Regulatorik in der Cybersicherheit
»Viele Unternehmen unterschätzen die Tragweite der NIS-2«
Cyber Resilience Act, NIS-2, RED und EU Data Act stellen Betriebe vor große Herausforderungen. Besonders kleine und mittlere Unternehmen fragen sich »Wie viel Regulierung kann ich überhaupt stemmen?«. Was jetzt wichtig ist, erklärt Stefan Eigler vom TÜV Rheinland.
it-sa Magazine: Aktuell scheint eine wahre Flut an neuen Cybersecurity-Regularien über die deutschen Unternehmen hinwegzurollen. Viele Firmen verlieren dabei den Überblick. Welche ersten Maßnahmen sollte jedes Unternehmen jetzt sofort anstoßen?
Stefan Eigler, Practice Leader - Mastering Risk & Compliance, Management Consultant bei TÜV Rheinland: Die wichtigste erste Maßnahme ist die Standortbestimmung. Dabei sollten sich Unternehmen folgende Fragen stellen: Welche Regularien sind in welchem Maße für mein Unternehmen relevant? Welche Risiken ergeben sich für mein Unternehmen daraus? Welche Maßnahmen sind bereits umgesetzt und tragen dazu bei, die jeweiligen Anforderungen zu erreichen? Und welche Synergien lassen sich im Bereich überschneidender Anforderungen bergen?
Vor allem die NIS-2 erweitert den Kreis der betroffenen Branchen erheblich. Welche Unternehmen trifft es jetzt überraschend – und welche unterschätzen die Tragweite vielleicht noch?
Der Anwendungsbereich der NIS-2 wurde erweitert – sowohl hinsichtlich der Branchen als auch bezüglich der Schwellenwerte bei Mitarbeiteranzahl und Jahresumsatz. Nunmehr sind auch nicht unmittelbar der Daseinsvorsorge dienende und als weniger wichtig wahrgenommene Sektoren Normadressat, und das auch bei moderater Größe. Unserer Erfahrung nach sind es daher vorwiegend mittlere und kleinere Unternehmen, die sich überrascht von den neuen Pflichten zeigen. Auch rechtlich selbstständige Einheiten in Unternehmensgruppen gilt es neu zu bewerten. Interessanterweise hatten wir unmittelbar nach Ankündigung der NIS-2 eine Vielzahl von Anfragen aus Unternehmensgruppen heraus, wie sich denn durch gesellschaftsrechtliche Änderungen ein wirksamer „Workaround“ erreichen ließe, um nicht in den Anwendungsbereich der Norm zu fallen.
Dieser Reflex zeigt: In vielen Teilen der Wirtschaft ist die Relevanz der NIS-2 nicht angekommen. Dabei zeigen die nahezu täglichen Meldungen zu Sicherheitslücken und erfolgreichen Cyberangriffen, wie verletzlich europäische und insbesondere auch deutsche Unternehmen sind. Wenn ein Mittelständler durch eine Ransomware-Attacke in die Insolvenz gehen muss, sollte das zu denken geben. Nebenbei: Statistisch gesehen kostet die Behebung einer Ransomware-Attacke das betroffene Unternehmen im Schnitt fünf Millionen Euro.
Wie gut sind die Unternehmen Ihrer Erfahrung nach tatsächlich vorbereitet, wenn es um die Einhaltung neuer Vorgaben geht? Und welche typischen Fehler beobachten Sie hier am häufigsten?
In vielen Unternehmen fehlt der Überblick darüber, welche Regularien für sie anwendbar sind und vor allem, mit welchen Maßnahmen sie bereits zur Erfüllung neuer regulatorischer Anforderungen beitragen. Der Grund ist ganz oft die Trennung der Bereiche Compliance und Informationssicherheit oder IT-Security. Es wird schlicht zu wenig oder gar nicht miteinander gesprochen. Insofern kann beispielsweise ein „NIS-2-Projekt“ auch die interdisziplinäre Kommunikation und Aufgabenbearbeitung beleben – davon profitieren langfristig alle Bereiche. Neben der fehlenden Kommunikation ist das Fehlen der dedizierten thematischen Würdigung der IT-Compliance ein weiterer vielfach zu beobachtender Fehler. So führen in einigen Unternehmen IT-Abteilungen ein Rechtskataster über die sie betreffenden Regularien. Demgegenüber lässt sich in den Publikationen der DICO (Deutsches Institut für Compliance e.V.) beobachten, dass IT-Compliance sich in den Kanon der klassischen Compliance-Anforderungen eingereiht hat. Nunmehr ist sicherzustellen, dass die Compliance-Abteilungen auch über die entsprechende Expertise verfügen. Durch die organisatorische Einordnung des Bereichs Compliance wird zudem sichergestellt, dass die Sichtbarkeit der Themen auf den Leitungsebenen dauerhaft gegeben ist.
Besonders diskutiert wird die persönliche Haftung von Geschäftsführern. Wie verändert das Ihrer Meinung nach die Dynamik zwischen Management und IT-Abteilungen?
Nicht wenige Kunden berichten uns, dass der Eindruck entsteht, mit dieser Betonung der Organhaftung werde nunmehr dem Bereich Cybersecurity mehr Gehör geschenkt. Hinzu kommt das IT-Security-Training mit der Geschäftsleitung im Rahmen der NIS-2 – für viele Organe der Leitungsebene der erstmalige Kontakt mit dem Thema. Ich halte das für eine trügerische Verbesserung, deren Halbwertszeit maßgeblich davon beeinflusst wird, inwieweit es den Verantwortlichen für IT-Compliance bei der Umsetzung von Anforderungen gelingt, Mehrwerte zu schaffen und das Risikobewusstsein dauerhaft um die Aspekte der Cybersicherheit zu erweitern. Ansonsten bleibt in der Wahrnehmung nach Abebben des „Hype“ wenig haften, siehe DSGVO. Möglicherweise kann die künftige Bußgeldpraxis der Aufsichtsbehörden die Erinnerung regelmäßig auffrischen.
Cyberangriffe auf Lieferketten gelten als eine der größten Gefahren. Was macht es so schwer, dieses Risiko wirklich in den Griff zu bekommen?
Die Implementierung von Cybersicherheit bei Auftragnehmern lässt sich nur bedingt vertraglich steuern. Oftmals sind gerade kleinere Dienstleister überfordert mit den Anforderungen beispielsweise der NIS-2, ein adäquates (Cyber-)Sicherheitsniveau sicherzustellen oder gehen gar davon aus, mangels fehlender direkter Betroffenheit und aufgrund geringer Größe hier nichts tun zu müssen. In Zukunft wird also dem Auswahlprozess geeigneter Dienstleister sowie entsprechenden vertraglichen Vereinbarungen eine deutlich größere Bedeutung zukommen. Mittelfristig kann sich kein Lieferant diesen „neuen“ Wettbewerbsfaktoren entziehen. Bereits jetzt haben wir viele Kunden, die eine NIS-2-Klausel in die Verträge mit Ihren IT-Dienstleistern aufnehmen beziehungsweise neue Lieferanten entsprechend sorgfältig durch uns prüfen lassen.
Viele Mittelständler stehen vor der Frage: „Wie viel Regulierung kann ich stemmen?“ Was raten Sie Unternehmen, die knappe Ressourcen haben, aber gleichzeitig compliant sein müssen?
Effizienz ist nur durch eine klare Standortbestimmung möglich. Dabei gilt es nicht nur, die für das Unternehmen relevanten Regularien, sondern insbesondere die bereits vorhandenen Maßnahmen zu identifizieren. So haben beispielsweise viele Unternehmen, die von der NIS-2 geforderte Multi-Faktor-Authentifizierung (§30 Abs. 2 Nr. 10 NIS2 UmsuG) bereits implementiert. Ferner sollten Unternehmen die sich überschneidenden Anforderungen ermitteln und synergetische Maßnahmen bergen. Das lässt sich über ein strukturiertes System zum Management der Informationssicherheit nach dem ISO 27001-Standard effizient erreichen. Ein Standard, der im Übrigen auch von den Aufsichtsbehörden anerkannt ist.
