All Stories
Follow
Subscribe to Horizon3.AI Europe GmbH

Horizon3.AI Europe GmbH

Cybersicherheit: Dringender Handlungsbedarf für 30.000 Firmen

Frankfurt am Main (ots)

Experte: Mittelstand sollte neue NIS2-Vorschriften für Cyberresilienz ab Oktober ernst nehmen

Die deutsche Wirtschaft muss sich dringend auf die neuen Anforderungen zur Cyberresilienz aus dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vorbereiten, mahnt Dennis Weyel, International Technical Director mit Zuständigkeit für Europa beim Sicherheitsunternehmen Horizon3.ai. NIS2 - das Kürzel steht für "Netzwerk- und Informationssicherheit" - wird rund 30.000 Unternehmen in Deutschland betreffen, schätzt der Cybersicherheitsexperte. "Die Zeit drängt", sagt Dennis Weyel, weil mit dem Inkrafttreten zum Oktober dieses Jahres zu rechnen sei.

40 Prozent aller Firmen ab 50 Beschäftigte sind betroffen

Nach Einschätzung des Sicherheitsfachmanns gehen weite Teile vor allem der mittelständischen Wirtschaft davon aus, von NIS2 nicht betroffen zu sein, weil die neue Richtlinie nur für die Betreiber sogenannter Kritischer Infrastrukturen (KRITIS) gelte. "Das ist ein Irrtum. In Wirklichkeit unterliegen rund 40 Prozent aller Firmen ab 50 Beschäftigte in Deutschland den NIS2-Regularien", sagt Dennis Weyel. Unter die Richtlinie fallen nämlich nicht nur die Unternehmen in den vom Gesetzgeber genannten Branchen, sondern auch alle Zulieferer und Dienstleister dazu.

Die betroffenen Branchen sind Abfall- und Abwasserwirtschaft, Bankwesen, Chemie, digitale Infrastruktur, Energiewirtschaft, Finanzwesen, Forschung, Gesundheitswesen, IKT-Dienstleistungen, Lebensmittel, Medizinprodukte, Öffentliche Verwaltung, Post- und Kurierdienste, Transport, Trinkwasser, Weltraum, Maschinen, Fahrzeuge und elektrische/elektronische Geräte. "Firmen, die Unternehmen aus einer dieser Branchen im Kundenkreis haben, sollten sich auf jeden Fall auf NIS2 vorbereiten", empfiehlt Dennis Weyel.

Die Erfüllung der vom Gesetzgeber verlangten NIS2-Anforderungen wird vielen mittelständischen Unternehmen schwerfallen, befürchtet der Sicherheitsexperte. Er zählt auf, womit sich Firmen alles beschäftigen müssen, um den NIS2-Kriterien zu genügen: Risikobewertungen, Sicherheitsvorfälle, Kryptografie, IT-Sicherheitstrainings, Sicherheit bei der IT-Beschaffung, Authentifizierung, Beschäftigte mit Zugang zu sensiblen Informationen, Betriebsführung während und nach einem Sicherheitsvorfall, Supply Chain und Wirksamkeit aller dieser Sicherheitsmaßnahmen.

Stichprobe: Nur 20 Prozent der Firmen sind vorbereitet

Eine Stichprobe unter 300 vor allem mittelständischen Unternehmen im Auftrag von Horizon3.ai förderte zutage, dass lediglich 20 Prozent der Firmen bereits Maßnahmen ergriffen haben, um NIS2 zu genügen. Ein weiteres Viertel gab an, dass ihnen die neuen Sicherheitsanforderungen zumindest "teilweise bekannt" seien und sie entsprechende Maßnahmen planten.

Für bemerkenswerte 43 Prozent sind die neuen gesetzlichen Auflagen in Sachen Cybersecurity kein Thema oder sie sehen keinen Handlungsbedarf. 17 Prozent verlassen sich schlichtweg darauf, dass sich ihre Lieferanten und Geschäftspartner entsprechend auf den aktuellen Stand bringen. Ein knappes Zehntel fühlt sich "ausreichend geschützt". "Die Ergebnisse lassen auf eine gewisse Blauäugigkeit in Sachen Cybersicherheit schließen", analysiert Dennis Weyel. Er räumt allerdings ein: "Es wird für viele Mittelständler schlichtweg unmöglich sein, sich rechtzeitig um alle NIS2-Belange zu kümmern."

Experte empfiehlt regelmäßige Penetrationstests

Daher empfiehlt der Sicherheitsexperte dem Mittelstand, die eigene Infrastruktur mit hoher Regelmäßigkeit sogenannten Penetrationstests zu unterziehen. Bei den im Fachjargon "Pentests" genannten Maßnahmen wird im Firmenauftrag ein Generalangriff aus dem Internet auf die eigene IT-Infrastruktur durchgeführt.

"Es gibt wohl keinen besseren Weg als eine umfassende Attacke auf das eigene Netzwerk, um dessen Widerstandsfähigkeit in der Praxis zu überprüfen", erklärt Dennis Weyel, dessen Sicherheitsfirma Horizon3.ai selbst eine Cloudplattform für Pentesting betreibt. Er erläutert: "Auf dem Bankensektor sind Pentests in Form von Stresstests durch die EZB schon jahrelang Usus. Rechtzeitig vor dem NIS2-Start können nun auch kleine und mittlere Firmen via Cloud diese Königsdisziplin der Cybersicherheitsüberprüfung für sich in Anspruch nehmen."

Nach Einschätzung des Sicherheitsfachmanns decken regelmäßige Penetrationstests wesentliche NIS2-Anforderungen ab. "Ein professioneller Angriff auf die eigene IT-Infrastruktur stellt wohl die ehrlichste Form der Risikobewertung dar", sagt er.

Nicht genug Pentesting-Experten, um die Nachfrage zu decken

Diejenigen, die Penetrationstests durchführen, sind hochqualifizierte Experten mit Zertifizierungen wie OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker) und vielen anderen. Die Herausforderung für Unternehmen besteht darin, dass es nicht genügend zertifizierte Penetrationstester gibt, um den Bedarf zu decken. Aus diesem Grund suchen Unternehmen nach Lösungen, die es ihnen ermöglichen, selbst Pentests durchzuführen, indem sie autonome Pentesting-Plattformen wie NodeZero verwenden, um die NIS2-Anforderungen zu erfüllen.

Über Horizon3.ai und NodeZero: Horizon3.ai bietet unter der Bezeichnung NodeZero eine Cloud-basierte Plattform an, mit der Unternehmen und Behörden einen Selbstangriff auf ihre IT-Infrastruktur durchführen können, um ihre Cyberresilienz zu überprüfen (sog. Penetration Tests oder Pentests). Die Kosten sind aufgrund des Cloud-Konzepts niedrig, so dass regelmäßiges Pentesting auch für mittelständische Firmen erschwinglich ist. Horizon3.ai analysiert die Cybercrime-Szene permanent, um neu aufkommende Schwachstellen über die Cloud sofort berücksichtigen zu können. NodeZero deckt die Sicherheitslücken nicht nur auf, sondern gibt zugleich konkrete Hinweise zur Behebung. Mit der Plattform hilft Horizon3.ai Unternehmen und Behörden, den steigenden regulatorischen Anforderungen an Cyberresilienz nachzukommen, die nahelegen, mindestens einmal wöchentlich inhouse einen Selbstangriff durchzuführen. Kostenlose Testversion: www.horizon3.ai.

Warenzeichenhinweis: NodeZero ist ein Trademark von Horizon3.ai

Pressekontakt:

Weitere Informationen: Horizon3.AI Europe GmbH,
Sebastian-Kneipp-Str. 41, 60439 Frankfurt am Main,
Web: www.horizon3.ai

PR-Agentur: euromarcom public relations GmbH,
Tel. 0611/97315-0, Web: www.euromarcom.de,
E-Mail: team@euromarcom.de

Original content of: Horizon3.AI Europe GmbH, transmitted by news aktuell

More stories: Horizon3.AI Europe GmbH
More stories: Horizon3.AI Europe GmbH
  • 26.06.2024 – 10:15

    Report: Sicherheitslücken in Software und Datendiebstahl sind die größten Cyberrisiken

    Frankfurt am Main (ots) - Cyber Security Report 2024 von Horizon3.ai für Deutschland, Österreich und die Schweiz "Es ist ein Trugschluss zu glauben, dass Software unangreifbar gemacht werden kann oder dass defensive Cyber-Abwehrmethoden ausreichen - jede Software ist angreifbar", warnt Cyber-Sicherheitsexperte Rainer M. Richter. "Unternehmen setzen in der Regel ...

  • 12.06.2024 – 10:18

    Schutz vor Hackern: Neue Studie deckt "Sicherheitschaos" auf

    Frankfurt am Main (ots) - - Cyber Security Report 2024 von Horizon3.ai für Deutschland, Österreich und die Schweiz - Cyber-Sicherheitsexperte Rainer M. Richter beklagt "Sicherheitschaos in der Wirtschaft": "Mehr als ein Drittel der Firmen wurde in den letzten zwei Jahren mindestens dreimal von Hackern angegriffen. Gut ein weiteres Viertel weiß nicht einmal, ob ein Angriff stattgefunden hat. Der Hälfte aller ...

  • 29.05.2024 – 10:40

    Neuer Rapid Response Service gegen aktuelle Cyber-Gefahren

    Neuer Rapid Response Service gegen aktuelle Cyber-Gefahren - Unternehmen können sofort prüfen, von welchen neuen Sicherheitslücken sie betroffen sind - Hohe Kostenersparnis, weil nur die Lücken gestopft werden, die die eigene Firma betreffen Frankfurt am Main, 29. Mai 2024 – Jeden Tag werden rund 70 neue Schwachstellen in Software­programmen aufgedeckt, die von Hackern für Cyberangriffe ausgenutzt werden können, ...