Cybersicherheitslandschaft in Großbritannien: Strategische Prioritäten für 2025

Als Reaktion darauf hat die britische Regierung neue Gesetze zur Verbesserung der nationalen Cyberresistenz erörtert. Zu diesen Initiativen gehören die Ausweitung der behördlichen Aufsicht, die Einführung verbindlicher Anforderungen zur Meldung von Vorfällen und die Möglichkeit, agiler auf neue Bedrohungen zu reagieren. Gleichzeitig müssen Unternehmen aus allen Sektoren ihre Cybersicherheitsrichtlinien überdenken, um mit einem zunehmend komplexen Bedrohungsumfeld Schritt zu halten.

Das National Cyber Security Center (NCSC) hilft Unternehmen beim Aufbau robusterer Cyberabwehr. Die Cyber Essentials-Zertifizierung entwickelt sich zu einem grundlegenden Standard, insbesondere da die Regierung neue Maßnahmen zum Schutz kritischer Infrastrukturen erwägt und die sektorübergreifende Ausrichtung auf bewährte Verfahren sicherstellt.

‍

Große Cyberangriffe in Großbritannien (2024)

‍

Southern Water Black Basta Ransomware-Angriff — Januar 2024

Im Januar 2024 erlitt Southern Water, ein britischer Energieversorger mit 2,5 Millionen Kunden, einen Ransomware-Angriff, der der Black Basta-Gruppe zugeschrieben wurde. Die Angreifer exfiltrierten sensible Kunden- und Mitarbeiterdaten, bevor sie sie online durchsickerten. Southern Water gab in ihrem Finanzbericht bekannt, dass Der Vorfall verursachte Kosten in Höhe von rund 4,5 Millionen Pfund, einschließlich externer Cybersicherheitsexperten, Rechtsberater und Kontaktaufnahme mit allen betroffenen Opfern. Der Angriff unterstreicht die erhebliche finanzielle und betriebliche Belastung, die Ransomware insbesondere für Anbieter kritischer Infrastrukturen mit sich bringen kann.

Verstoß gegen die Gehaltsabrechnung des britischen Verteidigungsministeriums — Mai 2024

Im Mai 2024 gab das britische Verteidigungsministerium eine erhebliche Datenschutzverletzung bekannt, von der rund 270.000 aktuelle und ehemalige Mitarbeiter der Streitkräfte betroffen waren. Der Verstoß ging auf ein Gehaltsabrechnungssystem eines Drittanbieters zurück, das von SSCL, einem Zweig des französischen Technologieunternehmens Sopra Steria, verwaltet wird und vom Kernnetz des Verteidigungsministeriums getrennt ist. Zu den kompromittierten Informationen gehörten Namen, Bankdaten und in einigen Fällen auch Adressen. Die britische Regierung gab den Angriff zwar nicht offiziell bekannt, Quellen wiesen jedoch auf eine mögliche Beteiligung chinesischer staatsnaher Akteure hin. Der Vorfall veranlasste sofortige Maßnahmen zur Sicherung der betroffenen Systeme und gab Anlass zu Bedenken hinsichtlich der Cybersicherheit externer Dienstleister, die sensible militärische Daten verarbeiten. Und Regierungsbeamte befürchteten, dass SSCL nur langsam auf den Hack reagierte.

NHS-Ransomware-Angriff auf Synnovis — Juni 2024

Anfang Juni 2024, russische Cyberkriminelle Gruppe Qilin hat einen Ransomware-Angriff auf Synnovis gestartet, ein Anbieter von Diagnose-, Test- und digitalen Pathologiedienstleistungen für den NHS und mehrere große Londoner Krankenhäuser. Der Angriff störte die IT-Systeme, was zur Verschiebung von mehr als 10.000 ambulanten Terminen und 1.700 elektiven Eingriffen, einschließlich kritischer Verfahren wie Krebsbehandlungen und Organtransplantationen, führte. Die IT-Systeme des Bluttransfusionslabors waren stark beeinträchtigt, was zu einem Mangel an Blutkonserven vom Typ O führte.

Mindestens zwei Patienten erlitten als Folge des Cyberangriffs langfristige oder dauerhafte Gesundheitsschäden sowie mindestens 11 Fälle von moderatem Schaden und 120 Fälle von geringem Schaden. In ihrem Finanzbericht veröffentlicht am 7. Januar 2025, Synnovis schätzte die finanziellen Auswirkungen des Angriffs auf 32,7 Millionen Pfund.

