Der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) für das Jahr 2024 zeichnet ein umfassendes und zugleich besorgniserregendes Bild der Cybersicherheit in Deutschland. Als zentrale Cybersicherheitsbehörde des Bundes hat das BSI die Entwicklungen im Bereich der IT-Sicherheit vom 1. Juli 2023 bis zum 30. Juni 2024 genau beobachtet und analysiert. Die Ergebnisse dieser Analyse sind alarmierend und unterstreichen die Notwendigkeit verstärkter Schutzmaßnahmen für Unternehmen, insbesondere für kleine und mittlere Betriebe (KMU).
Der BSI Lagebericht 2024 beschreibt die IT-Sicherheitslage in Deutschland als weiterhin angespannt. Besonders besorgniserregend ist die zunehmende Professionalisierung und Spezialisierung der Cyberkriminellen. Die cyberkriminelle Schattenwirtschaft hat sich weiter ausdifferenziert, mit einer klaren Arbeitsteilung zwischen Ransomware-Betreibern, deren Partnern (Affiliates) und sogenannten Access Brokern. Diese Entwicklung ermöglicht es den Kriminellen, ihre Angriffe effizienter und zielgerichteter durchzuführen.
Ein beunruhigender Trend, den der Bericht hervorhebt, ist die verstärkte Nutzung von Zero-Day-Schwachstellen für Angriffe. Diese Schwachstellen, für die noch keine Sicherheitsupdates verfügbar sind, werden von Cyberkriminellen genutzt, um in Systeme einzudringen und Daten zu stehlen. Besonders alarmierend ist, dass diese Angriffe zunehmend ohne den Einsatz von Ransomware durchgeführt werden. Stattdessen drohen die Angreifer mit der Veröffentlichung sensibler Daten, um Lösegelder zu erpressen.
Der Bericht identifiziert drei Hauptzielgruppen von Cyberangriffen:
Diese Gruppen sind oft weniger gut geschützt als Großkonzerne und stellen daher ein attraktives Ziel für Cyberkriminelle dar. Die Angriffe auf IT-Dienstleister sind besonders besorgniserregend, da diese oft Zugang zu den Systemen vieler Kunden haben, wodurch ein einzelner erfolgreicher Angriff weitreichende Folgen haben kann.
Der BSI Lagebericht 2024 hebt einige schwerwiegende Vorfälle hervor, die die Dringlichkeit verbesserter Cybersicherheitsmaßnahmen unterstreichen. Ein besonders alarmierendes Ereignis war der Vorfall am 19. Juli 2024, bei dem ein fehlerhaftes Update eines Sicherheitsprodukts von CrowdStrike zu weltweiten IT-Ausfällen mit erheblichen wirtschaftlichen Schäden führte. Dieser Vorfall zeigt deutlich, wie abhängig moderne Unternehmen von funktionierender IT-Infrastruktur sind und wie weitreichend die Auswirkungen von Störungen sein können.
Darüber hinaus verursachten Ransomware-Angriffe auf Kommunen und Unternehmen erhebliche Störungen und finanzielle Verluste. Diese Angriffe verdeutlichen, dass keine Organisation vor Cyberbedrohungen sicher ist und dass kontinuierliche Wachsamkeit und Investitionen in Cybersicherheit unerlässlich sind.
Der BSI Lagebericht 2024 betont die Bedeutung neuer regulatorischer Entwicklungen, die auf Unternehmen zukommen:
Diese neuen Regelungen stellen zwar zunächst eine Herausforderung dar, zielen aber darauf ab, das allgemeine Sicherheitsniveau in Deutschland zu erhöhen.
Basierend auf den Erkenntnissen des BSI Lageberichts 2024 ergeben sich folgende dringende Handlungsempfehlungen für Unternehmen:
Der BSI Lagebericht 2024 macht deutlich: Die Cybersicherheitslage in Deutschland bleibt angespannt, aber es liegt in unserer Hand, sie zu verbessern. Unternehmen, insbesondere KMU, müssen ihre Cybersicherheit dringend verbessern. Die zunehmende Professionalisierung der Cyberkriminellen, die Nutzung fortschrittlicher Angriffsmethoden und die neuen regulatorischen Anforderungen erfordern ein proaktives Handeln seitens der Unternehmen.
Es ist entscheidend, dass Unternehmen die Cybersicherheit nicht als lästige Pflicht, sondern als wesentlichen Bestandteil ihrer Geschäftsstrategie betrachten. Die Initiative “Cybernation Deutschland” des BSI bietet dabei einen Rahmen, um gemeinsam an einem sicheren digitalen Heute und Morgen zu arbeiten.
Durch die Umsetzung der empfohlenen Maßnahmen und die Nutzung der Unterstützungsangebote des BSI können Unternehmen ihre Widerstandsfähigkeit gegen Cyberangriffe erheblich stärken. Dies ist nicht nur für den Schutz des eigenen Unternehmens wichtig, sondern trägt auch zur Stärkung der gesamten deutschen Wirtschaft und Gesellschaft im digitalen Zeitalter bei.
In der heutigen, zunehmend digitalisierten Welt sind Unternehmen auf eine zuverlässige IT-Infrastruktur angewiesen, die nicht nur leistungsstark, sondern auch sicher ist. Ein sicheres Netzwerk ist jedoch nicht nur eine Frage der Verfügbarkeit, sondern auch des Schutzes vor externen und internen Bedrohungen. Hier kommt ZTNA (Zero Trust Network Access) ins Spiel – eine innovative Lösung für die IT-Sicherheit, die den Zugriff auf Unternehmensressourcen sicher und kontrolliert gestaltet.
ZTNA, als Alternative zu herkömmlichen VPN-Technologien, ermöglicht es Benutzern, sicher auf Unternehmensdienste zuzugreifen, ohne dass Anwendungen direkt ins Internet veröffentlicht werden müssen. Das Konzept basiert auf dem Zero-Trust-Modell, bei dem davon ausgegangen wird, dass keinem Benutzer, Gerät oder Dienst – weder intern noch extern – ohne Prüfung vertraut wird. Jeder Zugriff auf Anwendungen und Daten wird kontinuierlich überprüft und nur autorisierten Nutzern gewährt.
Die Technologie nutzt einen Broker als Vermittler zwischen dem Client (z. B. einem Endgerät) und den Unternehmensdiensten. Dieser Broker prüft und authentifiziert sowohl den Benutzer als auch das Gerät und sorgt dafür, dass nur autorisierte Kommunikationspartner sicheren Zugang zu den benötigten Ressourcen erhalten.
ZTNA schützt Ihre Unternehmensressourcen, indem es verhindert, dass Anwendungen oder Dienste direkt aus dem Internet zugänglich sind. Durch die Entkopplung des Zugriffs von der Netzwerkebene wird die Wahrscheinlichkeit von unbefugtem Zugriff durch Angreifer erheblich verringert. Ein ZTNA-System stellt sicher, dass nur berechtigte Nutzer auf die benötigten Anwendungen zugreifen können – unabhängig davon, ob sie im internen Netzwerk oder über das Internet verbunden sind.
Benutzer müssen keine VPN-Verbindung mehr aufbauen oder einen VPN-Client installieren. ZTNA ermöglicht durch Single Sign-On (SSO) und die Nutzung von Microsoft 365-Konten einen einfachen Zugang zu den Anwendungen. Dies reduziert den administrativen Aufwand und steigert die Benutzerfreundlichkeit.
Mit ZTNA haben Administratoren eine präzise Kontrolle darüber, welche Benutzer auf welche Anwendungen zugreifen dürfen. Jede Anwendung wird individuell konfiguriert, sodass nur autorisierte Geräte und Benutzer Zugriff erhalten. Im Vergleich zum VPN ist der Zugriff nicht mehr über das gesamte Netzwerk möglich, sondern nur über explizit freigegebene Anwendungen und Dienste.
Die „Deny All“-Strategie von ZTNA bedeutet, dass per Design keine Verbindungen zugelassen werden, es sei denn, sie wurden explizit autorisiert. Dies macht die Konfiguration sicherer und reduziert das Risiko von Fehlern. Im Vergleich zu VPNs, bei denen Konfigurationsfehler zu Sicherheitslücken führen können, bietet ZTNA einen deutlich höheren Schutz.
Die Implementierung von ZTNA ist einfach: Sobald Benutzer in eine Gruppe aufgenommen wurden, kann der Zugriff auf die jeweiligen Ressourcen durch Aktivierung der ZTNA-Funktion schnell und unkompliziert gewährt werden. Dies spart Zeit und reduziert den Verwaltungsaufwand erheblich.
ZTNA ermöglicht es, mehrere Standorte gleichzeitig und sicher zu verbinden, was besonders für Unternehmen mit verteilten Niederlassungen von Vorteil ist. Der Zugriff auf Unternehmensressourcen ist somit jederzeit und von überall sicher möglich.
Damit ZTNA erfolgreich in Ihrem Unternehmen eingesetzt werden kann, benötigen Sie:
Ein kürzlich aufgetretener Sicherheitsvorfall bei einem unserer Kunden verdeutlicht, wie unerlässlich moderne Sicherheitslösungen wie Managed Detection and Response (MDR) für den Schutz von Unternehmensnetzwerken sind. Wir möchten den Hergang des Vorfalls in diesem Artikel mit Ihnen teilen, um aufzuzeigen, wie entscheidend die 24/7 Überwachung durch Sicherheitsexperten war.
In diesem Fall führte der Aufruf einer grundsätzlich legitimen, jedoch kompromittierten Webseite durch einen Mitarbeiter dazu, dass ein Schadcode auf dessen Computer heruntergeladen wurde. Dank des vorhandenen automatisierten MDR-Services von Sophos konnte sowohl eine Infektion als auch gravierende Folgeschäden effektiv verhindert werden.
So spielte sich der Vorfall im Detail ab: Nach dem Aufruf der kompromittierten Webseite versuchte der Schadcode den Anwender auf eine bekannte Malware-Adresse umzuleiten. Die Sophos Firewall erkannte die Bedrohung umgehend. Der von Sophos Central als schädlich eingestufte Computer wurde von der Heartbeat-Funktion der Firewall sofort in ein separates Netzwerk isoliert. Dies stellte sicher, dass keine weitere Kommunikation mit anderen Geräten stattfinden konnte und dass die Verbindung zum Internet unterbrochen wurde. An dieser Stelle reagierte das Incident-Response-Team umgehend und kontaktierte den Kunden, um das weitere Vorgehen abzuklären.
Der Computer wurde vom MDR-Team mehrere Stunden lang auf weitere Auffälligkeiten geprüft, um das Außmaß der identifizierten Bedrohung zu erfassen. Mit dieser forensischen Untersuchung konnten die Experten die Art des Angriffs, den Zeitpunkt, die betroffenen Bereiche sowie den Schweregrad einordnen. Die gründliche Prüfung lieferte hier keine weiteren ungewöhnlichen Vorkommnisse und ein Abfluss von Daten wurde als unwahrscheinlich eingestuft. Das Team gab dem Kunden daraufhin klare Handlungsempfehlungen, die von der lokalen IT unmittelbar umgesetzt wurden. Dazu gehörte die Sperrung der Malware-Adresse, das Ändern aller im Gebrauch befindlichen Passwörter sowie das Leeren des Browser-Caches. Nach erfolgreichem Abschluss dieser Maßnahmen wurde der betroffene Computer wieder für das normale Netzwerk freigegeben.
Dieser Vorfall zeigt, dass MDR nicht nur in der Lage ist, Bedrohungen frühzeitig zu erkennen, sondern auch mit Sofortmaßnahmen schnell und effektiv darauf zu reagieren, um eine weitere Ausbreitung zu verhindern. Die Kombination aus menschlicher Expertise und fortschrittlicher Technologie macht diesen Managed Detection and Response Service so effektiv. Durch Vorfälle wie diesen wird aber auch deutlich, dass Schulungen und Sensibilisierungen von Mitarbeitenden allein nicht ausreichen, um alle Sicherheitsrisiken abzudecken. Hier war kein Fehlverhalten des Mitarbeitenden erkennbar. In Zeiten konstant zunehmender Cyberbedrohungen sind Endpoint Security-Lösungen wie MDR aus unserer Sicht nicht mehr wegzudenken.
Mehr Informationen zu MDR finden Sie hier in diesem Beitrag. Vereinbaren Sie gerne einen kostenlosen unverbindlichen Beratungstermin für Ihre maßgeschneiderte MDR-Lösung.
Es vergeht kaum eine Woche, in der nicht über einen Cybervorfall berichtet wird. Die mediale Aufmerksamkeit richtet sich aber meist nur auf Vorfälle bei Großkonzernen wie Varta oder Thyssenkrupp. Sicherheitsvorfälle im Mittelstand hingegen finden selten überregionale Beachtung, obwohl diese Firmen das Rückgrat der deutschen Wirtschaft bilden. Diese selektive Berichterstattung könnte den Eindruck erwecken, dass kleine und mittelständische Unternehmen (KMU) für Cyberkriminelle weniger interessant sind und daher seltener angegriffen werden. Doch genau diese Annahme ist trügerisch. Die geringere Sichtbarkeit in der Medienlandschaft sollte KMU nicht in Sicherheit wiegen.
Ganz im Gegenteil: KMU verwalten äußerst sensible Daten und stellen oft aufgrund von niedrigeren Sicherheitsvorkehrungen leichtere Ziele für Angreifer dar. Sie sind zudem als Zulieferer eine vielversprechende Schwachstelle im Sicherheitsnetzwerk größerer Unternehmen. Die weit verbreitete Ansicht, dass nur große Unternehmen lukrative Ziele sind, ist also irreführend und kann schwerwiegende Folgen nach sich ziehen.
In diesem Artikel beleuchten wir die Herausforderungen, denen sich KMU im Bereich der Cybersicherheit stellen müssen, denn es ist unbestreitbar, dass auch sie sich im Visier von Cyberkriminellen befinden. Anhand eines konkreten Beispiels veranschaulichen wir Ihnen die verheerenden Folgen eines Cyberangriffs. Darüber hinaus geben wir Ihnen praxisnahe Empfehlungen, wie Sie Ihr KMU bestmöglich vor potenziellen Cyberangriffen schützen können.
Inhalte:
Das BSI weist in seinen Publikationen immer wieder darauf hin, dass viele kleine und mittelständische Unternehmen, die im Zuge der Digitalisierung entstanden sind, nicht ausreichend gegen die Gefahren im Cyberraum gewappnet sind und häufig die Schwere der Folgen eines externen Angriffs unterschätzen. Unsere Praxiserfahrung sowie die Vorfälle der letzten Jahre bestätigen diese Beobachtung. Es gibt einige Herausforderungen, denen sich KMU stellen sollten:
Der Markt entwickelt sich unaufhaltsam in einem schnelllebigen Tempo weiter, und auch die Konkurrenz bleibt nicht untätig. Um wettbewerbsfähig zu bleiben, setzen KMU daher verstärkt auf eine schnelle Digitalisierung ihrer Prozesse und Geschäftsmodelle. Doch diese digitale Transformation bringt nicht nur Vorteile mit sich. Mit dem vermehrten Einsatz technischer Systeme, wächst auch die potenzielle Angriffsfläche für Cyberkriminelle. Gleichzeitig wird es zunehmend anspruchsvoller, die Komplexität der digitalen Infrastruktur zu managen und den Überblick zu bewahren.
Eine der größten Herausforderungen in der Cybersicherheit ist der Mensch. Viele KMU verfügen oft weder über eine eigene IT-Sicherheitsabteilung noch über spezialisierte Fachkräfte, die umfassend mit den vielfältigen Aspekten der IT-Sicherheit vertraut sind. Dadurch werden Sicherheitslücken nicht rechtzeitig erkannt und präventive Standardmaßnahmen werden vernachlässigt oder bleiben ungenutzt. Darüber hinaus stellen Mitarbeitende das schwächste Glied in der Sicherheitskette dar – sei es aufgrund mangelnden Know-hows, Unachtsamkeit oder gezielter Manipulation. Eine unzureichende Sensibilisierung führt dazu, dass Bedrohungen wie Phishing-Mails häufig unterschätzt und nicht angemessen gehandhabt werden.
Ein weiteres drängendes Problemfeld, mit dem sich KMU auseinandersetzen müssen, ist das Fehlen klarer Strukturen und Verantwortlichkeiten. Oft mangelt es an etablierten Prozessen für ein effektives Bedrohungs-, Risiko- und Krisenmanagement. Ohne vordefinierte Abläufe und eindeutige Zuständigkeiten bleibt unklar, wer im Ernstfall welche Rolle übernimmt, und welche Pflichten jeder Mitarbeitende trägt. Dieses Defizit reicht häufig bis in die Führungsebene, bei der das Bewusstsein für die zahlreichen Sicherheitsrisiken oft unzureichend ausgeprägt ist. Diese Versäumnisse können im Ernstfall wertvolle Zeit kosten und die Reaktionsfähigkeit erheblich einschränken.
Die enge Vernetzung und Abhängigkeit von Unternehmen im Zuge der Globalisierung bringt neue Gefahren mit sich, da Bedrohungen auch vor Lieferketten nicht Halt machen. Bereits eine einzige Schwachstelle innerhalb der Lieferkette kann ausreichen, um ein Produktionsnetzwerk zu kompromittieren und die gesamte Produktion zum Stillstand zu bringen. Gleichzeitig steigen die Kundenerwartungen an die Sicherheitsstandards ihrer Zulieferer. Das ist für den Vertrauensaufbau ein entscheidender Aspekt. Mit neuen Gesetzen wie der NIS2 Richtlinie werden Großunternehmen die Sicherheitsanforderungen nun entlang ihrer gesamten Lieferkette weiterreichen. Das zwingt KMU, die oft als Zulieferer fungieren, dazu, angemessene Sicherheitsmaßnahmen zu ergreifen, um Wettbewerbsnachteile zu vermeiden.
Die beschriebenen Herausforderungen verdeutlichen eindringlich, wie essenziell es ist, sich mit der eigenen Cybersicherheit auseinanderzusetzen. Anhand eines Szenarios möchten wir Ihnen musterhaft veranschaulichen, welche schwerwiegenden Folgen ein Ransomware-Angriff für ein mittelständisches Maschinenbau-Unternehmen haben kann.
Stellen Sie sich vor, Sie beginnen wie gewohnt Ihren Arbeitstag und widmen sich Ihren Aufgaben. Während im Hintergrund, ohne dass Sie etwas mitbekommen haben, die unsichtbare Bedrohung wirkt. Unbemerkt hat sich ein Hacker, z.B. über eine Schwachstelle, Zugang zu den Firmensystemen verschafft und spioniert diese schon länger aus. Sobald er genügend Zugriffsprivilegien hat, leitet er seinen Angriff ein. An diesem Tag ist es so weit: er initiiert den Angriff. Plötzlich bemerken Sie, dass Ihr Rechner und die Produktionsnetzwerke Ihrer Mitarbeitenden funktionsunfähig sind. Auf den Bildschirmen der Steuerungsrechner erscheint lediglich eine Nachricht der Erpresser mit einer Forderung nach Lösegeld.
Natürlich sind Sie und alle anderen erstmal geschockt. Sie, als Mitglied der Führungsebene, stehen nun vor der Herausforderung, zu entscheiden, wie am besten vorgegangen werden soll. Da solch ein Fall bisher noch nicht eingetreten ist, kontaktieren sie die Polizei. Nach Rücksprache mit Polizei und Staatsanwaltschaft wird beschlossen, das geforderte Lösegeld nicht zu zahlen. IT-Spezialisten sind nun gefordert, die Schadsoftware von sämtlichen Systemen zu entfernen und die Daten aus den Backups wiederherzustellen. Bis dieser Prozess abgeschlossen ist, ruht die Produktion, und viele Mitarbeitende können Ihrer Arbeit nicht nachgehen.
Darüber hinaus können die IT-Experten nicht ausschließen, dass auch sensible Daten, möglicherweise vertrauliche Betriebsgeheimnisse von Vertragspartnern, entwendet wurden. Diese müssen vorsorglich darüber informiert werden. Neben den finanziellen Schäden kann ein solcher Vorfall auch zu einer tiefgreifenden Vertrauenskrise führen. Der bisher tadellose Ruf des Unternehmens kann erheblichen Schaden nehmen, was im schlimmsten Fall dazu führen kann, dass Kunden sich abwenden und die Umsätze sinken. Ein einziger Ransomware-Angriff kann somit die Existenz Ihres mittelständischen Unternehmens ernsthaft gefährden.
