Frankfurt am Main
In den letzten Jahren hat die Cybersicherheit zunehmend an Bedeutung gewonnen, und mit dem Inkrafttreten der NIS2-Richtlinie am 17. Oktober wird die Notwendigkeit für Unternehmen, ihre IT-Sicherheit zu überprüfen, besonders deutlich. Dennis Weyel, ein anerkannter Cybersecurity-Experte und International Technical Director bei Horizon3.ai, hebt hervor, dass die Bundesregierung mit diesem entschlossenen Schritt gegen Internetkriminalität einen wichtigen Fortschritt erzielt hat.
Die NIS2-Richtlinie stellt strenge Anforderungen an die Cybersicherheit vieler Unternehmen und enthält klare Vorgaben zu Meldepflichten bei Cybervorfällen. Insgesamt wird geschätzt, dass etwa 29.500 Unternehmen in Deutschland, insbesondere die Betreiber kritischer Infrastrukturen, direkt betroffen sind. Andere Schätzungen sprechen sogar von bis zu 40.000 Unternehmen, die diese neuen Vorschriften einhalten müssen.
Erhöhter Bedarf an Penetrationstests
Weyel betont, dass viele betroffene Unternehmen nicht ausreichend auf die NIS2-Vorgaben vorbereitet sind. Horizon3.ai, das sich auf die Durchführung von Penetrationstests spezialisiert hat, verzeichnet zum ersten Mal in der Sommerzeit eine stark erhöhte Nachfrage nach diesen Tests. Die Unternehmen erkennen zunehmend, dass sie bis Mitte Oktober ihre IT-Netzwerke auf Cybersicherheitsstandards überprüfen müssen.
Die Pentesting-Plattform NodeZero wurde von Horizon3.ai ausgestattet, um der gestiegenen Nachfrage gerecht zu werden. Solche Tests sind entscheidend, da sie als erster Schritt dienen, um sicherzustellen, dass die entsprechenden Netzwerke gegen Cyberangriffe geschützt sind. Ein kleines Unternehmen mit nur 50 Angestellten hat möglicherweise nicht die Ressourcen eines großen Konzerns, sollte aber dennoch einen Sicherheitstest durchführen, um festzustellen, ob es den gesetzlichen Anforderungen genügt. Weyel empfiehlt, für diese Unternehmen den Kostenfreien Betroffenheitstest des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Anspruch zu nehmen.
Wesentliche Neuerungen im Bereich der Cybersicherheit, die mit NIS2 einhergehen, verlangen von den Unternehmen, ihre interne IT-Sicherheit regelmäßig zu überprüfen und entsprechende Nachweise vorzulegen. Penetrationstests bieten hierbei die Möglichkeit, die Widerstandsfähigkeit der IT-Infrastruktur unter realistischen Angriffsszenarien zu testen und so mögliche Schwachstellen identifizieren, die behoben werden müssen.
Persönliche Daten und soziale Netzwerke
Ein weiterer Aspekt ist die Notwendigkeit, sich gegen Social Engineering abzusichern. Horizon3.ai stellt fest, dass die autonomen Tests über NodeZero auch die Resilienz gegen solche Angriffe berücksichtigen. Angreifer nutzen häufig soziale Netzwerke, um persönliche Informationen zu sammeln, die ihnen helfen könnten, in Unternehmensnetzwerke einzudringen. Die Beseitigung von überflüssigen Zugriffsrechten und die Überprüfung des Berechtigungsmanagements sind essenzielle Maßnahmen, um potenzielle Sicherheitslücken zu schließen.
Ein Großteil der Unternehmen ist sich möglicherweise nicht bewusst, dass ihre Sicherheitsstrukturen verwundbar sein könnten. Weyel warnt davor, auf veraltete Schutzsysteme zu vertrauen, ohne diese regelmäßig auf ihre Wirksamkeit zu testen. Die Vielzahl an Cyberangriffen, die täglich in Deutschland stattfinden, stellt sicher, dass die Frage nicht mehr ist, ob eine Firma einen Penetrationstest durchgeführt hat, sondern wie aktuell dieser ist. Umso wichtiger ist es, stetig in die IT-Sicherheit zu investieren und sich auf die Herausforderungen von morgen vorzubereiten.
Mit NIS2 kommen auch neue Fachbegriffe auf. Begriffe wie AEV (Adversarial Exposure Validation) und CTEM (Continuous Threat Exposure Management) finden ihren Weg in die Fachsprache. Weyel erklärt, dass diese Konzepte nicht nur für die Tätigkeiten von Unternehmen im Bereich der Cybersicherheit von Bedeutung sind, sondern auch den regulatorischen Anforderungen entsprechen, die mit NIS2 verbunden sind.
Die potenzielle Anzahl an Unternehmen und Institutionen, die ab Oktober in den Fokus der NIS2-Richtlinien geraten, ist alarmierend. Branchen, die betroffen sind, reichen von Energie- und Transportsektor über Gesundheitswesen bis hin zu öffentlichen Verwaltungen und digitalen Anbietern. In dieser neuen Ära der Cyber-Sicherheitsvorschriften müssen sich die Unternehmen zusammenfinden und entsprechend aufstellen, um ihre Systeme vor potenziellen Bedrohungen zu schützen.