Am 17. Oktober 2024 tritt das EU-Gesetz zur NIS2-Richtlinie in Kraft. Im Rahmen dieser Regelung nimmt das Parlament Geschäftsleiter durch die Beweislastumkehr mehr in die Verantwortung. Volker Bentz, IT-Sicherheitsexperte und Geschäftsführer der Brandmauer IT, erklärt, welche Schritte zu leisten sind, um Sanktionen zu vermeiden. [...]
Die EU-Richtlinie zur Netzwerk- und Informationssicherheit, kurz NIS2, dient dem Schutz der kritischen Infrastruktur vor Cyberkriminellen. Der genaue Wortlaut des nationalen NISG 2024 wird aktuell noch im österreichischen Parlament diskutiert, deckt sich vorrausichtlich jedoch in den wichtigsten Punkten mit den europäischen Vorschriften. Betroffene tun gut daran bereits mit der Umsetzung zu beginnen, denn die Maßnahmen beanspruchen Zeit. Die massive Beschleunigung digitaler Fortschritte sowie das angespannte Weltgeschehen verlangen nach intelligenten Investitionen in die Sicherheit der internen IT-Infrastruktur. Während große Versorger bereits unter den KRITIS-Richtlinien eine Umstrukturierung durchliefen, zielt NIS2 auf Mittelständler aus den Bereichen produzierendes Gewerbe und Infrastruktur ab. Sie verpflichtet die Unternehmer dazu, ihre digitalen Ressourcen vor Angriffen zu schützen.
Setzen Firmen die Berichtspflichten und Risikoanalysen nicht um, haften die Geschäftsführer dafür. Dabei stoßen Betroffene bei einem Blick in den Maßnahmenkatalog auf viele vage Formulierungen, die keine konkreten Handlungsanweisungen geben. Firmen profitieren am meisten von zugekauftem Wissen: So schöpfen sie aus dem Erfahrungsschatz Anderer, denn die Richtlinie basiert auf einem Information Security Management System (ISMS), sodass der Rückgriff auf bestehende Verfahren eine Umgestaltung hin zur Konformität erleichtert. Dabei zeigt sich immer wieder, dass Technik, Organisation und Personal die häufigsten Schwachstellen bilden.
Hackern den Riegel vorschieben
In der Studie „Cybersecurity in Österreich 2024“ stellte KPMG fest, dass die IT-Angriffe auf Unternehmen im Vergleich zum Vorjahr stark zunahmen. Besorgniserregend: Jeder sechste Angriff ist erfolgreich. Der technische Fortschritt erleichtert viele Prozesse in der Arbeitswelt, eine zunehmende, unbewachte Digitalisierung macht Firmen jedoch angreifbar. Vorsorgliche Maßnahmen wie Scans der bestehenden Systeme geben frühzeitigen Aufschluss über mögliche Angriffe von außerhalb. Im Vorfeld etablierte Maßnahmenpläne beschleunigen Abwehrmechanismen und schützen empfindliche Daten. Durch eine gute Hardwareverschlüsselung erschweren Verantwortliche Daten-Dieben die Arbeit. So gewähren Passwort-geschützte Speicherkarten nur Befugten Zugriff auf die Inhalte.
Zugangsprivilegien dienen als weitere Maßnahme gegen Datenlecks. Um einen genauen Einblick zu erhalten, welche Mitarbeiter Zugriff auf welche Datensätze benötigen, führen Geschäftsführer eine Analyse der Organisationsstrukturen durch. Überflüssige Berechtigungen führen oftmals zur unüberlegten Weitergabe an Dritte. Kommunikationskanäle dienen ebenfalls als Einfallstor für Kriminelle: Offene, unverschlüsselte Messengerdienste, über die Dokumente weitergegeben werden, laden zum Zugreifen ein. Die Einführung eines ganzheitlichen Security-Systems sowie klare Leitlinien zum Umgang mit internen Daten beugen Cyberdiebstahl vor.
Viele Angriffstore öffnen sich durch unbedachtes, menschliches Handeln: Dazu zählen einfache Passwörter, achtlos abgelegte USB-Sticks oder laufende Computer, die unbewacht jedem offenstehen. Sowohl Arbeitnehmer als auch Arbeitgeber müssen sich daher regelmäßig im Umgang mit sensiblen Daten schulen lassen. Zudem sollten Leitpersonen genau auf die Einhaltung der etablierten Sicherheitskonzepte achten.
Beweislastumkehr beachten
Geschäftsmodelle ohne zuverlässigen Schutz vor digitalen Bedrohungen sind nicht zukunftsfest. Die oben genannten Vorkehrungen schützen Unternehmen vor Diebstahl digitaler Werte, schärfen das Bewusstsein der Belegschaft hinsichtlich der Risiken und eröffnen achtsamen Geschäftsführern die Möglichkeit, Gefahren frühzeitig zu erkennen und einzudämmen. Die zusammen mit der NIS2 eingeführte Beweislastumkehr ruft die Führungsriege zur besonderen Beachtung auf, denn mit einer Vernachlässigung der Richtlinie bedrohen sie nicht nur den Erfolg der eigenen Firma, sondern tragen persönliche Haftungsrisiken. Somit macht NIS2 IT-Sicherheit zur Chefsache. Insgesamt zehn Risikomanagementmaßnahmen sowie die Meldepflicht liegen im direkten Verantwortungsbereich der Geschäftsleitung. Um im Falle eines Hackerangriffs die eigene Unschuld beweisen zu können, müssen Unternehmer umfassende Sicherheitskonzepte implementieren und alle Prozesse akribisch dokumentieren. Nur so kann im Ernstfall der Unschuldsbeweis erbracht werden.
Bei der Umsetzung fangen Unternehmen am besten damit an, einen Blick auf den Markt zu werfen, denn ein großer Teil der für die NIS2-Konformität notwendigen Änderungsprozesse findet bereits Anwendung. Investitionen in Wissen anderer Firmen beschleunigt zum einen die Erbringung der NIS2-Richtlinie und stärkt zudem die eigene digitale Infrastruktur. Eine gute Abwehr ist wichtiger denn je, Technologien schreiten beständig voran. Während die Fortschritte Erleichterungen für Arbeitsprozesse bringen, profitieren auch Cyberkriminelle von immer besseren Tools. Aus den Erfahrungen anderer zu schöpfen oder strategische Partnerschaften einzugehen, stärkt das eigene Unternehmen im Wettlauf mit der explosiven Weiterentwicklung.
Oberstes Gebot: Dokumentieren
Der NIS2-Maßnahmen Katalog der EU umfasst insgesamt 35 Punkte. Für deren effektive Umsetzung prüfen Verantwortliche zunächst die wichtigsten Bereiche. Große Relevanz haben hierbei die Berichtspflichten. Alle Unternehmen, die der NIS2-Regelung unterliegen, müssen sich bei einer zentralen Anlaufstelle für Cybersicherheit (SPOC) registrieren. In Österreich steht die Benennung der Meldestelle aktuell noch aus. Diese soll künftig den Austausch mit den anderen europäischen Ländern koordinieren. Im Falle eines Hacker-Angriffs geht innerhalb von 24 Stunden eine Meldung an die SPOC und so erhalten Firmen, die ebenfalls Ziel sein könnten, mehr Zeit um Vorkehrungen zu treffen. Aus diesem Grund bedarf es der Registrierung mit vorgegebenen Informationen bei der Aufsichtsbehörde. Die Anmeldung muss über den Geschäftsführer erfolgen, bei Nichteinhaltung drohen Sanktionierungen.
Ein gut vorbereitetes IT-Risikomanagement verhindert die Haftung in Bezug auf NIS2. Durch die Bewertung von Gefahren für Computersysteme und Daten vermeiden Leitende geschäftsschädigende Probleme, bevor sie auftreten. Sicher gestaltete IT-Systeme schützen vor Angriffen von außerhalb und vor der internen Datenweitergabe an Unbefugte. Dazu gehört die Implementierung eines Information Security Management Systems mit entsprechenden Dokumenten sowie eines Prozesses mit verschiedenen Rahmenparametern für die Identifizierung, Bewertung und Behandlung von Bedrohungen.
Zu den Aufgaben des Managements zählt auch die Implementierung standardisierter Verfahren zur Analyse der Informationssicherheit im Unternehmen. In diesem Zusammenhang müssen Führende der Schnelligkeit technologischer Neuerungen besondere Aufmerksamkeit schenken. Sie sollten genügend Flexibilität im System etablieren, um auf veränderte Rahmenbedingungen reagieren zu können. Dazu gehört die regelmäßige Berichterstattung an die Leitung ebenso wie die Protokollierung von Verantwortlichkeiten, die Reaktion auf Ereignisse und die Entwicklung von Maßnahmen zur Behebung von Fehlern. Dies ist eine Voraussetzung für ein planvolles Handeln im Ernstfall.
Für tiefergreifende Informationen zur Umsetzung der NIS2-Anforderungen stellt Brandmauer IT einen Leitfaden zur Verfügung.
*Der Autor Volker Bentz ist IT-Sicherheitsexperte und Geschäftsführer der Brandmauer IT.
Be the first to comment