Investitionen in die Ausbildung von Cybersecurity-Experten sind eine Angelegenheit von nationalem Interesse

Am Freitag fand die erste Konferenz zur neuen Cybersecurity-Verordnung, die letzten Dienstag zur öffentlichen Konsultation veröffentlicht wurde, in einem voll besetzten Algebra Spark Space statt. Unter anderem konzentrierte sich die Diskussion auf den globalen Bedarf an Kompetenzsteigerung, Umschulung und zusätzlicher Ausbildung für Experten im Bereich Cybersecurity. Die Konferenz brachte Experten und Branchenvertreter zusammen, die Erfahrungen, Wissen und Perspektiven zu den neuen rechtlichen Rahmenbedingungen für die Regulierung von Cybersecurity austauschten.

Am Dienstag, den 8. Oktober 2024, wurde die Cybersecurity-Verordnung, die im Rahmen des Cybersecurity-Gesetzes erlassen wurde, zur öffentlichen Konsultation veröffentlicht. Sie legt Kriterien für die Kategorisierung von Einrichtungen und die Maßnahmen oder Kontrollen fest, die die verpflichteten Parteien umsetzen müssen, sowie die Kriterien für die Meldung signifikanter Vorfälle. In diesem Prozess ist es entscheidend, nach der Information der Einrichtungen durch die zuständige Behörde über ihre Kategorie und die für sie geltenden Maßnahmen den Umfang der Umsetzung spezifischer Maßnahmen zu verstehen, nachdem eine vorherige Bewertung (Gap-Analyse) des aktuellen Reifegrads der angewandten Maßnahmen und der Maßnahmen, die jeder Unternehmer umsetzen muss, durchgeführt wurde, sowie die Planung eines angemessenen Budgets für die Umsetzung spezifischer Maßnahmen.

– Angesichts des ständigen technologischen Fortschritts werden Cyber-Bedrohungen zunehmend ausgeklügelt und schwerer zu erkennen. Die heutigen Angriffe können hochentwickelte Methoden wie ‚Zero-Day‘-Exploits umfassen, die Schwachstellen in Software ausnutzen, die dem Hersteller noch nicht bekannt oder gepatcht sind. Darüber hinaus wird fortgeschrittenes Phishing eingesetzt, um gezielt bestimmte Personen durch maßgeschneiderte Nachrichten anzusprechen, die äußerst überzeugend erscheinen. Auch die Techniken der sozialen Manipulation haben sich weiterentwickelt; Angreifer führen gründliche Vorbereitungen durch, um ihre Methoden so effektiv wie möglich zu gestalten. Die größten Bedrohungen kommen nach wie vor von Personen, die nicht ausreichend ausgebildet sind und daher Fehler machen – betonte Robert Petrunić, Dozent im neu gestarteten Cybersecurity-Studium an der Algebra-Universität.

Irena Weber, die CEO von HUP, hatte die Ehre, die Konferenz zu eröffnen, und hob in ihrer Eröffnungsrede die Perspektive der Unternehmer in der digitalen Transformation und der Entwicklung von Cybersecurity hervor.

– Cybersecurity wird nicht mehr ausschließlich im IT-Sektor betrachtet, sondern viel breiter. HUP hat an der Ausarbeitung des Gesetzes mitgewirkt, um Unternehmen und der gesamten Wirtschaft zu helfen. Die Bestimmungen helfen Unternehmern, ihr Geschäft anzupassen und eine sichere digitale Zukunft für alle zu gewährleisten. Das neue Cybersecurity-Gesetz bringt zahlreiche Verpflichtungen, aber auch Chancen. Durch die Einführung eines höheren Sicherheitsniveaus haben unsere Unternehmen die Möglichkeit, das Vertrauen der Kunden zu sichern und wettbewerbsfähiger auf dem globalen Markt zu werden. Das Gesetz bietet uns allen Chancen für weiteres Wachstum, und diese Konferenz sowie die zusätzliche Ausbildung in Cybersecurity sind ein bedeutender und wichtiger Schritt in die richtige Richtung, und ich glaube, es wird eine sichere Zukunft für uns alle gewährleisten – sagte Weber.

Mit dem Cybersecurity-Gesetz wurde am 15. Februar die Funktionalität eines zentralen staatlichen Organs für Cybersecurity eingerichtet, das von SOA durchgeführt wird, und zu diesem Zweck wird das bestehende Cybersecurity-Zentrum von SOA in das Nationale Cybersecurity-Zentrum (NCSC-HR) umgewandelt. Anlässlich dieser Gelegenheit reflektierte Aleksandar Klaić vom Cybersecurity-Zentrum von SOA über die Erkennung, Frühwarnung und den Schutz vor Cyberangriffen und präsentierte einen Entwicklungsplan sowie Sensibilisierungsmaßnahmen für die breitere Bevölkerung über Cybersecurity.

– Aufgrund der Ernsthaftigkeit des gesamten Prozesses muss alles in einer neuen organisatorischen Weise begleitet werden, in der uns das erlassene Gesetz unterstützen wird. SOA wird sich in den kommenden Wochen und Monaten auf die Kernfragen konzentrieren, die weltweit in der Cybersecurity auftreten, nämlich das unzureichende Bewusstsein für Cybersecurity-Risiken. Dies gilt jedoch nicht nur für Kroatien oder die EU, sondern für die meisten Länder der Welt – begann Klaić.

– Wir müssen den gesamten regulatorischen Rahmen berücksichtigen. Eine erhebliche Menge an Arbeit steht uns bevor, aber die Fristen sind großzügig festgelegt, nicht um die Arbeit zu vermeiden, sondern um eine Kultur des Risikomanagements zu entwickeln und das Reifegradniveau der Cybersecurity in allen wichtigen Segmenten zu erhöhen, ob es sich um staatliche oder private Einrichtungen handelt – erklärte er und fügte hinzu, dass das Ministerium für Verteidigung (MORH) und das Ministerium des Innern (MUP) Unterstützung bieten. Tatsächlich spielt MORH eine wichtige Rolle im militärischen oder Verteidigungssektor, während MUP gegen Cyberkriminalität kämpft.

– Der Prozess muss bis April 2025 abgeschlossen sein, da wir bis dahin eine erste Liste für die Europäische Kommission haben müssen. Die erste Kategorisierung wird spätestens bis März 2025 durchgeführt, bis zu diesem Zeitpunkt werden Sie eine Benachrichtigung über die Kategorisierung erhalten, und dann beginnen die Verpflichtungen für die Unternehmer. Nach April 2025 wird die Umsetzung der Maßnahmen in den Einrichtungen innerhalb eines Jahres folgen. Sie hatten ein Jahr Zeit, um das Gesetz zu studieren, und jetzt haben Sie ein weiteres Jahr, um die Maßnahmen umzusetzen. Die Fristen sind nicht sehr eng, sondern großzügig, da wir eine partnerschaftliche Beziehung von der gesamten Gesellschaft erwarten. Maßnahmen und Strafen müssen vorgeschrieben werden, denn das Gesetz ist nichts anderes als eine Sicherheitsrichtlinie – vermittelte Klaić den versammelten Unternehmern und fügte hinzu, dass, wenn die genannten Maßnahmen nicht umgesetzt werden, wirtschaftliches Wachstum unmöglich sein wird.

Krešimir Šipek vom Institut für Informationssicherheit sprach über die Umsetzung der Selbstbewertung der Cybersecurity. Die Selbstbewertung der Cybersecurity in Schlüsselstellen kann als Vorbereitung auf die Durchführung eines Cybersecurity-Audits durchgeführt werden. Sie sollte mindestens alle zwei Jahre mit Hilfe interner Ressourcen oder externer Dienstleister durchgeführt werden. Die Selbstbewertung ist entscheidend für die Etablierung eines systematischen Risikomanagements auf organisatorischer Ebene, ein besseres Verständnis und den Schutz der eigenen IT-Infrastruktur sowie die Sensibilisierung der Mitarbeiter für Cybersecurity und die Stärkung der Resilienz der gesamten digitalen Gesellschaft, was einer der Schlüsselpunkte der NIS2-Richtlinie ist.

Marina Dimić Vugec vom Nationalen CERT erklärte die Rolle der Pixi-Plattform, über die Vorfälle, Bedrohungen und Informationen auf nationaler und europäischer Ebene gemeldet und ausgetauscht werden, und betonte, dass das Hauptziel des neuen Gesetzes darin besteht, die Resilienzstufen der EU-Mitgliedstaaten gegenüber Cyberbedrohungen anzugleichen.

Das Panel zu den Fähigkeiten umfasste Ivona Loparić, Informationssicherheitsberaterin, Diverto; Goran Car, CEO, Combis; Andro Galinović, CEO für Informationssicherheit, Infobip; Bruno Pavić, Sicherheits- und Geheimdiensexperte, ProForca; und Robert Petrunić, Dozent im neu gestarteten Cybersecurity-Studium an der Algebra-Universität.

– Das Schlüsselwort ist Interdisziplinarität, was bedeutet, dass neben diesen technischen Fähigkeiten auch die Soft Skills gestärkt werden müssen. Man kann nicht von vergangenen Ruhm in der Cybersecurity leben; es ist entscheidend, Wissen und Kompetenzen kontinuierlich zu erhöhen. Deshalb haben wir ein neues, das erste Cybersecurity-Studium in Kroatien an der Algebra-Universität ins Leben gerufen, das in diesem Jahr seine erste Generation von Studierenden begrüßt hat, die bald in den Arbeitsmarkt eintreten werden – sagte Petrunić.

Das Panel kam zu dem Schluss, dass es notwendig ist, zunächst die breitere Gesellschaft, dann die Branchenvertreter und schließlich die Cybersecurity-Experten selbst zu schulen, da heute klar ist, dass diesem Bereich viel mehr Aufmerksamkeit geschenkt werden muss. Regelmäßige Schulungen und Ausbildungen zu den neuesten Sicherheitsbedrohungen sowie die Implementierung fortschrittlicher Sicherheitslösungen, wie Verhaltensanalysen und künstliche Intelligenz zur Erkennung von Anomalien im Netzwerkverkehr, sind entscheidend, um sich gegen ausgeklügelte Angriffe zu verteidigen.

Zum Thema Sicherheitskontrollen und Technologien in der Cybersecurity umfasste das Panel Tamara Hađina, Leiterin der Forschungsprojekte, Končar; Boris Bajtl, Vizepräsident des Kroatischen Instituts für Cybersecurity; Jurica Čular, Informationssicherheitsexperte, Infobip; Saša Jusić, Senior Informationssicherheitsberater, Infigo; und Sven Škrgatić, Leiter der Unternehmenssicherheit, A1.

– Im Prozess der Einführung einer Methodologie zur Kontrolle von Cybersecurity-Risiken sind die Menschen am wichtigsten; sie benötigen Bildung auf allgemeiner Ebene, um Bedrohungen zu erkennen und angemessen zu reagieren, da dies nicht intuitiv ist, weshalb es gut ist, dieses Thema bei der heutigen Veranstaltung zu diskutieren. Die Verordnung hat bereits große Erfolge erzielt, bevor sie verabschiedet wurde, da viel über Cybersecurity diskutiert wird, was sicherlich eines der Ziele ist – sagte Boris Bajtl, Vizepräsident des Kroatischen Instituts für Cybersecurity.

– Vorschriften und gesetzgeberische Dokumente sind oft schlecht formuliert, was bei dieser Verordnung nicht der Fall war. Sie verlangen oft von Unternehmen, Aktivitäten zu unternehmen, die nicht durchführbar sind – sagte Jurica Čular, Informationssicherheitsexperte, Infobip.

Die dritte Podiumsdiskussion mit dem Titel „Wer kontrolliert uns: Herausforderungen und Chancen für Frauen in der Cybersecurity“ konzentrierte sich auf die Rolle der Frauen in der Welt der IT und Cybersecurity. Moderiert von Martina Dragičević von dem Telekommunikationsgiganten A1 diskutierten Experten im Bereich Unternehmens- und Kundensicherheitsmanagement die Position der Frauen in diesem herausfordernden Sektor: Vlatka Jajetić, Leiterin des Cyber Incident Response und Security Management Service, CARNET/National CERT; Marija Portner Marinković, Vertreterin des Büros des Nationalen Sicherheitsrates, SOA; Antonija Vojnović, Leiterin des InfoSec-Teams, SPAN; und Blanka Zubelj, Sicherheitsdirektorin, RBA.

Cybersecurity stellt einen der spezifischen und sehr wichtigen Zweige im STEM-Bereich dar, der allgemein als ein Bereich anerkannt wird, in dem es auch notwendig ist, Frauen von klein auf zu ermutigen, sich damit zu beschäftigen und sich darin weiterzuentwickeln. Laut den Panelisten waren vor zehn Jahren nur sehr wenige Frauen in diesem Bereich vertreten, aber glücklicherweise ist Fortschritt sichtbar, und das Interesse von Frauen an diesem sehr interessanten und dynamischen STEM-Bereich wächst.

Unternehmer sollten auf jeden Fall die Gelegenheit nutzen und an Workshops teilnehmen, die von Algebra, SOA, ZSIS und CARNET durchgeführt werden, in denen Klarstellungen zu den bevorstehenden Verpflichtungen gegeben werden. Cyberangriffe nehmen zu, und um sie zu verhindern, reicht es nicht aus, nur in Technologie zu investieren, sondern auch in die Menschen, die diese Technologie nutzen werden. Angesichts des erheblichen Mangels an IT-Fachkräften im Land liegt die Lösung, die die besten Ergebnisse liefern wird, in der zusätzlichen Ausbildung bestehender IT-Spezialisten und deren Umschulung im Bereich Cybersecurity – wurde auf der diesjährigen Konferenz festgestellt.