Cyber-Crime ist Chefsache
06.03.2025
Foto: © StockLife94 - stock.adobe.com
Cyber-Kriminelle nehmen Unternehmen stärker ins Visier. Besonders aus dem Ausland droht Gefahr. Nur jedes dritte Delikt wird aufgeklärt. Mobilfunknetze und Internetverbindungen als Grundlagen für abgesicherte IKT-Infrastrukturen schwächeln außerhalb von Metropolregionen. Die Politik konzentriert sich dafür auf schärfere Gesetze, um Sicherheit zu erzeugen.
Mit der Abwehr von Cyber-Attacken, die mitunter von nicht wohlgesonnenen Staaten ausgehen, bleiben die Unternehmen oftmals allein. Statt solchen Staaten und anderen Cyber- Kriminellen mit Nachdruck auf die Finger zu klopfen, drängen die verantwortlichen Politiker über Regulatorik die von Cyber-Attacken betroffenen Unternehmen von der Opferseite in eine Täterrolle. 2025 werden dafür gravierende Gesetze scharf geschaltet.
Regulatorik
Nur jedes vierte Unternehmen hat bisher die DSGVO, die Datenschutz-Grundverordnung aus 2018, voll umgesetzt. Der Rest sieht kleinere und immerhin ein Viertel noch größere Umsetzungslücken. Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme überträgt in Version 2.0 dem Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, mehr Durchsetzungskompetenz für die Cyber-Sicherheit von Unternehmen und für Verbraucher. Im Mittelpunkt stehen weiterhin kritische Infrastrukturen wie z. B. Mobilfunknetzbetreiber oder auch Rüstungshersteller. Dabei sollten deren Dienstleister und Zulieferer die erhöhten Sicherheitsanforderungen ebenso erfüllen. Anfang 2025 wird mit DORA die neue digitale und operationelle Resilienz in der europäischen Finanzwirtschaft ihren Einzug halten. Rund um die IKT, bzw. Informations- und Kommunikationstechnik, erreichen das Risikomanagement, die Behandlung und Vermeidung von Vorfällen sowie die Überwachung von Drittanbietern ein höheres Sicherheitslevel; zumindest in der Theorie. Viele Geschäftsführer, bei denen DORA die Verantwortlichkeit und alle Verpflichtungen primär verortet, dürften sich noch auf dem Weg zur Umsetzung von DORA befinden. Es bleibt angesichts noch kommender Gesetze fraglich, ob zuständige Aufsichtsbehörden langatmige Umsetzungszeiten wie zur DSGVO dulden.
Mit Verspätung kommt in 2025 die NIS-2-Richtlinie für mehr Cyber-Resilienz innerhalb der Europäischen Union. NIS steht für Network and Information Security. Rund 30.000 deutsche Institutionen und Unternehmen aus 18 sicherheitsrelevanten Sektoren, etliche davon aus dem Finanzwesen, kommen an die sehr kurze Cyber-Sicherheitsleine. Die besonders wichtigen Unternehmen mit über 250 Mitarbeitern oder 50 Mio. Euro Jahresumsatz treffen aktive Nachweispflichten über das voll funktionsfähige Risikomanagement. Wichtige Unternehmen mit über 50 Mitarbeitern bzw. 10 Mio. Euro Umsatz p. a. müssen diese Information zum Risikomanagement vorhalten und auf behördliche Anforderung vorlegen können. Verstöße regelt ein Bußgeldkatalog, welcher stattliche Zahlungen bis in den Prozentbereich des weltweiten Jahresumsatzes vorsieht.
Restriktionen
Neu unter NIS-2 ist die explizite Geschäftsleiterverantwortung bei Pflichtverletzungen. Bußgelder und Schadensersatz bestreiten verantwortliche Geschäftsleiter direkt aus ihrem Privatvermögen. NIS-2 zielt in kritischen Sektoren ähnlich wie DORA u. a. auf eine sichere IKT ab. Den physischen Schutz kritischer Einrichtungen vor Naturereignissen, Sabotage oder Terrorangriffe regelt die Critical Entities Resilience Directive, oder kürzer die CER. Beide Resilienz-Richtlinien sind bereits seit 2023 in der EU in Kraft. Mit der versäumten Einbindungsfrist bis Oktober 2024 in deutsche Gesetze riskiert Deutschland ein Vertragsverletzungsfahren mit der EU. Trotz einer Konzentration auf sicherheitskritische Sektoren mit Mitarbeiter- und Umsatzgrenzen rechnen Expertenkreise ebenfalls mit Auswirkungen auf Dienstleister und Zulieferer der von CER bzw. NIS-2 betroffenen Unternehmen. Einwirkungen von dritter Seite sind ein wesentlicher Bestandteil im Unternehmensrisikomanagement. An einer Einbeziehung der externen Partner dürften die Geschäftsleiter angesichts ihrer Haftung mit dem Privatvermögen ein vitales Interesse haben.
DGC-Gruppe kauft insolventen Cyberversicherer Cogitanda
