Sie sind hier: Home » Markt » Hinweise & Tipps

Cyber-Sicherheit muss strategisches Thema werden


IT- und OT-Sicherheit: Was (nicht nur) KRITIS-Anbieter in der EU beachten sollten
Die ganzheitliche und konsolidierte Betrachtung des Sicherheitsaspekts wird – zusammen mit Risikomanagement – immer notwendiger



Von Lothar Hänsler, Operating Officer bei Radar Cyber Security

Betreiber kritischer Infrastrukturen sind immer stärker im Visier von Cyber-Kriminellen. Mittlerweile geht es den Angreifern nicht allein darum, Geld zu machen. Immer häufiger üben sie Druck auf ihre Opfer aus und drohen, gestohlene Daten zu veröffentlichen oder ohne Wissen der Betroffenen im Darknet anzubieten. In immer mehr Fällen beabsichtigen sie auch, Netzwerksysteme – auch die nationalstaatlichen – empfindlich zu stören. Ein bedrohlicher Trend, der 2023 weiter Fahrt aufnehmen wird.

Wer sich einmal die Mühe macht und genauer in den aktuellen Investment-Report der Agentur der Europäischen Union für Cyber-Sicherheit ENISA schaut, erfährt Erschreckendes über die Nachlässigkeiten europäischer Betreiber kritischer und digitaler Dienste – allen Cyber-Gefahren zum Trotz: Die durchschnittlichen Budgets für IT-Sicherheit haben sich 2022 im Vergleich zum Jahr davor mit 6,7 Prozent noch einmal um ein Prozent verringert. Der Gesamtschaden für Unternehmen und Organisationen, der auf Cybercrime zurückzuführen ist, wird für das Jahr 2022 laut Statista auf eine verheerende Summe von 203 Milliarden Euro allein in Deutschland geschätzt. Finanzsektor und Gesundheitswesen sind nach wie vor die Bereiche mit den höchsten Kosten für Zwischenfälle.

Und es geht noch schlimmer: Lediglich ein Viertel (27 Prozent) der befragten öffentlichen Arbeitsverwaltungen im Gesundheitssektor verfügt über ein spezielles Programm zur Abwehr von Ransomware. Zudem haben vier von zehn (40 Prozent) der befragten Behörden kein Awareness-Programm zur Sensibilisierung ihrer Mitarbeitenden parat. Und nach wie vor ist die sich ständig verändernde Bedrohungslage um Ransomware und E-Mail eine der größten Gefahren für Unternehmen und Behörden.

Technologie, Awareness und Prozesse
Nicht nur als Folge des russischen Angriffskriegs auf die Ukraine sollten viele KRITIS-Betreiber 2023 die gegenwärtige Bedrohungslage ernst nehmen. Cyber-Angriffe sind mittlerweile ein Mittel der politischen Auseinandersetzung. Die behördlichen IT-Systeme werden aller Voraussicht nach künftig vermehrt DDoS-Attacken verzeichnen. Organisationen, Unternehmen und Behörden sollten daher ihr Hauptaugenmerk auf die E-Mail-Security lenken und auf ein dreiteiliges Maßnahmenpaket setzen, bestehend aus Technologie, Personal und Prozessen.

IT-Infrastrukturen müssen konsequent resistenter werden. Zero-Trust-Netzwerke, die Absicherung von Remote-Zugängen sowie der Einsatz von Endpoint Detection and Response (EDR) werden künftig unverzichtbar sein. Da das industrielle Internet der Dinge (kurz IIoT) immer mehr im Fokus von Hackern liegt, ist es außerdem ratsam, IT- und OT-Security sicher zu verbinden. Äußerst wichtig ist es auch, sich auf die Aufklärung und Sensibilisierung der Mitarbeitenden zu konzentrieren. Das hilft aber effektiv nur weiter, wenn es sich um eine kontinuierliche Bewusstseinskampagne handelt.

Die ganzheitliche und konsolidierte Betrachtung des Sicherheitsaspekts wird – zusammen mit Risikomanagement – immer notwendiger. Noch betreibt knapp über ein Drittel der europäischen KRITIS-Unternehmen und Anbieter digitaler Services kein Security Operation Center (SOC). Im Energiesektor ist es weniger als jeder Dritte der europäischen KRITIS-Betreiber, der seine OT-Prozesse von einem SOC überwachen lässt.

