![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Wir haben den 30. November, Tag der Computersicherheit. Zeit, einen Blick auf dieses Thema zu werfen. Denn es sieht nicht gut aus. T\u00e4glich erfolgreiche Cyberangriffe und ein EU-Vertragsverletzungsverfahren der EU gegen Deutschland, wegen nicht umgesetzter NIS-2-Richtlinie. Hier ein kurzer Abriss des Themas.<\/p>\n
<\/p>\n
Der Aktionstag wurde im Jahr 1988, in den USA, von der Vereinigung f\u00fcr Computersicherheit ins Leben gerufen. Der Tag soll die Menschen erinnern, ihre Computer und ihre pers\u00f6nlichen Daten zu sichern.<\/p>\n
Laut einer Bitkom-Studie<\/a> waren 81 Prozent der deutschen Unternehmen im Jahr 2023 von Cyberangriffen betroffen. Die Gesamtsch\u00e4den belaufen sich auf\u00a0 267 Milliarden Euro. Hackerangriffe stehen mittlerweile auf Platz 1 des Rankings der bedrohlichsten Gesch\u00e4ftsrisiken.<\/p>\n Cyber-Resilienz ist damit nicht mehr nur eine Option, sondern eine Notwendigkeit f\u00fcr Unternehmen, um zukunfts- und wettbewerbsf\u00e4hig zu bleiben. Daher m\u00fcssen IT-Infrastrukturen und die Gesch\u00e4ftsprozesse eines Unternehmens so widerstandsf\u00e4hig gestaltet sein, dass sie nicht nur Cyberangriffen erfolgreich standhalten k\u00f6nnen, sondern sich auch z\u00fcgig von deren Auswirkungen erholen.<\/p>\n Besonders der Mittelstand sieht sich immer h\u00e4ufiger im Fadenkreuz, da Angreifer auf gezielte und zunehmend professionell organisierte Methoden setzen.<\/p>\n Elmar T\u00f6r\u00f6k, Architect Cloud Security, All for One Group, meint, dass der menschliche Faktor eine ganz entscheidende Rolle in Sachen Cybersecurity spielt. Obwohl Security Awareness-Training in jedem Security-Compliance Framework gefordert werde, g\u00e4ben sich die Unternehmen immer noch mit der Minimalversion \u2013 einmal im Jahr 20 Minuten Web-based Training und drei Fragen \u2013 zufrieden. Dabei seien die Mitarbeiter die erste Verteidigungslinie! Diese m\u00fcssen keine IT-Sicherheitsprofis werden, es reicht, das Bauchgef\u00fchl f\u00fcr eine ungew\u00f6hnliche Mail oder einen merkw\u00fcrdigen Anruf zu entwickeln. Das erfordert Aufwand und sinnvolle Planung, die zum Unternehmen passt, zahlt sich aber laut T\u00f6rok aus.<\/p>\n Datenklassifizierung hilft Unternehmen, ihre kritischen Daten besonders zu sch\u00fctzen und ein Abflie\u00dfen von vertraulichen Informationen zu unterbinden \u2013 etwa, wenn Mitarbeiter das Unternehmen verlassen.<\/p>\n Auch Identity and Access Management, also das Zuweisen und Entziehen von Rollen und Berechtigungen auf \u201eNeed to know\"-Basis, hilft, Sicherheitsvorf\u00e4lle durch Mitarbeitende zu vermeiden.<\/p>\n Ein hundertprozentiger Schutz vor Cyberangriffen ist unm\u00f6glich. Irgendwann werden die Angreifer erfolgreich sein. Unternehmen sollten sich daher rechtzeitig auf den Ernstfall vorbereiten, indem sie ihre Resilienz steigern, wozu auch Backup-Pl\u00e4ne und Disaster Recovery geh\u00f6ren.<\/p>\n Ich hatte hier im Blog ja einige Male auf NIS-2 hingewiesen (siehe Links am Artikelende). Deutschland h\u00e4tte bis Oktober 2024 national die NIS-2-Richtlinie umsetzen m\u00fcssen. Es nichts passiert, au\u00dfer, dass die EU-Kommission am 28. November 2024 ein Vertragsverletzungsverfahren gegen Deutschland wegen Nichtumsetzung der Richtlinie eingeleitet hat.<\/p>\n Die Kommission erl\u00e4sst eine Reihe von Beschl\u00fcssen zu Vertragsverletzungsverfahren gegen Mitgliedstaaten, die nicht mitgeteilt haben, welche Ma\u00dfnahmen sie zur Umsetzung von EU-Richtlinien in nationales Recht ergriffen haben.<\/p>\n Dabei sendet die Kommission laut dieser Information<\/a> zun\u00e4chst Aufforderungsschreiben an alle Mitgliedstaaten, die keine nationalen Ma\u00dfnahmen zur Umsetzung von Richtlinien gemeldet haben, deren Umsetzungsfrist vor Kurzem abgelaufen ist.\u00a0 So haben 26 Mitgliedstaaten noch keine vollst\u00e4ndige Umsetzung von zwei EU-Richtlinien in den Bereichen digitale Wirtschaft sowie Migration, Inneres und Sicherheitsunion mitgeteilt.<\/p>\n Die betreffenden Mitgliedstaaten haben nun zwei Monate Zeit, um auf die Aufforderungsschreiben zu antworten und die Richtlinien vollst\u00e4ndig umzusetzen; anderenfalls kann die Kommission beschlie\u00dfen, mit Gr\u00fcnden versehene Stellungnahmen zu \u00fcbermitteln.<\/p>\n Die Europ\u00e4ische Kommission hat beschlossen, mit der \u00dcbermittlung von Aufforderungsschreiben Vertragsverletzungsverfahren gegen 23\u00a0Mitgliedstaaten (Bulgarien, Tschechien, D\u00e4nemark, Deutschland, Estland, Irland, Griechenland, Spanien, Frankreich, Zypern, Lettland, Luxemburg, Ungarn, Malta, die Niederlande, \u00d6sterreich, Polen, Portugal, Rum\u00e4nien, Slowenien, die Slowakei, Finnland und Schweden) einzuleiten, weil diese L\u00e4nder die NIS-2-Richtlinie (Richtlinie 2022\/2555<\/a>) nicht vollst\u00e4ndig umgesetzt haben. Die Mitgliedstaaten mussten die NIS-2-Richtlinie bis zum 17.\u00a0Oktober 2024 in nationales Recht umsetzen.<\/p>\n Gem\u00e4\u00df obigem Tweet, der auf einen Artikel<\/a> des Tagesspiegel verweist, wird die gesetzliche Regelung in Deutschland bis Herbst 2025 auf sich warten lassen. Aber hey, am 30. November 2025 haben wir wieder Computer-Security-Day.<\/p>\n \u00c4hnliche Artikel: Wir haben den 30. November, Tag der Computersicherheit. Zeit, einen Blick auf dieses Thema zu werfen. Denn es sieht nicht gut aus. T\u00e4glich erfolgreiche Cyberangriffe und ein EU-Vertragsverletzungsverfahren der EU gegen Deutschland, wegen nicht umgesetzter NIS-2-Richtlinie. Hier ein kurzer Abriss … Weiterlesen NIS-2: EU-Verfahren gegen Deutschland<\/h2>\n
Zur Erh\u00f6hung der Cybersicherheit hat die EU die sogenannte NIS-2-Richtlinie erlassen (NIS-2 steht f\u00fcr Network Information Security 2). Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enth\u00e4lt rechtliche Ma\u00dfnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.<\/p>\n
![\"NIS-2:](\"https:\/\/i.postimg.cc\/4xm2kS3F\/image.png\")
<\/p>\n![\"NIS-2:](\"https:\/\/i.postimg.cc\/hjkQvh8d\/image.png\")
<\/p>\n
\n<\/strong>NIS-2-Richtlinie zu Cybersicherheit und Resilienz im Amtsblatt der EU ver\u00f6ffentlicht<\/a>
\nBSI will Unternehmen bei NIS-2 unterst\u00fctzen<\/a>
\nPraxisleitfaden zur NIS-2-Umsetzung<\/a>
\nCyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen<\/a>
\nNIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden<\/a>
\nGelebte Verantwortungslosigkeit: Umgang mit IT Sicherheit in Unternehmen und im KRITIS-Bereich<\/a>
\nKommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"