Dies ist eine tex­tu­el­le Zusam­men­fas­sung des Web­i­nars „Cyber­si­cher­heits-Richt­li­nie NIS2“ der Wirt­schafts­kam­mer Öster­reich vom 15. Jän­ner 2024.

Vere­na Becker, WKÖ, und Robert Lam­precht, KPMG, infor­mie­ren in die­sem Web­i­nar Netz­be­trei­ber über die Umset­zung von NIS2. Mode­riert wird das Web­i­nar von Ger­hard Haid­vo­gel, Obmann Fach­ver­band Telekom/Rundfunk.

Quell­nach­weis: Das Video fin­den Sie ver­öf­fent­licht auf You­Tube unter https://www.youtube.com/watch?v=hgE-JGsro6w

YouTube

Mit dem Laden des Vide­os akzep­tie­ren Sie die Daten­schutz­er­klä­rung von You­Tube.
Mehr erfah­ren

Video laden

Inhalt NIS2 Webinar

Mit der neu­en Cyber­si­cher­heits­richt­li­nie NIS2 ver­schärft die EU-Maß­nah­men und Mel­de­pflich­ten bei IT-Sicher­heits­vor­fäl­len. Sie soll die Resi­li­enz und die Reak­ti­on auf Cyber­an­grif­fe des öffent­li­chen und des pri­va­ten Sek­tors ver­bes­sern. Betrof­fen von NIS2 sind Unter­neh­men aus wesent­li­chen und wich­ti­gen Sek­to­ren. Prin­zi­pi­ell gilt die NIS2 Rege­lung für mitt­le­re und gro­ße Unter­neh­men, es kann aber im Zusam­men­hang mit Toch­ter­ge­sell­schaf­ten oder Lie­fer­ket­ten auch klei­ne­re Unter­neh­men betref­fen, das sind bis zu 15 000 hei­mi­sche Betrie­be denen bei Nicht­ein­hal­tung emp­find­li­che Stra­fen dro­hen kön­nen. Bis 17 Okto­ber 2024 müs­sen die Betrof­fen­hei­ten geklärt, Res­sour­cen ein­ge­plant und Maß­nah­men umge­setzt wer­den und ange­sichts des knap­pen Zeit­rah­mens und beschränk­ter Res­sour­cen gilt aku­ter Hand­lungs­be­darf. Ist auch Ihr Unter­neh­men von NIS2 betrof­fen, machen Sie jetzt den Selbstcheck!

Vor­trag von Ger­hard Haidvogel

Ger­hard Haid­vo­gel, Obmann vom Fach­ver­band Telekom/Rundfunk erklärt, dass auf­grund der rasant stei­gen­den Anzahl an Cyber­kri­mi­nal­vor­fäl­len im pri­va­ten, wie auch im beruf­li­chen Umfeld, steigt die Anzahl von Cyber­an­grif­fen expo­nen­ti­ell an. Auch die Aus­wir­kun­gen die­ser Atta­cken wer­den immer dra­ma­ti­scher bis hin zu exis­tenz­be­droh­lich. Um die­sen Atta­cken ent­spre­chend geschützt und vor­be­rei­tet begeg­nen zu kön­nen, hat die EU die NIS2 Richt­li­nie ver­ab­schie­det. Die­sen Angrif­fen ent­spre­chend geschützt ent­ge­gen­tre­ten zu kön­nen und im Fal­le des Fal­les zu wis­sen was zu tun ist, ist ele­men­tar wich­tig für eine funk­tio­nie­ren­de Wirt­schaft und Gesell­schaft in Österreich.

Die Fir­ma Kabel plus erhielt den NIS 1 Bescheid am 9 Dezem­ber 2022 und haben erfah­ren, dass der ein­zi­ge wesent­li­che Dienst, der betrof­fen ist, der DNS Resol­ver ist. Des­we­gen berei­ten sie sich nun seit 6 Mona­ten schon auf die NIS2 vor und neh­men die NIS 1 Umset­zun­gen ein­fach mit.

Kabel Plus ver­schrift­li­chen und aktua­li­sie­ren aktu­ell ihre Pro­zes­se und Richt­li­ni­en und stel­len die geord­ne­te Frei­ga­be der Imple­men­tie­run­gen und Ände­run­gen sicher. Sie pas­sen ihr Asset Manage­ment an die Anfor­de­run­gen an, auch ihr Risk­ma­nage­ment muss ent­spre­chend adap­tiert werden.

Die NIS2 Anfor­de­run­gen müs­sen nicht nur doku­men­tiert und imple­men­tiert, son­dern auch gelebt wer­den. Dies wird mit regel­mä­ßi­gen Audits sicher­ge­stellt, damit sie nach bes­tem Wis­sen und Gewis­sen und nach dem Stand der Tech­nik geschützt sind und nicht zuletzt, um auch im Fal­le des Fal­les zu wis­sen was, wann zu tun ist und wer zu infor­mie­ren ist.

Für Cyber Secu­ri­ty und NIS2 wird dau­er­haft ein zusätz­li­ches Team von zwei bis drei Per­so­nen beschäftigt.

Vor­trag von Dipl.-Ing. Robert Lam­precht, KPMG

Herr Dipl.-Ing. Robert Lam­precht von der KPMG gibt in den nächs­ten Schrit­ten, einen kur­zen Über­blick, über das aktu­el­le Lage­bild und wo denn die hei­mi­schen Unter­neh­men am Beginn des Jah­res 2024 stehen.

Zurück­bli­ckend auf das Jahr 2023 kann man ein­deu­tig fest­hal­ten, dass die­ses Jahr im Punk­to Cyber­se­cu­ri­ty defi­ni­tiv in die Geschichts­bü­cher ein­ge­gan­gen ist. Denn gera­de beim The­ma Cyber­se­cu­ri­ty wur­den hei­mi­schen Unter­neh­men die künst­li­che Intel­li­genz über die Nacht direkt vor die Haus­tü­re gelegt, unge­plant und zum Teil natür­lich auch aus Man­gel an Alter­na­ti­ven, wie wir damit umge­hen wer­den und wel­che wei­te­ren Her­aus­for­de­run­gen vor uns ste­hen wer­den, wer­den uns die nächs­ten 12 Mona­te zeigen.

Er erklärt, dass eines defi­ni­tiv fix sei, wenn wir zurück­bli­cken, aber auch in die Zukunft schau­en, herrscht eine gewis­se Form von Hek­tik in der Cyber­welt. Die­se Hek­tik herrscht genau des­halb, weil wir eine gewis­se Form einer Dys­ba­lan­ce haben. Eine Dys­ba­lan­ce, dass wir, wenn es um Pro­duk­te und Ser­vices geht, die wir erstel­len, das The­ma Fea­tures, also Funk­tio­nen, stark im Mit­tel­punkt stel­len, aber dem Punkt Secu­ri­ty nicht die­se Auf­merk­sam­keit noch schen­ken, die es eigent­lich benö­tigt. Das heißt also, der Appell oder der Schritt muss eigent­lich sein, dass wir Fea­tures und Sicher­heit eben­bür­tig machen und viel­leicht, wenn es sogar um die Auf­wen­de geht bzw. um den Bei­trag, den es leis­ten kann, hier sie sogar in glei­cher Funk­ti­on bzw. im glei­chen Umfang vor­han­den sind.

Genau aus die­sem Grund machen wir auch jedes Jahr unse­re Cyber­se­cu­ri­ty Stu­die gemein­sam mit dem Kom­pe­tenz­zen­trum Siche­res Öster­reich, wo im letz­ten Jahr 903 Unter­neh­men aus Öster­reich geant­wor­tet haben. Wir haben Gesprä­che mit Exper­tin­nen und Exper­ten geführt und sowohl Rück­bli­cke wie auch gewis­se Pod­casts unter ande­rem auch mit Vere­na Becker von der WKÖ, gemein­sam und Round­ta­ble Gesprä­che, um mehr zu wis­sen, wie es Unter­neh­men denn bei die­sem The­ma geht. Wenn wir auf die Zah­len bli­cken, so ist eines durch­aus mar­kant bzw. inter­es­sant im Ver­gleich zum Jahr 2022 haben Cyber­an­grif­fe im Jahr 2023 um mehr als 201% zuge­nom­men, das heißt wir spre­chen von einer Ver­drei­fa­chung der Angrif­fe gegen­über den letz­ten 12 Mona­ten. Nun ist ein Angriff noch nicht immer gleich der Erfolg eines Cyber­kri­mi­nel­len bzw. eine Täter­grup­pe, aber jeder ach­te Cyber­an­griff auf die kri­ti­sche Infra­struk­tur ist erfolg­reich, das heißt Cyber­kri­mi­nel­le kau­fen sich das soge­nann­te 7 +1 Paket, sie­ben Fehl­ver­su­che, der Ach­te wird dann erfolg­reich sein. Im Ver­gleich dazu, über alle Unter­neh­men in unse­rer Popu­la­ti­on lie­gen wir bei jedem zehn­ten Angriff, das heißt die kri­ti­sche Infra­struk­tur ist durch­aus verwundbarer.

Wel­che Form von Angrif­fen haben wir nun hier beson­ders zu verzeichnen:

Fishing; dies hat jedes Unter­neh­men in den letz­ten 12 Mona­ten erlebt, das ken­nen wir, das liegt schon fast an der Tagesordnung.

Busi­ness E‑Mail Com­pro­mi­se oder CEO Fraud hat­ten 80% der Unter­neh­men im Bereich der kri­ti­schen Infra­struk­tur, hier lie­gen wir etwas unter­halb des öster­reich­schnitts im Bereich des Angriffs. In Punk­to Social Engi­nee­ring, also der Mani­pu­la­ti­on oder der geziel­ten Beein­flus­sung lie­gen wir bei 56%.

Bei einem Punkt lässt es sich beson­ders auf­hor­chen, die kri­ti­sche Infra­struk­tur und hier geht es um die Angrif­fe auf die Lie­fer­ket­ten. Denn jeder drit­te Angriff zielt auf die Lie­fer­ket­ten ab und hier haben wir ein Plus von 21% in der Popu­la­ti­on, das heißt also hier ist defi­ni­tiv Hand­lungs­be­darf gege­ben, damit wir es den Angrei­fer mög­lichst schwer machen.

Wie sieht es nun im Spe­zi­el­len aus, wenn wir uns mit der kri­ti­schen Infra­struk­tur noch aus­ein­an­der­set­zen, womit beschäf­ti­gen sie sich. Nun, dass das The­ma NIS2 Richt­li­ni­en hier schon ange­kom­men ist, zei­gen unse­re Zah­len. Denn jedes zwei­te Unter­neh­men hat sich bereits damit beschäf­tigt. Eine gro­ße Her­aus­for­de­rung dabei ist aber vor allem die Absi­che­rung der ver­al­te­ten OT-Sys­te­me ver­sus die moder­nen Tech­no­lo­gien. Hier sehen knapp die Hälf­te der befrag­ten Unter­neh­men, eine beson­de­re Her­aus­for­de­rung und zu guter Letzt gera­de dann, wenn es um die Ver­ant­wor­tung geht, sehen 17% die Ver­ant­wor­tung für Sicher­heits­maß­nah­men gera­de bei den OT-Sys­te­men bei den Her­stel­lern oder Lie­fe­ran­ten. Aber hier gilt’s genau anzu­set­zen, damit die Ver­ant­wor­tung auch im eige­nen Haus bleibt, denn die Ver­ant­wor­tung kann ich natür­lich nicht an den Lie­fe­ran­ten übertragen.

Eine gro­ße Her­aus­for­de­rung dabei ist aber vor allem die Absi­che­rung der ver­al­te­ten OT-Sys­te­me ver­sus die moder­nen Tech­no­lo­gien. Hier sehen knapp die Hälf­te der befrag­ten Unter­neh­men, eine beson­de­re Herausforderung.
Dipl.-Ing. Robert Lam­precht, KPMG

Sehen wir uns noch zum Abschluss, das Lage­bild an, was sehen Unter­neh­men als nor­ma­les Tages­ge­schäft, also was sind Din­ge, mit denen sie sich schon regel­mä­ßig aus­ein­an­der­set­zen und so sehen wir, dass wir im Jahr 2023 Fishing als nor­ma­les Tages­ge­schäft sehen, an ers­ter Stel­le, gefolgt vom CEO Fraud und den DDoS Atta­cken also Dis­tri­but Deni­al of Ser­vice Angrif­fe wo es dar­um geht, mit Über­last­an­grif­fen mehr oder weni­ger unse­re Infra­struk­tur in die Knie zu bekommen.

Wor­an wir aller­dings sehen, dass es nicht ein­fa­cher gewor­den ist, son­dern ganz im Gegen­teil, anspruchs­vol­ler gewor­den ist, das unter­strei­chen wie­der­um die Zah­len unse­rer beson­de­ren Her­aus­for­de­run­gen und so sehen wir, dass wir eine Ver­än­de­rung gehabt haben, näm­lich das staat­lich oder staat­lich unterstützte

Akteu­re und Angrif­fe hier domi­nie­ren. Gefolgt von Platz 2 der Ran­som­wa­re und Platz 3 dem Insi­der Thread einem, der in der Ver­gan­gen­heit etwas unter­schätz­ten Phä­no­men, denn gera­de auch der Innen­tä­ter ist beim punk­to Cyber­an­grif­fen nicht außer Acht zu las­sen, denn er kann die Mög­lich­keit und die Gele­gen­heit nut­zen um hier ent­spre­chend auch Kon­troll­schwä­chen und Kon­troll­lü­cken aus­nüt­zen. Also die Zah­len zei­gen, dass sich Unter­neh­men damit beschäf­ti­gen und aus­ein­an­der­set­zen, aber aller­dings sehen wir auch noch, dass es eini­ges an Hand­lungs­be­darf gibt und das natür­lich auch eine der Fol­gen ist, war­um sei­tens des Gesetz­ge­bers die NIS2 Richt­li­nie nun ins Leben geru­fen wurde.

Vor­trag von Wolf­gang Schwa­bel, A1

Wolf­gang Schwabl, Cyber Secu­ri­ty Offi­cer und Chief Secu­ri­ty Offi­cer von A1 schil­dert: Im Jahr 2020 hat­ten wir lei­der Got­tes eine Cyber­at­ta­cke, die Angrei­fer haben uns gehackt, die Besei­ti­gungs­maß­nah­men des Scha­dens waren schon enorm. Das Schwie­rigs­te ist, der Ver­trau­ens­ver­lust, den man hat. Wir sind der größ­te Pro­vi­der, wir sind Teil der kri­ti­schen Infra­struk­tur und wenn das nicht funk­tio­niert, dann ist das ein volks­wirt­schaft­li­cher Scha­den für Öster­reich. Hät­ten wir NIS2 imple­men­tiert, zum Zeit­punkt 2020, dann hät­ten wir den Cyber­an­griff nicht so gehabt, wie er pas­siert ist. Je mehr Unter­neh­men cyber­mä­ßig geschützt sind, des­to resi­li­en­ter ist unse­re Gesell­schaft gegen Cyber­an­grif­fe. Man hofft halt, so wie bei einem Brand, dass nie etwas pas­siert, aber das stimmt nicht im Cyber­space, frü­her oder spä­ter kommt jeder dran.

Hät­ten wir NIS2 imple­men­tiert, zum Zeit­punkt 2020, dann hät­ten wir den Cyber­an­griff nicht so gehabt, wie er pas­siert ist.“
Wolf­gang Schwabl, A1

Vor­trag von Mag. Vere­na Becker, WKÖ

Frau Mag. Vere­na Becker, WKÖ: Wie gera­de vom Wolf­gang Schwabl von der A1 gehört, je mehr Unter­neh­men geschützt sind, des­to cyber­re­si­li­en­ter ist unse­re Gesell­schaft. Als Gan­zes und genau das ist auch der Grund, war­um es die NIS2 Richt­li­nie gibt. Drei­mal mehr Angrif­fe war in der KPMG-Stu­die zu sehen, das heißt, dass wir im Bereich Cyber Secu­ri­ty wirk­lich auf­hol­be­darf haben um den Cyber­kri­mi­nel­len auch etwas ent­ge­gen­zu­set­zen zu können.

Wo ste­hen wir mit der Gesetz­ge­bung jetzt, nun 2016 hat es die ers­te, soge­nann­te NIS-Richt­li­nie gege­ben, auf­grund derer dann das öster­rei­chi­sche NIS Gesetz 2018 ver­ab­schie­det wur­de. Vor genau einem Jahr im Jän­ner wur­de vom EU- Gesetz­ge­ber die NIS2 Richt­li­nie ver­ab­schie­det. Offen ist nun noch die natio­na­le Umset­zung, dass heißt, die Vor­ga­be der NIS2 Richt­li­nie ist es, dass die Mit­glied­staa­ten, sprich der öster­rei­chi­sche Gesetz­ge­ber bis 17. Okto­ber 2024 ein ent­spre­chen­des Gesetz ein NIS2 Gesetz oder Cyber­si­cher­heits­ge­setz ver­ab­schie­den, das dann direkt für die Unter­neh­men gilt. Ich darf drin­gend raten, nicht auf das Gesetz zu war­ten. Die­ses Gesetz wird in wesent­li­chen Tei­len die Richt­li­ni­en, wirk­lich eins zu eins fast abschrei­ben. Die Unter­neh­men brau­chen Zeit für die Imple­men­tie­rung der Maß­nah­men, das heißt bit­te war­ten Sie nicht auf das Gesetz, star­ten Sie jetzt damit. Auch die Cyber­kri­mi­nel­len war­ten nicht, bis die Gesetz­ge­ber hier tätig sind.

Ich darf drin­gend raten, nicht auf das Gesetz zu war­ten. Die­ses Gesetz wird in wesent­li­chen Tei­len die Richt­li­ni­en, wirk­lich eins zu eins fast abschreiben.
Mag. Vere­na Becker, WKÖ

Was ist NIS2 über­haupt, NIS steht für die Sicher­heit von Netz und Infor­ma­ti­ons-Sys­te­men, wie gesagt, han­delt es sich um eine Richt­li­nie, das heißt die Richt­li­nie muss zuerst in ein natio­na­les Gesetz umge­setzt wer­den, dann ist es für Sie als Unter­neh­men ver­bind­lich. Was ist der Kern der Richt­li­nie, nun Risi­ko­ma­nage­ment Maß­nah­men und wenn etwas pas­siert, wenn Sie einen sicher­heits­re­le­van­ten Vor­fall haben, dann müs­sen Sie das bei der NIS-Behör­de mel­den. Wich­tigs­te Fra­ge immer, bei den Unter­neh­men, bin ich über­haupt betrof­fen. Nun ganz all­ge­mein sind gro­ße und mitt­le­re Unter­neh­men bestimm­ter Sek­to­ren betrof­fen, wenn sie jetzt in einem klei­nen Unter­neh­men tätig sind mit weni­ger als 50 Mit­ar­bei­tern, bit­te noch nicht auf­at­men, denn es gibt auch hier Aus­nah­me­re­ge­lun­gen, vor allem im Bereich der digi­ta­len Infra­struk­tur. Sprich bei den Netz­be­trei­bern sind auch klei­ne Unter­neh­men betrof­fen, indi­rekt betrof­fen sind auch die Lie­fer­ket­ten wie wir gehört haben. Ein Drit­tel der Angrif­fe der Cyber­at­ta­cken zie­len bereits auf die Lie­fer­ket­te ab und des­we­gen hat der Gesetz­ge­ber ent­spre­chend in den NIS2 Richt­li­nie die­se auf­ge­nom­men. Wie gesagt, das Gesetz liegt noch nicht vor, bit­te alle Infor­ma­tio­nen natür­lich noch vor­be­halt­lich. Die natio­na­le Umset­zung in ein Gesetz sind noch offen z.B. wie wer­den sich die Unter­neh­men regis­trie­ren müs­sen. Aber die wesent­li­chen Inhal­te, wie die zehn Risi­ko­ma­nage­ment Maß­nah­men, Mel­de­pflich­ten, dass etwas getan wer­den muss, das liegt vor, da ist jetzt Han­deln gefragt.

Grund­satz­fra­ge, bin ich betrof­fen, ja wenn sie Netz­be­trei­ber sind, dann sind sie betrof­fen. Aber war­um und wie, wenn wir in die Richt­li­nie hin­ein­schau­en, in den Arti­kel 2, dann steht hier, die Richt­li­nie gilt für öffent­li­che oder pri­va­te Ein­rich­tun­gen, der in den Anhän­gen 1 und 2 genann­ten Art. Ich wei­se sie dar­auf hin, dass die Wör­ter öffent­li­che oder pri­va­te Ein­rich­tun­gen ste­hen , es steht hier nicht Unter­neh­men oder GmbHs, aber es könn­ten bei­spiels­wei­se genau­so Genos­sen­schaf­ten oder Ver­ei­ne, die unter die NIS2 Richt­li­nie fal­len. Schau­en wir uns jetzt an, was das bedeu­tet, alle Sek­to­ren, die mit hoher Kri­ti­k­ali­tät betrof­fen sind. Im Anhang 2 fin­den wir die sons­ti­gen und eben auch die digi­ta­le Infra­struk­tur, nun was sind jetzt digi­ta­le Infra­struk­tu­ren. Das ist ein rela­tiv brei­ter Begriff, digi­ta­le Infra­struk­tur ist unter ande­rem auch Anbie­ter öffent­li­cher, elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­net­ze oder Anbie­ter öffent­lich zugäng­li­cher elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­diens­te. Genau um die geht es heu­te, sie haben grund­sätz­lich gehört, dass sich NIS2 an mitt­le­re oder gro­ße Ein­rich­tun­gen rich­tet, aber die Richt­li­nie sagt eben aus­drück­lich, dass genau die­se Anbie­ter von öffent­li­chen elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­net­zen oder elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­diens­ten unab­hän­gig von der Grö­ße betrof­fen sind. Dies bedeu­tet, dass hier auch klei­ne Netz­be­trei­ber in den Anwen­dungs­be­reich der Richt­li­nie fal­len bzw. in Zukunft des Geset­zes. Noch ein­mal zusam­men­ge­fasst, wenn sie Netz­be­trei­ber sind und in einem klei­nen Unter­neh­men tätig sind, dann sind sie eine soge­nann­te wich­ti­ge Ein­rich­tung. Nach NIS2, was ist nun ein klei­nes Unter­neh­men; klei­nes Unter­neh­men defi­niert die EU Emp­feh­lung als ein Unter­neh­men bis zu 49 Beschäf­tig­te und bis zu 10 Mil­lio­nen Jah­res­um­satz oder Jah­res­bi­lanz­sum­me. Wenn sie ab 50 Beschäf­tig­te im Unter­neh­men haben, es geht um Voll­zeit­an­ge­stell­te, oder mehr als 10 Mil­lio­nen Jah­res­um­satz haben, dann sind Sie bereits ein mitt­le­res oder gro­ßes Unter­neh­men und dann sind sie eine soge­nann­te wesent­li­che Ein­rich­tung nach der NIS2 Richtlinie.

Nun was ist jetzt die­ser Unter­schied, wich­ti­ge und wesent­li­che Ein­rich­tung und wie sind die Grö­ßen­schwel­len. Falls sie sich da noch nicht aus­ken­nen, kann man Ein­zel­fall­prü­fung, die man anhand die­ser Emp­feh­lun­gen der EU-Kom­mis­si­on durchführen.

Zur Ori­en­tie­rung kli­cken Sie sich bit­te durch unse­ren Online Rat­ge­ber ratgeber.wko.at/nis2, dort haben sie zwei bis fünf Klicks und sie bekom­men eine Erst­ein­schät­zung, ob Sie betrof­fen sind oder ob sie eine wich­ti­ge Ein­rich­tung oder sogar wesent­li­che Ein­rich­tung im Sin­ne der NIS2 Richt­li­nie sind.

Anmer­kung SEC4YOU: Wir haben unter fol­gen­dem Link https://www.sec4you.com/nis2-entscheidungsbaum/ eine Ent­schei­dungs­ma­trix erstellt, die auf einen Blick die NIS2 Betrof­fen­heit darstellt.

Was bedeu­tet die­se Unter­schei­dung, wesent­li­che Ein­rich­tun­gen, ab mitt­le­rer Unter­neh­mens­grö­ße, sprich ein Netz­be­trei­ber ab 50 Beschäf­tig­ten oder ab 10 Mil­lio­nen Jah­res­um­satz. Was bedeu­tet das, die Risi­ko­ma­nage­ment Maß­nah­men sind an und für sich Grö­ßen unab­hän­gig, zu sehen, je nach Risi­ko. Aller­dings gibt es bei der Auf­sicht und bei den Sank­tio­nen Unter­schie­de, wenn Sie eine wesent­li­che Ein­rich­tung sind, dann unter­lie­gen sie einer vor­ab Auf­sicht einer soge­nann­ten „ex-ante“ Auf­sicht, das heißt die Behör­de kann sie jeder­zeit kon­trol­lie­ren kann Stich­pro­ben, Kon­trol­len machen, kann auch jeder­zeit Sicher­heit Scans und ähn­li­ches durch­füh­ren. Ganz wich­tig, sie wer­den sich regel­mä­ßig, vor­aus­sicht­lich alle drei Jah­re, einem Audit unter­zie­hen müs­sen. Das heißt, sie suchen sich einen NIS2 Audi­tor, ein ent­spre­chend legi­ti­mier­tes Unter­neh­men und beauf­tra­gen die­ses Unter­neh­men sie zu prüfen.

