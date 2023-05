Cyber-Kriminelle wissen sich heute die Vorteile der Digitalisierung ebenso nutzbar zu machen wie "ganz normal" wirtschaftende Unternehmen. Die Szene professionalisiert sich zunehmend. Kriminelle Gruppen agieren immer mehr wie Unternehmen und halten mit dem technologischen Fortschritt mit, etwa indem sie automatisierte Tools einsetzen, die es ihnen erlauben, ihre Attacken in Umfang und Intensität erheblich zu skalieren.

Viele Unternehmen sind sich des steigenden Risikos für einen Cyber-Security-Vorfall bewusst. So erachten laut der aktuellen PwC-Studie "Global Digital Trust Insights 2023" zwei Drittel der deutschen Unternehmen Cyber-Kriminelle als signifikanteste Bedrohung für ihre Organisation. Trotzdem fühlen sie sich ungenügend auf einen möglichen Angriff vorbereitet. Weniger als ein Viertel von ihnen konnte im vergangenen Jahr Risiken nahezu vollständig reduzieren. Die deutsche Bundesregierung und die Europäische Kommission haben bereits Gesetze verschärft, um das Sicherheitsniveau landes- bzw. EU-weit zu erhöhen.

Effektives System zur Angriffserkennung seit Mai 2023 Pflicht

Als wichtige Maßnahme gegen das unzureichende Schutzniveau in vielen Unternehmen konkretisierte die Bundesregierung die Anforderungen für den Betrieb kritischer Infrastrukturen (KRITIS) in § 8a Absatz 1a des BSIG. Zu den KRITIS gehören alle Einrichtungen, mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall etwa nachhaltig wirkende Versorgungsengpässe oder Störungen der öffentlichen Sicherheit bedeuten würde. Betroffene Unternehmen müssen laut der Vorschrift bereits ab Mai 2023 angemessene Systeme zur Angriffserkennung implementieren. Dabei handelt es sich laut Gesetz um ein Set an technischen wie auch organisatorischen Maßnahmen zur Erkennung von Cyber-Angriffen. Die eingesetzten Systeme sollen in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.

Mehr Unternehmen als bisher von NIS-2 betroffen

Eine weitere Verschärfung steht Unternehmen mit der europäischen Richtline NIS-2 ins Haus. Sie aktualisiert das 2016 eingeführte EU-Cyber-Security-Gesetz NIS. Ziel der Richtlinie ist es, EU-weite Cyber-Sicherheitsstandards zu definieren, deren Umsetzung für die Industrie verpflichtend sind, und auf diese Weise die Widerstandsfähigkeit der gesamten Infrastruktur zu verbessern. Das Gesetz wird Konsequenzen für viele Unternehmen haben, über die sie sich womöglich noch nicht im Klaren sind:

Die Verpflichtung gilt für eine umfassendere Gruppe von Unternehmen als bisher. Sie umfasst nun zusätzliche Sektoren mit wesentlichen Diensten, wie zum Beispiel Anbieter von öffentlicher elektronischer Kommunikation. Zudem gelten bereits alle Unternehmen ab 250 Mitarbeiter und einem Jahresumsatz von mehr als zehn Millionen Euro als schutzbedürftige Einrichtungen, die die Cyber-Sicherheitsstandards einhalten müssen.

Die Einführung von NIS-2 stellt die Industrie vor zahlreiche Herausforderungen. Ein Beispiel dafür sind die Meldefristen: Innerhalb von 24 Stunden nach Kenntnisnahme eines Sicherheitsvorfalls muss eine erste Meldung als Frühwarnung an die zuständigen Behörden erfolgen. Innerhalb von 72 Stunden muss ein weiterer Bericht und spätestens einen Monat nach dem Vorfall ein Abschlussbericht vorgelegt werden. Dieser muss eine ausführliche Beschreibung des Vorfalls sowie Angaben zu den getroffenen Abhilfemaßnahmen enthalten.

NIS-2 ist am 16. Januar 2023 in Kraft getreten. Die Mitgliedstaaten haben nun bis Oktober 2024 Zeit, die EU-Cyber-Security-Richtlinie in nationales Recht umzusetzen. Ein knapper Zeitrahmen aus Unternehmenssicht, insbesondere da bei einigen Hardwarekomponenten derzeit lange Lieferfristen bestehen. Doch beide Regelungen stellen die Unternehmen in die Pflicht. Ähnlich wie bei der DSGVO drohen empfindliche Geldstrafen, sollten die Empfehlungen zum Risikomanagement nicht eingehalten werden.

