Tausende Unternehmen unterliegen den kommenden Richtlinien. Quelle: E&M / Volker Stephan
IT:
Kleine und mittlere Unternehmen einfache Cyber-Opfer
In der Energiewirtschaft tätige Unternehmen zählen zu den beliebtesten Angriffszielen für Cyberkriminelle. Experten raten dazu, die bald geltenden Sicherheitsregeln als Chance zu sehen.
Ein falscher Klick und die Folgen sind unabsehbar, ein Fehler kann sich zum Millionenschaden auswachsen. Digitale Angriffe
auf Unternehmen sind ein lukratives Geschäft. Und nach Ansicht von Experten sind inzwischen kleine und mittlere Unternehmen
(KMU), zu denen auch viele Stadtwerke und Energieproduzenten zählen, auf der Liste der beliebtesten Angriffsziele von Cyberkriminellen
ganz oben angesiedelt.
Für das Ismaninger Beratungsunternehmen „m3 management consulting“ warnt Senior Manager Daniel Zittlau: „KMU sind einfache Opfer.“ Der Fachmann in Cybersecurity ruft Unternehmen daher dazu auf, die eigenen Systeme so gut wie möglich zu schützen.
Die noch in nationales Recht zu übertragenden EU-Richtlinien (KRITIS, NIS 2) seien dabei „als Chance, nicht als Bürde“ zu begreifen. Dies sagte er im Rahmen eines Online-Seminars von Energie & Management am 11. März.
Allein im Jahr 2024 haben Web-Kriminelle weltweit Lösegelder in Höhe von etwa 1,3 Milliarden Euro erpresst. Ob sie Daten per Phishing-Mail ergaunern, Websites per Anfragenflut (DDOS) temporär lahmlegen oder ganze Systeme mit Ransomware dauerhaft verschlüsseln und damit unerreichbar machen – „es besteht immer das Risiko immenser finanzieller Schäden“, so Daniel Zittlau.
Tausende Firmen mehr müssen Cyberresilienz nachweisen
Erstmals gilt die Pflicht, sich wehrhafter gegen Angriffe aus dem Digitalen zu machen, über die NIS-2-Direktive für KMU. Sie betrifft auch den Energiesektor und damit Firmen, die bis zu 250 Mitarbeitende haben oder mehr als 50 Millionen Euro Umsatz machen. Dies sind die „besonders wichtigen Einrichtungen“. „Wichtige Einrichtungen“ sind gemäß NIS 2 zum Beispiel Anbieter digitaler Dienste, die über einen Personalbestand von bis zu 50 Beschäftigten oder bis 10 Millionen Euro Umsatz verfügen.
Daniel Zittlaus Kollege Daniel Bohlmann sieht in naher Zukunft also 97 Prozent aller Unternehmen von den neuen Bestimmungen betroffen. Durch die Geschäftsbeziehungen von Firmen untereinander, durch verwobene Lieferketten (zum Beispiel Stromflüsse) und vielfältige Vernetzungen werde es kaum noch Ausnahmen von den geforderten Cybersicherungsmaßnahmen geben. Insgesamt erwartet m3 management consulting mehr als 25.000 Unternehmen, die ihre Cyber-Resilienz gemäß Richtlinien nachweisen müssen.
Daniel Bohlmann rechnet aufgrund des Bruchs der Ampelkoalition damit, dass Deutschland die EU-Richtlinien etwas verzögert in deutsches Recht übertrage. Sofern das Gesetz im dritten oder vierten Quartal in Kraft tritt, gelte die Umsetzungspflicht für Unternehmen dann vermutlich ab 2026.
Die möglichen Sicherungsmaßnahmen sind vielfältig und je nach Unternehmen maßzuschneidern. Johanna Kiehne, bei m3 management consulting für IT-Projektmanagement und Cyber Security zuständig, hält zum Beispiel doppelte (redundante) Systeme für relevant. Bei einem Angriff auf die laufende Technik könne das Geschäft dennoch weiterlaufen (Business Continuity Management).
Senior Manager Jana Gähler, in der Transformations- und Organisationsberatung tätig, empfiehlt, die Organisations- und Geschäftsebenen in Unternehmen bei den erforderlichen IT-Maßnahmen eng zu verzahnen. Das schaffe nicht nur Transparenz für alle über die IT-Landschaft, sondern auch Klarheit bei deren Verantwortlichkeiten.
Für das Ismaninger Beratungsunternehmen „m3 management consulting“ warnt Senior Manager Daniel Zittlau: „KMU sind einfache Opfer.“ Der Fachmann in Cybersecurity ruft Unternehmen daher dazu auf, die eigenen Systeme so gut wie möglich zu schützen.
Die noch in nationales Recht zu übertragenden EU-Richtlinien (KRITIS, NIS 2) seien dabei „als Chance, nicht als Bürde“ zu begreifen. Dies sagte er im Rahmen eines Online-Seminars von Energie & Management am 11. März.
Allein im Jahr 2024 haben Web-Kriminelle weltweit Lösegelder in Höhe von etwa 1,3 Milliarden Euro erpresst. Ob sie Daten per Phishing-Mail ergaunern, Websites per Anfragenflut (DDOS) temporär lahmlegen oder ganze Systeme mit Ransomware dauerhaft verschlüsseln und damit unerreichbar machen – „es besteht immer das Risiko immenser finanzieller Schäden“, so Daniel Zittlau.
Tausende Firmen mehr müssen Cyberresilienz nachweisen
Erstmals gilt die Pflicht, sich wehrhafter gegen Angriffe aus dem Digitalen zu machen, über die NIS-2-Direktive für KMU. Sie betrifft auch den Energiesektor und damit Firmen, die bis zu 250 Mitarbeitende haben oder mehr als 50 Millionen Euro Umsatz machen. Dies sind die „besonders wichtigen Einrichtungen“. „Wichtige Einrichtungen“ sind gemäß NIS 2 zum Beispiel Anbieter digitaler Dienste, die über einen Personalbestand von bis zu 50 Beschäftigten oder bis 10 Millionen Euro Umsatz verfügen.
Daniel Zittlaus Kollege Daniel Bohlmann sieht in naher Zukunft also 97 Prozent aller Unternehmen von den neuen Bestimmungen betroffen. Durch die Geschäftsbeziehungen von Firmen untereinander, durch verwobene Lieferketten (zum Beispiel Stromflüsse) und vielfältige Vernetzungen werde es kaum noch Ausnahmen von den geforderten Cybersicherungsmaßnahmen geben. Insgesamt erwartet m3 management consulting mehr als 25.000 Unternehmen, die ihre Cyber-Resilienz gemäß Richtlinien nachweisen müssen.
Daniel Bohlmann rechnet aufgrund des Bruchs der Ampelkoalition damit, dass Deutschland die EU-Richtlinien etwas verzögert in deutsches Recht übertrage. Sofern das Gesetz im dritten oder vierten Quartal in Kraft tritt, gelte die Umsetzungspflicht für Unternehmen dann vermutlich ab 2026.
Die möglichen Sicherungsmaßnahmen sind vielfältig und je nach Unternehmen maßzuschneidern. Johanna Kiehne, bei m3 management consulting für IT-Projektmanagement und Cyber Security zuständig, hält zum Beispiel doppelte (redundante) Systeme für relevant. Bei einem Angriff auf die laufende Technik könne das Geschäft dennoch weiterlaufen (Business Continuity Management).
Senior Manager Jana Gähler, in der Transformations- und Organisationsberatung tätig, empfiehlt, die Organisations- und Geschäftsebenen in Unternehmen bei den erforderlichen IT-Maßnahmen eng zu verzahnen. Das schaffe nicht nur Transparenz für alle über die IT-Landschaft, sondern auch Klarheit bei deren Verantwortlichkeiten.
Volker Stephan
© 2025 Energie & Management GmbH
Mittwoch, 12.03.2025, 09:20 Uhr
Mittwoch, 12.03.2025, 09:20 Uhr
teilen
teilen
teilen
teilen
Mehr zum Thema
Neues Ladenetzwerk Spark Alliance gründet sich
