[datensicherheit.de, 19.03.2025] Seit dem 18. Oktober 2024 ist nun NIS-2 – die verbindliche Cyber-Sicherheits-Richtlinie der EU – in Kraft. Das entsprechende nationale Umsetzungsgesetz wurde in Österreich demnach zwar als Entwurf des „NISG 2024“ (Initiativantrag zum Netz- und Informationssicherheitsgesetz 2024) im Juni 2024 im Nationalrat behandelt, scheiterte aber an der notwendigen Zweidrittelmehrheit und wurde bislang nicht weiterverfolgt. Dennoch sollten die betroffenen Unternehmen und Organisationen bereits jetzt handeln und nicht erst auf die Gesetzgebung warten, betont Amir Salkic, „Head of CyberSecurity Consulting Austria“ der SEC Consult Group, in seiner aktuellen Stellungnahme.

Foto: SEC Consult Group

Amir Salkic zu NIS-2-Folgen: Neu ist, dass die Geschäftsführung bei GmbHs bzw. der Vorstand und Aufsichtsrat bei Aktiengesellschaften nun persönlich haftbar sind!

Verantwortliche sollten so schnell wie möglich überprüfen, ob NIS-2 auch ihre Unternehmens-IT betrifft

„Auch wenn die Gesetzestexte noch nicht rechtskräftig vorliegen, bietet die NIS-2-Richtlinie doch die grundlegenden Vorgaben für Sicherheitsmaßnahmen, die spätestens jetzt in Angriff genommen werden sollten“, erläutert Salkic. Denn die Implementierung der Maßnahmen könne – abhängig vom Reifegrad der Cyber-Sicherheit – viele Monate in Anspruch nehmen.

Da im Vergleich zu NIS-1 nun auch Unternehmen wie digitale Marktplätze oder die Lebensmittelindustrie unter die NIS-2-Richtlinie fielen und die Einführung einer „size-cap“-Regel zusätzlich die Palette der betroffenen Unternehmen erweitere, könnten auch KMU unter diese Regelungen fallen. „Deshalb sollten die Verantwortlichen so schnell wie möglich überprüfen, ob NIS-2 auch ihre Unternehmens-IT betrifft!“

Salkic weist auch auf die neuen, strengeren Haftungsvorschriften hin: „Neu ist, dass die Geschäftsführung bei GmbHs bzw. der Vorstand und Aufsichtsrat bei Aktiengesellschaften nun persönlich haftbar sind!“ Dies könne – je nach Art der Einrichtung – von bis zu sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes bis hin zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes gehen.

Worauf das Management achten sollte – der NIS-2-Maßnahmenkatalog

Grundsätzlich müssten betroffene Unternehmen und Organisationen geeignete Sicherheitsmaßnahmen ergreifen, um die Vertraulichkeit, Verfügbarkeit und Integrität ihrer Netzwerke und IT-Systeme zu gewährleisten.

Salkic führt hierzu aus: „Dazu gehören die Entwicklung von Konzepten für Risikoanalysen und die Sicherheit von Informationssystemen sowie Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen.“

Sollte es zu einem die Cyber-Sicherheit verletzenden Vorfall kommen, so müssten betroffene Organisationen das österreichische Innenministerium unverzüglich über signifikante Störungen, Vorfälle und Bedrohungen – und, wo möglich, auch die Kunden ihrer Dienstleistungen – unterrichten. „Das bedeutet: Es muss binnen 24 Stunden eine Frühwarnung erfolgen, bis spätestens 72 Stunden später eine Detailmeldung und binnen eines Monats ein Abschlussbericht.“

Deutsches NIS-2-Gesetz kann auch für österreichische Unternehmen relevant sein

Die engen wirtschaftlichen Verbindungen Österreichs zum Nachbarn Deutschland bedingen laut Salkic auch, dass viele österreichische Unternehmen dem deutschen NIS-2-Umsetzungsgesetz unterliegen: „Sei es, weil die deutsche Muttergesellschaft interne Richtlinien vorgibt, die auch für österreichische Tochtergesellschaften gelten, oder weil heimische Unternehmen deutsche NIS-2-Einrichtungen beliefern und diese Cyber-Sicherheitsanforderungen vertraglich festlegen.“

Auch in Deutschland habe das NIS-2-Umsetzungsgesetz zwar das Bundeskabinett passiert, sei aber noch nicht dem Bundestag zu Beschlussfassung vorgelegt worden. Dennoch rät Salkic auch hierbei, sich bereits jetzt beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren und sicherzustellen, dass die Mindestvorgaben in Sachen Cyber-Sicherheit umgesetzt werden.

„Dies umfasst wie auch in Österreich organisatorische Auflagen wie etwa die Einführung von Risiko-Management, ,Information Security Management’, den Einsatz von Multi-Faktor-Authentisierung und SSO oder den Einsatz sicherer Sprach-, Video- und Text-Kommunikation. Im Fall eines Sicherheitsvorfalls muss das BSI innerhalb von 24 Stunden informiert werden“, so Salkic zum Abschluss seiner Stellungnahme.

Weitere Informationen zum Thema:

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

[datensicherheit.de, 06.12.2023] „Jüngste Ereignisse aus der Cybercrime-Welt zeigen, dass die Übeltäter nicht nur über technisches Know-how verfügen, sondern auch über ein grundlegendes Verständnis für die Regulierung von Cyber-Verbrechen. Sie wissen, an welche Unternehmen sie sich halten müssen und nutzen dieses Wissen auch, um noch raffiniertere Cyber-Angriffe zu starten“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme.

Foto: KnowBe4

Dr. Martin J. Krämer: Die SEC verlangt von Unternehmen die Offenlegung von Art, Umfang und Zeitpunkt eines Cyber-Angriffs sowie dessen mögliche Auswirkungen!

Zusätzlicher Druck auf Ransomware-Opfer: Lösegeldforderung mit 24-Stunden-Ultimatum

Seit dem 26. Juli 2023 schreibe die US-amerikanische Börsenaufsicht SEC vor, dass börsennotierte Unternehmen bedeutende Cyber-Vorfälle innerhalb von vier Tagen melden müssten. Dr. Krämer erläutert: „Diese Vorschrift der SEC verlangt von Unternehmen die Offenlegung von Art, Umfang und Zeitpunkt eines Cyber-Angriffs sowie dessen mögliche Auswirkungen.“

Und genau dies machten sich nun Cybercrime-Gruppierungen wie „BlackCat („ALPHV“) zunutze, wie sich in einem kürzlichen Angriff dieser Ransomware-Gruppe gezeigt habe. „Am 7. November behaupteten sie, sensible Daten entwendet zu haben, was gemäß den SEC-Vorschriften eine Meldung bis zum 11. November erforderlich machte. Um zusätzlichen Druck auf die Opfer auszuüben, gab es für die Lösegeldzahlung ein 24-Stunden-Ultimatum“, berichtet Dr. Krämer,

Ransomware-Gruppe BlackCat berüchtigt für ihre dreifache Erpressung

In Deutschland seien vor allem Betreiber Kritischer Infrastrukturen (Kritis) dazu angehalten, den Vorfall innerhalb einer Frist an das BSI zu melden. Zudem erfordere die DSGVO die Meldung des Verlustes von personenbezogenen Daten innerhalb von 72 Stunden. Die Behörden hätten dazu eine Vielzahl an Dokumenten und Handreichungen erstellt, damit sich betroffene Organisationen grundlegend informieren könnten, welche Informationen bis zu welchem Zeitpunkt übermittelt werden müssen.

Bereits bekannt sei die Gruppe „BlackCat“ vor allem für ihre dreifachen Erpressungsmethoden, welche von Verschlüsselungs- und DoS-Angriffen bis hin zu Datendiebstahl und der Androhung öffentlicher Bloßstellung reichten. Die neu erdachte Methode, im Namen ihrer Opfer Berichte bei der SEC einzureichen, zeige eine ganz neue Raffinesse in ihrem Repertoire der Erpressungstaktiken.

Ransomware-Gruppen werden weiterhin Bemühungen anstellen, um an das Geld ihrer Opfer zu kommen

Dr. Krämer unterstreicht abschließend: „Diese Information unterstreicht die dringende Notwendigkeit für Unternehmen, bei ihren Cyber-Sicherheitsmaßnahmen wachsam und proaktiv zu handeln, denn Ransomware-Gruppen werden weiterhin Bemühungen anstellen, um an das Geld ihrer Opfer zu kommen.“

Eine „Unze Prävention“ sei hierbei also mehr wert als ein „Pfund Heilung“. Daher sollten Unternehmen ihre Mitarbeiter entsprechend schulen und ihre Sicherheitsvorkehrungen verstärken.

Weitere Informationen zum Thema:

U.S. SECURITIES AND EXCHANGE COMMISSION, 26.07.2023
SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies

Von unserem Gastautor Armin Simon, Regional Director DACH bei Gemalto

[datensicherheit.de, 02.10.2017] Vor wenigen Tagen musste die US-Börsenaufsicht SEC [1] eingestehen, dass sie 2016 Opfer einer Cyberattacke wurde. Dabei gingen vertrauliche Informationen, die für den Insiderhandel genutzt werden können, verloren. Angeblich hatte die Behörde das volle Ausmaß erst im letzten August erkannt.

Spätestens seit dem Angriff auf den Bundestag im Jahr 2015 wissen IT-Verantwortliche, dass sich die Gefahrenlage geändert hat. Durch Zero-Day-Schwachstellen und ausgeklügelte Malware ist es nur eine Frage der Zeit, bis Sicherheitsmechanismen umgangen und Netzwerke kompromittiert werden können. Cybercrime hat sich zu einem organisierten Geschäftsfeld entwickelt und mit Malware-as-a-Service-Angeboten braucht es kein technisches Know-how mehr, um Attacken zu starten.

In der Praxis geschieht zu wenig

Trotzdem geschieht in der Praxis zu wenig und SEC ist nur eines der Beispiele für Fahrlässigkeit und mangelnde Vorbereitung. Als wichtigste Aufsichtsbehörde steht man natürlich im Fadenkreuz, trotzdem war man nicht in der Lage die Daten richtig zu schützen oder den Sicherheitseinbruch umgehend zu erkennen. Zudem kann die SEC keine Angaben über die betroffenen Datensätze machen. Leider wird schnell klar, dass es in den meisten Unternehmen ähnlich aussieht und interne Prozesse nicht an die Bedrohungslage angepasst worden sind.

Eigentlich sollte man aus Fehlern lernen

Die schlechte Informationslage und die verspätete Erkenntnis sind exemplarisch für die mangelhafte Sicherung von Informationen. Eine Analyse aller bekannten Datenverluste weltweit im Breach Level Index [2] verdeutlicht, dass die Anzahl der Sicherheitseinbrüche immer weiterwächst und Unternehmen sich nicht richtig auf die Situation eingestellt haben. In den ersten sechs Monaten dieses Jahres wurden 918 Breaches gemeldet, dies sind 13 Prozent mehr als im zweiten Halbjahr 2016. Erschreckend ist dabei die Explosion der gestohlenen Datensätze: Insgesamt wurden bei den Vorfällen 1.9 Milliarden Datensätze illegal kopiert, dies entspricht einer Steigerung um 164 Prozent in sechs Monaten.

