Umsetzung der NIS-2-Richtlinie in Europa: Der Stand der Dinge

Umsetzung der NIS-2-Richtlinie in Europa: Der Stand der Dinge

4 Dez. 2024 | Cybersicherheit, Gesetzgebung und Compliance | 0 Kommentare

Die NIS-2-Richtlinie, oder Network and Information Security 2, stellt eine wichtige Entwicklung zur Stärkung der Cybersicherheit in der gesamten Europäischen Union dar. Sie wurde verabschiedet, um der ständigen Zunahme von Cyberbedrohungen entgegenzuwirken, und muss ab dem 17. Oktober 2024 in jedem EU-Mitgliedsland umgesetzt werden. Sie zielt darauf ab, das Niveau der IT-Sicherheit und der Cyber-Resilienz für eine Vielzahl kritischer Infrastrukturen und grundlegender europäischer Dienstleistungen zu stärken. Doch wie schaffen es die europäischen Staaten, den Anforderungen der NIS2 gerecht zu werden? Welche Herausforderungen müssen sie meistern? Dieser Artikel bietet einen detaillierten Überblick über die aktuelle Umsetzung der NIS2 und ihre Auswirkungen auf Staaten und Unternehmen.

Hintergrund und Ziele der NIS2

Die NIS-2-Richtlinie ist eine verbesserte Version der ersten NIS-Richtlinie, die darauf abzielte, die Anforderungen an die Cybersicherheit in der EU zu vereinheitlichen. Mit der Entwicklung von Cyberangriffen, die von staatlichen und staatsnahen Akteuren ausgehen, wurde es notwendig, die Sicherheit von Netzwerken und Informationssystemen zu erhöhen. Zu den Zielen der NIS2 gehören die Erhöhung der Widerstandsfähigkeit kritischer Infrastrukturen, die Klärung der Verantwortung von Unternehmen für die Cybersicherheit und die Ausweitung des Anwendungsbereichs auf neue Wirtschaftssektoren.

Welche Unterschiede bestehen zwischen NIS1 und NIS2?

Die NIS2 unterscheidet sich in mehreren wichtigen Punkten von der NIS1. Zum einen erweitert sie ihren Anwendungsbereich von 10 auf 18 betroffene Sektoren und umfasst nun Bereiche wie Gesundheit, Energie, Finanzen und sogar Verkehr. Zum anderen ersetzt sie die Bezeichnung „Betreiber wesentlicher Dienste“ durch zwei Kategorien von Einrichtungen: wesentliche Einrichtungen und wichtige Einrichtungen. Darüber hinaus führt sie strengere Meldepflichten ein und sieht neue Strafen bei Nichteinhaltung vor. 

Im Gegensatz zur NIS1 gibt die neue Richtlinie der Unternehmensleitung eine direkte Verantwortung. Sie müssen daher sicherstellen, dass ihre Organisation mit der NIS-2-Richtlinie konform ist. Das bedeutet, dass sie Cybersicherheitsstrategien persönlich überwachen und an Audits teilnehmen müssen. Außerdem müssen sie in der Lage sein, die durchgeführten Maßnahmen zur Verhinderung von Cyberangriffen zu rechtfertigen.

Anforderungen an die Cybersicherheit mit NIS2 

Sicherheitspflichten für Unternehmen 

Unternehmen, die von der NIS-2-Richtlinie betroffen sind, müssen eine Reihe von Sicherheitsstrategien zum Schutz ihrer Informationssysteme einführen. Diese Maßnahmen dienen dazu, Risiken vorausschauend zu beherrschen, insbesondere indem Netzwerke und Systeme abgesichert werden sowie durch die Überwachung ihrer Lieferanten und Subunternehmer.

Schutz der Netzwerkarchitektur

Die NIS-2-Richtlinie verpflichtet Unternehmen, die Sicherheit ihrer Netzwerke und Systeme zu erhöhen, um das Risiko von Eindringlingen und Destabilisierung zu minimieren. Sie empfiehlt insbesondere die Abschottung von Netzwerken und Fernzugriffen. Es ist ebenfalls ratsam, Systeme zur Erkennung von Angriffen zu implementieren, Firewalls zu benutzen und regelmäßig Schwachstellentests durchzuführen. In Deutschland haben Unternehmen wie Siemens fortschrittliche Systeme zur Analyse und Erkennung von Bedrohungen eingeführt, um die Cybersicherheitsanforderungen von NIS2 zu erfüllen (Quelle: siemens.com).

Meldepflichten über Vorfälle

Eine der wichtigsten Anforderungen, die die neue Richtlinie mit sich bringt, ist die Pflicht zur unverzüglichen Meldung von Vorfällen. Einrichtungen, die der NIS-2-Richtlinie unterliegen, müssen den zuständigen Behörden jeden größeren Vorfall innerhalb von 24 Stunden melden. Damit soll eine schnelle und koordinierte Reaktion auf Cyberangriffe ermöglicht werden. In Belgien hat das Zentrum für Cybersicherheit „Centre pour la Cybersécurité Belgique“ (CCB) eine digitale Plattform eingerichtet. Sie erleichtert das Melden von Vorfällen und das Cyber Emergency Response Team (CERT) kann einfacher um Unterstützung gebeten werden (Quelle: cert.be).

Compliance und Audits unter der NIS2

Um die Einhaltung der NIS2 nachzuweisen, müssen sich Organisationen regelmäßigen Kontrollen unterziehen. Diese Audits dienen dazu zu überprüfen, ob die Cybersicherheitsmaßnahmen ordnungsgemäß umgesetzt sind und die in der Richtlinie festgelegten Standards erfüllen.

Es ist wichtig zu wissen, dass eine ISO 27001-Zertifizierung einer Organisation nicht automatisch bedeutet, dass die neue Richtlinie erfüllt ist. Wie Orange Cyber Defence auf seiner Webseite hervorhebt, ist „eine ISO 27001-Zertifizierung eine gute Grundlage für die Einhaltung der NIS2, da sie einen Rahmen für das Sicherheitsmanagement bietet, der einen Großteil der Anforderungen abdeckt“.  

Die Umsetzung der NIS-2-Richtlinie innerhalb Europas

Wie kann man die Fortschritte der EU-Mitgliedstaaten messen? 

Die Umsetzung der NIS-2-Richtlinie erfolgt nicht in allen Mitgliedstaaten einheitlich. Einige Länder haben sich bereits seit mehreren Monaten oder sogar Jahren auf ihre Einführung vorbereitet, während andere erst spät mit dem Vorgang begannen. Um die Fortschritte der Mitgliedsländer zu messen, müssen mehrere Aspekte berücksichtigt werden, darunter: 

  • Stand der Gesetzgebung (Veröffentlichung des Gesetzentwurfs, Verabschiedung usw.)
  • Zeitplan für die Umsetzung
  • Benennung der zuständigen Behörden (Überprüfung der Umsetzung, Begleitung usw.)
  • Identifizierung wesentlicher und wichtiger Einheiten
  • Schulung und Sensibilisierung
  • Mechanismen zur Meldung von Vorfällen 

Hier ein Überblick über die beobachteten Fortschritte:

Länderübergreifender Vergleich zur Umsetzung der NIS2 

Belgien  

In Belgien schreitet die Umsetzung der NIS2 schnell voran. Der Gesetzentwurf wurde im April 2024 verabschiedet und die praktischen Umsetzungsmodalitäten werden derzeit fertiggestellt. Das belgische Zentrum für Cybersicherheit (CCB) hat einen Referenzrahmen geschaffen, der insbesondere auf der Norm ISO 27001 basiert und die Konformität der betroffenen Unternehmen sicherstellen soll. Dieser Rahmen, genannt „CyberFundamentals“, bietet konkrete Maßnahmen zur Verringerung des Risikos von Cyberangriffen. Er ermöglicht es Organisationen, je nach Schwere ihrer Bedrohung auf verschiedene Sicherheitsstufen zuzugreifen, die von „Small“ bis „Essential“ reichen. Zusätzlich kann mit dem Self-Assessment-Tool CyFun überprüft werden, inwieweit die zuvor empfohlenen Maßnahmen zur Einhaltung der NIS2 umgesetzt wurden. 

Seit dem Inkrafttreten der NIS-2-Richtlinie am 18. Oktober 2024 haben Unternehmen fünf Monate Zeit, sich bei SafeonWeb zu registrieren. Für Unternehmen aus bestimmten Sektoren der Informations- und Kommunikationstechnologie gilt eine verkürzte Frist von zwei Monaten. Sie müssen sich erstmals 18 Monate nach Inkrafttreten des Gesetzes einer Bewertung unterziehen. Die CyberFundamentals- oder ISO 27001-Zertifizierung ist innerhalb von 36 Monaten nach der nationalen Umsetzung der NIS2 für die betroffene Organisation erforderlich. (Quelle: CCB)

Deutschland  

Deutschland hat bei der Umsetzung der Vorschriften einen progressiveren Ansatz gewählt. Das Land hat mehrere Versionen seines Gesetzentwurfs veröffentlicht, aber die vollständige Umsetzung ist für 2025 geplant. Der deutsche Rechtsrahmen stützt sich auf die KRITIS-Verordnung, die Maßnahmen für die Sicherheit und Resilienz kritischer Infrastrukturen erlässt, sowie auf das BSI-Gesetz, das dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aufsicht zuweist. 

Frankreich  

In Frankreich führt die „Agence nationale de la sécurité des systèmes d’information“, abgekürzt ANSSI (dt.: Nationale Agentur für die Sicherheit von Informationssystemen), die Umsetzung der NIS2 in einem partizipativen Verfahren mit allen betroffenen Akteuren durch.

Der Gesetzestext wurde jedoch immer noch nicht verabschiedet: Er wurde dem Parlament erst am 15. Oktober 2024 vorgelegt, also nur wenige Tage vor dem Stichtag für die nationale Umsetzung der Richtlinie. Bisher bestanden Unklarheiten darüber, wie die Kommunalverwaltungen in die Sicherheitsanforderungen einbezogen werden sollten. Im Mai 2024 organisierte die ANSSI Gespräche mit den von der Richtlinie betroffenen Berufsverbänden einerseits und den Verbänden der gewählten Vertreter von Gebietskörperschaften andererseits. Ziel dieser Gespräche war es, den Kreis der betroffenen Unternehmen genauer zu bestimmen und die angewandten Sicherheitsmaßnahmen zu klären. Eine Erhöhung des „CyberSecurity-Reifegrads territorialer Gebietskörperschaften“ und eine Harmonisierung der IT-Sicherheit auf regionaler Ebene wurden mit der NIS2 als wichtige Ziele definiert.

Um dies zu erreichen, muss öffentlichen und privaten Organisationen Zeit eingeräumt werden. Deshalb erklärte Vincent Strubel, Generaldirektor der ANSSI, bei den Hexatrust Sommeruniversitäten im September 2024, dass Unternehmen, die in den ersten drei Jahren nach Inkrafttreten der NIS2 nicht alle Anforderungen erfüllen, keine Sanktionen zu befürchten haben. 

Die Plattform „Mon Espace NIS 2“ ermöglicht Organisationen: 

  • sich über die neue Richtlinie zu informieren,
  • zu prüfen, ob sie von der NIS2 betroffen sind,
  • sich demnächst bei der ANSSI zu registrieren.

Kroatien    

Kroatien gehört zu den Ländern, die bei der Umsetzung der NIS2 am weitesten vorangeschritten sind. Dort wurde bereits ein Gesetzentwurf verabschiedet. Im Februar 2024 trat der Croatian Cyber Security Act (CSA) in Kraft, der die neue Richtlinie teilweise umsetzte. Bis Februar 2025 müssen die zuständigen Behörden die von diesem Gesetz betroffenen Organisationen benachrichtigen. Diese haben dann ein Jahr Zeit, um sich an die Maßnahmen des CSA anzupassen. (Quelle: Wavestone)

Ungarn

In Ungarn wurde die NIS-2-Richtlinie im Mai 2023 umgesetzt, nachdem das Gesetz 23 von 2023 über die Zertifizierung und Überwachung der Cybersicherheit verabschiedet worden war. Gemäß den ungarischen Rechtsvorschriften zur Umsetzung der NIS-2-Richtlinie hatten die betroffenen nationalen Organisationen bis zum 30. Juni 2024 Zeit, sich als wesentliche Einrichtung (EE) oder wichtige Einrichtung (EI) registrieren zu lassen (Quelle: DLA Piper). Unternehmen, die von der NIS2 betroffen sind, waren verpflichtet, vor dem 18. Oktober 2024 Sicherheitsmaßnahmen zu implementieren, die dem Risiko ihrer IT-Systeme entsprechen. Zudem mussten sie eine Überwachungsgebühr an die nationale Aufsichtsbehörde für Cybersicherheit „SZTFH“ (Szabályozott Tevékenységek Felügyeleti Hatósága) entrichten.

Rechtliche und administrative Herausforderungen bei der Umsetzung

Rechtliche Komplexität der NIS2 

Die Mitgliedstaaten stehen vor einer komplexen rechtlichen Aufgabe bei der Umsetzung der NIS2, denn die Richtlinie erfordert eine gründliche Überarbeitung der nationalen Rechtsrahmen. Das kann sich als langwierig und politisch heikel erweisen. Die Unterschiede zwischen den Rechtssystemen der Länder machen es ebenfalls schwierig, einheitliche Anforderungen an die Cybersicherheit zu stellen. Laut einer von Mayer Brown durchgeführten Analyse stellt die Fragmentierung des Rechtsrahmens in der EU ein großes Hindernis für eine einheitliche Umsetzung der NIS2 dar (Quelle: Mayer Brown, Analyse 2024).

Verantwortlichkeit von Führungskräften

Durch die NIS2 wird die Unternehmensleitung persönlich haftbar und muss die Umsetzung von Cybersicherheitsmaßnahmen nachweisen. Diese Entwicklung soll sicherstellen, dass die Cybersicherheit auf der höchsten Managementebene eine Priorität darstellt, führt aber auch zu zusätzlichen Herausforderungen. Für kleine Unternehmen kann sie durchaus eine Belastung darstellen. Eine kürzlich von Ivanti durchgeführte Umfrage unter 3 000 Unternehmensleitern und IT- sowie Sicherheitsexperten weltweit zeigt: „Die Mehrheit (55 %) der IT- und Sicherheitsexperten ist der Meinung, dass ihre Führungskräfte (ohne IT-Hintergrund) die Bedeutung des Schwachstellenmanagements nicht ausreichend verstehen.“ Diese Einschätzung wird von 47 % der Führungskräfte, die nicht aus dem IT-Bereich kommen, bestätigt. Sie räumen ein, dass sie das Konzept nur unzureichend begreifen. Man hofft, dass die Umsetzung der NIS-2-Richtlinie den Weg für mehr Schulungen und Sensibilisierung von Führungskräften zu diesem Thema ebnen kann. 

Fazit: Eine maßgebliche, aber mühsame Vereinheitlichung 

Die Umsetzung der NIS-2-Richtlinie ist ein komplizierter Prozess, der von allen EU-Mitgliedstaaten gemeinsam angegangen werden muss. Die unterschiedlichen Gesetzgebungsverfahren, die Herausforderungen, die sich aus der größeren Verantwortung der Führungskräfte ergeben, und die Ausweitung der betroffenen Bereiche erschweren die Einführung. Trotzdem ist diese Richtlinie von entscheidender Bedeutung, um die Widerstandsfähigkeit der kritischen Infrastrukturen Europas gegenüber den zunehmenden Cyberbedrohungen zu stärken. Auch wenn nicht alle Länder gleich weit fortgeschritten sind und nicht alle gleichzeitig bereit sein werden, müssen sie bis April 2025 in der Lage sein, der Europäischen Kommission eine Liste ihrer wesentlichen und wichtigen Einrichtungen zu übermitteln. Es bleibt abzuwarten, ob diese kurzfristigen Bemühungen zu einer dauerhaften, einheitlichen und insgesamt höheren Cybersicherheit in ganz Europa führen.

Infografik herunterladen

FAQ

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie ist eine europäische Verordnung, die darauf abzielt, die Cybersicherheit in allen Mitgliedstaaten zu vereinheitlichen und zu stärken. Sie soll die Sicherheit von Netzwerken und Informationssystemen schützen und schafft einen neuen Rahmen für eine robustere Cybersicherheit. Diese europäische Richtlinie wurde im Oktober 2024 verabschiedet und soll den Schutz vor wachsenden Cyberbedrohungen erhöhen, indem sie die Zusammenarbeit zwischen den Mitgliedstaaten verbessert und höhere Sicherheitsanforderungen für kritische Infrastrukturen festlegt.

Was sind die Auswirkungen der NIS2? 

Die Auswirkungen der NIS-2-Richtlinie auf Unternehmen sind erheblich. Sie legt größere Verpflichtungen im Bereich Cybersicherheit fest, wie zum Beispiel verstärkte Sicherheitsmaßnahmen und ein strengeres Risikomanagement für die betroffenen Unternehmen. Der geforderte IT-Sicherheitsstandard ist hoch und beinhaltet Meldepflichten bei Sicherheitsvorfällen, regelmäßige Prüfungen und die Einhaltung internationaler Normen wie ISO 27001. Dadurch können Unternehmen sich besser auf die ständig wachsenden Cyberbedrohungen vorbereiten.

Wie bereitet man sich auf die NIS2 vor? 

Um sich auf die Einhaltung der NIS2 vorzubereiten, ist es unerlässlich, einen Plan zu erstellen. Dieser Plan beinhaltet eine Risikobewertung, Schulungen für die Mitarbeiter und die Einführung von Verwaltungsmaßnahmen, die den neuen Verpflichtungen entsprechen. Wesentliche Einrichtungen müssen außerdem sicherstellen, dass sie eine nationale Strategie zur Stärkung ihrer Cybersicherheit verfolgen und die von der Richtlinie vorgeschriebenen Standards erfüllen. Auch Schulungen sind entscheidend, um sicherzustellen, dass alle Beteiligten ihre Verantwortlichkeiten und die zu ergreifenden Sicherheitsmaßnahmen verstehen.

Wer ist von der NIS2 betroffen?

Die NIS-2-Richtlinie betrifft eine Vielzahl von Einrichtungen in 18 Sektoren, darunter Betreiber wesentlicher Dienste, Unternehmen in kritischen Sektoren wie Energie, Gesundheit und Finanzen sowie bestimmte lokale und regionale Behörden. Darüber hinaus gilt sie auch für Unternehmen aus Drittländern, die in der Europäischen Union tätig sind. Jeder Mitgliedstaat ist über seine nationale Behörde dafür zuständig, die betroffenen Einrichtungen zu ermitteln.

Welche Sanktionen sieht die NIS-2-Richtlinie vor? 

Die NIS-2-Richtlinie führt ein strenges System von Sanktionen für Verstöße gegen die Einhaltung der Vorschriften ein. Unternehmen, die die Anforderungen an die Cybersicherheit nicht erfüllen, müssen mit hohen Bußgeldern rechnen. Auch die Geschäftsführung kann zur Verantwortung gezogen werden. Die Höhe der Sanktionen kann sich am Prozentsatz des Umsatzes orientieren, je nach dem nationalen Recht jedes Mitgliedstaats. Diese Strafen sollen sicherstellen, dass die Unternehmen die festgelegten Sicherheitsstandards einhalten.

Wann tritt die NIS2 in Kraft? 

Die NIS-2-Richtlinie ist offiziell seit Oktober 2024 in Kraft. Die Mitgliedstaaten hatten bis zu diesem Datum Zeit, die Richtlinie in nationales Recht umzusetzen. Jedoch gewähren einige Länder wie Frankreich eine längere Frist, ohne dass Sanktionen drohen. Jedes Land muss die entsprechenden Gesetze im Amtsblatt veröffentlichen und so sicherstellen, dass alle betroffenen Einrichtungen die neuen Cybersicherheitsanforderungen innerhalb der vorgegebenen Frist erfüllen.

Wie stärkt die NIS2 die Cybersicherheit? 

Die NIS-2-Richtlinie erhöht die Cybersicherheit, indem sie für alle Mitgliedstaaten einheitliche Regeln schafft und so ein höheres Maß an Schutz anstrebt. Sie definiert konkrete Sicherheitsmaßnahmen für kritische Infrastrukturen, verbessert den Datenschutz und schützt die öffentliche Sicherheit. Die Richtlinie soll Cyberrisiken reduzieren, indem sie regelmäßige Prüfungen, eine bessere Zusammenarbeit zwischen den Mitgliedstaaten und klare Maßnahmen zur Abwehr von Cyberangriffen und zur Erhöhung der Widerstandsfähigkeit von Informationssystemen vorschreibt.

NIS2 macht den Umstieg auf sichere Kollaborations-Tools nötig

NIS2 macht den Umstieg auf sichere Kollaborations-Tools nötig

28 Nov. 2023 | Cybersicherheit, Gesetzgebung und Compliance | 0 Kommentare

Tausende Unternehmen müssen die Cybersicherheit ihrer Kommunikation erhöhen

Die Richtlinie zur Netzwerk- und Informationssicherheit 2 (NIS2) wird bis Ende 2024 tausende Unternehmen innerhalb Deutschlands betreffen. Angesichts zunehmender Cyberbedrohungen will die europäische Kommission mit NIS2 das Cybersicherheits-Niveau im europäischen Raum erhöhen. Die Richtlinie wirkt sich auch auf die Video-Kommunikation betroffener Unternehmen aus. Bei vielen Unternehmen kann ein Umstieg nötig sein – Ratsam ist er sowieso.

Die Unternehmen, die NIS2 unterliegen, sind künftig verpflichtet, ihre Video- und Textkommunikation durch technische Maßnahmen vor Cyberangriffen zu schützen. Für Unternehmen aus hoch kritischen Sektoren gilt weiterhin, dass sie Videokonferenz-Lösungen einsetzen müssen, die von der jeweiligen nationalen Sicherheitsbehörde zertifiziert sind. Mit Blick auf jährliche Schäden in Milliardenhöhe durch Industriespionage und Cyberangriffe ist dies nicht nur für Unternehmen, die unter NIS2 fallen, ein empfehlenswerter Schritt.

NIS2 betrifft tausende Unternehmen mit sensiblen Daten

NIS2 verschärft die Anforderungen der Richtlinie NIS1 aus dem Jahr 2016 an Cyber-Security deutlich und weitet die Anwendung auf weitere Sektoren aus. Betroffen sind alle privatwirtschaftlichen oder öffentlichen Unternehmen mit mehr als 50 Mitarbeitern oder einem Umsatz von mehr als 10 Millionen Euro in 18 Sektoren. Diese werden in zwei Kategorien unterteilt: Zum einen „hoch kritische Sektoren“ wie Energie und öffentliche Verwaltungen, die für das Funktionieren von Gesellschaften unentbehrlich sind. Und weiterhin „kritische Sektoren“ wie Postdienste und Forschung, deren Ausfallen ernste, aber weniger gravierende Folgen verglichen mit dem Ausfallen der hoch kritischen Sektoren hätte. NIS2 fordert von Unternehmen in allen 18 Sektoren erhöhten Schutz vor Cyber-Angriffen in ihren Netzwerken und Informationssystemen.

Weitere Verpflichtungen aus der Richtlinie sind unter anderem die interne Schulung von Führungskräften, Managern und Mitarbeitern zum Thema Cybersicherheit sowie die unverzügliche Meldung von Sicherheitsvorfällen an die jeweilige nationale Cybersicherheitsbehörde.

Ende-zu-Ende-Verschlüsselung erhöht die Sicherheit der Online-Kommunikation signifikant

NIS2 wird viele Unternehmen zu neuen Tools für ihre Kommunikation und Kollaboration zwingen. Gerade bei Videokonferenzen gibt es bei zahlreichen Anbietern Ungewissheiten hinsichtlich Datenschutz und Sicherheitslevel. Für letzteres essenziell ist eine echte Ende-zu-Ende-Verschlüsselung, auch bei Konferenzen mit mehreren Teilnehmern. Die einzige Videokonferenz-Technologie, die gegenwärtig für ihre Ende-zu-Ende-Verschlüsselung CSPN-zertifiziert ist, ist die von Tixeo. Die CSPN-Zertifizierung wird von der französischen ANSSI vergeben und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als gleichwertig zu einem Zertifikat nach der Beschleunigten Sicherheitszertifizierung (BSZ) anerkannt. Merkmal der Verschlüsselung von Tixeo ist, dass die Verschlüsselungsschlüssel des Gesprächs einzig auf den Geräten der Nutzer gespeichert werden. Es findet kein Entschlüsseln der Kommunikation beim Passieren der in Europa gehosteten Sever statt. Somit sind Gespräche in dem Ausmaß geschützt, das NIS2 verlangt.

Olympia 2024: Die Rangliste der größten Cyberbedrohungen

Olympia 2024: Die Rangliste der größten Cyberbedrohungen

6 Aug. 2024 | Bedrohungen und Schwachstellen, Cybersicherheit | 0 Kommentare

Die Olympischen und Paralympischen Spiele 2024 finden aufgrund der Terrorgefahr, aber auch aufgrund von Cyberrisiken unter strengen Sicherheitsvorkehrungen statt. Fokus auf die wichtigsten Cyberbedrohungen für Veranstaltung und Organisationen.

Wie ist der Stand der Cyberbedrohungen?

Vor dem Hintergrund der derzeit angespannten geopolitischen Lage haben die Cyberbedrohungen in den letzten Monaten zugenommen.

Die Olympischen Spiele 2024 werden aufgrund ihrer weltweiten Bedeutung unweigerlich die Aufmerksamkeit cyberkrimineller Gruppen auf die französische Hauptstadt lenken. Frankreich ist nach 100 Jahren erneut Gastgeber der Olympischen und Paralympischen Spiele: Es werden 13 Millionen Zuschauer und mindestens 15 000 Athleten erwartet. Auch wenn sich das Land und alle Beteiligten seit vielen Jahren darauf vorbereiten, sind die Spiele durch die vernetzten Systeme und heterogenen Cybersicherheitsniveaus der Organisationen ein Hochrisiko-Ereignis. Die französische Behörde für Informationssicherheit ANSSI hat übrigens ein Budget von 17 Millionen Euro bereitgestellt, um die Cybersicherheitskapazitäten während dieser Spiele zu erhöhen.

Die IT-Sicherheit der Informationssysteme und der Netzwerke von Unternehmen und öffentlichen Verwaltungen ebenso wie deren Vorbereitung auf eine Bewältigung potenzieller Krisen ist angesichts dieser Cyberbedrohungen von grundlegender Bedeutung.

Die größten Cyberbedrohungen während der Olympischen Spiele 2024

Ransomware und Diebstahl sensibler Daten

In Frankreich ist die Zahl der Ransomware-Angriffe im Jahr 2023 im Vergleich zu 2022 um 30 % gestiegen, wie aus dem jüngsten IT-Sicherheitslagebericht der hervorgeht. Im März dieses Jahres zeigte das letzte Barometer von Cybermalveillance.gouv.fr sogar an, dass sie inzwischen eine der größten Cyberbedrohungen darstellen.

Zur Erinnerung: Bei Ransomware werden alle Daten (über eine Schadsoftware) auf einem Gerät verschlüsselt und gesperrt. Für die Entschlüsselung wird ein Lösegeld gefordert. Vor der Zahlung von Lösegeld wird jedoch grundsätzlich gewarnt, da dies keine Garantie für die Freigabe der Daten ist.

Ransomware führt in der Regel zu großen Datenlecks: Während der Olympischen Spiele kann diese Art von Angriff Unternehmen treffen, deren Tätigkeit direkt an die Veranstaltung gekoppelt sind (Transportunternehmen, Hotels, Ticketanbieter …).

Kommunikationsspionage

Mit Blick auf die Olympischen Spiele 2024 in Paris ist auch Wachsamkeit gegenüber Spionageangriffen geboten. Bei den Olympischen Spielen 2008 in Peking war die Operation „Shady Rat“

gegen das Internationale Olympische Komitee (IOC) gerichtet und hatte Regierungsdaten offengelegt.

Bei den Spielen in Rio, 8 Jahre später, hatte die Cyberkriminellengruppe Fancy Bear auf die Dateien der Welt-Anti-Doping-Agentur zugegriffen und private Gesundheitsdaten von Athleten verbreitet.

In den Organisationen kann insbesondere mit der inzwischen bei Olympischen Spielen üblichen Telearbeit die Online-Kommunikation zum Ziel staatlicher Cyberspionage werden. Die Motivation kann vielfältig sein: Hinter dem Diebstahl strategischer Informationen oder persönlicher Daten steckt in der Regel eine Gewinnabsicht bzw. eine gewollte Destabilisierung.

Desinformation und Einmischung

Um dem Image Frankreichs bei den Olympischen Spielen zu schaden, arbeiten Cyberkriminelle oder Hacktivisten auch mit Desinformation.

In einer kürzlich veröffentlichten Mitteilung wies der französische Inlandsgeheimdienst DGSI darauf hin, dass in diesem Zeitraum häufig Einmischungsoperationen und „Verunglimpfungen der Olympischen Spiele 2024“ durch den russischen Geheimdienst beobachtet werden. Diese erfolgen online in den sozialen Netzwerken und können beispielsweise durch böswilliges Eindringen in sensible Videokonferenzen auch Organisationen treffen.

Auch die Übermedialisierung der Sicherheitsrisiken im Zusammenhang mit den Olympischen Spielen 2024, einschließlich Spekulationen über eine mögliche Absage, ist eine Form der Desinformation, die letztendlich dem Image und dem Ablauf der Veranstaltung schaden kann.

DDoS-Angriffe und Ausnutzung von Sicherheitslücken

Denial-of-Service-Attacken (DDoS) gehören trotz ihrer begrenzten Auswirkungen zu weit verbreiteten Cyberrisiken. Sie sollen die Bereitstellung von Diensten verhindern, indem sie durch eine zu große Anzahl von Anfragen (z. B. an eine Website) eine Überlastung erzeugen. Häufig sind der Finanz- und Industriesektor, aber auch die öffentliche Verwaltung davon betroffen. Erst vor kurzem, im März 2024, wurden französische Ministerien Ziel eines solchen Angriffs, so dass mehrere Regierungsseiten vorübergehend nicht erreichbar waren.

Im Zusammenhang mit den Olympischen Spielen könnten DDoS-Angriffe auf strategisch wichtige Plattformen und Webseiten, z. B. für die Übertragung der Wettkämpfe oder den Kartenverkauf, oder auf sensible Organisationen gestartet werden. Im Jahr 2021 beobachtete man während der Olympischen Spiele in Tokio einem Anstieg solcher Cyber-Angriffe auf kritische Infrastrukturen, wodurch die Kontinuität der öffentlichen Dienstleistungen beeinträchtigt wurde.

Auch Sicherheitslücken in Anwendungen sind eine Möglichkeit für Cyberkriminelle, die Veranstaltung zu destabilisieren. Dies können z. B. Apps für den öffentlichen Nahverkehr sein, die für die Veranstaltung genutzt werden.

Frequenzverschleierung

Die Olympischen Spiele 2024 erfordern einen umfangreichen Netzausbau, um den Bedarf an Datenübertragung zu decken. Wie Pierre-Louis de Guillebon, Generaldirektor von Orange Events und Leiter des Orange-Projekts der Olympischen Spiele in Paris 2024, in Le Monde Informatique erklärt, entspricht das Volumen der während der Olympischen Spiele ausgetauschten Daten dem „40fachen des Datenvolumens einer WM“.

Diese Netzwerkeinrichtungen unterliegen selbstverständlich einem verstärkten Schutz vor Bedrohungen durch Frequenzstörungen. Böswillige Akteure könnten Fernsehübertragungen oder wichtige Kommunikationswege der Sicherheitsdienste vor Ort behindern wollen.

Überlastung von FTTH-Netzwerken

Schließlich gibt es eine weitere Cyberbedrohung, die eher struktureller und interner Natur ist. Zahlreiche französische KKMU nutzen das während der Olympischen Spiele 2024 besonders stark belastete FTTH-Netz. Es wird also zu einer massiven Beanspruchung des Internets kommen, insbesondere während der Bürozeiten, so dass eine Überlastung der Netze sehr wahrscheinlich ist. Hiervor hat vor allem Celeste gewarnt. Es könnte zu Computerausfällen und Unterbrechungen der Dienste kommen. Die Folgen wären vielfältig und würden die Kontinuität der öffentlichen Dienste sowie die Produktivität der Unternehmen beeinträchtigen.

Hier also noch einmal der Hinweis, dass sich Unternehmen jeder Größe auf solche Situationen vorbereiten müssen. Dies ist insbesondere möglich durch die Bereitstellung von Notfallkommunikationsmitteln, damit die Teams vor Ort die Krise bewältigen und sich zwecks Aufrechterhaltung der Geschäftsabläufe weiter verständigen können.

Die Bedeutung von Cyber-Resilienz in Unternehmen

Mit seinem Übungskit „JOP massifié“ möchte das ANSSI Unternehmen bei ihrer Vorbereitung auf die Cyberrisiken der Olympischen Spiele 2024 unterstützen. So können sie potenzielle Krisen entsprechend ihres Tätigkeitsbereichs und ihrer Verbindung zu dem Ereignis simulieren.

Solche Simulationen und Sensibilisierungen sind unerlässlich, um die Cyber-Resilienz der Organisationen zu gewährleisten.

Entdecken Sie Tixeo für Business Continuity