:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b5/92/b592b98f6fa8f4d5393e7d1f26a9b1ab/0117932513.jpeg "Die Sicherheit der Software-Lieferkette steht vor vielschichtigen Herausforderungen. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/88/af88b8b06a9613b86559b6999ef4ed8a/0118097195.jpeg "Auf der OCX 2024 will die Eclipse Foundation ihre verschiedenen Open-Source-Communities zusammenbringen, (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/32/58/3258b4502d485b3badcf393daf037698/0118433379.jpeg "Derzeit gibt es eine große Anzahl von malware-verseuchten Repositories auf Docker Hub. (Bild: donald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8e/b3/8eb34e2abe20465041e396063e8d39b5/0118088468.jpeg "Künstliche Intelligenz kann in Testing und Qualitätssicherung gleich an mehreren Stellen tätig werden. (Bild: sompong_tom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/59/d859a4bcea4e775772b78767789646e7/0117717484.jpeg "Report eines Testdurchlaufs mit dem Robot Framework. (Bild: Lang / Robot Framework)")
:quality(80)/p7i.vogel.de/wcms/99/39/9939f3b5fdaae42f3bf4ac2465270f2a/0117791750.jpeg "Das Azure-Vision-SDK lädt insbesondere Entwickler und Entwicklerinnen ein, sich mit der Materie zu befassen. (Bild: Drilling / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ee/c5/eec54cec9c7a219a3ed62042db71e084/0118151065.jpeg "Die verbreitetsten und beliebtesten Cloud-Native-Projekte unter Schirmherrschaft der CNCF. (Bild: CNCF)")
:quality(80)/p7i.vogel.de/wcms/97/dd/97ddc917ccc52db20fcb3cbdebe916f1/0118360337.jpeg "Ablauf des typischen CrashLoopBackOff-Zustands in Kubernetes. (Bild: Groundcover)")
:quality(80)/p7i.vogel.de/wcms/f1/9d/f19deb033fc3094112887ccba347e548/0118171860.jpeg "In TypeSpec kommt eine an TypeScript und C# angelehnte Syntax zum Einsatz, ergänzt durch Editor-Tools für Visual Studio und VS Code. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/65/3b/653bccb0f4511868163e35e79ef17efe/0118315737.jpeg "Im Fokus dieses Artikels steht die Verbesserung der Systemsicherheit von Linux und die Optimierung von dessen Security-Funktionen. (Bild: Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/72/2e7289e13f9938285540e96be53cc098/0117654091.jpeg "Nebenläufigkeit, mehr Performance, bessere Fehlerbehandlung: Das für September geplante Upgrade auf Swift 6 verspricht einige Optimierungen. (Bild: <u><a href=https://pixabay.com/users/stocksnap-894430/>StockSnap</a></u>)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Keine Zeit verlieren bei Umsetzung der NIS2-Richtlinie 8 Maßnahmen für die NIS-2-Konformität
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Die europäische NIS-2-Richtlinie weitet Cybersicherheit auf sehr viele mittelständische Unternehmen aus. Um die Konformität zu den entsprechenden Vorgaben zu erreichen, sollten Verantwortliche jetzt folgende acht Maßnahmen ergreifen, um die enge Frist einzuhalten
Allein in Deutschland müssen sich bis zum geplanten Inkrafttreten des entsprechenden nationalen Gesetzes am 18. Oktober 2024 schätzungsweise 30.000 Firmen mit NIS-2 auseinandersetzen. Das Ziel ist ein besseres gemeinsames Cybersicherheitsniveau in der EU. Welche Maßnahmen können und sollten betroffene Unternehmen ergreifen?
Maßnahme 1: Ein Projekt aufsetzen
Zuerst gilt es, ein Projekt zum Thema NIS-2 aufzusetzen. Der Teilnehmerkreis der Projektgruppe setzt sich aus der Geschäftsleitung, den IT-Verantwortlichen, den IT-Sicherheitsverantwortlichen und allen weiteren relevanten Personen zusammen. Denn die Anforderungen der NIS-2 sind sehr hoch und erfordern eine dedizierte Organisationsstruktur. Für die Umsetzung müssen Unternehmen viel Zeit und auch Budget einkalkulieren. Insbesondere dann, wenn Firmen dem Bereich IT-Sicherheit bis dato wenig Beachtung geschenkt haben.
Zunächst sollte die Projektgruppe ein Cybersicherheitstraining absolvieren, um ein gemeinsames Grundverständnis für IT-Sicherheit zu erlangen. Gruppen, die bereits über dieses Verständnis verfügen, können direkt mit Schritt zwei fortfahren.
Maßnahme 2: Organisatorische Maßnahmen
NIS-2 nimmt Vorstände und Geschäftsführungen in die Verantwortung. Sie müssen die Umsetzung der Maßnahmen überwachen und haften persönlich für Verstöße. Eine Delegation innerhalb des Vorstands ist nicht möglich, weil alle Mitglieder der Chefetage gleichermaßen in der Pflicht sind. Übrigens: Verzichtsvereinbarungen sind nach dem aktuellen deutschen Gesetzentwurf unwirksam. Eine Directors-and-Officers-Versicherung ist weiterhin möglich – sofern sie denn zahlt.
Maßnahme 3: Einführung eines Informationssicherheits-Managementsystems (ISMS)
Ziel ist es, die internen IT-Strukturen zu dokumentieren und den Bedarf an zusätzlichen Anschaffungen und Dienstleistungen im NIS-2-Kontext zu ermitteln. Im Prinzip müssen alle betroffenen Unternehmen die ISO 27001 umsetzen. Dabei müssen viele Firmen auf externe Beratungen zurückgreifen, um Klarheit darüber zu erlangen, was zu tun ist. Die Verantwortlichen erhalten auf Basis einer fundierten Analyse klare und präzise Empfehlungen.
Maßnahme 4: Lieferketten überprüfen
Ein aufwändiges Thema ist die Sicherheit in der Lieferkette. Denn NIS-2 verlangt die Absicherung der gesamten Lieferkette hinsichtlich der Netz- und Informationssysteme und der physischen Umwelt dieser Systeme. Um die Lieferkette abzusichern, ist es unerlässlich, diese zu sortieren und einen umfassenden Überblick über ihre Struktur zu erhalten. Der Einkauf kann dabei unterstützen, weil er die Rechnungen für alle Lieferungen abwickelt. Lieferanten-Zertifikate sind eine von mehreren Optionen, aber sicherlich eine bequeme Wahl. Wichtig ist, dass Verantwortliche diesen Status regelmäßig prüfen.
Dabei ist aber auch zu bedenken, dass nicht für alle Produkte Rechnungen vorliegen, wie beispielsweise Open-Source-Produkte. Und die Verantwortlichen müssen klären, wie kritisch der Einsatz der Software ist. Wenn die gesamte Buchhaltung mit Open-Source-Software arbeitet, besteht sicherlich ein höheres Risiko, als wenn Open Source nur zur Textverarbeitung verwendet wird.
Maßnahme 5: Cybersicherheits-Zertifizierungen
Hier steht an erster Stelle die Frage, ob diese Zertifikate für Unternehmen als Anbieter oder als Käufer relevant sind. Dabei gilt es zu überprüfen, ob ein Unternehmen ein Produkt herstellt, das sicherheitszertifiziert sein muss. Käufer könnten künftig dazu verpflichtet werden, nur noch Produkte zu kaufen, die entsprechend zertifiziert sind. Es ist denkbar, dass gesetzliche Vorgaben Unternehmen vorschreiben, nur zertifizierte Produkte aus einer bestimmten Kategorie einkaufen zu dürfen. Bei fehlenden eigenen Zertifizierungen kann sogar ein Verkaufsstopp drohen. Es fehlen aber noch die entsprechenden Rechtsverordnungen. Somit ist unklar, welche Produkte betroffen sein werden. Der Einkauf sollte sich auf jeden Fall darauf vorbereiten und Unternehmen müssen im Voraus Schritte prüfen, um eine erforderliche Sicherheitszertifizierung für ihre Produkte zu erhalten.
Zurzeit ist das Zertifizierungsschema der ENISA in Bezug auf die Common Criteria am weitesten fortgeschritten. Unternehmen sollten daher Zertifizierungen in diesem Bereich durchführen. Zusätzlich empfiehlt es sich, einen Blick in den Cyber Resilience Act zu werfen und sich mit der dortigen Kategorisierung vertraut zu machen. Es ist zu erwarten, dass viele Firmen auf externe Unterstützung angewiesen sind und dies in ihr Budget einplanen sollten, da es mit finanziellem Aufwand verbunden ist.
Maßnahme 6: Meldeprozesse definieren
Gemäß der NIS-2-Verordnung ist ein Betrieb verpflichtet, die Meldebehörde innerhalb von 24 Stunden zumindest per E-Mail über einen möglichen Cybersicherheitsvorfall zu informieren und innerhalb von 72 Stunden eine Bewertung des Vorfalls abzugeben. Nach einem Monat ist ein umfassender Bericht zu erstellen. Diese Meldefristen sind sehr knapp bemessen. Daher müssen die Verantwortlichen sicherstellen, dass schnell fundierte Informationen vorliegen. Hier sollten Projektverantwortliche das Gespräch mit dem Datenschutzbeauftragten über deren Meldeprozess suchen. Denn hierbei handelt es sich um ein ideales Best-Practice-Beispiel, an dem sich die Projektgruppe orientieren kann.
Maßnahme 7: Vorbereitung auf regelmäßigen Austausch
NIS-2 sieht ein Austauschformat vor, bei dem sich Unternehmen zur Cybersicherheit austauschen können. Diese Plattform wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) organisiert. Um eigene Erfahrungen zu teilen und Informationen aus diesem Kreis weiterzugeben, müssen die Verantwortlichen klären, wer an dem Format teilnimmt.
Maßnahme 8: Registrierung beim BSI
Betroffene Unternehmen müssen sich als wichtiger oder wesentlicher Betrieb beim BSI registrieren. Vor der Meldung ist es entscheidend zu prüfen, ob das Unternehmen überhaupt der NIS-2 unterliegt. Bis Oktober 2024 muss das BSI die personellen und organisatorischen Voraussetzungen für die Meldestelle aber noch schaffen.
Auch wenn Mitte März 2024 noch immer einige Fragen bei NIS-2 offen sind, sollten betroffene Unternehmen keine Zeit verlieren und sich eingehend mit den Vorgaben auseinandersetzen. Wer jetzt handelt, stärkt die IT-Sicherheit der eigenen Firma und investiert in deren Zukunftsfähigkeit. Cyberkriminelle schlafen nicht. Sie nutzen jede Gelegenheit, um ein Unternehmen anzugreifen.
Über den Autor: Tim Berghoff ist Security Evangelist bei G DATA CyberDefense.
(ID:49978056)
:quality(80)/p7i.vogel.de/wcms/7e/49/7e4982a309cfa1d044ea8d920ab75439/0116984219.jpeg "Zwischen den Jahren 2019 und 2022 sollen die Supply-Chain-Attacken laut Sonatype um durchschnittlich 742 Prozent pro Jahr zugelegt haben. (Bild: Sonatype)")
:quality(80)/p7i.vogel.de/wcms/ca/55/ca5573d3948d96015ada13227ee06872/0112429602.jpeg "Das Secure Software Development Framework v1.1 besteht aus 42 sogenannten Tasks, die sich auf 19 praktische Empfehlungen verteilen. (Bild: <a href=https://pixabay.com/users/thedigitalartist-202249/>Pete Linforth</a>)")