WeTalkSecurity - der ESET Podcast

In dieser Episode von We Talk Security spricht Philipp mit dem Cybersicherheitsexperten Norbert über die wachsende Rolle von Künstlicher Intelligenz (KI) in der IT-Security. Gemeinsam beleuchten sie, wie KI die Cybersicherheit verbessert, aber auch neue Angriffsmöglichkeiten für Cyberkriminelle eröffnet. Welche Rolle spielen starke und schwache KI? Wie setzen Hacker KI ein, um Schwachstellen auszunutzen, und was können wir tun, um KI-Systeme abzusichern? Norbert gibt spannende Einblicke in den aktuellen Stand der Technik und erläutert, wie Unternehmen das Vertrauen in KI aufbauen und langfristig bewahren können.

Die Vorlesung von Norbert Pohlmann, die in der Folge erwähnt wird, ist hier kostenlos verfügbar: https://norbert-pohlmann.com/vortraege/ai-and-it-security-more-security-more-threats/

Über den Gast: Norbert Pohlmann ist Professor für Cyber-Sicherheit und Leiter des Institut für Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen und spricht heute mit mir über das Thema KI und Cybersicherheit.

In unserer digitalisierten Welt ist die IT-Infrastruktur unverzichtbar geworden. Ein Geschäftsbetrieb, unabhängig von der Branche, ist ohne IT nicht mehr denkbar. Fällt ein Zahnrad aus, kann das schwerwiegende Folgen haben. Doch wie schafft man eine resiliente IT-Infrastruktur? Worauf muss man beim Kauf achten? Welche rechtlichen Aspekte müssen berücksichtigt werden? In der aktuellen Folge von WeTalkSecurity spricht Christian Lueg mit Karsten U. Bartels, Rechtsanwalt bei HK2 Rechtsanwälte und stellvertretender Vorstandsvorsitzender im Bundesverband IT-Sicherheit e.v. (TeleTrust).

Über den Gast

Neben seiner beruflichen Tätigkeit hat Karsten U. Bartels einen Lehrauftrag an der Ludwig-Maximilians-Universität München, wo er im Bereich IT-Sicherheitsrecht unterrichtet. Er engagiert sich auch stark in verschiedenen Fachverbänden: Er ist Vorsitzender der Arbeitsgemeinschaft IT-Recht im Deutschen Anwaltverein e.V. und stellvertretender Vorstandsvorsitzender des Bundesverbands IT-Sicherheit e.V. (TeleTrust).

"Recht und Sicherheit im digitalen Zeitalter"

EU-Regulierungen

Unkenntnis und Umsetzung

Empfehlungen

Weiterführende Links:

TeleTrust Handreichung zum Thema "Stand der Technik": https://www.teletrust.de/publikationen/broschueren/stand-der-technik/

Das Internet verändert auch den Alltag von Eltern: Landeten Bilder der eigenen Kinder vor 20 Jahren oft nur im privaten Fotoalbum, trennt sie heute nur ein Knopfdruck von einem potenziellen Millionenpublikum. Hierfür hat sich der Begriff "Sharenting" etabliert. Welche Gefahren drohen hier? Und sollten Eltern überhaupt Bilder ihrer Kinder online teilen? Diese und weitere Fragen klärt WeTalkSecurity mit Ildiko Bruhns, Projektverantwortliche von Saferkidsonline.de bei ESET und Stephanie Clarke, Product Marketing Managerin bei ESET.

Über die Gäste

Ildiko Bruhns ist Sicherheitsexpertin und Projektverantwortliche von Saferkidsonline.de bei ESET und Expertin für sämtliche Themen rund um Erziehung im Internetzeitalter. Stephanie Clarke hat Germanistik, Philosophie und Ethik studiert und beleuchtet das Thema Sharenting aus ethischer Sicht mit uns.

Was versteht man unter Sharenting?

“Sharenting” ist ein Kunstwort, das sich aus den englischen Wörtern “Share” (Teilen) und “Parenting” (Kindererziehung) zusammensetzt. Es bezeichnet die Praxis von Eltern, Fotos und Informationen über ihre Kinder in sozialen Medien zu teilen.

Warum kann diese Praktik problematisch sein?

Ildiko warnt davor, Bilder ins Netz zu stellen, auf denen Kinder zu sehen sind: Auf Social-Media-Plattformen wie Instagram und Facebook können solche Bilder schnell tausende Menschen erreichen - potenziell auch Empfänger mit bösen Absichten. Auch der Whatsapp-Status mit Kinderbildern ist aus Sicht der Expertin potenziell problematisch: Nicht nur können Betrachter Screenshots vom Status erstellen, oftmals sehen ihn auch Kontakte, für die er gar nicht gedacht war - beispielsweise Menschen mit denen man nur kurz geschrieben hat, um beispielsweise etwas zu verkaufen.

Für Stephanie kommt ein weitere Faktor hinzu, der Sharenting oft problematisch macht: Eltern fragen ihre Kinder in den seltensten Fällen um Erlaubnis, bevor sie ihre Bilder online posten. Der einzige Gedanke scheint oft zu sein: "Das Bild von meinem Sohn ist süß, das stell ich online".

