Mit <kes>+ lesen

Langer Tunnel, wenig Licht? : Zur nationalen Umsetzung der NIS-2-Richtlinie in Bundesbehörden

Die NIS-2-Richtlinie der EU ist ein bedeutender Schritt hin zu einer resilienteren Gesellschaft. Gerade die Informationssicherheit der Einrichtungen des Bundes sollte dabei eine hohe Priorität genießen. Doch wie steht es um diese wichtige Infrastruktur in der Praxis? Wie lassen sich kritische Probleme der Informationssicherheit identifizieren und durch einen „Quick Start“-Ansatz möglichst schnell beheben?

Lesezeit 19 Min.

Von Andreas Barke, Berlin, und Marius Wiersch, Bonn

Zentralregierungen und Verwaltungseinrichtungen der EU-Mitgliedstaaten werden von der NIS-2-Richtlinie (Network- and Information-Security Directive, im Folgenden NIS-2-RL [1,2,3]) als eine Kategorie wesentlicher Einrichtungen definiert. Damit sind sie von dieser EU-Richtlinie unmittelbar betroffen (NIS-2-RL Art. 2, Abs. 2f ).

Das deutsche Umsetzungsgesetz zur NIS-2-RL (NIS2UmsuCG, [4,5]) wird im noch laufenden politischrechtlichen Umsetzungsprozess jedoch voraussichtlich nicht bis zum Stichtag am 18. Oktober 2024 in Kraft treten, wie es die EU-Richtlinie fordert. Dass etwas zur Umsetzung des NIS2UmsuCG getan werden muss – und zwar möglichst schnell – steht damit außer Frage. Mit einem avisierten Termin im Frühjahr 2025 steht Deutschland im EU-Vergleich allerdings gut da [6].

Angesichts der Herausforderungen, mit denen sich Einrichtungen des Bundes konfrontiert sehen, stellt sich die Frage, wie man die Anforderungen des NIS2UmsuCG (§§ 43–50 NIS2UmsuCG) mit einem möglichst integrativen Sicherheitskonzept effizient und effektiv umsetzen kann.

Bestehende Defizite

Kennern der Behördenlandschaft ist bereits seit Langem bewusst, dass zahlreiche Bundesbehörden mit den folgenden Herausforderungen konfrontiert sind:

  • Die hohe Komplexität technischer Anforderungen bringt Organisationsstrukturen der IT-Fachbereiche an ihre Grenzen – sowohl in Bezug auf die Kapazität als auch auf das Know-how zu Strategien für die Informationssicherheit.
  • Nicht ausreichend vorhandenes, qualifiziertes Fachpersonal im IT-Betrieb sieht sich mit wachsenden Anforderungen konfrontiert, für die keine adäquaten Planstellen vorgesehen sind und keine Fortbildungen genehmigt werden [7].
  • Mangelndes Personal wird oft durch externe Dienstleister kompensiert. Dies führt jedoch zumeist in eine Überforderung der behördlichen Auftraggeber, sodass die Dienstleister nicht mehr gezielt gesteuert werden können und die Qualität der erbrachten Arbeitsergebnisse nicht hinreichend kontrolliert werden kann.
  • Komplexe Auslagerungsstrukturen mit verschiedenen Dienstleistern gehen oft mit einem unzureichenden Überblick über die genutzte IT-Infrastruktur und unklaren Verantwortlichkeiten hinsichtlich Geschäftsprozessen und Fachverfahren einher.
  • Es besteht ein hoher Ressourcenbedarf in der Implementierung eines Informationssicherheitsmanagements (ISM) sowie für begleitende Maßnahmen zu Schulung und Sensibilisierung, Überprüfung et cetera.
  • Gegenüber Veränderungen durch Sicherheitsprozesse und neue Sicherheitstechnik bestehen organisatorische Widerstände, da diese Veränderungen häufig nicht als Sicherheitsgewinn, sondern als Einschränkung der täglichen Arbeit aufgefasst werden.
  • Die IT-Infrastrukturen sind teils veraltet und organisch gewachsen: Sie werden häufig an aktualisierte regulatorische Anforderungen „anmontiert“, statt sie möglichst von Grund auf neu und sicher zu konzipieren (Security by Design).
  • Bürokratische Hürden und unterschiedliche Sicherheitsstrukturen erschweren die von der NIS-2-RL geforderte enge Koordination zwischen verschiedenen Behörden und Institutionen.

