Warum Krisenkommunikation eine End-to-End-Verschlüsselung braucht: Lehren aus NIS2

Im vergangenen Jahr gab es weltweit 3205 Cyberangriffe und Datenschutzverletzungen, und bei dem größten Angriff wurden mehr als 3 Milliarden Benutzerkonten offengelegt. Wenn Unternehmen ihre Bemühungen im Bereich der Cybersicherheit verstärken, müssen sie auch die Einhaltung neuer Vorschriften sicherstellen. Neu eingeführte Gesetze wie die NIS2-Richtlinie (Network and Information Systems Directive) konzentrieren sich nun nicht mehr nur auf externe oder kundenorientierte Protokolle und Incident Management, sondern auch auf sichere interne Kommunikationsprozesse und Aufzeichnungen.

In diesem Artikel gehen wir darauf ein, wie diese Vorschriften die Krisenkommunikation neu gestalten und was Unternehmen tun müssen, um die Zusammenarbeit im Notfall zu sichern.

Krisenkommunikation und das Aufkommen von Cyber-Regulierungen

Die Allgemeine Datenschutzverordnung (GDPR) und die NIS2-Richtlinie sind zwei wichtige Gesetze zum Schutz von Daten und zur Gewährleistung der Widerstandsfähigkeit und Kontinuität von Unternehmen. Während die GDPR Maßnahmen vorschreibt, um den Datenschutz und die Datensicherheit zu jeder Zeit, auch während einer Krise, zu gewährleisten, konzentriert sich die NIS2-Richtlinie speziell auf die Cybersicherheit und legt Regeln für die Krisenkommunikation fest.

Da die Cyber-Risiken immer weiter eskalieren, ist es offensichtlich, dass eine rechtzeitige und umfassende interne Kommunikation und Koordinierung für die wirksame Bewältigung eines negativen Ereignisses entscheidend ist. Eine wirksame Reaktion auf einen Vorfall erfordert, dass die Teams sensible Informationen austauschen, und ein Angriff auf die genutzten Kommunikationskanäle kann die Krise noch weiter verschärfen.

NIS2 unterstreicht die Aufsicht und Verantwortlichkeit des Vorstands beim Krisenmanagement: Führungskräfte und Vorstandsmitglieder sind nun dafür verantwortlich, dass die Protokolle für die Reaktion auf Notfälle sicher, nachvollziehbar und transparent sind. Damit rückt die interne Kommunikation ebenso in den Mittelpunkt wie die externe oder kundenorientierte Kommunikation.

Was NIS2 von organisatorischer Kommunikation erwartet

Die NIS2 legt einige klare Regeln für die Krisenkommunikation in Unternehmen fest, die sich auf Reaktionszeiten, eine revisionssichere Dokumentation und sichere Kommunikationskanäle konzentrieren.

Zeit für die Meldung von Vorfällen

Die NIS2 schreibt vor, dass Unternehmen bedeutende Vorfälle im Bereich der Cybersicherheit in drei Phasen melden müssen:

• Unternehmen müssen innerhalb von 24 Stunden nach einem Vorfall eine Frühwarnung an die zuständige Behörde oder das nationale Computer Security Incident Response Team (CSIRT) übermitteln.
• Diese Meldung muss die Behörden darüber informieren, ob der Vorfall durch eine illegale oder böswillige Handlung verursacht wurde und ob er grenzüberschreitende Auswirkungen haben könnte.
• Ziel ist es, die Ausbreitung einer Bedrohung schnell einzudämmen und ihre Auswirkungen zu minimieren.

2 Benachrichtigung über einen Vorfall

• Dieser Bericht muss innerhalb von 72 Stunden nach Bekanntwerden eines Vorfalls eingereicht werden.
• Er muss detailliert sein und eine erste Einschätzung der Schwere des Vorfalls sowie seiner möglichen Auswirkungen enthalten.
• Er muss auch alle verfügbaren Indikatoren für eine Kompromittierung enthalten.
• Die Organisation muss den Vorfall den Strafverfolgungsbehörden melden, wenn er krimineller Natur ist.

• Dieser muss innerhalb eines Monats nach der ersten Meldung vorgelegt werden.
• Er muss eine detaillierte Beschreibung des Vorfalls enthalten, darunter:
  • Ursache
  • Schweregrad
  • Auswirkung
  • Abgeschlossene und laufende Reaktions- und Abhilfemaßnahmen
  • Internationale Implikationen und Auswirkungen

Organisationen müssen auch jede erhebliche Cyber-Bedrohung melden, von der sie vermuten, dass sie zu einer schwerwiegenden Sicherheitsverletzung führen könnte. Die NIS2 stuft eine Bedrohung als signifikant ein, wenn sie diese Bedingungen erfüllt:

• Sie kann zu erheblichen Betriebsstörungen oder finanziellen Verlusten führen.
• Potenziell erheblicher materieller oder immaterieller Schaden für natürliche oder juristische Personen.

Revisionssichere Dokumentation

• Die NIS2 schreibt prüfbare Aufzeichnungen über die gesamte Kommunikation während einer Krise vor, um Transparenz und Compliance zu gewährleisten
• Sie müssen für die Überprüfung durch Aufsichtsbehörden oder interne Prüfer leicht zugänglich sein.
• Dies unterstreicht den Bedarf an sicheren, nachvollziehbaren Tools für die Unternehmenskommunikation, da Messaging-Anwendungen für Privatanwender umfangreiche Messaging-Pfade möglicherweise nicht genau erfassen oder protokollieren.

Sicherer Multi-Faktor-Zugang

• Die NIS2 schreibt strenge Sicherheitsmaßnahmen einschließlich End-to-End-Verschlüsselung und Multi-Faktor-Authentifizierung für die interne Kommunikation vor. Dies erfordert ein robustes Kommunikationssystem, das sowohl Sprach-, Video- und Textkommunikation als auch Dateien und Dokumente schützen kann.
• Außerdem wird die Bedeutung robuster rollenbasierter Zugriffsprotokolle betont.
• Die Multi-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene, die es Cyberkriminellen erschwert, in Systeme einzudringen und krisenbezogene Kommunikation zu manipulieren.

Die Gefahr von unverschlüsselten Kanälen während einer Krisensituation

Wie sicher ist ein Kommunikationskanal? Die Wahrheit ist, dass selbst Plattformen, die behaupten, verschlüsselt und vollkommen sicher zu sein, ernsthafte Schwachstellen aufweisen, die von Hackern ausgenutzt werden können. Der chinesische Cyberangriff "Salt Typhoon" auf US-amerikanische Telekommunikationsanbieter, Hotels und Fluggesellschaften hat beispielsweise Daten zur nationalen Sicherheit und Informationen über politische Führer offengelegt. Die Hacker setzten ausgeklügelte Technologien und Taktiken ein, um Abwehrmaßnahmen zu durchbrechen, und nutzten erfolgreich bestehende Backdoor-Portale, die von Regierungen und Geheimdiensten zur legalen Überwachung verwendet werden.

Trotz ihrer angeblich robusten Cybersicherheitsmaßnahmen haben fast alle Messaging-Apps für Verbraucher und sogar Kommunikationsplattformen für Unternehmen wie Slack oder Microsoft Teams Sicherheitslücken in ihrer Architektur eingebaut.

Selbst ohne absichtliche Sicherheitslücken gewährleisten die meisten Kommunikationsplattformen, darunter Zoom, Slack und MS Teams, keine Ende-zu-Ende-Verschlüsselung. Um als vollständig verschlüsselt zu gelten, muss die Plattform die Daten sowohl im Ruhezustand als auch bei der Übertragung schützen. Sie müssen auf der Seite des Absenders verschlüsselt und erst beim Empfänger entschlüsselt werden. Wenn die Plattform oder das Tool diese vollständige Verschlüsselung nicht gewährleistet, können die Lücken in der Abdeckung ausgenutzt werden. Ein unbefugter oder böswilliger Zugriff auf sensible Informationen, die während einer Krise ausgetauscht werden, wird eine schlechte Situation zweifellos noch viel schlimmer machen.

