Viele Fragen und kaum Antworten?

Hier finden Sie die häufigsten Fragen und die Antworten, die an mich bisher gestellt wurden.

Erstellt mit Adobe Firefly

Gern können sie mir über das Kontaktformular für Sie wichtige Fragen stellen.

Das NIS2-Umsetzungsgesetz 

Eine wichtige Information zum NIS2-Umsetzungsgesetz für die Geschäftsführung: 

 

Ist das Unternehmen durch einen technischen Defekt oder durch einen Cyberangriff betroffen und Dritte erleiden dadurch einen Schaden (Kunden, Zulieferer, Personal) und das Unternehmen wird verklagt, kann durch das NIS2-Umsetzungsgesetz die Geschäftsführung persönlich, weil grob fahrlässig, haftbar gemacht werden.

 

Wenn der Geschäftsführung bekannt ist, dass diverse Risiken bestehen und keine Gegenmaßnahme getroffen wurden, Ist die Geschäftsführung durch das NIS2 Gesetz allein verantwortlich. Diese Verantwortung kann nicht auf die Administratoren oder den Informationssicherheitsbeauftragten abgegeben werden.

Technischer Ausfall

 

Zu den meisten technischen Ausfällen gehören Hardwaredefekte.

Da sind unter anderem die Server mit der Diensten und das Storage betroffen. Also die Teile, die Daten speichern oder, meistens im Hintergrund, weiter Verarbeiten. Ein solcher Ausfall kann bedeuten, dass diverse Programme nicht mehr funktionieren oder aber auch, dass Datenbanken und / oder Dateien verlorengehen. In den meisten Unternehmen bedeutet das, ein kompletter Ausfall der digitalen Auftragsverarbeitung bis hin zu Rechnung und Lieferscheine. 

 

Ein tatsächlicher Schutz vor solchen defekten ist nur bei größeren Unternehmen in Form von doppelter Hardwareausführung und doppelter Speicherung der Dienste und Daten wirtschaftlich sinnvoll.

 

In kleineren Unternehmen werden dagegen die Auswirkungen auf das mögliche und wirtschaftliche Maß begrenzt. Hierzu zählt als wichtigstes die Datensicherung. Dabei wird darauf geachtet, dass diese durch diverse Tests bis hin zu einem Desaster Recovery, also die Systemwiederherstellung nach einem totalen Datencrash, auch funktioniert und durch Übung die Verantwortlichen eine größtmögliche Sicherheit und Wissen zu der Wiederherstellung erlangen.

 

Nur so kann die Ausfallzeit sicher minimiert werden.

Folgen von Fehlbedienung

 

Zu den Fehlbedienungen gehören nicht nur Fehler bei der Eingabe in das System, sondern auch Fehlbedienungen durch die IT-Verantwortlichen.

 

Fehlerhafte Updates, Einstellungen im Serverbetriebssystem, Einstellungen in Switche und Firewall, falsche Rücksicherungen von Daten um nur ein paar zu nennen. Diese Fehler können immer passieren, denn "IT-Ler" sind halt auch nur Menschen denen auch Fehler unterlaufen können. Nur sind diese Fehler dann oft schwerwiegend. Das alles kann fatale Folgen für das Unternehmen haben. Oft hilft hier nur eine ausführliche Dokumentation und ein funktionierendes Backup von Server aber auch der Einstellungen von Netzwerkgeräte wie die oben erwähnten Switche und Firewall.

 

Wir alle haben Smartphons. Wer kenn denn auf seinem Gerät alle Einstellungen? Wenn man dann die Einstellmöglichkeiten eines Smartphons mit ca. 10 multipliziert, kommt man annähernd auf die Einstellmöglichkeiten moderner Firewalls.

Cyberangriffe

 

Das ist wohl der umfassendste Bereich.

 

Wichtig ist zu wissen, dass die Größe des Unternehmens kein Auswahlkriterium der Kriminellen ist. Allein wie verwundbar die eingesetzten Systeme sind, gilt bei den Banden mit wirtschaftlichen Interessen als wichtigstes Kriterium. 

 

Anders bei staatlich geförderten Banden, die meistens aus China, Russland oder dem Iran stammen. Da gibt es unterschiedliche Motive. Dazu zählen Spionage, Vertrauen in Instituten zu beschädigen, Kritische Infrastruktur lahm legen.

 

So sind unter den Betroffenen Firmen, die von finanziellen Motiven geleiteten Banden angegriffen wurden, kleine wie Getränkelieferanten oder Kfz-Werkstätten ebenso vertreten wie Brauereien, Radiostationen aber auch Behörden. Eigentlich gibt es keine Branche, die nicht betroffen ist.

 

Die größte Gefahr besteht aktuell durch so genannte Ransomware Attacken. Was passiert hier eigentlich?

Die Hacker verschaffen sich Zugang zum System. Meistens über eine Phishing Mail. Über 90% aller Angriffe starten von Innen. Meistens durch unvorsichtiges anklicken eines Links oder das Öffnen eins Anhangs.

 

Hat der Angreifer ein mal die Kontrolle eines PCs übernommen versucht er Schritt für Schritt die Kontrolle des Servers zu übernehmen.

Wurde das erreicht, untersuchen die Hacker die gesamte IT-Landschaft inklusive den Sicherungen. Hacker sind meistens längere Zeit auf den System. So sind mehrere Monate bis sogar Jahre durchaus möglich.

 

Wenn den Hackern alles wichtige bekannt ist suchen sie zuerst wichtige Unterlagen und Dateien. Diese werden dann im großen Stil kopiert. Danach, meistens am Wochenende, wenn im Betrieb wenig Personal ist, beginnen die Hacker mit der Verschlüsselung. Sie beginnen mit allen Sicherungsmedien, die sie finden können. Danach kommen sämtliche Server und anschließend die verfügbaren Clients.

 

Jetzt ist der Zeitpunkt, bei dem das Unternehmen still steht, da keine digitalen Informationen mehr verfügbar sind.

Man findet nur noch ein Schreiben auf den PCs oder Server mit der Aufforderung sich an eine bestimmte Mailadresse zu wenden. Oft wird auch bereits die Höhe des Lösegeld in Form von Bitcoins für den Schlüssel zur Wiederherstellung gestellt.

 

Die wichtigsten vorbeugenden Maßnahmen zählen hier ein funktionierendes, offline gelegtes Backup sowie die rechtzeitige und regelmäßige Installationen aller wichtigen Updates aller Systeme. Die Sensibilisierung der Mitarbeiter zu den Gefahren im Internet und den Mails ist ebenfalls ein sehr wichtiger Baustein zur Vorsorge.

 

Weitere Angriffsmethoden sind das Lahmlegen von Webseiten (DDos-Angriffe), kapern von Mailadressen, Identitätsdiebstahl, vertrauensvolle oder geheime Daten kopieren und mit Veröffentlichung drohen.

Datenverlust

Datenverlust kann durch viele Faktoren entstehen. Hier hilft nur eine funktionierende Sicherung. Hier gilt das gleiche wie bei einem technischem Ausfall.

Unberechtigte Einsicht

Hier ist unter anderem Industriespionage oder das abgreifen von persönliche Informationen gemeint.

 

Industriespionage ist weiter verbreitet als es öffentlich bekannt ist. So waren Hacker, vermutet wird aus China, zwei Jahre unerkannt mit allen Rechten auf der Microsoft Cloud Azure. Microsoft versucht diesen Vorfall herunter zu spielen und behauptet es wären nur ca. 25 Accounts durchsucht worden. Microsoft selbst ist der Angriff gar nicht aufgefallen, sondern einem Kunden. Ob die Hacker wirklich schon aus dem System sind oder sich sogenannte Backdoors, also Hintertüren, als Admin eingebaut haben weiß niemand. 

 

Für Automobilzulieferer die Bauteile für die Autohersteller entwickeln ein wichtiges Thema. Meistens wird hier eine Zertifizierung nach dem Automotiv-Standard TISAX verlangt.

 

Nicht zu unterschätzen ist die Einsicht persönlicher Informationen durch Unbefugte. Die können für Fishing Mail Aktionen oder Identitätsdiebstahl verwendet werden. Hier greift dann die DSGVO und kann zu empfindlichen Strafen führen. Auch hier gilt die Geschäftsführung als alleinige Verantwortliche.

Unberechtigte Veröffentlichung

Wenn persönliche Daten von Unberechtigten veröffentlicht werden, kann der Geschädigte durch die DSGVO Entschädigung einklagen.

 

Diese Entschädigungen sind selten unter einem 5-Stelligen Wert. 

 

Sollten Firmeninternes veröffentlicht werden, kann die Reputation nachhaltig geschädigt werden, das meistens mit erheblichen Rückgang des Umsatzes einhergeht. 

 

Vorbeugend hilft hier nur die Mitarbeiter schulen und Prozesse zur Absicherung dieser Informationen einführen oder umstellen.

Was kostet mehr Sicherheit?

Sicherheit gibt es nicht umsonst, das ist sicherlich unbestritten.

 

Aber die genauen Kosten sind sehr variabel. Die Kosten sind abhängig vom Umfang der EDV-Landschaft, von den bereits integrierten Absicherungen, von der Anzahl der Mitarbeiter mit IT-Anschluss und von vielen weiteren Punkten.

Um aber wenigstens einen groben, einen sehr groben, Anhaltspunkt zu haben, eine kleine Übersicht:

Der Beratungsaufwand ca. in Tagen

  • Kleines Unternehmen mit 5 Mitarbeiter
    • Nur Analyse IT Sicherheit inkl. Beratung ca. 1.500,00 €
    • Analyse zur Informationssicherheit nach ISO 27001 inkl. Beratung ca. 3.000,00 €
    • Analyse zu NIS2  inkl. Beratung  ca. 3.000,00 €
    • Prüfung der Umsetzung ca. 1.500,00 €
  • Mittleres Unternehmen mit bis zu 200 Mitarbeiter
    • Analyse IT Sicherheit inkl. Beratung ca. 3.000,00 €
    • Analyse Informationssicherheit inkl. Beratung ca. 6.000,00 €
    • Analyse zu NIS2  inkl. Beratung  ca. 6.000,00 €
    • Prüfung der Umsetzung ca. 3.000,00 €
  • Bei größeren Unternehmen wird es dementsprechend teurer.
     
  • Schulungen
    • Personal bis 30 Teilnehmer ca. 1.000,00 €. zuzgl. Vorbereitung
    • Geschäftsführung ca. 1.500,00 €. zuzgl. Vorbereitung
      (Vor der Schulung der Geschäftsführung ist eine Analyse der IT-Sicherheit erforderlich)

 

Der bisherige Durchschnitt an Kosten für meine Dienste Analyse und Beratung für Unternehmen mit ca. 150 Mitarbeiter lag bei 12.000,00 €. Mit Begleitung zur Zertifizierung bei ca. 16.500,00 €.

 

Allerdings ist die Spanne zwischen dem günstigsten und teuersten Aufwand mit 28.000,00 € recht hoch. 

Der ungefähre Preis für Ihr Unternehmen kann beim ersten Kontakt schon eingegrenzt werden.

Und was hat das Unternehmen davon?

 

 

Eine wichtige Frage. 

  • Ihr Unternehmen erhält eine sichere IT-Infrastruktur
  • Ein sicheres Backup 
  • IT-Mitarbeiter, die durch Übungen wissen was bei einer Störung zu tun ist
  • Sensibilisierte Mitarbeiter, die nicht auf jeden Link in einer Mail klicken. 
  • Verbesserte Sicherheitseinrichtungen
  • Vorbereitete Aktionen nach einem Angriff
  • Sicherstellung des Betriebsablaufs nach einem Angriff oder Störung, so weit möglich
  • NIS-2 konform
  • Wenn gewünscht, bereit zur Zertifizierung zur Cybersicherheit nach ISO/IEC 27001 oder TISAX

Ihr Unternehmen ist vor Gefahren durch Cyber Attacken oder technischem Defekt angemessen geschützt. 

Das Risiko einer Störung der IT ist deutlich reduziert, aber im Falle ist Ihr Unternehmen bestens darauf vorbereitet.

©Urheberrecht. Alle Rechte vorbehalten.

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.