Die britischen CNI-Anbieter haben Probleme: 2025 wird ein entscheidendes Jahr für Cyber

Von Phil Muncaster • 23 Januar 2025

Die kritische nationale Infrastruktur (CNI) des Vereinigten Königreichs trägt ihren Namen nicht ohne Grund. Die großen Mengen sensibler Daten, die die Anbieter speichern, ihre geringe Ausfalltoleranz und ihre Bedeutung für die nationale und wirtschaftliche Sicherheit machen sie jedoch auch zu Zielscheiben. Ermutigte staatliche Akteure, Hacktivisten und finanziell motivierte Cyberkriminelle finden immer häufiger Sicherheitslücken, die sie ausnutzen können.

Weltweit sind es über zwei Fünftel (42 %) berichtet Datenlecks im letzten Jahr, und 93 % haben eine Zunahme der Angriffe erlebt. Angesichts der für das neue Jahr erwarteten neuen britischen Gesetzgebung müssen CNI-Unternehmen ihre Cyber-Resilienz eindeutig verbessern. Die gute Nachricht ist, dass es bereits Standards gibt, die sie bei diesen Bemühungen leiten.

Was ist los?

Es gibt kein typisches CNI-Unternehmen, von Versorgungsunternehmen über Finanzdienstleister und Gesundheitsorganisationen bis hin zu Rüstungsherstellern. Aber viele sind von den gleichen Bedrohungen betroffen, darunter die massenhafte Ausnutzung von Schwachstellen. von russischen Schauspielern und gezielte Phishing-Kampagnen von Iranische Staatshacker.

Im Vereinigten Königreich kam es im Jahr 2024 zu erheblichen Ransomware- und Datenschutzverletzungen bei einem wichtigen NHS-Anbieter (Synnovis) und bei das Verteidigungsministerium, wodurch möglicherweise Leben gefährdet werden. Es gab Ransomware-Angriffe Kinderkrankenhäuser im Visier und Major Transportanbieter. Abgesehen von diesen Einzelfällen können wir jedoch die folgenden Trends erkennen:

Insider-Bedrohungen: Laut Thales waren im vergangenen Jahr 30 % der CNI-Organisationen von einem Insider-Bedrohungsvorfall betroffen. Bridewell warnt 35 % der CNI-Sicherheitsverantwortlichen sind der Meinung, dass persönliche finanzielle Sorgen die Mitarbeiter dazu zwingen, Daten zu stehlen und zu sabotieren.

Stress und Burnout: Besonders Sicherheitsverantwortliche spüren den Druck. Im Jahr 2022 wird ein Bericht beansprucht 95 % der Befragten gaben an, dass sie aufgrund dieser Faktoren ihre Stelle in den kommenden zwölf Monaten wahrscheinlich aufgeben würden.

Budgets blockieren: Der Anteil der IT- (33 %) und OT-Budgets (30 %) im Jahr 2024, der für Cybersicherheit vorgesehen ist fiel dramatisch ab 2023 liegen die Zahlen bei 44 % bzw. 43 %.

Sinkendes Vertrauen in Tools: Bridewell behauptet, dass fast ein Drittel (31 %) der CNI-Sicherheitsleiter das „Vertrauen in Cybersicherheitstools“ als größte Herausforderung im Jahr 2024 einstuften, was einer jährlichen Steigerung von 121 % entspricht.

Verschwommene Grenzen zwischen staatlichen Bedrohungen und Cyberkriminalität: Die Rolle des russischen Staates bei der Unterstützung und Förderung finanziell motivierter Angriffe auf Krankenhäuser und andere britische CNI wird auf höchster Ebene immer häufiger angeprangert.

Das NCSC stellte in seiner Jahresrückblick: „Durch seine Aktivitäten in der Ukraine inspiriert Russland nichtstaatliche Bedrohungsakteure, Cyberangriffe gegen westliche CNI durchzuführen. Diese Bedrohungsakteure unterliegen keiner formellen oder offenen staatlichen Kontrolle, was ihre Aktivitäten weniger vorhersehbar macht. Dies mindert jedoch nicht die Verantwortung des russischen Staates für diese ideologisch motivierten Angriffe.“

Zunehmende Raffinesse. Obwohl der Fokus der chinesischen Gruppe nicht auf Großbritannien liegt, Volt-Taifun zeigte in einer mehrjährigen Kampagne, die Anfang 2024 aufgedeckt wurde, ausgeklügelte Methoden, im Zuge derer es in die Netzwerke des US-amerikanischen CNI eindrang, um im Konfliktfall kritische Dienste zu sabotieren.

„Viele CNI-Systeme basieren auf veralteter Technologie, was sie anfällig für Angriffe und schwer zu sichern macht. Die Bewältigung komplexer und sich entwickelnder regulatorischer Anforderungen erfordert erhebliche Ressourcen und Fachwissen“, sagt Chris Harris, technischer Direktor für Datensicherheit bei Thales EMEA, gegenüber ISMS.online.

„Darüber hinaus behindert der Mangel an qualifizierten Cybersicherheitsexperten die Fähigkeit, Bedrohungen effektiv zu bewältigen und darauf zu reagieren. Die Einführung neuer Technologien mit der Aufrechterhaltung robuster Sicherheitsmaßnahmen in Einklang zu bringen, ist eine ständige Herausforderung.“

Martin Riley, CTO von Bridewell, stimmt dem zu und fügt hinzu, dass die Betriebstechnologie (OT) eine weitere große Herausforderung für CNI-Unternehmen darstellt.

„OT-Geräten mangelt es an der Strenge der Unternehmenssicherheit, und es bestehen weiterhin Bedenken hinsichtlich der Beeinträchtigung von Betrieb und Gesundheit und Sicherheit. Legacy-Systeme, viele davon über 20 Jahre alt, verfügen oft nicht über moderne Sicherheitsfunktionen, und der Trend zur Konvergenz von OT mit IT-Systemen vergrößert die Angriffsfläche“, sagt er gegenüber ISMS.online.

„Aufgrund des Fachkräftemangels können CISOs nicht auf OT-spezifisches Fachwissen zurückgreifen, um angemessene Cybersicherheitspläne zu entwickeln und eine Brücke zwischen IT- und OT-Sicherheit zu schlagen, um dieses Risiko zu verringern. Besonders verbreitet ist der Anstieg von Edge-Geräten in IT-OT- und IoT-Infrastrukturen, die für Living-off-the-Land-Angriffe ausgenutzt werden könnten, bei denen legitime Tools innerhalb des Systems ins Visier genommen werden.“

Riley fügt hinzu, dass Qualifikationslücken in manchen Fällen sogar dazu führen könnten, dass OT-Teams Maßnahmen ergreifen, die unbeabsichtigt den Benutzerzugriff blockieren, was zu physischen Schäden an der Infrastruktur oder sogar zu einer Gefahr für Menschenleben führen kann.

Was fordern die Regulierungsbehörden?

Die Notwendigkeit, CNI widerstandsfähiger zu machen, wird in den oben genannten Trends und Vorfällen deutlich, aber es gibt auch einen wachsenden regulatorischen Zwang. Britische Anbieter mit Niederlassungen auf dem Kontinent müssen eine strenge neue Reihe von grundlegenden Sicherheitsvorkehrungen einhalten. Anforderungen in NIS2. Die Richtlinie stellt auch klar, dass hochrangige Unternehmensleiter stärker für Versäumnisse im Bereich der Cybersicherheit zur Verantwortung gezogen werden, darunter auch eine persönliche Haftung für schwerwiegende Verstöße.

In Großbritannien wird ein Gesetzentwurf zur Cybersicherheit und Widerstandsfähigkeit wird die NIS-Verordnung von 2018 aktualisieren, um mehr Dienstleister abzudecken, den Regulierungsbehörden mehr Macht zu verleihen und die Meldung von Vorfällen vorzuschreiben. Noch sind nicht alle Details ausgearbeitet, aber die allgemeine Richtung aus regulatorischer Sicht in Großbritannien geht in Richtung einer genaueren Prüfung von CNI-Unternehmen.

Was CNI-Unternehmen im Jahr 2025 tun können

„Das NCSC ist der Ansicht, dass die Schwere staatlich gelenkter Bedrohungen unterschätzt wird und dass die Cybersicherheit kritischer Infrastrukturen, Lieferketten und des öffentlichen Sektors verbessert werden muss“, heißt es in der Stellungnahme des NCSC. Jahresrückblick.

Das ist ja alles schön und gut, aber wie können Anbieter ihre Sicherheitslage konkret verbessern?

„CNI ist mit vielfältigen Bedrohungen, Herausforderungen und Chancen konfrontiert. Proaktive Maßnahmen wie formelle Ransomware-Reaktionen und Compliance-Audits sind unerlässlich“, argumentiert Harris von Thales.

„Neue Technologien wie 5G, Cloud, Identitäts- und Zugriffsmanagement und GenAI bieten neue Effizienzen, wenn sie in CNI-Abläufe integriert werden. Höhere Erwartungen und ein verstärktes Engagement für betriebliche Belastbarkeit und Zuverlässigkeit werden die Sicherheit erhöhen und die Anfälligkeit von CNI-Unternehmen verringern.“

Der Best-Practice-Standard ISO 27001 könne für viele ein guter Ausgangspunkt sein, da er einen „robusten Rahmen“ für das Management von Sicherheitsrisiken biete, fährt er fort.

„Die Einhaltung der ISO 27001 stellt sicher, dass CNI-Betreiber Best Practices in der Cybersicherheit implementieren, einschließlich Risikobewertung, Vorfallmanagement und kontinuierlicher Verbesserung“, sagt Harris.

Riley von Bridewell unterstützt auch Best-Practice-Ansätze der Branche.

„Eine Best-Practice-Strategie für Cybersicherheit bei einem typischen CNI-Anbieter stimmt IT- und OT-Risikoregister aufeinander ab, um Risiken ganzheitlich zu bewerten. Dies sollte durch die Kombination und Zuordnung von ISO 27001-Kontrollen zu NIST CSF, NCSC CAF, NIS-Vorschriften oder spezifischen OT-Frameworks wie IEC 62443 vorangetrieben werden“, erklärt er.

„ISO 27001 allein ist kein Motor zur Verbesserung der CNI-Sicherheit. Viele Organisationen pflegen einen einzigen Geltungsbereich und eine einzige Anwendbarkeitserklärung, die nur das Unternehmen abdeckt. Deshalb ist es für CNI-Organisationen so wichtig, andere Rahmenbedingungen und Vorschriften in ihre Strategie für ein ISMS mit mehreren Geltungsbereichen zu integrieren. Der Aufbau eines ISMS mit mehreren Geltungsbereichen kann kompliziert sein, ist aber nicht unmöglich, wenn OT und IT effektiv getrennt sind und relevante Vorschriften integriert werden.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster

Die britischen CNI-Anbieter haben Probleme: 2025 wird ein entscheidendes Jahr für Cyber

Was ist los?

Was fordern die Regulierungsbehörden?

Was CNI-Unternehmen im Jahr 2025 tun können

Phil Muncaster

In Verbindung stehende Artikel

Leben nach dem Stichtag: Wie die Einhaltung der DORA-Vorschriften zu operativer Stabilität führt

Das Zeitalter der Compliance: Wie Regulierung, Technologie und Risiko die Geschäftsnormen neu schreiben

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Lesen Sie mehr von Phil Muncaster

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben