Von der NIS2-Pflicht bis zur IT-Resilienz

Schwachstelle Mensch


Schwachstelle Mensch: Von der NIS2-Pflicht bis zur IT-Resilienz Studie

Fast täglich werden in Deutschland Unternehmensnetzwerke durch Cyberangriffe lahmgelegt. Organisierte Hacker fügen der Wirtschaft jährlich über 200 Milliarden Euro Schaden zu, so der Branchenverband Bitkom. Doch in einer Zeit, in der es immer wichtiger wird, sensible Daten vor Unbefugten zu schützen, unterschätzen viele Beschäftige noch immer das Bedrohungsrisiko, wie eine aktuelle Umfrage von Lufthansa Industry Solutions (LHIND) unter Arbeitnehmenden in Deutschland zeigt.

Abb. 01: Für wie wahrscheinlich halten Sie es, dass Ihr Unternehmen zum Ziel von Hackern oder Cyberattacken werden könnte?

Abb. 01: Für wie wahrscheinlich halten Sie es, dass Ihr Unternehmen zum Ziel von Hackern oder Cyberattacken werden könnte?

So sind zwar zwei Drittel der Befragten der Meinung, dass Unachtsamkeit und Unwissenheit der Mitarbeitenden die größte Schwachstelle im Unternehmen sind. Doch noch immer hält die Hälfte einen Cyberangriff auf das eigene Unternehmen für unwahrscheinlich. Wie unbedarft selbst viele Führungskräfte nach wie vor agieren, verdeutlichen die folgenden Zahlen: Nur jeder vierten attestieren die Mitarbeitenden in der LHIND-Umfrage ein absolut vorbildliches Verhalten in Sachen IT-Sicherheit, während ein Drittel der Vorgesetzten über ein "befriedigend" nicht hinauskommt. Nicht besser sieht es ganz oben in den Unternehmensleitungen aus, wo es vielerorts offenbar ebenfalls an Zeit, Wissen und Engagement mangelt.

Abb. 02: Was ist die größte Schwachstelle in der IT-Sicherheit in Ihrem Unternehmen?Abb. 02: Was ist die größte Schwachstelle in der IT-Sicherheit in Ihrem Unternehmen?

Erst jedes vierte Unternehmen hat einen Notfallplan für Hacker-Angriffe

In der Vergangenheit war Cyber-Security vor allem ein Thema für Großkonzerne. In Zukunft wird aber auch der Mittelstand betroffen sein. Denn mit der neuen Gesetzgebung NIS2 (Network and Information Security Directive) werden ab diesem Herbst auch Vorstände und Geschäftsführer von Unternehmen mit mehr als 50 Mitarbeitenden und einem Umsatz von mehr als 10 Millionen Euro in Sachen IT-Sicherheit und Risikomanagement stärker in die Pflicht genommen. Und nicht nur die eigenen Systeme müssen geschützt werden, sondern auch das Supply-Chain-Netzwerk muss auf Resilienz getrimmt werden. Dies erfordert unter anderem die Abstimmung übergreifender Sicherheitsanforderungen zwischen den Partnern der Lieferkette sowie die Absicherung technischer Schnittstellen. Gerade mittelständische Unternehmen sind für diese komplexen Aufgaben oft nicht optimal aufgestellt und können mögliche Bedrohungen oder verdächtigen Datenverkehr nicht erkennen.

Abb. 03: Welche Maßnahmen zur IT-Sicherheit in ihrem Unternehmen sind Ihnen bekannt? [Mehrfachantworten sind möglich]
Abb. 03: Welche Maßnahmen zur IT-Sicherheit in ihrem Unternehmen sind Ihnen bekannt? [Mehrfachantworten sind möglich]

Denn fragt man die Beschäftigten etwa, welche Sicherheitsmaßnahmen ihnen gegen Cyberangriffe bekannt sind, werden am häufigsten Software-Updates (67 Prozent) und Firewalls (61 Prozent) genannt. Doch nur vier von zehn (38 Prozent) sagen, dass der Netzwerkverkehr kontinuierlich überwacht wird, und nur 26 Prozent bestätigen, dass es in ihrem Unternehmen Notfallpläne für Hacker-Angriffe gibt.

Cyber-Security entlang der NIS2-Vorgaben ist nicht nur ein IT-Thema

Die Gefahren liegen aber nicht nur in einem Hacker-Angriff, sondern auch im System selbst. Je stärker die Vernetzung verschiedener IT-Systeme und die Integration von Operational Technology (OT) – also Hard- und Software, die physische Anlagen überwacht und steuert –, desto höher ist das Cyber-Risiko. Hinzu kommt, dass häufig Altsysteme neben modernsten Anwendungen und IT-Lösungen betrieben werden. Die Folge dieser komplexen Tech-Ökosysteme: Schon ein einfaches Software-Update kann zum Ausfall einer systemkritischen Komponente führen.