Viele Eltern haben zudem nicht die Zeit, um sich mit den Risiken von Sharenting auseinanderzusetzen: Der Alltag stresst sie häufig schon genug und ein süßes Bild vom eigenen Kind zu teilen erscheint im ersten Moment unproblematisch.

Der digitale Fußabdruck wächst mit dem Kind

Die beiden Expertinnen sind sich einig: Der Grat zwischen einem aus Stolz auf das eigene Kind oder aus Spaß geteiltem Bild ist oftmals schmal. Und die Konsequenzen sind oftmals nicht direkt absehbar: Mit jedem online geteilten Bild wächst der digitale Fußabdruck des eigenen Kindes weiter - oftmals bevor es selbst online aktiv ist.

Das Sprichwort "Das Netz vergisst nie" ist aktueller denn je und gilt auch beim Thema Sharenting: Steph und Ildiko gehen davon aus, dass das Leben stärker im digitalen Raum stattfinden wird. Dinge, die einmal ins Internet gestellt wurden, lassen sich fast unmöglich wieder löschen. Fotos, die im ersten Blick vielleicht süß waren, können Kindern im späteren Leben große Probleme bereiten.

IT-Sicherheit betrifft auch Kinder

Auch wenn das Bild vom Sohn oder der Tochter vom Motiv her harmlos ist, kann es zu Problemen führen: Stellen Eltern Fotos ihrer Kinder ins Netz, ohne vorher die Metadaten zu bereinigen, droht Ärger. Auch technisch wenig versierte Betrachter können aus den Informationen, die im Bild gespeichert sind, Rückschlüsse auf den Wohnort des Kindes ziehen. Noch einfacher fällt es ihnen, sobald eindeutige Hinweise zu sehen sind, beispielsweise Kennzeichen oder Ortsschilder.

Wie können Eltern sicher Bilder ihrer Kinder teilen?

Hierauf wissen die Expertinnen eine klare Antwort: Sich vor dem Posten mit dem Bild und seinen Folgen auseinandersetzen. Und vor allem: Das Kind fragen, ob es überhaupt einverstanden damit ist, dass ein Bild von ihm online gestellt wird. Schon eine nüchterne Auseinandersetzung mit dem Thema Sharenting hilft dabei, potenzielle negative Folgen zu erkennen und zu verhindern.

Darüber hinaus hilft es, sich mit den Privatsphäre-Einstellungen von Social-Media-Plattformen und Messenger-Diensten auseinanderzusetzen: Diese bieten die Möglichkeit, Adressaten für Postings zu filtern, sodass nur ausgewählte Menschen die Bilder zu Gesicht bekommen.

Die Rolle der Schulen

Auch Bildungseinrichtungen kommt Um Kinder und Eltern auf das digitale Leben vorzubereiten. Sie sollten Themenschwerpunkte setzen und Schulungen für Eltern anbieten, die den sicheren Umgang mit Daten von Kindern im Internet näherbringen.

Weitere Informationen zum Thema Sharenting gibt es auf saferkidsonline.eset.com:

https://saferkidsonline.eset.com/de/article/kinderfotos-im-netz-wann-sharenting-gefahrlich-wird

In Folge 24 von WeTalkSecurity von diskutieren Christian Lueg und Gast Michael Schröder über das Thema Threat Intelligence. Michael Schröder, Manager of Security Business Strategy bei ESET, erklärt, dass Threat Intelligence eine Methodik zur Sammlung, Verarbeitung und Analyse von Daten über potenzielle Bedrohungen darstellt. Diese Daten helfen Unternehmen, ein umfassendes Bild ihrer IT-Sicherheits-Bedrohungslage zu bekommen und sich proaktiv zu schützen.

Über den Gast

Michael Schröder ist Manager of Security Business Strategy bei ESET DACH und als Technologieexperte und Datenschutzbeauftragter für die strategische Ausrichtung von ESET Produkten und Services in Deutschland, Österreich und der Schweiz zuständig. Michael ist seit mehr als 25 in der IT-Welt unterwegs und kennt die Branche aus verschiedenen Blickwinkeln. Neben seiner umfassenden Expertise im Bereich Datenschutz und -sicherheit verfügt er über ein vertieftes Wissen rund um Authentifizierungslösungen, Verschlüsselung, Cloud-Sandboxing, Endpoint Detection and Response und Threat-Intelligence Services.

Sicherheitsvorsprung durch Datenanalyse

Dabei betont Michael Schröder die Wichtigkeit von Threat Intelligence, da viele Unternehmen nicht selbst über die nötigen Daten verfügen. ESET nutzt weltweit verteilte Sensorennetzwerke, Honeypots und eigene IT-Security-Teams, um Daten zu sammeln und zu analysieren, sodass Bedrohungen bereits erkannt werden können, bevor sie die Unternehmen erreichen. Dies ermöglicht eine schnellere Reaktion und präventive Maßnahmen.

Wer braucht eigentlich Threat Intelligence?

Für kleine Unternehmen wie Handwerksbetriebe ist Threat Intelligence oft nicht relevant. Dagegen ist es für größere Unternehmen oder solche mit sensiblen Daten und hohen Sicherheitsanforderungen von großer Bedeutung. Unternehmen können entweder selbst die nötige Software und Fachkräfte bereitstellen oder auf Dienstleister zurückgreifen, die Threat Intelligence als Service anbieten.

Weitere interessante Folgen

NIS2: Wie ist der aktuelle Stand? | Folge 22

Die NIS2-Richtlinie und die Auswirkungen auf die Lieferkette | Folge 21

Stand der Technik in der IT-Sicherheit - von Rechts wegen kritisch? | Folge 14

Mehr Informationen zum Thema NIS2

Auf unserer Schwerpunktseite zu NIS2

Zur NIS2-Schwerpunktseite von ESET

Managed Services gibt es schon seit über 15 Jahren und sie helfen Unternehmen dabei, auch mit einer kleinen IT-Abteilung viele Aspekte einer ganzheitlichen IT abzudecken. Security Services helfen ihnen dabei, sicher vor Hackerangriffen zu bleiben und IT-Sicherheit professionell anzugehen. Der Gedanke dahinter: Anstatt sich selber um die IT-Sicherheit kümmern zu müssen, kaufen Unternehmen Fachexpertise bei spezialisierten Anbietern ein. Wie genau Security Services die IT-Sicherheit stärken, erklärt Michael Schröder, Manager of Security Business Strategy bei ESET, im Gespräch mit WeTalkSecurity.

Über den Gast

Michael Schröder ist als Technologieexperte und Datenschutzbeauftragter für die strategische Ausrichtung von ESET Produkten und Services in Deutschland, Österreich und der Schweiz zuständig. Michael ist seit mehr als 25 Jahren in der IT-Welt unterwegs und kennt die Branche aus verschiedenen Blickwinkeln. Neben seiner umfassenden Expertise im Bereich Datenschutz und -sicherheit verfügt er über ein vertieftes Wissen rund um Authentifizierungslösungen, Verschlüsselung, Cloud-Sandboxing, Endpoint Detection and Response und Threat-Intelligence Services.

** Welche Möglichkeiten gibt es eigentlich bei Security Services? **

Vom temporären Service bis zum 24/7-Angebot: bei Security Services gibt zwei Haupttypen, temporäre und dauerhafte Services. Temporäre Services sind projektbasiert, wo Expertise für spezifische Aufgaben, wie die Implementierung einer EDR-Lösung, benötigt wird. Durch die Einbeziehung von Experten, die täglich solche Aufgaben durchführen, können Unternehmen Zeit sparen und effizienter arbeiten.

Dauerhafte Services hingegen sind rund um die Uhr verfügbar und kommen mit Service Level Agreements (SLAs), die Reaktionszeiten festlegen. Diese Art von Service ist ideal für Unternehmen, die eine ständige Sicherheitsabdeckung benötigen, aber nicht die Ressourcen haben, um dies intern zu bewältigen. Die Wahl des Services hängt vom Schutzniveau und Risikolevel des Unternehmens ab.

** Für wen lohnt’s sich? **

Laut ESET-Umfrage erkennen Unternehmen den Wert von IT-Sicherheit an (88 Prozent), gleichzeitig klagt der Großteil der Unternehmen (64 Prozent) über fehlende Fachkräfte. Die Gründe für diesen Mangel sind mannigfaltig und reichen von budgetären bis hin zu geographischen Einschränkungen. Organisationen in Universitätsstädten finden z. B. leichter neues Personal in Form von Uni-Absolventen als in ländlichen Regionen.

Hier kommen Security Services ins Spiel: Sie erlauben auch Unternehmen ohne weitreichende Ressourcen eine umfassende IT-Sicherheitsstrategie zu fahren.

** Die Vertrauensfrage in der IT **

Zero Trust – also so wenig Vertrauen wie möglich – ist schon seit einigen Jahren das Mantra in der IT. Und das zurecht, garantiert das Konzept doch eine höhere Sicherheit durch u. a. Risikoeindämmung und strengere Rechtevergabe. Beim Outsourcing von IT-Sicherheitsdiensten ergibt sich scheinbar eine Zwickmühle: Auf externe Dienstleister zurückgreifen, die dann den empfindlichsten Bereich der eigenen IT-Infrastruktur verwalten oder alles selbst machen?

Michael Schröder erklärt dazu, dass beim Thema Security Services die Vorteile überwiegen. Hier ist das Outsourcing an externe Dienstleister in der Regel vorteilhaft und wird auch in Zukunft so bleiben, da die Komplexität und der Zeitaufwand für die interne Nachbildung dieser Dienstleistungen oft sehr hoch sind.

** Managed Detection und Response **

Managed Detection und Response (MDR) ist ein Service, der Unternehmen bei der Überwachung und Reaktion auf Sicherheitsvorfälle unterstützt. Michael Schröder unterscheidet zwischen zwei Arten von MDR:

In beiden Fällen behalten die Kunden die Kontrolle über ihre Systeme, während das MDR-Team ihnen beim Betrieb hilft.

