Jetzt für die Cybersicherheit der Zukunft sorgen

13. März 2025 / Amir Salkic, Head of Cyber Security Consulting Austria von SEC Consult

Die Digitalisierung fast aller unserer Lebensbereiche hat zu einer Vernetzung geführt, die für eine funktionierende Wirtschaft und unsere Gesellschaft allgemein essenziell ist. Zuverlässige und sichere Kommunikationssysteme und hochleistungsfähige Netzinfrastrukturen sind für Mobilität, Datenaustausch sowie Kapital-, Waren- und Dienstleistungstransfers unerlässlich, zugleich erhalten Aspekte wie Datenschutz und Privacy im Internet eine immer größere Bedeutung. Was erwartet uns denn in dieser Beziehung, worauf sollten wir uns einstellen? Hier einige Themen, die uns in nächster Zukunft beschäftigen werden.

Fluch und Segen der KI

Die KI erleichtert nicht nur unseren Arbeitsalltag, sondern leider auch jenen der Cyberkriminellen. Denn durch die KI-gestützte Kombination von Phishing, Social Engineering sowie Deep Fakes können böswillige Akteure ihre Angriffe noch gefährlicher und effizienter gestalten. Selbst nur mittelmäßig ausgebildete Angreifer sind dank diverser KI-Tools in der Lage, komplexe Attacken auszuführen, die eine neue Eskalationsstufe im Katz-und-Maus-Spiel zwischen Kriminellen und Verteidigern darstellen. Deshalb sollten Unternehmen versuchen, die potenziellen Angriffspfade end-to-end zu erkennen und zu verstehen. Die Perspektive der Angreifer zu übernehmen und im geschützten Rahmen eines Red Teamings, also einer Angriffssimulation, herauszufinden, wo konkret Schwachstellen und Angriffspunkte vorhanden sind, ist eine gute Möglichkeit, ein umfassendes Verständnis der eigenen Sicherheitsarchitektur zu erlangen und sie entsprechend zu verbessern.

Die andere Seite der Medaille stellt die Nutzung von KI bzw. GenAI dar, um Cyberangriffe zu verhindern und das Potenzial böswilliger Akteure, Unruhe in die Systeme und Unternehmen zu tragen, zu verringern. KI-basierte Lösungen unterstützen dabei, abnormale Verhaltensmuster und potenzielle Bedrohungen zu erkennen, das Risiko eines Angriffs vorherzusagen, die Authentifizierung und Zugriffsberechtigung für kritische Systeme zu stärken und Schwachstellen in diesen Systemen zu erkennen, bevor Angreifer sie ausnutzen können.

Hybride Kriegsführung auf dem Vormarsch

Die Weltpolitik trägt aktuell aufgrund verstärkter Angriffe staatlicher Akteure leider zu einer Verschlechterung der Sicherheitslage bei. Selbst wenn das eigene Unternehmen nicht gezielt direkt angegriffen wird, ist in Zukunft von einer Zunahme von Kollateralschäden durch hybride Kriegsführung auszugehen. Eine ausgenützte Schwachstelle oder ein spezieller Exploitcode führt dann auch zur Schädigung unbeteiligter Dritter. Derzeit werden in Cyberoperationen verstärkt Supply-Chain Attacks durchgeführt und damit auch zivile Unternehmen getroffen, welche die gleichen Lieferanten haben.

Wie kann man verhindern, Opfer solch eines Angriffes zu werden? Es gibt eine Reihe von Maßnahmen wie etwa das Audit nicht genehmigter Schatten-IT-Infrastruktur oder die laufende Validierung des Lieferantenrisikos. Am wichtigsten ist es, ein internes Incident Management aufzubauen, um diese Angriffsvektoren nachhaltig abzusichern und immer wieder zu evaluieren. Bereitschaftsverträge mit einem externen Incident Response Provider unterstützen Unternehmen auch dabei, im Fall des Falles handlungsfähig zu bleiben.

Akronyme für ein sicheres Europa: NIS2, DORA, CRA

Da sich Europa sowohl aus wirtschaftlicher als auch politisch-gesellschaftlicher Sicht gegen diese Bedrohungsszenarien wappnen muss, hat die Europäische Union einige Richtlinien und Verordnungen verabschiedet, die vor Kurzem in Kraft getreten sind. Ihre Umsetzung sollte also, so es noch nicht geschehen ist, in den betroffenen Branchen schnellstmöglich begonnen werden:

• NIS2 erweitert die Richtlinie zur Netz- und Informationssicherheit (NIS), welche die Sicherheitsanforderungen für Betreiber wesentlicher Dienste und digitale Diensteanbieter in der EU regelt. Seit 18. Oktober 2024 gültig, stellt sie umfangreichere Anforderungen an das Risikomanagement sowie die Meldung von Vorfällen und sieht strengere Maßnahmen zur Durchsetzung als noch bei NIS vor.
• Der Digital Operational Resilience Act (DORA) ist seit 17. Jänner 2025 in Kraft und soll die Stabilität des Finanzsektors gewährleisten. Betroffene Unternehmen müssen ihre digitale Resilienz stärken und sicherstellen, dass kritische Geschäftsprozesse auch in Krisenzeiten aufrechterhalten werden. DORA-Compliance ist nicht nur für Finanzmarktunternehmen wichtig, sondern auch für nachgelagerte Dienstleister wie den IT-Sektor, da sie das Vertrauen der Kunden und Partner fördert und gleichzeitig die Unternehmen der Branche vor Cyberbedrohungen schützt.
• Der Cyber Resilience Act (CRA) legt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest, die auf dem EU-Markt erhältlich sind, und ist die erste europäische Verordnung, die für ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte sorgt. Dies umfasst Hardware, Software, IoT-Geräte und auch Dienstleistungen wie etwa Cloud-Dienste, die für den Betrieb notwendig sind. Der CRA trat am Dezember 2024 in Kraft und soll in Etappen bis Ende 2027 umgesetzt werden. 

All diese Richtlinien stellen für viele Unternehmen eine Herausforderung dar, da sie den Erhalt oder Aufbau eines widerstandsfähigen digitalen Ökosystems voraussetzen. Nicht nur die direkt betroffenen Branchen, auch die Partner in der Lieferkette müssen ihre Resilienz beweisen und ihre Richtlinien-Compliance sicherstellen.

Am besten geht dies mit Teamarbeit, durch die alle Aspekte der Erfüllung der rechtlichen und technischen Anforderungen abgedeckt werden können. Sei es das Know-how um Meldefristen, das regelmäßige tiefgehende Testen der Infrastruktur, die nachhaltige Sicherheitsschulung der Mitarbeiter:innen oder die Implementation eines umfassenden Informationssicherheits-Managements (ISM) – in der Zusammenarbeit mit externen Dienstleistern können die Unternehmen ihre Ressourcen zum Schutz ihrer Sicherheit am besten einsetzen.

Über SEC Consult: SEC Consult ist einer der führenden Berater im Bereich Cyber- und Applikationssicherheit und bietet umfassende Beratungs- und Sicherheitsdienstleistungen. Als Spezialist für die Einführung von Informationssicherheits-Management, NIS-Sicherheitsaudits, Penetrationstests, Threat Led Penetration Tests, Zertifizierungsbegleitung für ISO 27001, Cyber Defence und sichere Software verfügt das Unternehmen unter anderem über detaillierte Kenntnisse über Bedrohungen, Schwachstellen und Risiken in der Cybersecurity-Landschaft.