Um solch ein Szenario zu vermeiden, gilt wie immer die Devise: Prävention ist besser als Reaktion. Anstatt unvorbereitet reagieren zu müssen, sollten Sie frühzeitig Sicherheitsmaßnahmen ergreifen, um potenzielle Risiken auf ein akzeptables Niveau zu senken. Neben der Implementierung technischer Sicherheitsvorkehrungen ist es entscheidend, auch in die Schulung der Mitarbeitenden zu investieren.
Durch gezielte Vorbereitungsmaßnahmen können Sie nicht nur Cyberangriffe effektiver abwehren, sondern auch die Resilienz Ihres Unternehmens stärken und nachhaltig wettbewerbsfähig bleiben. In einem unserer letzten Beiträge „Cyberhygiene im Kontext der NIS-2 Richtlinie“ haben wir Ihnen bereits neun Best Practices vorgestellt, die Ihre IT-Abteilung routinemäßig umsetzen sollte. Besonders hervorheben möchten wir nochmals diese Basics für mehr Cybersicherheit:
Etablieren Sie eine Unternehmenskultur, in der Cybersicherheit als gemeinschaftliche Verantwortung wahrgenommen wird. Dies kann z.B. durch regelmäßige Awareness-Schulungen und Phishing-Simulationen erreicht werden.
Führen Sie eine Bestandsaufnahme und Schutzbedarfsfeststellung der Unternehmenswerte durch. Eine gründliche Risikoanalyse ist unerlässlich, um Ihre Schutzziele präzise festzulegen und anschließend angemessene Sicherheitsmaßnahmen zu implementieren.
Erstellen Sie für den Ernstfall einen IT-Notfallplan mit einer klaren Rollenverteilung. Ein strukturierter Notfallplan gewährleistet, dass alle Beteiligten wissen, welche Schritte und welche Rollen im Ernstfall zu unternehmen sind. Eine schnelle Reaktionsfähigkeit ist von unschätzbarem Wert.
Führen Sie regelmäßig Datensicherungen durch, um Datenverlust zu vermeiden. Das ermöglicht im Ernstfall eine schnelle Wiederherstellung der Systeme. Was Sie bei der Erstellung eines Backup-Konzepts beachten sollten, erfahren Sie hier.
Für KMU ist die Investition in Cybersicherheit weit mehr als ein bloßer Schutzmechanismus, sondern auch ein entscheidender Faktor für die langfristige Wettbewerbsfähigkeit auf dem Markt. Kunden erwarten, dass ihre Daten bei Ihnen sicher sind – verspielen Sie diesen wertvollen Vertrauensvorteil nicht. Machen Sie Cybersicherheit zum integralen Bestandteil Ihrer Geschäftsstrategie, denn spätestens entlang der Lieferkette werden Sie dazu gezwungen sein, sich intensiver mit der Sicherheit Ihrer IT-Landschaft auseinanderzusetzen. Wer also dem Irrglauben verfällt, KMU seien keine lukrativen Ziele für Angriffe, und nicht proaktiv handelt, setzt nicht nur finanzielle Ressourcen aufs Spiel, sondern gefährdet auch die Zukunftsfähigkeit des Unternehmens.
Wir beraten Sie mit einer fundierten rechtlichen Expertise sowie unserer langjährigen Erfahrung in der Implementierung von sicheren IT-Lösungen und Informationssicherheits-Managementsystemen.
Globale Lieferketten prägen heutzutage unseren Arbeitsalltag und bilden das Rückgrat unserer modernen Wirtschaft. Gerade diese enge Vernetzung und Abhängigkeit machen sie jedoch auch zu attraktiven Zielen für sogenannte „Supply Chain Attacks“ durch Cyberkriminelle. Schon eine einzelne Schwachstelle in der Lieferkette kann ausreichen, um ganze Warenströme und Produktionsnetzwerke zu unterbrechen und erhebliche wirtschaftliche Schäden anzurichten. Die IT-Sicherheit in der Lieferkette ist daher entscheidend.
Die Europäische Union hat deshalb mit NIS-2 auf diese wachsenden Bedrohungen im Cyberraum reagiert. Neben KRITIS-Betreibern werden zukünftig auch für ca. 30.000 weitere betroffene deutsche Unternehmen rechtliche Vorgaben zur Cybersicherheit verpflichtend werden, darunter auch Sicherheitsmaßnahmen zur Sicherung der Lieferkette (Artikel 21d).
In diesem Beitrag erläutern wir, warum Angriffe auf die Lieferkette für Cyberkriminelle besonders lukrativ sind und wie Sie als Unternehmen der IT-Sicherheit in der Lieferkette praxisorientiert begegnen können, damit Ihre Lieferkette nachhaltig robust aufgestellt ist und funktionsfähig bleibt. Denn eines steht fest: Die Absicherung der Lieferkette ist heutzutage Pflicht und keine Kür – unabhängig von gesetzlichen Vorgaben wie NIS-2!
Inhalte:
Cyberkriminelle zielen darauf ab, sich unautorisierten Zugriff auf lukrative Unternehmen und Organisationen mit vielen sensiblen Daten zu verschaffen. Da diese profitablen Ziele aber meist über gut abgesicherte Systeme verfügen, wählen sie oft den Umweg über ein vermeintliches schwächeres Glied in der Lieferkette. Ihr Ziel ist es, entlang der Wertschöpfungskette eine Schwachstelle zu finden und dort gezielt anzusetzen.
Ein mögliches Szenario könnte so aussehen: Der Hacker entdeckt eine Sicherheitslücke bei einem Dienstleister oder Lieferanten, beispielsweise veraltete Software oder unzureichend gesicherte Fernwartungszugänge. Über diese Schwachstelle verschafft er sich Zugriff auf das Netzwerk des Dienstleisters. Da der Dienstleister vertrauenswürdige Verbindungen zum Netzwerk des Kundenunternehmens hat, kann der Hacker die Verbindung nutzen, um sich weiter in das Zielnetzwerk vorzuarbeiten. Falls keine direkte Verbindung besteht, können die erlangten Informationen genutzt werden, um nun gefälschte E-Mails im Namen der kompromittierten Accounts zu versenden. Diese können Schadsoftware oder Phishing-Links enthalten. Wenn Mitarbeitende des Kundenunternehmens diese E-Mail öffnen, breitet sich die Schadsoftware weiter im Netzwerk des Kunden aus. Mit jeder weiteren Infiltration werden die Angriffe ausgeweitet, bis das Endziel erreicht ist – sei es der Datendiebstahl, Lösegelderpressung oder der vollständige Stillstand von Geschäftsprozessen.
Viele Organisationen stehen vor der Herausforderung, wie sie das Thema der Supply Chain Security angehen können. Klar ist: Cybersicherheit wird spätestens 2024 mit NIS-2 „noch mehr“ zur Chefsache, was bedeutet, dass die Führungsebene sich mit der eigenen Cybersicherheit auseinandersetzen muss und nach dem Top-Down-Prozess eine klare Sicherheitsstrategie sowie entsprechende Richtlinien festlegen sollte.
Ein erster wichtiger Schritt ist die Erstellung eines umfassenden Inventars aller mit dem Unternehmen verbundenen direkten Lieferanten und Dienstleister, um einen klaren Überblick zu gewinnen. In diesem Zusammenhang gilt es auch zu ermitteln, wer die wichtigsten Lieferanten sind, welche spezifischen Verbindungen bzw. Beziehungen zu ihnen bestehen und welche wertvollen Informationen geteilt werden. Als Unternehmen können Sie sich dabei z.B. folgende Fragen stellen: Welche Netzwerkverbindungen existieren? Welche Fernwartungsverbindungen existieren? Sind klare Berechtigungsstrukturen etabliert? Welche Folgen hätte ein Ausfall eines Dienstleisters z.B. durch einen Cyberangriff? Der Ausfall welches Lieferanten würde das Unternehmen am meisten treffen?
Nachdem ein Überblick geschaffen wurde, ist es entscheidend, für jeden Lieferanten eine Risikoanalyse durchzuführen, um die potenziellen Risiken zu evaluieren. Hierbei sollte analysiert werden, welche Angriffsszenarien und Risiken denkbar sind und welche potenziellen Auswirkungen ein Ausfall für das eigene Unternehmen entstehen könnten. In diesem Zuge empfiehlt es sich, die technisch-organisatorischen IT-Sicherheitsmaßnahmen der Geschäftspartner abzufragen. Dies erfordert deren aktive Mitwirkung.
Anschließend sollten konkrete Risikokriterien und Anforderungen festgelegt werden, die Geschäftspartner erfüllen müssen, um eine erfolgreiche und sichere Zusammenarbeit zu gewährleisten. Auch an eine kontinuierliche Überwachung dieser Kriterien sollte gedacht werden z.B. in Form von Audits, um sicherzustellen, dass die Partnerschaften stets den höchsten Standards entsprechen und Risiken minimiert werden. Eine abteilungsübergreifende Zusammenarbeit ist dabei hilfreich.
Um das Risiko im vulnerablen Lieferketten-System zu mindern und potenzielle Schwachstellen zu verhindern, können Sie als von NIS-2 betroffenes Unternehmen ihre Zulieferer oder Dienstleister vertraglich dazu verpflichten, gewisse IT-Sicherheitsstandards zu erfüllen. Das erfordert dann selbst von kleineren Zulieferern eine intensive Auseinandersetzung mit dem Thema IT-Sicherheit, um wettbewerbsfähig zu bleiben und nicht aufgrund fehlender Sicherheitsstandards benachteiligt zu werden. Auch wenn Unternehmen nicht direkt von der NIS-2 Richtlinie betroffen sind, können sie durch die Lieferkette dennoch gezwungen werden, definierte IT-Sicherheitsmaßnahmen umzusetzen, der sogar ein Nachweis über einen zertifizierten Standard sowie die Umsetzung der Risikomaßnahmen aus NIS-2 vorzuweisen. Daher ist es stets ratsam, die Absicherung der eigenen IT-Landschaft auch unabhängig von der Unternehmensgröße zu priorisieren.
Mit einem zertifizierten Informationssicherheits-Managementsystem (ISMS) z.B. nach ISO 27001 hat Ihr Unternehmen eine solide Basis, um im nächsten Schritt die Anforderungen der NIS-2 Richtlinie zu erfüllen. Ein ISMS stellt nicht nur dar, dass Sie bereits wesentliche Schutzmaßnahmen in Ihrem Unternehmen umgesetzt haben, sondern auch, dass Sie sich kontinuierlich und intensiv mit Cybersicherheit und Informationssicherheit auseinandersetzen. Die Etablierung eines Risikomanagements und weiterer Maßnahmen im Rahmen des ISMS decken viele Anforderungen der NIS-2 Richtlinie ab, die nur noch um wenige zusätzliche bzw. konkretere Anforderungen erweitert werden müssen.
In unserer globalisierten Wirtschaft ist eine sichere Lieferkette für jedes Unternehmen unerlässlich, um kostenintensive Betriebsunterbrechungen zu verhindern und das langfristige Vertrauen der Kund:innen zu bewahren. Eine robuste Supply Chain Security mit gut abgesicherten Partnerunternehmen spielt dabei eine zentrale Rolle. NIS-2 sollte deshalb nicht nur als neue unangenehme gesetzliche Verpflichtung betrachtet werden, sondern auch als Chance, mit verbesserter Cybersicherheit die eigene Wettbewerbsfähigkeit und Effizienz auf dem Markt zu stärken. Nutzen Sie daher den Übergangszeitraum und investieren Sie in ganzheitliche präventive Sicherheitsmaßnahmen, wie beispielsweise die Einführung eines ISMS, um potenzielle Imageverluste oder wirtschaftliche Schäden zu vermeiden. Wir stehen Ihnen auf dem Weg zu mehr Informationssicherheit unterstützend zur Seite!
Wir beraten Sie mit einer fundierten rechtlichen Expertise sowie unserer langjährigen Erfahrung in der Implementierung von sicheren IT-Lösungen und Informationssicherheits-Managementsystemen.
In der NIS-2 Richtlinie werden zahlreiche Mindestanforderungen an Risikomanagementmaßnahmen definiert, die von betroffenen Unternehmen umgesetzt werden müssen. In Deutschland ist die Einführung des Umsetzungsgesetzes (NIS2UmsuCG) laut Artikel 41 für den 17. Oktober 2024 geplant. Etwas später als erwartet, ist nun im Mai 2024 der neue Referentenentwurf vom Bundesinnenministerium (BMI) veröffentlicht worden und enthält zur letzten Version nur einige punktuelle Anpassungen.
Artikel 21 der Richtlinie führt auch in dem neuen Entwurf eine Auflistung an obligatorischen Risikomanagementmaßnahmen auf, von denen wir einige bereits in unseren letzten News-Beiträgen näher erläutert haben. Ein weiterer wesentlicher Bestandteil der IT-Sicherheit, der in Absatz 2 explizit genannt wird, ist die Einführung von grundlegenden Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit.
In diesem Beitrag möchten wir Ihnen erläutern, was unter dem recht breit gefassten Begriff Cyberhygiene zu verstehen ist und welche bewährten IT-Sicherheitsbasics in jedem Unternehmen standardmäßig gepflegt werden sollten, ähnlich wie das tägliche Zähneputzen für die Mundhygiene. Denn jede gute Cyberhygiene beginnt mit einem Verständnis und dem Bewusstsein für die potenziellen Gefahren im Cyberraum. Die konsequente Umsetzung von fundamentalen Sicherheitspraktiken durch die IT-Abteilung ist entscheidend, um die Sicherheit Ihrer digitalen Umgebung verantwortungsbewusst zu gewährleisten und potenzielle Risiken zu minimieren, auch unabhängig von gesetzlichen Vorgaben.
Inhalte:
Cyberhygiene ist ein weit gefasster Begriff, der als die Gesamtheit aller grundlegenden präventiven IT-Sicherheitspraktiken, Denkweisen und Verhaltensmuster definiert werden kann, die Personen innerhalb einer Organisation verinnerlichen sollten, um eine stabile IT-Sicherheitskultur zu etablieren. Das Ziel der Cyberhygiene besteht darin, die IT-Sicherheit zu stärken und potenzielle Sicherheitsrisiken zu minimieren. Ähnlich wie bei der Körperhygiene sollten diese Praktiken durch Routine und Wiederholung zur Gewohnheit werden.
Die routinemäßige Ausführung bestimmter Sicherheitsmaßnahmen hilft dabei, zahlreichen IT-Problemen unserer digitalen Ära präventiv entgegenzusteuern und die Gesundheit der Systeme zu gewährleisten. Gemäß der Devise – lieber vorbeugen als heilen! Gerade in diesen krisenbehafteten Zeiten, in denen Angriffe immer noch raffinierter und professioneller werden, können vorbeugende Sicherheitspraktiken oft entscheidend sein. Das Risiko, Opfer eines Sicherheitsvorfalls zu werden kann dadurch auf ein akzeptables Niveau gesenkt werden. Durch die konsequente Ausführung von etablierten Praktiken schützen Sie somit Ihre wertvollen Firmendaten und Ihre Systeme. Auch veraltete Software oder nicht mehr aktuelle Berechtigungen können durch diese Routineaufgaben aufgespürt und bereinigt werden. Sie verfügen damit über die bestmögliche Effizienz und Funktionalität der eingesetzten Software.
Hacker lauern oft darauf, eine Schwachstelle in einem System zu finden um ihren Angriff starten zu können. Mit einem Patch, also einem “Flickstück”, können Sie diesem Risiko entgegenwirken. Patches schließen Sicherheitslücken in Systemen und Anwendungen, beheben Programmfehler und verhindern dadurch erfolgreich Malware-Angriffe durch Cyberkriminelle. Diese regelmäßigen Updates verbessern sowohl die technische Leistung der Software als auch die Sicherheit der Software.
Das Erstellen, Verwalten und Wiederherstellen von Sicherheitskopien sollte ein essenzieller Teil Ihrer Cyberhygiene-Routine sein. Sie schützen sich dadurch vor fatalen Datenverlusten bei Hardwareausfällen, menschlichem Versagen oder Cyberangriffen. Außerdem gewährleisten Sie die Aufrechterhaltung der Geschäftskontinuität und eine schnelle Rückkehr zum Normalbetrieb im Falle eines Angriffs. Wie man ein Backup-Konzept erstellt, haben wir für Sie hier zusammengefasst.
Ein sicheres und stark generiertes Passwort ist ein einfacher, aber äußerst effektiver Schutz für Ihre digitalen Benutzerkonten. Verwenden Sie bei der Erstellung möglichst viele Zeichen und vergeben Sie für jedes Nutzerkonto ein einzigartiges Passwort. Mit einem digitalen Passwortmanager können Sie zahlreiche komplexe Passwörter professionell verwalten, ohne sie sich merken zu müssen.
Das Prinzip der geringsten Privilegien besagt, dass Benutzerkonten immer nur die Zugriffsrechte erhalten sollten, die sie für die erfolgreiche Ausführung ihrer Aufgaben benötigen und ist ein zentrales Element des Identity- und Accessmanagements. Durch die Anwendung des Prinzips erhöhen Sie die Sicherheit Ihrer Systeme, behalten die Kontrolle über Zugriffsrechte und sparen durch die automatische Authentifizierung und Autorisierung wertvolle Ressourcen. Gemäß dem Zero-Trust-Grundprinzip sollte keinem Anwender, Gerät oder Dienst vertraut werden und Zugriffe sowie Berechtigungen nur bei erforderlichen Arbeitsprozessen genehmigt werden.
Eine der effektivsten und einfachsten Methoden zur Verbesserung der IT-Sicherheit ist die Nutzung der Multi-Faktor-Authentifizierung. Dieser mehrstufige Anmeldeprozess fügt nach Eingabe der Nutzerdaten eine weitere Verifizierungsebene hinzu, die mehr Schutz vor automatisierten Cyberangriffen bietet. Mögliche Überprüfungsfaktoren können beispielsweise ein biometrischer Fingerabdruck, eine Sicherheitsfrage oder die Eingabe eines Einmalpassworts sein.
Angesichts der erhöhten Gefahr im Cyberraum benötigen Unternehmen heutzutage moderne Next-Gen-Endpointsecurity-Lösungen wie MDR oder EDR. Warum ein klassischer Virenschutz heutzutage nicht mehr ausreicht, erfahren Sie hier in einem unserer Webinare. Diese ganzheitlichen Sicherheitslösungen helfen dabei, verdächtige Aktivitäten frühzeitig zu erkennen, zu analysieren sowie angemessen auf die Bedrohungen zu reagieren. Qualifizierte IT-Experten überwachen Ihre Umgebung dabei rund um die Uhr, sodass sich Ihre IT-Abteilung auf die Kernarbeitsprozesse konzentrieren kann.
Durch die Aufteilung des Unternehmensnetzwerks in separate Segmente und VLANs können Sie im Falle eines Angriffs die Ausbreitungswelle in die weitere Umgebung wirksam eindämmen und die Auswirkungen durch Isolation begrenzen. Vor allem die Bereiche sollten getrennt werden, die entweder nur bedingt oder überhaupt nicht miteinander vernetzt sind, wie zum Beispiel verschiedene Fachabteilungen oder Produktionsmaschinen. Die Netzwerksegmentierung erleichtert auch die Überwachung des Datenverkehrs und die Durchsetzung von Sicherheitsrichtlinien. Es macht einen erheblichen Unterschied, ob bei einem Angriff nur ein Segment infiltriert ist oder das gesamte Firmennetzwerk neu aufgesetzt werden muss. Noch mehr erfahren Sie hier in unserem Webinar.
Um bestmöglich auf unvorhergesehene Sicherheitsvorfälle vorbereitet zu sein und diese auch so schnell wie möglich erfolgreich bewältigen zu können, ist es unerlässlich, über einen etablierten IT-Notfallplan zu verfügen. Der erarbeitete Plan legt die einzelnen Schritte fest, die bei einem konkreten Vorfall strukturiert abgearbeitet werden müssen. Klare Prozesse und effektive Tools des Incident-Response-Managements helfen Ihnen dabei, die Auswirkungen eines konkreten Sicherheitsereignisses zu minimieren und größere Schäden zu verhindern.
Durch Schulungen von Fachexperten und realistische Phishing-Simulationen können Sie Ihre Mitarbeitenden abteilungsübergreifend für die alltäglichen Risiken im Cyberraum sensibilisieren. Dadurch wird der Risikofaktor Mensch auf ein akzeptables Niveau gesenkt. Im Falle eines Angriffs sind sofort alarmierte Mitarbeitende mit einer schnellen Reaktionszeit ein entscheidender Erfolgsfaktor.
Der Mensch ist leider oft das schwächste Glied in der Sicherheitskette und nach wie vor das größte Einfallstor, wenn es um Cyberangriffe geht. Die meisten Hackerangriffe starten mit einer simplen Phishing-E-Mail, die bei Eingabe von Nutzerdaten eine umfangreiche Infektionskette auslösen kann. Ein voreiliger Klick auf einen vermeintlich harmlosen Link in einer unbekannten E-Mail kann schnell passieren. Im Worst Case kann das sogar zum Produktionsstillstand und zu erheblichen finanziellen Verlusten führen. Daher ist es entscheidend, ein Bewusstsein für die vielfältigen Gefahren der Online-Welt zu entwickeln und zu verstehen, wie man sich in einer solchen Situation angemessen verhält. Schulungen sowie Phishing-Simulationen mit realistischen Szenarien helfen Ihnen dabei, die neuesten Angriffstechniken zu verstehen und sich optimal auf potenzielle Angriffe vorzubereiten.
Auch unabhängig von der Gesetzeslage sollten diese grundlegenden IT-Sicherheitspraktiken heutzutage nicht mehr optional sein, sondern wie das Wort „Cyberhygiene“ schon vermuten lässt, als eine unverzichtbare Pflicht betrachtet werden, denn sie bilden das Fundament zum Schutz der IT-Infrastruktur und der wertvollen Geschäftsdaten. Angesichts der zunehmend verschärften Bedrohungslage ist es wichtiger denn je, ein breites Spektrum an proaktiven Maßnahmen zu ergreifen, um die eigene digitale Infrastruktur zu stärken und Risiken zu minimieren. Auch die Etablierung und Förderung einer Bewusstseinskultur im Unternehmen bildet eine zentrale Säule für den Schutz Ihrer wertvollen Daten und den langfristigen Erfolg des Unternehmens.
Worauf warten Sie also noch? – Beginnen Sie am besten heute noch damit, die genannten Best Practices einzuführen und anzuwenden! Wir unterstützen Sie auf dem Weg zu mehr Cybersicherheit und zur NIS-2 Compliance.
Unsere zertifizierten Cybersicherheits-Experten bündeln Ihr Know-How mit unserem Partner LiiDu (Rechtsanwalt mit IT-Know-How), damit Sie auf der sicheren Seite sind. In unserem kostenfreien Beratungsgespräch überprüfen wir die Betroffenheit Ihres Unternehmens und klären offene Fragen zu NIS-2.
Wir hoffen, dass wir Ihnen mit diesem Beitrag einen guten Überblick über den Begriff Cyberhygiene im Kontext von NIS-2 geben konnten. Im nächsten Beitrag im Juni machen wir einen Deep-Dive in eine weitere der aufgeführten Risikomanagementmaßnahmen der NIS-2 Richtlinie.
Wir beraten Sie mit einer fundierten rechtlichen Expertise sowie unserer langjährigen Erfahrung in der Implementierung von sicheren IT-Lösungen und Informationssicherheits-Managementsystemen.
In weniger als sechs Monaten tritt die Umsetzung der europäischen NIS-2 Richtlinie (NIS2UmsuCG) in Deutschland in Kraft, mit dem klaren Ziel, das Cybersicherheitsniveau in bestimmten Sektoren deutlich zu verbessern. Artikel 21 der EU-Richtlinie legt bereits zahlreiche Mindeststandards für Risikomanagementmaßnahmen fest, die von betroffenen Unternehmen umgesetzt werden müssen, einschließlich Maßnahmen zur Bewältigung von Sicherheitsvorfällen gemäß Absatz 2b (Incident handling).
In diesem Beitrag stellen wir Ihnen das Incident Response Management (IRM) vor. Die Etablierung dieses systematischen Ansatzes unterstützt Unternehmen dabei, nicht nur gesetzliche Anforderungen erfolgreich zu erfüllen, sondern auch ihre Cyberresilienz zu stärken. Sicherheitsvorfälle können leider nicht immer gänzlich verhindert werden, jedoch können sie durch professionelles Handeln schnell und wirkungsvoll bewältigt werden.
Inhalte:
Ein Sicherheitsvorfall kann als physische oder digitale Verletzung der Schutzziele der Informationssicherheit – Verfügbarkeit, Vertraulichkeit, Integrität – definiert werden. Solche Incidents, jegliche Störungen eines IT-Services, können sowohl vorsätzlich durch unbefugte Personen als auch unbeabsichtigt durch Verstöße gegen Sicherheitsrichtlinien seitens der Mitarbeitenden erfolgen.
Mögliche physische und digitale Sicherheitsvorfälle sind:
In unserer digitalen Ära bietet leider keine Sicherheitsmaßnahme einen 100% Schutz vor Cyberangriffen durch kriminelle Vereinigungen. Es stellt sich nicht mehr die Frage, ob ein Angriff erfolgt, sondern vielmehr wann er eintritt. Um bestmöglich auf solche Ernstfälle vorbereitet zu sein, benötigen Unternehmen klare Prozesse und effektive Tools, um schnell und effizient auf Sicherheitsvorfälle reagieren zu können. Hier kommt das Incident Response Management ins Spiel.
Das IRM umfasst sowohl die organisatorische als auch die technische Planung sowie die Umsetzung spezifischer Maßnahmen, um angemessen und rasch auf konkrete Sicherheitsvorfälle wie etwa einen Cyberangriff zu reagieren, sobald dieser tatsächlich eintritt.
Das Ziel von IRM besteht darin, die Auswirkungen des konkreten Ereignisses zu minimieren und die betriebliche Störung so gering wie möglich zu halten. Durch Incident Response kann ein Unternehmen potenzielle Schäden begrenzen und die Wiederherstellung seiner normalen Betriebsabläufe beschleunigen.
Um für den Ernstfall gerüstet zu sein, ist die Entwicklung und Etablierung eines sogenannten Incident Response-Plans essenziell. Dieser Plan legt genau fest, mit welchen Technologien und Prozessen verschiedene Arten von Angriffen praktisch behandelt werden.
Der Incident Response Plan sollte folgendes enthalten:
Der Lebenszyklus von Incident-Response kann in sechs Phasen gegliedert werden, der die Planung, Vorbereitung, Erkennung, Reaktion und Erholung im Falle eines Cybersicherheitsvorfalls umfasst. Dadurch werden kritische Vermögenswerte bestmöglich geschützt und die Betriebskontinuität angesichts von Cyberbedrohungen sichergestellt.
Die erste Phase legt den Grundstein für den gesamten Prozess und spielt eine entscheidende Rolle für den Erfolg oder Misserfolg. Bestehende Prozesse werden einer gründlichen Überprüfung unterzogen, um ihre Effektivität zu bewerten. Dabei wird ein Risiko-Assessment durchgeführt, um aktuelle Bedrohungen für die wertvollen IT-Assets zu identifizieren. Die Ergebnisse dienen dazu, die Behandlung unterschiedlicher Arten von Sicherheitsvorfällen festzulegen und entsprechend der Wichtigkeit der Assets zu priorisieren. Außerdem werden fehlende Prozesse und Verfahren zur Vorfallsreaktion entwickelt. Beteiligte Rollen werden Mitarbeitenden bzw. weiteren Personen zugewiesen, um die Verantwortlichkeiten zu klären und sich abzustimmen.
Die etablierten Prozesse und Lösungen, die in der Vorbereitungsphase gemeinsam implementiert wurden, kommen nun zum Einsatz, um ungewöhnliche Aktivitäten zu überwachen und zu identifizieren. Wenn Sie Systeme wie z.B. EDR / SOAR / SIEM im Einsatz haben, stehen bei einem potenziellen Angriff Analysten bereit, um diesen sorgfältig zu untersuchen. Sie versuchen dabei, wichtige Fragen zu beantworten: Wann erfolgte der Angriff? Woher stammt er? Welche Bereiche sind betroffen? Um welche Art von Angriff handelt es sich? Es werden so viele Beweise wie möglich gesammelt und gesichert, um sie in den folgenden Phasen nutzen zu können. So bald bestätigt wurde, dass es sich um einen IT-Sicherheitsvorfall handelt, werden die vordefinierten Kommunikationspläne aktiviert. Das bedeutet, dass relevante Stakeholder, Fachbereiche, Partner und Kunden über den Vorfall sowie den Stand der Ermittlungen informiert werden.
Nach der Identifizierung des Sicherheitsvorfalls wird unverzüglich mit der Eindämmung und Minimierung des entstandenen Schadens begonnen. Dies erfolgt z.B. durch die Isolierung betroffener Systeme im Netzwerk, um eine weitere Ausbreitung des Angriffs zu verhindern. Hierzu können Netzwerksegmente isoliert werden, um die interne und externe Kommunikation zu unterbinden. Zur zusätzlichen Sicherheit werden oft auch alle relevanten Passwörter geändert, die betroffenen Server mit neuesten Updates versehen und Backups für die Systemwiederherstellung vorbereitet.
Am Ende der Eindämmungsphase ist offensichtlich, über welche Systeme sich der Cyberangriff erstreckt hat. Es werden Maßnahmen zur Beseitigung der Ursache des Vorfalls ergriffen. Dabei werden die erforderlichen Schritte sorgfältig geplant, um die Spuren vollständig zu entfernen und ein erneutes Auftreten zu verhindern.
In dieser Phase werden die betroffenen IT-Systeme gemäß dem festgelegten Zeitplan wieder in den Live-Betrieb gebracht. Die Einhaltung dieses Zeitplans gewährleistet, dass Ausfallzeiten und Störungen minimiert werden und kritische Systeme strukturiert wiederhergestellt werden können. Es besteht immer die Möglichkeit, dass durch den Angriff Daten verloren gegangen sind. Nachdem die Systeme gemäß den vordefinierten Priorisierungskriterien wiederhergestellt wurden, erfolgt eine fortlaufende Überwachung, um sicherzustellen, dass auch wirklich alle Angriffsspuren erkannt wurden und um ein mögliches Wiederauftreten des Angreifers zu verhindern.
Nachdem der Sicherheitsvorfall erfolgreich bewältigt wurde, erfolgt im Incident-Response-Team eine detaillierte Analyse der eingesetzten Incident-Response-Maßnahmen. Dabei werden Erkenntnisse gewonnen, um Verbesserungsmöglichkeiten für ähnliche Vorfälle in der Zukunft zu identifizieren. Es wird überprüft, ob Anpassungen an Prozessen oder Kommunikationswegen erforderlich sind, ob zusätzliche Sicherheitsmaßnahmen implementiert werden sollten, ob die Risikobewertung angemessen war und ob das Monitoring ausgebaut werden muss.
Ein mangelhaftes Incident-Response-Management setzt Unternehmen heutzutage einem erheblichen Risiko aus, da unsere digitale Landschaft permanent neuen und raffinierteren Bedrohungen ausgesetzt ist. Angesichts der Vielfalt und Komplexität der Bedrohungen stehen viele IT-Abteilungen vor der Herausforderung, einen umfassenden Incident Response Plan zu entwickeln, der es ermöglicht, effektiv auf unterschiedliche Arten von Sicherheitsvorfällen reagieren zu können. Es ist daher ratsam professionelle Unterstützung in Anspruch zu nehmen. Wir unterstützen Sie gerne bei der Vorbereitung, Planung und Etablierung eines adäquaten Incident Handlings.
Die Auswirkungen eines schwerwiegenden Sicherheitsvorfalls, der nicht rechtzeitig erkannt und behandelt wurde, können verheerend sein. Neben finanziellen Schäden können auch Wettbewerbsnachteile entstehen, wenn das Vertrauen der Kunden und Partner beeinträchtigt wird. Ein robuster Incident-Response-Prozess ist daher von entscheidender Bedeutung, nicht nur um die Anforderungen der NIS-2 Compliance zu erfüllen, sondern auch um die Cyberresilienz des Unternehmens zu stärken und die Auswirkungen von potenziellen Sicherheitsvorfällen zu minimieren.
Unsere zertifizierten Cybersicherheits-Experten bündeln Ihr Know-How mit unserem Partner LiiDu (Rechtsanwalt mit IT-Know-How), damit Sie auf der sicheren Seite sind. In unserem kostenfreien Beratungsgespräch überprüfen wir die Betroffenheit Ihres Unternehmens und klären offene Fragen zu NIS-2.
Wir hoffen, dass wir Ihnen mit diesem Beitrag einen guten Überblick über Incident Handling im Kontext von NIS-2 geben konnten. Im nächsten Beitrag im Mai machen wir einen Deep-Dive in eine weitere der aufgeführten Risikomanagementmaßnahmen der NIS-2 Richtlinie.
Wir beraten Sie mit einer fundierten rechtlichen Expertise sowie unserer langjährigen Erfahrung in der Implementierung von sicheren IT-Lösungen und Informationssicherheits-Managementsystemen.
Die Europäische Union strebt mit der NIS-2 Richtlinie die Schaffung eines europaweiten, einheitlichen und hochwertigen Cybersicherheits-Niveaus für bestimmte Sektoren an. Angesichts der angespannten Bedrohungslage durch Cyberkriminalität reagiert der Staatenverbund mit der Richtlinie NIS-2. Die NIS-2 Richtlinie fordert unter anderem, dass betroffene Organisationen technische, operative und organisatorische Maßnahmen zur Risikominderung ergreifen und ein Risikomanagement etablieren.
In diesem Artikel möchten wir Ihnen den Begriff Risikomanagement im Kontext der Cybersicherheit erklären und verdeutlichen, warum die Etablierung eines effektiven Risikomanagements in jedem Unternehmen heutzutage unerlässlich ist, auch unabhängig von gesetzlichen Vorgaben.
Unter einem Risiko versteht man vereinfacht ausgedrückt die Wahrscheinlichkeit eines Eintritts künftiger Ereignisse, die negative Auswirkungen haben können. Anhand der Abbildung und eines Beispiels möchten wir Ihnen den Begriff näher erläutern.
Jedes Unternehmen oder Organisation ist laut dem BSI-Lagebericht der Bedrohung eines Ransomware-Angriffs durch kriminelle Vereinigungen ausgesetzt. Die Frage stellt sich nun, wie setzt sich das Risiko zusammen? Eine Bedrohung von außen wird durch eine Schwachstelle zu einer Gefährdung, wie beispielsweise ein ungeschulter Mitarbeiter, der eine E-Mail mit schadhaftem Anhang öffnet, wodurch die Schadsoftware auf dem System ausgeführt wird. Die Kombination aus Bedrohung (z.B. E-Mail mit schadhaftem Inhalt) und ungeschützter Schwachstelle (z.B. ungeschulte Mitarbeiter) stellt eine Gefahr für das Schutzobjekt (z.B. Client-System) dar. Das hat wiederum negative Auswirkungen auf die Verfügbarkeit, Vertraulichkeit und Integrität des Schutzobjekts bzw. der darauf gespeicherten Informationen. Durch die Implementierung zielgerichteter und der Bedrohungslage angemessener Maßnahmen im Rahmen des Risikomanagements kann das Risiko auf ein akzeptables Niveau reduziert werden. Im Falle unseres Beispiels eines Angriffs via schadhafter E-Mail können das Schulungsmaßnahmen zur Sensibilisierung für Mitarbeiter sein.
Unternehmerische Entscheidungen bringen immer Chancen sowie auch Risiken mit sich. Ein effektives Risikomanagement umfasst daher technisch-organisatorische Schutzmaßnahmen, um potenzielle Bedrohungen wie z.B. Ransomware-Angriffe frühzeitig zu erkennen, zu analysieren und ihnen entgegenzuwirken. Dieser strukturierte Ansatz hilft dabei, angemessene und wirksame Maßnahmen sowie Entscheidungen zu treffen, um die Eintrittswahrscheinlichkeit und die Schadensauswirkung auf ein akzeptables Niveau zu senken.
Die fortschreitende Digitalisierung und die zunehmende digitale Vernetzung führen dazu, dass die technische und organisatorische Komplexität in allen Unternehmensbereichen kontinuierlich zunimmt. Oft fehlt auch leider ein ausreichendes Verständnis für die vielfältigen Bedrohungen im Unternehmen. Die Bedrohungslage ist laut dem BSI heute so hoch wie nie zuvor. Die Bandbreite der Risiken ist enorm und reicht von der Kompromittierung sensibler Daten bis hin zu kompletten Systemausfällen, die zum Beispiel zu schwerwiegenden und lange andauernden Produktionsunterbrechungen führen können. Ein gelebtes IT-Risikomanagement hilft dabei, diesen Herausforderungen strukturiert zu begegnen.
Um kritische Werte zu identifizieren und die damit verbundenen Bedrohungen sowie angemessene und wirksame Schutzmaßnahmen zu treffen, ist es wichtig, einen systematischen Ansatz zu verfolgen. Diese kritischen Werte werden auch als Assets bzw. Anlagen bezeichnet. Assets können in zwei Kategorien unterteilt werden. Es gibt primäre bzw. wertschöpfende Assets, die Informationen und Kernprozesse (z.B. Produktionsprozess) betreffen, von denen der Geschäftserfolg abhängig ist. Und zum anderen sekundäre bzw. unterstützende Assets, wie beispielsweise IT-Systeme, auf denen primäre Assets aufbauen. Der Schutzbedarf von sekundären Assets leitet sich vom Schutzbedarf der primären Assets ab.
Zunächst sollte eine Bestandsaufnahme und Schutzbedarfsfeststellung der Assets erfolgen. Die Bedeutung jedes einzelnen Assets für den reibungslosen Betrieb des Unternehmens sollte dabei festgelegt werden. Die Analyse von potenziellen Bedrohungen, die Werte beeinträchtigen könnten, ist ein weiterer wichtiger Schritt im Risikomanagement. Anschließend ist eine Bewertung der potenziellen Auswirkungen jedes identifizierten Risikos erforderlich. Nach dieser Analyse kann die Implementierung von weiteren Maßnahmen erfolgen, um die Eintrittswahrscheinlichkeit und die Schadensauswirkung auf ein für die Organisation vertretbares Niveau zu senken. Es ist unerlässlich, auch einen Prozess zur regelmäßigen Überwachung und Aktualisierung der Risikobewertung zu etablieren, um angemessen auf sich ändernde Rahmenbedingungen, Bedrohungen und Schwachstellen reagieren zu können.
Die NIS-2 Richtlinie fordert in Artikel 21 ein Risikomanagement, dass auf einem gefahrenübergreifenden Ansatz basiert und darauf abzielt, die Netz- und Informationssicherheitssysteme sowie die physische Umgebung vor potenziellen Cyberrisiken zu schützen.
Wobei bei der Bewertung des Risikos und der davon abgeleiteteten Maßnahmen, die Verhältnismäßigkeit bezogen auf das Ausmaß der Risikoexposition der Organisation, die Größe der Organisation und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen, berücksichtigt werden muss.
Folgende Maßnahmen werden unter anderem in der NIS-2 Richtlinie als Mindestanforderungen genannt, die jedes betroffene Unternehmen zur Risikobehandlung umzusetzen hat:
Die Umsetzung dieser Maßnahmen ist aber nicht nur essenziell, um den Anforderungen von NIS-2 gerecht zu werden, sondern auch unerlässlich für jedes Unternehmen, das sich proaktiv vor Cyberangriffen schützen möchte.
Zusammenfassend lässt sich festhalten, dass ein für die Unternehmensgröße angemessenes und gelebtes Risikomanagement von entscheidender Bedeutung für die Sicherheit jedes Unternehmens ist. Es unterstützt dabei, die richtigen und angemessenen Maßnahmen zum Schutz vor Cyberrisiken zu treffen. Es ist hervorzuheben, dass die Implementierung von Risikominderungsmaßnahmen kein einmaliges Ereignis darstellt. Risikomanagement muss fortlaufend erfolgen und ständig an die sich verändernden Rahmenbedingungen angepasst werden.
Unsere zertifizierten Cybersicherheits-Experten bündeln Ihr Know-How mit unserem Partner LiiDu (Rechtsanwalt mit IT-Know-How), damit Sie auf der sicheren Seite sind. In unserem kostenfreien Beratungsgespräch überprüfen wir die Betroffenheit Ihres Unternehmens und klären offene Fragen zu NIS-2.
