Cybersicherheit : NIS-2 – Gut gemeint, nicht gut gemacht

Ich leite seit 30 Jahren ein Beratungshaus für Cybersecurity. Und ich gestehe: Unsere besten Vertriebler sind Cyberkriminelle und staatliche Regulierer. Wir selbst konzentrieren uns in der Akquisition voll auf die Personalsuche. Das ist allerdings viel schwieriger, als Kunden zu finden. Und das ist ein Problem. Nicht nur meins, sondern der ganzen Gesellschaft. Vor allem seit die Cyberkriminellen ihre Anstrengungen immer weiter steigern und mit Ransomware ein fast unschlagbares Vertriebsargument für uns haben. Die staatliche Vertriebsunterstützung hat die ersten 20 Jahre recht wenig getan, ist dann aufgewacht und will jetzt richtig Gas geben. Hierfür hat sie sich auch einen Vertriebsknaller ausgedacht. Und auch das ist ein Problem. Nicht nur meins, sondern für sehr, sehr viele Unternehmen.

Entschuldigen Sie diesen vielleicht etwas egozentrischen und leger formulierten Start in den Artikel, aber manchmal lohnt sich ein Perspektivwechsel, um komplexe und vermeintlich ferne Tendenzen wie europäische Gesetzgebungen einerseits und abstrakt wirkende Fakten wie den Fachkräftemangel andererseits zu erkennen.

Erstaunlich unbemerkt von der (Fach-)Öffentlichkeit steht mit NIS-2 ein Gesetzespaket vor der Tür, das für viele Unternehmen Konsequenzen haben wird, derer sie sich vermutlich nicht einmal annähernd bewusst sind. NIS-2 ist die europäische Variante des deutschen IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) und die Weiterentwicklung von NIS-1. Diesen Regelungen ist gemein, dass es ihr Ziel ist, die Gesellschaft vor den Auswirkungen von Cyberangriffen auf kritische Infrastrukturen zu schützen. Die ersten Versionen gingen vielen Kritikern (und auch mir) nicht weit und nicht tief genug. Die Pflichten waren nicht ausreichend und die Anzahl betroffener Unternehmen zu gering. Beiden Punkten wurde von den jeweiligen Gesetzgebern nun durch entsprechende Erweiterungen Rechnung getragen. Das deutsche IT-SiG2.0 ist verabschiedet und trotz lauter (und oft nicht unberechtigter Kritik) am Gesetzespaket sind sich doch breite Kreise einig, dass gerade die Erweiterung des Geltungsbereiches hier sinnvoll angegangen wurde.

NIS-2: Europäische Regulierung geht über deutsche Position hinaus

Als NIS-1 entwickelt wurde – durchaus mit dem damals schon existierenden IT-SiG 1.0 als Blaupause – war die größte Sorge, dass die europäische Gesetzgebung hinter die deutschen Ansätze zurückfallen würde. In der zweiten Runde droht nun das entgegengesetzte Phänomen: die europäische Regelung wird deutlich über die deutsche Position hinausgehen. Hierbei geht es nicht um die Regelungstiefe. Vieles von dem, was in NIS-2 geplant wird, ist begrüßenswert bis überfällig.

Das Problem liegt in erster Linie in der Anzahl der einzubeziehenden Unternehmen. Konkret sollen hier auch alle mittleren Unternehmen ab 50 Mitarbeitern aus den betroffenen Sektoren einbezogen werden. Nach einer Auswertung des Statistischen Bundesamtes würden statt bisher 4.500 Unternehmen in Zukunft 45.000 Unternehmen in Deutschland unter diese Regulierung fallen. Müsste da mein Herz als Eigentümer eines Cybersecurity-Beratungsunternehmens jetzt nicht vor Glück hüpfen, angesichts einer solchen Konjunkturspritze? Nein. Weil „gut gemeint“ nicht zwingend auch „gut gemacht“ ist.

Um nicht falsch verstanden zu werden: Natürlich würde ich mir wünschen, dass nicht nur diese 45.000, sondern alle Unternehmen einen angemessenen Selbstschutz betreiben. Aber ist dies für alle Unternehmen wirklich gesetzlich zu regeln? Und vor allem: Wer soll das umsetzen? Bereits heute leiden wir unter extremem Fachkräftemangel. Die reine Mathematik zeigt, dass die Aufgabe schon rein organisatorisch nicht zu bewältigen ist. Sollte man wirklich Gesetze beschließen, von denen man weiß, dass sie nicht umsetzbar sind?

