Risikomanagement nach NIS-2: : Auf der Suche nach dem Heiligen Gral der Cybersicherheit?
Eigentlich hat Cybersicherheit mit Indiana Jones erst einmal herzlich wenig zu tun – doch seit einiger Zeit gibt es eine erstaunliche Gemeinsamkeit: Beide begeben sich auf die Suche nach dem Heiligen Gral. Wo Dr. Jones aber am Ende definitiv fündig wurde, steht dies in der Cybersicherheit – zumindest gegenwärtig – noch aus. Worum geht es beim sagenhaften Heiligen Gral der Cybersicherheit – wo und warum wird er gesucht und weshalb konnte man ihn bislang noch nicht finden?
Von Dennis-Kenji Kipker, Bremen
Der Ursprung der Gralssuche zur Cybersicherheit liegt letztlich schon im ersten deutschen IT-Sicherheitsgesetz aus dem Jahr 2015 begründet: Als erste wirklich IT-sicherheitsbezogene Regulierung wurde hier zunächst für die Betreiber von kritischen Infrastrukturen (KRITIS) bestimmt, Cybersicherheit nach dem „Stand der Technik“ zu realisieren.
Die tatbestandliche Weite dieses unbestimmten Rechtsbegriffs, der sich in einer Trias zwischen den „allgemein anerkannten Regeln der Technik“ und dem „Stand von Wissenschaft und Technik“ einordnet, brachte einige KRITIS-Betreiber zunächst zum Verzweifeln, war dessen Nichteinhaltung doch im Zweifelsfall mit erheblichen Bußgeldern verbunden und existierten in der Anfangszeit kaum belastbare allgemeine Richtwerte, die den Stand der Technik branchenspezifisch definiert hätten.
Mittlerweile, fast neun Jahre später, hat sich diese anfängliche Besorgnis gelegt, denn es wurden nicht nur mehrere „Branchenspezifische Sicherheitsstandards“ (B3S) zur verlässlichen Abbildung der rechtlich geforderten Cybersicherheitsanforderungen erarbeitet, sondern auch verschiedene Leitfäden durch unterschiedlichste Verbände, Institutionen und Einrichtungen herausgegeben, die erörtern, wie man den Stand der Technik nach dem IT-Sicherheitsgesetz verstehen kann.
Cybersicherheit nach „Stand der Technik“
Doch genauso wenig wie die technische Entwicklung innehält, hört auch die Cyberbedrohungslage auf, sich zu verändern. Nicht umsonst hat der Europäische Gesetzgeber zwischenzeitlich – Deutschland folgend – im Jahr 2016 eine erste Netz- und Informationssicherheitsrichtlinie (NIS-1) verabschiedet, die nunmehr zum 17. Oktober dieses Jahres durch ihre Nachfolgeregelung, die zweite Netz- und Informationssicherheitsrichtlinie (NIS-2) ersetzt werden soll (vgl. [1,2,3]).
Die Crux daran: Der Anwendungsbereich von NIS-2 wird im Vergleich zu NIS-1 ganz erheblich ausgedehnt – und zwar sowohl in qualitativer als auch in quantitativer Hinsicht. Im Ergebnis führt das dazu, dass allein in Deutschland zigtausend zusätzliche Organisationen von den neuen Cybersecurity-Compliance-Anforderungen betroffen sein werden, und das bis hin zu kleinen und mittelständischen Unternehmen (KMU) über die unterschiedlichsten Sektoren und Branchen – und nun vor allem auch im produzierenden Gewerbe – verteilt.
Erneut bestimmt die NIS-2-Richtlinie unmittelbar in ihrem Text in Artikel 21, dass von den betroffenen Unternehmen Cybersicherheit nach dem Stand der Technik zu realisieren ist. Manch einer fühlt sich dabei – nicht zu Unrecht – in das Jahr 2015 zurückversetzt, denn jetzt stehen wir erneut vor der Herausforderung, herauszufinden, was denn für diese unzähligen betroffenen Unternehmen der Stand der Technik sein könnte, dessen Umsetzung gefordert wird. Und die damit einhergehende allgemeine Unsicherheit ist aktuell in der Wirtschaft noch spürbar größer als bei den KRITIS-Betreibern vor fast zehn Jahren, denn es geht eben nicht nur um große Konzerne mit erheblichen wirtschaftlichen und personellen Ressourcen, sondern um viele Unternehmen, die mit gesetzlichen Cybersicherheitspflichten bislang nicht viel zu tun hatten.