** Die Rolle der KI **

ESET überprüft um die 750.000 verdächtige Samples – pro Tag. Hiervon sind ca. 500.000 bösartige Software. Das sind Mengen, denen man nur mit Machine Learning bzw. KI Herr wird. Unternehmen erhalten alle Informationen zu Sicherheitsvorfällen in ihrer IT auf einem Dashboard gesammelt und übersichtlich dargestellt. Hier können IT-Verantwortliche sehen, wo es gerade einen Incident gibt und welche Nutzer, Software und Geräte betroffen sind. Die Frage, ob man genug Personal hat, um händisch auf jeden Sicherheitsvorfall zu reagieren, muss jedes Unternehmen aber für sich selbst beantworten.

Mehr Informationen zur Umsetzung der NIS2-Richtlinie

Auf unserer Schwerpunktseite zu NIS2 stehen Ihnen viele weitere Informationen zur Umsetzung der Richtlinie zur Verfügung.

Zur NIS2-Schwerpunktseite von ESET: https://www.eset.com/de/nis2/

Über den Gast

Der studierte Betriebswirt Maik Wetzel verfügt über mehr als 30 Jahre Berufserfahrung in der IT Industrie. Seit 2009 liegt sein beruflicher Fokus im Bereich IT-Sicherheit. Bei ESET verantwortet Maik Wetzel seit 2020 die strategische Geschäftsentwicklung in der DACH-Region. In dieser Rolle fokussiert er sich auf die Identifikation und Erschließung neuer Geschäftsfelder und vertikaler Märkte sowie auf die Entwicklungen nachhaltiger, strategischer Partnerschaften für ESET in der DACH-Region. Er vertritt ESET in den Gremien wichtiger Verbände und tritt regelmäßig als Speaker auf Konferenzen und als Spezialist und Experte in Panels oder Roundtables in Erscheinung.

Der aktuelle Stand der NIS2-Richtlinie

Christian Lueg und Maik Wetzel beleuchten in Folge 22 von WeTalkSecurity die aktuellen Verzögerungen und Herausforderungen bei der Umsetzung der NIS2-Richtlinie in Deutschland. Maik Wetzel betont, dass trotz der geplanten Umsetzung bis zum 17. Oktober 2024 noch kein offizieller Gesetzentwurf vorliegt. Es gab bisher mehrere geleakte Referentenentwürfe, aber interne Schwierigkeiten innerhalb der Bundesregierung verzögern den Prozess erheblich. Es besteht auch Uneinigkeit über die finanziellen Auswirkungen und den erforderlichen Personalaufwand für die Umsetzung.

Was ist mit der kommunalen Ebene?

Ein weiteres Thema ist die Auswirkung auf die kommunale Ebene. Einige Länder erwägen eigene Landesgesetze oder Verordnungen, um die Mindeststandards auf kommunaler Ebene umzusetzen. Dies könnte zu einem Flickenteppich unterschiedlicher Anforderungen führen. Maik Wetzel betont die Dringlichkeit, Cybersicherheit in Deutschland auf allen Ebenen zu stärken, insbesondere auf kommunaler Ebene, wo die Auswirkungen von Cyberangriffen direkte Konsequenzen für Bürger und Unternehmen haben können.

Ist der Umsetzungstermin zu halten?

Die Frage, ob die Bundesregierung die Richtlinie bis zum 17. Oktober umsetzen wird, bleibt nach jetzigem Stand aber offen. Es ist jedoch klar, dass Unternehmen sich bereits jetzt auf die Umsetzung vorbereiten sollten. Denn diese macht nicht nur aufgrund der gesetzlichen Anforderungen Sinn, sondern ist schon alleine aus Selbstschutz wichtig. Zudem ist die Steigerung der eigenen Cybersicherheit bereits zum Abschluss von Cyberversicherungen Voraussetzung. Wer also bereits heute mit der Umsetzung beginnt, der minimiert zukünftige Risiken.

Mehr Informationen zur Umsetzung der NIS2-Richtlinie

Auf unserer Schwerpunktseite zu NIS2 stehen Ihnen viele weitere Informationen zur Umsetzung der Richtlinie zur Verfügung.

Zur NIS2-Schwerpunktseite von ESET: https://www.eset.com/de/nis2/

Die NIS2-Richtlinie bringt auch neue Anforderungen an die Lieferkette mit sich – ein schwieriges Thema, schließlich ist der Begriff Lieferkette nicht in der Richtlinie definiert. Was kommt auf Unternehmen und ihre Zulieferer zu und wie können diese sich dafür wappnen? Diese und weitere Fragen bespricht Christian Lueg in der aktuellen Folge von WeTalkSecurity mit dem IT-Rechtsanwalt Stefan Sander.

Über den Gast

Stefan Sander ist Autor des aktuellen ESET Whitepapers "NIS2 und die Lieferkette", welches das Thema des Podcasts im Detail beleuchtet. Außerdem ist er Co-Autor des Whitepapers "Stand der Technik in der IT-Sicherheit".

