Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat einen Bericht „Cloud-Sicherheit für Gesundheitsdienste“ veröffentlicht, der Richtlinien zur Cybersicherheit für Gesundheitsorganisationen enthält, um die weitere Digitalisierung mit Cloud-Diensten zu unterstützen. Doch auch andere Cloud-Dienste müssen strenge Datenschutz-Vorgaben nach DSGVO einhalten. (Bild: ENISA)
Mit dem Cyber Resilience Act (CRA) der EU-Kommission soll der digitale Flickenteppich rund um Geräte und Anlagen mit Netzwerkanschluss – vom Drucker über Router bis zu smarten Haushaltshelfern und industriellen Steuerungssystemen – geschlossen werden. Besonderen Schutz erfordern dabei industrielle Netzwerke und kritische Infrastrukturen. Laut der Europäischen Union gibt es aktuell alle elf Sekunden einen Ransomware-Angriff; allein in den letzten Wochen traf es unter anderem einen führenden Hersteller von Kindernahrung und einen globalen Tier1-Automobilzulieferer mit Hauptsitz in Deutschland.
Um Hersteller, Distributoren und Importeure in die Pflicht zu nehmen, drohen empfindliche Strafen, wenn Sicherheitslücken bei Geräten auffallen und nicht korrekt gemeldet und geschlossen werden. Sie sind verpflichtet, ENISA – die Agentur der Europäischen Union für Cybersicherheit – innerhalb von 24 Stunden zu benachrichtigen, wenn eine Sicherheitslücke in einem ihrer Produkte ausgenutzt wird. Schon die Überschreitung der Meldefristen wird sanktioniert.
Die Strafzahlungen für betroffene Hersteller und Distributoren sind hoch: bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes im abgelaufenen Geschäftsjahr – die größere Zahl zählt. „Der Druck auf die Industrie wächst immens. Die EU wird diese Verordnung kompromisslos umsetzen, auch wenn noch einige Arbeitsschritte zu erledigen sind, etwa bei den lokalen Landesbehörden“, warnt Jan Wendenburg, Geschäftsführer des Cybersecurity Unternehmens Onekey.
Der Vorschlag der Kommission sieht eine Geltung der neuen Vorgaben bereits 24 Monate nach Inkrafttreten der Verordnung vor. Einzelne Elemente wie die Meldepflicht bei Sicherheitsvorfällen sollen bereits nach 12 Monaten gelten. „Der Zeithorizont ist knapp, wenn man bedenkt, dass Bestellungen für IT-Produkte bei OEM-Herstellern bereits dieses Jahr für die kommenden 12-18 Monate getätigt werden“, sagt Wendenburg. Sein Unternehmen betreibt eine Firmware-Analyse-Plattform zum Auffinden von Sicherheitslücken in smarten und vernetzten Geräten – von Staubsaugerrobotern bis zu Industriesteuerungen mit Millionenwert. Das Cyber Resilience Readiness-Assessment bietet die Möglichkeit, bereits jetzt Produkte auf essentielle Anforderungen des Cyber Resilience Acts zu prüfen, Sicherheitslücken zu untersuchen und auch den von der EU-Kommission geforderten SBOM (Software Bill of Materials) mit Inhalten füllen können.
Es fehlt den meisten Unternehmen an den Grundlagen, an Struktur und Logik im Vorgehen, sagt…
Das entspricht rund 2,5 Prozent der weltweiten Belegschaft. Künftig will Accenture 1,5 Milliarden Dollar einsparen.
Verhaltensbiometrie kann kriminelle Konten mit hoher Präzision identifizieren, sagt Wiebe Fokma von BioCatch.
Cisco Cybersecurity Readiness Index 2023 zeigt: Deutschland weltweit im Mittelfeld, in Europa aber spitze.
Mobile Phishing-Angriffe erfolgen über Kanäle, die sich der Kontrolle des Sicherheitsteams entziehen, warnt Gastautor Sascha…
T-Systems wird in Zukunft mit Unterstützung von IBM eine eigene Quanteninfrastruktur betreiben.