Beitrag teilen

Link in die Zwischenablage kopieren

Link kopieren
Suchfunktion schließen
Technologie > IT-Sicherheit

Digitale Infrastruktur stärken

Die EU-Richtlinie NIS2 fordert Firmen zur Stärkung der IT-Sicherheit auf, insbesondere durch Risikoanalysen, Mitarbeiterschulungen und Dokumentation.

Portrait Volker Bentz
Volker Bentz ist Gründer und Geschäftsführer der Beratungs- und IT-Firma Brandmauer IT. (Foto: Brandmaur IT)

Die EU-Richtlinie zur Netzwerk- und Informationssicherheit, kurz NIS2, dient dem Schutz der kritischen Infrastruktur vor Cyberkriminellen. Die Richtlinie nimmt jetzt auch Mittelständler des produzierenden Gewerbes und aus dem Bereich Infrastruktur in die Pflicht. Bisher betraf es über das Kritis-Gesetz vor allem größere Unternehmen. Besonders die Geschäftsleitung ist zu vorausschauenden Risikoanalysen und strengen Berichtspflichten angehalten, denn sie haftet, wenn sie zu nachlässig ist. Die drei häufigsten Schwachstellen in Unternehmen: Technik, Organisation und Personal.

In den vergangenen zwölf Monaten waren 81 Prozent aller Unternehmen von Datenklau und IT-Gerätediebstahl sowie Industriespionage oder -sabotage betroffen. Gerade unüberwachte Hard- und Software bieten Hackern Chancen für einen Angriff. Regelmäßige Scans der bestehenden Systeme geben frühzeitigen Aufschluss über Einfallstore. Wer Maßnahmenpläne festgelegt hat, kann Sicherheitslücken schnell schließen. Ebenfalls wichtig sichere Hardware: Speicherkarten, die bereits beim Beschreiben Informationen verschlüsseln und erst nach Eingabe eines Passworts preisgeben, garantieren, dass nur Befugte Zugriff auf den Inhalt bekommen.

Geschäftsführer tun gut daran, sparsam mit Zugängen umzugehen. Eine Analyse der Organisation verrät, welche Positionen tatsächlich Einblick in bestimmte Datensätze benötigen. Überflüssige Berechtigungen führen oft zur unbedachten Weitergabe an Dritte. Nutzen Unternehmen unsichere Kanäle, um wichtige Dokumente zu übergeben, laden sie Hacker förmlich dazu ein, zuzugreifen. Dagegen helfen klar definierte Richtlinien im Umgang mit Interna sowie ganzheitliche Securitysysteme.

Eine weitere Schwachstelle im Unternehmen sind Mitarbeitende. Einfache Passwörter, achtlos abgelegte USB-Sticks oder angelassene Computer, die unbewacht jedem offenstehen, erleichtern Cyberkriminellen ihr Geschäft. Verpflichtende Schulungen zum Umgang mit sensiblen Daten klären über die Risiken auf. Und leitende Instanzen sollten darauf achten, dass festgelegte Sicherheitskonzepte eingehalten werden.

NIS2 bringt auch mehr Verantwortung in die Chefetage. Insgesamt zehn Risikomanagementmaßnahmen sowie die Meldepflicht liegen im direkten Verantwortungsbereich der Geschäftsleitung. Im Fall eines Angriffs sind Unternehmer dazu verpflichtet, ihre Unschuld zu beweisen. Demnach unterstützt akribische Dokumentation aller digitalen Prozesse einen reibungsfreien Arbeitsablauf und liefert im Zweifelsfall den Unschuldsbeweis.

Die EU will, dass Unternehmen sich stärker vernetzen und sich über Sicherheitsvorfälle austauschen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt als zentrale Anlaufstelle die Koordination mit dem Ziel, ein Warnsystem für Cybergefahren einzurichten. Firmen wird so die Früherkennung potenzieller Angriffe erleichtert. Aus diesem Grund müssen sich Unternehmen mit vorgegebenen Informationen bei der Aufsichtsbehörde registrieren. Verantwortlich ist die Geschäftsleitung. Wer sich vorsätzlich weigert, muss mit Sanktionen rechnen.

Standardisierte Verfahren einzuführen, die Informationssicherheit im Unternehmen analysieren, gehört ebenfalls zu den Pflichten der Führungsebene. Wichtig: Das Unternehmen sollte auf Flexibilität im System achten, um auf technologische Neuerungen und geänderte Rahmenbedingungen reagieren zu können. Dazu zählen regelmäßige Berichte an die Unternehmensführung und Protokolle der Verantwortlichkeiten. Das fördert planvolles Handeln im Ernstfall.

Ähnliche Artikel