Tag NIS2

Der Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) für das Jahr 2024 liefert eine detaillierte Analyse der Cybersicherheitslage in Deutschland. Im Zeitraum vom 1. Juli 2023 bis zum 30. Juni 2024 hat das BSI als zentrale Cybersicherheitsbehörde des Bundes die Entwicklungen im Bereich der IT-Sicherheit umfassend untersucht. Die Ergebnisse machen deutlich, dass insbesondere Unternehmen, darunter kleine und mittelständische Betriebe, ihren Schutz vor Cyberbedrohungen dringend weiter stärken müssen.
Der Lagerbericht des BSI identifiziert drei Hauptzielgruppen von Cyberangriffen:
1. Kleine und mittlere Unternehmen (KMU)
2. IT-Dienstleister
3. Kommunen

KMU´s sind häufig weniger gut abgesichert als Großkonzerne und werden daher verstärkt von Cyberkriminellen ins Visier genommen. Besonders kritisch sind Angriffe auf IT-Dienstleister, da diese in der Regel Zugang zu den Systemen zahlreicher Kunden haben, wodurch ein einzelner erfolgreicher Angriff weitreichende Folgen haben kann.

Aber auch Cyberangriffe auf Großkonzerne können gravierende wirtschaftliche Folgen haben, wie das Beispiel der VARTA-AG im Februar dieses Jahres zeigt. Der Batteriekonzern wurde Ziel einer Cyberattacke, die dazu führte, dass Teile der IT-Systeme abgeschaltet und vom Internet getrennt werden mussten. Alle 4200 Mitarbeitenden in den weltweit fünf Betriebsstandorten mussten für mehr als 10 Tage freigestellt werden. Dies hatte nicht nur Auswirkungen auf den laufenden Betrieb, sondern auch auf die Produktion. Der Angriff traf das Unternehmen in einer ohnehin schwierigen Phase, da der Konzern in den vergangenen zwei Jahren erhebliche Verluste verzeichnete und sich jetzt aktuell mitten in einem Restrukturierungsprozess befindet. Der wirtschaftliche Schaden wurde bis heute nicht detailliert beschrieben.

Durch die Modernisierung des IT-Sicherheitsrechts und die Umsetzung der NIS-2-Richtlinie (https://securam-consulting.com/nis2-network-information-security/) werden künftig rund 30.000 Unternehmen und Organisationen der Aufsicht des BSI unterstellt.

Die neuen Regelungen bringen zwar eine anfängliche Herausforderung und hohe Investitionen mit sich, haben aber das wichtige Ziel, das allgemeine Sicherheitsniveau in Deutschland deutlich zu erhöhen. Die verschiedenen „Branchen“ des Sektors Staat und Verwaltung sind auf allen Verwaltungsebenen vertreten: beim Bund, in den Ländern und in den Gemeinden. Die Funktionsfähigkeit dieser staatlichen Einrichtungen bildet die Grundlage für das Vertrauen der Bürger in die Leistungsfähigkeit des Staates.

Der Ausfall von Behörden, die für die Gefahrenabwehr verantwortlich sind, wäre besonders kritisch, da er erhebliche Auswirkungen auf die öffentliche Sicherheit und Ordnung hat. Darüber hinaus sind staatliche Einrichtungen häufig auf die Leistungen anderer kritischer Infrastrukturanbieter angewiesen, wie etwa die Strom- und Wasserversorgung oder Telekommunikationsdienste.

Der BSI-Lagebericht weist auf mehrere schwerwiegende Vorfälle hin, die die Notwendigkeit verbesserter Cybersicherheitsmaßnahmen deutlich machen. Am 19. Juli kam es zu einem Vorfall von besonderer Besorgnis. Ausgelöst durch ein fehlgeschlagenes Softwareupdate des Cybersicherheitsanbieters Crowdstrike kam es weltweit zu massiven Ausfällen im IT-Betrieb von Krankenhäusern und des internationalen Luftverkehrs. Experten stuften dieses Fiasko wegen des globalen Ausmaßes als beispiellos ein. Der wirtschaftliche Schaden konnte bis heute nicht ermittelt werden.

Diese Störfälle verdeutlichen, dass kein Unternehmen vollständig vor Cyberbedrohungen geschützt ist, und betonen die kontinuierliche Wachsamkeit sowie gezielte Notwendigkeit in IT-Sicherheitsmaßnahmen zu investieren. Es ist von zentraler Bedeutung, dass Unternehmen Cybersicherheit nicht als bloße Verpflichtung, sondern als integralen Bestandteil ihrer Geschäftsstrategie verstehen.

Cyberangriffe lassen sich auch aus den Berichten des unabhängigen Marktforschungsunternehmen KonBriefing Research im Bereich IT mit Schwerpunkt Governance, Risk Management, Compliance und Cybersicherheit erkennen. Dieses hat 112 Cyberattacken auf kommunale Einrichtungen und Stadtverwaltungen sowie deutsche Unternehmen und Organisationen unterschiedlichster Branchen dokumentiert.

Die Top Cyberattacken lassen sich in der Liste zu 2023/2024 (https://konbriefing.com/de-topics/hackerangriff-deutschland.html?utm_source=chatgpt.com#Res645696)herausgegeben von KonBriefing Research nachlesen.

Eine Stärkung gegenüber Cyberattacken wird unter anderem für Unternehmen durch die Umsetzung der neuen Richtlinien und europäischen Verordnungen herbeigeführt. Unternehmen können so ihre Abwehrfähigkeit gegenüber Cyberangriffen deutlich verbessern.
Zu diesen Richtlinien und Verordnungen gehören:
NIS2-Richtlinie (https://securam-consulting.com/nis2-network-information-security/): Diese fordert von Unternehmen die Umsetzung umfassender Sicherheitsmaßnahmen zur Stärkung der IT-Resilienz.
DORA (https://securam-consulting.com/dora-digital-operational-resilience-act/): Die Verordnung der Europäischen Union soll die digitale Resilienz und Cybersecurity im Finanzsektor nachhaltig stärken und tritt zum 17. Januar 2025 in Kraft. Sorgen Sie für mehr Sicherheit im eigenen Unternehmen – Sie leisten damit auch einen wichtigen Beitrag zur Stabilität der deutschen Wirtschaft und Gesellschaft.

Quellennachweis: BSI, KonBriefing

Die Securam Consulting GmbH ist ein agiles und inhabergeführtes IT-Beratungsunternehmen mit Firmensitz in Hamburg.
Zu den zahlreichen Kunden zählen vor allem Banken, Finanzdienstleister und Versicherungen. Dank der Spezialisierung auf
mittelständische Unternehmen mit kritischen Infrastrukturen ist das IT-Consultingunternehmen allen regulatorischen Vorgaben gewachsen.
Die Komplexität vernetzter Informationssysteme und sich immer schneller entwickelnder Sicherheitsstandards, setzten eine schnelle und
erfolgreiche Einführung einer nachhaltigen Sicherheitsstrategie voraus.

Firmenkontakt
Securam-Consulting GmbH
Nadine Eibel
Neue ABC Straße 8
20354 Hamburg
+49 40-298 4553-0

Home

Pressekontakt
Securam-Consulting GmbH
Anette Hollenbach
Neue ABC Straße 8
20354 Hamburg
+49 40-298 4553-0

Home

Brandneu von Aagon: ACMP Release 6.7

(Bildquelle: Aagon)

Soest, 20. November 2024: Security first – diese Forderung, die IT-Administratoren rund um die Uhr im Auge behalten müssen, erfüllt die neueste Version der ACMP Suite von Aagon (https://www.aagon.com) in vollem Umfang. So unterstützt ACMP 6.7 die Multifaktor-Authentifizierung, die besonders für von NIS-2-betroffene Unternehmen relevant ist. Zudem gibt es Neuerungen bei der Passwort- und Benutzerverwaltung sowie beim Lizenzmanagement. Alle Erweiterungen helfen IT-Admins dabei, ihre zunehmend komplexer werdenden Anforderungen beim Management der Unternehmens-IT zu erleichtern.

Das Thema Sicherheit steht bei der aktuellen Softwareversion ganz oben auf der Agenda: Zu den wichtigsten Neuerungen gehört somit die Multifaktor-Authentifizierung – besonders wichtig für von NIS-2 betroffene Unternehmen, aber natürlich interessant auch für alle anderen User, die sicherstellen müssen, dass nur nachweislich geprüfte Personen Zugriff auf die IT-Ressourcen des Unternehmensnetzwerks haben. Zum Einsatz kommt ein Time-based-One-time-Passwort-Verfahren (TOTP), das die Nutzung von Microsoft und Google Authenticator sowie weiterer TOTP-kompatibler Apps ermöglicht. Die erstmalige Einrichtung läuft über einen QR-Code. Nach der Verbindung wird ein Passwort eingegeben, das Verfahren fragt eine PIN aus der Authenticator-App ab, und erst nach deren Eingabe erfolgt der Zugang zur ACMP Konsole.

Ein weiteres wichtiges Feature ist die Login-Historie, mit der sich definieren beziehungsweise überprüfen lässt, wie lange Log-ins überwacht werden sollen und wann ein Log-in stattgefunden hat. Basierend auf der Login-Historie kann der IT-Admin definieren, nach wie vielen Anmeldungen ein User als Hauptnutzer des Geräts gilt. Dies ist relevant für die Inanspruchnahme von Zweitnutzungsrechten einer Software. Hinterlegen lässt sich ferner, an welchem Gerät eine Person Hauptnutzer und an welchem Gerät sie nur Zweitnutzer ist.
Auch beim Lizenzmanagement haben die Aagon-Entwickler, die stets im Austausch sind mit den ACMP Anwendern, wichtige neue Features integriert. Durch die Anbindung des Microsoft-365-Lizenzportals lassen sich alle Lizenzen, die darüber vergeben wurden, in die ACMP Suite importieren. Somit stehen alle Lizenzdaten auf einer einheitlichen Oberfläche für den Compliance-Check bereit. Beim Import werden – neben Produkten und Lizenzen – auch fehlende Kontakte als Lizenzverbraucher angelegt. Zudem erlaubt das neue ACMP Release das gleichzeitige Anbinden mehrerer MS-365-Lizenzportale.

Weitere Highlights von ACMP 6.7 im Überblick

Erweiterter Helpdesk: Beim Helpdesk gibt es zwei neue Funktionen, die explizit auf Kundenwünschen basieren. Benutzerdefinierte Felder lassen sich jetzt über die Funktion „Schnelles Bearbeiten in einer Ticketabfrage“ verändern. Außerdem lassen sie sich künftig über Helpdesk-Regeln automatisch befüllen oder verändern, etwa beim Anlegen eines Tickets. Beides steigert die Effizienz der täglichen Arbeit des Supports.

Container Export/Import: ACMP 6.7 ex- und importiert auf Wunsch komplette Containerstrukturen in eine neue Umgebung – nützlich ist dies insbesondere für Anwender, die häufiger einen neuen ACMP Server einrichten müssen. Sie können sich eine Grundstruktur inklusive Namen, Icons, Filtern, dem Advanced-SQL-Filter, benutzerdefinierten Feldern und Prioritäten konstruieren, exportieren und diese in der neuen Umgebung wieder 1:1 aufbauen. Dies erspart viel manuelle Arbeit. Schwachstellen-Filter sind vom Export ausgenommen.

Aktualisierte ACL-Sicherheitsberechtigungen: Die ACL-Berechtigungen wurden überarbeitet: Reports, Abfragen und Client Commands konnten bislang in ihrer Sichtbarkeit, Ausführung und Bearbeitung eingeschränkt oder bearbeitet werden. Die beiden ersten Berechtigungen (Sichtbar und Ausführen) wurden zusammengefasst und heißen nun nur noch „Sichtbar“, was sowohl das Anzeigen als auch das Ausführen eines Objekts umfasst.

Weitere Informationen zur aktuellen, ab sofort verfügbaren Version ACMP 6.7 liefert die Feature Tour.

Über Aagon
Die Aagon GmbH entwickelt seit über 30 Jahren innovative Client-Management- und -Automation-Lösungen, die perfekt auf die Anforderungen von IT-Abteilungen optimiert sind. Diese ermöglichen Anwendern, die komplette IT ihrer Organisation einfach zu verwalten, Routineaufgaben zu automatisieren und helfen so, IT-Kosten zu senken. Flaggschiff des Softwareherstellers ist die ACMP Suite mit Modulen für die Bereiche Inventarisieren, Managen & Verteilen, Installieren & Migrieren, Sicherheit, Dokumentieren sowie Vernetzen. Das 1992 gegründete Unternehmen mit Sitz in Soest beschäftigt derzeit über 140 Mitarbeiter. Zu den Kunden von Aagon gehören namhafte Unternehmen aus der Automobil-, Luftfahrt-, Logistik- und Elektronik-Branche sowie große Behörden, Krankenhäuser und Versicherungen. Weitere Informationen gibt es unter www.www.aagon.com (https://www.aagon.com)

Firmenkontakt
Aagon GmbH
Laura Immich
Lange Wende 33
59494 Soest
02921 789 200
www.aagon.com

Pressekontakt
PR von Harsdorf GmbH
Elke von Harsdorf
Rindermarkt 7
80331 München
089 189087 333
www.pr-vonharsdorf.de

(Bildquelle: @ ATLAS IoT LAB GmbH)

Das IoT Software- und Beratungsunternehmen ATLAS IoT LAB mit Sitz in Baden-Baden erhält mit dem Cloud-Experten Dr. Nils Kaufmann einen neuen Gesellschafter und Co-CEO. Kaufmann unterstützt ATLAS mit seiner profunden Marktexpertise und seinem breiten Netzwerk im Channel und Cloud-Business, um das Wachstumspotenzial im DACH-Raum entscheidend voranzutreiben. ATLAS IoT LAB bietet eine einzigartige OS-Lösung für das Management von IoT-Daten. Über die Plattform lassen sich Sensordaten aus unterschiedlichsten Schnittstellen in einer Oberfläche bündeln und für weitere, vor allem auch KI-gestützte Automatisierungsprozesse nutzbar machen. Behörden, Institutionen, Kommunen und Unternehmen aus dem KRITIS-Bereich profitieren bereits von dem hohen Potenzial zur Kosten- und Ressourcenoptimierung.

ATLAS IoT LAB (https://www.atlas-ios.com/) will seine Wachstumsstrategie im DACH-Markt zusammen mit dem neuen Co-CEO Dr. Nils Kaufmann stärker auf Partnerschaften mit Resellern und Systemhäusern aus dem Mittelstand, aber auch Hostern sowie anderen Middleware Dienstleistern ausrichten und so langfristige Multiplikatoren schaffen. Die Cloud-agnostische und Whitelabel-fähige Lösung von ATLAS bietet Partnern im Channel eine interessante Möglichkeit, ihr Geschäft im hochspannenden und stark wachsenden IoT-Bereich auszubauen und neue Umsatzströme zum Beispiel in Form von Managed Services oder Lösungs-Bundles zu generieren.

„Wir haben in der Vergangenheit stark auf den direkten Vertrieb unserer Lösung gesetzt. Doch um unsere ambitionierten Wachstumsziele im deutschsprachigen Raum zu erreichen, braucht es einen Strategiewechsel. Mit Dr. Nils Kaufmann als neuen Gesellschafter und Co-CEO an meiner Seite bin ich überzeugt, dass wir gemeinsam unser Business in DACH weiter erfolgreich skalieren – in Zukunft auch über die Ländergrenzen hinaus, wie z.B. aktuell in Afrika“, sagt Robert Koning (https://de.linkedin.com/in/robertkoning), CEO von ATLAS IoT LAB.

„Ich freue mich, endlich wieder als Unternehmer selbst auf dem Spielfeld zu stehen und darauf, neue Herausforderungen zusammen mit meinem langjährigen Freund und geschätzten IoT-Spezialisten Robert Koning angehen zu können. Das Thema IoT hat mich schon immer fasziniert und mit dem Vormarsch von KI ergeben sich hier ganz spannende neue Business-Felder, die wir in Zukunft mitgestalten werden“, sagt Dr. Nils Kaufmann.

Mit IoT (Internet of Things) können Unternehmen, Organisationen und Behörden schon heute von effizienteren Prozessen und datengestützten Einblicken profitieren, zum Beispiel indem sie Verkehrsstaus reduzieren, die Luftqualität messen, Ernteerträge optimieren oder auch CO2-Emissionen verringern können – das Potenzial des IoT scheint grenzenlos. Doch damit Unternehmen einen messbaren Nutzen aus IoT ziehen können, müssen den angekoppelten Lösungen zunächst verwertbare Daten vorliegen. Dabei gilt: je mehr, desto besser. Das Problem besteht jedoch häufig darin, dass die meisten End-to-End-Solutions nur begrenzte Datenformate oder Schnittstellen auslesen bzw. verarbeiten können.

ATLAS IoT LAB bietet mit dem ATLAS I/OS hingegen ein interoperables Betriebssystem für den IoT-Bereich, das es ermöglicht, Daten aus unterschiedlichen Quellsystemen (zum Beispiel: LoRaWAN mit integriertem LNS, LoRaWAN mit eigenem LNS, Sigfox, Nb-IoT usw.) zu bündeln. Darüber hinaus spielt dank Datenharmonisierung über den ATLAS IoT Data Hub das Ursprungsdatenformat keine Rolle, wodurch keine Zusatzlösungen für spezifische Dateiformate oder Datenquellen benötigt werden. Auf Kundenwunsch können die vorhandenen Schnittstellen zudem erweitert werden. Anschließend gelangen die Daten zum Beispiel via APIs zur weiteren Verarbeitung und Auswertung in die nutzerspezifischen Applikationen. Dies schließt auch die sinnvolle Nutzung von KI auf Basis von Big Data ein sowie die Möglichkeit, digitale Zwillinge zu erstellen.

Das IoT-Betriebssystems von ATLAS kann auf allen relevanten Cloud-Plattformen, auf privaten, dedizierten Umgebungen als auch nativ auf hochsicheren Confidential Compute-Architekturen betrieben werden. Da sowohl der Data Hub selbst als auch die Server alle in Deutschland entwickelt und in ISO zertifizierten Datenzentren gehostet werden, erfüllt ATLAS alle Voraussetzungen für die Nutzung im KRITIS Bereich und ist auch konform mit den größten gesetzlichen Richtlinien wie etwa NIS2, DORA oder dem AI Act. Darüber hinaus gibt es die Möglichkeit, die Lösung in unternehmenseigene Rechenzentren zu integrieren oder als Appliance zu nutzen. Dabei unterstützt das Team von ATLAS Unternehmen und Partner mit über 30 Softwareentwicklern und speziellen Consulting-Teams während des gesamten Lifecycles: von der initialen Beratung über die Migration bis hin zur Optimierung des Skalierungspotenzials, um Wachstumsziele zu erreichen.

„Unternehmen sehen sich mit der gestiegenen Komplexität im Markt konfrontiert. Sie wollen smarte, KI-gestützte IoT-Lösungen, um Ressourcen und Kosten zu optimieren und das eigene Geschäft weiter zukunftsfähig zu halten. Ich sehe hier ein sehr starkes Potenzial, das sich mit der jahrelangen Expertise und dem großen Netzwerk von Dr. Nils Kaufmann in einen gemeinsamen Wachstumsschub verwandeln lässt, aus dem neue, starke Partnerschaften entstehen werden“, so Koning.

Dr. Nils Kaufmann (http://linkedin.com/in/dr-nils-kaufmann-1b830041) hat während seiner über 25-jährigen Karriere zahlreiche Unternehmen in und außerhalb der IT gegründet und betreut. Zu seinen Stationen zählen unter anderem die Managed Service Provider ratiokontakt GmbH, centron GmbH, die claranet GmbH, das eigene Cloud-Start-Up cloudbuddies und die Innovations ON GmbH. Zuletzt war Kaufmann als Geschäftsführer der vshosting GmbH für den Ausbau des DACH-Marktes verantwortlich. Der Co-CEO der ATLAS IoT LAB GmbH ist zudem Gründer der EuroCloud Native-Initiative und Vorstand bei EuroCloud Deutschland_eco e.V. und war darüber hinaus im Auftrag des Bundeswirtschaftsministeriums als Mitglied des Gaia-X Expertenteams Co-Autor des Technical Architecture Papers.

Die ATLAS IoT Lab GmbH ist ein deutsches, inhabergeführtes IoT Software- und Beratungsunternehmen mit Sitz in Baden-Baden. Als Pionier in den Themen LoRaWAN, SMART City und IoT berät der Founder und CEO Robert Koning seit 2015 mittelständische Unternehmen, Institutionen und Behörden zu Chancen und Herausforderungen der Digitalisierung mit Fokus auf Sensordaten, deren Management und Nutzung.
Das eigene IoT-Betriebssystem „ATLAS I/OS“ unterstützt das Zusammenführen unterschiedlichster Datenquellen und ermöglicht damit nutzerspezifische Applikationen und die sinnvolle Nutzung von KI auf Basis von Big Data. ATLAS I/OS kann sowohl auf allen relevanten Cloud Plattformen sowie in einer privaten, dedizierten Umgebung als auch hochsicheren Confidential Compute-Architektur betrieben werden.

Firmenkontakt
ATLAS IoT LAB GmbH
Robert Koning
Lange Strasse 52
76530 Baden-Baden
0721 480 731 0

Startseite

Pressekontakt
PR13
Frederike Dörseln
Osdorfer Weg 68
22607 Hamburg
040 21 99 33 66
https://www.pr13.de/

Dietzenbach, 24. September 2024 – Am 17. Oktober soll das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft treten und die von der EU beschlossenen Maßnahmen zur Stärkung der Cybersicherheit im deutschen Recht verankern. Der Controlware Quick Check für die NIS-2-Readiness verrät Unternehmen, welchen Vorgaben sie bereits gerecht werden und wo noch Handlungsbedarf besteht.

Um Unternehmen in der EU künftig besser vor Cyberangriffen zu schützen, brachte die europäische Kommission Anfang 2023 mit der NIS-2-Direktive den Nachfolger der seit 2016 geltenden NIS 1 auf den Weg. Jetzt obliegt es den Regierungen der Mitgliedstaaten, die neue Richtlinie bis 17. Oktober 2024 in ihre jeweilige Gesetzgebung zu übernehmen. Wie die Umsetzung in Deutschland aussehen wird, galt lange als ungewiss – doch spätestens seit der Veröffentlichung einiger Referentenentwürfe und des offiziellen Regierungsentwurfs für das NIS2UmsuCG im Juli 2024 wurden viele wichtige Fragen beantwortet:

– Wer ist von der NIS 2 betroffen? Die Vorgaben werden in Deutschland nach Expertenschätzungen rund 30.000 mittlere und große Unternehmen aus 18 Sektoren der Wirtschaft betreffen (etwa Versorgung, Verkehr, Finanzen, Gesundheitswesen und ITK). Faktisch wird sich NIS 2 aber auf wesentlich mehr Firmen auswirken, da viele unmittelbar regulierte Unternehmen auch ihre Lieferanten und Dienstleister in die Pflicht nehmen werden, die Maßnahmen und Vorgaben umzusetzen.

– Wie werden die betroffenen Unternehmen klassifiziert? Der Gesetzgeber unterscheidet zwischen besonders wichtigen Einrichtungen (über 250 MA oder über 50 Mio. Euro Umsatz und über 43 Mio. Euro Bilanz) und wichtigen Einrichtungen (über 50 MA oder über 10 Mio. Euro Umsatz und über 10 Mio. Euro Bilanz).

– Was müssen diese Unternehmen leisten? Der Regierungsentwurf verpflichtet sie zu einem systematischen Cyberrisikomanagement, das sich an den relevanten europäischen und internationalen Normen orientiert. Hierfür müssen die Unternehmen eine Reihe von Mindestanforderungen an die Cybersicherheit erfüllen und geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen nach dem Allgefahrenansatz ergreifen.

– Was geschieht bei Verstößen gegen die NIS-2-Vorgaben? Bei Verstößen sind abgestufte Bußgelder vorgesehen. Die Obergrenzen sollen zwischen 100.000 Euro und 10 Millionen Euro liegen, für große Einrichtungen können alternativ Bußgelder von bis zu 2 Prozent des weltweiten Jahresumsatzes verhängt werden.

– Was müssen Betroffene als erstes tun? Alle Unternehmen, die unter die Regulierung fallen, müssen sich innerhalb von drei Monaten nach Inkrafttreten des neuen Gesetzes im Online-Portal des BSI (Bundesamt für Sicherheit in der Informationstechnik) registrieren. Diese Deadline zu verpassen, kann teuer werden: Bei ausbleibender oder fehlerhafter Registrierung droht ein Bußgeld von bis zu 500.000 Euro.

„Angesichts des engen Zeitfensters, der höheren Hürden und der verschärften Strafen dürfen die betroffenen Unternehmen NIS 2 keinesfalls auf die leichte Schulter nehmen“, warnt Daniel Kammerbauer, Team Lead Governance, Risk & Compliance bei Controlware GmbH. „Unsere Experten stehen internen Security-Teams in allen Phasen der NIS-2-Umsetzung zur Seite. Dabei wird zunächst im Rahmen des Compliance-Checks ermittelt, wo die Unternehmen bei der Umsetzung stehen und welche Herausforderungen sie adressieren müssen. Dann entwickeln wir gemeinsam einen Maßnahmenkatalog und beraten bei der Einführung eines systematischen Informationssicherheits-Managements. Selbstverständlich unterstützen wir als IT-Dienstleister und MSP darüber hinaus auch bei der Implementierung und Umsetzung der technischen Konzepte – und stellen so die Weichen für einen nachhaltig sicheren IT-Betrieb.“

Weiterführende Informationen zur NIS-2-Umsetzung und zum NIS-2-Compliance-Check finden interessierte Leser unter https://www.controlware.de/services/nis-2-kommt .

Über Controlware GmbH
Die Controlware GmbH zählt zu den Markt- und Qualitätsführern unter den IT-Dienstleistern und Managed Service Providern in Deutschland. Das Unternehmen ist Teil der Controlware Gruppe mit insgesamt rund 1.000 Mitarbeitenden und einem Umsatz von über 400 Mio. Euro, zu der auch die Networkers AG sowie Controlware Österreich gehören. Als Digitalisierungspartner von mittelständischen und großen Unternehmen sowie von Behörden und Einrichtungen der öffentlichen Hand entwickelt, implementiert und betreibt Controlware agile und resiliente IT-Lösungen in den Bereichen Network Solutions, Information Security, Data Center & Cloud, Collaboration, IT-Management und Managed Services – und unterstützt Kunden dabei, die Weichen für einen wirtschaftlichen, zukunftssicheren und nachhaltigen IT-Betrieb zu stellen. Dabei stehen wir unseren Kunden in allen Projektphasen zur Seite: von der Beratung und Planung bis hin zur Realisierung und Wartung. Als MSP mit einem eigenen ISO 27001-zertifizierten Customer Service Center reicht unser Angebot von Betriebsunterstützung bis zu kompletten Managed Services für Cloud-, Data Center-, Enterprise- und Campus-Umgebungen. Zudem bieten wir umfassende Cyber Defense Services. Neben unserem eigenen flächendeckenden Vertriebs- und Servicenetz mit 16 Standorten in DACH, die gemäß ISO 9001-zertifiziert sind, unterhalten wir internationale Partnerschaften und sind so in der Lage, anspruchsvolle globale Projekte abzuwickeln. Seit unserer Gründung im Jahr 1980 arbeiten wir eng mit den national und international führenden Herstellern sowie innovativen Newcomern zusammen und sind bei den meisten dieser Partner im höchsten Qualifizierungsgrad zertifiziert. Besonderes Augenmerk legen wir auf die Nachwuchsförderung: Seit vielen Jahren kooperieren wir mit renommierten deutschen Hochschulen und betreuen durchgehend rund 50 Auszubildende und Studenten.

Firmenkontakt
Controlware GmbH
Stefanie Zender
Waldstraße 92
63128 Dietzenbach
+49 6074 858-246
+49 6074 858-220
www.controlware.de

Pressekontakt
H zwo B Kommunikations GmbH
Michal Vitkovsky
Nürnberger Str. 17-19
91052 Erlangen
+49 9131 812 81-25
+49 9131 812 81-28
www.h-zwo-b.de

SECUINFRA mit zahlreichen Speakern und Experten in Stuttgart

NIS-2 Kongress in Stuttgart (Bildquelle: SECUINFRA GmbH)

Als Mitveranstalter freut sich die SECUINFRA GmbH über einen gelungenen NIS-2 Kongress. Die Konferenz am 10. und 11. Juli 2024 in Stuttgart war ein so großer Erfolg, dass ein zweiter Kongress im nächsten Jahr bereits jetzt feststeht. Der NIS-2 Kongress war bisher die größte und umfassendste Veranstaltung zum Thema NIS-2 in Deutschland. Insgesamt 362 Besucher nutzten diese besondere Gelegenheit und nahmen an den beiden Kongresstagen teil. Den Fachbesuchern bot sich hier die Gelegenheit, sich umfassend über die Auswirkungen der neuen NIS-2-Richtlinien auf ihr Unternehmen zu informieren. In insgesamt 52 Vorträgen sprachen Referenten zu aktuellen Cybersecurity-Themen sowie zur Umsetzung der neuen Sicherheitsrichtlinien. Daneben gab es Workshops und Trainingssessions mit Beispielen aus der Praxis. Parallel zum Kongress präsentierten 25 führende IT-Security-Unternehmen ihre Sicherheitslösungen.

SECUINFRA war auf dem NIS-2-Kongress nicht nur als Mitveranstalter präsent, sondern stellte auch selbst Referenten zu wichtigen Themen. David Bischoff, Principal Cyber Defense Consultant, gab beispielsweise einen Überblick über Technologien und Services zur effizienten Angriffserkennung. Ramon Weil, Founder und CEO des Berliner Unternehmens, moderierte den Expertentalk zu NIS-2-Maßnahmen wie Prevention, Detection und Response. Evgen Blohm, Senior Cyber Defense Consultant, beantwortete in seinem Vortrag drängende Fragen, für den Fall, dass ein Unternehmen Opfer eines Cyberangriffs geworden ist. In diesem Worst Case Szenario gilt es nämlich, kühlen Kopf zu bewahren, das Ausmaß des Angriffs zu erkennen und die richtigen Maßnahmen unverzüglich zu ergreifen. Ein weiteres Highlight aus der Praxis präsentierte Evgen Blohm zusammen mit seinem Kollegen Marius Genheimer, Cyber Security Analyst bei SECUINFRA. Die beiden Sicherheitsexperten gaben Einblicke, wie Erpressung ohne Ransomware funktionieren kann. Dazu analysierten sie das Vorgehen des Threat Actors „BianLian“ in ihrem Vortrag.

Wichtig für die Umsetzung von NIS-2
Bei SECUINFRA zieht man ein rundum positives Fazit der Veranstaltung und ist besonders von der positiven Resonanz der Teilnehmer angetan. Dank der vielfältigen Beiträge aller beteiligten Spezialisten aus Deutschlands führenden Security-Unternehmen konnten die Besucher zahlreiche neue Impulse gewinnen. Ramon Weil sieht dies als großen Pluspunkt der Veranstaltung: „Der NIS-2 Kongress 2024 hat einmal mehr verdeutlicht, wie essenziell der kontinuierliche Austausch und die Zusammenarbeit in der Branche sind, um den Herausforderungen der digitalen Sicherheit erfolgreich zu begegnen.“ Der Gründer des Berliner Security-Unternehmens sieht deshalb den NIS-2 Kongress als Leuchtturmprojekt und Beispiel für eine gelungene Vorbereitung auf NIS-2. „Viele Firmen sind noch unsicher, was alles durch die neuen Richtlinien auf sie zukommt“, sagt Weil. „Dieser Kongress hat auf jeden Fall für mehr Klarheit gesorgt und liefert wichtige Impulse für die Unternehmen.“ Johann Miller, Initiator des NIS-2 Kongresses ergänzt: „Es ist wichtig für unser Land, die Voraussetzungen für eine wirkungsvolle Cybersecurity zu schaffen. Insofern war der Kongress sehr wichtig, denn eine derart umfassende Informationsveranstaltung hat es in Deutschland bisher noch nicht gegeben.“

Die Qualität der Vorträge und die tiefgehenden Diskussionsrunden haben an den beiden Tagen wertvolle Einblicke und praxisnahe Lösungen vermittelt. Da die Umsetzung der NIS-2-Richtlinien im nächsten Jahr noch mehr Brisanz gewinnen wird, will man sich bei SECUINFRA auch am kommenden NIS-2 Kongress als Mitveranstalter beteiligen. Dieser zweite Kongress wird voraussichtlich im zweiten Quartal 2025 stattfinden.

Über den NIS-2 Kongress
Der NIS-2 Kongress fand am 10. und 11. Juli 2024 im Mövenpick Hotel Stuttgart Flughafen statt. Es war der bisher größte Kongress zu den neuen NIS-2-Richtlinien und bot Teilnehmern aus ganz Deutschland die Gelegenheit, sich über die neuesten Entwicklungen und Herausforderungen im Bereich der Netz- und Informationssicherheit zu informieren. Insgesamt gab es an den beiden Tagen 52 Sessions mit neun Moderatoren, acht Workshops, vier Keynotes sowie 25 Aussteller mit führenden IT-Security Fachexperten. Insgesamt 362 Teilnehmer besuchten den zweitägigen Kongress. Veranstaltet wurde der Kongress von der NIS-Projects GmbH. Der nächste NIS-2 Kongress ist für das zweite Quartal 2025 geplant.

SECUINFRA unterstützt Unternehmen seit 2010 bei der Erkennung, Analyse und Abwehr von Cyberangriffen. Mit Services wie Managed Detection and Response (MDR) und Incident Response sorgt das Unternehmen dafür, dass Cyberangriffe frühzeitig erkannt und abgewehrt werden, bevor hoher Schaden entsteht. Zur Erbringung dieser Services greift SECUINFRA auf die besten am Markt befindlichen Technologien und Produkte in den Bereichen Security Information & Event Management (SIEM), Endpoint Detection & Response (EDR), Network Detection & Response (NDR) und Security Orchestration, Automation & Response (SOAR) zurück.

Firmenkontakt
SECUINFRA GmbH
Thomas Bode
Stefan-Heym-Platz 1
10367 Berlin
+49 89 200 42748
https://www.secuinfra.com/de/

Pressekontakt
FRANKEMEDIA
Thorsten Franke-Haverkamp
Amberger Str. 5
81679 München
+49 89 200 42748

Home

Treffen der Sicherheitsexperten und Auszeichnungen für den Nachwuchs

Dr. Swantje Westpfahl, Direktorin des Institutes for Security and Safety, und Johann Miller (Bildquelle: NIS-Projects GmbH)

Der erste NIS-2 Kongress war ein voller Erfolg – so lautet das Fazit des Veranstalters, der NIS-Projects GmbH. Daher steht jetzt schon fest, dass es einen zweiten Kongress im nächsten Jahr geben wird. Zahlreiche Top-Referenten und ein umfangreiches Workshop-Programm sorgten dafür, dass sich Unternehmen umfassend über die Auswirkungen der neuen NIS-2-Richtlinien in Deutschland informieren konnten. Insgesamt 362 Besucher nutzten diese besondere Gelegenheit und nahmen an dem Kongress am 10. und 11. Juli in Stuttgart teil. Der Zuspruch zu dieser wichtigen Veranstaltung war auch deswegen so hoch, weil sich von NIS-2 betroffenen Firmen die Möglichkeit bot, Vorträge von 52 Referenten zu den wichtigsten Cybersecurity-Themen zu hören. Zudem konnten sie sich bei 25 führenden IT-Sicherheitsanbietern in Deutschland über geeignete Sicherheitslösungen informieren und mit dem neuesten Stand der Technik vertraut machen. Darüber hinaus gab es Auszeichnungen für den Nachwuchs: Deutschlands beste Pentester wurden ebenso prämiert wie die besten Masterarbeiten aus dem Bereich Cybersicherheit.

Eröffnet wurde der Kongress von seinem Initiator, Johann Miller, und moderiert von Dr. Swantje Westpfahl, Direktorin des Institutes for Security and Safety an der Hochschule Mannheim. Für Westpfahl ist NIS-2 eines der wichtigsten Themen, das für Firmen vieles verändern wird: „Auf dem Kongress konnte man die Sorgen und Herausforderungen spüren, mit denen Unternehmen konfrontiert sind. Gleichzeitig wurde deutlich, dass wir mit den Tools, die wir bereits haben, vorbereitet sein können und uns nicht fürchten müssen.“ Westpfahl betont vor allen Dingen die Chancen zur Verbesserung der Cybersicherheit in Deutschland: „Wichtig wird die Zusammenarbeit zwischen allen Stakeholdern sein, also dem öffentlichen Sektor, der Wissenschaft und den jeweiligen Organisationen. Das gemeinsame Ziel muss der Aufbau eines Cybersicherheits-Ökosystems sein.“ Johann Miller bestätigt: „Jetzt gilt es, die Voraussetzungen für eine wirkungsvolle Cybersecurity zu schaffen. Insofern war der Kongress sehr wichtig, denn eine derart umfassende Informationsveranstaltung hat es in Deutschland bisher noch nicht gegeben.“

NIS-2-Umsetzung und künstliche Intelligenz
Ein Hauptthema des ersten NIS-2 Kongress waren Best Practices und Strategien zur Umsetzung der NIS-2-Richtlinie. Denn auch wenn der ursprüngliche Zeitplan der Gesetzgebung nicht mehr einzuhalten ist, ist doch bereits klar, was auf die Unternehmen zukommen wird. Hierzu gehören beispielsweise die Implementierung eines Risikomanagementsystems, die zukünftig obligatorische Meldung von allen relevanten Sicherheitsvorfällen an die Behörden sowie regelmäßige Sicherheitsüberprüfungen und Audits. Gleichzeitig gilt es, mit der technologischen Entwicklung schrittzuhalten und die eigenen Sicherheitsmaßnahmen kontinuierlich zu überprüfen. Es ist zudem zu erwarten, dass die NIS-2-Anforderungen auch überwacht werden und dass mit Sanktionen zu rechnen ist. Den meisten Fachbesuchern des Kongresses war es daher wichtig, die kommenden Anforderungen bereits jetzt anzugehen. Für viele Firmen gilt es, möglichst keine Zeit zu verlieren, denn ansonsten könnte es bis zur Umsetzung der Cybersicherheitsrichtlinie sehr eng werden.

In insgesamt fünf Tracks hatten die Teilnehmer die Gelegenheit, sich über die Umsetzung sowie geeignete Maßnahmen zu informieren. Hinzu kamen Workshops und Trainingssessions. Ein großes Trendthema auf dem Programm war künstliche Intelligenz (KI). Dabei ging es um den Einsatz von KI auf beiden Seiten, also sowohl bei den Angreifern als auch bei der Verteidigung. Die Referenten zeigten anhand von konkreten Beispielen, wie einfach es mittlerweile durch KI-Tools ist, große Schäden anzurichten. Andererseits hilft KI bei der Analyse, beispielsweise von Logdaten, und ist somit bei der Detektion von Angriffen ein wichtiges Hilfsmittel. Weitere Themen auf dem Kongress waren die Automatisierung der Angriffserkennung etwa durch den Einsatz von SIEM-Systemen (Security and Event Management). Gleichzeitig ging es aber auch um die Frage nach dem Worst Case: Was sollten Unternehmen im Fall eines erfolgreichen Angriffes tun? Hierbei ist vor allem um Geschwindigkeit gefragt. Es ist also entscheidend, möglichst schnell das Ausmaß des Angriffs zu erkennen und sofort geeignete Gegenmaßnahmen zu ergreifen.

Deutschlands beste Masterarbeiten und Pentester prämiert
Zusätzlich fanden im Vorfeld des NIS-2 Kongresses zwei Wettbewerbe für den Nachwuchs statt: Einerseits wurden die besten Masterarbeiten aus dem Bereich Cybersecurity prämiert, andererseits wurde nach Deutschlands besten Pentestern gesucht. Mit dem Preis „Deutschlands beste Cybersecurity Masterarbeit 2024“ wurden ausgezeichnet: Stefan Strobl (Platz 1), Merlin Klemens (Platz 2) und Tatjana Ljucovic (Platz 3). Koordiniert wurde die Jury von Prof. Hermann Heiler, Präsident a.D. der Hochschule Weihenstephan-Triesdorf. Der Wettbewerb „Deutschlands beste Pentester“ wurde von der NIS-Projects GmbH in Zusammenarbeit mit der NTT DATA Deutschland SE durchgeführt. Als Top-Nachwuchskräfte im Bereich IT Security wurden ausgezeichnet: Cass Rebbelin (Platz 1), Terence Fürst (Platz 2) sowie Robin Unglaub (Platz 3). Die Auszeichnungen wurden durch Nicole Matthöfer, Präsidentin der Cybersicherheitsagentur Baden-Württemberg, im Rahmen der Vorabend-Gala zum Kongress am 9. Juli vorgenommen.

Informationen zum NIS-2 Kongress:
www.nis-2-congress.com

Die NIS-Projects GmbH veranstaltete den NIS-2 Kongress in Stuttgart. Geschäftsführer des Unternehmens ist Johann Miller. Miller blickt auf eine weitreichende und langjährige Erfahrung in der Medien- und der IT-Security-Branche zurück. Nach seiner 20-jährigen Geschäftsführerverantwortung bei der WEKA GmbH und der Neuen Medien GmbH (Mediengruppe Ebner) wechselte er von der Medien- in die IT-Security-Branche. Er war sieben Jahre Geschäftsführer für CE bei der Integralis GmbH (Marktführer für IT Security), einem Unternehmen des japanischen Telekommunikationsunternehmens NTT, und fünf Jahre Geschäftsführer und Mitgesellschafter der HR Bridge GmbH, einem Personalmanagement-Unternehmen mit dem Branchenfokus auf IT Security. Zudem ist er als Beirat in mehreren IT-Security-Unternehmen tätig. Als Initiator hat er einige Foren, Kongresse und Preisverleihungen aus der Taufe gehoben.

Firmenkontakt
NIS-Projects GmbH
Johann Miller
Hermann-Aust-Str. 22
86825 Bad Wörishofen
+49 30 555 702 160
https://nis-2-congress.com/

Pressekontakt
FRANKEMEDIA
Thorsten Franke-Haverkamp
Amberger Str. 5
81679 München
+49 30 555 702 162

Home

Warum Risikominimierung ganz oben auf die To-Do-Liste der Führungskräfte gehört

Cosima von Kries, Nintex Director, Solution Engineering EMEA (Bildquelle: @Nintex)

Dies gilt insbesondere für Unternehmen, die in stark regulierten Branchen tätig sind, wie z. B. Finanzdienstleistungen, öffentlicher Dienst oder Gesundheitswesen. In diesen Bereichen kann schon der kleinste Fehler erhebliche finanzielle und rechtliche Folgen haben. Die Erfahrung zeigt, dass ein wichtiger Bestandteil erfolgreicher Risikomanagementstrategien die Prozessautomatisierung und das Prozessmanagement sind. Beides führt zu mehr Konsistenz, Effizienz und Verantwortlichkeit im gesamten Unternehmen.

„Im Wesentlichen wird durch die Automatisierung sichergestellt, dass die Prozesse in Übereinstimmung mit den festgelegten Richtlinien und Vorschriften durchgeführt werden, wodurch rechtliche Risiken verringert werden. Die Automatisierung ermöglicht eine Echtzeitüberwachung und -berichterstattung über betriebliche Aktivitäten, so dass die Unternehmen Risiken sofort erkennen und angehen können. Wichtige Punkte, wenn man bedenkt, dass auch die neue NIS2-Richtlinie bald in Kraft tritt,“ verdeutlicht Cosima von Kries, Nintex Director, Solution Engineering EMEA.

Viele Unternehmen scheitern

Doch viele Unternehmen scheitern bei der Einführung oder schöpfen das volle Potenzial der Technologien nicht aus. Das führt zu Unsicherheiten, Missstimmungen im Management sowie bei den Mitarbeitern und kann letztendlich auch sicherheitsrelevante Schwierigkeiten verursachen. Jede Technologie ist nur so gut, wie der Nutzer, der sie bedient und die Datenbasis, die verwendet wird.

„Wenn Unternehmen im Bereich Prozessautomatisierung und der Verarbeitung der richtigen Datenbasis fit sind, können sie damit ebenfalls sehr gut die NIS2-Richtlinie oder ISO 27001 umsetzen. Sie wissen dann zum Beispiel, wie Sicherheitsvorfälle digital gemeldet oder Notfallpläne je nach aufgetretenem Sicherheitsfall sofort automatisiert eingeleitet werden. Viele Unternehmen wissen das jedoch nicht und denken bei Richtlinien, die die Informationssicherheit oder Cybersicherheit betreffen, nur an reine Sicherheitsmaßnahmen und -werkzeuge. Aber es geht viel tiefer und weiter. Erst die richtige Prozessautomatisierung verhilft Unternehmen zu ganzheitlichen Strukturen, in denen Sicherheitsrichtlinien effektiv wirken können,“ geht Cosima von Kries weiter ins Detail.

Sie empfiehlt Unternehmen daher die folgenden fünf Schritte, um ein Prozessautomatisierungsprojekt erfolgreich umzusetzen und damit auch das Risikomanagement deutlich zu verbessern:

1.Schrittweise beginnen

Auch wenn alle Ziele des Projekts wichtig sind, ist es entscheidend, klein anzufangen. Anstatt zu versuchen, einen ganzen Prozess zu automatisieren, ist es am besten, den Fokus des Einführungsteams einzugrenzen. Zunächst sollten die Bereiche in Cybersicherheits- und Informationssicherheitsinfrastruktur identifiziert werden, in denen Prozessautomatisierung am meisten Sinn ergibt. Die identifizierten Prozesse werden nach ihrer Komplexität, Häufigkeit und dem möglichen Risiko bewertet, das mit ihrer manuellen Durchführung verbunden ist. Das können zum Beispiel wiederkehrende Aufgaben wie Patch-Management, Log-Analyse, Bedrohungsabwehr, Vorfallsmeldung oder Compliance-Überwachung sein.

Kleinere, schrittweise Veränderungen können schneller überprüft und angepasst werden. Erfolge ermutigen die Führungskräfte und Mitarbeitende, den nächsten Schritt anzugehen. Kunden profitieren ebenfalls von den positiven Auswirkungen. Eine schrittweise Umstellung schafft eine Kultur der kontinuierlichen Verbesserung hin zu schlankeren Prozessen und verbessertem Risikomanagement.

2. Vorteile klar kommunizieren

Führungskräfte sollten Mitarbeitende frühzeitig in den Veränderungsprozess einbinden. Sie sollten ihre Teams umfassend über Vorteile, Vorgehensweisen und Veränderungsschritte informieren sowie weshalb die Informations- und Cybersicherheit den höchsten Stellenwert im Unternehmen einnimmt und die Umsetzung diverser Richtlinien oberste Priorität hat. Mitarbeitende, die die Vorteile für das Unternehmen und für ihre eigene Arbeitsweise kennen, sind motivierter bei der Veränderung mitzuwirken. Zudem fühlen sie sich in den Kulturwandel eingebunden, in ihrer Arbeit wertgeschätzt und unterstützt durch die neue Software.

Der erste Schritt ist eine genaue Dokumentation aller Prozesse, um dann zu evaluieren, welche Prozesse wie effektiv automatisiert werden können. Er liefert umfassende Informationen wie Aufgaben durchgeführt werden, welche Rollen und Verantwortlichkeiten involviert sind und wie der gesamte Arbeitsablauf aussieht. Abgeleitet von diesen Informationen lassen sich dann im zweiten Schritt Verbesserungsmöglichkeiten ermitteln, Abläufe rationalisieren und Risiken durch die Reduzierung von Verfahrensabweichungen verringern.

3. Mensch-zentriert bleiben

Im Mittelpunkt eines effektiven Risikomanagements in Unternehmen stehen die Menschen, die dort arbeiten und bleiben es auch, egal an welcher Einführungs- und Veränderungsstufe das Prozessautomatisierungsprojekts ist. Durch gezielte Schulungen und eine Kultur des offenen Austauschs können Unternehmen ihre Mitarbeitende befähigen, potenzielle Risiken frühzeitig zu erkennen und proaktiv zu handeln. Die Einbeziehung aller Teammitglieder in Entscheidungsprozesse und die Wertschätzung ihrer Perspektiven fördert nicht nur das Vertrauen, sondern auch die Innovationskraft des Unternehmens. Eine starke, informierte und engagierte Belegschaft bildet somit das Rückgrat eines erfolgreichen Risikomanagements, das flexibel und widerstandsfähig auf Herausforderungen reagieren kann.

4. Technologie auch in stark regulierten Sektoren einführen

Unternehmen, die in stark regulierten Bereichen, wie Finanzdienstleister, Gesundheitswesen oder öffentlichem Dienst tätig sind, zögern in der Regel, neue Technologien einzuführen. Der potenzielle Nutzen der Prozessautomatisierung kann hier jedoch noch höher sein als in anderen Geschäftsbereichen.

Die Prozessautomatisierung ist hier besonders vorteilhaft, da sie hilft, Compliance-Anforderungen zu erfüllen, die Integrität und Sicherheit der Daten zu gewährleisten, Fehler zu minimieren, die Effizienz zu steigern, Transparenz und Rückverfolgbarkeit zu verbessern und die Anpassungsfähigkeit an regulatorische Änderungen zu erhöhen.

Diese Vorteile tragen dazu bei, das geschäftliche Risiko sowie Zeit- und Arbeitsaufwand zu reduzieren, der normalerweise mit der Anpassung manueller Prozesse an neue regulatorische Anforderungen verbunden ist und führen zu Kosteneinsparungen als auch einer besseren Ressourcennutzung, indem redundante oder manuelle Aufgaben deutlich reduziert werden.

5. Unbeabsichtigte Risiken vermeiden

Richtig eingesetzt verringert Prozessautomatisierung das Geschäftsrisiko erheblich. Falsch eingesetzt hingegen kann die Automatisierung von Prozessen manchmal unbeabsichtigt Risiken in Form von Datenschutzverletzungen, Bedenken hinsichtlich des Datenschutzes und der Nichteinhaltung von Vorschriften mit sich bringen. Daher ist es entscheidend, das Unternehmen Governance-Mechanismen und Datenhygienepraktiken einführen, um Risiken zu identifizieren und zu bewerten, Kontrollen zur Risikominderung zu implementieren und die Einhaltung von Branchenstandards und Vorschriften zu gewährleisten.

Durch die Automatisierung komplexer, fehleranfälliger Prozessschritte wird sichergestellt, dass sie jedes Mal ordnungsgemäß ausgeführt werden. Das verringert das Risiko menschlicher Fehler und kostspieliger Folgen oder Imageschäden. Eine automatisierte Überwachung hilft bei regelmäßigen Überprüfungen und Anpassungen z.B. an neue Richtlinien wie die NIS2 sowie Verbesserungen bei Bedarf schnell umzusetzen.

Mehr Informationen über die Nintex Prozess Plattform: https://www.nintex.de/prozessplattform/

Über Nintex
Nintex ist ein Anbieter für Lösungen rund um Prozessintelligenz und -automatisierung. Mehr als 10.000 Organisationen des öffentlichen und privaten Sektors in 90 Ländern nutzen die Nintex Process Platform. Sie beschleunigen ihre digitale Transformation durch schnelle und einfache Verwaltung, Automatisierung und Optimierung von Geschäftsprozessen. Nintex und sein globales Partnernetzwerk definieren die Zukunft der Intelligent Process Automation (IPA). Weitere Informationen: https://www.nintex.de

PR-Agentur

Kontakt
PR-Agentur Werte leben & kommunizieren
Martina Gruhn
Corneliusstr. 29
80469 München
015221943260
http://www.martinagruhn.com

Wie Prozessmonitoring Organisationen und Unternehmen unterstützt bei dynamischen Risikomanagement und zeitnahem Geschäftsprozess-Reporting

Cosima von Kries, Nintex Director, Solution Engineering EMEA (Bildquelle: @Nintex)

Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS). Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in den Betrieb wichtiger Dienste ein. Leider haben viele der teilnehmenden Länder diese Schutzmaßnahmen auf unterschiedliche Weise oder in unterschiedlichem Maße umgesetzt. Angesichts der sich rasch verändernden Cybersicherheitslandschaft wurde deutlich, dass mehr nötig war.

So wurde im Jahr 2020 NIS2 eingeführt und trat am 16. Januar 2024 in Kraft. Sie erweitert den ursprünglichen Anwendungsbereich, verschärft die Anforderungen, beseitigt einige der ursprünglichen Unklarheiten bei der Anwendung und verleiht der Richtlinie Biss in Form von erheblichen Geldbußen und Sanktionen. Bis zum 17. Oktober muss die NIS2-Richtlinie von den EU-Mitgliedsstaaten jeweils in nationales Recht umgesetzt werden. Deutschland ist hier mit einem kurz vor der Veröffentlichung stehenden vierten Referentenentwurf nicht mehr weit entfernt von der Umsetzung in deutsches Recht.

Organisationen und Unternehmen können die Belastung durch die NIS2-Richtlinie verringern, indem sie Prozessmonitoring einsetzen, um dynamisches Risikomanagement und Reporting in ihre Geschäftsprozesse zu integrieren. Wenn Unternehmen das Risikomanagement zu einem Teil ihres Engagements für ihre Prozesslandschaft machen, sind sie für Oktober 2024 und die sich ständig verändernde digitale Landschaft gerüstet.

Von NIS2 betroffene Branchen und Einrichtungen

Um die lebenswichtigsten Vorgänge in der Europäischen Union vor böswilligen technologischen Bedrohungen zu schützen, umfasst die NIS2-Richtlinie wesentliche Dienste in den Bereichen Verkehr, Bankwesen, Energie, Finanzmärkte, Gesundheitswesen, Digitale Infrastruktur, Trinkwasser- und Abwasserversorgung, Öffentliche Verwaltung, Raumfahrt. Hinzu kommen wichtige Einrichtungen, deren Melde- und Überwachungsbedingungen zwar selbstbestimmter, aber nicht weniger streng sind wie digitale Anbieter, Forschung, Lebensmittelherstellung, -verarbeitung und -vertrieb, Chemikalienherstellung, -produktion und -vertrieb, Post und Kurierdienste, Hersteller und die Abfallwirtschaft.

„Doch das ist noch nicht das ganze Ausmaß der Auswirkungen von NIS2. Ein Teil der Verpflichtung für die betroffenen Branchen und Dienste ist die Sicherheit ihrer Lieferkette. Das bedeutet, dass auch Zulieferer und Auftragnehmer, die Ressourcen für diese lebenswichtigen Vorgänge bereitstellen, verpflichtet sind, ein Mindestmaß an Cybersicherheitsmaßnahmen einzuhalten, da sie sonst Gefahr laufen, Aufträge zu verlieren. Auch diejenigen, die nicht direkt in wesentlichen und wichtigen Branchen tätig sind, müssen ihr Risikomanagement verbessern, um ihren Marktanteil zu halten,“ erläutert Cosima von Kries, Nintex Director, Solution Engineering EMEA, die Situation noch genauer.

Die ersten Schritte unternehmen

Risikomanagement und Compliance sollten für Unternehmen, die im heutigen Umfeld tätig sind, nichts Neues mehr sein. Auch wenn die NIS2 hohe Anforderungen an eine wirksame Cybersicherheit stellt, sollte der Ansatz, den jedes Unternehmen verfolgt, ein vertrauter sein. Er beginnt mit der Identifizierung von Risiken und der Festlegung von Abhilfemaßnahmen, wo dies möglich ist. Im Kern handelt es sich dabei um eine Prozessüberwachung und um die Art von Herausforderung, für die spezielle Software entwickelt wurde.

Indem Unternehmen ihre wichtigsten Cybersicherheitsprozesse und die risikoreichsten Geschäftspraktiken in diesem Bereich abbilden und dokumentieren, können sie sofort erkennen, wo es möglicherweise Probleme mit der Einhaltung von Vorschriften gibt. Dies könnte sich auf Lieferanten, interne Systeme oder bestehende Verfahren beziehen. Wenn die Prozesse klar dargelegt sind, können diese Risiken dokumentiert und entsprechende Maßnahmen ergriffen werden.

„Natürlich lässt sich nicht jedes Risiko ausschalten. Etwas so Einfaches wie ein menschlicher Nutzer in einem Prozess kann ein Risiko darstellen, von der Anfälligkeit für Phishing-Angriffe bis hin zu vorsätzlichen Sabotageakten. Beim Risikomanagement geht es darum, diese Risiken zu kontrollieren. Neben den Prozessen, die die wichtigsten Aktivitäten regeln, sollte es Kontrollpunkte für das Risikomanagement geben, um die Einhaltung der Vorschriften bei jedem Schritt zu gewährleisten,“ so Cosima von Kries weiter. „Bei Nutzung der Nintex Process Plattform beispielsweise können Workflows diese Prozesse, wie zum Beispiel das Incident Reporting, automatisieren, indem sie bei der Ausführung von Vorgängen Datenvalidierungen vornehmen oder Freigabeanfragen auslösen. Auf diese Weise entsteht sowohl eine rechtskonforme Dokumentation für Aktionen als auch eine Sicherheitskontrolle für wichtige Aktivitäten.“

Hohe Wachsamkeit erforderlich

Die letzten Jahre haben gezeigt, dass Cyber-Angriffe immer raffinierter werden. Selbst die größten Unternehmen sind nicht immun gegen durch digitale Störfaktoren verursachte Verstöße oder Ausfälle. Die Einführung von Risikomanagementprozessen ist im Rahmen der NIS2 von entscheidender Bedeutung, aber die Unternehmen müssen auch für eine schnelle Berichterstattung sorgen, wenn etwas schiefläuft. Von wesentlichen und wichtigen Diensten wird erwartet, dass sie innerhalb von 24 Stunden einen ersten Bericht über einen Vorfall mit „erheblichen Auswirkungen“ und innerhalb von 72 Stunden nach dem Ereignis einen vollständigen Meldebericht vorlegen.

Die Berichterstattungsprozesse sollten für alle wichtigen Risikotätigkeiten und -bereiche klar und leicht zugänglich sein. Ein Merkmal von Prozessmonitoring ist die Möglichkeit, Prozesse miteinander zu verknüpfen, um sicherzustellen, dass Berichtsverfahren, Dokumentationen und wichtige Referenzmaterialien in jeden verwandten Prozess eingebettet und leicht zugänglich sind. Sollte eine Störung oder eine Ausnahme auftreten, sind die Informationen darüber, was zu tun ist, sofort zur Hand, so dass die Hauptbeteiligten schnell die zu ergreifenden Maßnahmen identifizieren können. Die Teams werden zu den entsprechenden Schritten und Protokollen geleitet, die die Auswirkungen so weit wie möglich abschwächen, und die entsprechenden Personen werden alarmiert.

Zu den Risikomanagementprozessen gehören auch regelmäßige Abnahmen, um sicherzustellen, dass die vorhandenen Maßnahmen aktuell und wirksam sind. Prozessmonitoring kann hier unterstützen, indem es die Beteiligten und die benannten Risikomanager an die Abnahmen erinnert und via Link direkt zu den entsprechenden Prozessunterlagen führt, so dass sie proaktiv dafür sorgen können, dass die Kontrollen auf dem neuesten Stand sind.

Fit für den Erfolg von NIS2

Während effektive Unternehmen bereits über einen Risikomanagementplan verfügen, machen die Anforderungen von NIS2 es für alle Organisationen unerlässlich, der Einhaltung der Vorschriften Priorität einzuräumen. Die Identifizierung der wichtigsten Risikobereiche, wie sie in der Richtlinie beschrieben sind, und die Einrichtung effektiver Prozesse zur Verwaltung und Minderung dieser Risiken kann eine zeitraubende und schwierige Aufgabe sein.

„Prozessmonitoring bietet hier die Möglichkeit, Richtlinien, Prozesse und Verfahren zu verwalten und zu zentralisieren. Es identifiziert klare Rollen und Verantwortlichkeiten in Bezug auf die Gesamtverantwortung für die Governance, bis hin zum Eigentum an Standardbetriebsverfahren,“ geht von Kries ins Detail.

Prozessmonitoring richtig eingesetzt sollte vor allem die folgenden Bereiche abdecken:
-Leicht verständliche Prozesslandkarte plus alle erforderlichen Informationen werden in einer zentralen Anlaufstelle zusammengeführt, auf die jeder zugreifen kann. Dazu gehören Dokumente, Videos, Bildschirmfotos und Links zu anderen Ressourcen.
-Gewährleistung, dass alle Beteiligten über Änderungen informiert werden, sobald sie auftreten. Unterstützt wird dies durch ein Änderungsprotokoll und die Erstellung von Berichten, die den Audit-Anforderungen entsprechen.
-Eine zentrale Informationsquelle für alle Mitarbeiter und eine zuverlässige Basis für die Sensibilisierung und Schulung von Teams in Bezug auf standardisierte, wiederholbare Prozesse. So wird sichergestellt, dass alle Mitarbeiter über alle relevanten Sicherheitsprozesse gut informiert sind.
-Alle identifizierten Risiko- und Compliance-Anforderungen können mit einer Aktivität innerhalb des Prozesses verknüpft werden. Dadurch wird der Prozessanwender beurteilt und der Risiko- und Compliance-Manager als Beteiligter mit dem spezifischen Prozess verknüpft. Diese Risiko- und Compliance-Anforderungen können Personen in der Organisation zugewiesen werden, die sie regelmäßig abzeichnen, so dass Führungsteams sicher sein können, dass Risiko- und Compliance-Szenarien identifiziert und entschärft werden.

Die digitale Transformation schreitet beständig voran und macht auch vor Sicherheitstücken nicht halt. NIS2 ist ein wichtiger Schritt zu mehr Schutz im digitalen Geschäftsumfeld. Die Richtlinie richtig umzusetzen, bewahrt Unternehmen vor Sanktionen und sie sollten bei der Umsetzung auf effektive Hilfsmittel zurückgreifen, die sie nachhaltig unterstützen.

Mehr Informationen über die Nintex Prozess Plattform: https://www.nintex.de/prozessplattform/

PR-Agentur

Kontakt
PR-Agentur Werte leben & kommunizieren
Martina Gruhn
Corneliusstr. 29
80469 München
015221943260
http://www.martinagruhn.com