Was ist eigentlich die Supply Chain bzw. Lieferkette?

Die Supply Chain ist ein Teilbereich der Logistik, der sich mit dem Fluss von Waren oder Dienstleistungen vom Rohmateriallieferanten bis zum Endverbraucher befasst. Sie umfasst alle Prozesse, Aktivitäten, Ressourcen und Organisationen, die daran beteiligt sind, Produkte oder Dienstleistungen von ihrer Entstehung bis zu ihrer Auslieferung an den Kunden zu bewegen.

Im Unterschied zur klassischen Lieferkette ist der Begriff „Supply Chain“ weiter gefasst und beinhaltet auch Aspekte wie Informationsfluss, Finanzierung, Koordination und Zusammenarbeit zwischen den verschiedenen Partnern entlang der Kette – also die gesamte Versorgung.

Die NIS2-Richtlinie verknüpft ihre Pflichten nicht explizit mit der Zugehörigkeit eines Unternehmens zur Lieferkette, was einige überraschen mag. Unternehmen, insbesondere Managed Service Provider (MSPs), die IT-Dienstleistungen bereitstellen, sind im Anwendungsbereich der Richtlinie. Dies geschieht nicht aufgrund ihrer Position in der Lieferkette, sondern aufgrund einer spezifischen Regelung des Gesetzgebers für den MSP-Sektor.

Bin ich von NIS2 betroffen?

Im Wesentlichen gibt es zwei Hauptvoraussetzungen zu beachten. Erstens muss eine Wirtschaftstätigkeit in einen spezifischen Sektor fallen, wobei es irrelevant ist, ob es sich um eine Mutter-, Tochter- oder Schwestergesellschaft handelt, solange die Aktivität in einem regulierten Sektor stattfindet. Zweitens erwähnt der Gesetzgeber in Anhang 1 der Richtlinie den IT-Sektor als besonders kritisch, was bedeutet, dass Managed Service Provider in diesem Sektor reguliert werden, während andere Sektoren wie das produzierende Gewerbe weniger streng reguliert sind. Zusammengefasst bedeutet dies, dass die Betroffenheit von Unternehmen nicht nur auf deren Rolle in der Lieferkette basiert, sondern vielmehr darauf, ob ihre Aktivitäten in einen regulierten Sektor fallen.

Spannend wird es vor allem für den deutschen Mittelstand: Unternehmen, die zwischen 50 und 249 Mitarbeiter beschäftigen, gehören per definitionem dazu, alles was darüber ist, kann man als Großunternehmen bezeichnen. Es kommt aber ein weiteres Kriterium hinzu: Jahresumsatz und Jahresbilanzsumme. Unternehmen überschreiten den Schwellenwert, wenn sie beide Kriterien reißen oder nur eines davon, was dazu führt, dass sie nicht mehr als KMU gelten. Die Mitarbeiteranzahl ist ein hartes Kriterium, während für die wirtschaftlichen Kennzahlen sowohl Jahresumsatz als auch Jahresbilanzsumme betrachtet werden. Das Ziel ist es, eine faire Behandlung zu gewährleisten. Die EU hat dazu einen Leitfaden herausgebracht, an dem Unternehmen sich orientieren können.

Um kleine Unternehmen (d. h. mit weniger als 50 Mitarbeitern) zu fördern, fallen diese nicht unter die NIS2-Richtlinie, außer sie gehören zu einem Konzern oder einer Konzerngruppe – die Gesamtzahl der Mitarbeiter addiert sich hier aus allen Mitarbeitern aus allen Unternehmen der Gruppe zusammen. Wenn also das eigene Unternehmen nur 20 Mitarbeiter hat, die Muttergesellschaft aber 5000, zählen diese 5000 zu den eigenen hinzu – das Unternehmen fällt somit unter NIS2 (bei einem Beteiligungsverhältnis von über 50 Prozent). Komplizierter wird es bei Partnerbeteiligungen, also Beteiligungen von 25 bis 50 Prozent. Entsprechend dieser Beteiligungsquote werden Kennzahlen wie Mitarbeiteranzahl und wirtschaftliche Zahlen mit zugerechnet.

Was bedeutet das für Unternehmen, die zur Lieferkette eines Unternehmens gehören?

Nicht jedes Unternehmen, das als Zulieferer für ein großes fungiert, fällt automatisch unter NIS2. Es kann aber vorkommen, dass größere Unternehmen von ihren Zulieferern erwarten, dass sie der Richtlinie entsprechen. Wenn das eigene Unternehmen unter die Vorgaben von NIS2 fällt, muss es automatisch geeignete Maßnahmen treffen, um die Lieferkette zu schützen. Im Umkehrschluss müssen sich Unternehmen auch vor Gefahren schützen, die aus anderen Teilen der Lieferkette kommen. Das trifft insbesondere auf die IT Security zu. Der Gedanke dahinter: Die Volkswirtschaft und Arbeitsplätze vor Gefahren zu schützen, die aus der Störung der Lieferkette entstehen.

Was müssen Unternehmen umsetzen, insbesondere im Hinblick auf den Stand der Technik, der in der NIS2-Richtlinie erwähnt wird?

Wer keine Angst vor Gesetzestexten hat kann in die Artikel 20, 21 und 23 der Richtlinie schauen. Artikel 21 beschreibt die technischen und organisatorischen Maßnahmen in puncto Risikomanagement, die mit der Richtlinie auf Unternehmen zukommen werden. Im Kern geht es darum, die größtmögliche Qualität vorzuweisen. Weitere Informationen dazu gibt es im ESET Whitepaper zum Stand der Technik und NIS2 und in Folge 17 von WeTalkSecurity. Unternehmen, die selbst reguliert sind, sind gemäß Artikel 21 Absatz 2 verpflichtet, Maßnahmen zur Sicherung ihrer Lieferkette zu ergreifen. Dies bedeutet, dass sie sowohl ihre eigenen Systeme als auch die ihrer Lieferanten schützen müssen.

Wenn diese Maßnahmen kommen, reicht das aus?

Aus Stefan Sanders Sicht reichen die Maßnahmen aus, eine NIS3-Richtlinie müssen Unternehmen in Europa erst einmal nicht befürchten. Der Rat vom Experten: Sich rechtzeitig um die Umsetzung von NIS2 kümmern – nicht nur, um auf der sicheren Seite zu sein sondern auch, weil eine starke IT-Sicherheit dem eigenen Unternehmen zugutekommt.

Mehr Informationen zur NIS2-Richtlinie und wie Organisationen Ihre IT-Security NIS2-READY machen können, finden Sie auf unserer NIS2-Schwerpunktseite.

Mit der NIS2-Richtlinie müssen Geschäftsführer und CEOs betroffener Unternehmen IT-Sicherheit auf der Agenda eine höhere Priorität einräumen. Was müssen diese beachten? Wie sieht es mit der Haftung aus und welche Strafen drohen? Diese und weitere Fragen bespricht Christian Lueg in der aktuellen Folge von WeTalkSecurity mit dem IT-Rechtsanwalt Stefan Sander.

Über den Gast

In Zusammenarbeit mit Stefan Sander hat ESET ein Whitepaper zum Thema "Stand der Technik in der IT-Sicherheit" herausgebracht. Das Paper gibt es hier zum kostenlosen Download: https://www.eset.com/de/stand-der-technik/

Generell ist die NIS2-Richtlinie eine Richtlinie der Europäischen Union. Die Richtlinie ist eine Art von Gesetz. Im Gegensatz zu einer Verordnung ist eine Richtlinie ein Gesetz, was sich an den Nationalstaat richtet. Deutschland hat in diesem Fall die Aufgabe ein nationales Gesetz zu erlassen, was im Einklang mit dieser Richtlinie steht.

Was sind die Tipps von Stefan Sander?

KI-Sprachmodelle wie ChatGPT haben einen großen Einfluss auf unser Leben: Sie helfen bei der Recherche, können komplexe Sachverhalte einfach erklären und Ideen für Geschichten liefern. Allerdings können auch Cyberkriminelle auf diese revolutionäre Technologie zugreifen und sie für ihre Zwecke missbrauchen. In unserer heutigen Folge sprechen wir über Gefahren und Möglichkeiten von ChatGPT. Unser neuer Moderator Philipp Plum spricht hierzu mit Prof. Norbert Pohlmann von der Westfälischen Hochschule in Gelsenkirchen.

Über den Gast Professor Norbert Pohlmann ist Professor für Cybersicherheit und Leiters des Instituts für Internetsicherheit an der Westfälischen Hochschule. Er ist zudem Vorstandsvorsitzender beim Bundesverband IT-Sicherheit sowie im Vorstand des Internetverbands Eco.

WeTalkSecurity befindet sich heute in Aachen in Nordrhein-Westfalen bei Norbert Pohlmann zuhause. Schon im Vorhinein hat er zum Thema ChatGPT und seinen Einfluss auf die IT-Sicherheit referiert, die Präsentation zum Vortrag ist hier verfügbar: https://norbert-pohlmann.com/vortraege/chatgpt-konsequenzen-fuer-die-cyber-sicherheit/

Der Nutzen von ChatGPT für Hacker liegt vor allem darin, ihre Angriffe zu verfeinern: Waren Spam-Mails vor kurzer Zeit noch durch schlechte Grammatik und Rechtschreibung zu erkennen, fällt es zunehmend schwerer, echte und Phishing-Nachrichten zu unterscheiden. Hier hilft Hackern vor allem die KI: Innerhalb von Sekunden können Sprachmodelle wie ChatGPT korrekte Texte formulieren - und das in allen gängigen Sprachen. Da viele Angreifer aus dem Ausland kommen, erleichtert ihnen ChatGPT ihnen hier die Arbeit.

