Auf deutsche Unternehmen und Institutionen mit kritischer Infrastruktur kommen zwei Regulierungen der EU zu: NIS2 und DORA. Wegen der Zunahme gef\u00e4hrlicher Cyber-Angriffe von Hacker-Kollektiven und KI-generierter Attacken soll die digitale Resilienz durch gesetzliche Vorgaben verbindlich gest\u00e4rkt werden. Die Verantwortlichen m\u00fcssen daf\u00fcr nachhaltige Ma\u00dfnahmen einf\u00fchren \u2013 von Authentifizierungen auf der Basis von Zero Trust \u00fcber End-to-End-Verschl\u00fcsselungen des Datenverkehrs und Back-up-L\u00f6sungen bis hin zu Konzepten f\u00fcr Meldepflichten bei st\u00e4rkeren Angriffen auf die digitalen Infrastrukturen. Um gro\u00dfe Sicherheit zu gew\u00e4hrleisten, werden Monitoring-L\u00f6sungen \u00e4u\u00dferst wichtig: f\u00fcr eine zuverl\u00e4ssige Detectability, das Erkennen und Beseitigen akuter Gefahren in Echtzeit \u2013 zum Beispiel EDR- und NDR-Systeme.<\/p>\n\n\n\n
2023 ist NIS2 (Network and Information Security) in Kraft getreten. Die Regierungen der EU-Staaten m\u00fcssen die Richtlinie bis zum 17. Oktober 2024 in nationales Recht \u00fcberf\u00fchren. Damit soll die Cyber-Sicherheit in Europa auf ein gemeinsames akzeptables Niveau gebracht werden. Denn im Jahr 2023 ist allein in Deutschland durch Internet-Kriminalit\u00e4t ein Gesamtschaden von etwa 206 Mrd. Euro verursacht worden. Die Regulierung gilt f\u00fcr Unternehmen und Einrichtungen in 18 Sektoren, deren digitale Infrastrukturen f\u00fcr die Gesellschaft und Wirtschaft von kritischer Relevanz sind (KRITIS). Sie betrifft Organisationen ab 50 Mitarbeiter*innen und zehn Mio. Euro Umsatz.
Die Verordnung soll Unternehmen erm\u00f6glichen, \u201eIKT-Risiken schnell, effizient und umfassend anzugehen und ein hohes Niveau an digitaler operationaler Resilienz zu gew\u00e4hrleisten\u201c (Art. 6 Abs. 1 DORA).<\/p>\n\n\n\n
F\u00fcr den Finanzsektor und die Versicherungsbranche wird DORA (Digital Operational Resilience Act) als spezielle Regelung gesetzlichen Vorrang gegen\u00fcber NIS2 haben. Diese Vorschriften m\u00fcssen bis Anfang 2025 erf\u00fcllt werden. Wesentlicher Bestandteil auch von DORA sind die Anforderungen an das Risikomanagement.<\/p>\n\n\n\n
F\u00fcr das Management und die IT wird mit beiden Regelungen die Sicherheit und Betriebsstabilit\u00e4t zur zentralen Aufgabe \u2013 bei NIS2 insbesondere auch von Lieferketten. Ferner bestehen k\u00fcnftig Meldepflichten signifikanter Incidents an das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI). Ein besonderes Augenmerk liegt bei DORA auf Drittanbietern von ITK und sonstigen IT-Dienstleistern. Das hat triftige Gr\u00fcnde:<\/p>\n\n\n\n
\n\u201eMehr als die H\u00e4lfte (54 Prozent) der betroffenen Unternehmen erlebte Angriffe auf ihre eigenen Daten \u00fcber die technische Infrastruktur von Dienstleistern.\u201c
Gefordert wird eine zuverl\u00e4ssige Steuerung des Risikos, das externe IT-Partner mitbringen. Die \u201ePrinzipien sollten mit einer Reihe grundlegender vertraglicher Rechte einhergehen, die sich auf mehrere Aspekte bei der Erf\u00fcllung und Beendigung von vertraglichen Vereinbarungen beziehen (\u2026).\u201c<\/p>\n<\/blockquote>\n\n\n\nEs entstehen Haftungspflichten<\/strong><\/h3>\n\n\n\n
