Der Countdown läuft: Bis 17. Oktober 2024 ist NIS2 (Network and Information Systems Directive) in nationales Recht umzusetzen. Nach dem Inkrafttreten des Gesetzes drohen Unternehmen bei Nichteinhaltung hohe Strafen. Betroffen davon sind „Wichtige Einrichtungen“ und „Wesentliche Einrichtungen“, zu denen auch Betriebe der digitalen Infrastruktur zählen. Doch was verbirgt sich hinter der neuen EU-Richtlinie, welche To Dos ergeben sich für Unternehmen und vor allem: welche Vorteile bringt NIS2?

Die NIS2 Richtlinie verfolgt das Ziel, ein gemeinsames hohes Niveau der Cybersicherheit von Netz- und Informationssystemen in der EU zu schaffen. Wie die Richtlinie national umgesetzt werden wird, regelt das nationale Recht, konkret das NISG 2024. Die neue Richtlinie ersetzt den Vorgänger NIS1 und sorgt für eine Modernisierung des Rechtsrahmens, die vor allem durch zunehmende Digitalisierung und eine veränderte Bedrohungslandschaft erforderlich ist. Sie zielt darauf ab, die Cybersicherheit zu stärken, legt Sicherheitsstandards für Netz- und Informationssysteme fest und regelt den Umgang im Falle von Sicherheitsvorfällen. Kurz gesagt: Es geht um Risikomanagementmaßnahmen, Meldepflichten und eine Verantwortlichkeit des Top-Managements.

Cyberkriminalität nimmt immer weiter zu und hat sich mittlerweile als eigenes „Geschäftsmodell“ etabliert. Jedes Unternehmen ist ein potenzielles Ziel. Umfassende IT-Sicherheit ist der Schlüssel zum Erfolg und gleichzeitig ein laufender Prozess, denn die Dimensionen und Facetten der Angriffe ändern sich laufend. Waren es in den letzten Jahren vorwiegend Phishing- und Ransomware-Attacken, nehmen aktuell komplexer werdende Angriffe zu – nicht zuletzt auch durch den verstärkten Einsatz von KI (Künstliche Intelligenz).

Immer mehr in den Fokus rückt dabei das große Thema Identität. Gerade Deepfakes und Insider Threats sind laut einer aktuellen Studie von KPMG auf dem Vormarsch. Und auch Angriffe auf die Lieferkette – Supply Chain – sind weiter im Kommen. Dadurch wird das Unternehmen sozusagen über die Hintertüre angegriffen. Die Angriffe werden immer zielgerichteter, professioneller und authentischer gestaltet. Das führt auch zu einer Steigerung der Erfolgsquote von Cyberangriffen.

zurück

Quelle: KPMG

In den letzten zwölf Monaten war jeder sechste Angriff gegen ein Unternehmen erfolgreich. In der Vorjahresstudie war es „nur“ jeder Zehnte. Es besteht also dringend Handlungsbedarf, um die Cybersicherheit in Österreich zu erhöhen. Und genau hier setzt auch NIS2 an.

zurück

Unternehmen werden nach der Größe (Beschäftigte, Jahresumsatz, Jahresbilanzsumme) und nach Sektor den Kategorien „Wesentliche Einrichtungen“ und „Wichtige Einrichtungen“ zugeordnet. In Österreich sind rund 4.000 Unternehmen und Einrichtungen ab mittlerer Größe aus 18 festgelegten Sektoren betroffen. Ebenfalls zur Umsetzung verpflichtet werden deren Dienstleister und Lieferanten – somit die Lieferkette – und dadurch steigt die Zahl auf 15.000 Betriebe in Österreich. Ob man als Unternehmen betroffen ist, lässt sich einfach mit dem Ratgeber der WKO überprüfen.

zurück

Gleich vorweg: Die EU-Cybersicherheits-Richtlinie NIS2 ist ähnlich wie z B. die Informationssicherheitsnorm ISO 27001 offen formuliert und somit fehlt eine klassische Checkliste bzw. To Do Liste seitens der Gesetzgeber. Das bringt jedoch auch den notwendigen Spielraum für das einzelne Unternehmen individuell zu gestalten. Mit einer einmaligen Aktion ist es jedoch nicht getan, denn ähnlich wie beim Datenschutz ist auch der Umgang mit Informationssicherheit ein Prozess, der laufend überprüft und angepasst werden muss.

Betroffene Einrichtungen müssen sich nach dem Inkrafttreten des nationalen Gesetzes binnen drei Monaten registrieren, Risikomanagementmaßnahmen treffen und im Falle eines Vorfalls eine Meldepflicht erfüllen.

10 Risikomanagementmaßnahmen-Bereiche, die zu erfüllen sind:

• Konzepte in Bezug auf Risikoanalyse und Sicherheit für Informationssysteme
• Bewältigung von Sicherheitsvorfällen
• Business Continuity und Krisenmanagement: Aufrechterhaltung des Betriebs wie Backup-Management und Wiederherstellung nach einem Notfall
• Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
• Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementsystemen im Bereich der Cybersicherheit
• Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
• Konzepte und Verfahren für den Einsatz von Kryptografie
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

zurück

Um sich als Unternehmen gut in einer vernetzten und komplexen digitalen Welt schützen zu können, wird von NIS2 ein umfassendes Konzept gefordert, in dem der Faktor Mensch als auch technologische Standards gleichermaßen berücksichtigt werden.

Cyberangriffe zielen darauf ab, technische oder menschliche Schwachstellen auszunutzen. Um die IT-Systeme zu schützen, ist der Einsatz von komplexen Firewall-Systemen, die das gesamte Netzwerk gegen unautorisierte Zugriffe absichern, bereits Usus. Gut beraten ist man darüber hinaus mit Intrusion Detection und Prevention Systemen, die Angriffe in Echtzeit erkennen und abwehren und die Bedrohungen somit schon abfangen, bevor sie die Infrastruktur treffen – beispielsweise ein umfassender DDoS-Schutz.

Regelmäßige Schwachstellen-Scans (Vulnerability Scans) helfen dabei, potenziell ausnutzbare Schwachstellen innerhalb einer Anwendung zu identifizieren und vorab zu beheben. Mit einem umfassenden Patch-Management werden mithilfe von Updates direkt vom Hersteller Sicherheitslücken geschlossen. Sinnvoll sind ebenfalls eine verschlüsselte Datenübertragung sowie ein ausgefeiltes Backup-Konzept, welches Daten auch räumlich getrennt sichert. Last but not least der Einsatz von Mail Security Services, die Ransomware und weitere Cyberangriffe abwehren sollen sowie regelmäßige Security Awareness Trainings für Mitarbeiter:innen.

Um eine nachhaltige Sicherheitskultur in Unternehmen zu etablieren, bedarf es unter anderem gezielter Schulungen und Sensibilisierungen der Mitarbeiter:innen. Mit Security Awareness Trainings, die TopAwareness bietet, werden Beschäftigte gezielt auf das Erkennen von Angriffen wie Phishing-Versuche, Social Engineerings oder anderen IT-Bedrohungen geschult. Denn fehlendes Verständnis für diese Gefahren kann zu immensen Schäden im Unternehmen führen. Der Security Awareness Service simuliert vollautomatisch realistische Angriffsszenarien mit unterschiedlichsten Schwierigkeitsleveln, die auf die:den jeweilige:n Mitarbeiter:in zugeschnitten werden. Das Besondere daran: Es handelt sich hier nicht um eine eintägige Schulung, sondern die Trainings werden kontinuierlich in den Arbeitsalltag integriert und erhöhen dadurch das Bewusstsein im Umgang mit Cyberrisiken.

zurück

Bei einer DDoS Attacke wird ein Zielsystem über das Internet mit einer Datenflut angegriffen, die zu einer verzögerten Datenauslieferung oder Timeouts von Servern führen kann. Wird dieser Angriff nicht rechtzeitig bemerkt, kann das gesamte Netzwerk ausfallen. Mit entsprechenden DDoS Protection Lösungen wie TopDefense® können volumenbasierte Attacken vorzeitig erkannt und somit die Verfügbarkeit von Kundensystemen erhöht werden.

Mit der Software werden Abweichungen vom normalen Traffic erkannt, analysiert und im Bedarfsfall automatisch bekämpft. Das geschieht bereits, bevor der erhöhte Traffic auf die Kundeninfrastruktur trifft. Professionelle Protection Lösungen wie TopDefense® bieten Usern die Möglichkeit, die Funktionsweise mithilfe von individuellen Filterprofilen an die speziellen Bedürfnisse des Unternehmens anzupassen.

zurück

In den NIS2 Richtlinien werden Maßnahmen gefordert, die im Ernstfall einen möglichst reibungslosen Geschäftsbetrieb sicherstellen. Ein Backup der Unternehmensdaten ist in der heutigen Zeit ein absolutes Muss. Ein Backup ist allerdings viel mehr als nur eine Kopie der Daten, es ist eine durchdachte Strategie. In der Realität fehlt oftmals der zusätzliche Standort, der in einem Ernstfall das Backup an einer weiteren Co-Location, beispielsweise ein externes Rechenzentrum, sichert.

conova als Rechenzentrumsbetreiber und IT-Dienstleister setzt auf die 3-2-1-Backup-Strategie: 3 Datenkopien auf 2 Medientypen an 1nem Remote Standort. Mit den umfassenden Backup-Lösungen wie TopBackup for Microsoft Azure oder TopBackup for Microsoft 365  ist es zudem möglich, die Daten aus der Cloud ebenfalls in einem österreichischen Data Center zu sichern.

zurück

Auch wenn die NIS2 Richtlinie einiges an Arbeit für die Unternehmen bedeutet, bringt sie auch Vorteile. Durch die gezielte Auseinandersetzung im Zuge des Risikomanagements wird insbesondere der Schutz vor Cyberbedrohungen erhöht. Durch die regelmäßige Risikobewertung werden Schwachstellen frühzeitig identifiziert und können dadurch rasch behoben werden. Insgesamt zielt NIS2 darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu schaffen, was letztlich allen beteiligten Unternehmen zugutekommt.

zurück

Als Teil eines umfassenden Risikomanagements müssen Unternehmen auch in puncto Supply Chain Management Risiken identifizieren. Dazu gehören die Überprüfung der Sicherheitspraktiken von Zulieferern und Dienstleistern und eine Bewertung hinsichtlich ihrer Compliance mit den Sicherheitsanforderungen. Zertifizierungen wie ISO 27001 oder das Cyber Trust Austria® Label bieten in der Fülle an Angeboten Orientierung.

Die ISO 27001 ist eine international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS), die darauf abzielt, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Auch wenn NIS2 unterschiedliche Schwerpunkte in der Informationssicherheit setzt, kann eine ISO 27001 Zertifizierung als solide Grundlage dienen.

zurück

Das Cyber Trust Austria® Label tragen Organisationen, die essenzielle Mindestsicherheitsmaßnahmen für Cybersicherheit umgesetzt haben. Das Gütesiegel dient als Qualitätsmerkmal und ist ein Nachweis von Vertrauenswürdigkeit gegenüber Kunden. conova besitzt das Cyber Trust Austria Label in SILBER.

Der seit 2011 mittlerweile jährlich am 31. März statt­findende WORLD BACKUP DAY wurde nicht umsonst ins Leben gerufen. Dieser Tag soll immer wieder auf die Wichtigkeit und Notwendigkeit von regelmäßigen Backups digitaler Daten hinweisen.

Hardwarefehler oder Naturkatastrophen, Benutzerfehler und Blackouts können zu erheblichen Datenverlusten führen. Aber auch gerade in Zeiten, wo Cyberangriffe, DDos Attacken und Phishingmails an der Tagesordnung sind, müssen sich Geschäftsführer und IT Verantwortliche unter anderem laufend den Anforderungen stellen:

• Sind meine Unternehmensdaten wirklich sicher?
• Kann ich jederzeit auf meine Daten zugreifen?
• Können absichtlich oder versehentlich gelöschte Daten schnell wiederhergestellt werden?
• Wie kann ich meine Daten unter Berücksichtigung der gesetzlichen Vorgaben langfristig und sicher aufbe­wahren?

Wenn kritische Unternehmensdaten wie Finanzinfor­mationen, Kundendaten oder geistiges Eigentum verloren gehen oder im schlimmsten Fall gestohlen werden, um Lösegeld zu erpressen, können lange Betriebsunterbrechungen, hohe finanzielle Verluste, Reputationsschäden und weitere rechtliche Konsequenzen aufgrund von Nichteinhaltung der Compliance-Richtlinien drohen.

Ohne Backups sind Daten, Systeme sowie auch das gesamte Unternehmen gefährdet. Werden die Daten vernichtet, sind diese ohne ein Backup unwieder­bringlich verloren.

Die 3-2-1-Backup-Strategie besagt, dass mindestens drei Datenkopien abgelegt werden sollen (ein Original und zwei Backups). Die Kopien werden dabei auf zwei verschie­denen Datenträgern abgelegt, wobei idealerweise eine der Kopien an einem separaten (externen) Standort auf­be­wahrt werden soll.

Um sicher zu stellen, dass die Daten auch bei Diebstahl oder unbefugten Zugriffen geschützt sind, sollten die Backups verschlüsselt werden.

Backups werden meist für mehrere Wochen bis Jahre aufbewahrt. Diese Zeit kann je nach Unternehmens­anforderungen variieren. Um aktuellen Geschäfts­anfor­derungen und rechtlichen Vorgaben gerecht zu werden, ist eine regel­mäßige Überprüfung der eigenen Backup-Strategie entscheidend. Diese stellt sicher, dass sie ordnungsgemäß funktionieren und im Notfall auf die Daten zugegriffen werden kann. Auch auf einen Test der Daten­wieder­her­stellung sollte nicht vergessen werden.

zurück

zurück

Nachfolgend sind noch weitere wichtige Punkte zu­sammen­­gefasst, die bei einer Backup-Strategie und der passenden Backup- und Recovery-Lösung unbedingt berücksichtigt werden sollten:

• Backup Software:
  Bei der Auswahl einer Backup Software sollte unbedingt darauf geachtet werden, dass diese den Bedürfnissen des Unternehmens entspricht.

• Sicherheit durch Georedundanz:
  Manche Unternehmen sichern ihre Daten noch immer intern, ohne Hinblick darauf, dass das Backup dann immer noch am selben Ort wie die Haupt-/Originaldaten liegen. Über eine georedundante Backup-Lösung zu verfügen, ist ein essenzieller Baustein einer profes­sionellen Datensicherung. Die zusätzliche Speicherung der Unternehmensdaten an einem anderen Standort sorgt für eine zuverlässige Sicherung bei unvorher­sehbaren Ereignissen wie Überschwemmungen oder Bränden.

• Professionelle Dienstleister:
  Viele Unternehmen greifen bei dem Thema Backup bereits auf externe IT-Dienstleister zurück. Hier ist es besonders wichtig darauf zu achten, dass diese Anbieter über entsprechende Sicherheitsstandards (Zertifizierungen) verfügen und bei Bedarf auch 24×7 erreichbar ist.

• Zertifizierungen (ISO 27001 und EN 50600):
  Wer für seine wertvollen Unternehmensdaten und die dazugehörigen Backups die höchste Sicherheit in Anspruch nehmen möchte, muss bei der Zusammen­arbeit mit externen IT-Dienstleistern darauf achten, dass dieser über die höchstmöglichen Standards verfügt. Eine ISO 27001 Zertifizierung weist zum Beispiel auf besonders hohe Standards in Bezug auf Informations­sicherheit hin. Darüber hinaus sollte eine EN 50600 Zertifizierung vorhanden sein. Diese regelt sicher­heits­relevante Anforderungen im Bereich Neubau und Betrieb von Rechenzentren.

zurück

Heutzutage werden Daten fast ausschließlich digital gespeichert. Die Risiken, die zu einem dauerhaften Datenverlust führen können, steigen zunehmend. Daher ist es dringend zu empfehlen, regelmäßige Backups durchzuführen – und das bevor es zu spät ist.

Es gibt zahlreiche Möglichkeiten eine geeignete Backup-Strategie zu entwickeln. Eine wichtige Rolle spielen dabei Rechenzentren. Sie bieten sichere, hochverfügbare und zuverlässige Umgebungen für die Backups und ge­währ­leisten, dass die Daten auch bei einem Ausfall vor Ort verfügbar sind. conova kann Sie mit dem nötigen Fachwissen unterstützen und bietet Ihren Daten in den eigenen österreichischen Data Centern ein sicheres Zuhause.

zurück

Es gibt eine Vielzahl an Security Maßnahmen, um sensible und kritische Unternehmensdaten vor Cyberkriminellen und unerwünschten Zugriffen zu schützen. Wobei hier besondere Beachtung darauf gelegt werden muss, dass die eingesetzten Werkzeuge immer am aktuellen Stand gehalten werden. Denn, Cyberkriminelle sind es auch!

In einer Ära, in der Daten als das neue Gold gelten, ist die Sicherheit von Unternehmensdaten von höchster Priorität. Unternehmen müssen proaktive Maßnahmen ergreifen, um ihre wertvollen Informationen zu schützen. Eine Schlüsselstrategie in diesem Kampf ist die Implementierung von Zugriffssicherheit über Firewalls und insbesondere die Einführung der Multifaktor-Authentifizierung (MFA).

zurück

Die Multifaktor-Authentifizierung (MFA) ist ein Sicherheitsverfahren, die über traditionelle Authentifizierungsmethoden hinaus geht. Benutzer müssen mindestens zwei Bestätigungsfaktoren verwenden, um ihre Identität zu bestätigen und Zugriff auf ein System oder eine Anwendung zu erhalten. Dies können Wissens-, Besitz- oder Sein-Faktoren sein. Im Wesentlichen versteht man darunter, dass beispielsweise ein Passwort (etwas, das der Nutzer weiß) und ein temporärer Code auf dem Smartphone (etwas, das der Nutzer hat) oder auch der eigene Fingerabdruck (etwas, über das nur der Nutzer verfügt) benötigt wird.

zurück

Diese zusätzliche Sicherheitsschicht verhindert unbefugten Zugriff, selbst wenn Zugangsdaten durch Phishing preisgegeben wurden. Diese MFA-Mechanismen werden gerne mittels Softwaretoken (schon bekannten APPs) wie z.B.:  Microsoft- oder Google Authenticator realisiert.

zurück

Eine Firewall ist ein Netzwerk-Sicherheitssystem, das den Datenverkehr zwischen einem internen Netzwerk und externen Netzwerken kontrolliert und filtert. Firewalls können auf verschiedenen Ebenen arbeiten, einschließlich der Netzwerk- und Anwendungsebene.

zurück

Die Implementierung von Firewalls und MFA sollte nicht isoliert betrachtet werden, sondern als Teil einer umfassenden Sicherheitsstrategie sein. Die regelmäßige Überprüfung, Updates und Schulung umfasst.

In einer Zeit, in der Cyberbedrohungen immer ausgefeilter werden und die Arbeitswelt verteilter denn je ist, darf die Sicherheit für Unternehmensdaten nicht vernachlässigt werden. Es gibt viele weitere Security Werkzeuge, die eingesetzt werden können. Lassen Sie sich zu Themen wie DDoS Protection, Mail Security und Co von unseren Security Experten beraten.

Unternehmen, die unterschiedliche Vorkehrungen in ihre Sicherheitsstrategie integrieren, positionieren sich proaktiv gegenüber den ständig wachsenden digitalen Bedrohungen und schützen so ihr wichtigstes Kapital: ihre Daten. Diese Sicherheitsmaßnahmen sollten als unverzichtbarer Bestandteil der Unternehmensstrategie betrachtet werden.

zurück