Cybersecurity – noch mehr Gefahren, noch mehr Auflagen

„Angespannte Sicherheitslage“, „Zunahme der Bedrohungen und Gefährdungen“, „herausgehobene Entwicklung bei DDoS-Angriffen“: Der Bericht zur Lage der IT-Sicherheit in Deutschland 2024, der am 12. November veröffentlicht worden ist, bestätigt die Befürchtungen vieler Unternehmer zur Cybersecurity. Sie stehen vor der Herausforderung, ihre digitale Infrastruktur gegen Cyberkriminelle zu wappnen, die immer professioneller, arbeitsteiliger und effizienter vorgehen. Gleichzeitig treten in Deutschland wie auch in Spanien neue EU-Auflagen in Kraft, die eine noch unbekannte Zahl von Unternehmen unter Androhung hoher Geldstrafen hinsichtlich einer langen Liste von Aspekten der IT-Sicherheit in die Pflicht nehmen – wenn denn mal die konkreten, nationalen Regeln feststehen. 

Die PlattesGroup räumt dem Thema gerade im Umgang mit den Mandanten höchste Priorität ein. Welche konkreten Entwicklungen derzeit zu beobachten sind und zu welchen Strategien ausgewiesene Experten raten, ist Thema einer Info-Veranstaltung am 7. Februar 2025 im Club der Mallorca Zeitung in Palma.

„Weg des geringsten Widerstands

Die immer wieder thematisierte Cyberspionage im Schatten geopolitischer Konflikte ist nur eines von vielen Problemen der IT-Sicherheit. Wie aus dem Bericht hervorgeht, sind vor allem Ransomware-Angriffe aufgrund des geringeren technologischen Aufwandes bei Nutzung von Ransomware-as-a-Service (RaaS) zum Massengeschäft geworden: „Zunehmend sind die kleinen und mittleren Unternehmen (KMU), aber auch Kommunen, Universitäten und Forschungseinrichtungen betroffen“, heißt es. „Dabei gehen die Angreifer nach wie vor oft den Weg des geringsten Widerstandes. Auch wenn gezielte Angriffe auf umsatzstarke Unternehmen registriert werden, suchen sich die Kriminellen tendenziell die am leichtesten angreifbaren Opfer aus. Je schlechter Organisationen ihre Angriffsflächen schützen, desto eher werden sie Opfer von Cyberangriffen.“ Vor diesem Hintergrund ist bedenklich, dass im Jahr 2023 täglich durchschnittlich 78 neue Schwachstellen bekannt wurden. Unterschätzt werden diese vor allem in sogenannten Perimetersystemen wie Firewalls und VPNs.

Beobachtet wird zudem, dass sich die cyberkriminelle Schattenwirtschaft weiter arbeitsteilig in Ransomware-Betreiber, deren Affiliates und Access Broker ausdifferenziert. Zugleich nutzten die Kriminellen alternative Angriffsflächen, wie etwa Zero-Day-Schwachstellen – also Schwachstellen, für die es noch keine Sicherheitsupdates gibt –, um ganz ohne Ransomware hohe Lösegelder mit der Drohung der Veröffentlichung der zuvor gezogenen Daten erpressen zu können. „Opfer waren neben überwiegend kleinen und mittleren Unternehmen insbesondere IT-Dienstleister und auch wieder Kommunen“, heißt es im Bericht über die Erpressungsversuche. Und: „Aufgrund der bereits in der Vergangenheit gezahlten hohen Lösegelder wird dieses Risiko auf unabsehbare Zeit bestehen.“

Cyberangriffe sind heftiger und zahlreicher

Weiter deutlich zugenommen haben Cyberangriffe, die Verzögerungen und Ausfälle von Websites über künstliche Anfragen herbeiführen. „Insbesondere im ersten Halbjahr 2024 nahmen Qualität und Häufigkeit von DDoS-Angriffen deutlich zu“, stellt der Bericht fest. So habe der Anteil hochvoluminöser DDoS-Angriffe mit einer Bandbreite von über 10.000 Megabit pro Sekunde bei monatlich durchschnittlich 13 Prozent gelegen und damit mehr als doppelt so hoch wie im langjährigen Durchschnitt mit 6,75 Prozent. „Sollte sich der Trend fortsetzen, wäre dies ein Indiz dafür, dass Angreifer gezielt Botnetz-Kapazitäten aufgebaut haben und künftig grundsätzlich mit mehr hochvoluminösen DDoS-Angriffen zu rechnen wäre.“

Umsetzung der EU-Vorgaben lässt auf sich warten

Der Lagebericht spricht eine klare Sprache: „Jedes Unternehmen, jede Behörde, jede wissenschaftliche oder soziale Einrichtung, jeder Einzelunternehmer – ganz Deutschland ist aufgerufen, eigene Angriffsflächen zu ermitteln und zu schützen.“ Gleichzeitig haben es die geplanten strengeren Regeln für mehr Cybersicherheit in Unternehmen und Institutionen, konkret das Umsetzungsgesetz für die EU-Richtlinie NIS2, zwar noch durch die erste Lesung im Bundestag und in den Innenausschuss geschafft. Doch wie es nach dem Aus der Ampel-Regierung nun damit weitergeht, ob der Bundestag das Gesetz endgültig beschließen wird, ist derzeit unklar. 

In Deutschland wie auch in Spanien ist der Stichtag, der für Klarheit sorgen sollte, ergebnislos verstrichen. Die Frist zur Umsetzung der Richtlinie, die europaweit im Januar 2023 in Kraft getreten war, endete am 17. Oktober. Trotz einer zweijährigen Vorlaufzeit haben die beiden Regierungen ihre gesetzgeberischen Hausaufgeben nicht rechtzeitig erledigt. Nun müssen sich Unternehmen auf die neuen Regeln vorbereiten, ohne sie in ihrer konkreten und verbindlichen Form zu kennen. „Gerade mittelständische Unternehmen tappen ein Stück weit im Dunkeln und haben bisher wenig unternommen, da vielen nicht klar ist, was in Deutschland genau umgesetzt werden muss“, sagt Frank Fengel, Geschäftsführer von Protektis, Consultingfirma für Cybersecurity, und einer von mehreren ausgewiesenen Experten, die bei der Info-Veranstaltung am 7. Februar einen Überblick über die Lage geben. 

Situation in Spanien

Nicht viel besser sieht es in Spanien aus. Auch eine interministerielle Arbeitsgruppe, die zur Beschleunigung der Umsetzung gebildet worden war, konnte nicht den entscheidenden Schub bringen. Im Gegensatz zu Deutschland stehen die Firmen vor sehr unterschiedlichen Herausforderungen, gilt doch die unternehmerische Landschaft als sehr heterogen: Es gibt große Unterschiede zwischen kleinen Betrieben (Pymes) und größeren Unternehmen. Hinzu kommt, dass Hacker oft Sicherheitslücken ausnützen, die nicht bei den Unternehmen selbst, sondern bei Kooperationspartnern oder Zulieferern bestehen.

Die Verunsicherung ist auch deswegen groß, da derzeit Hardwarehersteller, Softwarehersteller und Dienstleister reihenweise Lösungen für die Anforderungen dieser zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit versprechen und ihre Produkte anpreisen. Es herrscht so etwas wie „Goldgräberstimmung“, die manch einen an die Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 erinnert. Dabei muss zunächst geprüft werden, wer überhaupt von den neuen Regeln betroffen ist. Dazu muss man wissen: Zuallererst umfassen sie alle Betreiber kritischer Infrastrukturen (KRITIS) sowie beispielsweise Betreiber öffentlicher Netze. Dies sind in Deutschland aktuell rund 5.000 Unternehmen, deren Sicherheitsauflagen bereits jetzt gesetzlich reguliert sind.

Darüber hinaus nimmt NIS2 allein in Deutschland weitere rund 25.000 Unternehmen in die Pflicht. Dabei unterscheidet das Gesetz wichtige und besonders wichtige Einrichtungen – je nach Mitarbeiterzahl, Höhe des Jahresumsatzes und Branche gelten unterschiedlich strenge Auflagen. Das Problem: Die Auswahl wurde pauschal für ganze Branchen getroffen. So kann es kommen, dass zum Beispiel auch Betriebe für Haartrockner oder Stehlampen als Hersteller elektronischer Geräte größeren Umsetzungsaufwand haben. Klarheit verschafft eine Betroffenheitsprüfung auf der Website des Bundesamts für Sicherheit in der Informationstechnik. Da allerdings auch die Lieferkette abgesichert werden muss, müssen sich nicht wenige Firmen auf eine indirekte Betroffenheit einstellen, darauf, dass sie als Dienstleister oder Lieferanten in die Pflicht genommen werden.

Die Auflagen, für deren Umsetzung die Geschäftsführung geradestehen muss, haben eine weite Spannbreite. Sie reichen von der Risikoanalyse und Absicherung der Informationssysteme über Backup- und Krisenmanagement sowie Zugriffskontrolle und Authentisierung bis hin zur Meldung von Vorfällen. 

Ein weiterer Stichtag ist nun der 17. Januar 2025 – bis dahin muss die spanische Regierung einen Sanktionskatalog vorlegen, der bei Verstößen gegen die neuen Vorgaben zur Cybersecurity zum Einsatz kommt. Zwar hat die EU Rahmenbedingungen für das Strafmaß vorgegeben, die spanische Regierung muss dieses innerhalb der Vorgaben aber selbst definieren. Bei Verstößen drohen in Abhängigkeit von Umsatz- und Unternehmensgröße Bußgelder bis zu 10 Millionen Euro.

Event: Programm und Anmeldung