WeTalkSecurity - der ESET Podcast

Cyberversicherung - Schutzschild für Unternehmen im digitalen Zeitalter | Folge 39

Absicherung im Ernstfall: Erwartungen, Realität und Risiken In dieser Folge von „WeTalkSecurity“ geht es um Cyberversicherungen: warum sie für Unternehmen immer relevanter werden, was sie tatsächlich leisten, wo typische Ausschlüsse liegen und weshalb es im Schadenfall häufig zu Streit kommt. Christian Lueg spricht mit Dr. Jens Eckhardt über die aktuelle Bedrohungslage durch Cyberkriminalität, die wirtschaftlichen Risiken von Cyberangriffen, rechtliche Rahmenbedingungen wie BSI-Gesetz, DSGVO und DORA sowie darüber, worauf Unternehmen beim Abschluss und bei der Prüfung bestehender Policen unbedingt achten sollten. Außerdem: Anforderungen der Versicherer an die IT-Sicherheit, Erfahrungen aus der Schadenpraxis, Ransomware, Social Engineering und die Frage, wie sich der Markt für Cyberversicherungen weiterentwickeln wird. Über den Gast: Dr. Jens Eckhardt ist Fachanwalt für Informationstechnologierecht, Datenschutzauditor sowie IT-Compliance-Manager bei der Düsseldorfer Kanzlei pitc Legal. In seiner täglichen Praxis berät er Unternehmen an der Schnittstelle zwischen IT-Vorfall, Datenschutz und regulatorischer Verantwortung. Ein besonderer Fokus liegt dabei auf der Frage, wann aus einem Cyberangriff ein Haftungsfall wird – insbesondere für Geschäftsführer. Gastgeber: Christian Lueg Schwerpunkte und Inhalte der Episode: Aktuelle Bedrohungslage & wirtschaftliche Risiken: Cyberkriminalität nimmt weiter zu, Schäden wachsen exponentiell. Unternehmen müssen davon ausgehen, dass Angriffe stattfinden – es ist keine Frage des „Ob“, sondern des „Wann“. Bereits kurze Betriebsunterbrechungen können existenzbedrohend sein und auch persönliche Haftungsrisiken für Geschäftsleitungen auslösen. Warum Cyberversicherungen an Bedeutung gewinnen: Neben der finanziellen Absicherung spielen Unterstützungsleistungen eine zentrale Rolle: Incident Response, IT-Forensik, rechtliche Beratung, Krisen-PR und Unterstützung bei Meldepflichten. Viele Unternehmen sind organisatorisch nicht auf Cyberkrisen vorbereitet. Was Cyberversicherungen typischerweise abdecken: Je nach Police u. a. Kosten für Forensik und Wiederherstellung, Management von Datenschutzverletzungen, System- und Wiederbeschaffungskosten, erhöhte Betriebskosten sowie teilweise Schäden aus Betriebsunterbrechungen. Entscheidend ist immer der konkrete Versicherungsvertrag. Grenzen & Ausschlüsse: Häufig nicht oder nur eingeschränkt gedeckt sind Social-Engineering-Betrug, Reputationsschäden, Verlust von Geschäftsgeheimnissen oder geistigem Eigentum sowie bestimmte staatliche oder „kriegerische“ Angriffe. Die genaue Definition des versicherten „Cybervorfalls“ ist zentral. Typische Streitpunkte in der Schadenregulierung: Erfüllung der Sicherheitsvoraussetzungen („Stand der Technik“), Vorwürfe grober Fahrlässigkeit, Angemessenheit von Kosten sowie die Frage, ob eigene oder von der Versicherung vorgegebene Dienstleister eingesetzt werden dürfen. Anforderungen der Versicherer an die IT-Sicherheit: Versicherer orientieren sich zunehmend an gesetzlichen Mindeststandards, insbesondere aus BSI-Gesetz, DSGVO und DORA. Ohne nachweisbare technische und organisatorische Maßnahmen ist Versicherungsschutz gefährdet. Für wen ist diese Folge besonders relevant? Geschäftsführer & Vorstände IT-Leitung, IT-Security- und Compliance-Verantwortliche KMU, Mittelstand & regulierte Unternehmen Organisationen mit bestehenden oder geplanten Cyberversicherungen Unternehmen mit erhöhtem Ransomware- oder Lieferkettenrisiko Besondere Empfehlungen aus der Folge: 1. Bestehende Versicherungen prüfen: Was ist wirklich abgedeckt, was nicht? 2. IT-Sicherheitsniveau realistisch bewerten und dokumentieren. 3. Vertragsbedingungen, Ausschlüsse und Definitionen genau lesen. 4. Melde- und Incident-Prozesse vorab festlegen. 5. Cyberversicherung als Teil eines ganzheitlichen Resilienz-Konzepts verstehen – nicht als Ersatz für IT-Sicherheit. Weiterführende Links: * Kanzlei pitc Legal: https://pitc-legal.de/ [https://pitc-legal.de/] * ESET Whitepaper Versichert heißt nicht abgesichert [https://www.eset.com/de/nis2/whitepaper-versichert-vs-abgesichert/]":

Von Fake-Shops, Datenklau & vermeintlichen Schnäppchen | Folge 38

Sicher durch den Weihnachtsstress In dieser Folge sprechen Philipp Plum und Ildiko Bruhns über sicheres Online-Shopping in der Weihnachtszeit – von Fakeshops und Phishing bis hin zu Passworthygiene, 2-Faktor-Authentifizierung und sinnvollen Geräteeinstellungen. Außerdem geht’s um Einkäufe für Kinder (erstes Smartphone/Tablet, Konsolen & Spiele): Was Eltern beachten sollten, welche Jugendschutzeinstellungen helfen und warum Kommunikation wichtiger ist als Technik. Zum Mitnehmen gibt’s praxisnahe Checks, Tool-Tipps und Ideen für familienfreundliche Regeln. Gäste: Ildiko Bruhns (ESET, SaferKidsonline) Gastgeber: Philipp Plum Schwerpunkte und Inhalte der Episode Weihnachtsshopping: bequem, aber mit Köpfchen Ein Großteil der Geschenke wird online gekauft – Bequemlichkeit trifft Risiko. Fehlt die persönliche Beratung, müssen Käufer selbst genauer hinsehen: Anbieter prüfen, Impressum lesen, Widerruf/Retourenbedingungen checken und bei „zu gut, um wahr zu sein“-Deals skeptisch bleiben. Fakeshops & Phishing: so entlarvt ihr Fallen Paketdienst-Phishing (DPD/DHL) ist inzwischen täuschend echt – E-Mails und Login-Seiten wirken professionell, Fehler sind selten. Absenderdomain aufdecken, Links nicht blind tippen und verdächtige URLs mit Linkcheckern prüfen; Bewertungen (z. B. Trusted Shops) helfen, unseriöse Händler zu erkennen. Homoglyph-Tricks & Social Ads Kriminelle missbrauchen ähnlich aussehende Zeichen („rn“ ≈ „m“) in Domains – auf dem Handy kaum zu erkennen. Auch Social-Media-Ads pushen vermeintliche Schnäppchen, die anderswo für einen Bruchteil auftauchen. Daher: URL genau prüfen, Preisvergleiche machen, Misstrauen bewahren. Grundhygiene: starke Passwörter, 2FA & sauberes Netz Lange, einzigartige Passwörter pro Shop und 2-Faktor-Authentifizierung sind Pflicht. Nur offizielle App-Stores nutzen, öffentliche WLANs meiden oder abgesichert verwenden; auf HTTPS achten und eine aktuelle Sicherheitslösung am Gerät halten. Eltern-Kit: das erste Gerät gemeinsam einrichten Kurzsperre/Display-Lock setzen, Datenschutz- und Jugendschutzeinstellungen durchgehen, In-App-Käufe deaktivieren bzw. mit Passwort/2FA schützen und altersgerechte Inhalte begrenzen. Chats/Server in Spielen prüfen (Moderation), Drittanbieter-Sperren und nur seriöse Stores verwenden. Regeln statt Dauerstress: Mediennutzungsvertrag & Dialog Technik ersetzt kein Gespräch: Bildschirmzeiten und Spielregeln gemeinsam festlegen (z. B. Mediennutzungsvertrag), nachvollziehbar erklären und konsequent, aber fair umsetzen. Als Alternative zu offenen Zahlungswegen eignen sich Guthaben/Prepaid-Lösungen mit festem Limit. Smart Toys nicht vergessen – Kameras/Mikrofone bewusst konfigurieren. Für wen ist diese Folge besonders relevant? * Online-Shopper * Eltern * Lehrkräfte & Schulsozialarbeiter * Alle, die in der Peak-Season sicher einkaufen wollen Besondere Empfehlungen aus der Folge: 1. Linkchecker & Bewertungen nutzen (ESET/Verbraucherzentrale), Domains genau prüfen (Homoglyphen!). 2. Passwortmanager + 2FA bei allen Shops/Plattformen aktivieren. 3. Nur offizielle App-Stores verwenden; Vorsicht bei Drittanbieter-APK/Download-Portalen. 4. Erstes Kindergerät gemeinsam einrichten: Jugendschutz, Altersfreigaben, In-App-Käufe blocken; Chats/Server moderieren. 5. Mediennutzungsvertrag und klare Zeitregeln – Technik + Dialog statt Verbote im Alleingang. Weiterführende Links * ESET Linkchecker: https://www.eset.com/de/home/link-checker/ [https://www.eset.com/de/home/link-checker/] * Verbraucherzentrale Fakeshopfinder: https://www.verbraucherzentrale.de/fakeshopfinder [https://www.verbraucherzentrale.de/fakeshopfinder] * Safer Kids Online: https://saferkidsonline.eset.com/de [https://saferkidsonline.eset.com/de] * Mediennutzungsvertrag: https://www.mediennutzungsvertrag.de/ [https://www.mediennutzungsvertrag.de/]

Cybergefahr nonstop - was das für Managed Services bedeutet | Folge 37

Welche Rollen spielen Managed Services bei der Cybersecurity und warum werden diese immer wichtiger? Thema der Folge In dieser Episode sprechen Christian Lueg (ESET) und Christoph Wolf (SITS) über die zentrale Bedeutung von Managed Services für Unternehmen in einer Zeit, in der Cyberangriffe zum Alltag gehören. Angesichts des Fachkräftemangels und ständig wachsender Bedrohungen sind professionelle, externe Dienstleistungen zur IT-Sicherheit besonders gefragt. Managed Services entlasten nicht nur das IT-Personal, sondern bieten die Möglichkeit, Security ganzheitlich und effizient „by Design“ im Unternehmen zu verankern. Gäste und Hintergrund * Christian Lueg, Host und Security-Experte bei ESET * Christoph Wolf, Director Practice Secure IT Services, SITS – europäischer Dienstleister mit Aktivitäten in Deutschland, Schweiz, Dänemark und Benelux Was sind Managed Services? Managed Services im Bereich Cybersecurity sind ausgelagerte Sicherheitsdienste, bei denen ein spezialisierter Anbieter umfassende Aufgaben wie Überwachung, Bedrohungserkennung, Incident Response, Compliance und Schwachstellenmanagement übernimmt. Unternehmen profitieren so von regelmäßig aktualisierten Schutzmaßnahmen, fortlaufender Expertise und skalierbaren Kosten. Aktuelle Bedrohungslage und Herausforderungen * Die Bedrohungen haben sich von vereinzelten Angriffen zu ganzheitlichen „Cybercrime as a Service“-Modellen entwickelt, darunter Ransomware-as-a-Service und staatlich unterstützte Attacken. * Unternehmen benötigen entsprechend robuste, kontinuierliche und standortbezogene Schutzkonzepte. * Automatisierung und Künstliche Intelligenz (KI) spielen dabei auf beiden Seiten eine immer größere Rolle: Für Verteidiger wie für Angreifer. * Technologie-Trends und Kundenanforderungen * Cloudifizierung, Abo-Modelle und der Einsatz moderner SOCs (Security Operations Center) sind Schlüsseltrends. * Nachfrage nach europäischen und lokalen Lösungen steigt, etwa für Souveränität und Datenschutz. * Unternehmen haben verschiedene Bedürfnisse: Vom Full-Service Outsourcing bis zu punktueller Unterstützung und flexiblen Verantwortungsmodellen („Responsibility Model“). * Moderne Schutzmaßnahmen wie Zero Trust, MDR (Managed Detection & Response) und herstellerneutrale SOCs werden zunehmend gefragt. * Vorteile für Unternehmen * Zugang zu breitem Know-how und Tools, die intern oft nicht verfügbar sind. * Hohe, standardisierte Sicherheitsstandards und schnelle Skalierbarkeit von Services. * Transparenz und Servicequalität dank Self-Service-Portalen, dedizierten Servicemanagern und abgestimmten SLAs. * Unternehmen können sich stärker auf ihr Kerngeschäft konzentrieren und IT-Sicherheit als zuverlässigen Prozess gestalten. * Zentrale Kompetenzen und Ausblick * Neben technischer Expertise sind Prozessverständnis und teamorientierte Zusammenarbeit entscheidend. * KI und Automatisierung werden die Branche weiter prägen und bieten sowohl Chancen (Effizienz, Sicherheit) als auch Risiken (Missbrauch durch Angreifer). * Zukünftige Themen sind neben KI die Weiterentwicklung von Cloud-Technologien und langfristig auch Herausforderungen durch Quantencomputing. Abschluss & Ausblick Die Folge schließt mit Blick auf neue Trends und Herausforderungen in der IT-Security und bedankt sich bei Christoph Wolf für das Interview. Die nächste WeTalkSecurity-Episode erscheint wie gewohnt mit aktuellen Themen rund um IT-Sicherheit und Digitalisierung. Weiterführende Links * Whitepaper der SITS zum Thema Managed Services [https://eu1.hubs.ly/H0pR9xY0] * ESET Infoseite zum Thema NIS2 [https://www.eset.com/de/nis2/]

NIS2: Wo stehen wir jetzt? | Folge 36

Wie weit ist die Umsetzung? Was hat sich geändert? Und worauf müssen sich Unternehmen einstellen? In dieser Folge von „WeTalkSecurity“ geht es um den aktuellen Stand der NIS2-Umsetzung in Deutschland, die Gründe für die Verzögerung, zentrale Inhalte des neuen Regierungsentwurfs und was Unternehmen jetzt konkret tun sollten. Philipp Plum spricht in Jena mit Maik Wetzel (ESET) über Änderungen gegenüber früheren Entwürfen, die Ausweitung des Geltungsbereichs, Meldepflichten an das BSI, mögliche „Goldplating“-Aspekte in Deutschland und die europäische Perspektive. Außerdem: realistische Zeitschiene für das Umsetzungsgesetz und Auswirkungen auf Lieferketten. Gast: Maik Wetzel, Strategic Business Development Director DACH bei ESET Gastgeber: Philipp Plum Schwerpunkte und Inhalte der Episode: Status & Verzögerung der NIS2-Umsetzung: Nach dem Regierungswechsel startet das Verfahren formell neu. Es liegt ein Regierungsentwurf vor, die 1. Lesung im Bundestag findet in dieser Woche statt. Zielkorridor: Ende 2025 bzw. Januar/Februar 2026 für das nationale Umsetzungsgesetz – auch wegen des laufenden EU-Vertragsverletzungsverfahrens. Was bleibt: Ziele & Mindeststandards (§30): Kern von NIS2 ist unverändert: Resilienz erhöhen und Sicherheitsniveau harmonisieren. Die im Entwurf verankerten Risikomanagementmaßnahmen (sinngemäß §30) gelten als vernünftige Mindeststandards – nichts „Raketenwissenschaft“, eher solide „Hausverstand“-Sicherheit, die jedes Unternehmen etablieren sollte. Geltungsbereich & Betroffenheit: Von ~1.800 KRITIS-Unternehmen steigen wir auf rund 29.500 betroffene Einrichtungen. Unternehmen sollen ihre Betroffenheit prüfen (z. B. via BSI-Entscheidungsbaum) und auf dieser Basis Maßnahmen einleiten. Pflichten: Melden & Umsetzen: Es kommt ein dreistufiges Melderegime an das BSI. Wichtig: Für die Umsetzung der Mindeststandards gibt es keine Übergangsfrist mit Inkrafttreten – Fristen beziehen sich primär auf Nachweise usw. Wer betroffen ist, sollte jetzt in der Umsetzung sein. Streitpunkte im Regierungsentwurf: Kritik gibt es u. a. an einer faktischen Absenkung des Sicherheitsniveaus in der Bundesverwaltung (zunächst nur Ministerien & Kanzleramt erfasst) sowie an der Betroffenheitslogik: teils zählt die Gesamtgröße des Unternehmens, auch wenn nur ein kleiner Bereich im relevanten Sektor tätig ist. EU-Perspektive, Harmonisierung & „Goldplating“: Als Richtlinie führt NIS2 zu 27 Umsetzungs-gesetzen – Harmonisierung bleibt damit begrenzt. Deutschland geht in Teilen über die Richtlinie hinaus (z. B. zusätzliche Kategorie „Betreiber kritischer Anlagen“, strengere Akzente bei Haftung/Meldepflichten), was insbesondere KMU belasten kann. ** Für wen ist diese Folge besonders relevant? ** IT-Verantwortliche & Geschäftsführungen im Mittelstand ISBs/DSBs KRITIS-Organisationen Compliance-/Rechtsabteilungen Unternehmen mit europaweiten Standorten oder Lieferkettenbezug zu NIS2 Besondere Empfehlungen aus der Folge: 1. Betroffenheit jetzt prüfen (BSI-Leitfäden/Entscheidungsbaum nutzen) und Maßnahmen anschieben. 2. Risikomanagement systematisch umsetzen (Assets/Prozesse bewerten, Schutzniveau ableiten, kontinuierlich nachsteuern). 3. Meldewege & Nachweise früh klären; Reporting-Prozesse und Verantwortlichkeiten festlegen. 4. Lieferkette berücksichtigen: Anforderungen an Zulieferer/Partner definieren und prüfen (indirekte Betroffenheit). 5. Ressourcen planen: ISMS, Schulungen, Technik-Baseline – keine Hauruck-Aktion kurz vor Inkrafttreten. Weiterführende Links: * BSI: Betroffenheitsanalyse NIS2 [https://betroffenheitspruefung-nis-2.bsi.de/] * EU-NIS2-Richtlinie [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555]

Made in EU: Qualitätsversprechen in der IT-Sicherheit? | Folge 35

Sichere Herkunft, klare Regeln: Warum ‘Made in EU’ zum Wettbewerbsfaktor wird. In der aktuellen Folge von „WeTalkSecurity“ dreht sich alles um „Made in EU“ in der IT-Sicherheit – und warum europäische Herkunft, gemeinsame Rechtsrahmen und transparente Lieferketten immer wichtiger werden. Philipp Plum spricht dazu mit Thorsten Urbanski, Leiter der TeleTrusT-Initiative „IT Security made in EU“. Im Mittelpunkt stehen digitale Souveränität, die Vorteile des EU-Rechtsrahmens (u. a. DSGVO), Kriterien des TeleTrusT-Siegels, NIS2-Anforderungen sowie praktische Entscheidungshilfen für Beschaffung und Betrieb – von No-Backdoor-Selbstverpflichtungen über Update-Versorgung bis hin zu Awareness und KRITIS-Bezug. Über den Gast Thorsten Urbanski ist Kommunikations- und Sicherheitsexperte bei ESET und engagiert sich seit vielen Jahren für vertrauenswürdige IT-Sicherheitslösungen aus Europa. Als Leiter der TeleTrusT-Initiative „IT Security made in EU“ setzt er sich für transparente Lieferketten, klare Compliance-Standards und eine No-Backdoor-Selbstverpflichtung ein. In Medien, Branchenverbänden und Unternehmen vermittelt er zwischen Technik, Regulierung und Praxis – mit Fokus auf digitale Souveränität, NIS2-Umsetzung und praxistaugliche Security-Strategien. Digitale Souveränität & EU-Rechtsrahmen „Made in EU“ heißt: gleiche Spielregeln für Anbieter und Kunden – von DSGVO bis zu europäischen Aufsichts- und Haftungsmechanismen. Das vereinfacht Verträge, klärt Verantwortlichkeiten und schafft Vertrauen bei Datenverarbeitung, Incident-Handling und Forensik. TeleTrusT-Siegel „IT Security made in EU“ Das Siegel steht für klare Kriterien wie Transparenz, nachvollziehbare Lieferketten und eine ausdrückliche No-Backdoor-Selbstverpflichtung. Unternehmen gewinnen damit ein greifbares Qualitäts- und Vertrauensmerkmal, das in Ausschreibungen und Audits hilft. Beschaffung mit Praxisfokus Statt nur Feature-Listen zu vergleichen, lohnt der Blick auf Herkunft, Update-Versorgung, Support-SLAs und Referenzen. Wer früh mit Security- und Compliance-Teams spricht, reduziert Integrationsrisiken und beschleunigt die Inbetriebnahme. NIS2 & Compliance von Beginn an mitdenken NIS2 verlangt Prozesse, Nachweise und kontinuierliche Verbesserung – nicht nur Technik. Wer Anforderungen in Policies, Schulungen und Monitoring überführt, senkt Umsetzungsaufwand, vermeidet Reibungsverluste und ist audit-ready. KRITIS & Resilienz in der Lieferkette Kritische Infrastrukturen brauchen vor allem Verlässlichkeit: transparente Roadmaps, reproduzierbare Updates und klare Eskalationspfade. Europäische Hersteller mit nachvollziehbarer Wertschöpfung erleichtern Risikoanalysen und Notfallplanung. Security als kontinuierlicher Prozess Produkte sind wichtig – der Unterschied entsteht im Betrieb: Messen, priorisieren, nachschärfen. Mit Awareness, regelmäßigen Tests und gelebten Verantwortlichkeiten wird aus „Made in EU“ ein dauerhafter Sicherheitsgewinn. Weiterführende Links Zum Thema NIS2: https://wetalksecurity.podigee.io/34-haftung-nis2 [https://wetalksecurity.podigee.io/34-haftung-nis2] https://wetalksecurity.podigee.io/23-nis2-wie-ist-der-aktuelle-stand [https://wetalksecurity.podigee.io/23-nis2-wie-ist-der-aktuelle-stand] Zur NIS2-Schwerpunktseite von ESET: https://www.eset.com/de/nis2/ [https://www.eset.com/de/nis2/] Studie zu Made in EU in der IT-Sicherheit [https://eset2nd.my.salesforce.com/sfc/p/#0Y000001lCTe/a/Vk000003jeZ3/p8QLpyTBHqP5rbhqAoQNI7Z7g0O2KU4CB1Z66pvppC0] Zur Made in EU-Website von ESET: https://www.eset.com/de/about/made-in-eu/ [https://www.eset.com/de/about/made-in-eu/]