top of page
AutorenbildMarco Feiten

NIS-2: Wie Sie Ihre Dienstleister und Zulieferer im Hinblick auf Cyber-Risiken wirksam überwachen können

Laut einer Umfrage von Gartner Inc. haben 45 % der Unternehmen Betriebsunterbrechungen durch Dritte erlebt. Aus dem Bericht der ENISA (Agentur der Europäischen Union für Cybersicherheit) geht hervor, dass 39 % (WEF, 2022) und 62 % (Anchore, 2022) der befragten Unternehmen von Cyberangriffen Dritter betroffen waren.


Zulieferer stellen als integraler Bestandteil Ihrer Lieferkette ein erhebliches Risiko für Ihr Unternehmen dar. Wenn einer dieser Geschäftspartner unzureichende Cybersicherheitspraktiken anwendet, kann dies zu großen Bedrohungen führen, z. B. zur Verbreitung von Malware im Netzwerk. Die Liste der Cyberrisiken, die Unternehmen und Einzelpersonen betreffen können, ist lang:


  1. Phishing und Spear-Phishing: Gefälschte E-Mails oder Nachrichten, die sich als vertrauenswürdige Quellen ausgeben, um sensible Informationen zu stehlen.

  2. Ransomware-Angriffe: Schadsoftware, die Dateien verschlüsselt und nur gegen Zahlung eines Lösegelds freigegeben wird.

  3. Malware: Software, die Systeme infiltriert, um Daten zu stehlen, Netzwerke zu stören oder weitere Angriffe durchzuführen, darunter Trojaner, Viren und Spyware.

  4. DDoS-Angriffe (Distributed Denial of Service): Überlastung eines Systems oder Netzwerks, um es lahmzulegen und die Verfügbarkeit von Diensten zu beeinträchtigen.

  5. Zero-Day-Angriffe: Ausnutzung von Sicherheitslücken, bevor diese geschlossen werden können.

  6. Insider-Bedrohungen: Mitarbeiter oder Partner, die absichtlich oder unabsichtlich Sicherheitslücken schaffen oder ausnutzen.

  7. Man-in-the-Middle-Angriffe: Abfangen und Manipulieren von Datenübertragungen zwischen zwei Kommunikationspartnern.

  8. SQL-Injection: Angreifer schleusen SQL-Befehle in eine Anwendung ein, um Datenbanken zu manipulieren oder sensible Daten abzurufen.

  9. Passwortdiebstahl und Brute-Force-Angriffe: Versuche, Passwörter zu stehlen oder durch wiederholtes Raten herauszufinden.

  10. Social Engineering: Techniken, um Menschen zu täuschen und zu manipulieren, um Zugang zu vertraulichen Informationen zu erhalten.

  11. APT (Advanced Persistent Threat): Langfristige, gezielte Angriffe auf bestimmte Organisationen, um über einen längeren Zeitraum vertrauliche Daten zu sammeln.

  12. Sicherheitslücken in der Cloud: Risiken durch Fehlkonfigurationen und Schwachstellen in Cloud-Diensten, die unbefugten Zugriff ermöglichen.

  13. IoT-Bedrohungen (Internet of Things): Angriffe auf vernetzte Geräte, die aufgrund unzureichender Sicherheitsmaßnahmen oft anfällig sind.

  14. Cryptojacking: Unbefugte Nutzung von IT-Ressourcen für verdecktes Mining von Kryptowährungen.

  15. Firmware- und Hardware-Exploits: Angriffe auf die Software und Hardware von Geräten, um Systeme zu manipulieren oder die Kontrolle zu übernehmen.

  16. Supply-Chain-Angriffe: Kompromittierung von Drittanbietern oder Lieferanten, um Zugang zu einer Zielorganisation zu erlangen.

  17. Datenlecks und Informationsverlust: Unbeabsichtigte Offenlegung sensibler Daten durch Fehlkonfigurationen, Cyberangriffe oder menschliches Versagen.

  18. Deepfake und digitale Manipulation: Einsatz von künstlicher Intelligenz, um gefälschte Medieninhalte zur Desinformation oder für Betrug zu erstellen.

  19. Risiken durch BYOD (Bring Your Own Device): Sicherheitslücken durch persönliche Geräte von Mitarbeitern, die schwer zu kontrollieren sind.

  20. Schatten-IT: Nutzung nicht autorisierter IT-Systeme oder Anwendungen, die unsicher sind und zu Sicherheitsproblemen führen können.


Diese Risiken machen deutlich, wie vielfältig die Bedrohungen in der Cyberwelt sind und wie wichtig wirksame Sicherheitsmaßnahmen zur Vermeidung von Schäden sind. Folglich fordern die Regulierungsbehörden zunehmend Maßnahmen zur Cybersicherheit und -resilienz.


NIS-2 - Verbesserte Cybersicherheit in der gesamten Europäischen Union

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist am 16. Januar 2023 in Kraft getreten und zielt darauf ab, die Cybersicherheit und den Schutz kritischer Infrastrukturen zu verbessern. Sie erweitert die ursprüngliche NIS-Richtlinie und schreibt strengere Sicherheitsmaßnahmen und Meldepflichten für eine größere Anzahl von Unternehmen und Organisationen in wesentlichen und wichtigen Sektoren (z. B. Energie, Gesundheitswesen, Verkehr, digitale Dienste) vor.


Zu den wichtigsten Änderungen gehören:

  1. Erweiterter Anwendungsbereich: Neben kritischen Infrastrukturen sind nun auch Unternehmen in Bereichen wie der öffentlichen Verwaltung und der Forschung verpflichtet, Sicherheitsmaßnahmen zu ergreifen.

  2. Strengere Sicherheitsanforderungen: Organisationen müssen Risikoanalysen, Maßnahmen zur Behebung von Schwachstellen und zur Risikominderung durchführen und ihre Cybersicherheitsstrategie regelmäßig aktualisieren.

  3. Berichtspflichten: Unternehmen müssen schwerwiegende Cyber-Vorfälle und Sicherheitsverletzungen innerhalb von 24 Stunden melden, um eine schnelle Reaktion zu ermöglichen.

  4. Höhere Strafen: Die Nichteinhaltung von Sicherheitsanforderungen kann zu erheblichen Geldstrafen führen.

  5. Zusammenarbeit und Informationsaustausch: Die Richtlinie fördert die Zusammenarbeit zwischen den EU-Mitgliedstaaten, um Bedrohungen gemeinsam zu bekämpfen.


Die NIS-2-Richtlinie zielt darauf ab, die Cybersicherheit innerhalb der EU zu stärken und den Schutz kritischer Dienste und Infrastrukturen vor Cyberangriffen zu verbessern. Alle betroffenen Unternehmen und Organisationen haben bis 2024 Zeit, die neuen Anforderungen umzusetzen.


Risikomanagementmaßnahmen unter NIS-2

Artikel 21 der NIS-2-Richtlinie legt den Schwerpunkt auf Sicherheitsanforderungen in der Lieferkette und die Überwachung von Lieferanten und Dienstleistern. Ziel ist es, die Risiken in der Lieferkette besser zu kontrollieren und die von Dritten ausgehenden Schwachstellen zu minimieren. Betroffene Unternehmen müssen daher Maßnahmen ergreifen, um die Sicherheit ihrer Lieferanten und Dienstleister in Bezug auf Cybersicherheit zu gewährleisten.


Konkret geht es in Artikel 21 um Folgendes:

  1. Risikobewertung der Lieferkette: Unternehmen sind verpflichtet, bei der Auswahl und Verwaltung von Lieferanten potenzielle Sicherheitsrisiken zu bewerten. Die Risiken, die Lieferanten für die IT-Systeme des Unternehmens darstellen, müssen systematisch überwacht und minimiert werden.

  2. Lieferantenverträge: Unternehmen sollten durch vertragliche Vereinbarungen sicherstellen, dass auch Lieferanten und Dienstleister geeignete Sicherheitsmaßnahmen ergreifen. Dies dient der Aufrechterhaltung von Standards in der gesamten Lieferkette.

  3. Kontinuierliche Überwachung: Unternehmen müssen Mechanismen zur regelmäßigen Überprüfung der Sicherheitsmaßnahmen ihrer Zulieferer einrichten, um sicherzustellen, dass die aktuellen Sicherheitsstandards auch von den Partnern eingehalten werden.

  4. Krisenmanagement und Reaktion auf Vorfälle: Unternehmen sollten sicherstellen, dass Lieferanten und Dienstleister über geeignete Notfall- und Reaktionspläne verfügen, um im Falle eines Cybervorfalls schnell und koordiniert reagieren zu können.


Durch Artikel 21 stärkt die NIS-2-Richtlinie die Sicherheit der gesamten Lieferkette und verringert das Risiko, dass Schwachstellen oder Schwächen bei Lieferanten und Dienstleistern das Unternehmen selbst gefährden könnten.


Wie scrioo bei der Identifizierung von Cyber-Risiken in der Lieferkette hilft

Während sich viele Cybersicherheitslösungen auf Softwareanalysen, Zugangskontrollen, physische Sicherheit, Systembeschaffung oder Wartungsverfahren konzentrieren, führt scrioo eine globale Echtzeit-Medienüberwachung und -analyse durch. Über 180 Millionen Online-Quellen weltweit werden in oder nahezu in Echtzeit auf Lieferanten, deren Produkte und Cyber-Risiken überwacht. So kann beispielsweise ein Angriff in einem Forenbeitrag entdeckt werden, der dem Hersteller oder Lieferanten noch nicht bekannt ist, und dient als hochwirksames Frühwarnsystem. Darüber hinaus werden potenzielle wirtschaftliche Risiken bei Partnern identifiziert, die sich auf die Servicequalität, die Produktsicherheit oder die Verfügbarkeit auswirken könnten, wie z. B. eine hohe Mitarbeiterfluktuation, Rechtsstreitigkeiten oder plötzliche Änderungen im Management. Darüber hinaus werden auch allgemeinere Risiken wie Naturkatastrophen, die den Anbieter betreffen könnten, überwacht. Wenn ein neues Risiko erkannt wird, sendet scrioo sofort eine Warnmeldung per E-Mail. Die Plattform geht über die Risikoidentifizierung hinaus. Sie können identifizierte Risiken direkt von der Plattform an den Dienstleister weiterleiten und ihn um eine Stellungnahme bitten. Risiken können auch anbieterübergreifend analysiert werden, oder bestimmte Risikotypen können bestimmten internen Mitarbeitern zugewiesen werden. Alle Aktivitäten werden zuverlässig dokumentiert und können in das Berichtswesen einbezogen werden.


0 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen

Commentaires


bottom of page