Mit der EU Cybersecurity-Richtlinie NIS2 werden Geschäftsführer künftig haftbar

In unserer zunehmend digitalen Welt verlagert sich auch das Verbrechen mehr und mehr in den digitalen Raum. Eine beliebte Angriffsmethode Cyberkrimineller ist dabei die so genannte DDoS-Attacke. Die Abkürzung steht für „Distributed Denial of Service“ – zu Deutsch etwa „Verteilte Dienstverweigerung“. Bei solchen Attacken wird ein bestimmtes Ziel, beispielsweise ein Online-Portal, durch eine hohe Anzahl an Zugriffen gezielt überlastet.

Da nun inzwischen auch kritische Infrastrukturen (KRITIS) wie Krankenhäuser, Regierungen und Bildungseinrichtungen mittlerweile im digitalen Raum angekommen sind, bieten sich Angreifern hochrangige Ziele und Opfern hohe Gefahren. Lisa Fröhlich ist Unternehmenssprecherin des Cybersicherheitsunternehmens Link11. Im Interview mit OnlinehändlerNews erklärt sie, wie die von der EU geplante Cybersecurity Richtlinie NIS2 versucht, hier für mehr Sicherheit zu sorgen und was Unternehmen dabei beachten sollten. 

Im Falle eines Angriffs ist Zeit der wichtigste Faktor

OnlinehändlerNews: DDoS-Attacken sind im Vergleich mit anderen Hacking-Methoden eigentlich recht simple Manöver. Wie kommt es, dass dennoch bisher kein universelles Mittel gegen diese gefunden wurde?

Lisa Fröhlich: Ein zentraler Grund ist der Umstand, dass sich die DDoS-Angriffe in ihrer DNA stetig weiterentwickeln. Dadurch erhöht sich das Anforderungsprofil an IT-Lösungen in Unternehmen.

Technisch gesprochen stieg die durchschnittliche Anzahl der Paketrate von 3,3 Millionen Paketen pro Sekunde 2022 gegenüber dem Vorjahr mit 990.000 Paketen pro Sekunde an. Zudem zog die durchschnittliche Gesamtbandbreite der Attacken von 1,4 Gbit/s (2021) auf 2,6 Gbit/s (2022) an. (Anmerkung der Redaktion: Mit Paketen bezeichnet man hier die angreifenden Dateneinheiten).

In letzter Konsequenz reichte den Angreifern mittlerweile ein Drittel der bisher benötigten Zeit - 55 Sekunden bis zur kritischen Last statt 184 Sekunden in 2021 -, um erheblichen Schaden anzurichten. Hinzukommen messbar steigende DDoS-Angriffszahlen im ersten Quartal 2023. 

Im Falle eines solchen Angriffs ist Zeit einer der wichtigsten Faktoren, denn jede Sekunde, die vergeht, kann zu großen Schäden führen - durch manuelle Bewertungen von Vorfällen, unvorhergesehene Routing-Probleme oder überlistete Abwehrmechanismen. 

In einem solchen Szenario reicht eine Time-to-mitigate (TTM) von nur einer Minute nicht aus, um einen kompletten Systemausfall zu vermeiden.

Wer sind die Hacker hinter DDoS-Attacken? Gibt es bekannte Gruppierungen oder überwiegen Einzeltäter?

Die Zeiten, in denen Cyberkriminelle vor allem durch Einzeltäter repräsentiert wurden, sind längst vorbei. Gerade in den letzten Jahren professionalisierten sich Hackerstrukturen weltweit: Hinter Gruppierungen wie NoName057, Killnet and Anonymous Sudan, verstecken sich in der Regel global vernetzte und dezentral agierende, hochmoderne pro-russische Hackergruppen, die in Teilen sogar von staatlichen Strukturen unterstützt werden. 

Diese haben den NATO-Staaten offen den Cyberkrieg erklärt und zielen mehr denn je auf die kritischen Infrastrukturen in den jeweiligen westlichen Staaten ab.

Mit der EU-Richtlinie NIS2 werden Geschäftsführer in die Haftung genommen

Welche konkreten Anforderungen beinhaltet die von der EU vorgeschlagene Cybersecurity Richtlinie NIS2?

Deutschland muss bis zum 17. Oktober 2024 die neuen Mindestanforderungen für die Cybersicherheitspflichten kritischer Infrastrukturen umsetzen, die die EU mit der NIS2-Richtlinie festgelegt hat. Insgesamt verschärfen sich die Cybersicherheitsauflagen und es sind deutlich mehr Unternehmen von der Neuregulierung betroffen. 

Neue Anforderungen sind etwa, dass die Unternehmen in Zukunft in der Risikobewertung ihrer IT-Prozesse auch die Lieferketten berücksichtigen müssen und für die Meldung von erheblichen Sicherheitsvorfällen ein Meldesystem in drei Schritten mit Fristen von 24 bis 72 Stunden sowie einem Monat eingeführt wird. 

Außerdem müssen Präventionsmaßnahmen eingeführt werden. Dazu gehören sowohl ein Incident Management als auch ein Business Continuity Management. Mit NIS2 wird Cybersicherheit zur Chefsache, denn eine der wichtigsten Änderungen ist, dass die Geschäftsführung die Maßnahmen überwachen muss und für Verstöße haftet. 

Welche Arten von Institutionen oder Unternehmen betrifft NIS2?

Grundsätzlich gehören zur kritischen Infrastruktur Unternehmen, Ministerien und Betreiber aus Gesundheit, Transport, Wasser, Informationstechnik, Ernährung, Finanzen, Medien, Staat & Verwaltung sowie Energie.

NIS2 differenziert zwischen zwei Gruppen: 

Den wesentlichen und den wichtigen Einrichtungen. Wesentliche Einrichtungen sind große Betreiber – mit über 250 Beschäftigten und über 50 Millionen Euro Jahresumsatz – in den elf „Sektoren mit hoher Kritikalität“ wie etwa Energiebetreiber, Krankenhäuser, das Transportwesen, Banken, Wasserversorger oder die öffentliche Verwaltung. 

Als wichtige Einrichtungen gelten demgegenüber nachgelagerte Akteure – ab 50 Mitarbeitenden und zehn Millionen Euro Jahresumsatz – aus Bereichen wie der Industrie, dem Postwesen oder der Müllentsorgung. 

Die Neuregelung ist nicht nur sehr komplex, sondern erweitert die aktuell gültige Definition kritischer Infrastrukturen von 11 auf zukünftig 18 KRITIS-Sektoren. Das Bundesinnenministerium (BMI) geht davon aus, dass rund 29.000 Betreiber in die neuen Kategorien fallen.

Bei Nichteinhaltung riskieren Unternehmen hohe Geldstrafen

Inwiefern sind die Richtlinien rechtlich verpflichtend? Was, wenn einzelne EU-Mitgliedsstaaten oder einzelne Unternehmen eigene Richtlinien verfolgen wollen?

Da die Beschlusslage von der EU vorliegt, besteht zunächst eine Verbindlichkeit der einzelnen Mitgliedsstaaten. Das BMI arbeitet bereits an einem Referentenentwurf zur Umsetzung in deutsches Recht, da die neuen Regelungen ab dem 18. Oktober 2024 greifen. 

Die NIS2 zielt darauf ab, dass es eine engere Zusammenarbeit im Hinblick auf das Cybersicherheitsniveau in der EU gibt. Gerade für den Ernstfall sollte es ein umfassendes Risikomanagementsystem geben, das ein schnelles Reagieren auf Cyberangriffe überall möglich macht. 

Durch das aktuelle Bedrohungspotential sind Betreiber kritischer Infrastrukturen und Unternehmen verpflichtet, in Sachen Cybersicherheit zügig nachzurüsten. Daher ist die Einhaltung der vorgegebenen Maßnahmen auch verpflichtend. Alle Unternehmen, die gegen die strengen Vorgaben verstoßen oder sie nicht ordnungsgemäß umsetzen, riskieren hohe Geldstrafen. 

Wie sehen Sie die Erfolgsaussichten der Richtlinie in Anbetracht der sich ständig wandelnden Form von DDoS-Angriffen?

NIS2 ist ein Schritt in die richtige Richtung. Die fehlende Harmonisierung von EU-weit geltenden Sicherheitsstandards, gefährdete jahrelang die digitale Infrastruktur von Plattformen und Unternehmen. 

Trotzdem verändern sich DDoS-Attacken ständig, wodurch die Gefahrenlage weiterhin hoch bleibt. Während gesetzgeberische Maßnahmen den Rahmen für mehr IT-Sicherheit in Europa vorgeben können, zeigt die jüngste Serie von DDoS-Angriffen in Deutschland, dass ein effektiver DDoS-Schutz unerlässlich ist.

Die Aus- und Weiterbildung Beschäftigter ist unerlässlich

Welche Maßnahmen können auch kleine Unternehmen ergreifen, um sich und ihre Kundendaten besser zu schützen?

Wir empfehlen Unternehmen, mit Firmen zusammenzuarbeiten, die einen Schwerpunkt auf digitale Resilienz setzen. Die Methoden der Cyberkriminellen werden immer ausgeklügelter, die Angriffe immer zielgerichteter. Inzwischen ist es einfacher geworden, durch Angriffe auf externe Partner, das eigentliche Unternehmensziel anzugreifen.  

Zudem sollten viele Ressourcen in die digitale Aus- und Weiterbildung der Beschäftigten investiert werden. Je sensibler die Mitarbeitenden in Sachen Cybersicherheit agieren, desto kleiner wird das Risiko. 

Zusätzlich sollten bereits kleine Unternehmen auf innovative Partner setzen, die mit ihrem Know-how digitale Strukturen schützen. Inhouse reichen oftmals die Ressourcen nicht aus, um vollständige Resilienz zu entwickeln.  

Wenn es doch zu einem Angriff gekommen ist: Welche ersten drei Schritte sollten Unternehmen umgehend einleiten? 

Trifft eine DDoS-Attacke ein Unternehmen, gilt es als Erstes Gegenmaßnahmen einzuleiten und diese zu monitoren. Da Angreifer auch während eines DDoS-Angriffes die Angriffsvektoren verändern können, sollte das Unternehmen in der Lage sein, die eigenen Gegenmaßnahmen entsprechend anpassen zu können. 

Der zweite wichtige Schritt ist es Kunden, dem Management und Shareholdern gegenüber transparent zu sein sowie Strafverfolgungsbehörden zu informieren. 

DDoS-Angriffe werden oftmals als gefährliches Ablenkungsmanöver eingesetzt. Im Windschatten einer DDoS-Attacke kann es zu Phishing- oder Ransomware-Angriffen kommen. Deshalb sollten im dritten Schritt andere Assets überprüft werden, ob diese möglicherweise angegriffen oder bereits kompromittiert wurden.

Über die Autorin:

Lisa Fröhlich ist Unternehmenssprecherin bei Link11. Neben klassischen PR-Themen und Content-Management gehört die Corporate Communication zu ihren Aufgaben. Als Referentin für Wissenschaftskommunikation an der TU Darmstadt konnte die studierte Germanistin am Lehrstuhl für Systemsicherheit umfangreiche Kenntnisse im Bereich Cybersicherheit gewinnen. Zuvor war sie über zehn Jahre als PR-Managerin und Pressesprecherin in der Finanzbranche tätig.