Absurd kurze Meldefristen

Ich will dies einmal plastisch machen: Wenn die Gesetzgebung, so wie geplant, durchläuft, fallen in Zukunft sowohl eine Molkerei (Lebensmittelproduktion) oder eine Spedition (Kurierdienste) mit 55 Mitarbeitern unter dieses Gesetz. Ist Wohl und Wehe unserer Gesellschaft wirklich von der Funktion dieser beiden „kritischen Infrastrukturen“ abhängig? Noch einmal: auch die Molkerei sollte sich in eigenem Interesse um angemessene IT-Security kümmern, da sonst schon die erste Ransomware-Attacke zur Insolvenz führen kann. Aber muss man diesem Unternehmen gesetzlich mit einer Geldstrafe von bis zu 2% des Jahresumsatzes drohen, wenn sie eine solche Attacke nicht innerhalb von 24 Stunden meldet?

Und wenn man sie schon zum Melden zwingt, warum dann in dieser absurd kurzen Zeitspanne? Auch in den USA (oder bei der DSGVO) sind hier 72 Stunden als Rahmen gegeben und wer einmal ein Unternehmen direkt nach einer Attacke erlebt hat, weiß, welches Chaos dann herrscht und wie knapp Ressourcen und Zeit sind. Auch hier sind die großen kritischen Infrastrukturen sicher in der Lage, schneller zu agieren und könnten ob ihrer hohen Bedeutung für die Gesellschaft auch zu schnelleren Reaktionen verpflichtet werden, aber doch bitte nicht kleine Mittelständler!

Zugegeben, ich argumentiere in Extremen, aber genau diese werden so selten nicht sein. Es ist anzunehmen, dass die erhoffte Steigerung der Resilienz der Gesellschaft so nicht erreicht wird. Sie dürfte punktuell sogar geschwächt werden. Diese Aufblähung der Gruppe bei parallel dramatischem Fachkräftemangel wird dazu führen, dass Regeln am Ende aufgeweicht, „ein Auge zugedrückt“ und Fristen verschoben werden.

Mögliche Folgen der neuen Auflagen

Es wird vermutlich dazu führen, dass sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht auf die wesentlichen Dinge fokussieren kann (irgendjemand muss ja die Sicherheitsvorfallmeldungen all der Molkereien etc. annehmen und prüfen, sonst bräuchte man sie auch nicht zu melden). All diese zu erwartenden Aufweichungen, zeitlichen Verschiebungen und so weiter, werden dann aber auch für die Unternehmen gelten, für die dies nicht angemessen ist und wo es dringend erforderlich ist, dass die Sicherheit schnell erhöht wird. Und dies können sehr wohl auch kleine Unternehmen sein. Aber dann eben ob ihrer Bedeutung.

Statt sicherzustellen, dass der Schutz der wirklich neuralgischen Punkte wächst und gedeiht, wird versucht, mit einer Gießkanne alles gleichzeitig ein bisschen erblühen zu lassen. Wissend, dass die Gießkanne maximal halbvoll ist.

Wieviel mehr wäre der Sicherheit gedient, wenn man nicht die Größe von Unternehmen, sondern die Kritikalität als zentrales Merkmal nehmen würde, so wie es NIS-1 und IT-SiG 2.0 taten und tun? Selbst dann ist die Aufgabe noch kaum zu meistern, aufgrund der zu geringen Anzahl geeigneter Köpfe. Aber es ist machbar. Und es würde keine Ausreden und Ausflüchte geben für die wirklich kritischen Infrastrukturen. Wäre nicht damit der Sicherheit der EU ein viel größerer Dienst erwiesen?

Maßnahmen zur Schließung

Und wie verdient könnte sich die EU um die Sicherheit machen, wenn sie den Elan und das Tempo, die hier in der Gesetzgebung an den Tag gelegt werden, auf Maßnahmen zur Schließung der Fachkräftelücke anwenden würden. Hier bleibt es aber bisher oft bei Symbolpolitik und Ankündigungen wie etwa der Gründung eines Kompetenzzentrums für Cybersicherheit in Bukarest, das sich unter anderem um den Ausbau von Ausbildungsprogrammen für Cybersecurity-Fachkräfte kümmern soll. Die Ankündigung erfolgte 2020, konkrete Ergebnisse sind zumindest mir bis heute nicht bekannt. Als Erfolg wird dann der Start von einigen Forschungsprogrammen verkündet.

Man könnte weinen, ob dieser Zaghaftigkeit einerseits, und diesem „Über das Ziel hinausschießen“ andererseits. Aber dafür habe ich keine Zeit. Ich muss Fachkräfte suchen.

Timo Kob ist Vorstand der Hi Solutions AG, die er vor 30 Jahren gründete. Er besitzt eine Professur für Cybersecurity und Wirtschaftsschutz an der FH Campus Wien, leitet die Bundesarbeitsgruppe des Wirtschaftsrates der CDU und ist Mitglied im Hauptvorstand des Bitkom.