WeTalkSecurity - der ESET Podcast

Die Verantwortung der Geschäftsführung rückt bei NIS2 in den Fokus. Wie ist der aktuelle Stand der Umsetzung? In dieser Folge von WeTalkSecurity dreht es sich um ein brandaktuelles Thema: der NIS2-Richtlinie und den daraus resultierenden Veränderungen für die Geschäftsführung. Gemeinsam mit Dr. Jens Eckhardt, Fachanwalt für IT-Recht und Compliance-Experte in der Kanzlei pitc Legal, beleuchten wir, wie sich die Anforderungen an Geschäftsführer durch die NIS2-Umsetzung verschärfen, welche neuen Pflichten auf das Management zukommen und warum IT-Sicherheit heute Chefsache ist. Dabei werfen wir auch einen Blick auf den aktuellen Stand der Gesetzgebung in Deutschland und geben praxisnahe Empfehlungen, wie sich Unternehmensleitungen jetzt optimal aufstellen können. Über den Gast Dr. Jens Eckhardt ist Fachanwalt für Informationstechnologierecht, Datenschutzauditor sowie IT-Compliance-Manager bei der Düsseldorfer Kanzlei pitc Legal. In seiner täglichen Praxis berät er Unternehmen an der Schnittstelle zwischen IT-Vorfall, Datenschutz und regulatorischer Verantwortung. Ein besonderer Fokus liegt dabei auf der Frage, wann aus einem Cyberangriff ein Haftungsfall wird – insbesondere für Geschäftsführer. NIS2 und der aktuelle Stand der Umsetzung in Deutschland Wir sprechen über den aktuellen Stand des NIS2-Umsetzungsgesetzes in Deutschland. Nach dem Regierungswechsel steht das Gesetzgebungsverfahren erneut an, mit der Hoffnung auf eine Verabschiedung bis Herbst 2025. Trotz politischer Diskussionen und Bedenken bezüglich der EU-Rechtskonformität ist der Gesetzesentwurf weit fortgeschritten und könnte zügig verabschiedet werden. Managementhaftung im Fokus Die Folge beleuchtet, wie sich die Haftung von Geschäftsführern durch die NIS2-Richtlinie und deren Umsetzung in deutsches Recht verändert. Zwar bleibt die klassische Haftung für fehlende Sorgfalt nach § 93 AktG und § 43 GmbHG bestehen, doch neue Anforderungen rücken die Geschäftsführung näher an die IT-Sicherheitsverantwortung heran. Besonders die Pflicht zur eigenen Schulung im Bereich IT-Sicherheit wird als „Hidden Champion“ der Haftungsverschärfung hervorgehoben. Praktische Auswirkungen für Geschäftsführer Geschäftsführer müssen künftig nicht nur die Umsetzung der gesetzlichen Vorgaben billigen und überwachen, sondern auch ihre eigene Kompetenz durch regelmäßige Schulungen nachweisen. Das erhöht den Haftungsmaßstab und verschiebt den Pflichtenkatalog der Geschäftsführung weiter in Richtung IT- und Cybersicherheit. Digitale Geschäftsprozesse und logische Konsequenzen Die Digitalisierung der Geschäftsprozesse macht es unumgänglich, dass die Unternehmensleitung über ausreichende Kenntnisse im Bereich IT-Sicherheit verfügt. Die Folge diskutiert, warum diese Entwicklung eine logische Konsequenz der fortschreitenden Digitalisierung ist und welche Herausforderungen damit verbunden sind. Konkretisierung der Haftungsfälle Es wird erläutert, in welchen Fällen eine persönliche Haftung des Geschäftsführers eintreten kann – etwa bei Verstößen gegen das BSI-Gesetz, fehlenden technischen und organisatorischen Maßnahmen oder unzureichender Schulung. Auch die Schnittstellen zur Insolvenzhaftung werden beleuchtet. Empfehlungen für die Praxis Externe Beratung und die Zusammenarbeit mit spezialisierten Dienstleistern werden als wichtige Maßnahmen genannt, um die komplexen Anforderungen zu erfüllen. Ebenso wird auf die Bedeutung von Versicherungen (z.B. D&O, Cyberversicherung) und deren Anforderungen hingewiesen. Weiterführende Links: * Kanzlei pitc Legal [https://pitc-legal.de/] * WeTalkSecurity Folge 32: Haftungsfalle Cybercrime: Wenn Hacker die Insolvenz auslösen [https://wetalksecurity.podigee.io/33-insolvenz_haftung_cybercrime] * WeTalkSecurity Folge 14: Stand der Technik in der IT-Sicherheit - von Rechts wegen kritisch? [https://wetalksecurity.podigee.io/15-stand-der-technik-juristisch]

Wie kann ein Cyberangriff eine Insolvenz auslösen und welche rechtlichen Fallstricke lauern auf Geschäftsführer? In einer zunehmend digitalisierten Unternehmenswelt reicht ein erfolgreicher Cyberangriff aus, um die wirtschaftliche Existenz eines Unternehmens zu bedrohen – nicht selten mit dramatischen Folgen für die Geschäftsführung. Ein IT-Vorfall kann nicht nur Systeme lahmlegen, sondern auch zur Insolvenz führen. Doch ab wann sind Geschäftsführer verpflichtet, die Reißleine zu ziehen? Und was passiert, wenn sie es nicht tun? In der aktuellen Folge von WeTalkSecurity spricht Christian Lueg mit Dr. Jens Eckhardt, Fachanwalt für IT-Recht und IT-Compliance-Experte bei der Kanzlei pitc Legal, über die rechtlichen Risiken von Cyberangriffen, Insolvenzantragspflichten und persönliche Haftung – ein Thema, das für viele überraschender und brisanter ist, als es auf den ersten Blick scheint. Über den Gast Dr. Jens Eckhardt ist Fachanwalt für Informationstechnologierecht, Datenschutzauditor sowie IT-Compliance-Manager bei der Düsseldorfer Kanzlei pitc Legal. In seiner täglichen Praxis berät er Unternehmen an der Schnittstelle zwischen IT-Vorfall, Datenschutz und regulatorischer Verantwortung. Ein besonderer Fokus liegt dabei auf der Frage, wann aus einem Cyberangriff ein Haftungsfall wird – insbesondere für Geschäftsführer. Cyberangriff, Stillstand, Insolvenz – eine gefährliche Kette Dr. Eckhardt erklärt, wie ein erfolgreicher Cyberangriff zu massiven Betriebsunterbrechungen führen kann – mit wirtschaftlichen Folgen bis hin zur Insolvenz. Besonders kritisch: Die gesetzlichen Fristen zur Insolvenzanmeldung sind kurz – und Geschäftsführer, die zu spät reagieren, haften persönlich. Die Bewertung, ob eine Insolvenz vorliegt, erfolgt dabei oft rückwirkend, was eine rechtzeitige Reaktion umso wichtiger macht. Haftung in der Krise Die Folge beleuchtet, wie sich betriebswirtschaftlich angespannte Lagen durch einen Angriff schnell zuspitzen können. Wenn kein aktuelles Backup existiert, Daten dauerhaft verloren sind oder Produktionsausfälle nicht kompensiert werden können, kann ein Angriff allein das Unternehmen in die Pleite treiben. Spätestens dann wird aus einer IT-Krise ein rechtliches Problem – und für Geschäftsführer steht nicht nur Vermögen, sondern auch Strafverfolgung im Raum. Pflichten und Fallstricke Besonders deutlich wird: Geschäftsführer sind verpflichtet, sich mit der eigenen IT-Sicherheitslage aktiv auseinanderzusetzen – und diese Auseinandersetzung auch zu dokumentieren. Wer IT-Risiken ignoriert oder bei der Krisenbewältigung zu lange zögert, bringt sich selbst in Gefahr. Die Verantwortung beschränkt sich dabei nicht auf große Unternehmen oder kritische Infrastrukturen – auch kleine und mittlere Betriebe müssen resilient aufgestellt sein. Drei Empfehlungen für Geschäftsführer Zum Abschluss gibt Dr. Eckhardt drei zentrale Handlungsempfehlungen: 1. Awareness schaffen: Geschäftsführer müssen sich aktiv mit IT-Sicherheit und möglichen Risiken beschäftigen – und das schriftlich dokumentieren. 2. Ressourcen prüfen und effizient einsetzen: Es gilt zu klären, welche Budgetmittel für IT-Sicherheit zur Verfügung stehen und wie diese gezielt und am Schutzbedarf orientiert eingesetzt werden. 3. Handlungsfähig bleiben: Für den Ernstfall braucht es klare Abläufe und externe Ansprechpartner – von IT-Forensikern über Versicherer bis zu rechtlicher Beratung. Denn wenn der Angriff kommt, ist schnelle Reaktion entscheidend. Fazit: Cybersicherheit ist längst keine rein technische Frage mehr – sondern ein rechtlich hochrelevantes Führungsrisiko, dem sich Geschäftsführer aktiv stellen müssen. **Weiterführende Links: ** * Kanzlei pitc Legal: https://pitc-legal.de/ [https://pitc-legal.de/] * "Stand der Technik in der IT-Sicherheit - von Rechts wegen kritisch?": https://wetalksecurity.podigee.io/15-stand-der-technik-juristisch [https://wetalksecurity.podigee.io/15-stand-der-technik-juristisch]

IT-Security im Gaming-Universum In der Gamingwelt geht es längst nicht mehr nur um Highscores und Endbosse – auch Cyberangriffe, Datenleaks und Phishingfallen gehören heute zur Realität. Vom Commodore 64 über LAN-Partys bis hin zu Streaming auf Twitch: Die Bedrohungen haben sich ebenso weiterentwickelt wie die Technik. In der aktuellen Folge von WeTalkSecurity führt zum ersten Mal ESET IT-Sicherheitsexpertin Ildiko Bruhns als Moderatorin durch eine generationsübergreifende Zeitreise mit ihren ESET Gästen Michael Reichstädter, Philipp Plum und Sina Lauke. Gemeinsam sprechen sie über Sicherheitsrisiken beim Zocken, moderne Schutzmaßnahmen – und was Gamer aus den letzten 30 Jahren lernen können. **Diese Folge ist auf Youtube auch als Vodcast verfügbar: https://youtu.be/qx2EC84Dxog** [https://youtu.be/qx2EC84Dxog**] Über die Gäste * Michael Reichstädter ist mit Disketten, frühen Computerviren und pixeligen Spieleklassikern aufgewachsen. * Philipp Plum erinnert sich an LAN-Partys mit 200 Rechnern – inklusive selbstgeschriebenem Wurm. * Sina Lauke ist Streamerin und kennt die heutigen Bedrohungen aus erster Hand und berichtet von realen Fällen aus ihrer Community. Gaming als Cyberziel – und was wir daraus lernen können Die Folge beleuchtet, wie sich Cyberangriffe im Gaming-Bereich entwickelt haben – von Diskettenviren über modifizierte Spieldateien bis hin zu ausgeklügelten Phishing-Strategien. Auch Sicherheitslücken durch Mods oder unachtsames Verhalten beim Streaming werden thematisiert. Besonders deutlich wird, wie schnell ein falscher Klick in einem Chat oder eine ungesicherte Anmeldung gravierende Folgen haben kann. Sicherheitsbewusstsein in der Praxis Trotz wachsender Risiken nehmen viele Gamer das Thema IT-Sicherheit immer noch auf die leichte Schulter – oft aus Bequemlichkeit oder fehlendem Wissen. Gleichzeitig zeigt sich, dass Plattformbetreiber und Communities zunehmend Sicherheitsfunktionen anbieten – etwa Zwei-Faktor-Authentifizierung oder eingeschränkte Rechte für Nutzer in Chats und Foren. Tipps und Empfehlungen für mehr Sicherheit Zum Abschluss geben die Gäste konkrete Tipps, wie sich Spieler besser schützen können. So sollten für jeden Account starke, individuelle Passwörter verwendet und wo möglich eine Zwei-Faktor-Authentifizierung aktiviert werden – insbesondere auf Plattformen wie Steam, Twitch oder Riot. Wer viele Konten verwaltet, sollte einen Passwortmanager nutzen. Links in Chats, Discord-Servern oder Streams sollten stets kritisch hinterfragt werden – auch wenn sie vermeintlich harmlos erscheinen. Mods und Spielinhalte sollten nur aus offiziellen Quellen heruntergeladen werden, um versteckte Schadsoftware zu vermeiden. Für Streamer empfiehlt es sich, beim Einloggen oder bei sensiblen Aktionen eine „Be right back“-Szene zu nutzen, um keine Daten versehentlich live zu übertragen. Eltern sollten auf Konsolen wie der Nintendo Switch Jugendschutzeinstellungen aktivieren und insbesondere Käufe im Online-Store mit einem Passwortschutz versehen. Und nicht zuletzt gilt: Betriebssysteme, Spieleplattformen und Sicherheitssoftware sollten regelmäßig aktualisiert werden, um bekannte Schwachstellen zu schließen. Weiterführende Links: [https://store.steampowered.com/promotion/twofactor?l=german][https://store.steampowered.com/promotion/twofactor?l=german [https://store.steampowered.com/promotion/twofactor?l=german][https://store.steampowered.com/promotion/twofactor?l=german]] [https://stadt-bremerhaven.de/slay-the-spire-mod-wurde-zur-verbreitung-von-malware-missbraucht/ [https://stadt-bremerhaven.de/slay-the-spire-mod-wurde-zur-verbreitung-von-malware-missbraucht/]] [https://www.welivesecurity.com/deutsch/2023/05/03/security-check-discord-nutzer/ [https://www.welivesecurity.com/deutsch/2023/05/03/security-check-discord-nutzer/]]

Die Risiken für Verbraucher Digitale Produkte sind längst zu einem alltäglichen Handelsgut geworden – doch gerade beim Kauf von Softwarelizenzen lauern versteckte Risiken. Der sogenannte Graumarkt boomt: legal gehandelte, aber oft missbräuchlich vertriebene Softwareprodukte führen zu Problemen für Endkunden und Unternehmen gleichermaßen. Was steckt wirklich hinter diesem Phänomen? In der aktuellen Folge von We Talk Security spricht Philipp Plum mit Peter Lindner, Geschäftsführer der Compeva GmbH, und Stefan Heitkamp, Director of Retail, Etail and OEM Partnerships bei ESET, über die Mechanismen und Risiken des Graumarktes. Über den Gast Peter Lindner ist Geschäftsführer der Compeva GmbH, einem Spezialisten für Online-Monitoring und Markenschutz. Mit seiner Plattform unterstützt Compeva Softwarehersteller dabei, den Vertrieb über inoffizielle Kanäle zu überwachen und zu kontrollieren. Seine Mission: Transparenz im Onlinehandel schaffen und Partnerunternehmen vor wirtschaftlichem Schaden bewahren. Der Graumarkt – Ein legales Risiko Anders als der Schwarzmarkt ist der Graumarkt per se nicht illegal – doch der missbräuchliche Handel mit echten Lizenzen stellt Hersteller und Händler vor große Herausforderungen. In der Folge wird erläutert, wie dieser Markt funktioniert, warum gerade Onlineplattformen wie eBay ein Nährboden für Graumarktgeschäfte sind und welche Auswirkungen das für Endnutzer haben kann. Marktbeobachtung und Partnerstrategie Peter Lindner erklärt, wie Compeva mithilfe von automatisiertem Monitoring, gezielten Testkäufen und einer Software-as-a-Service-Plattform systematisch Anbieter analysiert. Das Ziel: unseriöse Verkäufer identifizieren und das Vertriebssystem stabilisieren. Spannend ist dabei, dass aus Graumarkthändlern gelegentlich wertvolle Partner werden – wenn klare Gespräche, Transparenz und Regeln ins Spiel kommen. Konsequenzen für Endkunden Ob abgelaufene Lizenzen, nicht aktivierbare Software oder rechtliche Grauzonen – Verbraucher tragen oft das Risiko, wenn sie vermeintliche Schnäppchen ergattern. Stefan Heitkamp betont, wie wichtig es ist, auf autorisierte Händler zu achten – auch auf großen Marktplätzen wie eBay. Empfehlungen für Unternehmen und Nutzer Zum Abschluss gibt das Trio praxisnahe Tipps für Unternehmen, IT-Reseller und Endkunden, um sich vor Graumarktfallen zu schützen: * Vertriebswege regelmäßig analysieren * Nur mit zertifizierten Partnern arbeiten * Verkäuferangaben kritisch prüfen * Transparenz und Kommunikation mit Partnern pflegen * Verantwortungsbewusst einkaufen – der gesunde Menschenverstand zählt! Wenn Software plötzlich nicht funktioniert, steckt nicht immer ein technisches Problem dahinter – manchmal liegt es schlicht daran, wo und wie sie gekauft wurde. Diese Folge liefert Einblicke, wie man dem vorbeugen kann.

Wie Unternehmen von IT-Security-Standards profitieren In unserer zunehmend digitalisierten Welt sind IT-Sicherheitsstandards zu einem entscheidenden Faktor geworden. Für Unternehmen, die ihre IT-Infrastruktur und Produkte gegen immer raffiniertere Cyberangriffe schützen möchten, sind Zertifizierungen wie ISO 27001 oder Common Criteria unverzichtbar. Doch welche Herausforderungen bringen diese Standards mit sich? Und welche Vorteile ergeben sich daraus für Unternehmen? In der aktuellen Folge von We Talk Security spricht Christian Lueg mit Markus Bartsch, Business Development Manager für IT Security bei der TÜV Informationstechnik GmbH, über die Bedeutung und Zukunft von IT-Sicherheitszertifizierungen. Über den Gast Markus Bartsch ist Experte für IT-Sicherheitszertifizierungen bei der TÜV Informationstechnik GmbH. In seiner Rolle unterstützt er Unternehmen dabei, Sicherheitsanforderungen zu erfüllen und ihre IT-Systeme resilient gegenüber Cyberbedrohungen zu machen. Seine Expertise umfasst internationale Sicherheitsstandards wie ISO 27001, Common Criteria und neue EU-Richtlinien wie den Cyber Resilience Act. Zertifizierungen als Schlüssel zur digitalen Resilienz Markus Bartsch erklärt, wie Unternehmen Sicherheitsstandards effektiv umsetzen können und warum sie in Zukunft unverzichtbar sein werden. In der Diskussion werden die Unterschiede zwischen Unternehmens- und Produktzertifizierungen thematisiert, wobei beide entscheidend für eine umfassende IT-Sicherheit sind. Außerdem beleuchtet Markus die neuesten regulatorischen Entwicklungen, wie den Cyber Resilience Act und die NIS-2-Richtlinie, die Unternehmen zunehmend dazu verpflichten, IT-Sicherheitsstandards zu implementieren. Ein weiterer Schwerpunkt liegt auf den Herausforderungen, die Unternehmen meistern müssen, wenn sie sich erstmals zertifizieren lassen möchten. Gleichzeitig zeigt die Folge, wie künstliche Intelligenz sowohl als Chance für verbesserte Sicherheitsmaßnahmen als auch als neues Angriffswerkzeug genutzt werden kann. Schließlich gibt Markus einen Ausblick auf zukünftige Trends wie automatisierte Sicherheitsüberwachung und kontinuierliche Zertifizierungsprozesse, die Unternehmen nachhaltig entlasten könnten. EU-Regulierungen Ein besonderes Augenmerk liegt auf der Rolle von EU-Vorschriften wie dem Cyber Resilience Act und der NIS-2-Richtlinie. Markus beleuchtet, wie diese Gesetze nicht nur notwendig, sondern auch überfällig sind, um die Angriffsflächen für Cyberkriminalität zu verkleinern. Gleichzeitig diskutiert er, wie Unternehmen aus verschiedenen Branchen sich auf diese neuen Anforderungen vorbereiten können, um wettbewerbsfähig zu bleiben. Die Sicherheitszertifikate spielen dabei nicht nur bei Ausschreibungen und regulatorischen Vorgaben eine zentrale Rolle, sondern stärken auch das Vertrauen von Kunden und Partnern. Unkenntnis und Umsetzung Ein weiteres Thema der Folge ist die mangelnde Kenntnis vieler Unternehmen über die Anforderungen und Vorteile von Sicherheitszertifizierungen. Markus zeigt auf, wie die Einführung eines Informationssicherheitsmanagementsystems, etwa gemäß ISO 27001, nicht nur gesetzliche Auflagen erfüllt, sondern auch die internen Prozesse effizienter und sicherer macht. Er betont, dass der Aufwand für die Zertifizierung oft geringer ist als die langfristigen Kosten eines erfolgreichen Cyberangriffs. Empfehlungen Zum Abschluss gibt Markus konkrete Empfehlungen, wie Unternehmen ihre IT-Sicherheit verbessern und den Zertifizierungsprozess erfolgreich gestalten können. Er empfiehlt, ein Bewusstsein für IT-Sicherheit auf allen Unternehmensebenen zu schaffen und Maßnahmen zur Angriffsabwehr zu priorisieren. Besonders wichtig ist es, kritische Infrastrukturen zu schützen und zertifizierte Standards zu nutzen, um das Vertrauen von Kunden und Partnern zu gewinnen. Weiterführende Links: Deepfakes mit deutschen Prominenten: https://www.eset.com/de/about/presse/pressemitteilungen/pressemitteilungen/achtung-deepfake-wenn-prominente-persoenlichkeiten-fuer-dubiose-investments-werben [https://www.eset.com/de/about/presse/pressemitteilungen/pressemitteilungen/achtung-deepfake-wenn-prominente-persoenlichkeiten-fuer-dubiose-investments-werben] Deepfakes im Wahlkampf: https://www.eset.com/de/blog/blog/deepfakes-im-wahljahr-2024-die-neue-waffe-der-desinformation/?srsltid=AfmBOoqSFH1HNLB-ZC6HqVwGd3VSR7BbeXgoXvzqQuHvZlDZQwlONETS [https://www.eset.com/de/blog/blog/deepfakes-im-wahljahr-2024-die-neue-waffe-der-desinformation/?srsltid=AfmBOoqSFH1HNLB-ZC6HqVwGd3VSR7BbeXgoXvzqQuHvZlDZQwlONETS]