Mit <kes>+ lesen

Vertrauenskonflikte : Was bedeutet NIS-2 für das Spannungsverhältnis zwischen Geschäftsführung und IT-Security in Unternehmen?

Seit Entstehung der IT-Security sind Reibungen zwischen IT-Sicherheitsabteilung und Geschäftsführung im Unternehmensalltag keine Seltenheit. Die nationale Umsetzung von NIS-2 [1] hat das Potenzial, solche Konflikte zu verstärken – gerade weil Cybersicherheit (nun wirklich?!) zur Chefsache wird. Damit IT-Security und Chefetage in Zukunft gemeinsam an einem Strang ziehen können, brauche es ein vollumfängliches Verständnis von NIS-2, mahnt unser Autor und benennt auch Chancen der neuen Gesetzeslage.

Richard WernerComplianceNIS-2
Lesezeit 5 Min.

Das 2022er-Update zur Netzwerk- und Informationssicherheits-Richtlinie der EU, NIS-2 [2], betont die Wichtigkeit der Betrachtung von Cyberrisiken. Da sie dies durch empfindliche Strafen unterstreicht, wird erwartet und aus politischer Sicht auch gewünscht, dass sich Geschäftsleitungen deutlich stärker in die Debatte einbringen, als sie das bisher tun. Das alles hat gute Gründe: Da es in Folge eines Cyberangriffs häufig zu Betriebsunterbrechungen kommt, stehen Cyberrisiken ohnehin ganz oben auf der Agenda. Diese zu reduzieren, liegt im wirtschaftlichen Interesse jedes Unternehmens – im Hinblick auf kritische Infrastrukturen steht zudem das Wohl der Gesellschaft auf dem Spiel.

Die EU fordert deshalb im Rahmen von NIS-2 allgemein akzeptierte Best Practices für Sicherheitsmaßnahmen ein. Dazu gehören etwa ein Notfallplan sowie Bedrohungserkennungssysteme. Für diejenigen, die solche Maßnahmen und Strategien bereits etabliert haben, gibt es dementsprechend kaum Veränderungen. Neu ist lediglich, dass die NIS-2-Direktive das Risikomanagement in den Fokus rückt und Geschäftsführer an ihre Verantwortlichkeiten erinnert. Das wiederum erhöht das Spannungsverhältnis zwischen Fachbereich und Unternehmensleitung, was oft zu Konflikten führen wird. Darauf sollte man sich vorbereiten, denn Reibungen zwischen IT-Security und Geschäftsführung können die Sicherheit und damit auch die wirtschaftliche Zukunft eines ganzen Unternehmens gefährden.

Neues Gesetz, alte Herausforderung?

Dadurch, dass die Geschäftsführung sich stärker in der IT-Security-Debatte engagieren muss, rückt auch der interne Konflikt zwischen Unternehmensleitung und IT-Security in den Vordergrund. Dieser entsteht vor allem dadurch, dass die Geschäftsführung in der Regel den gesamten Unternehmensablauf vor Augen hat und ihn (aus verständlichen Gründen) so reibungslos wie möglich gestalten will. Die Mitarbeiter in der IT-Security sind hingegen als Fachkräfte vollumfänglich mit Bedrohungsprävention und -reaktion beschäftigt und bündeln dementsprechend hier die meisten ihrer Ressourcen. Aus ihrer Sicht ist das Präferieren von reibungslosen Prozessen gegenüber wirkungsvollen Sicherheitsmaßnahmen durch die „Chefetage“ oft eine zweifelhafte Entscheidung. Solche Meinungsverschiedenheiten können schnell zu einem Vertrauensverlust führen – doch damit Cyberabwehr und somit die Sicherung des ganzen Unternehmens gelingen, braucht es eine nahtlose Zusammenarbeit zwischen IT-Security und Geschäftsführung auf Vertrauensbasis!

Die gute Nachricht ist, dass deutsche Unternehmen diesbezüglich schon einige Fortschritte gemacht haben. Laut einer Studie von Trend Micro sprechen bereits mehr als die Hälfte aller befragten deutschen IT-Teams (51 %) mindestens einmal wöchentlich mit der Geschäftsleitung über gerade zirkulierende Cyberrisiken. Weiterhin lässt sich eine positive Entwicklung über die letzten Jahre erkennen: Bei der letzten Befragung von Trend Micro bei Unternehmen mit mindestens 250 Beschäftigten vor zwei Jahren bestätigten lediglich 42 % der deutschen Teilnehmer, dass Begriffe wie „Cyberrisiko“ und „Cyberrisiko-Management“ in ihrem Unternehmen allgemein bekannt sind. Jetzt aber werden mit NIS-2 Cybersicherheit und Risikomanagement zum ersten Mal direkt zur Chefsache erklärt. Aus all dem lässt sich ableiten, wie rasant diese Themen in den Chefetagen der deutschen Unternehmen und beim Gesetzgeber Bedeutung gewonnen haben.

Dabei stehen IT-Verantwortliche mit der neuen Gesetzeslage nun mehr denn je vor der Herausforderung, dem Management verständlich darzulegen, wo ein Risiko für das Unternehmen liegt, wie gefährlich dieses ist und wie es sich am besten bewältigen lässt. Das ist keine triviale Herausforderung: Zu diesem Zweck braucht es eine nahtlose Kommunikation und Unterstützung durch moderne Technik. Wegen des allgegenwärtigen Fachkräftemangels kommt hier – gerade für mittelständische Unternehmen – nicht selten auch die Beauftragung eines Managed-Service-Providers infrage.

Power-Duo: ASRM und XDR

Im ersten Schritt sollten, soweit noch nicht vorhanden, IT-Security und Geschäftsführung gemeinsam eine intelligente Backup-Strategie erarbeiten. Diese kann schließlich die letzte Rettung für Unternehmen sein, falls alle Stricke reißen und es einem Angreifer tatsächlich gelingt, die Verteidigungsmaßnahmen zu überwinden. In NIS-2 vorgeschrieben sind Systeme zur Angriffserkennung und ein Notfall-Plan, der als Basis für alle Sicherheitsreaktionen dient. Für die konkrete technische Umsetzung der Risikomanagement-Konzepte bietet sich eine Kombination aus Attack-Surface-Risk-Management (ASRM) und Extended Detection and Response (XDR) an.

ASRM ermittelt – idealerweise automatisiert und KI-gestützt – den Risiko-Score des Unternehmensnetzwerks, wobei es die Angreifer-Perspektive einnimmt (vgl. [3]): Es sammelt dazu interne Daten aus angeschlossenen Sensoren und korreliert sie mit Security-Informationen aus externen Quellen, darunter Veröffentlichungen von Regierungsbehörden, Polizeiorganisationen, Security-Unternehmen und Analysten. In einem Dashboard können die Verantwortlichen jederzeit den Überblick behalten. Sobald ein bestimmter Schwellenwert überschritten wird, sollte eine solche Lösung Alarm schlagen und Details anzeigen – etwa, welche Systeme betroffen sind. ASRM liefert Handlungsempfehlungen für Gegenmaßnahmen und ermöglicht es, Risiken auf Wunsch auch automatisiert zu adressieren.

Um das Schadensausmaß im Ernstfall zu mindern, Unternehmen in der Lage sein, Vorfälle schnell zu erkennen und zu stoppen. Am besten gelingt das mit XDR: Die Technologie schafft Transparenz in der gesamten IT-Umgebung, sammelt Bedrohungsinformationen aller angeschlossenen Systeme und korreliert sie zu verwertbaren Warnungen, was die Zahl der False Positives minimiert. So sehen Verantwortliche auf einen Blick, was passiert ist, welche Systeme betroffen sind und wo Handlungsbedarf besteht.

ASRM und XDR sollten sich in eine einzige Cybersecurity-Plattform integrieren, zentral überwachen und steuern lassen – beide können so auf dieselben Sensoren zugreifen und miteinander kommunizieren: Wenn das ASRM ein Risiko erkennt, kann das XDR dieses genauer untersuchen. Umgekehrt lässt sich dann der Risiko-Status im ASRM sofort anpassen, wenn das XDR Anzeichen für einen Cyberangriff aufdeckt. Eine solche Kombination ermöglicht es, sowohl die Eintrittswahrscheinlichkeit als auch das Schadensausmaß eines Cyberangriffs zu mindern.

Vertrauensvolle Kooperation – intern wie extern

Die beste und modernste Sicherheitstechnik hilft jedoch nicht viel, falls die Zusammenarbeit im Team nicht klappt oder die ständige Wartung und Überprüfung der Sicherheitsarchitektur aufgrund fehlender Fachkräfte entfällt. Um eine effiziente Kommunikation zwischen allen Beteiligten zu garantieren und die Technik stets auf dem neuesten Stand zu halten, empfiehlt sich deshalb bei entsprechenden Engpässen die Entlastung eigener Ressourcen durch die Partnerschaft mit einem Managed-Service-Provider.

Damit Notfallpläne und -werkzeuge im Falle eines Falles korrekt funktionieren, ist zudem die Durchführung eines „Red Teaming“ ratsam: Dabei werden Reaktionsmaßnahmen unter Realbedingungen geprüft, um sicherzustellen, dass die verantwortlichen Mitarbeiter im Ernstfall richtig reagieren.

Auf diese Weise lassen sich die technischen Anforderungen von NIS-2 gut umsetzen, und zeitgleich wird eine wirkungsvolle Kooperation zwischen den verschiedenen Abteilungen, der IT-Security und der Geschäftsführung sichergestellt. NIS-2 bietet deshalb gerade für deutsche Unternehmen eine gute Chance, die vertrauensvolle Zusammenarbeit zwischen den „Offizieren“ aus der Sicherheitsabteilung und ihrem „Kapitän“ aus der Chefetage neu zu verhandeln und robuster auszugestalten als je zuvor.

Richard Werner ist Business Consultant bei Trend Micro.

 Literatur

[1] Dr. Dennis-Kenji Kipker, „NIS2UmsuCG, Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz kommt – ein Überblick über den Status quo,“ *<kes>* 2023#4, S. 70

[2] Dario Scholz, Dr. Dennis-Kenji Kipker, „EU-Cybersecurity Version 2.0, Bringt NIS-2 das lang ersehnte Update für wesentliche und wichtige Einrichtungen? Eine Analyse,“ *<kes>* 2023#1, S. 19

[3] Marko Klaus, „Mehr als oberflächlich, Vorgehensweisen zu Attack-Surface-Analysis und -Management (ASA/ASM),“ *<kes>* 2023#1, S. 48

Diesen Beitrag teilen: