Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) meldet, dass die Frequenz von Cyberangriffen auf deutsche Unternehmen im Jahr 2023 einen neuen Höchststand erreicht hat. Die Täter bedienen sich zunehmend raffinierter Taktiken, um an sensible Informationen zu gelangen und Unternehmen finanziell zu schädigen. Eine Aufstockung der Investitionen in die Cybersicherheit von Unternehmen ist deswegen schon lange kein gut gemeinter Rat mehr. Dennoch wird der Ausbau der eigenen Sicherheitsvorkehrungen häufig vernachlässigt und die Tragweite einer soliden Cybersicherheit unterschätzt. An diesem Punkt setzt die NIS-2-Richtlinie an, um diesem Missstand einen Riegel vorzuschieben. Bis zum 17. Oktober 2024 bleibt dir Zeit, um die Anforderungen dieser Richtlinie umzusetzen. Wir sagen dir, ob du handeln musst oder nicht.

Mehr Cybersicherheit mit der NIS-2-Richtlinie

Die NIS-2-Richtlinie, eine Initiative der Europäischen Union, zielt darauf ab, die Cybersicherheitsmaßnahmen von Unternehmen zu verstärken. Diese Neufassung der ursprünglich im Jahr 2016 verabschiedeten Richtlinie strebt eine Vereinheitlichung der Sicherheitsstandards an und soll die Resilienz innerhalb der EU verbessern. Dies geschieht durch die Angleichung der Sicherheitsanforderungen zwischen den Mitgliedsstaaten und den verschiedenen Wirtschaftszweigen und etabliert einen vereinheitlichten Ansatz im Kampf gegen Cybergefahren.

Die Revision dieser Richtlinie erscheint aus mehreren Gründen notwendig: Während einige Unternehmer die eingeschränkte Effektivität der ersten Fassung kritisieren, sehen andere in der Anpassung an die dynamischen und komplexen Herausforderungen der Cybersicherheit eine dringende Notwendigkeit.

Bist du von der NIS-2-Richtlinie betroffen?

Insbesondere für Betreiber essentieller Infrastrukturen ist die NIS-2-Richtlinie von großer Bedeutung, da Attacken auf diese Systeme weitreichende Konsequenzen haben können. Solche kritischen Einrichtungen, die eine zentrale Rolle für die öffentliche Sicherheit und Versorgung spielen, sind zunehmend im Fokus von Cyberkriminellen, besonders seit geopolitischen Spannungen wie dem Konflikt in der Ukraine. Dies bedeutet, dass du, sofern du in einem solchen Sektor tätig bist, besondere Aufmerksamkeit auf die Sicherheitsvorkehrungen legen solltest.

Definition „Mittleres Unternehmen“

Ein „mittleres Unternehmen“ sollte mindestens 50 und weniger als 250 Beschäftigte haben und z.B. zum Sektor Energie oder Verwaltung von IKT-Diensten bzw. zum verarbeitenden Gewerbe/ Herstellung von Waren oder Anbieter digitaler Dienste sein. 

Erweiterung der Sicherheitsanforderungen durch die NIS-2-Richtlinie

Ein Kernaspekt der NIS-2-Richtlinie ist die Ausdehnung ihres Geltungsbereichs auf weitere Sektoren und die Einführung einer Klassifizierung von Einrichtungen als „wesentlich“ oder „wichtig“. Die aktualisierte Liste beinhaltet nun Sektoren wie:

• Energieversorgung
• Transportwesen
• Finanzsektor
• Gesundheitswesen
• Wasserversorgung und -entsorgung
• Digitale Infrastruktur
• Staatliche Verwaltung
• Raumfahrtindustrie

Für kleinere Unternehmen tritt die Richtlinie nur in Kraft, wenn sie eine signifikante Rolle in der Bereitstellung essentieller Dienste spielen.

Wer gilt als „wichtige Einrichtung“?

Unternehmen gelten als „wichtige Einrichtung“, wenn sie in einem der insgesamt
aufgeführten 18 Sektoren tätig sind und nicht unter die Definition der „wesentlichen
Einrichtungen“ fallen.

1. Post- und Kurierdienste
2. Abfallbewirtschaftung
3. Produktion, Herstellung und Handel mit chemischen Stoffen
4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
5. Verarbeitendes Gewerbe/Herstellung von Waren
6. Anbieter digitaler Dienste
7. Forschung

Die genannten Sektoren unterteilt NIS2 noch in weitere Teilsektoren
Klein- und Kleinstunternehmen können ebenfalls unter die Richtlinie fallen, wenn sie

• in einem der 18 Sektoren bzw. in einem von NIS2 als Sonderfälle benannten Diensten tätig sind.
• entweder einen Jahresumsatz von mindestens 10 Mio. Euro, aber höchstens 50 Mio. Euro oder
• eine Jahresbilanzsumme von mindestens 10 Mio. Euro, aber höchstens 43 Mio. vorweisen. 

