Bei kleinen und mittleren Unternehmen (KMU) herrschen teilweise noch gravierende Lücken in der IT-Sicherheit, sagt Gerrit Knichwitz (Perseus) im Interview. Warum die NIS-2-Richtlinie das ändern könnte und auf welche Services Unternehmen bestehen sollten, wenn sie sich für eine Cyberversicherung entscheiden.
Versicherungsbote: Die NIS-2 soll für Betreiber kritischer Infrastrukturen Mindeststandards in Sachen Cybersicherheit festlegen. Welche Unternehmen betrifft das unmittelbar?
Gerrit Knichwitz: Die erste EU-Richtlinie zur Gewährleistung einer hohen Netz- und Informationssicherheit (NIS) wurde bereits 2016 verabschiedet. Das Hauptaugenmerk lag auf der Schaffung von Cyberresilienz im europäischen Raum. Die in der Richtlinie verankerten Vorgaben und Maßnahmen sollten sicherstellen, dass Gesellschaft und Wirtschaft auch im Falle eines großflächigen Angriffs stabil bleiben und nicht zusammenbrechen. Die NIS-Richtlinie richtete sich in erster Linie an kritische Infrastrukturen wie den Gesundheitssektor oder Energie- und Wasserversorger. Mit der NIS-2-Richtlinie müssen nun - neben den kritischen - auch wichtige Infrastrukturen in die Cyberresilienz investieren und einen Mindeststandard nachweisen. Dazu gehören u.a. Postzustelldienste, die Lebensmittelversorgung sowie die Abfallwirtschaft. Auch hier steht das Wohl der Allgemeinheit im Vordergrund. Da die Digitalisierung und die damit verbundene Vernetzung von Maschinen, Anlagen und Prozessen immer weiter voranschreitet, entstehen auch in diesem Bereich Abhängigkeiten, bei denen eine Beeinträchtigung oder ein Ausfall gravierende Folgen haben kann.
Warum können auch KMU von der Richtlinie betroffen sein? Ist der Geltungsbereich nicht auf Unternehmen mit mehr als 50 Mitarbeitern und mehr als 10 Mio. Euro Umsatz/Bilanz beschränkt?
Neben den soeben beschriebenen Sektoren werden auch Faktoren wie Umsatz und Anzahl der Beschäftigten als Maßstab herangezogen, ob Unternehmen von den Bestimmungen der NIS-2-Richtlinie betroffen sind oder nicht. Neben Konzernen oder Großunternehmen richtet sich die NIS-2-Richtlinie nun auch an mittlere Unternehmen. Kleinstunternehmen und Unternehmen mit weniger als 50 Beschäftigten sind von der Richtlinie ausgenommen. Da das Ziel darin besteht, ein hohes Niveau an IT- und Cybersicherheit für die gesamte Europäische Union zu gewährleisten, ist diese Ausweitung durchaus sinnvoll. Allein in Deutschland machen KMU 99,4 % der Wirtschaft aus (Quelle: Statistisches Bundesamt). Und gerade bei den kleineren und mittleren Unternehmen, die beispielsweise nicht über eine eigene IT-Abteilung verfügen, herrschen teilweise noch gravierende Lücken im Bereich IT-Sicherheit.
In den letzten Wochen nahmen Angriffe auf Dienstleister, die u.a. für Bundesbehörden und Ministerien arbeiten, massiv zu. Wie schätzen Sie die aktuelle Bedrohungslage ein?
Die Bedrohungslage bleibt angespannt. Das wird sich so schnell nicht ändern. Es muss damit gerechnet werden, dass politische, aber auch wirtschaftliche Konflikte und Auseinandersetzungen in Zukunft auch im “Cyberspace” ausgetragen werden. Neben wirtschaftlichen Motiven werden sicherlich auch Machtdemonstrationen und die Destabilisierung bestehender Systeme als Motivationen eine Rolle spielen. Cyberkriminelle greifen dabei auf "bewährte" Mittel wie Phishing-Angriffe und die Verbreitung von Ransomware zurück. Darüber hinaus stellt das Incident Response Team des Cybersicherheitsunternehmens Perseus Technologies für Klein- und Kleinstunternehmen eine Zunahme von E-Mail-Kompromittierungsangriffen, sprich die Übernahme von E-Mail-Konten, fest. Das Bundesamt für Verfassungsschutz sieht zusätzlich in Angriffen auf gesamte Lieferketten eine große Bedrohung. Die Lage bleibt weiter sehr dynamisch. Es ist somit wichtiger denn je, der IT-Sicherheit Priorität einzuräumen und eine nachhaltige Strategie im Unternehmen zu implementieren, besser heute als morgen.
Geld allein hilft im Schadenfall nicht viel. Auf welche Services sollten Unternehmen bestehen, wenn sie sich für eine Cyberversicherung entscheiden?
Das A und O ist die Prävention. Dazu gehört neben der Sensibilisierung der Mitarbeitenden durch Schulungen oder Phishing-Simulationen, auch die Risikobewertung des eigenen Cybersicherheitsniveaus sowie die Notfallhilfe, inklusive der Vorbereitung auf Notfälle. All diese Komponenten werden auch im Zuge der NIS-2-Richtlinie an Bedeutung gewinnen. Unternehmen sollten eine Cyberrisikoanalyse durchführen, um bestehende Sicherheitslücken zu identifizieren und zu schließen. Es gibt bereits standardisierte Sicherheitschecks, die das Unternehmen auf grundlegende Anforderungen prüfen. Der Aufwand hält sich in Grenzen und Unternehmen erhalten eine Übersicht, ob und wo Handlungsbedarf besteht. Perseus Technologies bietet einen solchen Check beispielsweise speziell für kleine und mittelständische Unternehmen an.
Ebenso wichtig ist es, einen Notfallplan zu haben. Dieser sollte im besten Fall mehr enthalten als nur eine Telefonnummer für den Notfall - auch wenn das natürlich ein wichtiger Baustein ist. Die Cybersicherheitsexperten von Perseus Technologies empfehlen Unternehmen, frühzeitig einen Notfallplan zu erstellen. Dieser sollte unter anderem Prozesse definieren, die bei der Einschätzung des Vorfalls sowie der Datenwiederherstellung helfen und damit eine schnelle Wiederaufnahme des Betriebs ermöglichen. Auch hier bietet Perseus Lösungen an und steht beratend zur Seite. Der Versicherer HDI hat kürzlich eine Studie veröffentlicht, die sehr gut unterstreicht, wie wichtig die Vorbereitung auf den Notfall ist. Unternehmen, die in Präventivmaßnahmen investieren, haben im Schadenfall geringere Kosten , da der Vorfall durch die Vorbereitung häufig schneller gelöst werden kann.