WeTalkSecurity

Herausforderungen und Möglichkeiten für Unternehmen Die NIS2-Richtlinie bringt auch neue Anforderungen an die Lieferkette mit sich – ein schwieriges Thema, schließlich ist der Begriff Lieferkette nicht in der Richtlinie definiert. Was kommt auf Unternehmen und ihre Zulieferer zu und wie können diese sich dafür wappnen? Diese und weitere Fragen bespricht Christian Lueg in der aktuellen Folge von WeTalkSecurity mit dem IT-Rechtsanwalt Stefan Sander. Über den Gast Stefan Sander ist Fachanwalt für Informationstechnologierecht. Aufgrund seiner Doppelqualifikation – abgeschlossenes IT-Studium und Fachanwalt für IT-Recht in einer Person – ist Stefan deutschlandweit gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz. Seit 2015 hat er zusammen mit Rechtsanwalt Heiko Schöning die Kanzlei SDS Rechtsanwälte in Duisburg (https://sds.ruhr/) [https://sds.ruhr/)]. Stefan Sander ist Autor des aktuellen ESET Whitepapers "NIS2 und die Lieferkette" [https://www.eset.com/de/nis2/whitepaper-lieferkette/?utm_source=Podigee&utm_medium=podcast&utm_campaign=NIS2-whitepaper], welches das Thema des Podcasts im Detail beleuchtet. Außerdem ist er Co-Autor des Whitepapers "Stand der Technik in der IT-Sicherheit" [https://www.eset.com/de/stand-der-technik/]. Was ist eigentlich die Supply Chain bzw. Lieferkette? Die Supply Chain ist ein Teilbereich der Logistik, der sich mit dem Fluss von Waren oder Dienstleistungen vom Rohmateriallieferanten bis zum Endverbraucher befasst. Sie umfasst alle Prozesse, Aktivitäten, Ressourcen und Organisationen, die daran beteiligt sind, Produkte oder Dienstleistungen von ihrer Entstehung bis zu ihrer Auslieferung an den Kunden zu bewegen. Im Unterschied zur klassischen Lieferkette ist der Begriff „Supply Chain“ weiter gefasst und beinhaltet auch Aspekte wie Informationsfluss, Finanzierung, Koordination und Zusammenarbeit zwischen den verschiedenen Partnern entlang der Kette – also die gesamte Versorgung. Die NIS2-Richtlinie verknüpft ihre Pflichten nicht explizit mit der Zugehörigkeit eines Unternehmens zur Lieferkette, was einige überraschen mag. Unternehmen, insbesondere Managed Service Provider (MSPs), die IT-Dienstleistungen bereitstellen, sind im Anwendungsbereich der Richtlinie. Dies geschieht nicht aufgrund ihrer Position in der Lieferkette, sondern aufgrund einer spezifischen Regelung des Gesetzgebers für den MSP-Sektor. Bin ich von NIS2 betroffen? Im Wesentlichen gibt es zwei Hauptvoraussetzungen zu beachten. Erstens muss eine Wirtschaftstätigkeit in einen spezifischen Sektor fallen, wobei es irrelevant ist, ob es sich um eine Mutter-, Tochter- oder Schwestergesellschaft handelt, solange die Aktivität in einem regulierten Sektor stattfindet. Zweitens erwähnt der Gesetzgeber in Anhang 1 der Richtlinie den IT-Sektor als besonders kritisch, was bedeutet, dass Managed Service Provider in diesem Sektor reguliert werden, während andere Sektoren wie das produzierende Gewerbe weniger streng reguliert sind. Zusammengefasst bedeutet dies, dass die Betroffenheit von Unternehmen nicht nur auf deren Rolle in der Lieferkette basiert, sondern vielmehr darauf, ob ihre Aktivitäten in einen regulierten Sektor fallen. Spannend wird es vor allem für den deutschen Mittelstand: Unternehmen, die zwischen 50 und 249 Mitarbeiter beschäftigen, gehören per definitionem dazu, alles was darüber ist, kann man als Großunternehmen bezeichnen. Es kommt aber ein weiteres Kriterium hinzu: Jahresumsatz und Jahresbilanzsumme. Unternehmen überschreiten den Schwellenwert, wenn sie beide Kriterien reißen oder nur eines davon, was dazu führt, dass sie nicht mehr als KMU gelten. Die Mitarbeiteranzahl ist ein hartes Kriterium, während für die wirtschaftlichen Kennzahlen sowohl Jahresumsatz als auch Jahresbilanzsumme betrachtet werden. Das Ziel ist es, eine faire Behandlung zu gewährleisten. Die EU hat dazu einen Leitfaden [https://publications.europa.eu/resource/cellar/79c0ce87-f4dc-11e6-8a35-01aa75ed71a1.0004.01/DOC_1] herausgebracht, an dem Unternehmen sich orientieren können. Um kleine Unternehmen (d. h. mit weniger als 50 Mitarbeitern) zu fördern, fallen diese nicht unter die NIS2-Richtlinie, außer sie gehören zu einem Konzern oder einer Konzerngruppe – die Gesamtzahl der Mitarbeiter addiert sich hier aus allen Mitarbeitern aus allen Unternehmen der Gruppe zusammen. Wenn also das eigene Unternehmen nur 20 Mitarbeiter hat, die Muttergesellschaft aber 5000, zählen diese 5000 zu den eigenen hinzu – das Unternehmen fällt somit unter NIS2 (bei einem Beteiligungsverhältnis von über 50 Prozent). Komplizierter wird es bei Partnerbeteiligungen, also Beteiligungen von 25 bis 50 Prozent. Entsprechend dieser Beteiligungsquote werden Kennzahlen wie Mitarbeiteranzahl und wirtschaftliche Zahlen mit zugerechnet. Was bedeutet das für Unternehmen, die zur Lieferkette eines Unternehmens gehören? Nicht jedes Unternehmen, das als Zulieferer für ein großes fungiert, fällt automatisch unter NIS2. Es kann aber vorkommen, dass größere Unternehmen von ihren Zulieferern erwarten, dass sie der Richtlinie entsprechen. Wenn das eigene Unternehmen unter die Vorgaben von NIS2 fällt, muss es automatisch geeignete Maßnahmen treffen, um die Lieferkette zu schützen. Im Umkehrschluss müssen sich Unternehmen auch vor Gefahren schützen, die aus anderen Teilen der Lieferkette kommen. Das trifft insbesondere auf die IT Security zu. Der Gedanke dahinter: Die Volkswirtschaft und Arbeitsplätze vor Gefahren zu schützen, die aus der Störung der Lieferkette entstehen. Was müssen Unternehmen umsetzen, insbesondere im Hinblick auf den Stand der Technik, der in der NIS2-Richtlinie erwähnt wird? Wer keine Angst vor Gesetzestexten hat kann in die Artikel 20, 21 und 23 der Richtlinie schauen. Artikel 21 beschreibt die technischen und organisatorischen Maßnahmen in puncto Risikomanagement, die mit der Richtlinie auf Unternehmen zukommen werden. Im Kern geht es darum, die größtmögliche Qualität vorzuweisen. Weitere Informationen dazu gibt es im ESET Whitepaper zum Stand der Technik und NIS2 [https://www.eset.com/fileadmin/ESET/DACH/Docs/Stand_der_Technik/ESET_Whitepaper_Stand_der_Technik.pdf?utm_source=dsg&utm_medium=article&utm_campaign=cybersecurity-trends_2023] und in Folge 17 von WeTalkSecurity [https://wetalksecurity.podigee.io/17-loesungsansaetze_stand_der_technik]. Unternehmen, die selbst reguliert sind, sind gemäß Artikel 21 Absatz 2 verpflichtet, Maßnahmen zur Sicherung ihrer Lieferkette zu ergreifen. Dies bedeutet, dass sie sowohl ihre eigenen Systeme als auch die ihrer Lieferanten schützen müssen. Wenn diese Maßnahmen kommen, reicht das aus? Aus Stefan Sanders Sicht reichen die Maßnahmen aus, eine NIS3-Richtlinie müssen Unternehmen in Europa erst einmal nicht befürchten. Der Rat vom Experten: Sich rechtzeitig um die Umsetzung von NIS2 kümmern – nicht nur, um auf der sicheren Seite zu sein sondern auch, weil eine starke IT-Sicherheit dem eigenen Unternehmen zugutekommt. Mehr Informationen zur NIS2-Richtlinie und wie Organisationen Ihre IT-Security NIS2-READY machen können, finden Sie auf unserer NIS2-Schwerpunktseite [https://www.eset.com/de/nis2/?utm_source=Podigee&utm_medium=podcast-shownotes&utm_campaign=NIS2-website].

Bei Verstoß Gefängnis? IT-Sicherheit muss bei Führungskräften Priorität haben. Mit der NIS2-Richtlinie müssen Geschäftsführer und CEOs betroffener Unternehmen IT-Sicherheit auf der Agenda eine höhere Priorität einräumen. Was müssen diese beachten? Wie sieht es mit der Haftung aus und welche Strafen drohen? Diese und weitere Fragen bespricht Christian Lueg in der aktuellen Folge von WeTalkSecurity mit dem IT-Rechtsanwalt Stefan Sander. Über den Gast Stefan Sander ist „Fachanwalt für Informationstechnologierecht“. Aufgrund seiner Doppelqualifikation – abgeschlossenes IT-Studium und Fachanwalt für IT-Recht in einer Person – ist Stefan deutschlandweit gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz. Seit 2015 hat er zusammen mit Rechtsanwalt Heiko Schöning die Kanzlei SDS Rechtsanwälte in Duisburg (https://sds.ruhr/) [https://sds.ruhr/)]. In Zusammenarbeit mit Stefan Sander hat ESET ein Whitepaper zum Thema "Stand der Technik in der IT-Sicherheit" herausgebracht. Das Paper gibt es hier zum kostenlosen Download: https://www.eset.com/de/stand-der-technik/ [https://www.eset.com/de/stand-der-technik/] Generell ist die NIS2-Richtlinie eine Richtlinie der Europäischen Union. Die Richtlinie ist eine Art von Gesetz. Im Gegensatz zu einer Verordnung ist eine Richtlinie ein Gesetz, was sich an den Nationalstaat richtet. Deutschland hat in diesem Fall die Aufgabe ein nationales Gesetz zu erlassen, was im Einklang mit dieser Richtlinie steht. Es geht bei der NIS2-Richtlinie thematisch um die Vereinheitlichung und Erhöhung des Sicherheitsniveaus bei Netzwerk- und Informationstechnik. Die Ziffer 2 verrät, dass es bereits eine NIS1-Richtlinie gab. Der Gesetzgeber will in diesem Fall die Gesetzgebung komplett überarbeiten und reagiert auf die fortschreitende Digitalisierung. Aus dem kommenden deutschen Gesetz ergibt sich dann die Vorgaben für Unternehmen und andere Teilnehmer des Rechtsverkehrs. Die Gesetzgeber (Bund und Länder) haben aber die Option über die Richtlinie hinauszugehen und höhere Standards zu definieren. Das bedeutet, dass die Richtlinie lediglich einen gemeinsamen Nenner innerhalb der Europäischen Union bildet. Gerade beim Thema Haftung sind die bisher bekannten Vorlagen deutlich schärfer gefasst. Mitte Oktober 2024 soll diese Richtlinie in Kraft treten und die Vorschriften sind anzuwenden. Eine Übergangsphase wird es nicht geben. Bisher hat das förmliche Gesetzgebungsverfahren noch nicht begonnen. Bisher sind nur Referentenentwürfe bekannt, was aber bei weitem noch nicht dieses Verfahren berührt. Stefan Sander ist guter Dinge, dass das Gesetz bis Oktober verabschiedet wird und so klare Vorgaben für alle Betroffenen definiert. Unternehmen können derzeit noch nicht endgültig bestimmen, ob sie betroffen sind. Dennoch lässt die NIS2-Richtlinie erste Schlüsse zu, ob man betroffen ist. Hierbei sind bereits Sektoren definiert. Von der Europäischen Kommission gibt es einen Benutzerleitfaden für eine KMU-Empfehlung. Diesen gibt es hier: https://www.bmwk.de/Redaktion/DE/Textsammlungen/Mittelstand/europaeische-mittelstandspolitik.html#:~:text=Nach%20der%20Empfehlung%20der%20Europ%C3%A4ischen,Jahresumsatz%20von%20h%C3%B6chstens%2050%20Mio [https://www.bmwk.de/Redaktion/DE/Textsammlungen/Mittelstand/europaeische-mittelstandspolitik.html#:~:text=Nach%20der%20Empfehlung%20der%20Europ%C3%A4ischen,Jahresumsatz%20von%20h%C3%B6chstens%2050%20Mio]. Der Benutzerleitfaden ist in deutscher Sprache hier erhältlich: https://ec.europa.eu/docsroom/documents/42921/attachments/1/translations/de/renditions/native [https://ec.europa.eu/docsroom/documents/42921/attachments/1/translations/de/renditions/native] Wichtig ist es, dass dort nicht nur Einzelunternehmen beachtet werden, sondern auch Tochterfirmen. Spannend wird es, wie die Lieferkette in diesen Prozess eingebunden wird. Gerade, wenn NIS regulierte Unternehmen Systeme haben, die mit anderen Betrieben verbunden sind. Daher wird das Thema technische Sicherheit Einzug halten in die Vertragswerke mit der Lieferkette. Aber wie sieht es mit dem Management eines Betriebes aus? Bereits heute gibt es eine Haftungsgrundlage für Geschäftsführer beispielsweise bei einer GmbH, auch bei der IT-Sicherheit. Mit NIS2 wird die technische Grundlage für die IT-Sicherheit klar definiert. Vorstände und Geschäftsführer müssen Pflichten beachten und diesen nachgehen. Im Referentenentwurf wird der interne Haftungsanspruch gegen Geschäftsführer härter ausgelegt. Es darf dann nicht mehr zu Vergleichen kommen, d.h. Regressansprüche bei Schäden durch Cyberangriffe können nicht mehr über einen Kompromiss geregelt werden, sondern müssen vor Gericht gehen. Stefan geht davon aus, dass diese zu einer deutlichen Mehrbelastung der Gerichte führen wird. Auch Versicherer werden Schäden dann erst regulieren, wenn ein klarer Verursacher feststeht. Es bleibt hier abzuwarten wie der Gesetzgeber das final bewertet. Der IT-Sicherheitsverband Teletrust hat einen offenen Brief an den IT-Planungsrat veröffentlicht, der sich um die Einbindung der staatlichen Verwaltung in diese NIS2-Gesetzgebung richtet. (https://www.teletrust.de/startseite/news/?tx_ttnews%5Btt_news%5D=1604&cHash=f1ef0aceccae46739a4203b58ae91406 [https://www.teletrust.de/startseite/news/?tx_ttnews%5Btt_news%5D=1604&cHash=f1ef0aceccae46739a4203b58ae91406]) Hintergrund ist, dass derzeit Behörden nicht darüber reguliert werden sollen, was der Verband als ein Unding ansieht. Stefan sieht ebenfalls dies kritisch, weil Unmengen persönlicher Daten durch die öffentliche Verwaltung verarbeitet wird. Leider hat die NIS2-Richtlinie die Verankerung der öffentlichen Verwaltung darin den Mitgliedsstaaten überlassen. Wegen der föderalen Struktur in Deutschland gibt es den IT-Planungsrat, um einheitliche Standards für Länder und Kommunen zu definieren. Der IT-Planungsrat hat im November eine Empfehlung herausgegeben, dass Kommunen nicht über die NIS2-Richtlinie reguliert werden. Stefan sieht dies als völlig falschen Ansatz, wie auch der Teletrust in seinen offenen Brief feststellt. Dies kann auch Schäden für die Wirtschaft bedeuten, wenn beispielsweise ein Straßenverkehrsamt wegen Cyberangriffen keine Autos zulassen können. Gerade die letzten Monate haben deutlich gezeigt, dass Cyberangriffe auf Kommunen massive Auswirkungen haben können. Stefan spricht hier von einer „bodenlos schlechten IT-Sicherheit im öffentlichen Bereich“ die Bürgerinnen und Bürger täglich erdulden müssen. Stefan hat Hoffnung, dass die Gesetzgeber dies anders sehen und der Empfehlung des Planungsrats nicht folgen. Er nennt hier Mecklenburg-Vorpommern als Beispiel, wo Cyberangriffe zu großen Diskussionen geführt haben und hohe Priorität genießen. Bei kommunalen Betrieben, wie Energieversorger etc., ist die Definition recht simpel. Diese müssen sich als Teil eines Sektors der NIS2-Richtlinie fügen. Mit öffentlicher Verwaltung ist speziell die Verwaltung gemeint, wie Elterngeldstelle, Standesamt etc. Was sind die Tipps von Stefan Sander? Stefan empfiehlt Budget bereitzustellen, eine Gap-Analyse zu machen und nachzubessern, um die eigene IT-Sicherheit auf die Anforderungen der NIS2-Richtlinie anzupassen. Am besten sollte man damit umgehend starten. Solche Projekte sind nicht in wenigen Tagen umgesetzt. Er empfiehlt den Artikel 21, Absatz 2 zu lesen, dort gibt es einen Hinweis was das Ziel sein sollte. Die NIS2-Richtlinie gibt es hier: https://eur-lex.europa.eu/eli/dir/2022/2555 [https://eur-lex.europa.eu/eli/dir/2022/2555]

Welche Gefahren durch die neue Technologie entstehen - und wie die IT-Sicherheit von ihr profitieren kann. KI-Sprachmodelle wie ChatGPT haben einen großen Einfluss auf unser Leben: Sie helfen bei der Recherche, können komplexe Sachverhalte einfach erklären und Ideen für Geschichten liefern. Allerdings können auch Cyberkriminelle auf diese revolutionäre Technologie zugreifen und sie für ihre Zwecke missbrauchen. In unserer heutigen Folge sprechen wir über Gefahren und Möglichkeiten von ChatGPT. Unser neuer Moderator Philipp Plum spricht hierzu mit Prof. Norbert Pohlmann von der Westfälischen Hochschule in Gelsenkirchen. Über den Gast Professor Norbert Pohlmann ist Professor für Cybersicherheit und Leiters des Instituts für Internetsicherheit an der Westfälischen Hochschule. Er ist zudem Vorstandsvorsitzender beim Bundesverband IT-Sicherheit sowie im Vorstand des Internetverbands Eco. WeTalkSecurity befindet sich heute in Aachen in Nordrhein-Westfalen bei Norbert Pohlmann zuhause. Schon im Vorhinein hat er zum Thema ChatGPT und seinen Einfluss auf die IT-Sicherheit referiert, die Präsentation zum Vortrag ist hier verfügbar: https://norbert-pohlmann.com/vortraege/chatgpt-konsequenzen-fuer-die-cyber-sicherheit/ [https://norbert-pohlmann.com/vortraege/chatgpt-konsequenzen-fuer-die-cyber-sicherheit/] Der Nutzen von ChatGPT für Hacker liegt vor allem darin, ihre Angriffe zu verfeinern: Waren Spam-Mails vor kurzer Zeit noch durch schlechte Grammatik und Rechtschreibung zu erkennen, fällt es zunehmend schwerer, echte und Phishing-Nachrichten zu unterscheiden. Hier hilft Hackern vor allem die KI: Innerhalb von Sekunden können Sprachmodelle wie ChatGPT korrekte Texte formulieren - und das in allen gängigen Sprachen. Da viele Angreifer aus dem Ausland kommen, erleichtert ihnen ChatGPT ihnen hier die Arbeit. Können Hacker die KI bitten, eine fertige Malware zu programmieren? Die Antwort hierauf lautet "Nein". In Norberts Augen können nur diejenigen Cyberkriminellen von sämtlichen Möglichkeiten von ChatGPT profitieren, die selber gut programmieren können. Eine fertige Malware kann die KI nicht ausgeben, sie kann allerdings Code-Schnipsel erstellen und so den Arbeitsaufwand für Hacker minimieren - vorausgesetzt, diese können was mit dem Code anfangen und gegebenenfalls Fehler finden und korrigieren. Welche anderen Möglichkeiten gibt es für Hacker, die KI für ihre Zwecke zu missbrauchen? Neben Sprachmodellen wie ChatGPT sind es vor allem KIs, die Bilder und sogar Videos erstellen. Was ein harmloser Spaß sein kann, kann auch schnell zu einem Sicherheitsrisiko werden: Von Personen des öffentlichen Lebens wie dem Bundeskanzler existiert eine Fülle an Material, auf das eine KI zugreifen kann. Die gefälschten Videos und Audioaufnahmen, die auf dieser Basis erstellt werden, sind nur schwer von Echten zu unterscheiden. Diese Fakes sind insbesondere deshalb gefährlich, weil sie für Desinformationskampagnen (Stichwort: Fake News) benutzt werden können und auch bei Spear-Phishing zum Einsatz kommen können: Es kann sein, dass der Finanzchef eines Unternehmens in Zukunft einen Anruf von seinem Chef erhält, der einen auffordert, Geld zu überweisen, Geschäftsgeheimnisse preiszugeben usw. Und wie kann man dem entgegensteuern? Wird es in Zukunft eine Art Kennzeichnungspflicht für KI-generierte Inhalte geben? Fürs erste wird es laut Norbert schwierig bleiben, KI-generierte und echte Inhalte im direkten Vergleich zu unterscheiden. Es existiert aber eine andere Möglichkeit: Indem reale Inhalte signiert werden, lassen sie sich einfach von unsignierten und unter Umständen falschen Texten, Bildern Videos usw. unterscheiden. Das könnte in der Zukunft bedeuten, dass Politiker nur noch digital signierte Informationen an die Öffentlichkeit geben. Verlage können dann diese Informationen aufgreifen und weiter verbreiten, immer mit der Sicherheit, dass die Informationen, die ihnen vorliegen, richtig sind. Damit dieser Weg funktioniert, bedarf es allerdings einer Infrastruktur, die diese Verifizierung übernehmen kann. Das darf laut Norbert allerdings nicht bedeuten, dass nur eine Unternehmen diese Signaturen ausstellt. Es gilt, auf deutscher und europäischer Ebene eine geeignete Infrastruktur dafür zu schaffen, die einfach und von jedermann zu nutzen ist. Wie kann denn die IT-Sicherheit von KI profitieren? Das Identifizieren von Angriffen in IT-Netzwerken, auf Geräten, in der Cloud usw. wird mit der KI einfacher: Sie hilft Norbert zufolge dabei, Angriffe schneller zu erkennen und somit Schäden zu minimieren. Ein anderer Aspekt ist, dass KI den Cybersicherheitsexperten selber helfen kann: Wir haben einen großen Fachkräftemangel in der IT und viele Stellen sind nicht besetzt. Die KI hilft hier, indem sie in z. B. bei der Priorisierung von Sicherheitsvorfällen hilft. Was vorher ein Experte erledigen sollte, macht nun die KI: Sie schaut sich alle Sicherheitsereignisse an und gibt dem Experten dann die drei für die Unternehmenssicherheit wichtigsten Ereignisse aus. Hierauf kann sich der Experte dann konzentrieren und das Unternehmen somit effizient schützen. Gleichzeitig nimmt sie dem Experten einen großen Teil seiner Arbeit ab und lässt ihn seine Expertise an anderer Stelle einsetzen. Auch bei der Reaktion auf Angriffe kann die KI helfen, indem sie automatisiert E-Mail- und Firewall-Regeln ändert und die Angriffsfläche des Unternehmens so reduziert. Welche Bedrohungen kommen 2024 auf uns zu in puncto IT-Sicherheit? Norbert geht davon aus, dass vor allem Ransomware-Angriffe in Zukunft die größten Schäden für die Wirtschaft verursachen werden. Zudem werden Cyberkriminelle ihre Attacken stärker automatisieren, auch mit Hilfe der KI. Waren es in der Vergangenheit vor allem größere Unternehmen, die von Cyberattacken getroffen wurden, werden in Zukunft auch kleinere Betriebe ins Fadenkreuz von Hackern geraten - die Automatisierung von Angriffen ermöglicht es ihnen schließlich, eine hohe Anzahl von Organisationen anzugreifen. In diesem Kontext werden auch DDoS-Attacken eine ernstzunehmende Bedrohung darstellen - je mehr wir uns digitalisieren, desto stärker sind wir auf die Verfügbarkeit von Diensten angewiesen. Um uns davor zu wappnen und diese Art von Angriffen abzuwehren, müssen wir die entsprechenden redundanten Infrastrukturen schaffen unterhalten. Zudem besteht eine weitere Gefahr: Software wird immer Schwachstellen haben und mit fortschreitender Digitalisierung nimmt auch die Verbreitung von Software und damit Schwachstellen zu. Angreifer können nun das Schwachstellen mit Hilfe einer KI scannen und ihre Angriffe dementsprechend anpassen. Benutzt nun ein großer Konzern eine solche Software mit bekannter Schwachstelle, dauert es unter Umständen einige Zeit, bis der entsprechende Patch in der gesamten IT-Infrastruktur ausgerollt ist. Hacker können somit die öffentlich bekannten Exploits und die Trägheit großer Unternehmen ausnutzen.

NIS2 könnte 2024 die DSGVO in den Schatten stellen. Die europäische NIS2-Richtlinie definiert, welche Mindestanforderungen zukünftig bei der IT-Sicherheit gelten und wie sich insbesondere Unternehmen der kritischen Infrastruktur künftig schützen müssen. In Folge 18 spricht Christian Lueg mit ESET Security-Experte Maik Wetzel darüber, wie die Richtlinie die Cyber-Sicherheit in deutschen Unternehmen verändern wird und über die Herausforderungen, die diese bis zum 18. Oktober 2024 meistern müssen. Über den Gast Der studierte Betriebswirt Maik Wetzel verfügt über mehr als 30 Jahre Berufserfahrung in der IT Industrie. Seit 2009 liegt sein beruflicher Fokus im Bereich IT-Sicherheit. Bei ESET verantwortet Maik Wetzel seit 2020 die strategische Geschäftsentwicklung in der DACH-Region. In dieser Rolle fokussiert er sich auf die Identifikation und Erschließung neuer Geschäftsfelder und vertikaler Märkte sowie auf die Entwicklungen nachhaltiger, strategischer Partnerschaften für ESET in der DACH-Region. Er vertritt ESET in den Gremien wichtiger Verbände und tritt regelmäßig als Speaker auf Konferenzen und als Spezialist und Experte in Panels oder Roundtables in Erscheinung. Um was geht es bei NIS2? Auch in dieser Folge von WeTalkSecurity geht es um die europäische NIS2 (Netz- und Informationssysteme)-Richtlinie, die spätestens bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden muss. Mittels der Richtlinie werden Mindestanforderungen an die IT-Sicherheit von Unternehmen und Organisationen definiert, insbesondere für Unternehmen der kritischen Infrastruktur (KRITIS), die zukünftig zu erfüllen sind. Ziel ist es damit die Cyber-Sicherheit und die Resilienz insgesamt zu verbessern, die zwischenstaatliche Zusammenarbeit bei der Bekämpfung von Cyberkriminalität zu fördern und EU-weite Mindeststandards zu definieren. Wie wird in Deutschland reguliert werden? Zwar existiert in Deutschland bisher nur ein informeller Referentenentwurf, doch daran lässt sich schon erkennen wie die Richtlinie in Deutschland ausgestaltet werden soll, findet Maik Wetzel: In Zukunft werden insgesamt 18 Wirtschaftssektoren unter die Richtlinie fallen, abhängig von ihrer Größe. Statt bisher etwa 5.000 Unternehmen, die unter die derzeit geltende NIS-Richtlinie fallen, werden bald etwa 29.000 Unternehmen von NIS2 betroffen sein. Ihnen werden strengere Compliance-Anforderungen in Punkto IT- und Datensicherheit auferlegt. Staat und Verwaltung werden ebenfalls betroffen sein. Allerdings ist bisher noch offen, inwieweit die Anforderungen nur für Bundes und Landesbehörden oder auch für die kommunale Ebene gelten werden. Dies könnte zu einem schwer überschaubaren Flickenteppich führen beziehungsweise könnte die Stärkung der Cyber-Resilienz im kommunalen Sektor ausbleiben. Was müssen Unternehmen in Punkto NIS2 tun? Die Unternehmen sind in der Pflicht, selbst aktiv zu werden und selbst zu ermitteln, ob NIS2 für sie gilt und gegebenenfalls die notwendigen Maßnahmen zu ergreifen. Zukünftig ist eine Registrierung über das Bundesamt für Informationssicherheit (BSI) geplant, über die Unternehmen erfahren können ob sie reguliert sind und Unterlagen zur Prüfung einreichen können. Regulierte Unternehmen können sich auf der organisatorischen Ebene, aller Voraussicht nach, auf die notwendige Einführung eines Informationssicherheits-Management-Systems zur Risikobewertung von IT-Assets einstellen. Daraus müssen Schutzmaßnahmen abgeleitet werden. Auf der technischen Ebene könnten Multi-Faktor-Authentifizierung, Verschlüsselung bestimmter Daten und die Vorhaltung von Backup-Systemen vorgeschrieben werden. Dazu kommen, für besonders wichtige Unternehmen, Systeme zur Angriffserkennung. Welche Systeme genau vorgeschrieben sein werden, wird dem Gesetz nicht entnehmbar sein. Wahrscheinlich müssen die Systeme dem jeweils aktuellen „Stand der Technik“ entsprechen, mindestens müssen sie angemessen sein. Organisationen müssen sich also auf dem Laufenden halten und ihre Sicherheitsmaßnahmen immer wieder kritisch hinterfragen. Auch Zulieferer und Leitungsorgane sind in der Pflicht Über die 29.000 betroffenen Unternehmen hinaus werden auch Zulieferer betroffen sein. Das betrifft zum Beispiel digitale Lieferketten. Künftig könnten auch Geschäftsführer und andere Verantwortliche für mangelnde Cyber-Sicherheit in Haftung genommen werden. Was verbirgt sich hinter dem Rechtsbegriff „Stand der Technik“? Mehr dazu ist der Folge 16 von WeTalkSecurity zu entnehmen: Stand der Technik in der IT-Sicherheit: Lösungsansätze und Tipps aus der Praxis. [https://wetalksecurity.podigee.io/17-loesungsansaetze_stand_der_technik] Außerdem lässt sich dies im ESET Whitepaper „IT-Security auf dem Stand der Technik“ nachlesen, das hier [https://www.eset.com/de/stand-der-technik/] heruntergeladen werden kann. Weitere Informationen: Teletrust Publikation zum Stand der Technik: https://www.teletrust.de/publikationen/broschueren/stand-der-technik/ [https://www.teletrust.de/publikationen/broschueren/stand-der-technik/] https://digitalsecurityguide.eset.com/de/nis2-das-besagt-die-neue-eu-richtlinie-fur-cybersicherheit [https://digitalsecurityguide.eset.com/de/nis2-das-besagt-die-neue-eu-richtlinie-fur-cybersicherheit] https://www.eset.com/de/blog/blog/nis2-kommt-eine-gute-basis-fuer-mehr-europaeische-cybersicherheit/ [https://www.eset.com/de/blog/blog/nis2-kommt-eine-gute-basis-fuer-mehr-europaeische-cybersicherheit/]

Datenschutz muss gar nicht schwer sein - oder doch? Im Mai 2023 wurde die Datenschutzgrundverordnung (DSGVO) fünf Jahre alt. Viele sehen die DSGVO als eine Erfolgsgeschichte, da sie unter anderem das Bewusstsein für Sicherheit und Datenschutz geschärft hat. Doch wie geht es weiter? In der aktuellen Folge von WeTalkSecurity spricht Christian Lueg mit Karsten Bartels, Rechtsanwalt und Partner bei der Kanzlei HK2 sowie stellvertretender Vorstandvorsitzender im Bundesverband IT-Sicherheit e.V. (TeleTrust). Über den Gast Karsten U. Bartels LL.M. ist Rechtsanwalt und Partner bei der Kanzlei HK2 in Berlin. (https://www.hk2.eu/de/ [https://www.hk2.eu/de/]) Darüber hinaus ist er Geschäftsführer der HK2 Comtection GmbH, die Datenschutzbeauftragte stellt (https://www.comtection.de/) [https://www.comtection.de/)]. Bei der Hochschule Hof ist er Lehrbeauftragter für Datenschutz-Compliance. Daneben ist er stellvertretender Vorstandsvorsitzender Bundesverband IT-Sicherheit e.V. (Teletrust) und Vorsitzender der Arbeitsgemeinschaft IT-Recht (davit) im Deutschen Anwaltsverein e.V.. Erfahrungen nach fünf Jahren DSGVO Karsten ist nach fünf Jahren froh, dass die Sinnfrage nach der DSGVO nicht mehr gestellt wird. Das sah 2018 noch anders aus. Viele Unternehmen mussten ihre Pflichten erst realisieren und gingen dadurch eher in eine Abwehrhaltung. Dabei hatte man bis 2018 gut zwei Jahre Zeit, um sich auf die neuen Regeln einzustellen. Mittlerweile ist die große Welle an Compliance- und Umsetzungsaufgaben hat sich gelegt. Nach Karstens Ansicht haben Unternehmen und Behörden damit ihren Frieden geschlossen. Christian setzt hier nochmal an und fragt, ob die Organisationen die Übergangszeit nicht verschlafen haben und erst kurz vor Ende wieder die große Panik ausgebrochen ist. Hier sieht Karsten stehen für Karsten aber nicht nur die Unternehmen in der Schuld. Es gab im Vorfeld ebenso ein Informationsdefizit bei den Aufsichtsbehörden. Es gab keine Kampagnen, um hier Awareness zu schaffen. Haben sich die Informationskampagnen verbessert - auch im Hinblick auf NIS2? Für Karsten wird die nationalstaatliche Umsetzung der NIS2-Richtlinie spannend, weil die Anzahl der Unternehmen der Kritischen Infrastruktur massiv steigen wird. Von jetzt 1.600 Unternehmen geht man von knapp 30.000 nach Umsetzung von NIS2 aus. Die Behörden haben dazugelernt, aber weiterhin gibt es Nachholbedarf. Es fehlen Unterlagen und Inhalte, womit Unternehmen direkt arbeiten können. Mit der DSK gibt es eine Datenschutzkonferenz, die ein Zusammenschluss der Datenschutzaufsichtsbehörden bei Bund und Ländern (Mehr Infos: https://www.datenschutzkonferenz-online.de/) [https://www.datenschutzkonferenz-online.de/)]. Auf der Webseite bietet die Konferenz kurze Handlungsempfehlung die Unternehmen bei der Sicherstellung des Datenschutzes enorm helfen. Hat die DSGVO zu einem stärkeren Problembewusstsein geführt? Ein Virenschutz und eine Firewall waren für viele Unternehmen vor 10 Jahren noch absolut ausreichend. Die DSGVO hat hier zu einem Umdenken und einem stärkeren Problembewusstsein geführt. IT-Sicherheit hat auch nach Karstens Ansicht mit der DSGVO eine stärkere Wahrnehmung erfahren. Organisationen haben begriffen, dass das Zeichnen einer TOM-Liste nicht ausreicht. Gleichsam ist aber auch das Bewusstsein in der Bevölkerung, Unternehmen und Behörden gestiegen, dass es beim Datenschutz um Betroffenenrechte geht. Mit dem Datenschutz sollen Grundrechte im digitalen Raum geschützt werden. Exportschlager DSGVO? Weltweit wird die DSGVO als Vorbild genommen, selbst in den USA ist das ein Thema. Das ist nicht nur geprägt von den heeren Rechtsgrundsätzen und der europäischen Rechtsauffassung, sondern schlicht ein kommerzieller Aspekt. Die Europäische Union ist ein enorm wichtiger Wirtschaftsmarkt. Wenn ich hier aus dem Ausland mitmachen will, muss ich mich den Rechtsgrundsätzen wie bspw. der DSGVO anpassen. Karsten sieht es dennoch als bemerkenswert, dass sich auch stark technologiegetriebene Länder wie die USA an der EU orientieren. Wie werden Betroffene in die Lage versetzt, ihren Datenschutz wahrzunehmen? Es gibt bei der DSGVO leider einen Spagat, der kaum zu tanzen ist. Ein Bein soll so weit aufklären, dass jeder Betroffene genau weiß was mit seinen Daten geschieht und er vollumfänglich aufgeklärt wird. Das andere Bein verlangt, dass es so einfach wie möglich erklärt werden muss. Wie das aber umgesetzt werden soll, beantwortet die DSGVO aber nicht. Karsten schlägt vor, dass man bei einer DSGVO 2.0 hier ansetzt und Verbesserungen schafft. Hat Deutschland beim Datenschutz eine Vorreiterrolle? Karsten ist bei dem Punkt hin und hergerissen. Deutschland hat auf der einen Seite rechtspolitisch solche Themen wie die DSGVO stark vorangetrieben, auf der anderen Seite jedoch legen die Aufsichtsbehörden den Datenschutz sehr streng aus, was eine Vorreiterrolle nicht gleichkommt. Sollte die DSGVO überarbeitet werden? Karsten glaubt, dass bei einer Überarbeitung der DSGVO eine Feinjustierung nicht ausreicht. Derzeit fehlt jedoch der politische Wille. Beispielsweise müsste das generelle Verbot mit Erlaubnisvorbehalt hinsichtlich der Verarbeitung, d.h. dass Daten ohne Erlaubnis generell nicht bearbeitet werden dürfen, das passt für Karsten nicht zusammen mit einer Informationsgesellschaft bei der Daten entstehen müssen, dürfen und sollen. Sein Vorschlag ist ein Übermaßverbot, das eine Erlaubnis der Datenverarbeitung bis zu einem bestimmten Level erlaubt. Aber auch auf unterschwelligem Niveau gibt es Verbesserungsbedarf. Bei grenzüberschreitenden Thematiken sollen sich die Aufsichtsbehörden besser abstimmen können. Auch bei der Dokumentationspflicht bei der sich viele Unternehmen schwer tun, sollte über eine Vereinfachung nachgedacht werden. Artikel 32 der DSGVO und der Stand der Technik Beim TeleTrust spielt der Begriff "Stand der Technik" schon seit vielen Jahren eine große Rolle. Hierzu wurde eine Handreichung veröffentlicht: https://www.teletrust.de/publikationen/broschueren/stand-der-technik/ [https://www.teletrust.de/publikationen/broschueren/stand-der-technik/]. Der Begriff ist hochkomplex. Karsten sieht den Artikel 32 als einen der besten Artikel der DSGVO, weil er ein extrem erkennbaren Außenerfolg zeitigt. Unternehmen und Verwaltungen haben in IT-Sicherheit investiert, da dieser Bereich der technischen und organisatorischen Maßnahmen im Datenschutz auf einem so hohen Level reguliert wurde, wie man es sonst nur aus dem IT-Sicherheitsgesetzen kannte. In Verbindung mit spürbaren Bußgeldern hat es dazu geführt, dass Organisationen die Umsetzung stark forciert haben. Hier hat der Teletrust mit der Handreichung zum Stand der Technik einen Leitfaden herausgebracht. Auch ESET hat hier mit einem Whitepaper wichtige Punkte verständlich zusammengefasst: https://www.eset.com/de/stand-der-technik/ [https://www.eset.com/de/stand-der-technik/]. Gerade um eine gewisse Rechtssicherheit im Schadensfall zu gewährleisten ist die Handreichung, aber auch das Whitepaper eine gute Lösung. Wichtig ist es beim "Stand der Technik" diesen als Prozess zu verstehen und regelmäßig zu überprüfen. Auch Karsten unterstreicht diesen Punkt, dass die Maßnahmen immer wieder auf ihre Wirksamkeit überprüft werden müssen. Die Häufigkeit kommt immer darauf an und lässt sich pauschal nicht sagen. Wie ist die Rechenschafts- und Dokumentationspflicht bei Unternehmen geregelt? Die DSGVO schreibt laut Karsten eine gewisse Beweislastumkehr vor. Unternehmen und Behörden müssen umfänglich nachweisen, dass alles was datenschutzrechtlich relevant ist auch eben rechtmäßig umgesetzt wird. Dazu zählt die Einhaltung der datenschutzrechtlichen Grundprinzipien, was eine Rechtsgrundlage, eine Zweckbestimmung und noch einige andere Punkte umfasst. Insbesondere zählt dazu aber auch die IT-Sicherheit. Dabei muss die Organisation jederzeit darlegen können, dass man sich mit allen Verarbeitungsvorgängen, Betroffenenanfragen und IT-Sicherheit richtig verhalte. Selbst dann noch, wenn eine Aufsichtsbehörde noch gar keinen Vorwurf gemacht hat. Das ist natürlich schwierig, wenn man keine Ende sieht und lädt die Aufsichtsbehörde zu diffusen Fragen ein, z.B. zum Stand der Technik. Was ist das Verbot mit Erlaubnisvorbehalt? Jegliche Datenverarbeitung mit Personenbezug ist zunächst verboten, wenn der Betroffene nicht explizit zustimmt. Maßgabe kann ein Vertrag sein, da es zur Durchführung schlicht erforderlich ist, oder die Einwilligung. Für Unternehmen kommt noch das berechtigte Interesse hinzu. Das bedeutet, dass keine Einwilligung nötig ist, aber man in der Situation wäre, dass die eigenen Interesse über denen des Betroffenen stehen und seine Rechte nicht im großen Rahmen beschränkt werden. NIS2 und Cyber Resilience Act: Wie werden Unternehmen hier reagieren? IT-Sicherheit wird für Karsten noch wichtiger und er empfiehlt Organisationen sich frühzeitig damit zu beschäftigen. Es kommt sehr viel auf sie zu, da die EU-Regulierung im Bereich IT-Sicherheit quasi in die Breite getragen wird. Das sieht man an der wachsenden Zahl kritischer Infrastrukturen mit der NIS2 Richtlinie. Zudem wird mit dem Cyber Resilience Act für Hersteller die Pflicht eines dauerhaften Schwachstellenmanagements geben. Deswegen sollte klare Informationskanäle und Siegel geschaffen werden. Hier geht die IT-Sicherheitsregulierung in die horizontale Richtung, aber auch in der vertikalen Richtung gibt es Veränderungen, weil viele Unternehmen durch die NIS2-Richtlinie zur kritischen Infrastruktur werden. Daher Karstens Rat sich frühzeitig mit dem Thema zu beschäftigen. Teletrust Handreichung "Stand der Technik": https://www.teletrust.de/publikationen/broschueren/stand-der-technik/ [https://www.teletrust.de/publikationen/broschueren/stand-der-technik/] ESET Whitepaper "Stand der Technik": https://www.eset.com/de/stand-der-technik/ [https://www.eset.com/de/stand-der-technik/] Materialien zum Thema Datenschutz: https://www.datenschutzkonferenz-online.de/ [https://www.datenschutzkonferenz-online.de/]