Die momentane Situation führt wieder einmal deutlich vor Augen, wie wichtig es ist, Cyber-Sicherheit nicht national isoliert zu betrachten – denn im Cyberraum existieren keine Landesgrenzen und das Schutzniveau muss einheitlich hoch sein. Von daher gibt es seit über zehn Jahren Bestrebungen sowohl Gesetze als auch Verordnungen für den europäischen Binnenmarkt zu initiieren, damit Rahmenbedienungen für die IT-Sicherheit und den Datenschutz geschaffen werden. Dies auch mit dem Beweggrund Unternehmen sowohl zu motivieren mehr in Bezug auf Cybersicherheit zu tun als auch die Einhaltung europäischer Wertevorstellungen zu forcieren.
Angesichts der aktuellen Ereignisse stehen zur Bewältigung der Aufgabe die Cybersicherheit zu erhöhen Errungenschaften wie das europäische Datenschutz-Gesetz oder eIDAS und PSD2 jedoch nicht an erster Stelle. Eher das IT-Sicherheitsgesetz (IT-SiG), das bereits seit 2015 Gültigkeit hat und in 2021 in zweiter Version vorgelegt wurde.
1. Frage: Angesichts der derzeitigen Lage stellt sich zwangsläufig die Frage, inwieweit Unternehmen in Deutschland auf mögliche Auswirkungen vorbereitet sind. Wie sind in diesem Kontext die Gesetze und Verordnungen, die in den vergangenen zehn Jahren auf europäischer Ebene im Bereich Datenschutz und IT-Sicherheit auf den Weg gebracht wurden einzuordnen?
PZ: Speziell das bestehende IT-Sicherheitsgesetz ist auf jeden Fall sinnvoll, insbesondere auch unter der gegebenen Situation. Allein aus dem Grund, da die verordneten regulatorischen Maßnahmen dazu geeignet sind, die Sicherheit der kritischen Infrastruktur zu erhöhen. Wobei hier – im Hinblick auf die technische Ausstattung – namentlich die vorgesehene Berücksichtigung des Entwicklungsstands „Stand der Technik“ Wirkung zeigt. Grundsätzlich ist natürlich in der Datenschutz-Grundverordnung (DSGVO), Artikel 32 ebenfalls verankert, dass technische und organisatorische Maßnahmen zur Datensicherheit getroffen werden müssen. Allerdings sind die geforderten Maßnahmen spezifiziert auf die Verarbeitung personenbezogener Daten. Analog zum IT-Sicherheitsgesetz wird auch in der DSGVO dabei auf die Beachtung des „Stand der Technik“ verwiesen, um geeignete Schutzmaßnahmen zu gewährleisten. Des Weiteren – dies belegen aktuelle Studien – tragen höhere Investitionen in die IT-/Cyber-Sicherheit dazu bei, das Schadenspotential beziehungsweise de facto nachweislich die Schäden zu verringern.
Mit Blick auf das IT-Sicherheitsgesetz lässt sich ergänzend noch feststellen, dass auch wenn sich dieses momentan im Wesentlichen nur auf die kritische Infrastruktur bezieht, doch mittlerweile auch für Unternehmen der Privatwirtschaft jenseits von KRITIS rechtliche Anforderungen bestehen, Sicherheitsmaßnahmen gemäß dem „Stand der Technik“ umzusetzen. Flankierend dazu wird neue IT-Sicherheitsgesetz 2.0 hier Vorschub leisten für ein umfassenderes Schutzniveau.
Selbstverständlich war und ist die Umsetzung der, mit den jeweiligen Gesetzen einhergehenden, Regularien für mittelständische Unternehmen nicht unbedingt einfach. Entsprechend muss erst einmal ein Grundverständnis für die damit verbundene Kaskade der notwendigen Einzelmaßnahmen geschaffen werden. Von daher erachten wir es als notwendig, Unternehmen dahingehend zu unterstützen, ein Verständnis zu entwickeln, wie Vorgaben seitens des Gesetzgebers interpretiert und ausgeführt werden müssen.
2. Frage: Wie gehen Sie vor, um Unternehmen hier zu unterstützen?
PZ: HEGO bietet mittlerweile ein entsprechendes Portfolio an Seminaren im Hinblick auf die relevanten Themen, um Aufklärung zu betreiben und Geschäftsführer auf die relevanten Herausforderungen in Bezug auf diese Themen gut vorzubereiten. Bereits 2013 hat unser Gründer Ralf Gogolin dafür eine strukturierte Vorgehensweise entwickelt, damit die Verantwortlichen in den Unternehmen sukzessive das notwendige Know-how aufbauen können. Diesen Ansatz verfolgen wir heute immer noch – zum Beispiel mit Seminaren zu „Anforderungen an Unternehmer“, in der diese unter anderem ihre Konformität in Bezug auf die DSGVO sowie das IT-Sicherheitsgesetz überprüfen können.
3. Frage: Das bedeutet, im Prinzip müsste eine gute Grundlage vorhanden sein. Aber unabhängig davon – was empfehlen Sie jetzt den Unternehmen mit Blick auf die aktuelle Lage?
PZ: Das aktuelle Gefährdungspotential ist hoch, aber Stand heute kann über die tatsächliche Gefahr noch keine valide Auskunft gegeben werden – von daher ist es ratsam, die aktuellen Meldungen, die seitens des ‚Bundesamt für Sicherheit in der Informationstechnik‘ (BSI) herausgegeben werden, zu verfolgen und ebenso deren aktuelle Empfehlungen bezüglich Sicherheitsmaßnahmen zu beachten. Zum Beispiel aktuell den Hinweis, die Produkte von Kaspersky nicht mehr zu verwenden, da keinesfalls ausgeschlossen werden kann, dass diese nicht für Angriffe aus Russland eingesetzt werden.
Doch auch wenn zur Stunde noch keine nachweislich akute Bedrohungslage besteht, ist es jetzt nichtsdestotrotz angebracht, Vorbereitungen zu treffen. Dazu gehört definitiv den aufgestellten Notfallplan kritisch dahingehend zu beleuchten, ob alle erforderlichen Maßnahmen und Regeln, die es im Ernstfall zu ergreifen gilt, definiert sind. Also ob tatsächlich festgelegt ist, wie im Falle eines Angriffs beziehungsweise beim Ausfall der IT-Systeme reagiert werden muss, um sicherzustellen, dass die Ausfallzeiten so gering wie möglich sind. Natürlich ist hierbei auch zu beachten, dass die Zuständigkeiten klar geregelt und die verantwortlichen Personen festgelegt sind. Als weitere Maßnahme ist empfehlenswert, die Backup-Strategie zu evaluieren – denn bei einem Vorfall stellt die Wiederherstellbarkeit der Daten die Weiterführung des Geschäftsbetriebs sicher.
4. Frage: Die meisten Unternehmen haben schon einiges getan, um sich gegen Angriffe zu wappnen. Was kann jetzt konkret helfen, um Angriffe frühzeitig zu erkennen?
PZ: Meines Erachtens Frühwarn-Lagebild-Systeme, denn mittels derer ist die aktuelle Cybersicherheits-Lage kontinuierlich präsent. Es ist äußerst wichtig, dass Angriffe möglichst frühzeitig erkannt werden, eben um diese zu verhindern oder zumindest deren Auswirkungen zu minimieren. Der Einsatz von Intrusion Detection (IDS)- und Intrusion Prevention (IPS)-Systemen bietet hier eine gute Basis. Denn während IDS mittels unterschiedlicher Sensoren Angriffe identifizieren, helfen IPS diese automatisiert und aktiv zu verhindern. Hier gibt es sehr gute Lösungen, zum Beispiel von dem Unternehmen Cynet, deren Cloud-basierte Plattform Endpunkt-, Netzwerk- und Benutzerprävention und -erkennung der XDR-Technologie bietet.
Ein großes Sicherheitsrisiko stellt immer noch der Mensch dar. Vor allem wenn Unternehmen noch nicht alle notwendigen IT-Sicherheitsmaßnahmen umgesetzt haben, ist es immer ratsam die Mitarbeiter zu sensibilisieren und Awareness-Schulungen durchzuführen, um die Wachsamkeit allgemein und insbesondere bezüglich der aktuellen Lage zu erhöhen. Das umfasst unter anderem, potenzielle Gefahren verständlich zu erklären – zum Beispiel woran sie Angriffsversuche erkennen können – und entsprechend Anleitungen bereitzustellen, was wann zu tun ist. Aktuelle Warnungen, etwa die des BSI, dass kriminelle Trittbrettfahrer versuchen, als Spendenaufruf getarnte Phishing-Angriffe durchzuführen, sollten zeitnah unternehmensintern verbreitet werden. Definitiv sinnvoll ist es, eine zentrale Stelle einzurichten, um die Meldungen der Mitarbeiter zu sammeln und auszuwerten.
Einen weiteren Aspekt möchte ich an dieser Stelle noch einmal besonders betonen: Administratoren fällt jetzt eine sehr wichtige Rolle zu, denn sie stehen oftmals im Fokus der Angreifer. Von daher sollten diese nicht nur ausreichend geschult werden, damit sie sofort agieren können – sondern es gilt ebenso ein besonderes Augenmerk darauf zu legen, dass die notwendige Verfügbarkeit an qualifizierten Mitarbeitenden im Notfall gewährleistet ist.
5. Frage: Was können Unternehmen jetzt sofort tun, um die Gefahr von Angriffen zu minimieren?
PZ: Als erstes gilt es jetzt zu überprüfen, ob der notwendige Basisschutz vorhanden ist. Das bedeutet, sind die grundlegenden Maßnahmen zum Schutz vor Angriffen durchgeführt: zum Beispiel alle IT-Systeme auf Schwachstellen zu kontrollieren und auch dahingehend, ob die aktuellen Updates und Patches eingespielt wurden. Im Weiteren ist es auf jeden Fall angebracht die Angriffsflächen zu minimieren. Dies lässt sich unter anderem dadurch gewährleisten, dass Software, die nicht mehr benötigt wird zu deaktivieren oder Privilegien und Administrationsrechte einzuschränken. Also im Prinzip alles tun, um die Komplexität der IT-Infrastruktur sowie auch der verwendeten Dienste so weit als möglich zu verringern.
