Düsseldorf – Experte Jan Wendenburg, CEO des deutschen Cybersicherheitsunternehmens ONEKEY, warnt eindringlich vor veralteter Software auf Geräten in Unternehmen. Der Hintergrund ist die bevorstehende Verabschiedung der NIS2-Regulierung, die weitreichende Auswirkungen auf die Cybersicherheit hat. Mit dem Inkrafttreten dieser neuen EU-Richtlinie müssen Unternehmen nicht nur ihre IT-Netzwerke, sondern auch alle angeschlossenen Geräte und Maschinen auf den neuesten Stand bringen. Dies betrifft insbesondere Drucker, Sicherheitskameras und industrialisierte Steuerungen.
Aktuell geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) von rund 30.000 Unternehmen aus, die unter die NIS2-Vorgaben fallen. Die Richtlinie zielt darauf ab, die Sicherheit kritischer Infrastrukturen in den Bereichen Energie, Transport, Gesundheitswesen und viele mehr zu gewährleisten. Wendenburg rät den Unternehmen eindringlich, eine Software-Stückliste bei ihren Lieferanten zu verlangen, um sicherzustellen, dass alle betriebenen Geräte ordnungsgemäß aktualisiert sind und gehackt – und damit zur Zielscheibe von Cyberkriminellen – werden können.
Wachsende Gefahren durch unzureichende Sicherheitsmaßnahmen
Ein besonders kritisches Beispiel sind Drucker, deren veraltete Software oft ignoriert wird. Laut Wendenburg haben viele Firmen nicht im Blick, dass Hacker über diese Geräte Zugang zum Firmennetzwerk erlangen können. „Die Hacker identifizieren sich aus Druckern, nutzen deren Software-Fehler aus und können im schlimmsten Fall in das Herzstück eines Unternehmens eindringen“, so der Cybersicherheitsexperte. Diese Gefahren zeigen einmal mehr, wie wichtig ein umfassender Sicherheitsansatz ist, der alle vernetzten Geräte betrachtet.
Die NIS2-Richtlinie fordert eine gründliche Bestandsaufnahme und ein durchgängiges Management von Softwarekomponenten aller Geräte, die in der Produktion oder im Büroumfeld eingesetzt sind. Wendenburg erklärt weiter: „Es reicht nicht aus, die IT- und Netzwerksicherheit im Blick zu haben. Die gesamte Lieferkette muss auf mögliche Schwachstellen untersucht werden.“ Das bedeutet, dass Unternehmen auch ihre externen Partner und Dienstleister in ihre Sicherheitsüberprüfungen einbeziehen sollten.
Ein zentraler Aspekt der NIS2-Regulierung ist die sogenannte „Software Bill of Materials“ (SBOM), die eine umfassende Liste aller Softwarekomponenten erstellt, die in Geräten und Systemen verwendet werden. Wendenburg hebt hervor, dass diese Auflistung nicht nur für die NIS2-Einhaltung entscheidend ist, sondern auch für den neuen EU Cyber Resilience Act (CRA), der zusätzlich Anforderungen an die Sicherheit und Resilienz von digitalen Produkten stellt.
Der Trend zur Vernetzung und Automatisierung von Geräten in Unternehmen zeigt auf, dass die Herausforderung der Cybersicherheit einer kontinuierlichen Überprüfung bedarf. Die berühmte „Schwachstelle“ eines Unternehmens definiert sich nicht nur über die IT. Jedes nicht aktualisierte Gerät, sei es ein vernetzter Drucker oder eine Steuerung in der Fertigung, kann ein Einfallstor für Cyberangriffe darstellen. Laut Wendenburg müssen Sicherheitsstrategien daher holistisch angelegt sein und sowohl Softwareschutz als auch die Überwachung von Firmware-Updates beinhalten.
Angesichts der besorgniserregenden Lage der Cyberkriminalität in Deutschland, wo im Jahr 2023 bereits 135.000 Fälle registriert wurden, ist die Notwendigkeit zur Prävention drängender denn je. Das Bundeskriminalamt geht davon aus, dass die Dunkelziffer weit darüber liegt und tatsächlich etwa 1,5 Millionen Angriffe pro Jahr stattfinden. Daher ist schnelles Handeln und die Implementierung effektiver Sicherheitsstrategien in Unternehmen unabdingbar.
Die Lösungen von ONEKEY, die einen automatisierten Überblick über die Cybersecurity-Compliance bieten, könnten für viele Unternehmen ein erster Schritt in die richtige Richtung sein. Es gilt, alle Sicherheitslücken schrittweise zu schließen und damit das potenzielle Risiko eines Angriffes zu minimieren. Die Zeit zum Handeln drängt, denn im digitalen Raum wird es nie einfacher, sondern nur komplexer und gefährlicher.
Für weitere Informationen zur NIS2-Überprüfung und den notwendigen Maßnahmen, um Cyberangriffe vorzubeugen, können sich Unternehmen direkt an das BSI wenden und die Ressourcen auf www.bsi.bund.de nutzen, um ihre Verantwortlichkeit schnell zu klären.
