Mit der Richtlinie über Netz- und Informationssicherheit (NIS2) tritt in diesem Jahr eine neue Richtlinie in Kraft, die sich erheblich auf Organisationen auswirkt. NIS2 legt detaillierte Cybersicherheitsvorschriften fest, deren Nichteinhaltung die EU mit hohen Geldstrafen sanktionieren wird. Im Herbst läuft die Vorbereitungsfrist ab — auf folgende Punkte müssen IT-Verantwortliche besonders achten.
Gesetzliche Regularien sind ein wichtiger Bestandteil der Aufgabenpalette einer IT-Sicherheitsabteilung. Das gilt ganz besonders für Organisationen mit Sitz in der EU und Unternehmen, die mit in der EU ansässigen Firmen geschäftlich zusammenarbeiten. Aktuell haben sie das gleiche Datum vor Augen. Am 18. Oktober 2024 wird die EU-Richtlinie 2022/2555 »über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union« (abgekürzt NIS2-Richtlinie) wirksam. Mit diesem Stichtag läuft die Vorbereitungsfrist ab, und es drohen bei Nichteinhaltung empfindliche Strafen.
Die NIS2-Vorgeschichte
Im Jahr 2016 hatte die Europäische Kommission die erste EU-weite Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS) verabschiedet. Dies war zwar ein Schritt nach vorn, um die Resilienz- und Reaktionskapazitäten von Unternehmen und Institutionen in der EU zu verbessern. Die rechtliche Adaption in den EU-Mitgliedstaaten erwies sich jedoch als schwierig.
Sowohl die Umsetzung in nationales Recht als auch die Durchsetzung der Vorgaben erfolgten nur in fragmentierter Form. Zur Beseitigung dieser Hindernisse leitete die Kommission die Entwicklung der NIS2-Richtlinie ein. Diese Direktive trat Anfang 2023 in Kraft und muss bis Mitte Oktober 2024 von allen Mitgliedstaaten in nationales Recht überführt werden.
Die Bewertungen und Meinungen zur NIS2-Richtlinie gehen auseinander. Konsens unter den Experten ist indes, dass Sicherheitsverantwortliche die vorgeschriebenen Standards genau prüfen müssen. Das Management ist aufgefordert, sich mit den regulatorischen Details vertraut zu machen und festzulegen, wie sie innerhalb ihrer Organisation am besten angewendet werden können.
Mobile Sicherheit
Cyberangriffe in der EU und in fast allen Regionen der Welt haben stark zugenommen — mit immer höheren Schäden für Unternehmen. Es gibt also gute Gründe für die Entwicklung und Einführung von Standards wie NIS2. Die Richtlinie soll »Maßnahmen definieren, die darauf abzielen, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union zu erreichen, um das Funktionieren des europäischen Binnenmarkts zu verbessern«.
Dafür weitet die EU-Kommission den Zuständigkeitsbereich von NIS2 auf alle digitalen Arbeitsabläufe privater und öffentlicher Einrichtungen aus, die als wesentlich oder wichtig für die kritische Infrastruktur eingestuft wurden. Die in Artikel 21 konkret benannten Risikomanagementmaßnahmen für Cybersicherheit gelten für alle digitalen Medien, einschließlich mobilen Endgeräten und mobilen Apps.
Auch wenn die EU-Kommission mobile Endgeräte nur in der Begründung der Richtlinie (Absatz 33) explizit erwähnt, lohnt sich ein genauerer Blick. Mobilgeräte und mobile Apps sind im Kontext von NIS2 deshalb so wichtig, weil genau hier die größte »Verwundbarkeitslücke« besteht, also die Lücke zwischen einer technisch möglichen Bedrohung und der eigenen Abwehrfähigkeit. Während auf der einen Seite technologische Fortschritte tägliche Realität sind, mangelt es auf der anderen Seite am passenden Schutz vor Risiken. Gegenüber der mühseligen Kommandozeileneingabe erleichtern Links die Navigation im World Wide Web, aber auch Angreifer nutzen sie, um per Phishing-Webseiten schädliche Inhalte schnell einzuschleusen.
Die Herausforderung bei der Umsetzung der NIS2 Richtlinie ist, dass sich viele bewährte Cybersicherheitskonzepte nicht von Desktop- auf Mobilrechner übertragen lassen. Die Architektur mobiler Betriebssysteme unterscheidet sich fundamental von Desktop-Systemen, so dass klassische EDR- oder XDR-Lösungen überhaupt nicht auf Android oder iOS-Geräten installiert werden können. Hinzu kommt, dass das Benutzerprofil auf mobilen Geräten völlig anders ist: Ein Notebook, das der Arbeitgeber zur Verfügung stellt, wird in der Regel vollständig von der Firma verwaltet und von den meisten Anwendern auch ausschließlich für dienstliche Zwecke genutzt. Bei Mobiltelefonen dagegen ist die Abgrenzung zwischen dienstlicher und privater Nutzung sehr viel schwieriger. Anwender von Mobiltelefonen und Tablets sind auch Geräteadministratoren, was die Situation deutlich erschwert.
Risiken bei mobilen Apps ergeben sich beispielsweise daraus, dass der hohe Digitalisierungsbedarf einen enormen Rückstau bei App-Entwicklern erzeugt hat. Das zwingt App-Entwickler dazu, open-source libraries oder SDKs von Dritten zu benutzen, anstatt jede Zeile Code selbst zu schreiben. Das ist die weit verbreitete Praxis, birgt jedoch die Gefahr, dass Angreifer entweder existierende Schwachstellen in diesen Werkzeugen ausnutzen oder sogar bewusst einarbeiten. Unternehmen, die eigene Apps für Endkunden entwickeln und bereitstellen, müssen zudem ihr geistiges Eigentum vor Manipulationen wie Reverse Engineering schützen. Gleichzeitig gilt es, den ohnehin schon enormen Rückstau an App-Entwicklungsanfragen möglichst zügig aufzulösen.
Für mehr Kontrolle über die Verwundbarkeitslücke hat Zimperium eine Mobile-First-Strategie mit fünf Prinzipien entwickelt:
- Umfassende Priorisierung von Risiken: Effektiver Schutz beginnt mit klaren Zuständigkeiten. Jedes Gerät, jedes Betriebssystem, jede App, die mit einem Unternehmenssystem in Berührung kommt, muss in die Cybersicherheitsstrategie einbezogen werden.
- Betrieb im definierten Zustand: Vollständige Visibilität bezüglich cybersicherheitsrelevanter Vorgänge bei sämtlichen, digitalen Arbeitsabläufen ermöglicht eine präzise Risikobewertung und vermeidet Betriebsstörungen.
- Verstärkte Erkennung und Reaktion: Bedrohungen für mobile Geräte und Apps sind vielfältig und unterscheiden sich in ihren Auswirkungen. Daher ist es entscheidend, ein Konzept zur Klassifizierung von Bedrohungsmustern in Kombination mit Abwehrmaßnahmen zu entwickeln.
- Einrichtung autonomer Systeme: Die frühzeitige Erkennung von Gefahren und Reaktion darauf genügt bei der überwältigenden Anzahl an Bedrohungen mit einer stetig wachsenden Zahl mobiler Endgeräte nicht mehr. Dynamische Antworten auf unbekannte »Zero-Day«-Gefahren für eine unbestimmte Zahl an Endgeräten und fragmentierten Betriebssystemversionen erfordern ein Konzept für eine skalierbare Automatisierung der Abwehrprozesse.
- Kein Gesetzesbruch: Die Vielzahl an Richtlinien zu verschiedenen Themen wie Cybersicherheit, Datenschutz, Privatsphäre oder Arbeitnehmerschutz sind auf den ersten Blick überwältigend. Wer sich allerdings rechtzeitig mit ihnen beschäftigt, vermeidet Betriebsstörungen.
Risikoanalyse und Sicherheitsansätze für Informationssysteme
NIS2 zieht in Artikel 20 »die Leitungsorgane wesentlicher und wichtiger Einrichtungen«, also das Management zur Verantwortung. Letztendlich sind die Managementteams für die Genehmigung von Cybersicherheitsmaßnahmen verantwortlich und haften für Verstöße gegen die Richtlinie. Auf diese Weise soll eine gewisse Dringlichkeit bei der Umsetzung der Richtlinie geschaffen und eine klare Rechenschaftspflicht für das Versäumnis festgelegt werden.
Die NIS2-Anforderungen sind umfassend: Artikel 21 fordert einen »gefahrenübergreifenden Ansatz« für Maßnahmen, »der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen«. Die Risikomanagementmaßnahmen für Cybersicherheit umfassen Anforderungen für die Risikoanalyse und Sicherheit von Informationssystemen, einschließlich des Umgangs mit Sicherheitsvorfällen, der Sicherung von Lieferketten, der Aufrechterhaltung des Geschäftsbetriebs und der Verwendung kryptografischer Technologien. Für diese und andere Bereiche müssen IT-Teams detaillierte und überprüfbare Abläufe ausarbeiten.
Der Geltungsbereich von NIS2 geht über die geographischen Grenzen der EU hinaus. Jedes Unternehmen, das dem NIS2 unterliegt, muss die Verantwortung für die »Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern« übernehmen. Für Organisationen, die mit EU-Unternehmen zusammenarbeiten oder zusammenarbeiten wollen, bedeutet das also, dass auch sie die geforderten NIS2-Standards einhalten und die implementierten Cybersicherheitsmaßnahmen nachweisen müssen.
Finanzielle Folgen
Die NIS2-Richtlinie sieht empfindliche Sanktionen vor: Artikel 33 führt Aufsichts- und Durchsetzungsmaßnahmen auf, die von Vor-Ort-Kontrollen geschulter Fachkräfte und Sicherheitsprüfungen zuständiger Behörden bis zu Nachweisen für die Umsetzung der Cybersicherheitskonzepte sowie der Anforderung von Daten oder Dokumenten und sonstigen Informationen reichen, die zur Erfüllung ihrer Aufsichtsaufgaben erforderlich sind. Es bleibt abzuwarten, wie diese Durchsetzungen gehandhabt werden, aber es ist natürlich nicht ratsam, die Aufsichtsanforderungen zu ignorieren. Sinnvoll wäre es vielmehr, produktiv vorauszudenken und effiziente Sicherheitsmaßnahmen als Teil eines guten Gesamtkonzeptes durchzuführen. Mit Blick auf die steigende Komplexität von IT-Systemen empfiehlt sich die Suche nach Lösungen, die nicht eine vollständige Neuorganisation der bestehenden Arbeitsabläufe nach sich ziehen.
Darüber hinaus können IT-Compliance-Versäumnisse zu hohen Finanzstrafen führen. In Artikel 34 ist festgelegt, dass die Mitgliedstaaten im Falle eines Verstoßes Geldbußen in Höhe von bis zu zehn Millionen Euro oder zwei Prozent des Vorjahresbruttoeinkommens einer Organisation verhängen, je nachdem, welcher Betrag höher ist. Die Bußgelder basieren auf den durchschnittlich bezahlten Lösegeldern für Ransomware-Angriffe in Höhe von zehn Millionen Euro, die 2022 statistisch gesehen ein Mal pro Woche von europäischen Unternehmen gezahlt wurden.
Die nächsten Schritte
Die Einhaltung der NIS2-Richtlinie wird für Sicherheitsteams einen erheblichen Organisationsaufwand verursachen, und die Stärkung der Sicherheit mobiler Geräte und mobiler Apps ist hier eine zentrale Aufgabe. IT-Verantwortliche müssen sich daher detailliert mit den Themen Cyber-Risikomanagement, Kontrolle, Geschäftskontinuität und IT-Monitoring sowie dem Umgang mit Zwischenfällen befassen. Und die NIS2-Gesetzesvorgaben für Cybersicherheit und Cyberresilienz betreffen die große Mehrheit der Unternehmen in Deutschland und ihre nicht-europäischen Zulieferer.
Im Rahmen von Mobile-First-Strategien rückt deshalb auch die Absicherung mobiler Geräte und Anwendungen in den Mittelpunkt. Für eine konsequente Umsetzung der laut NIS2 Richtlinie notwendigen Risikomanagementmaßnahmen muss man jeden Berührungspunkt berücksichtigen — selbst wenn ein Smartphone nur für Multifaktorauthentifizierung genutzt oder eine App nur als Ersatz für analoge Prozessen entwickelt wurde. Denn es sind eben jene unscheinbaren Prozesse, die von Angreifern gerne als Einfallstor genutzt werden, um arglose Mitarbeiter zu täuschen. Klare Handlungsempfehlung ist daher, vor dem 18. Oktober 2024 detailliert nachzuvollziehen, wie sich die Bedrohungslage für mobile Endgeräte und Apps im eigenen Hause darstellt, um daraus ein skalierbares Konzept zur Gefahrenerkennung und -abwehr zu erstellen und dieses idealerweise zu automatisieren.
Yang-Giun Ro, Senior Sales Engineer DACH, Zimperium
31 Artikel zu „NIS2“
NEWS | INFRASTRUKTUR | IT-SECURITY | STRATEGIEN | TIPPS
Die Auswirkungen der NIS2-Richtlinie auf die Container-Sicherheit verstehen
Die digitale Landschaft in Europa steht mit der Veröffentlichung der NIS2-Richtlinie vor einem bedeutenden Wandel. Die Umsetzung dieser digitalen Transformation ist eng mit der Entwicklung der Cyber Security verbunden. Regierungen auf der ganzen Welt ergreifen jetzt Maßnahmen, um kritische Infrastrukturen intensiver vor Cyberbedrohungen zu schützen. Diese Richtlinie, die darauf abzielt, die Sicherheit und Widerstandsfähigkeit im…
NEWS | IT-SECURITY | AUSGABE 11-12-2023 | SECURITY SPEZIAL 11-12-2023
Cybersecurity – NIS2 fordert mehr Sicherheit, Transparenz und Kontrolle
NEWS | FAVORITEN DER REDAKTION | IT-SECURITY | STRATEGIEN | TIPPS
NIS2 – Mehr Cybersicherheit für Europa
Die neue EU-Richtlinie »Netzwerk- und Informationssysteme 2« (NIS2) soll für mehr Cybersicherheit in Unternehmen, Behörden und Privathaushalten sorgen. Das Ziel ist es, insbesondere kritische Infrastrukturen in Zukunft besser vor Cyberattacken zu schützen. Mitgliedsstaaten müssen die Richtlinie bis Oktober 2024 in nationale Gesetze gießen. Dabei ist zu erwarten, dass in einigen Ländern die Richtlinien strenger umgesetzt…
NEWS | IT-SECURITY
NIS2-Richtlinie stärkt europäische Cybersicherheit – was das für Unternehmen bedeutet
Die überarbeitete NIS2-Richtlinie zur Netz- und Informationssicherheit weitet den Kreis der betroffenen Unternehmen deutlich aus und bezieht auch Zulieferer und Dienstleister für kritische Sektoren mit ein. Bei Nichteinhaltung sind nicht nur die Cybersicherheit des eigenen Unternehmens und die Reputation bei Partnern und Kunden in Gefahr – es drohen auch empfindliche Geldbußen. Die digitale Transformation…
NEWS | IT-SECURITY | PRODUKTMELDUNG
Stormshield erhält Standardqualifizierung für sein Network-Security-Angebot
Die nun von der ANSSI (französisches Pendant zum hiesigen BSI) erteilte Zuverlässigkeitsgarantie eröffnet Betreibern vitaler Bedeutung sowie den wesentlichen (EE) und wichtigen (IE) Einrichtungen die Möglichkeit, von Cybersicherheitslösungen zu profitieren, die ihre Sicherheitsanforderungen erfüllen. Katalogbild. Quelle: 123rf.com, Autor: writestudio. Lizenz: SAB Communications Das SNS-Angebot von Stormshield ist die erste und einzige Produktlinie aus »verschlüsselnden Firewalls«,…
NEWS | IT-SECURITY | SERVICES | TIPPS
Managed Security Services für KMU: Nachts, wenn der Kryptotrojaner kommt
Die Ressourcen von mittelständischen Unternehmen reichen oft nicht für einen wirksamen Schutz vor Cyberattacken aus. Managed Security Services können Abhilfe schaffen. Bei der Auswahl des Dienstleisters sollten Unternehmen aber auf einige Dinge achten. Cyberattacken zählen zu den größten Risiken für deutsche Unternehmen. Laut einer Untersuchung des Branchenverbands Bitkom entstand ihnen im vergangenen Jahr durch…
NEWS | IT-SECURITY | KOMMUNIKATION
Spyware auf EU-Abgeordneten-Handys
Auf zwei Mobiltelefonen von EU-Parlamentariern wurden im Vorfeld der EU-Wahlen im Juni »Spuren einer Spyware« gefunden, wie das Politmagazin »Politico« berichtete. Betroffen waren Mitglieder des Unterausschusses für Sicherheit und Verteidigung (SEDE), der für Fragen der gemeinsamen Sicherheits- und Verteidigungspolitik der Europäischen Union (EU) zuständig ist und auch die Außenpolitik der Union mitbestimmt. Aus Deutschland gehören…
NEWS | BUSINESS PROCESS MANAGEMENT | DIGITALISIERUNG | GESCHÄFTSPROZESSE | LÖSUNGEN | SERVICES | LOGISTIK
Datengestützte, interoperable Supply-Chain-Lösung: Die Lieferkette der Zukunft ist digital
Datengestützte, interoperable Supply-Chain-Lösungen sorgen für transparente, resiliente Wertschöpfungsketten und beseitigen Störungen automatisiert über das gesamte Ökosystem hinweg. In Zeiten globalen Wettbewerbsdrucks sind reibungslose Prozesse entlang der gesamten Lieferkette ein zentrales Erfolgskriterium. Eine schwankende Inflation sowie geopolitische Spannungen können Lieferketten jedoch empfindlich beeinträchtigen und die Produktivität, Nachhaltigkeit und Rentabilität von Unternehmen gefährden. Mittels interoperabler Supply-Chain-Lösungen,…
NEWS | INDUSTRIE 4.0 | KÜNSTLICHE INTELLIGENZ
Vier Prinzipien des intelligenten Data Mesh auf dem Weg hin zu Industrie 4.0
Künstliche Intelligenz (KI) und maschinelles Lernen (ML) sind für Fabriken von erheblichem Nutzen. Es gibt jedoch nach wie vor Herausforderungen. Diese liegen normalerweise nicht in der Datenwissenschaft – denn der Code funktioniert in der Regel gut. Bei der Umsetzung von KI/ML-Projekten in großem Maßstab liegen die Herausforderungen vorwiegend in der Architektur und Datenverwaltung. Hersteller müssen…
NEWS | IT-SECURITY | LÖSUNGEN
Cyberabwehr ist inzwischen Chefsache
Die Bedrohungslage steigt rapide. Es wird höchste Zeit, Cybersecurity auch in den Vorstandsetagen höchste Aufmerksamkeit zu schenken. 2023 machten in Deutschland rund 60 Unternehmen Cyberattacken öffentlich. Die Dunkelziffer ist wohl weitaus höher. Und dennoch kämpft Cybersecurity noch immer darum, auf die Tagesordnung von Vorstandssitzungen zu kommen. Einen großen Anteil daran, hat auch die Wahrnehmung,…
TRENDS 2024 | NEWS | TRENDS SECURITY | IT-SECURITY
Cybersecurity im Jahr 2024 – Trends, Bedrohungen und Maßnahmen
Mit unserer zunehmenden Abhängigkeit vom Internet in allen Bereichen, von der Geschäftstätigkeit bis zur persönlichen Kommunikation, haben sich die Möglichkeiten für Cyberkriminelle exponentiell erweitert. Die vielschichtige Natur der aktuellen Bedrohungen erfordert einen umfassenden und proaktiven Ansatz für die Cybersicherheit. Wie können wir also dieser komplexen Bedrohungslage begegnen? Als Beratungsunternehmen für Cyber- und Applikationssicherheit ist…
NEWS | IT-SECURITY | STRATEGIEN
Digitaler Datenschutz: »Der größte Sieg ist der, der keinen Kampf erfordert«
Zum Europäischen Datenschutztag (28.1.24) weist der Autor auf Gefahren im Zusammenhang mit der Digitalisierung hin. Im Hinblick auf die Kosten von möglichen Cyberattacken befürwortet er die Sensibilisierung der Nutzer und spricht sich für striktere Sicherheitsprotokolle im Umgang mit Daten aus. Im Titelzitat aus der »Kunst des Krieges« des chinesischen Generals Sun Tzu (544-496 v.…
TRENDS 2024 | NEWS | TRENDS SECURITY | IT-SECURITY
Vertrauen in der digitalen Welt: Was wird 2024 wichtig?
Vertrauen im Internet ist ein wichtiger Faktor bei der Bekämpfung von Cyberbedrohungen. Im Jahr 2024 werden einige neue Regularien umgesetzt, Entwicklungen vorangetrieben und neue Technologien weiterentwickelt. Ingolf Rauh, Head of Product und Innovation Management bei Swisscom Trust Services, hat vier Trends für 2024 identifiziert. Neue Regularien DORA und NIS2 NIS2 (Network and Information Security…
NEWS | IT-SECURITY | AUSGABE 11-12-2023 | SECURITY SPEZIAL 11-12-2023
Wachsende Cyberbedrohungslage erfordert Verstärkung der Regulierungen – Der Ernst der Lage wird unterschätzt
Dreimal so viele Firmen müssen sich durch NIS2 intensiver mit ihren Security-Maßnahmen auseinandersetzen. Oftmals muss die komplette Security-Strategie überdacht beziehungsweise neu aufgebaut werden. Welche Herausforderungen und Anforderungen noch auf die Unternehmen zukommen erklärt Kerstin Hampl, Head of Security Consulting Germany, BT.
IT-SECURITY | AUSGABE 11-12-2023 | SECURITY SPEZIAL 11-12-2023
Trends in der IT-Sicherheit, Wissensvermittlung und Networking – Rückblick auf die it-sa 2023
Die it-sa Expo&Congress war vom 10. bis 12. Oktober 2023 das »Home of IT Security« für 19.449 Fachbesucher aus 55 Ländern und 795 Aussteller aus 30 Ländern. Ein neuer Ausstellerrekord und 30 Prozent mehr Fachbesucher als im Vorjahr bescherten den drei Hallen 6, 7 und 7A im Messezentrum Nürnberg viel Betrieb. In rund 370 Forenbeiträgen und dem begleitenden Congress@it-sa drehte sich alles um aktuelle Trends in der IT-Sicherheit sowie Wissensvermittlung und Networking.
TRENDS 2024 | NEWS | BUSINESS | KOMMUNIKATION | NACHHALTIGKEIT | NEW WORK
Fünf Trends, die den digitalen Arbeitsplatz im Jahr 2024 prägen und beeinflussen werden
Die kontinuierliche Weiterentwicklung des digitalen Arbeitsplatzes war auch 2023 unübersehbar. Er spielt eine zentrale Rolle bei der Verwirklichung von Remote-Arbeit, der Transformation von Büros in geografisch verteilte, aber dennoch einheitliche Räume und treibt den Trend des hybriden Arbeitens weiter voran. Faktoren wie der globale Klimanotstand, eskalierende Lebenshaltungskosten und die Inflation sowie geopolitische Konflikte und Kriege…
NEWS | BUSINESS PROCESS MANAGEMENT | INDUSTRIE 4.0 | IT-SECURITY
Die Bedeutung der Cybersicherheit für die Lebensmittelindustrie
Wie die Anforderungen der EU NIS 2-Direktive der Industrie helfen, Cyberangriffe abzuwehren. Derzeit setzt die Lebensmittelindustrie im Einklang mit den Trends der Industrie 4.0 zunehmend auf eine intelligente Fertigung. Immer mehr ICT (Informations- und Kommunikationstechnologie) -Lösungen werden eingesetzt, um Produktionslinien zu optimieren, Qualität und Effizienz zu steigern und die hohen Anforderungen der Verbraucher an…