NIS-2: Im Wettlauf gegen die Zeit

Warum und wie sich Unternehmer jetzt gegen Cyberrisiken wappnen müssen 

Seit März 2024 hat eine neue Ära der Regulierung von Cyberrisiken begonnen. Unternehmen müssen sich aktiv gegen Cyberangriffe wappnen. Und auch unabhängig von der neuen gesetzlichen Verpflichtung sollten Unternehmen, große wie kleine, in ihre Cybersicherheit investieren, um existenzielle Gefahren fürs Geschäft abzuwehren. Zum Glück gibt es praktikable Maßnahmen für den Einstieg in die neue Sicherheitskultur. 

NIS-2-Richtlinie

Wieder hat es ein Krankenhaus getroffen. Diesmal das Dreifaltigkeits-Hospital in Lippstadt und mit ihm auch die beiden medizinischen Einrichtungen in Erwitte und Geseke. In der Nacht von Freitag auf Samstag am ersten Februarwochenende 2024 war unvermittelt der Zugriff auf Patientendaten blockiert. Ein Hackerangriff legte die IT lahm. Vorübergehend war die Aufnahme von Patienten unmöglich. Operationen mussten verschoben werden. 

Jede Woche eine andere Klinik. Wie in einem ungelösten Krimi blieben die Angreifer anonym, ihre Forderungen dagegen sind klar: Lösegeld für die Freigabe der Daten. Doch der wahre Schaden ist nicht in Kryptowährung zu beziffern – für ein Klinikum bedeutete der Angriff auf den digitalen Blutkreislauf fast immer den sofortigen operativen Stillstand. Patientendaten, Terminplanungen und kritische Systeme für lebenserhaltende Maßnahmen bleiben plötzlich unerreichbar. Der Notbetrieb erfolgt analog und manuell. Selbst längst Entlassene werden zu Leidtragenden: Als die Deegenbergklinik in Bad Kissingen im Herbst 2013 gehackt wurde, standen plötzlich sensible Patientendaten im Dark Web zum Abruf bereit. Damit avanciert ein Hackerangriff auch zu einem veritablen Haftungsrisiko für die Krankenhausleitung. 

Gefahr in Zahlen

Kliniken sind keine unrühmliche Ausnahme. Die Zahl der kriminellen Cyberangriffe in Deutschland lag 2022 nach Angaben des Bundeskriminalamts (BKA) bei 136.865. Und dabei handele es sich nur „um die Spitze des Eisbergs“. Laut einer Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat mehr als die Hälfte der deutschen Unternehmen in den letzten zwei Jahren mindestens einen Cyberangriff erlebt. Der damit einhergehende Schaden durch Daten-Klau, Wissensabfluss und Sabotage summiert sich für die deutsche Wirtschaft jährlich auf mehr als 200 Milliarden Euro. Zu diesem Ergebnis kam eine Studie im Auftrag des Digitalverbands Bitkom, für die mehr als 1.000 Unternehmen quer durch alle Branchen repräsentativ befragt wurden. Die digitale Vernetzung und Abhängigkeit von IT-Systemen macht praktisch jedes Unternehmen anfällig für Cyberbedrohungen. 

EU-Richtlinie für Cybersicherheit

Vor diesem Hintergrund ist die Einführung der sogenannten NIS-2-Richtlinie im deutschen Recht eine überfällige Maßnahme. Als Reaktion auf die steigenden Cyberrisiken zielt die Richtlinie der EU darauf ab, die Sicherheit von Netz- und Informationssystemen innerhalb der EU zu erhöhen. Mitte Oktober wird sie in Deutschland wirksam und bringt strengere Anforderungen für eine Vielzahl von Unternehmen mit sich. Unter anderem müssen betroffene Unternehmen Nachweise über die Implementierung angemessener und wirksamer Sicherheitsmaßnahmen erbringen. Andernfalls drohen Sanktionen, die von Geldstrafen bis hin zu Betriebsuntersagungen reichen. 

Handlungsempfehlungen

NIS-2 ist 2024 damit für die Cybersecurity das, was die DSGVO für den Datenschutz 2018 (EU-Datenschutz-Grundverordnung (GDPR)) war: die Business-Challenge das Jahres; jede verantwortungsbewusste Unternehmensleitung wird sich qua Gesetz mit den neuen Regularien befassen und noch im Sommer technische und organisatorische Maßnahmen ergreifen; seien es Schulungen und Awarenesskampagnen für alle Mitarbeitenden oder verschärfte technische Sicherheitsvorkehrungen.

Kurzum: Europa steht vor einer neuen Ära der Cyberregulierung und -Compliance.  

Für IT-Verantwortliche ergibt sich damit die Gelegenheit, Gehör für das eigene Thema in den Chefetagen zu finden. Die Geschäftsleitung, so steht es in der Richtlinie, muss die Umsetzung der Maßnahmen überwachen und haftet für Verstöße! Sie muss selbst an Schulungen teilnehmen und solche auch den Beschäftigten anbieten. Damit landet das Cyber-Compliance-Regime ganz offiziell auf der Agenda des Top-Managements. Wegdelegieren zwecklos – mit NIS2 wird die persönliche Haftung von Geschäftsführern und Vorständen eingeführt. 

Was heißt das konkret? Getreu der EU-Richtlinie müssen Unternehmen umfassende Maßnahmen zum Risikomanagement für Cybersicherheit ergreifen. Hierzu gehören Konzepte für die Risikoanalyse und Sicherheit der Informationssysteme ebenso wie Guidelines zur Bewältigung von Sicherheitsvorfällen und Aufrechterhaltung des Betriebs (z.B. Backup-Management und Wiederherstellung nach einem Notfall). Eine ganze Reihe weitere Auflagen soll Transparenz in mögliche Risiken und Schwachstellen der IT-Infrastruktur und Prozesse bringen. 

So ambitioniert das neue Regelwerk klingen mag: Der Einstieg in ein adäquates Cyber-Sicherheitssystem darf ganz pragmatisch erfolgen:  

  • Beginnen können Unternehmen adhoc mit leicht umsetzbaren Maßnahmen wie, Awareness-Kampagnen und Online-Schulungen. Kluge Dienstleister bieten hierfür kombinierbare Tools für Phishing-Simulationen und E-Learnings an. So können diese Maßnahmen vergleichsweise schnell realisiert werden und haben sofort erheblichen Einfluss auf die Erhöhung der Cybersicherheitskompetenz innerhalb der Organisation.  
  • Parallel dürfte ein Hauptaugenmerk auf den verschiedenen konzeptionellen Anforderungen liegen.
  • Mittel- und langfristig werden Investitionen in fortschrittliche Sicherheitstechnologien und Incident-Response-Pläne unverzichtbar, um auf zukünftige Bedrohungen vorbereitet zu sein.  

Den Staat an den Kosten beteiligen

Der Einstieg kann also sehr smart gewählt werden. Und dennoch ist er mit Kosten verbunden. Die gute Nachricht: Der Staat unterstützt Unternehmen bei der Verbesserung ihrer Cybersicherheit. Zu den Fördermaßnahmen gehören: 

  • Ko-Finanzierung von Awareness-Kampagnen und Schulungsprogrammen 
  • Zuschüsse für Sicherheitsberatungen und -audits. 
  • Förderprogramme für die Anschaffung sicherer IT-Systeme und Software. 
  • Spezielle Förderprogramme in Bundesländern wie Bayern, Nordrhein-Westfalen und Baden-Württemberg, die auf die Bedürfnisse kleiner und mittlerer Unternehmen zugeschnitten sind. 
  • Schulungsangebote zur Steigerung der Cybersicherheitskompetenz. 
  • Unterstützung bei der Entwicklung von Notfallplänen. 

 


image

Online-Schulung

IT- und Datensicherheit