Managed XDR: Schutz vor Cyber-Risiken bei begrenzten Ressourcen

Umso wichtiger ist es, dass Unternehmen sich jetzt mit dem Thema auseinandersetzen und die erforderlichen Maßnahmen ergreifen. Doch wie lässt sich ein System zur Angriffserkennung planen, das den gesetzlichen Vorgaben genügt und das eigene Cyber-Risiko minimiert? Für große Versorgungsbetriebe mit eigenem Security Operations Center (SOC) ist es zumindest eine Option, die erforderlichen Überwachungswerkzeuge in Eigenregie zu implementieren. Doch mittelständische Unternehmen haben häufig weder die Mittel noch das benötigte Fachpersonal, um ein eigenes SOC zu betreiben. Für sie empfiehlt sich die Kooperation mit einem externen Partner, der die anfallenden Aufgaben ganz oder teilweise in einem Managed SOC übernimmt.

Zu den Managed Service Providern, deren Führungsriege jahrelange Erfahrung im Kampf gegen Cyber-Kriminalität hat, gehört Eye Security. Die drei Mitglieder des heutigen Eye-Vorstands haben jeweils viele Jahre für den Allgemeinen Nachrichten- und Sicherheitsdienst der Niederlande (AIVD) beziehungsweise den Militärischen Nachrichten- und Sicherheitsdienst der Niederlande (MIVD) gearbeitet. Eye Security setzt für eine umfassende Cyber-Security auf ein vierstufiges Sicherheitskonzept:

Das Managed Security Operations Center (Managed SOC) von Eye Security ist die Zentrale, von der aus das Security-Team rund um die Uhr Sicherheitsbedrohungen und Cyber-Vorfälle überwacht, auf diese reagiert und sie behebt, um den Schaden so gering wie möglich zu halten. Eye unterstützt Unternehmen dabei mit Managed Extended Detection and Response (Managed XDR), um Sicherheitsbedrohungen auf ihren Endgeräten sowie in ihren Cloud-Umgebungen, etwa Microsoft 365, zu entdecken.

Threat Intelligence ist ein wichtiger Bestandteil der Sicherheitsstrategie, weil er Unternehmen ermöglicht, Bedrohungen proaktiv zu erkennen und geeignete Schutzmaßnahmen zu ergreifen, bevor es zu einem Sicherheitsvorfall kommt. Dafür werden Informationen - zum Beispiel aus sozialen Medien, Bedrohungsdatenbanken und internen Sicherheitslogs - über aktuelle oder potenzielle Bedrohungen gesammelt und analysiert.

Im Falle eines Angriffs, kommt es darauf an, schnell zu reagieren, um hohe Schäden zu verhindern und rasch wieder in den Normalbetrieb zu kommen. Das Incident Response Team von Eye Security ist rund um die Uhr einsatzbereit und kümmert sich darum, dass Cyber-Vorfälle baldmöglichst beigelegt werden.

Cyber-Attacken lassen sich nicht mit absoluter Sicherheit verhindern. Eye Cyber Insurance gibt Unternehmen deshalb für den Fall eines Angriffs oder einer Datenpanne Sicherheit und finanziellen Schutz. Die Versicherung ermöglicht bei einem Vorfall auch schnellen Zugang zu Cyber-Spezialisten, etwa für forensische Dienstleistungen oder die Wiederherstellung von Daten.

Cyber-Versicherung ohne aufwendige Fragebogen

Für umfassende Cyber-Sicherheit bietet Eye Security Unternehmen alle vier Security-Bausteine als das Paket "Cyber Guard" an. Cyber Guard plus umfasst darüber hinaus ein Awareness Paket, um Mitarbeitende zu Beispiel auf das Erkennen von Phishing Mails zu trainieren. Unternehmen, die Cyber Guard buchen, qualifizieren sich automatisch auch für die Eye Cyber Insurance - damit entfällt der aufwändige Nachweis über den Einsatz einer adäquaten Cyber-Security-Lösung. Wer schon versucht hat, eine Cyber-Versicherungspolice zu erwerben, weiß diesen Vorteil zu schätzen.

