Wer eine Behörde leitet, der trägt Verantwortung. Dazu gehört auch die Cyber-Sicherheit. Ein Bereich, der aktuell durch neue Gesetze und Regeln, wie die ab Oktober 2024 geltende NIS2-Richtline, aber auch durch Schlagzeilen über groß angelegte Cyber-Attacken in den Fokus rückt. Hohe Geldstrafen tun ein Übriges, um die Dringlichkeit für Organisationen jeder Größenordnung zu unterstreichen. So sieht beispielsweise die kürzlich verabschiedete Richtlinie NIS 2.0 vor, dass neben Betreibern „Kritischer Infrastrukturen“ auch Anbieter „Digitaler Dienste“ und „Unternehmen im besonderen öffentlichen Interesse“ mit Geldbußen in Höhe von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Vorjahresumsatzes belegt werden können.
Dass diese rechtliche Offensive Hand und Fuß hat, belegt der aktuelle Ransomware Report von Sophos, in dem Anfang 2023 weltweit 3.000 IT-Fachkräfte zum Thema Cyber Security befragt wurden. So wurden in Deutschland insgesamt 58 Prozent der befragten Unternehmen von Ransomware angegriffen, in 71 Prozent dieser Fälle gelang es den Cyber-Kriminellen, Daten zu verschlüsseln. Weiterhin zeigt die Umfrage aus weltweiter Sicht auf, dass Unternehmen, die Lösegeld für die Entschlüsselung ihrer Daten zahlten, ihre Wiederherstellungskosten zusätzlich verdoppelten: die durchschnittlichen Wiederherstellungskosten betrugen 750.000 Dollar gegenüber 375.000 Dollar für Unternehmen, die Backups zur Datenwiederherstellung verwendeten.
Risikomanagement ist mehr als nur Technologie
Pauschal kann gesagt werden, dass technische Maßnahmen allein nicht mehr ausreichen. Um den heutigen Cyber-Risiken zu begegnen, ist menschliche Expertise zwingend nötig. Angriffe, bei denen sich Hacker Zugriff auf Daten und Systeme ihrer Opfer verschaffen, verlaufen meist still und heimlich. Um diese Angriffe zu stoppen, bevor ein Schaden entsteht, bedarf es einer Kombination aus technischer Cyber Security und spezialisierten Bedrohungsexperten – übrigens auch eine Anforderung der NIS-2.0-Richtlinie. Allerdings sind diese Fachleute schwer zu finden und oft teuer. Daher setzen zunehmend mehr Organisationen auf Cyber Security as a Service in Kombination mit technischen IT-Sicherheitslösungen. Hier kommen maßgeblich sogenannte MDR-Services (Managed Detection and Response), wie zum Beispiel von Sophos, zum Einsatz. Diese garantieren eine 24/7-Abdeckung durch ein Team an Sicherheitsexperten, die auf die Erkennung und das Eliminieren von Cyber-Angriffen spezialisiert sind, die technologische Lösungen allein nicht verhindern können.
Das Bewusstsein für das Risiko im Cyber- Raum und das Engagement, die bestmögliche Security einzusetzen, schützt Unternehmen und Organisationen jeglicher Größe vor allem vor Cyber-Attacken – aber auch zunehmend davor, mit Cyber-Sicherheitsgesetzen in Konflikt zu geraten.
NIS2-Anforderungen verstehen und richtig umsetzen
Die aktuellen Entwicklungen im Bereich Cyber Security machen deutlich, dass ein „Weiter so“ in Sachen IT-Sicherheitsstrategie nicht mehr akzeptabel ist. Für die Geschäftsleitung und Hersteller ist es wichtig zu verstehen, was getan werden muss, um die IT-Sicherheit rechtssicher und zugleich nachhaltig aufzustellen. Das Whitepaper von Sophos „NIS2-Richtlinie: Anforderungen- Auswirkungen – Eckdaten“ liefert einen praktikablen Umsetzungs-Guide.
Der Autor des Gastbeitrags ist Michael Veit, Technology Evangelist & Manager Sales Engineering bei Sophos.
Gemeinsam mit SOPHOS veranstaltet der Behörden Spiegel am Donnerstag, dem 19. Oktober, von 10:30 bis 12 Uhr ein Partner-Webinar zum Thema „NIS-2 – Was bedeutet die neue EU-Richtlinie für Ihre Cybersecurity-Strategie?“. Weitere Informationen und die Möglichkeit zur Anmeldung gibt es hier.
