Veröffentlicht am von Hans-Jörg Vohl

Die NIS2 Richtlinie: Lästige Regulatorik oder Chance für Unternehmen?

Dieser Artikel ist zuerst 2023 erschienen in: „Die NIS2 Richtlinie: Lästige Regulatorik oder Chance für Unternehmen?“ im Sammelband „Information Security, Smarte Lösungen zu neuartigen Bedrohungen und erweiterter Regulatorik“ (Hrsg. Carsten Fabig und Alexander Haasper), Bad Homburg, November 2023

1          Ziel des Artikels

Dieser Artikel informiert Sie über die Zielgruppe und Pflichten der neuen IT-Sicherheitsrichtlinie NIS2 (Network and Information Security 2) für kritische Infrastruktur.

NIS2 ist eine europäische Richtlinie zur Verbesserung der Mindestanforderungen für Informationssicherheit (IS) von Unternehmen der kritischen Infrastruktur. Die Richtline weitet nicht nur die Zielgruppe, sondern auch die Pflichten im Vergleich zur aktuell gültigen NIS-Richtlinie und anderen Regulierungen in Deutschland erheblich aus. Die EU-Regelung erhält ab 17. Oktober 2024 verpflichtende Gültigkeit in Deutschland. Wird die Richtlinie von betroffenen Unternehmen nicht erfüllt, drohen den Verantwortlichen empfindliche Strafen.

Aus diesem Grund sind Unterhemen gut beraten sich zeitnah zu informieren, die Umsetzung anzustoßen statt über die oftmals als Gängelung verstandene Regulierung zu diskutieren. Kluge Manager werden sie als Chance für nutzbringende Verbesserungen zu verstehen.

2          Hintergrund der NIS2

Der letzte Entwurf der EU-Kommission von NIS2 datiert von Dezember 2020, EU-Parlament und Rat haben im Jahr 2022 diesem Entwurf zugestimmt, womit NIS2 formell in Kraft gesetzt wurde. Nun müssen die EU-Mitgliedsstaaten bis Oktober 2024 die Regularien durch eigene Gesetzgebung in nationales Recht überführen. In Deutschland soll der hierzu seit April 2023 als Entwurf vorliegende Gesetzentwurf im Laufe des Jahres 2023 die Gesetzgebung durchlaufen und damit Gesetzeskraft erlangen.

NIS2 wird damit zu einer deutlichen Erweiterung der betroffenen Einrichtungen führen und Befugnisse sowie Handlungsmöglichkeiten für die national zuständigen Behörden erweitern. Die deutsche KRITIS-Methodik von Anlagen soll beibehalten werden: Das BSI setzt sich dafür ein, dass dabei national weiterhin auch die BSI-KritisVerordnung (Verordnung für kritische Infrastruktur) berücksichtigt wird.

Die ursprüngliche NIS-Direktive wurde 2017 mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie in Deutschland umgesetzt. Dabei nahm das IT-Sicherheitsgesetz 2.0 bereits 2021 einige Änderungen von NIS2 vorweg.

Was kommt auf welche Unternehmen zu?

Die EU-Richtlinie NIS2 soll die Cyberresilienz von kritischen und wichtigen Unternehmen stärken. Konkret gemeint ist damit die Fähigkeit von Unternehmen, Cyberangriffen und -vorfällen vorzubeugen und sie abwehren zu können. Die Vorgaben gelten nun für deutlich mehr Betriebe als bisher – und zwar auch indirekt, wenn sie Teil einer Lieferkette sind. Ein IT-Sicherheitsvorfall ist ein negatives Ereignis, das die Informationssicherheit (also Vertraulichkeit, Verfügbarkeit und/oder Integrität) von Daten, Informationen, Geschäftsprozessen, IT-Services, IT-Systemen, IT-Anwendungen und der IT­Infrastruktur beeinträchtigt.

Tatsächlich ist die Bedrohungslage für Unternehmen hoch, Cyberangriffe sind eine ständige Bedrohung, die hohe wirtschaftliche Schäden verursachen. Angreifer nutzen dazu ein breites Arsenal an Schadsoftware: Knapp 117 Millionen neue Varianten hat allein das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2022 erfasst. „Die Bedrohung im Cyber-Raum ist damit so hoch wie nie“, heißt es im Bericht „Die Lage der IT-Sicherheit in Deutschland 2022“ des BSI. Mit zunehmender Digitalisierung in Unternehmen gibt es immer mehr potenzielle Einfallstore für Angreifer, über die sie ihre Attacken starten können. So verwundert es nicht, dass große Unternehmen im „Crunchtime-Risikomonitor 2023“ geopolitische Entwicklungen (83%), Inflation (79%) und Cyber-Vorfälle (79%) als größte Risiken angeben, noch weit vor Produktions- und Lieferengpässen (74%), Energiekrise (62%) und Fachkräftemangel (42%). Gemäß der von PwC beauftragten „Digital Trust Insights 2023“-Studie sind bereits 30% der befragten Unternehmen Opfer von Datenverlusten im Millionenbereich aufgrund von Cyberangriffen geworden. Laut einer aktuellen Studie (01.09.2023) des Digital-Branchenverband Bitkom erlitt die deutsche Wirtschaft im Laufe eines Jahres einen Schaden von 206 Milliarden Euro (206.000.000.000 €) durch Cyberkriminalität.

Der Krieg in der Ukraine erhöht zusätzlich die Dringlichkeit mit der die EU sicherstellen will, dass kritische und wichtige Unternehmen in den Mitgliedsstaaten sich besser vor Cyberangriffen abschotten und standhalten können. Die EU weitet mit ihr den Kreis der betroffenen Unternehmen deutlich aus: Neben kritischen Infrastrukturen stehen weitere wichtige Branchen im Fokus – und damit auch kleine Firmen, wenn sie als Zulieferer tätig sind.

Wer von NIS2 berührt ist, muss deshalb ab Oktober 2024 strenge Sicherheitsvorkehrungen treffen. Dazu gehören die Erhöhung des Schutzes vor Cyberangriffen, die Einhaltung spezifischer Security-Standards sowie die Gewährleistung, dass Systeme ständig auf dem aktuellen Stand sind. Zudem gelten Meldepflichten, falls es zu Sicherheitsvorfällen kommt.

Außerdem dürfen die Behörden Vor-Ort-Kontrollen durchführen und im Notfall auf Daten und Dokumente zugreifen. Bei Verstößen drohen hohe Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes. Im schlimmsten Fall können Unternehmen sogar ihre Betriebserlaubnis verlieren.

Die EU unterteilt Unternehmen, für die NIS2-Richtlinien gelten, in zwei Kategorien: „essential“ und „important“, also „wesentlich“ und „wichtig“. Erstere wurden zum Teil schon in der ersten NIS-Fassung erwähnt. In der neuen Version umfasst diese Kategorie aber mehr Klassen. Die zweite Gruppe der wichtigen Organisationen definiert die EU-Regelung ganz neu. Direkt betroffen sind jeweils nur Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von mehr als zehn Millionen Euro. Allerdings gibt es noch weitere Ausnahmen, bei denen die Unternehmensgröße keine Rolle spielt. Diese gelten für Anbieter von DNS-Diensten (Domain Name System Diensten), Top-Level-Domain-Namensregistern sowie Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste.

Zusätzlich können weitere mittelgroße und kleine Firmen ins Visier geraten, wenn sie als Dienstleister und Lieferanten für die direkt betroffenen Organisationen tätig sind. Dann sind sie unter Umständen gezwungen, ebenso strenge Sicherheitsvorkehrungen einzuhalten, um die gesamte Lieferkette zu schützen. So kann etwa ein Automobilhersteller seinen Zulieferer verpflichten, bestimmte Cybersecurity-Technologien oder -Methoden einzuführen, um selbst nicht gegen die EU-Vorgaben zu verstoßen.

Zur Gruppe der wesentlichen Organisationen („essential“) gehören vor allem KRITIS-Unternehmen, also Betriebe mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall gravierende Folgen hätte. NIS2 nennt hier elf Bereiche, darunter Energie- und Wasserversorgung, Transport, Finanz- und Bankwesen, Gesundheit und öffentliche Verwaltung.

Zu den wichtigen Organisationen („important“) werden sieben Branchen gezählt: Post- und Kurierdienste, Abfall, Lebensmittel, Chemikalien, digitale Dienste (etwa für Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke), Industrie (unter anderem Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräten) sowie Forschung.

Welche Unternehmen sind von NIS2 konkret betroffen?

Mit Inkrafttreten der NIS2-Richtlinie müssen ab 2024 Unternehmen in 18 Sektoren die festgelegten Mindeststandards der Informationssicherheit umsetzen.

Die Unterscheidung zwischen „Essential Entities“ und „Important Entities“ bestimmt auch den Umfang der staatlichen Aufsicht und die Sanktionierungsmöglichkeiten bei Missachtung und Zuwiderhandlung. Insgesamt werden in Deutschland mindestens 30.000 Unternehmen von NIS2 betroffen sein. Dabei ist zu beachten, dass die Unternehmen anhand der genannten Kriterien selbst ermitteln müssen, ob NIS2 für sie zutrifft. Ihnen wird von behördlicher Seite nicht mitgeteilt, dass für sie die NIS2-Vorgaben gelten.

1. Kriterium: Die Unternehmensgröße

Unternehmen mit mindestens 50 Mitarbeiterinnen und Mitarbeitern und einem Jahresumsatz/einer Jahresbilanz von über 10 Mio. Euro können unter den Anwendungsbereich der NIS2-Richtlinie fallen, wenn Kriterium 2 auch erfüllt ist.

2. Kriterium: Der Unternehmenssektor

Ob eine Einrichtung unter die NIS2 fällt, hängt zudem davon ab, ob sie zu einem der unten genannten 18 Unternehmenssektoren gehört. Der Unternehmenssektor ist das zweite ausschlaggebende Kriterium, zusätzlich zu der Unternehmensgröße.

Sind beide Kriterien erfüllt, fällt eine Einrichtung unter die NIS2-Richtlinie. Prüfen Sie also, ob ihr Unternehmen zu einem der 18 relevanten Sektoren gehört.

In der NIS2 gibt es elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren. Diese NIS2-Sektoren ähneln denen der deutschen KRITIS-Einstufung:

Wesentliche (essential) Sektoren:

  • Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff) – entspricht dem KRITIS-Sektor „Energie“
  • Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr) – KRITIS-Sektor „Transport“
  • Bankwesen (Kreditinstitute) – KRITIS-Sektor „Finanzwesen“
  • Finanzmarktinfrastruktur (Handelsplätze, Zentrale Gegenpartien) – KRITIS-Sektor „Finanzwesen“
  • Gesundheit (Gesundheitsdienstleister; EU Labore, Medizinforschung, Pharmazeutik, Medizingeräte) – KRITIS-Sektor „Gesundheit“
  • Trinkwasser (Wasserversorgung) – KRITIS-Sektor „Wasser“
  • Abwässer (Abwasserentsorgung) – KRITIS-Sektor „Wasser“
  • Digitale Infrastruktur (Internet-Knoten (IXP), DNS (ohne Root), TLD Registries, Cloud Provider, Rechenzentren, CDNs, Vertrauensdienste (TSP), Elektronische Kommunikation) – KRITIS-Sektor „IT“, teilweise TKG (Telekommunikationsgesetz)
  • IKT-Dienstleistungsmanagement (B2B) (Managed Service Providers, Managed Security Service Providers) – keine KRITIS-Entsprechung
  • Öffentliche Verwaltungen (Zentralregierung, regionale Regierung) – keine KRITIS-Entsprechung
  • Weltraum (Bodeninfrastruktur) – teilweise KRITIS-Sektor „Transport“

Wichtige (important) Sektoren:

  • Post- und Kurierdienste (Postdienste) – teilweise KRITIS-Sektor „Transport“
  • Abfallwirtschaft (Abfallbewirtschaftung) – KRITIS-Sektor „Entsorgung“
  • Herstellung, Produktion und Vertrieb von Chemikalien – KRITIS-Sektor „UBI“ (3) (Unternehmen im besonderen öffentlichen Interesse)
  • Lebensmittelproduktion, -verarbeitung und -vertrieb – KRITIS-Sektor „Ernährung“
  • Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten – KRITIS-Sektor „UBI“ (2)
  • Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke) – KRITIS-Sektor teilweise „TMG“ (Telemediengesetz)
  • Forschung (Forschungsinstitute) – keine KRITIS-Entsprechung

Die Abwasserwirtschaft, die öffentliche Verwaltung und die Weltraumwirtschaft sind dabei neue Sektoren im Bereich der „wesentlichen Einrichtungen“.

Der Postsektor, die Abfallwirtschaft, die Chemie, die Lebensmittelwirtschaft, das produzierende Gewerbe sowie Digitalanbieter zählen nun zu den „wichtigen Einrichtungen“. Für „wichtige Einrichtungen“ sind dabei geringere Geldstrafen vorgesehen, und sie unterliegen einer reaktiven (anlassbezogenen) Aufsicht durch die Behörden.

Dies steht im Gegensatz zur proaktiven Aufsicht (ohne Anlass), welche den „wesentlichen Einrichtungen“ vorbehalten ist.

Für beide Gruppen gelten die gleichen Vorgaben. Nur bei drohenden Strafen und Sanktionen macht die EU einen Unterschied.

Abbildung 1: Sektoren (Entities) im Geltungsbereich von NIS (2017) und NIS2 (2024)

Wie können Unternehmen NIS2 umsetzen?

Wesentliche und wichtige Organisationen müssen laut NIS2-Richtlinie „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme (…) zu beherrschen“. Zudem sollen „die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste“ und andere Dienste verhindert oder möglichst geringgehalten werden.

Die EU fordert (Artikel 20), dass sich um diese Aufgaben das oberste Management kümmert – NIS2 ist die Verantwortung der Geschäftsführung, sie haftet für Verstöße. Ferner muss sie an Schulungen teilnehmen und diese auch den Beschäftigten anbieten.

Eine wichtige Forderung ist die Kombination verschiedener Abwehrmethoden: Einerseits mithilfe von technischen Vorkehrungen und andererseits durch spezialisierte Experten für diesen Bereich.

Was können und müssen konkret Unternehmen tun, um das zu gewährleisten?

Die Richtlinie nennt in Artikel 21 Bereiche und Maßnahmen, die abgedeckt werden müssen:

Abbildung 2: Bereiche und Maßnahmen nach Artikel 21

Fragestellungen zu den Bereichen und Maßnahmen:

  • Policies: Welche Richtlinien für Risiken und IS gibt es im Unternehmen?
  • Incident Management: Welche wirksamen Maßnahmen gibt es für die Prävention, Detektion und Bewältigung von Cyber Incidents?
  • Business Continuity: Welches Business Continuity Management mit Backup Management, Desaster Recovery, Krisenmanagement ist vorgesehen?
  • Supply Chain: Ist die Sicherheit in der Lieferkette – bis zur sicheren Entwicklung bei Zulieferern gewährleistet?
  • Einkauf: Ist die Sicherheit in der Beschaffung von IT und Netzwerk-Systemen als Teil der Beschaffungsprozesse vorgesehen?
  • Effektivität: Gibt es ausreichende Vorgaben für die Messung und Steuerung von Cyber und Risiko Maßnahmen?
  • Training: Sind Maßnahmen zur Cyber Security Hygiene fest vorgesehen?
  • Kryptographie: Gibt es ausreichende Vorgaben für Kryptographie und womöglich für Verschlüsselung?
  • Personal: Gib es ausreichende Maßnahmen die Risiken reduzieren, die von Mitarbeiterinnen und Mitarbeitern ausgehen?
  • Zugangskontrolle: Ist eine effektive Kontrolle der Zugänge etabliert?
  • Asset Management: Sind die wesentlichen Vermögenswerte ausreichend inventarisiert, klassifiziert und geschützt?
  • Authentifizierung: Kommt Multi Faktor Authentisierung und SSO ausreichend zum Einsatz?
  • Kommunikation: Ist die Sprach-, Video- und Text-Kommunikation angemessen geschützt?
  • Notfall-Kommunikation: Sind gesicherte Notfall-Kommunikations-Systeme vorgesehen?

Dieser Maßnahmenkatalog wird uns im folgenden Fallbeispiel wiederbegegnen und mit detaillierteren Beispielen erläutert. Aus dem Katalog ergeben sich bereits klare Tätigkeiten, die ein Unternehmen umsetzen muss, wenn es sich im Geltungsbereich von NIS2 befindet.

Nutzen und Vorteile

Neben der reinen Pflichterfüllung durch die Umsetzung regulatorischer Vorgaben des Gesetzgebers nutzt eine erhöhte Informationssicherheit jedem Unternehmen. Informationen sind – neben seinen Mitarbeitern – meist das wichtigste Kapital, ihre Absicherung ist eine strategische Investition, die zum Geschäftserfolg beiträgt. Neben der reinen Informationssicherheit wird durch die notwendigen Maßnahmen auch der Datenschutz gestärkt, der u.a. im Rahmen von DSGVO eine weitere regulatorische Komponente für das Unternehmen ist. In der folgenden Übersicht wird der Nutzen beider Themenstellungen zum Vergleich dargestellt.

Vorteile einer verbesserten Informationssicherheit sind:

  • Schutz vor Datenverlust: Informationssicherheit schützt vor unbeabsichtigtem oder böswilligem Verlust von sensiblen Daten, sei es durch technische Fehler, Cyberangriffe oder auch menschliches Versagen.
  • Vertrauen und Reputation: Organisationen, die ihre Informationen sicher schützen, gewinnen das Vertrauen ihrer Kunden, Partner und Interessengruppen. Eine gute Reputation in Bezug auf Sicherheit kann langfristig geschäftliche Beziehungen fördern.
  • Compliance mit Gesetzen und Vorschriften: Informationssicherheit ist oft gesetzlich vorgeschrieben. Durch die Umsetzung von Sicherheitsmaßnahmen können Organisationen gesetzlichen Bestimmungen entsprechen und rechtliche Konsequenzen vermeiden.
  • Geschäftskontinuität: Ein effektives Informationssicherheitsprogramm trägt dazu bei, die Kontinuität der Geschäftsabläufe sicherzustellen, indem es vorbereitende Maßnahmen für den Umgang mit Störungen und Katastrophen implementiert.
  • Schutz geistigen Eigentums: Fokussierte und entsprechend implementierte IS schützt geistiges Eigentum, Handelsgeheimnisse und andere wertvolle Informationen vor Diebstahl oder unbefugtem Zugriff.

Vorteile durch einen verstärkten Datenschutz sind:

  • Wahrung der Privatsphäre: Datenschutz gewährleistet den Schutz der Privatsphäre von Einzelpersonen, indem er sicherstellt, dass personenbezogene Daten nur für die vorgesehenen Zwecke verwendet werden.
  • Vermeidung von Identitätsdiebstahl: Datenschutzmaßnahmen helfen dabei, Identitätsdiebstahl zu verhindern, indem sensible persönliche Informationen vor unbefugtem Zugriff geschützt werden.
  • Einhaltung von Datenschutzbestimmungen: Organisationen, die Datenschutzprinzipien einhalten, erfüllen nicht nur ethische Standards, sondern auch gesetzliche Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union.
  • Kundenvertrauen und -bindung: Durch den Schutz persönlicher Daten bauen Unternehmen Vertrauen zu ihren Kunden auf und fördern so eine langfristige Kundenbindung.
  • Vermeidung von Bußgeldern: Die Nichteinhaltung von Datenschutzbestimmungen kann zu erheblichen Geldstrafen führen. Ein angemessener Datenschutz minimiert das Risiko von Bußgeldern.

Abbildung 3: Wesentliche Vorteile von IS und Datenschutz

Meldepflichten

Die NIS2 Directive schreibt in Art. 23 eine Meldepflicht von Sicherheitsvorfällen vor. Erhebliche Sicherheitsvorfälle sind der noch zu schaffenden nationalen Behörde (jeder Mitgliedstaat ist nach Art. 8 Abs. 1 NIS2 verpflichtet, eine zuständige Behörde für Cybersicherheit zu benennen bzw. einzurichten. Nach Art. 10 Abs. 1 NIS2 müssen sie außerdem ein oder mehrere Computer Security Incident Response Team oder „CSIRT“ einrichten) und gegebenenfalls den Empfängern der eigenen Dienste zu melden. Auch hierfür sind prozessuale und ggf. auch technische Voraussetzungen im Unternehmen zu schaffen. Folgende Fristen gelten, um einen Vorfall der zuständigen Behörde zu melden:

  1. Frühwarnung innerhalb von 24 Stunden ab Kenntnis: Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob er grenzüberschreitend Auswirkungen hat.
  2. Ausführlicher Bericht innerhalb von 72 Stunden ab Kenntnis: Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. Indikatoren bzgl. Kompromittierung.
  3. Fortschritts-/Abschlussbericht ein Monat nach Meldung: Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.

Betreiber müssen demnach ihre nationale Cyber Security Behörde unverzüglich über signifikante Störungen, Vorfälle und Cyber Threats ihrer kritischen Dienstleistungen unterrichten, ebenfalls – wo möglich – die Empfänger (Kunden) ihrer Dienstleistungen (Art. 23 EU).

Die von NIS2 betroffenen Unternehmen müssen sich bei der Agentur der Europäischen Union für Cybersicherheit (ENISA = European Network and Information Security Agency) registrieren – die ihrerseits nationale Behörden informiert (Art. 25).

Kein Unternehmer ist erfreut über zusätzliche Pflichten, die ihm und seinem Unternehmen auferlegt werden, bedeuten diese Pflichten doch immer Mehraufwand und Mehrkosten. Ganz zu Schweigen von eventuellen Folgeaufwänden bei unzureichend erfüllten Pflichten. Andererseits sind die möglichen Kosten von Cybervorfällen hoch und können direkt oder indirekt (etwa durch Reputationsverlust) die Existenz des Unternehmens gefährden. So wird dringend angeraten die Vorschriften als Chance für notwendige Maßnahmen zu verstehen, die auf Basis von viel Erfahrungswissen die Möglichkeit bieten, IT-Prozesse und -zuständigkeiten im eigenen Unternehmen nachhaltig zu verbessern.

Ferner – so sieht es Artikel 29 und 30 vor, sollen die Mitgliedstaaten den Austausch von Informationen zwischen Betreibern fördern und unterstützen – mit Regeln, Plattformen und Technologien.

3          Auswirkungen auf Unternehmen

Immer mehr Unternehmen erkennen, welche Bedeutung die IS besitzt. Gleichzeitig wird deutlich, welche Chancen in einer effizienten Einbindung der IS in interne Prozesse und die Kultur des Unternehmens bestehen.

Gerade weil das Thema IS vielschichtig ist und somit prozessuale, technische und auch menschliche Aspekte zu beachten sind, um nachhaltig für das Unternehmen und die Mitarbeiter einen Mehrwert zu schaffen, ist ein langfristig angelegter Veränderungsprozess mit klar definierten Zielen und Maßnahmen notwendig.

Kernpunkt und Basisvoraussetzung für ein langfristiges Gelingen dieses Prozesses ist ein gemeinsames, konkretes Ziel. Dieses sollte von den Mitarbeitern entwickelt und getragen, sowie transparent kommuniziert werden, um ein zielführendes Veränderungsmanagement (Change Management) zu ermöglichen. Hierbei ist entscheidend, dass die Ziele und daraus abgeleiteten Maßnahmen verständlich und nachvollziehbar sind, sowie die Ansprüche der unterschiedlichen Anspruchsgruppen berücksichtigt – sei es die User Experience bei der Multi-Faktor-Authentifizierung oder die Rechtevergabe im Rahmen eines funktionierenden IAM / PAM (Identity and Access bzw. Privileged Access Management) Systems.

Vor dem Hintergrund der wachsenden Bedeutung und immer vielfältigeren Anforderungen wird also – im Hinblick auf das Ziel, ein Unternehmen effizient abzusichern und somit die Grundlage für ein langfristiges Wachstum zu ermöglichen – von allen Beteiligten ein hohes Maß an Engagement, Empathie und Lösungskompetenz gefordert.

4          Fallbeispiel

Die (fiktive) Europe-Cargo GmbH ist eine mittelständische Spedition für Gefahrgüter mit 150 Mitarbeitern und 25 Mio. € Jahresumsatz. Nach Sektor und Größe des Unternehmen fällt es unter die NIS2 Richtlinie, da das Unternehmen in Kooperation mit einem IT-Dienstleister Anwendungen für ein Netzwerk von Speditionen entwickelt um die Routenplanung und optimierte Ladungen (Organisation von Ladungstausch bzw. Rückladung analog einer Frachtenbörse) im Sinne eines zukunftsfähigen Verkehrsmanagements zu optimieren. Im Rahmen dieses intelligenten Verkehrssystems (IVS) werden elektronisch Informationen zu Ladungen, Standorten und Ansprechpartnern ausgetauscht sowie Preise verhandelt.

Die Geschäftsführung der Europe-Cargo GmbH muss folglich ab dem 17. Oktober 2024 geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen. Zudem sollen Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste verhindert oder möglichst geringgehalten werden.

Für die Umsetzung ist es zunächst wichtig, die Ziele und notwendigen Maßnahmen zu kennen, um daraus ein Projekt mit einer effektiven und effizienten Organisation zu formen. Die Aufgabe ist nicht trivial, handelt es sich doch bei den Maßnahmen um fachübergreifende Themenstellungen, die viel technische – aber auch soziale – Kompetenz für eine erfolgreiche und nachhaltige Umsetzung erfordern. Zudem sind angesichts des Zeitdrucks und eines limitierten Budgets ein professionelles Projektmanagement, schnelle Entscheidungen sowie klare Prioritäten notwendig.

Projektinitiierung

Die Geschäftsführung ist in der Verantwortung und somit der Auftraggeber und Steuerer der angestrebten Veränderung. In dieser Funktion steht am Anfang die Benennung eines geeigneten Teams, das idealerweis nicht aus reinen IT-Fachleuten besteht, sondern alle interdisziplinären Aspekte unserer Europe-Cargo GmbH wie IT-Technik, Disposition, Kundenbetreuung etc. rechtzeitig einbindet und über die Ziele und Vorgehensweise informiert. Zur Projektorganisation (Governance) gehört nun noch neben der geeigneten Projektleiterin / dem geeigneten Projektleiter, ein ebenso breit aufgestelltes Lenkungsgremium und eine umfassende Information zu dem Hintergrund und der Bedeutung des Projekts. In einem Kick-off-Meeting wird das Projekt gestartet und alle notwendigen Erkenntnisse geteilt, Regelmeetings vereinbart sowie die Rollen geklärt.

Planung und Umsetzung der Maßnahmen

Die Planung der Maßnahmen auf Basis der in Art. 21 (s.u.) aufgeführten Bereiche und Maßnahmen solle auf Basis einer Gap-Analyse (was haben wir bereits, was brauchen wir noch?) zu einem ausreichend detaillierten Projektplan führen. Der Plan muss nicht den Anspruch auf eine sehr hohe Genauigkeit haben, es werden Erkenntnisse dazukommen und Anpassungen notwendig sein, dennoch sollte jeder seine Aufgabe kennen und wissen, was mit einer Vorausschau von mindestens vier Wochen im Detail mit welchen erwarteten Ergebnis zu tun ist.

Die Bereiche und Maßnahmen entsprechen den oben bereits aufgeführten Bereichen und Maßnahmen nach NIS2 Artikel 21, dabei sind die aus Sicht Centers for Internet Security (CIS) wichtigsten 10 Maßnahmen mit TOP gekennzeichnet:

  • Policies sind zentrale interne Leitlinien zur Informationssicherheit in Unternehmen. Sie beschreiben allgemeinverständlich die Bedeutung von IS für das Unternehmen (sie klären das WARUM?). Das Dokument erläutert die organisatorische Basis sowie das zu erreichende Mindest-Sicherheitsniveau und die damit angestrebten Informationssicherheitsziele mit der notwendigen Informationssicherheitsstrategie. Die Leitlinie ist Bestandteil eines hierarchisch abgestuften Regelwerks (Dokumentenpyramide). Ganz bewusst wird diese Leitlinie frei gehalten von konkreten Regelungen oder Handlungsanweisungen. Sie soll im Gegensatz zu technischen Feinkonzepten oder organisatorischen Maßnahmen, die einen dynamischen Charakter haben müssen, um auf aktuelle Gegebenheiten eingehen zu können, statisch sein und möglichst selten verändert werden. So enthalten die Policies etwa:

  • Zweck und Zielsetzung: Policies definieren den Zweck und das Ziel der Sicherheitsrichtlinien. Dies umfasst den Schutz von Daten in Hinsicht auf Verdaulichkeit, Integrität und Verfügbarkeit, aber auch die Vorbeugung von Datenschutzverletzungen und den Schutz vor Cyberangriffen.
  • Verantwortlichkeiten: Policies legen klare Verantwortlichkeiten fest, wer für die Umsetzung und Einhaltung der Richtlinien verantwortlich ist. Dies beinhaltet die Benennung von Ansprechpartnern für IS. Die Planung von klaren Verantwortlichkeiten beinhaltet aber auch die notwendige Trennung von Rollen (Segregation of duties) vorsehen. Demnach darf sich z.B. keine Person die eigenen Rechte für sicherheitsrelevante Anwendungen freigeben. Eine Konzentration vieler oder aller Zuständigkeiten in einer Rolle muss immer vermieden werden.
  • Geltungsbereich: Es wird angegeben, auf welche Bereiche und Ressourcen die Richtlinien anwendbar sind. Dies kann Informationssysteme, Netzwerke, Endgeräte und physische Sicherheitsmaßnahmen umfassen.
  • Sicherheitsziele: Policies definieren klare Sicherheitsziele, die mit den strategischen Unternehmenszielen in Einklang stehen. Dies umfasst den Schutz von Datenintegrität, Verfügbarkeit und Vertraulichkeit.
  • Compliance und Sanktionen: Policies stellen sicher, dass sie den geltenden Gesetzen und Vorschriften entsprechen. Sie legen auch mögliche Sanktionen bei Verstößen gegen die Richtlinien fest.
  • Zusätzlich können die nun folgenden Kapitel (siehe auch Bereiche und Maßnahmen nach NIS2 Artikel 21 / Abbildung 2) kurz erläutern, warum (mit welchem Ziel) diese Maßnahmen notwendig sind.

Abbildung 4: Die Dokumenten- oder Regelungspyramide, mit zeitlichen Änderungszeiträumen und Detaillierungsgraden (in Anlehnung an das BSI)

  • Incident Management / Bewältigung von Sicherheitsvorfällen: Die effektive Bewältigung von Sicherheitsvorfällen erfordert eine gut organisierte Herangehensweise:
    Beispiel: Das Netzwerk der Europe-Cargo GmbH wird durch ein Virus lahmgelegt, das ein Mitarbeiter versehentlich durch das Öffnen eines schädlichen E-Mail-Anhangs eingeschleust hat. Das Unternehmen sollte auf derartige Vorfälle vorbereitet sein und folgende Schritte kennen:
  • Vorbereitung
  • Bildung eines Incident Response Teams, bestehend aus internen und externen Ressourcen.
  • Erstellung eines Incident Response Plans (IRP) mit klaren Prozessen und Verantwortlichkeiten.
  • Erkennung
  • TOP Implementierung von Überwachungstools wie IDS, IPS, SIEM und Antivirus-Software.
  • TOP Schulung der Mitarbeiter zur Erkennung von Sicherheitsvorfällen.
  • Analyse
  • Umfassende Untersuchung und Validierung von Sicherheitsvorfällen, einschließlich forensischer Untersuchungen bei schwerwiegenden Vorfällen.
  • Eindämmung
  • Isolierung betroffener Systeme und Ressourcen.
  • Schadensbegrenzung und TOP Wiederherstellung des Normalbetriebs.
  • Reaktion
  • Meldung und Kommunikation des Vorfalls gemäß Vorschriften und internen Richtlinien.
  • Wiederherstellung und sorgfältige Dokumentation der Maßnahmen.
  • Nachbereitung
  • Analyse des Vorfalls und Anpassung der Incident Response-Verfahren.
  • TOP Schulung und Sensibilisierung der Mitarbeiter.

Regelmäßige Aktualisierung und Tests des Incident Response Plans sind entscheidend, um die Wirksamkeit sicherzustellen. Externe Experten können für mittelständische Unternehmen mit begrenzten Ressourcen hilfreich sein.

  • Supply Chain: Die Europe-Cargo GmbH sollte seine Lieferkette ausreichend abgesichert haben, da zahlreiche Softwareprodukte von externen Lieferanten / Dienstleistern erstellt und gewartet werden. Dazu gehört:
  • Die Risikobewertung der Lieferkette sowie die Analyse der Sicherheitspraktiken von externen Lieferanten / Dienstleistern,
  • Die Definition von klaren Sicherheitsanforderungen für Lieferanten und Dienstleistern nach NIS2,
  • Sorgfältige Auswahl von Lieferanten und Sicherstellung der Einhaltung von geforderten Standards,
  • Integration von Sicherheitsklauseln in Verträge und Vereinbarungen mit Lieferanten und Dienstleistern mit angemessenen Haftungsregeln,
  • Regelmäßige Überwachung und Prüfung der Sicherheitsmaßnahmen der Lieferanten und Dienstleister,
  • Kommunikation der Sicherheitsanforderungen und -erwartungen an die Lieferanten und Dienstleister sowie ggf. notwendige Schulungen,
  • Sicherstellung, dass Lieferanten und Dienstleister über adäquate Incident Response-Pläne und Verfahren (einschließlich Meldeverfahren) verfügen,
  • Sicherstellung, dass die Lieferanten und Dienstleister die Anforderungen von NIS2 und anderen relevanten Vorschriften erfüllen,
  • Festlegung von Plänen und Prozeduren zur TOP Notfallwiederherstellung für den Fall von Sicherheitsvorfällen,
  • Regelmäßige Bewertungen der IS der Lieferkette,
  • Teilen von Informationen über aktuelle Bedrohungen und Sicherheitspraktiken mit Ihren Lieferanten und Dienstleistern.

Die Einhaltung von NIS2 und anderen relevanten Sicherheitsstandards in Ihrer Lieferkette erfordert eine proaktive und partnerschaftliche Herangehensweise mit Lieferanten.

  • Einkauf: Für unser Europe Cargo GmbH ist es von besonderer Bedeutung bereits bei der Auswahl der Lieferanten und Dienstleister notwendige Aspekte der IS bei Erwerb, Entwicklung und Wartung von IT-Systemen zu berücksichtigen:
  • Was sind die TOP besonders gefährdeten und schützenswerten IT-Systeme (Risikobewertung)?
  • Welche Informationssicherheitsrichtlinien und -prozeduren garantieren die Einhaltung von NIS2 Standards über den gesamten Lebenszyklus von IT-Systemen?
  • Wie können diese Sicherheitsanforderungen bereits in Ausschreibungen klar formuliert werden?
  • Wie kann der Entwicklungsprozess die geforderten Standards absichern?
  • Werden die geforderten Standards auch von Drittanbieter berücksichtigt?
  • TOP Sind die alle Zugriffsrechte ausreichend geschützt und werden sie regelmäßig überprüft?
  • TOP Ist ein effektives Patch-Management garantiert?
  • Können Schwachstellen schnell identifiziert und beheben werden?
  • TOP Sind alle Mitarbeiter ausreichend sensibilisiert und geschult?
  • Kann nach einem detaillierten und geübten TOP Incident-Response-Plan reagiert werden und erfolgen in diesem Rahmen auch die notwendigen Meldungen an Behörden und betroffene Kunden?
  • Messung der Effektivität: Die kontinuierliche Messung, Bewertung und Verbesserung der Wirksamkeit der von der Europe Cargo GmbH veranlassten Maßnahmen sind essentiell für ein anhaltend erfolgreiches Management von Risiken der IS. Das erfordert,
  • Klare Sicherheitsziele und Leistungskennzahlen (Key Performance Indicators, KPIs), sie müssen messbar sein und mit den Anforderungen von NIS2 in Einklang stehen.
  • Überprüfung des Erfüllungsgrades der Sicherheitsvorschriften auf Basis von Dokumentation, Sicherheitsrichtlinien und gelebten Prozessen.
  • Regelmäßige Risikobewertung und Schwachstellenanalyse zur Identifizierung von Sicherheitslücken und der Planung von Gegenmaßnahmen.
  • Prüfung der Sicherheitsmaßnahmen einschließlich Sicherheitsrichtlinien, Zugangskontrollen, Verschlüsselung und Incident Response-Pläne.
  • Sicherheitsbewertungen und Tests etwa durch Penetrationstests, Schwachstellen-Scans und Sicherheitsaudits.
  • TOP Incident Response-Übungen um eine angemessene und schnelle Reaktion auf Sicherheitsvorfälle sicherzustellen.
  • TOP Implementierung von Überwachungstools und -systeme, um verdächtige Aktivitäten zu erkennen und zu melden.
  • TOP Bewertung des Sicherheitsbewusstseins der Mitarbeiter und der Effektivität der Sicherheitsschulungen.
  • Regelmäßige Tests zur Geschäftskontinuität (Business Continuity) um sicherzustellen, dass die TOP Wiederherstellungspläne effektiv sind.
  • Kontinuierliches Sammeln von Feedback von Mitarbeitern zur kontinuierlichen Verbesserung der Sicherheitsmaßnahmen (s.a. Abbildung 5 mit den Phasen des PDCA-Zyklus).
  • Berichterstattung und Dokumentation der Bewertungen und Tests für eine klare Verfolgung von Fortschritten und Maßnahmen zur Behebung von Sicherheitslücken.
  • Fallweise Durchführung von unabhängigen Sicherheitsaudits oder Zertifizierungen zur Validierung der Sicherheitsmaßnahmen.

Abbildung 5: Kontinuierliche Verbesserung mit den vier Phasen des PDCA-Zyklus (Deming Kreis)

  1. Plan: Planung. Was wollen wir erreichen? Wie wollen wir das erreichen?
  2. Do: Umsetzung. Das Geplante wird umgesetzt und getan.
  3. Check: Überprüfung. Was hat es gebracht? Hat es funktioniert? Was ergibt der Soll-Ist-Vergleich?
  4. Act: Verbesserung. Was können wir besser machen? Was haben wir aus den aufgetretenen Problemen gelernt?
  • Training und Cyberhygiene: Immer wieder, nicht nur bei der Europe Cargo GmbH, liegen die größten Schwachstellen im leichtsinnigen Umgang von Menschen mit Informationssicherheit. Um dem vorzubeugen, müssen grundlegende Praktiken der Cyber-Hygiene und Schulungen im Bereich der Cybersicherheit vermittelt werden:
  • Passwortrichtlinien und -Verwaltung: Schulung der Mitarbeiter in sicheren Passwortpraktiken, wie die Verwendung von komplexen Passwörtern und regelmäßige Aktualisierungen. Implementierung von Passwortrichtlinien und Tools zur sicheren Passwortverwaltung.
  • TOP Phishing-Erkennung: Schulung der Mitarbeiter zur Erkennung von Phishing-E-Mails und anderen Social Engineering-Angriffen. Dies umfasst das Identifizieren von verdächtigen Links und Anhängen.
  • TOP Malware-Prävention: Schulung der Mitarbeiter in Maßnahmen zur Verhinderung von Malware-Infektionen, wie das Herunterladen und Öffnen von Dateien aus unbekannten Quellen.
  • TOP Zugriffskontrolle: Schulung zur sicheren Handhabung von Zugriffsrechten und -kontrollen, um sicherzustellen, dass nur autorisierte Benutzer auf sensible Daten zugreifen können.
  • TOP Sicherheitsbewusstsein: Schulung der Mitarbeiter in allgemeinen Fragen zum Sicherheitsbewusstsein, einschließlich der Identifizierung verdächtiger Aktivitäten und der Meldung von Sicherheitsvorfällen.
  • Incident Response: Schulung von Mitarbeitern in den Ablauf und die Verfahren zur Meldung von Sicherheitsvorfällen sowie deren angemessener Reaktion.
  • Mobile Sicherheit: Schulung zur sicheren Nutzung von mobilen Geräten und Apps, einschließlich der Verwendung sicherer WLAN-Verbindungen und des Schutzes mobiler Geräte vor Verlust oder Diebstahl.
  • Verschlüsselung und sichere Kommunikation: Schulung zur Verwendung von Verschlüsselung für die sichere Übertragung und Speicherung von Daten sowie zur sicheren Kommunikation über verschlüsselte Kanäle.
  • TOP Patch-Management: Schulung zur regelmäßigen Aktualisierung und Installation von Sicherheitsupdates und Patches, um Schwachstellen in Software und Betriebssystemen zu beheben.
  • TOP Datensicherung und Wiederherstellung: Schulung zur Durchführung von regelmäßigen Datensicherungen und zur Wiederherstellung von Daten im Falle eines Ausfalls oder eines Sicherheitsvorfalls.
  • Sicherheitsrichtlinien und -prozeduren: Schulung zur Einhaltung von Sicherheitsrichtlinien und -verfahren im Unternehmen, einschließlich der Sensibilisierung für die Bedeutung von Compliance und Sicherheit.
  • Prüfung und Monitoring: Schulung zur Nutzung von Überwachungstools und zur Identifizierung verdächtiger Aktivitäten, die auf Sicherheitsverletzungen hinweisen können.
  • Sicherheitskultur: Schulung zur Förderung einer Sicherheitskultur im Unternehmen, die die Bedeutung und Umsetzung der Informationssicherheit in den Arbeitsalltag integriert.
  • Business Continuity: Nach einem Vorfall mit Datenverlust auf der Plattform der Cargo Europe GmbH ist nun ein effektives Backup-Management, die schnelle TOP Wiederherstellung der verlorenen Daten sowie ein geübtes Krisenmanagement entscheidend:
  • Backup-Management
  • Identifikation kritischer Daten: Bestimmen Sie wichtige Daten und Systeme, die regelmäßige Backups erfordern.
  • Backup-Strategie: Festlegen, was, wie oft und wo gesichert wird.
  • Automatisierung: Minimieren Sie Fehler durch automatisierte Backups und klare Zeitpläne.
  • Sicherer Speicher: Backups an sicheren Orten aufbewahren und Daten verschlüsseln.
  • Regelmäßige Tests: Prüfen, ob Backups funktionieren und Daten intakt sind.
  • TOP Wiederherstellung
  • Wiederherstellungsplan: Schritte zur Datenwiederherstellung festlegen.
  • Priorisierung: Kritische Daten und Systeme zuerst wiederherstellen.
  • Kommunikation: Kommunikationsverfahren für Stakeholder und Mitarbeiter etablieren.
  • Krisenmanagement für Sicherheitsvorfälle
  • Incident Response-Plan integrieren und aktivieren.
  • Mitarbeiter in Meldung von Vorfällen und Verhalten im Ernstfall schulen.
  • Kommunikationsplan entwickeln, inklusive Meldung an Behörden und Presse.
  • Forensische Untersuchungen und Ursachenanalyse.
  • Nachbereitungsanalyse und Anpassung von Plänen.

Eine regelmäßige Überprüfung, Aktualisierung und Tests der Pläne sind entscheidend, ebenso die Einbeziehung von Schlüsselpersonen und die Mitarbeiterschulung. Ein effektives Krisenmanagement und Wiederherstellungspläne sparen der Cargo Europe GmbH wertvolle Zeit und Ressourcen bei entsprechenden Incidents und Krisen.

  • Kryptografie: Da bei der Cargo Europe GmbH vertrauliche und teils personenbezogene Daten gespeichert und mit Kunden ausgetauscht werden, ist der Einsatz von Kryptografie bzw. auch von passenden Formen der Verschlüsselung notwendig:
  • Verschlüsseln von gespeicherten Daten, insbesondere solche, die sensibel oder vertraulich sind. Dies kann auf Datei- oder Festplattenebene erfolgen.
  • Sicherung der Übertragung sensibler Daten über Netzwerke mit sicheren Kommunikationsprotokollen wie HTTPS für Webseiten, SFTP für Dateiübertragungen und VPNs (Virtual Private Networks) für sichere Verbindungen zwischen Standorten.
  • TOP Implementierung der Verschlüsselung von E-Mails
  • Verschlüsselung mobiler Geräte wie Smartphones und Tablets (z.B. der Fahrer), um den Schutz von Geschäftsinformationen zu gewährleisten.
  • Nutzung einer End-to-End-Verschlüsselung insbesondere für die Kommunikation und den Datenaustausch mit externen Partnern oder Dienstleistern.
  • Klassifizierung der Daten nach Sensitivität und Bedarf an Verschlüsselung.
  • Nutzung eines effizienten Schlüsselmanagements, um die Sicherheit und Verwaltung von Schlüsseln zu gewährleisten.
  • TOP Schulung und Sensibilisierung der Mitarbeiter in den sicheren Umgang mit verschlüsselten Daten und E-Mails.
  • Entwickeln von klaren Sicherheitsrichtlinien und -prozeduren für die Verschlüsselung von Daten und Kommunikation.
  • TOP Implementierung von Überwachungstools, um auf potenzielle Sicherheitsverletzungen hinzuweisen und um sicherzustellen, dass die Verschlüsselung effektiv ist.
  • Personal, Zugangskontrolle und Asset Management

Mitarbeiter sind meist das wichtigste Kapital und zugleich auch ein großes Risiko, das auch bei der Europe Cargo GmbH angemessen gemanaged werden muss. Dabei stellt die Personalsicherheit sicher, dass Mitarbeiter geschult werden und wissen, wie sie zur Sicherheit beitragen können:

  • Hintergrundprüfungen vor der Einstellung von Mitarbeitern und anderen Beteiligten helfen im Vorfeld Risiken zu minimieren.
  • TOP In Trainings werden Mitarbeiter zu Risiken geschult und für die Bedeutung der Informationssicherheit und möglicher Auswirkungen von Sicherheitsverletzungen aufgeklärt.
  • TOP Zugriffs-Rechtevergabe erfolgt nur entsprechend der Notwendigkeit, die für die Ausführung von Aufgaben notwendig ist, es muss auch sichergestellt sein, dass Rechte regelmäßig überprüft und angepasst werden.
  • Klare Sicherheitsrichtlinien und -verfahren stellen sicher, dass alle Mitarbeiter die notwendigen und gültigen Regeln verstehen und befolgen.
  • Notwendig ist auch eine Überwachung von kritischen Aktivitäten der Mitarbeitern unter Beachtung der TOP Datenschutzbestimmungen.

TOP Eine physische und digitale Zugriffskontrolle hilft, unbefugten Zugriff auf kritische Informationen und Systeme zu verhindern. Einzelne Maßnahmen sind:

  • Zwei-Faktor-Authentifizierung (2FA) zum Schutz von sensiblen Systemen und Daten. Dies stellt sicher, dass selbst bei gestohlenen Passwörtern ein zusätzlicher Authentifizierungsfaktor unerlaubten Zugriff verhindert.
  • Rollenbasierte Zugriffskontrolle (RBAC): Festlegung von TOP Zugriffsrechten basierend auf den Rollen und Aufgaben der Mitarbeiter zur Minimierung des Risikos von unbefugtem Zugriff.
  • Notwendig sind auch regelmäßige Überprüfungen der TOP Zugriffsrechte und -kontrollen, um sicherzustellen, dass sie den aktuellen Anforderungen und Best Practices entsprechen.
  • TOP Aktivierung von Audit-Logs auf wichtigen Systemen und Anwendungen, um Aktivitäten zu protokollieren und verdächtige Vorgänge zu identifizieren und nachzuverfolgen.

Schließlich stellt ein effektives Asset Management sicher, dass die Cargo Europe GmbH ihre digitalen Ressourcen vollständig identifiziert und schützt, um die Resilienz gegenüber Cyberbedrohungen zu erhöhen. Einzelne Maßnahmen dazu sind:

  • TOP Die Inventarisierung durch das Erstellen einer vollständigen Inventarliste aller IT-Geräte und Anwendungen im Unternehmen.
  • Eine Risikobewertung der Vertraulichkeit, Integrität und Verfügbarkeit von Vermögenswerten (Ermittlung des Schutzbedarfs), um zu bestimmen, welche zusätzlichen Schutzmaßnahmen erforderlich sind.
  • Die Verwaltung des Lebenszyklus der IT-Assets, einschließlich ihrer Beschaffung, Wartung und sicheren Entsorgung.
  • Zuweisung klarer Verantwortungen für die Verwaltung und Pflege von Vermögenswerten, um sicherzustellen, dass diese ordnungsgemäß überwacht und gewartet werden.
  • TOP Aktualisierung des Inventars und entsprechendes Patch-Management um sicherzustellen, dass sämtliche Software und alle Geräte auf dem neuesten Stand gehalten werden.
  • Aufteilung des Netzes in verschiedene Segmente, die sowohl gegeneinander als auch bei der Anbindung an das Internet abgesichert werden müssen. Dazu sind alle Netzübergänge des Unternehmens im Rahmen einer Netzstrukturaufnahme sowohl im Hinblick auf ihre Anzahl als auch auf die spezifische Art des Übergangs zu identifizieren und zu dokumentieren.
  • Authentifizierung: Durch passende Lösungen zur Authentifizierung stellt die Cargo Europe GmbH sicher, dass nur autorisierte Benutzer auf ihre digitale Dienste und kritische Infrastrukturen zugreifen können.

Implementieren Sie Lösungen, die das Risiko bewerten und die Authentifizierung entsprechend anpassen. Bei höherem Schutzbedarf können zusätzliche Authentifizierungsschritte erforderlich sein. Neben der Entscheidung für die richtige Authentifizierungsmethode (mehrstufige Authentifizierung vs. kontinuierliche Authentifizierung vs. Single Sign-On) sind u.a. folgende Kriterien zu beachten:

  • Die Entwicklung von klaren Richtlinien für die Methodenauswahl und -nutzung.
  • Die Auswahl von Authentifizierungsfaktoren wie Passwort oder Biometrie
  • Die Integration in die vorhandenen Anwendungen.
  • Die Sicherstellung der Benutzerfreundlichkeit für entsprechende Akzeptanz der Lösung mit ihren Kontrollen.
  • Alternative Zugriffsmethoden, wenn der ordnungsgemäße Zugriff nicht möglich ist.
  • Ein Monitoring und Reporting um verdächtige Aktivitäten und Zugriffsversuche zu erkennen.
  • TOP Schulung und Sensibilisierung der Mitarbeiter.
  • Überprüfung, ob Authentifizierung den geltenden Sicherheits- und TOP Datenschutzvorschriften entspricht.
  • Kommunikation und Notfallkommunikation: Schließlich muss für die Erfüllung von NIS2 seitens der Cargo Europe GmbH auch sichergestellt sein, schnell und effektiv auf Cybersecurity-Vorfälle zu reagieren und relevante Informationen mit Behörden und anderen Beteiligten auszutauschen. Eine klare und effiziente Kommunikation – im Normalbetrieb und Notfall – trägt zur Minimierung von Schäden und zur Wiederherstellung der betroffenen Dienste und Systeme bei. Hierfür sind folgende Maßnahmen angeraten:
  • Die Auswahl sicherer Kommunikationsplattformen mit entsprechender Verschlüsselung, um die Kommunikation zu schützen. Stellen Sie sicher, dass Kommunikation auch den TOP Datenschutzbestimmungen entspricht.
  • Die Implementierung einer End-to-End-Verschlüsselung für Text-, Sprach- und Videoübertragungen.
  • Die passende Authentifizierungsmethode (s.o.) für die Kommunikation.
  • Die Sensibilisierung und Schulung der Mitarbeiter in sicheren Kommunikationspraktiken zum Schutz etwa von Phishing-Angriffen und die sichere Handhabung von Kommunikationswerkzeugen.
  • Ein hoher Standard für die Netzwerksicherheit als Schutz vor Angriffen und unautorisierten Zugriffen. Dazu gehören etwa Firewall-Regeln, Systeme für Intrusion Detection und regelmäßige Netzwerkaudits.
  • Die Implementierung von sicheren, redundanten und ausfallsicheren Notfallkommunikationssystemen zur zielgerichteten Kommunikation in der Krise.
  • Die Umsetzung von TOP Datenschutz und Compliance der dafür verwendeten Kommunikationssysteme.
  • Die schnelle Umsetzung aller notwendigen Softwareaktualisierungen und des Patch-Management.
  • Eine lückenlose Überwachung und Protokollierung, um verdächtige Aktivitäten zu erkennen und sicherzustellen, dass die Kommunikationssysteme ordnungsgemäß funktionieren.
  • Die Implementierung von TOP Zugriffskontrollen um sicherzustellen, dass nur autorisierte Benutzer auf die Kommunikationsmittel zugreifen können.
  • Ausreichende Notfallpläne für Kommunikationssysteme mit entsprechender Schulung der Mitarbeiter für die sichere und effektive Nutzung von Notfallkommunikationssystemen im Krisenfall.
  • Regelmäßige Sicherheitsüberprüfungen und Penetrationstests durchführen, so dass die Kommunikationssysteme den Anforderungen entsprechen.

Ein hohes Maß an Informationssicherheit erfordert einen langen Atem, denn Cybersecurity ist ein kontinuierlicher Prozess und keine einmalige Maßnahme. Für die Umsetzung der hier skizzierten Maßnahmen im Rahmen von NIS2 ist deshalb ein effektives Projektmanagement mit klarer Kommunikation sowie die Auswahl und tatkräftige Unterstützung von fachlich und menschlich geeigneten Teammitgliedern besonders notwendig. Ferner bedarf es der Steuerung und Unterstützung auf C-Level / Geschäftsführungsebene, die auch mit der Bereitstellung von ausreichenden finanziellen, personellen und technologischen Ressourcen für die Umsetzung der Maßnahmen und dem klaren „Committment“ zur Bedeutung des Projekts durch die Verantwortlichen im Unternehmen einhergeht.

Informationssicherheit als Kulturelement

Denken wir an ein langfristig hohes Niveau der Sicherheit von Informationen als wesentliches Kapital unseres Unternehmens jenseits von regulatorischen Erfordernissen, ist der langfristige Erfolg ohne Mitwirkung der Menschen im Unternehmen nicht vorstellbar. Dafür ist zunächst die Sensibilisierung für das Thema Informationssicherheit („Schaffung von Awareness“) essentiell, also die TOP Schaffung eines grundsätzlichen Verständnisses. Notwendig ist aber auch die Etablierung von Routinen, die Mitarbeiten Sicherheit geben und oft als lästig empfundene Tätigkeiten leichter oder zumindest selbstverständlich werden lassen (z.B. Passwortwechsel, Übungen, Klassifizierung der Vertraulichkeit von Informationen, Einschätzung von Risiken bei E-Mails oder im „Social Engineering“).

Schulungen und Trainings: Schulungen, praxisnahe Beispiele und regelmäßige Trainings sind entscheidend, um zu unterstützen, dass die Mitarbeiterinnen und Mitarbeiter die Sicherheitsrichtlinien kennen, umsetzen und langfristig mittragen. Überprüfen Sie das Sicherheitsbewusstsein der Mitarbeiter durch Tests und Schulungen. Mitarbeiter sollten in der Lage sein, Phishing-Angriffe zu erkennen und sicherheitsbewusstes Verhalten zu praktizieren.

Klare Verantwortungen: Im Sinne von klaren Rollen in Projekt und Linie sollte ein Verantwortlicher oder ein Sicherheitsteam benannt werden, der/das für die Überwachung und Umsetzung der Sicherheitsmaßnahmen verantwortlich ist. Dieser Sicherheitsbeauftragte muss Fortschritte überwachen, regelmäßige Berichte erstellen und Sicherheitsvorfälle melden und verfolgen. Schließlich muss aber auch klar sein, dass jeder einzelne Mitarbeiter eine Rolle als Sicherheitsverantwortlicher für sein Unternehmen hat und die Trennung von Verantwortlichkeiten (etwa für die Freigabe von eigenen Zugangriffsrechten) Bestandteil der Managements der Informationssicherheit sind.

Ständige Messung und Verbesserung: Überprüfen Sie regelmäßig die Einhaltung der Sicherheitsrichtlinien und -verfahren. Führen Sie Sicherheitsaudits und Penetrationstests durch, um die Effektivität Ihrer Maßnahmen zu überprüfen. Führen Sie zudem regelmäßig Incident Response-Übungen einschließlich der damit verbundenen Notfallkommunikation durch, um sicherzustellen, dass Ihr Team auf Sicherheitsvorfälle effektiv reagieren kann. Diese Übungen helfen, den Reaktionsplan zu überprüfen und zu verbessern. Definieren Sie deshalb Key Performance Indikatoren (KPIs) für Informationssicherheit, um die Leistung von Maßnahmen zu überwachen (s.a. Abbildung 5 mit den Phasen des PDCA-Zyklus). Dies können Kennzahlen wie die Anzahl der Sicherheitsvorfälle, die Dauer der Wiederherstellung nach Vorfällen und die Einhaltung von Sicherheitsrichtlinien sein. Holen Sie sich unabhängige Meinungen von Sicherheitsberatern oder externen Prüfern ein, um eine objektive Einschätzung Ihrer Sicherheitsmaßnahmen zu erhalten.

Offenheit und Interdisziplinarität: Ermöglichen Sie Mitarbeitern die einfache und vertrauliche Meldung von Sicherheitsvorfällen, besser ist sogar die Schaffung von Anreizen für die Meldung von Schwachstellen. Es ist wichtig, dass Mitarbeiter offen sind, Vorfälle zu melden, denn offenes Feedback ist hilfreich, schneller und sehr viel günstiger als echte Vorfälle um Schwachstellen zu identifizieren und die Sicherheitsmaßnahmen zu verbessern. Seien Sie flexibel und passen Sie Ihre Maßnahmen kontinuierlich an die sich ändernde Bedrohungslandschaft an. Bleiben Sie auf dem Laufenden über neue Sicherheitsrisiken und passen Sie Ihre Strategie entsprechend an.

Fördern Sie zudem die Interdisziplinarität durch offene Kommunikation und Zusammenarbeit zwischen IT-Abteilungen, Managern und allen anderen Abteilungen. Eine gute Zusammenarbeit ist entscheidend, um Sicherheitsrisiken zu minimieren. Informationssicherheit ist weder ausschließlich ein Thema für IT-Spezialisten, das Management oder eine einzelne Abteilung, sondern das Ergebnis von Zusammenarbeit und der Umsetzung von klaren Grundsätzen.

Abbildung 6: Kulturelemente der Informationssicherheit

5          Einbindung externer Unterstützung

Bereitstellung ausreichender eigener Ressourcen

Die wirksame Abwehr von Bedrohungen der Cyber-Sicherheit erfordert die Bereitstellung ausreichender Ressourcen. Diese Aufwände müssen von Organisationen in jeder Phase der IS-Planung inkl. der IT-Planung und dem anschließenden IT-Security-Service-Betrieb hinreichend berücksichtigt und entsprechend finanzielle und personelle Mittel bereitgestellt werden.

Einbindung externer Dienstleister

Ein umfassender Schutz ist in der Regel nur durch Einbindung verschiedener externer Dienstleister umsetzbar. Wesentliche Bereiche, in denen auf externen Sachverstand zurückgegriffen werden sollte, sind:

  • Durchführung einer herstellerneutralen Cyber-Sicherheitsberatung
  • Penetrationstests gegen die eigene IT
  • regelmäßige Cyber-Audits
    • Cyber-Quickcheck
    • automatisierte Schwachstellen-Überprüfungen
    • Grundschutz-Audit
  • Informationssicherheits-Revisionen
  • Analyse und Bewältigung von Sicherheitsvorfällen durch ein externes Computer Emergency Response Team (CERT), sowohl in simulierten Übungsszenarien als auch im Ernstfall
  • Durchführung forensischer Maßnahmen

Die Gewichtung und Priorisierung dieser Bereiche sollte auf Grundlage der zuvor bestimmten Cyber-Sicherheits-Exposition erfolgen.

Gerade Ressourcen, die erst bei eingetretenen Sicherheitsvorfällen benötigt werden, sollten rechtzeitig eingeplant werden. Bereits lange vor dem tatsächlichen Vorfall muss feststehen, auf welchen externen Dienstleister im Ernstfall verlässlich und kurzfristig zurückgegriffen werden kann.

6          Ausblick

Auch wenn NIS2 ein klares Bild von Standards für die Informationssicherheit vermittelt: Die Entwicklung für Unternehmen wird von einer Vielzahl von Faktoren beeinflusst, darunter technologische Fortschritte, rechtliche Rahmenbedingungen, neue Bedrohungen und gesellschaftliche Veränderungen. Diese Faktoren werden die Notwendigkeit und das Tempo bestimmen, die Unternehmen auch in Zukunft zwingen am Ball zu bleiben und Informationssicherheit nicht als Eintragsfliege zu betrachten:

  • Erhöhte Bedrohungslage durch immer mehr und immer gefährlichere Cyberangriffe: Cyberangriffe werden komplexer und ausgefeilter. Unternehmen müssen ihre Sicherheitsmaßnahmen kontinuierlich verbessern, um mit der Bedrohungslage Schritt zu halten.
  • Strengere Datenschutzgesetze: Es ist zu erwarten, dass der rechtliche Rahmen für Datenschutz der Bedrohungslage entsprechend verschärft wird. Neue Gesetze könnten erlassen werden, und bestehende Gesetze könnten aktualisiert werden, um den Schutz von Informationen und der Privatsphäre der Verbraucher zu stärken.
  • Künstliche Intelligenz und Maschinelles Lernen: Die Integration von KI und ML in Sicherheitslösungen wird zunehmen. Diese Technologien ermöglichen eine schnellere Erkennung von Bedrohungen, die Analyse großer Datenmengen und die Automatisierung von Sicherheitsprozessen.
  • Quantencomputing und Kryptographie: Mit dem Fortschreiten der Quantencomputing-Technologie müssen Unternehmen ihre kryptografischen Verfahren möglicherweise anpassen, um sicherzustellen, dass ihre Daten auch in einer post-quanten Welt geschützt sind.
  • Zero Trust Security-Modelle: Unternehmen könnten vermehrt auf Zero Trust Security setzen, bei dem der Zugriff auf Systeme und Daten nicht mehr automatisch als vertrauenswürdig angesehen wird, selbst wenn sich der Zugriff innerhalb des Unternehmensnetzwerks befindet.
  • IoT-Sicherheit: Mit der zunehmenden Verbreitung von Internet of Things (IoT)-Geräten werden Sicherheitslösungen erforderlich sein, um diese Geräte zu schützen. Der Schutz von IoT-Geräten und -Netzwerken wird zu einem wichtigen Aspekt der Informationssicherheit.
  • Betonung der Mitarbeiteraufklärung: Da menschliches Versagen oft eine Ursache für Sicherheitsverletzungen ist, wird die Aufklärung und Schulung der Mitarbeiter in Bezug auf erforderliches Sicherheitsbewusstsein und Best Practices eine entscheidende Rolle spielen.
  • Blockchain-Technologie für Sicherheit: Blockchain-Technologien könnten vermehrt für Sicherheitszwecke eingesetzt werden, beispielsweise um die Integrität von Daten und Transaktionen sicherzustellen.
  • Cyberversicherung: Die Nachfrage nach Cyberversicherungen wird voraussichtlich steigen, da Unternehmen verstärkt nach Wegen suchen, sich gegen finanzielle Verluste im Zusammenhang mit Cyberangriffen abzusichern.
  • Intersektorale Zusammenarbeit: Aufgrund der zunehmenden Vernetzung von Unternehmen und Organisationen wird die Zusammenarbeit zwischen verschiedenen Sektoren und Organisationen erforderlich sein, um gemeinsam gegen komplexe Bedrohungen vorzugehen.

Unternehmen werden flexibel und proaktiv auf diese Entwicklungen reagieren müssen, um eine effektive Informationssicherheits- und Datenschutzstrategie aufrechtzuerhalten, anzupassen und ihre jeweilige Implementierung nachhalten zu können. Ein ganzheitlicher Ansatz, der Technologie, Schulung, rechtliche Compliance und Zusammenarbeit berücksichtigt, wird entscheidend für den Erfolg und die Nachhaltigkeit hierfür sein.