Startseite > Public Sector > Die Schwächsten im Fokus

Security Predictions Teil 3 von 4

Die Schwächsten im Fokus

24. Januar 2024, 8:00 Uhr | Diana Künstler

Nicht nur Techniken und Methoden der Cyberkriminellen haben sich mittlerweile geändert. Auch eine Verlagerung der potenziellen Opferschaft ist erkennbar. In Teil 3 der Security-Predicitions-Serie beleuchten Experten von NCP Engineering und Secunet die betroffenen Branchen und anstehende Regularien.

Bei Cyberangriffen mit Ransomware beobachtete das BSI eine Verlagerung der Attacken. Nicht mehr nur große, zahlungskräftige Unternehmen stehen im Mittelpunkt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen. Insbesondere von erfolgreichen Cyberangriffen auf Kommunalverwaltungen und kommunale Betriebe seien die Bürger des Landes oft auch unmittelbar betroffen: So kann es dazu kommen, dass bürgernahe Dienstleistungen eine Zeit lang nicht zur Verfügung stehen oder persönliche Daten in die Hände Krimineller gelangen. „Das ist natürlich ein gravierender Punkt“, sagt Bernd Nüßlein von NCP Engineering. „Wir sind im Bund ganz gut aufgestellt. Nur wenn eine Bundesregierung mal ein, zwei Tage nicht arbeiten kann, dann hat es aufs tägliche Leben eben nicht den Einfluss, den es hat, wenn eine Kommune nicht arbeiten kann.“

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Der Vice President Sales & Marketing bei NCP engineering spricht über die zunehmenden Ransomware-Angriffe auf Kommunalverwaltungen und kommunale Versorgungsbetriebe und warum Landes- und Bundesministerien in Sachen Cybersicherheit hier eine Vorbildfunktion einnehmen.

Mit der Public-Affairs-Agentur elfnullelf hat der Security-Anbieter vor diesem Hintergrund eine Umfrage aufgesetzt¹ und wollten wissen, wie weit Kommunen sich denn letztendlich mit neuen IT-Konzepten schon befasst haben. Das Ergebnis sei erschreckend gewesen, resümiert der Vice President Sales & Marketing bei NCP Engineering, denn nur ein paar wenige seien dabei gewesen und hätten teilweise die Dinge schon umgesetzt. „Aber es waren ganz viele, die eben gesagt haben, uns fehlt sowohl das Geld als auch vielleicht die Manpower oder das Know-how und hatten noch nicht mal eine Zwei-Faktor-Authentifizierung umgesetzt.“ Das zeige laut Nüßlein – so wie es das BSI auch schreibt –, dass die kommunalen Gegebenheiten einfach noch nicht so weit seien, um von Resilienz sprechen zu können. „Die Hacker suchen sich natürlich immer die leichtesten Gegner aus“, so Nüßlein.

Der Global Head of Sales & Business Enablement Division Industry bei secunet erläutert, wo für KRITIS-Unternehmen derzeit die größten Herausforderungen in Hinblick auf die Cybersicherheit liegen.

Was auf die Kommunen zutrifft, gilt auch für Unternehmen der kritischen Infrastruktur, die Frank Sauber von Secunet zufolge ebenfalls stark von Ransomware betroffen seien. „Das Problem hierbei: Die Unternehmen müssen eigentlich per Gesetz schon Maßnahmen eingreifen. Aber ganz oft sehen wir den Stand der Technik noch nicht gegeben. Und das ist essenziell und wird durch den Fachkräftemangel nicht einfacher,“ gibt der Global Head of Sales & Business Enablement Division Industry zu bedenken. In dem zunehmend unübersichtlicheren „Regulierungsdschungel“ und einem stets aktivem Risikomanagement sieht er Gründe für eine Überforderung der Unternehmen. „Beides bedeutet einfach Zeit und Expertise, das entsprechend umzusetzen“, sagt er. Mit Blick auf DORA², NIS-2³ und EHDS⁴ müssen CISOs ihre Organisation nicht nur gegen bösartige Akteure schützen, sondern auch die Einhaltung dieser strengeren Vorschriften sicherstellen. „NIS-2 wird auch noch weitere Branchen in die Pflicht nehmen, also neben der kritischen Infrastruktur Branchen wie digitale Marktplätze, Produktion, Forschung, öffentliche Verwaltung. Und damit wird per Gesetz Cybersecurity zur Chefsache“, ergänzt der Secunet-Vertreter. Die NIS-2-Richtlinie muss von den EU-Staaten bis Oktober dieses Jahres in deutsches Recht umgesetzt werden.

Bereit für NIS-2?
Bis zum 17. Oktober müssen alle EU-Staaten die NIS-2-Richtlinie in nationales Recht umgesetzt haben. Kein einfaches Unterfangen, denn die neuen Cybersecurity-Regelungen ziehen umfangreiche Anforderungen nach sich. connect professional beleuchtet daher das Thema zusammen mit Partnern am 30. Januar mit einer kostenfreien Webinar-Reihe. Infos und Anmeldung unter: https://event.gotowebinar.com/event/4b11413b-ef3d-428f-abf6-499c6ed2442e

Bereit für NIS-2?

Bis zum 17. Oktober müssen alle EU-Staaten die NIS-2-Richtlinie in nationales Recht umgesetzt haben. Kein einfaches Unterfangen, denn die neuen Cybersecurity-Regelungen ziehen umfangreiche Anforderungen nach sich. connect professional beleuchtet daher das Thema zusammen mit Partnern am 30. Januar mit einer kostenfreien Webinar-Reihe. Infos und Anmeldung unter: https://event.gotowebinar.com/event/4b11413b-ef3d-428f-abf6-499c6ed2442e

Security Predictions 2024 im Überblick

Teil 1 der Security-Predicitions-Serie thematisiert die aktuelle Cyber-Bedrohungslage und Angriffsmethoden.
Teil 2 nimmt die Rolle der KI unter die Lupe.
Teil 3 beleuchtet obenstehend die Kommunen als Opfer und anstehende Regularien im Cybersicherheitskontext.
Teil 4 fokussiert Partner und Dienstleister für Cybersicherheit.

^{1 https://initiative-k.org/ergebnisse-zero-trust-studie-in-kommunen/

2 https://www.pwc.de/de/cyber-security/digital-operational-resilience-act.html

3 https://digital-strategy.ec.europa.eu/de/policies/nis2-directive

4 https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space_de}