Intelligentes Risikomanagement in Zeiten von NIS2

Ralf Kempf, CEO des IT-Security- und GRC-Spezialisten Pathlock Deutschland und SAP Evangelist, gibt Einblicke, wie die neue Europäische Cybersicherheitsdirektive immer mehr Unternehmen und deren Management in die Pflicht nimmt.

Warum NIS2 auch als Chance gesehen werden muss, sich resilient und vor allem ganzheitlich aufzustellen.

Hallo Herr Kempf, können Sie uns eine „Wasserstandsmeldung“ zur Situation deutscher Unternehmen angesichts neuer Herausforderungen der Cybersecurity geben?

Ralf Kempf: Tatsächlich haben viele Unternehmen den Eindruck, ihnen stehe sicherheitstechnisch das Wasser bis zum Halse – oder schon darüber. NIS2 macht ihnen bewusst, dass sie in der Vergangenheit sozusagen nicht mal einen ordentlichen Schwimmkurs absolviert haben. Die Einschätzung der CISOs in Bezug auf Unternehmenssicherheit und NIS2 ist, dass sie darauf nicht vorbereitet sind. Die Mehrheit sieht Anwendungssicherheit als blinden Fleck ihrer IT-Sicherheitsstrategie.

Und wie konnte es so weit kommen?

Ralf Kempf: Zunächst, so die CISOs, weil Security-Tools oftmals kaum Erkenntnisse liefern, mit denen Vorstände Geschäftsrisiken verstehen und Bedrohungen adressieren können. Die Kluft dieser Technologie- und Kommunikationslücken wird angesichts steigender Bedrohungen immer breiter, trotz eigentlich probater Lösungen wie Security Dashboards.

Das beweist doch eigentlich den klaren Bedarf, oder?

Ralf Kempf: Schon, aber frappierend ist, dass trotzdem fast nichts passiert. Die Erkenntnis führt weder zu einer überfälligen Priorisierung der IT-Sicherheit noch zu dringend nötigen Maßnahmen. Unser Eindruck: Unternehmen wissen nicht, wie und wo sie anfangen sollen, den Herausforderungen komplexer IT-Systeme und hybrider SAP-/Non-SAP-Landschaften inklusive neuer Cloud-Applikationen zu begegnen.

Es hilft aber nicht, untätig zu bleiben in der Hoffnung, die Flut von Herausforderungen werde abziehen oder es treibe eine Insellösung vorbei, die etwa NIS2-Compliance ad hoc herbeizaubert. Der laxe Umgang mit Erkenntnissen zeigt auch, wie sich selbst CISOs von aktuellen Buzzwords beeindrucken lassen und eine ganzheitliche Absicherung aus dem Auge verlieren.

Welche Buzzwords meinen Sie?

Ralf Kempf: Nehmen wir zwei, die die aktuelle Diskussion beherrschen und oft in falscher Sicherheit wiegen: Die Cloud ist kein Allheilmittel und ersetzt keine Firewall, sie eröffnet gar neue Angriffsvektoren, derer man sich bewusst sein muss. Und KI hat ganz sicher die Spielregeln für Cybersicherheit verändert, aber darf nicht als pauschale Universallösung oder -bedrohung missverstanden werden.

Okay, aber ist NIS2 nicht auch ein Buzzword?

Ralf Kempf: Nein, sie ist in ihren Konsequenzen eindeutig unverzichtbar für eine europaweite Resilienz. Sie forciert, dass Cybersecurity zum wesentlichen Teil der Unternehmenskultur wird, und zwar als Chefsache. Wer sie vernachlässigt, setzt sein Unternehmen künftig nicht nur erhöhter Angriffsgefahr aus, sondern auch enormen Bußgeldern. Also klare Empfehlung: das Thema priorisieren, Umsetzungsfristen im Auge behalten und die richtigen Partner ins Boot holen.

Von welchem Zeitrahmen sprechen wir hier?

Ralf Kempf: Einem äußerst engen, Unternehmen sollten keine Zeit mehr verlieren, denn die Direktive weitet Cybersicherheit auf mittelständische, allein in Deutschland geschätzte 30.000 Unternehmen aus. Und eines steht fest: Im Oktober wird NIS2 in Kraft treten. Selbst wenn sich die Umsetzung hier verzögert: Wer das Thema nicht sofort angeht, wird es nicht rechtzeitig schaffen. Und Unternehmen, die nicht mal geklärt haben, ob sie betroffen sind, könnten versucht sein zu folgern, dass auch kein Handlungsbedarf besteht. Eine gravierende Fehleinschätzung.

Inwiefern gravierend?

Ralf Kempf: Nun, wichtige Vorgaben werden sofort greifen, etwa die verpflichtende Registrierung beim BSI. Und die Sanktionen: Falls danach ein sicherheitsrelevanter Vorfall eintritt, dessen Folgen auf eine Nichterfüllung der Compliance-Auflagen hindeuten, kann es ausgesprochen teuer werden.

Was ist also als Erstes zu tun?

Ralf Kempf: Zunächst sollten Unternehmen prüfen, ob sie zum engen oder zum erweiterten Geltungsbereich gehören. Viele werden indirekt betroffen sein, etwa weil sie KRITIS-Unternehmen beliefern. Auch sie müssen künftig Standards zur Absicherung der Lieferkette erfüllen und nachweisen. NIS2 wird als sogenanntes Artikelgesetz viele andere wie das Energiewirtschaftsgesetz ändern und erweitern. Diese sind mitzuprüfen.

Und wenn klar ist, dass man dazugehört?

Ralf Kempf: Fast alle wünschen sich dann eine exakte Angabe umzusetzender Maßnahmen. Man sollte sich aber nicht vorschnell für Lösungen entscheiden, die pauschal die Beseitigung aller Herausforderungen ohne Berücksichtigung von Unternehmensspezifika anbieten. Natürlich ist der Handlungsdruck groß und der Markt wird erwartbar mit Allheilmitteln aufwarten, die aber oftmals wenig effizient oder zielführend sind.

Was raten Sie stattdessen?

Ralf Kempf: Sich statt vieler Insellösungen die richtige Expertise zu suchen und das Projekt schnellstmöglich ganzheitlich und passgenau voranzutreiben. Und zu berücksichtigen, welche Lösungen, Software und etablierten Maßnahmen sich im Unternehmen bereits vorfinden. Da jedes anders ist, gibt es für dieses individuelle Vorgehen kein universelles Rezept, aber ein paar probate Tipps.

Viele NIS2-Vorgaben sind eng an die ISO 27001 angelehnt. Große Unternehmen sollten sich bei der Implementierung eines Information Security Management Systems daran orientieren, kleinere können auf den kompatiblen Grundschutzkatalog des BSI zurückgreifen.

Grundlegende NIS2-Vorgaben sind: ein Incident Management zur Vorbeugung, Erkennung und Bewältigung von Security-Vorfällen, ein Identity- & Access Management und ein Business Continuity Management, das nicht nur Backups und Disaster Recovery vorsieht, sondern auch Krisenmanagement wie Notfallpläne.

Wer NIS2 vernachlässigt, setzt sein Unternehmen künftig nicht nur erhöhter Angriffsgefahr aus, sondern auch enormen Bussgeldern.

Ralf Kempf, PathLock Deutschland GmbH

Aber womit sollte man anfangen, gibt es keine Art Roadmap?

Ralf Kempf: Im Grunde folgt der Weg zur Compliance einem etablierten Muster: der Ermittlung des Ist-Zustandes, um interne IT-Strukturen zu dokumentieren und den Bedarf an zusätzlichen Anschaffungen und Dienstleistungen im NIS2-Kontext zu ermitteln. Auf Basis der initialen Analyse wird ein internes Kontrollsystem samt Prüfvorgaben definiert und ein sicher konfigurierter optimaler Soll-Zustand.

In der System-Härtung wird dann immer weiter auf den Soll-Zustand hingearbeitet, indem man Schwachstellen behebt und neue Prozesse etabliert. Um hier Zeit zu gewinnen, bietet sich agiles Projektmanagement an. Schließlich muss das Erreichte kontinuierlich gehalten und mittels präventiver und detektiver Kontrollen überprüft werden – und zwar in Echtzeit. Permanente Überwachung in Echtzeit ist eine zentrale NIS2-Forderung.

Haben Sie noch ein kurzes Fazit für uns?

Ralf Kempf: Klar ist, dass Unternehmen die NIS2-Umsetzung nicht allein stemmen sollten. Dienste wie Security Operations Center oder unsere neu entwickelte Lösung „Threat Intelligence“ helfen, die Abwehr zu verbessern und potenzielle Schwachstellen in Sekunden zu identifizieren und zu schließen.

Letztlich wird kein Unternehmen IT Security ohne einen ganzheitlichen Ansatz effektiv gestalten können. So sind alle gut beraten, sich kontinuierlich mit der Verbesserung ihrer IT-Sicherheit zu befassen, und die ist nicht nur in kritischen Infrastrukturen relevanter denn je.

Herr Kempf, wir danken für das Gespräch.