Advertorial - Für den Inhalt auf dieser Seite ist Sophos verantwortlich.
„Die Geschäftsführung kann sich nicht mehr aus der Verantwortung stehlen“
Neue Gesetze verschaffen Cybersicherheit mehr Dringlichkeit
Aufgrund zahlreicher neuer Gesetzesinitiativen auf europäischer und nationaler Ebene bekommt das Thema Cyberresilienz eine immer höhere Bedeutung im Alltag von Unternehmen jeglicher Größenordnung. Während oftmals die sogenannten KRITIS-Unternehmen, also Organisationen mit einem großen Einfluss auf kritische Infrastrukturen, im Fokus der neuen Cybersecurity-Gesetze stehen, heißt das allerdings keinesfalls, dass für alle anderen Einrichtungen aus rechtlicher Sicht Entwarnung gegeben werden kann. Rechtsanwalt Andreas Daum und Cybersecurity-Experte bei Sophos Michael Veit geben Antworten auf die wichtigsten Fragen:
Welchen Einfluss haben die neuen Gesetze auf die Cybersicherheits-Strategie in Unternehmen, auch wenn sie nicht zu einer KRITIS-Organisation gehören?
Daum: Die neuen rechtlichen Vorgaben im Bereich Cybersicherheit , wie zum Beispiel die aktuell viel diskutierte NIS2-Richtlinie, geben einen hohen Sicherheitsstandard vor. Zudem haben diese Vorgaben eine nicht zu unterschätzende Ausstrahlungswirkung auf andere allgemeinere Vorschriften, die sie im Hinblick auf die Cybersicherheit konkretisieren. Die sehr allgemein beschriebenen Sorgfaltspflichten von Geschäftsführern und Vorständen im Aktiengesetz und GmbH-Gesetz sind nun im Lichte der neuen Cybersicherheitsgesetze zu interpretieren. So kann man in der aktuellen Entwicklung wohl davon ausgehen, dass sich ein Geschäftsführer, der keinerlei Maßnahmen implementiert oder erheblich vernachlässigt, in naher Zukunft wahrscheinlich immer weniger aus der Verantwortung stehlen kann.
Kommt diese Erkenntnis auch bei den Unternehmen an? Gibt es hier Erfahrungen?
Veit: Tatsächlich können wir in unseren täglichen Gesprächen mit Kunden feststellen, dass ein Paradigmenwechsel stattfindet. Letztendlich sind Gesetze wie NIS2 ein bisschen wie die Fortführung der DSGVO, nur mit anderen Mitteln. Das heißt, die Unternehmen sind sich eigentlich schon seit Jahren bewusst, dass sie bestimmte Sicherheitsmaßnahmen nach dem Stand der Technik einsetzen müssen, um personenbezogene Daten zu schützen, aber vor allem natürlich auch, um den reibungslosen Unternehmensbetrieb zu gewährleisten. Deswegen sollten alle Unternehmen, selbst wenn sie nicht konkret von kommenden Gesetzen betroffen sind, ein ureigenstes Interesse haben, dass ihre IT entsprechend geschützt ist.
Was sollten Unternehmen aus organisatorischer Sicht tun, um auf der wortwörtlich sicheren Seite zu sein?
Daum: Grundsätzlich kann ich vier Dinge empfehlen: Zunächst muss eine Abstimmung unter allen Stakeholdern erfolgen, sprich es müssen im Unternehmen alle Personen an einen Tisch gebracht werden, die mit dem Thema Cybersicherheit potenziell Berührungspunkte haben. Das kann die Rechtsabteilung sein, das kann die IT sein, das muss aber auch das Management sein. Zweitens sollte jedes Unternehmen genau prüfen, ob es eventuell vom Anwendungsbereich der neuen gesetzlichen Vorgaben erfasst wird. Drittens ist ein Blick auf die Lieferkette sinnvoll. Die Unternehmen sollten sich fragen, welche Unternehmen an der Lieferkette beteiligt sind, bei welchen Providern eine Abhängigkeit besteht und welche Unternehmen vielleicht sogar geschäftskritisch sind bzw. prüfen welche Verträge das Unternehmen mit diesen Lieferanten geschlossen hat. Die Unternehmen müssen sich bewusst sein, dass sie sich durch Zulieferer ein Cybersicherheitsrisiko ins Haus holen können. Der letzte und vielleicht sogar der wichtigste Punkt ist die Erstellung von Notfallplänen, damit im Ernstfall genau festgelegt ist, wer was zu tun hat und damit auch eine Dokumentation für die auch aus rechtlicher Sicht sehr wichtige Nachbearbeitung eines Sicherheitsvorfalls realisiert werden kann.
Und welche Maßnahmen sind in Sachen Cybersecurity ganz konkret notwendig?
Veit: Als Basis sollten zunächst einmal moderne Schutztechnologien am Endpoint, im Netzwerk, im Email-System, in Anmeldesystemen und in den Cloud-Infrastrukturen installiert sein. Entscheidend ist dann die Vernetzung all dieser Systeme. Nur durch eine technologieübergreifende Analyse und Korrelation der anfallenden Telemetriedaten können zum Beispiel Hacker auf Schleichfahrt, Insider-Bedrohungen oder auch Angriffe auf IoT-oder OT-Systeme erkannt werden. An dieser Stelle kommt heutzutage KI ins Spiel, die aus der riesigen Datenmenge die relevanten Ereignisse isoliert, die dann von menschlichen Sicherheitsspezialisten analysiert werden können. An dieser Stelle der Bedrohungsabwehr brauche ich tatsächlich Cybersecurity-Spezialisten, die diese von der KI vorsortierten Ereignisse mit dem menschlichen Verständnis untersuchen und reagieren. Die meisten Unternehmen können sich so ein Sicherheitsteam rund um die Uhr nicht leisten und nutzen deshalb externe Dienste, sogenannte Managed Detection und Response Services (MDR-Services). Im Rahmen von MDR-Services sorgt ein externes Team an Cybersecurity-Spezialisten rund um die Uhr für den Schutz eines Unternehmens. Bei Sophos sind zum Beispiel mehr als 600 solcher Spezialisten aktiv, die jetzt schon über 20.000 Unternehmen rund um die Uhr betreuen und dafür sorgen, dass sie kein Opfer von Cyberangriffen werden.