Wir hoffen, dass wir Ihnen mit diesem Beitrag einen guten Überblick über das Risikomanagement im Kontext mit NIS-2 geben konnten.
Wir beraten Sie mit einer fundierten rechtlichen Expertise sowie unserer langjährigen Erfahrung in der Implementierung von sicheren IT-Lösungen und Informationssicherheits-Managementsystemen.
Die NIS-2-Richtlinie der EU verfolgt das Ziel, ein hohes gemeinsames Cybersicherheitsniveau innerhalb der Europäischen Union zu etablieren. Sie löst die vorherige NIS-1-Richtlinie ab und erweitert dabei auch erheblich die Anzahl der betroffenen Unternehmen. Dieser Schritt ist eine Reaktion auf die steigenden Cyberbedrohungen und die Notwendigkeit eines koordinierten Vorgehens auf EU-Ebene. Unternehmen, die von der NIS-2-Richtlinie betroffen sind, werden sich proaktiv registrieren müssen, ohne einen offiziellen Hinweis erhalten zu haben. Wir haben für Sie zusammengefasst, wann die NIS-2-Richtilinie in Kraft tritt, wer betroffen ist und welche Anforderungen die Richtlinie stellt.
Die vorherige NIS-1-Richtlinie hatte das Ziel, Cybersicherheitskapazitäten in den Mitgliedsstaaten aufzubauen und die Sicherheit in der kritischen Infrastruktur zu verbessern. Mit dem Erreichen dieser Ziele wurde jedoch deutlich, dass weitere Maßnahmen erforderlich sind, um mit den zunehmenden Cyberbedrohungen Schritt zu halten. Die NIS-2-Richtlinie strebt daher die Schaffung eines funktionierenden Binnenmarktes an, der durch einheitliche Cybersicherheitsstandards und -anforderungen unterstützt wird. Das neue IT-Sicherheitsgesetz geht somit einen Schritt weiter und legt bei deutlich mehr betroffenen Unternehmen einen verstärkten Wert auf einheitliche Standards und Verpflichtungen.
Am 27. Dezember 2022 wurde die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) im EU-Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft. Die Umsetzung der NIS 2 Richtlinie erfordert die Anpassung und Integration in das nationale Rechtssystem der EU-Mitgliedsstaaten. Die Deadline für diese Umsetzung ist der 17. Oktober 2024. Jedes Land ist verpflichtet, die Richtlinie in nationales Recht zu überführen und sicherzustellen, dass die festgelegten Anforderungen erfüllt werden.
In Deutschland wurde im Juli 2023 bereits ein Referentenentwurf des Bundesinnenministeriums zur Umsetzung vorgelegt, der als NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bekannt ist. Seit September 2023 liegt ein dritter Entwurf vor, der ursprünglich im März 2024 verabschiedet wurde. Die Verabschiedung von NIS2UmsuCG wird sich jedoch noch um einige Wochen verzögern. Es ist trotzdem ratsam, sich bereits jetzt intensiv mit NIS-2 auseinanderzusetzen und mit den Vorbereitungen zu beginnen. Dies ermöglicht es Unternehmen, frühzeitig geeignete Schutzmaßnahmen zu ergreifen und einen reibungslosen Übergang zur Einhaltung der neuen Richtlinie sicherzustellen. Zudem wird das Risiko minimiert, dass die Nachfrage kurz vor Inkrafttreten der Richtlinie zu Engpässen in Beratungsunternehmen führt – ähnlich wie es bei der DSGVO teilweise der Fall war.
Ob die NIS-2-Richtlinie greift, hängt von drei Faktoren ab: der Mitarbeiteranzahl, dem Umsatz und dem Sektor. Da nicht alle drei Faktoren erfüllt sein müssen und es auch Sonderfälle gibt, empfiehlt es sich, Expertise bei der Überprüfung der Betroffenheit einzuholen. Die Richtlinie betrifft eine Vielzahl von Sektoren und Unternehmen, die als besonders wichtige und wichtige Einrichtungen klassifiziert werden. Dazu gehören beispielsweise Bereiche wie das verarbeitende Gewerbe (z. B. Maschinenbau), Verkehr, Energie, Finanzwesen, Gesundheitswesen und digitale Infrastruktur. Die Liste der betroffenen Sektoren ist lang. Die Auswahl basiert auf Kriterien wie gesellschaftlicher und wirtschaftlicher Bedeutung sowie potenziellen Auswirkungen auf die öffentliche Ordnung und Sicherheit.
Klein- und Kleinst-Unternehmen sind in der Regel ausgeschlossen. NIS-2 greift somit bei Organisationen mit mehr als 50 Mitarbeitenden oder wenn die Organisation mehr 10 Mio. Jahresumsatz bzw. Jahresbilanzsumme aufweist.
Die Richtlinie umfasst verschiedene Aspekte der Cybersicherheit, darunter nationale Cybersicherheitsstrategien, die Rolle der Behörden bei Cybersicherheitsvorfällen, Meldepflichten bei Sicherheitsvorfällen, Risikomanagement, Sanktionen und Bußgelder. Jeder dieser Aspekte ist entscheidend für die Gewährleistung eines robusten und koordinierten Ansatzes zur Cybersicherheit auf EU-Ebene. Nachfolgend betrachten wir die Anforderungen, die für betroffene Unternehmen in Deutschland relevant sind.
Die Leitung ist für die Umsetzung der NIS-2-Richtlinie verantwortlich. Sie muss im Unternehmen jemanden beauftragen ein Risikomanagement zu implementieren. Ebenso liegt es im Verantwortungsbereich der Leitung, dass Mitarbeitende regelmäßige Schulungen erhalten, um für die Informationssicherheit zu sensibilisieren und um Risiken besser eigenständig identifizieren zu können. Für die Geschäftsleitung bestehen erweiterte Haftungspflichten für die Umsetzung der Maßnahmen.
Ein zentraler Bestandteil der NIS-2-Richtlinie ist das Risikomanagement, das Unternehmen dazu verpflichtet, Risiken zu identifizieren und angemessen darauf zu reagieren. Dabei müssen die Assets im Unternehmen betrachtet werden und der mögliche Schaden sowie die Eintrittswahrscheinlichkeit dokumentiert und Maßnahmen zur Risikobehandlung festgelegt werden. Die NIS-2-Richtlinie fordert auch die explizite Umsetzung von Maßnahmen, wie z. B. Notfallmanagement oder 2-Faktor-Authentifizierungen.
Eigentlich ist das Risikomanagement in der Lieferkette ein Bestandteil des Risikomanagements. Hinter dieser Anforderung stecken aber größere Auswirkungen für betroffene Unternehmen. Informationssicherheitsstandards, wie die ISO 27001:2022 oder die VDA ISA/TISAX, greifen immer stärker in die Lieferkette ein und reichen ihre Anforderungen an ihre Lieferanten durch. An dieser Entwicklung orientiert sich auch die NIS-2-Richtlinie. So soll sichergestellt werden, dass Sicherheitsvorfälle bei Dienstleistern/Lieferanten nicht zu einem Stillstand im eigenen Unternehmen führen.
Wenn ein Sicherheitsvorfall eintritt, müssen Unternehmen ein mehrstufiges Meldesystem umsetzen. Dabei müssen Frühwarnungen, aktualisierte Meldungen und abschließende Berichte innerhalb von definierten Fristen durchgeführt werden.
Die Richtlinie sieht Sanktionen für Unternehmen vor, die gegen ihre Verpflichtungen verstoßen. Diese können Geldstrafen oder andere Maßnahmen umfassen und hängen von der Schwere des Verstoßes ab. Als Bußgeldobergrenze sind 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes vorgeschrieben. Das NIS-2UmsuCG sieht außerdem erweiterte Haftungspflichten für die Geschäftsleitung vor.
Wenn NIS-2 in Deutschland in Kraft getreten ist, werden sich Unternehmen proaktiv registrieren müssen. Dabei erhalten betroffene Unternehmen keinen offiziellen Hinweis zur Registrierung. Daher ist es unerlässlich, dass man sich als mittleres oder großes Unternehmen mit der Betroffenheit auseinandersetzt.
Es liegt bereits der dritte Entwurf des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) vor, daher sind wesentliche Änderungen in der Richtlinie unwahrscheinlich. Das NIS2UmsuCG wird nicht wie geplant im März 2024 kommen, sondern sich um ein paar Wochen oder Monate verzögern. Wer aber früh anfängt, gerät später nicht in zeitliche Not, um die organisatorischen und technischen Anforderungen im Unternehmen erfolgreich zu implementieren. Eine langfristige Informationssicherheitsstrategie und die Implementierung von Prozessen sowie Zuständigkeiten sind größere Projekte, deren Komplexität Unternehmen nicht unterschätzen sollten. Vor allem in kleineren und mittleren Unternehmen existiert häufig ein dringender Handlungsbedarf, wenn viele grundlegenden Themen in der Informationssicherheit noch nicht geklärt sind.
Unternehmen sollten zeitnah ihre Betroffenheit überprüfen. Falls Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist, empfehlen wir eine GAP-Analyse, um einen Überblick über den Status Quo zu erhalten. Sie erhalten somit den Fahrplan zur NIS-2-Konformität und wissen, welche Anforderungen noch umzusetzen sind.
Unternehmen tun sich einen Gefallen, wenn sie die NIS-2-Richtlinie nicht nur aus Angst vor Strafen umsetzen, sondern gewissenhaft und strategisch umsetzen, um vor Cyberangriffen geschützt zu sein. Die Informationssicherheitsstrategie wird ein immer wichtiger Punkt, um die eigene Wettbewerbsfähigkeit sicherzustellen.
Diese Anforderung der NIS-2-Richtlinie, das Risiko in der Lieferkette zu minimieren, wird den ohnehin schon vorhandenen Trend verstärken, dass Unternehmen bei ihren Lieferanten ein immer stärkeres Augenmerk auf die Cybersicherheit legen. Mit der Einführung eines Informationssicherheitsmanagementsystems (ISMS) stellen Unternehmen die Basis auf, um alle relevanten Anforderungen von NIS-2 umzusetzen. Mit der Implementierung eines ISMS im Unternehmen schlagen Unternehmen drei Fliegen mit einer Klappe: Unterstützung bei der Umsetzung zur NIS-2-Konformität, Schutz vor Cyberangriffen und Verbesserung der Wettbewerbsfähigkeit.
