Erweiterte Suche

Cybersecurity

Cybersichere Wirtschaft

„NIS-2 heißt eigentlich nur seine Hausaufgaben zu machen“

Wilhelm Dolle
Wilhelm Dolle leitet bei der Wirtschaftsprüfungsgesellschaft KPMG den Bereich Cyber Security und ist Geschäftsführer der KPMG CERT (Bildquelle: KPMG)

Mit der Ende Mai verabschiedeten NIS-2-Direktive kommen neue Herausforderungen auf die europäische Wirtschaft zu. Wilhelm Dolle, Leiter des Bereichs Cybersecurity bei der Wirtschaftsprüfung KPMG, über Kritikpunkte, Hausaufgaben für Unternehmen und Augenmaß in der Umsetzung von Cybersicherheitsrichtlinien.

Johannes Steger

von Johannes Steger

veröffentlicht am 23.08.2022

aktualisiert am 31.08.2022

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

Herr Dolle, die NIS-2-Direktive soll Cybersicherheit in Europa auf ein neues Level heben – wird das mit der Beschlussfassung gelingen?

Es ist definitiv ein Schritt in die richtige Richtung. Ich glaube, dass das erreicht wurde, was auch machbar gewesen ist. Natürlich können Sie die Hürden besonders hochlegen und dabei zuschauen, wie alle daran scheitern. Aber damit gewinnen Sie eben auch nichts für die europäische Cybersicherheit in Gänze, insofern geht die NIS-2-Richtlinie den Mittelweg zwischen Anspruch und Machbarkeit – und ist eine konsequente Weiterentwicklung von NIS-1.

Was ich mir allerdings noch deutlicher gewünscht hätte, wäre eine stärkere europäische Vereinheitlichung der Richtlinien zur IT-Sicherheit. Viele unserer Kunden agieren über Ländergrenzen hinweg und je nach Land gelten dann ganz unterschiedliche Anforderungen an IT-Sicherheit – die NIS-2-Direktive gibt grobe Vorgaben, aber darunter existieren national geprägte Gesetze und auch Richtlinienkompetenz von Innenministern – das sorgt für große Unterschiede und Interpretationsspielräume.

Wer Sicherheit über europäische Ländergrenzen hinweg gewährleisten will, dem fällt das auf die Füße. Auch die Zeiträume, in denen die Vorgaben umgesetzt werden, sind sehr unterschiedlich. Deutschland ist mit dem Sicherheitsgesetz damals vorgeprescht, andere haben sich Zeit gelassen. Zudem gibt es noch jede Menge solitäre Richtlinien, die auf nationaler und europäischer Ebene existieren, beispielsweise in der Regulierung von Finanzdienstleistern, der Energieindustrie und Telekommunikationsanbietern. Hier wäre eine stärkere Harmonisierung gerade für multinationale Unternehmen wünschenswert gewesen – auch um sicherzustellen, dass ein Standort nicht benachteiligt wird, weil etwa Unternehmen der Kritischen Infrastruktur strenger kontrolliert werden als an einem anderen.

Mit der Datenschutzgrundverordnung hat man einen einheitlichen Standard geschaffen, der sogar von anderen Ländern als Vorbild angesehen wird. Warum gelingt der große europäische Wurf nicht bei der Cybersicherheit?

Cybersicherheit ist auch immer ein Aspekt der Inneren Sicherheit und von Außen- und Verteidigungspolitik – und ist daher auch sehr stark geprägt von nationalen Interessen. Beim Datenschutz war Deutschland sehr streng, in anderen Ländern war das eher ein Nebenthema. Beim Thema Cybersicherheit hat jedes europäische Land eigene Vorstellungen und auch Strategien. Insofern glaube ich, dass der Europäischen Union nichts anderes übrigblieb, als den Spielraum hier breiter zu fassen.

Ein Kritikpunkt ist die weitestgehende Ausnahme der Öffentlichen Verwaltung – das kritisiert etwa auch der Bundesverband der Deutschen Industrie. Wie beurteilen Sie diese Entscheidung?

Ich möchte mich der Kritik weder anschließen noch widersprechen. Dennoch möchte ich darauf hinweisen, dass der Beweggrund hier auch sein könnte, dass dieser Entscheidung eine realistische Einschätzung zugrunde liegt, weil die Vorgaben schlicht nicht so einfach umgesetzt werden könnten. Insofern obliegt es der Risikoeinschätzung, wer die Standards erfüllen muss. Schauen wir einmal in die Vergangenheit: Der Umsetzungsplan Bund 2007 sah vor, dass sich binnen zwei Jahren die Bundesbehörden vollumfänglich nach BSI-IT-Grundschutz aufstellen. Von den über hundert Bundesbehörden waren gerade einmal zwei am Ende soweit. Es bringt also nichts, Regelungen zu schaffen, die dann nicht umgesetzt werden können – etwa aufgrund von Personal- und Fachkräftemangel. Heißt: Man hätte das natürlich alles festlegen können, genutzt hätte es wahrscheinlich aber wenig.

Nun ist der Fachkräftemangel nicht nur ein Problem für die Verwaltung, sondern auch für die Wirtschaft. Zahlreiche Unternehmen fallen unter die Erweiterung der NIS-2-Direktive, gleichzeitig soll eine Size-Cap-Rule kommen. Wie soll die Wirtschaft das schaffen?

Lassen Sie uns das einmal aus Sicherheitsgesichtspunkten betrachten. So macht es dann sehr viel Sinn auch Mittelständler in die Sicherheitsregulierung aufzunehmen, denn die sind oft ein zentraler Teil von Lieferketten, von denen ganze Branchen abhängen. Europa zeichnet sich durch eine arbeitsteilige Wirtschaft aus – sucht sich etwa ein staatlicher Cyberakteur Ziele im Mittelstand raus, kann er das ganze Gefüge und die Wertschöpfung nachhaltig beschädigen. Auch die Kritik, dass hier KMU und Großkonzerne miteinander in den Topf geworfen werden, stimmt so nicht – gefordert wird, dass Unternehmen den angemessenen Stand der Technik umsetzen. Kleine Stadtwerke müssen nicht dasselbe umsetzen wie ein multinationaler Energiekonzern, denn die Leitlinien sind „Stand der Technik“ und „Angemessenheit“. NIS-2 heißt eigentlich nur, dass man seine Hausaufgaben erledigen muss. Wir sehen in unserer Forensik immer wieder: Die Angreifer kommen in 95 Prozent der Fälle durch teilweise lange bekannte Schwachstellen, die nicht gepatcht oder durch Mitarbeiter, die nicht geschult wurden und auf irgendetwas klicken.

Aber das alles muss ja auch umgesetzt werden. Wer soll das machen, wenn wir keine Fachkräfte haben?

Es geht ums Augenmaß – der Mittelständler im Schwarzwald wird nicht so leicht an das geeignete Personal kommen wie ein Unternehmen in einer Metropolregion. Viele KMU haben die europäische Regulierung und deren nationale Ausprägung noch nicht auf dem Schirm und müssen dann erst die Ressourcen und das Know-how aufbauen. Dahingehend sind auch Meldefristen für viele dieser Unternehmen nicht einfach machbar, da sie keine stehende Meldeinfrastruktur besitzen. Daher braucht es von Seiten der Behörden das Verständnis für diese Situation und den Maßstab: Was kann wirklich in der Praxis in welchem Zeitrahmen umgesetzt werden? Aber: Auf den Fachkräftemangel in der Cybersecurity haben wir noch keine Antwort gefunden. Da bräuchte es eine Kraftanstrengung – auf betrieblicher, nationaler und auch auf europäischer Ebene.

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen