Risk-Update 2024: IT-Risiken
Das ist 2024 wichtig: NIS2, DORA, BCM und KI
In 2023 nannte der Allianz Risk-Report 2023 Cybervorfälle zusammen mit Betriebsunterbrechungen als Top-Risiko. Die Studien für 2024 sind noch nicht geschrieben oder veröffentlicht, aber man darf davon ausgehen, dass sich IT-getriebene Risiken im Jahr 2024 weiter in Spitzenpositionen halten werden. Wir werden uns in diesem Artikel auf diese IT-Risiken beschränken.
Cyberangriffe
Es gibt eine erhöhte Bedrohungslage durch Cyberangriffe mit möglichen massiven Auswirkungen –nicht nur auf Unternehmen, sondern in der Folge auch auf die Bevölkerung. Der Ernst der Lage wird daran sichtbar, dass die Gesetzgebung mit regulatorischen Maßnahmen diesbezüglich nicht spart:
-
Die neue NIS2 Direktive (EU 2022/2555) „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ ersetzt die NIS-Richtlinie aus 2016. Betroffen sind hier Unternehmen aus den sogenannten „Essential Entities“, aufgeteilt in elf Sektoren, z. B. Bankwesen, Trinkwasser und Digitale Infrastruktur, sowie aus „Important Entities“ mit sieben Sektoren, z. B. Post und Kurier, Lebensmittel und Digitale Dienste. Für alle diese Entities und Sektoren werden Mindestanforderungen definiert, die einzuhalten sind. Non-Compliance ist mit hohen Sanktionen belegt. Die Direktive wird in Deutschland in ein neues IT-Sicherheitsgesetz münden: das NIS2 Umsetzungsgesetz. Das Inkrafttreten ist für Oktober 2024 angesetzt.
-
Für die Finanzindustrie wird noch eines obendrauf gesetzt: DORA (Digital Operational Resilience Act) ist die Verordnung (EU 2022/2554) über die digitale, operationale Resilienz im Finanzsektor. Auch hier werden hohe Anforderungen an IT-Sicherheit, aber auch an Testverfahren und operative IT-Prozesse normiert und Non-Compliance empfindlich sanktioniert. Die BaFin ist als Aufsichtsbehörde involviert und die Richtlinie soll ab 17.01.2025 Anwendung finden.
In beiden Normen steht auch das IT-bezogene Risiko-Management im Fokus. Es gilt, seine IT-Risiken zu kennen und zu managen. Das gilt sowohl für Angriffsvektoren in Bezug auf Infrastruktur mit Exposition ins Internet als auch für Partner und IKT-Dienstleister, die Dienste für das Unternehmen übernehmen, sowie auch für interne Risiken durch menschliche Schwachstellen.
Übrigens: Der Mensch ist eine der größten Schwachstellen. Eine der häufigsten Formen von Cyberangriffen ist Ransomware, mit denen Unternehmensdaten verschlüsselt und die Wiederfreigabe der Daten mittels Zahlungen erpresst werden. Solche Fälle legen Organisationen über Wochen lahm und sind in den letzten Monaten gehäuft in den Nachrichten. Rund zwei Drittel der Ransomware-Angriffe haben als Ursache, dass E-Mail-Anhänge oder Links zu Webseiten durch unachtsame Mitarbeitende in eingehenden Mails angeklickt werden. Eine geringe Investition in die Sensibilisierung der Mitarbeitenden hat daher eine hohe positive Auswirkung auf das Risikoportfolio. Es muss also nicht immer nur eine technische Lösung sein, die hilft.
Betriebsunterbrechungen und Ausfälle durch IT-Fehler
Aber nicht nur Cyberbedrohungen von außen führen zu IT-bezogenen Risiken. Selbst wenn keine Bedrohung vorherrschen würde, bringt die zunehmende Digitalisierung über alle Geschäftsprozesse von Unternehmen weitere Risiken ins Spiel. Der Ausfall zentraler Infrastruktur oder Anwendungen durch Fehlbedienung, nachlässiges oder fehlerhaftes Change-Management in den IT-Betriebsabteilungen kann erhebliches Gefährdungspotenzial für das Überleben der Unternehmen mit sich bringen. Umso wichtiger ist es, bei einem eingetretenen Risiko einen Notfallplan an der Hand zu haben. Das Bundesamt für Sicherheit in der Informationstechnik lieferte dazu in diesem Jahr den neuen Standard 200-4 für das Business Continuity Management, kurz BCM. Dies ist (außer für KRITIS Unternehmen) zwar keine Norm im Sinne einer notwendigen Einhaltung zur Vermeidung von Sanktionen, aber dennoch sollten Unternehmen und Organisationen schon aus Selbstschutz eine gesteigerte Motivation haben, in diese Richtung aktiv zu werden.
Künstliche Intelligenz
Das dritte und vielleicht aktuellste Thema kommt aus dem kometenhaften Aufstieg der künstlichen Intelligenz (KI), der sich aus dem ChatGPT Hype als Katalysator ergeben hat. Auch im Bereich KI-Compliance ist der Gesetzgeber, in diesem Falle das Europäische Parlament, im Aufbruch, eine KI-Gesetzgebung zu schaffen, die sicherstellt, „dass die in der EU eingesetzten KI-Systeme sicher, transparent, nachvollziehbar, nicht diskriminierend und umweltfreundlich sind.“
Daraus ergeben sich wiederum neue Risiken. Zum einen die Risiken durch den Einsatz von KI generell, also z. B. durch fehlerhafte KI-Ergebnisse falsche Entscheidungen zu treffen. Aber für die Unternehmen, die KI schon sehr früh einsetzen, ergibt sich auch ein Risiko, dass die kommende Gesetzgebung den schon implementierten Einsatz einschränkt und die Unternehmen zwingt, die bereits getätigten Investitionen durch weitere, nun notwendig werdende Modifikationen compliant zu machen. Hier empfiehlt es sich, den Gesetzgebungsverlauf genau zu beobachten und frühzeitig derartige Entwicklungen zu antizipieren.
Fazit:
Bei den IT-Risiken ist es nicht ausreichend, nur mögliche Cyberbedrohungen zu betrachten. Sondern es muss genauso auf die internen IT-Prozesse und die sich daraus ergebenden Risiken geschaut werden. Das neue KI-Feld wird ebenfalls im Jahr 2024 eine zunehmend große Rolle in der Risikobetrachtung der Unternehmen spielen, die diese einsetzen wollen.
Mit der aktuellen und kommenden Gesetzgebung wird IT-Sicherheit immer mehr auch ein Compliance-Themenfeld, womit sich eben auch Compliance-Risiken ergeben. Unternehmen und Organisationen sollten sich daher mit dem Thema IT-Sicherheit, Business Continuity und den dafür relevanten Gesetzestexten auseinandersetzen. Die Einführung eines Informationssicherheits-Management-Systems ist auf jeden Fall ein Schritt in die richtige Richtung. Auch wenn eine Zertifizierung nach gängigen Standards wie ISO 27001 oder IT-Grundschutz nicht Ziel einer Organisation ist, so geben diese Standards doch sehr viel Informationen an die Hand, wie man hier die Abläufe verbessern kann, um compliant zu werden.
Mit unserer Software, dem SAVISCON GRC-COCKPIT, bieten wir Organisationen jeglicher Größe ein effizientes Handwerkszeug, um ihr ISMS strukturiert abzubilden und effizient zu betreiben.
Über den Autor
Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir: