Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. Nachfolgend die gesammelten Statements von Roswitha Bachbauer, Team Leader System Integration – Information Security Consulting & Management bei CANCOM Austria. [...]
Glauben Sie, dass das aktuelle Bedrohungsbild die Umsetzung der NIS2-Richtlinie rechtfertigt?
Ja, auf jeden Fall. Cyberangriffe nehmen kontinuierlich zu, deren Komplexität steigt und die Auswirkungen eines erfolgreichen Angriffs können weitreichende Folgen haben. Die NIS-2-Richtlinie hat das Ziel, die Informationssicherheit von kritischen Unternehmen und Organisationen sicherzustellen. Dadurch, dass sehr viele Unternehmen von der Richtlinie betroffen sind – über die Lieferkette am Ende des Tages noch viel mehr als ursprünglich gedacht – wird das Sicherheitsniveau insgesamt gehoben.
Denn auch Kleinstunternehmen werden sich durch den Druck der Lieferkette Gedanken machen müssen, welchen Stellenwert die Informationssicherheit in ihrer Organisation hat.
Wo stehen aus Ihrer Sicht Unternehmen bei der Umsetzung der NIS2-Richtlinie?
Das Spektrum ist breit gefächert. Es kommt darauf an, ob es sich um ein kleines, mittleres oder großes Unternehmen handelt. Kleine Organisationen stehen in der Regel vor der Frage, ob sie von der NIS2-Richtlinie betroffen sind oder nicht – beziehungsweise wie sie erste Schritte zur Umsetzung setzen können. Die größeren sind meist schon ganz gut dabei. Auf dem Weg zu ISO 27001 wurde schon vieles umgesetzt. Meiner Erfahrung nach ist noch kein Unternehmen mit der Umsetzung wirklich fertig. Jedes hat noch Aufgaben zu erfüllen, das eine mehr, das andere weniger.
Was sind die größten Herausforderungen bei der Umsetzung der NIS2-Richtlinie?
Einerseits sind es die fehlenden Ressourcen, andererseits sind sich die Unternehmen den Risiken nicht bewusst, da keine entsprechenden Analysen der IT-Umgebung durchgeführt wurden. Die Technik ist oftmals schon weitgehend vorhanden. Der Überbau aber, das Gesamtbild und die IT-Security-Strategie fehlen, damit auch das Information Security Management Systems ISMS und die Verantwortlichkeiten. Die wichtigsten Fragen bei den Kunden sind: Wo ist das Thema im Unternehmen angesiedelt? Was sind die Bedrohungen? Was sind die Risiken? Wie gehe ich mit Vorfällen um – all diese Aspekte sind bei vielen noch nicht geregelt. Als IT-Dienstleister sprechen wir meist mit den IT-Leitern. Gibt es einen CISO, dann ist dieser ebenfalls dabei. Es stellt sich bei den Gesprächen oft heraus, dass die technischen Hausaufgaben gemacht oder in der Umsetzung sind. Was fehlt, ist das gesamtheitliche Bild.
Was die Umsetzung von NIS2 betrifft, so hören wir oft folgende Fragen: Wo fange ich an? Wer kann mich unterstützen? Wo bekomme ich die Ressourcen her, die ich noch zusätzlich brauche? Das sind die größten Herausforderungen. Das kann Unterstützung im technischen Bereich sein oder bei der Governance. Es ist einfach noch einiges zu tun.
Kommt es vor, dass IT-Leiter oder der CISO geschönte Berichte über die eigene IT-Security an die Geschäftsleitung weitergibt?
Ich kann mir durchaus vorstellen, dass das hin und wieder vorkommt. Es ist mir jedoch kein konkreter Fall bekannt und ich habe noch von keinem unserer Kunden gehört, dass das ein Thema ist.
Wie unterstützt CANCOM bei diesem Thema?
Wir machen zum Beispiel Gap-Analysen: Was muss der Kunde erfüllen, damit er NIS2-ready ist? Darauf aufbauend projektieren wir die Unterstützung, wie wir eine optimale Begleitung bei der Umsetzung sicherstellen können. Es kommt auch immer auf die Größe des Unternehmens an. Wie viel kann der Kunde mit bestehenden Ressourcen und Knowhow selbst machen? Wie weit ist er schon im Reifegrad? Wir definieren mit den Security Levels Basic, Standard und Advanced den Reifegrad und damit den Bedarf an Security Lösungen und Services in einem Unternehmen. Daher lässt sich der Umfang unserer Unterstützung so pauschal nicht bestimmen – grundsätzlich können wir alle Anforderungen abdecken.
Glauben Sie, dass die NIS2-Richtlinie die Resilienz der Firmen im gesamten EU-Raum verbessern wird?
Ja, schon alleine aus dem einfachen Grund, dass man sich einmal Gedanken darüber macht: Wo stehen wir und wie sieht unser Umfeld aus? Man macht sich Gedanken darüber, wie man am besten die Informations- und IT-Sicherheit aufbaut. Die Ergebnisse dieser Überlegungen werden in interne Richtlinien sowie Dokumentationen übertragen – und dann technisch umgesetzt. Es ist also ein durchgedachter Prozess mit definierten Maßnahmen und Zielsetzungen.
Wie wird sich das Thema NIS2 weiterentwickeln? Was soll in NIS3 verbessert sein?
Wir müssen nun erst einmal an die Umsetzung von NIS2 in allen Mitgliedstaaten gehen. Ich hoffe, dass dies so gut gemacht wird, dass wir keine weitere Verschärfung, also NIS3, brauchen.
Falls es doch NIS3 geben sollte, würde ich mir wünschen, dass den Unternehmen mehr Informationen an die Hand gegeben werden, was sie konkret umzusetzen haben. Mehr Tiefgang wäre also vorteilhaft. Die Mitgliedsstaaten können selbst noch regeln, wie weit sie in diesen Bereich gehen wollen. In Österreich wird es wahrscheinlich in einer Verordnung entsprechende Informationen geben.
Wie sieht es aus Ihrer Sicht mit den Cyberbedrohungen generell aus?
Die Tendenz ist immer steigend. Ransomware-Attacken mit Double Extortion und Quadruple Extortion – also mehrfache Erpressung – nehmen zu. Kritische Infrastruktur ist natürlich auch Ziel der modernen Kriegsführung. Ich schalte genau das aus, was ein Land am dringendsten braucht. Das sind meiner Meinung nach die derzeit kritischsten Themen.
Wie betreuen Sie Ihre Kunden im Bereich IT-Security?
Mit best of Breed-Lösungen renommierter Hersteller und unserer Expertise implementieren wir Enterprise Security Lösungen und bieten je nach Bedarf maßgeschneiderte Services an. Unser Red-Team deckt Schwachstellen technischer Natur auf und bereitet Unternehmen bestmöglich auf Bedrohungen vor. Unsere Cyber Defense Services unterstützen proaktiv bei der Cyberabwehr, speziell solche, die intern selbst keine Rundumüberwachung aufbauen können oder dies wegen des hohen Wachstums nicht wollen. Dank eines modularen Systems – SOC as a Service mit Incident Response und Schwachstellen Management – sorgen wir für 24/7-Cybersicherheit auf technologischem und strategischem Top-Level.
Was sollen kleinere Firmen tun, um ihre Resilienz zu erhöhen?
Gerade bei kleineren Firmen ist es oft ein Thema, dass sie gar nicht wissen, was ihre wichtigsten schützenswerten Daten sind. Eine Empfehlung wäre zu schauen, welcher Teil der Geschäftstätigkeit in welchem Maße von der IT abhängig ist. Was ist zu tun, wenn in diesem Bereich etwas passiert? Man muss so aufgestellt sein, dass der Schaden so klein wie möglich ausfällt. Die entscheidende Erkenntnis lautet: Alles, was ich nicht kenne, kann ich nicht schützen.
Wie oft muss man mit kleineren Firmen über dieses Thema sprechen?
Am besten mehrmals in der Woche. Folgende Fragen sollten besprochen werden: Was passiert alles im Netzwerk? Was brauchen die Fachabteilungen? Was muss man im Fehlerfall als erstes wiederherstellen? Womit verdient das Unternehmen überhaupt sein Geld? Kleineren Firmen ist das in der Regel klar, bei mittelständischen Unternehmen muss die IT-Abteilung mitunter nachfragen, wie Business und IT zusammenhängen.
Wie wird das Thema MSP bei Ihren Kunden diskutiert? Sind Kosten das Hauptthema?
Man muss zwischen Managed Services Provider und Managed Security Services Provider unterscheiden. Auf der einen Seite stehen die Kosten, wenn Unternehmen komplett auslagern, auf der anderen, wenn sie IT-Mitarbeiter und -Mitarbeiterinnen anstellen und diese schulen muss. Dazu kommen die Kosten für Anschaffung, Instandhaltung und Ersatz von Hardware.
Wie wirkt sich KI auf die Bedrohungslage und die Verteidigung aus?
KI ist Fluch und Segen zugleich – das trifft es wohl am ehesten. Wir sind in der Verteidigung froh, dass wir künstliche Intelligenz haben, weil sie einfach schneller und rund um die Uhr analysiert, als Menschen das könnten. Auf der anderen Seite entstehen durch KI natürlich auch weitere Angriffsvektoren.
Wie entwickelt sich Ihr Cybersecurity-Angebot weiter? Welche Schwerpunkte setzen Sie?
Unser Angebot entwickelt sich laufend weiter, genauso wie sich Angriffsszenarien weiterentwickeln. Wir bilden uns kontinuierlich weiter und beobachten den Markt sehr genau. Wir bauen zudem unsere Managed Security Services Provider-Plattform weiter aus. Unser Anspruch ist es nicht nur am Puls der Zeit zu bleiben, sondern vorauszuschauen.
Das Gespräch führte Dr. Manfred Weiss.
Be the first to comment