Wo gibt’s noch einen Unter­schied bei den Sank­tio­nen, wesent­li­che Ein­rich­tun­gen haben eine Sank­ti­ons­hö­he bis zu 10 Mil­lio­nen Euro oder 2% des welt­wei­ten Umsat­zes. Klei­ne Netz­be­trei­ber hin­ge­gen wer­den nur „ex-post“ kon­trol­liert, das heißt, nur bei einem begrün­de­ten Ver­dacht, also wenn sich Ver­dachts­mo­men­te erge­ben. Bei­spiels­wei­se durch eine gro­ße Cyber­si­cher­heits­at­ta­cke die Medi­al auf­schlägt, dann kann die Behör­de kon­trol­lie­ren. Kom­men aber nicht jeder­zeit vor­ab und als klei­nes Unter­neh­men müs­sen sie auch kei­ne regel­mä­ßi­gen Audits durch­füh­ren las­sen. Auch die Straf­hö­hen sind ent­spre­chend redu­ziert. Wir hof­fen natür­lich, dass es gar nicht dazu kommt muss, son­dern dass dies wirk­lich nur die ulti­ma ratio sein wird.

Was müs­sen sie also tun, was ist der Kern der NIS2 Richt­li­nie. Der aller­ers­te Schritt vor­be­halt­lich des Geset­zes, das wir noch sehen wer­den ist, sie müs­sen sich als Unter­neh­men selbst ein­stu­fen. Das heißt, sie müs­sen für sich selbst erken­nen, fal­le ich in den Anwen­dungs­be­reich der NIS2 Gesetz­ge­bung oder nicht, wie gesagt, wenn sie Netz­be­trei­ber sind, dann fal­len sie ganz klar hin­ein. Sie müs­sen auch bei der Regis­trie­rung sagen, ob sie wesent­lich oder wich­ti­ge Ein­rich­tung sind, wie gesagt, wesent­li­che Ein­rich­tung ab mitt­le­rer Unter­neh­mens­grö­ße. Der­zeit gibt’s auf­grund der jet­zi­gen NIS 1 Gesetz­ge­bung einen Bescheid, so wie wir vor­her auch gehört haben, dass bei­spiels­wei­se Kabel plus einen Bescheid erhal­ten haben, das hat die NIS 1 Gesetz­ge­bung betrof­fen. Hier waren 99 Unter­neh­men in Öster­reich der kri­ti­schen Infra­struk­tur betrof­fen, die ganz klar einen recht­li­chen Bescheid bekom­men haben, die unter NIS 1 gefal­len sind. In Zukunft wird sich das ändern, wir rech­nen mit einem wesent­lich höhe­ren Betrof­fe­nen Kreis, mit ca. 4000 Unter­neh­men die direkt betrof­fen sind und die­se müs­sen sich selbst ein­stu­fen und wer­den sich dann auch regis­trie­ren müssen.

Was bedeu­tet NIS2 im Unter­neh­men, es betrifft drei ganz gro­ße The­men­be­rei­che, zuerst ein­mal natür­lich die Risi­ko­ma­nage­ment Maß­nah­men, denn bei erheb­li­chen Sicher­heits­vor­fäl­len müs­sen sie das an die NIS Behör­de mel­den. Wir ken­nen ähn­li­ches schon von der Daten­schutz­be­hör­de mit der DSGVO und wir haben auch eine Ver­ant­wort­lich­keit des Topmanagements.

Zu den Risi­ko­ma­nage­ment­maß­nah­men wird uns Robert Lam­precht dann noch eini­ges im Detail beschrei­ben, wie sie das im Unter­neh­men am bes­ten umset­zen kön­nen, wie sie das ange­hen kön­nen. Die Richt­li­nie nennt die soge­nann­ten „Big Ten“, also zehn Risi­ko­ma­nage­ment­maß­nah­men. Dies ist, an und für sich für Leu­te, die sich mit Infor­ma­ti­ons­si­cher­heit befas­sen nicht viel Neu­es, es ist aber natür­lich trotz­dem für vie­le Unter­neh­men eine gro­ße Herausforderung.

Wich­tig ist, die Risi­ko­ma­nage­ment Maß­nah­men sind nach dem Stand der Tech­nik, nach den gel­ten­den Nor­men und auch dem Risi­ko und den Kos­ten ange­mes­sen zu set­zen. Ein Punkt ist beson­ders wich­tig, dass ist die Sicher­heit der Lie­fer­ket­te, aber auch dazu wer­den wir dann noch im Detail etwas hören.

Was mache ich, wenn ich einen erheb­li­chen Sicher­heits­vor­fall habe, hier habe ich ein drei­stu­fi­ges Mel­de­ver­fah­ren, anders als nach der Daten­schutz­grund­ver­ord­nung, muss die Behör­de sofort ver­stän­digt wer­den, denn die­se hat ein sehr hohes Inter­es­se, sehr schnell zu erfah­ren, ob es Sicher­heits­vor­fäl­le gibt, da man hofft, hier auch ande­re Markt­teil­neh­mer war­nen zu kön­nen oder unter­stüt­zen zu können.

Das heißt, die ers­te Frist ist eine Früh­war­nung, die soll mög­lichst schnell an die Behör­de erfol­gen, bis maxi­mal 24 Stun­den nach Kennt­nis, also eine sehr sport­li­che Frist, über­haupt wenn man natür­lich bedenkt, dass die Cyber­kri­mi­nel­len ger­ne zur Unzeit angrei­fen. Wenn ein Cyber­si­cher­heits­vor­fall am 25. Dezem­ber um 0 Uhr pas­siert, kann man sich vor­stel­len, wie schwie­rig es ist auch die­se Fris­ten ein­zu­hal­ten. Bis zu 72 Stun­den nach­her müs­sen Sie schon eine fun­dier­te­re Mel­dung abge­ben, also eine erst Bewer­tung des Sicher­heits­vor­falls, ja wel­che Kom­pro­mit­tie­rungs­in­di­ka­to­ren habe ich, wie schwer ist der Vor­fall, auch eine fun­dier­te­re Ein­schät­zung, ob es sich hier um eine Cyber­at­ta­cke han­delt oder ob ich einen ande­ren Vor­fall habe.

Bis zu einem Monat nach der ers­ten Mel­dung muss ich eine Abschluss Mel­dung abge­ben bzw. lei­der wis­sen wir, dass vie­le Cyber­at­ta­cken die Unter­neh­men durch­aus län­ger als einen Monat beschäf­ti­gen. Dann müs­sen sie nach einem Monat einen Zwi­schen­be­richt mit einer aus­führ­li­chen Beschrei­bung, was sie als Abhil­fe­maß­nah­men gesetzt haben, abgeben.

Ein wich­ti­ges Kapi­tel in der NIS2 Richt­li­nie ist Gover­nan­ce, es war dem NIS2 Gesetz­ge­ber hier offen­bar wirk­lich ein Anlie­gen, dass man die Lei­tung des Unter­neh­mens in die Pflicht nimmt. Das Cyber­se­cu­ri­ty wirk­lich zu Che­fin­nen- und zur Chef­sa­che macht und hier auch die Ver­ant­wort­lich­keit des Top­ma­nage­ments ernst nimmt. Es ist bei­spiels­wei­se auch sta­tu­iert, dass sich das Top­ma­nage­ment Schu­lun­gen im Bereich Cyber Secu­ri­ty unter­zie­hen muss. Was ist nun das Top­ma­nage­ment, was ist das Lei­tungs­or­gan, wie es die NIS2 Richt­li­nie nennt. Dies ist klas­sisch, bei der GmbH der Geschäfts­füh­rer und der Pro­ku­rist wäre

Es war dem NIS2 Gesetz­ge­ber hier offen­bar wirk­lich ein Anlie­gen, dass man die Lei­tung des Unter­neh­mens in die Pflicht nimmt. Das Cyber­se­cu­ri­ty wirk­lich zu Che­fin­nen- und zur Chef­sa­che macht.
Mag. Vere­na Becker, WKÖ

Bei der Akti­en­ge­sell­schaft gemeint, der Vor­stand aber auch durch­aus der Auf­sichts­rat. Mit Lei­tungs­or­gan ist das Top­ma­nage­ment gemeint, das hier in die Ver­ant­wor­tung genom­men wird, es ist aber nicht gemeint, dass das der IT-Lei­ter ist. Bei­spiels­wei­se geht es dar­um, dass der­je­ni­ge in die Pflicht genom­men wird, der auch stra­te­gisch die Ent­schei­dun­gen trifft, der auch per­so­nel­le oder finan­zi­el­le Res­sour­cen dafür zur Ver­fü­gung stel­len kann oder muss.

