NIS-2 mit Dennis-Kenji Kipker
Shownotes
Wie ist der Stand bei der Umsetzung des NIS-2 Umsetzungsgesetzes in Deutschland? Welche konkreten Punkte sollten Unternehmen, Verwaltung und Behörden schon jetzt beachten? Diese und viele weitere Fragen haben wir mit Prof. Dr. Dennis Kenji-Kipker besprochen. Dennis ist ausgewiesener Experte für Cyversicherheitsrecht und hat unter anderem als Sachverständiger in einer Anhörung des Deutschen Bundestags zum Thema NIS-2 beraten.
Mehr zu unserem Gast
Wikipedia: Dennis-Kenji Kipker
Links zur Episode
Europäische Richtlinie als Basis für NIS 2
Übersichtsseite der Bundesregierung zum Umsetzungsstand von NIS-2
Gesetzesentwurf der Regierung, über den in dieser Episode gesprochen wird
BSI: Gesetze zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG)
Wikipedia: Kritische Infrastruktur (KRITIS)
BSI: NIS-2 Betroffenheitsprüfung
Wikipedia: Computer Emergency Response Team (CERT)
Wikipedia: Software-Lieferkette und SBOM
Artaker: Unterschiede zwischen NIS-1 und NIS-2
Podcast App Empfehlungen
Unsere Kapitelbilder könnt ihr mit einer guten Podcast App sehen. Zum Beispiel mit:
Die Sicherheits_lücke im Netz
Abonniere Die Sicherheits_lücke überall, wo es Podcasts gibt, oder über unsere Website: https://www.sicherheitsluecke.fm
Die Sicherheits_lücke bei Mastodon
Die Sicherheits_lücke bei LinkedIn
Die Sicherheits_lücke bei Pixelfed
Feedback oder Kritik? Wünsche? Schreib uns: post@sicherheitsluecke.fm
Die Sicherheits_lücke ist ein Podcast der Hamburg Open Online University (HOOU).
Monina Schwarz, LSI Bayern
Volker Skwarek an der HAW Hamburg
Produktion und Musik: Christian Friedrich
Das in dieser Episode verwendete Bildmaterial steht unter der Lizenz CC-BY 4.0, Urheberin ist Anne Vogt.
Transkript anzeigen
Volker: Moin Moin, herzlich willkommen zu unserem Podcast, die Sicherheitslücke mit
Volker: Volker Skwarek von der HAW Hamburg.
Monina: Monina Schwarz vom LSI.
Ingo: Ingo Timm vom DFKI und der Uni Trier.
Volker: Wir zeichnen heute am 28.03.2025 die vierte Episode zu einem hochaktuellen und
Volker: im regulatorischen Kontext allgegenwärtigen Thema NIST-2-Regulation auf.
Volker: Als besonderen Gast haben wir Professor Dennis-Kenji Kipker, einem Experten,
Volker: auch oder auch sehr stark für die NIST-2-Regulierung, mit an Bord.
Volker: Dennis ist unter anderem auch bei Regierungskonsultationen mit dabei.
Volker: Herzlich willkommen, Dennis. Meine Frage an dich erstmal,
Volker: wie schafft man das eigentlich eine so hohe Reichweite, eine so hohe Strahlkraft
Volker: und auch vor allem eine so hohe Kompetenz in diesem Bereich schon so schnell
Volker: aufzubauen, gerade wo wir noch in dieser Regulations- und Abstimmungsphase sind?
Dennis: Ja, also einerseits ist es natürlich ein wichtiges Thema. Also wir haben in
Dennis: den letzten 10, 15 Jahren wahnsinnig viel vernetzt, viel digitalisiert und haben
Dennis: natürlich auch gesehen, dass damit auch die Zahl an Angriffsvektoren zunimmt.
Dennis: Zum anderen ist es auch so, dass sich einfach seit 2020 die globalpolitische
Dennis: Lage und damit auch die Cybersicherheitslage gravierend geändert hat.
Dennis: Also wir sprechen über die Corona-Pandemie, da haben wir erstmals einen Peak
Dennis: in der Bedrohungslage gesehen. Wir sprechen über den nach wie vor fortdauernden
Dennis: völkerrechtswidrigen Angriffskrieg der russischen Föderation gegen die Ukraine.
Dennis: Gleichzeitig sehen wir natürlich auch die Spannungen im Fernost nach wie vor,
Dennis: also insbesondere im Blick auf die Volksrepublik China, Taiwan.
Dennis: Das heißt, man kann schon sagen, Cybersicherheit ist in aller Munde und das
Dennis: hängt auch so ein bisschen damit zusammen, dass beispielsweise vor zehn Jahren,
Dennis: sage ich mal 2015, das BSI noch fast kein Mensch gekannt hat.
Dennis: Also es war ein Insider-Thema, Cyber-Security-Spezialisten, die haben sich damit
Dennis: befasst, die standen im Austausch mit der Behörde. Wenn man mal schaut,
Dennis: wo ist das BSI heute vertreten?
Dennis: Also ich von Instagram irgendwie über LinkedIn bis in alle Boulevard-Medien
Dennis: rein, bis zur Apotheken Umschau.
Dennis: Also ich glaube, jeder hat das Thema Cyber Security auf dem Schirm.
Dennis: Und bei mir persönlich ist es einfach so ein bisschen zur rechten Zeit am rechten Ort gewesen.
Dennis: Also wir hatten damals an der Uni Bremen, wo ich dann als wissenschaftlicher
Dennis: Mitarbeiter, als Postdoc gearbeitet habe,
Dennis: das Glück vom Bundesforschungsministerium den Zuschlag zu bekommen für eines
Dennis: der großen Begleitforschungsprojekte, die eben die Einführung des ersten IT-Sicherheitsgesetzes
Dennis: in Deutschland zum Gegenstand hatten.
Dennis: Und da geht es ja viel um den Schutz von Kritis, also die ganzen kritischen Infrastrukturen.
Dennis: Viele Sektoren, viele Branchen waren das erste Mal Cyber Security reguliert
Dennis: und wir hatten die verantwortungsvolle Aufgabe, den Rollout,
Dennis: dieses ersten IT-SIG zu begleiten und da haben wir dann relativ früh gesagt.
Dennis: Auch festgestellt, es gibt eigentlich nicht viel. Also wenn man mal schaut,
Dennis: Cyber Security Regulierung, also wenn man sich das Recht anschaut,
Dennis: war bislang all die Jahre zuvor so ein Anhängsel vom technischen Datenschutz
Dennis: so ein bisschen, dass man gesagt hat, ja ohne Datensicherheit gibt es eben keinen Datenschutz.
Dennis: Und da hat sich das erste Mal dieses ganze Rechtsgebiet als eigenständiges Rechtsgebiet
Dennis: entwickelt und das haben wir natürlich genutzt.
Dennis: Wir hatten große Finanzmittel an der Stelle, auch um Konferenzen,
Dennis: Vorträge zu organisieren, Veranstaltungen zu besuchen und wir hatten auch die
Dennis: Aufgabe, das Thema Cyber Security Compliance, also Regulierung,
Dennis: voranzubringen und das haben wir an der Stelle dann dementsprechend auch genutzt
Dennis: und mit den Entwicklungen, die ich eingangs skizziert hatte,
Dennis: hat das dann eben eine ganz gute Symbiose ergeben.
Volker: Alles klar. Ja, also ich finde es beeindruckend.
Volker: Ich finde es toll, bei so einem Thema wirklich so früh mit dabei sein zu können
Volker: und vor allen Dingen das auch zu prägen.
Volker: Hier meine erste Frage mal. Also wir reden ja im Moment über einen Regierungsentwurf,
Volker: der aus dem Juli letzten Jahres stammt und eigentlich bis, ich glaube, 16.
Volker: Oktober oder sowas hätte verabschiedet werden müssen, um diese Zwei-Jahres-Grenze
Volker: der EU-Regulierung einhalten zu können. Naja, wir wissen, was in dem Zeitraum
Volker: passiert ist und dass unsere Regierung da etwas anderes zu tun hatte.
Volker: Aber also wir sprechen über diesen Entwurf, wir packen den auch in die Shownotes rein.
Volker: Und hier so schon allein in der Präambel bin ich ein bisschen gestolpert.
Volker: Da heißt es Problem und Ziel.
Volker: Also ich fasse es nochmal zusammen. Wir digitalisieren halt mehr und wir brauchen
Volker: das zur Effizienzsteigerung. Und daher müssen wir eben auch ein bisschen,
Volker: steht da nicht, aber so ein bisschen an die Security denken.
Volker: Ist das nicht irgendwie, also aus meiner Sicht ist das ein absolut falsches
Volker: Vorgehen, weil ohne Security als Fundament dürften wir gar nicht digitalisieren.
Volker: Weil alles, was wir digitalisieren, entfernt eigentlich Redundanz.
Volker: Überall, wo Redundanz fehlt, sind wir hochgradig vulnerable,
Volker: weil da kann man an einer Stelle alles kaputt machen und wir funktionieren nicht mehr.
Volker: Müsste man das nicht eigentlich auch politisch genau umgekehrt denken,
Volker: erst Security und alles, wo es keine Security für gibt, lassen wir die Digitalisierung,
Volker: weil sie gefährdet uns mehr, als sie bringt.
Dennis: Also,
Dennis: Ich denke an der Stelle, dass Digitalisierung
Dennis: vor allem auch durch Wirtschaftsunternehmen getrieben wird.
Dennis: Das heißt, sie bringen bestimmte Produkte, Dienste auf den Markt.
Dennis: Diese Produkte, Dienste werden nachgefragt. Und Cybersecurity ist,
Dennis: glaube ich, etwas, was in der Vergangenheit einfach hinten übergefallen ist.
Dennis: Man hat natürlich bestimmte Time-to-Market-Zeitspannen.
Dennis: Das Ganze muss wirtschaftlich sein.
Dennis: Und Cybersecurity ist auch etwas, da kann man Management schwer von überzeugen.
Dennis: Und Cybersecurity ist eine Investition, die man erstmal auch überhaupt nicht
Dennis: sieht an der Stelle. Und es ist jetzt dann problematisch, weil irgendwelche
Dennis: Systeme, wie du es auch schon gesagt hast, nicht mehr laufen.
Dennis: Also sei es, weil es irgendwelche Schwachstellen gegeben hat,
Dennis: die ausgenutzt wurden, weil es Cyberangreifer gegeben hat oder auch letzten
Dennis: Endes war einfach nur, bestimmte Produkte am Ende aus einem bestimmten Grunde
Dennis: heraus gar nicht mehr funktionieren.
Dennis: Und was die Regulierung da macht, ist, dass man einfach nur erkannt hat,
Dennis: dass diese Defizite vorhanden sind.
Dennis: Und das ist auch das, was eben politisch getan wird, eine Reaktion darauf entwickelt wird.
Dennis: Und diese politische Reaktion ist eine Gesetzgebung gewesen.
Dennis: Und es wäre natürlich wünschenswert gewesen, wenn man von Anfang an gesagt hätte,
Dennis: wir müssen Security by Design,
Dennis: Security by Default umsetzen, das in die Entwicklungsprozesse von Anfang an
Dennis: integrieren, über den gesamten Lebenszyklus eines Produktes analysieren und
Dennis: auch fortsetzen bis zur Abkündigung.
Dennis: Das wäre wundervoll für die Cybersicherheit. Aber dann hätten wir natürlich
Dennis: einerseits kein Problem mehr mit der Cybersicherheit.
Dennis: Das ist ganz klar. Dann bräuchten wir in dem Sinne jetzt auch nicht über ein
Dennis: IT-Sicherheitsgesetz, über eine NIST-2-Richtlinie sprechen.
Dennis: Und andererseits ist es natürlich auch so, dass die irgendwo dann Illusion ist.
Dennis: Und man sieht es jetzt ja auch schon beispielsweise bei der Datenschutz-Grundverordnung.
Dennis: Wir haben die Datenschutz-Grundverordnung seit fast zehn Jahren, ist sie wirksam.
Dennis: Und es gibt Unternehmen, die haben immer noch nichts vom europäischen Datenschutz
Dennis: gehört. Und da kommt dann natürlich irgendwann der Gesetzgeber ins Spiel und
Dennis: sagt, wir müssen Cyber Security zu einer Pflicht für alle machen.
Monina: Gut und ich meine, wir haben jetzt ja auch schon NIS generell länger und jetzt
Monina: kommen ja mit NIS 2 eigentlich auch noch einen Haufen Einrichtungen mehr dazu
Monina: oder der Bereich, auf wen das Ganze zählt, erweitert sich ja um einiges.
Monina: Unter anderem zählen jetzt ja einige Einrichtungen der öffentlichen Verwaltung
Monina: dazu wo meine erste Frage tatsächlich wäre,
Monina: klar man kann sich das irgendwie vorstellen warum die dazukommen es gibt schon
Monina: auch öffentliche Verwaltung die irgendwie relevant genug ist,
Monina: dass wenn sie auffällt Leuten unangenehm auffällt aber das ist ein bisschen
Monina: also das ist gerade für mich spannend mit den Bereichen der öffentlichen Verwaltung
Monina: was kommt denn da genau dazu gibt es da eine genauere Aussage schon.
Dennis: Also grundsätzlich ist es so, dass NIS II selbst sagt, private Einrichtungen
Dennis: wie öffentliche Einrichtungen sind gleichermaßen von der Regulierung umfasst.
Dennis: Der deutsche Gesetzgeber, und das ist die Krüx an der ganzen Geschichte,
Dennis: hat damals aber schon im Rechtsetzungsverfahren auf europäischer Ebene darauf
Dennis: hingewirkt, dass Ausnahmeregelungen geschaffen werden können für die öffentliche Verwaltung.
Dennis: Das heißt, man hat sich da schon so eine Hintertür offen gehalten und hat dann
Dennis: letzten Endes auch im nationalen Umsetzungsgesetzgebungsverfahren unter der
Dennis: alten Regierung jetzt natürlich noch von dieser Hintertür auch Gebrauch gemacht und hat gesagt, ja,
Dennis: also vor allen Dingen, was hier kritisiert wurde, sind die Kommunen,
Dennis: die Städte, was da Cybersicherheit angeht.
Dennis: Wir sehen es ja im laufenden Band, man braucht nur in die Medien reinschauen,
Dennis: das ist ein Riesenproblem, nicht nur in Deutschland, sondern beispielsweise
Dennis: auch in Österreich, dass Kommunen immer wieder erfolgreich angegriffen werden.
Dennis: Man meint nicht nur kritische Versorgungsdienstleistungen wie Energie,
Dennis: Wasserversorgung, Abfallwirtschaft, was von Kommunen bewirtschaftet wird,
Dennis: sondern natürlich auch solche Sachen wie Bürgerdienste, digitale Bürgerdienstleistungen,
Dennis: die dann nicht mehr funktionieren.
Dennis: Also dass man irgendwie sich den Reisepass nicht mehr ausstellen kann,
Dennis: kein Kfz-Kennzeichen mehr bekommt, das sind ja schon ganz essentielle Dinge.
Dennis: Aber der Gedanke an der Stelle ist dann gewesen, bei der Regulierung zu sagen,
Dennis: wir versuchen einerseits bei NIST 2 eine flächendeckende Cybersicherheit in
Dennis: der Europäischen Union ganzheitlich aufzubauen.
Dennis: Aber der deutsche Gesetzgeber hat gesagt, ja, die Kommunen, die haben ja eine
Dennis: Selbstverwaltungsautonomie.
Dennis: Also die müssen ja eigentlich und dürfen auch selbst entscheiden,
Dennis: was sie wie und wo machen. Und dazu gehört natürlich auch Cybersecurity.
Dennis: Und dann überlassen wir es doch den Kommunen, wie sie ihre Cybersicherheitsstandards
Dennis: definieren, was sie umsetzen und was sie lassen. Ist natürlich nicht ein Feigenblatt.
Dennis: Dafür, dass man sagen will, wir haben weder personelle Ressourcen noch wirtschaftliche
Dennis: Ressourcen, um Cyber Security flächendeckend in Deutschland umzusetzen.
Dennis: Und wenn man sich mal zurückerinnert an die Debatten, die wir zum Ende vergangenen
Dennis: Jahres auch mit Blick auf die Nationalen S2-Umsetzungen im Bundestag geführt
Dennis: haben, da wird relativ deutlich, wie schwierig es selbst Bund und Ländern fällt.
Dennis: Also ich spreche jetzt hier von der Zentralregierung, ich spreche von den Landesregierungen
Dennis: der Bundesländer in Deutschland, in Cybersicherheit zu investieren.
Dennis: Christian Lindner, seinerzeit ja noch Finanzminister, hat dann ja überhaupt
Dennis: die Überlegungen angestellt, wie viel das Ganze eigentlich kosten sollte,
Dennis: dass man bestimmte Einrichtungen auf Bundesebene rausgenommen hat,
Dennis: dass man gesagt hat, wir nehmen nur die Bundesministerien als höchste Behörden rein.
Dennis: Bei den Bundesländern ist es so, sie müssen zwar NIS II umsetzen,
Dennis: weil NIS II verlangt natürlich für alle Staaten europaweiten einheitlichen Cybersicherheitsstandards,
Dennis: egal ob sie jetzt föderalistisch organisiert sind oder nicht.
Dennis: Aber dann haben dann auch die Länder teilweise gesagt, wir machen das unterschiedlich.
Dennis: Ja, Nordrhein-Westfalen hat zum Beispiel in einer Auskunft an den WDR gesagt.
Dennis: Ach, bei einigen Punkten sind wir schon 20 Jahre lang mit NS2-konform eigentlich,
Dennis: da brauchen wir gar nichts mehr machen und dann machen wir einfach nur so einen
Dennis: Verwaltungserlass, der dann NS2 umsetzt.
Dennis: Andere Bundesländer sind hingegangen, haben eigene Cybersicherheitsgesetze geschaffen
Dennis: und wiederum einige andere haben gar nichts gemacht bislang.
Dennis: Und da kann man schon sehr, sehr gut erkennen, wie unterschiedlich Cyber Security
Dennis: eigentlich aufgefasst wird. Und das ist, glaube ich, trotz dieser Bedrohungslage,
Dennis: über die wir eingangs gesprochen haben, die ja ganz massiv ist,
Dennis: noch nicht bei allen durchgedrungen ist.
Dennis: Da muss man eigentlich viel, viel mehr machen und wir können nicht nur über
Dennis: Awareness reden und am Ende nichts tun.
Monina: Das heißt, wir haben jetzt dann auch nicht nur eine abgespeckte Version von
Monina: dem, was in NIST 2 steht, was wahrscheinlich dann bei uns in die Umsetzung kommen
Monina: wird, was die Betroffenen oder davon betroffenen Stellen angeht,
Monina: sondern es ist auch generell noch nicht breit genug gedacht, oder?
Monina: Also habe ich das jetzt so richtig verstanden, dass es eigentlich noch viel
Monina: mehr, als da jetzt definiert ist, drinnen drunter fallen müsste?
Dennis: Ja, also wenn wir Cybersicherheit ganzheitlich angehen wollen würden,
Dennis: dann müssten wir definitiv noch deutlich weitergehen.
Dennis: Aber das ist natürlich das Optimum. Also man muss natürlich sehen,
Dennis: jedes Gesetz unterliegt am Ende einem Kompromiss. Also man muss ja irgendwie
Dennis: diesen politischen Willensbildungsprozess durchlaufen, sowohl in der Europäischen
Dennis: Union wie auch in den nationalen Parlamenten.
Dennis: Und Gesetzgebung ist an der Stelle keine Wissenschaft.
Dennis: Also es ist nicht irgendwie zwingend evidenzbasiert. Es ist nicht alles nachvollziehbar,
Dennis: nachweisbar oder vielleicht auch zu 100 Prozent transparent,
Dennis: warum eine bestimmte Regelung so formuliert ist,
Dennis: wie sie formuliert ist. Und da muss man gewisse Abstriche machen.
Dennis: Aber wir werden es auch aufgrund dieser zahlreichen Ausnahmetatbestände,
Dennis: die auch genutzt werden, wie wir gesehen haben, nicht schaffen,
Dennis: mit NIS2 ein flächendeckend einheitlich hohes Cybersicherheitsniveau herzustellen.
Dennis: Das Interessante, vielleicht da auch noch eine Anekdote,
Dennis: also wir als Cyber Intelligence Institute haben beispielsweise auch eine Studie
Dennis: erstellt, wo wir den Umsetzungsstand in allen 27 Mitgliedstaaten der Europäischen
Dennis: Union für NS2 verglichen haben.
Dennis: Aufgrund des Verfalls der deutschen Regierung sind wir jetzt in der Europäischen
Dennis: Union das definitive Schlusslicht.
Dennis: Also möglicherweise sind wir sogar der letzte Staat in der Europäischen Union
Dennis: in zeitlicher Hinsicht, der NIS II zur Umsetzung bringt.
Dennis: Aber was eigentlich viel interessanter ist, einige Staaten sind auch hingegangen
Dennis: und haben gesagt, kommunale Infrastrukturen, städtische Infrastrukturen sind
Dennis: in unserer nationalen Umsetzung von NIS II umfasst.
Dennis: Also zum Beispiel Kroatien hat das so geregelt oder Griechenland,
Dennis: die haben auch gesagt, dass lokale Infrastrukturen abhängig von ihrer Risikobewertung
Dennis: durchaus auch vom Anwendungsbereich von NIS II umfasst sein können.
Volker: Dazu habe ich gleich mal eine Frage an dich. Und zwar, wenn man sich den Teil
Volker: D, der Intro von diesem Regierungsentwurf anguckt, das sind die Haushaltsausgaben.
Volker: Also kein Gesetzentwurf ohne irgendwie haushalterische Abschätzung.
Volker: Und da steht tatsächlich, Mehrausgaben für Länder und Kommunen entstehen nicht.
Volker: Und da fehlt mir jegliches Verständnis.
Volker: Das eine ist möglicherweise der regulatorische Wille, dass es doch möglichst bitte nicht passiere.
Volker: Aber wenn man sich doch dieses Gesetz einmal durchliest und auch hier nochmal
Volker: für die Hörerinnen und Hörer. es ist ja nur ein Umsetzungsgesetz,
Volker: es ist ja kein eigenes Gesetz, sondern wir reden über eine EU-Richtlinie.
Volker: Die EU hat also einen Rahmen entschieden, der in nationales Recht überführt
Volker: werden muss, was durch eigene oder schon bestehende Gesetze erfolgen kann.
Volker: Und in Deutschland hat man sich halt entschieden, schon bestehende Gesetze entsprechend
Volker: zu modifizieren, deswegen halt so ein Umsetzungs-Anpassungsgesetz.
Volker: Und wenn man sich das genau anguckt...
Volker: Kann man sagen, naja, es ist im Prinzip, man redet immer von Bundeseinrichtungen,
Volker: Bundesbehörden und so weiter und so weiter,
Volker: aber kritische Infrastruktur, was ist denn zum Beispiel mit Verkehrsleitstellen,
Volker: die in großen Städten sitzen, Landes- oder sogar Kommunalinfrastruktur,
Volker: also die brauchen kein Risikomanagement zu machen, die brauchen keine Cyberübungen zu machen, gar nichts.
Volker: Und das ist egal, ob in der Münchner Innenstadt einfach mal zur Hauptverkehrszeit
Volker: spontan alle Ampeln ausfallen. Ich würde sagen, steht ja da.
Dennis: Ja, und das ist ein ganz großes Problem. Also dass Cybersicherheit da an der
Dennis: Stelle als reine Bundesaufgabe irgendwo definiert wird.
Dennis: Es ist an der Stelle natürlich so, dass der Bund nicht alles regulieren kann.
Dennis: Und diese Kritik ist auch in den Ausschüssen durch die Sachverständigen laut geworden.
Dennis: Und da haben eben an der Stelle auch die Bundestagsabgeordneten,
Dennis: die im zuständigen Ausschuss saßen, auch gesagt, ja, wir können natürlich jetzt
Dennis: keine regulatorische Vorgabe eins zu eins für die Länder an der Stelle machen,
Dennis: weil wir eben dazu auch gar nicht die Befugnisse haben.
Dennis: Aber andererseits gehen wir eben auf die Länder zu, das entsprechend umzusetzen.
Dennis: Das heißt, man kann an der Stelle, glaube ich, was die Regulierung und die Föderalismusweite
Dennis: Umsetzung von NIS II anbelangt, nicht nur dem Bund Vorwürfe machen,
Dennis: sondern glaube ich auch den Ländern,
Dennis: wo das mindestens genauso stiefmütterlich angegangen wurde, das Thema in einigen
Dennis: Bundesländern, wie das für Bundeseigene Einrichtung der Fall gewesen ist.
Ingo: Kann das Problem, dass das NIS II keine Kosten ausweist, also keine entstehenden
Ingo: Kosten auf Land- und kommunaler Ebene ausweist, auch damit zusammenhängen,
Ingo: dass man nicht in den Vermittlungsausschuss wollte?
Ingo: Dass ansonsten ja, wenn es die Finanzen der Kommunen und der Länder betrifft,
Ingo: eigentlich wieder zustimmungswichtig im Bundesrat wird.
Dennis: Mit Sicherheit hat das auch damit zu tun gehabt. Also NIS II und die nationale
Dennis: Umsetzung mit dem NIS II Umsetzungs- und Cybersicherheitsstärkungsgesetz,
Dennis: das ist an der Stelle einfach ein Kompromiss gewesen.
Dennis: Und man hat von Anfang an aber auch nicht das Ziel gehabt, politisch öffentliche
Dennis: Einrichtungen in den Fokus der Umsetzung von NIST II zu stellen.
Dennis: Also es sollte von Anfang an, das war politisch auch so gewollt,
Dennis: vorrangig eine wirtschaftsbezogene Regelung sein und keine Regelung,
Dennis: die eben öffentliche Infrastruktur betrifft.
Volker: Wobei die Wirtschaft sich ja theoretisch eigentlich, ich sag mal ganz gut,
Volker: doch selbst schützen kann. Sie haben so einen Selbstregulationsmechanismus.
Volker: Wir sehen mal zu, dass wir unser Geschäft weiter am Laufen halten können.
Volker: Bei Behörden ist es eher so, dass sie einer gesetzlichen Aufgabe nachkommen
Volker: sollen und müssen, in Klammern, koste es, was es wolle,
Volker: siehe ja dieser, wie viel war das, 200 und x Tage anhaltenden Cyber-Notstand,
Volker: nachdem eine ganze Kommune, ein Landkreis außer Kraft gesetzt wurde.
Volker: Da ist die Frage, müssten wir nicht eigentlich auch doch deutlich ernsthafter
Volker: die Behörden mit in den Blick nehmen?
Dennis: Ja, definitiv. Also man kann eigentlich auch sagen, der Staat hat Geld zu haben.
Dennis: Also du hast es ja auch richtigerweise gesagt, es geht um Grundrechtsberechtigte,
Dennis: also die Bürgerinnen und Bürger, die eben auch von kommunalen Einrichtungen
Dennis: Versorgungsdienstleistungen abverlangen können.