Cyber-Sicherheit muss strategisches Thema werden
Zwar kann ein Chief Information Security Officer (CISO) mit dem richtigen Einsatz der Produkte, Prozesse und Mitarbeiter viel Schaden abwenden. Ein gelungener Ransomware-Angriff, verbunden mit der Verschlüsselung kritischer Informationen, hat jedoch eine gesamtgeschäftliche Auswirkung. Die Entscheidung, ob im Ernstfall Lösegeld gezahlt werden soll, ist eine wirtschaftliche Entscheidung. Sie obliegt nicht allein dem CISO. Die Vorbereitung auf etwaige Cyber-Angriffe, unterstützt durch Trainings wie zum Beispiel Table-Top-Übungen, ist ein Schlüsselelement der Geschäftskontinuität. Zudem werden Geschäftsführungen durch den Zeit- und Entscheidungsdruck anfälliger für die Erpressung. Auch hier gilt es gegenzusteuern. Eine starke Cyber-Resilienz ist daher längst nicht mehr alleinige Aufgabe der IT-Abteilung – sondern muss ein strategisches Thema sein, mit dem sich das Management seine Handlungsfähigkeit sichert.

Um sich zu schützen, reicht eine Maßnahme allein nicht aus. Doch mit einem mehrschichtigen Sicherheitsansatz aus kontinuierlichen Mitarbeitertrainings, robusten Prozessen zur Sicherung der Geschäftskontinuität, europäischer Erkennungstechnologie und professioneller Unterstützung durch Security-Personal lassen sich die Risiken minimieren. Vorbereitete, resiliente Organisationen können verdächtige Vorgänge richtig einordnen und entsprechend darauf reagieren, bevor der große Schaden eintritt – auch im neuen Jahr 2023.

Über den Autor
Lothar Hänsler ist seit 2019 Operations Officer und leitet das Cyber Defense Center des Sicherheitstechnologie-Spezialisten und Managed-Security-Service-Providers Radar Cyber Security.
(Radar Cyber Security: ra)

eingetragen: 03.03.23
Newsletterlauf: 24.05.23

Radar Cyber Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Generationenkonflikt der IT-Security

    Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.

  • Ist NIS-2 zu anspruchsvoll?

    Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit noch vor der Bundestagswahl ist gescheitert. SPD, Grüne und FDP konnten sich nicht auf zentrale Punkte einigen. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie die dringend notwendige gesetzliche Verschärfung aus. Die Umsetzungsfrist wird weiter überschritten

  • Seit 1. Januar 2025 gilt die E-Rechnungspflicht

    Stellen Sie sich vor, Ihr Unternehmen kann plötzlich Rechnungen nicht mehr rechtssicher verschicken. Verzögerte Zahlungen, rechtliche Konsequenzen und möglicherweise ein belastetes Geschäftsverhältnis könnten die Folge sein - und das alles, weil Sie die E-Rechnungspflicht ohne die richtige Software kaum einhalten können.

  • Compliance: Mehr als Datensicherheit

    Neue Regularien und Standards im Bereich Cybersicherheit sorgen dafür, dass das Thema Compliance immer stärker in den Fokus von Unternehmen rückt. Verstöße können zu hohen Bußgeldern und einem massiven Vertrauensverlust führen. Angesichts strengerer Datenschutzregulierungen wie der DSGVO und NIS-2 sowie zunehmender technischer Anforderungen müssen Unternehmen eine klare Strategie verfolgen, um sowohl gesetzliche als auch sicherheitstechnische Vorgaben einzuhalten.

  • DORA: Neue Standards für den Finanzsektor

    Nun müssen Finanzinstitute die Compliance mit der EU-DORA-Verordnung (Digital Operational Resilience Act) nachweisen. Diese Regulierung zielt darauf ab, die digitale Widerstandsfähigkeit des Finanzsektors gegen Cyber-Risiken und operative Störungen zu stärken. Dazu gehören Vorschriften und Richtlinien zu Cyber-Risikomanagement, Datensicherheit, Governance, Ausfallsicherheit und Multi-Cloud-Flexibilität.

Risikoprävention bei internen Meldekanälen Lebensversicherung & Geldwäsche

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen