IT-Security Regulatory Update | November 2023

Fokus: IT-Sicherheitslage in Deutschland, Risikomanagement im Cloud-Kontext, Cyber Resilience Act

Highlight aus dem November 2023

Cyberbedrohungslage so hoch wie nie

In seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2023 fasst das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Bedrohungslage zusammen und schätzt diese als so hoch wie nie ein.

 

Pia Streicher

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

Die zunehmende Bedrohungslage im Cyberraum

Jährlich veröffentlicht das BSI seinen Lagebericht zur IT-Sicherheit in Deutschland. In den vergangenen Jahren hat sich das Bedürfnis nach zunehmender Sicherheit bereits abgezeichnet. So sind die Bedrohungen durch Cyber-Erpressungen in den vergangenen Jahren von der größten Bedrohung zu „Cybercrime as a Service“ angewachsen. Das BSI beurteilt die Lage in 2023 als so gravierend wie nie zuvor.

Die Top 3 Bedrohungen in der Wirtschaft sind:

  1. Ransomware,
  2. Abhängigkeiten in der IT-Lieferkette, und
  3. Schwachstellen und offene oder falsch konfigurierte Online-Server.

Das BSI geht davon aus, dass täglich circa 70 neue Schwachstellen in Softwareprodukten entdeckt werden. Im Vergleich zum vergangenen Berichtszeitraum bedeutet das einen Anstieg von etwa 25%.

Ein schwarzes Buch liegt auf einem Holztisch. Auf dem Buch steht in silbernen Großbuchstaben "Agenda" geschrieben.

Besonders kritisch beobachtet das BSI die zunehmende Professionalisierung auf Seite der Angreifer. Angebote in Form von „Cybercrime as a Service“ erfordern eine korrespondierende Bewegung auf der Gegenseite. Konkret bedeutet dies vor allem eine Steigerung der Resilienz und eine aktive Gestaltung von Cybersicherheit durch alle Beteiligten.

Das BSI erachtet das weitere Vorantreiben der Digitalisierung nichtsdestotrotz als sinnvoll, um langfristig eine hohe IT-Sicherheit zu gewährleisten und die Wettbewerbsfähigkeit des Standorts Deutschland aufrecht zu erhalten.

Den Lagebericht des BSI finden Sie hier auf dessen Webseite. Daneben hat das BSI eine Doppelseite mit der Zusammenfassung der wesentlichen Erkenntnisse veröffentlicht, die Sie hier finden.

Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, bsi.bund.de

Risiken in der Cloud –  Aufsichtsperspektive der BIS

Die Bank of International Settlements (BIS) veröffentlichte ein Paper, das sich mit dem Umgang von Risiken im Kontext Cloud befasst. Dabei nehmen die Autoren die Aufsichtsperspektive ein und beleuchten insbesondere die Beaufsichtigung bzw. Überwachung kritischer Cloud Servicer Provider (CSP) in der Finanzbranche.

Anlass für das Paper ist die steigende Nutzung von Cloud-Dienstleistungen durch Finanzunternehmen, gerade auch für kritische Dienste. Zudem ist davon auszugehen, dass die Häufigkeit der Nutzung weiter zunehmen wird. Die Gefahr dieser zunehmenden Nutzung liegt vor allem darin, dass eine größere Betriebsstörung bei einem CSP dazu führen kann, dass kritische Dienste von Finanzunternehmen unterbrochen werden. Bei erheblicher Nutzung eines CSP durch mehrere Institute kann dies systemische Konsequenzen haben. Durch die Vorherrschaft einiger weniger CSPs in verschiedenen Bereichen wird diese Situation weiter verschärft.

Der vorherrschende Ansatz der Regulierung von CSPs adressiert diese Risiken nicht ausreichend, sondern nimmt vor allem die einzelnen Finanzunternehmen in die Pflicht, ihre Risiken angemessen zu steuern. Die BIS vermisst dabei eine systemische Perspektive, die auch übergreifende Konzentrationsrisiken erkennen und steuern kann – und zwar auf übergreifender Ebene. In diesem Paper werden verschiedene mögliche Aufsichtsrahmen adressiert.

Das Paper finden Sie hier auf der Webseite der BIS.

Quelle: Bank for International Settlements – bis.org

EU-Parlament und Rat verhandeln finale Fassung des Cyber Resilience Acts

Aufgrund zunehmender Auswirkungen von Cyberangriffen auf digitale Produkte, betrachtet die EU die Gewährleistung der Sicherheit digitaler Produkte als bedeutend. Im Zuge dessen wurde der Cyber Resilience Act (CRA) verfasst, der allen Produkten mit digitalen Elementen Cybersicherheitsverpflichtungen auferlegt. Mit dem Vorschlag werden die Grundsätze der Cybersicherheit durch Technik und durch Voreinstellungen eingeführt und eine Sorgfaltspflicht für den gesamten Lebenszyklus von Produkten auferlegt.

Der Rat und das Parlament verhandeln derzeit über die endgültige Fassung des Textes.

Das Briefing des EU-Parlaments zum Rechtsakt und dem aktuellen Stand des Gesetzgebungsverfahrens finden Sie hier auf dessen Webseite.

Quelle: © European Union, 2022 – EP

Die Einschätzung des BSI zur Bedrohungslage in der IT unterstreicht die Bedeutung aufsichtsrechtlicher Vorgaben an die IT. Seien es BAIT, VAIT und Schwesterregularien oder DORA, das Thema Cybersicherheit und der Umgang mit Cyberrisiken ist ein anhaltender Trend. 

Wir von ADWEKO stehen Ihnen bei der Umsetzung des DORA und anderer Vorgaben gerne zur Seite.

Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick

sprechen sie mit
Pia Streicher!

Pia Streicher