Dies ist eine textuelle Zusammenfassung des Webinars „Cybersicherheits-Richtlinie NIS2“ der Wirtschaftskammer Österreich vom 15. Jänner 2024.
Verena Becker, WKÖ, und Robert Lamprecht, KPMG, informieren in diesem Webinar Netzbetreiber über die Umsetzung von NIS2. Moderiert wird das Webinar von Gerhard Haidvogel, Obmann Fachverband Telekom/Rundfunk.
Quellnachweis: Das Video finden Sie veröffentlicht auf YouTube unter https://www.youtube.com/watch?v=hgE-JGsro6w
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Inhalt NIS2 Webinar
Mit der neuen Cybersicherheitsrichtlinie NIS2 verschärft die EU-Maßnahmen und Meldepflichten bei IT-Sicherheitsvorfällen. Sie soll die Resilienz und die Reaktion auf Cyberangriffe des öffentlichen und des privaten Sektors verbessern. Betroffen von NIS2 sind Unternehmen aus wesentlichen und wichtigen Sektoren. Prinzipiell gilt die NIS2 Regelung für mittlere und große Unternehmen, es kann aber im Zusammenhang mit Tochtergesellschaften oder Lieferketten auch kleinere Unternehmen betreffen, das sind bis zu 15 000 heimische Betriebe denen bei Nichteinhaltung empfindliche Strafen drohen können. Bis 17 Oktober 2024 müssen die Betroffenheiten geklärt, Ressourcen eingeplant und Maßnahmen umgesetzt werden und angesichts des knappen Zeitrahmens und beschränkter Ressourcen gilt akuter Handlungsbedarf. Ist auch Ihr Unternehmen von NIS2 betroffen, machen Sie jetzt den Selbstcheck!
Vortrag von Gerhard Haidvogel
Gerhard Haidvogel, Obmann vom Fachverband Telekom/Rundfunk erklärt, dass aufgrund der rasant steigenden Anzahl an Cyberkriminalvorfällen im privaten, wie auch im beruflichen Umfeld, steigt die Anzahl von Cyberangriffen exponentiell an. Auch die Auswirkungen dieser Attacken werden immer dramatischer bis hin zu existenzbedrohlich. Um diesen Attacken entsprechend geschützt und vorbereitet begegnen zu können, hat die EU die NIS2 Richtlinie verabschiedet. Diesen Angriffen entsprechend geschützt entgegentreten zu können und im Falle des Falles zu wissen was zu tun ist, ist elementar wichtig für eine funktionierende Wirtschaft und Gesellschaft in Österreich.
Die Firma Kabel plus erhielt den NIS 1 Bescheid am 9 Dezember 2022 und haben erfahren, dass der einzige wesentliche Dienst, der betroffen ist, der DNS Resolver ist. Deswegen bereiten sie sich nun seit 6 Monaten schon auf die NIS2 vor und nehmen die NIS 1 Umsetzungen einfach mit.
Kabel Plus verschriftlichen und aktualisieren aktuell ihre Prozesse und Richtlinien und stellen die geordnete Freigabe der Implementierungen und Änderungen sicher. Sie passen ihr Asset Management an die Anforderungen an, auch ihr Riskmanagement muss entsprechend adaptiert werden.
Die NIS2 Anforderungen müssen nicht nur dokumentiert und implementiert, sondern auch gelebt werden. Dies wird mit regelmäßigen Audits sichergestellt, damit sie nach bestem Wissen und Gewissen und nach dem Stand der Technik geschützt sind und nicht zuletzt, um auch im Falle des Falles zu wissen was, wann zu tun ist und wer zu informieren ist.
Für Cyber Security und NIS2 wird dauerhaft ein zusätzliches Team von zwei bis drei Personen beschäftigt.
Vortrag von Dipl.-Ing. Robert Lamprecht, KPMG
Herr Dipl.-Ing. Robert Lamprecht von der KPMG gibt in den nächsten Schritten, einen kurzen Überblick, über das aktuelle Lagebild und wo denn die heimischen Unternehmen am Beginn des Jahres 2024 stehen.
Zurückblickend auf das Jahr 2023 kann man eindeutig festhalten, dass dieses Jahr im Punkto Cybersecurity definitiv in die Geschichtsbücher eingegangen ist. Denn gerade beim Thema Cybersecurity wurden heimischen Unternehmen die künstliche Intelligenz über die Nacht direkt vor die Haustüre gelegt, ungeplant und zum Teil natürlich auch aus Mangel an Alternativen, wie wir damit umgehen werden und welche weiteren Herausforderungen vor uns stehen werden, werden uns die nächsten 12 Monate zeigen.
Er erklärt, dass eines definitiv fix sei, wenn wir zurückblicken, aber auch in die Zukunft schauen, herrscht eine gewisse Form von Hektik in der Cyberwelt. Diese Hektik herrscht genau deshalb, weil wir eine gewisse Form einer Dysbalance haben. Eine Dysbalance, dass wir, wenn es um Produkte und Services geht, die wir erstellen, das Thema Features, also Funktionen, stark im Mittelpunkt stellen, aber dem Punkt Security nicht diese Aufmerksamkeit noch schenken, die es eigentlich benötigt. Das heißt also, der Appell oder der Schritt muss eigentlich sein, dass wir Features und Sicherheit ebenbürtig machen und vielleicht, wenn es sogar um die Aufwende geht bzw. um den Beitrag, den es leisten kann, hier sie sogar in gleicher Funktion bzw. im gleichen Umfang vorhanden sind.
Genau aus diesem Grund machen wir auch jedes Jahr unsere Cybersecurity Studie gemeinsam mit dem Kompetenzzentrum Sicheres Österreich, wo im letzten Jahr 903 Unternehmen aus Österreich geantwortet haben. Wir haben Gespräche mit Expertinnen und Experten geführt und sowohl Rückblicke wie auch gewisse Podcasts unter anderem auch mit Verena Becker von der WKÖ, gemeinsam und Roundtable Gespräche, um mehr zu wissen, wie es Unternehmen denn bei diesem Thema geht. Wenn wir auf die Zahlen blicken, so ist eines durchaus markant bzw. interessant im Vergleich zum Jahr 2022 haben Cyberangriffe im Jahr 2023 um mehr als 201% zugenommen, das heißt wir sprechen von einer Verdreifachung der Angriffe gegenüber den letzten 12 Monaten. Nun ist ein Angriff noch nicht immer gleich der Erfolg eines Cyberkriminellen bzw. eine Tätergruppe, aber jeder achte Cyberangriff auf die kritische Infrastruktur ist erfolgreich, das heißt Cyberkriminelle kaufen sich das sogenannte 7 +1 Paket, sieben Fehlversuche, der Achte wird dann erfolgreich sein. Im Vergleich dazu, über alle Unternehmen in unserer Population liegen wir bei jedem zehnten Angriff, das heißt die kritische Infrastruktur ist durchaus verwundbarer.
