Knapper Zeitplan für NIS-2
Die Zahl der Cyberangriffe wächst. Mit NIS-2 will die EU Unternehmen schützen. Die Regeln gelten ab Oktober. Mittelständler sollten sich schon jetzt vorbereiten.
Wie ein Laserpfeil zischt eine weiße Linie von Punkt zu Punkt auf eine Deutschlandkarte herab. Die animierte Grafik des IT-Marktforschungsanbieters Konbriefing zeigt, wo Cyberangriffe gelaufen sind. In den ersten Januartagen traf es bereits einen IT-Dienstleister, mehrere Industrie- und Handelskammern und eine Polizeibehörde. Und das sind nur die bekannten. Die Täter blockieren Rechner, stehlen Daten, fordern Lösegeld. Oder sie nisten sich ein, um später zuzuschlagen.
68 Unternehmen erlitten 2023 einen Angriff mit Ransomware, berichtet das Bundesamt für die Sicherheit (BSI) in der Informationstechnik. 66 Prozent aller Spammails sind Betrugs- oder Erpressungsversuche. Und Tag für Tag finden BSI-Spezialisten eine Viertelmillion Schadprogramme auf Datenträgern.
Für 2022 verzeichnet das Bundeskriminalamt 136.865 Cyberangriffe. 6,5 Prozent weniger als im Vorjahr. Die Schäden betrugen insgesamt 203 Milliarden Euro. Sie sind rund doppelt so hoch wie noch 2019. Die Gefahr bleibt hoch, schätzt das BKA, vor allem, weil wohl nur zehn Prozent der Fälle bekannt werden. Europaweit ist die Lage ähnlich ernst. Um das Risiko zu senken, hat die EU-Kommission die Network-and-Information-Security-Richtlinie 2.0 (NIS-2) beschlossen. Sie gilt von Oktober 2024 an und schreibt Unternehmen wesentlicher und wichtiger Branchen umfangreiche Regeln vor. Ob ein Unternehmen die Regeln umsetzen muss, muss es selbst herausfinden. Eine Übergangs- oder Schonfrist gibt es nicht. Unternehmer sollten sich daher zügig kümmern.
Als wesentlich gelten Unternehmen aus den Branchen Energie, Verkehr, Wasserversorgung, digitale Infrastruktur und IT-Dienste, elektronische Kommunikationsdienste, Internet- sowie Telekommunikations- und -netzanbieter, Bank- und Finanzwesen, Gesundheit, Forschungseinrichtungen, öffentliche Verwaltung und Raumfahrt. Als wichtig stuft die EU Firmen aus diesen Branchen ein: Abfallwirtschaft, Chemie, Post- und Kurierdienstleistung sowie Lebensmittel. Dazu zählen auch Hersteller von Computern, Elektronik, Optik, Maschinen, Kraftfahrzeugen und Transportmitteln sowie digitale Anbieter und Forschungseinrichtungen.
NIS-2 gilt zudem für mittlere und große Unternehmen. Als mittlere gelten solche mit 50 bis 250 Mitarbeitern, zehn bis 50 Millionen Euro Umsatz und einer Bilanzsumme unter 43 Millionen Euro jährlich. Groß sind danach Firmen mehr als 250 Mitarbeitern, mehr als 50 Millionen Euro Umsatz sowie einer Bilanzsumme von mehr als 43 Millionen Euro.
Doch es könnten auch kleinere Firmen betroffen sein, wenn sie wichtige Zulieferer oder Dienstleister sind. „Ein Kunde, den NIS-2 betrifft, wird irgendwann fragen, wie Sie die NIS-2-Anforderungen erfüllen“, sagt André Glenzer, Partner bei PwC für Cyber
Security & Privacy.
Bei Opasca aus Mannheim kennen sie solche Anforderungen seit Jahren. Das Unternehmen mit 80 Mitarbeitern bietet Software-Komplettlösungen für den digitalen Workflow und das Patientenmanagement in kleineren und größeren Kliniken sowie spezialisierte Software für die Sicherheit von Patienten in der Strahlentherapie an. „Zehn Prozent unserer Kunden sind offiziell Kritis-Häuser“, sagt Opasca-Chef Alexej Swerdlow – besonders bedrohte Firmen. „Die haben schon immer Informations- und Datensicherheit natürlich auch von uns als Lieferant eingefordert.“ Oft stand das bereits in den Ausschreibungen. „Darin gibt es Muss- und Kann-Kriterien“, erklärt er, „und die Zertifizierung nach ISO 27001 ist sehr oft Pflicht.“ Seit 2022 ist Opasca zertifiziert.
