Die neuen EU-Regularien zur Cybersicherheit setzen die digitalisierte und vernetzte Wirtschaft unter Handlungsdruck: Die NIS-2-Richtlinie und der Cyber Resilience Act (CRA) verpflichten Unternehmen, für ein ausreichend hohes Sicherheitsniveau zu sorgen. Angesichts der Vielzahl der Sicherheitsanforderungen, die es nachweislich effektiv zu erfüllen gilt, stellt dies oft eine Herausforderung dar. Auf dem 2. Cybersicherheitstag gab das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC zahlreichen Teilnehmenden aus Industrie und Wirtschaft einen Einblick, welche Gemeinsamkeiten sich in den Regelwerken identifizieren lassen, wie daraus Mindeststandards zu entwickeln sowie (teil-)automatisierte Lösungen einzusetzen sind und wie damit letztlich die Cybersicherheit im Unternehmen nachhaltig gestärkt werden kann.

Unternehmen sehen sich weltweit in der Cybersicherheit einer wachsenden Anzahl verpflichtender Regularien gegenüber: In der EU sind Unternehmen mit der NIS-2-Richtline (voraussichtlich ab März 2025 gültig) und dem Cyber Resilience Act (CRA) (seit Oktober 2024 in Kraft mit einer Übergangsfrist bis 2027) gesetzlich verpflichtet, nachweislich für ausreichend Sicherheit bei ihren internen IT-Infrastrukturen und -Fertigungsanlagen (IT & OT) sowie bei ihren vernetzten Hard- und Software-Produkten zu sorgen. Gleichzeitig spitzt sich die Cybersicherheitslage weiter zu: So sehen laut aktueller bitkom-Studie* mittlerweile 65 Prozent der befragten Unternehmen ihre Existenz durch Cyberattacken bedroht – im Jahr 2023 waren es noch 52 Prozent und im Jahr 2021 nur 9 Prozent der Unternehmen, die Cyberangriffe als existenzgefährdend eingestuft hatten.

Die Bedrohungslage wird sich im Zuge fortschreitender Vernetzung und damit stetig zunehmender Angriffsflächen weiter verschärfen. So nehmen beispielsweise die Schwachstellen in mehr und mehr digitalisierten Hardware- und Software-Lieferketten oder die personalisierten Angriffe durch Künstliche Intelligenz signifikant zu. Die Frage ist daher nicht, ob Angriffe stattfinden werden, sondern wann diese vonstattengehen und wie resilient ein Unternehmen aufgestellt ist, um Angriffe abzuwehren oder zumindest deren Auswirkungen zu begrenzen. Die Umsetzung angemessener Sicherheitsmaßnahmen ist insofern als alternativlos zu sehen.

Neue EU-Regularien als hilfreiche Leitplanken für die Realisierung eines angemessenen Sicherheitsniveaus

Die gute Nachricht ist: »Es gibt bereits heute eine Vielzahl an Technologien und Maßnahmen, die wirksam gegen viele Angriffe schützen. Mit den neuen EU-Regelwerken stehen nun für Unternehmen hilfreiche Leitplanken zur Verfügung, um Mindeststandards zu realisieren. Mit diesen sichern sie nicht nur ihre Marktzugänge, beispielsweise zum EU-Binnenmarkt mittels der CE-Kennung, oder vermeiden Sanktionen bei Gesetzesverstößen, sie schützen sich auch vor Missbrauch, Datenverlust und Spionage«, erläuterte Prof. Dr. Claudia Eckert, Institutsleiterin des Fraunhofer AISEC, anlässlich des zweiten Cybersicherheitstags des Forschungsinstituts. Die Regularien sind zwar zahlreich und vielfältig, haben aber auch viele Gemeinsamkeiten bei den zu erfüllenden Anforderungen. Es lohnt daher, die Vorgaben aus den verschiedenen Richtlinien und Gesetzen für den unternehmensspezifischen Anwendungsfall zu vergleichen und systematisch Überlappungen zu identifizieren.

Als zentrale Gemeinsamkeiten in den zu erfüllenden Anforderungen stellte die Cybersicherheitsexpertin Eckert vor:

·         das Aufsetzen von Risiko-Analysen und -Bewertungen

·         die Implementierung eines Schwachstellenmanagements zum Beispiel mit Patches und Updates über den gesamten Produktlebenszyklus

·         die Sicherstellung von Business Continuity etwa mittels eines
Back-up- und Krisenmanagements

·         die Gewährleistung der Sicherheit der digitalen Lieferkette beispielsweise anhand der Erfassung der genutzten Hard- und Softwarekomponenten mit der Software Bill of Materials (SBOM)

·         das Aufsetzen eines Informationssicherheits-Managementsystems (ISMS), in dem etwa Zugriffsrechte sicher verwaltet werden und klare Regeln zum Umgang mit Passwörtern sowie E-Mails verankert sind

·         die Umsetzung eines kontinuierlichen Berichts- und Meldewesens, zum Beispiel mit regelmäßigen Konformitätsnachweisen und einer kontinuierlichen Dokumentation der getroffenen Vorkehrungen sowie ihrer Wirksamkeit

·         die Realisierung von angemessenen Sicherheitsmaßnahmen entsprechend dem Stand der Technik, etwa gemäß Zero-Trust, Multi-Faktor-Authentifizierung etc.

Viele Ansatzpunkte für eine (teil-)automatisierte Umsetzung von Mindeststandards

Mit der Forderung nach Risiko-, Schwachstellen- und Code-Analysen, SBOM oder Compliance-Checks bieten die neuen Regularien viele Ansatzpunkte für (teil-)automatisierte Lösungen. Auf dem Cybersicherheitstag stellten die Expertinnen und Experten des Fraunhofer AISEC verschiedene Tools vor, mit deren Unterstützung die neuen Anforderungen (teil-)automatisiert erfüllt werden können:

·         Questionnaire-Based (Risk)-Assessment (QuBA): Eine schnelle und einfach durchführbare Bewertung des Risikolevels kann mit der fragebogenbasierten Methode »QuBA« erfolgen. Der Risikostatus von einfachen Produkten mit einheitlichem Schutzbedarf lässt sich so in nur wenigen Stunden ermitteln.

·         Konformitätsprüfung für den CRA mit »Confirmate«: »Confirmate« vergleicht Sicherheitseinstellungen mit CRA-Vorgaben, identifiziert Schwachstellen und ermittelt den individuellen Handlungsbedarf.

·         Confidential Computing für Software Supply Chains: Das »Connector Measurement Component (CMC)« erfasst automatisiert die Vertrauenswürdigkeit von Software-Komponenten mithilfe von Hardware-basierten kryptografischen Vertrauensankern. Das Open Source Tool schafft Transparenz und Nachprüfbarkeit gegenüber den verwendeten Software-Paketen.

Falls Sie den Cybersicherheitstag verpasst haben und sich dafür interessieren, wie Sie gemeinsam mit dem Fraunhofer AISEC Ihre Cybersicherheit gemäß der neuen EU-Regularien auf den neuesten Stand bringen können, kommen Sie gerne auf uns zu. Wir beantworten Ihre Fragen und bringen Sie mit unseren Forschenden in Kontakt. Bitte schreiben Sie dafür eine E-Mail an marketing@aisec.fraunhofer.de.