Seit Entstehung der IT-Security in den späten Neunzigern sind Reibungen zwischen IT-Sicherheitsabteilung und Geschäftsführung im Unternehmensalltag keine Seltenheit. Die nationale Umsetzung von NIS2 hat nun das Potenzial, solche Konflikte zu verstärken – insbesondere dadurch, dass Cybersicherheit zur Chefsache wird. [...]
Damit IT-Security und Chefetage in Zukunft gemeinsam an einem Strang ziehen können, braucht es ein vollumfassendes Verständnis von NIS2. Wo kommen neue Belastungen auf die Unternehmen zu? Wo gibt es Hilfen bei der Integration von NIS2? Und welche Chancen bietet die neue Gesetzeslage?
Die NIS2-Richtlinie betont die Wichtigkeit der Betrachtung von Cyberrisiken. Da sie dies durch empfindliche Strafen unterstreicht, wird erwartet und aus politischer Sicht auch erwünscht, dass sich Geschäftsleitungen deutlich stärker in die Debatte einbringen als sie das bisher tun. Das alles hat gute Gründe: Da es in Folge eines Cyberangriffs häufig zur Betriebsunterbrechung kommt, stehen Cyberrisiken ohnehin ganz oben auf der Agenda. Diese zu reduzieren, ist im wirtschaftlichen Interesse jedes Unternehmens. Im Hinblick auf kritische Infrastrukturen steht zudem das Wohl der Gesellschaft auf dem Spiel. Die EU legt deshalb im Rahmen von NIS2 allgemein akzeptierte Best Practices für Sicherheitsmaßnahmen fest. Dazu gehören etwa ein Notfallplan sowie Bedrohungserkennungssysteme. Für diejenigen, die solche Maßnahmen und Strategien bereits etabliert haben, gibt es dementsprechend kaum Veränderungen. Neu ist lediglich, dass die NIS2-Direktive das Risikomanagement in den Fokus rückt und Geschäftsführer an ihre Verantwortlichkeiten erinnert. Das wiederum erhöht das Spannungsverhältnis zwischen Fachbereich und Unternehmensleitung, was oft zu Konflikten führen wird. Unternehmen sollten sich darauf vorbereiten, denn Reibungen zwischen IT-Security und Geschäftsführung können die Sicherheit und damit auch die wirtschaftliche Zukunft eines ganzen Unternehmens gefährden.
NIS2 – neues Gesetz, alte Herausforderung?
Dadurch, dass die Geschäftsführung sich stärker in der IT-Security-Debatte engagieren muss, rückt auch der interne Konflikt zwischen Geschäftsführung und IT-Security in den Vordergrund. Der Konflikt entsteht vor allem dadurch, dass die Geschäftsführung in der Regel den gesamten Unternehmensablauf vor Augen hat und diesen (aus verständlichen Gründen) so reibungslos wie möglich gestalten will. Die Mitarbeiter in der IT-Security hingegen sind als Fachkräfte vollumfänglich mit Bedrohungsprävention beschäftigt und bündeln dementsprechend hier die meisten ihrer Ressourcen. Aus ihrer Sicht ist das Präferieren von reibungslosen Prozessen gegenüber wirkungsvollen Sicherheitsmaßnahmen durch die „Chefetage“ oftmals ein zweifelhafter Schluss. Solche Meinungsverschiedenheiten können schnell zu einem Vertrauensverlust führen. Doch damit Cyberabwehr und damit die Sicherung des ganzen Unternehmens gelingt, braucht es eine nahtlose Zusammenarbeit zwischen IT-Security und Geschäftsführung auf Vertrauensbasis.
Die gute Nachricht ist, dass deutsche Unternehmen diesbezüglich schon einige Fortschritte gemacht haben. Laut einer Studie von Trend Micro sprechen bereits mehr als die Hälfte aller befragten deutschen IT-Teams (51 %) mindestens einmal wöchentlich mit der Geschäftsleitung über gerade zirkulierende Cyberrisiken. Weiterhin lässt sich eine positive Entwicklung über die letzten Jahre bestätigen. Bei der letzten Befragung durch Trend Micro unter Unternehmen mit mindestens 250 Beschäftigten vor zwei Jahren bestätigten noch weniger als die Hälfte der deutschen Befragten (42 %), dass Begriffe wie „Cyberrisiko“ und „Cyberrisiko-Management“ in ihrem Unternehmen allgemein bekannt sind. Jetzt wird aber mit NIS2 das Thema Cybersicherheit und Risikomanagement zum ersten Mal direkt zur Chefsache erklärt. Aus diesen Zahlen lässt sich ableiten, wie rasant diese Themen in den Chefetagen der deutschen Unternehmen und beim Gesetzgeber Bedeutung gewonnen haben.
