Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. Nachfolgend die gesammelten Statements von Thomas Boll, Unternehmensgründer und Geschäftsführer der Boll Engineering AG. [...]
Sind über die Lieferkette nicht viel mehr Unternehmen von NIS2 betroffen, als ursprünglich gedacht?
Wenn man sich die Sache von der praktischen Seite aus betrachtet, so kommt auch darauf an, was wird geliefert wird. Wenn Leistungen zur Verfügung gestellt werden, von denen der Kunde abhängt, hat das natürlich eine andere Bedeutung, als wenn man einfach Material liefert, das man überall kaufen kann. Der Ausfall eines Lieferanten, der nur einen PC liefert, stellt kein Problem für den Kunden dar. Aber wenn mit der Leistung die Infrastruktur betrieben wird und es zu einem Ausfall oder Cybersecurity-Vorfall kommt, dann sieht die Sache ganz anders aus. Ich denke, dass die Kunden früher oder später versuchen werden, hier ein wenig zu unterscheiden. Im Moment gibt es einen „Kahlschlag“, bei dem alles, was geliefert wird, geprüft werden muss. Das ist aber in der Praxis vielleicht gar nicht möglich, wenn man bedenkt, dass größere Unternehmen oft Tausende von Lieferanten haben. Wichtig sind natürlich jene, von dessen Services man abhängig ist. Das wird meiner Meinung nach noch zu wenig berücksichtigt.
Wie weit sind die Unternehmen bei der Umsetzung?
Ich kenne jetzt den österreichischen Markt nicht so genau wie den schweizerischen. Ich glaube, dass die größeren Unternehmen in der Schweiz natürlich schon bereit sind, aber die mittelgroßen Unternehmen, so denke ich, eher nicht. All jene Unternehmen, die sich schon mit ISO 27001 oder ähnlichem befasst haben, sind eigentlich nah dran.
Kleinere Unternehmen, so glaube ich, haben gar nicht die Möglichkeiten, alle Aspekte des Themas entsprechend zu behandeln. Es ist sicher eine Frage der Unternehmensgröße und der Art des Betriebes. Eine Produktion stellt andere Anforderungen als ein reiner Bürobetrieb.
Wie beurteilen Sie die Haftung durch die Geschäftsleitung?
Aufgrund der Wichtigkeit finde ich es grundsätzlich richtig, dass das Thema in der Geschäftsführung verankert ist – und diese auch belangt wird, wenn etwas schiefgeht. Bei NIS2 wurde es bewusst so gemacht, um den Druck zu erhöhen. Es ist nicht so, dass bei einem Vorfall einfach irgendein Tool ausfällt. Wenn die IT nicht läuft, hat man ein Infrastrukturproblem, das sehr heftig ist. Darum muss man das Thema weit oben ansetzen.
Man versucht, das Konstrukt der Gemeinschaftshaftung ein wenig zu umgehen. Das ist nicht das erste Mal. In der Exportregulation können Leute direkt haftbar gemacht werden, die einen Fehler gemacht haben. Diese Entwicklung ist für Leute, die ein Geschäft führen, mitunter nicht angenehm.
Meinen Informationen zufolge geht die Haftung bis zu den Aufsichtsräten in Aktiengesellschaften.
Es gibt natürlich Informationspflichten. Wenn die Geschäftsleitung bestätigt, dass alles richtig gemacht wurde, dann ist der Verwaltungsrat in der Regel entlastet, weil er sich darum gekümmert hat. Er kann vielleicht nicht wirklich nachprüfen, ob es denn wirklich auch so ist. Man muss also der Geschäftsleitung vertrauen.
Das ist ebenfalls nicht das erste Mal. Verstöße gegen Sozialleistungen, oder Mitarbeiter, die nicht bezahlt wurden – diese Themen gehen auch bis ins Board, wo jemand persönlich haftbar gemacht werden kann.
Inwieweit braucht man für die Umsetzung externe Spezialisten?
Es kommt unter anderem darauf an, wie groß das Unternehmen und wie komplex das Unterfangen ist. Wir haben eigene Erfahrungen in diesem Bereich. Wir sind knapp 80 Leute und wollen eine ISO 2701-Zertifizierung durchführen. Wir haben einen externen Berater. Es braucht jedoch auch jemanden im Haus, der das Projekt durchzieht. Daher haben wir nur für diesen Zweck einen Risk- und Compliance-Manager eingestellt.
Man benötigt einen externen Spezialisten, der mit Zertifizierungen vertraut ist. Manchmal braucht man vielleicht zusätzlich einen Anwalt, um etwa Verträge zu kontrollieren. Das Thema zieht also einiges nach sich. Entscheidend ist aber, dass jemand da ist, der das Thema treibt. Die Geschäftsführung hat weder das Knowhow, noch die Zeit, um sich darum zu kümmern. Auch die internen Spezialisten wie CISO und Datenschutzbeauftragte haben ihre eigenen Aufgaben. Es braucht also jemanden mit entsprechender Erfahrung, der sich dieses Themas annimmt.
Was sind aus Ihrer Sicht die wichtigsten Aspekte der NIS2-Richtlinie?
Es sind vor allem die organisatorischen Aspekt. Man braucht ein Sicherheitssystem, das ISMS, das man aufbauen muss. Man muss die Prozesse strukturieren und sie dokumentieren. Dann erst kommt der technische Teil. Ich glaube, dass dieser gar nicht so schwierig ist, weil wir die Basissicherheit in den letzten Jahren relativ gut bestückt haben. Die meisten Unternehmen haben eine Firewall, Client Security, vielleicht Netzwerkscanner und vieles mehr – und wenn nicht, kann man relativ einfach nachrüsten. Eine Lücke besteht beim Thema Meldepflicht. Aber solange man kein Problem hat, lässt man dieses Thema schleifen.
Es gibt jedenfalls sehr viele Details, die man durcharbeiten muss, was natürlich auch eine Kostenfrage ist. Für kleinere Firmen kann das recht intensiv sein.
Überwiegt also der bürokratische Aufwand?
Die eigentlich spannende Frage ist, wie Unternehmen von NIS2 profitieren können. Der Aufwand rund um NIS2 kann ja etwa dazu führen, Sicherheitslücken zu erkennen. Das ist bei jeder Firma natürlich komplett anders. Ein Unternehmen, das bis jetzt wenig Security-Awareness hatte, wird bei diesem Prozess sehr viel lernen. Andere wiederum bekommen neue Einblicke. Wir sind zwar ein Cyber-Security-Unternehmen, wir sind uns also der Risiken bewusst, aber auch wir können von den in NIS2-formulierten Verfahren profitieren.
Wird NIS2 die Sicherheit in Europa insgesamt verbessern?
Davon gehe ich aus, es ist auch Sinn und Zweck der Richtlinie. NIS2 wird vor allem dort Einfluss haben, wo man vielleicht bis jetzt relativ leichtfertig mit der IT-Sicherheit umgegangen ist. Wir sehen ja, dass die Auswirkungen von Cyberkriminalität heute deutlich katastrophaler sind als früher.
In der Vergangenheit ist einmal ein PC ausgefallen. Heute fallen ganze Produktionsstraßen für Wochen aus oder Firmen verschwinden vom Markt, weil sie nicht mehr fähig sind zu arbeiten. Die Abhängigkeit von der IT hat sich sehr stark erhöht. Und damit ist natürlich die Gefahr auch viel größer als früher.
Wie ist das in der Schweiz als assoziiertes Mitglied? Wird aus Ihrer Sicht die Umsetzung der NIS2-Richtlinie in allen EU-Staaten gut funktionieren?
Wie man weiß, sind die einzelnen Staaten weniger unterschiedlich in der Gesetzgebung als in der Umsetzung. Jedes Land muss Risiko und Nutzen selbst abwägen. Die Schweiz wird nachziehen. Sie wird wie beim Datenschutzgesetz einige Jahre brauchen.
Wie beurteilen Sie das allgemeine Bedrohungsbild etwa für produzierende Unternehmen?
Früher war die Infrastruktur gut abgesichert. Heute ist sie Teil des Internets. Damit wird es einfacher, sie anzugreifen. Wir haben die Produktion ein wenig vernachlässigt und in den letzten 40 Jahren vor allem Office-Arbeitsplätze geschützt – also primär dort, wo wir sitzen und wo wir es merken.
Für die Cyberkriminellen bieten sich dadurch ganz neue Perspektiven. Man kann viel mehr Geld erpressen oder politisch bewegen. Und durch die Vernetzung ist ein riesiger Spielplatz für Kriminelle entstanden, wo sich diese austoben können.
Durch die Menge der Geräte und die Komplexität der Netzwerke ist es leicht möglich, dass ein Zugang offenbleibt, durch den die Kriminellen eindringen können. Die Netzwerke sind historisch gewachsen. Man war froh, dass sie überhaupt funktionieren. Über die Sicherheit hat man sich erst später Gedanken gemacht.
Welche Rolle spielt die Boll-Gruppe bei der allgemeinen Entwicklung in Sachen IT-Security?
Wir sind Distribution, das heisst, wir sitzen genau zwischen dem Hersteller und den Implementationspartnern. Uns ist der Value-Add-Ansatz sehr wichtig. Etwa die Hälfte unserer Leute sind Ingenieure und Ingenieurinnen. Das heißt: Wir befassen uns nicht nur mit dem Lizenzverkauf, sondern auch intensiv mit dem Thema Sicherheit. Wir haben in der Schweiz ein Ausbildungs-Center, in dem wir pro Jahr Hunderte von Ingenieuren schulen und zertifizieren.
Wir versuchen also, mit der Technologieentwicklung Schritt zu halten und Technologien zu vermitteln, indem wir etwa den Partnern die einzelnen Produkte genau erklären. Wir geben Support, Unterstützung bei Pre-Sales und Post-Sales, weil wir das Thema auch aus der IT-Engineering-Perspektive betrachten. Wir betreiben das Thema Cybersecurity immer indirekt über den Fachhandel.
Wie beurteilen Sie die Managed Service-Situation?
Es geht um zwei Grundpfeiler. Der eine ist der Basisschutz. Man braucht eine Firewall, Sicherheitsprodukte auf dem PC, Backups – an denen kommt man nicht vorbei. Man benötigt zudem Regeln, man muss die Mitarbeiter sensibilisieren, man muss Rollenkonzepte umsetzen und versuchen, den Zugriff einzuschränken. Ob man einen Managed Security Service Provider nutzt oder nicht, ist auch eine Frage der Kosten und der Abhängigkeit. Ich kenne Fälle, wo der MSSP einfach verschwunden ist. Dann ist es schwierig, da schnell herauszukommen. Es ist oft die Angst, dass man nicht genau weiß, was auf Provider-Seite passiert. In der Schweiz ist es jedenfalls so, dass man versucht, möglichst selbstständig zu arbeiten. Selbst die Buchhaltung wird nur selten außer Haus gegeben.
Natürlich findet ein Paradigmenwechsel statt. Wenn die Sache zu kompliziert wird, braucht man externe Spezialisten. Die Arbeitsteilung in der IT schreitet voran.
Welche Rolle spielt aus Ihrer Sicht die KI?
Es gibt fließende Übergänge zwischen Algorithmik, Heuristik und KI. Mit KI-Tools lässt sich sehr viel Malware sehr schnell erzeugen. Damit existieren sehr viele Angriffsfaktoren und zahllose Variationen einer einzigen Malware, die alle gleichzeitig auf das Netz einströmen – so viele, dass man auf der Verteidigerseite verstärkt KI einsetzt, um das zu erkennen.
Natürlich sind viele Produkte mit KI ausgestattet. Die einen bauen es einfach ohne Werbung ein, die anderen machen viel Wind darum. Das ist eine normale Entwicklung. Ohne KI geht es heute nicht mehr, wir könnten die Lawine an Malware nicht mehr stoppen, wenn wir nicht die gleiche Methodik wie die Angreiferseite verwenden würden.
Wie sehen Sie den IT-Security-Markt insgesamt?
Früher hatte man für jede Funktion einen Anbieter, heute bedienen die Hersteller die gesamte Bandbreite. Die Frage ist, wer sich im Kampf der Plattformen durchsetzt. Die Entwicklung in Richtung Plattformen ist auch richtig, weil es schwierig ist, mit 30 verschiedenen Produkten seine Sicherheit zu bewerkstelligen. In der Folge wird es zu einer gewissen Konsolidierung bei den Herstellern kommen.
Das Gespräch führte Dr. Manfred Weiss.
Be the first to comment