Dennis: Und wir reden ja hier letzten Endes nicht nur darum, dass ich möglicherweise
Dennis: mein Auto nicht zulassen kann oder möglicherweise auch meinen Personalausweis
Dennis: nicht bekomme, sondern viele dieser Leistungen können ja auch beispielsweise,
Dennis: wenn wir die Auszahlung von sozialrechtlich relevanten Summen denken,
Dennis: die eben auch in der Hand der Kommune liegt,
Dennis: dann geht es darum, dass eben Personen auch betroffen sein können,
Dennis: die keine andere Möglichkeit haben, als kommunale Dienstleistungen in Anspruch zu nehmen.
Dennis: Und das ist etwas, was einfach noch nicht im Bewusstsein, glaube ich,
Dennis: der Leute angekommen ist.
Dennis: Und bei den Unternehmen ist es durchaus so, dass man auch sagen kann,
Dennis: ja, Cybersicherheit ist nicht zu 100 Prozent leistbar und gerade auch bei den
Dennis: Unternehmen ist es so, dass man eher wird sagen können, ihr müsst das unter
Dennis: Wirtschaftlichkeitsgesichtspunkte betrachten und das Verhältnismäßigkeitskriterium stärker einhalten.
Dennis: Aber das ist etwas, wo man beim Staat sagen muss, ihr müsst euch daran halten,
Dennis: dass ihr eben beispielsweise nicht nur Bürgerdienste verfügbar haltet,
Dennis: sondern auch Bürgerdaten angemessen schützt, dass sie nicht abfließen.
Dennis: Das ist ja die andere Seite der Medaille von Cybersicherheit.
Monina: Wir kommen jetzt doch wieder zu dem Punkt, dass es eigentlich notwendig wäre,
Monina: dass diese Einrichtungen der öffentlichen Verwaltung quasi im Ganzen mit unter
Monina: die NIS-Richtlinie eigentlich fallen müssten,
Monina: was sie ja laut aktueller Umsetzung nur teilweise tun.
Monina: Aber gut, da drehen wir uns dann wieder im Kreis zu der Diskussion,
Monina: die wir gerade schon hatten, ob die jetzt und welche davon eigentlich drunter
Monina: fallen, die neue Richtlinie.
Ingo: Man könnte vielleicht auch natürlich einen Schritt weiter denken und sagen,
Ingo: vielleicht ist es auch die Theorie des Beifangs,
Ingo: wenn wir die Unternehmen stark genug gängeln, also nicht gängeln,
Ingo: sondern stark genug Auflagen geben in Richtung IT-Sicherheit,
Ingo: dann werden Systeme so entwickelt,
Ingo: dass sie für sich sicherer sind und es werden Standards entwickelt,
Ingo: die dann der Staat relativ kostengünstig übernehmen kann, ohne da eben den Erwerbarten aufzutreiben.
Dennis: Also bei den Unternehmen ist es auch so, dass eben Cybersicherheit mehr und
Dennis: mehr, und das ist meine Hoffnung, auch als Wettbewerbsvorteil gesehen wird.
Dennis: Also ich meine, wir reden mittlerweile, wir sind im Zeitalter,
Dennis: wo wir über die Vertrauenswürdigkeit von Technologie sprechen.
Dennis: Und wir haben lange Jahre eben einfach nur geschaut, wenn wir an IT denken,
Dennis: Skalierbarkeit, Wirtschaftlichkeit, das waren so zentralen Dimensionen.
Dennis: Wenn es in den Bereich Produktentwicklung geht, ging es darum,
Dennis: auch nur auf die Funktionsfähigkeit von Produkten zu achten,
Dennis: aber eben wenig auf das Thema Cybersicherheit zu achten. Und das wird sich jetzt,
Dennis: glaube ich, in den nächsten Jahren nochmal ganz deutlich ändern.
Dennis: Und beispielsweise sind ja auch Cloud-Computing-Anbieter davon betroffen.
Dennis: Und wenn wir jetzt an die Digitalisierung, nicht nur von Staat,
Dennis: der staatlichen Einrichtung, natürlich auch von der Wirtschaft,
Dennis: Gesellschaft, dann ist es definitiv so, dass Cloud-Computing an der Stelle die Zukunft bildet.
Dennis: Also über mobile Datennetze, 5G, 6G-Verbindungen wird es definitiv so sein.
Dennis: Das ist jetzt eigentlich schon die Entwicklung, die erkennbar ist,
Dennis: dass immer weniger eigene Rechenressourcen on-premise oder in einem Endgerät
Dennis: verortet sein werden, sondern eben alles über Software as a Service kommt.
Dennis: Und da ist es in Zukunft so, dass Cyberangriffe sich natürlich fatal auswirken können.
Dennis: Unternehmen, die eben hier mitreguliert werden von NIST2,
Dennis: das vielleicht dann auch in ihr Portfolio aufnehmen können, dass sie sagen können,
Dennis: wir haben eben höhere Cybersicherheitsstandards, weil wir bestimmte europäische
Dennis: Regularien erfüllen und sind vielleicht damit auch auf internationalen Märkten wettbewerbsfähiger.
Dennis: Das kann man natürlich nicht für alle Betriebe eins zu eins an der Stelle ummünzen,
Dennis: aber das ist zumindest eine Entwicklung, die sich jetzt so langsam anfängt abzuzeichnen,
Dennis: dass man sagt, Cyber Security ist nicht nur irgendeine abstrakte Ausgabe,
Dennis: die wir einstellen müssen und wir bekommen gar nichts am Ende dafür,
Dennis: sondern dass so langsam so ein bisschen auch das Bewusstsein reift,
Dennis: dass man mit Cybersicherheit, wenn sie vernünftig umgesetzt ist, auch gewisse,
Dennis: Mehrwerte generieren kann, die sich vielleicht zu einem späteren Zeitpunkt auch
Dennis: wirtschaftlich monetär auszahlen können.
Monina: Wenn jetzt dann die neue Richtlinie umgesetzt ist, was gibt es denn da eigentlich für Strafen?
Monina: Oder was erwartet einen, wenn man dann diese Voraussetzungen oder diese Vorgaben nicht einhält?
Monina: Also wenn jetzt beispielsweise so ein Cloud- Anbieter, Hersteller, der,
Monina: der jetzt groß genug ist, dass er darunter fällt, seine Aufgaben nicht wahrnimmt.
Monina: Was erwartet einen dann?
Dennis: Also die Bußgelder orientieren sich dem, was wir eigentlich schon aus dem europäischen Rahmen kennen.
Dennis: Also mit der Datenschutz-Grundverordnung hat man ja erstmals die Möglichkeit
Dennis: geschaffen, dass so sanktioniert werden konnte, dass solche Bebußungen nicht
Dennis: mehr aus der Portokasse bezahlt werden konnten.
Dennis: Und früher war der Datenschutz das beste Beispiel.
Dennis: Datenschutz hat noch mit dem alten Bundesdatenschutzgesetz und der Datenschutzrichtlinie
Dennis: kein Unternehmen wirklich ernst genommen.
Dennis: Also da hat man gesagt, es ist billiger, im Zweifelsfall bei einem Data Breach
Dennis: ein Bußgeld zu zahlen, als dass ich jetzt Personal beschäftige,
Dennis: Datenschutzmanagementsysteme aufbaue und so weiter.
Dennis: Und als dann die Datenschutz-Grundverordnung kam, ist man auf einmal in den
Dennis: Bereich reingekommen, dass man gesagt hat, ja, es sind durchaus auch Millionen Bußgelder möglich.
Dennis: Es sind Bußgelder möglich, die an den weltweiten gesamten Jahresumsatz prozentual
Dennis: eines Unternehmens anknüpfen.
Dennis: Und damit hat man relativ viel Erfolg gehabt und deswegen hat man diese Regelungssystematik
Dennis: auf ganz viele Bereiche des europäischen Technologierechts übernommen,
Dennis: wozu natürlich auch das Cybersecurity-Recht gehört.
Dennis: Das heißt, wir können sagen, es sind definitiv auch sechsstellige bis siebenstellige,
Dennis: vielleicht sogar achtstellige Bußgelder bei Verstößen gegen die NIST-2-Richtlinie möglich.
Dennis: Das hat es natürlich noch nicht gegeben und es wird auch eine Weile dauern,
Dennis: bis es dann tatsächlich dazu kommt, aber wir haben bei der Datenschutzgrundverordnung
Dennis: ja gesehen, es ist möglich und da wurden auch wirklich dann Datenschutzbußgelder
Dennis: beispielsweise in Bereichen verteilt.
Dennis: Die dann 50 Millionen Euro und plus gewesen sind.
Dennis: Das Problem ist aber, dass wir alleine in Deutschland davon ausgehen,
Dennis: dass circa 30.000 bis 40.000 zusätzliche Einrichtungen durch eine nationale
Dennis: Umsetzung von S2 betroffen sein werden. Das heißt, auch ein BSI betrifft.
Dennis: Selbst wenn es jetzt mit einem gesteigerten Cyber Security Budget,
Dennis: was jetzt im Haushalt auch verankert wurde, mehr wirtschaftliche Kapazitäten
Dennis: bekommt, um noch mehr Personal zu beschäftigen, es wird nicht in der Lage sein,
Dennis: eine Art Vollüberprüfung für sämtliche betroffene Unternehmen durchzuführen.
Dennis: Und das ist am Ende der Knackpunkt.
Dennis: Und das ist auch der Grund, warum ich wie eingangs festgestellt gesagt habe.
Dennis: NIST 2 wird eben nicht in der Lage sein, ein einheitliches oder ein einheitliches
Dennis: hohes Niveau an Cybersecurity zu generieren.
Dennis: Das Niveau wird sich sicherlich verbessern, aber es wird weit davon entfernt
Dennis: sein, einheitlich zu sein, weil es immer Unternehmen gibt, die sagen,
Dennis: ja, wo kein Kläger, da kein Richter. Also wer will mich denn jetzt kontrollieren?
Dennis: Wann soll das BSI bei mir vor der Tür stehen und meine IT untersuchen?
Dennis: Das ist einerseits einleuchten, andererseits aber auch extrem kurzsichtig,
Dennis: weil es kann ja durchaus sein, dass ich von NIS2 umfasst bin,
Dennis: dass ich es aber verschweige, nicht melde, die Unternehmen sind ja meldepflichtig,
Dennis: sie müssen sich selbst identifizieren an der Stelle und dann es zu wirtschaftlichen
Dennis: Schäden kommt, bei Dritten.
Dennis: Und dann stellt sich am Ende die Frage, wenn ich verklagt werde als Unternehmen
Dennis: in einem Zivilprozess, ja, welchen Sorgfaltsmaßstab musstest du denn jetzt eigentlich
Dennis: im Bereich der Cybersicherheit einhalten?
Dennis: Und ein findiger Anwalt wird relativ schnell dazu kommen, dass er sich die Schwellenwerte
Dennis: anschaut über dieses Sidescap-Rule und dann feststellt, ja, umsatzmäßig,
Dennis: personalmäßig sprechen wir eigentlich hier von einem NIST-2-Unternehmen,
Dennis: also wesentliche oder wichtige Einrichtung, hat sich nicht angemeldet,
Dennis: hat kein Cybersecurity-Management etabliert und dann bin ich ganz schnell in der Haftung.
Dennis: Dann auf einmal wirkt sich das Ganze extrem negativ aus.
Dennis: Ich kriege natürlich ein Bußgeld, das auch, aber ich glaube,
Dennis: diese zivile Haftung, das ist etwas, was ganz viele Geschäftsleiter nicht auf dem Schirm haben.
Volker: Da habe ich jetzt mal eine konkrete Frage an dich. Also wir haben ja am Anfang
Volker: so ein bisschen von Gesetzumsetzung und Behörden und sowas geredet.
Volker: Aber wie du schon sagst, eigentlich ist ja die Stoßrichtung die Wirtschaft.
Volker: Und hier gibt es ja diese grobe Einteilung von besonders wichtigen Einrichtungen,
Volker: wichtigen Einrichtungen und ich weiß jetzt gar nicht, also sonstigen,
Volker: also nicht ganz so wichtigen Einrichtungen, wie auch immer man das genau bezeichnen will.
Volker: Und da gibt es dann ja auch so Größenordnung und Jahresumsätze und alles sowas.
Volker: Kannst du das in, ich will jetzt nicht sagen wenigen Worten,
Volker: das wäre eine zu starke Vereinfachung, aber kannst du das ganz grob umreißen?
Volker: Was ist da so für Kategorien und Zuordnung?
Volker: Was ich eben auch interessant finde, auch Strafen, wenn man dann NIST 2 unterlässt, wozu das führt?
Dennis: Ja, also der Knackpunkt bei NS2 ist, es gibt da zwei Voraussetzungen,
Dennis: unter denen man in den Anwendungsbereich fällt.
Dennis: Also die erste Voraussetzung ist in qualitativer Hinsicht, dass man davon erfasst
Dennis: ist, das heißt, dass man erstmal in die Sektoren reinfällt und die zweite Voraussetzung
Dennis: ist, dass man in quantitativer Hinsicht, also in diese Schwellenwerte fällt.
Dennis: Und wo man bei NS1 damals noch gesagt hat, ja,
Dennis: wir überlassen den Mitgliedstaaten im Wesentlichen zu definieren,
Dennis: wer denn jetzt kritische Infrastruktur ist, hat jetzt die Europäische Union
Dennis: gesagt, das haben die in der Vergangenheit viel zu unterschiedlich gehandhabt
Dennis: und deswegen wollen wir zumindest da einheitliche Standards setzen.
Dennis: Und es ist so, was diese quantitativen Maßstäbe anbelangt, dass eben Unternehmen
Dennis: ab einer Größenordnung nach europäischer KMU-Definition als mittlere Unternehmen gelten, reinfallen.
Dennis: Das sind solche Unternehmen, die eben mindestens 50 Personen beschäftigen oder
Dennis: den Jahresumsatz und die Jahresbilanz jeweils 10 Millionen Euro übersteigt.
Dennis: Darüber hinaus gibt es aber auch weitere unterschiedliche Qualifikationsstufen.
Dennis: Also Großunternehmen beispielsweise natürlich dann auch davon erfasst.
Dennis: Da gelten dann strengere Prüfstandards, Überwachungsstandards seitens der Behörden.
Dennis: Und es kann sogar in Ausnahmefällen so sein, dass wir Kleinunternehmen da drin
Dennis: haben, also von der Unternehmensgröße unabhängig.
Dennis: Da nennt es zwei dann bestimmte qualifizierende Faktoren. Also wenn diese Unternehmen
Dennis: eine besondere kritische Tätigkeit ausüben, falls es Auswirkungen auf die öffentliche
Dennis: Ordnung hat oder gar grenzüberschreitende Auswirkungen.
Dennis: Und das ist ein Merkmal, was vorliegen muss und in zweiter Hinsicht muss dann
Dennis: eben dieses qualitative Merkmal vorliegen, also ich muss.
Dennis: In eine dieser Sektoren reinfallen, die in den Anhängen von NIS 2 genannt werden,
Dennis: da gibt es einfach zwei Anhänge und da sieht man auch ganz gut,
Dennis: dass NIS 2 nicht alles neu macht, sondern auf NIS 1 basiert, also solche Sachen,
Dennis: die wir ohnehin schon als kritische Infrastrukturen können, also Energie, Verkehr, Bankwesen.
Dennis: Finanzmarktinfrastrukturen beispielsweise, Gesundheitswesen,
Dennis: Trinkwasser, Abwasser fallen sowieso darunter. Die Krücks ist natürlich auch hier wieder,
Dennis: Vorher waren nur Kritis wirklich erfasst, aber jetzt gehen wir natürlich mit
Dennis: dieser Absenkung der Schwellenwerte auch in kleinere Unternehmen rein.
Dennis: Wir haben den Weltraumsektor, der neu ist, also Bodenkontrollstationen und das
Dennis: Rückgrat der deutschen Wirtschaft in Anführungszeichen wird natürlich dadurch
Dennis: erfasst sein, dass jetzt Produktion, Herstellung, Handel mit chemischen Stoffen drin ist.
Dennis: Also jedes Unternehmen, was irgendwie mit chemischen Stoffen arbeitet,
Dennis: also zum Beispiel Kunststoff, mit Kunststoffarbeit, und das sind ja die allermeisten
Dennis: Produktionsunternehmen, fällt darunter, soweit sie eben diese zahlenmäßigen
Dennis: Schwellenwerte erreichen.
Dennis: Produktion, Verarbeitung, Vertrieb von Lebensmitteln. Das sind nicht eben nur
Dennis: die großen Einkaufsgenossenschaften beispielsweise, sondern auch Viehzuchtbetriebe.
Dennis: Agrargenossenschaftliche Betriebe, Gemüsebauern, die bestimmte Umsatzschwellen
Dennis: überschreiten, hängen jetzt auch einmal mit im Boot.
Dennis: Und wie man so schön sagt, das gesamte verarbeitende Gewerbe,
Dennis: also Warenherstellung ist umfassend adressiert, also zum Beispiel Herstellung
Dennis: von Datenverarbeitungsgeräten,
Dennis: elektronischen, optischen Erzeugnis, Maschinenbau, Kraftwagen,
Dennis: Kraftwagenteile, Fahrzeugbau.
Dennis: Und da kann man schon sehen, dass die Unternehmen, die ja letzten Endes erfasst
Dennis: sind, auch unterschiedliche Größen haben und sehr, sehr vielfältig sind.
Dennis: Das betrifft natürlich auch die Leistungsfähigkeit. Was eben diese Bußgelder
Dennis: angeht, da haben wir maximale Bebußungssummen, die einerseits festgelegt sind,
Dennis: aber andererseits prozentuale Anknüpfung und wie ich eben ja auch schon gesagt hatte,
Dennis: dadurch ist es möglich, Bußgelder wirklich bis in den mehrstelligen Millionenbereich
Dennis: hineinzubringen, aber da wird einfach gestaffelt auch nach der Schwere der Verstöße,
Dennis: also es gibt Regelungen, die können eben schwerwiegender wirtschaftlich bebußt
Dennis: werden beim Verstoß und solche,
Dennis: wo es eben geringere Bußgelder gibt.
Volker: Also ich würde auch tatsächlich Unternehmen im Moment tatsächlich schon empfehlen,
Volker: sich mal die NIS-2-Verordnung im Regierungsentwurf, auch wenn sie sich noch
Volker: stark ändern kann, anzugucken.
Volker: Denn einerseits, Dennis, was du gesagt hast, es gibt zwar Schwellwerte für Unternehmen,
Volker: die sind aber gar nicht so super fest.
Volker: Also da steht da mal 50 Mitarbeiter zum Beispiel im Energiesektor,
Volker: dann steht da aber auch 250 Mitarbeiter im Telekommunikationssektor,
Volker: dann steht wieder ohne Schwellwerte für besonders wichtige Unternehmen.
Volker: Da hatte ich eine ganz tolle Anekdote in Österreich auf einem Sicherheitskongress mitbekommen.
Volker: Da gibt es kleine Ingenieurbüros, einige wenige kleine Ingenieurbüros,
Volker: die zum Beispiel Talbrücken planen oder Tunnelbaumaßnahmen, also kritischer Sektor Verkehr.
Volker: Das sind 10, 15 Personen, hochspezialisierte Ingenieurinnen und Ingenieure und
Volker: die fallen plötzlich unter NIST 2, weil wenn deren Unterlagen,
Volker: deren Planungsunterlagen wegkommen,
Volker: dann ist quasi die Wartung, die Infrastruktur stark gefährdet von diesen Systemen.
Volker: Sodass ganz plötzlich zehn Personen, die eigentlich, das ist jetzt vielleicht
Volker: nicht ganz fair, was ich sage, aber die eigentlich auf ...
Volker: Planung, Konstruktionszeichnungen, keine Ahnung, Geologie oder sowas spezialisiert
Volker: sind, die müssen jetzt NIS machen,
Volker: weil sie ganz plötzlich kritische Infrastruktur werden. So, Frage 1.
Volker: Ist das jetzt, sagen wir mal, ein Sonderfall, der immer auftreten wird oder
Volker: muss man schon als Unternehmen damit rechnen? Dann kommt noch Frage 2.
Volker: Wer haftet in dem Fall das, was passiert? Es gab ja mal eine Variante des NIST-2-Entwurfs,
Volker: da hieß es, alle Geschäftsführer unbeschränkt persönlich und unversicherbar.
Volker: Das war mal irgendwie so ein Grobentwurf.
Volker: Mittlerweile heißt es, wird in Spezialgesetzen geregelt, in Klammern,
Volker: und wenn es also GmbH-Gesetz, Aktiengesetz oder sonst was, und wenn es kein
Volker: Spezialgesetz gibt, dann ist halt die Haftung so, wie sie ist eben.
Volker: Also diese beiden Fragen, so Unternehmensgröße, Schon generell oder Spezialfall und Haftung?
Dennis: Ja, also ich glaube, man kann die beiden Fragen relativ klar beantworten.
Dennis: Also das kleine Unternehmen, die eben unter diese zahlenmäßigen Schwellenwerte,
Dennis: die ich eben gelernt hatte, fallen, betroffen sind, wird die Ausnahme sein.
Dennis: Und die Ausnahmetatbestände sind auch abschließend in S2 aufgeführt.
Dennis: Das geht wirklich einfach darum, dass wir Unternehmen haben,
Dennis: wie du es ja auch schon gesagt hattest, Volker, die eine Kritikalität mit Blick
Dennis: auf die Lieferkette haben, die eine Versorgungsrelevanz haben,
Dennis: wo man dann letztlich auch sagen muss, wenn das Unternehmen nicht mehr funktioniert.
Dennis: Sind weitere kritische Einrichtungen möglicherweise in ihrer Funktionsfähigkeit beeinträchtigt.
Dennis: Und das wird sicherlich Unternehmen erfassen und das ist vielleicht auch der
Dennis: Bereich, wo es Unternehmen am schwierigsten haben, im Vorfeld zu beurteilen,
Dennis: ob sie jetzt damit drin hängen oder ob sie nicht damit drin hängen.
Dennis: Also ich meine, diese abstrakte Erfassung, dass ich qualitativ in einen bestimmten
Dennis: Sektor, in eine bestimmte Branche falle und dann irgendwelche Umsatzschwellen
Dennis: und Mitarbeiterschwellen überschritten habe, das können viele.
Dennis: Und ich würde jetzt auch sagen, ohne dass wir das nationale Umsetzungsgesetz
Dennis: haben, über 90 Prozent der Unternehmen schon feststellen.
Dennis: Also da muss man jetzt nicht sagen, man wartet jetzt ab, weil da wird sich auch
Dennis: mit einer nationalen Umsetzung nicht viel ändern können, weil das natürlich
Dennis: unionsrechtskonform umzusetzen ist und es zwei an der Stelle auch einen Minimalstandard setzt.
Dennis: Und was die zweite Frage dieser Geschäftsführerhaftung der Verantwortlichkeit
Dennis: von Unternehmensleitungspersonen angeht,
Dennis: man hat das wieder zurückgenommen, der Minister deutlich zurückgerudert,
Dennis: also der erste Entwurf zum NIST-Zwei-Umsetzungsgesetz, der vorgelegt wurde,
Dennis: war da deutlich schärfer formuliert.
Dennis: Ja, das hat auch unter anderem den Grund gehabt, dass es einen erheblichen Aufschrei
Dennis: seitens der Geschäftsführer gegeben hat, dass man gesagt hat,
Dennis: das kann doch jetzt nicht sein, dass ich jetzt hier einen Haftungsdurchgriff
Dennis: habe, persönlich hafte an der Stelle,
Dennis: aber ich weiß gar nicht, ob man sagen kann, es ändert sich jetzt so viel mit
Dennis: den neuen Regelungen, die wir an der Stelle haben, weil du hast es ja auch schon
Dennis: gesagt, ja, es wird auf spezialgesetzliche Vorschriften verwiesen und wenn keine
Dennis: spezialgesetzlichen Vorschriften existieren,
Dennis: haftet man nach den allgemeinen Sorgfaltspflichten, die für jeden von uns gelten,
Dennis: wenn er sich irgendwo im Geschäfts- oder Betriebsalltag bewegt.
Dennis: Und da kommt es letzten Endes darauf an und nichts anderes sagt ein Aktiengesetz,
Dennis: nichts anderes sagt ein GmbH-Gesetz für den GmbH-Geschäftsführer,
Dennis: dass ich eben die im Verkehr erforderliche Sorgfalt einhalte.
Dennis: Und da kommt es drauf an, in welchem Segment bewegt sich mein Betrieb eigentlich? Was mache ich?
Dennis: Wie wichtig bin ich in der digitalen
Dennis: Lieferkette? Wie ersetzbar sind vielleicht auch meine Leistungen?
Dennis: Und da muss ich dann eben bemessen, was ich im Bereich Cybersecurity leisten
Dennis: kann und was ich wirklich tun kann.
Dennis: Und wenn es zum Cybervorfall kommt und dann eben Haftungsansprüche im Raum stehen,
Dennis: dann wird am Ende ganz klar geschaut, hat man diesen Sorgfaltsmaßstab eingehalten oder nicht.
Dennis: Und es ist natürlich, wenn ich meine Pflichten als Geschäftsführer oder als
Dennis: Vorstand einer Aktiengesellschaft grob fahrlässig verletze, auch nach gegenwärtigem
Dennis: Recht, ohne dass wir irgendwie an NIST-2 oder sonstige BSI-Gesetze denken,
Dennis: mein Haftungsdurchgriff theoretisch möglich.
Monina: Okay, das heißt, wenn wir mal kurz zum ersten Punkt zurückkommen,
Monina: für diese Frage, ob man jetzt betroffen ist oder nicht, gibt es ja zum Beispiel
Monina: auch aktuell schon vom BSI so eine Seite, wo man mit einem kleinen Fragebogen
Monina: sich durchklickt und schaut, ob man betroffen ist oder ob das Unternehmen betroffen
Monina: ist. Das wird wahrscheinlich vielleicht nicht ganz abschließend sein.
Monina: Und wie du sagtest, es ist generell sinnvoll, sich schon mal darauf vorbereiten.
Monina: Da kommen wir zu dem Punkt, was muss ich denn jetzt als betroffenes Unternehmen
Monina: oder als betroffene Institution eigentlich tatsächlich tun?
Monina: Also wenn ich jetzt mit dem Grundschutz unterwegs bin, reicht das dann schon?
Monina: Bin ich da schon mal ganz gut auf dem Weg oder wie bereite ich mich da am besten
Monina: drauf vor für die kommende Umsetzung?
Dennis: Also das ist wirklich eine der ganz zentralen Fragen da auch und das Problem an der Stelle ist,
Dennis: dass wir eben so viele verschiedene betroffene Sektoren und Branchen haben und
Dennis: du hattest ja auch dieses Tool auf der BSI-Website angesprochen,
Dennis: das ist wirklich nur ein rudimentäres Tool,
Dennis: also das ermöglicht keine abschließende
Dennis: Einschätzung, ob ich jetzt im Anwendungsbereich falle oder nicht.
Dennis: Es gibt verschiedene Tools mittlerweile auf verschiedenen Seiten von Rechtsanwälten,
Dennis: Beratern, die teilweise detaillierter sind als die des BSI.
Dennis: Und ich glaube, da wollte man sich auch einfach beim BSI nicht zu weit aus dem Fenster herauslehnen.
Dennis: Aber diese Betroffenheitsfeststellung ist eigentlich gar nicht so schwierig.
Dennis: Also wie gesagt, das meiste kann man aus der NIS-Zwei-Richtlinie ziehen.
Dennis: Interessant wird es vor allem dann, wenn ich irgendwie komplexe Konzernstrukturen,
Dennis: Holdingstrukturen habe mit Tochtergesellschaften, die dann teilweise sektoral
Dennis: drin sind, die aber dann selbst die zahlenmäßigen Schwellenwerte Mitarbeiter
Dennis: umsatztechnisch nicht erfüllen, wo ich dann auf die Gesamtholding abstellen muss.
Dennis: Das sind so die Knackpunkte. Und da wird es auch so sein, dass sich möglicherweise
Dennis: auch noch Änderungen durch eine nationale Umsetzung ergeben können.
Dennis: Wenn ich denn aber mich identifiziert habe im Anwendungsbereich.
Dennis: Dann ist es relativ klar, was NIST2 sagt.
Dennis: NIST2 sagt nämlich, und das sagt auch der Umsetzungsentwurf in seiner letzten
Dennis: Fassung, da steht nämlich nichts anderes drin, als dass ich Risikomanagementmaßnahmen
Dennis: im Bereich Cybersecurity ergreifen muss.
Dennis: Das heißt, ich muss eben, ich bin verpflichtet, Maßnahmen umzusetzen,
Dennis: um eben IT-Sicherheitsvorfälle zu vermeiden oder eben die Auswirkungen von IT-Sicherheitsvorfällen,
Dennis: wenn sie denn eintreten sollten, möglichst gering zu halten.
Dennis: Und das, da sagt das Gesetz ja, hundertprozentige Cybersicherheit gibt es nicht,
Dennis: das weiß auch NIST 2, aber es muss zumindest verhältnismäßig sein.
Dennis: Also ich muss Risikoexposition, Größe der Einrichtung, Umsetzungskosten,
Dennis: Eintrittswahrscheinlichkeit,
Dennis: Schwere von Sicherheitsvorfällen und die gesellschaftlichen und wirtschaftlichen
Dennis: Auswirkungen, die aus Cybersecurity-Vorfällen resultieren können, mit einbeziehen.
Dennis: Und last but not least, ich muss den Stand der Technik einhalten.
Dennis: Da wird es nämlich jetzt interessant, weil es gibt nicht das eine Verfahren,
Dennis: die eine Excel-File, die ja manchmal so ein bisschen gesucht wird,
Dennis: wo ich sagen kann, wenn ich das jetzt gemacht habe, dann bin ich zu 100 Prozent,
Dennis: ist zwei compliant. Und das versuchen manche momentan so ein bisschen zu suchen.
Dennis: Berater oder auch Vendoren, also Hersteller von Cybersecurity-Lösungen,
Dennis: versuchen es teilweise zu verkaufen,
Dennis: indem sie sagen, wenn du diese Lösung kaufst, dann bist du irgendwie NIST-2-Compliant
Dennis: oder dieses Beratungsschema mit uns umsetzt, dann bist du NIST-2-Compliant.
Dennis: Halt dich für Augenwischerei. Es gibt nicht so einen heiligen Gral der Cybersicherheit oder sowas.
Monina: Schön wär's.
Dennis: Genau, also Indiana Jones hat den zwar gefunden, aber für die Cyber Security
Dennis: gibt es sowas nicht und es ist so eine Grauzone und auch diese Formulierung Stand der Technik,
Dennis: das ist ein ganz toller Begriff, Juristen freuen sich drüber.
Dennis: Das ist auf eine Rechtsprechung zurückzuführen aus dem Jahr 1978 vom Bundesverfassungsgericht,
Dennis: der sogenannte Kalkar-Entscheid.
Dennis: Und da ging es um die Beurteilung der Sicherheit von Atomenergieanlagen.
Dennis: Und da hat das Bundesverfassungsgericht gesagt, ja, der Gesetzgeber ist befugt.
Dennis: Auch unbestimmt irgendwie reinzuschreiben, was man umsetzen muss an technischen
Dennis: Sicherheitsvorkehrungen.
Dennis: Und letzten Endes geht es darum, wenn ich den Stand der Technik einhalte,
Dennis: muss ich einfach dafür Sorge tragen, dass ich nicht auf die allgemein anerkannten
Dennis: Regeln der Technik quasi als niedrigstes Niveau zurückfalle,
Dennis: aber ich bin auch nicht verpflichtet, das höchstmögliche Maß,
Dennis: was irgendwie geht, unter jedweder wirtschaftlicher Anstrengung zu ergreifen,
Dennis: nämlich den Stand von Wissenschaft und Technik.
Dennis: Und das ist so ein bisschen so eine Grauzone, aber bei der Umsetzung,
Dennis: und jetzt kommen wir nämlich auf den Punkt und eigentlich auf die Antwort deiner
Dennis: Frage, du hast nämlich den Grundschutz angesprochen.
Dennis: Also mit dem Grundschutz bin ich schon mehr als gut aufgestellt,
Dennis: mehr als gut aufgestellt, was den S2-Umsetzungen anbelangt.
Dennis: Natürlich können der Einzelfall bezogen noch Besonderheiten sein,
Dennis: was den Schutz der digitalen Lieferkette zum Beispiel anbelangt,
Dennis: was das Thema holistische Cybersecurity,
Dennis: also beispielsweise Einbeziehung nicht technischer Risikofaktoren anbelangt,
Dennis: was vielleicht das Thema Governance auf Unternehmensleitungsebene anbelangt,
Dennis: also dass man Leitungspersonen auch mit eigenem Know-how ausstatten muss.
Dennis: Aber was eigentlich die ganz zentrale Erkenntnis ist, ich bin nur verpflichtet,
Dennis: im Wesentlichen dafür zu sorgen, dass ich meine Cybersicherheitsmaßnahmen auf
Dennis: dem aktuellen Stand der Technik halte.
Dennis: Das heißt, ich bin im Kern verpflichtet, nach NIST 2 ein Risikomanagement einzurichten.
Dennis: Und das bedeutet natürlich auf Cyber Security bezogen ein Informationssicherheitsmanagementsystem,
Dennis: was eben die relevanten Assets in meinem Unternehmen abdeckt.
Dennis: Und insoweit unterscheidet sich jetzt NIS2 in der grundsätzlichen Umsetzung
Dennis: gar nicht so viel von dem, was wir bislang auch aus dem Bereich Cyber Security kennen.
Dennis: Also Bruce Schneier hat es ja schon gedacht, ja, also Security is a process,
Dennis: not a product und das hat er schon lange vor NIS2 gesagt.
Ingo: Das ist sehr spannend, was du gerade berichtet hast. Das erinnert mich sehr
Ingo: an die DSGVO, wo wir auch eine sehr große Anforderung haben an das,
Ingo: was man, wenn man personenbezogene Daten verarbeitet, alles tun muss.
Ingo: Und es im Gesetz immer wieder die sogenannte Angemessenheit gibt und man sich
Ingo: überlegen muss, also welche Maßnahmen sind angemessen im Rahmen der schutzwürdigen
Ingo: Gutes und natürlich auch der Kosten oder der Möglichkeiten, die man als Unternehmen hat.
Ingo: Also da haben wir auch, gerade aus wirtschafts-synthematischer Perspektive,
Ingo: jetzt ganz interessante Arbeiten mal zu gemacht.
Ingo: Das wird ja wahrscheinlich bei NDS 2 sich dann ähnlich fortsetzen.
Ingo: Aber ich würde gerne noch einmal auf einen anderen Aspekt, der relativ lange
Ingo: in Diskussionen war, jedenfalls in den Kreisen, in denen ich mich bewegt habe,
Ingo: aber sich so richtig noch nicht wiederfindet.
Ingo: Die Frage dessen, was umfasst es eigentlich, wenn man so in Richtung der kritischen
Ingo: Lieferkettenhose etwas geht.
Ingo: Also wir haben ja im Prinzip eine Definition von kritischen Dienstleistungen im Gesetz.
Ingo: Wir haben eine Definition von den Sektoren mit hoher Kritikalität,
Ingo: die festgelegt werden im Anhang, die ja doch diesen Aspekt Lieferkette nicht mehr so betrachten.
Ingo: Aber ursprünglich war doch auch geplant, dass Lieferketten stärker umfasst sind,
Ingo: gerade wenn sie eine bestimmte kritische Form aufweisen, oder?
Dennis: Ja, also die Lieferkette ist definitiv an der Stelle auch von NIST 2 umfasst,
Dennis: weil es ja auch darum geht, dass man...
Dennis: Das Risikomanagement in der Beziehung mit extern im weitergefassten Ökosystem betrachtet.
Dennis: Und das bedeutet an der Stelle auch, und das sehen wir jetzt zur Zeit auch schon,
Dennis: dass Pflichten, die NIS2-Betroffene haben,
Dennis: dann teilweise über vertragliche Regelungen an Zulieferer in dieser Lieferkette
Dennis: weitergegeben werden, die dann eben auch nachweisen müssen, also dass sie NIS2-Complied sind.
Dennis: Und im Zweifelsfall habe ich das auch schon gesehen, dass bestimmte Vertragswerke
Dennis: einfach vorgelegt werden, die eigentlich nur diese Cybersecurity-Anforderungen,
Dennis: die ja in NIST 2 relativ grob umrissen sind, einfach eins zu eins da rein kopiert
Dennis: haben und die dann unterzeichnet werden müssen.
Dennis: Und es wird einfach sehr, sehr viel über die vertraglichen Regelungen an Zulieferer etc.
Dennis: Ausgelagert werden, weil natürlich es am Ende darauf ankommt,
Dennis: dass sich das NIST 2 betroffene Unternehmen leistungsfähig hält.
Dennis: Und wenn es eben auf die Leistungen von weiteren Sublieferanten angewiesen ist,
Dennis: um die eigene Leistungsfähigkeit zu erhalten,
Dennis: dann werden diese Cybersicherheitsanforderungen über die vertragliche Lieferkette
Dennis: an diese weiteren Unternehmen weitergegeben. Und das ist jetzt schon Gang und Gäbe.
Ingo: Und wenn wir uns im europäischen Rahmen bewegen, die Lieferkette geht ja häufig
Ingo: über Ländergrenzen hinweg, die Zulieferer dann natürlich möglicherweise die
Ingo: NIS-2-Interpretation des entsprechenden Landes umsetzen. Ist das ein Problem? oder?
Dennis: Also grundsätzlich ist das kein Problem, weil NIS2 hat diesen Grundsatz der
Dennis: Mindestharmonisierung, das hätte ich eingangs ja auch schon kurz erwähnt,
Dennis: also die europäischen Mitgliedstaaten sind verpflichtet NIS2 in ihren jeweiligen
Dennis: nationalen Landesgesetzen richtlinienkonform umzusetzen.
Dennis: Also sie dürfen kein niedrigeres Cybersicherheitsniveau bestimmen,
Dennis: weil sonst wäre NIS2 ja witzlos.
Dennis: Dann könnten wir auch sagen, jeder Mitgliedstaat der Europäischen Union macht
Dennis: weiterhin sein eigenes Cybersecurity-Recht und manche können es dann auch lassen,
Dennis: wenn sie keine Lust drauf haben.
Dennis: Und das ist erstmal an der Stelle kein Problem.
Dennis: Dass eben das möglicherweise, dass in
Dennis: unterschiedlichen nationalen Cybersicherheitsgesetzen dann verankert wird.
Ingo: Reicht dann für ein Unternehmen die Aussage, dass ein Zulieferer compliant ist
Ingo: oder muss ich als Zulieferer dann auch in die Rolle des BSI treten und quasi
Ingo: auch selbst bestimmte Mechanismen überprüfen oder mir die Vorgehensweisen vorlegen lassen?
Dennis: Ja, und das ist nämlich der entscheidende Punkt, auf den es in der Praxis wirklich ankommt.
Dennis: Die meisten werden sich faktisch damit begnügen, dass in irgendwelchen Verträgen
Dennis: drinsteht, dass sich das Unternehmen verpflichtet, es zwei eingehalten zu haben.
Dennis: Wenn man aber wirklich ganz genau arbeiten will, dann muss es eben einem Unternehmen
Dennis: auch möglich sein und das ist so ein bisschen auch das, was wir beispielsweise
Dennis: aus dem Bereich der Auftragsdatenverarbeitung im Datenschutz irgendwo kennen,
Dennis: dass, ja, sagen wir es mal so, überraschende stichprobeartige Kontrollen der
Dennis: Cybersicherheit bei den Zulieferern theoretisch möglich sein müssen und auch
Dennis: durchgeführt werden müssen.
Dennis: In der Praxis wissen wir sowohl aus dem technischen Datenschutz,
Dennis: dass das nicht möglich ist oder in den meisten Fällen nicht gelebt wird und
Dennis: ähnlich wird es auch bei NIST 2 sein.
Dennis: Das klingt jetzt erstmal so, als ob das alles gar keinen Sinn macht,
Dennis: als ob irgendwelche Verträge nur geschrieben werden und am Ende macht doch keiner Cyber Security.
