Die Bedrohung durch Cyberangriffe steigt – das zeigt der neue Lagebericht des BSI zur IT-Sicherheit in Deutschland. Laut Bericht werden täglich bis zu 70 neue Schwachstellen in Softwareprodukten entdeckt. Das sind rund 25 Prozent mehr als im vorherigen Berichtszeitraum. Das Ziel muss es nun sein, die Resilienz zu erhöhen.
Das sieht auch Bundesinnenministerin Nancy Faeser, die bei der Vorstellung des Berichts sagte: „Die Umsetzung der NIS2-Richtlinie der EU ist hierfür ein wichtiger Baustein. In Zukunft gelten für deutlich mehr Unternehmen klare Regelungen und Vorsorge. Das fordert die Wirtschaft ebenso wie das BSI.“ Ein entsprechendes Umsetzungsgesetz befindet sich laut Faeser bereits in der Ressortabstimmung.
Unternehmen haben bis zum 17. Oktober 2024 Zeit, die Bestimmungen der Richtline umzusetzen. Dabei beinhaltet die EU-Richtline zur Netzwerk- und Informationssicherheit bereits Best Practices zur Umsetzung der Bestimmungen – einen großen Teil nimmt dabei das Thema Identity Security ein. Identity Security beschreibt einen Ansatz aus der Informationssicherheit, der sicherstellt, dass nur autorisierte Personen Zugriff auf bestimmte Ressourcen zu bestimmten Zeiten haben. Identitäten bezeichnen hier jedoch nicht nur Mitarbeitende, sondern auch Nicht-Mitarbeiter-Identitäten, Geräte und Bots. Denn auch diese haben Zugriff auf die Systeme der von der Richtline betroffenen Unternehmen, und zwar als Partner, Zulieferer oder Dienstleister. Damit Unternehmen sicherstellen, dass sie NIS2-konform sind, müssen sie zu jeder Zeit wissen, wer Zugriff auf ihre Systeme hat und ob diese Berechtigungen noch aktuell sind oder entzogen werden müssen. In diesem Zusammenhang fallen oft Schlagworte wie Least Privilege und Zero Trust. Die Prinzipien folgen der These, dass grundsätzlich lieber zu wenige Berechtigungen erteilt werden, als zu viele und keiner Identität „blind“ vertraut wird.
Unabhängig davon, ob ein Unternehmen unter die Bestimmungen der NIS2-Richtlinie fällt oder nicht – die Lage ist aktuell so bedrohlich wie nie, so dass sich jedes Unternehmen Gedanken über eine vollumfängliche Sicherheitsstrategie machen sollte. Gerade vor dem Hintergrund, dass der Lagebericht des BSI zeigt, dass nicht mehr die großen und zahlungskräftigen Unternehmen Ziel der Hacker sind – sondern auch kleinere Unternehmen sowie der Mittelstand.