Dabei stehen IT-Verantwortliche mit der neuen Gesetzeslage nun mehr denn je vor der Herausforderung, dem Management verständlich darzulegen, wo ein Risiko für das Unternehmen liegt, wie gefährlich dieses ist und wie es sich am besten bewältigen lässt. Das ist keine triviale Herausforderung: Zu diesem Zweck braucht es eine nahtlose Kommunikation und Unterstützung durch moderne Technologie. Wegen des allgegenwärtigen Fachkräftemangels kommt hier für mittelständische Unternehmen auch die Partnerschaft mit einem Managed Services Provider in Frage.
Lösung: Risikomanagement mit ASRM und XDR
Im ersten Schritt sollten, soweit noch nicht vorhanden, IT-Security und Geschäftsführung gemeinsam an einer intelligenten Backup-Strategie erarbeiten. Vor allem diese ist die letzte Rettung für Unternehmen, falls alle Stricke reißen und es einem Angreifer gelingt, tatsächlich die Verteidigungsmaßnahmen zu überwinden. In NIS2 vorgeschrieben, sind Systeme zur Angriffserkennung und im Zusammenhang mit dem ersten Punkt ein Notfall-Plan, der als Basis für alle Sicherheitsreaktionen dient. Für die konkrete technische Umsetzung der Risikomanagement-Konzepte bietet sich eine Kombination aus Attack Surface Risk Management (ASRM) und Extended Detection and Response (XDR) an.
ASRM ermittelt automatisiert und KI-gestützt den Risiko-Score des Unternehmensnetzwerks. Dabei nimmt die Technologie die Angreifer-Perspektive ein: Sie sammelt interne Daten aus den angeschlossenen Sensoren und korreliert sie mit Security-Informationen aus unzähligen externen Quellen, darunter Veröffentlichungen von Regierungsbehörden, Polizeiorganisationen, Security-Unternehmen und Analysten. In einem Dashboard können die Verantwortlichen jederzeit den Überblick behalten. Die Lösung schlägt Alarm, sobald ein bestimmter Schwellenwert überschritten ist, und zeigt Details an – etwa, welche Systeme betroffen sind. ASRM liefert Handlungsempfehlungen zu Gegenmaßnahmen und erlaubt es Risiken auf Wunsch automatisiert zu adressieren. Um das Schadensausmaß im Ernstfall zu mindern, sollte ein Unternehmen in der Lage sein, den Vorfall schnell zu erkennen und zu stoppen. Am besten gelingt dies mit XDR. Die Technologie schafft Transparenz in der gesamten IT-Umgebung, sammelt Bedrohungsinformationen aller angeschlossenen Systeme und korreliert sie KI-gestützt zu verwertbaren Warnungen. Die Zahl der False Positives minimiert sich. So sehen die Verantwortlichen auf einen Blick, was passiert ist, welche Systeme betroffen sind und wo Handlungsbedarf besteht.
Sowohl ASRM als auch XDR können in eine einzige Cybersecurity-Plattform integriert werden. Dort lassen sie sich zentral überwachen und steuern. Beide Technologien greifen auf dieselben Sensoren zu und kommunizieren miteinander. Wenn das ASRM ein Risiko erkennt, kann das XDR dieses genauer untersuchen. Umgekehrt wird der Risiko-Status im ASRM sofort angepasst, wenn das XDR Anzeichen für einen Cyberangriff aufdeckt. Zusammen ermöglichen es die beiden Technologien, sowohl die Eintrittswahrscheinlichkeit als auch das Schadensausmaß eines Cyberangriffs zu mindern.
Fazit: Vertrauen, Zusammenarbeit und Kommunikation sind alles
Die beste und modernste Sicherheitstechnologie hilft jedoch nicht viel, falls die Zusammenarbeit im Team nicht klappt, oder die ständige Wartung und Überprüfung der Sicherheitsarchitektur aufgrund des Fachkräftemangels entfällt. Um die effiziente Kommunikation zwischen allen Beteiligten zu garantieren und die Technologie stets auf dem neuesten Stand zu halten, empfiehlt sich deshalb gerade für mittelständische Unternehmen die Partnerschaft mit einem Managed Services Provider. Damit Notfallpläne und -werkzeuge im Ernstfall korrekt funktionieren, ist zudem die Durchführung eines „Red Teaming“ ratsam. Dabei werden Reaktionsmaßnahmen unter Realbedingungen geprüft, um sicherzustellen, dass die verantwortlichen Mitarbeiter im Ernstfall richtig reagieren.
So lassen sich die technischen Anforderungen von NIS2 gut umsetzen und zeitgleich wird eine wirkungsvolle Kooperation zwischen den verschiedenen Abteilungen, der IT-Security und der Geschäftsführung sichergestellt. NIS2 bietet deshalb gerade für deutsche Unternehmen eine gute Chance, die vertrauensvolle Zusammenarbeit zwischen den „Offizieren“ aus der Sicherheitsabteilung und ihrem „Kapitän“ aus der Chefetage neu zu verhandeln und robuster zu machen als je zuvor.
*Der Autor Richard Werner ist Business Consultant bei Trend Micro.
Be the first to comment