[datensicherheit.de, 30.05.2025] Frank Lange, „Technical Director“ von Anomali, geht in seiner aktuellen Stellungnahme auf eine Umfrage des Digitalverbands Bitkom e.V. zum „Data Act“ ein – diese verdeutlicht demnach, „dass sich viele Unternehmen bislang wenig mit der bevorstehenden Umsetzung des ,Data Act’ beschäftigt haben“. Dies zeige sich an den erschreckenden ein Prozent der befragten Unternehmen, welche die Vorgaben bisher vollständig umgesetzt hätten – weitere vier Prozent zumindest teilweise. Lange betont: „Dabei betrifft die Verordnung nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen.“

Foto: Anomali

Frank Lange: Unternehmen sollten die verbleibende Zeit von knapp drei Monaten nutzen, um ihre Datenstrategie zu überprüfen…

Hoher Umsetzungsaufwand der komplexen Anforderungen des „Data Act“

Die Anforderungen des „Data Act“ seien komplex und verursachten insbesondere für die IT- und Security-Abteilungen einen hohen Umsetzungsaufwand.

• „Gerade die Integration datenschutzrechtlicher Vorgaben in bestehende IT-Infrastrukturen erfordert moderne, skalierbare Plattformen, die eine umfassende Sicht auf sämtliche Sicherheitsdaten ermöglichen.“

Hierbei spielten automatisierte Analysen, Künstliche Intelligenz (KI) und ein einheitliches Management von Sicherheits- und IT-Operations-Daten eine zentrale Rolle.

Umsetzung des „Data Act“ beschleunigen und zugleich Innovationsfähigkeit erhalten

Durch die Kombination von „Security Information and Event Management“ (SIEM), „Threat Intelligence“ und automatisierter Reaktion könnten Unternehmen ihre Ressourcen effizienter einsetzen, die Umsetzung des „Data Act“ beschleunigen und zugleich ihre Innovationsfähigkeit erhalten.

• Lange rät eindringlich: „Unternehmen sollten die verbleibende Zeit von knapp drei Monaten nutzen, um ihre Datenstrategie zu überprüfen, bestehende Sicherheitsprozesse zu modernisieren und auf Technologien zu setzen, die Skalierbarkeit, Transparenz und Automatisierung bieten!“

Nur so lasse sich der Balanceakt zwischen regulatorischer „Compliance“ und datengetriebener Innovation erfolgreich meistern.

Weitere Informationen zum Thema:

bitkom, 20.05.2025
100 Tage vor dem Data Act: Kaum ein Unternehmen ist vorbereitet

Europäische Kommission
Datengesetz

DIHK
Data Act

bitkom
Data Act: Umsetzung & Stolpersteine

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragte sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 11.02.2025] „Der drastische Anstieg der Cyber-Sicherheitsvorfälle in deutschen KRITIS-Einrichtungen um 43 Prozent von 2023 auf 2024 ist ein deutliches Warnsignal für die gesamte Branche!“, kommentiert Frank Lange, „Technical Director“ bei Anomali, in seiner aktuellen Stellungnahme. Diese Entwicklung zeige eben, dass Kritische Infrastrukturen zunehmend ins Visier Cyber-Krimineller gerieten, während gleichzeitig die digitale Abhängigkeit dieser Einrichtungen weiter wachse. Die Zeit für einen strategischen Ansatz in der KRITIS-Cyber-Sicherheit sei jetzt: „Betreiber sollten ihre Sicherheitsprogramme langfristig ausrichten und dabei besonders die Bereiche Angriffserkennung, Supply-Chain-Security und Notfallmanagement in den Fokus nehmen!“

Foto: Anomali

Frank Lange: Betreiber sollten ihre Cyber-Sicherheitsprogramme langfristig ausrichten!

Cyber-Operationen zunehmend zur politischen Einflussnahme genutzt – KRITIS-Betreiber in der Pflicht

„Der jüngste Cyber-Angriff auf die CDU-Parteizentrale im Frühjahr 2024 und auch der Angriff der russischen Hacker-Gruppe ,APT 28‘ auf die SPD-Parteizentrale ab Dezember 2022 sind nur zwei Beispiele, die zeigen, wie gezielt staatlich gesteuerte Akteure demokratische Institutionen attackieren“, so Lange.

Während im Falle der CDU mutmaßlich chinesische Angreifer über zwei Wochen lang Zugriff auf sensible Daten gehabt hätten, habe „APT 28“ eine unbekannte Schwachstelle in „Microsoft Outlook“ ausgenutzt, um SPD-E-Mail-Konten zu kompromittieren. Lange unterstreicht: „Beide Angriffe verdeutlichen, dass Cyber-Operationen zunehmend zur politischen Einflussnahme genutzt werden – ein Risiko, das auch KRITIS-Betreiber verstärkt im Blick haben müssen!“

Cyber-Sicherheit auch für KRITIS-Betreiber keine einmalige Aufgabe, sondern ein fortlaufender Prozess

Besonders besorgniserregend sei der kontinuierliche Aufwärtstrend der letzten Jahre – von 385 Meldungen 2021 auf nun 769 im Vorjahr, 2024. „Dies verdeutlicht, dass Cyber-Sicherheit für KRITIS-Betreiber keine einmalige Aufgabe, sondern ein fortlaufender Prozess sein muss!“ Mit der bevorstehenden Umsetzung der NIS-2-Richtlinie Ende 2024 würden die Anforderungen an die IT-Sicherheit noch weiter steigen.

„Unsere Erfahrung zeigt, dass erfolgreiche Cyber-Angriffe oft durch eine Kombination aus technischen Schwachstellen und mangelnder Angriffserkennung ermöglicht werden.“ KRITIS-Betreiber müssten daher nicht nur in moderne Sicherheitstechnologien investieren, sondern auch ihre Fähigkeiten zur Früherkennung und Reaktion auf Bedrohungen kontinuierlich verbessern. „Ein effektives ,Security Information and Event Management’ (SIEM) ist dabei ebenso wichtig wie ein funktionierendes ,Incident Management’“, so Langes Empfehlung.

Weitere Informationen zum Thema:

Deutscher Bundestag, 21.01.2025
Drucksache 20/14595: Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Konstantin Kuhle, Renata Alt, Christine Aschenberg-Dugnus, weiterer Abgeordneter und der Fraktion der FDP – Drucksache 20/14166 – Hybride Angriffe und Desinformation im Vorfeld der Bundestagswahl

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

datensicherheit.de, 07.11.2024
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf / Laut Bitkom in Fragen der Sicherheit keine Trendwende – 86 Prozent der KRITIS-Unternehmen in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen betroffen

datensicherheit.de, 30.09.2024
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur / Anstatt zu der von NIS angestrebten Vereinheitlichung kam es in der Praxis zur Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes