Cybersicherheit ist nicht nur ein Thema der IT-Sicherheit

Juni 10, 2024

Interview mit Marc Hirtz, CEO des Cybersicherheitsanbieters Nextron Systems

Die Richtlinie zur Netz- und Informationssicherheit (NIS2) der Europäischen Union stellt einen bedeutenden Schritt zur Stärkung der Cybersicherheit innerhalb der EU dar. Sie adressiert Organisationen, die als Betreiber kritischer Infrastrukturen eingestuft sind und legt verbindliche Standards fest, um deren Informationssysteme vor Cyberbedrohungen zu schützen. Angesichts der zunehmenden Digitalisierung und Abhängigkeit von IT-Infrastrukturen ist die Sicherstellung der Resilienz gegenüber Cyberangriffen in wesentlichen und wichtigen Sektoren wie Energie, Gesundheit, Finanzen und Transport für eine Gesellschaft von entscheidender Bedeutung. NIS2 fördert nicht nur die präventive Sicherheitsarchitektur, sondern etabliert auch klare Meldepflichten für Sicherheitsvorfälle, um eine effektive Reaktionsfähigkeit über die betroffene Organisation hinaus zu gewährleisten. Die Richtlinie zielt darauf ab, die Widerstandsfähigkeit kritischer Infrastrukturen in Europa zu erhöhen und somit die Kontinuität essenzieller Dienstleistungen für Bürger und Wirtschaft zu sichern.

Angesichts der wachsenden Relevanz der NIS2-Richtlinie für Organisationen in der EU ist es entscheidend zu verstehen, wie Unternehmen sich auf diese neuen Anforderungen vorbereiten können. Im folgenden Interview mit Marc Hirtz, CEO des Cybersicherheitsanbieters Nextron Systems, werden wir tiefer in die Auswirkungen von NIS2 eintauchen und erfahren, wie Unternehmen ihre Cybersicherheitsstrategien verbessern können, um den Anforderungen gerecht zu werden.

?Herr Hirtz, warum ist aus Ihrer Sicht die Einführung von NIS2 notwendig?

Marc Hirtz: Cybersicherheit betrifft heute nicht nur die IT-Sicherheit, sondern hat direkte Auswirkungen auf die gesamte Funktionsfähigkeit vieler Dienstleister. IT-Systeme bilden das Rückgrat für geschäftskritische Prozesse und tiefe Integration macht uns abhängiger von deren Zuverlässigkeit. Gerade in kritischen Branchen wie beispielsweise dem Gesundheitssektor darf ein Ausfall jedoch keine Option sein.
NIS2 zielt darauf ab, diese Systeme abzusichern und damit die Stabilität und Sicherheit unserer gesellschaftlichen Infrastruktur zu gewährleisten. Darüber hinaus schafft NIS2 klare Richtlinien und Meldepflichten für Sicherheitsvorfälle, was eine verbesserte Transparenz und Koordination innerhalb der EU ermöglicht und die Reaktionsfähigkeit auf Cyberbedrohungen erhöht. Alle Organisationen können so von den gemeinsam gemachten Erfahrungen profitieren.

?Wer ist alles von NIS2 betroffen und wie kann sich eine Firma Ihrer Meinung nach am besten darauf vorbereiten?

Marc Hirtz: NIS2 betrifft Organisationen innerhalb der EU, die wesentliche und wichtige Dienstleistungen erbringen, wie z.B. Internetanbieter, Energieversorger, Banken und Gesundheitseinrichtungen. Im Vergleich zu NIS1 erweitert NIS2 den Anwendungsbereich erheblich und umfasst nun 35 verschiedene Sektoren – im Vergleich zu den ursprünglichen 19.
Kleine und mittlere Unternehmen (KMU) mit einem Jahresumsatz von weniger als 10 Millionen Euro und weniger als 50 Mitarbeitern sind von NIS2 ausgenommen.
Um sich auf die Anforderungen von NIS2 vorzubereiten, sollten Unternehmen eine gründliche Risikoanalyse durchführen und sicherstellen, dass ihre Sicherheitsmaßnahmen den neuen Richtlinien entsprechen. Dies beinhaltet die Implementierung einer robusten IT-Sicherheitsarchitektur und die Integration von Best Practices wie dem NIST Cybersecurity Framework. Die allermeisten Unternehmen können hierzu sicher auf bereits implementierten Managementsystemen für Informationssicherheit aufsetzen. Der Anforderungskatalog wird durch NIS2 nun erweitert. 

?Sie erwähnten das weltweit anerkannte NIST Cybersecurity Framework, Herr Hirtz. Wie kann Ihrer Meinung nach das NIST Cybersecurity Framework Organisationen helfen, ihre Cybersicherheitsstrategie zu verbessern, und welche spezifischen Vorteile bietet es im Vergleich zu anderen Sicherheitsstandards?

Marc Hirtz: Es ist wichtig zu beachten, dass NIS2 bisher nur eine EU-Direktive ist und es keine konkrete (nationale) Zertifizierungsrichtlinie gibt, also auch keine Zertifizierungsmöglichkeit. Die Direktive muss in nationales Recht übersetzt werden, was für Deutschland noch nicht abschließend geschehen ist. Die ENISA, die europäische Agentur für Cybersicherheit, verweist bezüglich der zu erbringenden NIS2-Compliance sowohl auf die Zertifizierung nach ISO 27001 als auch auf das NIST-Framework. Das deutsche BSI schlägt zur Vorbereitung auf NIS2 die Erlangung der Zertifizierungen nach ISO 27001 oder BSI-Grundschutz vor. Ich gehe davon aus, dass die meisten Unternehmen mit einer bestehenden ISO-Zertifizierung bereits 70% der NIS2-Anforderungen erfüllen. Zusätzliche Anforderungen aus NIS2 lassen sich aus der Anwendung des NIST-Frameworks identifizieren und intern bearbeiten, jedoch nicht extern zertifizieren.

Durch seine fünf Kernfunktionen bietet das NIST Cybersecurity Framework einen strukturierten Ansatz zur Sicherung kritischer Infrastrukturen. Durch die Funktionen Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen ermöglicht es Organisationen, Risiken frühzeitig zu erkennen, angemessene Schutzmaßnahmen zu implementieren, Sicherheitsvorfälle zeitnah zu identifizieren, darauf zu reagieren und die Systeme nach einem Vorfall schnellstmöglich wiederherzustellen. Diese ganzheitliche Herangehensweise fördert nicht nur die Widerstandsfähigkeit gegenüber Cyberangriffen, sondern unterstützt auch eine kontinuierliche Verbesserung des Sicherheitsniveaus durch Anpassung an neue Bedrohungen und Technologien. Im Vergleich zu anderen Standards wie ISO/IEC 27001 ist das NIST Framework flexibler und praxisorientierter, was die Anpassung an die spezifischen Bedürfnisse verschiedener Organisationen erleichtert. 

?Wie positioniert sich Nextron Systems innerhalb des NIST Cybersecurity Frameworks und welche spezifischen Core-Funktionen werden durch Ihre Lösungen unterstützt?

Marc Hirtz: Nextron Systems fokussiert sich innerhalb des NIST Cybersecurity Frameworks besonders auf die Stärkung der Kernfunktion des Erkennens von Cyberangriffen. Unser APT-Scanner THOR entdeckt Angriffsspuren, die von AV- und EDR-Systemen übersehen werden. THOR bietet praktisch eine automatisierte forensische Analyse von IT und OT-Infrastrukturen auf Spuren von Hackeraktivitäten bzw. Hacking-Tools, Systemmanipulationen und viele weitere Indikatoren möglicher Kompromittierungen – auch wenn diese bereits in der Vergangenheit entstanden sind und momentan noch “schlafen”. Unser APT-Scanner identifiziert also verdächtige Aktivitäten, bevor sie Schaden anrichten können.

THOR ist damit die perfekte Ergänzung zu bestehenden Sicherheitslösungen, die sich auf die Erkennung von Malware in Echtzeit beziehen, jedoch deutlich weniger tiefe forensische Methodik mitbringen. Mit der Kombination von AV, EDR und einem APT-Scanner wie THOR wird eine umfassendere Verteidigung gegen komplexe Bedrohungen gewährleistet und damit zur Stärkung der gesamten Sicherheitsstrategie beigetragen.

?Wie sehen Sie die zukünftige Entwicklung der Cybersicherheit im Kontext der NIS2-Richtlinie und welche Herausforderungen erwarten Sie in den kommenden Jahren?

Marc Hirtz: Die NIS2-Richtlinie markiert einen wichtigen Schritt in die richtige Richtung, aber die Bedrohungslandschaft entwickelt sich kontinuierlich weiter. In den kommenden Jahren werden wir mit noch komplexeren Cyberangriffen konfrontiert sein, die neue Schwachstellen in unseren Systemen ausnutzen könnten. Es wird daher entscheidend sein, dass Unternehmen NIS2 als ein dauerhaftes Framework verstehen, innerhalb dessen sie ihre Risikobewertungen, Schutz- und Abwehrmaßnahmen kontinuierlich an veränderte Angriffsvektoren anpassen. Dies bedeutet, immer einen Schritt vorauszudenken, neue Technologien und Ansätze zur Bedrohungserkennung und -abwehr zu integrieren und eine Kultur der Cybersicherheit innerhalb der Organisation zu fördern.

Ein wichtiger Aspekt wird auch die verstärkte Zusammenarbeit zwischen den verschiedenen Akteuren sein – sowohl auf nationaler als auch auf internationaler Ebene. Durch den Austausch von Informationen über Bedrohungen und bewährte Praktiken können wir die kollektive Widerstandsfähigkeit unserer Unternehmen und damit unserer Gesellschaft insgesamt stärken und schneller auf neue Herausforderungen reagieren.

Letztlich wird die erfolgreiche Umsetzung der NIS2-Richtlinie nicht nur die Sicherheit kritischer Infrastrukturen verbessern, sondern auch das Vertrauen in die digitale Wirtschaft und unsere Fähigkeit, mit den Herausforderungen der modernen Welt umzugehen, stärken. Unternehmen, die sich frühzeitig und umfassend auf diese neuen Anforderungen vorbereiten, werden nicht nur besser geschützt sein, sondern auch eine Vorreiterrolle in der sicheren digitalen Transformation einnehmen.

Herr Hirtz, vielen Dank für das Gespräch.

Related Articles

BIM-Preis Bayern 2024 für digitales Planen und Bauen

BIM-Preis Bayern 2024 für digitales Planen und Bauen

BIM-Preis für digitale Projekte in der Baubranche Vier Preisträger in drei Kategorien ausgezeichnet Auftakt für die BIMWeeks mit bayernweiten Veranstaltungen Das „Building Information Modeling“ (BIM) eröffnet der Baubranche neue Wege: Diese vollständig digitale...

Share This