Dennis: Aber, und da kommen wir so ein bisschen auch wieder auf diesen eingangs erwähnten
Dennis: Punkt zurück, wenn es dann wirklich mal zum Vorfall kommt, dann wird der Verantwortliche
Dennis: gesucht. Das ist ganz klar, weil es kostet Geld.
Dennis: Und da geben sich dann die betroffenen Unternehmen auch Mühe,
Dennis: den Verantwortlichen ausfindig zu machen.
Dennis: Und wenn dieser Verantwortliche dann irgendwo in der Lieferkette beziehungsweise
Dennis: in der digitalen Lieferkette drinsteckt, irgendwas versprochen hat,
Dennis: was er überhaupt nicht eingehalten hat, dann hat dieser Verantwortliche natürlich ein Problem.
Dennis: Andererseits ist es aber auch so, wenn man dann wieder an das Thema Schadensersatz
Dennis: denkt, hat vielleicht dann auch das betroffene Unternehmen, was das Ganze nicht
Dennis: überprüft hat, irgendwo auch ein Mitverschulden, weil sonst wäre das ja vielleicht
Dennis: auch gar nicht so weit gekommen.
Dennis: Und diese theoretische Verantwortungsdiffusion, die wir da haben,
Dennis: die kann tatsächlich sich dann zum Boomerang entfalten, wenn es dann zum Cybersicherheitsvorfall
Dennis: in so einer Lieferkette kommt.
Volker: Eine Frage von mir noch, Dennis. Eine Sache, die uns als Hochschulen zum Beispiel
Volker: mit betrifft, ist ja Forschungseinrichtungen,
Volker: also die sich mit kritischer Forschung beschäftigen, und jetzt spanne ich mal
Volker: einen größeren Bogen, sind ja erstmal NIS-Forschung, es sei denn,
Volker: es sind Bildungseinrichtungen.
Volker: Dann sind sie wieder keine NIS-Einrichtungen.
Volker: Jetzt ist aber die spannende Frage, die insbesondere technische Universitäten
Volker: und Hochschulen machen ja auch Drittmittelforschung.
Volker: Das heißt, sie machen auch nach EU-Regularien kommerzielle Forschung,
Volker: wenn sie für Unternehmen eine Forschung machen.
Volker: Das heißt, dann machen sie nicht als Hochschule, als Bildungseinrichtung,
Volker: sondern kommerziell Forschung.
Volker: Müssen die dann eine zweite Infrastruktur für NIS II betreiben oder hat der
Volker: Gesetzgeber soweit noch nicht gedacht?
Dennis: Also nach europäischem Recht ist es erstmal grundsätzlich so,
Dennis: dass nur kommerzielle Forschungseinrichtungen betroffen sind.
Dennis: Das heißt, da würden wir auch erstmal sagen, Hochschulen, Universitäten sind
Dennis: per se keine kommerziell agierenden Forschungseinrichtungen.
Dennis: Da geht es eher um private Forschungsinstitute, die dann tatsächlich auch gewinnorientiert arbeiten.
Dennis: Wenn wir, und da wird es natürlich wieder im nationalen Rahmen interessant,
Dennis: daran denken, dass natürlich gewisse universitäre Strukturen auch private Forschung betreiben,
Dennis: dann kommen wir durchaus davon ausgehend, dass es möglich ist,
Dennis: in den Anwendungsbereich von NIS II zu fallen und dass der nationale Gesetzgeber
Dennis: auch theoretisch entsprechende Regelungen festsetzen könnte,
Dennis: die dann sagen, es sind beispielsweise abgetrennte juristische Personen vorzuhalten,
Dennis: die sich um das Thema Cybersicherheit kümmern.
Dennis: Die Maßstäbe sind, über das hinauszugehen, was NIST-2 vorgibt.
Dennis: Und teilweise ist es jetzt ja auch im Bereich der Auftragsforschung schon so,
Dennis: dass die Auftraggeber gewisse Cybersicherheits-, Geheimhaltungs-,
Dennis: Geheimschutzmaßnahmen fordern, die jetzt über ein bloßes Forschungskonsortium
Dennis: im öffentlichen Sektor, was beispielsweise zu 100 Prozent public defunded ist, hinausgehen.
Dennis: Und da könnte ich mir durchaus vorstellen, dass dann auch was passieren könnte in den nächsten Jahren.
Volker: Ja, da vielleicht, wenn du da in entsprechenden Gremien oder nochmal irgendwie
Volker: ein Wort oder Gehör findest, in technischen Forschungseinrichtungen oder technischen
Volker: Hochschulen, Universitäten, ich möchte erstmal so weit gehen und sagen, ist es üblich,
Volker: dass auch Unternehmensforschung gemacht wird.
Volker: Deswegen haben wir unterschiedliche Stundensätze für öffentlich geförderte Forschung
Volker: und damit, wenn wir mit der öffentlichen Wirtschaft in Konkurrenz treten,
Volker: damit wir auch entsprechende Stundensätze aufrufen müssen, kommerzielle Stundensätze.
Volker: Das bedeutet, es ist also nicht irgendwie ein Ausnahmefall, sondern ich gehe
Volker: jetzt mal auf die andere Seite und sage, es ist eher der Regelfall,
Volker: dass eine große Hochschule auch kommerzielle Forschung unter anderen Vertragsbedingungen macht.
Volker: Und da sind jetzt so ein bisschen die
Volker: offenen Fragen, die wir heute auch wahrscheinlich gar nicht lösen können.
Volker: Ja, NIST 2, nicht NIST 2, ausgliedern in eine extra juristische Person,
Volker: erheblicher Aufwand, den kleine Hochschulen gar nicht leisten können.
Volker: Da vielleicht nochmal drüber nachdenken. Ja, von mir aus würde ich ganz gerne
Volker: ein bisschen noch mit den Technik abdriften, vielleicht nochmal so für 10 Minuten
Volker: oder sowas, weil auch das interessiert unsere Hörerschaft.
Volker: Und hier verweise ich mal in der jetzigen Regulierung auf den Teil 3,
Volker: also quasi Artikel 1, also BSI Gesetz. Und da gibt es so ein
Volker: Kapitel oder Teil 3, Kapitel 2. Das heißt Risikomanagement ist der Paragraf
Volker: 30, besonders wichtige Einrichtung und wichtige Einrichtung.
Volker: Ich lese mal ganz kurz, also ich will keinen langweilen, aber ganz kurz stichwortweise
Volker: vor, das sind 10 Punkte, was das für Einrichtung bedeutet.
Volker: Lohnt sich für jeden CISO und CIO das mal einmal durchzulesen.
Volker: Ihr müsst Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Maßnahmen,
Volker: Aufrechterhaltung des Betriebs, Backup wie der Herstellung nach einem Notfall
Volker: und Krisenmanagement, Sicherheit der Lieferantenkette, Punkt 5.
Volker: Sicherheitsmaßnahmen bei Erwerbentwicklung und Wartung, Punkt 6,
Volker: Konzepte für Risikomaßnahmen, Schulung, Konzepte für Kryptografie,
Volker: Sicherheit des Personals, Professionals, Multifaktor-Authentifizierung und so weiter.
Volker: Das ist da namentlich im tiefsten Detail erwähnt.
Volker: Finde ich spannend, weil es wirklich von ganz oben Informations- und Sicherheitsmanagementsysteme
Volker: bis hin in kryptografische Verfahren, Verschlüsselung und Multifaktor-Authentifizierung geht.
Volker: Finde ich einerseits schön, andererseits setzt das die Unternehmen aber auch ganz schön unter Druck.
Volker: Und ich gucke jetzt gar nicht an große Energieversorger, sondern ich gucke mal
Volker: auf die kommunalen Wasserwerke oder die Verbundstadtwerke,
Volker: die für zehn Kommunen jetzt meinetwegen die ganze Infrastruktur managen. Können die das?
Dennis: Ja, das ist am Ende die ganz große Frage.
Dennis: Also ich glaube, das Problem an der ganzen Geschichte wird sein,
Dennis: dass nicht sämtliche dieser Maßnahmen aus dem Minimalkatalog,
Dennis: also das wird ja auch dieser 10 plus 1 Katalog genannt, den du gerade aufgeführt
Dennis: hast, 1 zu 1 werden umgesetzt können.
Dennis: Und das betrifft an der Stelle nicht nur städtische oder kommunale Einrichtungen,
Dennis: sondern das betrifft an der Stelle nur privatwirtschaftliche Unternehmen.
Dennis: Und das ist so ein bisschen auch die Hürde, dass viele Unternehmen auch verunsichert
Dennis: sind, wie sie jetzt NIS II umgehen.
Dennis: Ich persönlich halte diesen Katalog, der kommt ja aus Artikel 21 Absatz 2,
Dennis: denn es wurde im Wesentlichen 1 zu 1 in Paragraf 30 der letzten Entwurfsfassung
Dennis: des BSI-Gesetzes übertragen,
Dennis: für irreführend, weil ich habe jetzt mit genügend Betrieben auch schon gesprochen,
Dennis: die haben gesagt, sie haben gar nicht die IT-Infrastruktur, um jetzt irgendwie
Dennis: Zero-Trust-Policies zu implementieren.
Dennis: Wo sollen die ansetzen, wenn die gar nicht die entsprechende IT haben?
Dennis: Und das kann man sich gar nicht vorstellen.
Dennis: Aber jetzt beispielsweise im agrargenossenschaftlichen Sektor, da ist es häufiger so.
Dennis: Wir haben Betriebe mit relativ viel Umsatz, die aber nicht jetzt wahnsinnig
Dennis: digitalisiert in Teilen arbeiten, wo es gar nicht die IT-Infrastruktur gibt,
Dennis: dass man sowas realisieren könnte.
Dennis: Und da wird es dann in erster Linie, glaube ich, darauf ankommen,
Dennis: dass man überhaupt sagt, man steigt in das Thema Risikomanagement ein.
Dennis: Und das ist ja auch das, was ich gesagt hatte. Also was muss man am Ende nachweisen?
Dennis: Man muss nachweisen, dass man den Stand der Technik eingehalten hat.
Dennis: Und man wird von den unterschiedlichen Unternehmen unterschiedlich viel verlangen können.
Dennis: Also man kann natürlich von einem DAX-Konzern, der jetzt nicht unbedingt eine
Dennis: kritische Infrastruktur ist, sondern ein großer Automobilhersteller ist,
Dennis: ein großer Maschinenbauhersteller, viel, viel mehr verlangen,
Dennis: als es jetzt von einem mittelständischen Betrieb verlangbar ist.
Dennis: Aber alle müssen, wenn man es auf die Basics runterbricht, ein Risikomanagement
Dennis: in der Cybersicherheit etablieren. Das ist aber nicht von Einzelfall bezogenen
Dennis: Maßnahmen oder Produkten abhängig.
Dennis: Das ist ja auch das, was momentan die Hersteller versuchen, zig Produkte zu
Dennis: verkaufen und am Ende habe ich einen Haufen an Produkten, aber trotzdem noch
Dennis: kein Cybersicherheitsmanagement.
Dennis: Und obwohl ich sagen kann, naja, ich habe ja vielleicht diesen 10 plus 1 Katalog
Dennis: aus Paragraf 30 eingehalten.
Dennis: Und das versuche ich an der Stelle auch allen immer zu sagen.
Dennis: Cyber Security Management nach NIST 2 bedeutet überhaupt erst einmal anzufangen.
Dennis: Das heißt eben zu schauen, was sind eigentlich beispielsweise die Assets in
Dennis: meinem Unternehmen, die besonders schutzwürdig sind.
Dennis: Einfach mal zu überlegen, welche Kritikalität meine Einrichtung besitzt,
Dennis: ob sie beispielsweise in der Öffentlichkeit besonders exponiert ist und inwieweit
Dennis: natürlich mein Unternehmen auch in seiner Funktion von vernetzter IT oder von
Dennis: digitalen Lieferketten abhängig ist.
Dennis: Oder es vielleicht auch Möglichkeiten gibt, dass sich eben Vorfälle.
Dennis: Cybersicherheitsvorfälle in der Zukunft oder Angriffe häufen werden.
Dennis: Und vielleicht auch die wichtigste Frage, dass sich Unternehmen überhaupt mal
Dennis: damit auseinandersetzen, was eigentlich potenzielle Angreifer infolge einer
Dennis: erfolgreichen Kompromittierung erlangen können.
Dennis: Und das ist eigentlich eher das, was ich den Unternehmen an die Hand geben will,
Dennis: wenn ich ihnen sage, jetzt beginnt doch mal mit der Umsetzung von S2,
Dennis: auch wenn ihr nur begrenzte personelle und wirtschaftliche Ressourcen zur Verfügung stehen habt.
Volker: Ich habe noch einen Zusatz, bevor noch eine weitere Frage von Molina kam, gehört mich genau dazu.
Volker: Wenn ich mir die, ich sage mal, die Granularität dieser 10 plus 1 Punkte angucke,
Volker: und da spricht jetzt aus mir tatsächlich so der Techniker und Nerd,
Volker: hatte ich ja gerade schon gesagt, geht das quasi von Weltfrieden bis Staubkorn.
Volker: Ja, und in der Mitte steht dann sowas zum Beispiel noch grundlegende Verfahren
Volker: im Bereich der Cyberhygiene und Schulung.
Volker: Also da muss ich jetzt erstmal sagen, schon als Akademiker definieren wir mal Cyberhygiene.
Volker: Naja, wir haben den vielleicht nicht ganz unumstrittenen, aber doch sehr umfassenden
Volker: BSI-Grundschutzkatalog und das ist ja nun ein Teil des BSI-Änderungsgesetzes.
Volker: Warum nimmt man dort nicht den BSI-Grundschutzkatalog, sagt dem BSI,
Volker: mach für deine zehn oder elf oder acht Sektoren kritischer Unternehmen einfach
Volker: ein Grundschutzprofil und das wird hier referenziert.
Volker: Dann ist doch eigentlich jedem schon mal geholfen.
Volker: Jeder weiß doch, was er tun muss, wie hoch das Backup-Level,
Volker: wie hoch Viren-Scanner, wie Firewalls behandelt werden müssen und so weiter.
Volker: Warum macht man das nicht?
Dennis: Also was Ähnliches habe ich tatsächlich auch in der letzten Anhörung zum NIS-2-Umsetzungsgesetz,
Dennis: wo ich als Sachverständiger auch im Bundestag war, vorgeschlagen,
Dennis: weil ich persönlich halte diesen Katalog auch schon in NIS-2-Richtlinie für
Dennis: sachlich unzureichend.
Dennis: Also du hast es ja auch sehr treffend wiedergegeben.
Dennis: Also irgendwie steht da alles und nichts drin. und das wirkt willkürlich,
Dennis: zusammengefürfelt, als ob man jemandem gesagt hätte, ja schreib mal irgendwas mit,
Dennis: Cybersicherheitsmaßnahmen da rein, damit du am Ende irgendwie so einen Katalog
Dennis: hast, der nicht völlig widersprüchlich ist und herausgekommen ist eben am Ende
Dennis: diese willkürlich wirkende Zusammenstellung noch mit dem noch irreführenderen
Dennis: Hinweis, dass man sagt, das ist mindestens umzusetzen,
Dennis: wenn manche Unternehmen das noch nicht mal umsetzen können.
Dennis: Also treffender wäre es gewesen zu sagen, in der Regel kann das diese Maßnahmen
Dennis: umfassen, aber Unternehmen können auch davon abweichen, müssen es dann vielleicht
Dennis: begründen, aber das wäre eigentlich der vernünftige Weg gewesen.
Dennis: Und Deutschland wird das, glaube ich, nicht anfassen, weil man jetzt auch sagt,
Dennis: obwohl neu angegangen werden muss unter einer neuen Regierung,
Dennis: unter einem neuen Bundestag,
Dennis: wird man, glaube ich, also man will auf dem aufbauen, was die alte Bundesregierung hinterlassen hat.
Dennis: Und das sieht so aus wie eben dieser von dir skizzierte Paragraph 30.
Dennis: Das Lustige daran ist aber, vielleicht das Lustige klingt jetzt so das Interessante,
Dennis: formulieren wir das mal eher so, dass im europäischen Vergleich.
Dennis: Einige europäische Mitgliedstaaten das gänzlich anders gelöst haben.
Dennis: Und da gibt es ganz verschiedene Ansätze. Also der Entwurf aus Österreich beispielsweise.
Dennis: Die Österreicher haben gesagt, wir fügen noch einen Anhang 3 rein,
Dennis: wo wir diese Maßnahmen weiter spezifizieren.
Dennis: In Ungarn hat man ein 160, circa 160-seitiges Begleitdokument erstellt,
Dennis: wo eben einzelne Controls definiert sind für unterschiedliche Sektoren, Branchen.
Dennis: In den Niederlanden, und das finde ich eigentlich ist der interessanteste Ansatz,
Dennis: in den Niederlanden hat man gesagt, wir ignorieren einfach Artikel 21 Absatz
Dennis: 2 NIS 2, also diesen 10 plus 1 Katalog und schreiben nichts davon rein.
Dennis: Das war zumindest der letzte Entwurfsstand in den Niederlanden,
Dennis: wo das Gesetz ebenfalls noch nicht umgesetzt ist.
Dennis: Und anstelle dessen sagen wir, es gibt sogenannte Ratsverordnungen,
Dennis: also untergesetzliche Rechtsakte, ministeriale Rechtsakte, die eben dann individuell,
Dennis: sektorspezifisch, branchenspezifisch bestimmen, was für Cybersicherheitsanforderungen einzuhalten sind.
Dennis: Und das, finde ich, ist der vernünftige Weg, weil momentan mit diesem Minimalkatalog,
Dennis: der überhaupt nicht richtig passt, werden die Unternehmen einfach verunsichert,
Dennis: weil alle denken, ich muss ja diese Riesenwand an Cybersecurity-Maßnahmen umsetzen.
Dennis: Ich habe von einigen Begriffen noch nie in meinem Leben was gehört.
Dennis: Die Hersteller kommen um die Ecke und sagen, naja, das Produkt kostet pro Monat dieses und jenes.
Dennis: Wenn du das noch dazu kaufst, dann bist du schnell im fünfstelligen Bereich.
Dennis: Und dann sagen die Unternehmen, weil sie ja sowieso wissen, dass im Zweifelsfall
Dennis: nicht überprüft wird, dann nehmen wir vielleicht besser davon Abstand.
Dennis: Wir wollen uns ja auch nicht übers Ohr hauen lassen, weil wir uns mit dem Thema
Dennis: sowieso nicht richtig auskennen. Und das ist das Volkale.
Volker: Dann sollten wir doch eine Mischung aus Ungarn und Niederlande nehmen,
Volker: indem wir sagen, mit IT-Grundschutz haben wir diese 160 Seiten und dann schreiben
Volker: wir es auch gar nicht erst rein,
Volker: sondern schreiben da nur rein, es gilt Minimalanforderungen,
Volker: IT-Grundschutz, Näheres regelt das BSI und fertig.
Volker: So, aber ich glaube, Monine hat ja noch eine Frage, sorry, ist er denn,
Volker: du wirst noch was dazu sagen.
Monina: Ich wollte mich jetzt einfach an den vorherigen Punkt anschließen.
Monina: Wir haben ja Aufgaben nicht nur für die Betroffenen von dem Ganzen,
Monina: sondern auch quasi jetzt für das BSI oder Aufgaben, die von dem Mitgliedstaat,
Monina: wie es genannt ist, erfüllt werden müssen.
Monina: Und zwar müssen ja unter anderem CSIRTs eingerichtet werden,
Monina: also Computernotfallteams, die dann ja auch gewisse Aufgaben zu erfüllen haben.
Monina: Beispielsweise steht, glaube ich, hier drinnen, dass sie forensisch unterstützen,
Monina: forensische Aufarbeitung von Daten bei Sicherheitsvorfällen und bei Sicherheitsvorfällen
Monina: gegebenenfalls unterstützen, bei betreffendlichen, wesentlichen und wichtigen Einrichtungen.
Monina: Das sind ja dann schon auch nicht wenig Aufgaben, gerade wenn man sich überlegt,
Monina: wie viele dann da zusammenkommen, die da erfüllt werden müssen.
Monina: Ist das mit einem beispielsweise bei uns benannten BSI leistbar,
Monina: sowas zu vollbringen, bereitzustellen?
Dennis: Ja, also ich meine, der gesetzliche Auftrag ist ja das einzurichten und abstrakt
Dennis: leistungsfähig zu sein.
Dennis: Ich glaube, das wird das BSI auch mit der gegenwärtigen Personal- und Finanzdecke
Dennis: durchaus abbilden können.
Dennis: Man geht an der Stelle, glaube ich, aber auch davon aus, dass es nicht zu massenhaften
Dennis: Cybersicherheitsvorfällen kommt.
Dennis: Also was die tatsächliche Leistungsfähigkeit anbelangt von C-Certs,
Dennis: von Behördenstrukturen, von BSI, da wird es, glaube ich, so sein,
Dennis: dass wir nie sagen können, es ist jetzt optimal.
Dennis: Davon sind wir weit entfernt. Es geht einfach, glaube ich, an der Stelle darum,
Dennis: grundlegende Strukturen einzuführen, damit überhaupt etwas da ist.
Dennis: Und das ist, glaube ich, schon an der Stelle ein Ansatz, der vertretbar ist,
Dennis: weil die Alternative an der Stelle wäre, man würde gar nichts regulieren.
Monina: Das heißt, das ist mehr erstmal so ein erster Vorschlag für besonders schwerwiegende
Monina: Fälle, sowas umzusetzen und generell da zu sein und weniger mit,
Monina: das sind jetzt auch sozusagen Unterstützungsleistungen, auf die sich die Betroffenen
Monina: verlassen können von Seiten der anderen.
Dennis: Ja, also es ist ja sowieso, es sollte ja auch so sein beispielsweise,
Dennis: wenn gemeldet wird, wenn Cybersicherheitsvorfälle gemeldet werden,
Dennis: dass zum Beispiel auch Rückmeldungen dazu kommen.
Dennis: Und in der Vergangenheit ist es oft so gewesen, dass dieser Meldekanal einfach
Dennis: ein schwarzes Loch gewesen ist.
Dennis: Also man hat irgendwas in Richtung BSI geworfen, es ist irgendwie angekommen,
Dennis: ja, aber man weiß nie, was damit passiert ist, wie es ausgewertet wurde,
Dennis: was dann eigentlich das Feedback hätte sein sollen.
Dennis: Sondern ursprünglich wollte man das anpassen, hat das dann aber wieder zurückgenommen.
Dennis: Ich glaube eben aus eben jenen Kapazitätsgründen ist man da wieder zurückgerudert,
Dennis: um keine Hoffnungen zu wecken, die man dann am Ende enttäuschen würde.
Monina: Okay, ich bin gespannt, wie sich das dann umsetzt. Aber genau,
Monina: Ingo, ich wollte dir auch nicht ins Wort fallen. Du hast auch schon angesetzt zu einer Frage.
Ingo: Ja, ich hätte noch so ein paar kleine Meta-Aspekte, um nochmal so einen Blick
Ingo: auf das Gesetz im Ganzen zu werfen. und auch die Frage, was wir hier eigentlich genau regulieren.
Ingo: Also wir hatten ja in Corona so ein bisschen Diskussionen rundherum gehabt,
Ingo: was ist eigentlich kritisch.
Ingo: Also die kritische Lieferkette, die wir uns früher vorgestellt haben,
Ingo: bezog sich meistens auf Nahrung, Energie und solche Geschichten und auf einmal
Ingo: festgestellt, dass sowas wie Toilettenpapier kritisch sein kann.
Ingo: Das heißt also, wäre es eigentlich nicht sinnvoller gewesen,
Ingo: in dem Rahmen von NIS-2 zu sagen, wir definieren einen gewissen Grundschutz
Ingo: für alle, den alle einhalten müssen.
Ingo: Also im Sinne des TÜVs, den wir für Autos haben, wenn wir ein Auto auf der Straße
Ingo: betreiben wollen, müssen wir bestimmte Sicherheitsrichtlinien einhalten?
Ingo: Oder siehst du das anders? Also ist das für dich der richtige Weg,
Ingo: jetzt erstmal auf die ganz besonders schwer Betroffenen zu fokussieren und die
Ingo: Allgemeinheit erstmal noch in Ruhe zu lassen?
Dennis: Also es geht ja schon so ein bisschen in die Richtung Allgemeinheit.
Dennis: Also wenn man jetzt an IS-1 zurückdenkt, da wurden ja nur diese wesentlichen Dienste reguliert.
Dennis: Das ist ja im Wesentlichen synonym mit kritischen Infrastrukturen nach deutschem
Dennis: Recht übertragbar, beziehungsweise synonym handhabbar.
Dennis: Was wir jetzt ja sehen, ist, dass man gesagt hat, und das kam eigentlich schon
Dennis: mit dem zweiten IT-Sicherheitsgesetz Anfang 2021 auf, wir gehen vom Kritischutz
Dennis: in den allgemeinen Wirtschaftsschutz im Bereich Cybersecurity rein.
Dennis: Das heißt, man möchte schon mehr regulieren.
Dennis: Und du hast ja, Ingo, richtigerweise auch angesprochen, und das versuche ich
Dennis: allen Leuten auch eigentlich immer darzustellen, wir reden immer viel über NIST-2,
Dennis: aber das Regelungsgefüge ist viel, viel weiter.
Dennis: Wir haben beispielsweise vor einigen Jahren im Rahmen eines Forschungsprojekts
Dennis: einmal eine Datenbank erstellt, wo wir geschaut haben, wo finden wir denn jetzt
Dennis: überhaupt überall Cybersecurity-Regulierung in der Europäischen Union.
Dennis: In Deutschland auf Bundesebene, in den einzelnen Bundesländern sind wir weit
Dennis: über 1000 gesetzliche Vorschriften gekommen.
Dennis: Also da sieht man, wie komplex dieses Gesamtgefüge ist.
Dennis: Und wenn wir uns jetzt nur auf die wenigsten und relevantesten Vorgaben konzentrieren,
Dennis: dann haben wir natürlich auch noch den EU Cyber Resilience Act.
Dennis: Ich glaube, da könnte man einen eigenen Podcast mit füllen. Da geht es eben um Product Security.
Dennis: Ist jetzt noch nicht so wahnsinnig akut, weil wir haben da Übergangsfristen
Dennis: bis Ende 2027 noch laufen.
Dennis: Aber ich berate beispielsweise auch schon zahlreiche größere Unternehmen,
Dennis: Maschinenbauunternehmen, nicht nur aus Deutschland, sondern auch international
Dennis: tätige Unternehmen, die sich jetzt natürlich schon vorbereiten müssen.
Dennis: Und da spielt natürlich das Thema S-Bombs beispielsweise schon eine Riesenrolle
Dennis: und wie man überhaupt sowas aufbaut.
Dennis: Wie schaffe ich Meldekanäle für Schwachstellen und so weiter?
Dennis: Und wie rolle ich Updates überhaupt richtig aus, also Security-Updates?
Dennis: Und wir reden ja zum Beispiel auch über die Datenschutz-Grundverordnung und
Dennis: der Anwendungsbereich der DSGVO, der ist ja definitiv noch mal viel,
Dennis: viel weiter gefasst als jetzt bei NIS2-Regulierung,
Dennis: weil jedes Unternehmen, was irgendwie auf dem Markt agiert, verwaltet zumindest
Dennis: Kundendaten und damit sind wir im Anwendungsbereich der Datenschutz-Grundverordnung drin.
Dennis: Und wenn man das alles mal zusammennimmt, also diesen ganzen Regelungshorizont,
Dennis: dann sind wir eigentlich schon so weit, dass wir sagen können,
Dennis: ja, bis auf Privatpersonen regulieren wir eigentlich irgendwo Data Security
Dennis: überall, weil natürlich auch eine DSGVO sagt, Artikel 32.
Dennis: Es ist Datensicherheit nach Stand der Technik zu gewährleisten.
Dennis: Wir finden da ähnliche Begrifflichkeiten und das bedeutet natürlich Stand der
Dennis: Technik, da sind wir auch wieder bei diesem Begriff, Datenschutzmanagementsystem aufsetzen.
Dennis: Und wenn ich ein Unternehmen bin, was durch NIS II wie auch DSGVO betroffen
Dennis: ist, dann sage ich natürlich an der Stelle, ja, eigentlich...
Dennis: Hätte ich ja schon ein Informationssicherheitsmanagement-System aufbauen müssen,
Dennis: wo dann das Datenschutzmanagement-System quasi mit dem ganzen datenschutzbezogenen
Dennis: Überbau aufgestockt wird.
Dennis: Und da sind wir eigentlich schon fast in dieser Vollregulierung drin,
Dennis: dass wir sagen, Datensicherheit ist eine gesamtgesellschaftliche Aufgabe über
Dennis: alle unterschiedlichen Betriebstypen hinweg.
Ingo: Wäre es nicht sinnvoll, diese Gesetze da ein bisschen zusammenzufassen.
Ingo: Also ich bin als KIler natürlich so ein bisschen betroffen davon,
Ingo: dass ich mit Unternehmen jetzt viel im Rahmen vom AI-Act zu sprechen habe und
Ingo: da natürlich auch so ein bisschen die Fragen stehen.
Ingo: Also ich habe eine bestimmte Vorsicht
Ingo: im Umgang mit KI-Systemen auch zu dokumentieren und durchzuführen.
Ingo: Wir haben DSGVO, wir haben im Prinzip NIS II und alles.
Ingo: Also es ist ja alles auch sehr verteilt und macht ja auch die Komplexität,
Ingo: um ein kohärentes IT-Management aufzubauen, schwierig, oder?
Dennis: Ja, also die Kohärenz, das ist, glaube ich, das ganz große Problem.
Dennis: Also zurzeit ist es so, dass viele Unternehmen mit sehr vielen Regularien konfrontiert werden.
Dennis: Also du hast ja auch noch den AI-Act angesprochen. Jenseits von S2 gibt es zum
Dennis: Beispiel auch den Digital Operational Resilience Act, den DORA,
Dennis: für den Finanzsektor, der zurzeit implementiert wird.
Dennis: Und irgendwann kriegen wir auch noch ein Kritis-Sachgesetz, was die Europäische
Dennis: Critical Entities Resilience Directive umsetzt und wo es dann um physischen Kritis-Schutz geht.
Dennis: Klar, und dazu hat man natürlich noch seine ganzen allgemeinen Compliance-Richtlinien,
Dennis: die teilweise auch branchenspezifisch sind. Das ist viel.
Dennis: Was auf die Unternehmen zukommt. Manch einer mag dann sagen,
Dennis: ja, den Unternehmen wird viel zu viel zugemutet.
Dennis: Andererseits ist es aber auch so, die Welt ist einfach komplexer geworden in den letzten Jahren.
Dennis: Und wo wir einerseits sagen können, Unternehmen profitieren vom Einsatz von
Dennis: IT, indem neue Prozesse, Produkte eingeführt werden, indem Prozesse verschlankt
Dennis: werden können. Vielleicht an der einen oder anderen Stelle jetzt auch,
Dennis: was ja auch das Ziel von KI ist, Personal einzusparen.
Dennis: Da müssen auf der anderen Stelle auch entsprechende Mechanismen eingezogen werden,
Dennis: damit die IT, die die Menschen hier ersetzt oder deren Arbeit ergänzt,
Dennis: angemessen kontrolliert wird.
Dennis: Und deswegen würde ich einfach nur sagen, das ist ein Trade-off,
Dennis: den wir hier erleben, auch wenn manch ein Unternehmen dann ganz gern von Überregulierung
Dennis: spricht oder dass europäische Innovation dadurch behindert oder gar zerstört würde.
Dennis: Das würde ich an dieser Stelle nicht so ohne weiteres unterschreiben.
Ingo: Ja, das teile ich zu ganz großen Teilen auch. Also ich sehe auch immer besonders
Ingo: mehr als ein Feature sehen.
Ingo: Und wir stärken ja auch das Vertrauen in die Systeme, wenn wir entsprechend
Ingo: den Bürger schützen bei dem Ganzen, was wir tun.
Ingo: Ich habe noch eine etwas nicht ernst gemeinte kritische Schlussfrage zu dem Themenkomplex.
Ingo: Und zwar, wenn ich so in die Bereiche vom Arbeitsschutz und Arbeitssicherheit
Ingo: gehe, dann ist es oft so, dass man so einmal im Jahr eine kleine E-Mail bekommt
Ingo: von der Arbeitssicherheit in der Universität.
Ingo: Man soll mal bitte alle Elefantenfüße und Treppen prüfen und dann schreibt man
Ingo: kurz, habe ich gemacht oder dokumentiert das bei sich lokal und damit ist es erledigt.
Ingo: Ich weiß von Unternehmen, die machen Sicherheitsunterweisungen so,
Ingo: dass die Powerpoints rumgeben und die Mitarbeiter unterschreiben lassen,
Ingo: unabhängig davon, ob sie die gesehen und gelesen haben oder auch nicht.
Ingo: Also inwieweit glaubst du als Experte, dass das, was wir hier jetzt regulieren
Ingo: und so, wie wir es regulieren, auch zu mehr Sicherheit führt?
Ingo: Oder ist es eher so, dass wir auch wieder hier einen Dokumentationsmonster erschaffen
Ingo: haben, was dazu führt, dass wir alle sagen, wir hätten alles geprüft und gemacht
Ingo: und nach dem Schadetechnik umgesetzt, aber nicht im gleichen Maße auch wirklich
Ingo: zu einer Verwässerung der Sicherheit führt?
Dennis: Also wenn man das natürlich mit der gegenwärtigen Lage vergleicht,
Dennis: ist es so, dass viele Unternehmen gar nichts gemacht haben und wahrscheinlich
Dennis: auch nie irgendetwas investieren oder tun würden, es sei denn,
Dennis: sie sind selbst mal von einem Cyber-Vorfall betroffen.
Dennis: Mit einer Regulierung, die ja, wie Monina auch schon gesagt hat,
Dennis: sanktionsbewehrt ist und ganz erheblich sanktionsbewehrt ist und diese Geschichte
Dennis: über vertragliche Abwicklung, über die digitale Lieferkette, zivilrechtliche,
Dennis: Schadensansprüche, auch die Betroffenen in erheblicher Weise tangieren kann,
Dennis: glaube ich schon, dass wir in den Bereich reinkommen, es ist nicht nur eine
Dennis: Dokumentationssache oder es
Dennis: werden irgendwelche abstrakten Verträge geschlossen und niemand tut was.
Dennis: Da bin ich mir schon relativ sicher, dass auch was geschehen wird.
Dennis: Und man kann natürlich immer sagen, Regulierung ist irgendwie Dokumentationsaufwand, aber mit,
Dennis: Jeder Prozess, der in einem Unternehmen eingerichtet wird, bedarf natürlich
Dennis: auch an der Stelle Dokumentation.
Dennis: Wenn ich ein neues Produkt auf den Markt bringe, wenn ich irgendein Produkt
Dennis: entwickle, wenn ich Human Resources betreibe.
Dennis: Und es wird jetzt einfach in einem Bereich eine Dokumentation eingezogen,
Dennis: wo es eigentlich in der Vergangenheit schon länger notwendig gewesen wäre,
Dennis: sowas zu dokumentieren. Ich muss mir natürlich auch einen Überblick über meine IT verschaffen.
Dennis: Das ist ja zwingend notwendig an der Stelle.
Dennis: Ich habe ja auch einen Überblick über meinen Fuhrpark beispielsweise,
Dennis: über mein Personal, über die Verträge, über die Zahlungspflichten.
Dennis: Und dann muss ich auch einen Überblick über meine IT und deren Sicherheit haben.
Dennis: Das ist, denke ich, für jeden Betrieb eine Selbstverständlichkeit.
Volker: Ja, Dennis, vielen, vielen Dank für deine Expertise, die du hier eingebracht hast.
Volker: Ich glaube, wir hätten noch das Potenzial, Stunden weiterzureden.
Volker: Wir brechen ja teilweise bei den einen Unternehmen, die noch gar nicht darauf
Volker: vorbereitet sind, weil sie sich nie um IT ernsthaft kümmern wollten und mussten.
Volker: Und die anderen, die schon IT-Gepflogenheiten haben, beispielsweise Kubernetes-Container,
Volker: Docker und jetzt Lieferkettenmanagement oder nachher Software, Build-of-Material.
Volker: Warum nehme ich einen Docker-Container? Weil ich nicht weiß,
Volker: also mich interessiert es nicht, ich will den nehmen, geht nicht mehr.
Volker: Also ganz, ganz viele Themen, die wir haben und noch diskutieren könnten,
Volker: aber leider, leider ist dann auch irgendwann mal die Aufmerksamkeit unserer
Volker: Zuhörerschaft erschöpft.
Volker: Insofern noch eine Frage an dich, ob du noch irgendwas von dir aus loswerden
Volker: willst oder eine Frage an uns stellen willst.
Dennis: Ja, also wir haben ja viel über das Thema Risikomanagement nach NIS2 in der
Dennis: Cyber Security gesprochen und Monina hatte ja unter anderem auch das Thema BSI
Dennis: Grundschutz angesprochen.
Dennis: Und wir sind zurzeit an einem Projekt beteiligt, was vom Bundeswirtschaftsministerium
Dennis: gefördert wird, nicht vom Bundesforschungsministerium, da erkennt man eben auch
Dennis: schon die Relevanz des Ganzen,
Dennis: wo wir den NIS2 Rollout in der Wirtschaft begleiten wollen.
Dennis: Und da sind wir zurzeit dabei, ein Tool mit zu befüllen, wo wir einerseits Betroffene
Dennis: ermöglichen festzustellen, fallen sie in den Anwendungsbereich von NIST 2,
Dennis: also was jetzt den Sektor angeht,
Dennis: was jetzt die Branche angeht und die Schwellenwerte.
Dennis: Und wenn ich dann reinfalle, wie setze ich das Ganze eigentlich um?
Dennis: Und da stellen wir gerade Controls zusammen.
Dennis: Ich glaube, es sind fast 200 mittlerweile an der Zahl, wo wir den BSI-Grundschutz
Dennis: analysiert haben, wo wir ISO-EC 27000 analysiert haben,
Dennis: wo wir in die branchenspezifischen Sicherheitsstandards für Kritis,
Dennis: also B3S, reingegangen sind und uns auch Spezialvorgaben wie zum Beispiel TISAX
Dennis: im Automobilsektor angeschaut haben, sodass man dann branchenspezifisch für sich bestimmen kann,
Dennis: was muss ich eigentlich an Contours umsetzen, um dem Stand der Technik nach NIST 2 zu genügen.
Dennis: Und das Ganze wird dann voraussichtlich im Mai kostenfrei veröffentlicht werden.
Monina: Das war die Sicherheitslücke zu dem Thema NIS 2. Vielen Dank nochmal,
Monina: also ganz herzlichen Dank an dich, Dennis-Kenji Kipker.
Dennis: Sehr gern.
Monina: Es war super, dass du da warst. Ihr könnt die Sicherheitslücke überall dort
Monina: finden, wo es Podcasts gibt oder auf unserer Webseite www.sicherheitslücke.fm.
Monina: Gebt uns gerne Feedback, wir lesen das. Wir gehen da auch noch drauf ein, versprochen.
Monina: Das geht über unsere Webseite auf Mastaton und seit Neuestem auch auf LinkedIn.
Monina: Wir lesen das, genau, reagieren dann noch drauf. Ihr findet Links dorthin auch
Monina: in unseren Shownotes, genauso wie den eben angesprochenen Link,
Monina: der dann wahrscheinlich nachgeliefert wird.
Monina: Von dem Tool im Mai, sagtest du, kommt das?
Dennis: Genau.
Monina: Genau, okay. Das kommt dann auch noch in die Shownotes mit rein und auch weiterführende
Monina: Links, die wir heute angesprochen haben.
Monina: Empfehlt den Podcast gerne weiter, bewertet uns dort, wo ihr uns hört.
Monina: Das hilft uns, gefunden zu werden und auch weiterzumachen.
Monina: Die Kapitelbilder zu unseren Folgen kommen wieder von Anne Vogt und die Produktion
Monina: übernimmt Christian Friedrich.
Monina: Vielen Dank an beide für ihre wundervolle Arbeit.
Monina: Die Sicherheitslücke ist ein Podcast der Hamburger Open Online University.
Monina: Hier auch vielen Dank für die Unterstützung. Wir verabschieden uns und bis zur nächsten Folge.
Ingo: Monina Schwarz, Ingo Timm.
Dennis: Volker Skwarek und Dennis-Kenji Kipker.
Neuer Kommentar