Herr Jörgens, mit der verbindlichen EU-Richtlinie NIS-2 wird Cybersicherheit und -Resilienz nach der KRITIS-Gesetzgebung – die bislang nur auf größere Organisationen im Bereich der kritischen Infrastrukturen wirkte – auch für die breite Masse der Unternehmen in Deutschland zum Topthema. Was umfasst die NIS2 und welche wichtige Neuerung bringt sie mit sich?

Die NIS-2-Richtlinie erweitert den Anwendungsbereich der Cybersicherheitsanforderungen erheblich. Sie umfasst nun auch Organisationen verschiedenster Sektoren. Unternehmen müssen jetzt umfassende Maßnahmen zur Risikominderung und Cybersicherheit implementieren, einschließlich der regelmäßigen Bewertung und Verbesserung ihrer Sicherheitspraktiken. Zudem sind sie verpflichtet, signifikante Cybervorfälle innerhalb von 24 Stunden zu melden und detailliert über den Vorfall und die ergriffenen Maßnahmen zu informieren. Das bedeutet, dass jetzt proaktiv in Sicherheitsstrategien investiert werden muss, um den neuen gesetzlichen Anforderungen gerecht zu werden. Andernfalls drohen Bußgelder von bis zu 10 Mio. Euro.

Auch der Cyber Resilience Act (CRA) soll als Teil der EU-Cybersicherheitsstrategie noch in diesem Jahr verabschiedet werden.

Er unterscheidet sich allerdings von der NIS-2-Richtlinie in seinem Fokus und Anwendungsbereich. Während die NIS-2-Richtlinie auf die Sicherstellung der Cybersicherheit und Resilienz in einer breiten Palette von Sektoren abzielt, konzentriert sich der CRA spezifisch auf die Sicherheitsanforderungen für digitale Produkte und Dienstleistungen, einschließlich IoT-Geräten mit dem Ziel, Produkte von Anfang an sicher zu gestalten. Dazu zählen Anforderungen an die sichere Entwicklung, Produktion und Wartung sowie an das Patch-Management und, besonders spannend, die Offenlegung von Sicherheitslücken. Betroffen sind dabei alle Unternehmen, die digitale Produkte und Dienstleistungen innerhalb der EU entwickeln, herstellen oder vertreiben.

Wie können sich Unternehmen vorbereiten?

Zunächst sollte dringend eine Bestandsaufnahme der aktuellen Sicherheitsmaßnahmen durchgeführt und eine Gap-Analyse erstellt werden. Darauf basierend können sie einen detaillierten Compliance-Plan entwickeln. Dazu gehören erfahrungsgemäß Investitionen in Sicherheitstechnologien und regelmäßige Schulungen der Mitarbeitenden. Eine weitere Herausforderung wird das Aufstellen eines dedizierten Incident-Response-Team sein, um schnell und effektiv auf Vorfälle reagieren zu können. Dafür braucht es qualifiziertes Personal. Der CISO sollte hier im Lead sein und die Führung übernehmen.

Wie setzen Sie dies in der Praxis um?

Die rasante Zunahme an Cyberangriffen erfordert, dass ich als CISO die Informationssicherheit eng mit den Geschäftsprozessen verknüpfe. Mein Team und ich arbeiten daher Hand in Hand mit Abteilungen wie Vorstand, Vertrieb, Produktion und Personalwesen zusammen, um Sicherheitsanforderungen zu verstehen und Lösungen zu entwickeln, die den Geschäftsbetrieb nicht behindern. Dabei setzen wir auf eine Sicherheitsstrategie, die Risiken in einem unternehmerischen Kontext bewertet. Das Sicherheitsbewusstsein muss als Wettbewerbsvorteil positioniert werden, um Vertrauen bei Kunden zu schaffen und die Marke zu stärken. Dazu gehört auch eine Aufnahme des CISO in den Vorstand, um die Weichen für die geschäftliche Zukunft zu stellen: Digitalisierung, Künstliche Intelligenz und natürlich Cybersicherheit.

Auch die Anzahl an Angriffen auf IoT-Geräte steigen. Welche Cyberrisiken verbergen smarte Haushaltsgeräte und warum sind Hacker daran überhaupt interessiert?

Zum einen ermöglichen diese Zugriff auf sensible Geräte- und Kundendaten wie beispielsweise persönliche Informationen über Nutzerverhalten und -gewohnheiten. Diese Informationen bieten häufig eine solide Grundlage für gezielte Angriffe oder Identitätsdiebstahl. Auf der anderen Seite können übernommene Geräte als Teil eines sogenannten Bot-Netzwerks zweckentfremdet und für Angriffe missbraucht werden. So wird schnell der smarte TV als Cyberwaffe gegen andere Computersysteme benutzt, ohne dass der Benutzer etwas davon mitbekommt. Darüber hinaus bieten ungesicherte Geräte perfekte Einfallstore in Heimnetzwerke, was zu weiteren Sicherheitsproblemen führt.

Interessanter Fakt:

Florian Jörgens arbeitet seit über 12 Jahren in der Informationssicherheit. 2020 gewann er den Digital Leader Award in der Kategorie Cybersecurity. In seiner Freizeit hält er Fachvorträge auf Konferenzen, schreibt Fachbücher und ist als Dozent an mehreren Hochschulen tätig.