Globale Player müssen EU-Regeln wie NIS-2 oder den CRA mit US- oder asiatischen Standards zusammenbringen. Gibt es aus Ihrer Sicht Chancen, dass sich Standards weltweit stärker angleichen – oder bleibt Cybersecurity ein regional fragmentiertes Thema? Und was bedeutet dieser Flickenteppich für die Praxis?
Wie wir am Beispiel der Datenschutzgrundverordnung gesehen haben, ist eine weitestgehende Harmonisierung und Standardisierung der Regulatorik zumindest in der EU möglich. Außerhalb der EU gestaltet es sich schwierig. Viele Anforderungen stehen im Widerspruch zueinander und haben eine abweichende Intention. So wird Regulatorik auch regelmäßig als Markteintrittshemmnis eingesetzt; oder es bleiben Bereiche bewusst unreguliert, weil sich Staaten davon Wettbewerbsvorteile versprechen – siehe KI in den USA und China. Auch die Reichweite unserer Regularien in der EU zeigt sich begrenzt, so stellt beispielsweise die DSGVO kein „Blocking Statute“ (Abwehrrecht) gegen ausländische Zugriffe auf Basis des US Cloud Act (FISA) dar.
Die Ebene der Implementierung von regulatorischen Anforderungen ist da einen Schritt weiter. Für viele Themen gibt es international anerkannte ISO-Standards, die auch zertifizierbar sind. So hat sich unter anderem im Bereich des „Business Continuity Management“ der ISO 22301-Standard etabliert und ist international anerkannt. Gerade im global tätigen Mittelstand zeigt sich, dass der Weg über ISO-Standards effizient und international tragfähig ist – und sowohl vertrauensbildend wirkt als auch wettbewerbsrelevant ist.
Einige Stimmen kritisieren, dass Regulierung Innovation bremst. Teilen Sie diese Einschätzung – oder sehen Sie sogar das Gegenteil?
So ist es, das Gegenteil ist der Fall. Ein schönes Beispiel ist hier die chinesische KI- Anwendung „DeepSeek“. Als diese am Markt erschien, waren die Stimmen laut, die darin einen Beleg für die Innovationsgeschwindigkeit unregulierter Märkte sahen. Nach kurzer Zeit fanden Sicherheitsforscher von WIZ eine ungeschützt im Internet veröffentlichte Datenbank von DeepSeek, die über 1 Millionen Datensätze von Benutzereingaben enthielt. Die Forscher von WIZ konnten nach Entdeckung der Datenbank bei DeepSeek keinen Ansprechpartner erreichen, da es für solche Fälle keine offizielle Anlaufstelle bei dem chinesischen Startup gab. Für uns aus Cybersecurity-Sicht selbstverständliche Standards, die sich auch aus der KI-Verordnung ergeben, waren nicht eingehalten. Insofern stellen viele Regularien auch ein Quality Gate, also Mindestanforderungen an die Qualität, dar und gewährleisten Sicherheit. Allerdings sollte die Umsetzung so gestaltbar sein, dass hier keine Innovation gebremst wird. Letztlich handelt es sich stets um Gestaltungsanforderungen. Wenn es gelingt, im Rahmen der Umsetzung Mehrwerte zu schaffen, kann auch ein Alleinstellungsmerkmal entstehen. Damit lässt sich auch der Vorwurf einer vermeintlich „bremsenden Regulatorik“ entkräften, der häufig erhoben wird, um eigene Unzulänglichkeiten zu verschleiern.
TÜV Rheinland ist auf der it-sa mit Lösungsansätzen vertreten. Können Sie ein Beispiel geben, wie Sie Unternehmen konkret bei der Umsetzung regulatorischer Anforderungen unterstützen?
Wir haben aus den Projekten mit unseren Kunden heraus den Cybersecurity Compliance Navigator entwickelt. Dieser umfasst eine kompakte Prüfung zur Standortbestimmung des Kunden: Welche Regularien gelten für mein Unternehmen oder einzelne Unternehmensbereiche? Welche Risiken ergeben sich daraus? Welche Anforderungen habe ich bereits umgesetzt, wo gibt es Leerstellen oder Optimierungsbedarf? Welche Synergien und Mehrwerte lassen sich bergen? Aus dieser Standortbestimmung heraus kann der Kunde dann entscheiden, welche Aufgaben er aus eigener Kraft leisten kann beziehungsweise wo er uns als Implementierungspartner einsetzen möchte. Diese Vorgehensweise erlaubt eine genau auf die Bedarfslage und Ressourcen des Kunden abgestimmte Projektierung.
Ferner bieten wir Dienstleisteraudits an, sowohl im Rahmen der Anbieterauswahl (RFP, RFI) als auch bei Bestandsverträgen. Wir unterstützen auch bei Vertragsverhandlungen mit IT-Dienstleistern und erstellen entsprechende Klauseln für Lieferantenverträge.
Ein Blick in die Zukunft: Wird Regulierung in fünf Jahren eher als notwendiges Übel wahrgenommen – oder als Treiber für Vertrauen, Marktchancen und Innovation?
Wir sehen hier die Chance, dass kluge Regulatorik Innovationen befördern kann. Dies lässt sich bereits in sensiblen Geschäftsfeldern wie der Finanzwirtschaft oder Medizin beobachten. So hat beispielsweise DORA, der Digital Operations Resilience Act, zu einer Verbesserung des Cybersicherheitsniveaus bei IT-Dienstleistern in diesem Umfeld geführt. Regelmäßige Penetrationstests (sogenannte „TLPT“) fördern Sicherheitslücken in hochdynamischen und komplexen IT- Strukturen zu Tage. Die MPBetreibV, Medizinprodukte-Betreiberverordnung, stellt hohe Sicherheitsanforderungen an den Betrieb von Software in medizinischen Endgeräten und kommt somit der Patientensicherheit zugute. Die Anforderungen der Datenschutzgrundverordnung (DSGVO) an die Videoüberwachung im Bereich der autonomen Mobilität hat zur Entwicklung von Anonymisierungs-Software geführt, die Personen und Kennzeichen ausblendet („blurring“) und so die Videodaten umfassend nutzbar macht. Sowohl Endkunden als auch Geschäftskunden sind deutlich sensibler gegenüber dem Datenschutz- und Sicherheitssetting der Anbieter digitaler Dienste geworden. Wie man so schön sagt: „Das Vertrauen der Kunden wird tröpfchenweise erworben und eimerweise verloren“.
Wenn Sie einen Wunsch an die Politik oder die Regulierungsbehörden frei hätten: Was sollte sich ändern, damit Sicherheit und Praktikabilität besser zusammenfinden?
Einzelne Regelwerke sollten besser aufeinander abgestimmt werden. Viele Anforderungen überschneiden sich, einige erscheinen gar widersprüchlich. Ferner sollte in der Abfassung von Gesetzen straffer und stringenter strukturiert werden. Oftmals sind ellenlange Erwägungsgründe zu den eigentlichen Vorschriften zu lesen und lassen an Klarheit und Bestimmtheit missen. Zudem sollte es mehr Durchführungsverordnungen wie die NIS-2-Durchführungsverordnung geben. Hier finden Normadressaten branchenspezifisch dedizierte Umsetzungshinweise und eine gute Handreichung zur Maßnahmengestaltung – das wäre für viele weitere Regularien wünschenswert.
TÜV Rheinland, Halle 9, Stand 346