„Die komplexe Bedrohungslage erfordert ein einheitliches Cybersicherheitsniveau“

148 Milliarden Schaden im vergangenen Jahr – und längst noch kein Ende in Sicht: Die Bedrohungslage ist und bleibt prekär. Zudem sorgen Digitalisierung, Cloud und KI für neue Angriffsflächen und eröffnen den Hackern eine Vielzahl an Möglichkeiten. Dies zeigt auch die jüngste Lünendonk-Studie. Derzufolge hakt es insbesondere bei der E-Mail-Sicherheit und dem Schwachstellenmanagement. Trotz anhaltend massiven Bedrohungslage hat rund ein Drittel der Unternehmen keinen Überblick über den tatsächlichen Cybersecurity-Status. Allerdings steigen, laut der Studienergebnisse, die Investitionen in Sicherheitsmaßnahmen – und das ist auch gut so. Denn nachdem das Bundeskabinett nun endgültig das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz beschlossen hat, drängt die Zeit ohnehin, die notwendigen Maßnahmen auf den Weg zu bringen, um die Cyberresilienz zu stärken.

Zu den Anforderungen, die die Richtlinie zugrunde legt, zählen unter anderem Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management sowie Konzepte zum Einsatz von Verschlüsselung. Strenge Kontrollen durch Behörden und stringente Meldepflichten unterstreichen die Dringlichkeit, das Thema schnellstmöglich zu adressieren und sich auf die Anforderungen der Richtlinie vorzubereiten.

Zuerst gilt es den Anwendungsbereich von NIS2 zu verstehen. Wichtig zu wissen ist hierbei, dass die Vorschriften nicht nur für die Unternehmen gelten, die gemäß der Richtlinie als „wesentlich“ oder „wichtig“ eingestuft werden, sondern auch für deren Auftragnehmer. Was dann folgt, ist eine Selbstanalyse der Sicherheitslage, die die Praktiken der Cyberhygiene ebenso beleuchtet wie die aktuellen Schwachstellen und die Existenz falsch konfigurierter Konten. Eine Lückenanalyse im Zuge derer aktuelle Sicherheitspraktiken dokumentiert werden, ermöglicht den Abgleich zwischen den bestehenden Maßnahmen und den NIS2-Anforderungen. Die identifizierten Lücken sollten dann anhand ihrer potenziellen Auswirkungen priorisiert werden, um in Anschluss einen detaillierten Aktionsplan zu erstellen.

Der Schutz privilegierter Konten mithilfe eines effektiven Zugriffsmanagement ist einer der wichtigsten Punkt des Maßnahmenkatalogs. Denn er ist in erster Linie dafür verantwortlich, dass Unterbrechungen des Geschäftsbetriebs möglichst minimiert werden. Darüber hinaus müssen Unternehmen Backup Management, Disaster Recovery, Krisenmanagement und Notfallpläne auf dem Schirm haben, um im Fall der Fälle handelsfähig zu bleiben. Im Wesentlichen empfiehlt sich eine Null-Toleranz-Strategie mit starken Authentifizierungsmethoden, um Angriffe bereits im Vornherein vereiteln zu können.

Allerdings müssen zur Schließung aktueller Lücken und zur Optimierung der Cyberresilienz die nötigen Ressourcen seitens des Unternehmens bereitgestellt werden. Hierunter können sowohl die Investition in neue Technologien und Tools sowie das Hinzuziehen externer Experten oder die Fortbildung der eigenen Mitarbeiter fallen. Wie der Folgeabschätzungsbericht der EU zeigt, könnten die durchschnittlichen Ausgaben für die IT-Sicherheit um zwölf bis 22 Prozent steigen.

Fakt ist: Die bloße Einhaltung von Standards reicht nicht mehr aus. Jetzt braucht es ein durchdachtes und ganzheitliches Risikomanagementkonzept, das alle kritischen Bereiche abdeckt. Und dies nicht nur, weil die NIS2-Richtlinie ausdrücklich die Haftung von Leitungsorganen bei Nichteinhaltung von Verstößen gegen die Anforderungen und die Meldepflichten vorsieht. Erhebliche finanzielle Sanktionen sind nur die eine unangenehme Folge für jene, die sich nicht proaktiv um die Sicherheit ihres Unternehmens bemühen – der Verlust sensibler Daten und, noch schlimmer, des Vertrauens der Kunden dürfte schwerer wiegen.

Gerald Eid, Regional Managing Director DACH bei Getronics