Die Umsetzung der NIS2-Richtlinie und das geplante KRITIS-Dachgesetz sind vorerst gescheitert. Darüber berichtet Falk Steiner auf Heise Online NIS2-Umsetzung und Kritis-Dachgesetz endgültig gescheitert | heise online am 28. Januar 2025.
Dies bedeutet, dass Unternehmen und Organisationen weiterhin ohne klare gesetzliche Rahmenbedingungen für Cybersicherheit auskommen müssen. Doch wer jetzt abwartet, setzt seine eigene Geschäftsfähigkeit aufs Spiel. Cyber-Angriffe nehmen täglich zu, und die Schäden durch Ransomware, Datendiebstahl oder Systemausfälle sind oft existenzbedrohend. Deshalb gilt: Unternehmer müssen selbst aktiv werden und ihre Cyber-Resilienz stärken.
Die Bedrohungslage bleibt akut
Cyber-Kriminelle interessieren sich nicht für Gesetzgebungsverfahren oder politische Verzögerungen – sie suchen permanent nach Schwachstellen, um Unternehmen anzugreifen. Besonders mittelständische Unternehmen und IT-Dienstleister sind beliebte Angriffsziele.
Ob durch Phishing, kompromittierte Zugänge oder gezielte Attacken auf kritische Systeme – es ist nicht die Frage, ob ein Unternehmen attackiert wird, sondern wann. Ein aktueller Cyber-Vorfall mit dramatischen Ausgang beispielsweise die Betreibergesellschaft des Vier-Sterne-Hotels Maxx in Aalen, wie Hotel Vor9.de auf seiner News-Seite am 29. Januar 2025 Cyberangriff treibt Maxx Hotel in Aalen in die Insolvenz | Local berichtet.
Unternehmen, die sich ausschließlich auf gesetzliche Vorgaben verlassen, handeln zu spät. Wer heute nicht in Cyber-Sicherheit investiert, riskiert nicht nur finanzielle Verluste, sondern auch den Ruf und das Vertrauen seiner Kunden.
Was bedeutet denn Cyber-Resilienz?
Cyber-Resilienz geht über klassische IT-Sicherheitsmaßnahmen hinaus. Was auch bedeutet, dass in den meisten Unternehmen die Basics vorhanden sind und lediglich in einer Informationssicherheuts-Strategie zusammengefasst werden müssen. Das bedarf al ersten Schritt einer Feststellung, sprich IST-Analyse des aktuellen Sicherheits-Status. Es geht darum, auf Cyber-Vorfälle vorbereitet zu sein und sicherzustellen, dass das Unternehmen im Notfall schnell wieder handlungsfähig wird. Drei Kernbereiche stehen dabei im Fokus:
- Prävention: Schutz vor Cyber-Angriffen
– Regelmäßige Schulungen der Mitarbeiter, um Phishing-Angriffe zu erkennen.
– Einführung eines zuverlässigen Patch-Managements zur Schließung von Sicherheitslücken.
– Nutzung von mehrstufigen Authentifizierungsverfahren (MFA).
– Implementierung von Netzwerksegmentierung und Zugriffskontrollen zur Schadensbegrenzung - Notfallmanagement: Organisiertes Handeln bei einem Cyber-Vorfall
– Entwicklung und regelmäßige Tests eines Incident-Response-Plans.
– Klare Rollenverteilung im Krisenfall: Wer übernimmt welche Aufgaben?
– Einrichtung eines Security Operation Center (SOC) oder die Zusammenarbeit mit einem externen Managed Security Dienstleister.
– Durchführung von Workshops und Tabletop-Übungen, um das Verhalten im Ernstfall zu trainieren. - Krisenmanagement: Verhalten im Ernstfall und Wiederherstellung
– Sofortige Isolierung betroffener Systeme, um eine Ausbreitung der Attacke zu verhindern.
– Schnelle und professionelle Kommunikation mit Kunden, Partnern und gegebenenfalls Behörden.
– Wiederherstellung der Systeme durch zuverlässige Backups und klare Wiederanlaufpläne.
– Dokumentation und Analyse des Vorfalls zur kontinuierlichen Verbesserung der Sicherheitsstrategie.
IT-Systemhäuser als Schlüsselakteure
Viele mittelständische Unternehmen sind auf die Unterstützung durch IT-Systemhäuser angewiesen. Diese haben die Verantwortung, ihre Kunden nicht nur mit Standardlösungen zu versorgen, sondern aktiv Cyber-Resilienz-Konzepte anzubieten. IT-Dienstleister müssen sich darauf vorbereiten, Kunden gezielt zu beraten und praxisnahe Sicherheitslösungen zu implementieren.
Hierbei geht es nicht nur um Technologie, sondern auch um organisatorische und prozessorientierte Maßnahmen. Managed Security Services, automatisierte Sicherheitskontrollen und gezielte Sensibilisierungskampagnen gehören zu den unverzichtbaren Bausteinen eines modernen IT-Sicherheitsansatzes.
Resümee: Sicherheit ist eine unternehmerische Pflicht
Das Scheitern der NIS2-Umsetzung in Deutschland darf keinesfalls als Grund für Untätigkeit dienen. Cyber-Sicherheit ist kein rein gesetzliches Thema, sondern eine existenzielle Notwendigkeit für jedes Unternehmen. IT-Systemhäuser und mittelständische Unternehmen sollten das aktuelle Vakuum nutzen, um selbstständig resilienter zu werden.
Die richtige Strategie ist klar: Prävention, vorbereitetes Handeln im Notfall und eine starke Krisenreaktion. Wer sich heute vorbereitet, sichert sich morgen seinen Unternehmenserfolg.
