„Es wäre ein riesiger Fehler, jetzt mit der Umsetzung der NIS2-Richtlinie zu warten“.

Interview mit David Brieskorn, IT-Security-Experte bei EWE

Bis Oktober 2024 hätte die EU-Richtlinie NIS2 in nationales Recht umgesetzt werden müssen. Sie soll das Cybersicherheitsniveau in den Mitgliedsstaaten anheben und vereinheitlichen. Dazu wird unter anderem festgelegt, welche Unternehmen zur kritischen Infrastruktur eines Landes gehören und somit besonders vor Cyberbedrohungen geschützt werden müssen. In Deutschland wurde das entsprechende NIS2-Umsetzungsgesetz nicht rechtzeitig verabschiedet und aufgrund der anstehenden Bundestagswahl wird auch die geplante Umsetzung im März 2025 nicht zu halten sein.

Wir haben mit David Brieskorn, IT-Security-Experte bei EWE, darüber gesprochen, warum es für KRITIS-Unternehmen dennoch fatal wäre, mit der Umsetzung der NIS2-Vorgaben zu warten.

Herr Brieskorn, warum sollten sich Unternehmen an ein Gesetz halten, das noch gar nicht in Kraft getreten ist? Man würde ja auch nicht sein Auto umparken, nur weil es demnächst ein Parkverbot gibt.

Brieskorn: Weil die Gefahr da ist. Egal, was die Gesetze vorgeben. Im vergangenen Jahr wurden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) 726 Störungen gemeldet, die zu einem Ausfall oder einer erheblichen Beeinträchtigung von KRITIS-Unternehmen geführt haben oder hätten führen können (Quelle: BSI). Oder anders ausgedrückt: Zweimal am Tag sind unsere kritischen Infrastrukturen mit Cyberbedrohungen konfrontiert. Und hier zählen nur die 1.700 Unternehmen, die bisher als kritisch eingestuft wurden. NIS2 wird allein in Deutschland schätzungsweise 30.000 Unternehmen betreffen.

Die Bedrohungslage hat sich also weiter verschärft?

Brieskorn: Eindeutig! 2023 waren es knapp 500 Meldungen. Deshalb empfiehlt auch das BSI, nicht abzuwarten. Hinzu kommt, dass die Verschiebung des NIS2-Umsetzungsgesetzes selbst die Bedrohungslage verschärft hat.

Wie meinen Sie das?

Brieskorn: Betrachten Sie es aus der Sicht eines Cyberkriminellen: Alles, was wir bisher getan haben, ist, die Branchen, Industrien und Unternehmen zu benennen, die wir als absolut wichtig für die Aufrechterhaltung und Versorgung unserer Gesellschaft betrachten. Dann haben wir gesagt, wie diese sich vor Cybergefahren schützen sollen. Da aber die gesetzliche Grundlage fehlt, um die Umsetzung dieser Maßnahmen zu kontrollieren, kann ich als Hacker davon ausgehen, dass viele kritische Unternehmen nicht ausreichend geschützt sind. Es wäre daher ein riesiger Fehler, jetzt mit der Umsetzung der Vorgaben aus der NIS2-Richtlinie zu warten.

Warum und von wem werden kritische Infrastrukturen überhaupt angegriffen?

Brieskorn: Zum einen gibt es politisch motivierte Gruppen, die eine Gesellschaft oder ein Land gezielt sabotieren und destabilisieren wollen, und zum anderen gibt es eine kriminelle Schattenwirtschaft. Letztere nutzt beispielsweise Ransomware-Angriffe, um Lösegeld für verschlüsselte oder erbeutete Daten zu erpressen. Cybercrime-as-a-Service ist leider ein stark wachsendes Geschäft, das sich zunehmend professionalisiert. Man kann heute ohne große technische Vorkenntnisse eine Cyberstraftat im Internet bestellen.

Verstanden, die Bedrohungslage ist also gerade für KRITIS-Unternehmen sehr angespannt und deshalb sollte mit der Umsetzung nicht gewartet werden. Gibt es weitere Gründe, die für eine rasche Umsetzung sprechen? 

Brieskorn: Zunächst einmal rein praktische. Ein Auto umzuparken dauert nur wenige Minuten. Die Umsetzung aller NIS2-Vorgaben wird mindestens mehrere Monate in Anspruch nehmen. Außerdem ist NIS2 nicht das einzige Gesetz, das gewisse IT-Sicherheitsstandards fordert. Auch die DSGVO schreibt vor, dass Daten vor dem unbefugten Zugriff Dritter geschützt werden müssen und ein Verstoß kann schnell teuer werden. Eine verbesserte Cybersicherheit spart daher Kosten. 

Wie können zusätzliche IT-Sicherheitsmaßnahmen Geld sparen?

Brieskorn: Ein erfolgreicher Cyberangriff ist sehr teuer. Schon bei „normalen“ Unternehmen entstehen Umsatzeinbußen, Wiederherstellungskosten, Kosten für Rechts- und PR-Beratung, Bußgelder und nur schwer zu beziffernde Image- und Reputationsschäden. Bei KRITIS-Unternehmen kommen noch mögliche Versorgungsengpässe bei der Bevölkerung hinzu. Der Schaden kann also sehr schnell in die Millionen gehen und bis zur Insolvenz führen. Demgegenüber sind die Kosten für die Verbesserung der IT-Sicherheit und die Erhöhung der Cyberresilienz ein sehr kleiner Posten.

Was genau bedeutet Cyberresilienz im Zusammenhang NIS2?

Brieskorn: Sie ist das oberste Ziel der Richtlinie. Nicht jeder Cyberangriff lässt sich verhindern oder aufhalten. Bei der Cyberresilienz geht es daher darum, den entstehenden Schaden so gering wie möglich zu halten und dafür zu sorgen, dass ein Unternehmen arbeitsfähig bleibt oder – wie bei KRITIS-Unternehmen – die Versorgung nicht unterbrochen wird. NIS2 sieht dafür eine Reihe von Maßnahmen vor, damit Angriffe sehr schnell erkannt und eingedämmt werden können. Dazu gehört auch die Meldepflicht. Wird ein Cybervorfall an das BSI gemeldet, können diese Informationen an andere kritische Infrastrukturen weitergegeben werden. So können Sicherheitslücken geschlossen werden, bevor sie von Cyberkriminellen ausgenutzt werden.

Bisher haben wir nur über Deutschland gesprochen. Wie sieht es im übrigen Europa aus?

Brieskorn: Leider nicht viel besser. Die EU hat kürzlich Vertragsverletzungsverfahren gegen mehr als 20 Mitgliedsstaaten eingeleitet, weil sie unter anderem die NIS2-Richtlinie noch nicht umgesetzt haben. Ein Grund mehr, um mit der Umsetzung nicht zu warten. 

Inwiefern?

Brieskorn: Hohe IT-Sicherheitsstandards erhöhen nachweislich die Wettbewerbsfähigkeit. Unternehmen achten mittlerweile immer mehr darauf, dass ihre Lieferant:innen und Partnerunternehmen vor Cyberbedrohungen geschützt sind. Ein Beispiel: Ein Kunde bestellt etwas digital bei einem Unternehmen. Da die Systeme miteinander vernetzt sind, erhält die Spedition automatisch den Auftrag, die Ware auszuliefern. Wurde jedoch die Spedition gehackt, könnten Cyberkriminelle auch die Daten des Kunden abgreifen. Entsprechende IT-Sicherheitsmaßnahmen, wie sie in der NIS2-Richtlinie festgelegt sind, hätten dies wahrscheinlich verhindern können.

Wenn ich jetzt mit der Umsetzung der NIS2-Richtlinie beginnen möchte. Wo fange ich am besten an? 

Brieskorn: Der erste Schritt ist immer die Klärung der Zuständigkeiten. Das NIS2-Umsetzungsgesetzt sieht nicht nur hohe Bußgelder vor, sondern auch, dass die Geschäftsführung persönlich haftbar ist, wenn die Vorgaben nicht eingehalten werden. Danach folgen eine ausführliche Risikoanalyse und die Ermittlung des Status quo, um die konkreten Handlungsfelder zu definieren. Welche Sicherheitsmaßnahmen fehlen noch? Wo sind Verbesserungsmöglichkeiten? Parallel dazu müssen Prozesse etabliert werden, um den Meldepflichten nachzukommen, und Notfallpläne entwickelt werden. Das alles kann, wie gesagt, mehrere Monate dauern. Wenn beispielsweise eine zusätzliche Back-Up-Internetleitung gelegt werden muss, dauert allein die Genehmigung der Bauanträge mehrere Wochen bis Monate. Neue Firewalls, ein Security Operations Center (SOC), das die IT rund um die Uhr Blick behält, oder auch eine SASE-Lösung lassen sich nicht von heute auf morgen einrichten.

Wie kann EWE bei der Umsetzung der NIS2-Richtlinie helfen?

Brieskorn: Wir können bei jedem Schritt unterstützen – außer beim ersten natürlich. Wir sind seit Jahren Teil der kritischen Infrastruktur Deutschlands und sichern unsere eigenen Systeme effektiv gegen Cyberbedrohungen ab. Diese Erfahrung geben wir nun sehr gern weiter. Wir beraten bei der Einhaltung der Richtlinie und bieten umfassende Managed Services im Bereich IT-Sicherheit, die nicht nur einen 360°-Schutz liefern, sondern Unternehmen auch jede Menge Arbeit und Risiko abnehmen. So können wir zum Beispiel ein SOC aufbauen, bei dem unsere IT-Sicherheitsexpert:innen die IT eines Unternehmens ununterbrochen im Auge behalten und Auffälligkeiten sofort melden. Gleichzeitig sind unsere Produkte zertifiziert und entsprechen immer – wie es im Gesetz so schön heißt – dem „aktuellen Stand der Technik“.

Es gibt also wirklich keinen Grund zu warten?

Brieskorn: Nein, wirklich keinen. Abgesehen davon, dass Cyberkriminelle nicht warten, gibt es auch nicht allzu viele IT-Dienstleister wie uns, die KRITIS-Unternehmen NIS2-konform absichern können. Wer wartet, läuft Gefahr, in einen Stau zu geraten und nicht alle Maßnahmen rechtzeitig umsetzen zu können.

Letzte Frage: Wenn ich kein KRITIS-Unternehmen bin, sollte ich die Maßnahmen trotzdem umsetzen?

Brieskorn: Von mir gibt es da ein ganz klares JA! Als privatwirtschaftliches Unternehmen ist man zwar von der Meldepflicht ausgenommen, aber zum Beispiel nicht von der DSGVO. Bessere IT-Sicherheitsstandards können jedes Unternehmen vor massivem Schaden bewahren und lohnen sich daher immer. 9 von 10 Unternehmen wurde laut Bitkom im letzten Jahr angegriffen. Es ist also keine Frage von ob, sondern nur wann. Gleichzeitig stärkt ein hohes Sicherheitsniveau die Wettbewerbsfähigkeit, da Unternehmen zunehmend auf die Sicherheit in ihrer Lieferkette achten – für KRITIS-Unternehmen ist dies sogar Pflicht.