Einführung von KI und WP.29 zeigt: Viele Unternehmen vermutlich nicht auf EU Cyber Resilience Act und die EU Supply Chain Directive vorbereitet.
WP.29, NIS-2, EU Cyber Resilience Act und die EU Supply Chain Directive – in diesem Jahr tritt eine Reihe neuer Regularien in Kraft, die unter anderem die digitale Sicherheit und Integrität von Produkten, Services und Unternehmen gewährleisten sollen. Allerdings ist die Führungsriege in vielen Unternehmen nur unzureichend oder gar nicht darauf vorbereitet. Dies geht aus der Kaspersky-Studie „Enterprise cybersecurity and increasing threats in the era of AI: Do business leaders know what they are doing?“ hervor.
Die EU und auch weltweite Organisationen bemühen sich, die Cybersicherheit zu erhöhen. So regelt WP.29 eine Reihe gemeinsamer Cybersicherheitsstandards für neue Fahrzeuge. Die Richtlinie NIS-2 setzt dagegen den Rechtsrahmen für kritische EU-Infrastruktursektoren wie Energie, Wasser, Telekommunikation, Transport, Finanzdienstleistungen, Gesundheitswesen und digitale Dienste. Der EU Cyber Resilience Act wiederum soll die IT- und digitale Sicherheit von Banken, Versicherungsunternehmen und Investmentfirmen in der EU stärken, indem er sie widerstandsfähiger gegenüber schweren Betriebsstörungen macht. Weiterhin soll die EU Supply Chain Directive die Sorgfaltspflicht aller großen Unternehmen in Bezug auf Menschenrechte und Umwelt in der EU und in ihren globalen Wertschöpfungsketten sicherstellen.
KI-Sicherheit ist kaum Thema in der Führungsriege
Allerdings scheint die Führungsriege mit der Umsetzung neuer Regularien überfordert – und zwar sowohl mit bereits aktiven Regularien als auch jenen, die in absehbarer Zeit eingeführt werden. So zeigt die Kaspersky-Studie beispielsweise, dass generative KI (GenAI) zwar am Arbeitsplatz zum Mainstream wird, Unternehmensleiter jedoch noch über die Cyberrisiken aufgeklärt werden müssen, die mit der Implementierung der neuen Technologie verbunden sind. Zwar weiß der Großteil (95 Prozent) der Führungsriege um deren Nutzung im Unternehmen und mehr als die Hälfte (53 Prozent) gibt an, dass sie nahtlos zu entscheidenden Optimierungsabläufen beiträgt. Allerdings sorgen sich nicht ein mal zwei Drittel (59 Prozent) der C-Level-Führungskräfte um KI-bezogene Datenlecks. Zudem haben weniger als ein Viertel (22 Prozent) KI-Vorschriften auf Vorstands- oder Führungsebene diskutiert.
Auch im Automobilsektor hinkt die Branche hinterher
Diese Unvorbereitetheit betrifft aber nicht nur KI, sondern scheint eine allgemeine Herausforderung zu sein – unabhängig von Thema, Land oder Branche. Im Falle des Automobilsektors zeigt eine weitere Kaspersky-Studie, dass ein großer Teil der Branche möglicherweise noch nicht auf die neue WP.29-Verordnung vorbereitet ist – und das, obwohl diese seit Juli dieses Jahres verpflichtend ist. Stand Januar hatten zwar 23 Prozent der Befragten in Deutschland bereits Pläne entwickelt, aber noch nicht mit deren Umsetzung begonnen oder diese realisiert. Lediglich 37 Prozent befanden sich im Umsetzungsprozess.
Führungsriege möglicherweise auch nicht für kommende Regularien vorbereitet
Angesichts dieser Ergebnisse ist davon auszugehen, dass die Führungsriege vermutlich auch nicht genügend auf NIS-2, den EU Resilience Act und die EU Supply Chain Directive vorbereitet ist. Dies muss sich schnellstmöglich ändern, erklärt Waldemar Bergstreiser, General Manager Central Europe bei Kaspersky:
„Cybersicherheit ist ein wesentlicher Bestandteil unseres alltäglichen Lebens – sowohl privat als auch beruflich; das reicht von privaten Computern über Fahrzeuge bis hin zu kritischen Geschäftsfunktionen. Dennoch hapert es noch oft an der Umsetzung der Schutzmaßnahmen beziehungsweise Compliance mit Regularien, die die EU und andere Organisationen vorgeben. Unternehmen müssen dringend Ressourcen bereitstellen, um sich auf zukünftige Regularien vorbereiten, da sie sonst mit schwerwiegenden Konsequenzen rechnen müssen.“
Empfehlungen für mehr Cybersicherheit in Unternehmen
- In Weiterbildung investieren: Schulungen und Cybersicherheitsinitiativen für alle Mitarbeiterebenen anbieten, Security-Awareness-Trainings implementieren, um spezifische Sicherheitsanforderungen zu adressieren und das Risiko für interne Cybersicherheitsvorfälle zu reduzieren.
- Fortlaufend informieren: In Vorbereitung auf neue Regelungen wie WP.29 und die NIS-2-, RCE-, Lieferketten- und KI-Regulierungen der EU alle Mitarbeiter, einschließlich der IT- und InfoSec-Experten, regelmäßig über neue Cyberbedrohungen und Maßnahmen zu ihrer Abwehr informieren.
- Interaktive Simulatoren einsetzen: Diese helfen dabei, das Fachwissen und die Entscheidungsfähigkeit einzelner Personen in kritischen Situationen zu bewerten. Szenarien aus der IT-Abteilung und interaktive Lernspiele können simulieren, wie sie Angriffe überwachen und auf diese reagieren.
- Threat-Intelligence-Dienste einsetzen: Schulungen von Experten für Cybersicherheit unterstützen Unternehmen dabei, die Fähigkeiten von Infosec-Mitarbeitern mithilfe modernster EDR-, MDR- und XDR-Lösungen – wie etwa Kaspersky Next – zu verbessern.
- Unternehmen sollten eine vollständige Bestandsaufnahme (Supply Chain Risk Assessment) der von ihnen genutzten Produkte und Services sowie der damit verbundenen Prozesse durchführen. Dazu gehört auch eine sorgfältige Prüfung der Cybersicherheitsaufzeichnungen und Risikomanagementpläne aller Lieferanten.
- Prozesse, die einer strengen Einhaltung unterliegen, sollten vollständig nachvollziehbar sein. Dies umfasst alle Strategien zum Umgang mit Cyberrisiken und den gesamten Lebenszyklus des Produktes sowie der damit verbundenen Dienstleistungen. Jede Änderung im Entwicklungs- und Konstruktionsprozess der Lieferkette sollte mithilfe eines strukturierten und definierten Prozesses kontinuierlich überwacht werden.
(lb/Kaspersky)