Unabhängig von der Größe der Einrichtungen gilt die NIS2-Richtlinie auch für
Einrichtungen, die in einem der in NIS2 aufgeführten 18 Sektoren tätig sind.

Deine Verantwortung gemäß der NIS-2-Richtlinie

Als Verantwortlicher deines Unternehmens bist du jetzt aufgefordert, weitreichende Maßnahmen zur Stärkung der Cybersicherheit zu ergreifen. Dies umfasst Strategien zur Risikoreduzierung, die frühzeitige Erkennung von Gefahren, schnelle Reaktionsmöglichkeiten bei Sicherheitsvorfällen und die restlose Wiederherstellung der betroffenen Systeme. Für eine tiefergehende Einsicht empfiehlt sich ein Blick in die EU-Direktive 2022/2555. Unsere Experten im Datenschutz stehen dir zur Seite, um deine Sicherheitsstrategien auf den neuesten Stand zu bringen.

Starte jetzt mit der Umsetzung

Noch hast du bis zum 17. Oktober 2024 Zeit, die Bestimmungen umzusetzen, wir empfehlen dir jedoch, schon jetzt mit der Umsetzung zu starten! Unsicher, wo du anfangen sollst oder ob die Richtlinie für dein Unternehmen relevant ist? Wir stehen dir natürlich für alle Fragen zur Verfügung.

Je größer dein Unternehmen wird, desto undurchsichtiger wird das Geflecht aus Geräten und Software. Ab einer bestimmten Größe ist daher eine genaue Überwachung und Kontrolle sämtlicher Komponenten sehr sinnvoll. Stell dir also die Frage, wer an welcher Stelle deines Unternehmens private Geräte (Bring Your Own Device) oder nicht genehmigte Apps für bestimmte Aufgaben nutzt. Diese sogenannte Shadow-IT birgt extrem viele Risiken, kann aber auch in bestimmten Fällen Chancen zur Effizienzsteigerung des Unternehmens mit sich bringen. Aber warum ist das so?

Shadow-IT… Shadow was?!

Um zu verstehen, was Shadow-IT ist, schauen wir uns einige typische Beispiele an:

• Der Griff zu nicht genehmigten Cloud-Services: Angenommen, du entscheidest dich, Dropbox, Google Drive oder OneDrive zu nutzen, um Arbeitsdokumente zu speichern und auszutauschen – alles ohne Verifizierung vom Chef oder von der IT-Abteilung.
• Selbstinstallierte Helferlein auf dem Dienstgerät: Vielleicht findest du eine App oder Software, die deinen Arbeitsalltag erleichtert, und installierst sie kurzerhand auf deinem Dienstcomputer. Ob es nun um Produktivitätssteigerung oder um spezialisierte Tools geht, solange die IT-Abteilung davon nichts weiß, bist du ein echtes Sicherheitsrisiko für dein Unternehmen!
• Das persönliche Gerät als Arbeitswerkzeug (Bring Your Own Device): Nutzt du dein eigenes Smartphone oder Laptop für berufliche Zwecke, ohne dass dies offiziell genehmigt wurde? Dies kann zwar praktisch sein, birgt aber Sicherheitsrisiken, wenn deine Geräte nicht den aktuellsten Unternehmensstandards entsprechen.

Chancen von Shadow-IT

Shadow-IT kann Arbeitsprozesse effizienter gestalten und Abläufe verschlanken, wo bestehende IT-Lösungen einfach zu langsam und ineffizient sind. Die Chance für dein Unternehmen besteht nun darin, diese Vorteile zu verstehen und als verifizierte Lösung in den Arbeitsalltag zu implementieren. So kann diese eigentlich ungewollte Praxis zu einem echten Game-Changer werden.

Mitarbeiter, Motivation und neue Techniken

Apropos „Game-Changer“: Ein weiterer wichtiger Punkt für die Implementierung von Shadow-IT ist die Akzeptanz der Mitarbeiter. Mitarbeiter, die eigene Lösungsansätze für effizienzsteigernde Maßnahmen präsentieren und umsetzen, fühlen sich verstanden und vor allem respektiert. Dieser Vorgang kann also nachhaltig die Arbeitsleistung der Mitarbeiter und somit die Performance des Unternehmens erhöhen. Einen Versuch ist es Wert!

Strategien für den Umgang mit Shadow-IT

Offenheit und Dialog

Sorge dafür, dass in deinem Unternehmen stets ein Dialog über innovative und effizienzsteigernde Maßnahmen geführt wird. Dies ermöglicht es der IT-Abteilung, passende Lösungen zu finden, die offiziell unterstützt werden und dem Unternehmen keinen Schaden zufügen können.

Klare Spielregeln formulieren

Es ist wichtig, dass jeder Mitarbeiter weiß, was erlaubt ist und was nicht. Durch klare Richtlinien und regelmäßige Schulungen kannst du das Bewusstsein für die Risiken von Shadow-IT schärfen und sicherstellen, dass alle auf dem Laufenden sind.

Anpassungsfähige IT-Lösungen

Last but not least, sollte euer Unternehmen darauf abzielen, flexible IT-Lösungen bereitzustellen, die euren Bedürfnissen entsprechen. So wird der Bedarf an Shadow-IT verringert, und die IT-Abteilung kann als innovativer Partner agieren, der Sicherheit und Compliance sicherstellt.

Shadow-IT – Im Schatten liegt das Potenzial

Shadow-IT ist also ein zweischneidiges Schwert – es bietet Chancen für Innovation und Effizienz, birgt aber auch Risiken für die eigene IT-Infrastruktur! Mit einem proaktiven, transparenten Ansatz kannst du helfen, die Vorteile zu maximieren und gleichzeitig die Sicherheit deines Unternehmens zu gewährleisten. Du weißt jetzt nicht so genau, wie du Shadow-IT erkennen kannst oder wie du in deinem Unternehmen am besten damit umgehen kannst? Gerne helfen wir dir weiter. Kontaktiere uns einfach zu diesem Thema über das Kontaktformular.

Cyberangriffe sind mittlerweile allgegenwärtig, was auch der BSI-Lagebericht 2023 unterstreicht, der täglich rund 21.000 infizierte Systeme in Deutschland meldet. Software-Anbieter, die wertvolle und sensible Daten verarbeiten, sind besonders attraktive Ziele für Cyberkriminelle.

AnyDesk – Was ist passiert

Im Dezember 2023 wurde AnyDesk Ziel eines Cyberangriffs, bei dem Quellcode und Zertifikate kompromittiert wurden. Der Vorfall wurde jedoch erst im Januar 2024 entdeckt, woraufhin am 2. Februar dann eine offizielle Mitteilung erfolgte. Obwohl keine Manipulation im Quellcode festgestellt wurde und Nutzerdaten scheinbar nicht betroffen waren, wurden als Vorsichtsmaßnahme Kundenpasswörter zurückgesetzt. Trotzdem gibt es Berichte über den Verkauf von Kundendaten im Darknet.

Reaktionen und Maßnahmen

AnyDesk leitete unverzüglich eine Sicherheitsüberprüfung und eine tiefgehende forensische Untersuchung ein, um das Ausmaß der Kompromittierung zu bewerten. In Kooperation mit Sicherheitsexperten wurden kompromittierte Zertifikate zurückgezogen und neue Softwareversionen mit aktualisierten Zertifikaten veröffentlicht. Kunden wurden aufgefordert, die Software zu aktualisieren und ihre Passwörter zu ändern.

Empfehlungen für Unternehmen

Unternehmen sollten die aktualisierte AnyDesk-Software installieren und nur aus vertrauenswürdigen Quellen beziehen. Die Änderung des AnyDesk-Passworts ist dringend angeraten, insbesondere wenn identische Zugangsdaten auch anderweitig verwendet werden. Neben diesen direkten Maßnahmen empfiehlt es sich, die Softwareinstallation auf Mitarbeitergeräten zu kontrollieren, die Verwendung sicherer Passwörter zu schulen und einen Incident-Response-Plan zu entwickeln.

Durch proaktive Maßnahmen und eine stetige Sensibilisierung für Cybersicherheit können Unternehmen ihre Anfälligkeit für Cyberangriffe reduzieren und die Sicherheit ihrer Daten und Systeme verbessern.

In der Unternehmensführung zählt Zeit zu den kritischsten Ressourcen, die über den Erfolg oder Misserfolg von Geschäftsaktivitäten entscheiden kann. Daher haben sich moderne Zeiterfassungssysteme als unverzichtbares Instrument erwiesen, um Arbeitszeiten effizient zu überwachen und durch gezielte Optimierungen die Gesamt-Performance deines Unternehmens zu verbessern. Hier erklären wir dir, wie du Zeiterfassungssysteme zur Steigerung der Effizienz in deinem Betrieb gezielt einsetzen und den daraus resultierenden Mehrwert maximieren kannst.

Zeiterfassungssysteme – Die Bedeutung für dein Geschäft

Durch die digitale und automatische Dokumentation aller Arbeitsstunden ist es Unternehmen möglich, die Arbeitsleistung präzise zu erfassen und so Arbeitskräfte effektiver einzusetzen. Zeiterfassungssysteme erleichtern das Aufdecken von Problemstellen, die effiziente Zuteilung von Aufgaben sowie die Identifikation und Beseitigung unproduktiver Prozesse. Dies führt automatisch zur Steigerung der Arbeitsproduktivität und kann merkbare Kosteneinsparungen mit sich bringen, wenn die Systeme korrekt angewendet werden.

Einsatzmöglichkeiten für Zeiterfassungssysteme

1. Festlegung klarer Richtlinien:

Eine transparente und konsistente Zeiterfassungsroutine ist das „A und O“ für die erfolgreiche Implementierung eines Zeiterfassungssystems. Dazu gehört die präzise Definition, wer, wann und wie die Arbeitszeiten erfasst. Es ist überaus wichtig, dass diese Richtlinien detailliert kommuniziert werden, um Missverständnisse zu vermeiden und eine einheitliche Anwendung im gesamten Unternehmen zu gewährleisten.

Die Einbindung der Mitarbeiter in den Erstellungsprozess dieser Richtlinien kann deren Akzeptanz um ein Vielfaches erhöhen. Regelmäßige Feedback-Sessions und Fragerunden können dazu beitragen, eventuelle Unklarheiten zu beseitigen und eine Kultur der Offenheit und Transparenz zu fördern.

2. Zeiterfassungssysteme im Projektmanagement:

Zeiterfassungssysteme bieten eine wertvolle Unterstützung im Projektmanagement, indem sie es ermöglichen, den Arbeitsaufwand für einzelne Projektschritte nachzuvollziehen. Dies hilft Projektmanagern, Ressourcen gezielter zu planen und einzusetzen. Durch die Analyse der erfassten Zeiten können Projekte zukünftig realistischer geplant werden, indem man beispielsweise häufig unterschätzte Aufgaben erkennt und entsprechend mehr Zeitressourcen einplant.

Die Möglichkeit, in Echtzeit den Fortschritt zu überwachen, erlaubt es, proaktiv einzugreifen, wenn Projekte drohen, aus dem Zeitrahmen zu laufen, und unterstützt eine dynamische Projektsteuerung.

3. Überwachung von Arbeitszeit und Kosten:

Eine genaue Erfassung der Arbeitszeit ist ein fundamentaler Bestandteil für die Kontrolle von Personalkosten und die Budgetierung von Projekten. Durch detaillierte Auswertungen der Arbeitszeiten lassen sich Trends und Muster erkennen, die für eine effiziente Personalplanung genutzt werden können. Beispielsweise kann die Identifizierung von Zeiträumen mit hohem Arbeitsaufkommen dazu führen, dass zusätzliche Ressourcen oder Schulungen geplant werden, um Spitzenbelastungen optimaler managen zu können.

Des Weiteren erlaubt die präzise Zuordnung von Arbeitszeiten zu spezifischen Projekten oder Kunden eine transparente Abrechnung, die das Vertrauen der Kunden in dein Unternehmen nachhaltig stärkt und auch die Grundlage für eine faire Preisgestaltung bildet.

4. Zeiterfassungssysteme zur Bewertung der Mitarbeiterleistung:

Indem man die Daten aus der Zeiterfassung für die Leistungsbewertung nutzt, kann ein objektiveres Bild der individuellen und teambasierten Arbeitsleistung erstellt werden. Dies ermöglicht es Führungskräften, Leistungsengpässe zu identifizieren und gezielte Maßnahmen zur Unterstützung und Weiterentwicklung der Mitarbeitenden zu ergreifen.

Eine datenbasierte Leistungsbeurteilung kann übrigens auch als Grundlage für Belohnungssysteme dienen, die sich an der tatsächlichen Leistung der jeweiligen Mitarbeitern orientieren. Die konstruktive Nutzung der Daten unterstützt zudem individuelle Karrierepfade und motiviert Mitarbeitende durch die faire Anerkennung ihrer Beiträge zum Unternehmenserfolg.

Wir unterstützen dich bei der Einführung von Zeiterfassungssystemen

Die Einführung eines neuen Zeiterfassungssystems kann Herausforderungen mit sich bringen, insbesondere hinsichtlich der Akzeptanz deiner Mitarbeiter. Um potenziellen Unmut zu minimieren, bieten wir dir volle Unterstützung bei der reibungslosen Implementierung von Zeiterfassungssystemen in deinem Unternehmen an. Kontaktiere uns einfach mal für eine unverbindliche Beratung. Wir zeigen dir den Weg zu einer effizienten und akzeptierten Zeiterfassung!