Dabei sehen beide Verordnungen grunds\u00e4tzlich Pflichten der Haftung vor. Mit NIS2 wird neben Rechtsmitteln wie Compliance-Verf\u00fcgungen, Verordnungen von Umsetzungen oder verbindlichen Anweisungen auch eine pers\u00f6nliche Haftung von Gesch\u00e4ftsf\u00fchrer*innen und Vorst\u00e4nd*innen eingef\u00fchrt, die bei Verst\u00f6\u00dfen gegen die Sicherheitspflichten mit schmerzhaften Geldbu\u00dfen rechnen m\u00fcssen. Die Gesch\u00e4ftsleitung muss also s\u00e4mtlichen der ergriffenen Ma\u00dfnahmen des Risiko-Managements f\u00fcr Cyber-Sicherheit sowohl zustimmen als auch deren Umsetzung \u00fcberwachen. Anderenfalls haftet sie pers\u00f6nlich.<\/p>\n\n\n\n
Bei DORA ist es den Mitgliedsstaaten und ihren Beh\u00f6rden \u00fcberlassen, inwieweit Verst\u00f6\u00dfe geahndet werden. Aufsichtsstellen k\u00f6nnen gegen IKT-Anbieter Geldbu\u00dfen in H\u00f6he von einem Prozent ihres durchschnittlichen Tagesumsatzes des vorangegangenen Gesch\u00e4ftsjahres erheben \u2013 und zwar t\u00e4glich sechs Monate lang, bis die jeweiligen Vorschriften eingehalten wurden.<\/p>\n\n\n\n
Neue IT-Governance und Kooperationen f\u00fcr Sicherheit<\/strong><\/h2>\n\n\n\n
Es steht damit eine enorme Transformation der IT-Security bevor. Allein \u00fcber 30.000 mittelst\u00e4ndische Unternehmen sind in den kritischen Branchen angesiedelt \u2013 von der Energie- und Wasserversorgung \u00fcber die Ern\u00e4hrung bis hin zu Informationstechnik und Telekommunikation. Mit den kommenden Pflichten entstehen allerdings auch erheblich gute Chancen:
NIS2 und DORA machen neue verbindliche Governance-Strukturen erforderlich f\u00fcr eine sehr effektive St\u00e4rkung der Cyber-Resilienz. Damit ver\u00e4ndert sich auch die Governance der IT noch einmal deutlich: Es wird festgeschrieben, was der Bereich im Rahmen der Unternehmensstrategie und Compliance f\u00fcr die Sicherheit, die Einhaltung des Datenschutzes und eine damit verbundene Umsetzung wesentlicher Ziele zu leisten hat.<\/p>\n\n\n\nDas gilt mit DORA auch f\u00fcr externe IT-Dienstleister: Die Anbieter haben grunds\u00e4tzlich nachzuweisen, dass sie regelkonform aufgestellt sind \u2013 etwa durch einen offenen Informationsaustausch und relevante Zertifizierungen. Ferner m\u00fcssen sie vertraglich garantieren, dass sie sowohl bei sich selbst als auch in der Praxis s\u00e4mtliche Regularien einhalten und dabei die Compliance ihrer Kunden befolgen. Nur dann sind sie im Rahmen einer neuen Governance in die IT-Operations zu integrieren.<\/p>\n\n\n\n
Im t\u00e4glichen Gesch\u00e4ft wird hinsichtlich beider Richtlinien eine relativ enge Kooperation zwischen Management oder Gesch\u00e4ftsf\u00fchrung, Security und Betrieb sowie externen Services erforderlich \u2013 zur umfassenden Einf\u00fchrung entsprechender Ma\u00dfnahmen und L\u00f6sungen, ferner bei kritischen Vorf\u00e4llen sowie zu regelm\u00e4\u00dfigen Abstimmungen \u00fcber Anpassungen auf der Basis von Reportings oder anderen Informationen. Au\u00dferdem muss die Einhaltung der Standards bei der Einf\u00fchrung von neuen Anwendungen oder anderen Ver\u00e4nderungen von Systemen sichergestellt werden.<\/p>\n\n\n\n
IT-Security bekommt eine dauerhafte Management-Attention und wird ein unternehmens\u00fcbergreifendes Projekt: Alle Beteiligten m\u00fcssen die gesteigerten Anforderungen an das Management und die Abwehr von Cyber-Risiken durch die Umsetzung relevanter Ma\u00dfnahmen, eine permanente Awareness sowie regelm\u00e4\u00dfige Anpassungen durch verbesserte L\u00f6sungen erf\u00fcllen.
All stakeholders must meet heightened management and risk mitigation expectations through sustained awareness, relevant countermeasures, and constant improvement.<\/p>\n\n\n\nZero Trust und Multi-Faktor-Authentifizierung (MFA)<\/strong><\/h2>\n\n\n\n
Das gemeinsame Ziel ist eine umfassende solide digitale Resilienz f\u00fcr eine dauerhafte Betriebsstabilit\u00e4t von Unternehmen und Institutionen sowie deren bestehenden Lieferketten hinsichtlich der Netze, Systeme und s\u00e4mtlicher Schnittstellen.
Daf\u00fcr gilt es zun\u00e4chst, alle relevanten internen und externen IT-Ressourcen \u2013 Hardware, IT-Ger\u00e4te, Anwendungen und Cloud-Dienste \u2013 auf deren Risiken hin eingehend zu \u00fcberpr\u00fcfen. Die Ergebnisse dienen einer ersten Einsch\u00e4tzung bestehender Gefahren, Schwachstellen und Differenzen zur geforderten Regelkonformit\u00e4t.<\/p>\n\n\n\nAuf dieser Basis sind gem\u00e4\u00df den Vorschriften konkrete Ma\u00dfnahmen f\u00fcr eine dauerhafte Sicherheit und das permanente Cyber Security Risk Management zu entwickeln und einzuf\u00fchren. Dabei sollten Unternehmen und Organisationen je nach Bedarf verschiedene Methoden kombinieren.<\/p>\n\n\n\n
\n
- Zero Trust Identit\u00e4tsmanagement<\/strong> (kein Ger\u00e4t, Netzwerk oder Benutzer wird standardm\u00e4\u00dfig vertraut)<\/li>\n\n\n\n
- Multi-Faktor-Authentifizierung (MFA)<\/strong> und Privileged Access Management (PAM)<\/strong> f\u00fcr sicheren Zugriff, vor allem bei Remote-Systemen<\/li>\n\n\n\n
- Bindende Zugriffskontrollrichtlinien<\/strong>, vorgeschrieben durch NIS2 und DORA<\/li>\n<\/ul>\n\n\n\n
End-to-End-Verschl\u00fcsselung und Business Continuity Management<\/strong><\/h2>\n\n\n\n
Zum Schutz sensibler Daten, die in Netzwerken gespeichert werden, und f\u00fcr den sicheren Datenverkehr ist au\u00dferdem eine End-to-End-Verschl\u00fcsselung \u00e4u\u00dferst wirksam. Die Informationen werden anhand von Algorithmen unlesbar gemacht oder anonymisiert, sodass nur f\u00fcr eine Entschl\u00fcsselung autorisierte Benutzer*innen darauf zugreifen k\u00f6nnen. Dar\u00fcber hinaus sind Endpunkte durch eine eigene Verschl\u00fcsselung, regelm\u00e4\u00dfige Updates sowie Anti-Virus- und Anti-Malware-L\u00f6sungen vor gef\u00e4hrlicher Software zu sch\u00fctzen.<\/p>\n\n\n\n
F\u00fcr das Business Continuity Management sind unter anderem Immutable Backups eine gute L\u00f6sung. Sie sorgen f\u00fcr eine Ausfallsicherheit der Gesch\u00e4ftsprozesse und erlauben bei ernsteren Vorkommnissen das schnelle Wiederherstellen verlorener Daten.<\/p>\n\n\n\n
Ein wichtiger Faktor f\u00fcr die Sicherheit sind Schulungen der Mitarbeiter*innen, denn nach wie vor bilden sie die gr\u00f6\u00dfte Schwachstelle \u2013 besonders hinsichtlich identit\u00e4tsbasierter Angriffe wie Man-in-the-Middle (MITM) oder Phishing. Beide dieser mittlerweile sehr verbreiteten Social-Engineering-Techniken erfordern eine hohe Awareness der User, damit sie als zuverl\u00e4ssige Human Firewall agieren.<\/p>\n\n\n\n