Unsere zertifizierten Cybersicherheits-Experten bündeln Ihr Know-How mit unserem Partner LiiDu (Rechtsanwalt mit IT-Know-How), damit Sie auf der sicheren Seite sind. In unserem kostenfreien Beratungsgespräch überprüfen wir die Betroffenheit Ihres Unternehmens und klären offene Fragen zu NIS-2.
Wir hoffen, dass wir Ihnen mit diesem Beitrag bereits einen guten Überblick über die NIS-2-Richtlinie in Deutschland geben konnten. In unserem nächsten Beitrag im März werden wir einen Deep Dive in das Thema Risikomanagement machen.
Wir beraten Sie mit einer fundierten rechtlichen Expertise sowie unserer langjährigen Erfahrung in der Implementierung von sicheren IT-Lösungen und Informationssicherheitsmanagementsystemen.
In einer zunehmend vernetzten Welt, nimmt die Bedrohung, Opfer eines Cyberangriffs zu werden unaufhaltsam zu. Eine Möglichkeit in der Risikobehandlung ist die Auslagerung von verbleibenden Risiken an sogenannte Cyberversicherungen. In der täglichen Kundenberatung werden wir regelmäßig nach der Sinnhaftigkeit gefragt.
Im Kontext der Informationssicherheit fungiert die Cyberversicherung als ein Baustein neben vielen anderen. Ihre Bedeutung tritt besonders dann hervor, wenn tatsächlich ein Vorfall eintritt. Aufgrund der anhaltend hohen Bedrohungslage, steigt die Wahrscheinlichkeit, von einem Angriff betroffen zu sein. Genau dann sollten die Vorteile einer Cyberversicherung greifen. Das können beispielsweise finanzielle Ausgleiche für die Einbindung von Spezialisten zur forensischen Untersuchung, Ausgleiche für Produktionsunterbrechungen, Haftungsansprüche, Wiederherstellungsmaßnahmen oder ganz allgemeine Krisenunterstützung und Kommunikation sein.
Wenn wir als IT-Dienstleister zur Behandlung eines Cyberangriffs involviert werden, ist einer unserer ersten Schritte die Überprüfung des Vorhandenseins einer Cyberversicherung. Wenn eine Police vorliegt, sollten die nächsten Schritte in enger Abstimmung mit der Versicherung erfolgen.
Damit Sie am Ende die gewünschten Ausgleiche erhalten, müssen die initial angegebenen Sicherheitsmaßnahmen vorhanden und kontinuierlich weiterbetrieben worden sein. Es liegt in der Natur der Sache, dass Versicherungen kritisch hinterfragen, um sich möglicherweise auf eine Leistungskürzung zu berufen.
Mitte 2023 hat es hierzu das erste gerichtliche Verfahren vor dem Landgericht Tübingen gegeben (Urteil vom 26.05.2023 Az. 4 O 193/21). Im Rahmen der Gerichtsentscheidung trifft das Landgericht Feststellungen zur grob fahrlässigen Herbeiführung eines Versicherungsfalles.
In diesem Fall stritten sich der Versicherungsnehmer und der Cyber-Versicherer darum, ob ein beim Versicherungsnehmer eingetretener Schadensfall, aufgrund einer Phishingmail mit anschließender Verschlüsselung der IT-Systeme durch einen Trojaner, vom Versicherungsschutz gedeckt sei. Der Versicherer berief sich auf eine Verletzung von vorvertraglichen Anzeigepflichten (initialer Fragenkatalog) und damit auf eine Ablehnung der Leistungspflicht.
Für die Praxis bedeutet das, dass der initial auszufüllende Fragenkatalog des Cyber-Versicherers die tatsächlich vorhandenen technischen und organisatorischen Maßnahmen abbilden sollte, um den Spielraum einer grob fahrlässigen Herbeiführung eines Versicherungsfalles auszuschließen. Parallel kann zur Stärkung der Aussagekraft die Implementierung eines Sicherheitsstandards umgesetzt und zertifiziert werden.
Dem Stand der Technik entsprechende Sicherheitsmaßnahmen sind das Gebot der Stunde. Denn oberstes Ziel sollte es sein, so wenig Angriffsfläche wie möglich zu bieten und im Fall einer Cyberattacke das Eindringen so frühzeitig wie möglich zu erkennen und zu unterbinden. Risiken, die dann noch verbleiben, sollten über die Cyberversicherung abgedeckt sein.
Kommen Sie jederzeit auf uns zu, wenn wir Sie in dieser Thematik unterstützen können!
Weihnachten steht bald vor der Tür. Mit dem verstärkten Trend, Geschenke für die Liebsten online zu kaufen, ist aber Vorsicht geboten. Vor allem vor sogenannten Fakeshops. Mithilfe des Fakeshop-Finders der Verbraucherzentrale können Sie die Seriösität eines Onlineshops prüfen und sicherstellen, dass Ihre Geschenke aus vertrauenswürdigen und seriösen Quellen stammen.
Hinter dem Tool steckt ein System, dass mittels künstlicher Intelligenz das Internet fortlaufend nach Fakeshops durchsucht. Jeder gefundene Onlineshop wird auf Merkmale gescannt, die in der Regel bei jedem unseriösen Anbieter zu finden sind. Ein fehlendes Impressum oder eine gefälschte Umsatzsteuer-ID wären Beispiele dafür. Gleichzeitig werden die im Online-Shop aufgeführten Firmendaten gegen das Handelsregister abgeglichen, um Fälschungen noch präziser zu erkennen. Abschließend werden öffentliche Listen bekannter Fakeshops in die Untersuchung einbezogen. Das Ergebnis der Einschätzung wird über ein Ampelsystem mit einer Beschreibung der wichtigsten Erkenntnisse ausgegeben.
Unabhängig davon, ob Sie den Fakeshop-Finder privat oder dienstlich nutzen, unterstützt er das sogenannte Lieferantenmanagement. Das Ziel dabei ist, vor Einbindung eines neuen Dienstleisters, dessen Zuverlässigkeit zu prüfen.
Sollte der Fakeshop-Finder keine Ergebnisse liefern oder Sie möchten zusätzlich noch eine manuelle Prüfung ansetzen, nennt das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieben Merkmale, um sichere bzw. unsichere Onlineshops zu erkennen:
Für den Fall, dass Schwierigkeiten auftreten, sei es durch das Ausbleiben Ihrer bestellten Ware oder die unbefugte Nutzung des Accounts durch Dritte, bietet die “Onlineshopping SOS Karte” des BSI Ihnen Unterstützung. Checklisten erläutern, welche Schritte zur effektiven Behandlung des Problems empfohlen werden.
Ende Oktober veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen jährlichen Bericht zur Lage der IT Sicherheit. Mit dem Bericht leistet das BSI immer einen wichtigen Beitrag, um das Risikobewusstsein der Gesellschaft und Wirtschaft zu schärfen. Im zurückliegenden Berichtszeitrum zeigte sich eine Situation, die von angespannt bis kritisch geprägt war. Die Bedrohung im Cyberraum ist damit aktuell auf einem bisher nie dagewesenen Höchststand.
Ransomware ist immer noch die Hauptbedrohung, besonders für kleine und mittlere Unternehmen (KMUs) sowie Kommunalverwaltungen und kommunale Betriebe. Diese sind überdurchschnittlich oft angegriffen worden. Der Hintergrund hierfür liegt in der vermutenden Tendenz, den Weg des geringsten Widerstands im Umfeld kleiner und mittelständischer Unternehmen (KMUs) zu wählen. Nicht das höchstmögliche Lösegeld stand im Vordergrund, sondern das rationale Kosten-Nutzen-Kalkül.
Das wird noch dadurch verstärkt, dass sich eine cyberkriminelle Schattenwirtschaft etabliert hat und sich fortlaufend weiterentwickelt. Einzelne Kollektive spezialisieren sich auf einen Baustein in der Angriffskette und erwerben weitere notwendige Werkzeuge. Diese Arbeitsteilung der cyberkriminellen Anbieter führt zu einer doppelten Skalierung der Bedrohung.
Zusätzlich verstärkt wird dieser Trend durch die fortschreitende Digitalisierung und Vernetzung. Täglich wurden durchschnittlich 70 neue Schwachstellen entdeckt. Davon waren 15 Prozent kritisch.
Die Effektivität von Ransomware beruht auf einer tiefgehenden Infiltrierung mit unmittelbaren Auswirkungen, die mit der Verschlüsselung elementarer Datenbestände endet.
Das bedeutet in der Regel einen Stillstand der Unternehmensprozesse und damit einen hohen Druck auf Schadensbegrenzung. Dies wird verstärkt durch den vorherigen Diebstahl von Daten und die Drohung zur Veröffentlichung dieser sensiblen Informationen. Trotz Zahlung eines Lösegelds (Schweigegelds) gelten die Daten dauerhaft als kompromittiert, weil sie oft versteigert oder an andere Angreifer weiterverkauft werden. Teilweise wird sogar auf Verschlüsselung verzichtet. Vermutlich um schneller von der initialen Infektion zur Erpressung von Schweigegeld überzugehen.
Neu hinzugekommen ist ein Datenschutzaspekt. Angreifer drohen mit einer Meldung bei der zuständigen Datenschutzaufsichtsbehörde, weil beispielsweise den Meldepflichten im Rahmen eines Angriffs nicht nachgekommen wurde, oder sensible Daten unzureichend abgesichert wurden.
Wie bereits zuvor erläutert, ist die Bedrohung so hoch wie nie zuvor. Besondere Beachtung sollte deshalb den empfohlenen Schutzmaßnahmen des BSI eingeräumt werden. Ab Punkt 4.1.4 im Lagebericht finden Sie Empfehlungen gegen diese sechs gängigen Angriffsphasen eines Ransomware Angriffs:
Die beschriebenen Gegenmaßnahmen und Empfehlungen des BSI sind letztlich Standardmaßnahmen, die jede verantwortliche Stelle bereits etabliert haben sollte. Wir unterstützen Sie jederzeit bei der Auswahl der geeigneten und verhältnismäßigen Lösungen. Denn eines ist sicher, die Bedrohungslage wird sich noch weiter verschärfen.
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen