Kommt das IT-Sicherheitsgesetz? Warum Unternehmen jetzt schon in ihre Cloud-Security investieren sollten
Erlenbach am Main (ots)
Der Countdown läuft, und die Frist bis Oktober 2024 ist alles andere als großzügig. Die neue EU-Richtlinie NIS2 wird das bisherige IT-Sicherheitsgesetz 2.0 stark verändern und den Anwendungsbereich deutlich erweitern. Während bisher vor allem größere Unternehmen mit kritischer Infrastruktur im Fokus standen, müssen bald auch kleinere und mittelständische Unternehmen ihren Cybersecurity-Plan überdenken.
"Andere Länder sind in Sachen IT-Sicherheit schon weiter. Wir haben hier dringenden Handlungsbedarf, und Unternehmen sollten nicht auf das Gesetz warten, sondern bereits jetzt in ihre Cloud-Sicherheit investieren", warnt Diplom-Mathematiker und IT-Profi Andreas Schwan. Warum Unternehmen jetzt schon in ihre Cloud-Security investieren sollten und was sie dabei beachten sollten, verrät er in diesem Beitrag.
Hintergrund: Daten zu NIS2
Die Abkürzung NIS2 steht für Network and Information Systems. Die Richtlinie, die seit Januar 2023 in Kraft getreten ist, entspricht der Gesetzgebung, die in der gesamten EU die Cybersicherheit erhöhen soll. Im Gegensatz zur bisher geltenden NIS-Richtlinie nimmt die Erweiterung NIS2 auch kleine und mittelständische Unternehmen in die Pflicht, ihren Betrieb aktiv gegen Cyberangriffe zu schützen. Spätestens im Oktober 2024 müssen verschiedene Maßnahmen umgesetzt sein.
Planung: Umsetzung von NIS2 in Deutschland
In Deutschland wurden im April und im Juli 2023 Entwürfe vorgestellt, wie NIS2 umgesetzt werden soll. Wie schon der Vorgänger, das IT-Sicherheitsgesetz 2.0, soll auch das sogenannte "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" (NIS2UmsuCG) aus mehreren Gesetzesartikeln bestehen, die unter anderem das Bundesgesetz für die Sicherheit in der Informationstechnik (BSIG) enthalten. Außerdem sehen die Entwürfe vor, dass nun auch kleinen und mittelständischen Unternehmen Pflichten zur Gewährleistung der Cybersecurity auferlegt werden.
Dazu gehören unter anderem Risikomanagementmaßnahmen, Meldepflichten bei Cybersicherheitsvorfällen und Registrierungspflichten beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Besonders kritische Einrichtungen müssen zusätzlich Systeme zur Angriffserkennung implementieren. Separat wurden Betriebe, die dem Energie-Sektor angehören, behandelt. Die Pflichten, die für sie aus NIS2 entstehen, werden überwiegend im Energiewirtschaftsgesetz EnWG verankert.
Konkret: Pflichten von Unternehmen aufgrund von NIS2
Ab Oktober 2024 müssen Unternehmen aus 18 verschiedenen Sektoren, in denen mindestens 50 Mitarbeiter beschäftigt sind und die einen Mindestumsatz von 10 Millionen Euro haben, Cybersecurity-Maßnahmen ergreifen. Unter anderem sollen sie dabei internationale Normen (z. B. ISO/IEC 27001) beachten. Außerdem wird der regelmäßige Nachweis von Risikobewertungen und Audits verpflichtend. Kommt es zu Sicherheitsvorfällen, sind diese an die zuständigen Behörden zu melden. Auch die Mitarbeiter müssen regelmäßige Trainings zur "Cyberhygiene" durchführen. Zuletzt sollen die Sicherheitsmaßnahmen nicht nur im eigenen Unternehmen gewährleistet sein, sondern in der gesamten Lieferkette eines Betriebs. Weigert sich ein Geschäftsführer, die Vorgaben von NIS2 umzusetzen, haftet er persönlich und kann mit Bußgeldern bis 20 Millionen Euro belangt werden.
Empfehlung: Vorbereitung auf die Umsetzungen
Bereits jetzt können Unternehmen einige Maßnahmen zur Cloud-Security ergreifen. Dabei erfordert die Sicherung von Cloud-Umgebungen eine ganzheitliche Strategie, die die technologischen, organisatorischen und menschlichen Aspekte der Sicherheit berücksichtigt. Es ist wichtig, dass Unternehmen ihre Sicherheitsmaßnahmen regelmäßig überprüfen und anpassen, um auf neue Bedrohungen und Entwicklungen in der Cloud-Sicherheit zu reagieren. Die folgenden Maßnahmen können als Orientierung dienen:
- Identifizierung von Bedrohungen und Risiken: Bevor Unternehmen Sicherheitsmaßnahmen ergreifen können, ist es wichtig, die spezifischen Bedrohungen und Risiken für ihre Cloud-Infrastruktur zu verstehen. Dies kann durch eine umfassende Risikobewertung erfolgen.
- Zugangs- und Identitätsmanagement (IAM): Unternehmen sollten strikte Kontrollen für den Zugriff auf ihre Cloud-Ressourcen implementieren. Dies umfasst die Verwaltung von Benutzer-IDs, Passwörtern, Zwei-Faktor-Authentifizierung und die Berechtigungen für Benutzer und Anwendungen.
- Datenverschlüsselung: Die Verschlüsselung von Daten ist entscheidend, um sicherzustellen, dass selbst bei einem Sicherheitsvorfall keine sensiblen Informationen in falsche Hände geraten. Dies beinhaltet die Verschlüsselung von Daten im Ruhezustand und während der Übertragung.
- Sicherheit auf Anwendungsebene: Unternehmen sollten sicherstellen, dass ihre in der Cloud gehosteten Anwendungen und APIs sicher entwickelt und konfiguriert sind. Dies umfasst das Patchen von Schwachstellen und die Implementierung von Web Application Firewalls (WAFs).
- Netzwerksicherheit: Die Konfiguration von Netzwerksicherheitsgruppen, Firewalls und Intrusion Detection/Prevention Systemen (IDS/IPS) in der Cloud ist wichtig, um unautorisierten Zugriff auf Ressourcen zu verhindern.
- Cloud-spezifische Sicherheitsdienste: Die meisten Cloud-Provider bieten spezielle Sicherheitsdienste und Tools an, die Unternehmen nutzen können, um ihre Cloud-Umgebungen zu sichern. Dazu gehören Cloud-Sicherheitsgruppen, Identitäts- und Zugangsmanagementdienste sowie Cloud-Sicherheitsinformationen und -ereignisse (SIEM).
- Überwachung und Protokollierung: Eine umfassende Überwachung und Protokollierung von Aktivitäten in der Cloud ist unerlässlich, um potenzielle Sicherheitsvorfälle zu erkennen und darauf zu reagieren.
- Incident Response Plan: Unternehmen sollten einen gut durchdachten Incident Response Plan haben, der im Falle eines Sicherheitsvorfalls umgehend umgesetzt werden kann, um den Schaden zu begrenzen und die Ursache zu ermitteln.
- Schulung und Sensibilisierung: Mitarbeiter sollten in Bezug auf sicheres Cloud-Nutzungsverhalten geschult und sensibilisiert werden, da menschliche Fehler oft eine Hauptursache für Sicherheitsvorfälle sind.
- Compliance-Anforderungen: Unternehmen sollten sicherstellen, dass ihre Cloud-Sicherheitspraktiken den geltenden Compliance-Anforderungen und Datenschutzvorschriften entsprechen, die auf ihre Branche und Region zutreffen.
Über Andreas O. Schwan:
Als Experte für das Management von Informationen und Daten unterstützt Dipl. - Math. (FH) Andreas O. Schwan Konzerne sowie kleine und mittelständische Unternehmen dabei, ihrer Datenmengen zielführend zu organisieren und sie gewinnbringend einzusetzen. Auf diese Weise öffnet er seinen Kunden die Tore zu schnellerem Wachstum und mehr Umsatz.
Pressekontakt:
Dipl. - Math. (FH) Andreas O. Schwan
https://symbiontek.com
E-Mail: a.schwan@symbiontek.com
Pressekontakt:
Ruben Schäfer
redaktion@dcfverlag.de
Original-Content von: Symbiontek, übermittelt durch news aktuell