Als Reaktion darauf hat die britische Regierung neue Gesetze zur Verbesserung der nationalen Cyberresistenz erörtert. Zu diesen Initiativen gehören die Ausweitung der behördlichen Aufsicht, die Einführung verbindlicher Anforderungen zur Meldung von Vorfällen und die Möglichkeit, agiler auf neue Bedrohungen zu reagieren. Gleichzeitig müssen Unternehmen aus allen Sektoren ihre Cybersicherheitsrichtlinien überdenken, um mit einem zunehmend komplexen Bedrohungsumfeld Schritt zu halten.
Das National Cyber Security Center (NCSC) hilft Unternehmen beim Aufbau robusterer Cyberabwehr. Die Cyber Essentials-Zertifizierung entwickelt sich zu einem grundlegenden Standard, insbesondere da die Regierung neue Maßnahmen zum Schutz kritischer Infrastrukturen erwägt und die sektorübergreifende Ausrichtung auf bewährte Verfahren sicherstellt.
Große Cyberangriffe in Großbritannien (2024)
Southern Water Black Basta Ransomware-Angriff — Januar 2024
Im Januar 2024 erlitt Southern Water, ein britischer Energieversorger mit 2,5 Millionen Kunden, einen Ransomware-Angriff, der der Black Basta-Gruppe zugeschrieben wurde. Die Angreifer exfiltrierten sensible Kunden- und Mitarbeiterdaten, bevor sie sie online durchsickerten. Southern Water gab in ihrem Finanzbericht bekannt, dass Der Vorfall verursachte Kosten in Höhe von rund 4,5 Millionen Pfund, einschließlich externer Cybersicherheitsexperten, Rechtsberater und Kontaktaufnahme mit allen betroffenen Opfern. Der Angriff unterstreicht die erhebliche finanzielle und betriebliche Belastung, die Ransomware insbesondere für Anbieter kritischer Infrastrukturen mit sich bringen kann.
Verstoß gegen die Gehaltsabrechnung des britischen Verteidigungsministeriums — Mai 2024
Im Mai 2024 gab das britische Verteidigungsministerium eine erhebliche Datenschutzverletzung bekannt, von der rund 270.000 aktuelle und ehemalige Mitarbeiter der Streitkräfte betroffen waren. Der Verstoß ging auf ein Gehaltsabrechnungssystem eines Drittanbieters zurück, das von SSCL, einem Zweig des französischen Technologieunternehmens Sopra Steria, verwaltet wird und vom Kernnetz des Verteidigungsministeriums getrennt ist. Zu den kompromittierten Informationen gehörten Namen, Bankdaten und in einigen Fällen auch Adressen. Die britische Regierung gab den Angriff zwar nicht offiziell bekannt, Quellen wiesen jedoch auf eine mögliche Beteiligung chinesischer staatsnaher Akteure hin. Der Vorfall veranlasste sofortige Maßnahmen zur Sicherung der betroffenen Systeme und gab Anlass zu Bedenken hinsichtlich der Cybersicherheit externer Dienstleister, die sensible militärische Daten verarbeiten. Und Regierungsbeamte befürchteten, dass SSCL nur langsam auf den Hack reagierte.
NHS-Ransomware-Angriff auf Synnovis — Juni 2024
Anfang Juni 2024, russische Cyberkriminelle Gruppe Qilin hat einen Ransomware-Angriff auf Synnovis gestartet, ein Anbieter von Diagnose-, Test- und digitalen Pathologiedienstleistungen für den NHS und mehrere große Londoner Krankenhäuser. Der Angriff störte die IT-Systeme, was zur Verschiebung von mehr als 10.000 ambulanten Terminen und 1.700 elektiven Eingriffen, einschließlich kritischer Verfahren wie Krebsbehandlungen und Organtransplantationen, führte. Die IT-Systeme des Bluttransfusionslabors waren stark beeinträchtigt, was zu einem Mangel an Blutkonserven vom Typ O führte.
Mindestens zwei Patienten erlitten als Folge des Cyberangriffs langfristige oder dauerhafte Gesundheitsschäden sowie mindestens 11 Fälle von moderatem Schaden und 120 Fälle von geringem Schaden. In ihrem Finanzbericht veröffentlicht am 7. Januar 2025, Synnovis schätzte die finanziellen Auswirkungen des Angriffs auf 32,7 Millionen Pfund.
Transport für den Cyberangriff in London — September 2024
Am 1. September 2024 entdeckte Transport for London (TfL) verdächtige Aktivitäten in seinem Netzwerk, was zur sofortigen Abschaltung mehrerer Systeme führte, um potenzielle Ransomware-Bedrohungen abzuwehren. Die Transportdienste, wie Busse und die U-Bahn, blieben zwar in Betrieb, doch der Cyberangriff störte die Plattformen mit Kundenkontakt erheblich. Kunden konnten nicht auf ihre Konten für Zahlungsdienste zugreifen, bei Anwendungen von Drittanbietern kam es zu Ausfällen, und der Dial-a-Ride-Service für behinderte Passagiere wurde vorübergehend eingestellt.
Finanziell hat der Angriff TfL bis heute über 30 Millionen Pfund gekostet. Die Organisation gab an, 5 Millionen Pfund für die Reaktion auf Vorfälle und Verbesserungen der Cybersicherheit ausgegeben zu haben. Darüber hinaus wurde der prognostizierte Betriebsüberschuss für das Geschäftsjahr von 61 Millionen Pfund auf 23 Millionen Pfund reduziert, was hauptsächlich auf die Auswirkungen des Vorfalls zurückzuführen ist.
Seit Anfang 2025 hat TfL die am stärksten betroffenen Dienste wiederhergestellt, darunter Online-Reisehistorien und Oyster-Fotokartenanwendungen. Kunden könnten jedoch immer noch mit potenziellen Verzögerungen bei der Beantragung von Rückerstattungen und Datenaktualisierungen rechnen, da TfL die Wiederherstellungsbemühungen fortsetzt.
Der britische Regulierungsrahmen für Cybersicherheit
Der nationale Fokus auf Cybersicherheitsvorschriften im Vereinigten Königreich hat sich in den letzten Jahren weiterentwickelt. Dies spiegelt die jüngsten Cybersicherheitsvorfälle wider, die dazu geführt haben, dass kritische Sektoren negativ betroffen waren, was die wachsende Bedrohungslandschaft darstellt.
Derzeitiges regulatorisches Umfeld
Britische Vorschriften für Netzwerk- und Informationssysteme (NIS)
Die NIS-Vorschriften, die 2018 eingeführt und 2022 aktualisiert wurden, legen Cybersicherheitsanforderungen für Betreiber wesentlicher Dienste (OES) und relevante Anbieter digitaler Dienste (RDSPs) fest. Diese Vorschriften:
- Von Unternehmen verlangen, angemessene Sicherheitsmaßnahmen zur Bewältigung von Risiken zu ergreifen
- Verfahren zur Meldung von Vorfällen für wichtige Cybersicherheitsereignisse vorschreiben
- Richten Sie für jeden Sektor zuständige Behörden ein, die die Einhaltung der Vorschriften überwachen
- Verhängen Sie erhebliche Strafen für Verstöße, bis zu 17 Millionen Pfund für die schwerwiegendsten Verstöße
Mit den Änderungen von 2022 wurde der Anwendungsbereich um Anbieter verwalteter Dienste erweitert und die Berichtspflichten gestrafft, was den Erfahrungen Rechnung trägt, die aus den Zwischenfällen der vergangenen Jahre gezogen wurden.
Allgemeine Datenschutzverordnung des Vereinigten Königreichs (britische DSGVO)
Nach dem Brexit hat das Vereinigte Königreich die EU-DSGVO in nationales Recht aufgenommen und zusammen mit dem Datenschutzgesetz 2018 die britische DSGVO geschaffen.
Einige der wichtigsten Aspekte dieser beiden Rechtsakte:
- Anforderungen an Organisationen zur Umsetzung „geeigneter technischer und organisatorischer Maßnahmen“ zum Schutz personenbezogener Daten
- Meldepflicht für Verstöße innerhalb von 72 Stunden bei Vorfällen, die personenbezogene Daten betreffen
- Mögliche Bußgelder von bis zu 17,5 Millionen GBP oder 4% des weltweiten Jahresumsatzes
- Explizite Anforderungen an Datenverarbeiter zur Gewährleistung angemessener Sicherheitsmaßnahmen
Das Information Commissioner's Office (ICO) dient als Durchsetzungsbehörde für diese Gesetzgebung. Zu den Hauptaufgaben des ICO gehören:
- Überwachung und Durchsetzung der Einhaltung der Datenschutzgesetze
- Untersuchung von Datenschutzverletzungen und Beschwerden aus der Öffentlichkeit
- Erlass von Geldbußen und Vollstreckungsbescheiden, falls erforderlich
- Bereitstellung von Leitlinien für Organisationen zu bewährten Verfahren für Datenschutz und Privatsphäre
Beispielsweise würde das ICO bei dem TfL-Cyberangriff, bei dem personenbezogene Daten kompromittiert wurden, untersuchen, ob die Datenschutzverpflichtungen verletzt wurden, und über etwaige Durchsetzungsmaßnahmen oder Strafen entscheiden.
Übernehmen Sie die Kontrolle über Ihre GenAI-Risiken
Unsere Risikomanagement-Experten nutzen modernste Standards und Frameworks, um Unternehmen bei der Erfassung, Bewertung und Verwaltung von GenAI-Risiken zu unterstützen. Vereinbaren Sie einen Anruf mit unserem Team, um loszulegen.
Neue regulatorische Entwicklungen
Das Gesetz über Cybersicherheit und Resilienz
Das Gesetzesvorschlag der Regierung zu Cybersicherheit und Resilienz, das voraussichtlich 2025 in Kraft treten wird, ist eine umfassende Überarbeitung der britischen Regulierungslandschaft für Cybersicherheit seit 2022.
Zu den wichtigsten Bestimmungen gehören:
- Verbesserte Anforderungen an Anbieter kritischer Infrastrukturen, einschließlich regelmäßiger Sicherheitsaudits und Penetrationstests
- Obligatorische Sicherheitsprinzipien durch Design für vernetzte Geräte und Systeme
- Erweiterte Meldepflichten bei Vorfällen mit kürzeren Meldefristen
- Branchenübergreifende Mindestsicherheitsbasislinien zur Gewährleistung einheitlicher Schutzstandards
- Neue Befugnisse für Aufsichtsbehörden zur Durchführung proaktiver Bewertungen statt reaktiver Untersuchungen
Der Gesetzentwurf zielt darauf ab, der Fragmentierung der aktuellen Regulierungslandschaft entgegenzuwirken, indem branchenübergreifend einheitlichere Anforderungen eingeführt und gleichzeitig branchenspezifische Überlegungen berücksichtigt werden.
Compliance-Trends und Herausforderungen
Das Umfrage zu Cybersicherheitsverletzungen 2024 stellt fest, dass „ein beträchtlicher Teil der Organisationen, einschließlich größerer Organisationen, sich staatlicher Leitlinien wie der 10 Schritte zur Cybersicherheit, und die von der Regierung befürwortete Standard Cyber Essentials.“
Diese Sensibilisierungslücke verdeutlicht eine zentrale Herausforderung für die Regulierungsbehörden: Sie müssen sicherstellen, dass bestehende Anforderungen wirksam kommuniziert und umgesetzt werden, bevor neue Verpflichtungen eingeführt werden. Die Regierung hat darauf reagiert, indem das National Cyber Security Center ihre Öffentlichkeitsarbeit ausgeweitet hat. Dazu gehören auch branchenspezifische Anleitungen und besser zugängliche Ressourcen für kleinere Organisationen.
Da sich die regulatorische Landschaft ständig weiterentwickelt, stehen britische Unternehmen vor der doppelten Herausforderung, die aktuellen Compliance-Anforderungen zu erfüllen und sich gleichzeitig auf die bevorstehenden strengeren Verpflichtungen vorzubereiten.
Strategische Prioritäten für britische Organisationen
Angesichts immer raffinierterer Cyberbedrohungen und einer komplexen regulatorischen Landschaft müssen britische Unternehmen eine umfassende Cybersicherheits-Governance einführen, die mehr ist als eine Compliance-Maßnahme. Die folgenden strategischen Prioritäten stellen wichtige Schwerpunktbereiche für Unternehmen dar, die ihre Cyber-Resilienz im Jahr 2025 verbessern wollen.
Perspektiven der Cybersicherheits-Governance
Effektive Cybersicherheit beginnt mit soliden Verwaltungsstrukturen, die eine klare Rechenschaftspflicht und Aufsicht vorsehen:
Engagement auf Vorstandsebene
Cybersicherheit ist zu einem Problem auf Vorstandsebene geworden, und Direktoren werden zunehmend für Sicherheitslücken zur Rechenschaft gezogen. Unternehmen sollten sicherstellen, dass der Vorstand regelmäßig über Cyberrisiken informiert wird, einschließlich quantitativer Kennzahlen, anhand derer technische Sicherheitslücken in geschäftliche Auswirkungen umgewandelt werden.
Erweiterung der CISO-Rollen
Die Position des Chief Information Security Officers entwickelt sich ständig weiter. Erfolgreiche Unternehmen erweitern diese Rolle, um direkt an den CEO oder Vorstand und nicht an die IT-Leitung zu berichten. Dieser Strukturwandel spiegelt die strategische Bedeutung der Cybersicherheit für Unternehmen wider, die über den technischen Betrieb hinausgeht.
Definition der Risikobereitschaft
Unternehmen sollten ihre Risikobereitschaft im Bereich Cybersicherheit formell in finanzieller Hinsicht definieren und akzeptable Risikoniveaus für verschiedene Geschäftsfunktionen und Datenklassifizierungen dokumentieren.
Risikomanagement durch Dritte
Wie die Sicherheitslücken von Southern Water und dem Verteidigungsministerium gezeigt haben, stellen Schwachstellen in der Lieferkette erhebliche Risiken dar. Unternehmen sollten umfassende Verfahren zur Bewertung der Lieferantensicherheit, eine kontinuierliche Überwachung und vertragliche Sicherheitsanforderungen implementieren.
Aufbau organisatorischer Resilienz
Aufgrund der Häufigkeit und der Auswirkungen erfolgreicher Cyberangriffe sind Resilienzfähigkeiten ebenso wichtig wie präventive Maßnahmen:
- Planung der Geschäftskontinuität
- Fähigkeiten zur Reaktion auf Vorfälle
- Ransomware-spezifische Vorbereitungen
- Cyber-Versicherung
Umsetzung der Empfehlungen des NCSC
10 Schritte zur Cybersicherheit
Das 10-stufige Framework des NCSC bietet einen strukturierten Ansatz zur Sicherheitsverbesserung. Die 10 Schritte konzentrieren sich auf das Verständnis organisatorischer Risiken, die Umsetzung geeigneter Maßnahmen und die Vorbereitung auf Vorfälle:
- Risikomanagement
- Engagement und Schulung
- Verwaltung von Vermögenswerten
- Architektur und Konfiguration
- Verwaltung von Sicherheitslücken
- Verwaltung identifizieren und aufrufen
- Sicherheit der Daten
- Protokollierung und Überwachung
- Verwaltung von Vorfällen
- Sicherheit der Lieferkette
Grundlagen des Cyber-Internets
Cyber Essentials ist ein von der britischen Regierung unterstütztes Zertifizierungssystem, das grundlegende Sicherheitsmaßnahmen bietet, mit denen Unternehmen und die Daten ihrer Kunden vor Cyberangriffen geschützt sind. Es gibt zwei Zertifizierungsstufen: Cyber Essentials und Cyber Essentials Plus. Das Cyber Essentials Plus-Programm kombiniert eine Selbstbewertung und ein unabhängiges Audit sowie strengere Tests.
Die Cyber Essentials-Zertifizierung wird zunehmend zu einer Voraussetzung für Regierungsaufträge und gilt als grundlegender Ausgangspunkt für Cybersicherheitsprogramme. Laut der Dokumentation von Cyber Essentials ist die Wahrscheinlichkeit, dass Unternehmen mit dieser Zertifizierung einen Anspruch auf ihre Cyberversicherung geltend machen, um 92% geringer.
Quantitatives Risikomanagement
Führende Unternehmen gehen über Compliance-orientierte Ansätze hinaus und wenden zunehmend ausgefeiltere quantitative Risikomanagementmethoden an. Das NCSC hat Leitlinien dazu herausgegeben, warum die Einführung eines quantitativen, datengesteuerten Ansatzes für das Risikomanagement die Widerstandsfähigkeit und Sicherheit verbessert.
Gründe für die Einführung der Quantifizierung von Cybersicherheitsrisiken gemäß NCSC:
- Verbesserte Kommunikation in Bezug auf Themen, die den Stakeholdern wichtig sind
- Ermöglicht Kosten-Nutzen-Analysen und Risikovergleich/Priorisierung
- Höhere Transparenz
Durch die Übernahme dieser strategischen Prioritäten können britische Unternehmen über die Einhaltung von Checkboxen hinausgehen und eine echte Cyber-Resilienz entwickeln, d. h. die Fähigkeit, Cybervorfällen standzuhalten, darauf zu reagieren und sich von ihnen zu erholen und gleichzeitig wichtige Funktionen aufrechtzuerhalten und sensible Informationen zu schützen.
Mehr als nur Compliance, sondern Resilienz
Wie die großen Zwischenfälle von Southern Water, dem Verteidigungsministerium, dem NHS und Transport for London gezeigt haben, verursachen Cyberangriffe beispiellose Betriebsstörungen, finanzielle Verluste und in einigen Fällen auch Schäden für Einzelpersonen.
Allein die finanziellen Auswirkungen sind überwältigend: 32,7 Millionen Pfund für Synnovis, über 30 Millionen Pfund für Transport for London und 4,5 Millionen Pfund für Southern Water. Diese Zahlen unterstreichen, dass Cybersicherheit nicht mehr nur ein IT-Problem ist, sondern ein grundlegendes Geschäftsrisiko, das Aufmerksamkeit auf Vorstandsebene und strategische Investitionen erfordert.
Cybersicherheit muss sich von einer Compliance-Maßnahme zu einer strategischen Geschäftsfunktion entwickeln, die es Unternehmen ermöglicht, digitale Risiken in geschäftlicher Hinsicht zu verstehen, zu kommunizieren und zu managen. Durch die Einführung datengestützter Ansätze zur Risikoquantifizierung können britische Unternehmen die Widerstandsfähigkeit aufbauen, die für ihren Erfolg erforderlich ist.
C-Risk kann Ihrem Unternehmen mit unserer Expertise in den Bereichen datengesteuertes Risikomanagement und CRQ dabei helfen, dieses herausfordernde Umfeld erfolgreich zu meistern. Wenn Sie Ihre Cybersicherheits- oder Risikomanagementstrategie besprechen möchten, vereinbaren Sie ein Meeting hier.
Strategische Prioritäten für Cybersicherheit im Vereinigten Königreich 2025
Was ist das britische Cyber Essentials-Zertifizierungsprogramm?
Cyber Essentials ist eine Cybersicherheitszertifizierung für Unternehmen aller Größen. Diese jährlich verlängerbare Zertifizierung zeigt, dass Sie fünf grundlegende technische Kontrollen zum Schutz vor gängigen internetbasierten Bedrohungen implementiert haben. Britische Unternehmen mit einem Umsatz von weniger als 20 Millionen Pfund erhalten bei der Zertifizierung ihres gesamten Unternehmens eine automatische Cyber-Haftpflichtversicherung. Die Einstiegszertifizierung beinhaltet eine Selbsteinschätzung, die von einem qualifizierten Gutachter überprüft wird.
Was ist die Bedeutung der britischen Netzwerk- und Informationssystemvorschriften 2018?
Die NIS-Vorschriften 2018 sind die wichtigsten sektorübergreifenden Cybersicherheitsgesetze des Vereinigten Königreichs zum Schutz kritischer nationaler Infrastrukturen. Sie legen verbindliche Sicherheitsanforderungen für Betreiber grundlegender Dienste in fünf Sektoren fest: Verkehr, Energie, Trinkwasser, Gesundheit und digitale Infrastruktur sowie für bestimmte Anbieter digitaler Dienste. Diese Vorschriften werden von zwölf Aufsichtsbehörden durchgesetzt und sind für die Aufrechterhaltung der Cybersicherheit und der physischen Widerstandsfähigkeit der lebenswichtigen Dienste im Vereinigten Königreich von entscheidender Bedeutung. Sie müssen jedoch regelmäßig aktualisiert werden, um den sich entwickelnden Bedrohungen zu begegnen.
Wie wird das vom Vereinigten Königreich vorgeschlagene Gesetz über Cybersicherheit und Widerstandsfähigkeit die nationale Cybersicherheit und Widerstandsfähigkeit verbessern?
Das vom Vereinigten Königreich vorgeschlagene Gesetz über Cybersicherheit und Widerstandsfähigkeit wird die nationale Cybersicherheit stärken, indem der Geltungsbereich der bestehenden Vorschriften auf mehr Sektoren ausgedehnt wird, darunter kritische Lieferketten und digitale Dienste. Es gibt den Aufsichtsbehörden mehr Befugnisse, um Standards durchzusetzen, Bedrohungen zu untersuchen und die Meldung von Vorfällen vorzuschreiben, insbesondere bei größeren Cyberangriffen wie Ransomware. Der Gesetzentwurf konzentriert sich auch auf die Verbesserung der Widerstandsfähigkeit, indem strengere Risikomanagement- und Lieferkettensicherheitspraktiken vorgeschrieben werden. Insgesamt zielt es darauf ab, das Vereinigte Königreich besser auf sich entwickelnde Cyberbedrohungen vorzubereiten.
Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.