Die Cybersicherheit hat in der EU und insbesondere in Deutschland in den letzten Jahren erheblich an Bedeutung gewonnen, zuletzt durch die NIS2 Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in Europa. Mit der bevorstehenden NIS2 Umsetzung in Deutschland und den anderen EU-Mitgliedsstaaten im Oktober 2024 wird die Sicherheitszone weiter ausgedehnt und bringt neue Herausforderungen für deutsche Unternehmen mit sich.
Laut einer aktuellen Studie des Digital-Branchenverbandes Bitkom hat die deutsche Wirtschaft bereits einen Schaden von 206 Milliarden Euro durch Cyberkriminalität erlitten.
Besorgniserregend ist vor allem der Anstieg der Angriffe aus dem Umfeld der organisierten Kriminalität.
Es wird deutlich, dass diese Angriffe keineswegs nur auf Großunternehmen beschränkt sind: Drei Viertel der Unternehmen mit mehr als 10 Mitarbeitern geben an, im vergangenen Jahr angegriffen worden zu sein. Somit geraten auch kleine und mittelständische Unternehmen vermehrt ins Visier der Angreifer.
NIS2 in Deutschland: Herausforderungen für Unternehmen im Kampf gegen Cyberkriminalität
Der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland, veröffentlicht vom Bundesamt für Sicherheit in der Informationstechnik (BSI), gewährt einen besorgniserregenden Einblick in die gegenwärtige Bedrohungslage im Bereich der Cybersicherheit.
Als die zentrale Cyber-Sicherheitsbehörde des Bundes stellt das BSI jährlich einen umfassenden Überblick über die Gefahren im Cyber-Raum zusammen.
In diesem Jahr erfolgt die Bewertung der IT-Sicherheitslage unter dem Einfluss des russischen Angriffskrieges auf die Ukraine. Während die Spannungen bereits zuvor erheblich waren, hat sich die Situation im Berichtszeitraum weiter verschärft. Die Bedrohung im Cyber-Raum erreicht somit einen Höchststand und ist so akut wie nie zuvor.
NIS2 Deutschland: Ransomware und „Big Game Hunting“ als Gefahr für Unternehmen
Cyberkriminalität bleibt die größte Gefahr, wobei Ransomware nach wie vor die Hauptbedrohung für Unternehmen darstellt. Im Vergleich zum Vorjahr hat sich die Ausweitung von Erpressungsmethoden im Cyber-Raum weiter fortgesetzt, was die dringende Notwendigkeit unterstreicht, die Cybersicherheit auf nationaler Ebene zu verstärken.
Laut dem BSI-Bericht steigt die Anzahl der Schadprogramme stetig, allein im Untersuchungszeitraum des letzten Berichts ist die Zahl der Schadsoftware-Varianten um 116 Millionen gestiegen. Zudem stellen Cyber-Angriffe wie Phishingmails und Mail-Erpressungen 69 % aller Spam-Mails im Berichtzeitraum dar.
Besorgniserregend ist die Praxis des sogenannten „Big Game Hunting“, bei der umsatzstarke Unternehmen mit verschlüsselten und exfiltrierten Daten erpresst werden. Diese Taktik hat im aktuellen Berichtszeitraum weiter zugenommen und stellt eine ernsthafte Bedrohung für die Cybersicherheit dar. Dabei werden nicht nur sensible Informationen entwendet, sie werden auch verschlüsselt, um das betroffene Unternehmen unter Druck zu setzen.
Diese Entwicklungen verdeutlichen die Notwendigkeit, nicht nur die Abwehr von Cyberangriffen zu verstärken, sondern auch die Fähigkeit zur schnellen Reaktion und Wiederherstellung nach einem solchen Vorfall zu verbessern, um die Schäden für die Wirtschaft und die Gesellschaft insgesamt zu minimieren.
Ein Informationssicherheitsmanagementsystem (ISMS) kann maßgeblich dazu beitragen, die NIS2 Umsetzung in Deutschland zu unterstützen und im Zuge dessen Ransomware-Angriffe abzufangen.
Ein automatisiertes ISMS ist ein systematischer Ansatz zur Verwaltung von Informationssicherheit und zur Minimierung von Cyber-Risiken in einer Organisation. Es hilft bei der Implementierung angemessener Sicherheitskontrollen sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.
NIS2 Umsetzung in Deutschland als Gegenmaßnahme zur Cyberkriminalität
Die Umsetzung der NIS2 Richtlinie in Deutschland markiert einen wichtigen Fortschritt in Bezug auf Cybersicherheit und setzt der zunehmenden Bedrohung durch Cyberkriminalität eine größere Widerstandsfähigkeit gegen Cyberattacken entgegen.
Besonders Unternehmen, die Kritische Dienstleistungen (KRITIS) erbringen, werden in ihrer Fähigkeit zur Bewältigung von Sicherheitsrisiken gestärkt, was zu einem hohen gemeinsamen Niveau der Netzwerk- und Informationssicherheit in der gesamten EU führt.
Die Umsetzung erfordert eine gründliche Prüfung bestehender Gesetze in Deutschland. Es wird erwartet, dass die Anforderungen an Unternehmen deutlich erhöht werden und das Management mit größeren Strafen und Haftungsrisiken konfrontiert wird.
Trotz der Herausforderungen bietet die NIS2 Umsetzung in Deutschland eine Chance, die Cybersicherheit sowohl in Deutschland als auch in der gesamten EU zu stärken.
NIS2 Deutschland: Wie stärkt Deutschland die Cybersicherheit in Wirtschaft und Industrie?
2015 führte die deutsche Regierung das IT-Sicherheitsgesetz ein und legte damit bestimmte Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen (KRITIS) fest. Es enthält unter anderem Regelungen zur Erhöhung der Resilienz, zur Implementierung von Sicherheitsmaßnahmen und zur Meldung von Sicherheitsvorfällen.
Der Zusammenhang zwischen dem IT-Sicherheitsgesetz und NIS2 in Deutschland
Im Jahr 2016 wurde die erste Cybersecurity-Richtlinie von der Europäischen Union eingeführt, die heute als NIS-Richtlinie oder NIS1 bekannt ist. Diese Richtlinie wurde daraufhin durch eine Novelle des IT-Sicherheitsgesetzes in Deutschland umgesetzt.
Mit der Einführung von NIS2 durch die EU muss Deutschland nun sicherstellen, dass die nationalen Gesetze und Vorschriften den Anforderungen von NIS2 entsprechen.
Sowohl das IT-Sicherheitsgesetz als auch NIS2 zielen darauf ab, die Cybersicherheit zu stärken und den Schutz Kritischer Infrastrukturen zu verbessern.
Seit dem 16. Januar 2023 haben Deutschland und andere EU-Mitgliedsstaaten 21 Monate Zeit, um NIS2 umzusetzen und bestehende Regelungen an die neue Rechtslage anzupassen. Betroffene Unternehmen sollten sich jetzt schon mit den Voraussetzungen der NIS2 Richtlinie auseinandersetzen.
NIS2 Deutschland: Stand der Umsetzung
Das Ziel von der NIS2 Umsetzung in Deutschland ist es, von der Richtlinie erfasste Unternehmen, Organisationen und Behörden widerstandsfähig zu machen und die europäische Gesellschaft in ihrem Alltag zu schützen.
So legt die NIS2 Richtlinie besonderen Wert auf die Zusammenarbeit zwischen Staat, Unternehmen und Forschungseinrichtungen. Dieser kooperative Ansatz ist von entscheidender Bedeutung, um die Cybersicherheit auf effektive und zielgerichtete Weise zu stärken und weiterzuentwickeln.
Obwohl die genauen Bestimmungen von NIS2 in Deutschland von der Umsetzung des deutschen Gesetzgebers abhängen und Detailfragen noch geklärt werden müssen, sind die Grundzüge der Umsetzung von NIS2 in Deutschland bereits festgelegt.
Derzeit befindet sich das NIS2 Umsetzungsgesetz in der Phase des zweiten Referentenentwurfs und muss nach der Abstimmung in der Bundesregierung noch den Gesetzgebungsprozess auf Bundesebene durchlaufen. Dieses Gesetz betrifft hauptsächlich das BSI-Gesetz und sieht Änderungen und Ergänzungen verschiedener anderer Gesetze vor.
NIS2 Deutschland: Auswirkungen auf Unternehmen
Unternehmen in Deutschland, die die Kriterien der NIS2 Richtlinie erfüllen, werden mit verschärften Anforderungen an ihre Informationssicherheit konfrontiert. Dies beinhaltet die Implementierung von Regeln und Verfahren zur Bewältigung von Sicherheitsvorfällen sowie die Einhaltung von zeitkritischen Melde- und Berichtspflichten.
Die Umsetzung der NIS2 Richtlinie führt zudem zur Einrichtung einer Kooperationsgruppe, die strategische Zusammenarbeit und Informationsaustausch zwischen den Mitgliedstaaten fördern soll.
Ein Hauptziel von NIS2 in Deutschland ist die Förderung einer sektorübergreifenden Sicherheitskultur, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung ist und stark von Informations- und Kommunikationstechnologien in Bereichen wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen und digitaler Infrastruktur abhängt.
Unternehmen, die von den Mitgliedstaaten als Betreiber wesentlicher beziehungsweise besonders wichtiger Dienste in den genannten Sektoren eingestuft werden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren.
Nach der NIS2 Umsetzung in deutsches Recht ist eine Ausweitung der Anzahl von Unternehmen zu erwarten, für die NIS2 gilt, basierend auf aktuellen sektorspezifischen Schwellenwerten sowie Mitarbeiter- und Umsatzzahlen.
Obwohl Unternehmen derzeit noch keine Konsequenzen zu befürchten haben, sollten sie angesichts möglicher Bußgelder die Entwicklungen aufmerksam verfolgen, um rechtzeitig die erforderlichen Schritte zur NIS2 Konformität einzuleiten.
NIS2 Deutschland: Was sagt die deutsche Wirtschaft zu den Vorgaben der Politik?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in Zusammenarbeit mit einem Markt- und Meinungsforschungsdienstleister im Auftrag des Bundesministeriums des Innern und für Heimat (BMI) eine Umfrage unter KRITIS-Betreibern zur Wirksamkeit der gesetzlichen Maßnahmen des IT-Sicherheitsgesetzes durchgeführt. Das IT-Sicherheitsgesetz in Deutschland dient als nationale Umsetzung der NIS-Richtlinie und ergänzt die europäischen Vorgaben durch spezifische nationale Regelungen.
Ein zentrales Ergebnis dieser Befragung ist die hohe Akzeptanz der Vorgaben des BSI-Gesetzes bei den Betreibern Kritischer Infrastrukturen (KRITIS beziehungsweise laut NIS2 „wesentliche“ oder „besonders wichtige“ Einrichtungen).
Neun von zehn Betreibern halten die Maßnahmen für sinnvoll und drei Viertel bestätigen einen positiven Einfluss auf die IT-Sicherheit in ihren Unternehmen. Die Befragung hat zudem gezeigt, dass das Thema Informationssicherheit im Zuge der Digitalisierung für praktisch alle Betreiber von großer Bedeutung ist und mehrheitlich von Anfang an berücksichtigt wird.
.svg)
.svg)
.svg)
.svg){kind=small}