Bild: Gemalto

Armin Simon, Regional Director DACH bei Gemalto

Da in der Untersuchung nur öffentlich bekannte Datenlecks untersucht werden, dürfte die Dunkelziffer nochmals höher liegen. Viele Organisationen besitzen keine ausreichenden Mechanismen zum Schutz ihrer Informationen. In 59 Prozent aller gemeldeten Incidents ist die Anzahl der betroffenen Datensätze nicht bekannt. Dies deutet darauf hin, dass die Angreifer nach der Überwindung des Netzwerks- und Perimeterschutzes ungesehen auf Informationen zugreifen konnten. Die SEC ist also keine Ausnahme, IT-Abteilungen stehen nach Datenverlusten vor einem Scherbenhaufen: Obwohl Angriffe fast schon zum Alltag gehören, sind sie nicht in der Lage Datenschutz zu gewährleisten.

Überraschend ist die große Anzahl an versehentlichen Verlusten, denn 86 Prozent aller entwendeten Datensätze wurden infolge von Fahrlässigkeit verloren. Zwar sind Außentäter immer noch die Hauptursache für Sicherheitseinbrüche, allerdings kommen immer wieder große Mengen an Daten durch mangelnde Sorgfalt abhanden.

IT-Verantwortliche sollten nicht in Panik verfallen, trotzdem müssen Sicherheitsstrategien umgehend angepasst werden. Deshalb ist der Einsatz von starker Verschlüsselung wichtig, trotzdem wird nicht ausreichend auf entsprechende Mechanismen zurückgegriffen. Nur fünf Prozent aller gehackten Datensätze in Deutschland waren entsprechend geschützt, obwohl unter IT-Entscheidern ein breiter Konsens über die Wirksamkeit von Kryptografie herrscht.

Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das BSI sprechen sich für ihren Einsatz aus. Verschlüsselte Daten sind ohne den Schlüssel erst mal nutzlos und geschützt, auch wenn sie sich außerhalb der Reichweite der Administratoren befinden oder umliegende Systeme Opfer einer Cyberattacke wurden.

Die Zahlen sind erdrückend und dies geht zulasten der Wirtschaft und der Bürger, deren persönliche Daten entwendet wurden – ohne das sie darüber informiert wurden. Ab März 2018 wird die DSGVO anwendbar und wird dies grundlegend ändern. Beispielsweise gibt es eine Meldepflicht für Sicherheitseinbrüche, falls persönliche Daten entwendet wurden. Ansonsten drohen hohe Bußgelder.

Der Breach Level Index befasst sich seit 2013 mit Incidents und erscheint mittlerweile halbjährlich. Es ist wahrscheinlich, dass sich aufgrund der neuen Verpflichtungen die Datengrundlage für die Analyse ab 2018 deutlich erweitern. Unternehmen sollten bis dahin den Empfehlungen folgen und persönliche Informationen durch starke Verschlüsselung schützen.

Fazit

Vorfälle wie beim SEC sind leider alltäglich geworden und genau deshalb sollte ein Ruck durch IT-Abteilungen von Unternehmen gehen. Natürlich werden Daten immer wieder durch Cyberkriminelle gestohlen, aber genau deshalb sollte man sich sorgfältig auf den Fall der Fälle vorbereiten. Leider zeigen aktuelle Analysen, dass genau das Gegenteil der Fall ist.

Trotz der nahenden Anwendbarkeit der DSGVO steigt die Anzahl der Incidents. Vor allem versehentliche Datenverluste nehmen stark zu und immer häufiger können die betroffenen Unternehmen keine genauen Opferzahlen nennen, obwohl persönliche Informationen entwendet wurden.

Starke Verschlüsselung durch Key-Management und der Einsatz von HSMs sind eine gute Möglichkeit, wichtige Grundlagen für mehr Datenschutz zu schaffen. Sie erlauben eine praktische Umsetzung von Behörden- und die EU-Empfehlungen. Zudem eignet sich eine durchgängige Verschlüsselung als nachhaltige Sicherheitsstrategie.

[1] Spiegel online 2017: „Hacker klauen Daten von SEC“

[2] Gemalto 2017: „Breach Level Index H1 2017“

Weitere Informationen zum Thema:

datensicherheit.de, 20.09.2017
Gemalto: Breach Level Index-Bericht für die erste Jahreshälfte 2017 vorgestellt