Die Norm für Informationssicherheit gibt vor, wie Unternehmen diese planen, umsetzen, überwachen und optimieren können. Das Audit muss alle drei Jahre erneuert werden. Wer es durchläuft, ist für NIS-2 bereits gut aufgestellt. „Rund 80 Prozent der Vorgaben erfüllen nach ISO 27001 zertifizierte Unternehmen bereits“, schätzt PwC-Partner Glenzer.
Noch befasst sich die Bundesregierung mit dem Umsetzungsgesetz für NIS-2. Loslegen sollten Unternehmen trotzdem schon, rät Benjamin Richter, geschäftsführender Gesellschafter von Cyber Complete im nordrhein-westfälischen Schmallenberg. „Solange sie sich an der EU-Richtlinie orientieren, werden sie keine größeren Fehler machen.“ NIS-2 schreibt ein umfassendes Cyber-Risikomanagement vor, Dokumentation und Schulung der Beschäftigten, Sicherheit in der Lieferkette, ein ausgefeiltes Risikomanagement, Verschlüsselung, Authentifizierung, Zutrittsbeschränkungen, Regeln für den Fall von Sicherheitsverstößen.
Strammes Programm
Der Ansatz ist umfassend – und vielleicht auch erschöpfend. Dabei aber derart sinnvoll, dass sich praktisch kein Experte über die komplexe EU-Vorgabe beschwert. Im Gegenteil. „Wenn eine Festung fällt, fallen auch ganz viele Dörfer“, erläutert es Richter. „Das war im Mittelalter so, und es ist auch heute so mit Blick auf Netzwerke von Unternehmen.“ Anders gesagt: Trifft es ein Unternehmen, werden viele drumherum mit geschädigt.
Ein halbes Jahr hat Opascas Projektteam für die Zertifizierung nach ISO 27001 gebraucht. Ein strammes Programm für zwei Vollzeitkräfte, zwei Studenten und später noch eine zusätzliche Vollzeitkraft. Dabei hatte der Anbieter von Workflowsoftware vieles längst umgesetzt. „IT-Grundschutz, Netzwerksicherheit, regelmäßige Back-ups – das haben wir hier immer schon gemacht – schon, weil die beiden Unternehmensgründer IT-ler waren“, sagt CEO Swerdlow. „Unsere größte Herausforderung war, alles zu verschriftlichen und zu dokumentieren und dabei so zu formulieren, dass es auch Unbeteiligte nachvollziehen können“, erinnert sich Hannah Halbritter, die das ISO-Projektteam mitgeleitet hat.
Statt auf Servern und Laufwerken wie vor der Pandemie speichert der Anbieter von Krankenhaussoftware jetzt in der Cloud. „Auf Servern in Deutschland“, sagt Swerdlow. „Das haben Kunden schon vor Jahren mit Blick auf den Datenschutz verlangt.“ Auf manche Bereiche können alle zugreifen, andere schützt ein Berechtigungsmanagement. Aktualisiert wird automatisch. Regelmäßige Schulung der Mitarbeiter laufen über das Schulungsportal des Dienstleisters. Das hatte man bei Opasca gefordert, und es ist auch Pflicht nach NIS-2.
„Nicht so richtig vorausgesehen hatten wir bei dem ganzen Fokus auf IT-Sicherheit und Technik, dass wir auch daran denken müssen, was passiert, wenn wir nicht mehr ins Haus kommen“, sagt Swerdlow. Zusätzlich zu den digitalen Back-ups im und außerhalb des Unternehmens, gibt es deshalb auch zwei physische Back-ups in Form von mobilen Laufwerken. Ebenfalls eins im Unternehmen, eins außerhalb. Und statt elektronischer Zugangskarten haben die Türen Schlösser und die Mitarbeiter Sicherheitsschlüssel. „Damit wir auch dann noch ins Haus kommen, wenn der Strom ausfällt“, sagt Swerdlow
Die Sicherheit in der Lieferkette gewährleisten Lieferanten-Audits. Für wichtige Güter oder Dienstleistungen „haben wir vorsorglich je zwei Lieferanten identifiziert, sodass wir bei einem Engpass sofort einen Ersatzlieferanten beauftragen können“, erklärt Swerdlow. Auch das schreibt die NIS-2-Richtlinie demnächst vor.
Auch Heuel Logistics im nordrhein-westfälischen Meinerzhagen hat die meisten von NIS-2 vorgesehenen Maßnahmen bereits umgesetzt. „Wir orientieren uns an ISO 27001“, sagt Christoph Heuel, einer der drei geschäftsführenden Gesellschafter, „auch wenn wir nicht danach zertifiziert sind.“ Heuel weiß bereits, dass NIS-2 sein Unternehmen betrifft. Der Fahrplan steht. Das Transportunternehmen mit mehr als 500 Beschäftigten, 2000 Sendungen pro Tag und über 50.000 Quadratmetern Lagerfläche ist sensibilisiert. Vor vielen Jahren gab es bereits einen Cyberangriff. Dieser unterbrach das Geschäft kurz, Daten flossen nicht ab. „Unser Betrieb lief bereits damals rund um die Uhr – da fielen Unregelmäßigkeiten zum Glück sofort auf“, erinnert sich Heuel.
Seither baut er konsequent vor. Werkzeuge und Prozesse für Cybersicherheit sind längst da, die nötigen Mitarbeiter technisch und alle im Sicherheitsbewusstsein geschult. Laufend werden die Daten gesichert. Alle wichtigen Ressourcen bis zum Notfallhandbuch mit Plan und Kontaktdaten liegen digital und physisch vor. „Wir können unseren Kunden seit Jahren sagen: Diese Sendung ist cybersicher“, stellt Heuel fest. Und der Betrieb würde auch bei physischer Zerstörung der IT laufen. „In der Verfahrensdokumentation stehen die Abläufe drin und dazu die ohne Softwarehilfe abzuwickelnden Alternativen“, erklärt er. Also buchstäblich, wie die Mitarbeiter sich dann mit Zetteln in den Regalen und Paletten zurechtfinden.
„Informationssicherheit ist niemals nur eine Frage der Technik, sondern auch eine Frage der Prozesse und der Menschen“, pflichtet PwC-Experte Glenzer bei. „Es geht also nie um eine rein technische Lösung. Und es nützt auch nichts, technisch alles perfekt zu sichern, wenn im Serverraum das Fenster offen steht und jeder hinein kann.“
„Ein wichtiger Punkt auch für bereits dank ISO 27001 gut aufgestellte Unternehmen ist noch das nach NIS-2 zu erfüllende vierstufige Meldesystem“, sagt Glenzer. Bei einem sicherheitsrelevanten Vorfall müssen Unternehmen nach NIS-2-Vorgabe binnen 24 Stunden eine frühe Erstmeldung an das BSI absetzen und diese binnen 72 Stunden aktualisieren. Auf Anfrage der Behörde müssen sie ad-hoc antworten und innerhalb eines Monats eine Abschlussmeldung einreichen. Wichtig ist auch, die Krise durchzuspielen, wie IT-Sicherheitsdienstleister Richter sagt. „Wenn alles fertig ist, ruhig mal testweise das Notfallteam zusammentrommeln und schauen, wie lange es braucht.“
So setzen Sie NIS-2 um
- Analysieren Sie Sicherheitsrichtlinien und -verfahren sowie die Konfiguration der Netzwerk-Infrastruktur. NIS-2 schreibt den Schutz vor Ransomware ausdrücklich vor.
- Schulen Sie Ihre Mitarbeiter angemessen technisch und rechtlich – beispielsweise für Phishing per E-Mail, per Facebook-Message oder QR-Code-Betrug.
- Schwachstellenmanagement sollte automatisiert dauerhaft laufen.
- Sie brauchen Zugriffsbeschränkungen und privilegierte Konten. Aktualisieren Sie besonders Admin-Passwörter regelmäßig.
- Verwenden Sie starke Authentifizierungsmethoden, segmentieren Sie Netzwerke. Validieren Sie Zugriffsversuche und analysieren Sie Bedrohungen.
- Setzen Sie Mindeststandards mit konkreten Anforderungen und Erfüllungskriterien für Ihre Lieferanten und Partner.
- Entwickeln Sie einen Notfallplan: Stellen Sie sicher, dass kritische Systeme auch bei einem Ausfall der IT oder physischen Infrastruktur laufen.
- Dokumentieren Sie alle Maßnahmen und Prozesse.
- Passen Sie Ihre Security-Budgets gegebenenfalls nach oben an.