Welche Form von Angriffen haben wir nun hier besonders zu verzeichnen:
Fishing; dies hat jedes Unternehmen in den letzten 12 Monaten erlebt, das kennen wir, das liegt schon fast an der Tagesordnung.
Business E‑Mail Compromise oder CEO Fraud hatten 80% der Unternehmen im Bereich der kritischen Infrastruktur, hier liegen wir etwas unterhalb des österreichschnitts im Bereich des Angriffs. In Punkto Social Engineering, also der Manipulation oder der gezielten Beeinflussung liegen wir bei 56%.
Bei einem Punkt lässt es sich besonders aufhorchen, die kritische Infrastruktur und hier geht es um die Angriffe auf die Lieferketten. Denn jeder dritte Angriff zielt auf die Lieferketten ab und hier haben wir ein Plus von 21% in der Population, das heißt also hier ist definitiv Handlungsbedarf gegeben, damit wir es den Angreifer möglichst schwer machen.
Wie sieht es nun im Speziellen aus, wenn wir uns mit der kritischen Infrastruktur noch auseinandersetzen, womit beschäftigen sie sich. Nun, dass das Thema NIS2 Richtlinien hier schon angekommen ist, zeigen unsere Zahlen. Denn jedes zweite Unternehmen hat sich bereits damit beschäftigt. Eine große Herausforderung dabei ist aber vor allem die Absicherung der veralteten OT-Systeme versus die modernen Technologien. Hier sehen knapp die Hälfte der befragten Unternehmen, eine besondere Herausforderung und zu guter Letzt gerade dann, wenn es um die Verantwortung geht, sehen 17% die Verantwortung für Sicherheitsmaßnahmen gerade bei den OT-Systemen bei den Herstellern oder Lieferanten. Aber hier gilt’s genau anzusetzen, damit die Verantwortung auch im eigenen Haus bleibt, denn die Verantwortung kann ich natürlich nicht an den Lieferanten übertragen.
Eine große Herausforderung dabei ist aber vor allem die Absicherung der veralteten OT-Systeme versus die modernen Technologien. Hier sehen knapp die Hälfte der befragten Unternehmen, eine besondere Herausforderung.
Dipl.-Ing. Robert Lamprecht, KPMG
Sehen wir uns noch zum Abschluss, das Lagebild an, was sehen Unternehmen als normales Tagesgeschäft, also was sind Dinge, mit denen sie sich schon regelmäßig auseinandersetzen und so sehen wir, dass wir im Jahr 2023 Fishing als normales Tagesgeschäft sehen, an erster Stelle, gefolgt vom CEO Fraud und den DDoS Attacken also Distribut Denial of Service Angriffe wo es darum geht, mit Überlastangriffen mehr oder weniger unsere Infrastruktur in die Knie zu bekommen.
Woran wir allerdings sehen, dass es nicht einfacher geworden ist, sondern ganz im Gegenteil, anspruchsvoller geworden ist, das unterstreichen wiederum die Zahlen unserer besonderen Herausforderungen und so sehen wir, dass wir eine Veränderung gehabt haben, nämlich das staatlich oder staatlich unterstützte
Akteure und Angriffe hier dominieren. Gefolgt von Platz 2 der Ransomware und Platz 3 dem Insider Thread einem, der in der Vergangenheit etwas unterschätzten Phänomen, denn gerade auch der Innentäter ist beim punkto Cyberangriffen nicht außer Acht zu lassen, denn er kann die Möglichkeit und die Gelegenheit nutzen um hier entsprechend auch Kontrollschwächen und Kontrolllücken ausnützen. Also die Zahlen zeigen, dass sich Unternehmen damit beschäftigen und auseinandersetzen, aber allerdings sehen wir auch noch, dass es einiges an Handlungsbedarf gibt und das natürlich auch eine der Folgen ist, warum seitens des Gesetzgebers die NIS2 Richtlinie nun ins Leben gerufen wurde.
Vortrag von Wolfgang Schwabel, A1
Wolfgang Schwabl, Cyber Security Officer und Chief Security Officer von A1 schildert: Im Jahr 2020 hatten wir leider Gottes eine Cyberattacke, die Angreifer haben uns gehackt, die Beseitigungsmaßnahmen des Schadens waren schon enorm. Das Schwierigste ist, der Vertrauensverlust, den man hat. Wir sind der größte Provider, wir sind Teil der kritischen Infrastruktur und wenn das nicht funktioniert, dann ist das ein volkswirtschaftlicher Schaden für Österreich. Hätten wir NIS2 implementiert, zum Zeitpunkt 2020, dann hätten wir den Cyberangriff nicht so gehabt, wie er passiert ist. Je mehr Unternehmen cybermäßig geschützt sind, desto resilienter ist unsere Gesellschaft gegen Cyberangriffe. Man hofft halt, so wie bei einem Brand, dass nie etwas passiert, aber das stimmt nicht im Cyberspace, früher oder später kommt jeder dran.
„Hätten wir NIS2 implementiert, zum Zeitpunkt 2020, dann hätten wir den Cyberangriff nicht so gehabt, wie er passiert ist.“
Wolfgang Schwabl, A1
Vortrag von Mag. Verena Becker, WKÖ
Frau Mag. Verena Becker, WKÖ: Wie gerade vom Wolfgang Schwabl von der A1 gehört, je mehr Unternehmen geschützt sind, desto cyberresilienter ist unsere Gesellschaft. Als Ganzes und genau das ist auch der Grund, warum es die NIS2 Richtlinie gibt. Dreimal mehr Angriffe war in der KPMG-Studie zu sehen, das heißt, dass wir im Bereich Cyber Security wirklich aufholbedarf haben um den Cyberkriminellen auch etwas entgegenzusetzen zu können.
Wo stehen wir mit der Gesetzgebung jetzt, nun 2016 hat es die erste, sogenannte NIS-Richtlinie gegeben, aufgrund derer dann das österreichische NIS Gesetz 2018 verabschiedet wurde. Vor genau einem Jahr im Jänner wurde vom EU- Gesetzgeber die NIS2 Richtlinie verabschiedet. Offen ist nun noch die nationale Umsetzung, dass heißt, die Vorgabe der NIS2 Richtlinie ist es, dass die Mitgliedstaaten, sprich der österreichische Gesetzgeber bis 17. Oktober 2024 ein entsprechendes Gesetz ein NIS2 Gesetz oder Cybersicherheitsgesetz verabschieden, das dann direkt für die Unternehmen gilt. Ich darf dringend raten, nicht auf das Gesetz zu warten. Dieses Gesetz wird in wesentlichen Teilen die Richtlinien, wirklich eins zu eins fast abschreiben. Die Unternehmen brauchen Zeit für die Implementierung der Maßnahmen, das heißt bitte warten Sie nicht auf das Gesetz, starten Sie jetzt damit. Auch die Cyberkriminellen warten nicht, bis die Gesetzgeber hier tätig sind.
Ich darf dringend raten, nicht auf das Gesetz zu warten. Dieses Gesetz wird in wesentlichen Teilen die Richtlinien, wirklich eins zu eins fast abschreiben.
Mag. Verena Becker, WKÖ
Was ist NIS2 überhaupt, NIS steht für die Sicherheit von Netz und Informations-Systemen, wie gesagt, handelt es sich um eine Richtlinie, das heißt die Richtlinie muss zuerst in ein nationales Gesetz umgesetzt werden, dann ist es für Sie als Unternehmen verbindlich. Was ist der Kern der Richtlinie, nun Risikomanagement Maßnahmen und wenn etwas passiert, wenn Sie einen sicherheitsrelevanten Vorfall haben, dann müssen Sie das bei der NIS-Behörde melden. Wichtigste Frage immer, bei den Unternehmen, bin ich überhaupt betroffen. Nun ganz allgemein sind große und mittlere Unternehmen bestimmter Sektoren betroffen, wenn sie jetzt in einem kleinen Unternehmen tätig sind mit weniger als 50 Mitarbeitern, bitte noch nicht aufatmen, denn es gibt auch hier Ausnahmeregelungen, vor allem im Bereich der digitalen Infrastruktur. Sprich bei den Netzbetreibern sind auch kleine Unternehmen betroffen, indirekt betroffen sind auch die Lieferketten wie wir gehört haben. Ein Drittel der Angriffe der Cyberattacken zielen bereits auf die Lieferkette ab und deswegen hat der Gesetzgeber entsprechend in den NIS2 Richtlinie diese aufgenommen. Wie gesagt, das Gesetz liegt noch nicht vor, bitte alle Informationen natürlich noch vorbehaltlich. Die nationale Umsetzung in ein Gesetz sind noch offen z.B. wie werden sich die Unternehmen registrieren müssen. Aber die wesentlichen Inhalte, wie die zehn Risikomanagement Maßnahmen, Meldepflichten, dass etwas getan werden muss, das liegt vor, da ist jetzt Handeln gefragt.
Grundsatzfrage, bin ich betroffen, ja wenn sie Netzbetreiber sind, dann sind sie betroffen. Aber warum und wie, wenn wir in die Richtlinie hineinschauen, in den Artikel 2, dann steht hier, die Richtlinie gilt für öffentliche oder private Einrichtungen, der in den Anhängen 1 und 2 genannten Art. Ich weise sie darauf hin, dass die Wörter öffentliche oder private Einrichtungen stehen , es steht hier nicht Unternehmen oder GmbHs, aber es könnten beispielsweise genauso Genossenschaften oder Vereine, die unter die NIS2 Richtlinie fallen. Schauen wir uns jetzt an, was das bedeutet, alle Sektoren, die mit hoher Kritikalität betroffen sind. Im Anhang 2 finden wir die sonstigen und eben auch die digitale Infrastruktur, nun was sind jetzt digitale Infrastrukturen. Das ist ein relativ breiter Begriff, digitale Infrastruktur ist unter anderem auch Anbieter öffentlicher, elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste. Genau um die geht es heute, sie haben grundsätzlich gehört, dass sich NIS2 an mittlere oder große Einrichtungen richtet, aber die Richtlinie sagt eben ausdrücklich, dass genau diese Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder elektronischen Kommunikationsdiensten unabhängig von der Größe betroffen sind. Dies bedeutet, dass hier auch kleine Netzbetreiber in den Anwendungsbereich der Richtlinie fallen bzw. in Zukunft des Gesetzes. Noch einmal zusammengefasst, wenn sie Netzbetreiber sind und in einem kleinen Unternehmen tätig sind, dann sind sie eine sogenannte wichtige Einrichtung. Nach NIS2, was ist nun ein kleines Unternehmen; kleines Unternehmen definiert die EU Empfehlung als ein Unternehmen bis zu 49 Beschäftigte und bis zu 10 Millionen Jahresumsatz oder Jahresbilanzsumme. Wenn sie ab 50 Beschäftigte im Unternehmen haben, es geht um Vollzeitangestellte, oder mehr als 10 Millionen Jahresumsatz haben, dann sind Sie bereits ein mittleres oder großes Unternehmen und dann sind sie eine sogenannte wesentliche Einrichtung nach der NIS2 Richtlinie.
Nun was ist jetzt dieser Unterschied, wichtige und wesentliche Einrichtung und wie sind die Größenschwellen. Falls sie sich da noch nicht auskennen, kann man Einzelfallprüfung, die man anhand dieser Empfehlungen der EU-Kommission durchführen.
Zur Orientierung klicken Sie sich bitte durch unseren Online Ratgeber ratgeber.wko.at/nis2, dort haben sie zwei bis fünf Klicks und sie bekommen eine Ersteinschätzung, ob Sie betroffen sind oder ob sie eine wichtige Einrichtung oder sogar wesentliche Einrichtung im Sinne der NIS2 Richtlinie sind.
Anmerkung SEC4YOU: Wir haben unter folgendem Link https://www.sec4you.com/nis2-entscheidungsbaum/ eine Entscheidungsmatrix erstellt, die auf einen Blick die NIS2 Betroffenheit darstellt.
Was bedeutet diese Unterscheidung, wesentliche Einrichtungen, ab mittlerer Unternehmensgröße, sprich ein Netzbetreiber ab 50 Beschäftigten oder ab 10 Millionen Jahresumsatz. Was bedeutet das, die Risikomanagement Maßnahmen sind an und für sich Größen unabhängig, zu sehen, je nach Risiko. Allerdings gibt es bei der Aufsicht und bei den Sanktionen Unterschiede, wenn Sie eine wesentliche Einrichtung sind, dann unterliegen sie einer vorab Aufsicht einer sogenannten „ex-ante“ Aufsicht, das heißt die Behörde kann sie jederzeit kontrollieren kann Stichproben, Kontrollen machen, kann auch jederzeit Sicherheit Scans und ähnliches durchführen. Ganz wichtig, sie werden sich regelmäßig, voraussichtlich alle drei Jahre, einem Audit unterziehen müssen. Das heißt, sie suchen sich einen NIS2 Auditor, ein entsprechend legitimiertes Unternehmen und beauftragen dieses Unternehmen sie zu prüfen.
Wo gibt’s noch einen Unterschied bei den Sanktionen, wesentliche Einrichtungen haben eine Sanktionshöhe bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes. Kleine Netzbetreiber hingegen werden nur „ex-post“ kontrolliert, das heißt, nur bei einem begründeten Verdacht, also wenn sich Verdachtsmomente ergeben. Beispielsweise durch eine große Cybersicherheitsattacke die Medial aufschlägt, dann kann die Behörde kontrollieren. Kommen aber nicht jederzeit vorab und als kleines Unternehmen müssen sie auch keine regelmäßigen Audits durchführen lassen. Auch die Strafhöhen sind entsprechend reduziert. Wir hoffen natürlich, dass es gar nicht dazu kommt muss, sondern dass dies wirklich nur die ultima ratio sein wird.
Was müssen sie also tun, was ist der Kern der NIS2 Richtlinie. Der allererste Schritt vorbehaltlich des Gesetzes, das wir noch sehen werden ist, sie müssen sich als Unternehmen selbst einstufen. Das heißt, sie müssen für sich selbst erkennen, falle ich in den Anwendungsbereich der NIS2 Gesetzgebung oder nicht, wie gesagt, wenn sie Netzbetreiber sind, dann fallen sie ganz klar hinein. Sie müssen auch bei der Registrierung sagen, ob sie wesentlich oder wichtige Einrichtung sind, wie gesagt, wesentliche Einrichtung ab mittlerer Unternehmensgröße. Derzeit gibt’s aufgrund der jetzigen NIS 1 Gesetzgebung einen Bescheid, so wie wir vorher auch gehört haben, dass beispielsweise Kabel plus einen Bescheid erhalten haben, das hat die NIS 1 Gesetzgebung betroffen. Hier waren 99 Unternehmen in Österreich der kritischen Infrastruktur betroffen, die ganz klar einen rechtlichen Bescheid bekommen haben, die unter NIS 1 gefallen sind. In Zukunft wird sich das ändern, wir rechnen mit einem wesentlich höheren Betroffenen Kreis, mit ca. 4000 Unternehmen die direkt betroffen sind und diese müssen sich selbst einstufen und werden sich dann auch registrieren müssen.
Was bedeutet NIS2 im Unternehmen, es betrifft drei ganz große Themenbereiche, zuerst einmal natürlich die Risikomanagement Maßnahmen, denn bei erheblichen Sicherheitsvorfällen müssen sie das an die NIS Behörde melden. Wir kennen ähnliches schon von der Datenschutzbehörde mit der DSGVO und wir haben auch eine Verantwortlichkeit des Topmanagements.
Zu den Risikomanagementmaßnahmen wird uns Robert Lamprecht dann noch einiges im Detail beschreiben, wie sie das im Unternehmen am besten umsetzen können, wie sie das angehen können. Die Richtlinie nennt die sogenannten „Big Ten“, also zehn Risikomanagementmaßnahmen. Dies ist, an und für sich für Leute, die sich mit Informationssicherheit befassen nicht viel Neues, es ist aber natürlich trotzdem für viele Unternehmen eine große Herausforderung.
Wichtig ist, die Risikomanagement Maßnahmen sind nach dem Stand der Technik, nach den geltenden Normen und auch dem Risiko und den Kosten angemessen zu setzen. Ein Punkt ist besonders wichtig, dass ist die Sicherheit der Lieferkette, aber auch dazu werden wir dann noch im Detail etwas hören.
Was mache ich, wenn ich einen erheblichen Sicherheitsvorfall habe, hier habe ich ein dreistufiges Meldeverfahren, anders als nach der Datenschutzgrundverordnung, muss die Behörde sofort verständigt werden, denn diese hat ein sehr hohes Interesse, sehr schnell zu erfahren, ob es Sicherheitsvorfälle gibt, da man hofft, hier auch andere Marktteilnehmer warnen zu können oder unterstützen zu können.
Das heißt, die erste Frist ist eine Frühwarnung, die soll möglichst schnell an die Behörde erfolgen, bis maximal 24 Stunden nach Kenntnis, also eine sehr sportliche Frist, überhaupt wenn man natürlich bedenkt, dass die Cyberkriminellen gerne zur Unzeit angreifen. Wenn ein Cybersicherheitsvorfall am 25. Dezember um 0 Uhr passiert, kann man sich vorstellen, wie schwierig es ist auch diese Fristen einzuhalten. Bis zu 72 Stunden nachher müssen Sie schon eine fundiertere Meldung abgeben, also eine erst Bewertung des Sicherheitsvorfalls, ja welche Kompromittierungsindikatoren habe ich, wie schwer ist der Vorfall, auch eine fundiertere Einschätzung, ob es sich hier um eine Cyberattacke handelt oder ob ich einen anderen Vorfall habe.
Bis zu einem Monat nach der ersten Meldung muss ich eine Abschluss Meldung abgeben bzw. leider wissen wir, dass viele Cyberattacken die Unternehmen durchaus länger als einen Monat beschäftigen. Dann müssen sie nach einem Monat einen Zwischenbericht mit einer ausführlichen Beschreibung, was sie als Abhilfemaßnahmen gesetzt haben, abgeben.
Ein wichtiges Kapitel in der NIS2 Richtlinie ist Governance, es war dem NIS2 Gesetzgeber hier offenbar wirklich ein Anliegen, dass man die Leitung des Unternehmens in die Pflicht nimmt. Das Cybersecurity wirklich zu Chefinnen- und zur Chefsache macht und hier auch die Verantwortlichkeit des Topmanagements ernst nimmt. Es ist beispielsweise auch statuiert, dass sich das Topmanagement Schulungen im Bereich Cyber Security unterziehen muss. Was ist nun das Topmanagement, was ist das Leitungsorgan, wie es die NIS2 Richtlinie nennt. Dies ist klassisch, bei der GmbH der Geschäftsführer und der Prokurist wäre
Es war dem NIS2 Gesetzgeber hier offenbar wirklich ein Anliegen, dass man die Leitung des Unternehmens in die Pflicht nimmt. Das Cybersecurity wirklich zu Chefinnen- und zur Chefsache macht.
Mag. Verena Becker, WKÖ
Bei der Aktiengesellschaft gemeint, der Vorstand aber auch durchaus der Aufsichtsrat. Mit Leitungsorgan ist das Topmanagement gemeint, das hier in die Verantwortung genommen wird, es ist aber nicht gemeint, dass das der IT-Leiter ist. Beispielsweise geht es darum, dass derjenige in die Pflicht genommen wird, der auch strategisch die Entscheidungen trifft, der auch personelle oder finanzielle Ressourcen dafür zur Verfügung stellen kann oder muss.
Was ist, wenn ich nichts tue, ist eine Frage, die ein bisschen hinter vorgehaltener Hand gestellt wird, nun wir sind vorher schon kurz auf die Sanktionen eingegangen, wie bei der Datenschutzgrundverordnung, nur wer die Strafen kennt, weiß die sind beachtlich, bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Das sind immer noch ordentliche Strafbrocken und wie gesagt, ich habe auch eine persönliche Haftung für die Leitungsorgane, wobei was ist, wenn ich nichts tue. Ich glaube, die allergrößte Gefahr sind natürlich Cyberattacken und letztendlich gilt es sich vor denen zu schützen, denn hier kann ich natürlich nicht auf das Prinzip beraten, statt auf Strafen zu hoffen, denn die Cyber Kriminellen holen sich das Geld dort, wo sie es bekommen, und sind gnadenlos.
Das waren prinzipiell die wichtigsten legistischen Inhalte, die Behörden die zuständigen für NIS sind, sind derzeit Bundeskanzleramt für die strategische Ausrichtung und auch das BMI für die operative Ausrichtung. Hier werden auch E‑Mailadressen zwecks offenen Fragen oder Feedback entgegengenommen. Die Wirtschaftskammer sieht sich natürlich als ihre hoffentlich ersten Ansprechpartner, sie finden auf der Website wko.at/nis2 dazu alle Informationen, die Ihnen genannt wurde, sie finden auch Webinar Aufzeichnung, oder den Online Ratgeber IT-Security Experten und sie finden generell zu Cybersicherheit auch auf der Seite IT- safe. at laufend Tipps, Informationen und Tools, die Sie nutzen können und gerne in Anspruch nehmen können.
Ein Tipp von Fr. Mag Becker: bitte nutzen Sie die Gelegenheit, bereiten Sie sich rechtzeitig vor! Sie haben noch durchaus einige Monate, um ihr Unternehmen auch Cyber-Fit zu machen.
Vortrag von Robert Lamprecht, KPMG
Wie machen wir unser Unternehmen Cyber-Fit, welche Risikomanagement Maßnahmen müssen getätigt werden, um eine Portion Mehr an Sicherheit erreichen zu können?
Denn es ist kein 100 m Lauf, sondern es ist eher ein Marathon den wir laufen müssen, aber genau deshalb ist es jetzt eben der richtige Zeitpunkt anzufangen bzw. loszulegen, um einfach ständig immer besser und besser zu werden.
Als nächstes möchten wir Ihnen einen Blick auf die großen Zehn geben, das war nicht nur eine legendäre Chart Show mit Udo Huber, sondern auch die Top-Maßnahmen die wir uns im Punkt NIS2 und im Punkte der Risikomanagement-Maßnahmen anschauen müssen. Also die Hitliste der Herausforderungen, um die es geht, die sie als Unternehmen auf dem Radar bzw. im Blick haben sollten. Eine der wichtigsten Punkte, auch wenn es vielleicht für manche wie etwas Altes hervorgekramtes klingt, ist das Risikomanagement und die Risikomanagement-Maßnahme, es ist gut zu wissen, was sollte ich denn eigentlich schützen.
Wir alle sprechen vom Fachkräftemangel, wir alle wissen, dass wir in den Unternehmen zu wenig Ressourcen haben, aber irgendwie ob der Fülle der Themen überrascht und überrannt zu werden, aber genau hier startet die Risikoanalyse und das Risikomanagement an, um die Prioritäten zu setzen. Was sind denn die Bedrohungen mit denen ich es als Unternehmen zu tun habe, wo liegen denn meine besonders schützenswerten Güter und mit welcher Methode möchte ich denn eigentlich das Risikomanagement machen. Das Risikomanagement stellt eigentlich die Basis dar, mit der wir alle nachfolgenden Maßnahmen und Aktivitäten aufbauen können und eine der wesentlichen Schritte bzw. bei Audits ist immer einer der wesentlichen Frage, welche Risiken haben sie und haben sie diese strukturiert erfasst und strukturiert verarbeitet. Also achten Sie darauf, dass Sie hier auf bestehende Werkzeuge, wie die ISO 27005 als Framework verwenden, aber es gibt auch viele andere wie den ISO Standard of Good Practice Kram oder viele mehr, wichtig ist, sie haben eine Methode nach der sie strukturiert abarbeiten können. Gerade beim Risikomanagement ist es auch entscheidend, Risiko Akzeptanz Kriterien festzulegen, das heißt ab welcher Schwelle sagen sie, hier wäre der Aufwand viel zu hoch um das Risiko zu kompensieren, denn der Schaden der entsteht, steht eigentlich nicht der Maßnahme gegenüber. Also eine Daumen-mal-Pi-Regel wird hier zu wenig sein, aber strukturiert und dokumentiert wird das Ganze nachvollziehbar, damit sie dem Prüfer und der Behörde gegenüber argumentieren können, warum sie diese bewusste Entscheidung getroffen haben. Das Risikomanagement unterstützt uns dabei, die Nachvollziehbarkeit der bewussten Entscheidungen zu dokumentieren, aber auch in weiterer Folge Prioritäten zu setzen, wo wir die Verbesserungsmaßnahmen ansetzen wollen bzw. wo wir denn unsere verfügbaren Ressourcen, unsere verfügbaren Mitarbeiterinnen und Mitarbeiter, denn ins Rennen schicken wollen, um Verbesserungen zu erstellen.
Das Risikomanagement unterstützt uns dabei, die Nachvollziehbarkeit der bewussten Entscheidungen zu dokumentieren, aber auch in weiterer Folge Prioritäten zu setzen.
Robert Lamprecht, KPMG
Im ersten Schritt empfiehlt es sich, Qualitativ zu machen, das heißt eine qualitative Methode mittels Eintrittswahrscheinlichkeit und Schadenshöhe, ist hier ein guter Schritt und wenn Sie schon etwas Übung darin haben, gehen Sie den nächsten Schritt und machen sie es quantitativ. Legen Sie auch wirklich finanzielle Werte dahinter, versuchen Sie es reell zu bewerten, damit Sie den Schaden auch gut quantifizieren können. Jetzt haben wir uns mit dem Risikomanagement im ersten Schritt auseinandergesetzt und wir wissen ungefähr in welchen Risikospielfeld wir uns befinden, wo wir uns bewegen und wir wissen nun auch, in welchem Umfeld wir tätig sind.
Im zweiten Schritt müssen wir unsere Überlegungen anstellen, um zu sehen, wie reagieren wir denn darauf, was sind unsere Antworten auf diese Risiken und Fr. Mag Becker hat schon vorher berichtet, es gibt auch eine gewisse Verantwortung der Geschäftsführung. Das Leitungsorgan wird viel stärker eingebunden, deshalb brauchen wir auch diese sogenannten Policies, es braucht diesen tone from the top, es braucht die Unterstützung durch die Geschäftsführung, die auch hier definiert, was wollen wir denn bzw. was ist uns wichtig. Das heißt in welcher Kultur bewegen wir uns, welche Ziele verfolgen wir im Punkt Sicherheit und das manifestiert sich in dieser Enterprise Information Security Policy. Das ist quasi der erste Schritt um dann in weiterer Folge in die technischen Details einzusteigen und von dieser Policy ausgehend, gehen wir Schritt für Schritt. Weiter gehen wir zu den Standards, das heißt, welche Minimum Security, welche Minimum Security Standards haben wir, denken wir hier zum Beispiel an minimale Passwortlänge. Ich weiß, acht Zeichen tut manchen schon jetzt weh, aber benötigen würden wir 12 oder 14 Zeichen vielleicht, oder wie oft wollen wir Passwörter wechseln oder welche Betriebssysteme verwenden wir und vieles, vieles mehr. Also das manifestiert sich da drinnen. In weiterer Folge geht’s um die Ableitung der Procederes , das heißt wie sind unsere Handlungsanweisungen wenn wir z.B. auf einen Sicherheitsvorfall drauf kommen. Was sind da die ersten Schritte oder aber Sie haben z.B. eine Netzinfrastruktur und haben dort bei ihren Switches wo sie die Call Data Records Erfassung zu machen Updates durchzuführen, wie machen Sie denn das diese Updates damit sie keine operativen Ausfälle haben oder das Ganze auch nachvollziehbar ist und dem Change Management folgt.
Hier ist ein wichtiger Appell, Policies gehören dokumentiert und freigegeben, es nützt Ihnen nichts, wenn Sie eine Policy irgendwo liegen haben und sagen, ja da ist der Zettel, wo alles drauf steht, aber auf die nächste Frage dann, hat das die Geschäftsführung freigegeben, sie nachdenklich in die Luft schauen. Dann wird das zu wenig sein, das heißt, Policies gehören freigegeben, Policies gehören auch regelmäßig reviewt und mit einer entsprechenden Dokumentenlenkung versehen, also achten Sie auch auf die Dokumentenlenkung, die wir aus Standards wie ISO 9000 oder ähnliches kennen. Das mag vielleicht etwas aufwendig sein, aber es gehört dazu, damit hier die entsprechenden Voraussetzungen geschaffen werden. Eines der großen leidigen Themen, die wir natürlich im Punkto Security haben, dass die Angreifer unsere Schwachstellen ausnutzen bzw. schauen wie kommen Sie zu uns rein und das passiert dann am besten, wenn wir unsere Systeme vielleicht nicht ganz aktuell halten. Deshalb brauchen wir sichere Systemkonfigurationen und in Analogie des Films „Catch me if you can“ muss die Devise bei uns im Punkto Security lauten „Patch me if you can“! Also regelmäßiges Update, regelmäßige Härtung der Systeme und einmal im Jahr oder einmal im Halbjahr einen Patch einzuspielen wird nicht reichen. Das ist definitiv zu wenig, denn wir wissen, dass pro Quartal im Schnitt 9000 neue Stellen bekannt werden, die multipliziert man mal der Anzahl der Assets, da kommt schon ein ganz schönes Risiko zusammen. Also Systeme patchen, aktualisieren und auch Vulnerability Scans also Schwachstellen Scans machen, um ihren Footprint von außen, ihre Risiko Expositur, sehen. Das kann auf jeden Fall helfen und ist auf jeden Fall ein sehr wichtiger Schritt. Jetzt kann es natürlich gerade bei exotischeren Systemen oder bei sehr spezifischen Systemen den Umstand geben, dass sie nicht in der Lage sind die Systeme zu patchen, weil der Hersteller dann nicht mehr die entsprechende Wartung oder den entsprechenden Support gewährleistet bzw. kann die Systemstabilität nicht mehr garantieren.
Dann gilt’s im Punkt des Risikomanagements vielleicht über alternative Maßnahmen nachzudenken das könnte z.B. sein, dass wir diese Systeme in eigene Zonen oder in eigene Netzwerksegmente reinziehen und dann mit entsprechenden Sicherheitsmaßnahmen, hier auch wiederum Netzwerkverkehr filtern bzw. analysieren um hier z.B. auch kompensierende Maßnahmen zu machen. Wenn sie Kabelnetzbetreiber sind und Kabelmodems haben auch z.B die Modems regelmäßig zu aktualisieren und achten darauf, das auf diesem Modems nicht irgendwelche Dienste laufen von denen sie nicht Bescheid wissen und auf einmal gibt’s da vielleicht einen telnet Dienst oder einen alten SSH Dienst der usgenutzt werden kann, weil er Schwachstellen hat. Also gerade hier, sichere Systemkonfigurationen in Form von Minimum Security Baselines festzuhalten ist eine ist ein wichtiger Schritt die Produkthersteller, die großen Produkthersteller haben hier auch einige Empfehlungen, sonst gibt’s noch CIS Benchmarks und andere Quellen auf die sie zurückgreifen können. Aber auch der BSI Grundschutzkatalog bietet hier auch einige technische Details anhand derer Sie die Systemkonfiguration härten können bzw. für sich selbst das passende raussuchen können. Aber Achtung, bitte nehmen Sie es wirklich hier ernst, denn genau hier ist einer der Eintrittspunkte die Angreifer ausnutzen wie z.B. nicht gepatchte Firewalls, die dann als Einfallstor dienen, um Ransomware im Unternehmen zu verteilen.
Es ist mühsam, ja es ist anstrengend, ja es braucht Ressourcen, aber es ist die Grundlage, die die Verfügbarkeit und die Existenz für die IT-Systeme und für unsere Infrastruktur garantiert. Ein weiterer wichtiger Aspekt und ein weiterer wichtiger Punkt gerade aus der operativen Sicht heraus ist auch die Netzwerk Segmentierung, das heißt die Unterteilung der Netzwerke in unterschiedlichste Zonen und Segmente, damit wir hier den Datenverkehr entsprechend filtern und segmentieren und auch steuern können. In Punkto Verwaltung und Administration ist ein flaches Netzwerk natürlich etwas sehr Angenehmes. Wir sollten uns allerdings im Jahr 2024 überlegen, ob das noch Standardtechnik und zeitgemäß ist. Wenn sie argumentieren, ein flaches Netz, das passt und wir haben es im Griff, dann brauchen sie schon sehr gute Argumente, um das durchzustehen. Denn eigentlich führt heute kein Weg mehr an einer durchgehenden Netzwerk Segmentierung vorbei, wo sie Clients und Server und vieles mehr in unterschiedlichste Zonen aufteilen können. Auch das tiering Konzept, das heißt Tier Zero, der innere Kern, wo die Existenz oder die existenziellen Systeme drinnen sind, da sprechen wir von DNS von DHCP, von einem Active Directory bis hin zu den Applikationen, die weiter draußen stehen. In dem Tier Konzept dann entsprechend teilen und zwischen den einzelnen Zonen hier, die Netzwerk, den Netzwerkverkehr filtern und analysieren. Also analysieren und Filtern nicht nur auf Ebene von Paps also wireshark Netzwerk Traffic, sondern auch auf flowebene wo sie wirklich den gesamten netflow oder mit netflow Daten potentielle Angreifer erkennen können.
Aus der eigenen Praxis kann ich Ihnen nur sagen, die Übergabepunkte oder Übergangspunkte zwischen den Zonen sollten sehr wohl gut gefiltert sein, denn genau hier wollen Sie ja wissen, ob ungewünschter Verkehr herrscht, damit sie dann relativ rasch auch wieder einen Sicherheitsvorfall auslösen können, um den Benachrichtigungen oder um den Meldepflichten entsprechend nachzukommen.
Es ist komplex, ja es ist kompliziert, aber schon mit kleinen und einfachen Schritten kommen wir hier zum Ziel und können wieder dazu beitragen eine Spur sicherer und besser zu werden. Neben der Netzwerk Segmentierung ist natürlich das leidige Thema, der Verwaltung der Berechtigungen, des Berechtigungsmanagement und das Wachsen von Cloud Diensten, ob der Einbeziehung von Cloud Lösungen natürlich mit extremer Komplexität behaftet, aber wir können auch hier wieder mit einfachen Mittel und mit einfachen Schritten, wieder die Sicherheitsniveaus erhöhen. Das beginnt bereits damit, dass Administratoren nicht mit ihrem herkömmlichen User- Account diese Tätigkeiten durchführen, das heißt hier eine strikte Trennung von normaler Office Tätigkeit und Systemadministration. Wieder im Einklang mit dem Tiering Konzept. Ein gesteuertes und nachvollziehbares Berechtigungs- und Benutzer-Management. Wann hat wer welche Berichtigungen bekommen, wann ist wer eingetreten, wann ist wer ausgeschieden und vieles mehr. Das ganze natürlich auch noch gemonitort, das heißt regelmäßig geprüft ob die Berechtigungen noch stimmen und richtig sind und bitte machen sie das nicht nur für das Rechnungslegungssystem oder dort, wo sie ihre Buchhaltungsdaten haben, sondern auch in der gesamten Netzinfrastruktur, wenn sie auch z.B. Core, Core Switches oder den Core Backbone Monitoren wollen. Sie wollen ja wissen, ob einer ihrer System Accounts kompromittiert wurde. Darüber hinaus haben wir uns an Benutzernamen und Passwort gewöhnt und Multifaktor Authentifizierung ist heute
einfach unumgänglich, denn es stellt den zusätzlichen Schutz dar, wenn unsere Zugangsdaten kompromittiert wurden. Hier führt also kein Weg mehr daran vorbei, dass wir Multifactor Authentication entweder mit einer Multifaktor-App machen oder mit einem Yubikey oder mit einem zweiten Device . Was auch immer nötig ist, um hier einfach noch mehr Sicherheit zu haben, um hier die Schranken und die Hürden oder die Hemmschwelle für die Angreifer nochmals zu erhöhen. In vielen Sicherheitsvorfällen wäre eine funktionierende Multifactor Authentication der Schlüssel zum Erfolg gewesen, dass der Angreifer nicht weitergekommen wäre.
Und last but not least, damit sie diese Berechtigungsverwaltung auch übergreifend machen können, ist es einfach entscheidend, dass sie eine vollständige Asset Übersicht haben, wir sprechen hier von der Inventur. Durchgehen und Equipment zählen, wie viele Kabelmodems haben Sie, wie viele Core Switches haben Sie, wie viele VM-Instanzen haben Sie, wie viele Cloud Subscription haben Sie. Allein hier nur mal den Überblick zu haben und den Fokus und Scope zu kennen, auf den sie ihre Kontrollen und Maßnahmen anwenden müssen.
Gerade wenn es um die Digitalisierung geht, vergessen wir hin und wieder auch dass die physische Sicherheit einen entscheidenden Beitrag ist, das heißt der unerlaubte Zutritt zu Asset, der unerlaubte physische Zugriff zu Asset, wird etwas unterschätzt und gehört einfach heute auch mit dazu, dass wir physische Zutritte entsprechend reglementieren und einschränken. Das heißt nicht nur in unserem 19 Zoll Rack die Dinge einsperren, sondern auch über Zutritts Schlösser, über Videoüberwachung und vieles mehr. Hier für einen hinreichenden Zutritts Schutz sorgen und dass wieder natürlich protokolliert und nachvollziehbar, damit wir einfach wissen, wer wann, zu welchem Zeitpunkt dort war. Gerade dann allerdings wenn ich weg bin von zentralen Systemen, wenn ich weg bin von meiner zentralen Infrastruktur und eher in unterschiedliche Standorte gehe, wenn ich irgendwelche Wahlämter oder Verteilstellen habe, wo ich meinen Datenverkehr weiterleite, gilt es auch einen hinreichenden Zugriffsschutz zu haben.
Es kann z.B. sein, dass wenn jemand den Verteilschrank öffnet, irgendwo ein Alarm losgeht oder aber, dass das Häuschen entsprechend Video überwacht ist, also denken Sie auch, dass physische Sicherheit auf den exponierten Standorten und exponierten Locations einfach unabdingbar ist. Natürlich entsprechend da der Aufwand, entsprechend des Risikos und entsprechend der Kosten.
Allerdings wird der Tag kommen, an denen wir den Ernstfall haben. Den Ernstfall, wo wir schnell und rasch reagieren müssen. Deshalb ist es umso wichtiger, dass wir uns neben einem geordneten Prozess, neben einer geordneten Richtlinie hier auch den entsprechenden Vorfall üben.
Robert Lamprecht, KPMG
Jetzt können natürlich nicht alle unsere Dinge und Aktivitäten dazu beitragen, dass wir Cyberangriffen vorbeugen, also Prävention ist zwar ein gutes Mittel, es ist zwar wichtig, allerdings wird der Tag kommen, an denen wir den Ernstfall haben. Den Ernstfall, wo wir schnell und rasch reagieren müssen. Deshalb ist es umso wichtiger, dass wir uns neben einem geordneten Prozess, neben einer geordneten Richtlinie hier auch den entsprechenden Vorfall üben. Den Vorfall üben, bedeutet was tue ich denn überhaupt, wenn der Ernstfall stattfindet. Wo ist denn mein Notfallkoffer, wo sind denn die Telefonnummern der Menschen, die ich unmittelbar anrufen muss, wie kann ich denn die Betroffenen überhaupt informieren und alarmieren und wo kommen wir wann zu welchem Zeitpunkt hin. Bedenken Sie z.B., dass bei Ransomware es durchaus der Fall sein kann bzw. die Praxis hat auch oft gezeigt, dass ihre Telefonbücher, die Sie vielleicht im Smartphone gespeichert haben, auf einmal nicht mehr zugänglich sind, weil Ihr Corporate Directory nicht mehr auf Smartphones synchronisiert wird bzw. ihr Smartphone vielleicht sogar deprovisioniert wird. Es mag vielleicht lächerlich klingen, aber die gute alte Telefonliste, die ich irgendwo habe mit zehn Nummern, diese kann in manchen Situationen durchaus behilflich sein, um vor allem schnell und rasch reagieren zu können.
Wie zuvor schon angesprochen, finden solche Angriffe an eher ungewöhnlichen Zeiten statt, Angreifer nutzen vor allem hier Freitagnachmittag oder Samstag, weil wir natürlich hier weniger Aufmerksamkeit auf die IT-Systeme liegen, aber genau hier gilt zu diesen Zeiten auch rasch zu reagieren und möglichst schnell die Alarmierungskette in Gang zu setzen, denn nur was ich übe, kann ich auch im Vorfall bzw. im Anlassfall entsprechend automatisiert abrufen.
Dieses Notfallmanagement, wie gehe ich im Notfall um, erfordert auch, dass wir uns über die Aspekte Business Continuity und Disaster Recovery entsprechend unterhalten. Business Continuity ist eine gut bewährte Methode, die wir schon länger kennen. Es ist nichts Neues, aber es machen immer noch viel zu wenige, denn gerade welche Systeme sind denn entscheidend im Falle eines Falles, diese wiederherzustellen und wie lange ist denn mein Window Opportunity, wie lange ist denn die Möglichkeit wo ich eine geordnete Rücksicherung machen kann.
Dies ist einfach entscheidend in der Priorisierung, denken Sie bitte daran, dass sie in Notfällen keinen kühlen Kopf behalten werden und der viel zitierte „headless chicken“ Mode definitiv Einzug halten wird, sie können noch so kühl sein, sagen, das wird mich nie treffen, aber die Praxis zeigt etwas anderes. Aber eine gute Vorbereitung, eine gute Struktur mit Prioritäten, hilft Ihnen hier die entsprechenden Schritte zu setzen und den Fokus auf das Wesentliche zu lenken, mit dem sie im Anlassfall entsprechend beginnen und entsprechend loslegen können.
Wir haben jetzt viel von Maßnahmen gesprochen, die wir tun können, das ist gut, wenn wir es implementieren, es ist gut, wenn wir sagen wir tun das, aber die beste Maßnahme funktioniert nur dann, wenn ich sie regelmäßig prüfe, wenn ich regelmäßig mich von der Wirksamkeit der Maßnahme überzeuge.
Das kann ich selbst machen, das heißt, das kann ich selbst innerhalb meiner Organisation machen, das kann ich aber auch durch die interne Revision, wenn ich eine habe, machen. Aber das kann ich auch natürlich extern machen lassen, um einfach die Verbesserungen fortzusetzen bzw. zu sehen, ob ich vielleicht irgendwelche blinden Flecken, irgendwelche Stellen oder irgendwelche Themen von denen nicht ich nichts weiß habe. Der Vulnerability Scan von außen kann helfen, das System Review einfach einmal noch den Blick drauf zu werfen, um sich selbst von der Wirksamkeit der Maßnahmen zu überzeugen.
Ein letzter Punkt und ein nicht ganz unwesentlicher Punkt ist noch, lernen Sie Ihre Dienstleister kennen, das heißt gerade im Rahmen des Third Party Risk Management, gerade im Rahmen der Lieferantenkette ist es wichtig den Dienstleister möglichst früh einzubeziehen. Damit ist gemeint, dass die Auflagen, die Ihnen als Unternehmen in NIS2 gemacht werden, müssen Sie natürlich auch auf ihre Dienstleister übertragen. Der Dienstleister wird damit natürlich auch NIS2 pflichtig bzw. kommt hier im Rahmen der Lieferkette mit und hier gilt, dass auch der Dienstleister die entsprechenden Sicherheitsvorgaben und Sicherheitsaspekte mit erfüllt. Sprechen Sie darüber, halten sie das in den Verträgen fest, machen Sie hier regelmäßig Checks. So komme ich zu meinem eigentlichen Ziel, also durch die Digitalisierung, durch die Vernetzung entsteht eine höhere Komplexität und die kann nur gemeinsam im Schulterschluss funktionieren damit Dienstleister und sie gemeinsam in der Lage sind sich entsprechend zu wappnen.
Am Ende bedeutet es auch das Risiken, die andere für mich eingehen, auch meine Risiken sind und deshalb ist es umso wichtiger, dass wir nicht alleine kämpfen bzw. dem Ganzen uns stellen, sondern eben gemeinsam hier die Tätigkeiten durchführen. Hier können wir durchaus positiv in die Zukunft blicken, denn viele sind schon auf den Zug aufgesprungen und sind dabei die Sicherheit zu verbessern, damit auch andere davon profitieren können, damit auch andere nicht diese Auswirkungen von unangenehmen Cyberattacken spüren müssen. Aber wir können das nur gemeinsam schaffen. Denn wir wollen natürlich nicht irgendwelchen Cyberkriminellen die Lösegeldforderungen zahlen, nur weil sie unsere Systeme verschlüsselt haben und wir bei den Sicherheitsmaßnahmen vielleicht nicht ganz am letzten Stand waren.
Zu guter Letzt, noch ein kurzer Hinweis, wenn Sie mehr über NIS2 wissen wollen, gibt es Podcasts, einen davon mit Frau Karoline Schmidt vom Innenministerium, sie hat auf EU-Ebene mitverhandelt und mit Herrn Philipp Blauensteiner und Herrn Gernot Goluch, die uns ihre Eindrücke mit uns teilen wie es im punkto NIS2 aussieht und mit welchen Dingen wir zu rechnen haben.
