Die Schwächsten im Fokus

Bei Cyberangriffen mit Ransomware beobachtete das BSI eine Verlagerung der Attacken. Nicht mehr nur große, zahlungskräftige Unternehmen stehen im Mittelpunkt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen. Insbesondere von erfolgreichen Cyberangriffen auf Kommunalverwaltungen und kommunale Betriebe seien die Bürger des Landes oft auch unmittelbar betroffen: So kann es dazu kommen, dass bürgernahe Dienstleistungen eine Zeit lang nicht zur Verfügung stehen oder persönliche Daten in die Hände Krimineller gelangen. „Das ist natürlich ein gravierender Punkt“, sagt Bernd Nüßlein von NCP Engineering. „Wir sind im Bund ganz gut aufgestellt. Nur wenn eine Bundesregierung mal ein, zwei Tage nicht arbeiten kann, dann hat es aufs tägliche Leben eben nicht den Einfluss, den es hat, wenn eine Kommune nicht arbeiten kann.“

Mit der Public-Affairs-Agentur elfnullelf hat der Security-Anbieter vor diesem Hintergrund eine Umfrage aufgesetzt¹ und wollten wissen, wie weit Kommunen sich denn letztendlich mit neuen IT-Konzepten schon befasst haben. Das Ergebnis sei erschreckend gewesen, resümiert der Vice President Sales & Marketing bei NCP Engineering, denn nur ein paar wenige seien dabei gewesen und hätten teilweise die Dinge schon umgesetzt. „Aber es waren ganz viele, die eben gesagt haben, uns fehlt sowohl das Geld als auch vielleicht die Manpower oder das Know-how und hatten noch nicht mal eine Zwei-Faktor-Authentifizierung umgesetzt.“ Das zeige laut Nüßlein – so wie es das BSI auch schreibt –, dass die kommunalen Gegebenheiten einfach noch nicht so weit seien, um von Resilienz sprechen zu können. „Die Hacker suchen sich natürlich immer die leichtesten Gegner aus“, so Nüßlein.

Was auf die Kommunen zutrifft, gilt auch für Unternehmen der kritischen Infrastruktur, die Frank Sauber von Secunet zufolge ebenfalls stark von Ransomware betroffen seien. „Das Problem hierbei: Die Unternehmen müssen eigentlich per Gesetz schon Maßnahmen eingreifen. Aber ganz oft sehen wir den Stand der Technik noch nicht gegeben. Und das ist essenziell und wird durch den Fachkräftemangel nicht einfacher,“ gibt der Global Head of Sales & Business Enablement Division Industry zu bedenken. In dem zunehmend unübersichtlicheren „Regulierungsdschungel“ und einem stets aktivem Risikomanagement sieht er Gründe für eine Überforderung der Unternehmen. „Beides bedeutet einfach Zeit und Expertise, das entsprechend umzusetzen“, sagt er. Mit Blick auf DORA², NIS-2³ und EHDS⁴ müssen CISOs ihre Organisation nicht nur gegen bösartige Akteure schützen, sondern auch die Einhaltung dieser strengeren Vorschriften sicherstellen. „NIS-2 wird auch noch weitere Branchen in die Pflicht nehmen, also neben der kritischen Infrastruktur Branchen wie digitale Marktplätze, Produktion, Forschung, öffentliche Verwaltung. Und damit wird per Gesetz Cybersecurity zur Chefsache“, ergänzt der Secunet-Vertreter. Die NIS-2-Richtlinie muss von den EU-Staaten bis Oktober dieses Jahres in deutsches Recht umgesetzt werden.

Security Predictions 2024 im Überblick

• Teil 1 der Security-Predicitions-Serie thematisiert die aktuelle Cyber-Bedrohungslage und Angriffsmethoden.
  Teil 2 nimmt die Rolle der KI unter die Lupe.
• Teil 3 beleuchtet obenstehend die Kommunen als Opfer und anstehende Regularien im Cybersicherheitskontext.
• Teil 4 fokussiert Partner und Dienstleister für Cybersicherheit.

^{1 https://initiative-k.org/ergebnisse-zero-trust-studie-in-kommunen/
2 https://www.pwc.de/de/cyber-security/digital-operational-resilience-act.html
3 https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
4 https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space_de}