Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Gedanken über die NIS-Richtlinie der EU nach Davos

Ich hatte mir fest vorgenommen, den 80-seitigen Bericht des Weltwirtschaftsforums (WWF) über die globalen Risiken mit denen die Menschheit heute konfrontiert ist, durchzulesen. Das sind dieselben Leute, die alljährlich für...
Michael Buckbee
3 minute gelesen
Veröffentlicht 10. April 2018
Letzte aktualisierung 28. Oktober 2021

Ich hatte mir fest vorgenommen, den 80-seitigen Bericht des Weltwirtschaftsforums (WWF) über die globalen Risiken mit denen die Menschheit heute konfrontiert ist, durchzulesen. Das sind dieselben Leute, die alljährlich für die Versammlung der Banker und anderen unerfreulichen Gestalten verantwortlich sind, die in einem beliebten Schweizer Skigebiet stattfindet. Ich hatte gehört, es gebe in diesem Bericht ein interessantes Kapitel über … Datenschutz!

Und da war es nun. Datenschutz ist ein Bestandteil eines Berichts, der das Führungspersonal der Welt auch dabei unterstützen soll, mit Themen wie Klimawandel, nuklearer Vernichtung, Pandemien, ökonomischen Krisen, Hunger und Terrorismus fertig zu werden.

Wie ernst müssen Risiken durch Cyberangriffe genommen werden?

Bei Betrachtung der Folgen schafft es die digitale Kriegsführung in die Top Ten der globalen Probleme, und zwar auf den sechsten Platz zwischen den Wasser- und Ernährungskrisen. Damit schlägt Sie die Verbreitung von Infektionskrankheiten, die auf Platz 10 liegen. Bei Ihr handelt es sich bildlich gesprochen um einen fünften Reiter der Apokalypse.

Zu den besorgniserregenden Fakten, die das WWF den Präsidenten, Premierministern, Kanzlern und Königen der Welt zur Kenntnis gebracht hat, gehörte, dass 2016 über 350 Millionen Malware-Varianten auf die Welt losgelassen wurden und dass Malware bis zum Jahr 2020 möglicherweise ihren Weg auf über 8,4 Milliarden IoT-Geräte finden könnte.

Die Weltbevölkerung liegt derzeit bei etwa 7,6 Milliarden. Wir werden also bald gegenüber schlecht abgesicherten, mit dem Internet verbundenen siliziumbasierten Gadgets in der Unterzahl sein. Das ist kein sehr beruhigender Gedanke.

Das WWF hat danach versucht, den wirtschaftlichen Schaden von Malware zu berechnen. Einer zitierten Studie zufolge werden die globalen Kosten in den nächsten fünf Jahren bei über 8 Billionen USD liegen.

Die düster gestimmten Autoren des WWF heben die wirtschaftlichen Auswirkungen von Ransomware hervor. Petya und NotPetya haben im Jahr 2017 vielen Unternehmen hohe Kosten verursacht. Merck, FedEx und Maersk haben zum Beispiel jeweils Gewinneinbußen von über 300 Millionen USD im vergangenen Jahr als Folge der NotPetya-Angriffe gemeldet.

Ein systemisches Risiko: Wir sind alle verbunden

Die Auswirkungen von Malware gehen jedoch über die Wirtschaft hinaus. Einer der wichtigsten Punkte im Bericht ist, dass Hacker auch die physische Infrastruktur angreifen.

WannaCry richtete sich gegen die IT-Systeme von Eisenbahngesellschaften, Autoherstellern und Stromversorgern. Mit anderen Worten, Cyberangriffe stören auch die Abläufe in der realen Welt: Unsere Lichter gehen aus, unsere Sendungen werden gestoppt oder Fabriklinien werden wegen Malware geschlossen.

An dieser Stelle wird der WWF-Bericht besonders erschreckend. Cyber-Angriffe können möglicherweise eine Kettenreaktion von Effekten auslösen, die wir Menschen gar nicht richtig beurteilen können. Sie bezeichnen das als „systemisches Risiko“.

Und sie formulieren es folgendermaßen:

„Die Menschheit hat ein bemerkenswertes Geschick darin entwickelt, Möglichkeiten zum Umgang mit zahllosen konventionellen Risiken zu finden, die relativ leicht isoliert und mit Standardansätzen des Risikomanagements verwaltet werden können. Wir sind jedoch weit weniger kompetent im Umgang mit komplexen Risiken in Systemen, die durch Rückkopplungsschleifen, Punkte ohne Wiederkehr und intransparente Ursache-Wirkungs-Beziehungen gekennzeichnet sind, die Interventionen problematisch machen können.“

Wir können uns alle unsere eigenen Weltuntergangsszenarien ausmalen, z. B. die Infektion von Börsenalgorithmen durch Malware, die zum wirtschaftlichen Zusammenbruch und dann zum Krieg führen. Viel wichtiger ist meiner Ansicht nach aber der Punkt, dass unsere politischen Führer gezwungen sein werden, dieses Problem in Angriff zu nehmen.

Und ja: Ich spreche von mehr Vorschriften oder strengeren Standards für die IT-Systeme, mit denen unsere kritische Infrastruktur betrieben wird.

NIS-Richtlinie

In der EU sind die Regeln für den Schutz dieser Infrastruktur erheblich weiter entwickelt als in den USA. Wir haben bereits im Jahr 2016 über die Richtline über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS) berichtet, als diese erstmals vom Europäischen Parlament verabschiedet wurde.

In der Richtlinie werden die EU-Mitgliedstaaten aufgefordert, die Zusammenarbeit bei kritischen Wirtschaftssektoren – Gesundheit, Energie, Banken, Telekommunikation, Verkehr sowie einige Online-Unternehmen – und gegen sie gerichtete Cyber-Angriffe zu verbessern und Mindeststandards für die Vorbereitung zur Abwehr von Cyberrisiken festzulegen, worunter auch Meldungen von Vorfällen an die Regulierungsbehörden gehören. Die EU-Länder hatten 21 Monate Zeit, um die Richtlinie in nationales Recht umzusetzen.

Damit läuft die Frist für diese NIS-Gesetze im Mai 2018 ab, also in ein paar Monaten. Ja, der Mai wird für IT-Abteilungen ein geschäftiger Monat, denn dann treten sowohl die DSGVO als auch die NIS-Gesetze in Kraft.

In Großbritannien ist beispielsweise der Konsultationsprozess für das NIS-Gesetz kürzlich abgeschlossen worden. Das Ergebnis können Sie in diesem Bericht lesen. Ein wichtiger Punkt ist, dass jede nationale Aufsichts- oder Datenschutzbehörde aufgefordert wird, die Betreiber „wesentlicher Dienste “ zu benennen, was in der EU-Terminologie für kritische Infrastrukturen steht. Dafür haben Sie ab Mai sechs Monate Zeit.

Auf jeden Fall stellt die NIS-Richtlinie einen sehr guten ersten Schritt zur Überwachung und Bewertung von Malware-basierten systemischen Risiken dar. Wir werden Sie auf dem Laufenden halten, wenn wir mehr von den nationalen Aufsichtsbehörden hören, sobald sie mit der Umsetzung ihrer NIS-Gesetze beginnen.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
was-ist-data-governance?-framework-und-best-practices
Was ist Data Governance? Framework und Best Practices
Data Governance unterstützt die Organisation, Sicherung und Standardisierung von Daten für verschiedene Organisationen. Erfahren Sie hier mehr über Data-Governance-Frameworks.
was-ist-das-nist-framework-für-cybersecurity?
Was ist das NIST-Framework für Cybersecurity?
Erfahren Sie, wie Sie das NIST-Framework für Cybersecurity in Ihrer eigenen Organisation umsetzen können.
einhaltung-der-datenschutzgesetze-von-illinois:-was-sie-wissen-müssen
Einhaltung der Datenschutzgesetze von Illinois: Was Sie wissen müssen
The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
die-12-pci-dss-anforderungen:-4.0-compliance-checkliste
Die 12 PCI-DSS-Anforderungen: 4.0-Compliance-Checkliste
Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) tritt bald in Kraft. Bereiten Sie sich mit unserer PCI-DSS-Compliance-Checkliste vor.