Schlagwortarchiv für: Risikoanalyse

Joseph Lee

April 2025 Threat Report: Die Konsequenzen sind real

In den Anfängen der digitalen Welt ging es beim Hacken oft um Ruhm oder Streiche. Heute, im Jahr 2025, wird das Hacken in großem Umfang zu illegalen Zwecken eingesetzt. Prognosen zufolge wird die Cyberkriminalität die Weltwirtschaft im Jahr 2025 10,5 Billionen Dollar kosten. Weltweit zwingt der Trend zur zunehmenden Geokriminalität einzelne Länder und ganze Wirtschaftsregionen [1][2] dazu, sich stärker für die Cyberabwehr zu engagieren. Die zunehmende Bedrohungslage unterstreicht die Dringlichkeit proaktiver, gut ausgestatteter Cybersicherheitsstrategien in allen Sektoren und in allen Regionen der Welt.

Die kontinuierliche Flut kritischer Schwachstellen, neuartiger Angriffstechniken, aktiver Ransomware und Spionagekampagnen macht deutlich, dass umfassende Cybersicherheitsmaßnahmen erforderlich sind, um die katastrophalsten Folgen zu verhindern. Im Threat Report dieses Monats gehen wir auf die dringlichsten Bedrohungen in der Cybersicherheitslandschaft ein, die im April 2025 auftraten. Ohne Umschweife. Los geht‘s!

Auswirkungen beachten

Wer auf ausgeklügelte Cyberangriffe nicht vorbereitet ist, dem drohen fatale Konsequenzen. Ransomware wird weithin als die größte existenzielle Cyber-Bedrohung für Unternehmen angesehen, während die Klagen wegen Datenschutzverletzungen dramatisch zunehmen. Die Zahl der Sammelklagen im Zusammenhang mit Datenschutzverletzungen ist innerhalb von sechs Jahren um 1.265 % regelrecht explodiert, wobei die Zahl der Klagen in den USA von 604 im Jahr 2022 auf 1.320 im Jahr 2023 mehr als verdoppelt hat. Zuverlässige Backups können einem Opfer helfen, der Zahlung von Lösegeld zu entgehen, und ein gut ausgeführter Plan zur Reaktion auf einen Vorfall kann die Ausfallzeit minimieren. Jedoch haben die Opfer von Sicherheitsverletzungen kaum eine Möglichkeit, sich vor den Kosten für behördliche oder rechtliche Schritte zu schützen.

Die 2019 von Equifax geleisteten Zahlungen sind die höchsten in der Geschichte für einen Vorfall im Zusammenhang mit Cybersicherheit – die Gesamtkosten werden auf 1,5 Milliarden US-Dollar geschätzt. Das Versäumnis, die Sicherheitslücke CVE-2017-5638 in Apache Struts zu schließen, wurde als Hauptursache für den Sicherheitsverstoß genannt. Im April 2025 erklärte sich das US-Verteidigungsunternehmen Raytheon bereit, einen Vergleich in Höhe von 8,5 Millionen Dollar zu zahlen, weil es bei 29 Verträgen mit dem Verteidigungsministerium (DoD) die erforderlichen Sicherheitsmaßnahmen nicht umgesetzt hatte.

Dienstleister im Healthcare-Bereich sind besonders stark betroffen, da personenbezogene Gesundheitsdaten auf Darkweb-Marktplätzen rund 1.000 Dollar pro Datensatz erzielen, verglichen mit 5 Dollar pro Datensatz für Zahlungskartendaten, da sie effektiv zur Betrugsermittlung genutzt werden. Im Jahr 2023 meldete der US-Gesundheitssektor 725 Datenschutzverletzungen, bei denen über 133 Millionen Datensätze offengelegt wurden. Am 23. April 2025 gab das Office for Civil Rights (OCR) des U.S. Department of Health and Human Services einen Vergleich mit PIH Health Inc. in Höhe von 600.000 Dollar bekannt wegen unzureichender technischer Sicherheitsvorkehrungen. Die rechtlichen Konsequenzen von Cyberverletzungen betreffen jedoch Unternehmen aller Branchen. Bei Sammelklagen im Zusammenhang mit Datenschutzverletzungen wurden ebenfalls erhebliche Vergleiche geschlossen, wobei drei der zehn größten Vergleiche im Jahr 2024 geschlossen wurden und sich auf insgesamt 560 Millionen US-Dollar belaufen.

In Anbetracht der Konsequenzen sollten Unternehmen ihre Haltung zur Cyberhygiene sorgfältig prüfen und dabei besonders auf bewährte IT-Sicherheitspraktiken wie die Implementierung von Multifaktor-Authentifizierung (MFA), Schwachstellenmanagement und Netzwerksegmentierung achten.

Verizon: Mehr Schwachstellen für den ersten Zugriff

Der 2025 Data Breach Investigations Report (DBIR) von Verizon, der im April veröffentlicht wurde, meldete einen 34-prozentigen Anstieg von ausgenutzten Schwachstellen (CVEs) als Ursache für Cyberverletzungen, die zwischen Oktober 2023 und Dezember 2024 begangen wurden. Ausgenutzte Schwachstellen dienten bei 20 % der untersuchten Datenschutzverletzungen als erster Zugangsvektor. Der Bericht zeigt zwar, dass die Lösegeldzahlungen zurückgegangen sind – 64 % der Opferunternehmen haben kein Lösegeld gezahlt, verglichen mit 50 % vor zwei Jahren –, aber die Zahl der Ransomware-Angriffe ist um 37 % gestiegen.

Edge-Geräte und VPNs waren für 22 % der Angriffe verantwortlich – ein deutlicher Anstieg von nur 3 % im Vorjahr. Trotz der wachsenden Bedrohung haben Unternehmen nur 54 % dieser Schwachstellen vollständig behoben, wobei die durchschnittliche Zeit bis zur Behebung 32 Tage betrug. Darüber hinaus erreichte die Ausnutzung von Edge-Geräten für den Erstzugriff bei spionagemotivierten Sicherheitsverletzungen 70 %. Es gibt keine Anzeichen dafür, dass dieser Trend zur Ausnutzung von Edge-Geräten nachlässt. Ein proaktives Schwachstellenmanagement ist wichtiger denn je, um die Gefährdung zu verringern und die Auswirkungen von Sicherheitsverletzungen zu begrenzen.

Neue Bedrohungen an der Netzwerk-Edge

Die Botschaft aus den Berichten über die Cyberlandschaft ist eindeutig: Unternehmen müssen sich ihrer öffentlich zugänglichen Vermögenswerte genau bewusst sein. Erkennung und Behebung von Schwachstellen sind entscheidend. Nachfolgend finden Sie die Höhepunkte der aufkommenden Bedrohungen, die im April 2025 Netzwerk-Edge-Geräte betreffen. Greenbone ist in der Lage, alle unten genannten Bedrohungen und mehr zu erkennen.

  • SonicWall SMA100-Geräte: CVE-2023-44221 (CVSS 7.2) und CVE-2021-20035 (CVSS 6.5), beides OS Command Injection-Schwachstellen [CWE-78], wurden zu den Known Exploited Vulnerabilities (KEV) der Cybersecurity and Infrastructure Security Agency (CISA) hinzugefügt. Im April meldete SonicWall außerdem, dass PoC-Exploits (Proof of Concept) für eine weitere Schwachstelle jetzt öffentlich verfügbar sind: CVE-2024-53704 (CVSS 9.8).
  • Ivanti Connect Secure, Policy Secure und ZTA Gateways: CVE-2025-22457 (CVSS 9.8) ist eine Stack-basierte Buffer-Overflow-Schwachstelle [CWE-121], die derzeit aktiv ausgenutzt wird. Das Threat-Research-Team Mandiant von Google führt die Angriffe zurück auf UNC5221, einen chinesischen (staatlich geförderten) Bedrohungsakteur. Das Sicherheitsunternehmen GreyNoise beobachtete einen 9-fachen Anstieg der Bots, die nach ungeschützten Connect Secure-Endpunkten scannen.
  • Fortinet FortiOS und FortiProxy: CVE-2025-24472 (CVSS 9.8) ist ein Authentication Bypass [CWE-288], der es einem entfernten Angreifer ermöglichen könnte, über manipulierte CSF-Proxy-Anfragen Super-Admin-Rechte zu erlangen. Die CVE wird als aktiv ausgenutzt betrachtet. Fortinet hat außerdem neue Aktivitäten zur Ausnutzung älterer kritischer Schwachstellen in FortiGate-Geräten beschrieben, darunter CVE-2022-42475, CVE-2023-27997 und CVE-2024-21762 (alle CVSS 9.8).
  • Juniper Junos OS: CVE-2025-21590 (CVSS 6.7) ist eine aktiv ausgenutzte Schwachstelle, die es einem lokalen Angreifer mit privilegierten Rechten ermöglicht, die Integrität des Geräts zu beeinträchtigen. Ein lokaler Angreifer mit Zugriff auf die Juniper-CLI-Shell kann beliebigen Code einspeisen, um ein betroffenes Gerät zu kompromittieren. Die Schwachstelle wird als „Improper Isolation or Compartmentalization“ [CWE-653] eingestuft.
  • Mehrere Cisco-Schwachstellen werden ausgenutzt: Analysten bestätigen gezielte Angriffe auf ungepatchte Cisco-Infrastrukturen, insbesondere in TK-umgebungen [1][2]. Die vom chinesischen Staat gesponserte Gruppe Salt Typhoon nutzt weiterhin die Schwachstellen CVE-2018-0171 (CVSS 9.8) bei Smart Install RCE und CVE-2023-20198 (CVSS 10) bei Web UI Privilege Escalation aus.
  • DrayTek-Router: Drei CVEs wurden in bösartigen Kampagnen beobachtet, darunter CVE-2020-8515 (CVSS 9.8), CVE-2021-20123 (CVSS 7.5) und CVE-2021-20124 (CVSS 7.5).
  • Microsoft Remote Desktop Gateway-Dienst: CVE-2025-27480 ist eine „Use After Free“-Schwachstelle [CWE-416], die es einem nicht autorisierten Angreifer ermöglicht, Code über ein Netzwerk auszuführen. Obwohl noch keine aktiven Bedrohungen beobachtet wurden, verfolgt Microsoft die Schwachstelle mit dem Status „Exploitation More Likely“.
  • Erlang/OTP SSH hat öffentlichen PoC Exploit: Mehrere PoC-Exploits [1][2][3] sind jetzt öffentlich verfügbar für CVE-2025-32433 (CVSS 10), eine neue Schwachstelle mit maximalem Schweregrad im Erlang/OTP SSH-Server. Erlang/OTP ist eine weit verbreitete Plattform für den Aufbau skalierbarer und fehlertoleranter verteilter Systeme und wird unter anderem genutzt von großen Technologieunternehmen wie Ericsson, Cisco, Broadcom, EMQ Technologies und der Apache Software Foundation.
  • Broadcom Brocade Fabric OS (FOS): CVE-2025-1976 (CVSS 6.7) ist eine Code-Injection-Schwachstelle [CWE-94], die im April offengelegt und aktiv ausgenutzt wurde. FOS ist eine spezielle Firmware, die für die Verwaltung von Fibre-Channel-Switches in Storage Area Networks (SANs) entwickelt wurde. Die Schwachstelle erlaubt einem lokalen Benutzer mit administrativen Rechten die Ausführung von beliebigem Code mit vollen Root-Rechten.

Neue Sicherheitslücke im Windows Common Log File System

Eine neue, schwere Sicherheitslücke CVE-2025-29824 (CVSS 7.8) im Treiber des Microsoft Windows Common Log File System (CLFS) ermöglicht lokalen, authentifizierten Angreifern die Ausweitung ihrer Rechte und damit den Zugriff auf die SYSTEM-Ebene. Darüber hinaus wird die Schwachstelle weltweit bei Ransomware-Angriffen [1][2], insbesondere durch Storm-2460, ausgenutzt, um PipeMagic-Malware zu verteilen.

Der Windows CLFS-Treiber weist eine Reihe kritischer Schwachstellen für die Ausweitung von Berechtigungen auf, die sich über mehrere Jahre und Versionen erstrecken und ihn zu einem dauerhaften, hochwertigen Ziel für Angreifer machen. Acht CVEs aus den Jahren 2019 bis 2025 wurden in der KEV-Liste der CISA katalogisiert. Mindestens vier davon, CVE-2023-28252, CVE-2023-23376, CVE-2022-24521 und CVE-2025-29824, werden bekanntermaßen in Ransomware-Kampagnen ausgenutzt.

Aufgrund der aktiven Ausnutzung kritischer Schwachstellen in Microsoft-Produkten ist es für Unternehmen unerlässlich, zu überprüfen, ob die neuesten Microsoft-Sicherheitsupdates in ihrer IT-Infrastruktur installiert wurden, und die Systeme auf Anhaltspunkte für eine Gefährdung (Indicators of Compromise, IoC) zu überwachen. Greenbone kann Schwachstellen für alle oben genannten CLFS CVEs und fehlende Patch-Levels für Microsoft Windows 10 (32-bit & x64), Windows 11 (x64) und Windows Server 2012-2025 Endpunkte über authentifizierte Local Security Checks (LSC) erkennen.

RCE-Schwachstelle in Craft CMS

CVE-2025-32432 (CVSS 10) ist eine schwere Sicherheitslücke in Craft CMS (Content Management System), die sich leicht ausnutzen lässt und Remote Code Execution (RCE) ermöglicht. Craft CMS ist ein Framework zur Erstellung von Websites, das auf dem PHP-Framework Yii aufbaut. Die Sicherheitslücke wurde vom CSIRT von Orange Cyberdefense gemeldet, das sie während einer Reaktion auf einen Vorfall entdeckte. Die Schwachstelle wurde bereits in freier Wildbahn ausgenutzt. Außerdem sind technische Details und PoC-Exploits [1][2] einschließlich eines Metasploit-Moduls öffentlich verfügbar, was die Bedrohung erheblich erhöht. Craft CMS wird von namhaften Unternehmen verwendet wie der New York Times, Amazon, Intel, Tesla, NBC, Bloomberg und JPMorgan Chase für die Erstellung individueller E-Commerce- und inhaltsgesteuerter Websites.

Greenbone ist in der Lage, Webanwendungen, die für CVE-2025-32432 anfällig sind, mit einer aktiven Prüfung zu erkennen, bei der eine speziell gestaltete POST-Anfrage gesendet und die Antwort analysiert wird. Betroffen sind die Craft CMS-Versionen 3.x bis 3.9.14, 4.x bis 4.14.14 und 5.x bis 5.6.16. Benutzer sollten so bald wie möglich auf eine gepatchte Version aktualisieren. Wenn ein Upgrade nicht möglich ist, schlägt der Hersteller vor, Firewall-Regeln zu implementieren, um POST-Anfragen am Endpunkt „actions/assets/generate-transform“ zu blockieren oder die Craft CMS Security Patches Library zu installieren.

Dualing CVEs in CrushFTP werden von Ransomware ausgenutzt

CVE-2025-31161 (CVSS 9.8) stellt eine ernsthafte Bedrohung für CrushFTP-Benutzer dar. Bei dem Fehler handelt es sich um eine „Authentication Bypass”-Schwachstelle [CWE-287] im HTTP-Autorisierungs-Header, die es entfernten, nicht authentifizierten Angreifern ermöglicht, sich als ein beliebiges bestehendes Benutzerkonto (z. B. Crushadmin) zu authentifizieren. Die Schwachstelle wird unter anderem von den Akteuren der Kill-Gruppe in laufenden Ransomware-Angriffen ausgenutzt.

CVE-2025-31161 betrifft CrushFTP Versionen 10.0.0 bis 10.8.3 und 11.0.0 bis 11.3.0. Der Hersteller hat einen Hinweis mit aktualisierten Anweisungen veröffentlicht. Greenbone ist in der Lage, CVE-2025-31161 sowohl mit einer aktiven Prüfung als auch mit einem Versionserkennungstest zu erkennen.

