Die NIS-2-Richtlinie der Europäischen Union (EU) hat in jüngster Zeit die Aufmerksamkeit auf die ungeheure Dynamik in der Welt der Cybersicherheit gelenkt.
Bereits im Jahr 2021 registrierten Analysten* [Cybersecurity Ventures] einen weltweiten Anstieg des Marktvolumens der Cyberkriminellen auf erstaunliche 5 Billionen US-Dollar, während der weltweite Markt für Cybersicherheit einen Umsatz von ’nur‘ 160 Milliarden US-Dollar verzeichnete. Dieses Verhältnis von 1 zu 40 verdeutlicht die alarmierende Tatsache, dass Cyberkriminelle ihre Taktiken ständig verbessern und fortschrittliche Technologien einsetzen, unter anderem Künstliche Intelligenz (KI), um Schwachstellen in Unternehmen auszunutzen. Die NIS-2-Richtlinie soll diesem Missverhältnis entgegenwirken und Unternehmen ab Oktober 2024 zur Einhaltung höherer Cybersecurity-Standards verpflichten. Somit bleibt diesen nun weniger als ein Jahr, um der Umsetzung gerecht zu werden.
Cyber-Kriminelle im Goldrausch
Betrachtet man die aktuelle Lage, erschließt sich, warum die Europäische Union eine derartige Richtlinie erlassen musste: Blickt man auf das Jahr 2023, so werden Schäden in Höhe von 8 Billionen US-Dollar durch Cyberkriminelle erwartet, die bis in das Jahr 2025 auf über 10 Milliarden Dollar ansteigen werden. Diese Gewinne stammen aus einer Vielzahl illegaler Aktivitäten, darunter Ransomware-Angriffe, Kryptojacking, Datenverkauf, Betrug, Erpressung und mehr.
Cyberkriminelle nutzen verschiedene Eintrittspunkte in Unternehmen, um ihre Angriffe durchzuführen. Die generell brandgefährliche Gesamtsituation wird besonders durch die große, immer grenzenloser werdende Anzahl an Eintrittsmöglichkeiten noch weiter verstärkt und ist auch dadurch noch interessanter für Cyberkriminelle. Diese attackieren E-Mail-Systeme, Lösungen für den mobilen- und Fernzugriff, Cloud- und Software-as-a-Service-Umgebungen (SaaS), Firewalls, Endpunkte, IoT-Geräte und Wi-Fi-Netzwerke. Jeder dieser Punkte stellt eine potenzielle Schwachstelle dar, die von böswilligen Akteuren ausgenutzt werden kann.
Der Mid-Year Cyber Threat Report 2023 von SonicWall zeigt zum Beispiel seit Juni 2023 einen signifikanten Anstieg von Malware in Deutschland:
- Nach einem Allzeithoch im Jahr 2022, nimmt das Volumen aktuell wieder deutlich zu, wobei Cryptojacking mit einem Anstieg von fast 400 % – einer Vervierfachung – derzeit die Spitzenposition einnimmt, was die Verlagerung der Cyberkriminellen hin zu leiseren Aktivitäten verdeutlicht. Auch die Anzahl der IOT-Malware hat massiv zugenommen, was auf die rasante Geschwindigkeit der Vernetzung zurückzuführen ist und die Notwendigkeit einer entsprechenden Netzwerksegmentierung verdeutlicht. Hinzu kommen verschlüsselte Bedrohungen, die über den https-Strom eintreffen, die im aktuellen Threat Report mit 22% ebenfalls deutlich zugenommen haben sowie auch Intrusions. All dies unterstreicht die dringende Notwendigkeit für Unternehmen, ihre Cybersicherheitsmaßnahmen zu verstärken, um diesen unerbittlichen Angriffen wirksam zu begegnen.
