30.000 Unternehmen von NIS2 betroffenen

Experten warnen: Veraltete Software auf Geräten erhöht Cyberrisiko

Die EU-Richtlinie „Network & Information Security 2“ (NIS2) ist auf alle Unternehmen anwendbar, die als Kritische Infrastruktur (KRITIS) eingestuft werden. Dazu zählen Betreiber und Zulieferer in den Branchen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, Öffentliche Verwaltung, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Post- und Kurierdienste, Abfallwirtschaft, Raumfahrt, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen bzw. elektronischen Geräten und Forschungseinrichtungen. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) geht von knapp 30.000 betroffenen Unternehmen aus und bietet online eine Möglichkeit an, zu prüfen, ob ein Unternehmen der NIS2 unterliegt.

„Eine lückenlose und aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen, die mit dem IT-Netzwerk verbunden sind, ist die Voraussetzung für Cybersicherheit und Compliance mit den rechtlichen Regularien von NIS2 bis CRA“, sagt Onekey-CEO Jan Wendenburg.
Bild: Clipdealer

„Eine lückenlose und aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen, die mit dem IT-Netzwerk verbunden sind, ist die Voraussetzung für Cybersicherheit und Compliance mit den rechtlichen Regularien von NIS2 bis CRA“, sagt Onekey-CEO Jan Wendenburg.
Bild: Clipdealer
„Mit dem Inkrafttreten von NIS2 unterliegen in den betroffenen Unternehmen nicht nur die IT-Netzwerke den neuen Cybersicherheitsregularien, sondern auch sämtliche industrielle Steuerungen, Büro- und Laborgeräte Industriemaschinen und Anlagen, die in das Netzwerk eingebunden sind“, sagt Jan Wendenburg, CEO des deutschen Cybersicherheitsunternehmens Onekey. Er benennt als typische Beispiele im Bürobereich Drucker, Sicherheitskameras, Bewegungsmelder, intelligente Beleuchtungssysteme, vernetzte Konferenzsysteme, Whiteboards und andere Präsentationsgeräte, Zutrittskontrollen, Raumbelegungssensoren, Briefwagen und intelligente Schließsysteme. In der Industrie kommen CNC-Maschinen, Fertigungsstraßen, Lager- und Logistiksysteme, autonome Fahrzeuge, Roboter, Sensoren und Anlagen aller Art hinzu.

Firmware als kritische Lücke

Das Bundeskriminalamt weist für das Jahr 2023 knapp 135.000 offiziell gemeldete Fälle von Cyberkriminalität aus und vermutet ein Dunkelfeld von 90 %. Das entspricht etwa 1,5 Millionen Angriffen pro Jahr. Wendenburg gibt zu bedenken: „NIS2 umfasst die gesamte KRITIS-Lieferkette sowie deren Lieferanten und Geschäftspartner. Jedes Unternehmen, das bspw. Geschäftsbeziehungen zu einem Krankenhaus, einem Energieversorger oder einem Finanzdienstleister unterhält, sollte sich besser auf NIS2 vorbereiten, also auch seine vernetzten Geräte im Büro, im Labor und in der Produktion.“ In Geräten, Maschinen und Anlagen „haben die wenigsten Firmen die Resilienz gegenüber Hackerangriffen außerhalb der IT-Netzwerke im Blick“, lautet die Einschätzung des Experten für Cybersicherheit.

Firmware, wie die eingebettete Software in Geräten, Maschinen und Anlagen heißt, wird von vielen Experten als eine kritische Lücke in der Sicherheitsstrategie von Unternehmen und Behörden gesehen. Daher lautet die Empfehlung von Onekey, dass von NIS2 betroffene Unternehmen sich schnellstmöglich von den Lieferanten aller vernetzter Geräte im weitesten Sinne, die im betrieblichen Einsatz sind, eine Software-Stückliste aushändigen lassen sollten. Diese Stückliste, in der Sicherheitsbranche Software Bill of Materials (SBOM) genannt, listet alle im Unternehmen eingesetzten Programme vollständig auf. Da es bei älteren Geräten wie etwa einem Drucker meist schwierig ist, an die Firmware heranzukommen, empfiehlt Wendenburg den Einsatz von SBOM-Tools zur automatischen Erfassung aller Softwarekomponenten und Generierung einer entsprechenden Software-Stückliste. „Das ist nicht nur für die NIS2-Konformität von Bedeutung, sondern auch für den kommenden EU Cyber Resilience Act (CRA).“

Technischer Hintergrund: Die Genauigkeit der Komponenteninformationen wirkt sich unmittelbar auf die Effektivität des Abgleichs mit der Datenbank Common Vulnerabilities and Exposures (CVE) des US-amerikanischen National Cybersecurity Federally Funded Research and Development Center aus. Dort werden alle nachgewiesenen Schwachstellen in Software einschließlich Firmware zentral erfasst, so dass durch einen Abgleich festgestellt werden kann, ob das eigene Gerät längst bekannte – und damit auch Hackern bekannte – Einfallstore für Cyberkriminelle aufweist.

Thematisch passende Artikel:

Resilienz Kritischer Infrastrukturen physisch stärken

Kritische Infrastrukturen (KRITIS) sind laut Definition Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung u. a....

mehr

NIS2-Gesetz: Unternehmen im Krisencheck

Das neue NIS2-Gesetz, welches am 17. Oktober in Kraft tritt, gilt für rund 30.000 Unternehmen in Deutschland verpflichtend, die mehr als 50 Mitarbeiter und 10 Mio. € Jahresumsatz generieren sowie in...

mehr
Ausgabe 12/2024

Cybersecurity mit Gap Assessment in der Gebäudetechnik

Systematische Identifizierung angesichts neuer Herausforderungen

Der Trend zur Digitalisierung in der Gebäudetechnik und zum „Smart Building“ ist unumkehrbar. Die gesetzlich vorgeschriebenen Nachhaltigkeitsziele können nur durch eine intelligente Vernetzung der...

mehr
Ausgabe 03/2024

Gebäudetechnik für kritische Infrastruktur

Vorzeigeprojekt Laborneubau in Köln

Tausende Tests und Proben werden täglich im Labor Dr. Quade & Kollegen analysiert und ausgewertet. Das inhabergeführte Unternehmen bietet Labordienstleistungen für niedergelassene Ärzte,...

mehr
Ausgabe 05/2024 Höhere mechanische Stabilität

Ableiter für kritische Anlagen

Die neuen „DACN1-25CVGS“ von Citel sind insbesondere für den Einsatz auf der AC-Seite in kritischen Infrastrukturen, großen Industrieanlagen und wichtigen Installationen in professionellen...

mehr