NIS-2 mit Dennis-Kenji Kipker

Volker: Moin Moin, herzlich willkommen zu unserem Podcast, die Sicherheitslücke mit

Volker: Volker Skwarek von der HAW Hamburg.

Monina: Monina Schwarz vom LSI.

Ingo: Ingo Timm vom DFKI und der Uni Trier.

Volker: Wir zeichnen heute am 28.03.2025 die vierte Episode zu einem hochaktuellen und

Volker: im regulatorischen Kontext allgegenwärtigen Thema NIST-2-Regulation auf.

Volker: Als besonderen Gast haben wir Professor Dennis-Kenji Kipker, einem Experten,

Volker: auch oder auch sehr stark für die NIST-2-Regulierung, mit an Bord.

Volker: Dennis ist unter anderem auch bei Regierungskonsultationen mit dabei.

Volker: Herzlich willkommen, Dennis. Meine Frage an dich erstmal,

Volker: wie schafft man das eigentlich eine so hohe Reichweite, eine so hohe Strahlkraft

Volker: und auch vor allem eine so hohe Kompetenz in diesem Bereich schon so schnell

Volker: aufzubauen, gerade wo wir noch in dieser Regulations- und Abstimmungsphase sind?

Dennis: Ja, also einerseits ist es natürlich ein wichtiges Thema. Also wir haben in

Dennis: den letzten 10, 15 Jahren wahnsinnig viel vernetzt, viel digitalisiert und haben

Dennis: natürlich auch gesehen, dass damit auch die Zahl an Angriffsvektoren zunimmt.

Dennis: Zum anderen ist es auch so, dass sich einfach seit 2020 die globalpolitische

Dennis: Lage und damit auch die Cybersicherheitslage gravierend geändert hat.

Dennis: Also wir sprechen über die Corona-Pandemie, da haben wir erstmals einen Peak

Dennis: in der Bedrohungslage gesehen. Wir sprechen über den nach wie vor fortdauernden

Dennis: völkerrechtswidrigen Angriffskrieg der russischen Föderation gegen die Ukraine.

Dennis: Gleichzeitig sehen wir natürlich auch die Spannungen im Fernost nach wie vor,

Dennis: also insbesondere im Blick auf die Volksrepublik China, Taiwan.

Dennis: Das heißt, man kann schon sagen, Cybersicherheit ist in aller Munde und das

Dennis: hängt auch so ein bisschen damit zusammen, dass beispielsweise vor zehn Jahren,

Dennis: sage ich mal 2015, das BSI noch fast kein Mensch gekannt hat.

Dennis: Also es war ein Insider-Thema, Cyber-Security-Spezialisten, die haben sich damit

Dennis: befasst, die standen im Austausch mit der Behörde. Wenn man mal schaut,

Dennis: wo ist das BSI heute vertreten?

Dennis: Also ich von Instagram irgendwie über LinkedIn bis in alle Boulevard-Medien

Dennis: rein, bis zur Apotheken Umschau.

Dennis: Also ich glaube, jeder hat das Thema Cyber Security auf dem Schirm.

Dennis: Und bei mir persönlich ist es einfach so ein bisschen zur rechten Zeit am rechten Ort gewesen.

Dennis: Also wir hatten damals an der Uni Bremen, wo ich dann als wissenschaftlicher

Dennis: Mitarbeiter, als Postdoc gearbeitet habe,

Dennis: das Glück vom Bundesforschungsministerium den Zuschlag zu bekommen für eines

Dennis: der großen Begleitforschungsprojekte, die eben die Einführung des ersten IT-Sicherheitsgesetzes

Dennis: in Deutschland zum Gegenstand hatten.

Dennis: Und da geht es ja viel um den Schutz von Kritis, also die ganzen kritischen Infrastrukturen.

Dennis: Viele Sektoren, viele Branchen waren das erste Mal Cyber Security reguliert

Dennis: und wir hatten die verantwortungsvolle Aufgabe, den Rollout,

Dennis: dieses ersten IT-SIG zu begleiten und da haben wir dann relativ früh gesagt.

Dennis: Auch festgestellt, es gibt eigentlich nicht viel. Also wenn man mal schaut,

Dennis: Cyber Security Regulierung, also wenn man sich das Recht anschaut,

Dennis: war bislang all die Jahre zuvor so ein Anhängsel vom technischen Datenschutz

Dennis: so ein bisschen, dass man gesagt hat, ja ohne Datensicherheit gibt es eben keinen Datenschutz.

Dennis: Und da hat sich das erste Mal dieses ganze Rechtsgebiet als eigenständiges Rechtsgebiet

Dennis: entwickelt und das haben wir natürlich genutzt.

Dennis: Wir hatten große Finanzmittel an der Stelle, auch um Konferenzen,

Dennis: Vorträge zu organisieren, Veranstaltungen zu besuchen und wir hatten auch die

Dennis: Aufgabe, das Thema Cyber Security Compliance, also Regulierung,

Dennis: voranzubringen und das haben wir an der Stelle dann dementsprechend auch genutzt

Dennis: und mit den Entwicklungen, die ich eingangs skizziert hatte,

Dennis: hat das dann eben eine ganz gute Symbiose ergeben.

Volker: Alles klar. Ja, also ich finde es beeindruckend.

Volker: Ich finde es toll, bei so einem Thema wirklich so früh mit dabei sein zu können

Volker: und vor allen Dingen das auch zu prägen.

Volker: Hier meine erste Frage mal. Also wir reden ja im Moment über einen Regierungsentwurf,

Volker: der aus dem Juli letzten Jahres stammt und eigentlich bis, ich glaube, 16.

Volker: Oktober oder sowas hätte verabschiedet werden müssen, um diese Zwei-Jahres-Grenze

Volker: der EU-Regulierung einhalten zu können. Naja, wir wissen, was in dem Zeitraum

Volker: passiert ist und dass unsere Regierung da etwas anderes zu tun hatte.

Volker: Aber also wir sprechen über diesen Entwurf, wir packen den auch in die Shownotes rein.

Volker: Und hier so schon allein in der Präambel bin ich ein bisschen gestolpert.

Volker: Da heißt es Problem und Ziel.

Volker: Also ich fasse es nochmal zusammen. Wir digitalisieren halt mehr und wir brauchen

Volker: das zur Effizienzsteigerung. Und daher müssen wir eben auch ein bisschen,

Volker: steht da nicht, aber so ein bisschen an die Security denken.

Volker: Ist das nicht irgendwie, also aus meiner Sicht ist das ein absolut falsches

Volker: Vorgehen, weil ohne Security als Fundament dürften wir gar nicht digitalisieren.

Volker: Weil alles, was wir digitalisieren, entfernt eigentlich Redundanz.

Volker: Überall, wo Redundanz fehlt, sind wir hochgradig vulnerable,

Volker: weil da kann man an einer Stelle alles kaputt machen und wir funktionieren nicht mehr.

Volker: Müsste man das nicht eigentlich auch politisch genau umgekehrt denken,

Volker: erst Security und alles, wo es keine Security für gibt, lassen wir die Digitalisierung,

Volker: weil sie gefährdet uns mehr, als sie bringt.

Dennis: Also,

Dennis: Ich denke an der Stelle, dass Digitalisierung

Dennis: vor allem auch durch Wirtschaftsunternehmen getrieben wird.

Dennis: Das heißt, sie bringen bestimmte Produkte, Dienste auf den Markt.

Dennis: Diese Produkte, Dienste werden nachgefragt. Und Cybersecurity ist,

Dennis: glaube ich, etwas, was in der Vergangenheit einfach hinten übergefallen ist.

Dennis: Man hat natürlich bestimmte Time-to-Market-Zeitspannen.

Dennis: Das Ganze muss wirtschaftlich sein.

Dennis: Und Cybersecurity ist auch etwas, da kann man Management schwer von überzeugen.

Dennis: Und Cybersecurity ist eine Investition, die man erstmal auch überhaupt nicht

Dennis: sieht an der Stelle. Und es ist jetzt dann problematisch, weil irgendwelche

Dennis: Systeme, wie du es auch schon gesagt hast, nicht mehr laufen.

Dennis: Also sei es, weil es irgendwelche Schwachstellen gegeben hat,

Dennis: die ausgenutzt wurden, weil es Cyberangreifer gegeben hat oder auch letzten

Dennis: Endes war einfach nur, bestimmte Produkte am Ende aus einem bestimmten Grunde

Dennis: heraus gar nicht mehr funktionieren.

Dennis: Und was die Regulierung da macht, ist, dass man einfach nur erkannt hat,

Dennis: dass diese Defizite vorhanden sind.

Dennis: Und das ist auch das, was eben politisch getan wird, eine Reaktion darauf entwickelt wird.

Dennis: Und diese politische Reaktion ist eine Gesetzgebung gewesen.

Dennis: Und es wäre natürlich wünschenswert gewesen, wenn man von Anfang an gesagt hätte,

Dennis: wir müssen Security by Design,

Dennis: Security by Default umsetzen, das in die Entwicklungsprozesse von Anfang an

Dennis: integrieren, über den gesamten Lebenszyklus eines Produktes analysieren und

Dennis: auch fortsetzen bis zur Abkündigung.

Dennis: Das wäre wundervoll für die Cybersicherheit. Aber dann hätten wir natürlich

Dennis: einerseits kein Problem mehr mit der Cybersicherheit.

Dennis: Das ist ganz klar. Dann bräuchten wir in dem Sinne jetzt auch nicht über ein

Dennis: IT-Sicherheitsgesetz, über eine NIST-2-Richtlinie sprechen.

Dennis: Und andererseits ist es natürlich auch so, dass die irgendwo dann Illusion ist.

Dennis: Und man sieht es jetzt ja auch schon beispielsweise bei der Datenschutz-Grundverordnung.

Dennis: Wir haben die Datenschutz-Grundverordnung seit fast zehn Jahren, ist sie wirksam.

Dennis: Und es gibt Unternehmen, die haben immer noch nichts vom europäischen Datenschutz

Dennis: gehört. Und da kommt dann natürlich irgendwann der Gesetzgeber ins Spiel und

Dennis: sagt, wir müssen Cyber Security zu einer Pflicht für alle machen.

Monina: Gut und ich meine, wir haben jetzt ja auch schon NIS generell länger und jetzt

Monina: kommen ja mit NIS 2 eigentlich auch noch einen Haufen Einrichtungen mehr dazu

Monina: oder der Bereich, auf wen das Ganze zählt, erweitert sich ja um einiges.

Monina: Unter anderem zählen jetzt ja einige Einrichtungen der öffentlichen Verwaltung

Monina: dazu wo meine erste Frage tatsächlich wäre,

Monina: klar man kann sich das irgendwie vorstellen warum die dazukommen es gibt schon

Monina: auch öffentliche Verwaltung die irgendwie relevant genug ist,

Monina: dass wenn sie auffällt Leuten unangenehm auffällt aber das ist ein bisschen

Monina: also das ist gerade für mich spannend mit den Bereichen der öffentlichen Verwaltung

Monina: was kommt denn da genau dazu gibt es da eine genauere Aussage schon.

Dennis: Also grundsätzlich ist es so, dass NIS II selbst sagt, private Einrichtungen

Dennis: wie öffentliche Einrichtungen sind gleichermaßen von der Regulierung umfasst.

Dennis: Der deutsche Gesetzgeber, und das ist die Krüx an der ganzen Geschichte,

Dennis: hat damals aber schon im Rechtsetzungsverfahren auf europäischer Ebene darauf

Dennis: hingewirkt, dass Ausnahmeregelungen geschaffen werden können für die öffentliche Verwaltung.

Dennis: Das heißt, man hat sich da schon so eine Hintertür offen gehalten und hat dann

Dennis: letzten Endes auch im nationalen Umsetzungsgesetzgebungsverfahren unter der

Dennis: alten Regierung jetzt natürlich noch von dieser Hintertür auch Gebrauch gemacht und hat gesagt, ja,

Dennis: also vor allen Dingen, was hier kritisiert wurde, sind die Kommunen,

Dennis: die Städte, was da Cybersicherheit angeht.

Dennis: Wir sehen es ja im laufenden Band, man braucht nur in die Medien reinschauen,

Dennis: das ist ein Riesenproblem, nicht nur in Deutschland, sondern beispielsweise

Dennis: auch in Österreich, dass Kommunen immer wieder erfolgreich angegriffen werden.

Dennis: Man meint nicht nur kritische Versorgungsdienstleistungen wie Energie,

Dennis: Wasserversorgung, Abfallwirtschaft, was von Kommunen bewirtschaftet wird,

Dennis: sondern natürlich auch solche Sachen wie Bürgerdienste, digitale Bürgerdienstleistungen,

Dennis: die dann nicht mehr funktionieren.

Dennis: Also dass man irgendwie sich den Reisepass nicht mehr ausstellen kann,

Dennis: kein Kfz-Kennzeichen mehr bekommt, das sind ja schon ganz essentielle Dinge.

Dennis: Aber der Gedanke an der Stelle ist dann gewesen, bei der Regulierung zu sagen,

Dennis: wir versuchen einerseits bei NIST 2 eine flächendeckende Cybersicherheit in

Dennis: der Europäischen Union ganzheitlich aufzubauen.

Dennis: Aber der deutsche Gesetzgeber hat gesagt, ja, die Kommunen, die haben ja eine

Dennis: Selbstverwaltungsautonomie.

Dennis: Also die müssen ja eigentlich und dürfen auch selbst entscheiden,

Dennis: was sie wie und wo machen. Und dazu gehört natürlich auch Cybersecurity.

Dennis: Und dann überlassen wir es doch den Kommunen, wie sie ihre Cybersicherheitsstandards

Dennis: definieren, was sie umsetzen und was sie lassen. Ist natürlich nicht ein Feigenblatt.

Dennis: Dafür, dass man sagen will, wir haben weder personelle Ressourcen noch wirtschaftliche

Dennis: Ressourcen, um Cyber Security flächendeckend in Deutschland umzusetzen.

Dennis: Und wenn man sich mal zurückerinnert an die Debatten, die wir zum Ende vergangenen

Dennis: Jahres auch mit Blick auf die Nationalen S2-Umsetzungen im Bundestag geführt

Dennis: haben, da wird relativ deutlich, wie schwierig es selbst Bund und Ländern fällt.

Dennis: Also ich spreche jetzt hier von der Zentralregierung, ich spreche von den Landesregierungen

Dennis: der Bundesländer in Deutschland, in Cybersicherheit zu investieren.

Dennis: Christian Lindner, seinerzeit ja noch Finanzminister, hat dann ja überhaupt

Dennis: die Überlegungen angestellt, wie viel das Ganze eigentlich kosten sollte,

Dennis: dass man bestimmte Einrichtungen auf Bundesebene rausgenommen hat,

Dennis: dass man gesagt hat, wir nehmen nur die Bundesministerien als höchste Behörden rein.

Dennis: Bei den Bundesländern ist es so, sie müssen zwar NIS II umsetzen,

Dennis: weil NIS II verlangt natürlich für alle Staaten europaweiten einheitlichen Cybersicherheitsstandards,

Dennis: egal ob sie jetzt föderalistisch organisiert sind oder nicht.

Dennis: Aber dann haben dann auch die Länder teilweise gesagt, wir machen das unterschiedlich.

Dennis: Ja, Nordrhein-Westfalen hat zum Beispiel in einer Auskunft an den WDR gesagt.

Dennis: Ach, bei einigen Punkten sind wir schon 20 Jahre lang mit NS2-konform eigentlich,

Dennis: da brauchen wir gar nichts mehr machen und dann machen wir einfach nur so einen

Dennis: Verwaltungserlass, der dann NS2 umsetzt.

Dennis: Andere Bundesländer sind hingegangen, haben eigene Cybersicherheitsgesetze geschaffen

Dennis: und wiederum einige andere haben gar nichts gemacht bislang.

Dennis: Und da kann man schon sehr, sehr gut erkennen, wie unterschiedlich Cyber Security

Dennis: eigentlich aufgefasst wird. Und das ist, glaube ich, trotz dieser Bedrohungslage,

Dennis: über die wir eingangs gesprochen haben, die ja ganz massiv ist,

Dennis: noch nicht bei allen durchgedrungen ist.

Dennis: Da muss man eigentlich viel, viel mehr machen und wir können nicht nur über

Dennis: Awareness reden und am Ende nichts tun.

Monina: Das heißt, wir haben jetzt dann auch nicht nur eine abgespeckte Version von

Monina: dem, was in NIST 2 steht, was wahrscheinlich dann bei uns in die Umsetzung kommen

Monina: wird, was die Betroffenen oder davon betroffenen Stellen angeht,

Monina: sondern es ist auch generell noch nicht breit genug gedacht, oder?

Monina: Also habe ich das jetzt so richtig verstanden, dass es eigentlich noch viel

Monina: mehr, als da jetzt definiert ist, drinnen drunter fallen müsste?

Dennis: Ja, also wenn wir Cybersicherheit ganzheitlich angehen wollen würden,

Dennis: dann müssten wir definitiv noch deutlich weitergehen.

Dennis: Aber das ist natürlich das Optimum. Also man muss natürlich sehen,

Dennis: jedes Gesetz unterliegt am Ende einem Kompromiss. Also man muss ja irgendwie

Dennis: diesen politischen Willensbildungsprozess durchlaufen, sowohl in der Europäischen

Dennis: Union wie auch in den nationalen Parlamenten.

Dennis: Und Gesetzgebung ist an der Stelle keine Wissenschaft.

Dennis: Also es ist nicht irgendwie zwingend evidenzbasiert. Es ist nicht alles nachvollziehbar,

Dennis: nachweisbar oder vielleicht auch zu 100 Prozent transparent,

Dennis: warum eine bestimmte Regelung so formuliert ist,

Dennis: wie sie formuliert ist. Und da muss man gewisse Abstriche machen.

Dennis: Aber wir werden es auch aufgrund dieser zahlreichen Ausnahmetatbestände,

Dennis: die auch genutzt werden, wie wir gesehen haben, nicht schaffen,

Dennis: mit NIS2 ein flächendeckend einheitlich hohes Cybersicherheitsniveau herzustellen.

Dennis: Das Interessante, vielleicht da auch noch eine Anekdote,

Dennis: also wir als Cyber Intelligence Institute haben beispielsweise auch eine Studie

Dennis: erstellt, wo wir den Umsetzungsstand in allen 27 Mitgliedstaaten der Europäischen

Dennis: Union für NS2 verglichen haben.

Dennis: Aufgrund des Verfalls der deutschen Regierung sind wir jetzt in der Europäischen

Dennis: Union das definitive Schlusslicht.

Dennis: Also möglicherweise sind wir sogar der letzte Staat in der Europäischen Union

Dennis: in zeitlicher Hinsicht, der NIS II zur Umsetzung bringt.

Dennis: Aber was eigentlich viel interessanter ist, einige Staaten sind auch hingegangen

Dennis: und haben gesagt, kommunale Infrastrukturen, städtische Infrastrukturen sind

Dennis: in unserer nationalen Umsetzung von NIS II umfasst.

Dennis: Also zum Beispiel Kroatien hat das so geregelt oder Griechenland,

Dennis: die haben auch gesagt, dass lokale Infrastrukturen abhängig von ihrer Risikobewertung

Dennis: durchaus auch vom Anwendungsbereich von NIS II umfasst sein können.

Volker: Dazu habe ich gleich mal eine Frage an dich. Und zwar, wenn man sich den Teil

Volker: D, der Intro von diesem Regierungsentwurf anguckt, das sind die Haushaltsausgaben.

Volker: Also kein Gesetzentwurf ohne irgendwie haushalterische Abschätzung.

Volker: Und da steht tatsächlich, Mehrausgaben für Länder und Kommunen entstehen nicht.

Volker: Und da fehlt mir jegliches Verständnis.

Volker: Das eine ist möglicherweise der regulatorische Wille, dass es doch möglichst bitte nicht passiere.

Volker: Aber wenn man sich doch dieses Gesetz einmal durchliest und auch hier nochmal

Volker: für die Hörerinnen und Hörer. es ist ja nur ein Umsetzungsgesetz,

Volker: es ist ja kein eigenes Gesetz, sondern wir reden über eine EU-Richtlinie.

Volker: Die EU hat also einen Rahmen entschieden, der in nationales Recht überführt

Volker: werden muss, was durch eigene oder schon bestehende Gesetze erfolgen kann.

Volker: Und in Deutschland hat man sich halt entschieden, schon bestehende Gesetze entsprechend

Volker: zu modifizieren, deswegen halt so ein Umsetzungs-Anpassungsgesetz.

Volker: Und wenn man sich das genau anguckt...

Volker: Kann man sagen, naja, es ist im Prinzip, man redet immer von Bundeseinrichtungen,

Volker: Bundesbehörden und so weiter und so weiter,

Volker: aber kritische Infrastruktur, was ist denn zum Beispiel mit Verkehrsleitstellen,

Volker: die in großen Städten sitzen, Landes- oder sogar Kommunalinfrastruktur,

Volker: also die brauchen kein Risikomanagement zu machen, die brauchen keine Cyberübungen zu machen, gar nichts.

Volker: Und das ist egal, ob in der Münchner Innenstadt einfach mal zur Hauptverkehrszeit

Volker: spontan alle Ampeln ausfallen. Ich würde sagen, steht ja da.

Dennis: Ja, und das ist ein ganz großes Problem. Also dass Cybersicherheit da an der

Dennis: Stelle als reine Bundesaufgabe irgendwo definiert wird.

Dennis: Es ist an der Stelle natürlich so, dass der Bund nicht alles regulieren kann.

Dennis: Und diese Kritik ist auch in den Ausschüssen durch die Sachverständigen laut geworden.

Dennis: Und da haben eben an der Stelle auch die Bundestagsabgeordneten,

Dennis: die im zuständigen Ausschuss saßen, auch gesagt, ja, wir können natürlich jetzt

Dennis: keine regulatorische Vorgabe eins zu eins für die Länder an der Stelle machen,

Dennis: weil wir eben dazu auch gar nicht die Befugnisse haben.

Dennis: Aber andererseits gehen wir eben auf die Länder zu, das entsprechend umzusetzen.

Dennis: Das heißt, man kann an der Stelle, glaube ich, was die Regulierung und die Föderalismusweite

Dennis: Umsetzung von NIS II anbelangt, nicht nur dem Bund Vorwürfe machen,

Dennis: sondern glaube ich auch den Ländern,

Dennis: wo das mindestens genauso stiefmütterlich angegangen wurde, das Thema in einigen

Dennis: Bundesländern, wie das für Bundeseigene Einrichtung der Fall gewesen ist.

Ingo: Kann das Problem, dass das NIS II keine Kosten ausweist, also keine entstehenden

Ingo: Kosten auf Land- und kommunaler Ebene ausweist, auch damit zusammenhängen,

Ingo: dass man nicht in den Vermittlungsausschuss wollte?

Ingo: Dass ansonsten ja, wenn es die Finanzen der Kommunen und der Länder betrifft,

Ingo: eigentlich wieder zustimmungswichtig im Bundesrat wird.

Dennis: Mit Sicherheit hat das auch damit zu tun gehabt. Also NIS II und die nationale

Dennis: Umsetzung mit dem NIS II Umsetzungs- und Cybersicherheitsstärkungsgesetz,

Dennis: das ist an der Stelle einfach ein Kompromiss gewesen.

Dennis: Und man hat von Anfang an aber auch nicht das Ziel gehabt, politisch öffentliche

Dennis: Einrichtungen in den Fokus der Umsetzung von NIST II zu stellen.

Dennis: Also es sollte von Anfang an, das war politisch auch so gewollt,

Dennis: vorrangig eine wirtschaftsbezogene Regelung sein und keine Regelung,

Dennis: die eben öffentliche Infrastruktur betrifft.

Volker: Wobei die Wirtschaft sich ja theoretisch eigentlich, ich sag mal ganz gut,

Volker: doch selbst schützen kann. Sie haben so einen Selbstregulationsmechanismus.

Volker: Wir sehen mal zu, dass wir unser Geschäft weiter am Laufen halten können.

Volker: Bei Behörden ist es eher so, dass sie einer gesetzlichen Aufgabe nachkommen

Volker: sollen und müssen, in Klammern, koste es, was es wolle,

Volker: siehe ja dieser, wie viel war das, 200 und x Tage anhaltenden Cyber-Notstand,

Volker: nachdem eine ganze Kommune, ein Landkreis außer Kraft gesetzt wurde.

Volker: Da ist die Frage, müssten wir nicht eigentlich auch doch deutlich ernsthafter

Volker: die Behörden mit in den Blick nehmen?

Dennis: Ja, definitiv. Also man kann eigentlich auch sagen, der Staat hat Geld zu haben.

Dennis: Also du hast es ja auch richtigerweise gesagt, es geht um Grundrechtsberechtigte,

Dennis: also die Bürgerinnen und Bürger, die eben auch von kommunalen Einrichtungen

Dennis: Versorgungsdienstleistungen abverlangen können.

Dennis: Und wir reden ja hier letzten Endes nicht nur darum, dass ich möglicherweise

Dennis: mein Auto nicht zulassen kann oder möglicherweise auch meinen Personalausweis

Dennis: nicht bekomme, sondern viele dieser Leistungen können ja auch beispielsweise,

Dennis: wenn wir die Auszahlung von sozialrechtlich relevanten Summen denken,

Dennis: die eben auch in der Hand der Kommune liegt,

Dennis: dann geht es darum, dass eben Personen auch betroffen sein können,

Dennis: die keine andere Möglichkeit haben, als kommunale Dienstleistungen in Anspruch zu nehmen.

Dennis: Und das ist etwas, was einfach noch nicht im Bewusstsein, glaube ich,

Dennis: der Leute angekommen ist.

Dennis: Und bei den Unternehmen ist es durchaus so, dass man auch sagen kann,

Dennis: ja, Cybersicherheit ist nicht zu 100 Prozent leistbar und gerade auch bei den

Dennis: Unternehmen ist es so, dass man eher wird sagen können, ihr müsst das unter

Dennis: Wirtschaftlichkeitsgesichtspunkte betrachten und das Verhältnismäßigkeitskriterium stärker einhalten.

Dennis: Aber das ist etwas, wo man beim Staat sagen muss, ihr müsst euch daran halten,

Dennis: dass ihr eben beispielsweise nicht nur Bürgerdienste verfügbar haltet,

Dennis: sondern auch Bürgerdaten angemessen schützt, dass sie nicht abfließen.

Dennis: Das ist ja die andere Seite der Medaille von Cybersicherheit.

Monina: Wir kommen jetzt doch wieder zu dem Punkt, dass es eigentlich notwendig wäre,

Monina: dass diese Einrichtungen der öffentlichen Verwaltung quasi im Ganzen mit unter

Monina: die NIS-Richtlinie eigentlich fallen müssten,

Monina: was sie ja laut aktueller Umsetzung nur teilweise tun.

Monina: Aber gut, da drehen wir uns dann wieder im Kreis zu der Diskussion,

Monina: die wir gerade schon hatten, ob die jetzt und welche davon eigentlich drunter

Monina: fallen, die neue Richtlinie.

Ingo: Man könnte vielleicht auch natürlich einen Schritt weiter denken und sagen,

Ingo: vielleicht ist es auch die Theorie des Beifangs,

Ingo: wenn wir die Unternehmen stark genug gängeln, also nicht gängeln,

Ingo: sondern stark genug Auflagen geben in Richtung IT-Sicherheit,

Ingo: dann werden Systeme so entwickelt,

Ingo: dass sie für sich sicherer sind und es werden Standards entwickelt,

Ingo: die dann der Staat relativ kostengünstig übernehmen kann, ohne da eben den Erwerbarten aufzutreiben.

Dennis: Also bei den Unternehmen ist es auch so, dass eben Cybersicherheit mehr und

Dennis: mehr, und das ist meine Hoffnung, auch als Wettbewerbsvorteil gesehen wird.

Dennis: Also ich meine, wir reden mittlerweile, wir sind im Zeitalter,

Dennis: wo wir über die Vertrauenswürdigkeit von Technologie sprechen.

Dennis: Und wir haben lange Jahre eben einfach nur geschaut, wenn wir an IT denken,

Dennis: Skalierbarkeit, Wirtschaftlichkeit, das waren so zentralen Dimensionen.

Dennis: Wenn es in den Bereich Produktentwicklung geht, ging es darum,

Dennis: auch nur auf die Funktionsfähigkeit von Produkten zu achten,

Dennis: aber eben wenig auf das Thema Cybersicherheit zu achten. Und das wird sich jetzt,

Dennis: glaube ich, in den nächsten Jahren nochmal ganz deutlich ändern.

Dennis: Und beispielsweise sind ja auch Cloud-Computing-Anbieter davon betroffen.

Dennis: Und wenn wir jetzt an die Digitalisierung, nicht nur von Staat,

Dennis: der staatlichen Einrichtung, natürlich auch von der Wirtschaft,

Dennis: Gesellschaft, dann ist es definitiv so, dass Cloud-Computing an der Stelle die Zukunft bildet.

Dennis: Also über mobile Datennetze, 5G, 6G-Verbindungen wird es definitiv so sein.

Dennis: Das ist jetzt eigentlich schon die Entwicklung, die erkennbar ist,

Dennis: dass immer weniger eigene Rechenressourcen on-premise oder in einem Endgerät

Dennis: verortet sein werden, sondern eben alles über Software as a Service kommt.

Dennis: Und da ist es in Zukunft so, dass Cyberangriffe sich natürlich fatal auswirken können.

Dennis: Unternehmen, die eben hier mitreguliert werden von NIST2,

Dennis: das vielleicht dann auch in ihr Portfolio aufnehmen können, dass sie sagen können,

Dennis: wir haben eben höhere Cybersicherheitsstandards, weil wir bestimmte europäische

Dennis: Regularien erfüllen und sind vielleicht damit auch auf internationalen Märkten wettbewerbsfähiger.

Dennis: Das kann man natürlich nicht für alle Betriebe eins zu eins an der Stelle ummünzen,

Dennis: aber das ist zumindest eine Entwicklung, die sich jetzt so langsam anfängt abzuzeichnen,

Dennis: dass man sagt, Cyber Security ist nicht nur irgendeine abstrakte Ausgabe,

Dennis: die wir einstellen müssen und wir bekommen gar nichts am Ende dafür,

Dennis: sondern dass so langsam so ein bisschen auch das Bewusstsein reift,

Dennis: dass man mit Cybersicherheit, wenn sie vernünftig umgesetzt ist, auch gewisse,

Dennis: Mehrwerte generieren kann, die sich vielleicht zu einem späteren Zeitpunkt auch

Dennis: wirtschaftlich monetär auszahlen können.

Monina: Wenn jetzt dann die neue Richtlinie umgesetzt ist, was gibt es denn da eigentlich für Strafen?

Monina: Oder was erwartet einen, wenn man dann diese Voraussetzungen oder diese Vorgaben nicht einhält?

Monina: Also wenn jetzt beispielsweise so ein Cloud- Anbieter, Hersteller, der,

Monina: der jetzt groß genug ist, dass er darunter fällt, seine Aufgaben nicht wahrnimmt.

Monina: Was erwartet einen dann?

Dennis: Also die Bußgelder orientieren sich dem, was wir eigentlich schon aus dem europäischen Rahmen kennen.

Dennis: Also mit der Datenschutz-Grundverordnung hat man ja erstmals die Möglichkeit

Dennis: geschaffen, dass so sanktioniert werden konnte, dass solche Bebußungen nicht

Dennis: mehr aus der Portokasse bezahlt werden konnten.

Dennis: Und früher war der Datenschutz das beste Beispiel.

Dennis: Datenschutz hat noch mit dem alten Bundesdatenschutzgesetz und der Datenschutzrichtlinie

Dennis: kein Unternehmen wirklich ernst genommen.

Dennis: Also da hat man gesagt, es ist billiger, im Zweifelsfall bei einem Data Breach

Dennis: ein Bußgeld zu zahlen, als dass ich jetzt Personal beschäftige,

Dennis: Datenschutzmanagementsysteme aufbaue und so weiter.

Dennis: Und als dann die Datenschutz-Grundverordnung kam, ist man auf einmal in den

Dennis: Bereich reingekommen, dass man gesagt hat, ja, es sind durchaus auch Millionen Bußgelder möglich.

Dennis: Es sind Bußgelder möglich, die an den weltweiten gesamten Jahresumsatz prozentual

Dennis: eines Unternehmens anknüpfen.

Dennis: Und damit hat man relativ viel Erfolg gehabt und deswegen hat man diese Regelungssystematik

Dennis: auf ganz viele Bereiche des europäischen Technologierechts übernommen,

Dennis: wozu natürlich auch das Cybersecurity-Recht gehört.

Dennis: Das heißt, wir können sagen, es sind definitiv auch sechsstellige bis siebenstellige,

Dennis: vielleicht sogar achtstellige Bußgelder bei Verstößen gegen die NIST-2-Richtlinie möglich.

Dennis: Das hat es natürlich noch nicht gegeben und es wird auch eine Weile dauern,

Dennis: bis es dann tatsächlich dazu kommt, aber wir haben bei der Datenschutzgrundverordnung

Dennis: ja gesehen, es ist möglich und da wurden auch wirklich dann Datenschutzbußgelder

Dennis: beispielsweise in Bereichen verteilt.

Dennis: Die dann 50 Millionen Euro und plus gewesen sind.

Dennis: Das Problem ist aber, dass wir alleine in Deutschland davon ausgehen,

Dennis: dass circa 30.000 bis 40.000 zusätzliche Einrichtungen durch eine nationale

Dennis: Umsetzung von S2 betroffen sein werden. Das heißt, auch ein BSI betrifft.

Dennis: Selbst wenn es jetzt mit einem gesteigerten Cyber Security Budget,

Dennis: was jetzt im Haushalt auch verankert wurde, mehr wirtschaftliche Kapazitäten

Dennis: bekommt, um noch mehr Personal zu beschäftigen, es wird nicht in der Lage sein,

Dennis: eine Art Vollüberprüfung für sämtliche betroffene Unternehmen durchzuführen.

Dennis: Und das ist am Ende der Knackpunkt.

Dennis: Und das ist auch der Grund, warum ich wie eingangs festgestellt gesagt habe.

Dennis: NIST 2 wird eben nicht in der Lage sein, ein einheitliches oder ein einheitliches

Dennis: hohes Niveau an Cybersecurity zu generieren.

Dennis: Das Niveau wird sich sicherlich verbessern, aber es wird weit davon entfernt

Dennis: sein, einheitlich zu sein, weil es immer Unternehmen gibt, die sagen,

Dennis: ja, wo kein Kläger, da kein Richter. Also wer will mich denn jetzt kontrollieren?

Dennis: Wann soll das BSI bei mir vor der Tür stehen und meine IT untersuchen?

Dennis: Das ist einerseits einleuchten, andererseits aber auch extrem kurzsichtig,

Dennis: weil es kann ja durchaus sein, dass ich von NIS2 umfasst bin,

Dennis: dass ich es aber verschweige, nicht melde, die Unternehmen sind ja meldepflichtig,

Dennis: sie müssen sich selbst identifizieren an der Stelle und dann es zu wirtschaftlichen

Dennis: Schäden kommt, bei Dritten.

Dennis: Und dann stellt sich am Ende die Frage, wenn ich verklagt werde als Unternehmen

Dennis: in einem Zivilprozess, ja, welchen Sorgfaltsmaßstab musstest du denn jetzt eigentlich

Dennis: im Bereich der Cybersicherheit einhalten?

Dennis: Und ein findiger Anwalt wird relativ schnell dazu kommen, dass er sich die Schwellenwerte

Dennis: anschaut über dieses Sidescap-Rule und dann feststellt, ja, umsatzmäßig,

Dennis: personalmäßig sprechen wir eigentlich hier von einem NIST-2-Unternehmen,

Dennis: also wesentliche oder wichtige Einrichtung, hat sich nicht angemeldet,

Dennis: hat kein Cybersecurity-Management etabliert und dann bin ich ganz schnell in der Haftung.

Dennis: Dann auf einmal wirkt sich das Ganze extrem negativ aus.

Dennis: Ich kriege natürlich ein Bußgeld, das auch, aber ich glaube,

Dennis: diese zivile Haftung, das ist etwas, was ganz viele Geschäftsleiter nicht auf dem Schirm haben.

Volker: Da habe ich jetzt mal eine konkrete Frage an dich. Also wir haben ja am Anfang

Volker: so ein bisschen von Gesetzumsetzung und Behörden und sowas geredet.

Volker: Aber wie du schon sagst, eigentlich ist ja die Stoßrichtung die Wirtschaft.

Volker: Und hier gibt es ja diese grobe Einteilung von besonders wichtigen Einrichtungen,

Volker: wichtigen Einrichtungen und ich weiß jetzt gar nicht, also sonstigen,

Volker: also nicht ganz so wichtigen Einrichtungen, wie auch immer man das genau bezeichnen will.

Volker: Und da gibt es dann ja auch so Größenordnung und Jahresumsätze und alles sowas.

Volker: Kannst du das in, ich will jetzt nicht sagen wenigen Worten,

Volker: das wäre eine zu starke Vereinfachung, aber kannst du das ganz grob umreißen?

Volker: Was ist da so für Kategorien und Zuordnung?

Volker: Was ich eben auch interessant finde, auch Strafen, wenn man dann NIST 2 unterlässt, wozu das führt?

Dennis: Ja, also der Knackpunkt bei NS2 ist, es gibt da zwei Voraussetzungen,

Dennis: unter denen man in den Anwendungsbereich fällt.

Dennis: Also die erste Voraussetzung ist in qualitativer Hinsicht, dass man davon erfasst

Dennis: ist, das heißt, dass man erstmal in die Sektoren reinfällt und die zweite Voraussetzung

Dennis: ist, dass man in quantitativer Hinsicht, also in diese Schwellenwerte fällt.

Dennis: Und wo man bei NS1 damals noch gesagt hat, ja,

Dennis: wir überlassen den Mitgliedstaaten im Wesentlichen zu definieren,

Dennis: wer denn jetzt kritische Infrastruktur ist, hat jetzt die Europäische Union

Dennis: gesagt, das haben die in der Vergangenheit viel zu unterschiedlich gehandhabt

Dennis: und deswegen wollen wir zumindest da einheitliche Standards setzen.

Dennis: Und es ist so, was diese quantitativen Maßstäbe anbelangt, dass eben Unternehmen

Dennis: ab einer Größenordnung nach europäischer KMU-Definition als mittlere Unternehmen gelten, reinfallen.

Dennis: Das sind solche Unternehmen, die eben mindestens 50 Personen beschäftigen oder

Dennis: den Jahresumsatz und die Jahresbilanz jeweils 10 Millionen Euro übersteigt.

Dennis: Darüber hinaus gibt es aber auch weitere unterschiedliche Qualifikationsstufen.

Dennis: Also Großunternehmen beispielsweise natürlich dann auch davon erfasst.

Dennis: Da gelten dann strengere Prüfstandards, Überwachungsstandards seitens der Behörden.

Dennis: Und es kann sogar in Ausnahmefällen so sein, dass wir Kleinunternehmen da drin

Dennis: haben, also von der Unternehmensgröße unabhängig.

Dennis: Da nennt es zwei dann bestimmte qualifizierende Faktoren. Also wenn diese Unternehmen

Dennis: eine besondere kritische Tätigkeit ausüben, falls es Auswirkungen auf die öffentliche

Dennis: Ordnung hat oder gar grenzüberschreitende Auswirkungen.

Dennis: Und das ist ein Merkmal, was vorliegen muss und in zweiter Hinsicht muss dann

Dennis: eben dieses qualitative Merkmal vorliegen, also ich muss.

Dennis: In eine dieser Sektoren reinfallen, die in den Anhängen von NIS 2 genannt werden,

Dennis: da gibt es einfach zwei Anhänge und da sieht man auch ganz gut,

Dennis: dass NIS 2 nicht alles neu macht, sondern auf NIS 1 basiert, also solche Sachen,

Dennis: die wir ohnehin schon als kritische Infrastrukturen können, also Energie, Verkehr, Bankwesen.

Dennis: Finanzmarktinfrastrukturen beispielsweise, Gesundheitswesen,

Dennis: Trinkwasser, Abwasser fallen sowieso darunter. Die Krücks ist natürlich auch hier wieder,

Dennis: Vorher waren nur Kritis wirklich erfasst, aber jetzt gehen wir natürlich mit

Dennis: dieser Absenkung der Schwellenwerte auch in kleinere Unternehmen rein.

Dennis: Wir haben den Weltraumsektor, der neu ist, also Bodenkontrollstationen und das

Dennis: Rückgrat der deutschen Wirtschaft in Anführungszeichen wird natürlich dadurch

Dennis: erfasst sein, dass jetzt Produktion, Herstellung, Handel mit chemischen Stoffen drin ist.

Dennis: Also jedes Unternehmen, was irgendwie mit chemischen Stoffen arbeitet,

Dennis: also zum Beispiel Kunststoff, mit Kunststoffarbeit, und das sind ja die allermeisten

Dennis: Produktionsunternehmen, fällt darunter, soweit sie eben diese zahlenmäßigen

Dennis: Schwellenwerte erreichen.

Dennis: Produktion, Verarbeitung, Vertrieb von Lebensmitteln. Das sind nicht eben nur

Dennis: die großen Einkaufsgenossenschaften beispielsweise, sondern auch Viehzuchtbetriebe.

Dennis: Agrargenossenschaftliche Betriebe, Gemüsebauern, die bestimmte Umsatzschwellen

Dennis: überschreiten, hängen jetzt auch einmal mit im Boot.

Dennis: Und wie man so schön sagt, das gesamte verarbeitende Gewerbe,

Dennis: also Warenherstellung ist umfassend adressiert, also zum Beispiel Herstellung

Dennis: von Datenverarbeitungsgeräten,

Dennis: elektronischen, optischen Erzeugnis, Maschinenbau, Kraftwagen,

Dennis: Kraftwagenteile, Fahrzeugbau.

Dennis: Und da kann man schon sehen, dass die Unternehmen, die ja letzten Endes erfasst

Dennis: sind, auch unterschiedliche Größen haben und sehr, sehr vielfältig sind.

Dennis: Das betrifft natürlich auch die Leistungsfähigkeit. Was eben diese Bußgelder

Dennis: angeht, da haben wir maximale Bebußungssummen, die einerseits festgelegt sind,

Dennis: aber andererseits prozentuale Anknüpfung und wie ich eben ja auch schon gesagt hatte,

Dennis: dadurch ist es möglich, Bußgelder wirklich bis in den mehrstelligen Millionenbereich

Dennis: hineinzubringen, aber da wird einfach gestaffelt auch nach der Schwere der Verstöße,

Dennis: also es gibt Regelungen, die können eben schwerwiegender wirtschaftlich bebußt

Dennis: werden beim Verstoß und solche,

Dennis: wo es eben geringere Bußgelder gibt.

Volker: Also ich würde auch tatsächlich Unternehmen im Moment tatsächlich schon empfehlen,

Volker: sich mal die NIS-2-Verordnung im Regierungsentwurf, auch wenn sie sich noch

Volker: stark ändern kann, anzugucken.

Volker: Denn einerseits, Dennis, was du gesagt hast, es gibt zwar Schwellwerte für Unternehmen,

Volker: die sind aber gar nicht so super fest.

Volker: Also da steht da mal 50 Mitarbeiter zum Beispiel im Energiesektor,

Volker: dann steht da aber auch 250 Mitarbeiter im Telekommunikationssektor,

Volker: dann steht wieder ohne Schwellwerte für besonders wichtige Unternehmen.

Volker: Da hatte ich eine ganz tolle Anekdote in Österreich auf einem Sicherheitskongress mitbekommen.

Volker: Da gibt es kleine Ingenieurbüros, einige wenige kleine Ingenieurbüros,

Volker: die zum Beispiel Talbrücken planen oder Tunnelbaumaßnahmen, also kritischer Sektor Verkehr.

Volker: Das sind 10, 15 Personen, hochspezialisierte Ingenieurinnen und Ingenieure und

Volker: die fallen plötzlich unter NIST 2, weil wenn deren Unterlagen,

Volker: deren Planungsunterlagen wegkommen,

Volker: dann ist quasi die Wartung, die Infrastruktur stark gefährdet von diesen Systemen.

Volker: Sodass ganz plötzlich zehn Personen, die eigentlich, das ist jetzt vielleicht

Volker: nicht ganz fair, was ich sage, aber die eigentlich auf ...

Volker: Planung, Konstruktionszeichnungen, keine Ahnung, Geologie oder sowas spezialisiert

Volker: sind, die müssen jetzt NIS machen,

Volker: weil sie ganz plötzlich kritische Infrastruktur werden. So, Frage 1.

Volker: Ist das jetzt, sagen wir mal, ein Sonderfall, der immer auftreten wird oder

Volker: muss man schon als Unternehmen damit rechnen? Dann kommt noch Frage 2.

Volker: Wer haftet in dem Fall das, was passiert? Es gab ja mal eine Variante des NIST-2-Entwurfs,

Volker: da hieß es, alle Geschäftsführer unbeschränkt persönlich und unversicherbar.

Volker: Das war mal irgendwie so ein Grobentwurf.

Volker: Mittlerweile heißt es, wird in Spezialgesetzen geregelt, in Klammern,

Volker: und wenn es also GmbH-Gesetz, Aktiengesetz oder sonst was, und wenn es kein

Volker: Spezialgesetz gibt, dann ist halt die Haftung so, wie sie ist eben.

Volker: Also diese beiden Fragen, so Unternehmensgröße, Schon generell oder Spezialfall und Haftung?

Dennis: Ja, also ich glaube, man kann die beiden Fragen relativ klar beantworten.

Dennis: Also das kleine Unternehmen, die eben unter diese zahlenmäßigen Schwellenwerte,

Dennis: die ich eben gelernt hatte, fallen, betroffen sind, wird die Ausnahme sein.

Dennis: Und die Ausnahmetatbestände sind auch abschließend in S2 aufgeführt.

Dennis: Das geht wirklich einfach darum, dass wir Unternehmen haben,

Dennis: wie du es ja auch schon gesagt hattest, Volker, die eine Kritikalität mit Blick

Dennis: auf die Lieferkette haben, die eine Versorgungsrelevanz haben,

Dennis: wo man dann letztlich auch sagen muss, wenn das Unternehmen nicht mehr funktioniert.

Dennis: Sind weitere kritische Einrichtungen möglicherweise in ihrer Funktionsfähigkeit beeinträchtigt.

Dennis: Und das wird sicherlich Unternehmen erfassen und das ist vielleicht auch der

Dennis: Bereich, wo es Unternehmen am schwierigsten haben, im Vorfeld zu beurteilen,

Dennis: ob sie jetzt damit drin hängen oder ob sie nicht damit drin hängen.

Dennis: Also ich meine, diese abstrakte Erfassung, dass ich qualitativ in einen bestimmten

Dennis: Sektor, in eine bestimmte Branche falle und dann irgendwelche Umsatzschwellen

Dennis: und Mitarbeiterschwellen überschritten habe, das können viele.

Dennis: Und ich würde jetzt auch sagen, ohne dass wir das nationale Umsetzungsgesetz

Dennis: haben, über 90 Prozent der Unternehmen schon feststellen.

Dennis: Also da muss man jetzt nicht sagen, man wartet jetzt ab, weil da wird sich auch

Dennis: mit einer nationalen Umsetzung nicht viel ändern können, weil das natürlich

Dennis: unionsrechtskonform umzusetzen ist und es zwei an der Stelle auch einen Minimalstandard setzt.

Dennis: Und was die zweite Frage dieser Geschäftsführerhaftung der Verantwortlichkeit

Dennis: von Unternehmensleitungspersonen angeht,

Dennis: man hat das wieder zurückgenommen, der Minister deutlich zurückgerudert,

Dennis: also der erste Entwurf zum NIST-Zwei-Umsetzungsgesetz, der vorgelegt wurde,

Dennis: war da deutlich schärfer formuliert.

Dennis: Ja, das hat auch unter anderem den Grund gehabt, dass es einen erheblichen Aufschrei

Dennis: seitens der Geschäftsführer gegeben hat, dass man gesagt hat,

Dennis: das kann doch jetzt nicht sein, dass ich jetzt hier einen Haftungsdurchgriff

Dennis: habe, persönlich hafte an der Stelle,

Dennis: aber ich weiß gar nicht, ob man sagen kann, es ändert sich jetzt so viel mit

Dennis: den neuen Regelungen, die wir an der Stelle haben, weil du hast es ja auch schon

Dennis: gesagt, ja, es wird auf spezialgesetzliche Vorschriften verwiesen und wenn keine

Dennis: spezialgesetzlichen Vorschriften existieren,

Dennis: haftet man nach den allgemeinen Sorgfaltspflichten, die für jeden von uns gelten,

Dennis: wenn er sich irgendwo im Geschäfts- oder Betriebsalltag bewegt.

Dennis: Und da kommt es letzten Endes darauf an und nichts anderes sagt ein Aktiengesetz,

Dennis: nichts anderes sagt ein GmbH-Gesetz für den GmbH-Geschäftsführer,

Dennis: dass ich eben die im Verkehr erforderliche Sorgfalt einhalte.

Dennis: Und da kommt es drauf an, in welchem Segment bewegt sich mein Betrieb eigentlich? Was mache ich?

Dennis: Wie wichtig bin ich in der digitalen

Dennis: Lieferkette? Wie ersetzbar sind vielleicht auch meine Leistungen?

Dennis: Und da muss ich dann eben bemessen, was ich im Bereich Cybersecurity leisten

Dennis: kann und was ich wirklich tun kann.

Dennis: Und wenn es zum Cybervorfall kommt und dann eben Haftungsansprüche im Raum stehen,

Dennis: dann wird am Ende ganz klar geschaut, hat man diesen Sorgfaltsmaßstab eingehalten oder nicht.

Dennis: Und es ist natürlich, wenn ich meine Pflichten als Geschäftsführer oder als

Dennis: Vorstand einer Aktiengesellschaft grob fahrlässig verletze, auch nach gegenwärtigem

Dennis: Recht, ohne dass wir irgendwie an NIST-2 oder sonstige BSI-Gesetze denken,

Dennis: mein Haftungsdurchgriff theoretisch möglich.

Monina: Okay, das heißt, wenn wir mal kurz zum ersten Punkt zurückkommen,

Monina: für diese Frage, ob man jetzt betroffen ist oder nicht, gibt es ja zum Beispiel

Monina: auch aktuell schon vom BSI so eine Seite, wo man mit einem kleinen Fragebogen

Monina: sich durchklickt und schaut, ob man betroffen ist oder ob das Unternehmen betroffen

Monina: ist. Das wird wahrscheinlich vielleicht nicht ganz abschließend sein.

Monina: Und wie du sagtest, es ist generell sinnvoll, sich schon mal darauf vorbereiten.

Monina: Da kommen wir zu dem Punkt, was muss ich denn jetzt als betroffenes Unternehmen

Monina: oder als betroffene Institution eigentlich tatsächlich tun?

Monina: Also wenn ich jetzt mit dem Grundschutz unterwegs bin, reicht das dann schon?

Monina: Bin ich da schon mal ganz gut auf dem Weg oder wie bereite ich mich da am besten

Monina: drauf vor für die kommende Umsetzung?

Dennis: Also das ist wirklich eine der ganz zentralen Fragen da auch und das Problem an der Stelle ist,

Dennis: dass wir eben so viele verschiedene betroffene Sektoren und Branchen haben und

Dennis: du hattest ja auch dieses Tool auf der BSI-Website angesprochen,

Dennis: das ist wirklich nur ein rudimentäres Tool,

Dennis: also das ermöglicht keine abschließende

Dennis: Einschätzung, ob ich jetzt im Anwendungsbereich falle oder nicht.

Dennis: Es gibt verschiedene Tools mittlerweile auf verschiedenen Seiten von Rechtsanwälten,

Dennis: Beratern, die teilweise detaillierter sind als die des BSI.

Dennis: Und ich glaube, da wollte man sich auch einfach beim BSI nicht zu weit aus dem Fenster herauslehnen.

Dennis: Aber diese Betroffenheitsfeststellung ist eigentlich gar nicht so schwierig.

Dennis: Also wie gesagt, das meiste kann man aus der NIS-Zwei-Richtlinie ziehen.

Dennis: Interessant wird es vor allem dann, wenn ich irgendwie komplexe Konzernstrukturen,

Dennis: Holdingstrukturen habe mit Tochtergesellschaften, die dann teilweise sektoral

Dennis: drin sind, die aber dann selbst die zahlenmäßigen Schwellenwerte Mitarbeiter

Dennis: umsatztechnisch nicht erfüllen, wo ich dann auf die Gesamtholding abstellen muss.

Dennis: Das sind so die Knackpunkte. Und da wird es auch so sein, dass sich möglicherweise

Dennis: auch noch Änderungen durch eine nationale Umsetzung ergeben können.

Dennis: Wenn ich denn aber mich identifiziert habe im Anwendungsbereich.

Dennis: Dann ist es relativ klar, was NIST2 sagt.

Dennis: NIST2 sagt nämlich, und das sagt auch der Umsetzungsentwurf in seiner letzten

Dennis: Fassung, da steht nämlich nichts anderes drin, als dass ich Risikomanagementmaßnahmen

Dennis: im Bereich Cybersecurity ergreifen muss.

Dennis: Das heißt, ich muss eben, ich bin verpflichtet, Maßnahmen umzusetzen,

Dennis: um eben IT-Sicherheitsvorfälle zu vermeiden oder eben die Auswirkungen von IT-Sicherheitsvorfällen,

Dennis: wenn sie denn eintreten sollten, möglichst gering zu halten.

Dennis: Und das, da sagt das Gesetz ja, hundertprozentige Cybersicherheit gibt es nicht,

Dennis: das weiß auch NIST 2, aber es muss zumindest verhältnismäßig sein.

Dennis: Also ich muss Risikoexposition, Größe der Einrichtung, Umsetzungskosten,

Dennis: Eintrittswahrscheinlichkeit,

Dennis: Schwere von Sicherheitsvorfällen und die gesellschaftlichen und wirtschaftlichen

Dennis: Auswirkungen, die aus Cybersecurity-Vorfällen resultieren können, mit einbeziehen.

Dennis: Und last but not least, ich muss den Stand der Technik einhalten.

Dennis: Da wird es nämlich jetzt interessant, weil es gibt nicht das eine Verfahren,

Dennis: die eine Excel-File, die ja manchmal so ein bisschen gesucht wird,

Dennis: wo ich sagen kann, wenn ich das jetzt gemacht habe, dann bin ich zu 100 Prozent,

Dennis: ist zwei compliant. Und das versuchen manche momentan so ein bisschen zu suchen.

Dennis: Berater oder auch Vendoren, also Hersteller von Cybersecurity-Lösungen,

Dennis: versuchen es teilweise zu verkaufen,

Dennis: indem sie sagen, wenn du diese Lösung kaufst, dann bist du irgendwie NIST-2-Compliant

Dennis: oder dieses Beratungsschema mit uns umsetzt, dann bist du NIST-2-Compliant.

Dennis: Halt dich für Augenwischerei. Es gibt nicht so einen heiligen Gral der Cybersicherheit oder sowas.

Monina: Schön wär's.

Dennis: Genau, also Indiana Jones hat den zwar gefunden, aber für die Cyber Security

Dennis: gibt es sowas nicht und es ist so eine Grauzone und auch diese Formulierung Stand der Technik,

Dennis: das ist ein ganz toller Begriff, Juristen freuen sich drüber.

Dennis: Das ist auf eine Rechtsprechung zurückzuführen aus dem Jahr 1978 vom Bundesverfassungsgericht,

Dennis: der sogenannte Kalkar-Entscheid.

Dennis: Und da ging es um die Beurteilung der Sicherheit von Atomenergieanlagen.

Dennis: Und da hat das Bundesverfassungsgericht gesagt, ja, der Gesetzgeber ist befugt.

Dennis: Auch unbestimmt irgendwie reinzuschreiben, was man umsetzen muss an technischen

Dennis: Sicherheitsvorkehrungen.

Dennis: Und letzten Endes geht es darum, wenn ich den Stand der Technik einhalte,

Dennis: muss ich einfach dafür Sorge tragen, dass ich nicht auf die allgemein anerkannten

Dennis: Regeln der Technik quasi als niedrigstes Niveau zurückfalle,

Dennis: aber ich bin auch nicht verpflichtet, das höchstmögliche Maß,

Dennis: was irgendwie geht, unter jedweder wirtschaftlicher Anstrengung zu ergreifen,

Dennis: nämlich den Stand von Wissenschaft und Technik.

Dennis: Und das ist so ein bisschen so eine Grauzone, aber bei der Umsetzung,

Dennis: und jetzt kommen wir nämlich auf den Punkt und eigentlich auf die Antwort deiner

Dennis: Frage, du hast nämlich den Grundschutz angesprochen.

Dennis: Also mit dem Grundschutz bin ich schon mehr als gut aufgestellt,

Dennis: mehr als gut aufgestellt, was den S2-Umsetzungen anbelangt.

Dennis: Natürlich können der Einzelfall bezogen noch Besonderheiten sein,

Dennis: was den Schutz der digitalen Lieferkette zum Beispiel anbelangt,

Dennis: was das Thema holistische Cybersecurity,

Dennis: also beispielsweise Einbeziehung nicht technischer Risikofaktoren anbelangt,

Dennis: was vielleicht das Thema Governance auf Unternehmensleitungsebene anbelangt,

Dennis: also dass man Leitungspersonen auch mit eigenem Know-how ausstatten muss.

Dennis: Aber was eigentlich die ganz zentrale Erkenntnis ist, ich bin nur verpflichtet,

Dennis: im Wesentlichen dafür zu sorgen, dass ich meine Cybersicherheitsmaßnahmen auf

Dennis: dem aktuellen Stand der Technik halte.

Dennis: Das heißt, ich bin im Kern verpflichtet, nach NIST 2 ein Risikomanagement einzurichten.

Dennis: Und das bedeutet natürlich auf Cyber Security bezogen ein Informationssicherheitsmanagementsystem,

Dennis: was eben die relevanten Assets in meinem Unternehmen abdeckt.

Dennis: Und insoweit unterscheidet sich jetzt NIS2 in der grundsätzlichen Umsetzung

Dennis: gar nicht so viel von dem, was wir bislang auch aus dem Bereich Cyber Security kennen.

Dennis: Also Bruce Schneier hat es ja schon gedacht, ja, also Security is a process,

Dennis: not a product und das hat er schon lange vor NIS2 gesagt.

Ingo: Das ist sehr spannend, was du gerade berichtet hast. Das erinnert mich sehr

Ingo: an die DSGVO, wo wir auch eine sehr große Anforderung haben an das,

Ingo: was man, wenn man personenbezogene Daten verarbeitet, alles tun muss.

Ingo: Und es im Gesetz immer wieder die sogenannte Angemessenheit gibt und man sich

Ingo: überlegen muss, also welche Maßnahmen sind angemessen im Rahmen der schutzwürdigen

Ingo: Gutes und natürlich auch der Kosten oder der Möglichkeiten, die man als Unternehmen hat.

Ingo: Also da haben wir auch, gerade aus wirtschafts-synthematischer Perspektive,

Ingo: jetzt ganz interessante Arbeiten mal zu gemacht.

Ingo: Das wird ja wahrscheinlich bei NDS 2 sich dann ähnlich fortsetzen.

Ingo: Aber ich würde gerne noch einmal auf einen anderen Aspekt, der relativ lange

Ingo: in Diskussionen war, jedenfalls in den Kreisen, in denen ich mich bewegt habe,

Ingo: aber sich so richtig noch nicht wiederfindet.

Ingo: Die Frage dessen, was umfasst es eigentlich, wenn man so in Richtung der kritischen

Ingo: Lieferkettenhose etwas geht.

Ingo: Also wir haben ja im Prinzip eine Definition von kritischen Dienstleistungen im Gesetz.

Ingo: Wir haben eine Definition von den Sektoren mit hoher Kritikalität,

Ingo: die festgelegt werden im Anhang, die ja doch diesen Aspekt Lieferkette nicht mehr so betrachten.

Ingo: Aber ursprünglich war doch auch geplant, dass Lieferketten stärker umfasst sind,

Ingo: gerade wenn sie eine bestimmte kritische Form aufweisen, oder?

Dennis: Ja, also die Lieferkette ist definitiv an der Stelle auch von NIST 2 umfasst,

Dennis: weil es ja auch darum geht, dass man...

Dennis: Das Risikomanagement in der Beziehung mit extern im weitergefassten Ökosystem betrachtet.

Dennis: Und das bedeutet an der Stelle auch, und das sehen wir jetzt zur Zeit auch schon,

Dennis: dass Pflichten, die NIS2-Betroffene haben,

Dennis: dann teilweise über vertragliche Regelungen an Zulieferer in dieser Lieferkette

Dennis: weitergegeben werden, die dann eben auch nachweisen müssen, also dass sie NIS2-Complied sind.

Dennis: Und im Zweifelsfall habe ich das auch schon gesehen, dass bestimmte Vertragswerke

Dennis: einfach vorgelegt werden, die eigentlich nur diese Cybersecurity-Anforderungen,

Dennis: die ja in NIST 2 relativ grob umrissen sind, einfach eins zu eins da rein kopiert

Dennis: haben und die dann unterzeichnet werden müssen.

Dennis: Und es wird einfach sehr, sehr viel über die vertraglichen Regelungen an Zulieferer etc.

Dennis: Ausgelagert werden, weil natürlich es am Ende darauf ankommt,

Dennis: dass sich das NIST 2 betroffene Unternehmen leistungsfähig hält.

Dennis: Und wenn es eben auf die Leistungen von weiteren Sublieferanten angewiesen ist,

Dennis: um die eigene Leistungsfähigkeit zu erhalten,

Dennis: dann werden diese Cybersicherheitsanforderungen über die vertragliche Lieferkette

Dennis: an diese weiteren Unternehmen weitergegeben. Und das ist jetzt schon Gang und Gäbe.

Ingo: Und wenn wir uns im europäischen Rahmen bewegen, die Lieferkette geht ja häufig

Ingo: über Ländergrenzen hinweg, die Zulieferer dann natürlich möglicherweise die

Ingo: NIS-2-Interpretation des entsprechenden Landes umsetzen. Ist das ein Problem? oder?

Dennis: Also grundsätzlich ist das kein Problem, weil NIS2 hat diesen Grundsatz der

Dennis: Mindestharmonisierung, das hätte ich eingangs ja auch schon kurz erwähnt,

Dennis: also die europäischen Mitgliedstaaten sind verpflichtet NIS2 in ihren jeweiligen

Dennis: nationalen Landesgesetzen richtlinienkonform umzusetzen.

Dennis: Also sie dürfen kein niedrigeres Cybersicherheitsniveau bestimmen,

Dennis: weil sonst wäre NIS2 ja witzlos.

Dennis: Dann könnten wir auch sagen, jeder Mitgliedstaat der Europäischen Union macht

Dennis: weiterhin sein eigenes Cybersecurity-Recht und manche können es dann auch lassen,

Dennis: wenn sie keine Lust drauf haben.

Dennis: Und das ist erstmal an der Stelle kein Problem.

Dennis: Dass eben das möglicherweise, dass in

Dennis: unterschiedlichen nationalen Cybersicherheitsgesetzen dann verankert wird.

Ingo: Reicht dann für ein Unternehmen die Aussage, dass ein Zulieferer compliant ist

Ingo: oder muss ich als Zulieferer dann auch in die Rolle des BSI treten und quasi

Ingo: auch selbst bestimmte Mechanismen überprüfen oder mir die Vorgehensweisen vorlegen lassen?

Dennis: Ja, und das ist nämlich der entscheidende Punkt, auf den es in der Praxis wirklich ankommt.

Dennis: Die meisten werden sich faktisch damit begnügen, dass in irgendwelchen Verträgen

Dennis: drinsteht, dass sich das Unternehmen verpflichtet, es zwei eingehalten zu haben.

Dennis: Wenn man aber wirklich ganz genau arbeiten will, dann muss es eben einem Unternehmen

Dennis: auch möglich sein und das ist so ein bisschen auch das, was wir beispielsweise

Dennis: aus dem Bereich der Auftragsdatenverarbeitung im Datenschutz irgendwo kennen,

Dennis: dass, ja, sagen wir es mal so, überraschende stichprobeartige Kontrollen der

Dennis: Cybersicherheit bei den Zulieferern theoretisch möglich sein müssen und auch

Dennis: durchgeführt werden müssen.

Dennis: In der Praxis wissen wir sowohl aus dem technischen Datenschutz,

Dennis: dass das nicht möglich ist oder in den meisten Fällen nicht gelebt wird und

Dennis: ähnlich wird es auch bei NIST 2 sein.

Dennis: Das klingt jetzt erstmal so, als ob das alles gar keinen Sinn macht,

Dennis: als ob irgendwelche Verträge nur geschrieben werden und am Ende macht doch keiner Cyber Security.

Dennis: Aber, und da kommen wir so ein bisschen auch wieder auf diesen eingangs erwähnten

Dennis: Punkt zurück, wenn es dann wirklich mal zum Vorfall kommt, dann wird der Verantwortliche

Dennis: gesucht. Das ist ganz klar, weil es kostet Geld.

Dennis: Und da geben sich dann die betroffenen Unternehmen auch Mühe,

Dennis: den Verantwortlichen ausfindig zu machen.

Dennis: Und wenn dieser Verantwortliche dann irgendwo in der Lieferkette beziehungsweise

Dennis: in der digitalen Lieferkette drinsteckt, irgendwas versprochen hat,

Dennis: was er überhaupt nicht eingehalten hat, dann hat dieser Verantwortliche natürlich ein Problem.

