Aus der Perspektive vieler Expert*innen sind lokale Datennetze und insbesondere einzelne Server oft nur mäßig vor Cyberattacken geschützt. Eine gute oder sehr gute Sicherheit attestiert nur rund jeder zehnte Experte den im allgemeinen genutzten digitalen Infrastrukturen in Deutschland.
„Insbesondere Unternehmen und Institutionen, die entsprechend der NIS2-Richtlinie zu den sogenannten grundlegenden Einrichtungen gehören, müssen zukünftig verstärkt auf Compliance-Anforderungen achten und sollten sich heute schon darauf vorbereiten“, sagt Klaus Landefeld vom eco-Verband und gibt Unternehmen die folgenden Tipps, wie sie ihre Resilienz erhöhen.
Prüfen Sie selbst anhand der Gesetzestexte, ob Sie unter das KRITIS-Dachgesetz fallen könnten. Laut dem aktuellen Entwurf des Dachgesetzes zum Schutz Kritischer Infrastrukturen gehören zukünftig deutlich mehr Unternehmen zum Kreis derer, die gesetzliche Mindeststandards bei der IT-Sicherheit erfüllen müssen. Wenn Sie unsicher sind, holen Sie sich Hilfe, beispielsweise beim Service-Center des BSI (Bundesamt für Sicherheit in der Informationstechnik).
Bringen Sie Ihre Geschäftsprozesse auf Vordermann, indem Sie diese durchleuchten und Risiken bewerten. Leiten Sie daraus die nötigen Handlungsschritte ab. Besonders die kritischen Geschäftsprozesse gehören so gut wie möglich geschützt.
Machen Sie (schriftliche) Pläne für den Notfall und benennen Sie darin Ansprechpartner*innen im Unternehmen für den Fall der Fälle. Ein Notfallhandbuch ist bei KRITIS-Unternehmen vorgeschrieben. Aber auch Nicht-KRITIS Unternehmen können davon profitieren. Regeln Sie darin etwa Prozesse zum Wiederanlauf nach einem Ausfall der IT oder einem Sicherheitsvorfall. Ins Notfallhandbuch gehören auch regelmäßig überprüfte Backups und klare Kommunikationswege.
Wenn Sie ein KRITIS Unternehmen sind, seien Sie sich bewusst, welche Daten Sie wo speichern und wie sensibel diese sind. Die Daten sind hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit zu bewerten. Hierbei gilt es auch, den Kumulationseffekt zu beachten: Speichern Sie sehr viele eigentlich unkritischen Daten auf nur einem Server, wird dieser kritisch.
Machen Sie IT-Security zur Chefsache, das unterstreicht auch die NIS2 Richtlinie. Die Geschäftsführer haften in Zukunft auch privat für eventuelle Versäumnisse.
Informieren Sie sich, welchen Meldepflichten Sie im Fall der Fälle nach Einführung der NIS2 nachkommen müssen. Nehmen Sie diese auch in Ihr Notfallhandbuch mit auf und legen Sie eindeutig fest, wer die Meldung absetzt.
Eine regelmäßige Überprüfung der implementierten Sicherheitsmaßnahmen und des Notfallhandbuchs ist Pflicht. Legen Sie klare Zyklen fest, in denen diese überprüft werden und dokumentieren Sie diese klar.
Je nach Branche gelten noch spezifischere Anforderungen an die Sicherheit, als die NIS2 fordert. Informieren Sie sich vorab hinsichtlich Ihrer branchenspezifischen Standards.
Zur Studie
Das Meinungsforschungsinstitut Civey hat im Auftrag von eco im November 503 IT-Expertinnen und Experten befragt, wie sie die Sicherheit der digitalen Infrastruktur in Deutschland einschätzen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.