Ursprünglich wurde diese Schwachstelle unter einer anderen Kennung (CVE-2025-2825) verfolgt. Als sie von einem Drittanbieter (CNA) veröffentlicht wurde, hatte CrushFTP die Gelegenheit, die Details zu bewerten. Die verfrühte Veröffentlichung zwang CrushFTP, öffentlich zu reagieren, bevor es einen Patch entwickelt hatte. Dieser Vorfall macht ein erhebliches Risiko deutlich: Da CrushFTP keine CVE Numbering Authority (CNA) war, fehlte dem Anbieter die Befugnis, seinen eigenen Produkten CVE-Kennungen zuzuweisen. Stattdessen musste sich CrushFTP auf die externen Forscher verlassen, die den Fehler entdeckt hatten, um die CVE-Veröffentlichung zu verwalten.

Im CVE-Programm kann eine CNA ihren Geltungsbereich so definieren, dass sie CVE-IDs den Schwachstellen zuweisen kann, die ihre eigenen Produkte betreffen, während sie dies anderen Parteien verwehrt. Wenn der Anbieter einer Anwendung eine registrierte CNA ist, müssen Security-Forscher von Drittanbietern ihre Erkenntnisse direkt dem Anbieter mitteilen, was eine bessere Kontrolle über den zeitlichen Ablauf und eine bessere strategische Offenlegung ermöglicht. In Anbetracht der Risiken sollten Software-Anbieter in Erwägung ziehen, sich als CNA beim CVE-Programm von MITRE registrieren zu lassen.

Zusammenfassung

Im April 2025 wurde auf aktuelle Bedrohungen durch Schwachstellen in Edge-Geräten, Ransomware-Aktivitäten und neu ausgenutzte Schwachstellen in weit verbreiteter Software wie Craft CMS, Microsoft CLFS und CrushFTP hingewiesen. Diese Entwicklungen unterstreichen die Notwendigkeit für Unternehmen, den Überblick über gefährdete Ressourcen zu behalten, rechtzeitig Patches zu installieren und wachsam gegenüber neuen Bedrohungen zu sein, die vom ersten Zugriff bis zur vollständigen Kompromittierung schnell eskalieren können.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Andreas Bergler

… und Action! Greenbone auf der it-sa Expo&Congress

Kommende Woche startet die it-sa, eine der größten Plattformen für IT-Security-Lösungen. Unser CEO Dr. Jan-Oliver Wagner wird am Eröffnungstag, dem 22. Oktober 2024, ab 11:00 Uhr zeigen, wie Unternehmen dauerhaft und in Krisensituationen handlungsfähig bleiben können. Unter dem Titel  „Sicher sein und sicher bleiben“ weist er im Forum 6-B Wege aus der wachsenden Bedrohungslage durch Cyberrisiken. Nicht umsonst aber heißt der Überblick über die Möglichkeiten und Potenziale von Schwachstellenmanagement nicht „Vortrag“, sondern „Action“: Handeln ist gefragt!

Werden Sie aktiv!

In Zeiten, in denen Ransomware-Banden mehrstellige Millionenbeträge zu erpressen versuchen, gilt es für Unternehmen und Organisationen, möglichst frühzeitig für die Sicherheit der IT-Systeme mit ihren Daten und Kommunikationswegen tätig zu werden. Jede Investition in die eigene Cybersicherheit macht sich um ein Vielfaches bezahlt, vergleicht man die Anschaffungskosten einer entsprechenden proaktiven Lösung mit den Kosten, die durch den Schaden entstehen – und die mit dem Zahlen von Lösegeldern bei Weitem nicht abgegolten sind. Wie bei jeder Rechnung mit Zins und Zinseszins: Je früher die Investition begonnen wird, desto mehr zahlt sie sich aus.

Die Lösungen von Greenbone setzen am frühestmöglichen Zeitpunkt der Entstehungsgeschichte von Cyberrisiken an: Dem Auffinden von Sicherheitslücken in der eigenen IT-Infrastruktur. So geht das Schwachstellenmanagement Hand in Hand mit einer fundierten Security-Strategie, in deren Rahmen kontinuierlich Sicherheitsdaten bereitgestellt, Systeme überwacht und Ergebnisse verglichen und ausgewertet werden.

Wissensvorsprung verschaffen

Weil Kriminelle ihre Angriffe auf die Netzwerke ihrer Opfer so einfach und so flächendeckend wie möglich gestalten, um ihre Gewinne zu maximieren, sollten IT-Verantwortliche es ihnen hierbei so schwer wie möglich machen. Schwachstellenmanagement bietet Unternehmen einen entscheidenden Vorsprung im Wettlauf mit potenziellen Angreifern. Sicherheitslücken werden zwar häufig schon vor ihrer öffentlichen Bekanntgabe ausgenutzt, sind sie aber erst einmal offiziell bekannt, kommt der Wettlauf zwischen Angreifer und Angegriffenem in die heiße Phase: Angriffsvektoren sollten jetzt schneller geschlossen werden, als Cyberkriminelle sie ausnutzen können.

Risiken managen

Damit das Sicherheitsrisiko gar nicht so weit eskaliert, greifen die Lösungen von Greenbone auf mittlerweile über 180.000 automatisierte Schwachstellentests zu. Sie reduzieren damit die potenzielle Angriffsfläche um 99 Prozent im Vergleich zu Unternehmen, die kein Vulnerability Management einsetzen. Diese immensen Möglichkeiten der Risikominimierung setzen ein umsichtiges Security-Management voraus. Denn je mehr Schwachstellen offengelegt werden, desto drängender wird die Frage, welche Aktionen zuerst eingeleitet werden müssen. Welche IT-Systeme brauchen Soforthilfe? Welche Assets und Interaktionspfade im Unternehmen sind besonders kritisch und durch welche Sicherheitsmaßnahmen zu bevorzugen?

Nur wer plausible Antworten auf diese Fragen hat, wird das Gesamtrisiko für Cyberangriffe auch dauerhaft so gering wie möglich halten können. Welche Prioritäten gesetzt werden sollten und wie eine entsprechende „Triage“ unter Daten und Systemen im operativen Alltag praktiziert werden kann, wird Jan-Oliver Wagner auf der it-sa in der Action „Sicher sein und sicher bleiben“ zeigen. Seien Sie dabei!

Besuchen Sie uns auf unserem Stand 6-346 oder vereinbaren Sie gleich einen Termin und sichern Sie sich Ihr Gratis-Ticket zur Messe. Wir freuen uns auf Ihren Besuch!

Jetzt Termin vereinbaren!

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

NIS2-Umsetzungsgesetz lässt auf sich warten: Zeit zum Handeln

Auch wenn die Bundesregierung es wohl nicht geschafft hat, die notwendigen Umsetzungen der NIS2-Richtlinie fristgerecht auf den Weg zu bringen, sollten Unternehmen und Behörden nicht nachlassen. NIS2 kommt, zwar nicht wie geplant noch im Oktober, sondern erst im Frühjahr 2025, doch die Kerninhalte bleiben gleich. Ganz unabhängig vom schlussendlichen Termin gehört professionelles Schwachstellenmanagement wie das von Greenbone zwingend dazu.

Eigentlich hatten alle von NIS2 betroffenen Unternehmen und Organisationen schon acht Jahre Zeit, um sich einzuarbeiten und angemessene Maßnahmen zu treffen. Wer seine Hausaufgaben gemacht hat, wird bemerkt haben: Zwar kommt da viel Arbeit auf Firmen zu, vor allem auf Betreiber kritischer Infrastrukturen, aber das meiste ist doch überaus klar und wohldefiniert. Aber dass die NIS2-Umsetzung und -Einführung dennoch nicht immer einfach ist, zeigt derzeit der Deutsche Bundestag exemplarisch.

Acht Jahre verstrichen, Startschuss verpasst

Theoretisch wäre Ende Oktober der Startschuss für das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) gefallen, doch aus dem von der EU auch für Deutschland verordneten Termin vom 17.10.2024 wird nichts. Die Referentenentwürfe von 2023 und 2024 fanden keine Mehrheit, selbst das Innenministerium ist skeptisch und „rechnet nicht mit einer fristgerechten Einführung der NIS2-Richtlinie“. Das geht aus einer Antwort des Ministeriums auf eine Anfrage des BVMW (Bundesverband mittelständische Wirtschaft – Unternehmerverband Deutschlands) hervor. „Wann die NIS2-Richtlinie kommt, die für den 17. Oktober 2024 geplant war, ist offenbar völlig unklar. In der Antwort des Innenministeriums heißt es lediglich, dass bei einem zügigen parlamentarischen Verfahren ein Inkrafttreten des Gesetzes im ersten Quartal 2025 möglich sei.“

NIS2-Studie: Unternehmen akzeptieren die Vorschriften

Dabei ergibt NIS2 durchaus Sinn und trifft auf hohe Akzeptanz, vor allem in sicherheitsrelevanten Branchen und Firmen, auch wenn diese selbst zugeben müssen, noch nicht perfekt vorbereitet zu sein. 38 Prozent halten NIS2 für überfällig, 67 Prozent gehen davon aus, dass Cyberattacken weiter zunehmen werden, und 84 Prozent wissen: Das Budget wird steigen. 34 Prozent der Unternehmen werden zukünftig in Schwachstellenmanagement investieren. Diese Zahlen stammen aus einer aktuellen, umfangreichen Studie von techconsult im Auftrag von Plusnet, die auch den Sinn und Zweck von NIS2 zusammenfasst: „Unternehmen und Organisationen werden angewiesen, robuste Sicherheitsmaßnahmen zu implementieren, regelmäßige Risikoanalysen durchzuführen und angemessene Schutzmechanismen gegen Cyberangriffe einzurichten. Eine erhöhte Transparenz und Reaktionsfähigkeit sollen dazu beitragen, Bedrohungen schneller zu identifizieren und einzudämmen.“

Top-Investitionsfelder von Unternehmen im Bereich Cybersicherheit: Sicherheits­schulungen (45 %), ISO-Zertifikate (44 %), Awareness-Trainings (42 %), sichere Kommunikation, EDR, SIEM, KI-Lösungen, automatisierte Schwachstellenscans (je 34 %).

Quelle: „NIS2 Readiness in deutschen Unternehmen“ techconsult GmbH/ Plusnet, 2024

Unternehmen und Organisationen werden so verpflichtet, Sicherheitsvorfälle innerhalb von 24-Stunden-Fristen zu melden. KRITIS-Betreiber setzen schon lange auf Systeme zur Angriffserkennung. Vor allem die schon von NIS1 betroffenen Unternehmen (55 %) setzen auf modernste Formen der Cyberabwehr – gegenüber Firmen, die durch NIS2 neu hinzukommen (44 %). Nachlassen sollten CISOs dennoch nicht, es gibt noch viel zu tun: Die von NIS1 betroffenen Unternehmen rangieren laut Studie, auch um zehn Prozent höher als die erweiterten NIS2-Sektoren, „unter anderem bei der Intrusion Detection & Prevention und automatisierten Schwachstellen-Scans“.

51 Prozent aller befragten Unternehmen und Organisationen verwenden SIEM-Lösungen (Security Information and Event Management), um Bedrohungen, Muster und Anomalien in großen Datenmengen frühzeitig zu identifizieren und Sicherheitsvorfälle zu verhindern.

„Diese Fähigkeit ist in Zeiten, in denen Cyberangriffe immer raffinierter werden, besonders wertvoll“, schreiben die Autoren der Studie. Dazu kommen Systemmonitoring, Logging und Reporting sowie Data Loss Prevention.

Neun von zehn Unternehmen wollen mehr in Sicherheit investieren

84 Prozent der Unternehmen und Organisationen werden ihr Security-Budget erhöhen, im Durchschnitt um zehn Prozent, größere Unternehmen sogar bis zu zwölf Prozent. Erst 29 Prozent haben Sicherheitsmaßnahmen voll umgesetzt, weitere 32 Prozent teilweise. Hauptgründe dafür sind der Fachkräftemangel, mangelndes Bewusstsein (Awareness) bei den eigenen Mitarbeitern, aber auch der Zeitplan, also die gebotene Eile.

Gleichwohl betrachten die Firmen die anstehende Umsetzung der NIS2-Richtlinie nicht nur als Kostenfaktor und Belastung, sondern auch als Chance, „die eigene Cyberresilienz zu stärken, Geschäftsprozesse zu optimieren und das Vertrauen von Kunden und Partnern zu gewinnen“.

Kontrastprogramm: Verzögerungen in der Politik

Wer aber die jüngsten Debatten in der Politik und die Analysen von Institutionen wie dem Bundesrechnungshof und Manuel Atug (Sprecher der AG KRITIS) verfolgt, der bekommt schnell den Eindruck, dass auf staatlicher Seite gerade Vertrauen verspielt wird. Sogar der Bundesrechnungshof kritisiert die geplanten Ausnahmen von der NIS2-Regelung für Behörden. Er fordere daher, so das Nachrichtenmagazin heise, den Gesetzesentwurf im parlamentarischen Verfahren nachzubessern. „Ausnahmen von den zentralen Vorgaben zur Informations- und Cybersicherheit sollten begrenzt werden und die Koordinatorin oder der Koordinator für Informationssicherheit sollte angemessene Aufgaben und Befugnisse erhalten, so zwei Kernforderungen. Auch seien die Bedarfe der Bundesbehörden an zusätzlichen Haushaltsmitteln kritisch zu hinterfragen.“

Trotz aller Streitpunkte winkt der Bundesrat Ende September eine Vorlage einfach durch, in „einer Minute und einer Sekunde“, wie Atug süffisant bemerkt. Wirkungslos ist das jedoch nicht, beispielsweise im Gesundheitswesen. Da könnten „künftig große Praxen, Berufsausübungsgemeinschaften und Medizinische Versorgungszentren Betreiber kritischer Anlagen werden“. Aber auch andere große ambulante Einrichtungen, umsatzstarke Praxen aus der Radiologie und Nuklearmedizin, Nephrologie oder Laboratoriumsmedizin könnten so als wichtige Einrichtungen relevant werden und unter die NIS2-Regeln fallen.

Verbrannte Erde, verlorene Zeit?

Es macht es nicht leichter, dass für Krankenhäuser auch noch besondere Übergangsfristen gelten. § 108 SGB V schreibt hier fünf Jahre vor, nun hat man eine entsprechend verlängerte Übergangsfrist auch für die wichtigen Einrichtungen gefordert. „Erste Nachweise kommen damit erst frühestens 2030“, zeigt sich Atug enttäuscht. Seine Kritik: „Sowohl die Bundesländer als auch das Gesundheitswesen sollen Cybersicherheit nur nach dem Minimalprinzip angehen, was der aktuellen Bedrohungslage als auch dem Lagebild Gesundheit absolut nicht gerecht wird.“ Die vielen Ausnahmen und das Verschweigen bekannter Defizite drohen hier, einen Flickenteppich von Ausnahmen zu schaffen, der niemandem helfe.

Warum Unternehmen jetzt investieren müssen

Die Studie von Plusnet zeigt klar: Das Bewusstsein in betroffenen Betrieben ist da, die Investitionsbereitschaft ebenso. Der Bundesrechnungshof und die AG KRITIS haben nachhaltig und laut bekundet, wie wichtig aktives Handeln jetzt ist – und ebenso laut ihrer Enttäuschung Ausdruck verliehen, dass gerade die Politik da nicht handelt, zumindest nicht angemessen. Unternehmen und Organisationen hingegen sind keineswegs die Hände gebunden: Was kommt, ist klar, auch hier im Greenbone Blog haben wir immer wieder darauf hingewiesen.

Spätestens nächstes Jahr werden viele Aspekte der IT-Security neu aufgerollt, und Schwachstellenmanagement wie Greenbones Enterprise Produkte spielen dabei eine wichtige Rolle.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von