Wie Prozessmonitoring Organisationen und Unternehmen unterstützt bei dynamischen Risikomanagement und zeitnahem Geschäftsprozess-Reporting.
Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS). Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in den Betrieb wichtiger Dienste ein. Leider haben viele der teilnehmenden Länder diese Schutzmaßnahmen auf unterschiedliche Weise oder in unterschiedlichem Maße umgesetzt. Angesichts der sich rasch verändernden Cybersicherheitslandschaft wurde deutlich, dass mehr nötig war.
So wurde im Jahr 2020 NIS2 eingeführt und trat am 16. Januar 2024 in Kraft. Sie erweitert den ursprünglichen Anwendungsbereich, verschärft die Anforderungen, beseitigt einige der ursprünglichen Unklarheiten bei der Anwendung und verleiht der Richtlinie Biss in Form von erheblichen Geldbußen und Sanktionen. Bis zum 17. Oktober muss die NIS2-Richtlinie von den EU-Mitgliedsstaaten jeweils in nationales Recht umgesetzt werden. Deutschland ist hier mit einem kurz vor der Veröffentlichung stehenden vierten Referentenentwurf nicht mehr weit entfernt von der Umsetzung in deutsches Recht.
Organisationen und Unternehmen können die Belastung durch die NIS2-Richtlinie verringern, indem sie Prozessmonitoring einsetzen, um dynamisches Risikomanagement und Reporting in ihre Geschäftsprozesse zu integrieren. Wenn Unternehmen das Risikomanagement zu einem Teil ihres Engagements für ihre Prozesslandschaft machen, sind sie für Oktober 2024 und die sich ständig verändernde digitale Landschaft gerüstet.
Von NIS2 betroffene Branchen und Einrichtungen
Um die lebenswichtigsten Vorgänge in der Europäischen Union vor böswilligen technologischen Bedrohungen zu schützen, umfasst die NIS2-Richtlinie wesentliche Dienste in den Bereichen Verkehr, Bankwesen, Energie, Finanzmärkte, Gesundheitswesen, Digitale Infrastruktur, Trinkwasser- und Abwasserversorgung, Öffentliche Verwaltung, Raumfahrt. Hinzu kommen wichtige Einrichtungen, deren Melde- und Überwachungsbedingungen zwar selbstbestimmter, aber nicht weniger streng sind wie digitale Anbieter, Forschung, Lebensmittelherstellung, -verarbeitung und -vertrieb, Chemikalienherstellung, -produktion und -vertrieb, Post und Kurierdienste, Hersteller und die Abfallwirtschaft.
»Doch das ist noch nicht das ganze Ausmaß der Auswirkungen von NIS2. Ein Teil der Verpflichtung für die betroffenen Branchen und Dienste ist die Sicherheit ihrer Lieferkette. Das bedeutet, dass auch Zulieferer und Auftragnehmer, die Ressourcen für diese lebenswichtigen Vorgänge bereitstellen, verpflichtet sind, ein Mindestmaß an Cybersicherheitsmaßnahmen einzuhalten, da sie sonst Gefahr laufen, Aufträge zu verlieren. Auch diejenigen, die nicht direkt in wesentlichen und wichtigen Branchen tätig sind, müssen ihr Risikomanagement verbessern, um ihren Marktanteil zu halten,« erläutert Cosima von Kries, Nintex Director, Solution Engineering EMEA, die Situation noch genauer.
Die ersten Schritte unternehmen
Risikomanagement und Compliance sollten für Unternehmen, die im heutigen Umfeld tätig sind, nichts Neues mehr sein. Auch wenn die NIS2 hohe Anforderungen an eine wirksame Cybersicherheit stellt, sollte der Ansatz, den jedes Unternehmen verfolgt, ein vertrauter sein. Er beginnt mit der Identifizierung von Risiken und der Festlegung von Abhilfemaßnahmen, wo dies möglich ist. Im Kern handelt es sich dabei um eine Prozessüberwachung und um die Art von Herausforderung, für die spezielle Software entwickelt wurde.
Indem Unternehmen ihre wichtigsten Cybersicherheitsprozesse und die risikoreichsten Geschäftspraktiken in diesem Bereich abbilden und dokumentieren, können sie sofort erkennen, wo es möglicherweise Probleme mit der Einhaltung von Vorschriften gibt. Dies könnte sich auf Lieferanten, interne Systeme oder bestehende Verfahren beziehen. Wenn die Prozesse klar dargelegt sind, können diese Risiken dokumentiert und entsprechende Maßnahmen ergriffen werden.
»Natürlich lässt sich nicht jedes Risiko ausschalten. Etwas so Einfaches wie ein menschlicher Nutzer in einem Prozess kann ein Risiko darstellen, von der Anfälligkeit für Phishing-Angriffe bis hin zu vorsätzlichen Sabotageakten. Beim Risikomanagement geht es darum, diese Risiken zu kontrollieren. Neben den Prozessen, die die wichtigsten Aktivitäten regeln, sollte es Kontrollpunkte für das Risikomanagement geben, um die Einhaltung der Vorschriften bei jedem Schritt zu gewährleisten,« so Cosima von Kries weiter. »Bei Nutzung der Nintex Process Plattform beispielsweise können Workflows diese Prozesse, wie zum Beispiel das Incident Reporting, automatisieren, indem sie bei der Ausführung von Vorgängen Datenvalidierungen vornehmen oder Freigabeanfragen auslösen. Auf diese Weise entsteht sowohl eine rechtskonforme Dokumentation für Aktionen als auch eine Sicherheitskontrolle für wichtige Aktivitäten.«
Hohe Wachsamkeit erforderlich
Die letzten Jahre haben gezeigt, dass Cyber-Angriffe immer raffinierter werden. Selbst die größten Unternehmen sind nicht immun gegen durch digitale Störfaktoren verursachte Verstöße oder Ausfälle. Die Einführung von Risikomanagementprozessen ist im Rahmen der NIS2 von entscheidender Bedeutung, aber die Unternehmen müssen auch für eine schnelle Berichterstattung sorgen, wenn etwas schiefläuft. Von wesentlichen und wichtigen Diensten wird erwartet, dass sie innerhalb von 24 Stunden einen ersten Bericht über einen Vorfall mit »erheblichen Auswirkungen« und innerhalb von 72 Stunden nach dem Ereignis einen vollständigen Meldebericht vorlegen.
Die Berichterstattungsprozesse sollten für alle wichtigen Risikotätigkeiten und -bereiche klar und leicht zugänglich sein. Ein Merkmal von Prozessmonitoring ist die Möglichkeit, Prozesse miteinander zu verknüpfen, um sicherzustellen, dass Berichtsverfahren, Dokumentationen und wichtige Referenzmaterialien in jeden verwandten Prozess eingebettet und leicht zugänglich sind. Sollte eine Störung oder eine Ausnahme auftreten, sind die Informationen darüber, was zu tun ist, sofort zur Hand, so dass die Hauptbeteiligten schnell die zu ergreifenden Maßnahmen identifizieren können. Die Teams werden zu den entsprechenden Schritten und Protokollen geleitet, die die Auswirkungen so weit wie möglich abschwächen, und die entsprechenden Personen werden alarmiert.
Zu den Risikomanagementprozessen gehören auch regelmäßige Abnahmen, um sicherzustellen, dass die vorhandenen Maßnahmen aktuell und wirksam sind. Prozessmonitoring kann hier unterstützen, indem es die Beteiligten und die benannten Risikomanager an die Abnahmen erinnert und via Link direkt zu den entsprechenden Prozessunterlagen führt, so dass sie proaktiv dafür sorgen können, dass die Kontrollen auf dem neuesten Stand sind.
Fit für den Erfolg von NIS2
Während effektive Unternehmen bereits über einen Risikomanagementplan verfügen, machen die Anforderungen von NIS2 es für alle Organisationen unerlässlich, der Einhaltung der Vorschriften Priorität einzuräumen. Die Identifizierung der wichtigsten Risikobereiche, wie sie in der Richtlinie beschrieben sind, und die Einrichtung effektiver Prozesse zur Verwaltung und Minderung dieser Risiken kann eine zeitraubende und schwierige Aufgabe sein.
»Prozessmonitoring bietet hier die Möglichkeit, Richtlinien, Prozesse und Verfahren zu verwalten und zu zentralisieren. Es identifiziert klare Rollen und Verantwortlichkeiten in Bezug auf die Gesamtverantwortung für die Governance, bis hin zum Eigentum an Standardbetriebsverfahren,« geht von Kries ins Detail.
Prozessmonitoring richtig eingesetzt sollte vor allem die folgenden Bereiche abdecken:
- Leicht verständliche Prozesslandkarte plus alle erforderlichen Informationen werden in einer zentralen Anlaufstelle zusammengeführt, auf die jeder zugreifen kann. Dazu gehören Dokumente, Videos, Bildschirmfotos und Links zu anderen Ressourcen.
- Gewährleistung, dass alle Beteiligten über Änderungen informiert werden, sobald sie auftreten. Unterstützt wird dies durch ein Änderungsprotokoll und die Erstellung von Berichten, die den Audit-Anforderungen entsprechen.
- Eine zentrale Informationsquelle für alle Mitarbeiter und eine zuverlässige Basis für die Sensibilisierung und Schulung von Teams in Bezug auf standardisierte, wiederholbare Prozesse. So wird sichergestellt, dass alle Mitarbeiter über alle relevanten Sicherheitsprozesse gut informiert sind.
- Alle identifizierten Risiko- und Compliance-Anforderungen können mit einer Aktivität innerhalb des Prozesses verknüpft werden. Dadurch wird der Prozessanwender beurteilt und der Risiko- und Compliance-Manager als Beteiligter mit dem spezifischen Prozess verknüpft. Diese Risiko- und Compliance-Anforderungen können Personen in der Organisation zugewiesen werden, die sie regelmäßig abzeichnen, so dass Führungsteams sicher sein können, dass Risiko- und Compliance-Szenarien identifiziert und entschärft werden.
Die digitale Transformation schreitet beständig voran und macht auch vor Sicherheitstücken nicht halt. NIS2 ist ein wichtiger Schritt zu mehr Schutz im digitalen Geschäftsumfeld. Die Richtlinie richtig umzusetzen, bewahrt Unternehmen vor Sanktionen und sie sollten bei der Umsetzung auf effektive Hilfsmittel zurückgreifen, die sie nachhaltig unterstützen.
Mehr Informationen über die Nintex Prozess Plattform: https://www.nintex.de/prozessplattform/
IT-Compliance: NIS2 – Vorbereitung ist alles!
Mit der Richtlinie über Netz- und Informationssicherheit (NIS2) tritt in diesem Jahr eine neue Richtlinie in Kraft, die sich erheblich auf Organisationen auswirkt. NIS2 legt detaillierte Cybersicherheitsvorschriften fest, deren Nichteinhaltung die EU mit hohen Geldstrafen sanktionieren wird. Im Herbst läuft die Vorbereitungsfrist ab — auf folgende Punkte müssen IT-Verantwortliche besonders achten.
Gesetzliche Regularien sind ein wichtiger Bestandteil der Aufgabenpalette einer IT-Sicherheitsabteilung. Das gilt ganz besonders für Organisationen mit Sitz in der EU und Unternehmen, die mit in der EU ansässigen Firmen geschäftlich zusammenarbeiten. Aktuell haben sie das gleiche Datum vor Augen. Am 18. Oktober 2024 wird die EU-Richtlinie 2022/2555 »über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union« (abgekürzt NIS2-Richtlinie) wirksam. Mit diesem Stichtag läuft die Vorbereitungsfrist ab, und es drohen bei Nichteinhaltung empfindliche Strafen.
Die NIS2-Vorgeschichte
Im Jahr 2016 hatte die Europäische Kommission die erste EU-weite Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS) verabschiedet. Dies war zwar ein Schritt nach vorn, um die Resilienz- und Reaktionskapazitäten von Unternehmen und Institutionen in der EU zu verbessern. Die rechtliche Adaption in den EU-Mitgliedstaaten erwies sich jedoch als schwierig.
Sowohl die Umsetzung in nationales Recht als auch die Durchsetzung der Vorgaben erfolgten nur in fragmentierter Form. Zur Beseitigung dieser Hindernisse leitete die Kommission die Entwicklung der NIS2-Richtlinie ein. Diese Direktive trat Anfang 2023 in Kraft und muss bis Mitte Oktober 2024 von allen Mitgliedstaaten in nationales Recht überführt werden.
Die Bewertungen und Meinungen zur NIS2-Richtlinie gehen auseinander. Konsens unter den Experten ist indes, dass Sicherheitsverantwortliche die vorgeschriebenen Standards genau prüfen müssen. Das Management ist aufgefordert, sich mit den regulatorischen Details vertraut zu machen und festzulegen, wie sie innerhalb ihrer Organisation am besten angewendet werden können.
Mobile Sicherheit
Cyberangriffe in der EU und in fast allen Regionen der Welt haben stark zugenommen — mit immer höheren Schäden für Unternehmen. Es gibt also gute Gründe für die Entwicklung und Einführung von Standards wie NIS2. Die Richtlinie soll »Maßnahmen definieren, die darauf abzielen, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union zu erreichen, um das Funktionieren des europäischen Binnenmarkts zu verbessern«.
Dafür weitet die EU-Kommission den Zuständigkeitsbereich von NIS2 auf alle digitalen Arbeitsabläufe privater und öffentlicher Einrichtungen aus, die als wesentlich oder wichtig für die kritische Infrastruktur eingestuft wurden. Die in Artikel 21 konkret benannten Risikomanagementmaßnahmen für Cybersicherheit gelten für alle digitalen Medien, einschließlich mobilen Endgeräten und mobilen Apps.
Auch wenn die EU-Kommission mobile Endgeräte nur in der Begründung der Richtlinie (Absatz 33) explizit erwähnt, lohnt sich ein genauerer Blick. Mobilgeräte und mobile Apps sind im Kontext von NIS2 deshalb so wichtig, weil genau hier die größte »Verwundbarkeitslücke« besteht, also die Lücke zwischen einer technisch möglichen Bedrohung und der eigenen Abwehrfähigkeit. Während auf der einen Seite technologische Fortschritte tägliche Realität sind, mangelt es auf der anderen Seite am passenden Schutz vor Risiken. Gegenüber der mühseligen Kommandozeileneingabe erleichtern Links die Navigation im World Wide Web, aber auch Angreifer nutzen sie, um per Phishing-Webseiten schädliche Inhalte schnell einzuschleusen.
Die Herausforderung bei der Umsetzung der NIS2 Richtlinie ist, dass sich viele bewährte Cybersicherheitskonzepte nicht von Desktop- auf Mobilrechner übertragen lassen. Die Architektur mobiler Betriebssysteme unterscheidet sich fundamental von Desktop-Systemen, so dass klassische EDR- oder XDR-Lösungen überhaupt nicht auf Android oder iOS-Geräten installiert werden können. Hinzu kommt, dass das Benutzerprofil auf mobilen Geräten völlig anders ist: Ein Notebook, das der Arbeitgeber zur Verfügung stellt, wird in der Regel vollständig von der Firma verwaltet und von den meisten Anwendern auch ausschließlich für dienstliche Zwecke genutzt. Bei Mobiltelefonen dagegen ist die Abgrenzung zwischen dienstlicher und privater Nutzung sehr viel schwieriger. Anwender von Mobiltelefonen und Tablets sind auch Geräteadministratoren, was die Situation deutlich erschwert.
Risiken bei mobilen Apps ergeben sich beispielsweise daraus, dass der hohe Digitalisierungsbedarf einen enormen Rückstau bei App-Entwicklern erzeugt hat. Das zwingt App-Entwickler dazu, open-source libraries oder SDKs von Dritten zu benutzen, anstatt jede Zeile Code selbst zu schreiben. Das ist die weit verbreitete Praxis, birgt jedoch die Gefahr, dass Angreifer entweder existierende Schwachstellen in diesen Werkzeugen ausnutzen oder sogar bewusst einarbeiten. Unternehmen, die eigene Apps für Endkunden entwickeln und bereitstellen, müssen zudem ihr geistiges Eigentum vor Manipulationen wie Reverse Engineering schützen. Gleichzeitig gilt es, den ohnehin schon enormen Rückstau an App-Entwicklungsanfragen möglichst zügig aufzulösen.
Für mehr Kontrolle über die Verwundbarkeitslücke hat Zimperium eine Mobile-First-Strategie mit fünf Prinzipien entwickelt:
- Umfassende Priorisierung von Risiken: Effektiver Schutz beginnt mit klaren Zuständigkeiten. Jedes Gerät, jedes Betriebssystem, jede App, die mit einem Unternehmenssystem in Berührung kommt, muss in die Cybersicherheitsstrategie einbezogen werden.
- Betrieb im definierten Zustand: Vollständige Visibilität bezüglich cybersicherheitsrelevanter Vorgänge bei sämtlichen, digitalen Arbeitsabläufen ermöglicht eine präzise Risikobewertung und vermeidet Betriebsstörungen.
- Verstärkte Erkennung und Reaktion: Bedrohungen für mobile Geräte und Apps sind vielfältig und unterscheiden sich in ihren Auswirkungen. Daher ist es entscheidend, ein Konzept zur Klassifizierung von Bedrohungsmustern in Kombination mit Abwehrmaßnahmen zu entwickeln.
- Einrichtung autonomer Systeme: Die frühzeitige Erkennung von Gefahren und Reaktion darauf genügt bei der überwältigenden Anzahl an Bedrohungen mit einer stetig wachsenden Zahl mobiler Endgeräte nicht mehr. Dynamische Antworten auf unbekannte »Zero-Day«-Gefahren für eine unbestimmte Zahl an Endgeräten und fragmentierten Betriebssystemversionen erfordern ein Konzept für eine skalierbare Automatisierung der Abwehrprozesse.
- Kein Gesetzesbruch: Die Vielzahl an Richtlinien zu verschiedenen Themen wie Cybersicherheit, Datenschutz, Privatsphäre oder Arbeitnehmerschutz sind auf den ersten Blick überwältigend. Wer sich allerdings rechtzeitig mit ihnen beschäftigt, vermeidet Betriebsstörungen.
Risikoanalyse und Sicherheitsansätze für Informationssysteme
NIS2 zieht in Artikel 20 »die Leitungsorgane wesentlicher und wichtiger Einrichtungen«, also das Management zur Verantwortung. Letztendlich sind die Managementteams für die Genehmigung von Cybersicherheitsmaßnahmen verantwortlich und haften für Verstöße gegen die Richtlinie. Auf diese Weise soll eine gewisse Dringlichkeit bei der Umsetzung der Richtlinie geschaffen und eine klare Rechenschaftspflicht für das Versäumnis festgelegt werden.
Die NIS2-Anforderungen sind umfassend: Artikel 21 fordert einen »gefahrenübergreifenden Ansatz« für Maßnahmen, »der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen«. Die Risikomanagementmaßnahmen für Cybersicherheit umfassen Anforderungen für die Risikoanalyse und Sicherheit von Informationssystemen, einschließlich des Umgangs mit Sicherheitsvorfällen, der Sicherung von Lieferketten, der Aufrechterhaltung des Geschäftsbetriebs und der Verwendung kryptografischer Technologien. Für diese und andere Bereiche müssen IT-Teams detaillierte und überprüfbare Abläufe ausarbeiten.
Der Geltungsbereich von NIS2 geht über die geographischen Grenzen der EU hinaus. Jedes Unternehmen, das dem NIS2 unterliegt, muss die Verantwortung für die »Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern« übernehmen. Für Organisationen, die mit EU-Unternehmen zusammenarbeiten oder zusammenarbeiten wollen, bedeutet das also, dass auch sie die geforderten NIS2-Standards einhalten und die implementierten Cybersicherheitsmaßnahmen nachweisen müssen.
Finanzielle Folgen
Die NIS2-Richtlinie sieht empfindliche Sanktionen vor: Artikel 33 führt Aufsichts- und Durchsetzungsmaßnahmen auf, die von Vor-Ort-Kontrollen geschulter Fachkräfte und Sicherheitsprüfungen zuständiger Behörden bis zu Nachweisen für die Umsetzung der Cybersicherheitskonzepte sowie der Anforderung von Daten oder Dokumenten und sonstigen Informationen reichen, die zur Erfüllung ihrer Aufsichtsaufgaben erforderlich sind. Es bleibt abzuwarten, wie diese Durchsetzungen gehandhabt werden, aber es ist natürlich nicht ratsam, die Aufsichtsanforderungen zu ignorieren. Sinnvoll wäre es vielmehr, produktiv vorauszudenken und effiziente Sicherheitsmaßnahmen als Teil eines guten Gesamtkonzeptes durchzuführen. Mit Blick auf die steigende Komplexität von IT-Systemen empfiehlt sich die Suche nach Lösungen, die nicht eine vollständige Neuorganisation der bestehenden Arbeitsabläufe nach sich ziehen.
Darüber hinaus können IT-Compliance-Versäumnisse zu hohen Finanzstrafen führen. In Artikel 34 ist festgelegt, dass die Mitgliedstaaten im Falle eines Verstoßes Geldbußen in Höhe von bis zu zehn Millionen Euro oder zwei Prozent des Vorjahresbruttoeinkommens einer Organisation verhängen, je nachdem, welcher Betrag höher ist. Die Bußgelder basieren auf den durchschnittlich bezahlten Lösegeldern für Ransomware-Angriffe in Höhe von zehn Millionen Euro, die 2022 statistisch gesehen ein Mal pro Woche von europäischen Unternehmen gezahlt wurden.
Die nächsten Schritte
Die Einhaltung der NIS2-Richtlinie wird für Sicherheitsteams einen erheblichen Organisationsaufwand verursachen, und die Stärkung der Sicherheit mobiler Geräte und mobiler Apps ist hier eine zentrale Aufgabe. IT-Verantwortliche müssen sich daher detailliert mit den Themen Cyber-Risikomanagement, Kontrolle, Geschäftskontinuität und IT-Monitoring sowie dem Umgang mit Zwischenfällen befassen. Und die NIS2-Gesetzesvorgaben für Cybersicherheit und Cyberresilienz betreffen die große Mehrheit der Unternehmen in Deutschland und ihre nicht-europäischen Zulieferer.
Im Rahmen von Mobile-First-Strategien rückt deshalb auch die Absicherung mobiler Geräte und Anwendungen in den Mittelpunkt. Für eine konsequente Umsetzung der laut NIS2 Richtlinie notwendigen Risikomanagementmaßnahmen muss man jeden Berührungspunkt berücksichtigen — selbst wenn ein Smartphone nur für Multifaktorauthentifizierung genutzt oder eine App nur als Ersatz für analoge Prozessen entwickelt wurde. Denn es sind eben jene unscheinbaren Prozesse, die von Angreifern gerne als Einfallstor genutzt werden, um arglose Mitarbeiter zu täuschen. Klare Handlungsempfehlung ist daher, vor dem 18. Oktober 2024 detailliert nachzuvollziehen, wie sich die Bedrohungslage für mobile Endgeräte und Apps im eigenen Hause darstellt, um daraus ein skalierbares Konzept zur Gefahrenerkennung und -abwehr zu erstellen und dieses idealerweise zu automatisieren.
Yang-Giun Ro, Senior Sales Engineer DACH, Zimperium
31 Artikel zu „NIS2“
NEWS | INFRASTRUKTUR | IT-SECURITY | STRATEGIEN | TIPPS
Die Auswirkungen der NIS2-Richtlinie auf die Container-Sicherheit verstehen
Die digitale Landschaft in Europa steht mit der Veröffentlichung der NIS2-Richtlinie vor einem bedeutenden Wandel. Die Umsetzung dieser digitalen Transformation ist eng mit der Entwicklung der Cyber Security verbunden. Regierungen auf der ganzen Welt ergreifen jetzt Maßnahmen, um kritische Infrastrukturen intensiver vor Cyberbedrohungen zu schützen. Diese Richtlinie, die darauf abzielt, die Sicherheit und Widerstandsfähigkeit im…
NEWS | IT-SECURITY | AUSGABE 11-12-2023 | SECURITY SPEZIAL 11-12-2023
Cybersecurity – NIS2 fordert mehr Sicherheit, Transparenz und Kontrolle
Die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) enthält strenge Vorgaben zur Cybersicherheit und betrifft einen deutlich größeren Kreis von Unternehmen. Alleine in Deutschland sind es knapp 30.000 – auch kleine und mittelständische – Firmen.
NEWS | FAVORITEN DER REDAKTION | IT-SECURITY | STRATEGIEN | TIPPS
NIS2 – Mehr Cybersicherheit für Europa
Die neue EU-Richtlinie »Netzwerk- und Informationssysteme 2« (NIS2) soll für mehr Cybersicherheit in Unternehmen, Behörden und Privathaushalten sorgen. Das Ziel ist es, insbesondere kritische Infrastrukturen in Zukunft besser vor Cyberattacken zu schützen. Mitgliedsstaaten müssen die Richtlinie bis Oktober 2024 in nationale Gesetze gießen. Dabei ist zu erwarten, dass in einigen Ländern die Richtlinien strenger umgesetzt…
NEWS | IT-SECURITY
NIS2-Richtlinie stärkt europäische Cybersicherheit – was das für Unternehmen bedeutet
Die überarbeitete NIS2-Richtlinie zur Netz- und Informationssicherheit weitet den Kreis der betroffenen Unternehmen deutlich aus und bezieht auch Zulieferer und Dienstleister für kritische Sektoren mit ein. Bei Nichteinhaltung sind nicht nur die Cybersicherheit des eigenen Unternehmens und die Reputation bei Partnern und Kunden in Gefahr – es drohen auch empfindliche Geldbußen. Die digitale Transformation…
NEWS | IT-SECURITY | PRODUKTMELDUNG
Stormshield erhält Standardqualifizierung für sein Network-Security-Angebot
Die nun von der ANSSI (französisches Pendant zum hiesigen BSI) erteilte Zuverlässigkeitsgarantie eröffnet Betreibern vitaler Bedeutung sowie den wesentlichen (EE) und wichtigen (IE) Einrichtungen die Möglichkeit, von Cybersicherheitslösungen zu profitieren, die ihre Sicherheitsanforderungen erfüllen. Katalogbild. Quelle: 123rf.com, Autor: writestudio. Lizenz: SAB Communications Das SNS-Angebot von Stormshield ist die erste und einzige Produktlinie aus »verschlüsselnden Firewalls«,…
NEWS | IT-SECURITY | SERVICES | TIPPS
Managed Security Services für KMU: Nachts, wenn der Kryptotrojaner kommt
Die Ressourcen von mittelständischen Unternehmen reichen oft nicht für einen wirksamen Schutz vor Cyberattacken aus. Managed Security Services können Abhilfe schaffen. Bei der Auswahl des Dienstleisters sollten Unternehmen aber auf einige Dinge achten. Cyberattacken zählen zu den größten Risiken für deutsche Unternehmen. Laut einer Untersuchung des Branchenverbands Bitkom entstand ihnen im vergangenen Jahr durch…
NEWS | IT-SECURITY | KOMMUNIKATION
Spyware auf EU-Abgeordneten-Handys
Auf zwei Mobiltelefonen von EU-Parlamentariern wurden im Vorfeld der EU-Wahlen im Juni »Spuren einer Spyware« gefunden, wie das Politmagazin »Politico« berichtete. Betroffen waren Mitglieder des Unterausschusses für Sicherheit und Verteidigung (SEDE), der für Fragen der gemeinsamen Sicherheits- und Verteidigungspolitik der Europäischen Union (EU) zuständig ist und auch die Außenpolitik der Union mitbestimmt. Aus Deutschland gehören…
NEWS | BUSINESS PROCESS MANAGEMENT | DIGITALISIERUNG | GESCHÄFTSPROZESSE | LÖSUNGEN | SERVICES | LOGISTIK
Datengestützte, interoperable Supply-Chain-Lösung: Die Lieferkette der Zukunft ist digital
Datengestützte, interoperable Supply-Chain-Lösungen sorgen für transparente, resiliente Wertschöpfungsketten und beseitigen Störungen automatisiert über das gesamte Ökosystem hinweg. In Zeiten globalen Wettbewerbsdrucks sind reibungslose Prozesse entlang der gesamten Lieferkette ein zentrales Erfolgskriterium. Eine schwankende Inflation sowie geopolitische Spannungen können Lieferketten jedoch empfindlich beeinträchtigen und die Produktivität, Nachhaltigkeit und Rentabilität von Unternehmen gefährden. Mittels interoperabler Supply-Chain-Lösungen,…
NEWS | INDUSTRIE 4.0 | KÜNSTLICHE INTELLIGENZ
Vier Prinzipien des intelligenten Data Mesh auf dem Weg hin zu Industrie 4.0
Künstliche Intelligenz (KI) und maschinelles Lernen (ML) sind für Fabriken von erheblichem Nutzen. Es gibt jedoch nach wie vor Herausforderungen. Diese liegen normalerweise nicht in der Datenwissenschaft – denn der Code funktioniert in der Regel gut. Bei der Umsetzung von KI/ML-Projekten in großem Maßstab liegen die Herausforderungen vorwiegend in der Architektur und Datenverwaltung. Hersteller müssen…
NEWS | IT-SECURITY | LÖSUNGEN
Cyberabwehr ist inzwischen Chefsache
Die Bedrohungslage steigt rapide. Es wird höchste Zeit, Cybersecurity auch in den Vorstandsetagen höchste Aufmerksamkeit zu schenken. 2023 machten in Deutschland rund 60 Unternehmen Cyberattacken öffentlich. Die Dunkelziffer ist wohl weitaus höher. Und dennoch kämpft Cybersecurity noch immer darum, auf die Tagesordnung von Vorstandssitzungen zu kommen. Einen großen Anteil daran, hat auch die Wahrnehmung,…
TRENDS 2024 | NEWS | TRENDS SECURITY | IT-SECURITY
Cybersecurity im Jahr 2024 – Trends, Bedrohungen und Maßnahmen
Mit unserer zunehmenden Abhängigkeit vom Internet in allen Bereichen, von der Geschäftstätigkeit bis zur persönlichen Kommunikation, haben sich die Möglichkeiten für Cyberkriminelle exponentiell erweitert. Die vielschichtige Natur der aktuellen Bedrohungen erfordert einen umfassenden und proaktiven Ansatz für die Cybersicherheit. Wie können wir also dieser komplexen Bedrohungslage begegnen? Als Beratungsunternehmen für Cyber- und Applikationssicherheit ist…
NEWS | IT-SECURITY | STRATEGIEN
Digitaler Datenschutz: »Der größte Sieg ist der, der keinen Kampf erfordert«
Zum Europäischen Datenschutztag (28.1.24) weist der Autor auf Gefahren im Zusammenhang mit der Digitalisierung hin. Im Hinblick auf die Kosten von möglichen Cyberattacken befürwortet er die Sensibilisierung der Nutzer und spricht sich für striktere Sicherheitsprotokolle im Umgang mit Daten aus. Im Titelzitat aus der »Kunst des Krieges« des chinesischen Generals Sun Tzu (544-496 v.…
TRENDS 2024 | NEWS | TRENDS SECURITY | IT-SECURITY
Vertrauen in der digitalen Welt: Was wird 2024 wichtig?
Vertrauen im Internet ist ein wichtiger Faktor bei der Bekämpfung von Cyberbedrohungen. Im Jahr 2024 werden einige neue Regularien umgesetzt, Entwicklungen vorangetrieben und neue Technologien weiterentwickelt. Ingolf Rauh, Head of Product und Innovation Management bei Swisscom Trust Services, hat vier Trends für 2024 identifiziert. Neue Regularien DORA und NIS2 NIS2 (Network and Information Security…
NEWS | IT-SECURITY | AUSGABE 11-12-2023 | SECURITY SPEZIAL 11-12-2023
Wachsende Cyberbedrohungslage erfordert Verstärkung der Regulierungen – Der Ernst der Lage wird unterschätzt
Dreimal so viele Firmen müssen sich durch NIS2 intensiver mit ihren Security-Maßnahmen auseinandersetzen. Oftmals muss die komplette Security-Strategie überdacht beziehungsweise neu aufgebaut werden. Welche Herausforderungen und Anforderungen noch auf die Unternehmen zukommen erklärt Kerstin Hampl, Head of Security Consulting Germany, BT.
IT-SECURITY | AUSGABE 11-12-2023 | SECURITY SPEZIAL 11-12-2023
Trends in der IT-Sicherheit, Wissensvermittlung und Networking – Rückblick auf die it-sa 2023
Die it-sa Expo&Congress war vom 10. bis 12. Oktober 2023 das »Home of IT Security« für 19.449 Fachbesucher aus 55 Ländern und 795 Aussteller aus 30 Ländern. Ein neuer Ausstellerrekord und 30 Prozent mehr Fachbesucher als im Vorjahr bescherten den drei Hallen 6, 7 und 7A im Messezentrum Nürnberg viel Betrieb. In rund 370 Forenbeiträgen und dem begleitenden Congress@it-sa drehte sich alles um aktuelle Trends in der IT-Sicherheit sowie Wissensvermittlung und Networking.
TRENDS 2024 | NEWS | BUSINESS | KOMMUNIKATION | NACHHALTIGKEIT | NEW WORK
Fünf Trends, die den digitalen Arbeitsplatz im Jahr 2024 prägen und beeinflussen werden
Die kontinuierliche Weiterentwicklung des digitalen Arbeitsplatzes war auch 2023 unübersehbar. Er spielt eine zentrale Rolle bei der Verwirklichung von Remote-Arbeit, der Transformation von Büros in geografisch verteilte, aber dennoch einheitliche Räume und treibt den Trend des hybriden Arbeitens weiter voran. Faktoren wie der globale Klimanotstand, eskalierende Lebenshaltungskosten und die Inflation sowie geopolitische Konflikte und Kriege…
NEWS | BUSINESS PROCESS MANAGEMENT | INDUSTRIE 4.0 | IT-SECURITY
Die Bedeutung der Cybersicherheit für die Lebensmittelindustrie
Wie die Anforderungen der EU NIS 2-Direktive der Industrie helfen, Cyberangriffe abzuwehren. Derzeit setzt die Lebensmittelindustrie im Einklang mit den Trends der Industrie 4.0 zunehmend auf eine intelligente Fertigung. Immer mehr ICT (Informations- und Kommunikationstechnologie) -Lösungen werden eingesetzt, um Produktionslinien zu optimieren, Qualität und Effizienz zu steigern und die hohen Anforderungen der Verbraucher an…