Belege für einen zwingenden und auch dringlichen Handlungsbedarf hinsichtlich der Verbesserung der Informationssicherheit hat der Bundesrechnungshof (BRH) 2023 geliefert: Dieser sieht die Informationssicherheit der zentralisierten IT des Bundes als gefährdet an, da diese ein „attraktives Ziel für Cyberangriffe“ darstelle [8]. Ein Sicherheitsvorfall in einer Behörde oder bei einem externen Dienstleister könne eine umfassende Gefährdung für die Erfüllung von zentralen Aufgaben des Staates nach sich ziehen.

Konkrete Schadenswirkungen haben sich im Zuge der erfolgreichen Angriffe auf den Deutschen Bundestag in den Jahren 2016 bis 2021 gezeigt: Diese wurden unter anderem der Gruppe „Fancy Bear“ beziehungsweise „APT28“ nachgesagt, die in den Diensten von russischen Geheimdiensten stehen soll (vgl. https://attack.mitre.org/groups/G0007/). Gesichert ist, dass es hierbei zur Exfiltration von hochvertraulichen Dokumenten gekommen ist – eine eindeutige Attribution kann jedoch nicht mit Sicherheit erfolgen. 2023 kam es dann zu einer Attacke auf drei IT-Dienstleister, die für die hiesigen Bundesbehörden arbeiten – diesen Angriff haben bislang unbekannte Angreifer ausgeführt. In der Folge wurde eine Vielzahl von E-Mail-Daten mit vertraulichen Informationen abgezogen.

Darüber hinaus hat die „Länder- und Ressortübergreifende Krisenmanagementübung“ (LÜKEX 23) teils erheblichen Nachbesserungsbedarf in der Erhebung und Priorisierung von kritischen Geschäftsprozessen, Business-Continuity-Management (BCM) gemäß BSI-Standard 200-4 und in Business-Impact-Analysen (BIA) zu Auswirkungen von Systemausfällen und Zusammenhängen zwischen IT-Systemen und Anwendungen festgestellt [9]. Kernziel von LÜKEX ist es, in verschiedenen Szenarien wesentliche Staats- und Regierungsfunktionen aufrechtzuerhalten. Mit dem Szenario eines „Cyber-Angriffs auf das Regierungshandeln“ wurde ein Ausfall von speicherprogrammierbaren Steuerungen (SPS) in behördeneigenen Server Standorten simuliert: Neben Störungen in den IT-Infrastrukturen ergaben sich starke Einschränkungen kritischer Geschäftsprozesse in der Ministerialverwaltung und bei nachgeordneten Behörden.

Konsequenterweise stellt dann auch die Begründung zum NIS2UmsuCG fest, dass in vielen Bundeseinrichtungen ein Defizit bei der Umsetzung von Maßnahmen zum Eigenschutz in der Informationssicherheit besteht. Unterfüttert wird diese Einschätzung damit, dass die bisherigen Steuerungsinstrumente – vor allem der Umsetzungsplan Bund 2017 (UP Bund) als Leitlinie für Informationssicherheit in der Bundesverwaltung – „sich als nicht ausreichend effektiv erwiesen“ haben, um eine „flächendeckende wirksame Steigerung des Sicherheitsniveaus zu erreichen.“ (siehe S. 98 und S. 151 in [4]).

Anforderungen

Die Anforderungen des NIS2UmsuCG umfassen grob gesprochen alle Disziplinen und Themen einer Sicherheitsorganisation gemäß dem „Stand der Technik“ [10]: Informationssicherheit, Business-Continuity, Krisenmanagement, technische Sicherheitsmaßnahmen, Sicherheitsvorfallmanagement, Dienstleistermanagement sowie die Überprüfung der eigenen Sicherheit sowohl in organisatorischen als auch technischen Aspekten (z. B. durch Penetrationstests).

Die Einführung und kontinuierliche Verbesserung eines ISM beziehungsweise eines Informationssicherheits- Managementsystems (ISMS) stellen dabei sicher, dass auf Grundlage der Anforderungen getroffene Maßnahmen systematisch geplant, implementiert, überwacht und verbessert werden.

Eine konsequente Umsetzung des IT-Grundschutzes in der Standard-Absicherung kann einen großen Teil der Anforderungen des NIS2UmsuCG abdecken – im Idealfall im gesamten Informationsverbund. Darüber hinaus lässt sich dies zusätzlich durch eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz vom BSI bestätigen (zu § 44 Abs. 3 in Teil 1 der „Allgemeinen Vorschriften“ NIS2UmsuCG sowie Art. 21.2 NIS-2-RL). Eine solche Zertifizierung wird allerdings nicht als eigenständige native ISO-27001-Zertifizierung vonseiten der Deutschen Akkreditierungsstelle (DAkkS) anerkannt.

Mit Blick auf die gelebte Praxis ist kritisch anzumerken, dass die betreffenden Geltungsbereiche der ISO-27001-Zertifizierungen auf Basis von IT Grundschutz jedoch meist stark – etwa auf einzelne Services wie Videokonferenzsysteme – beschränkt sind (gemäß [14]). Als Fallbeispiel kann hier das Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung genannt werden: Im vorliegenden Fall sind die entsprechenden Komponenten der Sprach- und Videokommunikation zwar als Bestandteil des behördlichen Informationsverbunds zertifiziert. Dies sagt allerdings wenig bis nichts über die Wirksamkeit des ISM beziehungsweise des ISMS im übergeordneten Informationsverbund der Einrichtung aus.

Betroffene Einrichtungen

Während im privaten Sektor teilweise schon Projekte zur Umsetzung des NIS2UmsuCG angestoßen wurden, haben einige Bundesländer die Umsetzung immerhin bereits rechtlich verankert und mit Erhebungen in ihren Einrichtungen bezüglich ihrer Betroffenheit sowie des bestehenden Reifegrads begonnen [11].

Bei den annähernd 1000 Behörden und Institutionen des Bundes ist die Lage jedoch schwieriger: Im Zuge der Überführung in nationales Recht ist eine Verschärfung der Anforderungen rechtlich stets möglich, eine Aufweichung würde jedoch gegen EU-Recht verstoßen. So sieht der aktuelle Gesetzesentwurf der Bundesregierung in Übereinstimmung mit der NIS-2-Rchtlinie Ausnahmen für das Verteidigungsministerium, das Auswärtige Amt und die Nachrichtendienste des Bundes vor (vgl. NIS-2-RL Präambel Punkt 8 und Art. 2 Abs. 7 und 8). Diese Behörden werden voraussichtlich nicht den Sicherheitsvorgaben und allem voran den Meldepflichten gemäß NIS2UmsuCG unterliegen (vgl. etwa [12]). Zusätzlich kann das BMI auf Eigeninitiative oder auf Vorschlag (z. B. des Bundeskanzleramts) Einrichtungen teilweise oder insgesamt von den Pflichten der NIS-2-Umsetzung befreien (§ 37 NIS2UmsuCG).

Fest steht außerdem, dass auf Bundeseinrichtungen die Regelungen für „besonders wichtige“ Einrichtungen angewendet werden (§ 29 NIS2UmsuCG); allerdings bleibt das NIS2UmsuCG mit Ausnahmeregelungen für Einrichtungen der Bundesverwaltung gespickt. Kritisch anzusehen ist hierbei, dass die Einrichtungen des Bundes – abgesehen vom Bundeskanzleramt und den nicht ausgenommenen Bundesministerien – voraussichtlich lediglich die Mindeststandards des BSI einhalten müssen. Nicht explizit vorgeschrieben wird jedoch der IT-Grundschutz als solches – bestehend aus den BSI Standards 200-1, 200-2, 200-3, 200-4 und dem IT-Grundschutz-Kompendium. Es wird lediglich auf den UP Bund verwiesen, der keinen Gesetzesrang hat (§ 44 Abs. 1 und 2 sowie bes. zu § 44 Abs. 2 in Teil 1 der „Allgemeinen Vorschriften“ NIS2UmsuCG). Derzeit gibt es acht Mindeststandards, unter anderem zu Videokonferenzdiensten und Webbrowsern.

Diese Vorgehensweise ist aus der Sicht der Informationssicherheit bedauerlicherweise kein Einzelfall, da schon beim ersten IT-Sicherheitsgesetz 2015 die öffentliche Verwaltung zwar als kritische Infrastruktur (KRITIS) identifiziert, jedoch von den Regelungen des BSI-Gesetzes (BSIG) explizit ausgenommen wurde. Da die Umsetzung oder vielmehr die Nicht-Umsetzung des UP Bund von 2017 an keinerlei Sanktionen gekoppelt ist, blieb der tatsächliche Fortschritt bisher eher „überschaubar“. Berechtigterweise wurde und wird das Paradoxon der vergleichsweise zurückhaltenden Regulierung des öffentlichen Sektors durch Institutionen aus eben jenem öffentlichen Sektor im Vergleich zur relativ hohen Regulierungsdichte in der Privatwirtschaft hervorgehoben und auch kritisiert (vgl. [2,3]).

