Machen Sie Cybersicherheit zur Chefsache

Phishing Mail im Posteingang? Die Netzverbindung ruckelt? Was zunächst nach keiner großen Sache klingt, kann für die sogenannten KRITIS hingegen – das sind Unternehmen oder Organisationen der kritischen Infrastrukturen – zum echten Problem werden. Bieten sie auch nur ein kleines Einfallstor für Cyberkriminalität riskieren sie schwerwiegende Folgen für unser gesellschaftliches Zusammenleben. Ob Verkehr, Energie, Gesundheit oder Kommunikation: Besonders in diesen Bereichen dürfen wir uns keine Ausfälle, Datenmissbräuche oder Betriebsstörungen leisten. Und gerade jetzt, angesichts des Ukrainekriegs und zunehmender Cyberangriffe – vor allem aus Russland und China – gilt es für Unternehmen, sich stärker zu schützen. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Lage im Cyber-Raum so angespannt wie nie zuvor. Jährlich verursacht der Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage einen Schaden von rund 203 Milliarden Euro in der deutschen Wirtschaft, wie der Bitkom e.V. bekannt gab.

NIS-2-Richtlinie: Mehr IT-Sicherheit für Europa

Auf diese Herausforderung reagiert jetzt die Europäische Union: Sie rüstet nach bei der 2016 eingeführten NIS-Direktive (Network and Information Security). Mit NIS 2 rücken nun noch mehr und auch mittelständische Unternehmen in den Schutzbereich. Auch die kleinen und mittleren Betriebe (KMU) sollten deshalb früh prüfen, ob sie die neuen Anforderungen umsetzen müssen. Die überarbeitete EU-Richtlinie zielt darauf ab, die kritischen Infrastrukturen in Deutschland noch stärker vor Cybergefahren zu schützen. Diese werden immer abhängiger von digitalen Technologien und stehen besonders im Fadenkreuz von Kriminellen. Mehr als die Hälfte dieser Organisationen erwarteten für 2023 einen starken Anstieg von Cyberattacken.

Was sich ab 2024 ändert

Zum einen unterscheidet NIS 2 nun zwischen „Essential Services" (wesentliche/besonders wichtige Dienste) wie etwa Energie und Gesundheitswesen und „Important Services" (wichtige Dienste), zum Beispiel Post- und Kurierdienste oder Lebensmittelproduktion. Außerdem erweitert die Richtlinie den Adressatenkreis auf acht neue Sektoren: darunter Abwasser, öffentliche Verwaltung, Abfallwirtschaft sowie Bildung und Forschung. Wie hoch die Kritikalität der Unternehmen ist, bestimmt auch die Größe der Unternehmen. Neu ist: Künftig fallen bereits Unternehmen ab 50 Mitarbeitenden sowie einem Jahresumsatz von mindestens zehn Millionen Euro unter die Richtline. Ob und wie Unternehmen erfasst sind, ermitteln sie mithilfe einer Betroffenheitsanalyse anhand der Kategorisierung des BSI. Bei Unklarheiten können sie auch einen Antrag an das BSI stellen. Diesen ersten Schritt begleiten auch IT-Partner wie die T-Systems. Der Vorteil: Sie können im Anschluss wirksame Sicherheitsrichtlinien entwickeln, implementieren und Mitarbeitende im Zuge der Cybersecurity-Strategie frühzeitig schulen.

Lieferketten und Meldefristen im Blick
 
Wer betroffen ist, muss strengere Standards im Bereich Business Continuity Management (BCM) sowie beim Schutz der Lieferkette erfüllen. Letzteres ist wichtig, da auch kleinere Betriebe aufgrund ihrer Rolle in den Lieferketten zunehmend Opfer von Attacken werden. NIS 2 legt zudem einen Schwerpunkt auf ein umfassendes Incident Management, das sich auf die Prävention, Erkennung und Abwehr von Cyberattacken konzentriert. Zudem werden Verschlüsselungstechnologien in vielen Bereichen obligatorisch, um beispielsweise wirksame Standards für die Informationssicherheit und das geforderte Schutzniveau nachweisen zu können. Unternehmen werden nun außerdem verpflichtet, Sicherheitsvorfälle und Störungen unmittelbar den zuständigen Behörden zu melden, um auch großflächige Angriffe auf nationaler Ebene direkt zu erkennen. Die Meldefristen sind knapp bemessen, mit einer 24-Stunden-Frist für die Frühwarnung an das zuständige, nationale Incident-Response-Team und einer Frist von 72 Stunden für eine detaillierte Beschreibung des Vorfalls inklusive aller Implikationen.

Wie wichtig die Einhaltung der Vorgaben sind, zeigen die Konsequenzen: Erfüllen Unternehmen diese Anforderungen nicht, drohen deutlich höhere Geldstrafen als bislang. Im Zweifel haftet sogar die Geschäftsleitung persönlich.

KMU sollten sich jetzt schon mit NIS auseinandersetzen

Bis Oktober 2024 müssen die EU-Staaten die Aktualisierung in nationales Recht umsetzen. Aber angesichts des Fachkräftemangels ist es für kleine und mittlere Unternehmen besonders schwer, die dafür nötige IT-Expertise aufzubauen. Und neben den fachlichen Ressourcen fehlen meist auch die finanziellen Mittel und prozessualen Strukturen, um die neuen Anforderungen passgenau und fristgerecht umzusetzen.
Umso wichtiger ist, dass KMU die Vorlaufzeit strategisch nutzen, um sich selbst den Druck aus den Segeln zu nehmen. Eine proaktive Herangehensweise der Geschäftsführung, die NIS-2-Umsetzung zum festen Teil der Unternehmensstrategie macht, bildet somit die entscheidende Grundlage für langfristige Investitionen in die richtigen Technologien und Ressourcen.

Verantwortung übernehmen: Der frühe Vogel bannt die Cybergefahr

Vor allem in kleinen Unternehmen empfiehlt es sich, einen festen IT-Sicherheitsansprechpartner zu benennen, der die Verantwortung für die Sicherheitsmaßnahmen koordiniert. Betroffene sollten anschließend konkrete Handlungsfelder identifizieren und Maßnahmen priorisieren. Besonders Tools für das Risikomanagement, Netzwerkanalysen und -sicherheit sowie Endpoint-Security werden künftig eine immer größere Rolle spielen. Arbeiten Unternehmen, Behörden und IT-Sicherheitsdienstleister eng zusammen, können sie zudem gemeinsam wirksame Lösungen entwickeln und IT-Sicherheitsmaßnahmen kontinuierlich aktualisieren.

Damit kommen in naher Zukunft viele Neuerungen auf die betroffenen Unternehmen und Einrichtungen zu. KMU, die jetzt schon klare Verantwortlichkeiten definieren, die passenden Tools und gegebenenfalls einen NIS-2-Dienstleister miteinbeziehen, können diese Herausforderung meistern – und am Ende von dem dazugewonnenen Cyberschutz profitieren. Schließlich liegt der akute Handlungsbedarf auf der Hand: Denn ein Cyberangriff ist oft nur eine Frage der Zeit.

Vita Thomas Masicek

Thomas Masicek, Jahrgang 1976, Nationalität österreichisch ist seit Juni 2022  Senior Vice President Cyber Security, bei T-Systems International. In dieser Rolle verantwortet er das gesamte Cyber Security Business der T-Systems International sowie Sicherheit aller Cloud- und Digital Services.

Thomas Masicek verfügt über mehr als 20 Jahre Erfahrung sowie über ein abgeschlossenes Masterstudium im Bereich der IT-Security und hatte seit 2000 unterschiedliche Fachexperten- sowie Managementfunktionen im Bereich Security in der Deutschen Telekom inne. Vor seiner Tätigkeit als SVP Cyber Security war Thomas Masicek 10 Jahre Chief Security Officer der T-Systems Austria sowie seit 2018 als Prokurist für den Aufbau und Betrieb der Business Unit Cyber Security in Österreich sowie der Schweiz verantwortlich.