Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. Nachfolgend die gesammelten Statements von Udo Schneider, Governance, Risk & Compliance Lead, Europe bei Trend Micro. [...]
Glauben Sie, dass über die Lieferketten mehr oder weniger alle Unternehmen betroffen von NIS2 sind?
Letzten Endes ja, weil die Unternehmen, die von NIS2 betroffen sind, die gesetzlichen Anforderungen zu erfüllen haben und das natürlich an die Lieferkette einfach vertragsrechtlich weitergeben. Das heißt, dass auch kleine Unternehmen, die aus heutiger Sicht vielleicht gar nicht in den Scope von NIS2 fallen, diese Anforderungen erfüllen müssen, weil ihre Kunden das erwarten. Ich denke, dass dies auch eines der Ziele der EU gewesen ist: Man versucht, die Cyberresilienz deutlich breiter auszurollen, als aus dem Scope von NIS2 eigentlich ersichtlich ist.
Wie weit sind Unternehmen bei der Umsetzung?
Unternehmen, die in ISO 27001 oder ISO 27002 investiert haben, konnten bereits einen Großteil abdecken. Viel Neues ist bei NIS2 nicht vorhanden. Was immer noch ein wenig unklar ist, ist das Thema Reporting und Meldepflichten. In welchen Formaten soll gemeldet werden? Wie sehen Reporting-Pflichten aus? Wie sind die Informationspflichten der Mitgliedstaaten untereinander geplant? Das sind Fragen, die auch für die großen Institutionen interessant sind.
Fairerweise muss man sagen, dass die großen Unternehmen normalerweise ein Informationsmanagementsystem oder ein Information Security Management System (ISMS) im Einsatz haben, und damit die Anforderungen größtenteils abgedeckt sind.
Was ein wenig für Unruhe im Markt sorgt, ist, dass NIS2 sehr stark als technische Herausforderung angesehen wird. Das heißt, man schaut sich den Artikel 21 an, träufelt ein bisschen technischen Feenstaub darüber und ist der Meinung, man sei damit fertig. Die Herausforderung bei NIS2 ist jedoch nicht die Technik, sondern der koordinierte Betrieb – also das, was ein ISMS letzten Endes fordert.
Ich denke, dass gerade kleinere Firmen – teilweise auch größere –, die bisher noch kein ISMS eingeführt haben, noch lange nicht das notwendige Level erreicht haben, weil die IT dort immer noch sehr opportunistisch betrieben wird.
Was meinen Sie mit opportunistisch?
Es gibt in vielen Fällen keinen geordneten IT-Betrieb. Das heißt, man macht hier ein wenig Sicherheit, dort ein wenig Disaster Recovery, da ein wenig Business Continuity – ohne dass die IT vernünftig betrieben oder vernünftig dokumentiert wird, um bei Vorfällen entsprechend schnell reagieren zu können. Und Vorfälle müssen nicht nur IT-Sicherheitsvorfälle sein. Es kann sich auch um Hochwasser handeln.
In vielen Fällen wird die IT immer noch als Nebenprodukt betrieben, obwohl sie meist ein Kernprozess ist. Firmen, die ein ISMS nutzen, sind auch gezwungen, sich Gedanken zu machen, was die IT für das Unternehmen bedeutet. Wie muss ich die IT betreiben? Was ist mein Risiko? Wird die IT auch entsprechend dokumentiert? Da hakt es leider bei vielen Unternehmen noch, weil, wie gesagt, die IT sehr opportunistisch betrieben wird.
Das gilt wohl nicht für Rechenzentren.
Wenn man sich größere Rechenzentren ansieht, dann haben diese eigene Zertifizierungen und eigene Standards, mit denen sie betrieben werden. Man kann sich geschäftlich nicht leisten, Rechenzentren nicht geregelt zu betreiben. Doch wer hat denn heutzutage noch ein eigenes Rechenzentrum? Wenn wir uns kleinere Firmen anschauen: Nur weil ich alles in der Cloud betreibe, heißt das ja nicht, dass meine eigenen Prozesse automatisch dokumentiert sind und entsprechend sauber betrieben werden.
Muss die Geschäftsführung auf eine sehr gute Dokumentation durch CIO oder CISO bestehen?
Allein, wenn man sich den Gesetzestext ansieht, lautet die Antwort Ja. Es gibt dafür genau eine Norm, die ISO 27001 – und der Großteil von ISO 27001 ist eine entsprechend strukturierte Dokumentation. Hier geht es unter anderem darum, dass die Fachabteilungen – Stichwort CISO und andere – die Informationen so dokumentieren und aufbereiten, dass sie der Geschäftsleitung als Entscheidungsgrundlage vorgelegt werden können. Das ist der springende Punkt: Das heißt nicht, dass die Geschäftsleitung jedes technische Detail kennen muss. Sie muss aber imstande sein, ihre ureigenste Aufgabe wahrzunehmen: Entscheidungen zu treffen. Ob das betriebliche oder IT-Security-Entscheidungen sind, ist erstmal völlig nebensächlich.
Glauben Sie, dass dies bei den Unternehmen etwa in der DACH-Region genau so passiert?
Ich würde gerne Ja sagen, die Realität sieht leider anders aus. Wir haben Anfang dieses Jahres eine weltweite Studie durchgeführt, bei der auch CISOs und IT-Leiter gefragt wurden. Eine Frage war, ob sie Informationen im Bereich Security – wie Status quo oder Sicherheitsvorfälle – geschönt an die Geschäftsleitung weitergegeben haben. Über 75 Prozent haben geantwortet, dass sie genau das gemacht haben, weil sie sonst als negativ, paranoid oder als Angstmacher abgestempelt werden.
Wenn nun die Geschäftsführung vom CISO Informationen bekommt, die – ich will nicht sagen, falsch sind –, aber nicht ganz der Realität entsprechen, dann heißt das, dass die Geschäftsführung auf dieser geschönten Basis Entscheidungen treffen und Verantwortung tragen muss.
Stichwort Verantwortung: Die Strafen sind von Land zu Land unterschiedlich.
Es gibt Mindeststandards, die kein Land unterschreiten darf. Nach oben ist man jedoch offen, das kann jedes Land noch regeln. Was aus meiner Sicht für Unruhe sorgen wird, ist die Tatsache, dass ganz klar getrennt wird zwischen Strafen, die der juristischen Person der Unternehmung auferlegt werden, und jenen, die die Geschäftsführung betreffen. Das heißt, dass bei entsprechenden Vorfällen unter Umständen die Geschäftsleitung persönlich haftbar ist. Das sorgt für Unruhe, um es vorsichtig zu formulieren. Früher konnte man sagen: Mir kann nichts passieren, die Unternehmung haftet ja. Mit NIS2 ist das anders.
Wie unterstützt Trend Micro bei der Umsetzung?
Die Herausforderungen, die von Kunden an uns herangetragen werden, liegen eigentlich kaum im technischen Bereich, weil dies lässt sich regeln. Anders bei der Governance: Allein das Aufsetzen eines Programms zur Umsetzung von NIS2, das Monitoren der Umsetzung, das Berufen von Verantwortlichkeiten, das Prüfen von Prozessen – also all das, was dem Governance-Bereich zuzuordnen ist –, ist eigentlich die größte Herausforderung. In der Vergangenheit konnte man die IT sehr opportun betreiben. Für NIS2 brauche ich eine Risikoanalyse, eine Risikomatrix, ich muss Entscheidungen treffen, ich muss dokumentieren, muss meine Maßnahmen pflegen. Das heißt, dass der Verwaltungsaufwand und die Dokumentation massiv angestiegen sind. Damit haben speziell kleine Unternehmungen Probleme, weil es bisher nicht notwendig war.
Es macht aus unserer Sicht relativ wenig Sinn, diese Governance-Themen selbst anzugehen. Man sollte auf externe Hilfe zurückgreifen. Das Problem ist nur, dass der Markt an Beratern derzeit leergefegt ist. Das heißt: Wenn man bis jetzt kein Governance-Programm aufgesetzt hat, wird es – was die Zeit betrifft und ressourcenmäßig – leider sehr eng.
Was sind aus Ihrer Sicht die wichtigsten Aspekte der NIS2-Richtlinie?
Wenn man sich NIS2 allgemein ansieht, so entdeckt man technisch wenig Neues, organisatorisch ebenso. Ausnahme: die Meldepflicht. Dazu muss man den Hintergrund der NIS2-Verordnung kennen. Diese wurde nicht ins Leben gerufen, um die Resilienz der EU zu erhöhen. Dazu gehört, dass die jeweiligen Stellen in den Mitgliedsstaaten wissen, was in ihren Ländern passiert. Es geht also darum, Einblicke zu gewinnen. Und damit kommen wir zur Meldepflicht. Diese ist nicht dazu da, um den Firmen das Leben schwer zu machen. Sie ist notwendig, um auf Landes- wie auf EU-Ebene ein Lagebild zu erstellen. Gerade in der Cybersecurity hören viele auf ihr Bauchgefühl. Wirklich konkrete, harte Zahlen existieren einfach noch zu wenig.
Das hört sich nach viel organisatorischen, um nicht zu sagen, bürokratischen Aufwand an.
Ich hätte nie gedacht, dass ich einmal die EU verteidigen würde, was die Bürokratie angeht. Doch ich glaube, dass die Vergangenheit gezeigt hat, dass das Ad-Hoc-Denken oder sporadische technische Maßnahmen nicht funktionieren. Wenn man nun die genaue Spezifizierung als Bürokratie bezeichnet, kommt tatsächlich mehr Bürokratie auf uns zu. Ich glaube aber nicht, dass dies unbedingt negativ ist. Vergleicht man das mit einem Bauvorhaben, dann kann ich nicht einfach ein formloses Blatt Papier mit meinen Ideen an das Katasteramt schicken. Es braucht ein bestimmtes Format, das dem Verwaltungsakt entspricht. Ich denke, hier stehen wir auch mit NIS2. Es kodifiziert einfach die Art und Weise, wie mit entsprechenden Behörden umgegangen werden soll, damit die relevanten Informationen genutzt und auch EU-weit verteilt werden können.
Wenn man sich ein bekanntes, bewährtes Regelwerk wie ISO 27001 oder NIST CSF ansieht, so heißt das nicht, dass man sie komplett bis ins allerletzte Detail umsetzen muss. Sie dienen einfach dazu, gewisse Dinge nicht zu vergessen. Unternehmen sind in der Regel auf bestimmte Aspekte sensibilisiert, weil vielleicht schon einmal etwas passiert ist, ein Ransomware-Vorfall oder Hochwasser. Denkt auch jemand daran, dass im Rechenzentrum der Strom ausfallen kann?
Die großen Rahmenwerke sind sehr praktisch, weil sie aufzeigen, welche Risiken möglich sind und was man dagegen unternehmen kann.
Wie wird sich das Thema NIS2 weiterentwickeln? Was soll in NIS3 verbessert werden?
Was ich mir wünschen würde, sind klarere, genauere Umsetzungsvorschriften oder einfach mehr Handreichung. Etwas, das gerne übersehen wird: Hinter NIS2 steht auch die Idee, dass es in der EU einen harmonisierten Mindeststandard gibt. Harmonisiert heißt, dass zwischen den Mitgliedsstaaten der gleiche Sicherheitslevel existiert. Anders ausgedrückt: Es geht auch darum, dass kein Mitgliedsland einen Vorteil im Binnenmarkt hat, indem es seine Sicherheitsanforderungen niedriger ansetzt als die anderen. Der gemeinsame Binnenmarkt ist ja eine der Kernsäulen der EU.
Ich fürchte, dass NIS3 kommen wird. NIS2 wurde in einer Zeit entwickelt, als kriegerische Auseinandersetzungen nicht an der Tagesordnung standen. Es ist ein Trugschluss zu glauben, dass NIS2 aus dem Ukraine-Krieg entstanden ist. Tatsache ist, dass es weit davor entwickelt worden ist.
NIS3 wird kommen, ich denke aber nicht, dass dies in den nächsten fünf, sechs Jahren passieren wird. Ziel wird es sein, das Sicherheitsniveau in der EU weiter zu harmonisieren. Dazu gehören aus meiner Sicht detailliertere Umsetzungsvorschriften.
Wie beurteilen Sie die allgemeine Bedrohungslage?
Was etwa die Angriffe auf Energie oder Healthcare betrifft, so spricht man oft von staatlichen Akteuren. Die gibt es natürlich. Dann gab und gibt es die Skript-Kiddies, die zum Beispiel versuchen, irgendwelche Steuerungen zu übernehmen.
Was man heute hinzufügen muss, sind, so nenne ich sie, politisch motivierte Akteure, die von staatlichen zu unterscheiden sind. Sie haben politische Motive, greifen Infrastruktur an, sind aber nicht staatlich gesteuert.
Wir leben in einer Welt voller Kriege und schlechter Presse, wenn ich jemandem auf die Füße trete. Da kann es schon passieren, dass Infrastruktur angegriffen wird, wenn ein Unternehmen, überspitzt formuliert, die falsche Kaffeemaschine nutzt. Das heißt: Man muss sich von der Vorstellung verabschieden, dass nur staatliche Akteure aktiv sind. Heute gibt es politische Gruppen mit den unterschiedlichsten Agenden, von denen zielgerichtete Angriffe ausgehen. Unternehmen wissen oft gar nicht, warum sie angegriffen werden.
Wie entwickelt sich das Angebot von Trend Micro weiter?
Man kann unser Angebot auf zwei große Bereiche aufteilen. Auf der einen Seite bietet Trend Micro Sicherheitsprodukte an. Die Beschreibung der Produkte würde den Rahmen der Diskussion sprengen. Es sind Produkte, die beispielsweise über Channel Partner wie CANCOM vertrieben werden. Das ist für uns extrem wichtig, weil wir nicht alle notwendigen Kundenzugänge oder -informationen haben. Ein Partner wie CANCOM hat deutlich mehr Informationen über einen Kunden, sie ist auch deutlich breiter aufgestellt als nur im Bereich IT-Sicherheit. IT-Sicherheit ist bloß ein Teil dessen, was ein Kunde benötigt.
Das zweite Standbein von Trend Micro ist etwas, das ich gerne mit Threat Intelligence bezeichne. Salopp gesagt: Es geht um den Versuch, den bösen Jungs einen Schritt voraus zu sein. Das heißt, wir beschäftigen uns sehr stark mit Fragen wie: Was passiert denn im Untergrund? Was sind gerade aktuelle Angriffskampagnen? Was brauchen wir vielleicht in den nächsten zwei bis fünf Jahren an Technologien, um auch weiterhin Schutzmöglichkeiten bieten zu können?
Den bösen Buben einen Schritt vorauszusein, ist eine mutige Ansage.
Es ist, wie gesagt, der Versuch. Ich glaube, dass man hier zwei Sachen trennen muss. Das eine ist das Tagesgeschäft. Hier geht es darum, möglichst schnell auf Bedrohungen zu reagieren.
Den bösen Buben einen Schritt voraus zu sein, ist etwas, das man normalerweise in der Außenansicht gar nicht wahrnimmt. Wir sind etwa in Untergrundforen unterwegs, wir untersuchen sie, wir sind in Kontakt mit entsprechenden Boards, um herauszufinden, worüber Cyberkriminelle oder staatliche Akteure heute diskutieren. An welchen Geschäftsmodellen oder Angriffsideen und Vektoren wird gerade gearbeitet? Mit diesen Informationen haben wir tatsächlich die Chance, den Kriminellen einen Schritt vorauszusein.
Das funktioniert bei Cyberkriminellen erstaunlicherweise sehr gut, da sie einfach zu durchschauen sind. Es geht immer ums Geld.
Kooperieren Sie mit anderen Security-Anbietern?
Die kurze Antwort lautet: Ja. Es ist ein Irrglaube, dass die Sicherheitsanbieter alle spinnefeind sind. Mitbewerber sind nicht meine Gegner. Cyberkriminelle sind meine Gegner. Die Leute in den unterschiedlichen Firmen kennen einander seit 20, 30 Jahren. Wir tauschen auch untereinander Daten aus, um, das klingt ein wenig pathetisch, die Welt ein wenig sicherer zu machen. Bedeutet das, dass wir unsere Forschung gratis rausgeben? Nein.
Welche Empfehlung können Sie kleineren Unternehmen geben?
Was ich heute speziell kleineren und mittleren Unternehmen empfehlen würde, ist, die Scheu vor Dienstleistungen abzulegen, um etwa mehr Managed Services in Anspruch zu nehmen.
Viele KMUs versuchen alles selber zu machen, obwohl sie vielleicht gar nicht wissen, was sie nicht wissen. Es macht einen großen Unterschied, ob ich tagtäglich in einem Network Operation Center sitze und sehe, was alles passiert, oder ob ich das alle zwei, drei Wochen mache.
Wenn ich Managed Services in Anspruch nehme, dann weiß ich, dass die Personen, die am anderen Ende sitzen, im Idealfall genau wissen, was sie tun, und den kleineren Firmen die Arbeit abnehmen können. Ich sehe im IT-Bereich eine gewisse Scheu vor Managed Services. Welche kleine Firma macht ihre gesamte Buchhaltung oder Steuererklärung komplett im Haus? Das wird normalerweise an externe Dienstleister abgegeben, weil das Thema einfach zu komplex ist. Anders im IT-Bereich. Da wird oft technischer Feenstaub über den Server verteilt, der unterm Schreibtisch steht – mit der Hoffnung, dass alles gutgeht. Auch bei IT und auch IT-Sicherheit macht es in vielen Fällen Sinn, diese an einen Partner auszulagern, der das Thema in einer hoffentlich besseren Qualität verwaltet.
Welche Rolle spielt KI?
Angriffe mit KI werden nicht kommen, sondern sind schon Realität. KI ist ein sehr mannigfaltiges Thema. Es gibt ja viele Bereiche, wo KI eine Rolle spielt. Wenn wir jetzt über KI-Angriffe sprechen, so muss man nur die Phishing-Mails von vor drei Jahren mit den heutigen vergleichen, die in einer sprachlich deutlich besseren Qualität kommen – Stichwort Large Language Models.
Trotzdem sehen wir noch immer sehr schlecht gemachten E-Mails. Warum ist das so? Unsere Beobachtungen zeigen, dass es Opfer selbst für die schlecht gemachten E-Mails und suboptimale Angriffe gibt.
Wie sieht es mit KI in den Produkten aus?
Das ist für mich persönlich ein Reizthema, weil KI eigentlich nichts Neues ist. KI als Schutztechnologie gibt es seit vielen Jahren, und das nicht nur bei uns. Kategorisierende KI-Modelle als Technologie-Grundlage gibt es in vielen Software-Produkten seit Ende 1970er- bis Mitte 1980er-Jahre.
Was wir heute machen, ist, dass wir Large Language Models benutzen, um beispielsweise die SOC-Analysten, also diejenige, die einen Angriff untersuchen müssen, zu unterstützen. Das System kann etwa eine Zusammenfassung der Datenpunkte der Log-Einträge verfassen.
Wie geht es bei Trend Micro weiter?
Der Fokus bei Trend Micro liegt ganz klar auf dem Plattformgedanken und die Integration verschiedenster Lösungen in einer gemeinsamen Plattform mit entsprechenden Reportings, Auswertungen und Automatisierung.
Wir versuchen, einen Großteil der Security-Anforderungen aus einer Hand anzubieten, weil wir die Erfahrung gemacht haben, dass die Integration die Auswertung von Angriffsinformationen deutlich einfacher macht, weil alles auf einer Plattform konsolidiert ist. Damit ist auch die Reaktion auf Vorfälle und die Forensik deutlich schneller und einfacher.
Das Gespräch führte Dr. Manfred Weiss.
Be the first to comment