WeTalkSecurity - der ESET Podcast

Die europäische NIS2-Richtlinie definiert, welche Mindestanforderungen zukünftig bei der IT-Sicherheit gelten und wie sich insbesondere Unternehmen der kritischen Infrastruktur künftig schützen müssen. In Folge 18 spricht Christian Lueg mit ESET Security-Experte Maik Wetzel darüber, wie die Richtlinie die Cyber-Sicherheit in deutschen Unternehmen verändern wird und über die Herausforderungen, die diese bis zum 18. Oktober 2024 meistern müssen.

Über den Gast Der studierte Betriebswirt Maik Wetzel verfügt über mehr als 30 Jahre Berufserfahrung in der IT Industrie. Seit 2009 liegt sein beruflicher Fokus im Bereich IT-Sicherheit. Bei ESET verantwortet Maik Wetzel seit 2020 die strategische Geschäftsentwicklung in der DACH-Region. In dieser Rolle fokussiert er sich auf die Identifikation und Erschließung neuer Geschäftsfelder und vertikaler Märkte sowie auf die Entwicklungen nachhaltiger, strategischer Partnerschaften für ESET in der DACH-Region. Er vertritt ESET in den Gremien wichtiger Verbände und tritt regelmäßig als Speaker auf Konferenzen und als Spezialist und Experte in Panels oder Roundtables in Erscheinung.

Um was geht es bei NIS2? Auch in dieser Folge von WeTalkSecurity geht es um die europäische NIS2 (Netz- und Informationssysteme)-Richtlinie, die spätestens bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden muss. Mittels der Richtlinie werden Mindestanforderungen an die IT-Sicherheit von Unternehmen und Organisationen definiert, insbesondere für Unternehmen der kritischen Infrastruktur (KRITIS), die zukünftig zu erfüllen sind. Ziel ist es damit die Cyber-Sicherheit und die Resilienz insgesamt zu verbessern, die zwischenstaatliche Zusammenarbeit bei der Bekämpfung von Cyberkriminalität zu fördern und EU-weite Mindeststandards zu definieren.

Wie wird in Deutschland reguliert werden? Zwar existiert in Deutschland bisher nur ein informeller Referentenentwurf, doch daran lässt sich schon erkennen wie die Richtlinie in Deutschland ausgestaltet werden soll, findet Maik Wetzel: In Zukunft werden insgesamt 18 Wirtschaftssektoren unter die Richtlinie fallen, abhängig von ihrer Größe. Statt bisher etwa 5.000 Unternehmen, die unter die derzeit geltende NIS-Richtlinie fallen, werden bald etwa 29.000 Unternehmen von NIS2 betroffen sein. Ihnen werden strengere Compliance-Anforderungen in Punkto IT- und Datensicherheit auferlegt.

Staat und Verwaltung werden ebenfalls betroffen sein. Allerdings ist bisher noch offen, inwieweit die Anforderungen nur für Bundes und Landesbehörden oder auch für die kommunale Ebene gelten werden. Dies könnte zu einem schwer überschaubaren Flickenteppich führen beziehungsweise könnte die Stärkung der Cyber-Resilienz im kommunalen Sektor ausbleiben.

Was müssen Unternehmen in Punkto NIS2 tun? Die Unternehmen sind in der Pflicht, selbst aktiv zu werden und selbst zu ermitteln, ob NIS2 für sie gilt und gegebenenfalls die notwendigen Maßnahmen zu ergreifen. Zukünftig ist eine Registrierung über das Bundesamt für Informationssicherheit (BSI) geplant, über die Unternehmen erfahren können ob sie reguliert sind und Unterlagen zur Prüfung einreichen können. Regulierte Unternehmen können sich auf der organisatorischen Ebene, aller Voraussicht nach, auf die notwendige Einführung eines Informationssicherheits-Management-Systems zur Risikobewertung von IT-Assets einstellen. Daraus müssen Schutzmaßnahmen abgeleitet werden. Auf der technischen Ebene könnten Multi-Faktor-Authentifizierung, Verschlüsselung bestimmter Daten und die Vorhaltung von Backup-Systemen vorgeschrieben werden. Dazu kommen, für besonders wichtige Unternehmen, Systeme zur Angriffserkennung.

Welche Systeme genau vorgeschrieben sein werden, wird dem Gesetz nicht entnehmbar sein. Wahrscheinlich müssen die Systeme dem jeweils aktuellen „Stand der Technik“ entsprechen, mindestens müssen sie angemessen sein. Organisationen müssen sich also auf dem Laufenden halten und ihre Sicherheitsmaßnahmen immer wieder kritisch hinterfragen.

Auch Zulieferer und Leitungsorgane sind in der Pflicht Über die 29.000 betroffenen Unternehmen hinaus werden auch Zulieferer betroffen sein. Das betrifft zum Beispiel digitale Lieferketten. Künftig könnten auch Geschäftsführer und andere Verantwortliche für mangelnde Cyber-Sicherheit in Haftung genommen werden.

Was verbirgt sich hinter dem Rechtsbegriff „Stand der Technik“? Mehr dazu ist der Folge 16 von WeTalkSecurity zu entnehmen: Stand der Technik in der IT-Sicherheit: Lösungsansätze und Tipps aus der Praxis. Außerdem lässt sich dies im ESET Whitepaper „IT-Security auf dem Stand der Technik“ nachlesen, das hier heruntergeladen werden kann.

Digital soll eine Zeitenwende in Deutschland anbrechen. Zunehmende Angriffe im Cyberraum beschäftigen deutsche Unternehmen und Behörden. Was bedeutet das für den Wirtschaftsstandort und ist man für die Herausforderungen gut aufgestellt? Wie sehen die Standards aus und besteht dort Nachholbedarf? Darüber spricht Thorsten Urbanski in der heutigen Folge mit Stefan Becker vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und Leiter der Allianz für Cybersicherheit sowie Markus Bartsch von der TÜV Informationstechnik GmbH (TÜViT).

Die Allianz für Cybersicherheit (https://www.allianz-fuer-cybersicherheit.de/) ist ein Public Private Partnership mit 6.500 Mitgliedern und bereits seit über einem Jahrzehnt aktiv. Teilnehmer der Allianz sind Kommunen, Behörden, Unternehmen und Organisationen. Alle wollen das Thema Cybersicherheit voranbringen. Ziel ist es Awareness und Resilienz zu schaffen. Stefan Becker sieht weiterhin ein großes Feld, was bestellt werden muss. Viele Unternehmen sind beim Thema IT-Sicherheit noch immer zu unbekümmert. Dennoch sieht er gerade seit Beginn des Ukrainekriegs starke Rückfragen zum Thema, um die eigene Sicherheit zu verbessern. Ein schönes Zitat von Stefan: "Es muss nicht übermorgen alles perfekt sein, aber man sollte morgen damit beginnen."

IT-Sicherheit muss in Unternehmen als Prozess verstanden werden, gerade hier setzt die Allianz für Cybersicherheit an und gibt Hilfestellungen. Die Digitalisierung schafft immer wieder neue Herausforderungen, hier muss dann auch die IT-Sicherheit angepasst werden. Die Zeitenwende umfasst aber auch Standards. TÜViT ist unter anderem bei den Common Criteria aktiv (https://www.tuvit.de/de/leistungen/hardware-software-evaluierung/common-criteria/). Diese Zertifikate sind international und dienen zur Prüfung von IT-Security Komponenten. Common Criteria ist allgegenwärtig, beispielsweise sindn viele Karten in der Brieftasche nach diesen Standards geprüft. Markus Bartsch schätzt, dass jeder Bürger in seiner Brieftasche bereits acht bis zehn Common Criteria zertifizierte Lösungen vorhanden sind. Das gesamte digitale Leben ist mit dem Standard durchsetzt. Insgesamt gibt es sieben Level der Common Criteria. Je höher das Level desto vertrauenswürdiger und genauer geprüft ist die Lösung. Darüber hinaus gibt es noch weitere Prüfverfahren zur Zertifizierung für bestimmte Anwendungsverfahren. Common Criteria wird auch von der ENISA (https://www.enisa.europa.eu/) europaweit gelauncht, da es universell einsetzbar ist.

Wie sieht das BSI Lagebild aus? Stefan Becker sagt, dass die Gefahrenlage bereits vor dem Ukrainekrieg sehr hoch war. Es ist eine neue Komponente hinzugekommen. Zum einen gab es einen Satelittennetzbetreiber deren Betrieb gestört wurde, vermutlich um die Kommunikation der ukrainischen Armee zu stören. Gestört wurden dabei aber auch die Kommunikation von Teilen der Feuerwehren in Frankreich und auch von Windparks in Deutschland. Hierbei wurde der Fernzugriff gestört. Ein weiteres Beispiel war ein mittelbarer Effekt als der Krieg im Februar begann haben sich Hackergruppen positioniert. Hierbei wurden russische Firmen attackiert. Zu diesen Betrieben gehören Rosneft sowie auch Rosneft Deutschland. Das Unternehmen betreibt Raffinerien und versorgt deutsche Firmen mit Öl und Treibstoff. Durch die Cyberangriffe gab es große Probleme, die mit enormen Aufwand bewältigt wurden. Die Beispiele zeigen, dass ein Krieg solche Effekte auch in Deutschland erzielen können.

Ist Deutschland im Bereich Digitalisierung gut aufgestellt? Markus stellt klar, dass in Deutschland viele Basistechnologien genutzt werden, die nicht von hier stammen. Hier besteht Nachholbedarf. Die IT-Sicherheits-Branche ist aber in Deutschland und Europa sehr gut aufgestellt. Markus vermisst vielmehr grundsätzliche europäische Basislösungen. Stefan Becker sieht ebenfalls, dass Unternehmen bei der Suche nach Sicherheitsanbietern sehr wohl anschauen wo diese herkommen. Das Thema Souveränität hat an Bedeutung gewonnen. Über 20.000 Sicherheitslücken wurden dem BSI im vergangenen Jahr gemeldet. Bei Log4j hat das BSI sehr schnell und umfassend reagiert. Zukünftig will das BSI hier noch mehr Sichtbarkeit schaffen mit der Software Bill of Materials, eine Art Produktübersicht. Zudem kommt das Common Security Advisory Framework (https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Industri...

Der Begriff Stand der Technik geistert seit der Datenschutzgrundverordnung (DSGVO) durch die IT-Landschaft. Auch mit der neuen Gesetzgebung im Rahmen der NIS2-Richtlinie kommt der Begriff wieder in den Fokus. Bereits in einer vorherigen Folge haben wir den Stand der Technik aus juristischer Sicht beleuchtet. In der heutigen Folge wollen wir aber einen Schritt weitergehen und über konkrete Maßnahmen sprechen, um einen Stand der Technik in der IT-Sicherheit einzuhalten. Christian Lueg spricht hierzu mit Michael Schröder, Manager of Security Business Strategy DACH bei ESET.

Über den Gast Michael Schröder ist als Technologieexperte und Datenschutzbeauftragter für die strategische Ausrichtung von ESET Produkten und Services in Deutschland, Österreich und der Schweiz zuständig. Michael ist seit mehr als 25 Jahren in der IT-Welt unterwegs und kennt die Branche aus verschiedenen Blickwinkeln. Neben seiner umfassenden Expertise im Bereich Datenschutz und -sicherheit verfügt er über ein vertieftes Wissen rund um Authentifizierungslösungen, Verschlüsselung, Cloud-Sandboxing, Endpoint Detection and Response und Threat-Intelligence Services.

WeTalkSecurity hat in der heutigen Folge ein Heimspiel und nimmt die Folge im Trainingszentrum von Borussia Dortmund auf. Der BVB hat uns dankenswerter Weise einen Raum zur Verfügung gestellt. Bereits in einer der vorherigen Folgen ging es um den juristischen Begriff "Stand der Technik" und was das für die IT-Sicherheit bedeutet. Michael Schröder hat zusammen mit Stefan Sander das ESET Whitepaper zum Thema "Stand der Technik" geschrieben. Das Whitepaper ist hier verfügbar: https://www.eset.com/de/stand-der-technik/

Was bedeutet der Begriff "Stand der Technik"? Laut Michael glauben viele Menschen den Begriff "Stand der Technik" erklären zu können. Wenn es aber konkret wird im Hinblick auf IT-Security, ist es meist sehr schwer und viele stoßen schnell an Grenzen. "Stand der Technik" bezeichnet zunächst einen gängigen juristischen Begriff, der jedoch von keinem anerkannten Institut oder Behörde konkret erläutert und sagt, wie der Stand der Technik in der IT-Sicherheit erreicht wird. Daher muss der Stand der Technik immer wieder neu bewertet werden und festgelegt werden.

Warum ist es so schwer geeignete Maßnahmen abzuleiten? Ob Verein oder DAX-Unternehmen, viele erwarten eine Handlungsanleitung an die ich mich orientieren kann. Das funktioniert beim Stand der Technik nicht und ist für jede Organisation unterschiedlich und individuell in Hinblick auf Größe und Risiken. Zero Trust Security ist hier eine konkreter Lösungsansatz. Bereits in der Vergangenheit haben wir bei WeTalkSecurity darüber gesprochen (https://wetalksecurity.podigee.io/5-zero-trust-digitale-souveraenitaet). Mit diesem Zero Zrust Security-Modell und dem zugrundeliegenden Reifegradmodell sollen Hilfesuchende eine Handreichung bzw. Orientierung mit zahlreichen Empfehlungen erhalten. Es geht dabei immer um den Grundsatz Risikominimierung. Beispiele für angemessene Maßnahmen sind immer schwer zu geben. Es gibt laut Michael Schröder aber einen Common Sense in der IT-Security. Wichtig und für jede Organisation entscheidend ist eine Risikoanalyse und sollte dokumentiert werden. Hierdurch kommen auch organisatorische Maßnahmen hinzu wie Risikomanagement, Schulung der Mitarbeiter usw. Das ist ein kontinuierlicher Prozess. Sind diese Hausaufgaben gemacht, können technische Maßnahmen folgen. So können bestimmte, in der Risikoanalyse festgestellte, Angriffsvektoren gezielt mit passgenauen technischen Lösungen geschlossen werden. Ein konkretes Beispiel ist eine Organisation mit vielen Mobilgeräten wie eine mobile Krankenpflege. Hier sind sensible Daten im Umlauf, die im Hinblick auf die DSGVO besonders schützenswert sind. Hier ist der Schutzbedarf natürlich deutlich höher wie bei einer Hotelrezeption, die einen festen PC im Einsatz hat. Auch Borussia Dortmund hat mit hochsensiblen Daten andere Anforderungen. Wie diese aussehen, haben wir bei WeTalkSecurity im vergangenen Jahr mit dem IT-Chef des BVB Stephan Horst besprochen (https://wetalksecurity.podigee.io/8-bvb). Viele Organisationen können diese Risikoanalyse gar nicht alleine durchführen. Hier ist es wichtig auf externe Hilfe und geschulte Experten in dem Bereich zurückzugreifen.

**Was bringt ein Reifegradmodell und wie setze ich das um? ** Das Reifegradmodell besteht aus verschiedenen Stufen und beginnt mit der Stufe 0. Diese erste Stufe bietet für die heutige Zeit keinen ausreichenden Schutz mehr. Mit Stufe 1 ist aber bereits ein Level der IT-Sicherhei...

- Hinweis: Wer Schweizerdeutsch nicht versteht, könnte beim Hören dieser Folge vor große Herausforderungen gestellt werden -

Auch in der Schweiz hat ESET während der ESET Security Tour 2022 einen Stopp gemacht. Mit WeTalkSecurity haben wir unseren Partner Creanet in Geuensee besucht und eine besondere Folge in "Schwiizertüütsch" (Schweizerdeutsch) aufgenommen. Mit Damian Troxler und Sandro Kocher von Creanet sowie Rainer Schwegler von ESET spricht Christian Lueg über die neuesten Entwicklungen im Bereich IT-Sicherheit und welche Herausforderungen durch die Digitalisierung es für Unternehmen zu lösen gilt.

Wer ist die Creanet? Creanet ist ein IT-Dienstleister und bietet massgeschneiderte Lösungen für Unternehmen im Bereich IT-Service, Web-Service und Digital-Signage. Die Firma wurde 1998 gegründet und befindet sich in Geuensee. Weitere Informationen gibt es auf der Webseite von Creanet: https://www.creanet.ch/home

Die Situation nach Corona Durch die Corona-Pandemie ist das Thema Home-Office für Damian bei vielen Unternehmen viel präsenter geworden. Zum einen besteht eine quantitative Herausforderung dies zu realisieren, zum anderen müssen diese Arbeitsplätze auch umfassend qualitativ abgesichert werden. Bring-Your-Own-Device ist in diesem Kontext eine große Herausforderung für Unternehmen. Welche Geräte haben Mitarbeiter und ihre Familie in ihrem Heimnetzwerk? Rainer ergänzt noch, dass viele Unternehmen keine adäquate Hardware für ihre Mitarbeiter bereitstellen konnten und die Versorgung mit neuen Geräten bis heute angespannt ist.

Angriffsszenarien durch Corona RDP Angriffe haben seit Corona Hochkonjunktur. Es gab zum Ende der Pandemie durchschnittlich 206 Milliarden Angriffe auf das Protokoll weltweit pro Tag. Für Sandro hat sich das Sicherheitsbewusstsein verbessert. In den Köpfen ist angekommen, dass VPN und andere Dinge wichtig sind. Dennoch werden viele Sicherheitsvorkehrungen durch Unwissen umgangen, weil USB-Sticks, private Kopien und anders für wichtige Geschäftsdaten genutzt werden. Rainer ergänzt, dass IT-Dienstleister wie die Creanet hier ein wichtiger Partner für Unternehmen sind.

Hat die Pandemie das IT-Sicherheitsbewusstsein gestärkt? Sandro bejaht diese Frage. Viele Unternehmen haben eine klare Zugriffsregelungen auf sensible Daten. Für Rainer ist Flexibilität ein wichtiger Punkt. Shared-Desks sind ein wichtiger Punkt in vielen Unternehmen. Für Damian ist aber klar, dass das die richtige Infrastruktur benötigt. Gerade Access Management ist bei vielen Unternehmen nicht in den Köpfen. Hier muss häufig Aufklärungsarbeit geleistet werden, denn so sind bei Verlust von Zugangsdaten die Infrastruktur offen wie ein Scheunentor. Sandro ergänzt, dass das Beispiel RDP nicht erst seit Corona ein Thema war, aber durch die Pandemie und die zahlreichen Medienberichte in die Köpfe als Gefahr gelangt ist.

Warum setzt Creanet auf ESET? Damian sagt, dass ESET ein umfassendes Sicherheitsprodukt bietet und ein hervorragendes Preis-/Leistungsverhältnis bietet. Der Schutz ist sehr gut mit perfekter Performance. Wichtig für die Kunden der Creanet ist das Monitoring, wo ESET sehr gut aufgestellt ist.

Office 365: Wie ist die Entwicklung gerade bei der IT-Sicherheit? Für Damian ist das Bedarfsbewusstsein im Wandel und nimmt zu. Viele Unternehmen haben die Wichtigkeit auch hier eine Sicherheitslösungen einzusetzen aber noch nicht erkannt. Rainer Schwegler empfiehlt, dass nicht der Hersteller gleichzeitig auch die Schutzlösung anbieten sollte. Diversität ist hier wichtig. Ein Mehr-Augen-System bringt hier viele Vorteile. Damian unterstreicht diese Aussagen. Er sieht den Bereich Cloud und Microsoft Office 365 als wichtigen Wachstumsbereich.

Neue Datenschutzgesetze, wie sollten Schweizer Unternehmen reagieren? Damian weist darauf hin, dass der Umgang mit Daten noch wichtiger wird. Der Aufbewahrung, Verwaltung und Zugriff kommt eine noch größere Bedeutung zu. Die Verschlüsselung wird ein sehr wichtiges Thema werden. Auch Awareness muss hier geschaffen werden, denn Phishing, insbesondere Spear-Phishing, ist bei gezielten Attacken ein beliebter Angriffsvektor. Rainer ergänzt, dass auch dem Schutz der Mobilgeräte mehr Bedeutung beigemessen werden muss. Hier besteht noch Nachholbedarf. Abschließend sagt Damian, dass dem Thema Cybersicherheit spannende Zeiten bevorstehen.

In unserer digitalisierten Welt ist die IT-Infrastruktur unverzichtbar geworden. Ein Geschäftsbetrieb, unabhängig von der Branche, ist ohne IT nicht mehr denkbar. Fällt ein Zahnrad aus, kann das schwerwiegende Folgen haben. Doch wie schafft man eine resiliente IT-Infrastruktur? Worauf muss man beim Kauf achten? Welche rechtlichen Aspekte müssen berücksichtigt werden? In der aktuellen Folge von WeTalkSecurity spricht Christian Lueg mit Karsten U. Bartels, Rechtsanwalt bei HK2 Rechtsanwälte und stellvertretender Vorstandsvorsitzender im Bundesverband IT-Sicherheit e.v. (TeleTrust).

Über den Gast Karsten U. Bartels ist Rechtsanwalt und Partner bei HK2 in Berlin. Zusätzlich ist er Geschäftsführer der HK2 Comtection GmbH. Er hat einen Master in Rechtsinformatik und ist als zertifizierter Datenschutzbeauftragter (TÜV) qualifiziert.

Neben seiner beruflichen Tätigkeit hat Karsten U. Bartels einen Lehrauftrag an der Ludwig-Maximilians-Universität München, wo er im Bereich IT-Sicherheitsrecht unterrichtet. Er engagiert sich auch stark in verschiedenen Fachverbänden: Er ist Vorsitzender der Arbeitsgemeinschaft IT-Recht im Deutschen Anwaltverein e.V. und stellvertretender Vorstandsvorsitzender des Bundesverbands IT-Sicherheit e.V. (TeleTrust). Mehr Infos gibt es hier: https://www.hk2.eu/de/

"Recht und Sicherheit im digitalen Zeitalter" Das Hauptthema der Folge ist “Recht und Sicherheit im digitalen Zeitalter”. Es wird betont, dass IT-Sicherheit und eine resiliente IT-Infrastruktur für Unternehmen unerlässlich sind. Christian und Karsten diskutieren, wie Unternehmen eine solche Infrastruktur schaffen können und welche rechtlichen Aspekte dabei zu beachten sind.

EU-Regulierungen Karsten erläutert, dass die EU-Regulierungen, wie die DSGVO, die IT-Sicherheit in den Mitgliedstaaten verbessert haben. Er weist jedoch auf die Herausforderungen hin, die durch die zunehmende Anzahl von Gesetzen und Richtlinien entstehen. Es wird diskutiert, ob die EU eine “Regulierungsflut” entfacht hat oder ob diese Maßnahmen notwendig waren, um den aktuellen digitalen Realitäten gerecht zu werden.

Unkenntnis und Umsetzung Viele Unternehmen sind sich der rechtlichen Anforderungen und ihrer Gestaltungsspielräume nicht bewusst. Es gibt eine große Unkenntnis über Gesetze wie das Geschäftsgeheimnisschutzgesetz und die NIS2-Richtlinie. Karsten betont, dass Unternehmen oft nicht wissen, welche Maßnahmen sie ergreifen müssen, um gesetzeskonform zu sein, und dass dies zu einer unzureichenden Umsetzung von IT-Sicherheitsmaßnahmen führt.

Empfehlungen Karsten gibt konkrete Empfehlungen, wie Unternehmen ihre IT-Sicherheitsmaßnahmen überprüfen und anpassen können, um den gesetzlichen Anforderungen gerecht zu werden. Er rät dazu, interdisziplinäre Teams zu bilden und klare Verträge zu schließen, die den Stand der Technik berücksichtigen. Unternehmen sollten sich ein Lagebild verschaffen, Prioritäten setzen und einen Umsetzungsplan erstellen, um die IT-Sicherheit kontinuierlich zu verbessern.

Weiterführende Links:

TeleTrust Handreichung zum Thema "Stand der Technik": https://www.teletrust.de/publikationen/broschueren/stand-der-technik/ ESET Informationsseite zur NIS2-Richtlinie und dem "Stand der Technik": https://www.eset.com/de/nis2/