Was ist, wenn ich nichts tue, ist eine Fra­ge, die ein biss­chen hin­ter vor­ge­hal­te­ner Hand gestellt wird, nun wir sind vor­her schon kurz auf die Sank­tio­nen ein­ge­gan­gen, wie bei der Daten­schutz­grund­ver­ord­nung, nur wer die Stra­fen kennt, weiß die sind beacht­lich, bis zu 10 Mil­lio­nen Euro oder 2% des welt­wei­ten Jah­res­um­sat­zes. Das sind immer noch ordent­li­che Straf­bro­cken und wie gesagt, ich habe auch eine per­sön­li­che Haf­tung für die Lei­tungs­or­ga­ne, wobei was ist, wenn ich nichts tue. Ich glau­be, die aller­größ­te Gefahr sind natür­lich Cyber­at­ta­cken und letzt­end­lich gilt es sich vor denen zu schüt­zen, denn hier kann ich natür­lich nicht auf das Prin­zip bera­ten, statt auf Stra­fen zu hof­fen, denn die Cyber Kri­mi­nel­len holen sich das Geld dort, wo sie es bekom­men, und sind gnadenlos.

Das waren prin­zi­pi­ell die wich­tigs­ten legis­ti­schen Inhal­te, die Behör­den die zustän­di­gen für NIS sind, sind der­zeit Bun­des­kanz­ler­amt für die stra­te­gi­sche Aus­rich­tung und auch das BMI für die ope­ra­ti­ve Aus­rich­tung. Hier wer­den auch E‑Mailadressen zwecks offe­nen Fra­gen oder Feed­back ent­ge­gen­ge­nom­men. Die Wirt­schafts­kam­mer sieht sich natür­lich als ihre hof­fent­lich ers­ten Ansprech­part­ner, sie fin­den auf der Web­site wko.at/nis2 dazu alle Infor­ma­tio­nen, die Ihnen genannt wur­de, sie fin­den auch Web­i­nar Auf­zeich­nung, oder den Online Rat­ge­ber IT-Secu­ri­ty Exper­ten und sie fin­den gene­rell zu Cyber­si­cher­heit auch auf der Sei­te IT- safe. at lau­fend Tipps, Infor­ma­tio­nen und Tools, die Sie nut­zen kön­nen und ger­ne in Anspruch neh­men können.

Ein Tipp von Fr. Mag Becker: bit­te nut­zen Sie die Gele­gen­heit, berei­ten Sie sich recht­zei­tig vor! Sie haben noch durch­aus eini­ge Mona­te, um ihr Unter­neh­men auch Cyber-Fit zu machen.

Vor­trag von Robert Lam­precht, KPMG

Wie machen wir unser Unter­neh­men Cyber-Fit, wel­che Risi­ko­ma­nage­ment Maß­nah­men müs­sen getä­tigt wer­den, um eine Por­ti­on Mehr an Sicher­heit errei­chen zu können?

Denn es ist kein 100 m Lauf, son­dern es ist eher ein Mara­thon den wir lau­fen müs­sen, aber genau des­halb ist es jetzt eben der rich­ti­ge Zeit­punkt anzu­fan­gen bzw. los­zu­le­gen, um ein­fach stän­dig immer bes­ser und bes­ser zu werden.

Als nächs­tes möch­ten wir Ihnen einen Blick auf die gro­ßen Zehn geben, das war nicht nur eine legen­dä­re Chart Show mit Udo Huber, son­dern auch die Top-Maß­nah­men die wir uns im Punkt NIS2 und im Punk­te der Risi­ko­ma­nage­ment-Maß­nah­men anschau­en müs­sen. Also die Hit­lis­te der Her­aus­for­de­run­gen, um die es geht, die sie als Unter­neh­men auf dem Radar bzw. im Blick haben soll­ten. Eine der wich­tigs­ten Punk­te, auch wenn es viel­leicht für man­che wie etwas Altes her­vor­ge­kram­tes klingt, ist das Risi­ko­ma­nage­ment und die Risi­ko­ma­nage­ment-Maß­nah­me, es ist gut zu wis­sen, was soll­te ich denn eigent­lich schützen.

Wir alle spre­chen vom Fach­kräf­te­man­gel, wir alle wis­sen, dass wir in den Unter­neh­men zu wenig Res­sour­cen haben, aber irgend­wie ob der Fül­le der The­men über­rascht und über­rannt zu wer­den, aber genau hier star­tet die Risi­ko­ana­ly­se und das Risi­ko­ma­nage­ment an, um die Prio­ri­tä­ten zu set­zen. Was sind denn die Bedro­hun­gen mit denen ich es als Unter­neh­men zu tun habe, wo lie­gen denn mei­ne beson­ders schüt­zens­wer­ten Güter und mit wel­cher Metho­de möch­te ich denn eigent­lich das Risi­ko­ma­nage­ment machen. Das Risi­ko­ma­nage­ment stellt eigent­lich die Basis dar, mit der wir alle nach­fol­gen­den Maß­nah­men und Akti­vi­tä­ten auf­bau­en kön­nen und eine der wesent­li­chen Schrit­te bzw. bei Audits ist immer einer der wesent­li­chen Fra­ge, wel­che Risi­ken haben sie und haben sie die­se struk­tu­riert erfasst und struk­tu­riert ver­ar­bei­tet. Also ach­ten Sie dar­auf, dass Sie hier auf bestehen­de Werk­zeu­ge, wie die ISO 27005 als Frame­work ver­wen­den, aber es gibt auch vie­le ande­re wie den ISO Stan­dard of Good Prac­ti­ce Kram oder vie­le mehr, wich­tig ist, sie haben eine Metho­de nach der sie struk­tu­riert abar­bei­ten kön­nen. Gera­de beim Risi­ko­ma­nage­ment ist es auch ent­schei­dend, Risi­ko Akzep­tanz Kri­te­ri­en fest­zu­le­gen, das heißt ab wel­cher Schwel­le sagen sie, hier wäre der Auf­wand viel zu hoch um das Risi­ko zu kom­pen­sie­ren, denn der Scha­den der ent­steht, steht eigent­lich nicht der Maß­nah­me gegen­über. Also eine Dau­men-mal-Pi-Regel wird hier zu wenig sein, aber struk­tu­riert und doku­men­tiert wird das Gan­ze nach­voll­zieh­bar, damit sie dem Prü­fer und der Behör­de gegen­über argu­men­tie­ren kön­nen, war­um sie die­se bewuss­te Ent­schei­dung getrof­fen haben. Das Risi­ko­ma­nage­ment unter­stützt uns dabei, die Nach­voll­zieh­bar­keit der bewuss­ten Ent­schei­dun­gen zu doku­men­tie­ren, aber auch in wei­te­rer Fol­ge Prio­ri­tä­ten zu set­zen, wo wir die Ver­bes­se­rungs­maß­nah­men anset­zen wol­len bzw. wo wir denn unse­re ver­füg­ba­ren Res­sour­cen, unse­re ver­füg­ba­ren Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter, denn ins Ren­nen schi­cken wol­len, um Ver­bes­se­run­gen zu erstellen.

Das Risi­ko­ma­nage­ment unter­stützt uns dabei, die Nach­voll­zieh­bar­keit der bewuss­ten Ent­schei­dun­gen zu doku­men­tie­ren, aber auch in wei­te­rer Fol­ge Prio­ri­tä­ten zu setzen.
Robert Lam­precht, KPMG

Im ers­ten Schritt emp­fiehlt es sich, Qua­li­ta­tiv zu machen, das heißt eine qua­li­ta­ti­ve Metho­de mit­tels Ein­tritts­wahr­schein­lich­keit und Scha­dens­hö­he, ist hier ein guter Schritt und wenn Sie schon etwas Übung dar­in haben, gehen Sie den nächs­ten Schritt und machen sie es quan­ti­ta­tiv. Legen Sie auch wirk­lich finan­zi­el­le Wer­te dahin­ter, ver­su­chen Sie es reell zu bewer­ten, damit Sie den Scha­den auch gut quan­ti­fi­zie­ren kön­nen. Jetzt haben wir uns mit dem Risi­ko­ma­nage­ment im ers­ten Schritt aus­ein­an­der­ge­setzt und wir wis­sen unge­fähr in wel­chen Risi­ko­spiel­feld wir uns befin­den, wo wir uns bewe­gen und wir wis­sen nun auch, in wel­chem Umfeld wir tätig sind.

Im zwei­ten Schritt müs­sen wir unse­re Über­le­gun­gen anstel­len, um zu sehen, wie reagie­ren wir denn dar­auf, was sind unse­re Ant­wor­ten auf die­se Risi­ken und Fr. Mag Becker hat schon vor­her berich­tet, es gibt auch eine gewis­se Ver­ant­wor­tung der Geschäfts­füh­rung. Das Lei­tungs­or­gan wird viel stär­ker ein­ge­bun­den, des­halb brau­chen wir auch die­se soge­nann­ten Poli­ci­es, es braucht die­sen tone from the top, es braucht die Unter­stüt­zung durch die Geschäfts­füh­rung, die auch hier defi­niert, was wol­len wir denn bzw. was ist uns wich­tig. Das heißt in wel­cher Kul­tur bewe­gen wir uns, wel­che Zie­le ver­fol­gen wir im Punkt Sicher­heit und das mani­fes­tiert sich in die­ser Enter­pri­se Infor­ma­ti­on Secu­ri­ty Poli­cy. Das ist qua­si der ers­te Schritt um dann in wei­te­rer Fol­ge in die tech­ni­schen Details ein­zu­stei­gen und von die­ser Poli­cy aus­ge­hend, gehen wir Schritt für Schritt. Wei­ter gehen wir zu den Stan­dards, das heißt, wel­che Mini­mum Secu­ri­ty, wel­che Mini­mum Secu­ri­ty Stan­dards haben wir, den­ken wir hier zum Bei­spiel an mini­ma­le Pass­wort­län­ge. Ich weiß, acht Zei­chen tut man­chen schon jetzt weh, aber benö­ti­gen wür­den wir 12 oder 14 Zei­chen viel­leicht, oder wie oft wol­len wir Pass­wör­ter wech­seln oder wel­che Betriebs­sys­te­me ver­wen­den wir und vie­les, vie­les mehr. Also das mani­fes­tiert sich da drin­nen. In wei­te­rer Fol­ge geht’s um die Ablei­tung der Pro­ce­de­res , das heißt wie sind unse­re Hand­lungs­an­wei­sun­gen wenn wir z.B. auf einen Sicher­heits­vor­fall drauf kom­men. Was sind da die ers­ten Schrit­te oder aber Sie haben z.B. eine Netz­in­fra­struk­tur und haben dort bei ihren Swit­ches wo sie die Call Data Records Erfas­sung zu machen Updates durch­zu­füh­ren, wie machen Sie denn das die­se Updates damit sie kei­ne ope­ra­ti­ven Aus­fäl­le haben oder das Gan­ze auch nach­voll­zieh­bar ist und dem Chan­ge Manage­ment folgt.

Hier ist ein wich­ti­ger Appell, Poli­ci­es gehö­ren doku­men­tiert und frei­ge­ge­ben, es nützt Ihnen nichts, wenn Sie eine Poli­cy irgend­wo lie­gen haben und sagen, ja da ist der Zet­tel, wo alles drauf steht, aber auf die nächs­te Fra­ge dann, hat das die Geschäfts­füh­rung frei­ge­ge­ben, sie nach­denk­lich in die Luft schau­en. Dann wird das zu wenig sein, das heißt, Poli­ci­es gehö­ren frei­ge­ge­ben, Poli­ci­es gehö­ren auch regel­mä­ßig reviewt und mit einer ent­spre­chen­den Doku­men­ten­len­kung ver­se­hen, also ach­ten Sie auch auf die Doku­men­ten­len­kung, die wir aus Stan­dards wie ISO 9000 oder ähn­li­ches ken­nen. Das mag viel­leicht etwas auf­wen­dig sein, aber es gehört dazu, damit hier die ent­spre­chen­den Vor­aus­set­zun­gen geschaf­fen wer­den. Eines der gro­ßen lei­di­gen The­men, die wir natür­lich im Punk­to Secu­ri­ty haben, dass die Angrei­fer unse­re Schwach­stel­len aus­nut­zen bzw. schau­en wie kom­men Sie zu uns rein und das pas­siert dann am bes­ten, wenn wir unse­re Sys­te­me viel­leicht nicht ganz aktu­ell hal­ten. Des­halb brau­chen wir siche­re Sys­tem­kon­fi­gu­ra­tio­nen und in Ana­lo­gie des Films „Catch me if you can“ muss die Devi­se bei uns im Punk­to Secu­ri­ty lau­ten „Patch me if you can“! Also regel­mä­ßi­ges Update, regel­mä­ßi­ge Här­tung der Sys­te­me und ein­mal im Jahr oder ein­mal im Halb­jahr einen Patch ein­zu­spie­len wird nicht rei­chen. Das ist defi­ni­tiv zu wenig, denn wir wis­sen, dass pro Quar­tal im Schnitt 9000 neue Stel­len bekannt wer­den, die mul­ti­pli­ziert man mal der Anzahl der Assets, da kommt schon ein ganz schö­nes Risi­ko zusam­men. Also Sys­te­me patchen, aktua­li­sie­ren und auch Vul­nerabi­li­ty Scans also Schwach­stel­len Scans machen, um ihren Foot­print von außen, ihre Risi­ko Expo­si­tur, sehen. Das kann auf jeden Fall hel­fen und ist auf jeden Fall ein sehr wich­ti­ger Schritt. Jetzt kann es natür­lich gera­de bei exo­ti­sche­ren Sys­te­men oder bei sehr spe­zi­fi­schen Sys­te­men den Umstand geben, dass sie nicht in der Lage sind die Sys­te­me zu patchen, weil der Her­stel­ler dann nicht mehr die ent­spre­chen­de War­tung oder den ent­spre­chen­den Sup­port gewähr­leis­tet bzw. kann die Sys­tem­sta­bi­li­tät nicht mehr garantieren.

Dann gilt’s im Punkt des Risi­ko­ma­nage­ments viel­leicht über alter­na­ti­ve Maß­nah­men nach­zu­den­ken das könn­te z.B. sein, dass wir die­se Sys­te­me in eige­ne Zonen oder in eige­ne Netz­werk­seg­men­te rein­zie­hen und dann mit ent­spre­chen­den Sicher­heits­maß­nah­men, hier auch wie­der­um Netz­werk­ver­kehr fil­tern bzw. ana­ly­sie­ren um hier z.B. auch kom­pen­sie­ren­de Maß­nah­men zu machen. Wenn sie Kabel­netz­be­trei­ber sind und Kabel­mo­dems haben auch z.B die Modems regel­mä­ßig zu aktua­li­sie­ren und ach­ten dar­auf, das auf die­sem Modems nicht irgend­wel­che Diens­te lau­fen von denen sie nicht Bescheid wis­sen und auf ein­mal gibt’s da viel­leicht einen tel­net Dienst oder einen alten SSH Dienst der usge­nutzt wer­den kann, weil er Schwach­stel­len hat. Also gera­de hier, siche­re Sys­tem­kon­fi­gu­ra­tio­nen in Form von Mini­mum Secu­ri­ty Base­lines fest­zu­hal­ten ist eine ist ein wich­ti­ger Schritt die Pro­dukt­her­stel­ler, die gro­ßen Pro­dukt­her­stel­ler haben hier auch eini­ge Emp­feh­lun­gen, sonst gibt’s noch CIS Bench­marks und ande­re Quel­len auf die sie zurück­grei­fen kön­nen. Aber auch der BSI Grund­schutz­ka­ta­log bie­tet hier auch eini­ge tech­ni­sche Details anhand derer Sie die Sys­tem­kon­fi­gu­ra­ti­on här­ten kön­nen bzw. für sich selbst das pas­sen­de raus­su­chen kön­nen. Aber Ach­tung, bit­te neh­men Sie es wirk­lich hier ernst, denn genau hier ist einer der Ein­tritts­punk­te die Angrei­fer aus­nut­zen wie z.B. nicht gepatch­te Fire­walls, die dann als Ein­falls­tor die­nen, um Ran­som­wa­re im Unter­neh­men zu verteilen.

Es ist müh­sam, ja es ist anstren­gend, ja es braucht Res­sour­cen, aber es ist die Grund­la­ge, die die Ver­füg­bar­keit und die Exis­tenz für die IT-Sys­te­me und für unse­re Infra­struk­tur garan­tiert. Ein wei­te­rer wich­ti­ger Aspekt und ein wei­te­rer wich­ti­ger Punkt gera­de aus der ope­ra­ti­ven Sicht her­aus ist auch die Netz­werk Seg­men­tie­rung, das heißt die Unter­tei­lung der Netz­wer­ke in unter­schied­lichs­te Zonen und Seg­men­te, damit wir hier den Daten­ver­kehr ent­spre­chend fil­tern und seg­men­tie­ren und auch steu­ern kön­nen. In Punk­to Ver­wal­tung und Admi­nis­tra­ti­on ist ein fla­ches Netz­werk natür­lich etwas sehr Ange­neh­mes. Wir soll­ten uns aller­dings im Jahr 2024 über­le­gen, ob das noch Stan­dard­tech­nik und zeit­ge­mäß ist. Wenn sie argu­men­tie­ren, ein fla­ches Netz, das passt und wir haben es im Griff, dann brau­chen sie schon sehr gute Argu­men­te, um das durch­zu­ste­hen. Denn eigent­lich führt heu­te kein Weg mehr an einer durch­ge­hen­den Netz­werk Seg­men­tie­rung vor­bei, wo sie Cli­ents und Ser­ver und vie­les mehr in unter­schied­lichs­te Zonen auf­tei­len kön­nen. Auch das tier­ing Kon­zept, das heißt Tier Zero, der inne­re Kern, wo die Exis­tenz oder die exis­ten­zi­el­len Sys­te­me drin­nen sind, da spre­chen wir von DNS von DHCP, von einem Acti­ve Direc­to­ry bis hin zu den Appli­ka­tio­nen, die wei­ter drau­ßen ste­hen. In dem Tier Kon­zept dann ent­spre­chend tei­len und zwi­schen den ein­zel­nen Zonen hier, die Netz­werk, den Netz­werk­ver­kehr fil­tern und ana­ly­sie­ren. Also ana­ly­sie­ren und Fil­tern nicht nur auf Ebe­ne von Paps also wireshark Netz­werk Traf­fic, son­dern auch auf flowe­be­ne wo sie wirk­lich den gesam­ten net­flow oder mit net­flow Daten poten­ti­el­le Angrei­fer erken­nen können.

Aus der eige­nen Pra­xis kann ich Ihnen nur sagen, die Über­ga­be­punk­te oder Über­gangs­punk­te zwi­schen den Zonen soll­ten sehr wohl gut gefil­tert sein, denn genau hier wol­len Sie ja wis­sen, ob unge­wünsch­ter Ver­kehr herrscht, damit sie dann rela­tiv rasch auch wie­der einen Sicher­heits­vor­fall aus­lö­sen kön­nen, um den Benach­rich­ti­gun­gen oder um den Mel­de­pflich­ten ent­spre­chend nachzukommen.

Es ist kom­plex, ja es ist kom­pli­ziert, aber schon mit klei­nen und ein­fa­chen Schrit­ten kom­men wir hier zum Ziel und kön­nen wie­der dazu bei­tra­gen eine Spur siche­rer und bes­ser zu wer­den. Neben der Netz­werk Seg­men­tie­rung ist natür­lich das lei­di­ge The­ma, der Ver­wal­tung der Berech­ti­gun­gen, des Berech­ti­gungs­ma­nage­ment und das Wach­sen von Cloud Diens­ten, ob der Ein­be­zie­hung von Cloud Lösun­gen natür­lich mit extre­mer Kom­ple­xi­tät behaf­tet, aber wir kön­nen auch hier wie­der mit ein­fa­chen Mit­tel und mit ein­fa­chen Schrit­ten, wie­der die Sicher­heits­ni­veaus erhö­hen. Das beginnt bereits damit, dass Admi­nis­tra­to­ren nicht mit ihrem her­kömm­li­chen User- Account die­se Tätig­kei­ten durch­füh­ren, das heißt hier eine strik­te Tren­nung von nor­ma­ler Office Tätig­keit und Sys­tem­ad­mi­nis­tra­ti­on. Wie­der im Ein­klang mit dem Tier­ing Kon­zept. Ein gesteu­er­tes und nach­voll­zieh­ba­res Berech­ti­gungs- und Benut­zer-Manage­ment. Wann hat wer wel­che Berich­ti­gun­gen bekom­men, wann ist wer ein­ge­tre­ten, wann ist wer aus­ge­schie­den und vie­les mehr. Das gan­ze natür­lich auch noch gemo­nit­ort, das heißt regel­mä­ßig geprüft ob die Berech­ti­gun­gen noch stim­men und rich­tig sind und bit­te machen sie das nicht nur für das Rech­nungs­le­gungs­sys­tem oder dort, wo sie ihre Buch­hal­tungs­da­ten haben, son­dern auch in der gesam­ten Netz­in­fra­struk­tur, wenn sie auch z.B. Core, Core Swit­ches oder den Core Back­bone Moni­to­ren wol­len. Sie wol­len ja wis­sen, ob einer ihrer Sys­tem Accounts kom­pro­mit­tiert wur­de. Dar­über hin­aus haben wir uns an Benut­zer­na­men und Pass­wort gewöhnt und Mul­ti­fak­tor Authen­ti­fi­zie­rung ist heute

ein­fach unum­gäng­lich, denn es stellt den zusätz­li­chen Schutz dar, wenn unse­re Zugangs­da­ten kom­pro­mit­tiert wur­den. Hier führt also kein Weg mehr dar­an vor­bei, dass wir Mul­ti­fac­tor Authen­ti­ca­ti­on ent­we­der mit einer Mul­ti­fak­tor-App machen oder mit einem Yubi­key oder mit einem zwei­ten Device . Was auch immer nötig ist, um hier ein­fach noch mehr Sicher­heit zu haben, um hier die Schran­ken und die Hür­den oder die Hemm­schwel­le für die Angrei­fer noch­mals zu erhö­hen. In vie­len Sicher­heits­vor­fäl­len wäre eine funk­tio­nie­ren­de Mul­ti­fac­tor Authen­ti­ca­ti­on der Schlüs­sel zum Erfolg gewe­sen, dass der Angrei­fer nicht wei­ter­ge­kom­men wäre.

Und last but not least, damit sie die­se Berech­ti­gungs­ver­wal­tung auch über­grei­fend machen kön­nen, ist es ein­fach ent­schei­dend, dass sie eine voll­stän­di­ge Asset Über­sicht haben, wir spre­chen hier von der Inven­tur. Durch­ge­hen und Equip­ment zäh­len, wie vie­le Kabel­mo­dems haben Sie, wie vie­le Core Swit­ches haben Sie, wie vie­le VM-Instan­zen haben Sie, wie vie­le Cloud Sub­scrip­ti­on haben Sie. Allein hier nur mal den Über­blick zu haben und den Fokus und Scope zu ken­nen, auf den sie ihre Kon­trol­len und Maß­nah­men anwen­den müssen.

Gera­de wenn es um die Digi­ta­li­sie­rung geht, ver­ges­sen wir hin und wie­der auch dass die phy­si­sche Sicher­heit einen ent­schei­den­den Bei­trag ist, das heißt der uner­laub­te Zutritt zu Asset, der uner­laub­te phy­si­sche Zugriff zu Asset, wird etwas unter­schätzt und gehört ein­fach heu­te auch mit dazu, dass wir phy­si­sche Zutrit­te ent­spre­chend regle­men­tie­ren und ein­schrän­ken. Das heißt nicht nur in unse­rem 19 Zoll Rack die Din­ge ein­sper­ren, son­dern auch über Zutritts Schlös­ser, über Video­über­wa­chung und vie­les mehr. Hier für einen hin­rei­chen­den Zutritts Schutz sor­gen und dass wie­der natür­lich pro­to­kol­liert und nach­voll­zieh­bar, damit wir ein­fach wis­sen, wer wann, zu wel­chem Zeit­punkt dort war. Gera­de dann aller­dings wenn ich weg bin von zen­tra­len Sys­te­men, wenn ich weg bin von mei­ner zen­tra­len Infra­struk­tur und eher in unter­schied­li­che Stand­or­te gehe, wenn ich irgend­wel­che Wahl­äm­ter oder Ver­teil­stel­len habe, wo ich mei­nen Daten­ver­kehr wei­ter­lei­te, gilt es auch einen hin­rei­chen­den Zugriffs­schutz zu haben.

Es kann z.B. sein, dass wenn jemand den Ver­teil­schrank öff­net, irgend­wo ein Alarm los­geht oder aber, dass das Häus­chen ent­spre­chend Video über­wacht ist, also den­ken Sie auch, dass phy­si­sche Sicher­heit auf den expo­nier­ten Stand­or­ten und expo­nier­ten Loca­ti­ons ein­fach unab­ding­bar ist. Natür­lich ent­spre­chend da der Auf­wand, ent­spre­chend des Risi­kos und ent­spre­chend der Kosten.

Aller­dings wird der Tag kom­men, an denen wir den Ernst­fall haben. Den Ernst­fall, wo wir schnell und rasch reagie­ren müs­sen. Des­halb ist es umso wich­ti­ger, dass wir uns neben einem geord­ne­ten Pro­zess, neben einer geord­ne­ten Richt­li­nie hier auch den ent­spre­chen­den Vor­fall üben.
Robert Lam­precht, KPMG

Jetzt kön­nen natür­lich nicht alle unse­re Din­ge und Akti­vi­tä­ten dazu bei­tra­gen, dass wir Cyber­an­grif­fen vor­beu­gen, also Prä­ven­ti­on ist zwar ein gutes Mit­tel, es ist zwar wich­tig, aller­dings wird der Tag kom­men, an denen wir den Ernst­fall haben. Den Ernst­fall, wo wir schnell und rasch reagie­ren müs­sen. Des­halb ist es umso wich­ti­ger, dass wir uns neben einem geord­ne­ten Pro­zess, neben einer geord­ne­ten Richt­li­nie hier auch den ent­spre­chen­den Vor­fall üben. Den Vor­fall üben, bedeu­tet was tue ich denn über­haupt, wenn der Ernst­fall statt­fin­det. Wo ist denn mein Not­fall­kof­fer, wo sind denn die Tele­fon­num­mern der Men­schen, die ich unmit­tel­bar anru­fen muss, wie kann ich denn die Betrof­fe­nen über­haupt infor­mie­ren und alar­mie­ren und wo kom­men wir wann zu wel­chem Zeit­punkt hin. Beden­ken Sie z.B., dass bei Ran­som­wa­re es durch­aus der Fall sein kann bzw. die Pra­xis hat auch oft gezeigt, dass ihre Tele­fon­bü­cher, die Sie viel­leicht im Smart­phone gespei­chert haben, auf ein­mal nicht mehr zugäng­lich sind, weil Ihr Cor­po­ra­te Direc­to­ry nicht mehr auf Smart­phones syn­chro­ni­siert wird bzw. ihr Smart­phone viel­leicht sogar depro­vi­sio­niert wird. Es mag viel­leicht lächer­lich klin­gen, aber die gute alte Tele­fon­lis­te, die ich irgend­wo habe mit zehn Num­mern, die­se kann in man­chen Situa­tio­nen durch­aus behilf­lich sein, um vor allem schnell und rasch reagie­ren zu können.

Wie zuvor schon ange­spro­chen, fin­den sol­che Angrif­fe an eher unge­wöhn­li­chen Zei­ten statt, Angrei­fer nut­zen vor allem hier Frei­tag­nach­mit­tag oder Sams­tag, weil wir natür­lich hier weni­ger Auf­merk­sam­keit auf die IT-Sys­te­me lie­gen, aber genau hier gilt zu die­sen Zei­ten auch rasch zu reagie­ren und mög­lichst schnell die Alar­mie­rungs­ket­te in Gang zu set­zen, denn nur was ich übe, kann ich auch im Vor­fall bzw. im Anlass­fall ent­spre­chend auto­ma­ti­siert abrufen.

Die­ses Not­fall­ma­nage­ment, wie gehe ich im Not­fall um, erfor­dert auch, dass wir uns über die Aspek­te Busi­ness Con­ti­nui­ty und Dis­as­ter Reco­very ent­spre­chend unter­hal­ten. Busi­ness Con­ti­nui­ty ist eine gut bewähr­te Metho­de, die wir schon län­ger ken­nen. Es ist nichts Neu­es, aber es machen immer noch viel zu weni­ge, denn gera­de wel­che Sys­te­me sind denn ent­schei­dend im Fal­le eines Fal­les, die­se wie­der­her­zu­stel­len und wie lan­ge ist denn mein Win­dow Oppor­tu­ni­ty, wie lan­ge ist denn die Mög­lich­keit wo ich eine geord­ne­te Rück­si­che­rung machen kann.

Dies ist ein­fach ent­schei­dend in der Prio­ri­sie­rung, den­ken Sie bit­te dar­an, dass sie in Not­fäl­len kei­nen küh­len Kopf behal­ten wer­den und der viel zitier­te „head­less chi­cken“ Mode defi­ni­tiv Ein­zug hal­ten wird, sie kön­nen noch so kühl sein, sagen, das wird mich nie tref­fen, aber die Pra­xis zeigt etwas ande­res. Aber eine gute Vor­be­rei­tung, eine gute Struk­tur mit Prio­ri­tä­ten, hilft Ihnen hier die ent­spre­chen­den Schrit­te zu set­zen und den Fokus auf das Wesent­li­che zu len­ken, mit dem sie im Anlass­fall ent­spre­chend begin­nen und ent­spre­chend los­le­gen können.

Wir haben jetzt viel von Maß­nah­men gespro­chen, die wir tun kön­nen, das ist gut, wenn wir es imple­men­tie­ren, es ist gut, wenn wir sagen wir tun das, aber die bes­te Maß­nah­me funk­tio­niert nur dann, wenn ich sie regel­mä­ßig prü­fe, wenn ich regel­mä­ßig mich von der Wirk­sam­keit der Maß­nah­me überzeuge.

Das kann ich selbst machen, das heißt, das kann ich selbst inner­halb mei­ner Orga­ni­sa­ti­on machen, das kann ich aber auch durch die inter­ne Revi­si­on, wenn ich eine habe, machen. Aber das kann ich auch natür­lich extern machen las­sen, um ein­fach die Ver­bes­se­run­gen fort­zu­set­zen bzw. zu sehen, ob ich viel­leicht irgend­wel­che blin­den Fle­cken, irgend­wel­che Stel­len oder irgend­wel­che The­men von denen nicht ich nichts weiß habe. Der Vul­nerabi­li­ty Scan von außen kann hel­fen, das Sys­tem Review ein­fach ein­mal noch den Blick drauf zu wer­fen, um sich selbst von der Wirk­sam­keit der Maß­nah­men zu überzeugen.

Ein letz­ter Punkt und ein nicht ganz unwe­sent­li­cher Punkt ist noch, ler­nen Sie Ihre Dienst­leis­ter ken­nen, das heißt gera­de im Rah­men des Third Par­ty Risk Manage­ment, gera­de im Rah­men der Lie­fe­ran­ten­ket­te ist es wich­tig den Dienst­leis­ter mög­lichst früh ein­zu­be­zie­hen. Damit ist gemeint, dass die Auf­la­gen, die Ihnen als Unter­neh­men in NIS2 gemacht wer­den, müs­sen Sie natür­lich auch auf ihre Dienst­leis­ter über­tra­gen. Der Dienst­leis­ter wird damit natür­lich auch NIS2 pflich­tig bzw. kommt hier im Rah­men der Lie­fer­ket­te mit und hier gilt, dass auch der Dienst­leis­ter die ent­spre­chen­den Sicher­heits­vor­ga­ben und Sicher­heits­aspek­te mit erfüllt. Spre­chen Sie dar­über, hal­ten sie das in den Ver­trä­gen fest, machen Sie hier regel­mä­ßig Checks. So kom­me ich zu mei­nem eigent­li­chen Ziel, also durch die Digi­ta­li­sie­rung, durch die Ver­net­zung ent­steht eine höhe­re Kom­ple­xi­tät und die kann nur gemein­sam im Schul­ter­schluss funk­tio­nie­ren damit Dienst­leis­ter und sie gemein­sam in der Lage sind sich ent­spre­chend zu wappnen.

Am Ende bedeu­tet es auch das Risi­ken, die ande­re für mich ein­ge­hen, auch mei­ne Risi­ken sind und des­halb ist es umso wich­ti­ger, dass wir nicht allei­ne kämp­fen bzw. dem Gan­zen uns stel­len, son­dern eben gemein­sam hier die Tätig­kei­ten durch­füh­ren. Hier kön­nen wir durch­aus posi­tiv in die Zukunft bli­cken, denn vie­le sind schon auf den Zug auf­ge­sprun­gen und sind dabei die Sicher­heit zu ver­bes­sern, damit auch ande­re davon pro­fi­tie­ren kön­nen, damit auch ande­re nicht die­se Aus­wir­kun­gen von unan­ge­neh­men Cyber­at­ta­cken spü­ren müs­sen. Aber wir kön­nen das nur gemein­sam schaf­fen. Denn wir wol­len natür­lich nicht irgend­wel­chen Cyber­kri­mi­nel­len die Löse­geld­for­de­run­gen zah­len, nur weil sie unse­re Sys­te­me ver­schlüs­selt haben und wir bei den Sicher­heits­maß­nah­men viel­leicht nicht ganz am letz­ten Stand waren.

Zu guter Letzt, noch ein kur­zer Hin­weis, wenn Sie mehr über NIS2 wis­sen wol­len, gibt es Pod­casts, einen davon mit Frau Karo­li­ne Schmidt vom Innen­mi­nis­te­ri­um, sie hat auf EU-Ebe­ne mit­ver­han­delt und mit Herrn Phil­ipp Blau­en­stei­ner und Herrn Ger­not Goluch, die uns ihre Ein­drü­cke mit uns tei­len wie es im punk­to NIS2 aus­sieht und mit wel­chen Din­gen wir zu rech­nen haben.