Darüber hinaus werden viele Einrichtungen des Bundes in Zukunft nicht oder nur teilweise von der NIS-2-RL und dem KRITIS-Dachgesetz [13] reguliert oder anderen Gesetzen „überlassen“ – damit sind diese Einrichtungen außerhalb der Regulierung kritischer Infrastrukturen angesiedelt. Es ist davon auszugehen, dass die Einrichtungen des Bundes keinen pauschalen Nachweispflichten unterliegen werden. Das BSI kann im Einzelfall beziehungsweise auf Verdacht Nachweise verlangen, was frühestens drei Jahre nach Inkrafttreten erfolgen kann (§ 61 Abs. 3 NIS2UmsuCG, § 64 Abs. 3 BSIG-neu). Positiv einzuschätzen ist hingegen die explizite Einbeziehung von öffentlich-rechtlich organisierten IT-Dienstleistern der Bundesverwaltung (§ 29 NIS2UmsuCG).

Der Weg zur NIS-2-Compliance

Im Umgang mit den vielfältigen Anforderungen an die IT- und Informationssicherheit können Bundesbehörden von den Erfahrungen der Privatwirtschaft lernen, besonders vom Finanzsektor: Die dort schon seit Längerem geltenden Regularien – zum Beispiel die „Mindestanforderungen an das Risikomanagement der Banken“ (kurz MaRisk) und die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) – haben dazu geführt, dass viele Finanzinstitute komplexe, oft unflexible Sicherheitsstrukturen aufgebaut haben. Diese oft auch als Monolithen bezeichneten Strukturen sind entstanden, weil neue regulatorische Anforderungen in isolierten Managementsystemen umgesetzt wurden, ohne auf die Integration bestehender Systeme Rücksicht zu nehmen. In der Praxis zeigen sich dann häufig recht deutlich die Nachteile einer aus diesen Strukturen resultierenden isolierten und fragmentierten Umsetzung von Sicherheitsanforderungen. So führt der Aufbau solcher Monolithen zu hohen Kosten durch parallele Systeme und mangelnde Integration.

Behörden sollten daher von Anfang an vermeiden, parallele Strukturen aufzubauen, die nicht miteinander kommunizieren und nicht hinreichend koordiniert sind. Abgesehen davon entspricht die bloße Einhaltung der Compliance um der Compliance willen nicht dem Geist der NIS-2-RL, da dies selten einen echten Mehrwert im Schutz mit sich bringt. Vielmehr ist ein Sicherheitsansatz gefordert, der die verschiedenen Disziplinen sinnvoll und effizient miteinander verknüpft.

Abbildung 1: Die „Harmonized Structure“ (HLS) als Basis von ISO-Managementsystemen (ISO 9001:2015, ISO 14001:2015, ISO 27001:2022, ISO 22301:2019 – die Kapitelangaben beziehen sich auf die jeweiligen Dokumente der ISO-Normen).

Eine naheliegende Lösung für diesen Problemkomplex ist ein integriertes Managementsystem (IMS), da es zahlreiche Vorteile aufweist: ein zentrales Risikomanagement, gemeinsame Organisationsstrukturen, einen geringeren Dokumentationsaufwand, einheitliche Begriffe und Definitionen sowie eine Kostenreduktion durch die Vermeidung von Doppelaufwänden. Managementsysteme der ISO-Normenreihe, auf der auch der IT-Grundschutz des BSI aufbaut, fußen alle auf der Grundstruktur des sogenannten Plan-Do-Check-Act-(PDCA)-Zyklus: Dieser umfasst den inhärenten Anspruch eines sich kontinuierlich verbessernden Managementsystems in einer Einrichtung oder einem Unternehmen. Der Zyklus setzt sich aus den Phasen der Planung, des Betriebs, der Leistungsüberprüfung, der Verbesserung mit dem Element der koordinativen Führung im Zentrum zusammen. Der Zyklus ist wiederum in den organisatorischen Gesamtkontext eingebettet und an diesen rückgekoppelt (siehe Abb. 1).

Basierend auf diesem Ansatz kommt in der praktischen Umsetzung häufig die Frage auf, wie man die einzelnen methodischen Schritte des IT-Grundschutzes konkret zusammenführen kann. So ist es vergleichsweise einfach, die jährliche Schutzbedarfsfeststellung des ISMS mit der BIA des Business-Continuity-Managementsystems (BCMS) zu kombinieren. Auch die Strukturanalyse (gem. BSI Std. 200-2) lässt sich um notwendige Aspekte erweitern. Diese sind für das ISMS zwar nicht zwingend relevant, für die Behandlung von Sicherheitsvorfällen oder das Dienstleister-Management allerdings unverzichtbar.

Spätestens beim Risikomanagement beziehungsweise bei der Bewertung der Risiken kommt es jedoch oft zu Problemen: Hier haben Experten aus ihrer jeweiligen fachlichen Sicht stets eine eigene Meinung, die nicht selten konträr zu den Ansichten aus anderen Bereichen steht. Interessanterweise haben die verschiedenen Positionen meist aus ihrer jeweiligen Perspektive valide Punkte anzumerken: So betrachtet das ISM häufig Assets (Server) oder Asset-Cluster (bestimmte Arten von Servergruppen) als Zielobjekte für das Risikomanagement, wohingegen das BCM (Geschäfts-)Prozesse als Zielobjekte identifiziert. Auch die Einschätzung zu Eintrittswahrscheinlichkeiten und Schadenshöhen divergiert oft, was zu Konflikten bei der Risikobewertung führen kann.

Diese Herausforderungen verdeutlichen, dass der Einbau eines bestehenden ISMS in den Rahmen eines IMS mit erheblichem Aufwand verbunden ist, der nicht immer im Verhältnis zum Nutzen steht. Häufig fehlen schon von vornherein Erfahrungswerte und ein klarer Umsetzungsauftrag. Letztlich scheitern in der Praxis auch viele Projekte an der Komplexität. Ein wesentlicher Erfolgsfaktor für die Implementierung eines IMS ist daher eine klare Strategie, die sowohl die Integration als auch die Kompromissbereitschaft bei der Risikobewertung berücksichtigt.

IMS mit möglichst wenigen Prozessbrüchen

Gleicht man die Anforderungen der NIS-2-RL mit den gängigen Sicherheitsstandards ab, fällt auf, dass quasi alle behandelten Themen der ISO 27001:2022 angesprochen werden – sowohl im Hauptteil als auch im Annex. Die dort teils nur angerissenen Punkte sind im IT-Grundschutz hingegen schon häufig in Anforderungen oder sogar in Umsetzungshinweisen berücksichtigt. Somit bietet es sich an, das ISMS als das führende Managementsystem im Rahmen eines IMS zu verwenden. Je nachdem, welche Teildisziplinen in einer Einrichtung bereits implementiert sind (z. B. ein Dienstleistermanagement), kann das ISMS dafür eine konkrete Schnittstelle anbieten und um die Anforderungen, die sich aus dem NIS2UmsuCG ergeben, erweitert werden.

Auf Basis dieser Vorgehensweise stellt das ISMS das zentrale Erfüllungsvehikel der NIS-2-Anforderungen dar. Es hat hierbei nicht zwingend die Hoheit oder Weisungsbefugnis über die anderen Sicherheitdisziplinen, ist jedoch der zentrale Knotenpunkt und Richtungsgeber, um die Konformität einer Einrichtung sicherzustellen. Hierdurch lässt sich nicht nur die Regulatorik umfassend erfüllen, sondern auch ein echter Mehrwert für die Informationssicherheit generieren.

Schnelle Erhöhung der Informationssicherheit

Der Faktor Zeit nimmt – auch abgesehen von rechtlich vorgegebenen Umsetzungsfristen – eine zunehmend kritische Rolle ein. Deutlich wird das etwa an der zunehmenden Geschwindigkeit, mit der Angreifer vorgehen und beispielsweise den gesamten IPv4-Adressraum einer Domäne auf verwundbare Zielobjekte absuchen können. Des Weiteren werden Sicherheitslücken und Schwachstellen nach ihrer Veröffentlichung immer schneller ausgenutzt – teils schon nach Stunden. Aus der Perspektive eines Informationsverbunds gilt es daher, schneller und gezielter auf aktuelle Bedrohungslagen zu reagieren, als es früher erforderlich war. Sowohl für die Erlangung eines grundlegenden und zugleich agilen Sicherheitsniveaus als auch für die Ausrichtung eines bestehenden ISMS an den NIS-2-Anforderungen, erscheint das konventionelle und lehrbuchmäßige Schritt-für-Schritt-Vorgehen folglich nicht zeitgemäß.

Dass die Implementierung eines ISMS erst nach einer Anlaufphase wirksam wird, ist dabei eigentlich kein Problem als solches: Eine gründliche Bestandsaufnahme der Zielobjekte des jeweiligen Informationsverbunds im Rahmen einer Strukturanalyse ist unerlässlich, um ein ISMS systematisch aufzusetzen. Denn erst wenn feststeht, was zu schützen ist und wie hoch die Schutzanforderungen sind (Schutzbedarfsfeststellung), können in der klassischen Vorgehensweise Schutzmaßnahmen für die einzelnen Zielobjekte ermittelt werden. Allerdings kann sich die konkrete Implementierung aus verschiedenen technischen und organisatorischen Gründen als langwierig erweisen und über Monate, häufig gar über Jahre hinziehen – zum Beispiel aufgrund einer komplizierten Bestandsaufnahme oder personeller Engpässe in Behörden.

Das BSI hat diesem Umstand bereits Rechnung getragen und die Einstiegshürden in den IT-Grundschutz verringert. So gibt es mittlerweile einen „Weg in die Basisabsicherung“ (WiBA, [15]), mit der ein Sicherheitsniveau erreicht werden soll, das den Informationsverbund – salopp gesagt – über die „Schwelle der Fahrlässigkeit“ trägt (Stichwort „Basis-Absicherung Kommunalverwaltung“). Im WiBA sind die beiden Aufwandstreiber „Strukturanalyse“ und „Schutzbedarfsfeststellung“ allerdings ebenfalls präsent. Weiterhin zu nennen ist das IT-Grundschutz-Profil für oberste Bundesbehörden [16]: Hierbei handelt es sich um eine Anleitung, die das BSI als Maßnahme aus dem UP Bund für sich abgeleitet hat. Dieser Ansatz vereinfacht den Einstieg in den IT-Grundschutz ebenfalls – er bleibt jedoch ein relativ komplexes Unterfangen, das Bundesbehörden kurzfristig kein nennenswertes Plus an Informationssicherheit liefert.

Daher besteht Bedarf an einem Vorgehen, das möglichst zeitnah aus relativ einfach umzusetzenden Maßnahmen einen essenziellen Sicherheitsgewinn nach sich zieht. Der schrittweise Aufbau eines IMS – unabhängig von der Norm oder dem methodischen Ansatz – ist zwar erforderlich, da dies einen langfristigen und ganzheitlichen Schutz für die betroffene Einrichtung gewährleistet. Für einen kurzfristig umzusetzenden Sicherheitsgewinn bieten sich allerdings „Quick Wins“ und gegebenenfalls auch entdeckte „Major Wins“ an – gewissermaßen die „Low-hanging Fruits“ der Informationssicherheit.

Schnellstart mit „Quick Wins“

Aus der Erfahrung vieler Implementierungsprojekte (ISMS, BCMS, technische Sicherheit etc.) fällt auf, dass in der Regel stets die gleichen hoch bewerteten Risiken vorliegen, die man eigentlich schon von Anfang an hätte bearbeiten können. Dies wird jedoch meist nicht oder erst verzögert angegangen, da man zunächst den PDCA-Zyklus ordnungsgemäß durchlaufen und die methodischen Schritte des IT-Grundschutzes abarbeiten will. Grundsätzlich ist dieses Vorgehen vollkommen legitim – zugleich liegen hier jedoch ungenutzte Chancen, da in der gesamten ersten „Plan“-Phase der Großteil der Arbeit hauptsächlich bei den für die Informationssicherheit Verantwortlichen sowie bei der Behördenleitung als Entscheidungs- und Freigabeinstanz liegt: Dort werden Leitlinien und Richtlinien erstellt, geprüft und freigegeben. Dabei vergeht viel Zeit, in der anderen Fachbereiche wie der IT-Betrieb oder die Personalabteilung für die Informationssicherheit nichts tun (können) und in der Regel kaum oder gar nicht eingebunden sind.

Abbildung 2: Vorgehen zwischen PDCA-Zyklus und „Quick-Start“ im Vergleich

Diese Zeit könnte man durch die konsequente Identifikation und Umsetzung von Quick Wins sinnvoll nutzen und ins „Doing“ kommen. Die entsprechenden Maßnahmen lassen sich zum Beispiel mittels einer gezielten Gap-Analyse eruieren. Hierdurch würde der Fokus auf erforderliche und zugleich zeitkritische Maßnahmen gelenkt – also quasi Licht ins Dunkel des Informationsverbunds gebracht – und eine Verbesserung des Sicherheitsniveaus nicht erst am Ende des Tunnels stehen (vgl. Abb. 2).

Im Folgenden sind einige Beispiele für relevante Sofortmaßnahmen aufgezählt, die parallel vorangetrieben werden können:

  • Sicherheitskriterien für die Beschaffung von Hard- und Software: Checklisten mit Anforderungen an Anbieter (Hardware, Software und Cloud) unter Berücksichtigung des Produktlebenszyklus, Security by Design et cetera
  • Transportverschlüsselung: Implementierung für sämtliche Kommunikationsverbindungen
  • Notfallkarten: Beschreibung des Verhaltens bei IT-Notfällen und Eskalationsketten
  • Sicherer Personalprozess: Standards für On- und Offboarding
  • Sensibilisierung und Schulung: Vorlagen für die gesamte Einrichtung
  • Absicherung von Remote-Zugängen: Notwendigkeit, zeitliche Befristung, Genehmigungsverfahren et cetera
  • Leitfäden zur Datensicherung, Absicherung von Dienstleisterzugriffen und Basis-Netzsegmentierung

Das Quick-Start-Vorgehen ist dabei unterm Strich nicht aufwendiger oder kostenintensiver als übliche Implementierungsprojekte. Es verschiebt vielmehr Aufwand und Kosten zeitlich nach vorne – mit dem entscheidenden Vorteil, dass es zur schnelleren Realisierung eines substanziellen Sicherheitsgewinns kommt. Im Vergleich zum konventionellen Ansatz überwiegt hierbei das Potenzial der schnellen Identifikation und Behandlung kritischer Sicherheitsprobleme gegenüber etwaigem Mehraufwand oder nicht vollständig adressierten Risiken.

Perspektivisch wird sich die Behördenlandschaft Zug um Zug auf die Zero-Trust-(ZT)-Architektur als Cybersicherheitsparadigma ausrichten, das sich auf den Schutz von Ressourcen und die Prämisse konzentriert, dass „Vertrauen niemals implizit gewährt wird, sondern kontinuierlich evaluiert werden muss“ [17,18]. Abzusehen ist bereits, dass dies mit einem langwierigen Kulturwandel einhergeht, der eingeschliffene Annahmen und Vorgehensweise infrage stellt. Kurzfristig lässt sich mit dem hier vorgestellten „Quick Start“ das Sicherheitsniveau hingegen relativ schnell und einfach anheben.

Fazit

Eine echte Neuerung der NIS-2-RL besteht in der Forderung eines umfassenden und ganzheitlichen Schutzes für die betroffenen Einrichtungen – übereinstimmend mit dem Credo des BSI „Prävention, Detektion, Reaktion“. Die betroffenen Bundesbehörden haben in diesem Sinne auf dem Weg hin zur Umsetzung des NIS2UmsuCG noch viel zu tun, wobei der Handlungsdruck auf die betroffenen Behördenleitungen zunehmend wächst [19,20].

Die sich hierbei stellenden Herausforderungen für Bundesbehörden sind oft struktureller Natur und nicht „mal eben“ zu lösen oder beiseite zu schaffen. Dennoch lässt sich mit der Implementierung eines IMS (und einem ISMS als Nukleus) eine moderne Sicherheitsorganisation aufbauen – und zwar unabhängig davon, ob bereits Teile der Sicherheitsdisziplinen implementiert sind oder nicht.

Im Zuge der praktischen Umsetzung sollte man bereits zu Projektbeginn prüfen, welche Maßnahmen beziehungsweise Quick Wins besonders dringlich sind. Mittels einer Gap-Analyse können mit vergleichsweise geringem Aufwand quasi bereits von Tag eins an wichtige und dringende Verbesserungen der Informationssicherheit identifiziert und in Gang gebracht werden. Sollte sich im Zuge des Fortschreitens der Implementierung herausstellen, dass der avisierte Quick Win nicht ausgereift oder effektiv ist, lassen sich entsprechende Maßnahmen nachsteuern und anpassen. Genau in einem solchen Fall kann der PDCA-Zyklus eine kontinuierliche Verbesserung gewährleisten – damit ein Zugewinn an Sicherheit eben nicht erst am Ende des Tunnels steht.

Andreas Barke ist Consultant bei der HiSolutions AG mit Schwerpunkt im Aufbau und der Verbesserung von Informationssicherheits Managementsystemen (ISMS) auf Basis von IT-Grundschutz. Marius Wiersch ist Senior Manager bei der HiSolutions AG, Bonn, mit den Schwerpunkten EU-Regulationen, Informationssicherheit, Risikomanagement und Kritische Infrastrukturen.

Literatur

[1] Europäische Union, Richtlinie (EU) 2022/2555 … über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union … (NIS-2-Richtlinie), in: Amtsblatt der Europäischen Union L 333, S. 80, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555

[2] Dario Scholz, Dennis-Kenji Kipker, EU-Cybersecurity Version 2.0, Bringt NIS-2 das lang ersehnte Update für wesentliche und wichtige Einrichtungen?, <kes> 2023#1, S. 19

[3] Rafael Trampnau, Kalina Sperber, NIS-2 und die öffentliche Verwaltung, Frühes Handeln wird sich rechnen, <kes> 2023#1, S. 27

[4] Bundesministerium des Innern und für Heimat (BMI), Entwurf eines Gesetzes zur Umsetzung der NIS- 2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Gesetzentwurf der Bundesregierung, Juli 2024, www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/CI1/nis2-regierungsentwurf.pdf

[5] Dennis-Kenji Kipker, NIS2UmsuCG, Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz kommt – ein Überblick über den Status quo, <kes> 2023#4, S. 70

[6] Ouala Barhoumi, NIS 2: Where are the european countries in tranposing the directive?, Wavestone Insights, Mai 2024, wwa.wavestone.com/en/insight/nis-2-european-countries-tranposing-directive/

[7] Birthe Sönnichsen, Kilian Pfeffer, Viele Stellen für IT-Sicherheit in Ministerien unbesetzt, ARD tagesschau, Januar 2024, www.tagesschau.de/inland/innenpolitik/itsicherheit-bundesministerien-100.html

[8] Friedhelm Greis, Rechnungshof sieht IT-Sicherheit der Verwaltung gefährdet, golem.de, April 2023, www.golem.de/news/fehlendessicherheitsmanagement-rechnungshofsieht-it-sicherheit-der-verwaltung-gefaehrdet-2304-173556.html

[9] Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK), Auswertungsbericht LÜKEX 23 – Cyberangriff auf das Regierungshandeln, Mai 2024, www.bbk.bund.de/SharedDocs/Downloads/DE/Mediathek/Publikationen/LUEKEX/luekex23-auswertungsbericht.pdf?__blob=publicationFile&v=6

[10] Bundesamt für Sicherheit in der Informationstechnik (BSI), „Stand der Technik“ umsetzen, undatiert, www.bsi.bund.de/dok/12211810

[11] HK2 Rechtsanwälte, IT-Sicherheit und Recht (2024): Wo stehen die Länder bei der Umsetzung der NIS-2-Richtlinie Februar 2024, https://it-sicherheit-und-recht.de/wo-stehen-die-laender-hinsichtlich-der-umsetzung-dernis-2-richtlinie/

[12] Paul Weissmann (Hrsg.), NIS-2-Sektoren: Der Staat, undatiert, www.openkritis.de/it-sicherheitsgesetz/sektor_staat.html

[13] Bundesministerium des Innern und für Heimat (BMI), Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz von Betreibern kritischer Anlagen (KRITIS-DachG), Referentenentwurf, Dezember 2023, www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/KM4/KRITIS-DachG-2.pdf?__blob=publicationFile&v=4

[14] Bundesamt für Sicherheit in der Informationstechnik (BSI), ISO-27001-Zertifikate auf der Basis von IT-Grundschutz, fortlaufende Aktualisierung, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/ErteilteZertifikate/iso27001zertifikate_node.html

[15] Carmen Gros, Johas Ruschig, Leichter Einstieg in die Cybersicherheit für Kommunen, So gelingt der „Weg in die Basis-Absicherung“ mit einfachen Mitteln, BSI-Forum / <kes> 2024#3, S. 33

[16] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Profil für oberste Bundesbehörden, Januar 2024, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Profil_oberste_Bundesbehoerden.html

[17] Stefan Krempl, Zero Trust: Bund will bei IT-Sicherheit niemandem mehr vertrauen, heise online, Juni 2022, https://heise.de/-7156348

[18] Bundesamt für Sicherheit in der Informationstechnik (BSI), Positionspapier Zero Trust 2023, Version 1.12, Juni 2023, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeLeitlinien/Zero-Trust/Zero-Trust_04072023.pdf?__blob=publicationFile

[19] Dennis-Kenji Kipker, NIS2UmsuCG: Wie viel Neues enthält der aktuellste Referentenentwurf vom 7.5.2024?, beck-community, Mai 2024, https://community.beck.de/2024/05/08/nis2umsucg-wie-viel-neues-enthaelt-deraktuellste-referentenentwurf-vom-752024

[20] Maximilian Zech, NIS2: Entwurf vom Kabinett beschlossen, Tagesspiegel Background, August 2024, https://background.tagesspiegel.de/verkehr-und-smart-mobility/monitoring/nis2-entwurf-vom-kabinett-beschlossen (kostenpflichtig)

Diesen Beitrag teilen: