Gesetze sind dafür da, Dinge klar zu regeln und im Idealfall sogar zu verbessern. Dazu gehören zu Recht Regeln zur Cybersicherheit, denn die Bedrohungslage wird seit Jahren zunehmend prekär und es entstehen große wirtschaftliche Schäden, sowohl für einzelne Unternehmen als auch aus volkswirtschaftlicher Perspektive. Zu den neuesten Gesetzen zählen das EU-weite Cyber-Resilienz-Gesetz sowie die Geschäftsführerhaftung bei Cyberangriffen.
Compliance-Anforderungen
Eine funktionierende und sichere IT ist für jedes Unternehmen von elementarer Bedeutung. Bei Cyberangriffen oder Verstößen gegen IT-sicherheitsrechtliche Vorschriften drohen dem Vorstand, der Geschäftsführung und/oder den Aufsichtsratsmitgliedern rechtliche Konsequenzen.
Die Geschäftsleitung oder Aufsichtsratsmitglieder können zivilrechtlich auf Schadensersatz haften, wenn sie ihre Pflichten zur Sicherstellung der Digital Compliance vorsätzlich oder fahrlässig verletzen. Darüber hinaus können die Mitglieder der Geschäftsleitung und des Aufsichtsrats auch strafrechtlich belangt werden. Ein solcher Fall wäre denkbar, wenn aufgrund vorsätzlichen oder fahrlässigen Verhaltens durch einen Cybervorfall Geschäftsgeheimnisse oder Know-how des Unternehmens gegenüber unbefugten Dritten offenbart werden oder ein Angriff dazu führt, dass das Unternehmen seinen Geschäftsbetrieb vollständig einstellen muss und dadurch in die Insolvenz schlittert.
Dem Unternehmen selbst können ebenfalls erhebliche Geldbußen drohen. Das Gesetz vom das Bundesamt für Sicherheit in der Informationstechnik(BSIG), das vor allem die Betreiber „Kritischer Infrastrukturen“, die Anbieter „Digitaler Dienste“ und „Unternehmen im besonderen öffentlichen Interesse“ betrifft, sieht Geldbußen in Höhe von bis zu 20 Millionen Euro vor. Nach der kürzlich verabschiedeten Richtlinie NIS 2.0 wird sich dieser Rahmen künftig weiter verschärfen. Die Richtlinie sieht Sanktionen in Höhe von zwei Prozent des weltweiten Jahresumsatzes vor. Noch drastischer können sich Verstöße gegen die datenschutzrechtlichen Vorschriften auswirken. Hier drohen Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.
Bei ihrem Risikomanagement dĂĽrfen die Verantwortlichen nicht allein auf technische MaĂźnahmen setzen, sondern mĂĽssen menschliche Expertise einbinden.
Michael Veit, Sophos Technology GmbH
Die neue EU Cybersecurity-Richtlinie NIS2 ist längst überfällig und wird dringend benötigt. Die Harmonisierung für die Einhaltung der Vorschriften in den einzelnen Mitgliedstaaten in Verbindung mit klar definierten Meldepflichten und Einhaltungsvorschriften sowie die Aktualisierung im Hinblick auf moderne Bedrohungen, sollten die Sicherheit und Stabilität der EU bezüglich disruptiver Angriffe erheblich verbessern. Die erweiterte Liste der Branchen ist zu begrüßen, lässt aber immer noch die Tür für nicht regulierte Unternehmen offen, die durch Angriffe auf die Lieferkette ein Risiko darstellen können.
EU Cyber-Resilienz-Gesetz
2022 hat die Europäische Union zudem einen Gesetzentwurf mit dem Titel „Cyber Resilience Law“ vorgelegt. Darin wird ein horizontaler europäischer Ansatz zur Cybersicherheit befürwortet, der insbesondere Hardware- und Softwarehersteller betrifft, da diese die größte Verantwortung bei der Entwicklung (sicherer) technologischer Mittel tragen. Die Europäische Union hat große Ambitionen in Bezug auf dieses Cybersicherheitsgesetz. Sie glaubt zum Beispiel, dass sie durch klare Regeln für Technologiehersteller die Zahl der Cyberangriffe und damit die Gesamtkosten der Cyberkriminalität um 290 Milliarden Euro pro Jahr senken kann. Es steht die Frage im Raum: Wie realistisch sind diese Ambitionen?
