ein Mann mit verpixeltem Gesicht und schwarzem Kapuzen-Pullover schaut auf ein Smartphone
13.09.2023    Madeline Sieland
  • Drucken

206 Milliarden Euro – so hoch ist der Schaden, der der deutschen Wirtschaft jedes Jahr durch Datendiebstahl sowie digitale und analoge Industriespionage und Sabotage entsteht. Das zeigen neue Zahlen des Digitalverbands Bitkom.

Laut der Studie fühlen sich 52 Prozent der hiesigen Unternehmen durch Cyberattacken existenziell bedroht, 82 Prozent erwarten in den kommenden zwölf Monaten sogar mehr Angriffe. Sinan Selen, Vizepräsident des Bundesamts für Verfassungsschutz, sagte bei der Vorstellung der Bitkom-Studie: „Die Ergebnisse fügen sich nahtlos in unsere Lageeinschätzung ein. Wir sind mit einer verstetigten hohen Bedrohung durch staatliche und nicht-staatliche Cyberakteure konfrontiert.“

Und weiter: „Wir sehen, dass staatliche Akteure sich auch Cyberakteuren bedienen und eine hohe Bandbreite von Zielen angreifen. Diese reichen von Angriffen auf politische Institutionen über die Wirtschaft – von spezialisierten kleinen Tech-Unternehmen bis hin zu Großkonzernen – und betreffen ebenso Forschungseinrichtungen. Die Gegner haben einen langen Atem und gehen immer aggressiver, professioneller und agiler vor.“

NIS-2-Richtlinie soll Sicherheitsniveau steigern

Eine Antwort der Politik auf diese Bedrohung ist die NIS-2-Richtlinie – die Europäische Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Voraussichtlich im Oktober 2024 soll sie in deutsches Recht umgesetzt werden.

Ziel dieser Richtlinie ist es, eine Kultur der Sicherheit in allen Sektoren zu etablieren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung und stark von Informations- und Kommunikationstechnik abhängig sind.

Betroffen von den neuen Regelungen sind nicht nur Unternehmen aus dem Bereich der kritischen Infrastrukturen (KRITIS), die bereits heute strengere Anforderungen an die Cybersicherheit erfüllen müssen.

Gerade Unternehmen, die bisher nicht von den Regelungen betroffen waren, biete die neue Gesetzeslage sicherlich einen Anreiz, um die eigene Sicherheit höher auf der Prioritätenliste anzusiedeln, betont Tim Berghoff, Security Evangelist bei G DATA CyberDefense. Denn: „Die Verantwortlichen in vielen Unternehmen schätzen ihr eigenes Bedrohungsmodell noch immer falsch ein. Sie müssen – leider – per Gesetz auf den richtigen Pfad gelotst werden.“

Zur Person

Tim Berghoff arbeitet für den Cybersecurity-Spezialisten G DATA

Tim Berghoff

ist Security Evangelist bei G DATA CyberDefense. Für den Cybersecurity-Spezialisten ist er bereits seit 2009 tätig

Welche Maßnahmen müssen laut NIS-2-Richtlinie alle betroffenen Unternehmen umsetzen?

Tim Berghoff: Interessant sind speziell die Maßnahmen aus Artikel 21. Diese schreiben unter anderem vor, dass Unternehmen sowohl Meldeprozesse für Sicherheitsvorfälle vorhalten müssen als auch ein tragfähiges Business-Continuity-Management. Dazu gehört sowohl eine ausführliche Risikobewertung als auch eine Strategie für Incident-Response. Wer zum Beispiel Software für kritische Anwendungen entwickelt, muss ein Meldeprogramm für Schwachstellen haben.

Besonderes Augenmerk legt die NIS-2-Direktive auch auf die Überwachung von Aktivitäten im Netzwerk des Unternehmens. Und nicht zuletzt sind Cybersicherheitstrainings für die Belegschaft expliziter Bestandteil der geforderten Maßnahmen.

Wer ist denn von der NIS-2-Richtlinie direkt betroffen und sollte nun handeln?

Berghoff: Es sind insgesamt 16 Industriesektoren benannt. Das sind allerdings bei weitem nicht nur Unternehmen und Einrichtungen, bei denen dies erwartbar gewesen wäre, wie die Energieversorgung, Krankenhäuser oder Wasserversorgung.

Wichtig ist: Die Anlagenbindung entfällt. Das bedeutet: Ein Wasserversorgungsunternehmen muss beispielsweise nicht nur die Aufbereitungsanlagen gegen Angriffe absichern, sondern das gesamte Netzwerk des Unternehmens.

Wie sehen die Umsetzungsfristen aus? Und was droht Unternehmen, die die neuen Vorgaben nicht fristgerecht umsetzen?

Berghoff: Nach aktuellem Stand ist es so, dass die Vorgaben der NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umgesetzt sein müssen. Das dafür vorgesehene Gesetz geht gerade noch seinen Weg durch die Instanzen; bisher liegt lediglich ein Referentenentwurf vor.

Fest steht aber bereits jetzt, dass Verstöße teuer werden. Wer die Vorgaben der Direktive nicht einhält, muss mindestens mit einer Strafe in zweistelliger Millionenhöhe rechnen. Wirkliche Übergangsfristen wird es vermutlich nicht geben. Allerdings haben einige Unternehmen maximal vier Jahre Zeit, einen ersten Nachweis über die eigene Sicherheitsstrategie an das BSI zu senden.

Wer prüft in Deutschland die Einhaltung der Vorgaben?

Berghoff: Die Prüfung der Unternehmen obliegt dem Bundesamt für Sicherheit in der Informationstechnik, dem BSI. Bis zum 17. Januar 2025 – also drei Monate nach Inkrafttreten – müssen betroffene Unternehmen sich beim BSI registriert haben und unter anderem Ansprechpartner, aktuelle Telefonnummern und E-Mail-Adressen sowie auch IP-Adressbereiche benennen. Dem BSI muss mindestens alle zwei Jahre auch ein aktueller Nachweis über die Umsetzung der Vorgaben der NIS-2-Richtlinie übermittelt werden.

Ist das BSI der Ansicht, dass ein potenzieller KRITIS-Betreiber seiner Pflicht zur Registrierung nicht nachgekommen ist, kann das Bundesamt diese Registrierung auch selbst vornehmen – und betroffenen Unternehmen so die sprichwörtliche Pistole auf die Brust setzen.

Vielfach war in den letzten Wochen zu lesen, die EU-Richtlinie NIS-2 „zwingt Unternehmen zu mehr Cybersicherheit“. Aber sollte man Unternehmerinnen und Unternehmer wirklich per Gesetz dazu zwingen müssen? Woran liegt es, dass der Schutz der digitalen Infrastruktur vor Cyberkriminalität offenbar nach wie vor nicht überall als normal und notwendig betrachtet wird?

Berghoff: NIS-2 gießt eigentlich nur das in ein Gesetz, was seit Langem selbstverständlich sein sollte – und was IT-Sicherheitsfachleute auch seit Jahren immer wieder fordern. Natürlich sollte jedem Unternehmen, ob Teil der KRITIS oder nicht, daran gelegen sein, die eigene Sicherheit höher auf der Prioritätenliste anzusiedeln als dies der Fall ist.

Für Unternehmen, die bisher auch schon unter die KRITIS-Gesetzgebung fielen, wird sich nicht allzu viel ändern. Aber gerade Unternehmen, die bisher nicht von den Regelungen betroffen waren, bietet die neue Gesetzeslage sicherlich einen Anreiz. Dass dies möglicherweise von Einzelnen als Bevormundung wahrgenommen wird, unterstreicht eigentlich nur die Dringlichkeit der Sache. Die Verantwortlichen in vielen Unternehmen schätzen ihr eigenes Bedrohungsmodell noch immer falsch ein. Sie müssen – leider – per Gesetz auf den richtigen Pfad gelotst werden.

Die NIS-2-Richtlinie definiert nur Mindeststandards für die IT- und Cybersicherheit. Würden Sie sich wünschen, dass mehr Maßnahmen gesetzlich vorgeschrieben werden? Wenn ja, welche?

Berghoff: Bei der Forderung weiterer Maßnahmen wäre ich im Moment vorsichtig. Das Umsetzungsgesetz ist ja noch nicht finalisiert. Und selbst wenn es eines Tages in finaler Form vorliegt, wird es noch immer Gerichtsprozesse und damit auch Urteile geben, um entweder einzelne Aspekte final zu klären oder Streitigkeiten über Details beizulegen. Gerade ein so vielschichtiges Thema wie IT-Sicherheit lässt sich nicht in der allerersten Iteration eines neuen Gesetzes festhalten.

Wie sieht die Cyberbedrohungslage aktuell aus? Welche Taktiken sind derzeit besonders beliebt, welche Unternehmen beziehungsweise Branchen gelten als besonders gefährdet?

Berghoff: Es gelten eigentlich dieselben Aussagen, die seit Jahren ein ewiger Dauerbrenner in Sachen Sicherheit sind: Ungepatchte Sicherheitslücken in exponierten Systemen sowie geschicktes Social Engineering sind noch immer die Achillesferse vieler Unternehmen. Und viele dieser Unternehmen machen noch immer denselben Fehler: Sie unterschätzen ihr eigenes Gefährdungsprofil und das ihrer Kunden. Doch die NIS-2-Richtlinie hat auch zum Ziel, die Liefer- und Wertschöpfungsketten europaweit widerstandsfähiger gegenüber Angriffen zu machen.

13.09.2023    Madeline Sieland
  • Drucken
Zur Startseite