Bisher offenbar nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf NIS-2-Richtlinie vorbereitet

[datensicherheit.de, 19.11.2024] Die NIS-2-Richtlinie soll in Deutschland nun voraussichtlich ab dem Frühjahr 2025 im nationalen Recht verankert sein – sie zielt darauf ab, ein höheres Sicherheitsniveau in der EU zu etablieren und Unternehmen in wichtigen Infrastrukturbereichen besser vor Cyber-Angriffen zu schützen. Studien zufolge sei jedoch nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf diese Richtlinie vorbereitet. Simona Foldesova, „Product Manager GP HSM“ von Utimaco, geht in ihrer aktuellen Stellungnahme auf die wesentlichen Anforderungen von NIS-2 sowie ihre Auswirkungen auf Unternehmen ein und erörtert, wie IT-Security-Partner dabei unterstützen könnten, die Herausforderungen zu bewältigen und Chancen der NIS-2-Richtlinie erfolgreich zu nutzen.

Foto: Utimaco

Simona Foldesova rät Unternehmen angesichts der NIS-2-Richtlinie u.a.zum Einsatz von Verschlüsselungs- und Schlüsselmanagement-Lösungen

Zentrale Anforderungen und Neuerungen der NIS-2-Richtlinie

Die NIS-2-Richtlinie bringe einige weitreichende Neuerungen mit sich, welche über die bisherigen Vorgaben hinausgingen:

Erweiterte Pflicht zur Cyber-Sicherheits-Governance
Unternehmen müssten ein Cyber-Sicherheits-Management etablieren, welches auf alle Ebenen der Organisation ausgerichtet sei. Dies umfasse sowohl die Führungsebene als auch die Einbindung operativer Mitarbeiter.

Erhöhte Transparenz und erweiterte Berichterstattung
Die NIS-2-Richtlinie verpflichte Unternehmen, schwerwiegende Sicherheitsvorfälle umgehend zu melden. Eine rasche Kommunikation solcher Vorfälle an die zuständigen Behörden sowie betroffene Partner solle die Transparenz erhöhen und Reaktionen beschleunigen.

Risiko- und Vorfallsbewertung
Eine proaktive Risikobewertung sowie regelmäßige Analysen potenzieller Bedrohungen seien essenziell. Dazu gehöre die Erstellung eines Notfallplans, um auf sicherheitsrelevante Zwischenfälle schnell und effektiv reagieren zu können.

Absicherung der Lieferkette
Ein wesentlicher Schwerpunkt der NIS-2-Richtlinie liege auf der Sicherheit in der Lieferkette. Unternehmen müssten sicherstellen, „dass auch Partner und Dienstleister die geforderten Sicherheitsstandards erfüllen“. Dazu gehöre die Überprüfung externer Partner sowie die Implementierung klarer Kontrollmechanismen.

Höhere Anforderungen an technische Sicherheitsmaßnahmen
Die technische Sicherheit von Netzwerken und Systemen sei ein zentrales Thema der NIS-2-Richtlinie. Organisationen müssten Maßnahmen wie die Verschlüsselung sensibler Daten und Zugangskontrollen implementieren, um Cyber-Angriffe zu verhindern.

Bußgelder bei Nichteinhaltung
Verstöße gegen die Vorgaben der NIS-2-Richtlinie würden mit hohen Geldbußen sanktioniert. „Diese Maßnahme soll sicherstellen, dass Unternehmen die Anforderungen ernst nehmen und die notwendigen Schritte zur Risikominimierung unternehmen.“

NIS-2 hat erhebliche Auswirkungen auf Unternehmen der Kritischen Infrastruktur

NIS-2 habe damit erhebliche Auswirkungen auf Unternehmen der Kritischen Infrastruktur (KRITIS). Dazu zählten beispielsweise Versorgungsunternehmen, Krankenhäuser, Finanzdienstleister und IT-Unternehmen. „Diese Firmen stehen vor der Herausforderung, ihre Sicherheitsmaßnahmen umfassend zu überprüfen und an die neuen Standards anzupassen. Das bedeutet oft erhebliche Investitionen in Sicherheitslösungen, neue Prozesse und Mitarbeiterfortbildungen.“

Unternehmen müssten die NIS-2-Compliance priorisieren, da sie sonst rechtliche und finanzielle Risiken eingingen. Der Aufwand für die Umsetzung könne insbesondere für kleinere Unternehmen eine Herausforderung darstellen. Dennoch biete die Einhaltung der NIS2-Richtlinie auch Chancen: „Unternehmen, die frühzeitig auf eine starke Cyber-Sicherheitsstrategie setzen, gewinnen nicht nur an Vertrauen bei Kunden und Partnern, sondern können auch effizienter und widerstandsfähiger gegenüber Angriffen werden.“

Zusammenarbeit entscheidend zur Erfüllung der vielfältigen Anforderungen der NIS-2-Richtlinie

Spezialisierte Software-Anbieter unterstützten Unternehmen bei der Erfüllung der vielfältigen Anforderungen der NIS-2-Richtlinie mit verschiedenen Produkten und Dienstleistungen – auch „as a Service“. Zu diesen schnell einsetzbaren Lösungen gehörten beispielsweise Datenverschlüsselung und Schlüsselmanagement. Moderne Verschlüsselungstechniken sorgten dafür, dass sensible Daten im Fall eines Lecks geschützt blieben. Solche Lösungen ermöglichten zudem die sichere Verwaltung kryptographischer Schlüssel, was für die Integrität der Daten entscheidend sei.

Verifizierung und Authentifizierung spielten im KRITIS-Bereich eine besondere Rolle. Moderne Sicherheitsprodukte sollten daher robuste Authentifizierungsmechanismen bieten, um unbefugten Zugriff auf Systeme zu verhindern. „Diese Maßnahmen sind ein wichtiger Teil der NIS-2-Anforderungen.“ Hinzu kämen regelmäßige Sicherheitsanalysen und Monitoring. Unternehmen sollten Monitoring-Tools einsetzen, „die kontinuierlich potenzielle Sicherheitsbedrohungen erkennen und sofortige Gegenmaßnahmen ermöglichen“. Regelmäßige Prüfungen und Berichte könnten IT-Sicherheitsteams helfen, auf dem neuesten Stand der Cyber-Abwehr zu bleiben. Nicht zuletzt müssten Unternehmen auch für die Sicherheit entlang der Lieferkette Rechnung tragen. Daher sollten sie darauf achten, mit zertifizierten, ebenfalls nach EU-Recht regulierten Partnern zu kooperieren.

NIS-2-Richtlinie große Herausforderung und zugleich Chance für Unternehmen

Die NIS-2-Richtlinie stelle eine große Herausforderung dar, biete jedoch zugleich eine Chance für Unternehmen, ihre Cyber-Sicherheitsstrategie zu verbessern und sich gegen zukünftige Bedrohungen abzusichern. Foldesova unterstreicht: „Die Etablierung eines umfassenden Sicherheitsmanagements, das nicht nur die eigenen Systeme, sondern auch die gesamte Lieferkette absichert, stärkt die Widerstandsfähigkeit gegenüber Cyber-Bedrohungen und verbessert das Vertrauen von Kunden und Partnern.“

Durch den Einsatz von Verschlüsselungs- und Schlüsselmanagement-Lösungen (von Cybersecurity-Unternehmen wie z.B. Utimaco) sowie die Unterstützung durch deren Compliance-Experten könnten Unternehmen die Anforderungen der NIS-2-Richtlinie effektiv und effizient erfüllen.

Weitere Informationen zum Thema:

heise online, Dr. Oliver Diedrich, 26.09.2024
NIS2 für mehr IT-Sicherheit: Viele Unternehmen sind noch nicht gut vorbereitet / Lediglich ein Drittel der betroffenen rund 30.000 Unternehmen in Deutschland ist bereits gut auf das Inkrafttreten der NIS2-Richtlinie vorbereitet

datensicherheit.de, 14.11.2024
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland / Trotz unklarer Vorgaben erwarten 64 Prozent bis zum Jahresende 2024 NIS-2- Umsetzung ihres Unternehmens

datensicherheit.de, 04.11.2024]
Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung / Der eco drängt auf zügige Verabschiedung des Gesetzes, um Rechtsklarheit für die rund 30.000 betroffenen Unternehmen zu schaffen

datensicherheit.de, 24.10.2024
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

Unternehmen sind mit neuen Formen digitalen Betrugs konfrontiert, denn technologischer Fortschritt bietet ihnen selbst, aber eben auch Hackern neue Möglichkeiten

[datensicherheit.de, 19.11.2024] Die Check Point® Software Technologies Ltd. Nimmt die „International Fraud Awareness Week“ zum Anlass, in einer aktuellen Stellungnahme auf neue Formen digitalen Betrugs einzugehen, mit denen Unternehmen konfrontiert sind, denn der technologische Fortschritt hat offensichtlich sowohl Unternehmen als auch Hackern neue Möglichkeiten eröffnet: „Von Cyber-Hochstapelei und internem Betrug bis hin zu immer raffinierteren Verbrechen, wie CEO-Vortäuschung und KI-gesteuerten Attacken.“

Foto: Check Point Software

Marco Eggerling: Da Cyber-Betrug immer raffinierter wird, muss sich unsere Verteidigung entsprechend entwickeln!

Digitaler Schub für Wirtschaftsbetrug

Ursprünglich habe sich digitaler Betrug auf einfache Phishing-E-Mails beschränkt, „bei denen die Betrüger ihre Opfer mit einer auf Angst basierenden Taktik zur Preisgabe sensibler Daten veranlassten“. Im Laufe der Zeit seien diese Angriffe ausgeklügelter geworden und nutzten Maschinelles Lernen (ML) sowie Künstliche Intelligenz (KI), um Social-Engineering-Taktiken zu verfeinern, Angriffe zu personalisieren und die Erfolgsquote zu erhöhen.

Check Point wirft einen Blick auf die verschiedenen, indes typischen Betrugsarten:

Cyber-Betrug
Phishing, Malware und Ransomware seien nach wie vor weit verbreitet. Cyber-Kriminelle hätten es auf sensible Daten abgesehen und störten den Geschäftsbetrieb.
„Dies macht deutlich, wie wichtig robuste IT-Sicherheitsmaßnahmen sind, um unbefugten Zugriff zu erkennen und zu verhindern!“

Interner Betrug
Interne Betrügereien stellten eine erhebliche Bedrohung dar und umfassten kriminelle Handlungen von Mitarbeitern, einschließlich Dokumentenfälschung, Unterschlagung und Diebstahl.
„Diese Art von Insider-Betrug verdeutlicht die Notwendigkeit strenger interner Kontrollen und Überwachung, um Anomalien frühzeitig zu erkennen!“

Betrug mit Rechnungen
Betrüger schickten gefälschte Rechnungen an Unternehmen – in der Hoffnung auf eine ungeprüfte Bearbeitung und Begleichung.
„Diese Form des Betrugs kann Gelder verschlingen, wenn Unternehmen keine angemessenen Prüfungsprozesse besitzen!“

CEO-Betrug
Oft als Business-E-Mail Compromise (BEC) bezeichnet, geben sich Betrüger demnach als hochrangige Führungskräfte aus, um Mitarbeiter zur Überweisung von Geldern oder zur Weitergabe sensibler Informationen zu bewegen.
„Diese Taktik ist durch den Einsatz von Generativer KI, die eine realistische Nachahmung des Kommunikationsstils von Führungskräften ermöglicht, einfacher geworden!“

Betrug bei der Gehaltsabrechnung
Wenn Mitarbeiter Gehaltsabrechnungssysteme zum eigenen Vorteil manipulierten, könne dies zu unerwarteten finanziellen Verlusten führen.
„Diese Art von Betrug erfordert oft eine strenge Überwachung der Gehaltsabrechnungen und regelmäßige Audits!“

Betrug oft von Kombination aus technischem Fortschritt und menschlichem Versagen begünstigt

Ein bemerkenswertes Beispiel sei der Wechsel von allgemeiner Ransomware zu gezielten Angriffen. „Bei herkömmlichen Ransomware-Angriffen verschlüsselten die Hacker die Daten und verlangten eine Zahlung, oft ohne große Strategie oder Präzision. Nun verwenden Ransomware-Betreiber ausgefeilte Erkundungsmethoden und infiltrieren Systeme über längere Zeiträume, um sensible Daten zu stehlen und diese in Doppelter Erpressung gegen Einzelpersonen oder Unternehmen einzusetzen.“ Dieser erhöhte Grad an Personalisierung mache es schwieriger, sie zu entdecken, und sei oft verheerender.

Diese Betrugsarten, welche oft von einer Kombination aus technischem Fortschritt und menschlichem Versagen begünstigt würden, hätten unbestreitbare Auswirkungen auf Unternehmen. Das National Insurance Crime Bureau (NICB) weist laut Check Point darauf hin, dass Betrug jährlich Verluste in Milliardenhöhe verursache, von denen Einzelpersonen, Unternehmen und Branchen gleichermaßen betroffen seien. Laut dem Bericht „Occupational Fraud 2024“ der Association of Certified Fraud Examiners verlören Unternehmen etwa fünf Prozent ihres Jahresumsatzes durch Betrug, wobei der durchschnittliche Verlust pro Vorfall mehr als 1,5 Millionen US-Dollar betrage.

Folgen von Betrug: Mehr als finanzielle Verluste

Nach Angaben der US Federal Trade Commission hätten Verbraucher angegeben, im Jahr 2023 rund zehn Milliarden US-Dollar durch Betrug verloren zu haben, was einem Anstieg von 14 Prozent gegenüber 2022 entspreche. Online-Shopping-Betrug sei die am zweithäufigsten gemeldete Form von Betrug gewesen. Die Auswirkungen von Betrug gingen aber über direkte finanzielle Verluste hinaus – sie umfassten auch Ermittlungskosten, Anwaltskosten, behördliche Strafen, Rufschädigung und erhöhte Versicherungsprämien. Zum Beispiel:

Ermittlungen und Wiederherstellung
Die Aufdeckung von Betrugsfällen erfordere gründliche Untersuchungen und manchmal sogar die Einschaltung der Strafverfolgungsbehörden, was zeitaufwändig sei und Kosten verursache.

Gerichtskosten und Bußgelder
Schwerer Betrug könne zu Gerichtsverfahren führen, insbesondere wenn es zu Datenschutzverletzungen komme, welche hohe Geldbußen nach sich zögen. Allein im Jahr 2023 hätten die Aufsichtsbehörden Bußen in Millionenhöhe wegen ungeschützter sensibler Daten verhängt.

Schädigung des Rufs
Die langfristigen Auswirkungen auf das Kundenvertrauen und den Ruf der Marke könnten zu Umsatzeinbußen und sinkender Kundenbindung führen.

Leichte Zugänglichkeit von KI-Werkzeugen erleichtert Betrug

Check Point erörtert, warum der Betrug in diesem Tempo zugenommen hat: „Zu den Faktoren gehören die rasche Einführung digitaler Transaktionen, die verstärkte Nutzung des Online-Bankings und die Zunahme der Fernarbeit.“ Jeder dieser Faktoren eröffne Betrügern neue Möglichkeiten, welche sie ausnutzen könnten. Ein weiterer Faktor sei die leichte Zugänglichkeit von Werkzeugen, welche den Betrug erleichterten, wie KI-Programme, die realistische Fälschungen erstellten, so dass es für Einzelpersonen und Unternehmen immer schwieriger werde, Echtes von Falschem zu unterscheiden.

Die Rolle Generativer KI sei ein „zweischneidiges Schwert in der Betrugsprävention und -vermeidung“: Diese habe beide Seiten der „Betrugsgleichung“ verändert – auf der einen Seite biete KI unschätzbare Werkzeuge für die Betrugserkennung und -prävention, „indem sie große Datenmengen verarbeitet, um ungewöhnliche Muster oder Verhaltensweisen zu erkennen, die auf Betrug hindeuten könnten“. Auf der anderen Seite hätten auch Betrüger damit begonnen, Generative KI zu missbrauchen, um noch raffiniertere Betrugsversuche durchzuführen. Sogenannte Deepfakes ermöglichten es Kriminellen, realistische Audio-, Video- oder Textnachahmungen von Führungskräften oder Personen des öffentlichen Lebens zu erstellen. Diese Technologie habe bereits Betrügereien mit „CEOs“ ermöglicht, bei denen Imitatoren KI-generierte Inhalte verwendeten, um Mitarbeiter zu täuschen.

Betrugsprävention und umfassende Cyber-Sicherheit

Während sich die Betrugslandschaft weiterentwickelt habe, hätten sich auch die Instrumente und Verfahren zur Betrugsbekämpfung verbessert:

Umfassende E-Mail-Sicherheit
Da Phishing nach wie vor eine der Hauptursachen für Betrug sei, bleibe „ein fortschrittliches E-Mail-Sicherheitssystem, das mithilfe von KI verdächtige Nachrichten erkennt und blockiert, von entscheidender Bedeutung“.

Multi-Faktor-Authentifizierung (MFA)
MFA biete eine zusätzliche Sicherheitsebene, welche es Betrügern erheblich erschwere, sich unbefugt Zugang zu sensiblen Daten zu verschaffen.

Kontinuierliche Mitarbeiterschulung
Die Mitarbeiter seien oft die erste Verteidigungslinie. Mitarbeiter zu den neuesten Betrugstaktiken wie KI-gesteuertem „Social Engineering“ zu schulen, helfe dabei, diese Angriffe zu erkennen.

Regelmäßige Sicherheitsprüfungen
Die regelmäßige Durchführung von Sicherheitsbewertungen ermögliche es Unternehmen, „Schwachstellen zu erkennen und zu beheben, bevor sie ausgenutzt werden können“.

Benutzerfreundliche Sicherheit
„Tools“, welche die Sicherheitsverwaltung vereinfachten, ermöglichten es Unternehmen, Bedrohungen auch ohne umfangreiche technische Schulungen wirksam zu überwachen und umgehend zu reagieren, was die Zugänglichkeit und Skalierbarkeit gewährleiste.

KI kann Reichweite und Auswirkungen von Betrug vergrößern – Marco Eggerlings Fazit:

„Da Cyber-Betrug immer raffinierter wird, muss sich unsere Verteidigung entsprechend entwickeln. KI vergrößert Reichweite und Auswirkungen von Betrug, also müssen Unternehmen ebenso dynamische Sicherheitsstrategien einführen, die KI-gestützte Lösungen nutzt, um Angreifer zu übertreffen und zu überlisten“, kommentiert Marco Eggerling, „Global CISO“ bei Check Point Software Technologies.

Eggerling gibt abschließend zu bedenken: „Der Aufbau einer widerstandsfähigen Cyber-Abwehr verhindert nicht nur Betrug, sondern fördert auch ein sichereres, vertrauenswürdigeres Umfeld für alle!“

Weitere Informationen zum Thema:

ACFE Association of Certified Fraud Examiners, 20.03.2024
ACFE Report to the Nations: Organizations Lost an Average of More Than $1.5M Per Fraud Case

[datensicherheit.de, 15.11.2024] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat in einer aktuellen Stellungnahme Ergebnisse einer branchenweiten Schwerpunktprüfung im Forderungsmanagement gemeldet: „Obwohl Löschfristen abgelaufen waren, hat ein Hamburger Dienstleister aus der Forderungsmanagement-Branche Datensätze mit personenbezogenen Daten ohne Rechtsgrundlage bis zu fünf Jahre lang aufbewahrt.“ Diese Ordnungswidrigkeit hat der HmbBfDI demnach mit einem Bußgeld in Höhe von 900.000 Euro geahndet.

Der HmbBfDI hat marktstarke Unternehmen aus dem Forderungsmanagement geprüft

Aufgefallen sei dieser Verstoß, „weil der HmbBfDI im Rahmen einer Schwerpunktprüfung marktstarke Unternehmen aus dem Forderungsmanagement geprüft hatte“. Hamburg sei in diesem Sektor ein europaweit führender Standort. Die verarbeiteten Daten über säumige Schuldner seien tendenziell besonders sensibel und würden regelmäßig mit weiteren Stellen wie Auskunfteien und Adressermittlungsdiensten geteilt. Daher müssten die betroffenen Personen auf einen verantwortungsvollen Umgang mit ihren Daten vertrauen können.

Unabhängig von individuellen Beschwerdefällen sei überprüft worden, wie die Daten der Schuldner bei den jeweiligen Dienstleistern aufbewahrt und verarbeitet werden. „Zu diesem Zweck erhielten die Unternehmen ausführliche Fragebögen zugesandt, deren Antworten umfassende Einblicke in die Datenhaltung gaben.“ Darüber hinaus seien die Unternehmen aufgefordert worden, Dokumente wie das Verzeichnis der Verarbeitungstätigkeiten, Auflistungen der Sicherheitsmaßnahmen sowie verwendete Musterschreiben vorzulegen. Zusätzlich habe der HmbBfDI im Anschluss an die schriftliche Vorprüfung einige Unternehmen in den jeweiligen Geschäftsräumen aufgesucht.

Überwiegend konnte der HmbBfDI hohes Maß an Professionalität und Sensibilität konstatieren

„Überwiegend konnte der HmbBfDI ein hohes Maß an Professionalität und Sensibilität feststellen. Im Dialog wurden Verbesserungen bei der Transparenz gegenüber Betroffenen erreicht.“ Insbesondere die Formulierung einer aussagekräftigen Datenauskunft nach Art. 15 DSGVO und die Prozesse für eine fristgerechte Auskunftserteilung hätten dabei im Vordergrund gestanden.

Im Falle eines Unternehmens indes habe das Team des HmbBfDI bei der Vor-Ort-Prüfung festgestellt, „dass trotz abgelaufener Löschfristen Datensätze weiterhin aufbewahrt worden waren“. Bis Mitte November 2023 habe das Unternehmen eine sechsstellige Zahl von Datensätzen mit personenbezogenen Daten ohne Rechtsgrundlage gespeicher – und damit gegen Artikel 5 Absatz 1 lit. a, 6 Absatz 1 DSGVO verstoßen. „Auch wenn die ursprünglich verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden, waren sie teilweise noch fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist nicht aus der Datenbank des Unternehmens gelöscht worden.“

Betroffenes Unternehmen hat Buße akzeptiert und professionell mit dem HmbBfDI kooperiert

Diese Ordnungswidrigkeit habe der HmbBfDI jetzt mit einem Bußgeld in Höhe von 900.000 Euro geahndet. „Der Bußgeldbescheid ist rechtskräftig. Das Unternehmen hat den Verstoß eingeräumt und das Bußgeld akzeptiert.“ Es habe bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet, was bei der Bußgeldbemessung berücksichtigt worden sei. Bei einem weiteren der geprüften Unternehmen seien ebenfalls erhebliche, inhaltlich vergleichbare Mängel im Zusammenhang mit Löschpflichten festgestellt worden – das entsprechende Verfahren dauere noch an.

„Wenn die Kundenbeziehung endet, sind die erhobenen Daten sofort beziehungsweise nach festgelegten Fristen zu löschen“, so der HmbBfDI, Thomas Fuchs. Er unterstreicht abschließend: „Deshalb sollten Unternehmen – bereits bevor sie Daten erheben – eine Bestandsaufnahme machen, welche Daten gesammelt und wie lange sie vorgehalten werden dürfen. Es ist nicht akzeptabel, wenn Unternehmen, die in datengetriebenen digitalen Branchen arbeiten, kein kohärentes Löschkonzept entwickelt haben!“

Weitere Informationen zum Thema:

datensicherheit.de, 26.08.2024
HmbBfDI-Zwischenbilanz 2024: Bisher Bußgelder in Höhe von 130.000 Euro verhängt / HmbBfDI ahndete vielfältige Verstöße gegen die Datenschutzgrundverordnung (DSGVO)

datensicherheit.de, 16.04.2024
Thomas Fuchs hat Hamburger Tätigkeitsbericht Datenschutz 2023 vorgestellt / Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit übergab den Report an die Bürgerschaftspräsidentin

Trotz unklarer Vorgaben erwarten 64 Prozent bis zum Jahresende 2024 NIS-2- Umsetzung ihres Unternehmens

[datensicherheit.de, 14.11.2024] Die Anforderungen der kürzlich in Kraft getretenen NIS-2-Direktive zur Cyber-Sicherheit setzen aktuell offensichtlich viele Unternehmen unter Druck. Indes zeigen sich laut Erkenntnissen der G DATA CyberDefense AG drei von fünf Arbeitnehmern betroffener Unternehmen in Deutschland optimistisch: „Sie glauben, dass ihr Unternehmen alle Vorgaben bis Jahresende erfüllt. Das belegt die repräsentative Studie ,Cybersicherheit in Zahlen’ von der G DATA CyberDefense AG, Statista und ,brand eins’.“ Dieser Optimismus berge jedoch die Gefahr, dass der tatsächliche Aufwand für Maßnahmen unterschätzt werde. Die NIS-2-Richtlinie (Network and Information Security Directive) ist eine EU-weite Regelung zur Stärkung der Cyber-Sicherheit in Kritischen Infrastrukturen (KRITIS) und digital vernetzten Unternehmen. Seit dem 18. Oktober 2024 in nationales Recht überführt, verpflichtet sie betroffene Unternehmen zu strengen Sicherheitsstandards, verbessertem Risikomanagement, Meldepflichten und Betriebssicherheit.

Abbildung: G DATA CyberDefense AG

Drei von fünf Arbeitnehmern betroffener Unternehmen in Deutschland geben sich optimistisch, dass ihr Unternehmen alle NIS-2-Vorgaben bis Jahresende 2024 erfüllt…

NIS-2-Umsetzung in nationales Recht lässt Interpretationsspielraum

„NIS-2 bedeutet für viele Unternehmen erweiterte Meldepflichten für Sicherheitsvorfälle, strenge Risikomanagement-Anforderungen und detaillierte Vorgaben für technische Sicherheitsmaßnahmen.“ Doch Vieles sei noch unklar, da die Umsetzung in nationales Recht Interpretationsspielraum und Firmen über konkrete Anforderungen und Maßnahmen im Ungewissen lasse.

Laut der repräsentativen Studie „Cybersicherheit in Zahlen“ seien dennoch zwei Drittel der Mitarbeiter zuversichtlich, dass ihr Arbeitgeber die Kriterien der NIS-2-Richtlinie bis Ende des Jahres umsetzen könne. Diese optimistische Prognose stehe in starkem Kontrast zur teils unklaren Sachlage: „Noch ist für viele Unternehmen nicht eindeutig, welche konkreten Maßnahmen zur Erfüllung der Richtlinie notwendig sind. Hinzu kommen Personal- und Ressourcenmangel.“

NIS-2-Richtlinie erfordert zumeist grundlegende Neuausrichtung der eigenen IT-Sicherheitsstrategie

„Für Unternehmen, die unter NIS-2 fallen, bedeutet die Richtlinie eine grundlegende Neuausrichtung ihrer IT-Sicherheitsstrategie“, unterstreicht Andreas Lüning, Gründer und Vorstand der G DATA CyberDefense AG. Viele Verantwortliche hätten zwar den Bedarf an zusätzlichen Ressourcen und Expertise erkannt, unterschätzten aber gleichzeitig auch, wie komplex die Erfüllung aller Kriterien sein könne. Lüning stellt klar: „Diese lassen sich nicht über Nacht umsetzen und erfordern gezielte Investitionen sowie eine Anpassung interner Prozesse, was Monate in Anspruch nimmt. Unternehmen sind daher gut beraten, auf bewährte Standards wie die ISO-27001-Zertifizierung hinzuarbeiten.“

Gleichzeitig zeige das aktuelle Umfrageergebnis auch, wo genau Schwierigkeiten lägen: Drei von fünf der Befragten sähen Hürden durch Ressourcenbedarf, Expertise-Lücken und unklare Vorgaben. Mehr als ein Drittel der Arbeitnehmer stufe die Bereitstellung zusätzlicher Ressourcen und die notwendige Expertise für die Umsetzung als „eher herausfordernd“ ein. Für 17 Prozent der Befragten sei die umfassende Überarbeitung der IT-Sicherheitsmaßnahmen und Prozesse schwierig. Nur fünf Prozent gäben als „sehr herausfordernd“ an, dass es noch viele offene Fragen bezüglich der Richtlinie gebe. Überraschend sei, dass zwei von fünf Befragten wenige bzw. keine Hindernisse sähen.

Statista-Marktforscher befragten mehr als 5.000 Arbeitnehmer zur Cyber-Sicherheit im NIS-2-Kontext

„Cybersicherheit in Zahlen“ erscheint laut Lüning bereits zum vierten Mal und zeichnet sich demnach durch eine hohe Informationsdichte und besondere methodische Tiefe aus: Die Marktforscher von Statista hätten Zahlen, Daten und Fakten aus mehr als 300 Statistiken zu einem einzigartigen Gesamtwerk zusammengeführt.

Mehr als 5.000 Arbeitnehmer in Deutschland seien im Rahmen einer repräsentativen Online-Studie zur Cyber-Sicherheit im beruflichen und privaten Kontext befragt worden. Die Fachleute von Statista hätten die Befragung eng begleitet und könnten dank einer Stichprobengröße, die weit über dem branchenüblichen Standard liege, nun belastbare und valide Marktforschungsergebnisse im Magazin „Cybersicherheit in Zahlen“ präsentieren.

Weitere Informationen zum Thema:

G DATA CyberDefense
Cybersicherheit in Zahlen / Wir machen Komplexes verständlich. / Auf 104 Magazinseiten.

datensicherheit.de, 04.11.2024
Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung / Der eco drängt auf zügige Verabschiedung des Gesetzes, um Rechtsklarheit für die rund 30.000 betroffenen Unternehmen zu schaffen

datensicherheit.de, 24.10.2024
„NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

datensicherheit.de, 16.10.2024
NIS-2 Richtlinie: Unternehmen müssen von der Reaktion zur Aktion gelangen / Technische Anforderungen der NIS-2-Richtlinie alles Andere als eine leichte Übung zum Abhaken

Schaden durch Cyber-Attacken für deutsche Wirtschaft jährlich rund 150 Milliarden Euro

[datensicherheit.de, 08.11.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch it’s.BB e.V., lädt zur nächsten „Awareness“-Veranstaltung zum Thema „Cybersicherheit im Unternehmen: Welche Risiken und Nebenwirkungen?“ ein: Im Rahmen dieses Web-Seminars soll die wachsende Bedrohung durch Cyber-Angriffe und deren immensen wirtschaftlichen Schäden – welche jährlich Milliarden Euro betragen – detailliert beleucht werden.

Abbildung: it’s.BB e.V.

Wachsende Bedrohung durch Cyber-Angriffe und deren immensen wirtschaftlichen Schäden im Fokus

Analyse verschiedener Arten von Cyber-Angriffen, deren Kosten und rechtlichen Aspekte sowie zusätzliche Tipps

Laut Schätzungen des Branchenverbands Bitkom soll sich der Schaden allein in der deutschen Wirtschaft auf etwa 150 Milliarden Euro pro Jahr belaufen – wobei bis zu 88 Prozent der Unternehmen von solchen Angriffen betroffen seien.

Die Agenda umfasst „eine Analyse der verschiedenen Arten von Cyber-Angriffen, deren Kosten und rechtlichen Aspekte sowie zusätzliche Tipps zur Verbesserung der digitalen Abwehrfähigkeit und Resilienz“. Abschließend soll Raum für Fragen und Diskussionen geboten werden, um auf spezifische Anliegen und Herausforderungen einzugehen.

Web-Seminar beleuchtet Cyber-Sicherheit in Unternehmen am 20.11.2024

„Cybersicherheit im Unternehmen: Welche Risiken und Nebenwirkungen?“
Web-Seminar in Kooperation mit der IHK Berlin via „MS Teams“-Plattform
Mittwoch, 20. November 2024, 16.00-1700 Uhr
Teilnahme kostenfrei, Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung

– Harald Fladischer, neXenio GmbH
– Anna Borodenko, IHK Berlin

16.10-16.45 Uhr

• Begrüßung und Einführung
• Cyber-Angriffe
• Kosten
• Rechtliche Aspekte
• Zusätzliche Tipps

– Harald Fladischer, neXenio GmbH
– Daniel Augistin, SSE – Secure Systems Engineering GmbH

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

eventbrite
Mittwoch, 20. November / Cybersicherheit im Unternehmen: Welche Risiken und Nebenwirkungen?

[datensicherheit.de, 07.11.2024] Laut einer aktuellen Bitkom-Meldung hat das Bundeskabinett hat am 6. November 2024 das sogenannte KRITIS-Dachgesetz ( KRITIS-DachG) beschlossen. Mit diesem soll demnach der Schutz Kritischer Infrastrukturen etwa in den Bereichen Energie, Verkehr oder Gesundheitswesen verbessert und die bereits im Januar 2023 in Kraft getretene europäische „Critical Entities Resilience Directive“ umgesetzt werden. Das KRITIS-Dachgesetz definiere „Kritische Anlagen“ und lege Mindeststandards sowie Meldepflichten fest. Grundlage der in der Meldung gemachten Angaben ist laut Bitkom eine Umfrage, welche „Bitkom Research“ im Auftrag des Digitalverbands durchgeführt hat: Dabei seien 1.003 Unternehmen ab zehn Beschäftigten und einem Jahresumsatz von mindestens einer Million Euro in Deutschland, darunter 556 Unternehmen aus KRITIS-Sektoren, telefonisch befragt worden. Diese Befragung habe im Zeitraum von KW 16 bis KW 24 2024 stattgefunden und sei als Gesamtumfrage repräsentativ.

Bitkom-Präsident begrüßt, dass KRITIS-Dachgesetz nach Verzögerungen nun endlich kommt

Der Bitkom-Präsident, Dr. Ralf Wintergerst. kommentiert: „Bitkom begrüßt, dass das KRITIS-Dachgesetz nach monatelangen Verzögerungen nun endlich kommt. Deutschland muss seine Kritischen Infrastrukturen besser schützen, dafür stellt das KRITIS-Dachgesetz die Weichen.“

Die Zahl der Angriffe auf deutsche Unternehmen habe zuletzt erneut zugenommen – und nichts spreche für eine Trendwende: „86 Prozent der KRITIS-Unternehmen waren in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen wie Sabotage, Industriespionage oder Datendiebstahl betroffen.“

Laut Bitkom muss das KRITIS-Dachgesetz aber unbedingt nachgebessert werden

80 Prozent bezeichneten die Bedrohungslage für das eigene Unternehmen durch diese Attacken als „sehr groß“ oder „eher groß“. Neben den Unternehmen gerieten zunehmend aber auch Verwaltungen und öffentliche Einrichtungen in das Visier Cyber-Krimineller und hierzu müsse das KRITIS-Dachgesetz unbedingt nachgebessert werden:

„Wir dürfen nicht nur die Unternehmen in den Blick nehmen, auch alle Einrichtungen der Bundesverwaltung müssen als Kritische Infrastruktur gelten.“ Beim Schutzniveau dürften die Verwaltungen keine Kompromisse machen.

Bitkom betont Notwendigkeit einheitlicher, praxistauglich ausgestalteter Meldewege und -fristen

Wichtig sei jetzt, „dass das Gesetz zügig das parlamentarische Verfahren durchläuft und noch in dieser Legislatur in Kraft treten kann“. Die von der EU vorgegebene Umsetzungsfrist zum 17. Oktober 2024 sei bereits abgelaufen. Die Unternehmen brauchten und wollten Klarheit und Rechtssicherheit. „Dazu gehört auch, dass es zwischen KRITIS-Dachgesetz und dem NIS-2-Umsetzungsgesetz keine Widersprüche geben darf!“, fordert Dr. Wintergerst.

Abschließend betont der Bitkom-Präsident: „Wir brauchen einheitliche Meldewege und Meldefristen, die praxistauglich ausgestaltet sind!“ Bereits heute sagten drei Viertel der KRITIS-Unternehmen, dass der bürokratische Aufwand bei der Meldung von Cyber-Angriffen zu hoch sei.

Weitere Informationen zum Thema:

datensicherheit.de, 06.11.2024]
eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz / Unsicherheiten bei Unternehmen gilt es laut eco zu vermeiden, um den KRITIS-Schutz in Deutschland nachhaltig zu stärken

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

datensicherheit.de, 06.12.2022
KRITIS-Dachgesetz geplant: Sinnvolle Regulierung mit Augenmaß gefordert / Verabschiedung von Eckpunkten für einheitliche Schutzstandards in KRITIS-Unternehmen am 7. Dezember 2022 geplant

Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus

[datensicherheit.de, 30.10.2024] Cyber-Angriffe auf die Lieferkette (Supply Chain) gelten als zu den erfolgreichsten Attacken zählenden, denn sie treffen Unternehmen direkt im Herzstück ihrer IT-Infrastruktur – im Rechenzentrum. Cyber-Angreifer nutzen hierzu bestehendes Vertrauen in Geschäftsbeziehungen und die Sicherheitsarchitektur aus, um etwa durch bösartige Software-Updates oder über Service-Provider Zugang zu sensiblen Daten zu erlangen. Nun aber kommt die neue NIS-2-Direktive ins Spiel. Richard Werner, „Security Advisor“ bei Trend Micro, beleuchtet in seiner aktuellen Stellungnahme verschiedene Angriffsszenarien und zeigt auf, mit welchen NIS-2-Maßnahmen Unternehmen sich besser davor schützen könnten.

Foto: Trend Micro

Richard Werner warnt: Geht ein Cyber-Angriff von innen aus, können sich die Täter meist mühelos ausbreiten!

Wegen der großen Tragweite sollten sich Unternehmen der Risiken von Cyber-Angriffen auf die Lieferkette unbedingt bewusst sein

„Angriffe auf die Lieferkette (Supply Chain) sind besonders gefährlich, weil sie darauf ausgelegt sind, Sicherheitsmechanismen auf Seiten der Verteidiger zu umgehen“, erläutert Werner. Beispielsweise seien bösartige Software-Updates deshalb so erfolgreich, weil ein Update meist in verschlüsselter Form direkt ins Rechenzentrum des Opfers eingeschleust werde.

Unternehmen verteidigten sich dagegen häufig von außen nach innen, wobei das Rechenzentrum selbst durch verschiedenen Sicherheitsebenen nach außen geschützt sei, oft aber nur noch minimale Sicherheitsvorkehrungen von innen nach außen beinhalte. Werner warnt: „Geht ein Angriff von innen aus, können sich die Täter meist mühelos ausbreiten. Es spielt dabei kaum eine Rolle, ob das Rechenzentrum virtuell oder ,cloud’-basiert aufgebaut ist.“

Wegen der großen Tragweite sollten sich Unternehmen der Risiken von Cyber-Angriffen auf die Lieferkette unbedingt bewusst sein. Dies fordere auch NIS-2 ein und verpflichte IT-Sicherheitsverantwortliche Vorkehrungen zu treffen, um Eintrittswahrscheinlichkeit und Auswirkung abzumildern.

4 Arten von Cyber-Angriffen auf die Lieferkette

Unternehmen, die unter NIS-2 fallen, müssten die Lieferkette als Risiko für die Cyber-Sicherheit berücksichtigen, bewerten und entsprechende Maßnahmen ergreifen Dabei sind laut Werner vor allem vier Formen von Angriffen auf die Lieferkette relevant:

• 1. Angriffsform: Bösartige Software-Updates
  „Diese Variante wandten die Kriminellen in den Angriffen ,NotPetya’ (2017), ,Kaseya’ (2021) und ,Solarwinds’ (2022) an.“ Dabei werde jeweils ein Hersteller mit großer Kundenanzahl infiltriert und dessen Update-Prozess gekapert. Statt einer normalen Aktualisierung werde ein Angriffswerkzeug an die Kunden übermittelt.

• 2. Angriffsform: Lieferkettenangriff über Service-Dienstleister
  Diese funktionierten ähnlich: „Hier wird meist die Installation des Dienstleisters zuerst angegangen. Die Opfer, vor allem dessen Kunden, haben dabei kaum Einflussmöglichkeit.“ Weltweit bekannt seien die Angriffe auf „Kaseya“ (2021) sowie „MoveIT“ (2023).

• 3. Angriffsform: „Island Hopping“
  „Diese Variante ist ein gezielterer Angriff. Hierbei wird ein Partner in der Lieferkette durch die Angreifer übernommen.“ Von dieser Basis aus würden Teilnehmer der Kette mittels normaler Kommunikationswege angegriffen. So könne zum Beispiel ein bösartiger Link oder E-Mail-Anhang aus einer vertrauenswürdigen Quelle geteilt werden. Die Gruppe „Emotet“ habe dieses Vorgehen bis zu ihrem Takedown (2021) automatisiert.

• 4. Angriffsform: Wiederverwendete Programmier-Ressourcen
  Um für Kunden immer wieder neue Funktionalität zur Verfügung zu stellen, müsse die Entwicklung meist schnell sein. Häufig werde dies durch die Wiederverwendung vorprogrammierter Funktionen oder Codefragmente kompensiert. „Daher werden bei Angriffen häufig verwendete Programmierressourcen missbraucht, um Malware an die Opfer über die Lieferkette zu verteilen.“ In einem Beispiel aus dem Jahr 2021 sei ein beliebtes NPM-Paket, „UAParser.js“, kompromittiert worden, was zur Verbreitung von Malware in Millionen von Projekten geführt habe. Deshalb forderten Experten eine „Software Bill of Material“ (SBOM), um betroffene Segmente schneller identifizieren zu können.

Cyber-Schutzmaßnahmen für die Lieferkette gemäß NIS-2

Per Gesetz müssten Unternehmen sich der Risiken von Bedrohungen für die Lieferkette bewusst sein und Vorkehrungen treffen, um deren Eintrittswahrscheinlichkeit und Auswirkung entsprechend abzumildern. Die NIS-2-Direktive gehe dabei über diese allgemeine Risikobetrachtung der Lieferkette hinaus. „Es geht nicht darum, ob ein Partner ausfällt, sondern um die ganz besonderen Risiken, die Aufgrund der Verbundenheit mit der IT entstehen.“ Zur Cyber-Risikodiskussion empfehlen sich laut Werner die folgenden Szenarien:

• Szenario: Absicherung
  Die eigenen Server könnten zum Ausgangspunkt eines Cyber-Angriffs werden, weswegen auch dort Sicherheitsmechanismen etabliert sein müssten, „die einen Eindringling entdecken (z.B. XDR) und die im Rechenzentrum befindlichen Systeme schützen“.

• 2. Szenario: Verhandlungen
  Unternehmen sollten gemeinsam mit ihren Partnern Herangehensweisen zu automatisierten Datenaustausch erarbeiten (z.B. Frühwarnsysteme). „Eines der Probleme bei ,MoveIT’ war, dass Kunden zwar von ihrem Service-Provider hörten, aber erst durch die Erpressungsversuche der Täter das Ausmaß klar wurde.“

Was Angriffe über die „Supply Chain“ zusätzlich gefährlich mache, sei die Vertrauensstellung eines Partners. So würden Sicherheitsmaßnahmen dadurch ausgehebelt. „Geht der Angreifer dabei geschickt vor, schöpft der Mitarbeiter keinen Verdacht und führt eingeforderte Aktionen unüberlegt durch. Schließlich führt er die Konversation mit einem ,vertrauten Menschen’.“

Neben rein technischen Maßnahmen sollten im offenen Austausch mit Partnern gemeinsam Cyber-Sicherheitsstrategien entwickelt werden

Lieferketten-Angriffe gehörten zu den erfolgreichsten Cyber-Waffen, welche jedes Unternehmen in unterschiedlichem Ausmaß betreffen könnten. Um Risiken zu minimieren, müssten Unternehmen potenzielle Gefahren abwägen und geeignete Schutzmaßnahmen ergreifen. Auch innerhalb von Netzwerken sollte der sogenannte Zero-Trust-Ansatz gelten, um Angriffe zu verhindern.

„Neben technischen Maßnahmen empfiehlt sich der offene Austausch mit Partnern, um gemeinsam Cyber-Sicherheitsstrategien zu entwickeln und Bedenken zu adressieren“, rät Werner abschließend. Dies sorge nicht nur für mehr Sicherheit innerhalb der Lieferkette, sondern wirke sich gleichzeitig positiv auf Geschäftsbeziehungen aus.

Weitere Informationen zum Thema:

datensicherheit.de, 01.07.2024
Cyber-Sicherheit entlang der Lieferkette: Unternehmen müssen sich wieder auf Grundlagen besinnen / Hacker missbrauchen Lieferketten, um gezielte Angriffe auf Unternehmen mit großen Kundendatenbeständen zu starten

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS-2-Richtlinie

Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

[datensicherheit.de, 24.10.2024] „Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 ist der ,Chief Information Security Officer’ die gefragteste Person auf der obersten Führungsebene“, so Dr. Harald Schönfeld, Geschäftsführer der butterflymanager GmbH, in seiner aktuellen Stellungnahme. Er erläutert: „Cyber-Resilienz ist derzeit eines der Hauptthemen im Top-Management“ – er könne dies an einer „stark steigenden Nachfrage nach ,Chief Information Security Officers’ auf Zeit“ am Personalmarkt festmachen. Er berichtet: „Wir hatten noch nie so eine hohe Nachfrage nach Managern, die sich in Projekten auf Vorstands- oder Geschäftsleitungsebene um die Cyber-Rresilienz von Unternehmen kümmern sollen.“

Foto: butterflymanager GmbH

Dr. Harald Schönfeld: Vielen Führungskräften im Mittelstand ist offenbar erst spät klargeworden, dass NIS-2 nicht nur für KRITIS-Betreiber gilt, sondern für die gesamte -Wertschöpfungskette…

NIS-2 birgt Haftung auf Vorstands-, Geschäftsleitungs- und Aufsichtsratsebene

Das Gros der Nachfrage komme von mittelständischen Firmen, welche nicht selbst eine sogenannte Kritische Infrastruktur (KRITIS) betrieben, aber KRITIS-Unternehmen im Kundenstamm hätten. Der Hintergrund sei offensichtlich: Nach Umsetzung der EU-Cyber-Sicherheitsrichtlinie NIS-2 (Network & Information Security) in deutsches Recht hafteten die Firmen bei Hacker-Angriffen.

„Diese Haftung greift nach oben durch bis auf Vorstands- und Geschäftsleitungsebene“, warnt Dr. Schönfeld und erklärt, warum Cyber-Resilienz demnach plötzlich zum Top-Thema auf der obersten Führungsebene aufgestiegen ist. Er führt aus: „Verletzt das Top-Management seine Pflicht oder unterlässt die Einführung von Maßnahmen zur Minimierung von Cyber-Risiken, drohen hohe Bußgelder sowie rechtliche Konsequenzen für die Führungskräfte. Auch die Mitglieder der Überwachungs- und Kontrollorgane des Unternehmens stehen persönlich in der Haftung, insbesondere der Aufsichtsrat.“

NIS-2-Richtlinie setzt erhöhte Cyber-Sicherheitsstandards für Unternehmen ab 50 Mitarbeitern und zehn Millionen Euro Umsatz in 18 festgelegten Sektoren…

Die Anpassung an die neuen rechtlichen Vorgaben erfordere nicht nur technologische Investitionen, sondern ebenso sehr eine Stärkung der „Governance“-Strukturen: „,Governance’ ist im Grunde immer ein Thema für die oberste Führungsebene und den Aufsichtsrat. Deshalb suchen die Unternehmen einen ,Chief Information Security Officer’ und keinen bloßen Cyber-Sicherheitsexperten“, weiß Dr. Schönfeld aus Gesprächen mit Vorständen, Geschäftsführern und Aufsichtsräten.

Die NIS-2-Richtlinie setze erhöhte Cyber-Sicherheitsstandards für Unternehmen ab 50 Mitarbeitern und zehn Millionen Euro Umsatz in 18 festgelegten Sektoren, „die als ,kritisch’ für die Aufrechterhaltung wichtiger Infrastrukturen eingestuft werden“. Dazu gehörten die Branchen Energie, Transport, Bankwesen, Finanzmarkt-Infrastruktur, Gesundheit, Trinkwasser, Abwässer, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Herstellung sowie Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion sowie -verarbeitung und -vertrieb, Produktion und Herstellung von Medizinprodukten wie auch Maschinen und Fahrzeugen sowie elektrischen/elektronischen Geräten, ferner digitale Anbieter und Forschung.

Haftung infolge NIS-2 umfasst gesamte KRITIS-Wertschöpfungskette

„Vielen Führungskräften im Mittelstand ist offenbar erst spät klargeworden, dass NIS-2 nicht nur für die Betreiber Kritischer Infrastrukturen gilt, sondern für die gesamte KRITIS-Wertschöpfungskette, also auch alle Zulieferer“, so Dr. Schönfeld.

Deshalb sei Cyber-Resilienz in vielen Firmen beinahe über Nacht von der IT-Abteilung auf die Agenda der obersten Führungsebene und auch des Aufsichtsrates als Überwachungs- und Kontrollgremium gesetzt worden. Daher suche man nun auf Top-Ebene einen schnell verfügbaren Interim-Manager, welcher das Unternehmen in der Rolle des „Chief Information Security Officer“ auf die neuen NIS-2-Anforderungen einstellen könne.

BSI rechnet mit knapp 30.000 von NIS-2 betroffenen Firmen in Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rechne mit knapp 30.000 von NIS-2 betroffenen Firmen in Deutschland, andere Zählungen kämen auf rund 40.000 Unternehmen über die gesamte Wertschöpfungskette hinweg. „Die hohe Nachfrage nach Interim-Managern zur Stärkung der Cyber-Resilienz auf Top-Ebene ist auch die Folge eines leergefegten Personalmarktes mit entsprechend qualifizierten Personen“, führt Dr. Schönfeld aus.

Er berichtet aus eigener Erfahrung als „Personaler“: „Immer häufiger erhalten wir einen Doppelauftrag: Einen Interim-Manager zu finden, der praktisch sofort als ,Chief Information Security Officer’ einspringt, und parallel dazu einen Manager zu suchen, der diese Funktion in dauerhafter Festanstellung antreten will.“ Der Erste gelinge ihnen immer kurzfristig, aber für die zweite Aufgabe gingen unter Umständen Monate dahin, um eine geeignete Führungskraft zu finden.

Weitere Informationen zum Thema:

datensicherheit.de, 16.10.2024
NIS-2 Richtlinie: Unternehmen müssen von der Reaktion zur Aktion gelangen / Technische Anforderungen der NIS-2-Richtlinie alles Andere als eine leichte Übung zum Abhaken

datensicherheit.de, 30.09.2024
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur / Anstatt zu der von NIS angestrebten Vereinheitlichung kam es in der Praxis zur Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes

datensicherheit.de, 26.09.2024
NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko / Lückenlose, aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien – von NIS-2 bis CRA

Cyber-Verteidigungsmaßnahmen in Unternehmen sind oft noch zu starr, nicht anpassungsfähig genug, und vernachlässigen den „Faktor Mensch“

[datensicherheit.de, 22.10.2024] Viele – zu viele – Unternehmen konzipierten und planten ihre Cyber-Sicherheitsstrategie nach wie vor sehr starr, konzentrierten sich dabei überwiegend auf den Einbau, die Erweiterung und Optimierung rein technischer Lösungen. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf strategische Fragen der Cyber-Sicherheit ein: „Betrachtet man diese Strategie einmal aus historischer Perspektive, dann drängt sich rasch ein Vergleich zur französischen Maginot-Linie auf. Man glaubt, sämtliche potenziellen Ansatzpunkte des Gegners zu kennen, errichtet, basierend auf dem aktuellen Stand der Technik an Land ein übermächtiges Bollwerk, erweitert und optimiert es und erwartet dann passiv den Zug des Gegners….“ Am Ende stehe dann meist eine beeindruckende, aber letztlich ungenügende Verteidigungsstellung – welche im Fall Frankreichs zu starr für den dynamischen Vorstoß der mobilen deutschen Armee gewesen sei: „Frankreich wurde besetzt. Und dennoch: wenn es um ihre Cyber-Sicherheitsstrategie geht, verfolgen heute viele – zu viele – Unternehmen immer noch genau diese Strategie.“ Diese investierten massiv in die Implementierung der neuesten Sicherheitstechnologien, um sich eine scheinbar uneinnehmbare digitale Festung zu errichten. „Kommt es dann zum Angriff, scheitern sie – wie die Franzosen. Ihre Verteidigungsmaßnahmen sind zu starr, nicht anpassungsfähig genug und vernachlässigen den menschlichen Faktor.“

Foto: KnowBe4

Dr. Martin J. Krämer rät Unternehmen zu einer auf dynamische und damit effektivere Verteidigung setzende Cyber-Sicherheitsstrategie

Wertvolle historische Erkenntnisse, aus denen sich Lehren für die Einrichtung einer effektiven Cyber-Sicherheitsstrategie ableiten lassen

„Dabei gäbe es durchaus einen Ansatz, der weit mehr Erfolg verspricht – und dies in der Geschichte auch schon unter Beweis gestellt hat. Die Rede ist von der Funkabhörstelle Bletchley Park.“ 1939 sei dort, unter Leitung von Alan Turing, eine Gruppe Mathematiker, Historiker, Linguisten und Schachmeister zusammengekommen, um den „Enigma“-Code der Deutschen zu knacken – mit Erfolg. Dr. Krämer führt weiter aus: „Dank des Einblicks, den Briten nun in deutsche Funksprüche nehmen konnten, gelang es der Royal Airforce den Sieg in der Luftschlacht um England zu erringen, konnte die Royal Navy die Versorgungsrouten der Alliierten anpassen und proaktiv gegen die deutsche U-Bot-Flotte vorgehen. Es gelang den Briten in der Luft und zu Wasser, worin die Franzosen an Land gescheitert waren – die Entwicklung und Implementierung einer dynamischen, einer anpassungsfähigen, einer erfolgreichen Abwehrstrategie.“ Das Fundament dieses Erfolgs seien unzählige Experten gewesen, welche Erfahrungen und Ideen aus den unterschiedlichsten Feldern und Bereichen in die Code-Dechiffrierung eingebracht hätten, und ein nahezu unbegrenztes Reservoir verschlüsselten deutschen Nachrichtenmaterials, welches zur Erkennung von Mustern hätte herangezogen werden können.

Tatsächlich biete das Beispiel Bletchley Park einige wertvolle Erkenntnisse, aus denen sich Lehren für die Einrichtung einer effektiven Cyber-Sicherheitsstrategie – und den Aufbau einer starken Cyber-Sicherheitskultur – ableiten ließen:

„Zunächst einmal, dass Cyber-Sicherheit keine Disziplin ist, die ausschließlich Cyber-Abwehrexperten vorbehalten sein sollte. Unternehmen sollten stets darauf achten, sämtliche Mitarbeiter in ihre Cyber-Sicherheitsstrategie mit einzubeziehen.“ Einer der zentralen Schlüssel beim Knacken des „Enigma“-Codes sei die Fähigkeit des Wissenschaftler-Teams gewesen, Muster zu erkennen. In ähnlicher Weise müsse und könne allen Mitarbeitern durch regelmäßige Schulungen beigebracht werden, potenzielle Bedrohungen zu erkennen und rechtzeitig zu melden.

„Dann, dass Cyber-Sicherheitsstrategien nicht starr, sondern fluide zu sein haben. So wie die Code-Brecher in Bletchley Park ihre Techniken und Methoden immer wieder erneuerten und anpassten, um zum ersehnten Ziel zu gelangen, müssen auch Cyber-Sicherheitsstrategien kontinuierlich weiterentwickelt, an die Strategien und Taktiken der Angreifer angepasst werden.“

Und schließlich, dass es zwingend einer Kultur der offenen Kommunikation bedürfe. „Die gab es auch in Bletchley Park.“ Mitarbeiter müssten sich problemlos an die Sicherheitsabteilung ihres Unternehmens wenden können, um schnelles und effektives Feedback erhalten, sollten sie einmal etwas Verdächtiges bemerken.

Gesamte Belegschaft adressieren, um sie erfolgreich in ein kollaborierendes Cyber-Sicherheits-Ökosystem einzubinden

Berücksichtigen Unternehmen diese drei einfachen Lehren aus Bletchley Park bei der Konzeption ihrer Cyber-Sicherheitsstrategie, könnten sie eine dynamischere und damit effektivere Verteidigung kreieren. Der Wechsel von einem technologiezentrierten Ansatz zu einem Ansatz, welcher den Menschen in den Mittelpunkt rückt, eröffne ihnen die Möglichkeit eine Sicherheitskultur zu etablieren, welche zahlreiche Schwachstellen rein technologischer Lösungen eliminiere.

„In den heutigen Zeiten von Phishing, ,Spear Phishing’ und ,Social Engineering’ werden nicht diejenigen Unternehmen die sichersten sein, die die fortschrittlichsten technologischen Lösungen zum Einsatz bringen, sondern diejenigen, denen es am besten gelingt, ihre gesamte Belegschaft erfolgreich in ein kollaborierendes Sicherheits-Ökosystem einzubinden“, betont Dr. Krämer abschließend.

Weitere Informationen zum Thema:

KnowBe4
Security Culture / What It Is and Why It’s Important

[datensicherheit.de, 19.10.2024] Der „Cybersecurity Awareness Month“ versteht sich als eine internationale Initiative, welche sich demnach auf einfache Möglichkeiten konzentriert, sich selbst, die Familie und Unternehmen vor Online-Bedrohungen zu schützen. Das Leitthema des Jahres 2025, „Secure our World“, solle die Allgegenwärtigkeit digitaler Technologien unterstreichen, welche Verbindungen auf der ganzen Welt ermöglichen, und aufzeigen, wie einfache, aber wirksame Maßnahmen eine nachhaltige Wirkung entfalten könnten. „In einer Welt, in der die digitalen Leben immer stärker miteinander verflochten sind, erhöht jeder abgesicherte Angriffsvektor die Sicherheit der vernetzten Menschen.“ In diesem Zusammenhang werden nachfolgend von Imperva „die vier besten Wege zur Absicherung der digitalen Welt“ vorgestellt:

1. Imperva-Tipp zur Absicherung: Schutz von Zugangsdaten – und zwar ohne Passwörter

Bedrohungsakteure würden immer geschickter darin, gezielt auf Zugangsdaten zuzugreifen, daher bewege sich die Branche allmählich weg von Passwörtern und hin zu einer passwortlosen Zukunft. „Das bedeutet, dass man auf andere Formen der Authentifizierung umsteigt, die biometrische Daten, PINs, Muster und Passkeys anstelle von Passwörtern nutzen können.“ Mit einer wachsenden Anzahl von Passkeys und passwortlose Authentifizierung unterstützenden Plattformen werde die Abkehr von Passwörtern immer einfacher und reibungsloser.

„Wenn passwortlose Optionen nicht machbar sind, sollten sichere Passwörter mit einem Passwortmanager verwendet werden!“ Leider verwendeten weniger als 40 Prozent aller Online-Nutzer für jedes Konto ein eigenes Passwort, so der Bericht der „National Cybersecurity Alliance 2023 Oh Behave!“. Wiederverwendete Passwörter gäben Cyber-Kriminellen einen Bonus-Zugang zu anderen Bereichen des digitalen Lebens einer Person, wenn sie sich nur die Mühe gemacht hätten, einen einzigen Zugangscode zu stehlen bzw. zu kaufen oder gar zu knacken.

Abgesehen davon, dass man sich für jede Website anders anmelden sollte, empfehle die gängige Meinung (s. z.B. CISA), dass ein sicheres Kennwort Folgendes enthalten sollte:

• Mindestens 16 Zeichen.
• Zufallsgenerierung mit einer Mischung aus Buchstaben, Symbolen und Zahlen.
• Möglicherweise eine „Passphrase“ aus vier bis sieben Wörtern, wobei eine Zufallsgenerierung empfohlen werde.

In beiden Fällen – Passwörter oder passwortlose Schlüssel – werde ein Passwort-Manager benötigt. Angesichts der Tatsache, dass eine Durchschnittsperson etwa 100 verschiedene Anmeldedaten verwalten müsse, sei es kein Wunder, dass fast ein Drittel der Internetnutzer einen Passwort-Manager verwende, um diese alle zu verwalten.

2. Imperva-Tipp zur Absicherung: Erkennen und Melden von Phishing

Laut dem „Thales 2024 Data Threat Report“ (DRT) sei Phishing der am zweitschnellsten wachsende Angriffsvektor. Phishing-Taktiken würden dank KI immer raffinierter, und es sei wichtiger denn je, Arbeitnehmer in die Lage zu versetzen, deren verräterischen Zeichen zu erkennen. KI-basierte Kampagnen könnten nun wortgetreue E-Mails in jeder beliebigen Sprache verfassen, in der Regel:

• Ein Gefühl der Dringlichkeit erzeugen (Panik erzeugen und das kritische Denkvermögen kurzschließen).
• Aufforderung zu einer ungefragten Handlung (z.B. „Ändern Sie Ihr Passwort jetzt!“ oder „Downloaden Sie jetzt!“).
• Aufforderung zur Eingabe persönlicher Daten (in der Regel Finanzdaten, wie beim „Business Email Compromise“ / BEC-Betrug).

Der effektivste Weg, Menschen in die Lage zu versetzen, Phishing-E-Mails zu erkennen und zu melden, sei jedoch die Stärkung der „menschlichen Firewall“. Unternehmen sollten in Schulungsprogramme zum Sicherheitsbewusstsein nicht nur für ihre Mitarbeiter, sondern auch für deren Familien investieren, um eine positive Kultur zu schaffen – „in der jeder aufgefordert ist, Fehler zu melden, z.B. das Klicken auf einen bösartigen Link“.

3. Imperva-Tipp zur Absicherung: Multifaktor-Authentifizierung einschalten

Die Multifaktor-Authentifizierung (MFA) werde von vielen Anbietern von „Cloud“-Diensten und noch mehr von normalen Unternehmen als Sicherheitsebene verlangt. CISA, ENISA und andere globale Sicherheitsbehörden rieten dazu, „dass jeder sie einführt, da sie zusätzliche Sicherheitsebenen neben den Passwörtern allein schafft (z.B. einen Textverifizierungscode oder einen Fingerabdruck)“. Es seien verschiedene MFA-Optionen verfügbar:

• Phishing-resistente MFA werde von der CISA als „Goldstandard“ bezeichnet und umfasse FIDO/WebAuthn-Authentifizierung und PKI-basierte Methoden (Public Key Infrastructure ).
• App-basierte MFA-Methoden erhöhten die Sicherheit, indem sie eine „Pop-up“- oder „Push“-Benachrichtigung an das Telefon des Benutzers sendeten, ein Einmalpasswort (OTP) generierten oder ein token-basiertes OTP verwendeten.
• Bei SMS- oder Voice-MFA werde dem Benutzer einfach ein Verifizierungsanruf oder -text geschickt.

Trotz der Bedeutung und Vielfalt solcher MFA-Methoden zeige der „DTR“-Bericht von Thales 2024, dass nur 46 Prozent der Unternehmen MFA für mehr als 40 Prozent ihrer Mitarbeiter nutzten. Eine phishing-resistente MFA sei zwar am effektivsten gegen KI-gestützte Social-Engineering-Angriffe, aber jede Form von MFA schon gleich viel besser als gar keine MFA. Darüber hinaus biete die Einführung von MFA einen großen geschäftlichen Nutzen. Der „Thales 2024 Digital Trust Index“ zeige, dass 81 Prozent der Kunden erwarteten, „dass Marken MFA anbieten, was zu einer größeren Loyalität und einem größeren Vertrauen führt“.

4. Imperva-Tipp zur Absicherung: Software aktualisieren: Eine wichtige Abwehrmaßnahme, aber mit Vorsicht zu genießen

Alle Mitarbeiter müssten wissen, „dass sie jedes Mal, wenn sie daran erinnert werden, Software-Updates akzeptieren und anwenden müssen“. Sicherheitslücken könnten nur so geschlossen werden. Einem Ponemon-Bericht zufolge gingen 60 Prozent der Sicherheitsverletzungen auf nicht gepatchte Schwachstellen zurück, was diese einfache Maßnahme noch wichtiger mache.

Cyber-Kriminelle hätten sich schnell KI zu eigen gemacht, um selbst Zero-Day-Schwachstellen zu erkennen und auszunutzen. Interessanterweise öffneten diese ungepatchten Lücken den Weg für die Verbreitung störender Ransomware-Angriffe.

Unternehmen, insbesondere in Kritischen Infrastrukturen, sollten ihre Systeme jedoch mit Bedacht und nicht aus Angst patchen. Auch wenn rechtzeitige Sicherheitsupdates von entscheidender Bedeutung seien, sei es ebenso wichtig, diese Updates in einer kontrollierten Umgebung zu testen. Dies sollte erfolgen, „bevor sie veröffentlicht werden, um die Möglichkeit zu minimieren, dass Kritische Systeme beschädigt werden“.

Impervas Fazit:

Das übergeordnete Ziel des „Cybersecurity Awareness Month“ sei die Sicherheit von Identitäten, Anwendungen, Daten und Software – sowohl von persönlichen als auch von Unternehmensdaten – zu verbessern. Wie die oben genannten Methoden zeigten, müssten gute Verteidigungsmaßnahmen nicht schwierig zu handhaben oder umzusetzen sein. „Wenn man es einfach hält, und praktische, leicht zu handhabende Werkzeuge und Verfahren einsetzt, wird es auch besser angenommen.“

Als Unternehmen sollten die oben genannten bewährten Verfahren durch Lösungen ergänzt werden, „die einen zuverlässigen Anwendungs- und Datenschutz bieten, um das Risiko einer Datenverletzung zu verringern“. Diese Lösungen schützten Anwendungen und APIs, könnten sensible Daten erkennen und klassifizieren, böten Risikoinformationen und ergänzten die Bemühungen der Mitarbeiter um mehr Sicherheit. Die oben genannten benutzerfreundlichen Methoden ermöglichten es Mitarbeitern, die „erste Verteidigungslinie“ zu sein, und die Bereitstellung z.B. von Imperva-Lösungen sei die nächste Verteidigungsebene.

Weitere Informationen zum Thema:

NATIONAL CYBERSECURITY ALLIANCE, 24.09.2024
Cybersecurity Awareness Month / Oh Behave! The Annual Cybersecurity Attitudes and Behaviors Report 2024

THALES, 2024
Global Edition: 2024 Thales Data Threat Report / Navigating New Threats and Overcoming Old Challenges

THALES BLOG, Amit Prakaash, 02.07.2024
Redefining Security: The Power of Passwordless Authentication

THALES BLOG, Pedro Martinez, 02.02.2024
Passkeys and The Beginning of Stronger Authentication

imperva, Blog, Nik Hewitt, 10.10.2022
Why we all Need a Password Manager / What is a password manager?

CISA America’s Cyber Defense Agency
Require Strong Passwords / Enforcing a password manager protects your business / Strong Passwords Mean Safer Business Accounts