Die Aufgabe besteht darin, die wichtigsten Engpässe im Bereich der Cybersicherheit zu ermitteln. Dabei sind jedoch strukturelle Herausforderungen zu meistern. Die erste ist das allgemeine Sicherheitsniveau der Technologie. Jedem vierten auf dem Markt befindlichen IKT-Produkt (Informations- und Kommunikationstechnologie) wird ein „niedriges“ oder „sehr niedriges“ Sicherheitsniveau attestiert. Einige Hersteller nehmen Abstriche bei der Sicherheit in Kauf, um ihre Produkte schneller auf den Markt zu bringen. Wenn das anfänglich niedrige Sicherheitsniveau später durch Updates korrigiert wird, geschieht dies meist, wenn eine Schwachstelle bereits entdeckt wurde.
Das zweite strukturelle Problem ist der Mangel an Wissen ĂĽber den verantwortungsvollen Umgang mit IKT-Produkten. In Europa geben sieben von zehn Nutzern zu, dass sie nicht ausreichend ĂĽber die Risiken von Cyberangriffen informiert sind. DarĂĽber hinaus betrachten die Endnutzer beim Kauf von Produkten die Sicherheit nicht als Hauptkriterium, weil sie zu oft annehmen, dass sie mit dem Design einhergeht.
Risikomanagement – Technik ist nicht genug
Bei ihrem Risikomanagement dürfen die Verantwortlichen – sprich Geschäftsleitung und Hersteller – nicht allein auf technische Maßnahmen setzen, sondern müssen menschliche Expertise einbinden. Denn viele Angriffe, bei denen sich die Hacker durch gestohlene Informationen Zugriff auf die Daten und Systemen ihrer Opfer verschaffen, verlaufen still und heimlich. Die Unternehmen stehen vor der Herausforderung, diese Angriffe bereits in der Entstehungsphase zu stoppen, noch bevor ein Schaden entstehen kann.
Hierzu sind spezialisierte Bedrohungsexperten notwendig, die auf dem Arbeitsmarkt nur schwer zu finden sind und oft teuer eingekauft werden müssen. Die Folge: Zunehmend mehr Unternehmen entscheiden sich für Security-Services zusätzlich zu den technischen Security-Maßnahmen. Dazu zählen vornehmlich die MDR-Services (Managed Detection and Response), welche die eigene IT-Abteilung bei der Aufdeckung und Bekämpfung von Cyberangriffen unterstützt. Das ist nicht nur ein Trend. Denn laut Analysten von Gartner werden bis 2025 rund 50 Prozent aller Betriebe einen MDR-Service nutzen.
Um nachzuvollziehen, welche Vorteile ein MDR-Service bietet und was sich hinter der wachsenden Nachfrage verbirgt, ist es wichtig zu verstehen, was ein MDR-Service eigentlich ist – und was nicht. Managed Detection and Response (MDR) ist ein 24/7 Fully-Managed Service durch ein Team von Sicherheitsexperten, das darauf spezialisiert ist, Cyberangriffe zu erkennen und zu bekämpfen, die Technologielösungen allein nicht verhindern können. Die tägliche Cybersecurity-Verwaltung, wie die Bereitstellung von Sicherheitstechnologien, die Aktualisierung von Richtlinien oder die Installation von Updates, sind dagegen nicht Teil des MDR-Services. Managed Service Provider (MSPs) bieten entsprechende IT Security Management Services für Unternehmen und Einrichtungen, die Unterstützung in diesem Bereich benötigen.
Dass die Marktexperten von Gartner mit ihren Prognosen Recht haben, zeigt das große Interesse an Sophos MDR: Weltweit vertrauen bereits über 15.000 Unternehmen und Einrichtungen diesen Services. Und genau dieses Bewusstsein für das heutige und künftige Risiko im Cyberraum und das Engagement, die bestmögliche Security einzusetzen, wird Unternehmen und Hersteller gleich doppelt schützen: vor Cyberattacken auf das eigene Unternehmen und davor, mit den neuen Gesetzen zu Cyber-Resilienz und Geschäftsführerhaftung in Konflikt zu geraten.