- und Ressortübergreifenden Krisenmanagementübung / Exercise LÜKEX 23“ vorgelegt

[datensicherheit.de, 07.06.2024] Wie der Staat bei einem großangelegten Cyber-Angriff auf seine Institutionen handlungsfähig bleibt, stand im Fokus der bundesweiten Übung „LÜKEX“ im Herbst 2023 – über 60 Ministerien, Behörden und weitere Beteiligte haben demnach die Aufrechthaltung der Staats- und Regierungsfunktionen trainiert. Darauf aufbauende Erkenntnisse für die gemeinsame Krisenbewältigung hat das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) in einem Auswertungsbericht der „LÜKEX 23“ publiziert.

Foto: BBK

Das BBK hat den Auswertungsbericht zur „LÜKEX 23“ vorgelegt

BBK hatte LÜKEX 23 koordiniert und gemeinsam mit den Partnern bis ins Detail vorbereitet

Laut BBK haben Ende September 2023 in der „Länder- und Ressortübergreifenden Krisenmanagementübung / Exercise LÜKEX 23“ über 2.500 Personen von Bund, Ländern und anderen Organisationen den Ernstfall einer bundesweiten Cyber-Krise und die Auswirkungen auf die Handlungsfähigkeit des Staates geübt.

Das BBK habe diese Übung koordiniert und gemeinsam mit den Partnern bis ins Detail vorbereitet. Anhand eines fiktiven IT-Angriffs hätten die beteiligten Behörden und Organisationen trainiert, „wie sie in einer IT-Krise am besten zusammenarbeiten und untereinander kommunizieren, um gemeinsame Entscheidungen zu treffen“.

BBK koordinierte zentral die gemeinsame Auswertung der LÜKEX 23 mit allen übenden Stellen

„Die Krisen der vergangenen Jahre haben uns vor Augen geführt, dass die Ebenen und ressortübergreifende Zusammenarbeit noch weiter ausgebaut werden muss – insbesondere im Ereignisfall kommt es auf ein eingespieltes Krisenmanagement an“, kommentiert BBK-Präsident Ralph Tiesler. Insofern biete die „LÜKEX“ eine ideale Möglichkeit, die eigenen Krisenmanagementstrukturen zu erproben und daraus Lehren für den Ernstfall zu ziehen.

Das BBK habe zentral die gemeinsame Auswertung der „LÜKEX 23“ mit allen übenden Stellen koordiniert. Die Auswertung der Übung habe gezeigt, dass vieles bereits gut funktioniere, zugleich aber auch weiter Prozesse gestärkt und optimiert werden müssten. Folgende Schlussfolgerungen wurden laut BBK gezogen:

• Die Behörden müssen noch vorausschauender planen und genauer festlegen, welche Prozesse und Aufgaben in einer Krise priorisiert werden.
• Die technischen Voraussetzungen zur Kommunikation von wichtigen und vertraulichen Informationen sind von großer Bedeutung und müssen bestmöglich vor Cyber-Angriffen geschützt werden.
• Damit alle Behörden und Ministerien ein möglichst genaues Lageverständnis haben und so bessere strategische Entscheidungen treffen können, benötigen sie ein gemeinsames übergreifendes Lagebild.
• Für länderübergreifende und bundesweite Krisen werden Strukturen benötigt, die dauerhaft zur Verfügung stehen, um das Krisenmanagement schnell und effektiv zwischen allen Beteiligten koordinieren zu können.
• Die bestehenden Netzwerke zwischen dem Krisenmanagement im Bevölkerungsschutz und den beteiligten IT-Behörden und -Dienstleistern auf Bundes- und Landesebene wurden gefestigt und werden weiter ausgebaut.
• Krisen der Gegenwart werden immer komplexer und können nur durch routiniertes und entschlossenes Handeln gemeistert werden. Dafür müssen sich alle beteiligten Organisationen ihrer Rolle innerhalb des gesamtstaatlichen Krisenmanagements bewusst sein und ihr Personal dazu befähigen, entsprechende Aufgaben effektiv zu erfüllen.
• Die Übungsserie „LÜKEX“ hat sich bewährt. Seit Jahren werden bereichsübergreifend wichtige Kontakte geknüpft, Kompetenzen gestärkt und Fachkenntnisse ausgetauscht. Um zukünftig noch wirksamer zur Stärkung des nationalen Krisenmanagements beizutragen, muss auch die Übung selbst weiterentwickelt werden.

Die im Auswertungsbericht formulierten Handlungsempfehlungen sollen nun in der jeweiligen Verantwortung der beteiligten Stellen umgesetzt werden.

Weitere Informationen zum Thema:

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
LÜKEX 23 – Cyberangriff auf das Regierungshandeln