Dennis: Andererseits ist es aber auch so, wenn man dann wieder an das Thema Schadensersatz

Dennis: denkt, hat vielleicht dann auch das betroffene Unternehmen, was das Ganze nicht

Dennis: überprüft hat, irgendwo auch ein Mitverschulden, weil sonst wäre das ja vielleicht

Dennis: auch gar nicht so weit gekommen.

Dennis: Und diese theoretische Verantwortungsdiffusion, die wir da haben,

Dennis: die kann tatsächlich sich dann zum Boomerang entfalten, wenn es dann zum Cybersicherheitsvorfall

Dennis: in so einer Lieferkette kommt.

Volker: Eine Frage von mir noch, Dennis. Eine Sache, die uns als Hochschulen zum Beispiel

Volker: mit betrifft, ist ja Forschungseinrichtungen,

Volker: also die sich mit kritischer Forschung beschäftigen, und jetzt spanne ich mal

Volker: einen größeren Bogen, sind ja erstmal NIS-Forschung, es sei denn,

Volker: es sind Bildungseinrichtungen.

Volker: Dann sind sie wieder keine NIS-Einrichtungen.

Volker: Jetzt ist aber die spannende Frage, die insbesondere technische Universitäten

Volker: und Hochschulen machen ja auch Drittmittelforschung.

Volker: Das heißt, sie machen auch nach EU-Regularien kommerzielle Forschung,

Volker: wenn sie für Unternehmen eine Forschung machen.

Volker: Das heißt, dann machen sie nicht als Hochschule, als Bildungseinrichtung,

Volker: sondern kommerziell Forschung.

Volker: Müssen die dann eine zweite Infrastruktur für NIS II betreiben oder hat der

Volker: Gesetzgeber soweit noch nicht gedacht?

Dennis: Also nach europäischem Recht ist es erstmal grundsätzlich so,

Dennis: dass nur kommerzielle Forschungseinrichtungen betroffen sind.

Dennis: Das heißt, da würden wir auch erstmal sagen, Hochschulen, Universitäten sind

Dennis: per se keine kommerziell agierenden Forschungseinrichtungen.

Dennis: Da geht es eher um private Forschungsinstitute, die dann tatsächlich auch gewinnorientiert arbeiten.

Dennis: Wenn wir, und da wird es natürlich wieder im nationalen Rahmen interessant,

Dennis: daran denken, dass natürlich gewisse universitäre Strukturen auch private Forschung betreiben,

Dennis: dann kommen wir durchaus davon ausgehend, dass es möglich ist,

Dennis: in den Anwendungsbereich von NIS II zu fallen und dass der nationale Gesetzgeber

Dennis: auch theoretisch entsprechende Regelungen festsetzen könnte,

Dennis: die dann sagen, es sind beispielsweise abgetrennte juristische Personen vorzuhalten,

Dennis: die sich um das Thema Cybersicherheit kümmern.

Dennis: Die Maßstäbe sind, über das hinauszugehen, was NIST-2 vorgibt.

Dennis: Und teilweise ist es jetzt ja auch im Bereich der Auftragsforschung schon so,

Dennis: dass die Auftraggeber gewisse Cybersicherheits-, Geheimhaltungs-,

Dennis: Geheimschutzmaßnahmen fordern, die jetzt über ein bloßes Forschungskonsortium

Dennis: im öffentlichen Sektor, was beispielsweise zu 100 Prozent public defunded ist, hinausgehen.

Dennis: Und da könnte ich mir durchaus vorstellen, dass dann auch was passieren könnte in den nächsten Jahren.

Volker: Ja, da vielleicht, wenn du da in entsprechenden Gremien oder nochmal irgendwie

Volker: ein Wort oder Gehör findest, in technischen Forschungseinrichtungen oder technischen

Volker: Hochschulen, Universitäten, ich möchte erstmal so weit gehen und sagen, ist es üblich,

Volker: dass auch Unternehmensforschung gemacht wird.

Volker: Deswegen haben wir unterschiedliche Stundensätze für öffentlich geförderte Forschung

Volker: und damit, wenn wir mit der öffentlichen Wirtschaft in Konkurrenz treten,

Volker: damit wir auch entsprechende Stundensätze aufrufen müssen, kommerzielle Stundensätze.

Volker: Das bedeutet, es ist also nicht irgendwie ein Ausnahmefall, sondern ich gehe

Volker: jetzt mal auf die andere Seite und sage, es ist eher der Regelfall,

Volker: dass eine große Hochschule auch kommerzielle Forschung unter anderen Vertragsbedingungen macht.

Volker: Und da sind jetzt so ein bisschen die

Volker: offenen Fragen, die wir heute auch wahrscheinlich gar nicht lösen können.

Volker: Ja, NIST 2, nicht NIST 2, ausgliedern in eine extra juristische Person,

Volker: erheblicher Aufwand, den kleine Hochschulen gar nicht leisten können.

Volker: Da vielleicht nochmal drüber nachdenken. Ja, von mir aus würde ich ganz gerne

Volker: ein bisschen noch mit den Technik abdriften, vielleicht nochmal so für 10 Minuten

Volker: oder sowas, weil auch das interessiert unsere Hörerschaft.

Volker: Und hier verweise ich mal in der jetzigen Regulierung auf den Teil 3,

Volker: also quasi Artikel 1, also BSI Gesetz. Und da gibt es so ein

Volker: Kapitel oder Teil 3, Kapitel 2. Das heißt Risikomanagement ist der Paragraf

Volker: 30, besonders wichtige Einrichtung und wichtige Einrichtung.

Volker: Ich lese mal ganz kurz, also ich will keinen langweilen, aber ganz kurz stichwortweise

Volker: vor, das sind 10 Punkte, was das für Einrichtung bedeutet.

Volker: Lohnt sich für jeden CISO und CIO das mal einmal durchzulesen.

Volker: Ihr müsst Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Maßnahmen,

Volker: Aufrechterhaltung des Betriebs, Backup wie der Herstellung nach einem Notfall

Volker: und Krisenmanagement, Sicherheit der Lieferantenkette, Punkt 5.

Volker: Sicherheitsmaßnahmen bei Erwerbentwicklung und Wartung, Punkt 6,

Volker: Konzepte für Risikomaßnahmen, Schulung, Konzepte für Kryptografie,

Volker: Sicherheit des Personals, Professionals, Multifaktor-Authentifizierung und so weiter.

Volker: Das ist da namentlich im tiefsten Detail erwähnt.

Volker: Finde ich spannend, weil es wirklich von ganz oben Informations- und Sicherheitsmanagementsysteme

Volker: bis hin in kryptografische Verfahren, Verschlüsselung und Multifaktor-Authentifizierung geht.

Volker: Finde ich einerseits schön, andererseits setzt das die Unternehmen aber auch ganz schön unter Druck.

Volker: Und ich gucke jetzt gar nicht an große Energieversorger, sondern ich gucke mal

Volker: auf die kommunalen Wasserwerke oder die Verbundstadtwerke,

Volker: die für zehn Kommunen jetzt meinetwegen die ganze Infrastruktur managen. Können die das?

Dennis: Ja, das ist am Ende die ganz große Frage.

Dennis: Also ich glaube, das Problem an der ganzen Geschichte wird sein,

Dennis: dass nicht sämtliche dieser Maßnahmen aus dem Minimalkatalog,

Dennis: also das wird ja auch dieser 10 plus 1 Katalog genannt, den du gerade aufgeführt

Dennis: hast, 1 zu 1 werden umgesetzt können.

Dennis: Und das betrifft an der Stelle nicht nur städtische oder kommunale Einrichtungen,

Dennis: sondern das betrifft an der Stelle nur privatwirtschaftliche Unternehmen.

Dennis: Und das ist so ein bisschen auch die Hürde, dass viele Unternehmen auch verunsichert

Dennis: sind, wie sie jetzt NIS II umgehen.

Dennis: Ich persönlich halte diesen Katalog, der kommt ja aus Artikel 21 Absatz 2,

Dennis: denn es wurde im Wesentlichen 1 zu 1 in Paragraf 30 der letzten Entwurfsfassung

Dennis: des BSI-Gesetzes übertragen,

Dennis: für irreführend, weil ich habe jetzt mit genügend Betrieben auch schon gesprochen,

Dennis: die haben gesagt, sie haben gar nicht die IT-Infrastruktur, um jetzt irgendwie

Dennis: Zero-Trust-Policies zu implementieren.

Dennis: Wo sollen die ansetzen, wenn die gar nicht die entsprechende IT haben?

Dennis: Und das kann man sich gar nicht vorstellen.

Dennis: Aber jetzt beispielsweise im agrargenossenschaftlichen Sektor, da ist es häufiger so.

Dennis: Wir haben Betriebe mit relativ viel Umsatz, die aber nicht jetzt wahnsinnig

Dennis: digitalisiert in Teilen arbeiten, wo es gar nicht die IT-Infrastruktur gibt,

Dennis: dass man sowas realisieren könnte.

Dennis: Und da wird es dann in erster Linie, glaube ich, darauf ankommen,

Dennis: dass man überhaupt sagt, man steigt in das Thema Risikomanagement ein.

Dennis: Und das ist ja auch das, was ich gesagt hatte. Also was muss man am Ende nachweisen?

Dennis: Man muss nachweisen, dass man den Stand der Technik eingehalten hat.

Dennis: Und man wird von den unterschiedlichen Unternehmen unterschiedlich viel verlangen können.

Dennis: Also man kann natürlich von einem DAX-Konzern, der jetzt nicht unbedingt eine

Dennis: kritische Infrastruktur ist, sondern ein großer Automobilhersteller ist,

Dennis: ein großer Maschinenbauhersteller, viel, viel mehr verlangen,

Dennis: als es jetzt von einem mittelständischen Betrieb verlangbar ist.

Dennis: Aber alle müssen, wenn man es auf die Basics runterbricht, ein Risikomanagement

Dennis: in der Cybersicherheit etablieren. Das ist aber nicht von Einzelfall bezogenen

Dennis: Maßnahmen oder Produkten abhängig.

Dennis: Das ist ja auch das, was momentan die Hersteller versuchen, zig Produkte zu

Dennis: verkaufen und am Ende habe ich einen Haufen an Produkten, aber trotzdem noch

Dennis: kein Cybersicherheitsmanagement.

Dennis: Und obwohl ich sagen kann, naja, ich habe ja vielleicht diesen 10 plus 1 Katalog

Dennis: aus Paragraf 30 eingehalten.

Dennis: Und das versuche ich an der Stelle auch allen immer zu sagen.

Dennis: Cyber Security Management nach NIST 2 bedeutet überhaupt erst einmal anzufangen.

Dennis: Das heißt eben zu schauen, was sind eigentlich beispielsweise die Assets in

Dennis: meinem Unternehmen, die besonders schutzwürdig sind.

Dennis: Einfach mal zu überlegen, welche Kritikalität meine Einrichtung besitzt,

Dennis: ob sie beispielsweise in der Öffentlichkeit besonders exponiert ist und inwieweit

Dennis: natürlich mein Unternehmen auch in seiner Funktion von vernetzter IT oder von

Dennis: digitalen Lieferketten abhängig ist.

Dennis: Oder es vielleicht auch Möglichkeiten gibt, dass sich eben Vorfälle.

Dennis: Cybersicherheitsvorfälle in der Zukunft oder Angriffe häufen werden.

Dennis: Und vielleicht auch die wichtigste Frage, dass sich Unternehmen überhaupt mal

Dennis: damit auseinandersetzen, was eigentlich potenzielle Angreifer infolge einer

Dennis: erfolgreichen Kompromittierung erlangen können.

Dennis: Und das ist eigentlich eher das, was ich den Unternehmen an die Hand geben will,

Dennis: wenn ich ihnen sage, jetzt beginnt doch mal mit der Umsetzung von S2,

Dennis: auch wenn ihr nur begrenzte personelle und wirtschaftliche Ressourcen zur Verfügung stehen habt.

Volker: Ich habe noch einen Zusatz, bevor noch eine weitere Frage von Molina kam, gehört mich genau dazu.

Volker: Wenn ich mir die, ich sage mal, die Granularität dieser 10 plus 1 Punkte angucke,

Volker: und da spricht jetzt aus mir tatsächlich so der Techniker und Nerd,

Volker: hatte ich ja gerade schon gesagt, geht das quasi von Weltfrieden bis Staubkorn.

Volker: Ja, und in der Mitte steht dann sowas zum Beispiel noch grundlegende Verfahren

Volker: im Bereich der Cyberhygiene und Schulung.

Volker: Also da muss ich jetzt erstmal sagen, schon als Akademiker definieren wir mal Cyberhygiene.

Volker: Naja, wir haben den vielleicht nicht ganz unumstrittenen, aber doch sehr umfassenden

Volker: BSI-Grundschutzkatalog und das ist ja nun ein Teil des BSI-Änderungsgesetzes.

Volker: Warum nimmt man dort nicht den BSI-Grundschutzkatalog, sagt dem BSI,

Volker: mach für deine zehn oder elf oder acht Sektoren kritischer Unternehmen einfach

Volker: ein Grundschutzprofil und das wird hier referenziert.

Volker: Dann ist doch eigentlich jedem schon mal geholfen.

Volker: Jeder weiß doch, was er tun muss, wie hoch das Backup-Level,

Volker: wie hoch Viren-Scanner, wie Firewalls behandelt werden müssen und so weiter.

Volker: Warum macht man das nicht?

Dennis: Also was Ähnliches habe ich tatsächlich auch in der letzten Anhörung zum NIS-2-Umsetzungsgesetz,

Dennis: wo ich als Sachverständiger auch im Bundestag war, vorgeschlagen,

Dennis: weil ich persönlich halte diesen Katalog auch schon in NIS-2-Richtlinie für

Dennis: sachlich unzureichend.

Dennis: Also du hast es ja auch sehr treffend wiedergegeben.

Dennis: Also irgendwie steht da alles und nichts drin. und das wirkt willkürlich,

Dennis: zusammengefürfelt, als ob man jemandem gesagt hätte, ja schreib mal irgendwas mit,

Dennis: Cybersicherheitsmaßnahmen da rein, damit du am Ende irgendwie so einen Katalog

Dennis: hast, der nicht völlig widersprüchlich ist und herausgekommen ist eben am Ende

Dennis: diese willkürlich wirkende Zusammenstellung noch mit dem noch irreführenderen

Dennis: Hinweis, dass man sagt, das ist mindestens umzusetzen,

Dennis: wenn manche Unternehmen das noch nicht mal umsetzen können.

Dennis: Also treffender wäre es gewesen zu sagen, in der Regel kann das diese Maßnahmen

Dennis: umfassen, aber Unternehmen können auch davon abweichen, müssen es dann vielleicht

Dennis: begründen, aber das wäre eigentlich der vernünftige Weg gewesen.

Dennis: Und Deutschland wird das, glaube ich, nicht anfassen, weil man jetzt auch sagt,

Dennis: obwohl neu angegangen werden muss unter einer neuen Regierung,

Dennis: unter einem neuen Bundestag,

Dennis: wird man, glaube ich, also man will auf dem aufbauen, was die alte Bundesregierung hinterlassen hat.

Dennis: Und das sieht so aus wie eben dieser von dir skizzierte Paragraph 30.

Dennis: Das Lustige daran ist aber, vielleicht das Lustige klingt jetzt so das Interessante,

Dennis: formulieren wir das mal eher so, dass im europäischen Vergleich.

Dennis: Einige europäische Mitgliedstaaten das gänzlich anders gelöst haben.

Dennis: Und da gibt es ganz verschiedene Ansätze. Also der Entwurf aus Österreich beispielsweise.

Dennis: Die Österreicher haben gesagt, wir fügen noch einen Anhang 3 rein,

Dennis: wo wir diese Maßnahmen weiter spezifizieren.

Dennis: In Ungarn hat man ein 160, circa 160-seitiges Begleitdokument erstellt,

Dennis: wo eben einzelne Controls definiert sind für unterschiedliche Sektoren, Branchen.

Dennis: In den Niederlanden, und das finde ich eigentlich ist der interessanteste Ansatz,

Dennis: in den Niederlanden hat man gesagt, wir ignorieren einfach Artikel 21 Absatz

Dennis: 2 NIS 2, also diesen 10 plus 1 Katalog und schreiben nichts davon rein.

Dennis: Das war zumindest der letzte Entwurfsstand in den Niederlanden,

Dennis: wo das Gesetz ebenfalls noch nicht umgesetzt ist.

Dennis: Und anstelle dessen sagen wir, es gibt sogenannte Ratsverordnungen,

Dennis: also untergesetzliche Rechtsakte, ministeriale Rechtsakte, die eben dann individuell,

Dennis: sektorspezifisch, branchenspezifisch bestimmen, was für Cybersicherheitsanforderungen einzuhalten sind.

Dennis: Und das, finde ich, ist der vernünftige Weg, weil momentan mit diesem Minimalkatalog,

Dennis: der überhaupt nicht richtig passt, werden die Unternehmen einfach verunsichert,

Dennis: weil alle denken, ich muss ja diese Riesenwand an Cybersecurity-Maßnahmen umsetzen.

Dennis: Ich habe von einigen Begriffen noch nie in meinem Leben was gehört.

Dennis: Die Hersteller kommen um die Ecke und sagen, naja, das Produkt kostet pro Monat dieses und jenes.

Dennis: Wenn du das noch dazu kaufst, dann bist du schnell im fünfstelligen Bereich.

Dennis: Und dann sagen die Unternehmen, weil sie ja sowieso wissen, dass im Zweifelsfall

Dennis: nicht überprüft wird, dann nehmen wir vielleicht besser davon Abstand.

Dennis: Wir wollen uns ja auch nicht übers Ohr hauen lassen, weil wir uns mit dem Thema

Dennis: sowieso nicht richtig auskennen. Und das ist das Volkale.

Volker: Dann sollten wir doch eine Mischung aus Ungarn und Niederlande nehmen,

Volker: indem wir sagen, mit IT-Grundschutz haben wir diese 160 Seiten und dann schreiben

Volker: wir es auch gar nicht erst rein,

Volker: sondern schreiben da nur rein, es gilt Minimalanforderungen,

Volker: IT-Grundschutz, Näheres regelt das BSI und fertig.

Volker: So, aber ich glaube, Monine hat ja noch eine Frage, sorry, ist er denn,

Volker: du wirst noch was dazu sagen.

Monina: Ich wollte mich jetzt einfach an den vorherigen Punkt anschließen.

Monina: Wir haben ja Aufgaben nicht nur für die Betroffenen von dem Ganzen,

Monina: sondern auch quasi jetzt für das BSI oder Aufgaben, die von dem Mitgliedstaat,

Monina: wie es genannt ist, erfüllt werden müssen.

Monina: Und zwar müssen ja unter anderem CSIRTs eingerichtet werden,

Monina: also Computernotfallteams, die dann ja auch gewisse Aufgaben zu erfüllen haben.

Monina: Beispielsweise steht, glaube ich, hier drinnen, dass sie forensisch unterstützen,

Monina: forensische Aufarbeitung von Daten bei Sicherheitsvorfällen und bei Sicherheitsvorfällen

Monina: gegebenenfalls unterstützen, bei betreffendlichen, wesentlichen und wichtigen Einrichtungen.

Monina: Das sind ja dann schon auch nicht wenig Aufgaben, gerade wenn man sich überlegt,

Monina: wie viele dann da zusammenkommen, die da erfüllt werden müssen.

Monina: Ist das mit einem beispielsweise bei uns benannten BSI leistbar,

Monina: sowas zu vollbringen, bereitzustellen?

Dennis: Ja, also ich meine, der gesetzliche Auftrag ist ja das einzurichten und abstrakt

Dennis: leistungsfähig zu sein.

Dennis: Ich glaube, das wird das BSI auch mit der gegenwärtigen Personal- und Finanzdecke

Dennis: durchaus abbilden können.

Dennis: Man geht an der Stelle, glaube ich, aber auch davon aus, dass es nicht zu massenhaften

Dennis: Cybersicherheitsvorfällen kommt.

Dennis: Also was die tatsächliche Leistungsfähigkeit anbelangt von C-Certs,

Dennis: von Behördenstrukturen, von BSI, da wird es, glaube ich, so sein,

Dennis: dass wir nie sagen können, es ist jetzt optimal.

Dennis: Davon sind wir weit entfernt. Es geht einfach, glaube ich, an der Stelle darum,

Dennis: grundlegende Strukturen einzuführen, damit überhaupt etwas da ist.

Dennis: Und das ist, glaube ich, schon an der Stelle ein Ansatz, der vertretbar ist,

Dennis: weil die Alternative an der Stelle wäre, man würde gar nichts regulieren.

Monina: Das heißt, das ist mehr erstmal so ein erster Vorschlag für besonders schwerwiegende

Monina: Fälle, sowas umzusetzen und generell da zu sein und weniger mit,

Monina: das sind jetzt auch sozusagen Unterstützungsleistungen, auf die sich die Betroffenen

Monina: verlassen können von Seiten der anderen.

Dennis: Ja, also es ist ja sowieso, es sollte ja auch so sein beispielsweise,

Dennis: wenn gemeldet wird, wenn Cybersicherheitsvorfälle gemeldet werden,

Dennis: dass zum Beispiel auch Rückmeldungen dazu kommen.

Dennis: Und in der Vergangenheit ist es oft so gewesen, dass dieser Meldekanal einfach

Dennis: ein schwarzes Loch gewesen ist.

Dennis: Also man hat irgendwas in Richtung BSI geworfen, es ist irgendwie angekommen,

Dennis: ja, aber man weiß nie, was damit passiert ist, wie es ausgewertet wurde,

Dennis: was dann eigentlich das Feedback hätte sein sollen.

Dennis: Sondern ursprünglich wollte man das anpassen, hat das dann aber wieder zurückgenommen.

Dennis: Ich glaube eben aus eben jenen Kapazitätsgründen ist man da wieder zurückgerudert,

Dennis: um keine Hoffnungen zu wecken, die man dann am Ende enttäuschen würde.

Monina: Okay, ich bin gespannt, wie sich das dann umsetzt. Aber genau,

Monina: Ingo, ich wollte dir auch nicht ins Wort fallen. Du hast auch schon angesetzt zu einer Frage.

Ingo: Ja, ich hätte noch so ein paar kleine Meta-Aspekte, um nochmal so einen Blick

Ingo: auf das Gesetz im Ganzen zu werfen. und auch die Frage, was wir hier eigentlich genau regulieren.

Ingo: Also wir hatten ja in Corona so ein bisschen Diskussionen rundherum gehabt,

Ingo: was ist eigentlich kritisch.

Ingo: Also die kritische Lieferkette, die wir uns früher vorgestellt haben,

Ingo: bezog sich meistens auf Nahrung, Energie und solche Geschichten und auf einmal

Ingo: festgestellt, dass sowas wie Toilettenpapier kritisch sein kann.

Ingo: Das heißt also, wäre es eigentlich nicht sinnvoller gewesen,

Ingo: in dem Rahmen von NIS-2 zu sagen, wir definieren einen gewissen Grundschutz

Ingo: für alle, den alle einhalten müssen.

Ingo: Also im Sinne des TÜVs, den wir für Autos haben, wenn wir ein Auto auf der Straße

Ingo: betreiben wollen, müssen wir bestimmte Sicherheitsrichtlinien einhalten?

Ingo: Oder siehst du das anders? Also ist das für dich der richtige Weg,

Ingo: jetzt erstmal auf die ganz besonders schwer Betroffenen zu fokussieren und die

Ingo: Allgemeinheit erstmal noch in Ruhe zu lassen?

Dennis: Also es geht ja schon so ein bisschen in die Richtung Allgemeinheit.

Dennis: Also wenn man jetzt an IS-1 zurückdenkt, da wurden ja nur diese wesentlichen Dienste reguliert.

Dennis: Das ist ja im Wesentlichen synonym mit kritischen Infrastrukturen nach deutschem

Dennis: Recht übertragbar, beziehungsweise synonym handhabbar.

Dennis: Was wir jetzt ja sehen, ist, dass man gesagt hat, und das kam eigentlich schon

Dennis: mit dem zweiten IT-Sicherheitsgesetz Anfang 2021 auf, wir gehen vom Kritischutz

Dennis: in den allgemeinen Wirtschaftsschutz im Bereich Cybersecurity rein.

Dennis: Das heißt, man möchte schon mehr regulieren.

Dennis: Und du hast ja, Ingo, richtigerweise auch angesprochen, und das versuche ich

Dennis: allen Leuten auch eigentlich immer darzustellen, wir reden immer viel über NIST-2,

Dennis: aber das Regelungsgefüge ist viel, viel weiter.

Dennis: Wir haben beispielsweise vor einigen Jahren im Rahmen eines Forschungsprojekts

Dennis: einmal eine Datenbank erstellt, wo wir geschaut haben, wo finden wir denn jetzt

Dennis: überhaupt überall Cybersecurity-Regulierung in der Europäischen Union.

Dennis: In Deutschland auf Bundesebene, in den einzelnen Bundesländern sind wir weit

Dennis: über 1000 gesetzliche Vorschriften gekommen.

Dennis: Also da sieht man, wie komplex dieses Gesamtgefüge ist.

Dennis: Und wenn wir uns jetzt nur auf die wenigsten und relevantesten Vorgaben konzentrieren,

Dennis: dann haben wir natürlich auch noch den EU Cyber Resilience Act.

Dennis: Ich glaube, da könnte man einen eigenen Podcast mit füllen. Da geht es eben um Product Security.

Dennis: Ist jetzt noch nicht so wahnsinnig akut, weil wir haben da Übergangsfristen

Dennis: bis Ende 2027 noch laufen.

Dennis: Aber ich berate beispielsweise auch schon zahlreiche größere Unternehmen,

Dennis: Maschinenbauunternehmen, nicht nur aus Deutschland, sondern auch international

Dennis: tätige Unternehmen, die sich jetzt natürlich schon vorbereiten müssen.

Dennis: Und da spielt natürlich das Thema S-Bombs beispielsweise schon eine Riesenrolle

Dennis: und wie man überhaupt sowas aufbaut.

Dennis: Wie schaffe ich Meldekanäle für Schwachstellen und so weiter?

Dennis: Und wie rolle ich Updates überhaupt richtig aus, also Security-Updates?

Dennis: Und wir reden ja zum Beispiel auch über die Datenschutz-Grundverordnung und

Dennis: der Anwendungsbereich der DSGVO, der ist ja definitiv noch mal viel,

Dennis: viel weiter gefasst als jetzt bei NIS2-Regulierung,

Dennis: weil jedes Unternehmen, was irgendwie auf dem Markt agiert, verwaltet zumindest

Dennis: Kundendaten und damit sind wir im Anwendungsbereich der Datenschutz-Grundverordnung drin.

Dennis: Und wenn man das alles mal zusammennimmt, also diesen ganzen Regelungshorizont,

Dennis: dann sind wir eigentlich schon so weit, dass wir sagen können,

Dennis: ja, bis auf Privatpersonen regulieren wir eigentlich irgendwo Data Security

Dennis: überall, weil natürlich auch eine DSGVO sagt, Artikel 32.

Dennis: Es ist Datensicherheit nach Stand der Technik zu gewährleisten.

Dennis: Wir finden da ähnliche Begrifflichkeiten und das bedeutet natürlich Stand der

Dennis: Technik, da sind wir auch wieder bei diesem Begriff, Datenschutzmanagementsystem aufsetzen.

Dennis: Und wenn ich ein Unternehmen bin, was durch NIS II wie auch DSGVO betroffen

Dennis: ist, dann sage ich natürlich an der Stelle, ja, eigentlich...

Dennis: Hätte ich ja schon ein Informationssicherheitsmanagement-System aufbauen müssen,

Dennis: wo dann das Datenschutzmanagement-System quasi mit dem ganzen datenschutzbezogenen

Dennis: Überbau aufgestockt wird.

Dennis: Und da sind wir eigentlich schon fast in dieser Vollregulierung drin,

Dennis: dass wir sagen, Datensicherheit ist eine gesamtgesellschaftliche Aufgabe über

Dennis: alle unterschiedlichen Betriebstypen hinweg.

Ingo: Wäre es nicht sinnvoll, diese Gesetze da ein bisschen zusammenzufassen.

Ingo: Also ich bin als KIler natürlich so ein bisschen betroffen davon,

Ingo: dass ich mit Unternehmen jetzt viel im Rahmen vom AI-Act zu sprechen habe und

Ingo: da natürlich auch so ein bisschen die Fragen stehen.

Ingo: Also ich habe eine bestimmte Vorsicht

Ingo: im Umgang mit KI-Systemen auch zu dokumentieren und durchzuführen.

Ingo: Wir haben DSGVO, wir haben im Prinzip NIS II und alles.

Ingo: Also es ist ja alles auch sehr verteilt und macht ja auch die Komplexität,

Ingo: um ein kohärentes IT-Management aufzubauen, schwierig, oder?

Dennis: Ja, also die Kohärenz, das ist, glaube ich, das ganz große Problem.

Dennis: Also zurzeit ist es so, dass viele Unternehmen mit sehr vielen Regularien konfrontiert werden.

Dennis: Also du hast ja auch noch den AI-Act angesprochen. Jenseits von S2 gibt es zum

Dennis: Beispiel auch den Digital Operational Resilience Act, den DORA,

Dennis: für den Finanzsektor, der zurzeit implementiert wird.

Dennis: Und irgendwann kriegen wir auch noch ein Kritis-Sachgesetz, was die Europäische

Dennis: Critical Entities Resilience Directive umsetzt und wo es dann um physischen Kritis-Schutz geht.

Dennis: Klar, und dazu hat man natürlich noch seine ganzen allgemeinen Compliance-Richtlinien,

Dennis: die teilweise auch branchenspezifisch sind. Das ist viel.

Dennis: Was auf die Unternehmen zukommt. Manch einer mag dann sagen,

Dennis: ja, den Unternehmen wird viel zu viel zugemutet.

Dennis: Andererseits ist es aber auch so, die Welt ist einfach komplexer geworden in den letzten Jahren.

Dennis: Und wo wir einerseits sagen können, Unternehmen profitieren vom Einsatz von

Dennis: IT, indem neue Prozesse, Produkte eingeführt werden, indem Prozesse verschlankt

Dennis: werden können. Vielleicht an der einen oder anderen Stelle jetzt auch,

Dennis: was ja auch das Ziel von KI ist, Personal einzusparen.

Dennis: Da müssen auf der anderen Stelle auch entsprechende Mechanismen eingezogen werden,

Dennis: damit die IT, die die Menschen hier ersetzt oder deren Arbeit ergänzt,

Dennis: angemessen kontrolliert wird.

Dennis: Und deswegen würde ich einfach nur sagen, das ist ein Trade-off,

Dennis: den wir hier erleben, auch wenn manch ein Unternehmen dann ganz gern von Überregulierung

Dennis: spricht oder dass europäische Innovation dadurch behindert oder gar zerstört würde.

Dennis: Das würde ich an dieser Stelle nicht so ohne weiteres unterschreiben.

Ingo: Ja, das teile ich zu ganz großen Teilen auch. Also ich sehe auch immer besonders

Ingo: mehr als ein Feature sehen.

Ingo: Und wir stärken ja auch das Vertrauen in die Systeme, wenn wir entsprechend

Ingo: den Bürger schützen bei dem Ganzen, was wir tun.

Ingo: Ich habe noch eine etwas nicht ernst gemeinte kritische Schlussfrage zu dem Themenkomplex.

Ingo: Und zwar, wenn ich so in die Bereiche vom Arbeitsschutz und Arbeitssicherheit

Ingo: gehe, dann ist es oft so, dass man so einmal im Jahr eine kleine E-Mail bekommt

Ingo: von der Arbeitssicherheit in der Universität.

Ingo: Man soll mal bitte alle Elefantenfüße und Treppen prüfen und dann schreibt man

Ingo: kurz, habe ich gemacht oder dokumentiert das bei sich lokal und damit ist es erledigt.

Ingo: Ich weiß von Unternehmen, die machen Sicherheitsunterweisungen so,

Ingo: dass die Powerpoints rumgeben und die Mitarbeiter unterschreiben lassen,

Ingo: unabhängig davon, ob sie die gesehen und gelesen haben oder auch nicht.

Ingo: Also inwieweit glaubst du als Experte, dass das, was wir hier jetzt regulieren

Ingo: und so, wie wir es regulieren, auch zu mehr Sicherheit führt?

Ingo: Oder ist es eher so, dass wir auch wieder hier einen Dokumentationsmonster erschaffen

Ingo: haben, was dazu führt, dass wir alle sagen, wir hätten alles geprüft und gemacht

Ingo: und nach dem Schadetechnik umgesetzt, aber nicht im gleichen Maße auch wirklich

Ingo: zu einer Verwässerung der Sicherheit führt?

Dennis: Also wenn man das natürlich mit der gegenwärtigen Lage vergleicht,

Dennis: ist es so, dass viele Unternehmen gar nichts gemacht haben und wahrscheinlich

Dennis: auch nie irgendetwas investieren oder tun würden, es sei denn,

Dennis: sie sind selbst mal von einem Cyber-Vorfall betroffen.

Dennis: Mit einer Regulierung, die ja, wie Monina auch schon gesagt hat,

Dennis: sanktionsbewehrt ist und ganz erheblich sanktionsbewehrt ist und diese Geschichte

Dennis: über vertragliche Abwicklung, über die digitale Lieferkette, zivilrechtliche,

Dennis: Schadensansprüche, auch die Betroffenen in erheblicher Weise tangieren kann,

Dennis: glaube ich schon, dass wir in den Bereich reinkommen, es ist nicht nur eine

Dennis: Dokumentationssache oder es

Dennis: werden irgendwelche abstrakten Verträge geschlossen und niemand tut was.

Dennis: Da bin ich mir schon relativ sicher, dass auch was geschehen wird.

Dennis: Und man kann natürlich immer sagen, Regulierung ist irgendwie Dokumentationsaufwand, aber mit,

Dennis: Jeder Prozess, der in einem Unternehmen eingerichtet wird, bedarf natürlich

Dennis: auch an der Stelle Dokumentation.

Dennis: Wenn ich ein neues Produkt auf den Markt bringe, wenn ich irgendein Produkt

Dennis: entwickle, wenn ich Human Resources betreibe.

Dennis: Und es wird jetzt einfach in einem Bereich eine Dokumentation eingezogen,

Dennis: wo es eigentlich in der Vergangenheit schon länger notwendig gewesen wäre,

Dennis: sowas zu dokumentieren. Ich muss mir natürlich auch einen Überblick über meine IT verschaffen.

Dennis: Das ist ja zwingend notwendig an der Stelle.

Dennis: Ich habe ja auch einen Überblick über meinen Fuhrpark beispielsweise,

Dennis: über mein Personal, über die Verträge, über die Zahlungspflichten.

Dennis: Und dann muss ich auch einen Überblick über meine IT und deren Sicherheit haben.

Dennis: Das ist, denke ich, für jeden Betrieb eine Selbstverständlichkeit.

Volker: Ja, Dennis, vielen, vielen Dank für deine Expertise, die du hier eingebracht hast.

Volker: Ich glaube, wir hätten noch das Potenzial, Stunden weiterzureden.

Volker: Wir brechen ja teilweise bei den einen Unternehmen, die noch gar nicht darauf

Volker: vorbereitet sind, weil sie sich nie um IT ernsthaft kümmern wollten und mussten.

Volker: Und die anderen, die schon IT-Gepflogenheiten haben, beispielsweise Kubernetes-Container,

Volker: Docker und jetzt Lieferkettenmanagement oder nachher Software, Build-of-Material.

Volker: Warum nehme ich einen Docker-Container? Weil ich nicht weiß,

Volker: also mich interessiert es nicht, ich will den nehmen, geht nicht mehr.

Volker: Also ganz, ganz viele Themen, die wir haben und noch diskutieren könnten,

Volker: aber leider, leider ist dann auch irgendwann mal die Aufmerksamkeit unserer

Volker: Zuhörerschaft erschöpft.

Volker: Insofern noch eine Frage an dich, ob du noch irgendwas von dir aus loswerden

Volker: willst oder eine Frage an uns stellen willst.

Dennis: Ja, also wir haben ja viel über das Thema Risikomanagement nach NIS2 in der

Dennis: Cyber Security gesprochen und Monina hatte ja unter anderem auch das Thema BSI

Dennis: Grundschutz angesprochen.

Dennis: Und wir sind zurzeit an einem Projekt beteiligt, was vom Bundeswirtschaftsministerium

Dennis: gefördert wird, nicht vom Bundesforschungsministerium, da erkennt man eben auch

Dennis: schon die Relevanz des Ganzen,

Dennis: wo wir den NIS2 Rollout in der Wirtschaft begleiten wollen.

Dennis: Und da sind wir zurzeit dabei, ein Tool mit zu befüllen, wo wir einerseits Betroffene

Dennis: ermöglichen festzustellen, fallen sie in den Anwendungsbereich von NIST 2,

Dennis: also was jetzt den Sektor angeht,

Dennis: was jetzt die Branche angeht und die Schwellenwerte.

Dennis: Und wenn ich dann reinfalle, wie setze ich das Ganze eigentlich um?

Dennis: Und da stellen wir gerade Controls zusammen.

Dennis: Ich glaube, es sind fast 200 mittlerweile an der Zahl, wo wir den BSI-Grundschutz

Dennis: analysiert haben, wo wir ISO-EC 27000 analysiert haben,

Dennis: wo wir in die branchenspezifischen Sicherheitsstandards für Kritis,

Dennis: also B3S, reingegangen sind und uns auch Spezialvorgaben wie zum Beispiel TISAX

Dennis: im Automobilsektor angeschaut haben, sodass man dann branchenspezifisch für sich bestimmen kann,

Dennis: was muss ich eigentlich an Contours umsetzen, um dem Stand der Technik nach NIST 2 zu genügen.

Dennis: Und das Ganze wird dann voraussichtlich im Mai kostenfrei veröffentlicht werden.

Monina: Das war die Sicherheitslücke zu dem Thema NIS 2. Vielen Dank nochmal,

Monina: also ganz herzlichen Dank an dich, Dennis-Kenji Kipker.

Dennis: Sehr gern.

Monina: Es war super, dass du da warst. Ihr könnt die Sicherheitslücke überall dort

Monina: finden, wo es Podcasts gibt oder auf unserer Webseite www.sicherheitslücke.fm.

Monina: Gebt uns gerne Feedback, wir lesen das. Wir gehen da auch noch drauf ein, versprochen.

Monina: Das geht über unsere Webseite auf Mastaton und seit Neuestem auch auf LinkedIn.

Monina: Wir lesen das, genau, reagieren dann noch drauf. Ihr findet Links dorthin auch

Monina: in unseren Shownotes, genauso wie den eben angesprochenen Link,

Monina: der dann wahrscheinlich nachgeliefert wird.

Monina: Von dem Tool im Mai, sagtest du, kommt das?

Dennis: Genau.

Monina: Genau, okay. Das kommt dann auch noch in die Shownotes mit rein und auch weiterführende

Monina: Links, die wir heute angesprochen haben.

Monina: Empfehlt den Podcast gerne weiter, bewertet uns dort, wo ihr uns hört.

Monina: Das hilft uns, gefunden zu werden und auch weiterzumachen.

Monina: Die Kapitelbilder zu unseren Folgen kommen wieder von Anne Vogt und die Produktion

Monina: übernimmt Christian Friedrich.

Monina: Vielen Dank an beide für ihre wundervolle Arbeit.

Monina: Die Sicherheitslücke ist ein Podcast der Hamburger Open Online University.

Monina: Hier auch vielen Dank für die Unterstützung. Wir verabschieden uns und bis zur nächsten Folge.

Ingo: Monina Schwarz, Ingo Timm.

Dennis: Volker Skwarek und Dennis-Kenji Kipker.