Ab dem 17. Oktober 2024 gilt in der Europäischen Union (EU) die neue NIS-2-Richtlinie, die höhere Cybersicherheitsanforderungen an Unternehmen stellt. In Deutschland sind viele Unternehmen noch nicht komplett auf die Einhaltung der Vorgaben vorbereitet. Dies geht aus einer aktuellen Studie von BlackBerry hervor, die auf einer Umfrage von Coleman Parkes Research unter hundert deutschen IT- und Cybersecurity-Entscheidern basiert. Demnach ist die fehlende Übersicht über die Software-Lieferkette von Unternehmen ein großes Problem.
Die zweite Richtlinie zur Network and Information Security (NIS 2) betrifft in Deutschland laut Schätzungen zwischen 25.000 und 40.000 Unternehmen. Sie fordert zum Risikomanagement eine Reihe neuer bzw.verschärfter Maßnahmen. Diese umfassen etwa Konzepte für die Risikoanalyse und die Sicherheit in der Informationstechnik, die Bewältigung von Sicherheitsvorfällen und die Aufrechterhaltung des Betriebs. Je nach Größe der Unternehmen sehen die Bestimmungen anders aus, nicht alle müssen das Maximum an Sicherheit gewährleisten. Von den für die Studie von BlackBerry befragten deutschen Unternehmen unterliegen 64 Prozent der NIS-2-Richtlinie. Insgesamt gehen 54 Prozent mit hoher oder sehr hoher Zuversicht davon aus, die Vorgaben zum Stichtag einzuhalten. Dagegen sind sich 33 Prozent nur etwas zuversichtlich und 13 Prozent nicht sehr zuversichtlich.
Compliance gefährdet
Eine große Rolle spielt für die Befragten die Software-Lieferkette. Diese stellt nicht nur ein Einfallstor für Cyberkriminelle dar, sondern erschwert aufgrund strenger Meldepflichten auch die Compliance mit der NIS-2-Richtlinie. Denn nach der Entdeckung eines erheblichen, erfolgreichen Cyberangriffs müssen Unternehmen innerhalb von 24 Stunden das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kenntnis setzen. Von Vorfällen in der eigenen Software Supply Chain erfahren sie selbst jedoch oft spät. Nur 32 Prozent verlangen, in den ersten vier Stunden von den betroffenen Partnern und Software-Lieferanten zu hören. Die anderen 68 Prozent erwarten eine Benachrichtigung innerhalb eines Tages oder sogar erst später. Bei dieser Ausgangslage geraten Unternehmen in Gefahr, gegen die Anforderungen der Richtlinie zu verstoßen.
Vielerorts erscheint die Software-Lieferkette auch wie ein blinder Fleck in der Sicherheitsstrategie. Laut Studie besteht ein Mangel an Transparenz, denn es scheint unklar zu sein, wer zur Software Supply Chain gehört. Laut Studie wurden 79 Prozent der Unternehmen im letzten Jahr auf ein Mitglied aufmerksam, das zuvor unbekannt war bzw. dessen Sicherheitsmaßnahmen sie bis dahin nicht überwachten.
Externe Kommunikation verbessern
72 Prozent der befragten Unternehmen verfolgen die Auswirkungen von Schwachstellen in einer bestehenden Software-Lieferkette bis hin zu den Endkunden. 39 Prozent informieren sie nicht oder nur gelegentlich über solche Schwachstellen. Beim Umgang mit Endkunden sieht die Studie somit noch Optimierungspotenzial. Doch woran scheitert eine transparente Kommunikation? Als großes Hindernis nennen 37 Prozent fehlendes Personal. Weitere 37 Prozent möchten Klagen vermeiden. Häufig macht das Management den offenen Umgang mit Endkunden auch nicht zur Priorität (34 Prozent). In einigen Unternehmen (26 Prozent) fehlt zudem die Zeit oder es stehen zu viele andere Aufgaben an. Hinzu kommen noch 23 Prozent, die negative Auswirkungen auf die Unternehmensreputation befürchten. Gerade das Stillschweigen schade aber potenziell der eigenen Reputation, so die Autoren. Das müssten Verantwortliche neben der Umsetzung der NIS-2-Richtlinie auch bedenken und entsprechend handeln.