Gerade die Vernetzung von Maschinen, Anwendungen und Diensten auf Datenebene im Produktionsumfeld erschwert das Security-Monitoring. Zwar sind Produktionslinien in den letzten Jahren durch den Einsatz von Digital Twins, Automatisierungslösungen und nicht zuletzt künstlicher Intelligenz (KI) immer effizienter und schneller geworden. Doch sobald Maschinen miteinander kommunizieren und große Datenmengen in Echtzeit übertragen, sind sie durch Hackerangriffe oder selbst verursachte IT-Ausfälle bedroht. Cyber-Security entlang der NIS2-Vorgaben ist daher nicht nur ein IT-Thema, sondern muss auch aus der OT-Perspektive betrachtet werden. Mit anderen Worten: Während Virenschutz und Sicherheitsupdates bei Computern gang und gäbe sind, müssen diese Maßnahmen künftig auch für vernetzte Produktionsanlagen gelten.

In fünf Schritten zu mehr IT-Resilienz

Für die Zukunft ist zudem bereits klar, dass mit dem Aufkommen neuer KI-Anwendungen auch die Hacker immer schneller werden und die Zahl der Angriffe zunehmen wird. Ein neuer Wettlauf ist entbrannt und Unternehmen fragen schon heute nach Lösungen, um ihr Firmennetzwerk mit KI sicherer zu machen.

Unternehmen müssen sich aber auch intern anpassen und ihre Prozesse und Systeme auf den Prüfstand stellen, um den Anforderungen von NIS2 gerecht zu werden. Auf dem Weg zu einem modernen und leistungsfähigen Cyber-Risikomanagement bietet die folgende Roadmap mit fünf Schritten zu mehr IT-Resilienz eine Orientierungshilfe:

  1. Risiken identifizieren und steuern: 
    Eine fachliche Risikoanalyse einerseits und die auf der technischen Ebene wirkenden Penetrationstests andererseits zeigen, wie sicher die eigenen Systeme sind und wo Schwachstellen bestehen. Zudem gilt es, die Zusammenarbeit mit Partnern und Lieferanten abzustimmen und für Cyber-Sicherheit in der Lieferkette zu sorgen.
  2. Transparenz schaffen: 
    Passgenaue Konzepte für die Sicherheit der Informationssysteme helfen Unternehmen dabei, Sicherheitsvorfälle zu vermeiden bzw. diese zu bewältigen. Um im Notfall den Betrieb aufrecht zu erhalten, benötigen sie zum Beispiel ein Backup-Management zur Wiederherstellung von Daten und ein Krisenmanagement, das die Abläufe und Meldepflichten regelt.
  3. Bewusstsein schärfen: 
    Spezielle Schulungen sorgen dafür, dass Management und Mitarbeitende lernen, Risiken einzuschätzen und ein Bewusstsein für Cyber-Sicherheit zu entwickeln.
  4. Für mehr Cyberhygiene sorgen:
    Unternehmen müssen für die Sicherheit ihrer IT-Systeme sorgen, zum Beispiel durch Verschlüsselung von Sprach-, Video- und Textkommunikation, Multi-Faktor-Authentifizierung und Zugriffskontrollkonzepte.
  5. Sicherheitsmaßnahmen evaluieren:
    Audits gegen fachliche Standards und die Umsetzung technischer Prüfungen helfen, die Wirksamkeit von Risikomanagementmaßnahmen zu bewerten und kontinuierlich zu verbessern.

Fazit

Mit NIS2 wird die Führungsebene – auch in mittelständischen Unternehmen – stärker in die Haftung genommen. Sie ist dafür verantwortlich, ein Risikomanagement zu etablieren und durch die Überwachung der Maßnahmen Schäden zu minimieren. Lässt ein Unternehmen die Anforderungen unbeachtet, drohen empfindliche Strafen, die bis zu zwei Prozent des jährlichen Umsatzes betragen können. Zu den Maßnahmen, die im Unternehmen ergriffen werden müssen, gehören Risikoanalysen, Krisenmanagement, Daten-Back-up, Konzepte für die Zugriffskontrolle und Schulungen der Mitarbeitenden. Wie wichtig gerade auch der letzte Punkt ist, unterstreichen die aktuellen Zahlen der LHIND-Umfrage.

Über die Umfrage

Für das Whitepaper "Von der NIS2-Pflicht bis zur IT-Resilienz" hat Lufthansa Industry Solutions (LHIND) Ende 2023 eine Arbeitnehmerbefragung zum Thema Cyber-Security durchgeführt. Befragt wurden 1.052 Arbeitnehmerinnen und Arbeitnehmer in Deutschland. Das Whitepaper steht hier zum Download bereit.

Autor:
Christian Garske ist Diplom-Wirtschaftsinformatiker. Der IT-Sicherheitsexperte arbeitet seit 2008 bei Lufthansa Industry Solutions.

Christian Garske ist Diplom-Wirtschaftsinformatiker. Der IT-Sicherheitsexperte arbeitet seit 2008 bei Lufthansa Industry Solutions. Seit 2017 leitet er dort als Business Director den Bereich IT-Security & Privacy.

 

[ Bildquelle Titelbild: Adobe Stock.com | DIgilife ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.