Pressemitteilungen Rhebo

News

Über die Notwendigkeit von NIS2, um Cybersicherheit voranzubringen

Andreas Könen, Leiter der Abteilung für Cyber und Informationssicherheit beim Bundesministerium des Inneren und für Heimat, gibt im Gespräch mit Klaus Mochalski, Einblicke in die Arbeit des BMI, die Cybersicherheit in Deutschland zu stärken. Er erklärt, warum die Durchsetzung von Cybersicherheit Gesetze braucht, warum Unternehmen bereit sind, Cyberrisiken einzugehen und wie die NIS2-Direktive der EU Cybersicherheit auf stabilere Füße stellt.

 

 

 

Hören Sie uns auf:

  

 

Transkript

Klaus Mochalski
Hallo und herzlich willkommen zu einer neuen Episode des Rhebo Podcasts OT Security Made Simpel. Ich sitze heute hier im Bundesministerium des Inneren und für Heimat zusammen mit Andreas Könen und würde Sie bitten, sich zunächst erst mal für unsere Hörer kurz vorzustellen.

Andreas Könen
Ja, Andreas Könen, Leiter der Abteilung Cyber- und Informationssicherheit, die jetzt seit circa fünfeinhalb Jahren existiert. Ich bin von der Herkunft Diplom Mathematiker, habe in meiner Berufshistorie sehr, sehr vieles aus dem Bereich der beginnenden Digitalisierung oder wie man es heute immer nennen würde, Cybersicherheit gemacht, war beim Bundesamt für Sicherheit in der Informationstechnik, da zum Schluss Vizepräsident und dann eben seit sieben Jahren hier im Bundesministerium des Inneren und für Heimat.

Klaus Mochalski
Ja, vielen Dank. Wir haben uns im Vorfeld abgestimmt, dass wir heute insbesondere einmal auf die NIS-2-Direktive, die ja Anfang des Jahres von der EU verabschiedet wurde, unterhalten möchten, wie es da mit der Umsetzung in Deutschland aussieht und natürlich auch, was das jetzt vor allem für Konsequenzen für betroffene Unternehmen hat. Und da gibt es ja tatsächlich ganz signifikante Konsequenzen. Bevor wir aber dazu kommen, möchte ich ganz gerne noch mal auf die aktuell geltende Regulierung eingehen, nämlich das IT-Sicherheitsgesetz in der letzten, in der aktuellen Novellierung auch häufig IT-Sicherheitsgesetz 2.0 genannt. Und davon sind ja auch viele Betreiber kritischer Infrastrukturen betroffen und die gehören auch zu unserer Kundschaft. Und da interessiert mich als Einstieg zunächst einmal aus Ihrer Sicht, ist das ein Erfolg gewesen? Ist das bis heute ein Erfolg, auf den man aufbauen kann? Und was kann man aus der Umsetzung bis heute lernen?

Andreas Könen
Ja, aus meiner Sicht ist es definitiv ein Erfolg. Schon allein deswegen, weil wir mit dem IT-Sicherheitsgesetz 2.0 jetzt wirklich die KRITIS Branche in viel größerer Breite adressiert haben und eben nicht nur die Kritischen Infrastrukturen, sondern an einigen Stellen sind wir ganz klar darüber hinaus gegangen und haben etwa mit der Verteidigungswirtschaft auf der einen Seite und mit Unternehmen im besonderen Interesse des Staates weitere Unternehmen in den Blick gefasst. Das war durchaus begleitet, auch durch eine Rezeption vonseiten der Unternehmen, die uns vielfach angesprochen haben und das eben als eine natürliche Erweiterung des IT-Sicherheitsgesetzes 1.0 empfunden haben. Ich kann mich also durchaus erinnern, dass jemand gesagt hat, ach, wir hätten gedacht, wir wären direkt in 1.0 mitreguliert worden. Es ist gut, dass wir das jetzt in zwei null bekommen. Was heißt das aber inhaltlich? Inhaltlich heißt das, wir haben nun wirklich in viel mehr Branchen und Unternehmen die gleiche Vorgehensweise. Es wird verlässlicher für die Wirtschaft zu wissen, ich benötige Informationssicherheitsstandards. Diese Informationssicherheitsstandards muss ich in einer geeigneten Weise so umsetzen, dass sie mit meinen anderen Compliance Anforderungen, die ich woanders herhaben mag, wirklich passgenau zusammengehen. Das sind Themen, die das BSI dann auch in einer Auditierung nachvollziehen kann und auch noch mal nachschauen kann, ob das in dem Sinne umgesetzt worden ist, wie das Gesetz es vorschreibt.

Andreas Könen
Und das Allerwichtigste, das Meldeverfahren, dass jetzt wirklich Meldungen aus allen Bereichen der regulierten Wirtschaft auf das BSI zukommen, dass damit in der Lage ist, eine Cybersicherheitslage Deutschland zu generieren und damit den Unternehmen auch Wissen über die Lage zurückzugeben.

Klaus Mochalski
Sie sprachen eben schon an das Thema Verlässlichkeit. Planungssicherheit ist immer eines der wichtigsten Dinge, die die Wirtschaft sicher zurecht auch fordert. Mir stellt sich hier immer die Frage, auch wenn wir uns direkt mit Kunden auseinandersetzen, wie wäre denn die Situation, das Bewusstsein über das Risiko von Cyberangriffen, wenn wir diese Regulierung nicht hätten? Hat die Regulierung hier positiv zu dem Bewusstsein beigetragen oder hat sie nur das aufgegriffen, was in den Unternehmen sowieso schon existierte und man hat dann dankbar aufgenommen, was an staatliche Regulierung kommt. Es gab ja durchaus Widerstände. Wo sehen Sie hier den Beitrag dieser Gesetzgebung zu dieser, wie man neudeutsch sagen würde, Awareness?

Andreas Könen
Ja, also tatsächlich war das schon beim IT-Sicherheitsgesetz 1.0 zu sehen. Wir waren damals in der freiwilligen Zusammenarbeit mit den Kritischen Infrastrukturen an einen Punkt gekommen, wo offenbar in einigen Branchen kein Fortschritt mehr zu erreichen war. Es gab keine Awareness. Es gab bestimmte Branchen, die uns klipp und klar erklärt haben, nein, sie halten Cyber, ja, Cyber Sicherheitsmaßnahmen für nicht erforderlich. Sie hätten genügend andere, physisch orientierte Ausweichmöglichkeiten und Resilienzmöglichkeiten, was wir deutlich anders gesehen haben. Die Realität der Bedrohungslage hat uns absolut recht gegeben. Aber IT-Sicherheitsgesetz 1.0 und dann auch wieder 2.0 haben wirklich in bestimmten Branchen mit einem gewissen Druck dafür gesorgt, dass dann eine Umsetzung von Cyber-Sicherheitsstandards stattgefunden hat. Es war also das eine wie das andere. Es gab Unternehmen und Branchen, denen brauchte man nicht mehr lange was erzählen. Eine sehr positive Entwicklung. Aber es gab andere, die wirklich diesen Nachdruck benötigt haben. Ich nenne jetzt keinen Namen, keinen Branchen, wer das war, kein Blaming an dieser Stelle, aber das ist Realität.

Klaus Mochalski
Ja, wenn man sich die gesamtwirtschaftliche Lage anschaut, dann sieht es so aus, als ob wir aktuell weltweit auf schwierige Zeiten zusteuern. Das bedeutet, es wird wieder mehr auf die Kosten geschaut. Und wenn man sich die Cybersecurity Industrie anschaut, international, wie in den USA, da passieren ja Dinge immer etwas eher als in Europa bzw. in Deutschland. Und die Investitionsbereitschaft auf der anderen Seite, da komme ich nicht umhin, das Gefühl zu haben, dass es so eine gestrichelte Linie gibt, über die man hinauskommen muss mit seinem Projekt, in dem Falle mit dem Thema Cybersicherheit, auf Investitionsbereitschaft zu stoßen. Und dass das aber nicht über die Jahre konstant gestiegen ist, sondern dass es sehr stark mit der konjunkturellen Lage schwankt. Das heißt, wenn es gut läuft, wird in Cybersecurity investiert und wenn es nicht gut läuft, ist es auch wieder ein Thema, wo weniger investiert wird. Insbesondere wurden gerade in vielen Cybersicherheitsfirmen viele Mitarbeiter entlassen in einer Lage, wo man eigentlich denkt, wir reden über Fachkräftemangel und viele Unternehmen haben aktuell zum Teil 5 bis 15 Prozent ihrer Belegschaft entlassen; Security Unternehmen, die auch im Bereich Kritische Infrastruktur arbeiten. Was entnehmen Sie daraus? Wie sehen Sie das?

Klaus Mochalski
Ist das diese mangelnde Investitionsbereitschaft? Oder gibt es hier tatsächlich einen kontinuierlichen Aufwärtstrend?

Andreas Könen
Ja, also erstens, es gibt einen kontinuierlichen Aufwärtstrend, was Investitionen in Informations- und Cybersicherheit angeht. Es gibt jetzt eine Studie, die der TÜV-Verband und das BSI gemeinsam veröffentlicht haben, die zeigt zumindest diese Grundgröße. Dennoch ist das konjunkturellen Schwankungen unterworfen. Das heißt also, in dem Moment, wenn ich als Unternehmen vor der Situation stehe, wie bringe ich das Kapital, das investive Kapital, was ich habe, zur Wirkung? Dann überlege ich mir in konjunkturell schlechteren Zeiten sehr wohl, ob ich vielleicht mehr Risikoappetit habe und so das eine oder andere Cyber-Risiko, aber auch andere Risiken eben nicht abdecke durch entsprechende IT-Sicherheitsmaßnahmen, da lockerlasse, weniger Geld da an der Stelle ausgebe und dafür mehr in den reinen Geschäftserfolg meines Unternehmens setze. Das ist definitiv so, aber dann muss man genauer hinschauen. Und das zeigt tatsächlich diese TÜV-Studie wirklich sehr deutlich, dass das von der Unternehmensgröße abhängig ist. Die großen Unternehmen sowieso, die investieren kontinuierlich in Informationssicherheit, die können sich das aufgrund der Regulierungen, die gelten, gar nicht leisten, da etwa auch gegenüber dem Staat säumig zu werden. Auch die mittleren Unternehmen einer bestimmten Größenordnung investieren genauso kontinuierlich. Aber es gibt sozusagen da wieder eine Teilungslinie, wie Sie das auch gesagt haben, unterhalb derer Unternehmen wirklich sehr, sehr schnell und empfindlich reagieren und ihre Investitionen in Informationssicherheit zurückfahren.
Das ist gefährlich, aber das ist Realität. Da haben Sie recht. Das ist konjunkturellen Schwankungen unterworfen.

Klaus Mochalski
Ich glaube, am Ende müssten wir doch so ein Bewusstsein schaffen, dass Cybersicherheit kein optionales Thema ist, sondern dass das betrachtet wird wie Strom, Wasser und Gebäudemiete, dass das ein essenzieller Teil des täglichen Betriebs eines Geschäftes ist und nicht optional, egal wie groß mein Unternehmen ist.
Andreas Könen
Also da sind wir sicher gemeinsam auf einer Linie. Ja, da müssen wir für sorgen. Die Realität ist aber immer diejenige, das stellen Sie ins Startup, was eine bestimmte Größe überschritten hat, demnächst vielleicht dann auch unter die NIS2 Richtlinie fällt, mehr als 50 Mitarbeiter, da ist man schnell mal, und dann kommt eine wirtschaftliche Situation, wo die gerade neu auf den Markt gebrachten Produkte eben nicht so registrieren. Dann gehen viele von denen hin und sagen, da verkaufe ich mein Produkt vielleicht etwas günstiger, schaffe es auch über diese konjunkturelle Delle hinweg, und das Geld, was ich da nicht habe, das investiere ich dann halt nicht in Informationssicherheit. Absolut gefährlich, weil das kann ja wirklich in eine Situation münden, wo meine Geschäftstätigkeit durch einen großen Cyberangriff, Ransomware-Angriff zum Erliegen kommt. Sollte man nicht tun, aber die Welt ist so wie sie ist und manche gehen diese Risiken dann ein.

Klaus Mochalski
Ich glaube, es kommt immer darauf an, dann informierte Risikoeinscheidungen zu treffen, das heißt für sich das Risiko abzuwägen und bewusst zu entscheiden, welche Risiken möchte ich absichern, welche Risiken nehme ich in Kauf, aber dann auch im Sinne der Resilienz auch Gedanken machen, was passiert denn, wenn es doch mal zu einem Vorfall kommt? Wie kann ich dann für einen Wiederanlauf der betroffenen Betriebsteile sorgen? Und Cyber-Resilienz ist ja auch ein Thema, was in Zukunft stärker reguliert werden wird.

Andreas Könen
Ja, es wird stärker reguliert, wenn NIS-2 wir jetzt mehrfach schon angezeigt, aber es ist ja auch noch so, dass gleichzeitig die CR-Richtlinie in Kraft tritt, und umgesetzt wird in deutsches Recht, also alles, was die Regulierung der analogen Seite bedeutet. Da bemühen wir uns ja gerade hier im Bundesministerium des Inneren das Ändern, das gemeinsam voranzutreiben mit dem KRITIS Dachgesetz, sodass nachher die CR-Richtlinie implementiert wird, NIS2 implementiert wird und wir eine klare Maßgabe für die Unternehmen haben, wie sie sich sowohl in der physischen als auch in der digitalen Welt aufstellen sollen, sodass sie resilient sind und dass sie bestimmten Krisenlagen auch unbeschadet überstehen. Das ist ein Gesamtkonzept.

Klaus Mochalski
Wenn wir noch mal diesen Punkt aufgreifen, dass insbesondere bei kleineren Unternehmen, bei konjunkturellen Dellen die Investitionsbereitschaft in bestimmten Bereichen eben auch bei Cyber-Sicherheitsmaßnahmen zurückgeht. Wer hat denn hier eine Hausaufgabe? Sind es dann eher die Unternehmen, die eben ihr Risiko vernünftig bewerten müssen und dann das Budget, was sie haben, korrekt einsetzen? Oder ist es Aufgabe der Anbieter, der Systeme, Produkte, Dienstleistungen, die von solchen kleineren Unternehmen eingesetzt werden, dafür zu sorgen, dass ihre Angebote so sicher sind, dass man die unbedenklich einsetzen kann und eigentlich gar nicht mehr viel investieren muss? Also ist es ein Hersteller Thema oder ist es ein Nutzer, ein Betreiber Thema?

Andreas Könen
Also ich glaube, das muss man tatsächlich von beiden Seiten betrachten. NIS 2 zwei zum Beispiel, oder alle unserer Regulierungen gehen ja zunächst einmal wirklich auf die Unternehmen der Kritischen Infrastruktur oder die Unternehmen an sich. Das ist eine unternehmerische Verpflichtung, die geht eben mit der Geschäftsfähigkeit einher. Aber Sie haben völlig recht. Ich muss auch die andere Seite betrachten. Es nutzt also auch einem Hersteller gar nichts, wenn ich Produkte nicht in einer Form von vornherein präsentiere, dass die Produkte sicher sind, dass sie ausgereift sind, dass sie funktional und sicherheitlich tatsächlich genau den Ansprüchen genügen, die dann das Unternehmen, das den Endkunden darstellt, dafür sie auch reibungslos in die jeweilige IT-Umgebung einbetten kann. Und genau zu dem Zweck wird es eben auch den Cyber Resilienz Act der Europäischen Union geben, der genau die korrespondierenden Ansprüche an die Hersteller stellt, an die Produkte dort, die ein Regime einrichten wird die CAA, mit dem dann letztlich die Qualität von Produkten A gemessen wird nach Standards auch zertifiziert wird. Ist also die konsequente Fortsetzung des Cyber Security Acts von vor ein paar Jahren, wo das Ganze als Rahmenwerk auf freiwilliger Basis war. Jetzt werden die Hersteller in die Pflicht genommen, genau diese Informationen-Sicherheitseigenschaften ihrer Produkte klarzustellen.

Andreas Könen
Und da, wo es Sicherheitsprodukte dann nochmal im besonderen Maße geht, wird das auf höherem Anspruchsniveau laufen. Es wird, wie bei EU-Regulierung der letzten Jahre üblich, ein Niveau Basic geben, das mehr für den Consumer Markt. Es wird aber ein Niveau Substantial und High geben, in dem tatsächlich gerade Sicherheitsprodukte sich wiederfinden werden. Die werden höheren Ansprüchen unterliegen, die werden Zertifikate eben von Behörden wie dem BSI benötigen, dann überhaupt auf dem Markt weiterhin im Einsatz zu sein. Und damit, denke ich, ist auch ein unheimlicher Vorteil für die Unternehmen verbunden, die solche Produkte einsetzen.

Klaus Mochalski
Das wird auch die Kosten der Produkte nach oben treiben, aber nimmt auf der anderen Seite sicher den Nutzern dieser Produkte wieder die Abschätzung des Risikos ein Stück weit ab und man wird, wenn die Gesetzgebung die richtigen Bereiche trifft, dann sicher auch dafür sorgen, dass das Risiko in den kritischen Bereichen eben reduziert wird, ohne dass man sich als gerade kleines Unternehmen da groß Gedanken machen muss.

Andreas Könen
Ja, in der Tat. Das nimmt zuallererst mal den billigen Jakob vom Markt, den wir im Digitalen ja nun leider auch sehen.


Klaus Mochalski
Sprichwörtliche IP-Kamera, die dann als Botnetz Angriffe gegen Banken fährt. Das haben wir schon gesehen.

Andreas Könen
Die sich noch als Botnetz realisiert. Etwas, wo die Firmenwelt nie mehr upzudaten ist. All das haben wir gesehen. Das ist mal das erste, dass das vom Markt genommen wird. Das erhöht zunächst einmal scheinbar auch den Preis sofort, den mittleren, den ich im Markt sehe, wenn die Billigen runter sind. Aber da haben Sie natürlich recht. Aber dann wird ja beim Produkt schon ein Teil der Sicherheit investiert, was sonst normalerweise das Unternehmen auch noch selbst obendrauf investieren müsste, wenn das nicht schon im Produkt integriert ist. Also das heißt, das levelt sich schon in gewissem Maße raus. Und es geschieht eben wirklich auch mit einer Signalisierung, wo Vergleichbarkeit im Markt erreicht wird. Es ist ja für absolut viele Unternehmen sehr, sehr schwierig, Sicherheitsprodukte verschiedener Hersteller gegeneinander abzuwägen, deren Qualitäten zu sichten. Solch ein Zertifikat wird es in sehr deutlicher Weise klarmachen, welcher Hersteller welche Eigenschaften seines Produktes realisiert und auf welchem Gütelevel.

Klaus Mochalski
Das wird, glaube ich, sehr spannend. Wir müssen auf jeden Fall noch mal über NIS reden. Bevor wir dazu kommen, möchte ich aber noch mal auf eine Beobachtung, die wir nicht nur als Lösung, sondern auch als Dienstleistungsanbieter im Cybersecurity-Bereich insbesondere in Kritischer Infrastruktur tagtäglich machen. Wir führen bei all unseren Neukunden und auch bei Bestandskunden vor allem im Bereich Kritische Infrastruktur, da sind viele Energieversorger, viele Verteilnetzbetreiber. Dort führen wir regelmäßige Cybersecurity-Analysen und Assessments durch, wo wir einfach die Lage bewerten. Da gehören eben solche Dinge dazu. Welche Komponenten gibt es mit Schwachstellen in der Software, mit veralteter Software? Welche Kommunikation findet statt, die in kritischen Umgebungen nicht stattfinden sollte? Und da haben wir über die Jahre bei sehr vielen Kunden mittlerweile ein relativ klares Bild bekommen. Und das widerspricht so ein bisschen der Aufregung, die manchmal das Thema so in den Medien verbreitet wird. Natürlich schwappt das Thema immer dann hoch, wenn es einen spektakulären Angriff gab, z. B. auf eine Verwaltungsbehörde, auf ein Landratsamt und die dann vier Monate mit Aktenordnern arbeiten müssen. Die Fälle kennen wir alle, die hören wir regelmäßig. Wir müssen aber sagen, dass wir systematisch das bei unseren Kunden so nicht beobachten.
Wir finden tatsächlich viele Risiken, viele Schwachstellen. Wir finden immer wieder veraltete Software, die angreifbar ist, die auch sehr leicht angreifbar ist. Aber wir beobachten sehr, sehr selten tatsächlich stattfindende Kompromittierung, also tatsächlich stattfindende Angriffe. Und da stellen wir uns immer die Frage, und die Frage möchte ich auch gerne stellen, ist das, weil wir so gut sind als sozusagen Betreiber der Kritischen Infrastruktur oder haben wir bisher einfach Glück gehabt? Es wird immer viel über die geopolitische Lage gesprochen, dass jetzt bestimmte Staaten natürlich Interesse haben, die Kritische Infrastruktur eines anderen Landes angreifen zu können. Die Frage ist also, haben die jetzt einfach ihre Waffen in Stellung gebracht und wir sehen die in Auswirkungen noch nicht und die haben einfach den Knopf noch nicht gedrückt? Oder sind wir tatsächlich so gut?

Andreas Könen
Also das ist eine spannende Frage. Am liebsten möchte das damit beantworten. Wir sind so. Und das direkt für den Bund auch tun. Aber auf der anderen Seite lehrt einen die Realität da Vorsicht. Also ich würde mal behaupten, dass im Gros die deutsche Wirtschaft, aber auch die deutsche öffentliche Verwaltung gut aufgestellt ist, was die Abwehr von Angriffen aus dem kriminellen Bereich, aus dem cyberkriminellen Bereich angeht. Ich glaube, so eine riesige Menge dieser seltsamen Standardangriffe.

Klaus Mochalski
So die typischen Ransomware-Attacken.

Andreas Könen
Ja, Ransomware, da wird es schon problematischer. Nein, so Phishing und viele andere Dinge. Ich glaube, da steht man heute relativ gut da. Oder diese üblichen Angriffe, Botscan machen und bestimmte erst mal Erstansätze finden. Da sind wir, glaube ich, insgesamt recht gut aufgestellt, was nicht ausschließt, dass es eben tatsächlich einen gewissen Anteil von Unternehmen und Verwaltungen gibt, wo offenbar noch nichts angekommen ist in den Köpfen und wo tatsächlich auch sehr, sehr wenig passiert ist. Ich glaube, die sind dann diejenigen, die die Schlagzeilen machen. Zumindest für die Behördenlandschaft kann ich das bestätigen. Wenn ich auf bestimmte Kommunen und Kreise schaue, die da irgendwo Angriffen zum Opfer gefallen sind, dann ist das sehr publik. Das ist auch sehr hart und die waren auch wirklich schlecht aufgestellt. Ich kenne aber andere, zum Beispiel große Kommunalverbände, die richtig gut aufgestellt sind, wo man über jetzt 15 Jahre noch nie gehört hat, dass denen auch nur irgendwas Großartiges passiert wäre. Ich nenne mal einen, der Regionalverbund Aachen, ja, seit Jahren wirklich bestens aufgestellt, kommt halt aus der Köln Bonner Region, darum habe ich da mal näheren Blick drauf gehabt. Die machen das eben durchgehend professionell seit langen Jahren.

Klaus Mochalski
Ich wollte gerade sagen, was machen die richtig? Das wäre ja wichtig für unsere Hörer:innen.

Andreas Könen
Die sind immer drangeblieben, haben sich an den geltenden Standards orientiert, immer geschaut, wo entwickelt sich die Gefahrenlage hin. Haben einen zentralen kommunalen Dienstleister beauftragt, der denen auch nur eine Region selbst gehört, den die konsequent aufgestellt haben, wo auch Personal existiert, das seit langen Jahren sich auch dem Bereich verpflichtet fühlt und da arbeitet. Ich glaube, das ist ein Punkt, der wirkt unheimlich. So, das andere, was mich dann aber wieder, ja sagen wir mal vorsichtig werden lässt. Das ist die Beobachtung jetzt in der Ukraine, dass tatsächlich Angriffe stattfinden, die von langer Hand vorbereitet gewesen sein müssen, dass es sehr wohl, da kommt dann die staatliche Angreiferseite ins Spiel, in dem Fall ganz klar Russland, die auf Dinge zurückgreifen, die vorher ausgekundschaftet worden sind, wo vorher ganz klar auch versteckte Cyberangriffe stattgefunden haben, wo Schläfersoftware existiert, die sich irgendwo eingenistet hat, wo komplexe Analysen vorgenommen sind, Angriffe durchführen zu können via SAT-System als ganz konkretes Beispiel. Da sage ich: „Oh Achtung, da müssen wir uns darauf einstellen. Darauf muss eben auch eine deutsche Kritische Infrastruktur sich ausrichten, zu schauen: Habe ich nicht irgendwo tiefergehende Ansatzpunkte? Das muss sich mit dem BSI, dem BFV und auch dem BND beraten und auch BKA.

Andreas Könen
Was kann man gegen so etwas tun? Da muss man aber am Ende extreme Vorsicht walten lassen und sich auch auf den Fall der Fälle einrichten, dass man bei bestem Wissen und Gewissen auf solch ein Angriff mit solch hoher Güte sich nicht echt vorbereiten konnte, sondern auch eine Reaktion im Sinn haben muss. Ich muss wissen, was ich in dem Moment tue, wenn so etwas tatsächlich eintritt.

Klaus Mochalski
Das wollte ich gerade fragen. Da gibt's zwei Bereiche, wo man jetzt investieren könnte. Man könnte versuchen, die Detektionsfunktion in der Frühphase eines Angriffes, der noch nicht zum tatsächlichen Angriff kommt, das ist ja genau der Fall, den wir da beobachten oder der in der Ukraine so stattgefunden hat, dort unsere Fähigkeiten zu erhöhen. Und auf der anderen Seite könnte man wieder in Cyber-Resilienz investieren, um dann im Fall der Fälle schneller wieder anlauffähig zu sein. Was ist der richtige Weg?

Andreas Könen
Wir müssen beides tun, weil wir bei keinem der beiden Lösungen 100 Prozent erreichen werden. Wir werden bei beiden gegen solche nachrichtendienstlich versierten Angriffe vielleicht mit viel Mühe und viel Geld auf 95 Prozent kommen, einfach mal eine Zahl gegriffen. Ja, wie immer, die letzten 5 Prozent sind die teuersten und die komplexesten. Insofern muss man beides tun. Man muss gemeinsam auch mit dem BSI als Kritische Infrastruktur überlegen, wie kann ich die Detektion nach oben schrauben? Gibt es neue Methoden, aber auch der künstlichen Intelligenz, die viel mehr Daten verarbeiten kann und auch unter einem ganz anderen Gesichtspunkt bewertet? Sowas kommt langsam und das ins Feld bringen. Aber auf der anderen Seite muss ich mich auch darauf einstellen, zum Beispiel mal Banalitäten in der Resilienz ganz deutlich abzubilden. Und da frage ich mich, ob auch größere IT-Dienstleister zum Beispiel da alles beachten werden. In einem Fall jetzt, wo ein IT-Dienstleister, der auch den Bund versorgt, von heute auf morgen einem Angriff, in dem Fall allerdings aus dem kriminellen Sektor zum Opfer gefallen ist, und man sich fragen musste, haben die sich jemals auf eine Kommunikation, wie man sie dann führen muss, vorbereitet? Also die Außenkommunikation.

Andreas Könen
Wie stelle ich mich auf, wenn ich angegriffen bin? Wie kommuniziere ich mit der Presse? Wie kommuniziere ich mit meinen Kunden? Das schien nicht vorbereitet zu sein. Und vor allen Dingen, wie kann ich denn gewisse Grundfunktionen meiner eigenen Firmenkommunikation aufrechterhalten? Wie erreiche ich noch meinen IT-Chef? Wie erreicht der IT-Chef seine Mitarbeiter? Gibt es da irgendeinen Rückfallweg, sodass wir mindestens wissen, wir treffen uns unmittelbar etwa an der und der Stelle und versuchen mal in eine Analyse unserer IT einzutreten. Da hatte ich echt den Eindruck, das ist nicht da, obwohl wir es seit Jahren predigen. Also das ist Cyber-Resilienz Anforderung in ihren Grundzügen IT Krisenmanagement.

Klaus Mochalski
Also Service ist glaube ich ein gutes Stichwort. Wir sprechen tagtäglich über Fachkräftemangel, den wir in jedem Bereich, insbesondere in der IT und insbesondere in der Cybersecurity beobachten. All das wird natürlich nicht nur Investment kosten, sondern natürlich auch Fachkräfte, die heute schon knapp sind, die wenigsten Unternehmen, insbesondere wenn wir uns kleinere Unternehmen anschauen, werden es sich leisten können oder werden überhaupt die Möglichkeit haben, dort schlagkräftige Spezialisten Teams aufzubauen. Das lohnt auch häufig gar nicht, denn die müssen sich ja auf den Tag X auf den Eventualfall vorbereiten. Und wenn sie gute Arbeit machen, gibt's relativ wenig zu tun. Und da ist es eigentlich klar, dass das Ganze sich zu einem Servicegeschäft hin verlagern muss, dass insbesondere die kleineren Unternehmen, die müssen mit verlässlichen Partnern zusammenarbeiten können. Brauchen wir da auch eine Art Qualitätssiegel für diese Dienstleistung, damit solche Fälle wie der gerade beschriebene nicht mehr eintreten?

Andreas Könen
Ja, das ist definitiv notwendig. Und darum reden wir ja an vielen Stellen einer Supply Chain Security das Wort. Nun hat sich diese Supply Chain Security in den Köpfen eigentlich zunächst einmal nur für die üblichen Produkte etabliert, die man mit der Hand greifen kann. Also alles, was Hardware angeht, vielleicht noch Software. Dabei trifft das auf IT-Dienstleistungen ganz genauso zu. Auch da muss es eine Supply Chain Security geben, da muss es bestimmte Garantien geben. Für kleine Unternehmen ist da das einzige Heil, sich wirklich mit einem sehr, sehr guten IT-Dienstleister zu versehen, der diese Garantien auch schriftlich abgibt, der wirklich nicht nur ein Service Level Agreement für die Tage hat, wo es gut läuft und der Durchsatz hoch ist, sondern auch gerade sagt, wie ein IT Notfall Management dann am Ende aufgebaut sein kann. Gibt es einen neuen Standard, BSI hat mal diesen Notfallstandard 100-4 upgedatet, zum 200-4 ist gerade jetzt die Tage neu veröffentlicht worden in der finalen Fassung. Also das sind Dinge, da kann ein kleines Unternehmen auf der BSI-Website oder in der Allianz für Cybersicherheit sich orientieren und dann einfach mal dem IT Dienstleister ein paar Fragen stellen, implementierst du das denn entlang dieser oder vergleichbarer Leitlinien?
Ich glaube, das ist entscheidend. Allerdings, ich sage mal, auf EU Ebene ist das noch nicht angekommen. Wir haben den Cyber Resilienz Act eben erwähnt. Leider gibt es das genau für die Software und Dienstleistungsseite noch nicht in dem Maße, wie ich das gerade geschildert habe. Selbst da sehe ich noch eine Lücke bei der EU.

Klaus Mochalski
Absolut. Das hätten wir dann irgendwann die Situation, dass wir lauter zertifizierte, sichere Produkte miteinander vernetzen. Dann passiert was und trotzdem laufen alle.

Andreas Könen
Genau, weil die IT-Dienstleistung nicht den gleichen Regeln unterlegen hat. Also ehrlich gesagt, wir haben Fälle gehabt, da war es dann fürs BSI, was gerne unterstützen wollte, gerne auch, wenn es wirklich richtig kritisch wird mit dem Mobile Incidence Response Team, die konnten einfach niemanden erreichen, weil es wirklich keine Telefonnummer mehr war, über die man jemanden erreicht hat. Am Ende haben sie irgendwann den Geschäftsführer über sein Mobiltelefon an die Ströme gekriegt.

Klaus Mochalski
Es ist verrückt, dass es dann nach all dem Investment an solchen Banalitäten scheitert, häufig.

Andreas Könen
Ja, in der Tat.

Klaus Mochalski
Gut, dann, wir haben es schon einige Male angesprochen. Dann reden wir zum Schluss noch mal über die NIS-2-Direktive. Das ist jetzt ein relativ konkretes Gesetzesvorhaben. Es gibt da schon erste Entwürfe auch für die Umsetzung in den Mitgliedsstaaten inklusive in Deutschland. Wenn ich mich recht entsinne, muss das bis Oktober 2024 umgesetzt werden. Es gibt ja eine ganze Reihe Änderungen und Erweiterungen im Vergleich zur vorherigen Direktive, aber auch im Vergleich zum aktuell geltenden IT-Sicherheitsgesetz in Deutschland, was ja durchaus über die NIS-Direktive hinausgeht, da sind wir, glaube ich, in Deutschland ganz gut vorbereitet. Was sind denn aus Ihrer Sicht die wesentlichen Neuerungen, die hier auf Unternehmen zukommen?

Andreas Könen
Ja, also zunächst einmal ist die ganz entscheidende Änderung, dass jetzt in der NIS-2-Richtlinie nicht mehr nach Kritikalität entschieden wird, ob ein Unternehmen unter die Regulierung fällt oder nicht, sondern es sind jetzt wirklich die Schwellenkriterien nach Umsatz und Mitarbeiterzahl. So, das heißt also, die Europäische Union hat sich damit gelöst, von dem Ansatz, über Kritikalität zu regulieren. Das hat gewisse Nachteile, komme ich gleich noch mal darauf zurück. Es hat zunächst einmal den Vorteil, dass für die meisten Unternehmen die Entscheidung, bin ich jetzt betroffen und bin ich in dem Kreis der Regulierten deutlich einfacher werden dürfte. Wenn ich einfach auf den Umsatz schauen muss oder auf meine Mitarbeiterzahl, weiß ich relativ schnell.

Klaus Mochalski
Ja, es gibt immer noch die essenziellen und die wichtigen Sektoren.

Andreas Könen
ja, innerhalb dessen wird dann bei den Unternehmen noch mal nach Essential und Important differenziert. Im Deutschen ist das sprachlich nicht so irre gut differenziert, ist dann wichtig und besonders wichtig, ist leider sprachlich nicht so prägnant, wie man sich das wünschen würde. Was ist gemeint? Letztlich ist wieder exakt das gemeint, dass diejenigen Essential, also besonders wichtig sind, die eine Leistung für das Erbringen, die für das Gemeinwesen entscheidend ist.

Klaus Mochalski
Das wäre die Kritische Infrastruktur, so wie wir die bisher definieren.

Andreas Könen
Ja, aber ein bisschen erweitert, da sind wir gar nicht so unglücklich drüber, weil die Klimmzüge, die wir zum Beispiel machen mussten, die chemische Industrie oder die Verteidigungswirtschaft mit reinzunehmen, die sind in dem Moment völlig erledigt, die sind halt Essential, ja, aus der Gefahrenneigung, Chemie oder der Wichtigkeit für das Funktionieren einer vernünftigen Verteidigung, da ist das klar. Wir gehen mit dem deutschen Umsetzungsgesetz jetzt den Weg, und das ist das, was ich noch erwähnen wollte, dass wir tatsächlich schon dennoch bei dem Begriff KRITIS bleiben. Gerade durch die Umsetzung, die zeitgleich für die CR-richtlinie erfolgt, mit dem KRITIS Dachgesetz, mit dem wir endlich mal eine Grundlage auch im Analogen auf Bundesebene im gesetzlichen Raum schaffen, definieren wir damit endlich KRITIS allgemein verbindlich. Dieser Begriff KRITIS wird für den digitalen Bereich, für den NIS regulierten Bereich sehr, sehr nah an Essential dran sein. Es wird fast durchgehend so sein, dass diejenigen, die als KRITIS definiert sind, auch Essential sind. Damit ist die Entscheidung für die Unternehmen auch da.

Klaus Mochalski
Und auch umgekehrt, denn ich fand jetzt zum Beispiel interessant, dass zum Beispiel IT Service Unternehmen unter „Essential" fallen. Wird das in Deutschland auch so sein?

Andreas Könen
Das wird so sein, in der Tat. Und da ist dann auch genau ein Unterschied, weil das IT Service Unternehmen zum Beispiel im analogen Bereich ja gar keine kritische Aufstellung hat. Das ist trivial. Es nicht so sein, dass das IT Service Unternehmen dann unter diese andere KRITIS-Seite der analogen Welt fällt. Das ist einigermaßen klar, weil die analogen Funktionen, die da zuschlagen, das sind wieder Energieversorgung letztlich und vielleicht Wasserversorgung und ähnliches und Abfallwirtschaft, die dann sekundär einwirken. So, das heißt aber, für uns ist wichtig, wir haben erstens eine große Zahl von Unternehmen, die jetzt in den regulierten Bereich rücken, 29.000 statt grob 2500/4.000, wenn ITSiG 2.0 nun komplett umgesetzt worden wäre.

Klaus Mochalski
Und das sind die Unternehmen, die über der Umsatzschwelle und über der Mitarbeiterschwelle liegen.

Andreas Könen
Ja, genau. So, 29.000, davon grob 5.000 in dem Essential Bereich. Das heißt also, das sind deutlich mehr. Das ist erst mal wichtig, weil wir damit die Informationssicherheit in Deutschland absehbar, wenn alle die, die entsprechenden Vorschriften umsetzen, müssen schon steigern, dass wir als Bund eine viel breitere Rückmeldungsbasis in den Meldepflichten bekommen. Wir sehen viel mehr, die Deutschland, die Cybersicherheitslage Deutschland wird auf einer breiteren Grundlage erzeugt werden können. Sehr gut. Und jetzt kommt das Problem für uns. Wir werden damit umgehen müssen. Ein BSI wird 29.000 Unternehmen registrieren müssen. Wir haben bisher eine sehr gute Kooperation und auch relativ direkte Ansprache mit vielen Unternehmen gepflegt. Das wird in solch einer Breite nicht mehr möglich sein. Wir sagen, umso wichtiger wird es, dass gemeinsam mit dem, was über das KRITIS-DACH-Gesetz kommt, der sogenannte Umsetzungsplan KRITIS, also die freiwillige Kooperation mit der KRITIS Wirtschaft, dass die weitergeht, dass wir da nach wie vor eben diese Strukturen pflegen, dass der UB-KRITIS-Rat, der ja hier im BMI immer wieder tagt, seine Arbeit versieht und dass wir die verschiedenen Foren haben, wo wir uns weiter auf freiwilliger Basis miteinander unterhalten, zu sehen, ob diese Regulierung funktioniert, wie sie funktioniert und wo sie klemmt.

Andreas Könen
Also das brauchen wir weiterhin. Das ist wichtig. Da bin ich nicht glücklich mit dem, was die NIS 2 auf europäischer Ebene gebracht hat, weil sie solche Strukturen im ersten Ansatz erst mal überfordert, ja, mit der Breite.

Klaus Mochalski
Das sind wir, da glaube ich, in Deutschland im Vergleich zu anderen europäischen Ländern mit dem BSI und auch der personellen Ausstattung schon ziemlich gut aufgestellt.
Andreas Könen
Ja, wir sind einerseits schon wirklich im Vergleich gut aufgestellt, aber selbst ein BSI wird mit der Zahl der Mitarbeiter, die jetzt da sind, die bisher eben wie gesagt maximal 4.000 regulierte Betreuung hätten, die wären mit 29.000 umgehen. Das können sie nur über Digitalisierung schaffen.

Klaus Mochalski
Ich wollte gerade sagen, also einfach nur das BSI vergrößern, Personal einstellen. Das wird nicht die Antwort sein können.

Andreas Könen
Nein, nein, bekommen wir auch nicht. Sie haben Haushaltsdebatte miterlebt in den letzten Wochen. Das wird es nicht geben. Also müssen wir selbst digitalisieren. Wir müssen Wege finden, so digital diese Unternehmen anzusprechen, dass das BSI in Kontakt kommt, dass die Unternehmen wissen, wie sie in Kontakt gehen und vor allen Dingen, dass wir für Meldungen eben, ich sage immer, den Einwurfschlitz haben, wo der eben deutlich sichtbar ist, hier gehören Meldungen hin und hier kommunizieren wir.

Klaus Mochalski
Und ich glaube, der bidirektionale Aspekt ist ganz wichtig, auch für die Akzeptanz, dass auch viel an wertvoller Information zurückfließt und man dann als jemand, der Meldung abgibt, auch nicht nur von der spezifischen Information oder der Antwort auf die Meldung profitiert, sondern von dem Gesamtbild, was dann auch zurück ist. Das heißt, man könnte sagen, dass das BSI zu so einer Art nationalen SOC, Security Operations Center, werden müsste?

Andreas Könen
Ja, mindestens muss es zu dem werden, was wir auf den Weg gebracht haben. Das ist das sogenannte BISP, das ist die BSI Information Sharing Platform. Wir haben also dieses Projekt laufen und das wird auch nicht unter die Finanzrestriktionen fallen, die jetzt leider zu vergegenwärtigen sind, sondern das BSI wird dieses Projekt durchführen und das ist als Austausch und Informationsplattform exakt das, was Sie ansprechen. Wir müssen nicht jede Nachricht, die wir erhalten, an alle verteilen. Das geht auch gar nicht. Da ist ein Vertrauensschutz zu gewährleisten. Aber das BSI muss über diese Plattform in der Lage sein, zielgenau den Branchen, die über ein bestimmtes Sicherheitsereignis spezifisch Bescheid wissen müssen, das auch zu liefern, mal abgesehen von der generellen Sicherheitslage. Das ist entscheidend.

Klaus Mochalski
Ein Aspekt, der sicher für viele auch kleinere Unternehmen interessant sein wird, ist die Strafbewehrung. Es wurden die Strafen wieder mal erhöht. Wie verbindlich werden denn die Termine sein? In der Vergangenheit haben wir oft beobachtet, dass Dinge ausgesessen wurden, dass abgewartet wurde und dass natürlich auch jetzt mit einer Verfolgung von Übertritten noch zurückhaltend agiert wurde. Wie werden da die Zügel angezogen werden im Rahmen der Implementierung der NIS-2-Direktive?

Andreas Könen
Also tatsächlich ist es so, dass von den Beträgen ja allein schon die Zügel angezogen werden. Also klar, die Umsatzanteile, die da zur Rede stehen. Das zweite ist, im sonstigen Vorgehen bin ich gar kein Freund dessen, da die Zügel anzuziehen. Wie macht das BSI das heute, selbst bei dem niedrigen Summen? Sagen wir, es wird offenbar, dass schon ganz einfach dadurch ein Verstoß existiert, dass keine Meldung stattgefunden hat vonseiten des Unternehmens, dass es etwa auch nach der heutigen IT Sicherheitsgesetz 2.0 Regelung und der KRITIS Verordnung als reguliert zu betrachten ist. Das BSI geht einmal stichprobenartig vor, dass es bei solchen Unternehmen anfragt, warum das nicht der Erfolg ist, oder, wenn ein klarer Hinweis vorliegt, auch dezidiert vorgeht, nicht über ein Zufallsprinzip, sondern Nachfragen. Und da hat es sich also wirklich gute Übungen herausgestellt, nicht direkt mit der Bußgeldkeule zu drohen, sondern einfach hinzugehen, zu sagen: „Achtung, wir haben euch identifiziert. Bitte gebt uns eine Begründung, warum ihr nicht als Kritische Infrastruktur zu sehen seid, im Sinne ITSiG 2.0 oder gebt die Registrierung ab und dafür gibt es eine Nachfrist. Und wir haben die Erfahrung gemacht, also wirklich der aller aller große Teil reagiert dann wirklich sehr erschrocken und kommt extrem schnell mit der Meldung wieder rüber.

Andreas Könen
Und dann hat das BSI immer gesagt, Bußgeld, komm, vergiss es. Und das ist auch gut so. Also das bildet wieder Vertrauen. Aber wir werden auch, denke ich mal, da, wo es dann ein bisschen straffer zugeht und die Lage ein bisschen renitenter ist, war mal in der Vergangenheit ein Fall, der hier mit Berlin zu tun hatte. Ich glaube, so was, da würden wir nicht zurückschrecken, auch ein Unternehmen in Landes oder kommunale oder Bundeseigentümerschaft auch noch zu holen. Also da zählt dann keine Gnade. Und da werden wir auch dann schon mal exemplarisch durchgreifen.

Klaus Mochalski
Sehr schön. Aber insgesamt zeigt das ja auch, dass Kooperation da im Zweifel immer besser funktioniert. Und wer einmal auf diese Art und Weise angesprochen wird, der wird dann vermutlich auch versuchen, das das zweite Mal zu vermeiden. Und das ist ja dann auch ein Lerneffekt, der vermutlich auch bleibt in den Unternehmen.

Andreas Könen
Und das ist ja ganz positiv.

Klaus Mochalski
Vielleicht noch abschließend jetzt die vielen Unternehmen, die jetzt in diese Regulierung reinrutschen. Was würden Sie denen mit auf den Weg geben, das Bewusstsein zu schaffen, dass das eben bei weitem nicht nur eine Bürde ist oder keine Bürde, sondern etwas ist, was eigentlich auch für das eigene Geschäft essenziell ist?

Andreas Könen
Ja, also denen würde ich natürlich zunächst einmal empfehlen, in die Cyber-Sicherheitslage einmal hineinzuschauen. Einfach mal beim BSI oder beim Bundeskriminalamt auch direkt nachzufragen und sich anzuschauen, was allein mit Ransomware-Vorfällen passiert, hatten wir jetzt nicht mehr ausführlich drüber geredet, aber das ist ja wirklich eine kriminelle Seuche. Das muss man sagen. Und wer sich das klarmacht, der sieht, egal aus welchem Geschäftszweck mein Unternehmen dient, davon bin ich unmittelbar bedroht. Immer so. Das heißt also, die erste Sache ist, sich einmal vergegenwärtigen, warum bin ich jetzt in diese Regulierung hineingefallen? Was bedeutet das? Was droht mir? Was muss ich jetzt als erste Schritte tun? Sicher eine juristische Anfangsberatung immer gut, die kann man auch bei den Verbänden erhalten und dann einfach mal zu wissen, wie muss ich mich denn jetzt gegenüber der staatlichen Seite dabei raus sperren? Dass das erstmal klar ist, dass das erst mal klar ist. Das BSI wird da das eine tun und es sichtbar nach außen tragen, wie dieser Prozess abzulaufen hat. Und da würde ich sagen, nicht die Nervosität verfallen. Der zweite Schritt ist dann der Inhaltliche. Dann muss ich mir wirklich überlegen, gibt es Standards, die auf mich zutreffen? Gibt es schon etwas, was mir etwa ein Verband bieten kann?

Andreas Könen
Gibt es irgendetwas, was mir mein IT-Dienstleister bieten kann? Auf den sollte man zügig zugehen. Wenn man eben nicht der eigene IT-Dienstleister ist, dann hat man eine bestimmte, also eine eigene IT hat der Größenordnung, da ist man recht gut selbstversorgt, da weiß man eigentlich auch, was man tut. Aber gerade die, die einen Externen haben. Die sollten den externen Dienstleister konfrontieren mit dem, was kommt, und den Druck ausüben, zu sagen, was muss ich denn jetzt im Einzelnen tun? Ja, und dann am Ende steht wirklich die Betrachtung, wie verhalte ich mich in einer Krise? Wie komme ich in ein vernünftiges IT-Krisen-Notfall-Management rein? Also die drei Schritte sind es insgesamt. Erstens klarmachen, was heißt NIS-2 für mich und Kontakt zum BSI aufnehmen. Zweiter Schritt, meine eigene IT-Infrastruktur in meinem IT-Dienstleister einmal durchdringen und drittens am Ende mich selbst nochmal aufstellen, wie ich im Fall eines Falles reagiere. Ich glaube, dann haben wir alles abgedeckt.

Klaus Mochalski
Das ist, glaube ich, ein sehr schönes Schlusswort. Vielen Dank dafür. Ich denke auch, ich versuche auch immer, wenn ich mit Leuten rede, mit Kunden rede, denen klarzumachen, die Probleme, die wir lösen, die sind keinesfalls neu, die existieren schon lange. Es gibt viele bekannte Maßnahmen, wie man damit umgeht. Es gibt viele Standards international, national. Das heißt, man braucht ja nichts Neues erfinden, sondern man muss sich, wie Sie sagen, nur an den entsprechenden Stellen informieren. Und auch die Umsetzung ist eigentlich wohl geübt und verstanden. Das heißt, man kann das auch mit überschaubarem Aufwand implementieren. Und insgesamt sollten sich für diese neu betroffenen Unternehmen die Aufwände, die es dort inkrementelle geben wird, in Grenzen halten. Insofern kann ich das nur unterschreiben, was Sie sagen.

Andreas Könen
Ja, genau. Es ist alles schon mal da gewesen. Ganz genau.

Klaus Mochalski
Okay, vielen Dank, Herr Könen, für das Gespräch. Ich danke auch. Es hat mir großen Spaß gemacht.

Andreas Könen
Ja, danke schön. Wiedersehen. Herzlichen Dank.