NIS-2, und nun?

Monina: Moin Moin und herzlich willkommen zu unserem Podcast Die Sicherheitslücke.

Monina: Heute live von der GI Sicherheit an der Hochschule für Angewandte Wissenschaften in Hamburg.

Monina: Und ausnahmsweise mit mir, Monina Schwarz vom LSI, anstelle von Volker.

Monina: Vor einigen Folgen haben wir über das kommende NIS-2-Umsetzungsgesetz geredet. Nun ist es da.

Monina: Und seit dem Motto NIS-2, was nun, haben wir drei Gäste eingeladen.

Monina: Bastian Pfarrherr, der Leiter der Netzstrategie von Netzbetreibern Hamburger Energienetze.

Monina: Marian Blok, Referent für KRITIS-Sektoren, Transport und Verkehr,

Monina: Weltraum und Ernährung vom Bundesamt für Sicherheit in der Informationstechnik.

Monina: Und Thomas Holst, Geschäftsführender Gesellschafter der BT Nord Systemhaus GmbH. Herzlich willkommen!

Monina: Dann der Blick in die Runde an euch. Stellt euch gerne der Reihe nach einmal

Monina: kurz vor, wer ihr seid und wie euch NIS-2 im Arbeitsalltag betrifft.

Thomas: Oh, ich darf anfangen, ja. Moin Moin in die Runde. Mein Name ist Thomas Holst,

Thomas: ich bin Geschäftsführer der BT Nord Gruppe.

Thomas: Wir haben Standorte in Husum, Flensburg und Hamburg und betreuen mittelständige

Thomas: Unternehmen im Bereich der Informationssicherheit und natürlich beratend in

Thomas: der Umsetzung der NIST-2-Richtlinie.

Thomas: Und das ist eben, was uns betrifft. Wir sitzen sozusagen direkt an der Front

Thomas: und dürfen jetzt mit Mittelständlern die Anforderungen des BSI umsetzen.

Monina: Das BSI wurde genannt dann?

Marian: Ja, hi, ich bin Marian Blok. Ich bin beim BSI in der Abteilung Cybersicherheit

Marian: in der Wirtschaft, im Fachbereich Cybersicherheit bei kritischen Infrastrukturen.

Marian: Und ich bin seit ungefähr zwei Jahren damit beschäftigt, im BSI so ein bisschen

Marian: diese NIS-2-Umsetzung für die Wirtschaft vorzubereiten.

Marian: Wir versuchen ja sehr viel an Informationen herauszugeben für Unternehmen,

Marian: damit das ganz gut funktioniert.

Marian: Und natürlich haben wir auch eine andere Betroffenheit von NIS-2.

Marian: Wir sind ja auch als Einrichtung der Bundesverwaltung selber eine besonders

Marian: wichtige Einrichtung und tatsächlich am 6.

Marian: Januar, als das Portal dann live gegangen ist, hat dann unser ISB sehr stolz

Marian: gesagt, dass wir die allererste Einrichtung waren, die sich im Portal dann registriert hat.

Monina: Ja, ihr habt es natürlich auch leicht gehabt. Ihr wusstet, was ihr machen müsst.

Monina: Gut, dann zuletzt Bastian.

Bastian: Ja, dann schließe ich gerne ab. Bastian Pfarrherr, ich darf die Netzstrategie

Bastian: bei den Hamburger Energienetzen leiten.

Bastian: Wir sind der Netzbetreiber hier in Hamburg für die Medien Strom, Gas und Wasserstoff.

Bastian: Das heißt, wir sind Betreiber kritischer Infrastruktur und sind natürlich in

Bastian: dem Zusammenhang von NIST 2,

Bastian: aber auch allen Vorgängerregelungen betroffen und machen das jetzt auch schon

Bastian: seit mehreren Jahrzehnten, teilweise deutlich über 100 Jahre,

Bastian: wenn ich auf den Strom gucke und sind natürlich ein Unternehmen der öffentlichen Daseinsvorsorge.

Bastian: Also Strom bereitzustellen, Energie bereitzustellen, ist Teil der öffentlichen

Bastian: Daseinsvorsorge und dementsprechend ist natürlich unsere Betroffenheit relativ

Bastian: hoch, wenn es darum geht,

Bastian: Ausfälle jeglicher Art zu vermeiden und diese Lieferung von Energie sicherzustellen.

Monina: Gut, dann haben wir von euch allen einmal so die Runde.

Monina: Jetzt ganz am Anfang die Frage NIS-2, warum?

Monina: Also wir haben doch NIS-1, also warum brauchen wir jetzt 2 oder waren wir davor unsicher?

Monina: So in die Runde gestellt, diese Frage?

Thomas: Vielleicht ganz klar, NIS-1 hatte eigentlich niemand auf dem Schirm.

Thomas: Und ich glaube gerade NIS-2, durch die ganzen Voraussetzungen und Verpflichtungen,

Thomas: die dahinter sind, ist das jetzt auch ein Thema.

Thomas: Und Informationssicherheit ist ein großes Thema. Und ich glaube,

Thomas: NIS-1 war auf dem Markt auf jeden Fall nie ein Thema, hat sich kaum ein Unternehmen für interessiert.

Thomas: Und NIS-2 hat jetzt einen anderen Hintergrund, einen anderen Druck.

Thomas: Und deswegen ist das jetzt wirklich ein großes Gesprächsthema.

Marian: Ich würde sagen, also wir in Deutschland haben natürlich mit dem ersten IT-Sicherheitsgesetz

Marian: schon vor der ersten NIST-Richtlinie in diese Richtung aktiv geworden.

Marian: Und das Ergebnis davon sind zehn Jahre Kritis-Regulierung oder knapp zehn Jahre

Marian: Kritis-Regulierung, die wir seit 2015 haben.

Marian: Und wenn wir schauen auf das, was die EU gedacht hat, was sich jetzt verbessern

Marian: soll von NIS-1 zu NIS-2, dann ist es halt diese große Veränderung sowohl horizontal als auch vertikal.

Marian: Also horizontal, wir haben viel mehr Sektoren, die reguliert sind und vertikal,

Marian: wir haben auch viel mehr Unternehmensgrößen von sehr kleinen mittelständischen

Marian: Unternehmen bis sehr großen Weltkonzernen, die alle jetzt in die Regulierung reingefallen sind.

Marian: Und in der Tat, also der Wunsch oder das Ziel von NIS-2 soll sein,

Marian: dass wir übergreifend in der gesamten Europäischen Union bei allen diesen regulierten

Marian: Unternehmen das Niveau der Cybersicherheit anheben.

Marian: Und jetzt schauen wir mal, ob das gut funktioniert in den nächsten Jahren.

Bastian: Ich würde auch tatsächlich nochmal einen Perspektivwechsel wagen und ein bisschen

Bastian: widersprechen. Also natürlich hatten wir auch NIS I schon auf dem Zettel und

Bastian: auch die Vorgängerregelungen, die nationalen Regelungen auf dem Zettel.

Bastian: Was wir allerdings feststellen, ist, dass sich auch Bedrohungslagen für uns geändert haben.

Bastian: Und deswegen ist es im Grunde nur folgerichtig, dass man diese Regelungen jetzt

Bastian: entsprechend erweitert hat, beziehungsweise neu gefasst hat in NIS II.

Bastian: Und weil letztendlich müssen wir einfach feststellen, dass gewisse Arten von

Bastian: Angriffen, die gab es halt vor

Bastian: 20 oder vor 30 Jahren nicht. Und die gab es auch vor fünf Jahren nicht.

Monina: Das heißt, für euch ist aus eurer Sicht das auch eigentlich eine Erleichterung,

Monina: dass es das jetzt konkreter gibt?

Bastian: Die Verankerung, wir haben es ja eben schon gehört, ist breiter geworden und

Bastian: auch stärker im Management verankert, als das vorher der Fall war.

Bastian: Wir hatten also davor keine Betroffenheit, ich sage es mal vorsichtig, der Geschäftsführung.

Bastian: Das ist jetzt in dem neuen Gesetz so angelegt.

Bastian: Das bringt natürlich eine andere Priorität im Unternehmen, wenn auf einmal die

Bastian: Geschäftsführung von solchen Dingen persönlich betroffen ist.

Monina: Das stimmt, aber an dich die Frage, was sind denn die drei wichtigsten Neuerungen

Monina: deiner Meinung nach, die NIST 2 mitbringen?

Monina: So einen Punkt hatten wir jetzt von dir gehört, aber was sind das aus deiner Sicht?

Marian: Genau, also übergreifend kann man sich schon die Frage stellen,

Marian: bringt es irgendwas, Cyber-Sicherheit zu regulieren?

Marian: Das große Problem, das wir haben seit 30, 40 Jahren, ist, wie kriegen wir das

Marian: eigentlich hin, dass Leute auch quasi aus inhärenter, eigener Verantwortung

Marian: sich denken, das wäre eigentlich eine gute Sache, wenn mir der Laden nicht abraucht.

Marian: Aber NIS-2 hat ein paar Hebel, um dreimal herauszugreifen. Einerseits,

Marian: hat es schon gesagt, die Geschäftsleitungs.

Marian: Die Rolle der Geschäftsleitung, die ganz klar definiert ist,

Marian: also Verantwortung zu übernehmen für Risikomanagement und die Umsetzung von

Marian: Maßnahmen zu überwachen.

Marian: Wir haben die Geschäftsleitungsschulung, also dass die Geschäftsleitung so ein

Marian: bisschen diese Rolle verstehen muss, was müssen sie machen, was müssen sie wissen,

Marian: damit sie diese Rolle auch wahrnehmen können und wir haben natürlich auch,

Marian: Eine Haftungsregelung für die Geschäftsleitung drin.

Marian: Am Ende des Tages geht es darum, dass hier eine Verantwortung übernommen wird

Marian: und wirklich gesagt wird, das ist eine Chefsache.

Marian: Cybersicherheit ist wirklich was, das muss an oberster Ebene stehen.

Marian: Das zweite ist wahrscheinlich, dass wir diese Risikomanagementmaßnahmen für

Marian: das gesamte Unternehmen hier in dem Gesetz stehen haben. Wenn man reinguckt,

Marian: das sind alles keine neuen Sachen.

Marian: Also es ist wirklich nichts, was total exotisch wäre oder irgendwie doll überfordern

Marian: soll, sondern es sind sehr basale Informationssicherheitsmaßnahmen.

Marian: Aber die müssen jetzt quasi umgesetzt werden, wie gesagt, immer in Verankerung

Marian: mit der Rolle der Geschäftsleitung, dass der jetzt gucken muss oder die gucken

Marian: muss, wie kriegen wir das hin im Unternehmen.

Marian: Und das Dritte ist, glaube ich, dass wir auch so eine Hebelwirkung haben durch

Marian: die Mitverantwortung von Unternehmen in der Lieferkette.

Marian: Und ich glaube, das in Kombination kann dafür sorgen, dass weit über diesen

Marian: Kreis der betroffenen Unternehmen hinaus, dass knapp 30.000 sind geschätzt,

Marian: dass das eine Wirkung erzeugt, die insgesamt zu dieser Hebung des Cyber-Sicherheitsniveaus

Marian: führen kann. Das ist zumindest die Hoffnung.

Monina: Gut, jetzt hast du so ein bisschen gemeint, das sind viele grundlegende Sicherheitssachen,

Monina: die man vielleicht schon umsetzt.

Monina: Deswegen jetzt an dich die Frage, so als großer Netzbetreiber,

Monina: was ist das für ein operativer Aufwand, der da dazukommt oder ist das alles

Monina: Sachen, die man eh schon gemacht hat?

Bastian: Ja, also ich sage mal, in unserem speziellen Fall ist der zusätzliche Aufwand gar nicht so sehr groß,

Bastian: da wir eben diese Organisationsform mit Auditierung, mit Zertifizierung,

Bastian: mit allem, was dazugehört im Unternehmen seit Jahrzehnten implementiert haben.

Bastian: Was wir allerdings jetzt vor der Brust haben, und das ist das,

Bastian: was du gerade angesprochen hast,

Bastian: dass wir uns natürlich auf diesen Lieferantenmarkt, den Dienstleistermarkt,

Bastian: mindestens genauso gut umgucken müssen, wie wir das bei uns selber tun.

Bastian: Und da entsteht tatsächlich ein Mehraufwand, weil wir natürlich in Beschaffungsprozesse

Bastian: gehen, die jetzt nochmal ein Auswahlkriterium mehr benötigen,

Bastian: als das vielleicht vorher der Fall gewesen ist.

Bastian: Wir haben das in Teilen vorher schon gemacht, wenn es also um kritische Bereiche des Unternehmens geht.

Bastian: Dieser Kreis wird jetzt größer. Und das führt natürlich an der Stelle zu einem

Bastian: etwas höheren administrativen Aufwand.

Bastian: Aber ansonsten, was so die Rollen im Haus selber angeht, die sind angelegt und die funktionieren.

Bastian: Da wird der Mehraufwand übersichtlich sein.

Monina: Okay, wenn wir jetzt sagen, okay, bei euch ist der Mehraufwand übersichtlich,

Monina: wie ist das denn bei kleineren Unternehmen? Ihr beratet da?

Thomas: Ja, es kommt natürlich ganz darauf an. Also wenn wir jetzt Unternehmen haben,

Thomas: die schon ein Informationssicherheitsmanagement-System eingeführt haben,

Thomas: dann ist der nächste Schritt für die NIST 2, für das Mapping,

Thomas: ist gar nicht so groß. Also das ist relativ klein.

Thomas: An der Basis gibt es das aber nicht. Das heißt, die meisten Unternehmen,

Thomas: sag ich mal, in der Größe, dass sie auch schon ein wichtiges Unternehmen sind,

Thomas: also mehr als 50 Mitarbeiter, mehr als 10 Millionen Euro Umsatz und in einem

Thomas: bestimmten Sektor dann tätig,

Thomas: Naja, die überlegen sich erstmal die rein praktischen Dinge.

Thomas: Habe ich eine Multifaktor-Authentifizierung?

Thomas: Haben wir ein Backup-Konzept? Haben wir überhaupt einen Notfallplan?

Thomas: Und da fängt man dann an, erstmal aufzubauen. Und dann die Einführung von so

Thomas: einem ISMS. Das heißt, die allermeisten sind da noch nicht drauf vorbereitet.

Thomas: Die haben rudimentär gute IT-Sicherheitsinfrastruktur-Technologien am Start.

Thomas: Also das hat alles ganz gut, hat sich gut entwickelt natürlich.

Thomas: Aber natürlich die ganzen organisatorischen Maßnahmen fehlen.

Thomas: Also alles, was Dokumentation angeht, da fehlt es ganz oft.

Thomas: Und dann ist der Aufwand schon da und dann kommt auch die Überlegung,

Thomas: muss ich das überhaupt machen?

Thomas: Und dann gibt es Unternehmen, die beauftragen dann teure Anwaltkanzleien,

Thomas: die dann erstmal eine Prüfung machen, ob sie denn überhaupt NIS-2 umsetzen müssen.

Thomas: Und wenn wir dann sagen, naja gut, das Geld, was du dafür ausgegeben hättest,

Thomas: hättest du ja auch in deine Informationssicherheit stecken können und in die Umsetzung.

Thomas: Dann wärst du eigentlich Pari gewesen. Das heißt, das, was du hier ausgegeben hast.

Thomas: Und am Ende geht es doch um deine Informationssicherheit. Und das ist eben das,

Thomas: wo es darum geht, dass wir am Ende immer ein Stück mehr Cybersicherheit haben.

Monina: Das heißt, da fehlt bei vielen noch der Blick, was einem NIST zwar jetzt bringt,

Monina: weil viele mehr Aufwand daran betreiben, da rauszukommen, sich da dem Ganzen

Monina: einmal das Ganze zu durchleben als,

Monina: Das Geld und den Aufwand in die selber Sicherheit zu stecken.

Thomas: Richtig.

Bastian: Man muss das aus meiner Sicht auch immer aus zwei Perspektiven sehen.

Bastian: Die eine Perspektive ist eben die, ich habe jetzt mehr Aufwand,

Bastian: ich muss jetzt irgendwie mehr tun, weil mich dazu jemand zwingt,

Bastian: ein Gesetz oder eine Regelung.

Bastian: Die andere Perspektive ist ja, ich kann ja dadurch mein Sicherheitsniveau steigern.

Bastian: Ich habe ja dadurch auch einen Vorteil. Ich muss eigentlich versuchen,

Bastian: aus solchen Situationen eher die Chance zu sehen als das Risiko und zu sagen,

Bastian: ich kann da was gewinnen, wenn ich das jetzt vernünftig mache.

Monina: Gut, dann haben wir jetzt den Punkt, was ist mit den Unternehmen,

Monina: die sich jetzt rausdefinieren wollen, oder was ist mit Unternehmen,

Monina: die Kleinstunternehmen sind, die von der Regelung vielleicht gar nicht betroffen sein sollten?

Monina: Vielleicht so ein kommunaler Abwasserunternehmer mit fünf bis zehn Mitarbeiterinnen,

Monina: die aber wegen Betriebskosten mit irgendeinem zu großen Umsatz im Jahr dann doch drunter fallen.

Marian: Okay, also einerseits, was ja im Gesetz steht, ist eine,

Marian: also der deutsche Gesetzgeber hat eigentlich, um die Anwendung,

Marian: die Rechtsanwendung zu erleichtern,

Marian: diese KMU-Definition der EU quasi ins Gesetz übernommen und hat dabei quasi

Marian: von einer exklusiven, ausschließenden zu einer inklusiven, einschließenden,

Marian: positiven Definition das gemacht.

Marian: Am Ende sprechen wir aber über die gleiche Menge an Unternehmen.

Marian: Wenn wir jetzt über einen, in diesem Fall, du hast ein kommunales Abwasserunternehmen

Marian: mit wenigen MitarbeiterInnen, die wahrscheinlich auch nicht geschult sind,

Marian: die das nicht können, wo aber 10 Millionen Umsatz hinterhängen.

Marian: Und dann muss ich sagen, okay, worüber sprechen wir?

Marian: Wir regulieren bei NIS-2 ja nicht jedes Unternehmen, auch nicht jedes Unternehmen dieser Größe,

Marian: sondern wir regulieren Unternehmen, die entscheidend sind für die Versorgungssicherheit

Marian: der Bevölkerung einerseits und für ihre Wirtschaft, ihre Rolle für die Volkswirtschaft.

Marian: Und da muss man dann sich schon die Frage stellen, okay,

Marian: du hast jetzt 10 Millionen an Umsatz, die erwirtschaftet werden dadurch,

Marian: dass bei VerbraucherInnen eben das Abwasser eben abtransportiert und versorgt wird.

Marian: Und es ist wichtig, dass das passiert.

Marian: Das ist für jeden absolut nachvollziehbar. Auch für einen Energieerzeuger,

Marian: der vielleicht wenige Mitarbeiterinnen hat, aber so viel an Umsatz erzeugt, dass das eben passiert.

Marian: Da hängt er immer hinter, da sind ganz viele, die darauf angewiesen sind, dass das passiert.

Marian: Und wir verstehen natürlich, dass es total schwierig ist, gerade für kleine

Marian: Unternehmen, das zu machen und da auf so ein Niveau zu kommen.

Marian: Aber auch da ist so, da muss man dann eben sagen.

Marian: Diese 10 Millionen Umsatz, die sind da oder mehr oder wie auch immer und dann

Marian: muss eben ein Teil davon investiert werden,

Marian: unter anderem vielleicht darin, dass man sich aufschlaut, dass man externe Berater hinzuzieht,

Marian: dass man eben in der Lage ist,

Marian: diese Maßnahmen umzusetzen.

Marian: Weil again, es geht nicht darum, ganz krasse, neue, crazy Maßnahmen umzusetzen,

Marian: sondern wirklich basale Cybersicherheit.

Marian: Das ist das, was da ist. Es steht nichts drin, was total neu ist.

Marian: Und am Ende ist es auch egal, wenn ein Cyberangriff auch bei diesem kleinen

Marian: Unternehmen stattfindet.

Marian: Und die Konsequenzen trägt die Allgemeinheit, die Konsequenzen tragen die,

Marian: die auf diese Leistung angewiesen sind.

Marian: Und deswegen gibt es auch keine Alternative dazu. Deswegen ist wichtig,

Marian: dass da was gemacht wird.

Marian: Und es gibt für jeden die Möglichkeit, entweder durch hinzuziehen von externen

Marian: Ressourcen oder auch, dass man selber eben das auch als Aufgabe ernst nimmt,

Marian: sich da entsprechend zu qualifizieren und dann besser zu werden.

Monina: Ja, also nach dem Motto kundlegender Brandschutz halt auf IT-Sicherheits-Ebene.

Marian: Ja, exakt.

Monina: Habt ihr Tochter oder Subunternehmen, bei denen es nicht ganz klar ist,

Monina: ob sie unter die Regelung fallen, wenn wir hier bei so ganz kleinen oder bei

Monina: unklaren Gegebenheiten sind?

Bastian: Die Unklarheit gibt es tatsächlich nicht. Letztendlich sind wir zum Teil an

Bastian: Tochtergesellschaften beteiligt,

Bastian: teilweise auch mit Mehrheitsbeteiligung und letztendlich gelten die gleichen

Bastian: Anforderungen, weil sie eben auch in diesen kritischen Bereichen tätig sind.

Bastian: Das ist im Grunde kaum trennbar.

Monina: Gut. Wir hatten es vorhin mal kurz, da sind wir dann von einem Punkt zum nächsten

Monina: gekommen, über Lieferketten.

Monina: Wie sieht das dann jetzt mit den Lieferketten aus, wenn wir als Beispiel eine

Monina: elektronische Schließanlage haben, die man jetzt irgendwie einbaut und jetzt

Monina: müsste man das Pentesten, also,

Monina: Wie sieht das denn aus? Du hattest das vorhin als Beispiel mit,

Monina: man muss jetzt alles ausschreiben?

Bastian: Das müssen wir sowieso. Wir sind ja ein Unternehmen der öffentlichen Hand.

Bastian: Wir sind eine Tochter der Freien und Hansestadt Hamburg.

Bastian: Das heißt, wir sind an die Vergaberichtlinien der Stadt gebunden.

Bastian: Wir schreiben grundsätzlich jede Art von Vergabe aus.

Bastian: Die Frage ist, in welchem Rahmen, ob man das jetzt als beschränktes Angebot

Bastian: macht und drei Dienstleister anfragt oder ob man das europaweit veröffentlichen

Bastian: muss. und da letztendlich einen riesengroßen Prozess draus baut.

Bastian: Das hängt von der Wertgrenze ab, die ich beschaffen möchte.

Bastian: Aber im Grunde genommen machen wir bei uns keinerlei Direktvergabe.

Bastian: Das heißt, ich bin immer in einem Ausschreibeverfahren und muss einen Dienstleister,

Bastian: einen Lieferanten immer über dieses Verfahren finden.

Bastian: Und jetzt kann ich verschiedene Bewertungskriterien in dieser Ausschreibung formulieren.

Bastian: Der Preis ist natürlich ein relevantes Kriterium. Das ist, denke ich, jedem klar.

Bastian: Man kann das aber auch noch verfeinern. Man kann über entsprechende Erfahrungswerte

Bastian: und über entsprechende Referenzen gehen.

Bastian: Man kann aber auch über bestimmte vorhandene Zertifikate und Sicherheitslevel

Bastian: gehen, die letztendlich dokumentierbar sind.

Bastian: Wichtig ist immer, dass man ein solches Verfahren transparent durchführt und

Bastian: vergleichbar durchführt.

Bastian: Das heißt, ich darf also nichts fordern, was im Grunde genommen nicht bewertbar, nicht messbar ist.

Monina: Ist es schwieriger geworden jetzt sozusagen durch NIS II, dadurch,

Monina: dass man jetzt höhere Anforderungen hat oder wird es schwieriger werden,

Monina: da jetzt in irgendeiner Form Dienstleister zu finden, die sich bereit erklären,

Monina: diese Verpflichtungen einzugehen, die gestellt werden?

Bastian: Wir rechnen eigentlich nicht damit. Wir rechnen eigentlich nicht damit, weil in dem Bereich,

Bastian: in dem wir, also bleiben wir mal bei diesem Beispiel der elektronischen Fließsysteme,

Bastian: da ändert sich ja unser Sicherheitsgedanke und unsere Sicherheitsphilosophie

Bastian: nicht, nur weil es jetzt NIS II gibt.

Bastian: Das ist das, was ich ja ganz am Anfang schon meinte. Wir sind ja im Grunde genommen

Bastian: sehr erfahren in diesen Regelungen und auch in den Vorgängerregelungen.

Bastian: Das heißt, die Philosophie ist die gleiche.

Bastian: Die Regeln heißen jetzt ein bisschen anders und vielleicht heißt auch das Zertifikat,

Bastian: was nachzuweisen, ist ein bisschen anders.

Bastian: Aber wir gehen nicht davon aus, dass jetzt, ich sag mal, aus zehn Anbietern

Bastian: plötzlich nur noch zwei werden, weil die anderen acht sagen,

Bastian: ich möchte diese Anforderungen nicht bedienen oder ich kann sie nicht bedienen.

Monina: Das heißt also, wenn ein Lieferketten-Element so wichtig ist,

Monina: dass man sich bisher schon darauf verlassen können musste, dass es gewisse Standards

Monina: erfüllt wie ein Schloss, das irgendwie ja sicher sein soll, dann war das bisher

Monina: genauso, wie es jetzt dann ist. Okay.

Monina: Habt ihr bei euch irgendwie Erfahrungen mit Unternehmen, die da jetzt vielleicht

Monina: Probleme mit haben, dass jetzt plötzlich mehr Anforderungen an sie gestellt

Monina: werden als Lieferketten-Teil?

Thomas: Ja, das ist ein riesengroßes Thema und das ist auch eine sehr,

Thomas: sehr große Unsicherheit gerade auf dem Markt. Also dass ganz viele nicht wissen,

Thomas: wie gehe ich denn jetzt damit um?

Thomas: Ich bin selber vielleicht nur ein kleines Unternehmen, habe aber eine spezielle

Thomas: Dienstleistung, ein spezielles Produkt, was ich aber gerne natürlich an meinen

Thomas: Kunden, der in S2 reguliert ist, verkaufen möchte.

Thomas: Und jetzt gibt es entweder Ausschreibungsverfahren oder es gibt ein ganz normales Angebotsverfahren.

Thomas: Und dann kommen dann schon Anforderungen, okay, wir müssen ja eine Risikobewertung

Thomas: machen, wie sicher seid ihr denn als Lieferant in dem Scope des Produktes betrachtet.

Thomas: Und ich habe jetzt noch kein Unternehmen gehabt, was gesagt hat,

Thomas: okay, dann suchen wir uns andere Kunden, sondern die haben gesagt,

Thomas: okay, was müssen wir denn tun?

Thomas: Und sie müssen natürlich nicht alles im NIST erfüllen, aber sie müssen natürlich

Thomas: zumindest einen Teil des Grundschutzes erfüllen, was sowieso ja eigentlich Grundlage

Thomas: sein sollte für jedes Unternehmen.

Thomas: Und das ist auch mal ein ganz guter Ansatz, dass wir eben mehr Informationssicherheit

Thomas: in die Unternehmen reinbringen können, die es eigentlich nicht müssten,

Thomas: aber vielleicht auch langsam begreifen, okay, wenn ich das jetzt nicht mache,

Thomas: dann geht mir halt auch irgendwo Geschäft verloren.

Thomas: Und das ist ja eben das, was so ein kleines Unternehmen antreibt.

Marian: Bei der Lieferkette, also im Gesetz steht ja, ich muss zu meinen unmittelbaren

Marian: Lieferanten und Diensteanbietern, da muss ich eben das betrachten im Rahmen

Marian: meiner Risikomanagement-Maßnahmen.

Marian: Hier ist immer noch ganz wichtig zu sagen, ich muss angemessene,

Marian: wirksame und verhältnismäßige Risikomanagement-Maßnahmen umsetzen.

Marian: Das bedeutet, ich muss auch schauen bei meinen unmittelbaren Diensteanbietern und Lieferanten,

Marian: wo gibt es da ein Risiko und ist das ein Risiko, das ich mitigieren muss,

Marian: sollte, in welcher Form kann ich das tun.

Marian: Das sind natürlich total relevante Dinge, die im Rahmen einer Risikoanalyse

Marian: sowieso betrachtet würden, auch wenn es nicht im Gesetz steht,

Marian: ist es trotzdem wichtig, dass es da drin steht.

Marian: Hier ist natürlich die Gefahr oder zumindest das Potenzial, dass manche,

Marian: dass zwei betroffene Unternehmen da so ein bisschen übers Ziel hinausschießen

Marian: und dann auch ein ISMS von ihrem Bäcker fordern, nur weil der morgens die Brötchen bringt.

Marian: Das ist natürlich Mist, das ist nicht angemessen, das ist auch nicht verhältnismäßig.

Marian: Und da ist man dann so ein bisschen drauf, also präzise.

Marian: Letztlich kommt es darauf an, dass dieses Unternehmen sich überlegt,

Marian: wo sind denn Abhängigkeiten, die ich habe und zwar Abhängigkeiten,

Marian: die dazu führen könnten, dass bei mir ein Ausfall entsteht, dass bei mir ein

Marian: Cyber-Sicherheitsvorfall entsteht,

Marian: dass ich nicht in der Lage bin, meine Dienstleistung zu erbringen.

Marian: Und das muss dann adressiert werden.

Marian: Und das kann adressiert werden über vertragliche Weitergabe von Pflichten,

Marian: aber auch hier wieder sollte das passieren in einer Art und Weise,

Marian: die angemessen ist und dem Risiko angemessen ist.

Marian: Und es ist übergreifend wirklich die Herausforderung, und das ist glaube ich

Marian: das, was den Unternehmen so schwerfällt, es ist ganz viel wirklich eine Eigenverantwortung.

Marian: Eine Eigenverantwortung an jeder Stelle. Sie müssen bei jedem Schritt wirklich

Marian: sich selber überlegen, was ist denn jetzt gerade angemessen,

Marian: wirksam, verhältnismäßig, was muss ich denn machen?

Marian: Und sie müssen sich selber quasi sozusagen die Regeln geben,

Marian: die sie dann selber einhalten.

Monina: Okay, das heißt, man soll es sinnvoll mit, ich sage mal mit gesundem Menschenverstand,

Monina: das ist ja immer so eine schöne Formulierung,

Monina: die Sicherheitsmaße oder ein Auge für die Sicherheit haben, auch für die Lieferkette

Monina: und die Elemente, die da drin enthalten sind.

Marian: Ja, nee, also ja, schon, aber du musst es auch nicht so nach Gefühl machen.

Marian: Du machst ja eine Risikoanalyse und dann weißt du es ja ganz genau.

Marian: Wenn du das vernünftig machst, weißt du ganz genau, wo das Risiko da entsteht,

Marian: wenn du mit diesem Lieferanten oder diesem Dienstleister zusammenarbeitest,

Marian: weil du genau weißt, wo die Gefährdungen herkommen können, wie die Eintrittswahrscheinlichkeit

Marian: ist für diese Gefährdungen und wie hoch das Risiko ist, dass daraus entsteht.

Monina: Wenn wir jetzt sagen, okay, das sind dann trotzdem vielleicht für manche Mehraufwende,

Monina: Auch wenn wir gehört haben, dass manches ja bisher sich eigentlich nicht viel ändert daran.

Monina: Wie schätzt ihr alle die finanziellen und personellen Mehraufwände,

Monina: die durch diese Veränderungen jetzt umzusetzen sind, ein?

Monina: Kann man das irgendwie überhaupt, also schaffen es die Unternehmen überhaupt,

Monina: Fachpersonal dafür zu bekommen?

Monina: Jetzt, wenn man sich den Stellenmarkt anschaut für IT-Sicherheitsfachkräfte.

Monina: Wenn man klein ist, muss man sich halt vielleicht externe Berater holen.

Monina: Aber ist das überhaupt machbar in der Größenordnung, die das jetzt vielleicht

Monina: mit sich bringt aktuell?

Bastian: Ich würde mal, also ich sage mal grundsätzlich ja. Und das ist natürlich auch zu quantifizieren.

Bastian: Also ich kann mir ja meine heutige oder die heutige ISMS-Organisation des Unternehmens

Bastian: angucken und welche zusätzlichen Menschen im Unternehmen mit beratenden oder

Bastian: anderer Art zertifizierenden Aufgaben betraut sind.

Bastian: Das kann ich ja fassen. Also ich kann letztendlich sagen, okay,

Bastian: ich habe hier eine Menge X an Menschen, die damit beschäftigt sind,

Bastian: teilweise hauptamtlich, teilweise nebenamtlich, beziehungsweise wenige Stunden im Jahr.

Bastian: Dem kann ich einen Euro-Wert geben, weil ich ja weiß, was diese Menschen verdienen.

Bastian: Und wenn ich jetzt feststelle, ich brauche mehr davon, weil sich die Regeln,

Bastian: verkomplizieren, dann kann ich diesen Betrag natürlich auch ausweisen und dann

Bastian: kann ich damit bei der Geschäftsführung vorsprechen und sagen,

Bastian: hier Personalplanung, ich hätte gerne zwei FTEs mehr und dann gehe ich ins Recruiting.

Bastian: Und dann fangen teilweise die Probleme an, weil diese Qualitäten,

Bastian: die man dann sucht, sind rar. Das ist einfach so.

Bastian: Wir haben bisher Glück gehabt, sage ich ganz ehrlich, als Unternehmen der Daseinsvorsorge,

Bastian: Betreiber kritischer Infrastruktur, üben wir natürlich einen gewissen Reiz aus,

Bastian: sich dann auch in so einem Unternehmen mit solchen Themen zu beschäftigen.

Bastian: Aber wir sehen schon, dass Recruiting von solchen speziellen Fähigkeiten durchaus

Bastian: anspruchsvoll ist und immer anspruchsvoller wird.

Monina: Wie ist das so für kleine Unternehmen?

Thomas: Unmöglich. Also wenn wir auf kleinere Unternehmen schauen, also kleine Unternehmen,

Thomas: 50 Mitarbeiter immer noch, also nicht bei den kleinsten Unternehmen oder bei

Thomas: sehr kleinen Unternehmen, die finden keine Leute, also auch die öffentliche Hand findet keine.

Thomas: Also wir sind, wenn ich mir auf den Anfragemarkt schaue,

Thomas: wie auch bei uns Anfragen reingehen, also wir sind über Jahre hinweg gut ausgebucht,

Thomas: was das Thema Umsetzung angeht, auch was das Thema angeht externen ISB zu stellen.

Thomas: Weder die öffentliche Hand noch kleine Unternehmen finden, Mitarbeiter,

Thomas: die diese Qualifikationen mitbringen vor allen Dingen.

Thomas: Und vom Aufwand, wenn wir das mal sehen müssen oder jetzt auch mal besprechen,

Thomas: also wir reden ja davon, bei vielen erstmal von vorne anzufangen.

Thomas: Das heißt erstmal ein ISMS aufzubauen und da gehen ja schon,

Thomas: sag ich mal, so 20 bis 30 Manntage in so einem Jahr drauf.

Thomas: Und das ist ja auch noch ein Prozess, der umgesetzt werden muss.

Thomas: Und wenn wir das mal für so ein Unternehmen, sag ich mal, mit 10 Millionen Euro

Thomas: Umsatz mal runterrechnen, 30 Manntage an externe Beratung, das ist ja auch schon

Thomas: eine Summe, die erstmal investiert werden muss.

Thomas: Plus die ganzen technischen Maßnahmen, die dazukommen am Ende des Tages.

Thomas: Also für den kleineren Mittelstand ist das wirklich sehr, sehr schwierig.

Thomas: Bei größeren Unternehmen ist natürlich das ganze Recruiting einfacher.

Thomas: Da sind andere Möglichkeiten, andere Mittel da.

Bastian: Es ist einfach eine ganz andere Organisation im Hintergrund da,

Bastian: die letztendlich Stuffing betreibt. Das muss man eben fairerweise sagen.

Bastian: Und wie gesagt, wir sind ein Unternehmen mit größer 2000 Mitarbeitenden.

Bastian: Da habe ich einfach eine ganz andere Organisation im Hintergrund,

Bastian: auf die ich zurückgreifen kann.

Monina: Gibt es da von BSI-Seite auch noch was hinzuzufügen? Oder habt ihr selber schon

Monina: genug Probleme mit Fachkräften bei euch?

Marian: Also das Problem des Fachkräftemangels ist natürlich da.

Marian: In der Binnenqualifizierung von InformatikerInnen haben wir das natürlich auch so,

Marian: dass wir das Gefühl haben, dass sich viele InformatikerInnen nicht mit dem Thema

Marian: IT-Sicherheit beschäftigen, sondern mit anderen Themen.

Marian: Und das ist, wir haben ein übergreifendes Thema, dass wir mehr Menschen brauchen, die das können.

Marian: Mehr Menschen brauchen, die in der Lage sind, diese wichtigen Aufgaben wahrzunehmen.

Marian: Am Ende ist, glaube ich, aber wichtig, dass wir in so eine Art,

Marian: ich würde es mal nennen, Demokratisierung von IT-Sicherheit kommen und ich glaube,

Marian: dass es auch durch die Regulierung wieder so ein Hebel sein könnte, weil….

Marian: Es sind am Ende wirklich keine, also es ist, du brauchst keine krass ausgebildeten Leute,

Marian: die 20 Jahre lang nichts anderes gemacht haben als irgendwelche Bleed-Code,

Marian: sonstige Dinge oder ganz viel sich ausgebildet haben,

Marian: irgendwelche ganz speziellen Qualifizierungen vorweisen können,

Marian: ganz viele Zertifikate haben.

Marian: Es ist wichtig, dass das viel mehr irgendwie in die Breite geht und zwar weit

Marian: über diejenigen hinaus, die tatsächlich ITler sind.

Marian: Es muss ein insgesamtes organisatorisches Umdenken stattfinden in Organisationen,

Marian: damit einfach überhaupt das auf so viele Schultern verteilt werden kann.

Marian: Weil es gibt gewisse Dinge, die müssen nicht InformatikerInnen tun,

Marian: auch was Risikomanagement angeht.

Marian: Und es ist total wichtig, und das steht ja auch im Gesetz, dass da eben so eine

Marian: cross-funktionale, multidisziplinare Herangehensweise stattfindet.

Marian: Mindestens mal, dass die Geschäftsleitung und der ESB, dass die sich da arbeitsteilig

Marian: miteinander, aber das geht ja aufs ganze Unternehmen dann über.

Marian: Also alle müssen miteinander verstehen, worum es da geht.

Marian: Dann kann man zumindest so ein bisschen was abfedern von diesem Fachkraftmangel,

Marian: der aber natürlich da ist. Das ist völlig klar, kann man auch nicht verleugnen.

Monina: Das heißt, wie du die Hoffnung hast, dass NIS II auch ein bisschen einfach die

Monina: Sicherheit mehr in die Breite trägt, auch dadurch, dass zum Beispiel dann so

Monina: ein bisschen für Unternehmen, die zwar nicht selber betroffen sind,

Monina: aber irgendwie in irgendeinem Kontakt stehen zu anderen Unternehmen,

Monina: dass so einen Zugzwang erzeugt, ist es dann auch so, dass es andersrum auch

Monina: das Bewusstsein einfach für Sicherheit dadurch hoffentlich mehr in die Breite

Monina: wächst von allen Leuten, wie wir ja auch wissen, dass im Auto ein Sicherheitsgut

Monina: relevant ist, auch wenn wir jetzt nicht genau verstehen, wie Physik,

Monina: also nicht vielleicht jeder berechnen kann, wie die physikalischen Kräfte auf

Monina: den Körper einwirken in dem Moment an das Aufprall ist.

Monina: Aber wir wissen, ein Sicherheitsgut ist wichtig und das ist also sozusagen dann

Monina: die Aussage, die du gerade gemacht hast, wenn ich das sitze,

Monina: dass auch da das Sicherheitsbewusstsein einfach ein bisschen mehr in die Breite wachsen muss.

Marian: Ja, also wir sprechen ja viel über diesen Faktor Mensch Und es geht tatsächlich

Marian: nicht darum, dass alle in der Breite verstehen, worum es da am Ende geht,

Marian: sondern eher um so eine insgesamte Sensibilisierung für das Thema. Das ist das eine.

Marian: Aber das andere ist halt wirklich, dass wir versuchen, was diese Hebelwirkung

Marian: angeht, dass wir wirklich schauen.

Marian: Und wir nennen im BSI, haben immer so diesen Slogan NIS-2 als Chance für Change.

Marian: Und das ist tatsächlich was, was wir hoffen, dass Unternehmen das nicht hauptsächlich sehen als,

Marian: oh nein, jetzt muss ich ganz viel organisatorisch, bürokratisch irgendwie machen,

Marian: sondern jetzt gibt es irgendwie eine, also wirklich die Chance,

Marian: Informationssicherheit mal strukturell anzugehen.

Marian: Und ich hoffe, dass viele Unternehmen diese Chance dann auch nutzen und sagen,

Marian: jetzt machen wir es mal vernünftig.

Monina: Wenn wir jetzt sagen, okay, das wäre der sinnvolle Weg, aber wir haben ja vorhin

Monina: gehört, es gibt dann auch Unternehmen, das hattest du, glaube ich,

Monina: Thomas, erwähnt, die sich lieber versuchen, Aufwand zu machen,

Monina: damit nicht reinzufallen, als sich den Aufwand zu machen, sich um Sicherheit zu kümmern.

Monina: Habt ihr da irgendwie, was das Abwälzen von den Verantwortlichkeiten angeht,

Monina: zum Beispiel im Rahmen von einer Cyberversicherung, was man ja schon mal gehört

Monina: hat, habt ihr da Erfahrung, was ist da,

Monina: gibt es Unternehmen, die finanziell das gerne in die Hand nehmen oder da Ressourcen

Monina: in die Hand nehmen, sich dagegen zu versichern?

Thomas: Ja, die Cyberversicherer sind ein sehr, sehr großer Hebel. Also ein Hebel für

Thomas: Informationssicherheit neuerdings.

Thomas: Das heißt, wenn ich mich versichern lassen möchte gegen Cyberangriffe,

Thomas: dann bekomme ich von der Versicherung einen sehr, sehr umfangreichen Fragekatalog.

Thomas: Und dieser Fragekatalog, der ist in den letzten, ich würde mal sagen,

Thomas: Dreivierteljahr gewachsen.

Thomas: Also erheblich gewachsen, auch gerade in Bezug auf die Anforderungen einer NS2-Richtlinie.

Thomas: Und die Versicherer sind mittlerweile so weit, dass sie sagen,

Thomas: okay, Unternehmen, die jetzt genau in diese Richtlinie reinfallen,

Thomas: also ab 10 Millionen Euro Umsatz oder Bilanzsumme,

Thomas: Versichern die nicht mehr gerne. Das heißt, die Chance, eine Cyberversicherung

Thomas: zu bekommen, ist bei 50-50.

Thomas: Und wir haben jetzt gerade einen Fall gehabt, wo jemand bei dem Ausfüllen von

Thomas: diesem Fragebogen, das hat der Geschäftsführer so gemacht und hat das so nach

Thomas: bestem Wissen und Gewissen, wie das immer so schön heißt, der hat ein paar Kreuze

Thomas: an der falschen Stelle gemacht. Habe ich, habe ich, habe ich, habe ich.

Thomas: Und dann hat er natürlich einen Informationssicherheitsvorfall und die Cyberversicherung

Thomas: hat gesagt, nein, wir zahlen nicht, weil du hast diesen Fragebogen nicht richtig ausgefüllt.

Thomas: Du hast bestimmte Maßnahmen nicht umgesetzt und das können wir auch nachweisen.

Thomas: Und dann ist das zur Klage gekommen und das Oberlandesgericht in Schleswig hat

Thomas: jetzt der Versicherung auch Recht gegeben.

Thomas: Insofern ist das ein Riesenthema.

Thomas: Ich sage mal, so eine Cyberversicherung kostet so ein mittleres Unternehmen

Thomas: zwischen 5.000 und 50.000 Euro jährlich.

Thomas: Da sind wir. Bei größeren Unternehmen können wir da auch in Null ranhängen.

Thomas: Aber das sind natürlich alles Voraussetzungen, die natürlich dazu führen,

Thomas: dass wir diese Hebel haben.

Thomas: Also der Versicherer sorgt schon dafür, wenn du versichert werden musst,

Thomas: dann musst du auch bestimmte technische und organisatorische Maßnahmen erfüllen.

Thomas: Ansonsten hast du nicht mal die geringste Chance, eine Versicherung zu bekommen.

Monina: Das heißt, man kann gar nicht alle Verantwortung abwälzen dadurch,

Monina: weil man muss dann schon mal einen Standard erfüllt haben oder einen Grundkürz

Monina: erfüllt haben, bevor man sich überhaupt dahin begeben kann.

Thomas: Absolut, ja.

Monina: Das ist ja auch beruhigend aus Sicht der Cyber-Sicherheit. Gut,

Monina: wenn wir jetzt sagen, wir führen jetzt flächendeckend in absehbarer Zeit ein

Monina: oder haben das in absehbarer Zeit dann eingeführt.

Monina: Wie waren bisher die Statistiken oder die Zahlen von den Leuten,

Monina: die sich schon gemeldet haben, von denen ihr es habt?

Monina: Im Vergleich zu denen, von denen ihr erwartet, dass sie sich melden für NIST 2?

Marian: Also ich habe jetzt nochmal geguckt. Das ist natürlich doll hochgegangen,

Marian: kurz vor dem Ablauf der Frist.

Marian: Wir sind, glaube ich, jetzt gerade bei knapp 17.000 von geschätzten 30.000.

Marian: Das ist natürlich noch nicht ideal. Wir wissen natürlich trotzdem,

Marian: also aus manchen Gründen, die auch gar nichts mit uns zu tun haben,

Marian: die Betroffenheitsanalyse ist komplex.

Marian: Die Art und Weise, wie die Authentifizierung im Portal funktioniert,

Marian: ist auch nicht ganz einfach.

Marian: Und wir denken, also wenn wir diese Kurve weiter denken, also wenn man das so

Marian: weiterdenkt, dann sind wir in acht Wochen da.

Marian: Also das wäre, es würde auch nicht passieren, aber so grundsätzlich es kommen

Marian: immer noch mal mehr rein.

Monina: Gut, genau. Wenn wir das also demnächst in acht Wochen dann irgendwann flächendeckend eingeführt haben.

Monina: Was erhofft ihr euch alle davon in Bezug auf Verbesserung der Cybersicherheit,

Monina: der Resilienz, der Bevölkerung und auch vielleicht der Vereinfachung der täglichen Arbeit dadurch?

Monina: Also ein bisschen hatten wir es gerade schon, aber gibt es da noch weitere Punkte,

Monina: was ihr euch davon erhofft?

Bastian: Ja, wir hatten ja schon so ein bisschen das Thema gestriffen,

Bastian: Multiplikator-Funktion.

Bastian: Und ich erhoffe mir jetzt so ganz persönlich, dass das Thema im Unternehmen

Bastian: auch einen gewissen breiteren oder größeren Stellenwert bekommt.

Bastian: Weil wenn wir jetzt über 2000 Menschen sprechen, die eigentlich fast alle täglich

Bastian: mit irgendeiner Art von IT umgehen, ob das jetzt ein Handy ist oder ein Laptop oder, oder, oder.

Bastian: Dieses Denken in diese über 2000 Köpfe zu bekommen, das klingt so einfach,

Bastian: aber es ist tatsächlich ein Riesenthema.

Bastian: Und als wir uns hier im Vorgespräch getroffen hatten, da habe ich gesagt,

Bastian: ich habe so einen Laptop dabei, wenn ich da einen USB-Stick reinstecke,

Bastian: dann explodiert er wahrscheinlich.

Bastian: Weil unsere IT-Sicherheit sagt, USB-Sticks gehen nicht in unsere Laptops.

Bastian: Bis das der Letzte verstanden hat, dass das wirklich so ist und dass das nicht

Bastian: funktioniert und dass man das nicht machen soll. Das war ein ziemlich langer Prozess.

Bastian: Und möglicherweise helfen ja jetzt solche Dinge und auch solche neuen Regelungen,

Bastian: solche neuen Gesetze, dass solche Prozesse in Zukunft etwas schneller gehen.

Bastian: Wäre zumindest mein Wunsch und meine Erwartungshaltung.

Monina: Optimistisch, aber ja. Warum nicht?

Marian: Also das Ding ist, NIST 2 lässt sich auch nicht einführen. Du bist ja nicht fertig dann.

Marian: Du fängst dann an und hörst nie wieder auf, etwas zu tun. Das ist das Schöne daran.

Marian: Informationssicherheit ist eine Aufgabe, die du quasi die ganze Zeit machen

Marian: musst. Du kannst nicht wieder aufhören. Das ist wie abnehmen. Ganz schrecklich.

Marian: Aber nein, es ist wirklich...

Monina: Das ist sehr ermutigend für Leute, die damit...

Marian: Aber das ist nämlich am Ende das Ding. Keine von den Maßnahmen ist,

Marian: wie gesagt, mehr als basal.

Marian: Es ist ganz viel einfach so, um dieses 80 Prozent an Sicherheit mit 20 Prozent

Marian: des Aufwands zu erzeugen.

Marian: Erfolgreich sind wir, glaube ich, wenn wir das nicht als Pflicht sehen,

Marian: sondern das ist wirklich eine Chance. Das ist wirklich was, wo am Ende alle

Marian: von profitieren, nicht zuletzt, wie gesagt, die Bevölkerung und die Wirtschaft insgesamt.

Marian: Ich glaube, dass wir damit auch Erfolg gehabt haben, wenn wir das einfach mal

Marian: anlegen, was bei Kritis war.

Marian: Bei Kritis sehen wir über diese lange Zeit, dass stetig langsam,

Marian: aber stetig sich die Qualität der Nachweise,

Marian: also der Informationssicherheit bei kritischen Infrastrukturen verbessert hat.

Marian: Mängel werden abgestellt.

Marian: Offensichtlich findet auch eine Sensibilisierung bei diesen Unternehmen der

Marian: Daseinsversorge statt. Es wird stetig immer besser.

Marian: Und ich glaube, das ist was, was im besten Fall auch bei NIS II passiert.

Monina: Gut. Hast du noch Hoffnung oder Wünsche oder Erwartungen hinzufügen?

Thomas: Ja, also für uns ist es erstmal sehr wichtig, dass die NIS II Umsetzung kein

Thomas: reiner Papiertiger ist, Sondern, dass die Unternehmen auch etwas tun und das auch langfristig tun.

Thomas: Also, dass Pentests auch gemacht werden und dass sie auch richtig gemacht werden.

Thomas: Und dass Wiederherstellungen überprüft werden.

Thomas: Also, dass wir mal das Thema BCM uns anschauen, dass wir das Thema SOC uns anschauen.

Thomas: Wie reagieren unsere Geräte? Was machen wir an wirklicher Angriffsfrüherkennung?

Thomas: Dass wir auch die technischen Dinge wirklich umsetzen und nicht nur dokumentieren,

Thomas: dass auch echte Cybersicherheit da ist.

Thomas: Und das ist so ein Thema, da streiten wir uns manchmal gerne auch mit Behörden,

Thomas: die das Ganze immer sehr, sehr gut dokumentiert haben wollen.

Thomas: Wir sagen ja, aber wir machen das.

Thomas: Wir sind schlecht im Dokumentieren, aber wir machen das richtig geil.

Thomas: Wir machen richtig gute Panthests und sonst irgendwas, aber keiner von den Techies

Thomas: hat Lust, ihn zu dokumentieren.

Thomas: Ja, das ist immer so ein bisschen die Balance, die wir machen müssen und deswegen

Thomas: ist mein ganz klarer Wunsch, dass wir eine gute Handreichung bekommen vom Amt,

Thomas: womit wir auch arbeiten können,

Thomas: die uns helfen, Dinge umzusetzen, dass die Unternehmen das einfach ein bisschen

Thomas: einfacher haben und wir eben unsere technischen Maßnahmen gut umsetzen können,

Thomas: damit wir eine echte Cybersicherheit auch bekommen.

Monina: Fair, das klingt auch nicht verkehrt als Wunsch.

Monina: So, jetzt nochmal so ein Abschlussstatement vielleicht. Wir haben jetzt mal

Monina: eine gute Runde geschlossen. Einmal im Grob- und Schnelldurchgang über NIST 2.

Monina: Macht NIST 2 uns jetzt sicherer oder ist es nur, das war ja ein bisschen schon

Monina: in deinem Satz mit drinnen, ist es nur ein teures Feigenblatt oder macht uns das wirklich sicher?

Monina: Weil wir Probleme, können wir Probleme umgehen damit und auch Versicherung verlagern?

Monina: Also ein bisschen haben wir es eigentlich, glaube ich, schon beantwortet.

Monina: Also eigentlich haben wir ja schon jetzt gerade gehört, man kann durch Versicherungen

Monina: das Ganze nicht wirklich umgehen.

Monina: Man muss sich trotzdem an gewisse Sachen halten.

Monina: Es ist die Hoffnung zumindest, dass es tatsächlich nicht nur auf dem Papier,

Monina: sondern auch wirklich in der Praxis ankommt.

Monina: Was habt ihr denn so jetzt als NIST 2, jetzt geht es richtig los als Abschlussstatement dazu?

Monina: Vielleicht in umgekehrter Reihenfolge. Wer möchte anfangen, Thomas?

Thomas: Ich habe es ja eben schon gesagt. Also ganz klar, mein Wunsch oder mein Ziel

Thomas: von NIST 2 ist, also ich erstmal, ich bin ein ganz, ganz großer Fan davon,

Thomas: weil das wirklich erheblich Bewegung in den Markt gebracht hat.

Thomas: Also wir haben vorher bei unseren Beratungen mal gesagt, hey,

Thomas: du musst mehr für deine Informationssicherheit tun und dann heißt es immer,

Thomas: ihr wollt nur mehr verkaufen.

Thomas: Und jetzt dreht sich das langsam um. Das heißt, die Unternehmen sagen,

Thomas: ich glaube, wir müssen doch mehr machen.

Thomas: Wir haben ja einfach Anforderungen, die wir umsetzen wollen.

Thomas: Ich bin ein großer Fan davon, weil mit einem Mehr an Informationssicherheit ist uns allen gedient.

Thomas: Weil jedes Unternehmen, was ausfällt, ist ein wirtschaftlicher Schaden,

Thomas: ist ein volkswirtschaftlicher Schaden, ist ein Riesenproblem.

Thomas: Und die Angriffe werden ja nicht weniger.

Thomas: Also gerade die Weltsituation spricht ja gerade absolut für mehr Cybersicherheit.

Thomas: Da müssen wir uns nichts vormachen.

Thomas: Und ich kann nur nochmal wiederholen, es darf kein Papiertiger sein.

Thomas: Wir müssen das wirklich in der praktischen Umsetzung haben und es muss ein permanenter

Thomas: Prozess sein, wo alle, sag ich mal, Stakeholder auch in einer guten Kommunikation miteinander sind.

Thomas: Weil das fehlt sehr oft, dass eben die Beteiligten nicht miteinander sprechen.

Thomas: Und das ist mein großer Wunsch dabei.

Monina: Kommunikation, schwierige Sache. Immer, aber hoffen wir mal.

Monina: Was ist denn dein Abschlussstatement oder dein Statement dazu jetzt?

Marian: Für das BSI ist immer schon mehr Cybersicherheit, Staat, Wirtschaft und Gesellschaft für alle immer.

Marian: Egal ob reguliert oder nicht, alle sollen mehr machen. Und dass es NIS II jetzt

Marian: gibt, ist ein Versuch eben dieses grundsätzliche Problem zu lösen,

Marian: dass wir das Gefühl haben,

Marian: aus welchem Anspruch auch immer machen Unternehmen nicht genug,

Marian: um sich selber zu schützen, obwohl die Gefahr wirklich real ist.

Marian: Und auch die Gefahr für ihr wirtschaftliches Übernehmen ganz, ganz klar da ist.

Marian: NIS II löst es alleine nicht. Das ist einfach, das formalisiert Regeln,

Marian: die es eigentlich schon gibt oder die es zumindest geben sollte.

Marian: Was wir jetzt als Aufgabe haben, ist das wirklich in Leben zu gießen.

Marian: Und da, again, es geht darum, das gemeinsam zu machen. Wir als BSI machen das

Marian: sehr, sehr intensiv, dass wir wirklich ganz intensiv in Kontakt gehen mit der

Marian: Wirtschaft, dass wir versuchen wollen zu verstehen,

Marian: was brauchen die und wie können wir das machen, dass sie bei dieser Umsetzung

Marian: bestmöglich betreut sind oder unterstützt sind.

Marian: Wir haben natürlich nur begrenzte Möglichkeiten. Wir können nicht bei jedem hinfahren.

Marian: Unsere Präsidentin Claudia Plattner sagt immer, wir können nicht bei jedem mit

Marian: dem Helikopter einfliegen und die Patches einspielen. Es geht nicht.

Monina: Aber sehr, sehr beeindruckend.

Marian: Es wäre sehr beeindruckend. Aber was wir machen können, ist versuchen irgendwie

Marian: Unsicherheiten zu nehmen,

Marian: versuchen irgendwie ein bisschen an Wissen aufzubauen und mit so ein bisschen

Marian: Schubs können manche dann doch weiterlaufen, als sie jetzt denken.

Monina: Das heißt, ihr arbeitet aber auch massiv dran, zu dem jetzt schon beeindruckenden

Monina: Aufgebot, das ihr online habt, zu Informationsmaterial ZINES 2 auch noch mehr

Monina: hinzuzufügen, Kommunikation mit Wirtschaft und Verbänden.

Marian: Ja, wir wären nicht arbeitslos.

Monina: Das ist gut zu hören. Was hast du noch als Abschlussstatement ZINES 2 hier?

Bastian: Also ich befinde mich ja in einem offensichtlichen Fankreis von diesem Gesetz

Bastian: und ich will mich da auch gerne anschließen.

Bastian: Also ich bin ein großer Fan von Cybersicherheit, weil ich weiß,

Bastian: was sie im täglichen Leben, im täglichen Umgang mit dem Betrieb von kritischer

Bastian: Infrastruktur bedeutet.

Bastian: Und alles, was uns stärkt, diesen Weg zu gehen, sehe ich erst mal positiv.

Bastian: Und alles, was sozusagen auf veränderte Bedrohungslagen in irgendeiner Form

Bastian: reagiert durch solche Regelungen, Gesetze, Verordnungen, sehe ich erst mal positiv.

Bastian: Und ich bin im Grunde genommen auch wieder bei dem Statement davor,

Bastian: dass wir das als Multiplikator-Funktion nutzen müssen, sowohl innerhalb des

Bastian: Unternehmens als auch nach draußen.

Bastian: Wir haben über Lieferantenbeziehungen etc.

Bastian: Gesprochen, dass letztendlich jeder in der Kette die gleiche Sensibilität an

Bastian: den Tag legt, wie wir es tun und mit dem gleichen Gedanken daran geht,

Bastian: was wir eigentlich erreichen wollen.

Bastian: Nämlich jetzt mal für mich, für uns gesprochen, sicheren und zuverlässigen Netzbetrieb

Bastian: 24 Stunden, 7 Tage die Woche.

Bastian: Damit hier das Licht leuchtet und damit wir hier Podcast-Aufzeichnungen machen

Bastian: können, weil ohne Strom wird das alles next.

Monina: Fair.

Monina: Gut, ich finde, das war ein deutlich, ich sage jetzt mal, positiveres und motivierenderes,

Monina: Schlussfazit, als ich befürchtet hatte tatsächlich.

Monina: Insofern sind das schöne Schlussworte und wir können uns damit jetzt dann erstmal

Monina: in die Zukunft begeben und gucken, wie das jetzt vielleicht in einem Jahr dann

Monina: ausschaut mit der Umsetzung von NIS-2.

Monina: Insofern an alle auch hier, das war unsere heutige Aufnahme der Sicherheitslücke

Monina: live von der GE-Sicherheit zum Thema NIS-2, was nun?

Monina: Ich hoffe, es hat allen gefallen. Weiterführende Links und Shownotes,

Monina: also weiterführende Links packen wir in die Shownotes.

Monina: Die findet ihr, wenn ihr unseren Podcast irgendwo gefunden habt,

Monina: in den Shownotes oder auf unserer Webseite sicherheitslücke.fm.

Monina: Genau, Podcast, den findet ihr, wenn er dann rauskommt überall, wo es Podcasts gibt.

Monina: Unsere Kapitelbildchen werden wieder von der fantastischen Anne gemalt und Christian

Monina: wird uns den Schnitt noch machen von dem Ganzen.

Monina: Und auch nochmal ein Dank an die Hamburg Open Online University,

Monina: die das Ganze uns wirklich macht.

Monina: Das war's für heute von mir, Monina Schwarz und unseren tollen Gästen.

Marian: Thomas Holst, Marian Blok.

Bastian: Bastian Pfarrherr.

Monina: Auf Wiedersehen.