NIS-2 mit Dennis-Kenji Kipker

Shownotes

Wie ist der Stand bei der Umsetzung des NIS-2 Umsetzungsgesetzes in Deutschland? Welche konkreten Punkte sollten Unternehmen, Verwaltung und Behörden schon jetzt beachten? Diese und viele weitere Fragen haben wir mit Prof. Dr. Dennis Kenji-Kipker besprochen. Dennis ist ausgewiesener Experte für Cyversicherheitsrecht und hat unter anderem als Sachverständiger in einer Anhörung des Deutschen Bundestags zum Thema NIS-2 beraten.

Mehr zu unserem Gast

Website Dennis-Kenji Kipker

Wikipedia: Dennis-Kenji Kipker

Cyberintelligence Institute

Links zur Episode

Europäische Richtlinie als Basis für NIS 2

Übersichtsseite der Bundesregierung zum Umsetzungsstand von NIS-2

Gesetzesentwurf der Regierung, über den in dieser Episode gesprochen wird

BSI: NIS-2

BSI: Gesetze zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG)

Wikipedia: Kritische Infrastruktur (KRITIS)

BSI: NIS-2 Betroffenheitsprüfung

BSI: IT-Grundschutz

Wikipedia: Computer Emergency Response Team (CERT)

Wikipedia: Software-Lieferkette und SBOM

Wikipedia: DORA

Artaker: Unterschiede zwischen NIS-1 und NIS-2

Secjur: NIS-1 vs. NIS-2

Podcast App Empfehlungen

Unsere Kapitelbilder könnt ihr mit einer guten Podcast App sehen. Zum Beispiel mit:

Antenna Pod (Android)

Pocket Casts (Android & iOS)

Overcast (iOS)

Die Sicherheits_lücke im Netz

Abonniere Die Sicherheits_lücke überall, wo es Podcasts gibt, oder über unsere Website: https://www.sicherheitsluecke.fm

Die Sicherheits_lücke bei Mastodon

Die Sicherheits_lücke bei LinkedIn

Die Sicherheits_lücke bei Pixelfed

Feedback oder Kritik? Wünsche? Schreib uns: post@sicherheitsluecke.fm

Die Sicherheits_lücke ist ein Podcast der Hamburg Open Online University (HOOU).

Monina Schwarz, LSI Bayern

Ingo Timm beim DFKI

Volker Skwarek an der HAW Hamburg

Produktion und Musik: Christian Friedrich

Das in dieser Episode verwendete Bildmaterial steht unter der Lizenz CC-BY 4.0, Urheberin ist Anne Vogt.

Podcast Design: Anne Vogt

Transkript anzeigen

Volker: Moin Moin, herzlich willkommen zu unserem Podcast, die Sicherheitslücke mit

Volker: Volker Skwarek von der HAW Hamburg.

Monina: Monina Schwarz vom LSI.

Ingo: Ingo Timm vom DFKI und der Uni Trier.

Volker: Wir zeichnen heute am 28.03.2025 die vierte Episode zu einem hochaktuellen und

Volker: im regulatorischen Kontext allgegenwärtigen Thema NIST-2-Regulation auf.

Volker: Als besonderen Gast haben wir Professor Dennis-Kenji Kipker, einem Experten,

Volker: auch oder auch sehr stark für die NIST-2-Regulierung, mit an Bord.

Volker: Dennis ist unter anderem auch bei Regierungskonsultationen mit dabei.

Volker: Herzlich willkommen, Dennis. Meine Frage an dich erstmal,

Volker: wie schafft man das eigentlich eine so hohe Reichweite, eine so hohe Strahlkraft

Volker: und auch vor allem eine so hohe Kompetenz in diesem Bereich schon so schnell

Volker: aufzubauen, gerade wo wir noch in dieser Regulations- und Abstimmungsphase sind?

Dennis: Ja, also einerseits ist es natürlich ein wichtiges Thema. Also wir haben in

Dennis: den letzten 10, 15 Jahren wahnsinnig viel vernetzt, viel digitalisiert und haben

Dennis: natürlich auch gesehen, dass damit auch die Zahl an Angriffsvektoren zunimmt.

Dennis: Zum anderen ist es auch so, dass sich einfach seit 2020 die globalpolitische

Dennis: Lage und damit auch die Cybersicherheitslage gravierend geändert hat.

Dennis: Also wir sprechen über die Corona-Pandemie, da haben wir erstmals einen Peak

Dennis: in der Bedrohungslage gesehen. Wir sprechen über den nach wie vor fortdauernden

Dennis: völkerrechtswidrigen Angriffskrieg der russischen Föderation gegen die Ukraine.

Dennis: Gleichzeitig sehen wir natürlich auch die Spannungen im Fernost nach wie vor,

Dennis: also insbesondere im Blick auf die Volksrepublik China, Taiwan.

Dennis: Das heißt, man kann schon sagen, Cybersicherheit ist in aller Munde und das

Dennis: hängt auch so ein bisschen damit zusammen, dass beispielsweise vor zehn Jahren,

Dennis: sage ich mal 2015, das BSI noch fast kein Mensch gekannt hat.

Dennis: Also es war ein Insider-Thema, Cyber-Security-Spezialisten, die haben sich damit

Dennis: befasst, die standen im Austausch mit der Behörde. Wenn man mal schaut,

Dennis: wo ist das BSI heute vertreten?

Dennis: Also ich von Instagram irgendwie über LinkedIn bis in alle Boulevard-Medien

Dennis: rein, bis zur Apotheken Umschau.

Dennis: Also ich glaube, jeder hat das Thema Cyber Security auf dem Schirm.

Dennis: Und bei mir persönlich ist es einfach so ein bisschen zur rechten Zeit am rechten Ort gewesen.

Dennis: Also wir hatten damals an der Uni Bremen, wo ich dann als wissenschaftlicher

Dennis: Mitarbeiter, als Postdoc gearbeitet habe,

Dennis: das Glück vom Bundesforschungsministerium den Zuschlag zu bekommen für eines

Dennis: der großen Begleitforschungsprojekte, die eben die Einführung des ersten IT-Sicherheitsgesetzes

Dennis: in Deutschland zum Gegenstand hatten.

Dennis: Und da geht es ja viel um den Schutz von Kritis, also die ganzen kritischen Infrastrukturen.

Dennis: Viele Sektoren, viele Branchen waren das erste Mal Cyber Security reguliert

Dennis: und wir hatten die verantwortungsvolle Aufgabe, den Rollout,

Dennis: dieses ersten IT-SIG zu begleiten und da haben wir dann relativ früh gesagt.

Dennis: Auch festgestellt, es gibt eigentlich nicht viel. Also wenn man mal schaut,

Dennis: Cyber Security Regulierung, also wenn man sich das Recht anschaut,

Dennis: war bislang all die Jahre zuvor so ein Anhängsel vom technischen Datenschutz

Dennis: so ein bisschen, dass man gesagt hat, ja ohne Datensicherheit gibt es eben keinen Datenschutz.

Dennis: Und da hat sich das erste Mal dieses ganze Rechtsgebiet als eigenständiges Rechtsgebiet

Dennis: entwickelt und das haben wir natürlich genutzt.

Dennis: Wir hatten große Finanzmittel an der Stelle, auch um Konferenzen,

Dennis: Vorträge zu organisieren, Veranstaltungen zu besuchen und wir hatten auch die

Dennis: Aufgabe, das Thema Cyber Security Compliance, also Regulierung,

Dennis: voranzubringen und das haben wir an der Stelle dann dementsprechend auch genutzt

Dennis: und mit den Entwicklungen, die ich eingangs skizziert hatte,

Dennis: hat das dann eben eine ganz gute Symbiose ergeben.

Volker: Alles klar. Ja, also ich finde es beeindruckend.

Volker: Ich finde es toll, bei so einem Thema wirklich so früh mit dabei sein zu können

Volker: und vor allen Dingen das auch zu prägen.

Volker: Hier meine erste Frage mal. Also wir reden ja im Moment über einen Regierungsentwurf,

Volker: der aus dem Juli letzten Jahres stammt und eigentlich bis, ich glaube, 16.

Volker: Oktober oder sowas hätte verabschiedet werden müssen, um diese Zwei-Jahres-Grenze

Volker: der EU-Regulierung einhalten zu können. Naja, wir wissen, was in dem Zeitraum

Volker: passiert ist und dass unsere Regierung da etwas anderes zu tun hatte.

Volker: Aber also wir sprechen über diesen Entwurf, wir packen den auch in die Shownotes rein.

Volker: Und hier so schon allein in der Präambel bin ich ein bisschen gestolpert.

Volker: Da heißt es Problem und Ziel.

Volker: Also ich fasse es nochmal zusammen. Wir digitalisieren halt mehr und wir brauchen

Volker: das zur Effizienzsteigerung. Und daher müssen wir eben auch ein bisschen,

Volker: steht da nicht, aber so ein bisschen an die Security denken.

Volker: Ist das nicht irgendwie, also aus meiner Sicht ist das ein absolut falsches

Volker: Vorgehen, weil ohne Security als Fundament dürften wir gar nicht digitalisieren.

Volker: Weil alles, was wir digitalisieren, entfernt eigentlich Redundanz.

Volker: Überall, wo Redundanz fehlt, sind wir hochgradig vulnerable,

Volker: weil da kann man an einer Stelle alles kaputt machen und wir funktionieren nicht mehr.

Volker: Müsste man das nicht eigentlich auch politisch genau umgekehrt denken,

Volker: erst Security und alles, wo es keine Security für gibt, lassen wir die Digitalisierung,

Volker: weil sie gefährdet uns mehr, als sie bringt.

Dennis: Also,

Dennis: Ich denke an der Stelle, dass Digitalisierung

Dennis: vor allem auch durch Wirtschaftsunternehmen getrieben wird.

Dennis: Das heißt, sie bringen bestimmte Produkte, Dienste auf den Markt.

Dennis: Diese Produkte, Dienste werden nachgefragt. Und Cybersecurity ist,

Dennis: glaube ich, etwas, was in der Vergangenheit einfach hinten übergefallen ist.

Dennis: Man hat natürlich bestimmte Time-to-Market-Zeitspannen.

Dennis: Das Ganze muss wirtschaftlich sein.

Dennis: Und Cybersecurity ist auch etwas, da kann man Management schwer von überzeugen.

Dennis: Und Cybersecurity ist eine Investition, die man erstmal auch überhaupt nicht

Dennis: sieht an der Stelle. Und es ist jetzt dann problematisch, weil irgendwelche

Dennis: Systeme, wie du es auch schon gesagt hast, nicht mehr laufen.

Dennis: Also sei es, weil es irgendwelche Schwachstellen gegeben hat,

Dennis: die ausgenutzt wurden, weil es Cyberangreifer gegeben hat oder auch letzten

Dennis: Endes war einfach nur, bestimmte Produkte am Ende aus einem bestimmten Grunde

Dennis: heraus gar nicht mehr funktionieren.

Dennis: Und was die Regulierung da macht, ist, dass man einfach nur erkannt hat,

Dennis: dass diese Defizite vorhanden sind.

Dennis: Und das ist auch das, was eben politisch getan wird, eine Reaktion darauf entwickelt wird.

Dennis: Und diese politische Reaktion ist eine Gesetzgebung gewesen.

Dennis: Und es wäre natürlich wünschenswert gewesen, wenn man von Anfang an gesagt hätte,

Dennis: wir müssen Security by Design,

Dennis: Security by Default umsetzen, das in die Entwicklungsprozesse von Anfang an

Dennis: integrieren, über den gesamten Lebenszyklus eines Produktes analysieren und

Dennis: auch fortsetzen bis zur Abkündigung.

Dennis: Das wäre wundervoll für die Cybersicherheit. Aber dann hätten wir natürlich

Dennis: einerseits kein Problem mehr mit der Cybersicherheit.

Dennis: Das ist ganz klar. Dann bräuchten wir in dem Sinne jetzt auch nicht über ein

Dennis: IT-Sicherheitsgesetz, über eine NIST-2-Richtlinie sprechen.

Dennis: Und andererseits ist es natürlich auch so, dass die irgendwo dann Illusion ist.

Dennis: Und man sieht es jetzt ja auch schon beispielsweise bei der Datenschutz-Grundverordnung.

Dennis: Wir haben die Datenschutz-Grundverordnung seit fast zehn Jahren, ist sie wirksam.

Dennis: Und es gibt Unternehmen, die haben immer noch nichts vom europäischen Datenschutz

Dennis: gehört. Und da kommt dann natürlich irgendwann der Gesetzgeber ins Spiel und

Dennis: sagt, wir müssen Cyber Security zu einer Pflicht für alle machen.

Monina: Gut und ich meine, wir haben jetzt ja auch schon NIS generell länger und jetzt

Monina: kommen ja mit NIS 2 eigentlich auch noch einen Haufen Einrichtungen mehr dazu

Monina: oder der Bereich, auf wen das Ganze zählt, erweitert sich ja um einiges.

Monina: Unter anderem zählen jetzt ja einige Einrichtungen der öffentlichen Verwaltung

Monina: dazu wo meine erste Frage tatsächlich wäre,

Monina: klar man kann sich das irgendwie vorstellen warum die dazukommen es gibt schon

Monina: auch öffentliche Verwaltung die irgendwie relevant genug ist,

Monina: dass wenn sie auffällt Leuten unangenehm auffällt aber das ist ein bisschen

Monina: also das ist gerade für mich spannend mit den Bereichen der öffentlichen Verwaltung

Monina: was kommt denn da genau dazu gibt es da eine genauere Aussage schon.

Dennis: Also grundsätzlich ist es so, dass NIS II selbst sagt, private Einrichtungen

Dennis: wie öffentliche Einrichtungen sind gleichermaßen von der Regulierung umfasst.

Dennis: Der deutsche Gesetzgeber, und das ist die Krüx an der ganzen Geschichte,

Dennis: hat damals aber schon im Rechtsetzungsverfahren auf europäischer Ebene darauf

Dennis: hingewirkt, dass Ausnahmeregelungen geschaffen werden können für die öffentliche Verwaltung.

Dennis: Das heißt, man hat sich da schon so eine Hintertür offen gehalten und hat dann

Dennis: letzten Endes auch im nationalen Umsetzungsgesetzgebungsverfahren unter der

Dennis: alten Regierung jetzt natürlich noch von dieser Hintertür auch Gebrauch gemacht und hat gesagt, ja,

Dennis: also vor allen Dingen, was hier kritisiert wurde, sind die Kommunen,

Dennis: die Städte, was da Cybersicherheit angeht.

Dennis: Wir sehen es ja im laufenden Band, man braucht nur in die Medien reinschauen,

Dennis: das ist ein Riesenproblem, nicht nur in Deutschland, sondern beispielsweise

Dennis: auch in Österreich, dass Kommunen immer wieder erfolgreich angegriffen werden.

Dennis: Man meint nicht nur kritische Versorgungsdienstleistungen wie Energie,

Dennis: Wasserversorgung, Abfallwirtschaft, was von Kommunen bewirtschaftet wird,

Dennis: sondern natürlich auch solche Sachen wie Bürgerdienste, digitale Bürgerdienstleistungen,

Dennis: die dann nicht mehr funktionieren.

Dennis: Also dass man irgendwie sich den Reisepass nicht mehr ausstellen kann,

Dennis: kein Kfz-Kennzeichen mehr bekommt, das sind ja schon ganz essentielle Dinge.

Dennis: Aber der Gedanke an der Stelle ist dann gewesen, bei der Regulierung zu sagen,

Dennis: wir versuchen einerseits bei NIST 2 eine flächendeckende Cybersicherheit in

Dennis: der Europäischen Union ganzheitlich aufzubauen.

Dennis: Aber der deutsche Gesetzgeber hat gesagt, ja, die Kommunen, die haben ja eine

Dennis: Selbstverwaltungsautonomie.

Dennis: Also die müssen ja eigentlich und dürfen auch selbst entscheiden,

Dennis: was sie wie und wo machen. Und dazu gehört natürlich auch Cybersecurity.

Dennis: Und dann überlassen wir es doch den Kommunen, wie sie ihre Cybersicherheitsstandards

Dennis: definieren, was sie umsetzen und was sie lassen. Ist natürlich nicht ein Feigenblatt.

Dennis: Dafür, dass man sagen will, wir haben weder personelle Ressourcen noch wirtschaftliche

Dennis: Ressourcen, um Cyber Security flächendeckend in Deutschland umzusetzen.

Dennis: Und wenn man sich mal zurückerinnert an die Debatten, die wir zum Ende vergangenen

Dennis: Jahres auch mit Blick auf die Nationalen S2-Umsetzungen im Bundestag geführt

Dennis: haben, da wird relativ deutlich, wie schwierig es selbst Bund und Ländern fällt.

Dennis: Also ich spreche jetzt hier von der Zentralregierung, ich spreche von den Landesregierungen

Dennis: der Bundesländer in Deutschland, in Cybersicherheit zu investieren.

Dennis: Christian Lindner, seinerzeit ja noch Finanzminister, hat dann ja überhaupt

Dennis: die Überlegungen angestellt, wie viel das Ganze eigentlich kosten sollte,

Dennis: dass man bestimmte Einrichtungen auf Bundesebene rausgenommen hat,

Dennis: dass man gesagt hat, wir nehmen nur die Bundesministerien als höchste Behörden rein.

Dennis: Bei den Bundesländern ist es so, sie müssen zwar NIS II umsetzen,

Dennis: weil NIS II verlangt natürlich für alle Staaten europaweiten einheitlichen Cybersicherheitsstandards,

Dennis: egal ob sie jetzt föderalistisch organisiert sind oder nicht.

Dennis: Aber dann haben dann auch die Länder teilweise gesagt, wir machen das unterschiedlich.

Dennis: Ja, Nordrhein-Westfalen hat zum Beispiel in einer Auskunft an den WDR gesagt.

Dennis: Ach, bei einigen Punkten sind wir schon 20 Jahre lang mit NS2-konform eigentlich,

Dennis: da brauchen wir gar nichts mehr machen und dann machen wir einfach nur so einen

Dennis: Verwaltungserlass, der dann NS2 umsetzt.

Dennis: Andere Bundesländer sind hingegangen, haben eigene Cybersicherheitsgesetze geschaffen

Dennis: und wiederum einige andere haben gar nichts gemacht bislang.

Dennis: Und da kann man schon sehr, sehr gut erkennen, wie unterschiedlich Cyber Security

Dennis: eigentlich aufgefasst wird. Und das ist, glaube ich, trotz dieser Bedrohungslage,

Dennis: über die wir eingangs gesprochen haben, die ja ganz massiv ist,

Dennis: noch nicht bei allen durchgedrungen ist.

Dennis: Da muss man eigentlich viel, viel mehr machen und wir können nicht nur über

Dennis: Awareness reden und am Ende nichts tun.

Monina: Das heißt, wir haben jetzt dann auch nicht nur eine abgespeckte Version von

Monina: dem, was in NIST 2 steht, was wahrscheinlich dann bei uns in die Umsetzung kommen

Monina: wird, was die Betroffenen oder davon betroffenen Stellen angeht,

Monina: sondern es ist auch generell noch nicht breit genug gedacht, oder?

Monina: Also habe ich das jetzt so richtig verstanden, dass es eigentlich noch viel

Monina: mehr, als da jetzt definiert ist, drinnen drunter fallen müsste?

Dennis: Ja, also wenn wir Cybersicherheit ganzheitlich angehen wollen würden,

Dennis: dann müssten wir definitiv noch deutlich weitergehen.

Dennis: Aber das ist natürlich das Optimum. Also man muss natürlich sehen,

Dennis: jedes Gesetz unterliegt am Ende einem Kompromiss. Also man muss ja irgendwie

Dennis: diesen politischen Willensbildungsprozess durchlaufen, sowohl in der Europäischen

Dennis: Union wie auch in den nationalen Parlamenten.

Dennis: Und Gesetzgebung ist an der Stelle keine Wissenschaft.

Dennis: Also es ist nicht irgendwie zwingend evidenzbasiert. Es ist nicht alles nachvollziehbar,

Dennis: nachweisbar oder vielleicht auch zu 100 Prozent transparent,

Dennis: warum eine bestimmte Regelung so formuliert ist,

Dennis: wie sie formuliert ist. Und da muss man gewisse Abstriche machen.

Dennis: Aber wir werden es auch aufgrund dieser zahlreichen Ausnahmetatbestände,

Dennis: die auch genutzt werden, wie wir gesehen haben, nicht schaffen,

Dennis: mit NIS2 ein flächendeckend einheitlich hohes Cybersicherheitsniveau herzustellen.

Dennis: Das Interessante, vielleicht da auch noch eine Anekdote,

Dennis: also wir als Cyber Intelligence Institute haben beispielsweise auch eine Studie

Dennis: erstellt, wo wir den Umsetzungsstand in allen 27 Mitgliedstaaten der Europäischen

Dennis: Union für NS2 verglichen haben.

Dennis: Aufgrund des Verfalls der deutschen Regierung sind wir jetzt in der Europäischen

Dennis: Union das definitive Schlusslicht.

Dennis: Also möglicherweise sind wir sogar der letzte Staat in der Europäischen Union

Dennis: in zeitlicher Hinsicht, der NIS II zur Umsetzung bringt.

Dennis: Aber was eigentlich viel interessanter ist, einige Staaten sind auch hingegangen

Dennis: und haben gesagt, kommunale Infrastrukturen, städtische Infrastrukturen sind

Dennis: in unserer nationalen Umsetzung von NIS II umfasst.

Dennis: Also zum Beispiel Kroatien hat das so geregelt oder Griechenland,

Dennis: die haben auch gesagt, dass lokale Infrastrukturen abhängig von ihrer Risikobewertung

Dennis: durchaus auch vom Anwendungsbereich von NIS II umfasst sein können.

Volker: Dazu habe ich gleich mal eine Frage an dich. Und zwar, wenn man sich den Teil

Volker: D, der Intro von diesem Regierungsentwurf anguckt, das sind die Haushaltsausgaben.

Volker: Also kein Gesetzentwurf ohne irgendwie haushalterische Abschätzung.

Volker: Und da steht tatsächlich, Mehrausgaben für Länder und Kommunen entstehen nicht.

Volker: Und da fehlt mir jegliches Verständnis.

Volker: Das eine ist möglicherweise der regulatorische Wille, dass es doch möglichst bitte nicht passiere.

Volker: Aber wenn man sich doch dieses Gesetz einmal durchliest und auch hier nochmal

Volker: für die Hörerinnen und Hörer. es ist ja nur ein Umsetzungsgesetz,

Volker: es ist ja kein eigenes Gesetz, sondern wir reden über eine EU-Richtlinie.

Volker: Die EU hat also einen Rahmen entschieden, der in nationales Recht überführt

Volker: werden muss, was durch eigene oder schon bestehende Gesetze erfolgen kann.

Volker: Und in Deutschland hat man sich halt entschieden, schon bestehende Gesetze entsprechend

Volker: zu modifizieren, deswegen halt so ein Umsetzungs-Anpassungsgesetz.

Volker: Und wenn man sich das genau anguckt...

Volker: Kann man sagen, naja, es ist im Prinzip, man redet immer von Bundeseinrichtungen,

Volker: Bundesbehörden und so weiter und so weiter,

Volker: aber kritische Infrastruktur, was ist denn zum Beispiel mit Verkehrsleitstellen,

Volker: die in großen Städten sitzen, Landes- oder sogar Kommunalinfrastruktur,

Volker: also die brauchen kein Risikomanagement zu machen, die brauchen keine Cyberübungen zu machen, gar nichts.

Volker: Und das ist egal, ob in der Münchner Innenstadt einfach mal zur Hauptverkehrszeit

Volker: spontan alle Ampeln ausfallen. Ich würde sagen, steht ja da.

Dennis: Ja, und das ist ein ganz großes Problem. Also dass Cybersicherheit da an der

Dennis: Stelle als reine Bundesaufgabe irgendwo definiert wird.

Dennis: Es ist an der Stelle natürlich so, dass der Bund nicht alles regulieren kann.

Dennis: Und diese Kritik ist auch in den Ausschüssen durch die Sachverständigen laut geworden.

Dennis: Und da haben eben an der Stelle auch die Bundestagsabgeordneten,

Dennis: die im zuständigen Ausschuss saßen, auch gesagt, ja, wir können natürlich jetzt

Dennis: keine regulatorische Vorgabe eins zu eins für die Länder an der Stelle machen,

Dennis: weil wir eben dazu auch gar nicht die Befugnisse haben.

Dennis: Aber andererseits gehen wir eben auf die Länder zu, das entsprechend umzusetzen.

Dennis: Das heißt, man kann an der Stelle, glaube ich, was die Regulierung und die Föderalismusweite

Dennis: Umsetzung von NIS II anbelangt, nicht nur dem Bund Vorwürfe machen,

Dennis: sondern glaube ich auch den Ländern,

Dennis: wo das mindestens genauso stiefmütterlich angegangen wurde, das Thema in einigen

Dennis: Bundesländern, wie das für Bundeseigene Einrichtung der Fall gewesen ist.

Ingo: Kann das Problem, dass das NIS II keine Kosten ausweist, also keine entstehenden

Ingo: Kosten auf Land- und kommunaler Ebene ausweist, auch damit zusammenhängen,

Ingo: dass man nicht in den Vermittlungsausschuss wollte?

Ingo: Dass ansonsten ja, wenn es die Finanzen der Kommunen und der Länder betrifft,

Ingo: eigentlich wieder zustimmungswichtig im Bundesrat wird.

Dennis: Mit Sicherheit hat das auch damit zu tun gehabt. Also NIS II und die nationale

Dennis: Umsetzung mit dem NIS II Umsetzungs- und Cybersicherheitsstärkungsgesetz,

Dennis: das ist an der Stelle einfach ein Kompromiss gewesen.

Dennis: Und man hat von Anfang an aber auch nicht das Ziel gehabt, politisch öffentliche

Dennis: Einrichtungen in den Fokus der Umsetzung von NIST II zu stellen.

Dennis: Also es sollte von Anfang an, das war politisch auch so gewollt,

Dennis: vorrangig eine wirtschaftsbezogene Regelung sein und keine Regelung,

Dennis: die eben öffentliche Infrastruktur betrifft.

Volker: Wobei die Wirtschaft sich ja theoretisch eigentlich, ich sag mal ganz gut,

Volker: doch selbst schützen kann. Sie haben so einen Selbstregulationsmechanismus.

Volker: Wir sehen mal zu, dass wir unser Geschäft weiter am Laufen halten können.

Volker: Bei Behörden ist es eher so, dass sie einer gesetzlichen Aufgabe nachkommen

Volker: sollen und müssen, in Klammern, koste es, was es wolle,

Volker: siehe ja dieser, wie viel war das, 200 und x Tage anhaltenden Cyber-Notstand,

Volker: nachdem eine ganze Kommune, ein Landkreis außer Kraft gesetzt wurde.

Volker: Da ist die Frage, müssten wir nicht eigentlich auch doch deutlich ernsthafter

Volker: die Behörden mit in den Blick nehmen?

Dennis: Ja, definitiv. Also man kann eigentlich auch sagen, der Staat hat Geld zu haben.

Dennis: Also du hast es ja auch richtigerweise gesagt, es geht um Grundrechtsberechtigte,

Dennis: also die Bürgerinnen und Bürger, die eben auch von kommunalen Einrichtungen

Dennis: Versorgungsdienstleistungen abverlangen können.

Dennis: Und wir reden ja hier letzten Endes nicht nur darum, dass ich möglicherweise

Dennis: mein Auto nicht zulassen kann oder möglicherweise auch meinen Personalausweis

Dennis: nicht bekomme, sondern viele dieser Leistungen können ja auch beispielsweise,

Dennis: wenn wir die Auszahlung von sozialrechtlich relevanten Summen denken,

Dennis: die eben auch in der Hand der Kommune liegt,

Dennis: dann geht es darum, dass eben Personen auch betroffen sein können,

Dennis: die keine andere Möglichkeit haben, als kommunale Dienstleistungen in Anspruch zu nehmen.

Dennis: Und das ist etwas, was einfach noch nicht im Bewusstsein, glaube ich,

Dennis: der Leute angekommen ist.

Dennis: Und bei den Unternehmen ist es durchaus so, dass man auch sagen kann,

Dennis: ja, Cybersicherheit ist nicht zu 100 Prozent leistbar und gerade auch bei den

Dennis: Unternehmen ist es so, dass man eher wird sagen können, ihr müsst das unter

Dennis: Wirtschaftlichkeitsgesichtspunkte betrachten und das Verhältnismäßigkeitskriterium stärker einhalten.

Dennis: Aber das ist etwas, wo man beim Staat sagen muss, ihr müsst euch daran halten,

Dennis: dass ihr eben beispielsweise nicht nur Bürgerdienste verfügbar haltet,

Dennis: sondern auch Bürgerdaten angemessen schützt, dass sie nicht abfließen.

Dennis: Das ist ja die andere Seite der Medaille von Cybersicherheit.

Monina: Wir kommen jetzt doch wieder zu dem Punkt, dass es eigentlich notwendig wäre,

Monina: dass diese Einrichtungen der öffentlichen Verwaltung quasi im Ganzen mit unter

Monina: die NIS-Richtlinie eigentlich fallen müssten,

Monina: was sie ja laut aktueller Umsetzung nur teilweise tun.

Monina: Aber gut, da drehen wir uns dann wieder im Kreis zu der Diskussion,

Monina: die wir gerade schon hatten, ob die jetzt und welche davon eigentlich drunter

Monina: fallen, die neue Richtlinie.

Ingo: Man könnte vielleicht auch natürlich einen Schritt weiter denken und sagen,

Ingo: vielleicht ist es auch die Theorie des Beifangs,

Ingo: wenn wir die Unternehmen stark genug gängeln, also nicht gängeln,

Ingo: sondern stark genug Auflagen geben in Richtung IT-Sicherheit,

Ingo: dann werden Systeme so entwickelt,

Ingo: dass sie für sich sicherer sind und es werden Standards entwickelt,

Ingo: die dann der Staat relativ kostengünstig übernehmen kann, ohne da eben den Erwerbarten aufzutreiben.

Dennis: Also bei den Unternehmen ist es auch so, dass eben Cybersicherheit mehr und

Dennis: mehr, und das ist meine Hoffnung, auch als Wettbewerbsvorteil gesehen wird.

Dennis: Also ich meine, wir reden mittlerweile, wir sind im Zeitalter,

Dennis: wo wir über die Vertrauenswürdigkeit von Technologie sprechen.

Dennis: Und wir haben lange Jahre eben einfach nur geschaut, wenn wir an IT denken,

Dennis: Skalierbarkeit, Wirtschaftlichkeit, das waren so zentralen Dimensionen.

Dennis: Wenn es in den Bereich Produktentwicklung geht, ging es darum,

Dennis: auch nur auf die Funktionsfähigkeit von Produkten zu achten,

Dennis: aber eben wenig auf das Thema Cybersicherheit zu achten. Und das wird sich jetzt,

Dennis: glaube ich, in den nächsten Jahren nochmal ganz deutlich ändern.

Dennis: Und beispielsweise sind ja auch Cloud-Computing-Anbieter davon betroffen.

Dennis: Und wenn wir jetzt an die Digitalisierung, nicht nur von Staat,

Dennis: der staatlichen Einrichtung, natürlich auch von der Wirtschaft,

Dennis: Gesellschaft, dann ist es definitiv so, dass Cloud-Computing an der Stelle die Zukunft bildet.

Dennis: Also über mobile Datennetze, 5G, 6G-Verbindungen wird es definitiv so sein.

Dennis: Das ist jetzt eigentlich schon die Entwicklung, die erkennbar ist,

Dennis: dass immer weniger eigene Rechenressourcen on-premise oder in einem Endgerät

Dennis: verortet sein werden, sondern eben alles über Software as a Service kommt.

Dennis: Und da ist es in Zukunft so, dass Cyberangriffe sich natürlich fatal auswirken können.

Dennis: Unternehmen, die eben hier mitreguliert werden von NIST2,

Dennis: das vielleicht dann auch in ihr Portfolio aufnehmen können, dass sie sagen können,

Dennis: wir haben eben höhere Cybersicherheitsstandards, weil wir bestimmte europäische

Dennis: Regularien erfüllen und sind vielleicht damit auch auf internationalen Märkten wettbewerbsfähiger.

Dennis: Das kann man natürlich nicht für alle Betriebe eins zu eins an der Stelle ummünzen,

Dennis: aber das ist zumindest eine Entwicklung, die sich jetzt so langsam anfängt abzuzeichnen,

Dennis: dass man sagt, Cyber Security ist nicht nur irgendeine abstrakte Ausgabe,

Dennis: die wir einstellen müssen und wir bekommen gar nichts am Ende dafür,

Dennis: sondern dass so langsam so ein bisschen auch das Bewusstsein reift,

Dennis: dass man mit Cybersicherheit, wenn sie vernünftig umgesetzt ist, auch gewisse,

Dennis: Mehrwerte generieren kann, die sich vielleicht zu einem späteren Zeitpunkt auch

Dennis: wirtschaftlich monetär auszahlen können.

Monina: Wenn jetzt dann die neue Richtlinie umgesetzt ist, was gibt es denn da eigentlich für Strafen?

Monina: Oder was erwartet einen, wenn man dann diese Voraussetzungen oder diese Vorgaben nicht einhält?

Monina: Also wenn jetzt beispielsweise so ein Cloud- Anbieter, Hersteller, der,

Monina: der jetzt groß genug ist, dass er darunter fällt, seine Aufgaben nicht wahrnimmt.

Monina: Was erwartet einen dann?

Dennis: Also die Bußgelder orientieren sich dem, was wir eigentlich schon aus dem europäischen Rahmen kennen.

Dennis: Also mit der Datenschutz-Grundverordnung hat man ja erstmals die Möglichkeit

Dennis: geschaffen, dass so sanktioniert werden konnte, dass solche Bebußungen nicht

Dennis: mehr aus der Portokasse bezahlt werden konnten.

Dennis: Und früher war der Datenschutz das beste Beispiel.

Dennis: Datenschutz hat noch mit dem alten Bundesdatenschutzgesetz und der Datenschutzrichtlinie

Dennis: kein Unternehmen wirklich ernst genommen.

Dennis: Also da hat man gesagt, es ist billiger, im Zweifelsfall bei einem Data Breach

Dennis: ein Bußgeld zu zahlen, als dass ich jetzt Personal beschäftige,

Dennis: Datenschutzmanagementsysteme aufbaue und so weiter.

Dennis: Und als dann die Datenschutz-Grundverordnung kam, ist man auf einmal in den

Dennis: Bereich reingekommen, dass man gesagt hat, ja, es sind durchaus auch Millionen Bußgelder möglich.

Dennis: Es sind Bußgelder möglich, die an den weltweiten gesamten Jahresumsatz prozentual

Dennis: eines Unternehmens anknüpfen.

Dennis: Und damit hat man relativ viel Erfolg gehabt und deswegen hat man diese Regelungssystematik

Dennis: auf ganz viele Bereiche des europäischen Technologierechts übernommen,

Dennis: wozu natürlich auch das Cybersecurity-Recht gehört.

Dennis: Das heißt, wir können sagen, es sind definitiv auch sechsstellige bis siebenstellige,

Dennis: vielleicht sogar achtstellige Bußgelder bei Verstößen gegen die NIST-2-Richtlinie möglich.

Dennis: Das hat es natürlich noch nicht gegeben und es wird auch eine Weile dauern,

Dennis: bis es dann tatsächlich dazu kommt, aber wir haben bei der Datenschutzgrundverordnung

Dennis: ja gesehen, es ist möglich und da wurden auch wirklich dann Datenschutzbußgelder

Dennis: beispielsweise in Bereichen verteilt.

Dennis: Die dann 50 Millionen Euro und plus gewesen sind.

Dennis: Das Problem ist aber, dass wir alleine in Deutschland davon ausgehen,

Dennis: dass circa 30.000 bis 40.000 zusätzliche Einrichtungen durch eine nationale

Dennis: Umsetzung von S2 betroffen sein werden. Das heißt, auch ein BSI betrifft.

Dennis: Selbst wenn es jetzt mit einem gesteigerten Cyber Security Budget,

Dennis: was jetzt im Haushalt auch verankert wurde, mehr wirtschaftliche Kapazitäten

Dennis: bekommt, um noch mehr Personal zu beschäftigen, es wird nicht in der Lage sein,

Dennis: eine Art Vollüberprüfung für sämtliche betroffene Unternehmen durchzuführen.

Dennis: Und das ist am Ende der Knackpunkt.

Dennis: Und das ist auch der Grund, warum ich wie eingangs festgestellt gesagt habe.

Dennis: NIST 2 wird eben nicht in der Lage sein, ein einheitliches oder ein einheitliches

Dennis: hohes Niveau an Cybersecurity zu generieren.

Dennis: Das Niveau wird sich sicherlich verbessern, aber es wird weit davon entfernt

Dennis: sein, einheitlich zu sein, weil es immer Unternehmen gibt, die sagen,

Dennis: ja, wo kein Kläger, da kein Richter. Also wer will mich denn jetzt kontrollieren?

Dennis: Wann soll das BSI bei mir vor der Tür stehen und meine IT untersuchen?

Dennis: Das ist einerseits einleuchten, andererseits aber auch extrem kurzsichtig,

Dennis: weil es kann ja durchaus sein, dass ich von NIS2 umfasst bin,

Dennis: dass ich es aber verschweige, nicht melde, die Unternehmen sind ja meldepflichtig,

Dennis: sie müssen sich selbst identifizieren an der Stelle und dann es zu wirtschaftlichen

Dennis: Schäden kommt, bei Dritten.

Dennis: Und dann stellt sich am Ende die Frage, wenn ich verklagt werde als Unternehmen

Dennis: in einem Zivilprozess, ja, welchen Sorgfaltsmaßstab musstest du denn jetzt eigentlich

Dennis: im Bereich der Cybersicherheit einhalten?

Dennis: Und ein findiger Anwalt wird relativ schnell dazu kommen, dass er sich die Schwellenwerte

Dennis: anschaut über dieses Sidescap-Rule und dann feststellt, ja, umsatzmäßig,

Dennis: personalmäßig sprechen wir eigentlich hier von einem NIST-2-Unternehmen,

Dennis: also wesentliche oder wichtige Einrichtung, hat sich nicht angemeldet,

Dennis: hat kein Cybersecurity-Management etabliert und dann bin ich ganz schnell in der Haftung.

Dennis: Dann auf einmal wirkt sich das Ganze extrem negativ aus.

Dennis: Ich kriege natürlich ein Bußgeld, das auch, aber ich glaube,

Dennis: diese zivile Haftung, das ist etwas, was ganz viele Geschäftsleiter nicht auf dem Schirm haben.

Volker: Da habe ich jetzt mal eine konkrete Frage an dich. Also wir haben ja am Anfang

Volker: so ein bisschen von Gesetzumsetzung und Behörden und sowas geredet.

Volker: Aber wie du schon sagst, eigentlich ist ja die Stoßrichtung die Wirtschaft.

Volker: Und hier gibt es ja diese grobe Einteilung von besonders wichtigen Einrichtungen,

Volker: wichtigen Einrichtungen und ich weiß jetzt gar nicht, also sonstigen,

Volker: also nicht ganz so wichtigen Einrichtungen, wie auch immer man das genau bezeichnen will.

Volker: Und da gibt es dann ja auch so Größenordnung und Jahresumsätze und alles sowas.

Volker: Kannst du das in, ich will jetzt nicht sagen wenigen Worten,

Volker: das wäre eine zu starke Vereinfachung, aber kannst du das ganz grob umreißen?

Volker: Was ist da so für Kategorien und Zuordnung?

Volker: Was ich eben auch interessant finde, auch Strafen, wenn man dann NIST 2 unterlässt, wozu das führt?

Dennis: Ja, also der Knackpunkt bei NS2 ist, es gibt da zwei Voraussetzungen,

Dennis: unter denen man in den Anwendungsbereich fällt.

Dennis: Also die erste Voraussetzung ist in qualitativer Hinsicht, dass man davon erfasst

Dennis: ist, das heißt, dass man erstmal in die Sektoren reinfällt und die zweite Voraussetzung

Dennis: ist, dass man in quantitativer Hinsicht, also in diese Schwellenwerte fällt.

Dennis: Und wo man bei NS1 damals noch gesagt hat, ja,

Dennis: wir überlassen den Mitgliedstaaten im Wesentlichen zu definieren,

Dennis: wer denn jetzt kritische Infrastruktur ist, hat jetzt die Europäische Union

Dennis: gesagt, das haben die in der Vergangenheit viel zu unterschiedlich gehandhabt

Dennis: und deswegen wollen wir zumindest da einheitliche Standards setzen.

Dennis: Und es ist so, was diese quantitativen Maßstäbe anbelangt, dass eben Unternehmen

Dennis: ab einer Größenordnung nach europäischer KMU-Definition als mittlere Unternehmen gelten, reinfallen.

Dennis: Das sind solche Unternehmen, die eben mindestens 50 Personen beschäftigen oder

Dennis: den Jahresumsatz und die Jahresbilanz jeweils 10 Millionen Euro übersteigt.

Dennis: Darüber hinaus gibt es aber auch weitere unterschiedliche Qualifikationsstufen.

Dennis: Also Großunternehmen beispielsweise natürlich dann auch davon erfasst.

Dennis: Da gelten dann strengere Prüfstandards, Überwachungsstandards seitens der Behörden.

Dennis: Und es kann sogar in Ausnahmefällen so sein, dass wir Kleinunternehmen da drin

Dennis: haben, also von der Unternehmensgröße unabhängig.

Dennis: Da nennt es zwei dann bestimmte qualifizierende Faktoren. Also wenn diese Unternehmen

Dennis: eine besondere kritische Tätigkeit ausüben, falls es Auswirkungen auf die öffentliche

Dennis: Ordnung hat oder gar grenzüberschreitende Auswirkungen.

Dennis: Und das ist ein Merkmal, was vorliegen muss und in zweiter Hinsicht muss dann

Dennis: eben dieses qualitative Merkmal vorliegen, also ich muss.

Dennis: In eine dieser Sektoren reinfallen, die in den Anhängen von NIS 2 genannt werden,

Dennis: da gibt es einfach zwei Anhänge und da sieht man auch ganz gut,

Dennis: dass NIS 2 nicht alles neu macht, sondern auf NIS 1 basiert, also solche Sachen,

Dennis: die wir ohnehin schon als kritische Infrastrukturen können, also Energie, Verkehr, Bankwesen.

Dennis: Finanzmarktinfrastrukturen beispielsweise, Gesundheitswesen,

Dennis: Trinkwasser, Abwasser fallen sowieso darunter. Die Krücks ist natürlich auch hier wieder,

Dennis: Vorher waren nur Kritis wirklich erfasst, aber jetzt gehen wir natürlich mit

Dennis: dieser Absenkung der Schwellenwerte auch in kleinere Unternehmen rein.

Dennis: Wir haben den Weltraumsektor, der neu ist, also Bodenkontrollstationen und das

Dennis: Rückgrat der deutschen Wirtschaft in Anführungszeichen wird natürlich dadurch

Dennis: erfasst sein, dass jetzt Produktion, Herstellung, Handel mit chemischen Stoffen drin ist.

Dennis: Also jedes Unternehmen, was irgendwie mit chemischen Stoffen arbeitet,

Dennis: also zum Beispiel Kunststoff, mit Kunststoffarbeit, und das sind ja die allermeisten

Dennis: Produktionsunternehmen, fällt darunter, soweit sie eben diese zahlenmäßigen

Dennis: Schwellenwerte erreichen.

Dennis: Produktion, Verarbeitung, Vertrieb von Lebensmitteln. Das sind nicht eben nur

Dennis: die großen Einkaufsgenossenschaften beispielsweise, sondern auch Viehzuchtbetriebe.

Dennis: Agrargenossenschaftliche Betriebe, Gemüsebauern, die bestimmte Umsatzschwellen

Dennis: überschreiten, hängen jetzt auch einmal mit im Boot.

Dennis: Und wie man so schön sagt, das gesamte verarbeitende Gewerbe,

Dennis: also Warenherstellung ist umfassend adressiert, also zum Beispiel Herstellung

Dennis: von Datenverarbeitungsgeräten,

Dennis: elektronischen, optischen Erzeugnis, Maschinenbau, Kraftwagen,

Dennis: Kraftwagenteile, Fahrzeugbau.

Dennis: Und da kann man schon sehen, dass die Unternehmen, die ja letzten Endes erfasst

Dennis: sind, auch unterschiedliche Größen haben und sehr, sehr vielfältig sind.

Dennis: Das betrifft natürlich auch die Leistungsfähigkeit. Was eben diese Bußgelder

Dennis: angeht, da haben wir maximale Bebußungssummen, die einerseits festgelegt sind,

Dennis: aber andererseits prozentuale Anknüpfung und wie ich eben ja auch schon gesagt hatte,

Dennis: dadurch ist es möglich, Bußgelder wirklich bis in den mehrstelligen Millionenbereich

Dennis: hineinzubringen, aber da wird einfach gestaffelt auch nach der Schwere der Verstöße,

Dennis: also es gibt Regelungen, die können eben schwerwiegender wirtschaftlich bebußt

Dennis: werden beim Verstoß und solche,

Dennis: wo es eben geringere Bußgelder gibt.

Volker: Also ich würde auch tatsächlich Unternehmen im Moment tatsächlich schon empfehlen,

Volker: sich mal die NIS-2-Verordnung im Regierungsentwurf, auch wenn sie sich noch

Volker: stark ändern kann, anzugucken.

Volker: Denn einerseits, Dennis, was du gesagt hast, es gibt zwar Schwellwerte für Unternehmen,

Volker: die sind aber gar nicht so super fest.

Volker: Also da steht da mal 50 Mitarbeiter zum Beispiel im Energiesektor,

Volker: dann steht da aber auch 250 Mitarbeiter im Telekommunikationssektor,

Volker: dann steht wieder ohne Schwellwerte für besonders wichtige Unternehmen.

Volker: Da hatte ich eine ganz tolle Anekdote in Österreich auf einem Sicherheitskongress mitbekommen.

Volker: Da gibt es kleine Ingenieurbüros, einige wenige kleine Ingenieurbüros,

Volker: die zum Beispiel Talbrücken planen oder Tunnelbaumaßnahmen, also kritischer Sektor Verkehr.

Volker: Das sind 10, 15 Personen, hochspezialisierte Ingenieurinnen und Ingenieure und

Volker: die fallen plötzlich unter NIST 2, weil wenn deren Unterlagen,

Volker: deren Planungsunterlagen wegkommen,

Volker: dann ist quasi die Wartung, die Infrastruktur stark gefährdet von diesen Systemen.

Volker: Sodass ganz plötzlich zehn Personen, die eigentlich, das ist jetzt vielleicht

Volker: nicht ganz fair, was ich sage, aber die eigentlich auf ...

Volker: Planung, Konstruktionszeichnungen, keine Ahnung, Geologie oder sowas spezialisiert

Volker: sind, die müssen jetzt NIS machen,

Volker: weil sie ganz plötzlich kritische Infrastruktur werden. So, Frage 1.

Volker: Ist das jetzt, sagen wir mal, ein Sonderfall, der immer auftreten wird oder

Volker: muss man schon als Unternehmen damit rechnen? Dann kommt noch Frage 2.

Volker: Wer haftet in dem Fall das, was passiert? Es gab ja mal eine Variante des NIST-2-Entwurfs,

Volker: da hieß es, alle Geschäftsführer unbeschränkt persönlich und unversicherbar.

Volker: Das war mal irgendwie so ein Grobentwurf.

Volker: Mittlerweile heißt es, wird in Spezialgesetzen geregelt, in Klammern,

Volker: und wenn es also GmbH-Gesetz, Aktiengesetz oder sonst was, und wenn es kein

Volker: Spezialgesetz gibt, dann ist halt die Haftung so, wie sie ist eben.

Volker: Also diese beiden Fragen, so Unternehmensgröße, Schon generell oder Spezialfall und Haftung?

Dennis: Ja, also ich glaube, man kann die beiden Fragen relativ klar beantworten.

Dennis: Also das kleine Unternehmen, die eben unter diese zahlenmäßigen Schwellenwerte,

Dennis: die ich eben gelernt hatte, fallen, betroffen sind, wird die Ausnahme sein.

Dennis: Und die Ausnahmetatbestände sind auch abschließend in S2 aufgeführt.

Dennis: Das geht wirklich einfach darum, dass wir Unternehmen haben,

Dennis: wie du es ja auch schon gesagt hattest, Volker, die eine Kritikalität mit Blick

Dennis: auf die Lieferkette haben, die eine Versorgungsrelevanz haben,

Dennis: wo man dann letztlich auch sagen muss, wenn das Unternehmen nicht mehr funktioniert.

Dennis: Sind weitere kritische Einrichtungen möglicherweise in ihrer Funktionsfähigkeit beeinträchtigt.

Dennis: Und das wird sicherlich Unternehmen erfassen und das ist vielleicht auch der

Dennis: Bereich, wo es Unternehmen am schwierigsten haben, im Vorfeld zu beurteilen,

Dennis: ob sie jetzt damit drin hängen oder ob sie nicht damit drin hängen.

Dennis: Also ich meine, diese abstrakte Erfassung, dass ich qualitativ in einen bestimmten

Dennis: Sektor, in eine bestimmte Branche falle und dann irgendwelche Umsatzschwellen

Dennis: und Mitarbeiterschwellen überschritten habe, das können viele.

Dennis: Und ich würde jetzt auch sagen, ohne dass wir das nationale Umsetzungsgesetz

Dennis: haben, über 90 Prozent der Unternehmen schon feststellen.

Dennis: Also da muss man jetzt nicht sagen, man wartet jetzt ab, weil da wird sich auch

Dennis: mit einer nationalen Umsetzung nicht viel ändern können, weil das natürlich

Dennis: unionsrechtskonform umzusetzen ist und es zwei an der Stelle auch einen Minimalstandard setzt.

Dennis: Und was die zweite Frage dieser Geschäftsführerhaftung der Verantwortlichkeit

Dennis: von Unternehmensleitungspersonen angeht,

Dennis: man hat das wieder zurückgenommen, der Minister deutlich zurückgerudert,

Dennis: also der erste Entwurf zum NIST-Zwei-Umsetzungsgesetz, der vorgelegt wurde,

Dennis: war da deutlich schärfer formuliert.

Dennis: Ja, das hat auch unter anderem den Grund gehabt, dass es einen erheblichen Aufschrei

Dennis: seitens der Geschäftsführer gegeben hat, dass man gesagt hat,

Dennis: das kann doch jetzt nicht sein, dass ich jetzt hier einen Haftungsdurchgriff

Dennis: habe, persönlich hafte an der Stelle,

Dennis: aber ich weiß gar nicht, ob man sagen kann, es ändert sich jetzt so viel mit

Dennis: den neuen Regelungen, die wir an der Stelle haben, weil du hast es ja auch schon

Dennis: gesagt, ja, es wird auf spezialgesetzliche Vorschriften verwiesen und wenn keine

Dennis: spezialgesetzlichen Vorschriften existieren,

Dennis: haftet man nach den allgemeinen Sorgfaltspflichten, die für jeden von uns gelten,

Dennis: wenn er sich irgendwo im Geschäfts- oder Betriebsalltag bewegt.

Dennis: Und da kommt es letzten Endes darauf an und nichts anderes sagt ein Aktiengesetz,

Dennis: nichts anderes sagt ein GmbH-Gesetz für den GmbH-Geschäftsführer,

Dennis: dass ich eben die im Verkehr erforderliche Sorgfalt einhalte.

Dennis: Und da kommt es drauf an, in welchem Segment bewegt sich mein Betrieb eigentlich? Was mache ich?

Dennis: Wie wichtig bin ich in der digitalen

Dennis: Lieferkette? Wie ersetzbar sind vielleicht auch meine Leistungen?

Dennis: Und da muss ich dann eben bemessen, was ich im Bereich Cybersecurity leisten

Dennis: kann und was ich wirklich tun kann.

Dennis: Und wenn es zum Cybervorfall kommt und dann eben Haftungsansprüche im Raum stehen,

Dennis: dann wird am Ende ganz klar geschaut, hat man diesen Sorgfaltsmaßstab eingehalten oder nicht.

Dennis: Und es ist natürlich, wenn ich meine Pflichten als Geschäftsführer oder als

Dennis: Vorstand einer Aktiengesellschaft grob fahrlässig verletze, auch nach gegenwärtigem

Dennis: Recht, ohne dass wir irgendwie an NIST-2 oder sonstige BSI-Gesetze denken,

Dennis: mein Haftungsdurchgriff theoretisch möglich.

Monina: Okay, das heißt, wenn wir mal kurz zum ersten Punkt zurückkommen,

Monina: für diese Frage, ob man jetzt betroffen ist oder nicht, gibt es ja zum Beispiel

Monina: auch aktuell schon vom BSI so eine Seite, wo man mit einem kleinen Fragebogen

Monina: sich durchklickt und schaut, ob man betroffen ist oder ob das Unternehmen betroffen

Monina: ist. Das wird wahrscheinlich vielleicht nicht ganz abschließend sein.

Monina: Und wie du sagtest, es ist generell sinnvoll, sich schon mal darauf vorbereiten.

Monina: Da kommen wir zu dem Punkt, was muss ich denn jetzt als betroffenes Unternehmen

Monina: oder als betroffene Institution eigentlich tatsächlich tun?

Monina: Also wenn ich jetzt mit dem Grundschutz unterwegs bin, reicht das dann schon?

Monina: Bin ich da schon mal ganz gut auf dem Weg oder wie bereite ich mich da am besten

Monina: drauf vor für die kommende Umsetzung?

Dennis: Also das ist wirklich eine der ganz zentralen Fragen da auch und das Problem an der Stelle ist,

Dennis: dass wir eben so viele verschiedene betroffene Sektoren und Branchen haben und

Dennis: du hattest ja auch dieses Tool auf der BSI-Website angesprochen,

Dennis: das ist wirklich nur ein rudimentäres Tool,

Dennis: also das ermöglicht keine abschließende

Dennis: Einschätzung, ob ich jetzt im Anwendungsbereich falle oder nicht.

Dennis: Es gibt verschiedene Tools mittlerweile auf verschiedenen Seiten von Rechtsanwälten,

Dennis: Beratern, die teilweise detaillierter sind als die des BSI.

Dennis: Und ich glaube, da wollte man sich auch einfach beim BSI nicht zu weit aus dem Fenster herauslehnen.

Dennis: Aber diese Betroffenheitsfeststellung ist eigentlich gar nicht so schwierig.

Dennis: Also wie gesagt, das meiste kann man aus der NIS-Zwei-Richtlinie ziehen.

Dennis: Interessant wird es vor allem dann, wenn ich irgendwie komplexe Konzernstrukturen,

Dennis: Holdingstrukturen habe mit Tochtergesellschaften, die dann teilweise sektoral

Dennis: drin sind, die aber dann selbst die zahlenmäßigen Schwellenwerte Mitarbeiter

Dennis: umsatztechnisch nicht erfüllen, wo ich dann auf die Gesamtholding abstellen muss.

Dennis: Das sind so die Knackpunkte. Und da wird es auch so sein, dass sich möglicherweise

Dennis: auch noch Änderungen durch eine nationale Umsetzung ergeben können.

Dennis: Wenn ich denn aber mich identifiziert habe im Anwendungsbereich.

Dennis: Dann ist es relativ klar, was NIST2 sagt.

Dennis: NIST2 sagt nämlich, und das sagt auch der Umsetzungsentwurf in seiner letzten

Dennis: Fassung, da steht nämlich nichts anderes drin, als dass ich Risikomanagementmaßnahmen

Dennis: im Bereich Cybersecurity ergreifen muss.

Dennis: Das heißt, ich muss eben, ich bin verpflichtet, Maßnahmen umzusetzen,

Dennis: um eben IT-Sicherheitsvorfälle zu vermeiden oder eben die Auswirkungen von IT-Sicherheitsvorfällen,

Dennis: wenn sie denn eintreten sollten, möglichst gering zu halten.

Dennis: Und das, da sagt das Gesetz ja, hundertprozentige Cybersicherheit gibt es nicht,

Dennis: das weiß auch NIST 2, aber es muss zumindest verhältnismäßig sein.

Dennis: Also ich muss Risikoexposition, Größe der Einrichtung, Umsetzungskosten,

Dennis: Eintrittswahrscheinlichkeit,

Dennis: Schwere von Sicherheitsvorfällen und die gesellschaftlichen und wirtschaftlichen

Dennis: Auswirkungen, die aus Cybersecurity-Vorfällen resultieren können, mit einbeziehen.

Dennis: Und last but not least, ich muss den Stand der Technik einhalten.

Dennis: Da wird es nämlich jetzt interessant, weil es gibt nicht das eine Verfahren,

Dennis: die eine Excel-File, die ja manchmal so ein bisschen gesucht wird,

Dennis: wo ich sagen kann, wenn ich das jetzt gemacht habe, dann bin ich zu 100 Prozent,

Dennis: ist zwei compliant. Und das versuchen manche momentan so ein bisschen zu suchen.

Dennis: Berater oder auch Vendoren, also Hersteller von Cybersecurity-Lösungen,

Dennis: versuchen es teilweise zu verkaufen,

Dennis: indem sie sagen, wenn du diese Lösung kaufst, dann bist du irgendwie NIST-2-Compliant

Dennis: oder dieses Beratungsschema mit uns umsetzt, dann bist du NIST-2-Compliant.

Dennis: Halt dich für Augenwischerei. Es gibt nicht so einen heiligen Gral der Cybersicherheit oder sowas.

Monina: Schön wär's.

Dennis: Genau, also Indiana Jones hat den zwar gefunden, aber für die Cyber Security

Dennis: gibt es sowas nicht und es ist so eine Grauzone und auch diese Formulierung Stand der Technik,

Dennis: das ist ein ganz toller Begriff, Juristen freuen sich drüber.

Dennis: Das ist auf eine Rechtsprechung zurückzuführen aus dem Jahr 1978 vom Bundesverfassungsgericht,

Dennis: der sogenannte Kalkar-Entscheid.

Dennis: Und da ging es um die Beurteilung der Sicherheit von Atomenergieanlagen.

Dennis: Und da hat das Bundesverfassungsgericht gesagt, ja, der Gesetzgeber ist befugt.

Dennis: Auch unbestimmt irgendwie reinzuschreiben, was man umsetzen muss an technischen

Dennis: Sicherheitsvorkehrungen.

Dennis: Und letzten Endes geht es darum, wenn ich den Stand der Technik einhalte,

Dennis: muss ich einfach dafür Sorge tragen, dass ich nicht auf die allgemein anerkannten

Dennis: Regeln der Technik quasi als niedrigstes Niveau zurückfalle,

Dennis: aber ich bin auch nicht verpflichtet, das höchstmögliche Maß,

Dennis: was irgendwie geht, unter jedweder wirtschaftlicher Anstrengung zu ergreifen,

Dennis: nämlich den Stand von Wissenschaft und Technik.

Dennis: Und das ist so ein bisschen so eine Grauzone, aber bei der Umsetzung,

Dennis: und jetzt kommen wir nämlich auf den Punkt und eigentlich auf die Antwort deiner

Dennis: Frage, du hast nämlich den Grundschutz angesprochen.

Dennis: Also mit dem Grundschutz bin ich schon mehr als gut aufgestellt,

Dennis: mehr als gut aufgestellt, was den S2-Umsetzungen anbelangt.

Dennis: Natürlich können der Einzelfall bezogen noch Besonderheiten sein,

Dennis: was den Schutz der digitalen Lieferkette zum Beispiel anbelangt,

Dennis: was das Thema holistische Cybersecurity,

Dennis: also beispielsweise Einbeziehung nicht technischer Risikofaktoren anbelangt,

Dennis: was vielleicht das Thema Governance auf Unternehmensleitungsebene anbelangt,

Dennis: also dass man Leitungspersonen auch mit eigenem Know-how ausstatten muss.

Dennis: Aber was eigentlich die ganz zentrale Erkenntnis ist, ich bin nur verpflichtet,

Dennis: im Wesentlichen dafür zu sorgen, dass ich meine Cybersicherheitsmaßnahmen auf

Dennis: dem aktuellen Stand der Technik halte.

Dennis: Das heißt, ich bin im Kern verpflichtet, nach NIST 2 ein Risikomanagement einzurichten.

Dennis: Und das bedeutet natürlich auf Cyber Security bezogen ein Informationssicherheitsmanagementsystem,

Dennis: was eben die relevanten Assets in meinem Unternehmen abdeckt.

Dennis: Und insoweit unterscheidet sich jetzt NIS2 in der grundsätzlichen Umsetzung

Dennis: gar nicht so viel von dem, was wir bislang auch aus dem Bereich Cyber Security kennen.

Dennis: Also Bruce Schneier hat es ja schon gedacht, ja, also Security is a process,

Dennis: not a product und das hat er schon lange vor NIS2 gesagt.

Ingo: Das ist sehr spannend, was du gerade berichtet hast. Das erinnert mich sehr

Ingo: an die DSGVO, wo wir auch eine sehr große Anforderung haben an das,

Ingo: was man, wenn man personenbezogene Daten verarbeitet, alles tun muss.

Ingo: Und es im Gesetz immer wieder die sogenannte Angemessenheit gibt und man sich

Ingo: überlegen muss, also welche Maßnahmen sind angemessen im Rahmen der schutzwürdigen

Ingo: Gutes und natürlich auch der Kosten oder der Möglichkeiten, die man als Unternehmen hat.

Ingo: Also da haben wir auch, gerade aus wirtschafts-synthematischer Perspektive,

Ingo: jetzt ganz interessante Arbeiten mal zu gemacht.

Ingo: Das wird ja wahrscheinlich bei NDS 2 sich dann ähnlich fortsetzen.

Ingo: Aber ich würde gerne noch einmal auf einen anderen Aspekt, der relativ lange

Ingo: in Diskussionen war, jedenfalls in den Kreisen, in denen ich mich bewegt habe,

Ingo: aber sich so richtig noch nicht wiederfindet.

Ingo: Die Frage dessen, was umfasst es eigentlich, wenn man so in Richtung der kritischen

Ingo: Lieferkettenhose etwas geht.

Ingo: Also wir haben ja im Prinzip eine Definition von kritischen Dienstleistungen im Gesetz.

Ingo: Wir haben eine Definition von den Sektoren mit hoher Kritikalität,

Ingo: die festgelegt werden im Anhang, die ja doch diesen Aspekt Lieferkette nicht mehr so betrachten.

Ingo: Aber ursprünglich war doch auch geplant, dass Lieferketten stärker umfasst sind,

Ingo: gerade wenn sie eine bestimmte kritische Form aufweisen, oder?

Dennis: Ja, also die Lieferkette ist definitiv an der Stelle auch von NIST 2 umfasst,

Dennis: weil es ja auch darum geht, dass man...

Dennis: Das Risikomanagement in der Beziehung mit extern im weitergefassten Ökosystem betrachtet.

Dennis: Und das bedeutet an der Stelle auch, und das sehen wir jetzt zur Zeit auch schon,

Dennis: dass Pflichten, die NIS2-Betroffene haben,

Dennis: dann teilweise über vertragliche Regelungen an Zulieferer in dieser Lieferkette

Dennis: weitergegeben werden, die dann eben auch nachweisen müssen, also dass sie NIS2-Complied sind.

Dennis: Und im Zweifelsfall habe ich das auch schon gesehen, dass bestimmte Vertragswerke

Dennis: einfach vorgelegt werden, die eigentlich nur diese Cybersecurity-Anforderungen,

Dennis: die ja in NIST 2 relativ grob umrissen sind, einfach eins zu eins da rein kopiert

Dennis: haben und die dann unterzeichnet werden müssen.

Dennis: Und es wird einfach sehr, sehr viel über die vertraglichen Regelungen an Zulieferer etc.

Dennis: Ausgelagert werden, weil natürlich es am Ende darauf ankommt,

Dennis: dass sich das NIST 2 betroffene Unternehmen leistungsfähig hält.

Dennis: Und wenn es eben auf die Leistungen von weiteren Sublieferanten angewiesen ist,

Dennis: um die eigene Leistungsfähigkeit zu erhalten,

Dennis: dann werden diese Cybersicherheitsanforderungen über die vertragliche Lieferkette

Dennis: an diese weiteren Unternehmen weitergegeben. Und das ist jetzt schon Gang und Gäbe.

Ingo: Und wenn wir uns im europäischen Rahmen bewegen, die Lieferkette geht ja häufig

Ingo: über Ländergrenzen hinweg, die Zulieferer dann natürlich möglicherweise die

Ingo: NIS-2-Interpretation des entsprechenden Landes umsetzen. Ist das ein Problem? oder?

Dennis: Also grundsätzlich ist das kein Problem, weil NIS2 hat diesen Grundsatz der

Dennis: Mindestharmonisierung, das hätte ich eingangs ja auch schon kurz erwähnt,

Dennis: also die europäischen Mitgliedstaaten sind verpflichtet NIS2 in ihren jeweiligen

Dennis: nationalen Landesgesetzen richtlinienkonform umzusetzen.

Dennis: Also sie dürfen kein niedrigeres Cybersicherheitsniveau bestimmen,

Dennis: weil sonst wäre NIS2 ja witzlos.

Dennis: Dann könnten wir auch sagen, jeder Mitgliedstaat der Europäischen Union macht

Dennis: weiterhin sein eigenes Cybersecurity-Recht und manche können es dann auch lassen,

Dennis: wenn sie keine Lust drauf haben.

Dennis: Und das ist erstmal an der Stelle kein Problem.

Dennis: Dass eben das möglicherweise, dass in

Dennis: unterschiedlichen nationalen Cybersicherheitsgesetzen dann verankert wird.

Ingo: Reicht dann für ein Unternehmen die Aussage, dass ein Zulieferer compliant ist

Ingo: oder muss ich als Zulieferer dann auch in die Rolle des BSI treten und quasi

Ingo: auch selbst bestimmte Mechanismen überprüfen oder mir die Vorgehensweisen vorlegen lassen?

Dennis: Ja, und das ist nämlich der entscheidende Punkt, auf den es in der Praxis wirklich ankommt.

Dennis: Die meisten werden sich faktisch damit begnügen, dass in irgendwelchen Verträgen

Dennis: drinsteht, dass sich das Unternehmen verpflichtet, es zwei eingehalten zu haben.

Dennis: Wenn man aber wirklich ganz genau arbeiten will, dann muss es eben einem Unternehmen

Dennis: auch möglich sein und das ist so ein bisschen auch das, was wir beispielsweise

Dennis: aus dem Bereich der Auftragsdatenverarbeitung im Datenschutz irgendwo kennen,

Dennis: dass, ja, sagen wir es mal so, überraschende stichprobeartige Kontrollen der

Dennis: Cybersicherheit bei den Zulieferern theoretisch möglich sein müssen und auch

Dennis: durchgeführt werden müssen.

Dennis: In der Praxis wissen wir sowohl aus dem technischen Datenschutz,

Dennis: dass das nicht möglich ist oder in den meisten Fällen nicht gelebt wird und

Dennis: ähnlich wird es auch bei NIST 2 sein.

Dennis: Das klingt jetzt erstmal so, als ob das alles gar keinen Sinn macht,

Dennis: als ob irgendwelche Verträge nur geschrieben werden und am Ende macht doch keiner Cyber Security.

Dennis: Aber, und da kommen wir so ein bisschen auch wieder auf diesen eingangs erwähnten

Dennis: Punkt zurück, wenn es dann wirklich mal zum Vorfall kommt, dann wird der Verantwortliche

Dennis: gesucht. Das ist ganz klar, weil es kostet Geld.

Dennis: Und da geben sich dann die betroffenen Unternehmen auch Mühe,

Dennis: den Verantwortlichen ausfindig zu machen.

Dennis: Und wenn dieser Verantwortliche dann irgendwo in der Lieferkette beziehungsweise

Dennis: in der digitalen Lieferkette drinsteckt, irgendwas versprochen hat,

Dennis: was er überhaupt nicht eingehalten hat, dann hat dieser Verantwortliche natürlich ein Problem.

Dennis: Andererseits ist es aber auch so, wenn man dann wieder an das Thema Schadensersatz

Dennis: denkt, hat vielleicht dann auch das betroffene Unternehmen, was das Ganze nicht

Dennis: überprüft hat, irgendwo auch ein Mitverschulden, weil sonst wäre das ja vielleicht

Dennis: auch gar nicht so weit gekommen.

Dennis: Und diese theoretische Verantwortungsdiffusion, die wir da haben,

Dennis: die kann tatsächlich sich dann zum Boomerang entfalten, wenn es dann zum Cybersicherheitsvorfall

Dennis: in so einer Lieferkette kommt.

Volker: Eine Frage von mir noch, Dennis. Eine Sache, die uns als Hochschulen zum Beispiel

Volker: mit betrifft, ist ja Forschungseinrichtungen,

Volker: also die sich mit kritischer Forschung beschäftigen, und jetzt spanne ich mal

Volker: einen größeren Bogen, sind ja erstmal NIS-Forschung, es sei denn,

Volker: es sind Bildungseinrichtungen.

Volker: Dann sind sie wieder keine NIS-Einrichtungen.

Volker: Jetzt ist aber die spannende Frage, die insbesondere technische Universitäten

Volker: und Hochschulen machen ja auch Drittmittelforschung.

Volker: Das heißt, sie machen auch nach EU-Regularien kommerzielle Forschung,

Volker: wenn sie für Unternehmen eine Forschung machen.

Volker: Das heißt, dann machen sie nicht als Hochschule, als Bildungseinrichtung,

Volker: sondern kommerziell Forschung.

Volker: Müssen die dann eine zweite Infrastruktur für NIS II betreiben oder hat der

Volker: Gesetzgeber soweit noch nicht gedacht?

Dennis: Also nach europäischem Recht ist es erstmal grundsätzlich so,

Dennis: dass nur kommerzielle Forschungseinrichtungen betroffen sind.

Dennis: Das heißt, da würden wir auch erstmal sagen, Hochschulen, Universitäten sind

Dennis: per se keine kommerziell agierenden Forschungseinrichtungen.

Dennis: Da geht es eher um private Forschungsinstitute, die dann tatsächlich auch gewinnorientiert arbeiten.

Dennis: Wenn wir, und da wird es natürlich wieder im nationalen Rahmen interessant,

Dennis: daran denken, dass natürlich gewisse universitäre Strukturen auch private Forschung betreiben,

Dennis: dann kommen wir durchaus davon ausgehend, dass es möglich ist,

Dennis: in den Anwendungsbereich von NIS II zu fallen und dass der nationale Gesetzgeber

Dennis: auch theoretisch entsprechende Regelungen festsetzen könnte,

Dennis: die dann sagen, es sind beispielsweise abgetrennte juristische Personen vorzuhalten,

Dennis: die sich um das Thema Cybersicherheit kümmern.

Dennis: Die Maßstäbe sind, über das hinauszugehen, was NIST-2 vorgibt.

Dennis: Und teilweise ist es jetzt ja auch im Bereich der Auftragsforschung schon so,

Dennis: dass die Auftraggeber gewisse Cybersicherheits-, Geheimhaltungs-,

Dennis: Geheimschutzmaßnahmen fordern, die jetzt über ein bloßes Forschungskonsortium

Dennis: im öffentlichen Sektor, was beispielsweise zu 100 Prozent public defunded ist, hinausgehen.

Dennis: Und da könnte ich mir durchaus vorstellen, dass dann auch was passieren könnte in den nächsten Jahren.

Volker: Ja, da vielleicht, wenn du da in entsprechenden Gremien oder nochmal irgendwie

Volker: ein Wort oder Gehör findest, in technischen Forschungseinrichtungen oder technischen

Volker: Hochschulen, Universitäten, ich möchte erstmal so weit gehen und sagen, ist es üblich,

Volker: dass auch Unternehmensforschung gemacht wird.

Volker: Deswegen haben wir unterschiedliche Stundensätze für öffentlich geförderte Forschung

Volker: und damit, wenn wir mit der öffentlichen Wirtschaft in Konkurrenz treten,

Volker: damit wir auch entsprechende Stundensätze aufrufen müssen, kommerzielle Stundensätze.

Volker: Das bedeutet, es ist also nicht irgendwie ein Ausnahmefall, sondern ich gehe

Volker: jetzt mal auf die andere Seite und sage, es ist eher der Regelfall,

Volker: dass eine große Hochschule auch kommerzielle Forschung unter anderen Vertragsbedingungen macht.

Volker: Und da sind jetzt so ein bisschen die

Volker: offenen Fragen, die wir heute auch wahrscheinlich gar nicht lösen können.

Volker: Ja, NIST 2, nicht NIST 2, ausgliedern in eine extra juristische Person,

Volker: erheblicher Aufwand, den kleine Hochschulen gar nicht leisten können.

Volker: Da vielleicht nochmal drüber nachdenken. Ja, von mir aus würde ich ganz gerne

Volker: ein bisschen noch mit den Technik abdriften, vielleicht nochmal so für 10 Minuten

Volker: oder sowas, weil auch das interessiert unsere Hörerschaft.

Volker: Und hier verweise ich mal in der jetzigen Regulierung auf den Teil 3,

Volker: also quasi Artikel 1, also BSI Gesetz. Und da gibt es so ein

Volker: Kapitel oder Teil 3, Kapitel 2. Das heißt Risikomanagement ist der Paragraf

Volker: 30, besonders wichtige Einrichtung und wichtige Einrichtung.

Volker: Ich lese mal ganz kurz, also ich will keinen langweilen, aber ganz kurz stichwortweise

Volker: vor, das sind 10 Punkte, was das für Einrichtung bedeutet.

Volker: Lohnt sich für jeden CISO und CIO das mal einmal durchzulesen.

Volker: Ihr müsst Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Maßnahmen,

Volker: Aufrechterhaltung des Betriebs, Backup wie der Herstellung nach einem Notfall

Volker: und Krisenmanagement, Sicherheit der Lieferantenkette, Punkt 5.

Volker: Sicherheitsmaßnahmen bei Erwerbentwicklung und Wartung, Punkt 6,

Volker: Konzepte für Risikomaßnahmen, Schulung, Konzepte für Kryptografie,

Volker: Sicherheit des Personals, Professionals, Multifaktor-Authentifizierung und so weiter.

Volker: Das ist da namentlich im tiefsten Detail erwähnt.

Volker: Finde ich spannend, weil es wirklich von ganz oben Informations- und Sicherheitsmanagementsysteme

Volker: bis hin in kryptografische Verfahren, Verschlüsselung und Multifaktor-Authentifizierung geht.

Volker: Finde ich einerseits schön, andererseits setzt das die Unternehmen aber auch ganz schön unter Druck.

Volker: Und ich gucke jetzt gar nicht an große Energieversorger, sondern ich gucke mal

Volker: auf die kommunalen Wasserwerke oder die Verbundstadtwerke,

Volker: die für zehn Kommunen jetzt meinetwegen die ganze Infrastruktur managen. Können die das?

Dennis: Ja, das ist am Ende die ganz große Frage.

Dennis: Also ich glaube, das Problem an der ganzen Geschichte wird sein,

Dennis: dass nicht sämtliche dieser Maßnahmen aus dem Minimalkatalog,

Dennis: also das wird ja auch dieser 10 plus 1 Katalog genannt, den du gerade aufgeführt

Dennis: hast, 1 zu 1 werden umgesetzt können.

Dennis: Und das betrifft an der Stelle nicht nur städtische oder kommunale Einrichtungen,

Dennis: sondern das betrifft an der Stelle nur privatwirtschaftliche Unternehmen.

Dennis: Und das ist so ein bisschen auch die Hürde, dass viele Unternehmen auch verunsichert

Dennis: sind, wie sie jetzt NIS II umgehen.

Dennis: Ich persönlich halte diesen Katalog, der kommt ja aus Artikel 21 Absatz 2,

Dennis: denn es wurde im Wesentlichen 1 zu 1 in Paragraf 30 der letzten Entwurfsfassung

Dennis: des BSI-Gesetzes übertragen,

Dennis: für irreführend, weil ich habe jetzt mit genügend Betrieben auch schon gesprochen,

Dennis: die haben gesagt, sie haben gar nicht die IT-Infrastruktur, um jetzt irgendwie

Dennis: Zero-Trust-Policies zu implementieren.

Dennis: Wo sollen die ansetzen, wenn die gar nicht die entsprechende IT haben?

Dennis: Und das kann man sich gar nicht vorstellen.

Dennis: Aber jetzt beispielsweise im agrargenossenschaftlichen Sektor, da ist es häufiger so.

Dennis: Wir haben Betriebe mit relativ viel Umsatz, die aber nicht jetzt wahnsinnig

Dennis: digitalisiert in Teilen arbeiten, wo es gar nicht die IT-Infrastruktur gibt,

Dennis: dass man sowas realisieren könnte.

Dennis: Und da wird es dann in erster Linie, glaube ich, darauf ankommen,

Dennis: dass man überhaupt sagt, man steigt in das Thema Risikomanagement ein.

Dennis: Und das ist ja auch das, was ich gesagt hatte. Also was muss man am Ende nachweisen?

Dennis: Man muss nachweisen, dass man den Stand der Technik eingehalten hat.

Dennis: Und man wird von den unterschiedlichen Unternehmen unterschiedlich viel verlangen können.

Dennis: Also man kann natürlich von einem DAX-Konzern, der jetzt nicht unbedingt eine

Dennis: kritische Infrastruktur ist, sondern ein großer Automobilhersteller ist,

Dennis: ein großer Maschinenbauhersteller, viel, viel mehr verlangen,

Dennis: als es jetzt von einem mittelständischen Betrieb verlangbar ist.

Dennis: Aber alle müssen, wenn man es auf die Basics runterbricht, ein Risikomanagement

Dennis: in der Cybersicherheit etablieren. Das ist aber nicht von Einzelfall bezogenen

Dennis: Maßnahmen oder Produkten abhängig.

Dennis: Das ist ja auch das, was momentan die Hersteller versuchen, zig Produkte zu

Dennis: verkaufen und am Ende habe ich einen Haufen an Produkten, aber trotzdem noch

Dennis: kein Cybersicherheitsmanagement.

Dennis: Und obwohl ich sagen kann, naja, ich habe ja vielleicht diesen 10 plus 1 Katalog

Dennis: aus Paragraf 30 eingehalten.

Dennis: Und das versuche ich an der Stelle auch allen immer zu sagen.

Dennis: Cyber Security Management nach NIST 2 bedeutet überhaupt erst einmal anzufangen.

Dennis: Das heißt eben zu schauen, was sind eigentlich beispielsweise die Assets in

Dennis: meinem Unternehmen, die besonders schutzwürdig sind.

Dennis: Einfach mal zu überlegen, welche Kritikalität meine Einrichtung besitzt,

Dennis: ob sie beispielsweise in der Öffentlichkeit besonders exponiert ist und inwieweit

Dennis: natürlich mein Unternehmen auch in seiner Funktion von vernetzter IT oder von

Dennis: digitalen Lieferketten abhängig ist.

Dennis: Oder es vielleicht auch Möglichkeiten gibt, dass sich eben Vorfälle.

Dennis: Cybersicherheitsvorfälle in der Zukunft oder Angriffe häufen werden.

Dennis: Und vielleicht auch die wichtigste Frage, dass sich Unternehmen überhaupt mal

Dennis: damit auseinandersetzen, was eigentlich potenzielle Angreifer infolge einer

Dennis: erfolgreichen Kompromittierung erlangen können.

Dennis: Und das ist eigentlich eher das, was ich den Unternehmen an die Hand geben will,

Dennis: wenn ich ihnen sage, jetzt beginnt doch mal mit der Umsetzung von S2,

Dennis: auch wenn ihr nur begrenzte personelle und wirtschaftliche Ressourcen zur Verfügung stehen habt.

Volker: Ich habe noch einen Zusatz, bevor noch eine weitere Frage von Molina kam, gehört mich genau dazu.

Volker: Wenn ich mir die, ich sage mal, die Granularität dieser 10 plus 1 Punkte angucke,

Volker: und da spricht jetzt aus mir tatsächlich so der Techniker und Nerd,

Volker: hatte ich ja gerade schon gesagt, geht das quasi von Weltfrieden bis Staubkorn.

Volker: Ja, und in der Mitte steht dann sowas zum Beispiel noch grundlegende Verfahren

Volker: im Bereich der Cyberhygiene und Schulung.

Volker: Also da muss ich jetzt erstmal sagen, schon als Akademiker definieren wir mal Cyberhygiene.

Volker: Naja, wir haben den vielleicht nicht ganz unumstrittenen, aber doch sehr umfassenden

Volker: BSI-Grundschutzkatalog und das ist ja nun ein Teil des BSI-Änderungsgesetzes.

Volker: Warum nimmt man dort nicht den BSI-Grundschutzkatalog, sagt dem BSI,

Volker: mach für deine zehn oder elf oder acht Sektoren kritischer Unternehmen einfach

Volker: ein Grundschutzprofil und das wird hier referenziert.

Volker: Dann ist doch eigentlich jedem schon mal geholfen.

Volker: Jeder weiß doch, was er tun muss, wie hoch das Backup-Level,

Volker: wie hoch Viren-Scanner, wie Firewalls behandelt werden müssen und so weiter.

Volker: Warum macht man das nicht?

Dennis: Also was Ähnliches habe ich tatsächlich auch in der letzten Anhörung zum NIS-2-Umsetzungsgesetz,

Dennis: wo ich als Sachverständiger auch im Bundestag war, vorgeschlagen,

Dennis: weil ich persönlich halte diesen Katalog auch schon in NIS-2-Richtlinie für

Dennis: sachlich unzureichend.

Dennis: Also du hast es ja auch sehr treffend wiedergegeben.

Dennis: Also irgendwie steht da alles und nichts drin. und das wirkt willkürlich,

Dennis: zusammengefürfelt, als ob man jemandem gesagt hätte, ja schreib mal irgendwas mit,

Dennis: Cybersicherheitsmaßnahmen da rein, damit du am Ende irgendwie so einen Katalog

Dennis: hast, der nicht völlig widersprüchlich ist und herausgekommen ist eben am Ende

Dennis: diese willkürlich wirkende Zusammenstellung noch mit dem noch irreführenderen

Dennis: Hinweis, dass man sagt, das ist mindestens umzusetzen,

Dennis: wenn manche Unternehmen das noch nicht mal umsetzen können.

Dennis: Also treffender wäre es gewesen zu sagen, in der Regel kann das diese Maßnahmen

Dennis: umfassen, aber Unternehmen können auch davon abweichen, müssen es dann vielleicht

Dennis: begründen, aber das wäre eigentlich der vernünftige Weg gewesen.

Dennis: Und Deutschland wird das, glaube ich, nicht anfassen, weil man jetzt auch sagt,

Dennis: obwohl neu angegangen werden muss unter einer neuen Regierung,

Dennis: unter einem neuen Bundestag,

Dennis: wird man, glaube ich, also man will auf dem aufbauen, was die alte Bundesregierung hinterlassen hat.

Dennis: Und das sieht so aus wie eben dieser von dir skizzierte Paragraph 30.

Dennis: Das Lustige daran ist aber, vielleicht das Lustige klingt jetzt so das Interessante,

Dennis: formulieren wir das mal eher so, dass im europäischen Vergleich.

Dennis: Einige europäische Mitgliedstaaten das gänzlich anders gelöst haben.

Dennis: Und da gibt es ganz verschiedene Ansätze. Also der Entwurf aus Österreich beispielsweise.

Dennis: Die Österreicher haben gesagt, wir fügen noch einen Anhang 3 rein,

Dennis: wo wir diese Maßnahmen weiter spezifizieren.

Dennis: In Ungarn hat man ein 160, circa 160-seitiges Begleitdokument erstellt,

Dennis: wo eben einzelne Controls definiert sind für unterschiedliche Sektoren, Branchen.

Dennis: In den Niederlanden, und das finde ich eigentlich ist der interessanteste Ansatz,

Dennis: in den Niederlanden hat man gesagt, wir ignorieren einfach Artikel 21 Absatz

Dennis: 2 NIS 2, also diesen 10 plus 1 Katalog und schreiben nichts davon rein.

Dennis: Das war zumindest der letzte Entwurfsstand in den Niederlanden,

Dennis: wo das Gesetz ebenfalls noch nicht umgesetzt ist.

Dennis: Und anstelle dessen sagen wir, es gibt sogenannte Ratsverordnungen,

Dennis: also untergesetzliche Rechtsakte, ministeriale Rechtsakte, die eben dann individuell,

Dennis: sektorspezifisch, branchenspezifisch bestimmen, was für Cybersicherheitsanforderungen einzuhalten sind.

Dennis: Und das, finde ich, ist der vernünftige Weg, weil momentan mit diesem Minimalkatalog,

Dennis: der überhaupt nicht richtig passt, werden die Unternehmen einfach verunsichert,

Dennis: weil alle denken, ich muss ja diese Riesenwand an Cybersecurity-Maßnahmen umsetzen.

Dennis: Ich habe von einigen Begriffen noch nie in meinem Leben was gehört.

Dennis: Die Hersteller kommen um die Ecke und sagen, naja, das Produkt kostet pro Monat dieses und jenes.

Dennis: Wenn du das noch dazu kaufst, dann bist du schnell im fünfstelligen Bereich.

Dennis: Und dann sagen die Unternehmen, weil sie ja sowieso wissen, dass im Zweifelsfall

Dennis: nicht überprüft wird, dann nehmen wir vielleicht besser davon Abstand.

Dennis: Wir wollen uns ja auch nicht übers Ohr hauen lassen, weil wir uns mit dem Thema

Dennis: sowieso nicht richtig auskennen. Und das ist das Volkale.

Volker: Dann sollten wir doch eine Mischung aus Ungarn und Niederlande nehmen,

Volker: indem wir sagen, mit IT-Grundschutz haben wir diese 160 Seiten und dann schreiben

Volker: wir es auch gar nicht erst rein,

Volker: sondern schreiben da nur rein, es gilt Minimalanforderungen,

Volker: IT-Grundschutz, Näheres regelt das BSI und fertig.

Volker: So, aber ich glaube, Monine hat ja noch eine Frage, sorry, ist er denn,

Volker: du wirst noch was dazu sagen.

Monina: Ich wollte mich jetzt einfach an den vorherigen Punkt anschließen.

Monina: Wir haben ja Aufgaben nicht nur für die Betroffenen von dem Ganzen,

Monina: sondern auch quasi jetzt für das BSI oder Aufgaben, die von dem Mitgliedstaat,

Monina: wie es genannt ist, erfüllt werden müssen.

Monina: Und zwar müssen ja unter anderem CSIRTs eingerichtet werden,

Monina: also Computernotfallteams, die dann ja auch gewisse Aufgaben zu erfüllen haben.

Monina: Beispielsweise steht, glaube ich, hier drinnen, dass sie forensisch unterstützen,

Monina: forensische Aufarbeitung von Daten bei Sicherheitsvorfällen und bei Sicherheitsvorfällen

Monina: gegebenenfalls unterstützen, bei betreffendlichen, wesentlichen und wichtigen Einrichtungen.

Monina: Das sind ja dann schon auch nicht wenig Aufgaben, gerade wenn man sich überlegt,

Monina: wie viele dann da zusammenkommen, die da erfüllt werden müssen.

Monina: Ist das mit einem beispielsweise bei uns benannten BSI leistbar,

Monina: sowas zu vollbringen, bereitzustellen?

Dennis: Ja, also ich meine, der gesetzliche Auftrag ist ja das einzurichten und abstrakt

Dennis: leistungsfähig zu sein.

Dennis: Ich glaube, das wird das BSI auch mit der gegenwärtigen Personal- und Finanzdecke

Dennis: durchaus abbilden können.

Dennis: Man geht an der Stelle, glaube ich, aber auch davon aus, dass es nicht zu massenhaften

Dennis: Cybersicherheitsvorfällen kommt.

Dennis: Also was die tatsächliche Leistungsfähigkeit anbelangt von C-Certs,

Dennis: von Behördenstrukturen, von BSI, da wird es, glaube ich, so sein,

Dennis: dass wir nie sagen können, es ist jetzt optimal.

Dennis: Davon sind wir weit entfernt. Es geht einfach, glaube ich, an der Stelle darum,

Dennis: grundlegende Strukturen einzuführen, damit überhaupt etwas da ist.

Dennis: Und das ist, glaube ich, schon an der Stelle ein Ansatz, der vertretbar ist,

Dennis: weil die Alternative an der Stelle wäre, man würde gar nichts regulieren.

Monina: Das heißt, das ist mehr erstmal so ein erster Vorschlag für besonders schwerwiegende

Monina: Fälle, sowas umzusetzen und generell da zu sein und weniger mit,

Monina: das sind jetzt auch sozusagen Unterstützungsleistungen, auf die sich die Betroffenen

Monina: verlassen können von Seiten der anderen.

Dennis: Ja, also es ist ja sowieso, es sollte ja auch so sein beispielsweise,

Dennis: wenn gemeldet wird, wenn Cybersicherheitsvorfälle gemeldet werden,

Dennis: dass zum Beispiel auch Rückmeldungen dazu kommen.

Dennis: Und in der Vergangenheit ist es oft so gewesen, dass dieser Meldekanal einfach

Dennis: ein schwarzes Loch gewesen ist.

Dennis: Also man hat irgendwas in Richtung BSI geworfen, es ist irgendwie angekommen,

Dennis: ja, aber man weiß nie, was damit passiert ist, wie es ausgewertet wurde,

Dennis: was dann eigentlich das Feedback hätte sein sollen.

Dennis: Sondern ursprünglich wollte man das anpassen, hat das dann aber wieder zurückgenommen.

Dennis: Ich glaube eben aus eben jenen Kapazitätsgründen ist man da wieder zurückgerudert,

Dennis: um keine Hoffnungen zu wecken, die man dann am Ende enttäuschen würde.

Monina: Okay, ich bin gespannt, wie sich das dann umsetzt. Aber genau,

Monina: Ingo, ich wollte dir auch nicht ins Wort fallen. Du hast auch schon angesetzt zu einer Frage.

Ingo: Ja, ich hätte noch so ein paar kleine Meta-Aspekte, um nochmal so einen Blick

Ingo: auf das Gesetz im Ganzen zu werfen. und auch die Frage, was wir hier eigentlich genau regulieren.

Ingo: Also wir hatten ja in Corona so ein bisschen Diskussionen rundherum gehabt,

Ingo: was ist eigentlich kritisch.

Ingo: Also die kritische Lieferkette, die wir uns früher vorgestellt haben,

Ingo: bezog sich meistens auf Nahrung, Energie und solche Geschichten und auf einmal

Ingo: festgestellt, dass sowas wie Toilettenpapier kritisch sein kann.

Ingo: Das heißt also, wäre es eigentlich nicht sinnvoller gewesen,

Ingo: in dem Rahmen von NIS-2 zu sagen, wir definieren einen gewissen Grundschutz

Ingo: für alle, den alle einhalten müssen.

Ingo: Also im Sinne des TÜVs, den wir für Autos haben, wenn wir ein Auto auf der Straße

Ingo: betreiben wollen, müssen wir bestimmte Sicherheitsrichtlinien einhalten?

Ingo: Oder siehst du das anders? Also ist das für dich der richtige Weg,

Ingo: jetzt erstmal auf die ganz besonders schwer Betroffenen zu fokussieren und die

Ingo: Allgemeinheit erstmal noch in Ruhe zu lassen?

Dennis: Also es geht ja schon so ein bisschen in die Richtung Allgemeinheit.

Dennis: Also wenn man jetzt an IS-1 zurückdenkt, da wurden ja nur diese wesentlichen Dienste reguliert.

Dennis: Das ist ja im Wesentlichen synonym mit kritischen Infrastrukturen nach deutschem

Dennis: Recht übertragbar, beziehungsweise synonym handhabbar.

Dennis: Was wir jetzt ja sehen, ist, dass man gesagt hat, und das kam eigentlich schon

Dennis: mit dem zweiten IT-Sicherheitsgesetz Anfang 2021 auf, wir gehen vom Kritischutz

Dennis: in den allgemeinen Wirtschaftsschutz im Bereich Cybersecurity rein.

Dennis: Das heißt, man möchte schon mehr regulieren.

Dennis: Und du hast ja, Ingo, richtigerweise auch angesprochen, und das versuche ich

Dennis: allen Leuten auch eigentlich immer darzustellen, wir reden immer viel über NIST-2,

Dennis: aber das Regelungsgefüge ist viel, viel weiter.

Dennis: Wir haben beispielsweise vor einigen Jahren im Rahmen eines Forschungsprojekts

Dennis: einmal eine Datenbank erstellt, wo wir geschaut haben, wo finden wir denn jetzt

Dennis: überhaupt überall Cybersecurity-Regulierung in der Europäischen Union.

Dennis: In Deutschland auf Bundesebene, in den einzelnen Bundesländern sind wir weit

Dennis: über 1000 gesetzliche Vorschriften gekommen.

Dennis: Also da sieht man, wie komplex dieses Gesamtgefüge ist.

Dennis: Und wenn wir uns jetzt nur auf die wenigsten und relevantesten Vorgaben konzentrieren,

Dennis: dann haben wir natürlich auch noch den EU Cyber Resilience Act.

Dennis: Ich glaube, da könnte man einen eigenen Podcast mit füllen. Da geht es eben um Product Security.

Dennis: Ist jetzt noch nicht so wahnsinnig akut, weil wir haben da Übergangsfristen

Dennis: bis Ende 2027 noch laufen.

Dennis: Aber ich berate beispielsweise auch schon zahlreiche größere Unternehmen,

Dennis: Maschinenbauunternehmen, nicht nur aus Deutschland, sondern auch international

Dennis: tätige Unternehmen, die sich jetzt natürlich schon vorbereiten müssen.

Dennis: Und da spielt natürlich das Thema S-Bombs beispielsweise schon eine Riesenrolle

Dennis: und wie man überhaupt sowas aufbaut.

Dennis: Wie schaffe ich Meldekanäle für Schwachstellen und so weiter?

Dennis: Und wie rolle ich Updates überhaupt richtig aus, also Security-Updates?

Dennis: Und wir reden ja zum Beispiel auch über die Datenschutz-Grundverordnung und

Dennis: der Anwendungsbereich der DSGVO, der ist ja definitiv noch mal viel,

Dennis: viel weiter gefasst als jetzt bei NIS2-Regulierung,

Dennis: weil jedes Unternehmen, was irgendwie auf dem Markt agiert, verwaltet zumindest

Dennis: Kundendaten und damit sind wir im Anwendungsbereich der Datenschutz-Grundverordnung drin.

Dennis: Und wenn man das alles mal zusammennimmt, also diesen ganzen Regelungshorizont,

Dennis: dann sind wir eigentlich schon so weit, dass wir sagen können,

Dennis: ja, bis auf Privatpersonen regulieren wir eigentlich irgendwo Data Security

Dennis: überall, weil natürlich auch eine DSGVO sagt, Artikel 32.

Dennis: Es ist Datensicherheit nach Stand der Technik zu gewährleisten.

Dennis: Wir finden da ähnliche Begrifflichkeiten und das bedeutet natürlich Stand der

Dennis: Technik, da sind wir auch wieder bei diesem Begriff, Datenschutzmanagementsystem aufsetzen.

Dennis: Und wenn ich ein Unternehmen bin, was durch NIS II wie auch DSGVO betroffen

Dennis: ist, dann sage ich natürlich an der Stelle, ja, eigentlich...

Dennis: Hätte ich ja schon ein Informationssicherheitsmanagement-System aufbauen müssen,

Dennis: wo dann das Datenschutzmanagement-System quasi mit dem ganzen datenschutzbezogenen

Dennis: Überbau aufgestockt wird.

Dennis: Und da sind wir eigentlich schon fast in dieser Vollregulierung drin,

Dennis: dass wir sagen, Datensicherheit ist eine gesamtgesellschaftliche Aufgabe über

Dennis: alle unterschiedlichen Betriebstypen hinweg.

Ingo: Wäre es nicht sinnvoll, diese Gesetze da ein bisschen zusammenzufassen.

Ingo: Also ich bin als KIler natürlich so ein bisschen betroffen davon,

Ingo: dass ich mit Unternehmen jetzt viel im Rahmen vom AI-Act zu sprechen habe und

Ingo: da natürlich auch so ein bisschen die Fragen stehen.

Ingo: Also ich habe eine bestimmte Vorsicht

Ingo: im Umgang mit KI-Systemen auch zu dokumentieren und durchzuführen.

Ingo: Wir haben DSGVO, wir haben im Prinzip NIS II und alles.

Ingo: Also es ist ja alles auch sehr verteilt und macht ja auch die Komplexität,

Ingo: um ein kohärentes IT-Management aufzubauen, schwierig, oder?

Dennis: Ja, also die Kohärenz, das ist, glaube ich, das ganz große Problem.

Dennis: Also zurzeit ist es so, dass viele Unternehmen mit sehr vielen Regularien konfrontiert werden.

Dennis: Also du hast ja auch noch den AI-Act angesprochen. Jenseits von S2 gibt es zum

Dennis: Beispiel auch den Digital Operational Resilience Act, den DORA,

Dennis: für den Finanzsektor, der zurzeit implementiert wird.

Dennis: Und irgendwann kriegen wir auch noch ein Kritis-Sachgesetz, was die Europäische

Dennis: Critical Entities Resilience Directive umsetzt und wo es dann um physischen Kritis-Schutz geht.

Dennis: Klar, und dazu hat man natürlich noch seine ganzen allgemeinen Compliance-Richtlinien,

Dennis: die teilweise auch branchenspezifisch sind. Das ist viel.

Dennis: Was auf die Unternehmen zukommt. Manch einer mag dann sagen,

Dennis: ja, den Unternehmen wird viel zu viel zugemutet.

Dennis: Andererseits ist es aber auch so, die Welt ist einfach komplexer geworden in den letzten Jahren.

Dennis: Und wo wir einerseits sagen können, Unternehmen profitieren vom Einsatz von

Dennis: IT, indem neue Prozesse, Produkte eingeführt werden, indem Prozesse verschlankt

Dennis: werden können. Vielleicht an der einen oder anderen Stelle jetzt auch,

Dennis: was ja auch das Ziel von KI ist, Personal einzusparen.

Dennis: Da müssen auf der anderen Stelle auch entsprechende Mechanismen eingezogen werden,

Dennis: damit die IT, die die Menschen hier ersetzt oder deren Arbeit ergänzt,

Dennis: angemessen kontrolliert wird.

Dennis: Und deswegen würde ich einfach nur sagen, das ist ein Trade-off,

Dennis: den wir hier erleben, auch wenn manch ein Unternehmen dann ganz gern von Überregulierung

Dennis: spricht oder dass europäische Innovation dadurch behindert oder gar zerstört würde.

Dennis: Das würde ich an dieser Stelle nicht so ohne weiteres unterschreiben.

Ingo: Ja, das teile ich zu ganz großen Teilen auch. Also ich sehe auch immer besonders

Ingo: mehr als ein Feature sehen.

Ingo: Und wir stärken ja auch das Vertrauen in die Systeme, wenn wir entsprechend

Ingo: den Bürger schützen bei dem Ganzen, was wir tun.

Ingo: Ich habe noch eine etwas nicht ernst gemeinte kritische Schlussfrage zu dem Themenkomplex.

Ingo: Und zwar, wenn ich so in die Bereiche vom Arbeitsschutz und Arbeitssicherheit

Ingo: gehe, dann ist es oft so, dass man so einmal im Jahr eine kleine E-Mail bekommt

Ingo: von der Arbeitssicherheit in der Universität.

Ingo: Man soll mal bitte alle Elefantenfüße und Treppen prüfen und dann schreibt man

Ingo: kurz, habe ich gemacht oder dokumentiert das bei sich lokal und damit ist es erledigt.

Ingo: Ich weiß von Unternehmen, die machen Sicherheitsunterweisungen so,

Ingo: dass die Powerpoints rumgeben und die Mitarbeiter unterschreiben lassen,

Ingo: unabhängig davon, ob sie die gesehen und gelesen haben oder auch nicht.

Ingo: Also inwieweit glaubst du als Experte, dass das, was wir hier jetzt regulieren

Ingo: und so, wie wir es regulieren, auch zu mehr Sicherheit führt?

Ingo: Oder ist es eher so, dass wir auch wieder hier einen Dokumentationsmonster erschaffen

Ingo: haben, was dazu führt, dass wir alle sagen, wir hätten alles geprüft und gemacht

Ingo: und nach dem Schadetechnik umgesetzt, aber nicht im gleichen Maße auch wirklich

Ingo: zu einer Verwässerung der Sicherheit führt?

Dennis: Also wenn man das natürlich mit der gegenwärtigen Lage vergleicht,

Dennis: ist es so, dass viele Unternehmen gar nichts gemacht haben und wahrscheinlich

Dennis: auch nie irgendetwas investieren oder tun würden, es sei denn,

Dennis: sie sind selbst mal von einem Cyber-Vorfall betroffen.

Dennis: Mit einer Regulierung, die ja, wie Monina auch schon gesagt hat,

Dennis: sanktionsbewehrt ist und ganz erheblich sanktionsbewehrt ist und diese Geschichte

Dennis: über vertragliche Abwicklung, über die digitale Lieferkette, zivilrechtliche,

Dennis: Schadensansprüche, auch die Betroffenen in erheblicher Weise tangieren kann,

Dennis: glaube ich schon, dass wir in den Bereich reinkommen, es ist nicht nur eine

Dennis: Dokumentationssache oder es

Dennis: werden irgendwelche abstrakten Verträge geschlossen und niemand tut was.

Dennis: Da bin ich mir schon relativ sicher, dass auch was geschehen wird.

Dennis: Und man kann natürlich immer sagen, Regulierung ist irgendwie Dokumentationsaufwand, aber mit,

Dennis: Jeder Prozess, der in einem Unternehmen eingerichtet wird, bedarf natürlich

Dennis: auch an der Stelle Dokumentation.

Dennis: Wenn ich ein neues Produkt auf den Markt bringe, wenn ich irgendein Produkt

Dennis: entwickle, wenn ich Human Resources betreibe.

Dennis: Und es wird jetzt einfach in einem Bereich eine Dokumentation eingezogen,

Dennis: wo es eigentlich in der Vergangenheit schon länger notwendig gewesen wäre,

Dennis: sowas zu dokumentieren. Ich muss mir natürlich auch einen Überblick über meine IT verschaffen.

Dennis: Das ist ja zwingend notwendig an der Stelle.

Dennis: Ich habe ja auch einen Überblick über meinen Fuhrpark beispielsweise,

Dennis: über mein Personal, über die Verträge, über die Zahlungspflichten.

Dennis: Und dann muss ich auch einen Überblick über meine IT und deren Sicherheit haben.

Dennis: Das ist, denke ich, für jeden Betrieb eine Selbstverständlichkeit.

Volker: Ja, Dennis, vielen, vielen Dank für deine Expertise, die du hier eingebracht hast.

Volker: Ich glaube, wir hätten noch das Potenzial, Stunden weiterzureden.

Volker: Wir brechen ja teilweise bei den einen Unternehmen, die noch gar nicht darauf

Volker: vorbereitet sind, weil sie sich nie um IT ernsthaft kümmern wollten und mussten.

Volker: Und die anderen, die schon IT-Gepflogenheiten haben, beispielsweise Kubernetes-Container,

Volker: Docker und jetzt Lieferkettenmanagement oder nachher Software, Build-of-Material.

Volker: Warum nehme ich einen Docker-Container? Weil ich nicht weiß,

Volker: also mich interessiert es nicht, ich will den nehmen, geht nicht mehr.

Volker: Also ganz, ganz viele Themen, die wir haben und noch diskutieren könnten,

Volker: aber leider, leider ist dann auch irgendwann mal die Aufmerksamkeit unserer

Volker: Zuhörerschaft erschöpft.

Volker: Insofern noch eine Frage an dich, ob du noch irgendwas von dir aus loswerden

Volker: willst oder eine Frage an uns stellen willst.

Dennis: Ja, also wir haben ja viel über das Thema Risikomanagement nach NIS2 in der

Dennis: Cyber Security gesprochen und Monina hatte ja unter anderem auch das Thema BSI

Dennis: Grundschutz angesprochen.

Dennis: Und wir sind zurzeit an einem Projekt beteiligt, was vom Bundeswirtschaftsministerium

Dennis: gefördert wird, nicht vom Bundesforschungsministerium, da erkennt man eben auch

Dennis: schon die Relevanz des Ganzen,

Dennis: wo wir den NIS2 Rollout in der Wirtschaft begleiten wollen.

Dennis: Und da sind wir zurzeit dabei, ein Tool mit zu befüllen, wo wir einerseits Betroffene

Dennis: ermöglichen festzustellen, fallen sie in den Anwendungsbereich von NIST 2,

Dennis: also was jetzt den Sektor angeht,

Dennis: was jetzt die Branche angeht und die Schwellenwerte.

Dennis: Und wenn ich dann reinfalle, wie setze ich das Ganze eigentlich um?

Dennis: Und da stellen wir gerade Controls zusammen.

Dennis: Ich glaube, es sind fast 200 mittlerweile an der Zahl, wo wir den BSI-Grundschutz

Dennis: analysiert haben, wo wir ISO-EC 27000 analysiert haben,

Dennis: wo wir in die branchenspezifischen Sicherheitsstandards für Kritis,

Dennis: also B3S, reingegangen sind und uns auch Spezialvorgaben wie zum Beispiel TISAX

Dennis: im Automobilsektor angeschaut haben, sodass man dann branchenspezifisch für sich bestimmen kann,

Dennis: was muss ich eigentlich an Contours umsetzen, um dem Stand der Technik nach NIST 2 zu genügen.

Dennis: Und das Ganze wird dann voraussichtlich im Mai kostenfrei veröffentlicht werden.

Monina: Das war die Sicherheitslücke zu dem Thema NIS 2. Vielen Dank nochmal,

Monina: also ganz herzlichen Dank an dich, Dennis-Kenji Kipker.

Dennis: Sehr gern.

Monina: Es war super, dass du da warst. Ihr könnt die Sicherheitslücke überall dort

Monina: finden, wo es Podcasts gibt oder auf unserer Webseite www.sicherheitslücke.fm.

Monina: Gebt uns gerne Feedback, wir lesen das. Wir gehen da auch noch drauf ein, versprochen.

Monina: Das geht über unsere Webseite auf Mastaton und seit Neuestem auch auf LinkedIn.

Monina: Wir lesen das, genau, reagieren dann noch drauf. Ihr findet Links dorthin auch

Monina: in unseren Shownotes, genauso wie den eben angesprochenen Link,

Monina: der dann wahrscheinlich nachgeliefert wird.

Monina: Von dem Tool im Mai, sagtest du, kommt das?

Dennis: Genau.

Monina: Genau, okay. Das kommt dann auch noch in die Shownotes mit rein und auch weiterführende

Monina: Links, die wir heute angesprochen haben.

Monina: Empfehlt den Podcast gerne weiter, bewertet uns dort, wo ihr uns hört.

Monina: Das hilft uns, gefunden zu werden und auch weiterzumachen.

Monina: Die Kapitelbilder zu unseren Folgen kommen wieder von Anne Vogt und die Produktion

Monina: übernimmt Christian Friedrich.

Monina: Vielen Dank an beide für ihre wundervolle Arbeit.

Monina: Die Sicherheitslücke ist ein Podcast der Hamburger Open Online University.

Monina: Hier auch vielen Dank für die Unterstützung. Wir verabschieden uns und bis zur nächsten Folge.

Ingo: Monina Schwarz, Ingo Timm.

Dennis: Volker Skwarek und Dennis-Kenji Kipker.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.