Zusätzliche Herausforderungen für Unternehmen
Die zunehmende Verbreitung von Angriffspunkten, die durch Remote-Arbeit und Mobilität bedingt ist, hat die Risiken und Anforderungen für Unternehmen erhöht. Die steigenden Kosten im Zusammenhang mit der Cybersicherheit, verbunden mit einem erheblichen Mangel an geschultem Personal und Fachwissen, machen es für Unternehmen immer schwieriger, mit den sich entwickelnden Bedrohungen Schritt zu halten. Die neue NIS-2-Richtlinie der EU beansprucht Unternehmen zusätzlich und verschärft die Herausforderungen, die bereits durch bestehende Vorschriften wie die Datenschutz-Grundverordnung (DSGVO), das IT-Sicherheitsgesetz und den Cyber Resilience Act entstanden sind. Die NIS-2-Richtlinie trat bereits im Januar 2023 EU-weit in Kraft und soll bis zum 17. Oktober 2024 von den einzelnen Mitgliedsstaaten umgesetzt werden.
Die Richtlinie steht im Einklang mit technischen Anforderungen wie der Richtlinie über kritische Einrichtungen (CER), dem Gesetz über die Widerstandsfähigkeit gegenüber Cyberangriffen (CRA), dem neuen Rechtsrahmen (NLF), dem EU-Cybersicherheitsgesetz (EU CSA), dem KI-Gesetz und den laufenden Diskussionen über das europäische Zertifizierungssystem für Cybersicherheit für Cloud-Dienste (EUCS).
Unternehmen müssen unter der NIS-2-Richtlinie ihren Status als wesentliche oder bedeutende Unternehmen selbstverantwortlich melden. Zu den betroffenen Sektoren gehören Energie, Transport, Bankwesen, Gesundheitswesen, Wasserversorgung, öffentliche Verwaltung sowie Luft- und Raumfahrt. Weitere wichtige Sektoren sind Post- und Kurierdienste, die Abfallwirtschaft, die chemische Produktion, Forschungseinrichtungen, die Lebensmittelproduktion und verschiedene Fertigungsindustrien.
Vorkehrungen und Maßnahmen für Unternehmen
Unternehmen, die unter die NIS-2-Verordnung fallen, müssen mehrere wichtige Maßnahmen ergreifen und zahlreiche Kriterien erfüllen: Darunter zählen ein solides Cyber-Risikomanagement, Sicherheit in der Lieferkette, Business Continuity Management, Penetrationstests, Reaktion auf Vorfälle und Meldung an die Behörden sowie Echtzeit-Bedrohungserkennung.
Zudem müssen Vorkehrungen getroffen werden, um in der komplexen Landschaft der Cyber-Bedrohungen zurechtzukommen. Investitionen in spezielle Sicherheitsarchitekturen, die den aktuellen und zukünftigen Anforderungen gerecht werden, sind entscheidend. Ein robustes Sicherheitsökosystem, unterstützt durch KI-basierte Automatisierung, kann Kosten und IT-Aufwand reduzieren und gleichzeitig den Schutz verbessern.
Die Implementierung von Sicherheitsstandards wie virtuelles Patching, TLS 1.3-Inspektion, Segmentierung, Mikrosegmentierung, Multi-Faktor-Authentifizierung und Zukunftstechnologien wie Zero Trust Network Access (ZTNA) und Threat Hunting sind für den Schutz vor sich entwickelnden Bedrohungen unerlässlich. Die Komplexität der Maßnahmen legt nahe, dass sich Unternehmen einen professionellen Cybersecurity-Partner zur Seite holen sollten.
Insgesamt ist Cybersicherheit nicht nur eine unternehmerische Verantwortung, sondern auch eine entscheidende Komponente, um die Zukunft eines Unternehmens in einer zunehmend digitalen Welt zu sichern. Angesichts der ständig wachsenden Bedrohungen müssen Unternehmen wachsam und anpassungsfähig bleiben und darauf vorbereitet sein, sich den Herausforderungen der NIS-2-Richtlinie und der sich ständig weiterentwickelnden Bedrohungslandschaft zu stellen. Andernfalls könnten die Folgen existenzbedrohend werden, sowohl individuell als auch für die jeweilige Organisation, bei einer laut BSI-Lagebild 2022 durchschnittlichen Lösegeldsumme von 276.619 USD.