Angesichts der bevorstehenden Einführung von NIS2: Wie können Unternehmen lebensbedrohliche Cyberangriffe abwehren?

Angesichts der bevorstehenden Einführung von NIS2 stellt sich die Frage, wie Unternehmen lebensbedrohliche Cyberangriffe abwehren können.

Von Phil Muncaster • 18 Juli 2024

NIS2 wird in drei Monaten in allen EU-Mitgliedsstaaten in nationales Recht umgesetzt. Es schreibt eine verbesserte Grundsicherheit, Reaktion auf Vorfälle, Sicherheit der Lieferkette und vieles mehr vor, um die Betreiber wichtiger Dienste widerstandsfähiger gegen Cyberangriffe zu machen. Wenn Organisationen Zweifel daran haben, warum solche Vorschriften notwendig sind, müssen sie nur auf die jüngste Ransomware-Katastrophe im britischen Gesundheitsdienst NHS zurückblicken.

Glücklicherweise können bewährte Verfahren der Branche einen großen Beitrag dazu leisten, die NIS 2-Konformität zu optimieren und die Wahrscheinlichkeit eines lebensbedrohlichen Cyber-Vorfalls zu verringern.

Gesundheitswesen unter Beschuss

Letztendlich richtete sich der Ransomware-Angriff, der so katastrophale Auswirkungen auf NHS-Patienten hatte, gegen einen wenig bekannten Anbieter von Pathologiedienstleistungen im Gesundheitswesen. Zum Zeitpunkt der Abfassung dieses Artikels hatte er dazu geführt, dass über 800 geplante Operationen und 700 ambulante Termine abgesagt und verschoben werden mussten, darunter auch einige potenziell lebensrettende Eingriffe. Diese Zahlen beziehen sich auf die beiden am stärksten betroffenen NHS Trusts – King's College Hospital NHS Foundation Trust und Guy's and St Thomas' NHS Foundation Trust – und nur auf den Zeitraum vom 3. bis 9. Juni, sodass die tatsächlichen Störungen wahrscheinlich noch höher sein werden.

Zusätzlich zu den Absagen war der NHS zur Berufung gezwungen für Blutspender und Freiwillige im Gefolge des Vorfalls. Obwohl der betroffene Lieferant, Synnovis, plant, einige IT-Funktionen „in den kommenden Wochen“ wiederherzustellen, warnte er, dass die „vollständige technische Wiederherstellung“ länger dauern würde und die Unterbrechung wahrscheinlich „Monate“ dauern würde.

Ransomware-Akteure zielen immer häufiger auf das Gesundheitswesen ab und jedes Mal, wenn sie dies tun, besteht die Gefahr einer Unterbrechung der Versorgung, die möglicherweise lebensbedrohliche Auswirkungen auf die Patienten haben kann. In Alabama im Jahr 2021reichte die Mutter eines neun Monate alten Kindes eine Klage gegen das Krankenhaus ein, in dem ihre Tochter geboren wurde. Sie behauptete, es habe damals nicht bekannt gegeben, dass es Opfer eines Ransomware-Angriffs geworden sei. Da der Cyberangriff kritische Geräte der Betriebstechnologie (OT) störte, konnten die Ärzte den Zustand des Kindes nicht richtig überwachen, so die Mutter. Leider erlitt sie schwere Hirnverletzungen und verstarb neun Monate später.

25 % Wahrscheinlichkeit für Todesfälle

Natürlich ist das Gesundheitswesen nur einer von vielen Sektoren der kritischen nationalen Infrastruktur (CNI), in denen Cyberangriffe fatale Folgen haben könnten. Der Bericht „National Risk Register 2023“ der Regierung schätzt, dass die Wahrscheinlichkeit eines schweren Cyberangriffs auf die CNI in den nächsten zwei Jahren bei 5–25 % liegt. Es behauptet dass dies zu Todesopfern von bis zu 1000 und Verletzten von bis zu 2000 führen könnte.

In vielen dieser Organisationen ist es der Einsatz von OT- und IoT-Technologie, der sie Angriffen mit gefährlichen kinetischen Effekten aussetzen könnte. Dies zeigt sich in der Wasseraufbereitungsbranche, wo ein Der Angriff von 2016 führte Bedrohungsakteure haben den Chemikaliengehalt im Trinkwasser viermal verändert, bevor der Angriff erkannt wurde.

Laut Anton Shipulin, Cybersecurity-Evangelist beim OT-Sicherheitsspezialisten Nozomi-NetzwerkeDie Durchführung gezielter, lebensbedrohlicher Cyberangriffe ist zwar eine Herausforderung, aber machbar.

„Es erfordert mehrere Bedingungen seitens des Bedrohungsakteurs, darunter Prozesskenntnisse, Zeit, Geld, Personal und ein anfälliges Ziel“, sagt er gegenüber ISMS.online.

„Wenn jedoch lebenswichtige oder gefährliche Prozesse stark von digitalen Technologien abhängen, können selbst ungezielte Angriffe oder technische Fehlfunktionen diese Systeme gefährden und möglicherweise Todesfälle oder Verletzungen verursachen. Dies gilt insbesondere für Sektoren wie das Gesundheitswesen, die Industrierobotik und die Chemie.“

Sean Tufts, geschäftsführender Gesellschafter für kritische Infrastrukturen bei Optiv, stimmt zu, dass Ransomware angesichts der schieren Zahl der betroffenen Gruppen und der Leichtigkeit, mit der viele Sicherheitslücken ausnutzen können, noch immer die größte Bedrohung für CNI darstellt.

„Dass ein Hacker ein Umspannwerk oder eine Raffinerie in die Luft jagt, ist nicht unmöglich, aber sehr schwierig. Man bräuchte eine sehr fortschrittliche Hacker-Organisation und ein Team, das weiß, wie Kraftwerke funktionieren“, sagt er gegenüber ISMS.online.

„Das wahrscheinlichere Szenario ist, dass ein Hacker auf niedriger Ebene ein handelsübliches Ransomware-Paket auf ein System schleust und einen physischen Prozess stoppt. Wenn es sich bei diesem Prozess um ein Förderband, eine Ölpumpe, einen elektrischen Leistungsschalter oder ein Achterbahn-Steuerungssystem handelt, können die Dinge buchstäblich außer Kontrolle geraten. Das aktuelle Motto unserer Branche lautet: ‚Cybersicherheit ist Sicherheit. Sicherheit ist cybersicher‘. Wir möchten, dass die Geräte in der Nähe der Finger unserer Techniker unter ihrer Kontrolle sind.“

Bedrohungen abwehren und Leben retten

All diese Faktoren erhöhen die Anforderungen für Cybersicherheitsverantwortliche in diesen Branchen erheblich. Die Frage ist dann, wie sie die Cyber-Resilienz so weit verbessern können, dass das Risiko für Menschenleben angemessen kontrolliert werden kann?

„CISOs sollten darüber nachdenken, wie sie im Falle eines längeren Netzwerkausfalls die Bereitstellung von Notfalldiensten aufrechterhalten können, und dies in einen Vorfallreaktionsplan integrieren“, rät James Tytler, S-RM-Mitarbeiter für Vorfallreaktion.

„Sie sollten außerdem regelmäßig Planspiele durchführen, um sicherzustellen, dass alle relevanten Parteien sich ihrer Rollen und Verantwortlichkeiten im Voraus bewusst sind“, sagt er gegenüber ISMS.online.

Laut Tufts von Optiv wird NIS 2 eine Reihe nützlicher bewährter Sicherheitspraktiken bereitstellen, auf die man hinarbeiten kann.

„Der Fokus von NIS2 auf der Schaffung einer Cybersicherheits-Grundlinie, in die Unternehmen hineinwachsen können, ist von entscheidender Bedeutung, um Budgets aus Unternehmen mit historisch niedrigen Margen freizusetzen“, argumentiert er.

Angesichts des Austritts Großbritanniens aus der EU wird die Regelung jedoch nicht für alle Organisationen gelten. Doch NIS2 ist nicht die einzige Möglichkeit, so Shipulin von Nozomi Networks.

„Fast alle kritischen Infrastrukturbranchen, die cyber-physische Systeme nutzen, unterliegen lokalen Vorschriften oder internationalen Standards, die die Sicherheit dieser Systeme regeln“, erklärt er. „Daher besteht der beste Ansatz darin, zunächst die Richtlinien zur Cybersicherheit zu prüfen, die von der Regulierungsbehörde oder sektorspezifischen internationalen Verbänden bereitgestellt werden.“

Best-Practice-Standards wie ISO27001 und IEC 62443 kann auch helfen. Ersteres mindert Sicherheitsprobleme in IT-Systemen, die von Ransomware-Akteuren ausgenutzt werden könnten, und Letzteres ist besonders nützlich, da es speziell für OT-Umgebungen wie industrielle Steuerungssysteme entwickelt wurde.

„Dieser Standard wurde von Praktikern und nicht von Regulierungsbehörden entwickelt. Er ist sehr anwendbar und auf die Bedürfnisse unserer Branche zugeschnitten“, sagt Tufts von Optiv.

Da so viel auf dem Spiel steht, müssen CISOs in den CNI-Sektoren wieder die Initiative ergreifen.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 20 Januar 2026

Blogbeitrag zur Schließung der KI-Governance-Lücke gemäß ISO 42001

Schließung der Lücke in der KI-Governance mit ISO 42001

Großbritannien hat ein Problem mit der KI-Governance. Vor einigen Jahren wäre das vielleicht kein Problem gewesen, als Projekte in den meisten Organisationen noch lückenhaft umgesetzt wurden. Aber heute…

Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster