Ein neuer Anlauf für mehr Widerstandsfähigkeit
Die fortschreitende Digitalisierung ist zweifelsfrei eine unabdingbare Voraussetzung für den sozialen und wirtschaftlichen Fortschritt. Gleichzeitig wird aber durch die Digitalisierung eine Vielfalt von neuen Angriffsmöglichkeiten geschaffen. Die täglichen Nachrichten lehren uns, dass die Angriffsmöglichkeiten auf die IT-Systeme auch massenhaft ausgenutzt werden. Es herrscht ein eklatantes Ungleichgewicht zugunsten der böswilligen Angreifer im Verhältnis zu den meist leicht zu kapernden Systemen.
Eine solche Situation stellt nicht nur eine Bedrohung für die einzelnen Unternehmen, sondern für die gesamte Gesellschaft dar, und das nicht nur auf nationaler Ebene, sondern ganz global. Deshalb ist es angebracht, dass hier der europäische Gesetzgeber selbst aktiv geworden ist. Ein früherer Versuch, das Cyber-Sicherheitsniveau allgemein zu steigern (bekannt als Richtlinie NIS aus dem Jahr 2016) ist wirkungslos geblieben; nun werden daraus die Konsequenzen gezogen und mit erheblich verschärften Bestimmungen soll eine allgemeine Verbesserung der Widerstandsfähigkeit (Resilienz) erwirkt werden.
Betroffenen Sektoren
Für eine funktionierende Gesellschaft sind an vorderster Front die Bereiche Gesundheitswesen, Energie, Verkehr, Finanzwesen, Gesundheitswesen, Trinkwasser und Abwasser sowie die IT-Infrastrukturen zu schützen. Zu den weiteren fundamentalen Einrichtungen einer modernen Gesellschaft gehören selbstverständlich auch die Lebensmittelherstellung, Post- und Kurierdienste und nicht zuletzt die Abfallbewirtschaftung. Unternehmen welche in diesen Sektoren tätig sind, fallen deshalb in den Anwendungsbereich der neuen NIS2 Gesetzgebung. Die endgültigen detaillierten Kriterien über den Anwendungsbereich müssen aber noch durch die nationale Umsetzung der Richtlinie innerhalb Oktober 2024 festgelegt werden.
In unserer Region dürfte vor allem die Anwendung der NIS2 auf den Sektor Agrar- und Lebensmittelkette an Bedeutung erlangen. Aber die Auswirkungen der NIS2 sind nicht nur auf jene Unternehmen beschränkt, welche direkt in den aufgezählten Sektoren tätig sind; vielmehr werden durch die Sicherheitsanforderungen an die Lieferkette sehr viel mehr Akteure indirekt davon tangiert. De facto müssen auch die Lieferanten eines direkt betroffenen Unternehmens viele Auflagen der NIS2 erfüllen.
Technische, organisatorische und operative Maßnahmen
In der Richtlinie sind die konkreten Auflagen sind recht allgemein gehalten. Es ist erforderlich, dass die Maßnahmen den aktuellen technischen Standards entsprechen und angemessen auf das bestehende Risiko abgestimmt sein müssen. Das sind in der aktuellen Bedrohungslage recht hohe Messlatten. Verlangt wird eine Risikoanalyse, ein Prozess für die Bewältigung von Sicherheitsvorfällen und natürlich ein Konzept für die Aufrechterhaltung des Betriebs (Business Continuity). Weiters sind bei der Beschaffung von IT-Systemen und Dienstleistungen verpflichtende Sicherheitsmaßnahmen vorzusehen. Ein besonderes Augenmerk wird richtigerweise auch auf die Sensibilisierung der Mitarbeiter zu Sicherheit gelegt. Etwas konkreter ist die Vorgabe für die Verwendung von Multi-Faktor-Authentifizierung oder von kontinuierlicher Authentifizierung.
Verantwortung, Aufsicht und Strafen
Die Verantwortung für die Umsetzung der Maßnahmen ist im Gesetz eindeutig festgelegt: sie liegt bei den Leitungsorganen im Unternehmen (Geschäftsführung, Verwaltungsrat und Aufsichtsrat). Für diese Verantwortungsträger sind zudem obligatorische Schulungen zum Thema Cybersicherheit vorgesehen.
Für die Aufsicht über die Einhaltung der NIS2 ist der jeweilige Nationalstaat zuständig. In Italien wird damit die im Jahre 2021 gegründete Behörde ACN (Agenzia per la Cyber-Sicurezza Nazionale) beauftragt. Diese Institution hat dann die Befugnisse, entweder bei begründetem Verdacht, aber auch ganz in Eigeninitiative, in den Unternehmen entsprechende Sicherheitsprüfungen durchzuführen. Sollten dabei Unregelmäßigkeiten zu Tage treten, so können drakonische Strafen verhängt werden. Diese reichen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes (je nachdem welcher Betrag höher ist).
Meldepflicht und Informationsaustausch
Eine erfolgreiche Bekämpfung der Gefahren im Cyberraum ist ohne eine koordinierte Zusammenarbeit der Institutionen und einen raschen Informationsaustausch aussichtlos. Aus diesem Grund ist in der NIS2 eine Meldepflicht von Sicherheitsvorfällen an zentrale nationale Stellen (die CSIRTs oder Computer Security Incident Response Teams) vorgesehen. Diese CSIRTs müssen aber auch EU-weit zusammenarbeiten um den aktuellen Gefahren so wirksam wie möglich zu begegnen. Die EU geht jetzt noch einen Schritt weiter: es wird ein EU-weites Krisenmanagement eingerichtet, welches im Bedarfsfalle die Koordination von gravierenden Ausnahmesituationen übernimmt.
Wo beginnen?
Egal ob ein Unternehmen nun direkt in den Anwendungsbereich der NIS2 fällt, ob es indirekt über die Lieferkette neue Auflagen zu erfüllen hat oder ob ihm aus Eigeninteresse eine verbesserte Sicherheit am Herzen liegt: Die notwendigen konkreten Schritte für einen echte Verbesserung sind längst bekannt. Es gilt, die Systeme immer aktuell zu halten, die Daten regelmäßig zu sichern, ordentliche Zugriffsrechte einzurichten, das Netzwerk in Sicherheitszonen einzuteilen, den Datenverkehr ins Internet zu reglementieren und nicht zuletzt die Mitarbeiter zu sensibilisieren. Die Wirklichkeit sieht im Allgemeinen aber ganz anders aus. Da gibt es Fernwartungszugänge mit einem simplen Passwort und niemand bemerkt, wenn sich da Unbefugte zu schaffen machen. Da gibt es ausgemusterte, nicht mehr gepflegte Systeme, welche jahrelang online bleiben und Angreifer förmlich anziehen. Und da gibt es auch Zugriffsrechte, wo jeder alles machen kann. Der Grund für die mangelnde Umsetzung von Sicherheitsmaßnahmen kann vielfältig sein. Manchmal fehlt es an der inneren Überzeugung, während in anderen Fällen Unternehmen schlichtweg überfordert sind. Es ist wichtig, dass Organisationen die Bedeutung von Sicherheit erkennen und entsprechende Maßnahmen ergreifen, um ihre Mitarbeiter und Ressourcen zu schützen.
Kommt es allerdings zum großen Schadensfall, und das passiert immer häufiger, wird man notgedrungen eines Besseren belehrt und in Windeseile wird unter enormen Anstrengungen ein neues, sicheres System hochgezogen.
Der Dieb kommt Freitag nachts
Allerdings reichen die klassischen Sicherheitsmaßnahmen nicht mehr aus. Diese schlagen beim Erkennen einer Bedrohung zwar Alarm, aber wenn niemand auf den Alarm reagiert, ist er nutzlos. Gerade deshalb beginnen die Kriminellen ihr Werk meistens Freitag nachts und sie haben dann üblicherweise freie Hand bis zum Montagmorgen; genug Zeit um Schadsoftware zu installieren und damit das System zu zerstören, aber vor allem genug Zeit um die gesamten Daten des Unternehmens vorher zu stehlen. Die Angreifer sind Profis darin, zwecks Erpressung, aus den gestohlenen Daten genau jene herauszufischen, welche dem Opfer am meisten weh tun. Für einen besseren Schutz ist also dringend angeraten, professionelle Unterstützung eines Security Operation Center (SOC) in Anspruch zu nehmen und die gesamte Sicherheitssituation rund um die Uhr überwachen zu lassen.
