Am 18. Oktober 2024 hätte die NIS2-Richtlinie in nationales Recht umgesetzt werden sollen. Während Belgien, Kroatien, Dänemark, Ungarn und Italien diese Frist eingehalten haben, soll die Überführung in deutsches Recht im Frühjahr 2025 erfolgen, was eine grundlegende Überarbeitung des BSI-Gesetzes mit sich bringen wird. Ein zentraler Aspekt der NIS2-Richtlinie ist die Übertragung von Verantwortlichkeiten für Cybersicherheit auf die Führungsebene von Unternehmen und Organisationen. Darüber was es mit NIS2 auf sich hat und was Unternehmen und Kommunen jetzt tun müssen, haben wir mit, Dr. Andreas Rebetzky, Digitallotse und CEO der Syngain GmbH, gesprochen:
DEKOM: Herr Dr. Rebetzky, was ist NIS2 und wozu dient es?
Dr. Andreas Rebetzky: Die NIS2 EU-Richtlinie ist die regulatorische Antwort der europäischen Kommission auf die gestiegenen Herausforderungen an die Cyber-Security von Unternehmen und staatlichen Verwaltungen. Seit 2009 gibt es bereits die BSI-Richtlinie „Kritis“, die besonders wichtige Infrastrukturen sichern soll. Die europäische Kommission stellte allerdings fest, dass durch Kritis kein hinreichender Schutz der europäischen Wirtschaft erreicht wurde und die meisten Unternehmen und Organisationen in Europa eine unzureichende Cyberresilienz aufweisen. Es mangelte zudem an einem europäischen Meldesystem für Cyberattacken, die es erlaubt, auf europäischer Ebene zu agieren. Wir können also sagen, dass die Organisationen und Unternehmen in den vergangenen Jahren zu wenig für ihre Cybersicherheit getan haben und daher die Europäische Kommission diese verbindliche Regelung erlassen hat. Zentraler Bestandteil dieser NIS2-Regelung ist die Erweiterung des Geltungsbereiches für Unternehmen und Organisationen, die aufgrund ihrer wirtschaftlichen Tätigkeit in Branchen kritischer Infrastrukturen einer besonders hohen Bedrohungslage durch Cyber-Angriffe ausgesetzt sind. Hintergrund beim öffentlichen Dienst ist der dringende Bedarf, die Bevölkerung vor Folgen von Cyber-Angriffen auf relevante Funktionen der öffentlichen Versorgung zu schützen. Daher wird Non-Compliance mit den Anforderungen aus dem Gesetz entsprechend stark sanktioniert. Für besonders schwere Verstöße sind „mindestens 2 Prozent des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens“ vorgesehen. Außerdem soll das BSI als Prüfbehörde Führungskräfte zeitweise entmachten dürfen.
DEKOM: Für wen gilt die NIS2 Richtlinie? Gilt sie auch für den öffentlichen Dienst?
Dr. Andreas Rebetzky: NIS2 gilt für insgesamt 18 Sektoren. Dabei wird unterschieden in essentielle Sektoren und wichtige Sektoren. Der öffentliche Dienst ist dabei als essentieller Sektor klassifiziert. Dabei sind Klein- und Kleinstunternehmen nicht betroffen, jedoch gilt das Gesetz ausnahmslos für die öffentliche Verwaltung unabhängig von deren Größe. Also: Jedes kleine Bürgermeisteramt muss an der NIS2 Konformität arbeiten!
DEKOM: Wie gut verstehen wir die aktuellen Cyber-Risiken und Bedrohungen in Bezug auf den öffentlichen Dienst?
Dr. Andreas Rebetzky: Die aktuelle Sicherheitslage in Bezug auf Cybersicherheit ist besonders herausfordernd. Ein paar Daten und Fakten:
- Direkte Angriffe auf Systeme dominieren
- Ransomware Attacken sind die häufigsten Angriffsmethoden
- 136.865 gemeldete Cyberangriffe beim BKA 2023
- Cyber Budget ~14% des IT-Budgets (2023)
- Jede dritte unerwünschte Werbeemail ist ein Cyberangriffsversuch
Die Analysen belegen, dass wir uns bereits in einem Cyber-Krieg befinden:
- Sowohl in der Ukraine, als auch beim Angriff der Hamas auf Israel, gehören Cyberattacken zum Waffenarsenal der Angreifer
- Hamas wurde unterstützt von der russischen Untergrundgruppe „IT UNDERGROUND“: Kamera-Hacking,
- Storm-558 (Microsoft-Master-Key): Gruppe von China finanziert legt Emails offen (auch von der SPD)
- Zero-Day Attacke auf Move-IT durch CIOp (Russland): In vielen deutschen Unternehmen im Einsatz
Durch die jüngsten Maßnahmen der Bundesregierung – der Schließung der Iranischen Konsulate in Deutschland – wird Deutschland und insbesondere der öffentliche Dienst noch stärker in den Fokus der iranischen Cyberangriffe geraten. Die Bedrohungslage bleibt hoch, insbesondere durch staatlich gelenkte und kriminell motivierte Cyberangriffe. Die Bundesregierung hat daher umfassende Änderungen des IT-Sicherheitsrechts beschlossen, um den Schutz vor Cyberangriffen zu erhöhen.
DEKOM: Wie sollte der öffentliche Dienst mit Cyberrisiken umgehen und wie könnte ein Risikomanagement aussehen?
Dr. Andreas Rebetzky: Risikomanagement ist ein wesentlicher Bestandteil der Cybersicherheitsstrategie, besonders unter NIS2. Hier sind einige Details, die dabei berücksichtigt werden sollten:
- Risikoidentifikation: Das Erfassen und Katalogisieren aller potenziellen Risiken und Bedrohungen, die die Informationssysteme und Daten betreffen könnten.
- Risikobewertung: Die Bewertung der identifizierten Risiken in Bezug auf ihre Eintrittswahrscheinlichkeit und potenziellen Auswirkungen. Dies hilft dabei, die Prioritäten richtig zu setzen.
- Risikobehandlung: Die Entwicklung und Implementierung von Strategien zur Risikominimierung. Dies kann durch technische Maßnahmen (wie Firewalls und Verschlüsselung), organisatorische Maßnahmen (wie Schulungen und Richtlinien) und physische Maßnahmen (wie Sicherheitskontrollen) geschehen.
- Überwachung und Überprüfung: Die stetige Überwachung der Risikolandschaft und regelmäßige Überprüfung der implementierten Maßnahmen, um sicherzustellen, dass sie effektiv bleiben und mit den sich ändernden Bedrohungen Schritt halten.
- Dokumentation und Kommunikation: Die detaillierte Dokumentation aller Risikomanagementprozesse und Ergebnisse sowie regelmäßige Kommunikation der Risiken und Maßnahmen an alle relevanten Interessengruppen.
- Effektives Risikomanagement schafft eine robuste Grundlage, um Cybersicherheitsvorfälle zu verhindern und, falls sie doch eintreten, schnell und effizient darauf zu reagieren.
DEKOM: Wie betrifft die NIS2 Richtlinie die Mitarbeiter des öffentlichen Dienstes?
Dr. Andreas Rebetzky: Mitarbeiterschulung ist ein zentrales Element einer effektiven Cybersicherheitsstrategie. Hier sind einige Details, die für Schulungsprogramme in der öffentlichen Verwaltung besonders wichtig sind:
- Bewusstsein schaffen: Schulungen sollten die Mitarbeiter für die verschiedenen Bedrohungen und Risiken im Bereich der Cybersicherheit sensibilisieren. Dazu gehören Phishing-Angriffe, Malware und Social Engineering.
- Best Practices vermitteln: Vermittlung von Best Practices wie das Erkennen verdächtiger E-Mails, der sichere Umgang mit Passwörtern und die Bedeutung von regelmäßigen Software-Updates.
- Rollenbasierte Schulungen: Maßgeschneiderte Schulungsprogramme für verschiedene Rollen innerhalb der Organisation. IT-Mitarbeiter benötigen tiefere technische Kenntnisse, während allgemeine Mitarbeiter grundlegende Sicherheitsprotokolle kennen sollten.
- Regelmäßige Updates: Cybersicherheitsbedrohungen entwickeln sich ständig weiter, daher sollten Schulungsprogramme regelmäßig aktualisiert werden, um auf dem neuesten Stand zu bleiben.
- Praktische Übungen: Durchführung von simulierten Cyberangriffen, um die Reaktionsfähigkeit der Mitarbeiter zu testen und sicherzustellen, dass sie im Ernstfall richtig handeln.
- Kultur der Sicherheit fördern: Aufbau einer Unternehmenskultur, in der Cybersicherheit als gemeinsame Verantwortung betrachtet wird und alle Mitarbeiter zur Wachsamkeit und Sorgfalt ermutigt werden.
Gut geschulte Mitarbeiter sind die erste Verteidigungslinie gegen Cyberbedrohungen.
DEKOM: Braucht der öffentliche Dienst Notfallpläne für verschiedene Arten von Cyberangriffen?
Dr. Andreas Rebetzky: Notfallpläne sind entscheidend, um im Ernstfall schnell und effektiv reagieren zu können. Hier einige wichtige Elemente, die in einem Notfallplan enthalten sein sollten:
- Kritische Funktionen: Die Identifikation und Priorisierung der kritischen IT-Systeme und Dienste, die im Notfall weiterhin funktionieren müssen.
- Verantwortlichkeiten: Die klare Zuordnung von Verantwortlichkeiten und Rollen. Wer macht was, wenn ein Sicherheitsvorfall eintritt?
- Kommunikationsstrategie: Die Erstellung von Protokollen zur internen und externen Kommunikation, einschließlich Kontaktinformationen für alle relevanten Parteien und Meldewege.
- Wiederherstellungsprozesse: Die Pläne und Verfahren zur Wiederherstellung von Daten und Diensten. Regelmäßige Backups und deren Testwiederherstellung.
- Notfallübungen: Die regelmäßige Durchführung von Notfallübungen, um sicherzustellen, dass alle Beteiligten ihre Rollen und Aufgaben kennen und der Plan funktioniert.
- Externe Unterstützung: Kontaktinformationen und Vereinbarungen mit externen Dienstleistern und Experten, die im Notfall hinzugezogen werden können.
- Dokumentation und Aktualisierung: Die ständige Dokumentation des Notfallplans und regelmäßige Überprüfung sowie Aktualisierung, um neue Bedrohungen und Änderungen in der Infrastruktur zu berücksichtigen.
DEKOM: Wie sollte der öffentliche Dienst umgehen mit Sicherheitsvorfällen?
Dr. Andreas Rebetzky: Im Bereich Berichtswesen, besonders im Kontext von NIS2, sollten öffentliche Verwaltungen einige wesentliche Elemente beachten:
- Sofortmeldung von Vorfällen: Sicherheitsvorfälle müssen umgehend an die zuständige nationale Cybersicherheitsbehörde gemeldet werden. Dabei sollten alle relevanten Details wie Zeitpunkt, Art des Vorfalls und erste Maßnahmen dokumentiert werden.
- Detaillierte Berichte: Nach der Erstmeldung sollten umfassendere Berichte folgen, die eine vollständige Analyse des Vorfalls, die Ursachen, die ergriffenen Maßnahmen und Empfehlungen für zukünftige Prävention enthalten.
- Regelmäßige Updates: Während des gesamten Prozesses der Vorfallsbewältigung sollten regelmäßige Status Updates an die beteiligten Parteien und Behörden erfolgen, um Transparenz und Nachvollziehbarkeit zu gewährleisten.
- Erfahrungsaustausch: Berichte sollten nicht nur intern genutzt, sondern auch in geeigneten Netzwerken und Foren geteilt werden, um aus den Erfahrungen anderer zu lernen und gemeinsam bessere Sicherheitspraktiken zu entwickeln.
- Nachbereitung und Lessons Learned: Abschließend sollten Berichte auch eine gründliche Nachbereitung und eine Bewertung der „Lessons Learned“ umfassen, um sicherzustellen, dass die Organisation aus jedem Vorfall lernt und ihre Schutzmaßnahmen kontinuierlich verbessert.
Ein gutes Berichtswesen stellt sicher, dass Sicherheitsvorfälle nicht nur effektiv gehandhabt, sondern auch genutzt werden, um die gesamte Cybersicherheitsstrategie fortlaufend zu verbessern.
DEKOM: Was muss der öffentliche Dienst sicherstellen in Bezug auf die technische Infrastruktur, d.h. die IT-Systeme und Netzwerke?
Dr. Andreas Rebetzky: Technische Infrastruktur ist das Rückgrat jeder Cybersicherheitsstrategie. Hier sind einige Schlüsselaspekte:
- Netzwerksicherheit: Implementierung von Firewalls, Intrusion Detection/Prevention Systems (IDS/IPS) und Segmentierung des Netzwerks, um unbefugten Zugriff und Angriffe zu verhindern.
- Endpunktsicherheit: Schutz aller Endgeräte (Laptops, Mobiltelefone, etc.) durch Antivirenprogramme, Verschlüsselung und regelmäßige Sicherheitsupdates.
- Datenverschlüsselung: Verwendung von Verschlüsselungstechnologien für Daten, die übertragen oder gespeichert werden, um die Vertraulichkeit und Integrität zu gewährleisten.
- Backupsysteme: Regelmäßige Backups aller kritischen Daten und Systeme, die an sicheren, geografisch verteilten Standorten gespeichert werden, um Datenverluste zu verhindern.
- Patchmanagement: Kontinuierliches Aktualisieren und Patchen aller Software und Systeme, um bekannte Schwachstellen zu schließen.
- Access Control: Strenge Zugangskontrollen und Authentifizierungsmechanismen (z.B. Multi-Faktor-Authentifizierung), um sicherzustellen, dass nur berechtigte Personen Zugriff auf Systeme und Daten haben.
- Monitoring und Logging: Implementierung von Systemen zur Überwachung und Protokollierung aller Aktivitäten im Netzwerk, um ungewöhnliche Aktivitäten frühzeitig zu erkennen.
- Cloudsicherheit: Sicherheitsmaßnahmen für Clouddienste, einschließlich der Prüfung der Sicherheitspraktiken des Cloudanbieters und der Implementierung zusätzlicher Sicherheitsvorkehrungen für cloudbasierte Anwendungen und Daten.
DEKOM: Wie sollten öffentliche Einrichtungen zusammenarbeiten, um Bedrohungen zu
erkennen und abzuwehren?
Dr. Andreas Rebetzky: Zusammenarbeit ist essenziell für die Stärkung der Cybersicherheit. Hier einige Aspekte, die dabei eine Rolle spielen:
- Informationsaustausch: Der regelmäßige Austausch von Bedrohungsinformationen und Best Practices mit anderen Behörden und Organisationen.
- Krisenmanagement: Die Etablierung gemeinsamer Notfallpläne und -übungen, um im Krisenfall koordiniert und effizient reagieren zu können.
- Partnerschaften: Der Aufbau von Partnerschaften mit privaten Unternehmen und Forschungseinrichtungen, um von deren Fachwissen und Technologien zu profitieren.
- Standardisierung: Die Entwicklung und Einhaltung gemeinsamer Standards und Richtlinien, um die Kompatibilität und Sicherheit über verschiedene Organisationen hinweg zu gewährleisten.
- Gemeinsame Schulungen: Die Organisation von Schulungen und Workshops gemeinsam mit anderen Organisationen, um Wissen und Fähigkeiten kontinuierlich zu verbessern.
Eine starke Zusammenarbeit fördert die Widerstandsfähigkeit und sorgt dafür, dass Bedrohungen frühzeitig erkannt und effektiv abgewehrt werden können.
DEKOM: Muss ein öffentlicher Dienst regelmäßig Sicherheitsüberprüfungen und Audits durchführen und warum?
Dr. Andreas Rebetzky: Kontrollen und Audits sind ein wesentlicher Bestandteil, um die Cybersicherheit kontinuierlich zu überwachen und zu verbessern. Hier sind einige Aspekte, die beachtet werden sollten:
- Regelmäßige Sicherheitsüberprüfungen: Durchführung regelmäßiger interner und externer Sicherheitsüberprüfungen, um Schwachstellen zu identifizieren und zu beheben.
- Compliance-Audits: Sicherstellen, dass alle gesetzlichen und regulatorischen Anforderungen erfüllt werden. Dies kann durch regelmäßige Audits und Prüfungen gewährleistet werden.
- Penetrationstests: Durchführung von Penetrationstests, um die Effektivität der Sicherheitsmaßnahmen zu überprüfen und potenzielle Angriffspunkte aufzudecken.
- Überwachung der Sicherheitsprotokolle: Ständige Überwachung und Analyse von Sicherheitsprotokollen, um ungewöhnliche Aktivitäten frühzeitig zu erkennen.
- Risikobewertungen: Regelmäßige Risikobewertungen, um neue Bedrohungen und Schwachstellen zu identifizieren und zu bewerten.
- Berichterstattung und Dokumentation: Detaillierte Dokumentation aller durchgeführten Kontrollen und Audits sowie regelmäßige Berichterstattung an die Geschäftsleitung und andere relevante Stakeholder.
- Aktualisierung der Sicherheitsrichtlinien: Überprüfung und Aktualisierung der Sicherheitsrichtlinien und -verfahren basierend auf den Ergebnissen der Audits und Kontrollen.
Kontrollen und Audits sind entscheidend, um sicherzustellen, dass Sicherheitsmaßnahmen nicht nur implementiert, sondern auch effektiv sind und kontinuierlich verbessert werden
DEKOM: Was kostet die Einführung solcher Sicherheitsmaßnahmen? Hat die öffentliche Hand genügend finanzielle und personelle Ressourcen, um eine robuste Cybersicherheitsstrategie umzusetzen? Ohne ausreichende Ressourcen nützt der beste Sicherheitsplan wenig. Was sollte beachtet werden?
Dr. Andreas Rebetzky:
- Finanzielle Mittel: Es ist essentiell, ein angemessenes Budget für Cybersicherheit bereitzustellen. Dies umfasst Investitionen in Hardware, Software, externe Berater und Schulungen.
- Personal: Die Einstellung und Fortbildung qualifizierten Personals sind entscheidend. Dies schließt IT-Sicherheitsexperten, Netzwerkadministratoren und Notfallmanager ein.
- Technologie: Investition in moderne und fortschrittliche Technologien, die helfen, Bedrohungen zu erkennen und abzuwehren. Dazu gehören fortgeschrittene Firewalls, Intrusion Detection Systems (IDS) und Verschlüsselungstechnologien.
- Schulungen und Weiterbildung: Regelmäßige Schulungen und Weiterbildungen für alle Mitarbeiter, um sie auf dem neuesten Stand der Cybersicherheitspraktiken zu halten.
Externe Unterstützung: Spezialisierte externe Unterstützung kann ebenfalls ein wichtiger Bestandteil einer umfassenden Cybersicherheitsstrategie sein:
- Externe Unterstützung: Aufbau von Partnerschaften mit spezialisierten externen Anbietern für Cybersicherheitsdienstleistungen. Diese können etwa Penetrationstests, Bedrohungsanalysen oder Vorfallsreaktion anbieten.
- Ressourcen-Optimierung: Effiziente Nutzung der vorhandenen Ressourcen durch Priorisierung der Maßnahmen und Projekte, die das größte Risiko adressieren und den höchsten Nutzen bringen.
- Förderprogramme: Nutzung staatlicher Förderprogramme und Zuschüsse, die speziell zur Unterstützung der Cybersicherheitsinitiativen öffentlicher Einrichtungen vorgesehen sind.
- Technologisches Upgrade: Regelmäßige Bewertung und Modernisierung der vorhandenen technischen Infrastruktur, um sicherzustellen, dass sie aktuellen Bedrohungen standhält und die neuesten Sicherheitsstandards erfüllt.
- Interne Prozesse: Entwicklung und Implementierung robuster interner Prozesse, um sicherzustellen, dass alle Cybersicherheitsmaßnahmen konsequent angewendet und überwacht werden.
DEKOM: Wie geht der Mittelstand in Deutschland damit um?
Dr. Andreas Rebetzky: Der Mittelstand in Deutschland – aber das gilt auch für Europa – ist in einer Findungsphase. Die größeren Mittelstandsunternehmen betreiben in der Regel ein professionelles Cybersicherheitsprogramm. Dies ist ein guter Start, aber für die aktuelle Bedrohungslage oft nicht hinreichend. Mittlere und kleinere Mittelständler stehen etwas da wie das Kaninchen vor der Schlange. Die aktuelle Cyberresilienz ist unzureichend und NIS2 wirkt wie ein Damoklesschwert. Aber ich kenne auch viele KMUS, die das Thema angehen, externen Rat einholen und einen Plan machen für die nächsten Jahre, wie die Resilienz des Unternehmens erhöht werden kann. Nichts zu tun ist keine Option. Denn die Wahrscheinlichkeit, von einem Angriff getroffen zu werden, ist hoch und steigt weiter. Unternehmen, die nichts tun, werden zur Zielscheibe der Angreifer, die die Schwächen der Unternehmen durch automatisierte Scans erkennen und systematisch die ausnutzen. Aber es gibt auch eine gute Nachricht: Das Bewusstsein der Unternehmen zu handeln ist gestiegen und es gibt Initiativen wie z.B. die MissionTop5, die Experten „on-demand“ für Unternehmen und Organisationen bereitstellen, die den Weg zur Resilienz aufzeigen und die Unternehmen begleiten.
DEKOM: Welche Frage würden Sie einem leitenden Mitarbeiter einer Behörde stellen?
Dr. Andreas Rebetzky: Als Führungskraft im öffentlichen Dienst tragen Sie die Verantwortung für den Ablauf öffentlicher Prozesse:
- Welchen Plan haben Sie, der NIS2 Richtlinie zu entsprechen?
- Wie organisieren Sie die Umsetzung entsprechender Cybermaßnahmen?
- Wie arbeiten Sie mit den Nachbarn im öffentlichen Bereich zusammen, um ggfs. Bündelungen und Optimierungen durchzuführen?
- Wissen Sie was zu tun ist, wenn Ihre Behörde morgen durch einen Cyberangriff stillgelegt wird?
- Wie lange braucht in so einem Fall Ihre Organisation, um wieder arbeitsfähig zu sein?