FAQ zu Cyberresilienz: Besserer Schutz vor Hackerangriffen durch NIS2?
- Mit der NIS2-Richtlinie will die EU die Cyberresilienz europäischer Unternehmen stärken.
- Betroffene Organisationen müssen jetzt ihren Schutz vor Cyberangriffen verschärfen – das gelingt durch die Umsetzung der NIS2-Anforderungen und Business Continuity Management.
- Auch wenn die NIS2-Umsetzung komplex ist: Ohne Maßnahmen und Notfallpläne droht nach einem Cyberangriff totaler Stillstand der Unternehmensprozesse.
- Für mehr Cyberresilienz müssen Maßnahmen verprobt und IT-Verantwortliche auf den Ernstfall vorbereitet werden.
- Besser als teure Readiness-Checks ist die Beratung durch Experten, um die NIS2-Anforderungen professionell und frühzeitig umzusetzen.
- Item A
- Item B
- Item C
Wie hängen NIS2 und Cyberresilienz zusammen?
Die EU hat neben der Cyberresilienz-Verordnung für Produkte die NIS2-Verordnung veröffentlicht, um die Cyberresilienz europäischer Unternehmen zu stärken und zu vereinheitlichen. Damit ist die Fähigkeit einer Organisation gemeint, Cyberangriffe und IT-Störungen abzuwehren und schnell darauf zu reagieren, um die Geschäftsprozesse aufrechtzuerhalten – und das ist auch bitter nötig: Jeden Tag werden sowohl große Konzerne als auch mittelständische Unternehmen und Kleinst- und Kleinunternehmen (KKU) Opfer von Cyberangriffen. Dabei stehlen Hacker sensible Daten oder verschlüsseln sie, um ihre Opfer mit hohen Lösegeldforderungen zu erpressen.
Was passiert nach einem Cyberangriff?
Betrachten wir einmal die täglichen Cyberangriffe und vor allem den häufig ersten „Schock“, der Unternehmen in der Regel bis zu zwei Monate außer Gefecht setzt: Bevor der Angreifer die Ransomware startet, mit der er die Unternehmenssysteme verschlüsselt, wird er das Microsoft Active Directory lahmlegen. Die Anwender werden einfach ausgesperrt.
Die Folgen sind verheerend: Die Unternehmenskommunikation bricht vollständig zusammen. E-Mail, MS-Teams Chat, die digitale Telefonanlage, der Zugriff auf Unternehmensapplikationen … nichts funktioniert mehr. Auch die Mobiltelefone haben keinen Zugriff mehr auf das zentrale Adressbuch. Die Kommunikation erlischt von einem Moment auf den nächsten. Allein der psychologische Effekt, welchen der Hacker hier erreicht, ist bemerkenswert und erschreckend zugleich. Das Unternehmen verfällt in völlige Kommunikationsunfähigkeit.
Sollten Unternehmen auf Erpressung eingehen?
Selbst, wenn Unternehmen Lösegeld zahlen und die Angreifer Codes zum Entschlüsseln der Daten liefern, sind viele Unternehmen technisch und organisatorisch oft gar nicht in der Lage, alle Daten wiederherzustellen und den Standardbetrieb kurzfristig wieder aufzunehmen. Der Grund hierfür ist denkbar einfach: Der Ernstfall wurde nie erprobt.
Können Backups helfen, den Verlust von Daten zu beheben?
Bei vielen IT-Verantwortlichen besteht ein fast religiöser Glaube an ihre Backups. Leider zeigt die Praxis, dass Backups im Falle eines Hackerangriffs oft wertlos sind. Professionelle Hacker sind meist mehrere Monate in der IT des Angriffsziels unterwegs, bevor sie zuschlagen. Dabei beobachten sie die Backupzyklen ihrer Opfer und korrumpieren die Backups über Wochen und Monate mit Schadcode, bevor sie angreifen.
Hinzu kommt, dass langfristig gewachsene und heterogene IT-Landschaften mit unzähligen und oft nur schlecht dokumentierten Schnittstellen nicht in einem Zuge wiederherstellbar sind. Auch hier testen viel zu wenig Unternehmen eine Not-Wiederherstellung in der Praxis. In Audits oder in Audit-Vorbereitungen im Rahmen des Business-Continuity-Managements (BCM und Teil der ISO 27001) habe ich nicht selten anstelle von Wiederherstellungsplänen Betriebshandbücher vorgelegt bekommen. Im echten Notfall ein ernsthaftes Problem.
Auch der Wiederaufbau der IT-Systeme, sofern die Backups nicht verschlüsselt wurden, stellt viele IT-Verantwortliche vor Herausforderungen – ganz abgesehen davon, dass selbst die motiviertesten IT-Mitarbeiter nach 20 bis 30 Stunden permanenter Firmenrettung ausgebrannt sind.
Wie können Unternehmen ihre Informationssicherheit verbessern?
Betrachtet man die NIS2-Verordnung stark vereinfacht, so müssen folgende Themen im Unternehmen umgesetzt werden, um der Norm Genüge zu tun und die Cyberresilienz zu stärken:
- Einführung eines Informationssicherheitsmanagementsystem (ISMS, z. B. nach ISO 27001)
- Ein Prozess zur Meldung bei Vorfällen an das BSI und ggf. Behörden, Lieferanten und Kunden
- Einführung eines BCM-Systems
- Umfassendes Risikomanagement
- Lieferketten- und Drittparteienrisikomanagement
- Cybersicherheit und Awareness-Schulungen
{{infobox}}
Welche Rolle spielt BCM für den Schutz von Prozessen?
Das BCM ist ein entscheidender Punkt dieser groben Aufstellung. Es ist mit der ISO 27001:2022 in die Norm eingezogen. Aber auch viele andere Gesetze und Normen fordern die Absicherung der Geschäftsprozesse in Bedrohungslagen. So finden wir sowohl im GmbH- und im Aktiengesetz als auch in den Anforderungen vieler Cyberversicherungen die Anforderung, die Geschäftsprozesse mit Notfallmaßnahmen abzusichern.
Genau hier entsteht der eigentliche Mehrwert der NIS2-Verordnung: Sie zwingt Unternehmen, sich mit ihren Risiken zu beschäftigen, diese zu bewerten und geeignete Abwehrmaßnahmen zu treffen. Sind diese nicht möglich – einen Cyberangriff kann man nicht zu 100 Prozent verhindern – sind Notfall- und Wiederherstellungspläne zu erstellen und regelmäßig zu verproben.
Folgende Fragen spielen im Zusammenhang mit BCM eine Rolle und sollten möglichst schon vor einem Angriff beantwortet sein:
- Wie lange dauert es, bis ein Backup wieder eingespielt ist?
- Welches System muss zuerst neu aufgebaut werden?
- Woher kommen die Ressourcen (Personal und Infrastruktur)?
- Woher weiß die IT, ob die Systeme oder Netzwerke frei von Schadcode sind?
All diese Themen müssen im Rahmen einer professionellen NIS2-Umsetzung besprochen und gelöst werden. Dabei ist schnell zu erkennen, dass ein ISMS allein nicht ausreichend ist. Auch der Reifegrad des IT-Servicemanagements muss analysiert werden.
Welchen Vorteil bietet BCM bei einem Cyberangriff?
Beim Aufbau eines BCM ist Notfallkommunikation ein zentraler Baustein der Krisenbewältigung. Hier können Notfallkommunikationslisten, etwa mit privaten Mobilfunknummern (bitte die DSGVO beachten!), und Adressen einen unglaublich positiven Effekt erreichen.
Natürlich gibt es auch professionellere Lösungen. Aber Achtung: Auch diese müssen in ruhigen Zeiten regelmäßig geübt werden.
Business Continuity Management: Schützen Sie Ihr Unternehmen vor dem Totalausfall
Viele Unternehmen trifft der Cybersecurity-Ernstfall unvorbereitet. Mit einem strukturierten BCM vermeiden Sie Produktionsstopps, Kommunikationschaos und massive finanzielle Schäden und bleiben auch in Krisensituationen handlungsfähig. Unser Whitepaper zeigt, worauf es ankommt. ✓ Kompakt ✓ Praxisnah ✓ Speziell für Unternehmen mit hohem Schutzbedarf
Welche Vorteile bietet Cyberresilienz für Unternehmen?
Fazit zu NIS2 und Cyberresilienz
Unternehmen, die resilient gegenüber Cyberangriffen sind, profitieren von höherer Sicherheit, weil sie Bedrohungen früher erkennen können. Da das Team im Ernstfall den Zugriff auf relevante Systeme behält oder schnell wieder erlangen kann, ist es produktiver. Cyberresilienz lohnt sich auch im Alltag: Die Systeme sind stabiler, die Gefahr von Datenverlusten sind geringer und Resilienzprozesse vereinfachen die Einhaltung gesetzlicher Vorgaben für eine bessere Compliance.
Doch trotz Digitalisierung und wachsenden Bedrohungen investieren viele Unternehmen noch immer lieber in sichere Zäune, Wachpersonal, vergitterte Fenster etc., als in ein ISMS. NIS2 war notwendig, um Unternehmen stärker zu „motivieren“, die Cybersicherheit zur Chefsache zu machen. Es ist Hilfe zur Selbsthilfe und ein wichtiger Baustein für mehr Cyberresilienz.
Eine NIS2-Implementierung ist allerdings kein schnelles Projekt, sondern ein längerer Weg, der immer wieder hinterfragt und optimiert werden muss. Der bekannte Plan-Do-Check-Act Modus, welchen uns zum Beispiel die ISO 27001 lehrt, ist hierbei ein wertvolles Vorgehen.
Ist NIS2 nur für Unternehmen relevant, die den Kriterien der Norm entsprechen? Die juristische Antwort mag ein Ja sein, doch Cyberresilienz, um die es im Kern geht, sollte für jedes Unternehmen ein zentrales Thema sein.
Der Experte empfiehlt: Cyberbedrohungen ernst nehmen und resilienter werden
Sie brauchen noch mehr Argumente dafür, das Thema Cyberresilienz ganz oben auf die Prioritätenliste zu setzen? Sprechen Sie mit Unternehmern, die Opfer von Cyberangriffen geworden sind, lassen Sie sich von den CyberCrime-Beratungsstellen der lokalen Polizeibehörden oder ihres LKA beraten. Sprechen Sie mit den Cybersecurity-Spezialisten Ihrer Branchenverbände und erfahren Sie dort, was die täglichen Bedrohungen und deren Folgen sind.
Eine kleine Empfehlung zum Schluss: Geben Sie kein Geld für unsinnige NIS2-Readyness-Checks aus, sondern beginnen Sie, Ihr Unternehmen cyberresilient zu machen.
Falls dieser Artikel, der ohne KI und aus der täglichen Praxis heraus entstanden ist, Ihr Interesse geweckt hat und Sie Unterstützung durch Experten beim Aufbau von NIS2 & Co. wünschen, freue ich mich auf einen interessanten Austausch.
Cyberangriffe legen Unternehmen wochenlang lahm. Mit NIS2 werden verschärfte Cybersicherheitsanforderungen Pflicht. Prüfen Sie jetzt kostenlos Ihren Compliance-Status und erhalten Sie konkrete Handlungsempfehlungen. ✓ 10-Minuten-Check für Ihren NIS2-Status ✓ Konkrete Handlungsempfehlungen ✓ Speziell für Geschäftsführer entwickelt
Kostenlosen NIS2-Check starten
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
