Die Qualität der Sicherheitsmaßnahmen verbessern – »NIS2 wird zur neuen Norm in der Sicherheits­landschaft werden«

In Zeiten zunehmender Cybersicherheitsbedrohungen sind Unternehmen gefordert, ihre Schutzmaßnahmen kontinuierlich zu verbessern. Dr. Matthias Rosche, Managing Director bei Orange Cyberdefense, erklärt, dass nicht nur die klassischen Bedrohungen, sondern auch neue Compliance-Anforderungen und -Regularien wie NIS2 die Unternehmen vor Probleme stellen.


Herr Dr. Rosche, die Messe Detect & Defend von Orange ­Cyberdefense fand dieses Jahr zum 15. Mal statt. Wo drückt bei Unternehmen sicherheitspolitisch gerade am meisten der Schuh? 

Mit unserem diesjährigen Motto »Compliance meets Cybersecurity« haben wir den Nagel für unsere Besucher auf den Kopf getroffen. Sie alle wissen, dass Sicherheit ernst genommen werden muss und gleichzeitig Compliance durch neue Standards immer wichtiger wird. Aktuell ist die NIS2-Richtlinie (Network and Information Systems Directive) für den Finanzsektor besonders relevant.

Vor 25 Jahren sensibilisierte ich Unternehmen für ISO 27001, ehemals B7799. Heute sind andere Compliance-Standards wie SOC2 (Systems Organization Control) wichtiger. Generell sind Zertifizierungen weit mehr als bloßes Marketing. Sie beinhalten umfassende Prüfungen von Maßnahmen, Tools und Prozessen, die durch signifikante Evidenzen über einen längeren Zeitraum belegt werden müssen. Früher, bei ISO 27001, reichte es aus, Prozesse zu beschreiben. Heute müssen wir deren Wirksamkeit nachweisen und dokumentieren können. Der Aufwand ist beträchtlich, aber die Qualität der Sicherheitsmaßnahmen hat sich dadurch erheblich verbessert.

 

Dr. Matthias Rosche, Managing Director
bei Orange Cyberdefense


»Wer sich auf ISO 27001 verlässt, wird 2025 mit der Existenz zu kämpfen haben.« – das ist ein starkes Zitat von Ihnen. Was veranlasst Sie zu dieser Aussage?

ISO 27001 allein reicht einfach nicht mehr aus. Die Vielzahl neuer Regulierungen mag überwältigend erscheinen, aber sie sind notwendig. Sie zwingen Unternehmen, ihre Sicherheitsmaßnahmen kontinuierlich zu verbessern und bieten einen umfassenderen Rahmen, der den aktuellen Bedrohungen besser gerecht wird.


NIS2 wird im Oktober 2024 verpflichtend. Wie bereiten sich Unternehmen darauf vor?

Ich rechne damit, dass die tatsächliche Umsetzung der neuen Vorschriften erst im ersten Quartal 2025 erfolgen wird, da viele Unternehmen noch nicht ausreichend vorbereitet sind und sich über die hohen Cyberversicherungskosten beklagen. Ein weiteres Problem ist die fehlende auditierende Instanz. Im Finanzsektor prüfen die BaFin und die EZB; in der Industrie fehlt diese strenge Kontrolle, da das BSI nicht die Kapazitäten dafür hat.

Bei einem Sicherheitsvorfall kann mangelnde Sorgfaltspflicht allerdings schnell zu strafrechtlichen Konsequenzen führen. Dies hat eine sensibilisierende Wirkung und mehr Unternehmen werden die Regelungen ernst nehmen, ähnlich wie bei der Einführung der DSGVO. Unternehmen müssen sich darauf einstellen, dass NIS2 zur Norm in der Sicherheitslandschaft wird.


Welche Herausforderungen sehen Sie für Unternehmen im Bereich der Sicherheit und wer trägt die Verantwortung?

Strategische Entscheidungen zu Sicherheit und Budget müssen auf höchster Ebene getroffen werden. Denn hier liegt die Verantwortung für Sicherheit. Neue Technologien wie Firewalls sind oft gut planbar, da diese von Dienstleistern eingeführt werden können. Die größere Hürde liegt in der operativen 24/7-Sicherheitsüberwachung. Viele Unternehmen sehen nicht die Notwendigkeit oder haben kein Budget, einen jederzeit abrufbaren Manager on Duty für Sicherheitsfragen bereitzustellen. Am Wochenende werden nicht geschäftsgefährdende Probleme dann oft ignoriert, was ein enormes Risiko darstellt. IT-Security erfordert strategische Investitionen in Schulungen und Systeme.


Sind Unternehmen mit der Umsetzung von Cybersicherheit überfordert?

Unternehmen müssen erkennen, dass sie Cybersicherheit nicht allein bewältigen können. Der Anteil des IT-Budgets für Cybersicherheit hat sich über die Jahre von 3 bis 4 auf 6 bis 8 Prozent erhöht. Dies zeigt den wachsenden Bedarf. Dabei ist es entscheidend, sowohl Budget als auch Personal für Sicherheitsmaßnahmen bereitzustellen. Unternehmen brauchen eine Kombination aus internem Personal und externen Dienstleistern, um umfassende Sicherheitsmaßnahmen umzusetzen, denn sie können nicht alles outsourcen – schon gar nicht die Verantwortung für Sicherheitsvorfälle. Dies verursacht Kosten, ähnlich wie bei einer Bank, die in Safes und Security investiert, anstatt Geld in Kartons zu lagern.


Eine vielgepriesene Lösung wäre auch die KI. Stimmen Sie dem zu?

KI ist ein zweischneidiges Schwert. Sie bringt Vorteile und Risiken mit sich. Wir bei Orange Cyberdefense nutzen KI, um zeitintensive Tätigkeiten zu vereinfachen und Prozesse zu beschleunigen, wie das automatische Ausfüllen von Ausschreibungen oder die Auswertung von Sicherheitsinformationen.

Auf der anderen Seite erfordert KI erhöhte Wachsamkeit, da sich auch die Angreifer der KI bedienen. Wir analysieren diese Entwicklung sehr aufmerksam und beobachten auch das Darkweb. Stichwort CEO-Fraud: Durch KI erlebt dieser eine Renaissance, da Angreifer in Videocalls Stimme und Aussehen anpassen können, um als vermeintlicher CEO an vertrauliche Informationen oder Geld zu kommen. Vor allem in einer remote arbeitenden Welt wird es schwer, dem Gegenüber zu vertrauen. Wir sehen dabei auch, wie KI in Angriffsszenarien mit Deepfakes eingesetzt wird.


Müssen IT und OT zusammenwachsen, um ­Sicherheitsprobleme zu lösen?

Absolut! Viele Unternehmen haben noch nicht realisiert, dass IT und OT (Operational Technology) zusammenarbeiten müssen. Sicherheitsvorfälle zeigen, dass kurzzeitige IT-Pro­bleme verkraftbar sind, Produktionsausfälle aber richtig weh tun. Firmen müssen verstehen, dass sie IT und OT gemeinsam denken müssen, um ihre Sicherheitslage zu verbessern und die Produktion in Krisenzeiten stabil zu halten. Allerdings ist OT mit ihren verschiedenen Produktionsstätten und Maschinen oft sehr heterogen im Vergleich zur homogenen IT, was die Integration und Standardisierung erschwert. Es erfordert eine ganzheitliche Sichtweise und die Bereitschaft, in die Integration und Harmonisierung beider Bereiche zu investieren.

 


Dr. Matthias Rosche ist Managing Director bei Orange Cyberdefense. Der promovierte Physiker verfügt über 25 Jahre Erfahrung in der IT-Security. Vor seiner aktuellen Position hatte er leitende Rollen inne, in denen er Vertriebs- und Beratungsstrukturen für Cyber Security entwickelte und leitete.

 

Illustration: © Bendix Mahner | Dreamstime.com

 

109 Artikel zu „NIS2“

Die Hausordnung für IT-Systeme: NIS2

NIS2 sorgt in vielen Köpfen für Unsicherheit. Dabei lässt sie sich gut mit der Hausordnung, wie sie in Mehrfamilienhäusern oder Firmengebäuden existiert, vergleichen: Die europaweite Direktive ist das Regelwerk (Hausordnung), deren Einhaltung Dienstleister (analog zum Hausmeister) für Unternehmen (quasi die Bewohner) sicherstellen. Doch was ist neu an NIS2? Welche Maßnahmen müssen Firmen implementieren? Die nachfolgende…

NIS2: In 5 Schritten zu mehr OT-Cybersicherheit

Die Digitalisierung der Industrie hat kritische Infrastrukturen zu einem beliebten Ziel von Cyberangriffen gemacht. Die potenziell verheerenden Schäden für Unternehmen als auch für die Gesellschaft machen das Thema Cybersicherheit für Gesetzgeber immer relevanter. Die NIS2-Richtlinie greift dieses Problem auf, indem sie rechtliche Maßnahmen zur Verbesserung der allgemeinen Cybersicherheit in der EU vorsieht, wobei der Schwerpunkt…

NIS2 und KRITIS-Dach: Neun Bausteine für sichere industrielle Steuerungs- und Automatisierungssysteme

Zahl der durch NIS2 und KRITIS-Dach regulierten Organisationen erweitert sich auf über 30.000: eco Verband gibt 9 Tipps zur Steigerung der Cyberresilienz industrieller Steuerungsanlagen.   Mit der zunehmenden Vernetzung von Maschinen werden Industrieanlagen verwundbarer gegenüber Cyberangriffen. Zudem ändert sich die Regulierung dieses Jahr deutlich mit dem KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz: Die Anzahl künftig regulierter Unternehmen erweitert…

EU-Direktive NIS2: So stellen Sie Ihre Task Force zusammen

Mit der neuen EU-Direktive NIS2 stehen Unternehmen vor der Herausforderung, ihre Cybersecurity-Strategie zu überarbeiten. Um den Anforderungen der Richtlinie gerecht zu werden, ist es entscheidend, ein Kernteam für Sicherheitsbelange zusammenzustellen. Wie Unternehmen dabei vorgehen sollten, erklärt Dirk Wocke, IT Compliance Manager und Datenschutzbeauftragter bei indevis.   Die neue NIS2-Direktive stellt konkrete Anforderungen an die technischen…

NIS2: Das kommt im 2. Halbjahr 2024 auf Unternehmen zu

Umsetzung der EU-Richtlinie zum Schutz vor Cyberbedrohungen.   Auf viele Unternehmen kommen in puncto Cybersicherheit ab 2024 neue Herausforderungen zu. Die sogenannte Network and Information Security Directive 2, kurz NIS2, ist eine EU-Richtlinie zur Stärkung der Cybersicherheit, die bis spätestens Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt sein muss. Damit soll der Gesetzgeber…

NIS2: Jedes dritte Unternehmen setzt die Richtlinie bereits um

Bei einem weiteren Drittel der Befragten ist die Umsetzung noch in Planung.   38 Prozent der deutschen Unternehmen haben noch nicht mit der Umsetzung der NIS2-Richtlinie begonnen. Dabei ist es höchste Zeit: Mit dem Gesetzentwurf (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) hat das Bundesministerium des Innern und für Heimat die Weichen gestellt. Bis zum 17. Oktober 2024 soll…

Welche Erkenntnisse sich aus der DSGVO für DORA und NIS2 einsetzen lassen

Was mit der DSGVO begann, setzt die EU mit NIS2 und DORA konsequent fort. Sie reglementiert die Datenindustrie und die digitalen Prozesse vieler Firmen, um Daten und Netze robuster zu machen gegen Angriffe. Gleichzeitig lassen sich aus der Einführung der DSGVO einige wichtige Schlüsse zum Umgang mit den neuen Regeln für Unternehmen ziehen. Welche das…

Countdown zur NIS2-Richtlinie: So können IT-Teams Blind Spots im eigenen Netzwerk fristgerecht eliminieren

NIS2 soll die Cyber- und Informationssicherheit EU-weit maßgeblich stärken. Zum Stichtag am 17. Oktober 2024 muss die Direktive in nationales Recht umgewandelt werden. Angesichts der sich zuspitzenden Cyber-Security-Lage ist das auch absolut notwendig, weiß Ali Moniri, Senior Sales Engineer bei Gigamon. Für Unternehmen bedeutet das: ranklotzen! Denn es bleibt nur noch wenig Zeit für die…

Sich effektiv auf die NIS2-Richtlinie vorbereiten

Wie Prozessmonitoring Organisationen und Unternehmen unterstützt bei dynamischen Risikomanagement und zeitnahem Geschäftsprozess-Reporting.   Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS). Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in…

IT-Compliance: NIS2 – Vorbereitung ist alles!

Mit der Richtlinie über Netz- und Informationssicherheit (NIS2) tritt in diesem Jahr eine neue Richtlinie in Kraft, die sich erheblich auf Organisationen auswirkt. NIS2 legt detaillierte Cybersicherheitsvorschriften fest, deren Nichteinhaltung die EU mit hohen Geldstrafen sanktionieren wird. Im Herbst läuft die Vorbereitungsfrist ab — auf folgende Punkte müssen IT-Verantwortliche besonders achten.   Gesetzliche Regularien sind…

Die Auswirkungen der NIS2-Richtlinie auf die Container-Sicherheit verstehen

Die digitale Landschaft in Europa steht mit der Veröffentlichung der NIS2-Richtlinie vor einem bedeutenden Wandel. Die Umsetzung dieser digitalen Transformation ist eng mit der Entwicklung der Cyber Security verbunden. Regierungen auf der ganzen Welt ergreifen jetzt Maßnahmen, um kritische Infrastrukturen intensiver vor Cyberbedrohungen zu schützen. Diese Richtlinie, die darauf abzielt, die Sicherheit und Widerstandsfähigkeit im…

NIS2 – Mehr Cybersicherheit für Europa

Die neue EU-Richtlinie »Netzwerk- und Informationssysteme 2« (NIS2) soll für mehr Cybersicherheit in Unternehmen, Behörden und Privathaushalten sorgen. Das Ziel ist es, insbesondere kritische Infrastrukturen in Zukunft besser vor Cyberattacken zu schützen. Mitgliedsstaaten müssen die Richtlinie bis Oktober 2024 in nationale Gesetze gießen. Dabei ist zu erwarten, dass in einigen Ländern die Richtlinien strenger umgesetzt…

NIS2-Richtlinie stärkt europäische Cybersicherheit – was das für Unternehmen bedeutet

Die überarbeitete NIS2-Richtlinie zur Netz- und Informationssicherheit weitet den Kreis der betroffenen Unternehmen deutlich aus und bezieht auch Zulieferer und Dienstleister für kritische Sektoren mit ein. Bei Nichteinhaltung sind nicht nur die Cybersicherheit des eigenen Unternehmens und die Reputation bei Partnern und Kunden in Gefahr – es drohen auch empfindliche Geldbußen.   Die digitale Transformation…