Herr Stradling, NIS2 ist in aller Munde. Wie beurteilen Sie das neue Gesetz für mehr Cybersicherheit?

Ich denke, dass NIS2 den Unternehmen einen sehr guten Rahmen für mehr Cybersicherheit bietet. Ich glaube aber auch, dass die Umsetzung dieses Rahmens viel Zeit und Ressourcen in Anspruch nehmen wird. Das Problem ist, dass die Sicherheitsteams bereits jetzt stark überlastet sind, so dass viele Unternehmen wahrscheinlich nach externer Unterstützung suchen müssen.

Es kann sein, dass sie sich ziemlich anstrengen müssen, um NIS2 wirklich an allen erforderlichen Stellen zu implementieren, aber es wird ihnen einen viel besseren und effektiveren Schutz gegen Cyber-Angriffe bieten.

Sicherheit muss entlang der gesamten Lieferkette gewährleistet sein. Unternehmen müssen sich daher von ihren Zulieferern und Handelspartnern vertraglich bestätigen lassen, dass diese die Vorgaben von NIS2 einhalten.

Mehrere zehntausend kleinere Unternehmen, die nicht unter die bisher geltenden KRITIS-Regelungen fallen, sind ab Oktober nächsten Jahres ebenfalls verpflichtet, ihre Cyber-Abwehr NIS2-fähig zu machen.

Viele von ihnen haben bisher nicht einmal eine eigene Cyber-Sicherheitsstrategie.

Das heißt, sie müssen jetzt dringend damit beginnen, eine solche Strategie zu entwickeln und umzusetzen.

Tun sie das nicht, werden sie bald nicht mehr Teil ihres Marktes und ihres Ökosystems sein und wahrscheinlich Schwierigkeiten haben, weiterhin Geschäftspartner für eine Zusammenarbeit zu finden. Das Problem ist, dass jedes Land zusätzliche Sicherheitsanforderungen stellen kann. Auch außerhalb von Europa gibt es (wieder andere) Cybersicherheitsvorschriften, die Unternehmen einhalten müssen.

Wo können kleine Unternehmen Unterstützung bekommen?

Das ist immer eine Frage des verfügbaren Budgets. Wenn Unternehmen kein Budget haben, haben sie ein ernsthaftes Problem. Andererseits muss zum Schutz des Endkunden jeder einzelne Teil des Ökosystems, an dem die Unternehmen beteiligt sind, einen sehr guten Sicherheitsstatus haben. Man darf einfach keine Kunden- oder Partnerdaten auf einem unsicheren System speichern, weil sie dann von Kriminellen gestohlen und missbraucht werden könnten.

Das muss man in seinen Businessplänen berücksichtigen und der Vorstand und der CEO eines Unternehmens müssen das verstehen und Verantwortung für diese Themen übernehmen. Cybersecurity ist eben nicht nur ein Kostenfaktor, sondern existenziell für die Zukunftsfähigkeit eines Unternehmens.

Unternehmen können sich von Beratern, aber auch von Sicherheitsdienstleistern unterstützen lassen. Vielleicht kann man einige Punkte intern mit eigener Expertise erledigen und lagert nur die sehr komplizierten und komplexen Punkte aus? Es wird auf jeden Fall eine große Herausforderung für viele sein.

Was müssen Unternehmen jetzt tun, um die hohen Strafen bei Nichteinhaltung zu vermeiden?

Ich denke, der erste Schritt ist, alle Anwendungen zu verstehen. Dazu braucht man Informationen von allen beteiligten Sicherheitsakteuren. Dann braucht man Zertifikate aus allen involvierten Ländern, von den Verantwortlichen aller neuralgischen Prozesse. Diese müssen die Dringlichkeit der Compliance-Anforderungen verinnerlichen und alle Komponenten des umfassenden Regelwerks Schritt für Schritt durchgehen. Oft sind es erst die finanziellen Auswirkungen, die die Verantwortlichen aufhorchen lassen.

Wo sehen Sie mögliche Schwierigkeiten bei der Umsetzung?

Eine große mögliche Herausforderung ist der Einsatz veralteter Technik.

Wenn man 50 oder sogar 80 verschiedene alte Sicherheitssysteme auf den neuesten Stand der Technik bringen muss, hat man einen langen Weg vor sich. Diese Systeme sind noch nicht integriert und die fehlende Integration mit anderen Systemen, die fehlende Sichtbarkeit über alle Assets, sowie fehlende Sicherheitskontrollen und Identitätsprüfungen machen den Security Footprint sehr schwer sichtbar. Die Komplexität von veralteten Systemen und die fehlende Integration mit anderen Systemen sind daher die größten Herausforderungen.

Unternehmen, die sich bereits mit den Anforderungen der KRITIS-Gesetzgebung auseinandersetzen mussten, haben nun den Vorteil, auf ein grundlegendes Sicherheits-Framework zurückgreifen zu können. Diejenigen, die in dieser Hinsicht noch nichts unternommen haben, müssen sich jetzt auf den Weg machen und haben viel Arbeit vor sich.

Wie kann die Sicherheit in der Lieferkette gewährleistet werden und wo sehen Sie Fallstricke?

Das ist in der Tat sehr schwierig. Die Empfehlung, die wir bei IDC geben, ist, sich die Einhaltung vertraglich zusichern zu lassen – durch Lieferanten, Transporteure oder spezielle Partner, die die Einhaltung bei den jeweiligen Beteiligten überwachen. Wir müssen den Zero-Trust-Ansatz auf moderne Sicherheitstechniken übertragen, Tech Respondering im Normalbetrieb implementieren, Sandbox-Umgebungen schaffen. Der Trick dabei ist, dass alle Daten im Netzwerkverkehr innerhalb des Transitlandes bleiben. Es gibt Forschungsunternehmen, Online-Plattformen und Entwicklungsplattformen, auf denen Programmierer innerhalb dieser Plattformen Codes entwickeln, die es böswilligen Akteuren erheblich erschweren, auf die Chats zuzugreifen.

Leider gibt es sehr viele Möglichkeiten für den ersten Angriff. Daher ist NIS2 absolut gerechtfertigt.