‍

Transport für den Cyberangriff in London — September 2024

Am 1. September 2024 entdeckte Transport for London (TfL) verdächtige Aktivitäten in seinem Netzwerk, was zur sofortigen Abschaltung mehrerer Systeme führte, um potenzielle Ransomware-Bedrohungen abzuwehren. Die Transportdienste, wie Busse und die U-Bahn, blieben zwar in Betrieb, doch der Cyberangriff störte die Plattformen mit Kundenkontakt erheblich. Kunden konnten nicht auf ihre Konten für Zahlungsdienste zugreifen, bei Anwendungen von Drittanbietern kam es zu Ausfällen, und der Dial-a-Ride-Service für behinderte Passagiere wurde vorübergehend eingestellt.

Finanziell hat der Angriff TfL bis heute über 30 Millionen Pfund gekostet. Die Organisation gab an, 5 Millionen Pfund für die Reaktion auf Vorfälle und Verbesserungen der Cybersicherheit ausgegeben zu haben. Darüber hinaus wurde der prognostizierte Betriebsüberschuss für das Geschäftsjahr von 61 Millionen Pfund auf 23 Millionen Pfund reduziert, was hauptsächlich auf die Auswirkungen des Vorfalls zurückzuführen ist.

Seit Anfang 2025 hat TfL die am stärksten betroffenen Dienste wiederhergestellt, darunter Online-Reisehistorien und Oyster-Fotokartenanwendungen. Kunden könnten jedoch immer noch mit potenziellen Verzögerungen bei der Beantragung von Rückerstattungen und Datenaktualisierungen rechnen, da TfL die Wiederherstellungsbemühungen fortsetzt.

Der britische Regulierungsrahmen für Cybersicherheit

Der nationale Fokus auf Cybersicherheitsvorschriften im Vereinigten Königreich hat sich in den letzten Jahren weiterentwickelt. Dies spiegelt die jüngsten Cybersicherheitsvorfälle wider, die dazu geführt haben, dass kritische Sektoren negativ betroffen waren, was die wachsende Bedrohungslandschaft darstellt.

Derzeitiges regulatorisches Umfeld

Britische Vorschriften für Netzwerk- und Informationssysteme (NIS)

Die NIS-Vorschriften, die 2018 eingeführt und 2022 aktualisiert wurden, legen Cybersicherheitsanforderungen für Betreiber wesentlicher Dienste (OES) und relevante Anbieter digitaler Dienste (RDSPs) fest. Diese Vorschriften:

• Von Unternehmen verlangen, angemessene Sicherheitsmaßnahmen zur Bewältigung von Risiken zu ergreifen
• Verfahren zur Meldung von Vorfällen für wichtige Cybersicherheitsereignisse vorschreiben
• Richten Sie für jeden Sektor zuständige Behörden ein, die die Einhaltung der Vorschriften überwachen
• Verhängen Sie erhebliche Strafen für Verstöße, bis zu 17 Millionen Pfund für die schwerwiegendsten Verstöße

Mit den Änderungen von 2022 wurde der Anwendungsbereich um Anbieter verwalteter Dienste erweitert und die Berichtspflichten gestrafft, was den Erfahrungen Rechnung trägt, die aus den Zwischenfällen der vergangenen Jahre gezogen wurden.

Allgemeine Datenschutzverordnung des Vereinigten Königreichs (britische DSGVO)

Nach dem Brexit hat das Vereinigte Königreich die EU-DSGVO in nationales Recht aufgenommen und zusammen mit dem Datenschutzgesetz 2018 die britische DSGVO geschaffen.

Einige der wichtigsten Aspekte dieser beiden Rechtsakte:

• Anforderungen an Organisationen zur Umsetzung „geeigneter technischer und organisatorischer Maßnahmen“ zum Schutz personenbezogener Daten
• Meldepflicht für Verstöße innerhalb von 72 Stunden bei Vorfällen, die personenbezogene Daten betreffen
• Mögliche Bußgelder von bis zu 17,5 Millionen GBP oder 4% des weltweiten Jahresumsatzes
• Explizite Anforderungen an Datenverarbeiter zur Gewährleistung angemessener Sicherheitsmaßnahmen

‍

Das Information Commissioner's Office (ICO) dient als Durchsetzungsbehörde für diese Gesetzgebung. Zu den Hauptaufgaben des ICO gehören:

• Überwachung und Durchsetzung der Einhaltung der Datenschutzgesetze
• Untersuchung von Datenschutzverletzungen und Beschwerden aus der Öffentlichkeit
• Erlass von Geldbußen und Vollstreckungsbescheiden, falls erforderlich
• Bereitstellung von Leitlinien für Organisationen zu bewährten Verfahren für Datenschutz und Privatsphäre

‍

Beispielsweise würde das ICO bei dem TfL-Cyberangriff, bei dem personenbezogene Daten kompromittiert wurden, untersuchen, ob die Datenschutzverpflichtungen verletzt wurden, und über etwaige Durchsetzungsmaßnahmen oder Strafen entscheiden.

‍