Cyber Security: Neue Risiken und Regularien

Cybervorfälle sind zum größten Geschäftsrisiko weltweit geworden. Gleichzeitig wächst die Gefahr, dass der Gesellschaft erheblicher Schaden zugefügt wird. Doch nicht nur wegen der vielschichtigen Risiken sind Unternehmen gefordert, mehr für ihre IT-Sicherheit tun: Eine neue EU-Richtlinie für Cybersicherheit nimmt erstmals Organisationen aller Art und Größe in die Pflicht.

Cyberkriminelle gehen bei Ransomware-Attacken immer raffinierter und skrupelloser vor. Daten zu verschlüsseln, ist ihnen nicht mehr genug. Sie erhöhen den Druck durch mehrfache Erpressung, indem sie Daten auch stehlen und mit Veröffentlichung drohen, um an Lösegeld zu kommen. Vom Ausspionieren bis zum Diebstahl brauchen sie im Schnitt nur elf Tage – für Unternehmen ein Wettlauf gegen die Zeit, der teuer enden kann: Die durchschnittlichen Kosten einer Datenpanne liegen mit 4,35 Millionen US-Dollar so hoch wie nie zuvor.

Der Ukraine-Konflikt und weitere geopolitische Spannungen erhöhen das Risiko eines groß angelegten Cyberangriffs durch staatlich geförderte Akteure zusätzlich. Dabei finden Hacker eine breite potenzielle Angriffsfläche: Inzwischen ist das Internet allgegenwärtig, in Unternehmen stützt IT jede Abteilung – von Cloud-Dienstleistungen und Kommunikationstools bis hin zu intelligenten Sensoren in der Produktion oder Software für die Verwaltung der Logistik. Einzelne IT-Systeme sind zudem oftmals miteinander vernetzt.

EU-Cybersicherheitsgesetz für alle

Entsprechend hoch schätzt die Europäische Union die Bedeutung von digitaler Infrastruktur und Cybersicherheit für das reibungslose Funktionieren des Binnenmarkts ein. Mit Inkrafttreten der neuen NIS2-Richtlinie Anfang 2023 hat sie ihre bisherigen Vorgaben ausgeweitet und verpflichtet künftig erheblich mehr Organisationen zu einem stringenten Schutz gegen Cyberangriffe:

„Sektoren mit hoher Kritikalität“ wie Energieversorger, Internet- und Cloud-Anbieter, Banken, Öffentliche Verwaltung – mit besonders strengen Anforderungen
Nun auch viele weitere Branchen, u. a. Post- und Kurierdienste, Lebensmittelproduktion, Automobilindustrie, digitale Dienste wie Onlinemarktplätze und Suchmaschinen
Als Novum: Unternehmen mit mindestens 50 Mitarbeitenden und zehn Millionen Euro Umsatz

Das Gesetzespaket zielt darauf ab, IT-Sicherheit zu einem Teil der Unternehmenssteuerung zu machen – und zur Chefsache. Es bezieht das Management ausdrücklich ein, um systematischen Schutz zu erreichen. Essenziell sind ein Risikomanagement, Notfallpläne und ein schnelles Meldesystem. Weiterer zentraler Baustein ist ein Schutzkonzept zur Absicherung der Lieferketten, da immer öfter über Zulieferer in die Systeme eingedrungen wird. Die Richtlinie fordert zudem umfassende „Cyberhygiene“ wie die systematische Datensicherung, das Management von Schwachstellen, die Verschlüsselung von Informationen und die Schulung von Mitarbeitenden.

Wer sich bislang noch nicht mit der Thematik beschäftigt hat, sollte den Aufbau eines Managementsystems für IT-Sicherheit am besten sofort angehen. Denn die Vorgaben sind bis Herbst 2024 einzuhalten – ein sportlicher Zeitplan für alle Unternehmen, die erstmalig unter die Regulierung fallen.

Diese Trends auf dem Radar haben

Einer der Trends, die Organisationen beim Schutz vor Risiken auf ihrer Agenda haben sollten: Software-as-a-Service-Plattformen (SaaS) abzusichern, wird immer wichtiger. Fakt ist, dass mittlerweile 80 Prozent der Geschäftsprozesse in Unternehmen von SaaS-Plattformen abhängen. Sie verbinden sich per API mit anderer Software und fügen sich zu einem großen Ökosystem zusammen. Das leistet neuen Risiken Vorschub, die mit steigender Komplexität der Umgebung schwieriger zu überblicken und zu managen sind.

Ein weiterer wichtiger Trend zeichnet sich bei den Remote-Zugriffen ab: SASE (Secure Access Service Edge) gewinnt an Bedeutung. Homeoffice gehört auch künftig zur neuen Arbeitswelt, sichere Fernzugriffe sind also gefragt. Rein VPN-basierte Konzepte (Virtual Private Network) lassen das Schließen von Sicherheitslücken allerdings nur bedingt zu. Im Kommen ist dagegen ein Zero-Trust-Ansatz mit dem Architekturkonzept SASE, das alle Zugriffe absichert und performante Remote-Arbeit ermöglicht.

Allein der Blick auf geschäftskritische Cloud-Services und Remote-Zugriffe zeigt, wie Komplexität, Vernetzung und Security-Herausforderungen wachsen – in Zeiten zunehmender Bedrohungen. Gerade IT und Digitalisierung aber treiben Innovationen, erschließen neue Märkte und steigern die Effizienz. Von ihrer Resilienz hängen wertvolle Assets und Wettbewerbsfähigkeit ab. Umso entscheidender wird es in Zukunft sein, dass Organisationen sich systematisch und mit einer ganzheitlichen Sicherheitsstrategie schützen – zum Vorteil von Wirtschaft und Gesellschaft.