Regulierung

„Neuartige Risiken abwehren„

Cyberschutz: Betroffene Unternehmen sollten ihr Sicherheitsniveau beurteilen und etwaige Lücken schließen

19.12.2024

DUP Redaktion

CRA, NIS-2 und CER – die EU stärkt mit neuen Sicherheitsgesetzen ihre Cyberabwehr. Marlitt Stolz vom IT-Sicherheitsspezialisten Secunet erklärt, was Unternehmen zu Cybersecurity-Gesetzen wissen müssen und welche Gefahren ihnen durch Künstliche Intelligenz drohen.

Marlitt Stolz

leitet bei Secunet den Bereich Management Systems & Audit und ist auf ISMS- sowie SOC/ SIEM-Projekte spezialisiert, insbesondere auf den Aufbau von Security-Operation-Centern und die Einführung von SIEM-Systemen in komplexen Organisationen

DUP UNTERNEHMER-Magazin: CER, NIS-2 und CRA – worum geht es bei all den Cyberregulierungen?

Marlitt Stolz: Die Botschaft der EU bei den Regulierungen ist klar: Alle Mitgliedstaaten sollen sich an dieselben Sicherheitsstandards halten, um ein gemeinsames hohes Sicherheitsniveau aufrechtzuerhalten. So zielt die Critical Entities Resilience Directive, kurz CER, darauf ab, die physische Widerstandsfähigkeit kritischer Einrichtungen zu stärken und organisatorische sowie technische Maßnahmen, von Risikomanagement bis zur Meldung von Sicherheitsvorfällen, zu fördern. Die EU-Mitgliedstaaten mussten die Bestimmungen im Laufe des Oktobers in nationales Recht umsetzen, was auch für die Directive on Security of Network and Information Systems, kurz NIS-2, gilt. NIS-2 hat das Ziel, die Cybersicherheit innerhalb der EU zu verbessern, indem die Richtlinie Unternehmen verpflichtet, robuste Sicherheitsmaßnahmen zu implementieren. Der Cyber Resilience Act oder CRA wurde auf EU-Ebene bereits beschlossen, wird in Kürze in Kraft treten und ist dann unmittelbar wirksam. Er zielt darauf ab, die Wider- standsfähigkeit von Produkten mit digitalen Elementen zu erhöhen. Wir raten Unternehmen, sich frühzeitig mit den komplexen Anforderungen auseinanderzusetzen – es ist ein Marathon, kein Sprint.

Wie unterstützt Ihr Unternehmen speziell den Mittelstand bei der Umsetzung der komplexen Anforderungen aus NIS-2?

Stolz: Mit Analyse, Beratung und unseren Produkten. Wir empfehlen im ersten Schritt eine Betroffenheitsanalyse mit den Parametern Sektorzugehörigkeit, Mitarbeitendenanzahl, Jahresumsatz und Jahresbilanzsumme. Betroffene Unternehmen sollten im nächsten Schritt eine Gap-Analyse durchführen, in der das vorhandene Sicherheitsniveau beurteilt wird. Zudem bieten wir Unternehmen mit dem NIS-2-Check-up eine Standortbestimmung, die ihnen Aufschluss über ihre Compliance-Situation gibt und potenzielle Sicherheitslücken aufdeckt. Cybersecurity ist inzwischen Chefsache – es können große Schäden im Kerngeschäft entstehen und hohe Bußgelder verhängt werden.

Künstliche Intelligenz gilt in der Cyberkriminalität als Büchse der Pandora – welche Gefahren drohen Unternehmen künftig in diesem Bereich?

Stolz: KI verstärkt die Risiken im Cyberraum erheblich. Ein Beispiel ist Data-Poisoning, bei dem Trainingsdaten für KI-basierte Chatbots oder andere Large Language Models, kurz LLMs, manipuliert werden. Beim Adversarial Machine-Learning werden diese durch minimale Veränderungen in die Irre geführt; so könnte ein selbst- fahrendes Auto ein Stoppschild als Tempo-50-Schild wahrnehmen. Hacker können LLMs auch ausnutzen, um automatisiert nach Schwachstellen zu suchen. Zudem ermöglichen Deepfakes täuschend echte Fälschungen in Bild und Ton. Unternehmen müssen sich auf diese neuen Bedrohungen einstellen und ihre Abwehr entsprechend verstärken. Secunet unterstützt sie insbesondere bei der Identifikation von neuartigen Risiken und bei der Etablierung von Abwehrmechanismen.