Ende-zu-Ende-Verschlüsselung: Nicht nur für Messaging

Wenn es um geschützte Notfallkommunikation geht, ist die Vertraulichkeit von Gesprächen und Dateien nur ein Teil des Puzzles. Sie müssen auch das gesamte Ausmaß der vorhandenen Cybersicherheitsmaßnahmen, die gesetzlichen Anforderungen und die Benutzerfreundlichkeit berücksichtigen:

Robuste Verschlüsselung - Achten Sie auf den Grad der Verschlüsselung, den Ihr Tool gewährleistet. Prüfen Sie, ob es irgendwelche Hintertürchen gibt, die ausgenutzt werden können. Wire verwendet fortschrittliche Verschlüsselungsmaßnahmen wie das Proteus-Protokoll, um jede Nachricht und Datei zu schützen. Das bedeutet, dass alle Daten, die auf unserer Plattform ausgetauscht werden, mit einem eindeutigen Schlüssel verschlüsselt sind. Wir bieten auch Unterstützung für mehrere Geräte, so dass Benutzer nahtlos über verschiedene Geräte auf ihre Nachrichten zugreifen können, um eine schnelle und unterbrechungsfreie Koordination zu gewährleisten. Wire verwendet außerdem das Messaging Layer Security (MLS)-Protokoll, um Gruppengespräche zu sichern.

Zero Trust, rollenbasierte Zugriffskontrollen - Was passiert, wenn es einem Hacker gelingt, die Schutzmaßnahmen der Plattform zu durchbrechen und Zugriff auf Dateien und Diskussionen zu erhalten? Bei einer Verbraucher-App wie WhatsApp oder Signal oder sogar MS Teams und Slack kann dies zu einer ernsthaften Datenverletzung führen. Neben der Ende-zu-Ende-Verschlüsselung muss die Plattform auch auf einer Zero-Trust-Architektur basieren, die rollenbasierte Zugriffskontrollen gewährleistet. Selbst wenn sie gehackt wird, können böswillige Akteure keine sensiblen Informationen abgreifen.

Benutzerfreundlichkeit - Die Frage ist, ob solche fortschrittlichen Sicherheitsmaßnahmen die Benutzerfreundlichkeit beeinträchtigen. Und die Antwort ist ein klares Nein. Wir sorgen für eine wunderbar unsichtbare Sicherheit - unsere Plattform gewährleistet den maximalen Schutz für Ihre Diskussionen, Dateien und Anrufe, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Wir glauben, dass dies entscheidend ist, um zu verhindern, dass Teams auf inoffizielle, nicht genehmigte Kommunikationskanäle zurückgreifen, nur weil diese einfach zu benutzen sind.

Fallback-Kommunikation: Was ist, wenn ein Cyberangriff Ihr Unternehmensnetzwerk kompromittiert oder Dienstanbieter beeinträchtigt? Sie benötigen eine Plattform, die eine Out-of-Band-Fallback-Kommunikation gewährleistet. Wire arbeitet unabhängig von Unternehmensnetzwerken und sogar von mobilen Netzwerken und ermöglicht Teams die Zusammenarbeit in Echtzeit und asynchron.

Nachvollziehbarkeit: Die NIS2 schreibt prüfbare Aufzeichnungen jeder Nachricht vor, die während einer Krise gesendet wird. Ihre Kommunikationsplattform muss in der Lage sein, alle vorfallbezogenen Gespräche, Anrufprotokolle und Dateien zu speichern. Wire speichert detaillierte Protokolle aller Gespräche und Dateien im Rahmen des Vorfallsmanagements, die zu Compliance-Zwecken leicht abgerufen werden können.

Fazit

Die moderne Unternehmenslandschaft ist hochgradig digital und vernetzt, und eine Verletzung der Cybersicherheit kann sich ohne wirksame Abhilfestrategien zu einem riesigen Vorfall auswachsen. Eine sichere Kommunikation zur Reaktion auf Vorfälle wird schnell zu einer strategischen Priorität, die durch gesetzliche Vorschriften und ein besseres Verständnis der Schwachstellen in Kollaborations- und Messaging-Plattformen vorangetrieben wird. Ende-zu-Ende-Verschlüsselung, Multi-Faktor-Authentifizierung und prüfbare Aufzeichnungen der Kommunikation sind wichtige Anforderungen der NIS2, und Unternehmen müssen einen proaktiven Ansatz verfolgen, um sichere und konforme Krisenkommunikationsstrategien zu gewährleisten.

Erfahren Sie mehr darüber, wie Sie Ihre Krisenkommunikationsstrategie sichern können, um Vorschriften wie NIS2 einzuhalten. Laden Sie unser Whitepaper "Die entscheidende Rolle der sicheren Kommunikation bei der Einhaltung von NIS2" herunter.