Können Hacker die KI bitten, eine fertige Malware zu programmieren? Die Antwort hierauf lautet "Nein". In Norberts Augen können nur diejenigen Cyberkriminellen von sämtlichen Möglichkeiten von ChatGPT profitieren, die selber gut programmieren können. Eine fertige Malware kann die KI nicht ausgeben, sie kann allerdings Code-Schnipsel erstellen und so den Arbeitsaufwand für Hacker minimieren - vorausgesetzt, diese können was mit dem Code anfangen und gegebenenfalls Fehler finden und korrigieren.

Welche anderen Möglichkeiten gibt es für Hacker, die KI für ihre Zwecke zu missbrauchen? Neben Sprachmodellen wie ChatGPT sind es vor allem KIs, die Bilder und sogar Videos erstellen. Was ein harmloser Spaß sein kann, kann auch schnell zu einem Sicherheitsrisiko werden: Von Personen des öffentlichen Lebens wie dem Bundeskanzler existiert eine Fülle an Material, auf das eine KI zugreifen kann. Die gefälschten Videos und Audioaufnahmen, die auf dieser Basis erstellt werden, sind nur schwer von Echten zu unterscheiden. Diese Fakes sind insbesondere deshalb gefährlich, weil sie für Desinformationskampagnen (Stichwort: Fake News) benutzt werden können und auch bei Spear-Phishing zum Einsatz kommen können: Es kann sein, dass der Finanzchef eines Unternehmens in Zukunft einen Anruf von seinem Chef erhält, der einen auffordert, Geld zu überweisen, Geschäftsgeheimnisse preiszugeben usw.

Und wie kann man dem entgegensteuern? Wird es in Zukunft eine Art Kennzeichnungspflicht für KI-generierte Inhalte geben? Fürs erste wird es laut Norbert schwierig bleiben, KI-generierte und echte Inhalte im direkten Vergleich zu unterscheiden. Es existiert aber eine andere Möglichkeit: Indem reale Inhalte signiert werden, lassen sie sich einfach von unsignierten und unter Umständen falschen Texten, Bildern Videos usw. unterscheiden. Das könnte in der Zukunft bedeuten, dass Politiker nur noch digital signierte Informationen an die Öffentlichkeit geben. Verlage können dann diese Informationen aufgreifen und weiter verbreiten, immer mit der Sicherheit, dass die Informationen, die ihnen vorliegen, richtig sind. Damit dieser Weg funktioniert, bedarf es allerdings einer Infrastruktur, die diese Verifizierung übernehmen kann.

Wie kann denn die IT-Sicherheit von KI profitieren? Das Identifizieren von Angriffen in IT-Netzwerken, auf Geräten, in der Cloud usw. wird mit der KI einfacher: Sie hilft Norbert zufolge dabei, Angriffe schneller zu erkennen und somit Schäden zu minimieren. Ein anderer Aspekt ist, dass KI den Cybersicherheitsexperten selber helfen kann: Wir haben einen großen Fachkräftemangel in der IT und viele Stellen sind nicht besetzt. Die KI hilft hier, indem sie in z. B. bei der Priorisierung von Sicherheitsvorfällen hilft. Was vorher ein Experte erledigen sollte, macht nun die KI: Sie schaut sich alle Sicherheitsereignisse an und gibt dem Experten dann die drei für die Unternehmenssicherheit wichtigsten Ereignisse aus. Hierauf kann sich der Experte dann konzentrieren und das Unternehmen somit effizient schützen. Gleichzeitig nimmt sie dem Experten einen großen Teil seiner Arbeit ab und lässt ihn seine Expertise an anderer Stelle einsetzen. Auch bei der Reaktion auf Angriffe kann die KI helfen, indem sie automatisiert E-Mail- und Firewall-Regeln ändert und die Angriffsfläche des Unternehmens so reduziert.

Welche Bedrohungen kommen 2024 auf uns zu in puncto IT-Sicherheit? Norbert geht davon aus, dass vor allem Ransomware-Angriffe in Zukunft die größten Schäden für die Wirtschaft verursachen werden. Zudem werden Cyberkriminelle ihre Attacken stärker automatisieren, auch mit Hilfe der KI. Waren es in der Vergangenheit vor allem größere Unternehmen, die von Cyberattacken getroffen wurden, werden in Zukunft auch kleinere Betriebe ins Fadenkreuz von Hackern geraten - die Automatisierung von Angriffen ermöglicht es ihnen schließlich, eine hohe Anzahl von Organisationen anzugreifen. In diesem Kontext werden auch DDoS-Attacken eine ernstzunehmende Bedrohung darstellen - je mehr wir uns digitalisieren, desto stärker sind wir auf die Verfügbarkeit von Diensten angewiesen. Um uns davor zu wappnen und diese Art von Angriffen abzuwehren, müssen wir die entsprechenden redundanten Infrastrukturen schaffen unterhalten.

Zudem besteht eine weitere Gefahr: Software wird immer Schwachstellen haben und mit fortschreitender Digitalisierung nimmt auch die Verbreitung von Software und damit Schwachstellen zu. Angreifer können nun das Schwachstellen mit Hilfe einer KI scannen und ihre Angriffe dementsprechend anpassen. Benutzt nun ein großer Konzern eine solche Software mit bekannter Schwachstelle, dauert es unter Umständen einige Zeit, bis der entsprechende Patch in der gesamten IT-Infrastruktur ausgerollt ist. Hacker können somit die öffentlich bekannten Exploits und die Trägheit großer Unternehmen ausnutzen.

Die europäische NIS2-Richtlinie definiert, welche Mindestanforderungen zukünftig bei der IT-Sicherheit gelten und wie sich insbesondere Unternehmen der kritischen Infrastruktur künftig schützen müssen. In Folge 18 spricht Christian Lueg mit ESET Security-Experte Maik Wetzel darüber, wie die Richtlinie die Cyber-Sicherheit in deutschen Unternehmen verändern wird und über die Herausforderungen, die diese bis zum 18. Oktober 2024 meistern müssen.

Über den Gast Der studierte Betriebswirt Maik Wetzel verfügt über mehr als 30 Jahre Berufserfahrung in der IT Industrie. Seit 2009 liegt sein beruflicher Fokus im Bereich IT-Sicherheit. Bei ESET verantwortet Maik Wetzel seit 2020 die strategische Geschäftsentwicklung in der DACH-Region. In dieser Rolle fokussiert er sich auf die Identifikation und Erschließung neuer Geschäftsfelder und vertikaler Märkte sowie auf die Entwicklungen nachhaltiger, strategischer Partnerschaften für ESET in der DACH-Region. Er vertritt ESET in den Gremien wichtiger Verbände und tritt regelmäßig als Speaker auf Konferenzen und als Spezialist und Experte in Panels oder Roundtables in Erscheinung.

Um was geht es bei NIS2? Auch in dieser Folge von WeTalkSecurity geht es um die europäische NIS2 (Netz- und Informationssysteme)-Richtlinie, die spätestens bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden muss. Mittels der Richtlinie werden Mindestanforderungen an die IT-Sicherheit von Unternehmen und Organisationen definiert, insbesondere für Unternehmen der kritischen Infrastruktur (KRITIS), die zukünftig zu erfüllen sind. Ziel ist es damit die Cyber-Sicherheit und die Resilienz insgesamt zu verbessern, die zwischenstaatliche Zusammenarbeit bei der Bekämpfung von Cyberkriminalität zu fördern und EU-weite Mindeststandards zu definieren.

Wie wird in Deutschland reguliert werden? Zwar existiert in Deutschland bisher nur ein informeller Referentenentwurf, doch daran lässt sich schon erkennen wie die Richtlinie in Deutschland ausgestaltet werden soll, findet Maik Wetzel: In Zukunft werden insgesamt 18 Wirtschaftssektoren unter die Richtlinie fallen, abhängig von ihrer Größe. Statt bisher etwa 5.000 Unternehmen, die unter die derzeit geltende NIS-Richtlinie fallen, werden bald etwa 29.000 Unternehmen von NIS2 betroffen sein. Ihnen werden strengere Compliance-Anforderungen in Punkto IT- und Datensicherheit auferlegt.

Staat und Verwaltung werden ebenfalls betroffen sein. Allerdings ist bisher noch offen, inwieweit die Anforderungen nur für Bundes und Landesbehörden oder auch für die kommunale Ebene gelten werden. Dies könnte zu einem schwer überschaubaren Flickenteppich führen beziehungsweise könnte die Stärkung der Cyber-Resilienz im kommunalen Sektor ausbleiben.

Was müssen Unternehmen in Punkto NIS2 tun? Die Unternehmen sind in der Pflicht, selbst aktiv zu werden und selbst zu ermitteln, ob NIS2 für sie gilt und gegebenenfalls die notwendigen Maßnahmen zu ergreifen. Zukünftig ist eine Registrierung über das Bundesamt für Informationssicherheit (BSI) geplant, über die Unternehmen erfahren können ob sie reguliert sind und Unterlagen zur Prüfung einreichen können.

Welche Systeme genau vorgeschrieben sein werden, wird dem Gesetz nicht entnehmbar sein. Wahrscheinlich müssen die Systeme dem jeweils aktuellen „Stand der Technik“ entsprechen, mindestens müssen sie angemessen sein. Organisationen müssen sich also auf dem Laufenden halten und ihre Sicherheitsmaßnahmen immer wieder kritisch hinterfragen.

Auch Zulieferer und Leitungsorgane sind in der Pflicht Über die 29.000 betroffenen Unternehmen hinaus werden auch Zulieferer betroffen sein. Das betrifft zum Beispiel digitale Lieferketten.

Was verbirgt sich hinter dem Rechtsbegriff „Stand der Technik“? Mehr dazu ist der Folge 16 von WeTalkSecurity zu entnehmen: Stand der Technik in der IT-Sicherheit: Lösungsansätze und Tipps aus der Praxis. Außerdem lässt sich dies im ESET Whitepaper „IT-Security auf dem Stand der Technik“ nachlesen, das hier heruntergeladen werden kann.

Weitere Informationen: