EU verschärft Regeln zum Schutz vor Cyberangriffen – Microsoft empfiehlt

Microsoft gibt Empfehlungen zum Schutz vor Cyberangriffen

Zum Schutz vor Cyberangriffen auf Unternehmen im Bereich der kritischen Infrastruktur gelten in der Europäischen Union künftig schärfere Regeln. Das Europaparlament billigte Mitte November 2022 in Brüssel eine Einigung mit den EU-Staaten, die die Netz- und Informationssysteme besser vor Hackerangriffen schützen soll. Die neuen Vorgaben sollen die Regeln in den 27 EU-Staaten vor allem vereinheitlichen. Dazu werden Mindestvorgaben sowie Mechanismen für die Zusammenarbeit der Länder geschaffen.

Microsoft gibt fünf Empfehlungen, die Unternehmen der kritischen Infrastruktur vorrangig zum Schutz vor Cyberangriffen angehen sollten.

1. Cybersicherheit muss als kontinuierlicher Prozess verstanden werden

Die Technologie und ihre Anwendungen entwickeln sich mit hoher Geschwindigkeit weiter. Unternehmen im Bereich der kritischen Infrastruktur müssen erkennen, dass es immer wichtige Systeme geben wird, die vor böswilligen Akteuren mit schädlichen Absichten und ausgeklügelten Fähigkeiten geschützt werden müssen. Man wird niemals sagen können, dass Online-Cybersicherheit erreicht wurde. Das Risikomanagement muss im Mittelpunkt jedes Ansatzes stehen, der verfolgt wird.

2. Fokus auf eine branchen- und länderübergreifende harmonisierte Regulierung

Cyberangriffe können Spillover-Effekte und sektorübergreifende Auswirkungen haben, wenn dieselbe zugrunde liegende Technologie verwendet wird. Harmonisierung und Angleichung sind von entscheidender Bedeutung, weshalb die Novelle der Richtlinie über Netzwerk- und Informationssicherheit (NIS2-Richtlinie) darauf abzielt, das Risikomanagement und die Meldung von Vorfällen in allen Sektoren kritischer Infrastrukturen zu rationalisieren. Neue sektorspezifische Rechtsvorschriften, beispielsweise für den Finanzdienstleistungs- oder Energiesektor, sollten im Idealfall auf den NIS2-Basisanforderungen aufbauen und sich darauf einigen, konsistente und wirksame Regulierungsrahmen zu gewährleisten.

3. Verstärkter Informationsaustausch und Kapazitätsaufbau

Die Verantwortlichkeiten für die Cybersicherheit sind auf viele regionale, nationale und branchenspezifische Akteure verteilt. Oft kommunizieren diese Einheiten nicht außerhalb ihres eigenen Sektors oder Landes. Angreifer respektieren jedoch keine Grenzen, und es benötige einen verstärkten Informationsaustausch über bewährte Verfahren und Abwehrmaßnahmen. Eine stärkere Zusammenarbeit zwischen öffentlichen und privaten Akteuren ist der Schlüssel zum Erfolg in dieser Hinsicht. In ähnlicher Weise besteht ein dringender Bedarf, die Lücke bei den Fähigkeiten im Bereich Cybersicherheit zu schließen. Das Global Forum on Cyber Expertise sowie Initiativen des Privatsektors können eine entscheidende Rolle dabei spielen, diese Bemühungen im In- und Ausland weiter voranzutreiben.

4. Etablieren einer Kultur der Cyber-Resilienz

Während Regierungen den Schutz des Sektors durch Gesetze vorantreiben können, gibt es Maßnahmen, die Anbieter kritischer Infrastrukturen ergreifen können, um die Sicherheit ihres Betriebs zu erhöhen. Das bloße Ankreuzen von Cybersecurity-Compliance reicht nicht mehr aus. Unternehmen müssen in kontinuierlichen Cybersicherheitsschutz investieren, um sich ständig weiterentwickelnde Bedrohungen abzuwehren. Dazu gehört die Implementierung horizontaler, nicht hierarchischer IT-Sicherheitsteamstrukturen innerhalb von Organisationen, um organisatorische Silos aufzubrechen und eine schnelle Eskalation eines Problems und eine zeitnahe Reaktion sicherzustellen. Organisationen sollten alle Mitarbeiter über die Rolle aufklären, die sie bei der Verhinderung von Cyberangriffen durch gute Cyberhygiene spielen müssen.

5. böswillige Akteure zur Rechenschaft ziehen

Täter von Cyberangriffen müssen selten mit Konsequenzen für ihre Handlungen rechnen. Während die Zuschreibung manchmal politisch heikel sein kann, sind sowohl national als auch international mehr Anstrengungen erforderlich, um schlechtes Verhalten zu sanktionieren. Jüngste Diskussionen bei den Vereinten Nationen haben deutlich gemacht, dass internationales Recht für den Cyberspace in seiner Gesamtheit gilt. Das Aufrufen von Übertretungen und das Hervorheben bestimmter rechtlicher oder normativer Rahmenbedingungen, die missachtet wurden – wie der Hohe Vertreter der Europäischen Union für Außen- und Sicherheitspolitik, Josep Borrell Fontelles, es tat – ist für die Abschreckung von entscheidender Bedeutung. Andernfalls wird den Tätern suggeriert, dass ihre Handlungen keine Konsequenzen haben.