Die Verantwortlichen in den Unternehmen und Organisationen sollten noch einen Schritt weiter gehen, denn wenn alle m\u00f6glichen technischen Ma\u00dfnahmen umgesetzt wurden, m\u00fcssen diese nicht nur nachgehalten und regelm\u00e4\u00dfig angepasst, sondern die gesicherten Netzwerke und Systeme rund um die Uhr \u00fcberwacht werden. Deshalb sind Echtzeit-Monitoring-Systeme f\u00fcr eine zuverl\u00e4ssige Intrusion Detection einzuf\u00fchren. Sie erkennen und neutralisieren gef\u00e4hrliche Aktivit\u00e4ten wie die von Malware oder Hackerangriffe.<\/p>\n\n\n\n
XDR Detectability und SecOps<\/strong><\/h2>\n\n\n\n
F\u00fcr das permanente Monitoring eines Netzwerks und der verbundenen Endger\u00e4te ist XDR eine gute L\u00f6sung: Extended Detection and Response. Es erm\u00f6glicht durch eine verhaltensbasierte Netzwerk\u00fcberwachung die Entdeckung und Behandlung akuter kritischer Vorf\u00e4lle. Integrierte KI-L\u00f6sungen bilden eine automatisierte Forensik, die eine Reaktion auf sicherheitsrelevante Unregelm\u00e4\u00dfigkeiten in Echtzeit erm\u00f6glicht: Jedes entdeckte Risiko wird durch einen passenden Incident Response akut bek\u00e4mpft<\/p>\n\n\n\n
\n
- NDR<\/strong> (Network Detection and Response)<\/li>\n\n\n\n
- EDR<\/strong> (Endpoint Detection and Response)<\/li>\n<\/ul>\n\n\n\n
XDR umfasst die \u00dcberwachung s\u00e4mtlicher IT-Komponenten \u2013 vom Endpunkt \u00fcber Netzwerk-Sensoren bis hin zu Cloud-Instanzen und Microservices. Um die Sicherheit permanent zu gew\u00e4hrleisten, werden unter anderem regelm\u00e4\u00dfige Simulationen vorgenommen und potenzielle Schwachstellen ausgeschlossen.<\/p>\n\n\n\n
Fazit<\/strong><\/h2>\n\n\n\n
NIS2 und Dora forcieren einen gro\u00dfen Fortschritt in der IT-Sicherheit.<\/p>\n\n\n\n
\n58 Prozent der deutschen Unternehmen waren 2023 mindestens einmal von einer Cyber-Attacke betroffen.
Unternehmen und Institutionen sollten spezielle Teams f\u00fcr Security Operations (SecOps) bilden, die eng mit den Betriebsteams (BizOps) kooperieren, um die Agilit\u00e4t und Effizienz bei der Reaktion auf Bedrohungen deutlich zu erh\u00f6hen: f\u00fcr eine starke Cyber-Resilienz.<\/p>\n<\/blockquote>\n\n\n\n
\n\n\n\nQuellenverzeichnis<\/strong><\/h3>\n\n\n\n
1 Erpressungen, Datendiebstahl, Industriespionage oder Sabotage. Statista. https:\/\/de.statista.com\/statistik\/daten\/studie\/444719\/umfrage\/schaeden-durch-computerkriminalitaet-in-deutschen-unternehmen\/<\/a><\/p>\n\n\n\n
2 EUR-Lex. https:\/\/eur-lex.europa.eu\/legal-content\/DE\/TXT\/PDF\/?uri=CELEX:32022R2554<\/a><\/p>\n\n\n\n
3 KPMG. https:\/\/kpmg.com\/de\/de\/home\/media\/press-releases\/2024\/05\/cyber-angriffe-schaeden-fuer-deutsche-unternehmen-nehmen-zu-.html<\/a><\/p>\n\n\n\n
4 EUR-Lex. https:\/\/eur-lex.europa.eu\/legal-content\/DE\/TXT\/PDF\/?uri=CELEX:32022R2554<\/a><\/p>\n\n\n\n
5 Voelker Gruppe. Dr. Gerrit H\u00f6tzel. https:\/\/www.voelker-gruppe.com\/stuttgart\/nis2_haftung_geschaeftsleitung\/<\/a><\/p>\n\n\n\n
6 IBM. https:\/\/www.ibm.com\/de-de\/topics\/digital-operational-resilience-act<\/a><\/p>\n\n\n\n