Security in der NIS2-Ära

NIS2 ist mehr ein organisatorisches Thema als ein technisches. Und: Von der Richtlinie sind via Lieferketten wesentlich mehr Unternehmen betroffen als ursprünglich geplant, womit das Sicherheitsniveau auf breiter Basis gehoben wird. Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. [...]

Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl
Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl

Am 18. Oktober ist es soweit, die NIS2-Richtlinie geht an den Start. Direkt betroffen sind große und mittlere Unternehmen aus Sektoren mit hoher Kritikalität wie Energie und Verkehr, sowie digitale Infrastruktur und Verwaltung von IKT-Diensten. Laut Schätzungen sind es rund 3.000 österreichische Firmen, die die NIS2-Richtlinie umsetzen müssen. In der Praxis wird es jedoch so sein, dass auch andere Unternehmen die Vorgaben gleichsam »durch die Hintertür« realisieren werden. Hier sind besonders Teilnehmer einer Supply Chain gemeint. Zu diesem und anderen Aspekten der NIS2-Richtlinie haben sich Experten und Expertinnen zu einem von Manfred Weiss moderierten ITWelt.at-Roundtable zusammengefunden.

Auf die Frage, ob das aktuelle Bedrohungsbild die Umsetzung der NIS2-Richtlinie auch über die betroffenen Unternehmen hinaus rechtfertigt, antwortet Roswitha Bachbauer, die bei CANCOM Austria (ehemalige Kapsch BusinessCom) das »System Integration – Information Security Consulting & Management«-Team leitet: »Ja, auf jeden Fall. Cyberangriffe nehmen kontinuierlich zu, deren Komplexität steigt und die Auswirkungen eines erfolgreichen Angriffs können weitreichende Folgen haben. Die NIS2-Richtlinie hat das Ziel, die Informationssicherheit von kritischen Unternehmen und Organisationen sicherzustellen. Dadurch, dass sehr viele Unternehmen von der Richtlinie betroffen sind – über die Lieferkette am Ende des Tages noch viel mehr als ursprünglich gedacht – wird das Sicherheitsniveau insgesamt gehoben. Denn auch Kleinstunternehmen werden sich durch den Druck der Lieferkette Gedanken machen müssen, welchen Stellenwert die Informationssicherheit in ihrer Organisation hat.«

Udo Schneider, Governance, Risk & Compliance Lead Europe bei Trend Micro, weist darauf hin, dass die Unternehmen, die von NIS2 betroffen sind, die gesetzlichen Anforderungen an die Lieferkette vertragsrechtlich weitergeben: »Das heißt, dass auch kleine Unternehmen, die aus heutiger Sicht vielleicht gar nicht in den Scope von NIS2 fallen, diese Anforderungen erfüllen müssen, weil ihre Kunden das erwarten. Ich denke, dass dies auch eines der Ziele der EU gewesen ist: Man versucht, die Cyberresilienz deutlich breiter auszurollen, als aus dem Scope von NIS2 eigentlich ersichtlich ist.«

Für Thomas Boll, Unternehmensgründer und Geschäftsführer der Boll Engineering AG, wird derzeit noch wenig differenziert, was das Risiko innerhalb der Supply Chain betrifft. »Wenn man die Sache von der praktischen Seite aus betrachtet, so kommt es auch darauf an, was geliefert wird. Wenn Leistungen zur Verfügung gestellt werden, von denen der Kunde abhängt, hat das natürlich eine andere Bedeutung, als wenn man einfach Material liefert, das man überall kaufen kann. Im Moment gibt es einen ›Kahlschlag‹, bei dem alles, was geliefert wird, geprüft werden muss. Das ist aber in der Praxis vielleicht gar nicht möglich, wenn man bedenkt, dass größere Unternehmen oft Tausende von Lieferanten haben.«

Stand der Umsetzung

Was den Status quo der Realisierung der Richtlinie betrifft, kommt es laut Roswitha Bachbauer unter anderem auf die Unternehmensgröße an. »Kleine Organisationen stehen in der Regel vor der Frage, ob sie von der NIS2-Richtlinie betroffen sind oder nicht – beziehungsweise wie sie erste Schritte zur Umsetzung setzen können. Die größeren sind meist schon ganz gut dabei. Auf dem Weg zu ISO 27001 wurde schon vieles umgesetzt. Meiner Erfahrung nach ist noch kein Unternehmen mit der Umsetzung wirklich fertig. Jedes hat noch Aufgaben zu erfüllen, das eine mehr, das andere weniger.«

Udo Schneider bestätigt in seinem Statement, dass Firmen, die in ISO 27001 oder ISO 27002 investiert haben, bereits einen Großteil abdecken konnten. »Viel Neues ist bei NIS2 nicht vorhanden. Immer noch ein wenig unklar ist das Thema Reporting und Meldepflichten. Was ein wenig für Unruhe im Markt sorgt, ist zudem, dass NIS2 sehr stark als technische Herausforderung angesehen wird. Das heißt, man schaut sich den Artikel 21 an, träufelt ein bisschen technischen Feenstaub darüber und ist der Meinung, man sei damit fertig. Die Herausforderung bei NIS2 ist jedoch nicht die Technik, sondern der koordinierte Betrieb.«

ISMS

Thomas Boll unterstreicht ebenfalls die Bedeutung des organisatorischen Aspekts. »Man braucht ein Information Security Management System (ISMS), das man aufbauen muss. Man muss die Prozesse strukturieren und sie dokumentieren. Dann erst kommt der technische Teil. Ich glaube, dass dieser gar nicht so schwierig ist, weil wir die Basissicherheit in den letzten Jahren relativ gut bestückt haben. Die meisten Unternehmen haben eine Firewall, Client-Security, vielleicht Netzwerkscanner und vieles mehr – und wenn nicht, kann man relativ einfach nachrüsten. Eine Lücke besteht beim Thema Meldepflicht. Aber solange man kein Problem hat, lässt man dieses Thema schleifen.«

Die größten Herausforderungen bei der Umsetzung verortet Roswitha Bachbauer einerseits bei den fehlenden Ressourcen, andererseits seien sich die Unternehmen der Risiken nicht bewusst, da keine entsprechenden Analysen der IT-Umgebung durchgeführt wurden. »Die Technik ist oftmals schon weitgehend vorhanden. Der Überbau aber, das Gesamtbild und die IT-Security-Strategie fehlen, damit auch das ISMS und die Verantwortlichkeiten. Die wichtigsten Fragen bei den Kunden sind: Wo ist das Thema im Unternehmen angesiedelt? Was sind die Bedrohungen? Was sind die Risiken? Wie gehe ich mit Vorfällen um – all diese Aspekte sind bei vielen noch nicht geregelt.«

Eine Frage der Verantwortung

Was die Haftungsfragen der Geschäftsleitung betrifft, so muss diese Udo Schneider zufolge auf eine sehr gute Dokumentation durch CIO oder CISO bestehen. »Es gibt dafür genau eine Norm, die ISO 27001 – und der Großteil davon ist eine entsprechend strukturierte Dokumentation. Hier geht es unter anderem darum, dass die Fachabteilungen – Stichwort CISO und andere – die Informationen so dokumentieren und aufbereiten, dass sie der Geschäftsleitung als Entscheidungsgrundlage vorgelegt werden können. Das ist der springende Punkt: Das heißt nicht, dass die Führung gezwungen ist, jedes technische Detail zu kennen. Sie muss aber imstande sein, ihre ureigenste Aufgabe wahrzunehmen: Entscheidungen zu treffen.« Aber: Laut einer weltweiten Trend-Micro-Studie würden 75 Prozent der CISOs und IT-Leiter geschönte Berichte über den Status quo oder Sicherheitsvorfälle an die Geschäftsleitung weitergeben, da »sie sonst als negativ, paranoid oder als Angstmacher abgestempelt werden. Das bedeutet, dass die Geschäftsführung auf dieser geschönten Basis Entscheidungen treffen und Verantwortung tragen muss.«

Thomas Boll: »Aufgrund der Wichtigkeit finde ich es grundsätzlich richtig, dass das Thema in der Geschäftsführung verankert ist – und diese auch belangt wird, wenn etwas schiefgeht. Bei NIS2 wurde es bewusst so gemacht, um den Druck zu erhöhen. Man versucht, das Konstrukt der Gemeinschaftshaftung ein wenig zu umgehen. Das ist nicht das erste Mal. In der Exportregulation können Leute direkt haftbar gemacht werden, die einen Fehler gemacht haben. Diese Entwicklung ist für Leute, die ein Geschäft führen, mitunter nicht angenehm.«

Zukunft von NIS

»Ich hoffe, dass die Umsetzung von NIS2 so gut gemacht wird, dass wir keine weitere Verschärfung, also NIS3, brauchen«, sagt Roswitha Bachbauer. Falls doch, würde ich mir wünschen, dass den Unternehmen mehr Informationen an die Hand gegeben werden, was sie konkret umzusetzen haben. Mehr Tiefgang wäre also vorteilhaft. Die Mitgliedsstaaten können selbst noch regeln, wie weit sie in diesen Bereich gehen wollen. In Österreich wird es wahrscheinlich in einer Verordnung entsprechende Informationen geben.«

Auf die Frage, wie sich der bürokratische Aufwand im Zusammenhang mit NIS2 weiterentwickelt, antwortet Thomas Boll: »Die eigentlich spannende Frage ist, wie Unternehmen von NIS2 profitieren können. Der Aufwand kann ja etwa dazu führen, Sicherheitslücken zu erkennen. Ein Unternehmen, das bis jetzt wenig Security-Awareness hatte, wird bei diesem Prozess sehr viel lernen. Andere wiederum bekommen neue Einblicke.«

Unterstützung bei der Umsetzung

CANCOM Austria steht Unternehmen bei der Umsetzung der NIS-Richtlinie etwa mit Gap-Analysen beiseite: »Was muss der Kunde erfüllen, damit er NIS2-ready ist? Darauf aufbauend projektieren wir die Unterstützung, wie wir eine optimale Begleitung bei der Umsetzung sicherstellen können. Es kommt auch immer auf die Größe des Unternehmens an. Wie viel kann der Kunde mit bestehenden Ressourcen und Knowhow selbst machen? Wie weit ist er schon im Reifegrad? Wir definieren mit den Security Levels Basic, Standard und Advanced den Reifegrad und damit den Bedarf an Security-Lösungen und -Services in einem Unternehmen. Daher lässt sich der Umfang unserer Unterstützung so pauschal nicht bestimmen. Grundsätzlich können wir alle Anforderungen abdecken«, so Roswitha Bachbauer.

»Die Herausforderungen, die von Kunden an uns herangetragen werden, liegen eigentlich kaum im technischen Bereich, weil dies lässt sich regeln«, führt Udo Schneider von Trend Micro aus. »Anders bei der Governance: Allein das Aufsetzen eines Programms zur Umsetzung von NIS2, das Monitoren der Umsetzung, das Berufen von Verantwortlichkeiten, das Prüfen von Prozessen – also all das, was dem Governance-Bereich zuzuordnen ist –, ist eigentlich die größte Herausforderung. In der Vergangenheit konnte man die IT sehr opportun betreiben. Für NIS2 sind der Verwaltungsaufwand und die Dokumentation massiv angestiegen. Damit haben speziell kleine Unternehmungen Probleme, weil es bisher nicht notwendig war. Es macht aus unserer Sicht relativ wenig Sinn, diese Governance-Themen selbst anzugehen. Man sollte auf externe Hilfe zurückgreifen.«

Als Distributer agiert Boll zwischen dem Hersteller und den Implementierungspartnern. »Uns ist der Value-Add-Ansatz sehr wichtig. Etwa die Hälfte unserer Leute sind Ingenieure und Ingenieurinnen. Das heißt: Wir befassen uns nicht nur mit dem Lizenzverkauf, sondern auch intensiv mit dem Thema Sicherheit. Wir haben in der Schweiz ein Ausbildungscenter, in dem wir pro Jahr Hunderte von Ingenieuren schulen und zertifizieren«, so Thomas Boll. Was den Markt betrifft, sieht er einen deutlichen Trend in Richtung Plattformen: »Diese Entwicklung ist auch richtig, weil es schwierig ist, mit 30 verschiedenen Produkten seine Sicherheit zu bewerkstelligen. In der Folge wird es zu einer gewissen Konsolidierung bei den Herstellern kommen.« Der IT-Security-Markt verliert also auch angesichts von NIS2 nichts an seiner Dynamik.

Alle weiteren Aspekte der Diskussion und die kompletten Statements der Teilnehmer und Teilnehmerinnen finden Sie online auf www.itwelt.at.


Mehr Artikel

News

Mehr als Storage: Warum modernes Digital Asset Management unverzichtbar ist

Im Vergleich zu älteren Systemen für Digital Asset Management (DAM), die als reine Content-Repositorien konzipiert waren, automatisieren und optimieren moderne DAM-Systeme jede Phase des Lebenszyklus visueller Inhalte. Es hat sich gezeigt, dass sie die Produktivität erheblich steigern, die Kosten für Speicherung und Bereitstellung senken und die Kundenerfahrung verbessern. […]

DORA schreibt vor, dass alle betroffenen Unternehmen ihre Resilienzpläne an die heutige Bedrohungslandschaft anpassen. (c) Pexels
News

Was Sie über DORA wissen sollten

Das Finanzwesen befindet sich in einem raschen technologischen Wandel, der sowohl beispiellose Chancen als auch Risiken mit sich bringt. Als Reaktion darauf hat die Europäische Union im Januar 2023 im Rahmen ihres Digital Finance Package den Digital Operational Resilience Act (DORA) eingeführt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*