Unternehmen

Warum KMU dringend in IT-Security investieren sollten

Security-Maßnahmen erforderlich
NIS2-Richtlinie: Warum KMU dringend in IT-Security investieren sollten

Anbieter zum Thema

KRITIS-Unternehmen müssen bis Ende 2024 die NIS2-Richtlinie umgesetzt haben. Wer nun hier aufhört zu lesen, weil er glaubt, nicht in die KRITIS-Klasssifikation zu fallen, könnte falsch liegen. Denn künftig wird das deutlich mehr Branchen betreffen als bislang.

Ein Schutzzaun um das eigene Unternehmen: bei manchen ist dieser höher, bei anderen eher löchrig. NIS2 will zumindest für Kritis-Unternehmen Einheitlichkeit schaffen.

(Bild: SG- design – stock.adobe.com)

253 IT-Störungen bei kritischer Infrastruktur wurden dem BSI seit dem Ausbruch des Ukraine-Krieges allein bis Ende Oktober 2022 gemeldet. Das passt ins Bild, wenn Security-Anbieter warnen, dass bei einer weiteren Eskalation des Konflikts andere Länder stärker als zuvor in den Fokus staatlich motivierter Cyberangriffe geraten könnten. Und manche sind es bereits ohne es zu wissen, wie Eset befürchtet. „Es ist nicht auszuschließen, dass Computersysteme kleinerer Versorgungsunternehmen, z.B. lokale Energieversorger bereits erfolgreich infiltriert wurdenׅ“, so Thorsten Urbanski, Director Marketing und PR bei Eset.

Darum geht es bei NIS2

Um Unternehmen, Menschen, Lieferketten und die Infrastruktur abzusichern und allgemeingültige Rahmenbedingungen zu schaffen, gibt es Regelwerke. Eines davon ist die DSGVO, ein anderes die NIS-Richtlinie. NIS steht dabei für Network and Information Security. Die aktuelle NIS2-Fassung ist Nachfolger von NIS1, einer Richtlinie, die es seit 2016 gibt und bereits damals Betreiber kritischer Infrastrukturen verpflichtete, Maßnahmen zur Sicherstellung von Cybersecurity umzusetzen.

Bildergalerie

Das hat nicht so ganz funktioniert. Einerseits, weil das EU-Recht in den einzelnen Ländern nicht einheitlich umgesetzt wurde, andererseits weil die Überwachung der Umsetzung nicht geregelt war. Genau das soll mit NIS2 jetzt anders werden. Und es gibt noch einen weiteren gravierenden Unterschied: Von NIS2 sind weit mehr Unternehmen betroffen, als das mit NIS1 der Fall war. Und weit mehr als viele landläufig glauben. Zwar sind weiterhin kleine und Kleinstunternehmen von der NIS2-Direktive kaum betroffen. In der Richtlinie sind Schwellwerte von mindestens 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz festgelegt. Doch zur kritischen Infrastruktur zählen nun deutlich mehr Branchen als noch 2016. Und für manche Branchen fällt eben auch die Mitarbeitergrenze, wenn sie alleiniger Anbieter eines Dienstes in einem Land sind. Konkret bedeutet dies, dass künftig auch Branchen wie Abwasserbetriebe, Öffentliche Verwaltung, Abfallwirtschaft, Kurierdienste, Lebensmittel- Produktion, -Verarbeitung und -Handel unter die Regelung fallen.

Lesen Sie auch Der Hilfsfonds für Live-Event-Unternehmen wird am Samstag eröffnet

Wahrnehmung und Wirklichkeit

Diese Richtlinie trifft auf eine Wirtschaft, die auf die wachsende Zahl der Cyberangriffe und die damit verbundenen, nötigen IT-Security-Maßnahmen noch nicht vorbereitet sind. „46,79 Prozent der Verantwortlichen kämpfen noch immer mit fehlenden Budgets und/oder Personal,“ zitiert Urbanski die Umfrage zum „Stand der IT-Sicherheit 2023“, die Eset durchgeführt hat. Erstaunlich ist auch die Wahrnehmung der Bedrohungslage. Während fast 80 Prozent der Befragten in einer Studie des Eco-Verbandes glauben, dass die deutsche Wirtschaft nur unzureichend gegen Cybercrime gewappnet ist, sind sich über 50 Prozent derselben Gruppe sicher, dass ihr eigenes Unternehmen sehr wohl gut bis sehr gut abgesichert ist.

Beruhigend ist allerdings, dass 57,75 Prozent der von Eset Befragten den finanziellen Aufwand für IT-Security in den nächsten 3 Jahren als Hoch oder sogar sehr Hoch einschätzen. Lediglich 3,74 Prozent rechnen mit geringen oder mäßigen Mehrkosten.

Weitere Erkenntnisse aus der Umfrage:

Technologischer Nachholbedarf vor allem bei KMU

Der Stellenwert von IT-Security wächst rapide

Bewusstsein für die aktuelle Bedrohungslage

Verantwortliche schätzen und suchen Orientierung

Im nächsten Schritt muss es dann darum gehen passende Lösungen zu finden und zu implementieren. Umso wichtiger wird das, wenn man parallel dazu den Mindestanforderungskatalog aus dem NIS2-Regelwerk liest, der nicht nur Mitarbeitertrainings, sondern auch die Lieferkette und Zutrittskontrollen umfasst.

Policies: Richtlinien für Risiken und Informationssicherheit

Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents

Business Continuity: BCM mit Backup Management, DR, Krisen Management Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern

Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen

Effektivität: Vorgaben zur Messung von Cyber- und Risiko Maßnahmen

Training: und Cyber-Security-Hygiene

Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung

Persönlich: Personalsicherheit

Authentication: Einsatz von Multi Factor Authentisierung und SSO

Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation

Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme

Lesen Sie auch Überschwemmungen in Ostaustralien veranlassen Immobilieninvestoren, „relevante“ Fragen zu stellen

Angesichts überlasteter IT-Abteilungen, fehlender Fachkräfte und einer zunehmenden Digitalisierung ist deshalb für viele Unternehmen der Schritt hin zum Outsourcing der IT-Security-Aufgaben künftig wahrscheinlich. Denn laut der Eset-Befragung nutzen erst knapp 35 Prozent der Unternehmen einen Dienstleister.

(ID:49269224)

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.