Am 30. Mai 2025 wurde Anna Neumann, eine Absolventin des Masterstudiengangs Praktische Informatik an der FernUniversität in Hagen, auf dem NIS-2-Congress als Gewinnerin des Wettbewerbs „Deutschlands beste IT-Security Masterarbeit“ ausgezeichnet. Ihre Arbeit trägt den Titel „Evaluierung des CRA und der NIS-2: Rolle und Relevanz der Software Bill of Materials in Open-Source-Projekten im Kontext Schwachstellenmanagement für KRITIS-Unternehmen“ und behandelt ein hochaktuelles Thema in der Cybersicherheit.
Neumann, die in der Lebensmittelbranche im Bereich Cyber-Security tätig ist, studierte während ihrer Vollzeitbeschäftigung. Nach ihrem Bachelorabschluss entschied sie sich, finanzielle Unabhängigkeit zu gewinnen, bevor sie ihr Masterstudium begann. Zuvor arbeitete sie im Schwachstellenmanagement bei einem Finanzdienstleister. Ihre Masterarbeit fokusiert sich auf die „Software Bill of Materials“ (SBOM), die als umfassende Liste aller Komponenten eines Systems oder einer Anwendung dient. Diese Auflistungen sind von entscheidender Bedeutung zur Identifikation von Schwachstellen in Softwarekomponenten.
NIS-2 und Cyber-Resilience-Act
Neumann analysierte in ihrer Arbeit, wie SBOMs im Rahmen der NIS-2-Richtlinie sowie des Cyber-Resilience-Acts (CRA) implementiert werden können. Die NIS-2-Richtlinie, die die Cybersicherheit in wesentlichen und wichtigen Sektoren stärken soll, regelt Sicherheitsmaßnahmen in Unternehmen der Kritischen Infrastruktur (KRITIS). Ziel ist es, durch strengere Anforderungen und Meldepflichten die Sicherheit zu erhöhen, erklärt TwoBirds. Trotz der Herausforderungen in der Umsetzung der NIS-2-Richtlinie in Deutschland, die politisch bedingte Verzögerungen erfährt, zeigt der Ansatz von Neumann auf, wie wichtig Lösungen im Bereich der Cybersicherheit sind.
Die NIS-2-Richtlinie, die seit Januar 2023 in Kraft ist, verpflichtet Unternehmen in bestimmten Sektoren zur Einhaltung von Governance- und Risikomanagement-Anforderungen. Es besteht eine Frist bis zum 17. Oktober 2024 für die nationale Umsetzung, während Nichtbeachtung mit Geldstrafen von bis zu 10 Millionen Euro geahndet werden kann. Der CRA, der ab Dezember 2024 gilt, sorgt zudem für einheitliche Sicherheitsstandards für Produkte mit digitalen Elementen.
Anerkennung und Preisverleihung
Auf dem NIS-2-Congress, der vom 6. bis 7. Mai in Frankfurt stattfand, hatte Neumann die Möglichkeit, mit Fachleuten verschiedener Branchen zu interagieren und wertvolle berufliche Kontakte zu knüpfen. Der Kongress thematisierte die NIS-2-Richtlinie und deren Bedeutung für die europäische Cybersicherheit. Neumann wurde auf den Wettbewerb aufmerksam gemacht, als sie von Prof. Tobias Eggendorfer ihrer Universität die Möglichkeit zur Einreichung ihrer Arbeit erfuhr. Für ihre herausragende Leistung erhielt sie ein Preisgeld von 1.500 Euro. Diese Auszeichnung würdigt nicht nur ihre akademische Leistung, sondern auch das wachsende Interesse und die Notwendigkeit an Fachkräften im Bereich der Cybersicherheit.
Die Entwicklungen der NIS-2-Richtlinie und des CRA sind Teil weniger erlassene gesetzliche Maßnahmen, die dazu beitragen sollen, ein hohes Niveau an Cybersicherheit in der EU zu gewährleisten. Laut eur-lex.europa.eu sind diese Vorschriften wesentliche Schritte zur Verbesserung der Cybersicherheit. Die kontinuierlichen Herausforderungen durch Cyberbedrohungen unterstreichen die Wichtigkeit solcher Initiativen. Der Fokus auf SBOMs, wie von Neumann erörtert, könnte einen bedeutenden Fortschritt in der Sicherheitsarchitektur von KRITIS-Unternehmen darstellen.