Der ganz normale Wahnsinn
Diese allgemeine Unsicherheit, die wir als Vorbote der NIS-2-Umsetzung zurzeit erleben, ist allerdings ganz normal – und vor allem auch kein speziell deutsches Phänomen. Wenn man aktuell bei den für die NIS-2-Umsetzung zuständigen Behörden einmal nachfragt und um Konkretisierung bittet, ist die Antwort recht eindeutig: Weder das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch das Bundesministerium des Innern und für Heimat (BMI) sind in der Lage, eine allgemeingültige Interpretation abzugeben, was der nach NIS-2 gesetzlich geforderte Stand der Technik für die verschiedenen Branchen und Unternehmensgrößen bedeuten soll.
Gleichwohl käme eine Art allgemeiner Handlungsleitfaden, den man heranziehen könnte, um NIS-2 Compliance umzusetzen und nachzuweisen, durchaus einem „Heiligen Gral in der Cybersicherheit“ gleich – und je weniger Behörden, Verbände und betroffenen Einrichtungen zurzeit eine verlässliche Aussage darüber treffen können, was NIS-2-Konformität konkret bedeutet, umso mehr gehen vor allem die Cybersecurity-Anbieter und Berater auf die Suche nach diesem Heiligen Gral.
Neuware oder Upcycling?
Doch dabei stellt sich durchaus die Frage, ob man sich für diese Suche tatsächlich auf einen so weiten Weg begeben muss, wie es manch einem vorschwebt – oder ob wir die Antworten nicht vielmehr schon in unserer unmittelbaren Nähe ohne großen Aufwand vorfinden könnten. Die wichtigste Erkenntnis in diesem Zusammenhang: NIS- 2 macht nicht alles neu, sondern basiert auf NIS-1! Und das bedeutet, dass der „Stand der Technik“ durchaus differenziert zu sehen ist und es definitiv nicht ausschließlich auf diesen unbestimmten Rechtsbegriff allein ankommt.
So bestimmte etwa schon Art. 14 NIS-1, dass betroffene Betreiber geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen haben, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu bewältigen, die sie für ihre Tätigkeiten nutzen. Diese vorgenannten Maßnahmen müssen schlussendlich unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau gewährleisten, das dem bestehenden Risiko angemessen ist.
Dieser sogenannte „risikobasierte Ansatz“ findet sich ebenfalls in NIS-2 wieder, wenn hier wie im soeben schon zitierten Art. 21 bestimmt wird, dass die durch die Richtlinie betroffenen Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen haben, um die Risiken für die Sicherheit der für den Betrieb beziehungsweise die Diensteerbringung genutzten IT-Systeme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Diensteempfänger oder andere Dienste zu verhindern oder möglichst gering zu halten.
Individuelle Risikoanalyse als Kernanforderung zur NIS-2-Compliance
Denknotwendigerweise lässt sich der Stand der Technik auch in NIS-2 gesetzlich nicht abschließend konkretisieren – ganz im Gegenteil: Durch die große Zahl betroffener Unternehmen und Einrichtungen und ihre daraus resultierende Verschiedenheit wäre es sogar noch schwieriger als bei NIS-1, im Sinne eines abschließenden Katalogs einen allgemeingültigen Mindeststandard zu bestimmen – und schon hier war dies damals (wie gezeigt) nicht möglich. Zwar enthält NIS-2 in Art. 21 Abs. 2 einen beispielhaften Katalog an Maßnahmen, der aber keineswegs abschließend im Sinne einer Verwendung ganz bestimmter Technologie, Dienstleistungen oder Produkte zu verstehen ist.
Zuvorderst wird in diesem Katalog aber erneut ein Begriff aus dem Risikomanagement genannt: Die Maßnahmen müssen „Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme“ umfassen. Durch diese Priorisierung unterstreicht der europäische Gesetzgeber nochmals, dass eben genau diese Risikoanalyse vorgelagert entscheidend ist, will man NIS-2 richtig umsetzen.
Und damit gelangen wir zu einer weiteren Erkenntnis auf der Suche nach dem Heiligen Gral der Cybersicherheit: Eine Risikoanalyse lässt sich nicht generalisieren oder gar im Sinne eines abstrakten Katalogs an Maßnahmen abschließend beurteilen, sondern ist in ihren Ergebnissen immer von ihrem zugrunde zu legenden Einzelfall abhängig.
Gleichwohl kann man einige flankierende Grundregeln definieren, die für diese Risikoanalyse und deren erfolgreiche Durchführung wichtig sind: So erkennt auch der Gesetzgeber an, dass eine hundertprozentige Cybersicherheit nicht möglich ist und dementsprechend nur das bestmögliche Bemühen um ein möglichst hohes Maß an Cybersicherheit geschuldet sein kann – denn auch Maßnahmen zur Cybersicherheit müssen verhältnismäßig und wirtschaftlich sein. Jedoch muss zumindest ein Cybersicherheitsniveau realisiert werden, das dem bestehenden Risiko angemessen ist.
Zur Beurteilung dieser Risikoexposition sind verschiedene Faktoren zu berücksichtigen – so die Exponiertheit einer Einrichtung, ihre Größe, die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen, die Auswirkungen von Sicherheitsvorfällen im Sinne ihrer möglichen Schwere, ob ein technischer Standard für den Betrieb der Einrichtung vorhanden ist und auf welchem Niveau sich dieser befindet.
Deutlich wird damit: NIS-2 verfolgt im Vergleich zu NIS-1 einen ganzheitlicheren Ansatz zur Cybersicherheit, der eine sorgfältige Analyse von Komponenten, Systemen und Prozessen sowie den damit verbundenen Risiken voraussetzt und dabei zwangsläufig auch die (digitale) Lieferkette einbeziehen muss.
Dieser ganzheitliche Maßstab von NIS-2 schlägt sich außerdem darin nieder, dass die hybride Bedrohungslage (vgl. [4]) auch für die Cybersicherheit in die Überlegungen zum Risikomanagement einzubeziehen ist. Deshalb bedeutet aktuell NIS-1-Compliance nicht zwingend auch NIS-2-Compliance. Physische und infrastrukturbezogene Gefahren wie Strom- und Telekommunikationsausfälle, Einbrüche, Sachbeschädigung oder Diebstahl, aber auch Fragen der Hardwareversorgung und damit im Zusammenhang stehende kritische Lieferketten im Sinne der Technologiesouveränität sind ebenso zu berücksichtigen, um die Verfügbarkeit von Diensten nachhaltig sicherzustellen.
Damit ist auch bedeutsam, mit welchen Unternehmen man kontrahiert und ob sich diese innerhalb der EU oder im außereuropäischen Ausland befinden. Soweit die für den Betrieb eines betroffenen Unternehmens oder einer Einrichtung notwendigen technischen Infrastrukturen ermittelt wurden, ist überdies zu untersuchen, inwieweit diese zur Aufrechterhaltung ihrer betrieblichen Funktionen hiervon abhängig sind – und das betrifft sowohl gespeicherte, übermittelte wie auch verarbeitete Daten. NIS-2 gilt überdies auch unabhängig davon, ob IT intern verwaltet oder outgesourct wird – so ist es ein generelles Prinzip im IT-Recht, dass allein durch Outsourcing im Außenverhältnis keine automatische Verantwortlichkeitsübertragung an Dritte stattfindet, sondern daraus vielmehr sogar neue rechtliche Aufsichtspflichten erwachsen können.
Nicht die wirtschaftlichen, sondern die technischen Folgen von Cybervorfällen sind entscheidend
Hat man diese Anforderungen an das Risikomanagement nach NIS-2 vor Augen, dürfte klar sein, dass das Risikomanagement nicht nur zum Ziel hat, Risiken zu erkennen, sondern die daraus abzuleitenden mitigierenden Maßnahmen müssen auch tatsächlich geeignet sein, die Beeinträchtigungen der Cybersicherheit zu reduzieren, die aus einem Vorfall resultieren können – soll heißen: die betriebliche Funktionsfähigkeit aufrechtzuerhalten.
Es geht bei NIS-2 also nur mittelbar um die Verringerung der durch Cyberangriffe eintretenden wirtschaftlichen Folgen, sondern zuvorderst um die Verhinderung der diesen Folgen vorgelagerten technischen Betriebsausfälle. Damit erklärt sich auch, warum der Abschluss einer Cyberpolice allein nicht ausreichend sein kann, um trotz Risikoanalyse die Anforderungen aus NIS-2 zuerfüllen – auch wenn die allermeisten Versicherer ohne risikomitigierende Maßnahmen heutzutage ohnehin keine Cyberversicherungen mehr vergeben.
Die aus der Risikoanalyse resultierenden technischen, operativen und organisatorischen Maßnahmen sind – genauso wie die Risikoanalyse selbst – vielfältig und werden durch NIS-2 nicht abschließend vorgegeben. Das Ziel ist jedoch klar: die Verhinderung und Aufdeckung von Sicherheitsvorfällen, die Reaktion hierauf sowie Maßnahmen zur Wiederherstellung und Folgenminderung. Das umfasst möglichweise sowohl den Einsatz von Schlüsseltechnologie wie künstlicher Intelligenz (KI) – gerade auch in kleinen und mittelständischen Betrieben, um personelle Defi zite auszugleichen –, aber auch Open- Source-Tools, Verschlüsselung, Netzwerkkartografie, Netzwerksegmentierung, Zugangs- und Zugriffsverwaltung, Berechtigungsmanagement, Schwachstellenerkennung, Maßnahmen zur Abwehr von Wirtschaftsspionage und zum Schutz von Geschäftsgeheimnissen, Zero Trust, Update-Policies, Maßnahmen zur richtigen Gerätekonfiguration, die Nutzersensibilisierung/Awareness sowie eine Dokumentation der getroffenen Maßnahmen.
Die Leitungsorgane eines Unternehmens oder einer Einrichtung stehen – letztlich auch unabhängig von NIS-2 – in der Pfl icht, die Risikoanalyse und die daraus abzuleitenden Maßnahmen der Cybersicherheit zu überwachen, zu genehmigen und zu koordinieren. Neu hinzu tritt dabei aber nun, dass auch die Geschäftsleitungsebene über das dazu notwendige Know-how in der Cybersicherheit verfügen muss.
Fazit
Was nach diesem Exkurs in die Risikoanalyse und das Risikomanagement nach NIS-2 klar geworden sein sollte: Es existiert nicht „die eine“ Maßnahme zur rechtskonformen Umsetzung der zweiten europäischen Netz- und Informationssicherheitsrichtlinie (NIS-2). Vielmehr bedarf es eines ganzheitlichen Ansatzes, der im Kontext konkreter Anwendungsszenarien die Verwendung verschiedener Werkzeuge voraussetzt und neben der rein technischen Umsetzung stärker als bislang auch die operative und organisatorische Komponente mit in den Blick nimmt.
Daraus folgt ebenso, dass es keinen Heiligen Gral der Cybersicherheit gibt, mit dem man NIS-2 ohne Weiteres und generell für alle Einrichtungen gleichermaßen „einfach“ umsetzen könnte – und wenn, dann wäre dieser Heilige Gral vielmehr die Erkenntnis, dass auch NIS-2 nichts anderes als die Umsetzung eines Risikomanagements verlangt, wenngleich mit den in diesem Beitrag zuvor skizzierten Spezifika.
Dass diese Erkenntnis nicht eben unzureichend oder gar schlimm wäre, sondern ganz normal ist, offenbart ein Blick in weitere Regulierungsbereiche des IT-Rechts: Auch im Datenschutz nach DSGVO kommt es beispielsweise zu einer rechtskonformen Umsetzung stets auf den konkreten Einzelfall an: Genauso wenig wie es eine Datenschutzerklärung gibt, die für alle Betriebe gleichermaßen anwendbar wäre, existiert ein vereinheitlichtes entsprechendes Datenschutzmanagementkonzept nach Stand der Technik – dennoch gibt es einige Grundregeln und Rahmenbedingungen, die als Ausgangspunkt verstanden immer wieder Verwendung finden können.
Genau in dieser Unschärfe des Rechts liegen letztlich auch Chancen und Möglichkeiten: Denn kein „BSI“ der Welt wird die Nichteinhaltung eines Stands der Technik nach NIS-2 sanktionieren, ohne dass überhaupt entsprechende Branchenrichtwerte, geschweige denn ein „Branchenspezifischer Sicherheitsstandard“ existieren – und das wird definitiv auch noch eine Weile so bleiben!
Damit ergibt sich für den Schluss dieses Beitrags eine letzte, aber doch nicht minder wesentliche Erkenntnis: Natürlich ist die Umsetzungsfrist für die nach NIS-2 gesetzlich angeordneten Maßnahmen verpflichtend und wichtig – ganz gleich, wann genau nun das nationale Umsetzungsgesetz NIS2UmsuCG [3] kommen wird. Gerade in der Anfangsphase wird es jedoch vielmehr vor allem darauf ankommen (und auch ausreichend sein), als Unternehmen nachzuweisen, dass man nicht grob fahrlässig gegen die Pflichten zum Cybersecurity-Risikomanagement verstoßen hat. Alles andere ist wie so oft und an anderer Stelle im Leben auch „Learning by Doing“ – denn vom Himmel gefallen sind Best Practices noch nie.
Prof. Dr. iur. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Fakultät für Elektrotechnik und Informatik der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) sowie Mitglied im Advisory-Board von Nord VPN (https://denniskenjikipker.de/).
Literatur |
---|
[1] Prof. Dr. Dennis-Kenji Kipker, Dario Scholz, EU-Cybersecurity Version 2.0, Bringt NIS-2 das lang ersehnte Update für wesentliche und wichtige Einrichtungen?, <kes> 2023#1, S. 19 |
[2] Rafael Trampnau, Kalina Sperber, NIS-2 und die öffentliche Verwaltung, Frühes Handeln wird sich rechnen,<kes> 2023#1, S. 27 |
[3] Prof. Dr. Dennis-Kenji Kipker, NIS2UmsuCG, Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz kommt – ein Überblick über den Status quo, <kes> 2023#4, S. 70 |
[4] Prof. Dr. Dennis-Kenji Kipker, Weichenstellung für die Digitalisierung Deutschlands, Zur Neuordnung der nationalen Cybersicherheits-Architektur,<kes>2023#3, S. 23 |