Liebe Leserinnen und Leser,

während die Sommerhitze viele in den Urlaub getrieben hat, bleibt das Business Continuity Management (BCM) so aktiv und herausfordernd wie eh und je. Politische Risiken, steigende regulatorische Anforderungen und unbeachtete Gefahren wie Sabotage und der plötzliche Ausfall von Schlüsselpersonen rücken immer mehr in den Fokus. In dieser Spätsommerausgabe unseres Newsletters werfen wir daher einen Blick auf oft übersehene, aber kritische Themen, die Unternehmen im Rahmen ihrer BCM-Strategien heutzutage berücksichtigen müssen.

Was Large Language Models für die Cybersecurity bedeuten – eine akademische Perspektive

Künstliche Intelligenz, insbesondere im Kontext von Large Language Models (LLMs), ist aktuell in aller Munde. Doch während viele über ihre Anwendungen und Potenziale sprechen, stellt sich die Frage: Welche Auswirkungen auf die Cybersicherheit haben diese Technologien wirklich? Für alle, die nicht nur Schlagzeilen, sondern eine fundierte, wissenschaftliche Perspektive suchen, ist das Buch „Large Language Models in Cybersecurity – Threats, Exposure and Mitigation“ eine echte Empfehlung. Es bietet umfassende Einblicke, wie LLMs sowohl Risiken als auch Chancen im Bereich der Cybersecurity darstellen, und welche Maßnahmen nötig sind, um diesen Herausforderungen zu begegnen.

Das Buch bietet eine wertvolle Ressource für Fachpersonal, das sich wirklich mit den Risiken und der sicheren Nutzung von LLMs auseinandersetzen möchte – und für alle, die gerne mitreden.

https://link.springer.com/book/10.1007/978-3-031-54827-7

NIS-2 steht vor der Tür: Lieferketten und Unternehmen unter Druck – Wie Sie die neuen Cybersicherheitsanforderungen meistern

Mit der bevorstehenden Einführung der NIS-2-Richtlinie stehen Unternehmen und ihre Zulieferer vor großen Herausforderungen. Die Anforderungen an die Cybersicherheit steigen und betreffen nicht nur direkt regulierte Unternehmen, sondern auch deren Dienstleister und Lieferketten. Doch welche Auswirkungen hat NIS-2 wirklich, und wie können sich Unternehmen wappnen?

Lieferketten im Visier: Wie NIS-2-Zulieferer und -Dienstleister unter Druck setzt

NIS-2 verlangt von Unternehmen in kritischen Sektoren, ihre gesamte Lieferkette abzusichern. Das bedeutet, dass viele Dienstleister und Zulieferer bereits umfassende Sicherheitsnachweise erbringen müssen, obwohl die Übergangsfristen für regulierte Unternehmen selbst noch laufen. In Verträgen müssen bereits heute Cybersicherheitsanforderungen verankert werden, die sowohl technische als auch organisatorische Maßnahmen umfassen.

Für Dienstleister und Zulieferer, die in Bereichen wie IT-Dienstleistungen, Rechenzentren oder Softwareentwicklung tätig sind, wird die Einhaltung dieser Vorgaben zur Voraussetzung, um weiterhin als Partner infrage zu kommen. Es geht darum, sich frühzeitig vorzubereiten, um nicht durch NIS-2-Verpflichtungen in letzter Minute überfordert zu werden.

NIS-2 und BCM

Doch was bringt NIS-2 in Bezug auf das Business Continuity Management an Neuerungen mit sich? Da sich der Geltungsbereich im Vergleich zur ursprünglichen NIS-Richtlinie deutlich erweitert hat, stehen nun auch andere, bisher nicht direkt regulierte Sektoren unter Regulierung und müssen sich mit den Aspekten zum BCM befassen. Dazu gehören u.a. verpflichtende Risikomanagement-Maßnahmen, die erhöhten Anforderungen an die Widerstandsfähigkeit von IT-Systemen sowie strengere Meldepflichten bei Sicherheitsvorfällen. Diese Themen besitzen wesentliche Schnittmengen zum BCM und sollten bei der Erfüllung der NIS-2-Vorgaben unbedingt beachtet werden. 

HiSolutions unterstützt Sie dabei, die notwendigen Maßnahmen effizient umzusetzen und Ihre Organisation samt Ihrer Lieferketten zu sichern.

Dringender Handlungsbedarf: Wie bereit ist Deutschland für NIS-2?

Obwohl die Deadline für die Umsetzung von NIS-2 in nationales Recht näher rückt, ist ein Großteil der deutschen Unternehmen, insbesondere im Mittelstand, noch unzureichend vorbereitet. Laut einer Umfrage wissen viele Schlüsselpersonen nicht einmal, welche Anforderungen genau auf sie zukommen. Dabei drohen bei Verstößen empfindliche Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes – Strafen, die gerade für kleinere Unternehmen existenzbedrohend sein können.

Die Integration von Cybersicherheitsmaßnahmen erfordert nicht nur technisches Know-how, sondern auch strukturelle Anpassungen innerhalb der Unternehmen. Um rechtzeitig vorbereitet zu sein, kann es hilfreich sein, einen Stufenplan zu entwickeln: Welche Anforderungen sind kritisch, und wie lässt sich die Umsetzung schrittweise nach Reifegraden gestalten? So wird die Compliance zu einem überschaubaren Prozess, der Sie auf den bevorstehenden Stichtag vorbereitet und gleichzeitig die Handlungsfähigkeit Ihres Unternehmens sichert.

https://cybersicherheitsrat.de/en/2023/07/20/pr-2-2-2-2/

https://www.security-insider.de/vorbereitung-deutscher-unternehmen-eu-richtlinie-nis2-a-5deeb1bc0e4d8e53cfe454df7533260f/

https://www.heise.de/hintergrund/Wie-NIS2-Zulieferer-und-Dienstleister-unter-Druck-setzt-9858310.html?seite=all

Sabotage – Die unterschätzte Gefahr 

In den letzten Jahrzehnten ist das Thema Sabotage nach und nach in den Hintergrund gerückt. Insbesondere nach dem Ende des Kalten Krieges schien die Gefahr solcher Angriffe nahezu vergessen. Doch spätestens seit dem Beginn des Ukrainekriegs sind Sabotageakte, insbesondere auf kritische Infrastrukturen, wieder in den Fokus gerückt. Und das aus gutem Grund.

Begonnen hat dieser Trend mit dem Anschlag auf die Nord-Stream-Pipelines 2022, bei dem nun ein erster Haftbefehl gegen einen ukrainischen Staatsbürger erlassen wurde. Auch in den vergangenen Ausgaben unseres Newsletters berichteten wir vermehrt über Sabotagefälle, wie etwa den Brandanschlag auf einen Strommast in Brandenburg, der zu weitreichenden Stromausfällen führte und die Lebensmittelversorgung in Berlin beeinträchtigte, sowie über die Beschädigung von Untersee-Internetkabeln.

Auch in diesem Sommer häuften sich die Vorfälle: Kurz vor der Eröffnung der Olympischen Spiele in Paris wurden koordinierte Angriffe auf das französische TGV-Schnellzugnetz verübt, bei denen Glasfaser-Kabel in Brand gesetzt und der Zugverkehr erheblich beeinträchtigte wurden. Zudem wurde in einer Luftwaffenkaserne in Köln-Wahn der Verdacht auf Sabotage laut, nachdem auffällige Wasserwerte festgestellt und ein Loch im Zaun entdeckt wurden. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hebt in der Gefährdungseinschätzung G 0.41 „Sabotage“ die Bedeutung dieses Themas deutlich hervor. Politisch motivierte Sabotage – sei es von staatlichen oder nicht-staatlichen Akteuren – nimmt zu und stellt eine immer ernsthaftere Bedrohung für unsere kritische Infrastruktur dar. Obwohl Sabotage als Elementargefahr vom BSI erkannt und aufgenommen wurde, ist sie lange Zeit sowohl in der Wirtschaft als auch in der öffentlichen Verwaltung wegpriorisiert worden. 

Die jüngsten Vorkommnisse machen deutlich, wie wichtig es ist, Sabotage in die Risikobewertungen und Notfallpläne eines ganzheitlichen Business-Continuity-Management-Systems zu integrieren. Mit relativ geringem Aufwand können hier erhebliche Schäden verursacht werden, weshalb eine angemessene Vorbereitung unerlässlich ist, um Resilienz, insbesondere im Kontext kritischer Infrastrukturen, zu gewährleisten. 

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Elementare-Gefaehrdungen/elementare_gefaehrdungen.html

https://www.tagesschau.de/inland/bundeswehr-sabotage-verdacht-100.html

https://www.sueddeutsche.de/politik/sicherheit-sabotage-spionage-ostsee-russland-faeser-lux.MZYBf99L1Mzy1hLs8eR9Ak?reduced=true

https://www.zdf.de/nachrichten/zdfheute-live/brandanschlaege-frankreich-olympia-video-100.html

https://www.hisolutions.com/detail/bcm-news-2024-03

Crowdstrike – ein teures Update

Ein fehlerhaftes Software-Update des Dienstleisters Crowdstrike ließ Millionen von Computern abstürzen und verursachte Schäden in Milliardenhöhe. Die Ursache hierfür war banal: Durch einen Zahlendreher versuchte ein Programmiermodul, mehr Daten zu verarbeiten, als der verfügbare Speicherplatz zuließ – und das in einem globalen Maßstab.

Die Folgen waren gravierend: Rund 40.000 Server mussten manuell neu gestartet werden. Der Flug- und Bahnverkehr war teilweise eingeschränkt, was zu weitreichenden Verzögerungen und Störungen führte. Unternehmen weltweit –von Finanzdienstleistern bis hin zu Logistikfirmen – sahen sich mit massiven Betriebsunterbrechungen konfrontiert. Lieferketten wurden unterbrochen, und einige Unternehmen konnten ihre Kunden tagelang nicht bedienen. 

Solche Vorfälle verdeutlichen die Risiken, die mit der Abhängigkeit von IT-Dienstleistern einhergehen. Nicht nur der Fehler selbst war problematisch, sondern insbesondere die mangelhafte Qualitätskontrolle und unzureichende Sicherheitsprüfungen vor dem Roll-out. Tests, die den Fehler im Vorhinein hätten aufdecken können, fehlten schlichtweg. Was als „kleine Unachtsamkeit“ begann, entwickelte sich schließlich zu einer digitalen Lawine, die der weltweiten Wirtschaft Milliardenverluste bescherte.

Es ist ein Weckruf für die gesamte IT-Branche: Striktere Tests, präzisere Prüfverfahren und verlässliche Sicherungsmechanismen müssen zum Standard werden. Gleichzeitig zeigt sich, wie essenziell Dienstleistersteuerung im Business Continuity Management ist. Unternehmen, die stark von externen Dienstleistern abhängig sind, müssen sicherstellen, dass auch ihre Dienstleister resilient sind und über robuste Qualitätsmanagementsysteme verfügen. Auslagern bedeutet nämlich nicht, dass Verantwortlichkeiten wegfallen: Auch Dienstleister und deren Leistungen müssen in ein umfassendes Risikomanagement integriert und überwacht werden. Ebenso wichtig ist es, dass Unternehmen Rückfallstrategien und Notfallpläne implementieren, um im Falle eines Fehlers schnell reagieren zu können. Denn so menschlich Fehler auch sein mögen: Die Kosten für Unternehmen, Kunden und die Gesellschaft sind enorm. 

https://www.spiegel.de/netzwelt/web/crowdstrike-zwei-wochen-nach-dem-it-debakel-ist-der-albtraum-nicht-vorbei-a-53751450-4335-4668-a94c-cbb4154935b4

https://www.wiwo.de/technologie/digitale-welt/crowdstrike-21-statt-20-wie-eine-falsche-zahl-zum-globalen-it-crash-fuehrte/29939040.html

Attentats-Pläne auf Rheinmetall-Chef: Lehren für das Krisenmanagement 

Laut einem CNN-Bericht haben westliche Geheimdienste Pläne vereitelt, den Vorstandsvorsitzenden des deutschen Rüstungskonzerns Rheinmetall, Armin Papperger, zu ermorden. Diese Pläne, die Teil einer Anschlagsserie auf europäische Rüstungsunternehmen waren, zeigen deutlich, wie weit der hybride Krieg Russlands reicht: Auch Unternehmen, die die Ukraine unterstützen, werden direkt ins Visier genommen.

Der Vorfall unterstreicht nicht nur die Notwendigkeit effektiver Sicherheitsvorkehrungen, sondern macht auch deutlich, dass nicht nur Staaten, sondern auch vermehrt Unternehmen politische Ziele sind. Außerdem wirft er die Frage auf: Wie gut sind Unternehmen vorbereitet, wenn eine zentrale Person plötzlich ausfällt? Ein Mordanschlag mag das Extremste sein, was passieren kann, der Wegfall einer Schlüsselperson kann jedoch immer massive betriebliche Störungen verursachen. Aufgrund der aktuellen Sicherheitslage sind Szenarien wie die Entführung oder der plötzliche Ausfall entscheidender Führungskräfte jedoch durchaus realistisch und müssen daher auch im Business Continuity Management berücksichtigt werden. 

https://www.tagesschau.de/ausland/europa/cnn-bericht-moeglicher-anschlagsplan-rheinmetall-102.html

https://www.br.de/nachrichten/deutschland-welt/cnn-bericht-russisches-attentat-auf-rheinmetall-chef-vereitelt,UIEumyO

Brücken bauen: Der Einsturz der Carolabrücke in Dresden

In der Nacht vom 11. September 2024 ist ein Teil der Carolabrücke in Dresden in die Elbe gestürzt und hat eine der wichtigsten Verkehrsadern der Stadt unpassierbar gemacht. Obwohl glücklicherweise keine Menschen verletzt wurden, sind die Auswirkungen auf den Verkehr und die Infrastruktur erheblich. Täglich überquerten rund 40.000 Fahrzeuge die Brücke, die auch Straßenbahnen, Fußgänger und Radfahrer befördert sowie ein wichtiges Nadelöhr für die Schifffahrt darstellt. Zudem wurden Fernwärmeleitungen beschädigt, was zu einem großflächigen Ausfall der Fernwärme in Dresden führte.

Die genaue Ursache des Einsturzes wird noch ermittelt, doch erste Anzeichen deuten auf Korrosion hin. Die Brücke ist bereits teilweise saniert worden, der eingestürzte Abschnitt sollte im kommenden Jahr folgen. Dies zeigt, wie dringend eine kontinuierliche und umfassende Überwachung von kritischer Infrastruktur ist.

Solche Ereignisse machen deutlich, wie wichtig es ist, auch die Resilienz von Infrastruktur in den Mittelpunkt der Notfallplanung zu stellen. Kommunen sollten Szenarien wie den plötzlichen Ausfall wichtiger Infrastruktur berücksichtigen. Der Einsturz zeigt, wie Korrosion und vernachlässigte Wartung eine massive Bedrohung darstellen können, die nicht nur wirtschaftliche Schäden verursacht, sondern auch die öffentliche Sicherheit gefährdet.

https://www.zdf.de/nachrichten/panorama/dresden-carolabruecke-einsturz-elbe-100.html

HiSolutions Know-how to go: Regulatorik quo vadis? | 25.09. | Berlin

Die regulatorischen Anforderungen an die Sicherheit von Unternehmen wachsen rasant. Mit neuen Regularien wie NIS-2 und DORA wird das Umfeld zunehmend komplexer und stellt Organisationen vor große Herausforderungen. Doch wie lässt sich dieser wachsenden Komplexität begegnen?

Unsere Veranstaltung bietet Ihnen spannende Einblicke in den aktuellen Status der Regulatorik sowie deren Grenzen und die Chancen, die sich daraus ergeben. Erfahren Sie anhand ausgewählter Beispiele, wie HiSolutions durch pragmatische Ansätze hilft, Business Continuity Management effizient zu gestalten, Drittparteien-Risiken zu minimieren und die Einhaltung regulatorischer Vorgaben sicherzustellen. Durch gezielte Übungen und Tests lassen sich diese Maßnahmen überprüfen.

Nutzen Sie die Gelegenheit, sich kostenfrei bei unserem Wissensfrühstück zu informieren, auszutauschen und wertvolle Praxistipps mitzunehmen.

https://www.hisolutions.com/knowhow

HiAcademy: Kompetenztraining Stabsarbeit | 16.10. | Berlin

Die Mitglieder eines Krisenstabs sehen sich in Krisenlagen besonderen und zum Teil individuellen Herausforderungen gegenüber, die im Arbeitsalltag selten anzutreffen sind. Unklare Informationslagen, hohes Kommunikationsaufkommen und enormer Entscheidungsdruck sind dabei ebenso typische Gegebenheiten wie das anspruchsvolle Zusammenarbeiten verschiedener Persönlichkeiten in einer besonderen Bewältigungsorganisation. Diese Umstände erfordern neben organisatorischen Maßnahmen des Krisenmanagements auch gesonderte Kompetenzen der Stabsmitglieder. Ebendiese lassen sich schulen, indem die Funktionsträger aus ihrem Alltag herausgezogen und in Krisenlagen versetzt werden. So können sie wertvolle, praxisnahe Erfahrungen sammeln und sich auf den konkreten Ereignisfall vorbereiten.

In der Veranstaltung „Kompetenztraining Stabsarbeit“ kommen die Funktionsträger besonderer Aufbauorganisationen verschiedener Institutionen zusammen, um unabhängig vom eigenen beruflichen Umfeld die persönlichen Fähigkeiten zu verbessern.

https://www.hisolutions.com/security-consulting/academy#c12565