Perspektive : Was wir aus der BSI-Handreichung zur Geschäftsleitungsschulung lernen können

Wenn ein Gesetz nicht fertig ist und trotzdem im Bundestag landet, wo es erst im parlamentarischen Verfahren nachgebessert werden soll. Wenn untergeordnete Behörden und Kommunen nicht an die Resilienzpläne der Bundesregierung angebunden sind. Wenn eine automatisierte Abwehr von Angriffen stattfinden soll, diese aber im Gesetzesentwurf so nicht vorgesehen ist. Und wenn man anlässlich der ersten Lesung zum NIS-2-Umsetzungsgesetz mit Bedauern feststellen muss, dass die (nicht zu knappe) Kritik von Verbänden und anderen Interessengruppen an den Entwürfen des Gesetzes noch nicht angekommen ist: Dann soll der Cyber Dome helfen.

So wirkt es jedenfalls, wenn man einigen der Aussagen in der ersten Lesung zur Umsetzung der NIS-2-Richtlinie im Bundestag lauscht. Denn im Entwurf zum NIS-2-Umsetzungsgesetz finden sich noch nicht einmal die Befugnisse, die für die Einführung eines solchen Abwehrschildes notwendig wären.

Dabei gibt es einige Regelungsbereiche, die für die Verbesserung des allgemeinen Cybersicherheitsniveaus von großer Bedeutung sind und noch viel Verbesserungspotential aufweisen. Einiges dieser weniger schillernden Themen: die Schulungspflicht für Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen gemäß § 38 Abs. 3 BSIG-E.

BSI legt Schulungspflichten aus

Unter Vorbehalt, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont, wurde die Handreichung NIS-2-Geschäftsleitungsschulung in der Version 0.9 am 30. September 2025 zur „initialen Veröffentlichung“ freigegeben. „In Anbetracht der bisher nicht erfolgten nationalen Umsetzung der NIS-2-Richtlinie kann und soll diese Handreichung keine abschließende Empfehlung für die Schulungen geben, sondern gibt das Verständnis des BSI zu den gesetzlichen Vorgaben aus § 38 Abs. 3 BSIG-E wieder“, erläutert das BSI im Dokument.

Die Handreichung ist vorläufig. Sie ist rechtlich unverbindlich. Dennoch hat sie mit ihren gerade 23 Seiten einen tieferen Blick in die Inhalte verdient.

Die Schulungspflicht für Geschäftsleitungen ist Teil der „Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen“, die in § 38 BSIG-E in drei Absätzen verankert wird. Mit den ersten zwei Absätzen möchte der Gesetzgeber die Leitungen besonders wichtiger und wichtiger Einrichtungen dazu verpflichten, Verantwortung für die „Risikomanagementmaßnahmen“ zu übernehmen, diese Verstehen, ihre Umsetzung überwachen und – sollte man dieser Pflicht dennoch nicht nachgehen – für die Untätigkeit oder Unentschlossenheit zu haften – sofern andere gesellschaftsrechtlichen Bestimmungen ihrer Einrichtungen dies nicht bereits regeln. Sanktionen für die Nichterfüllung der Vorgaben aus § 38 BSIG-E sieht der aktuelle Gesetzesentwurf nicht vor.

Konkret heißt es dort, dass „die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen regelmäßig an Schulungen teilnehmen müssen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können“. Vier Stunden je drei Jahre genügen laut BSI, um diese Anforderung zu befriedigen

Behördenleitung ausgenommen

Die „Leiterinnen und Leiter von Einrichtungen der Bundesverwaltung“ sind davon explizit ausgenommen, obwohl für sie eine fast gleichlautende Vorgabe in § 43 Abs. 2 BSIG-E gibt. Nämlich: Die Behördenleitung „muss regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Informationssicherheit zu erlangen sowie die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können“. Sieht nach Copy & Paste aus – ist es vermutlich auch, doch für die Bundesbehörden gilt die Handreichung des BSI nicht. Jedenfalls nicht explizit, denn § 43 Abs. 3 BSIG-E „gilt abweichend“, heißt es.

Die Handreichung des BSI richtet sich an Schulungsanbieter – also an externe Dienstleister, beauftragte Cybersicherheitsberatungsunternehmen oder „qualifiziertes internes Personal“. Die Dokumentation über die „Ableistung“ von Schulungen, die mindestens Angaben zu den Teilnehmenden, der Dauer und den behandelten Themen enthalten soll, „ist intern aufzubewahren“ und „auf Verlangen“ dem BSI oder „unabhängigen Stellen“ vorzulegen. Dabei greift das BSI auf seine Aufsichtsfunktion sowie auf sein Recht zu Audit und Prüfung gemäß §§ 61 und 62 BSIG-E zurück. Eine Prüfung der Teilnehmenden und der von ihnen erworbenen Kenntnisse ist „weder gesetzlich noch durch das BSI verpflichtend vorgesehen“, konzediert das BSI. Umgekehrt: Das BSI rät den Schulungspflichtigen die Schulungsanbieter im Hinblick auf die Erfüllung der Vorgaben aus der BSI-Handreichung zu überprüfen, also darauf, ob sie ihre Schulungen richtig machen.

Risikomanagement-Theorie statt Sensibilisierung?

Aus der Vorgabe im § 38 Abs. 3 BSIG-E leitet das BSI drei Themenbereiche ab, die mindestens in den Pflichtschulungen behandelt werden müssen: Erkennung und Bewertung von Risiken, Risikomanagementpraktiken sowie Beurteilung der Auswirkungen von Risiken und Risikomanagementpraktiken. Warum ausgerechnet diese Themen die „Kerninhalte“ der Pflichtschulungen darstellen, leitet sich aus der obersten Direktive dieser Handreichung ab, nämlich, den Geschäftsleitungen das Wissen zu vermitteln, mit dem sie ihre Verantwortung bezüglich „zu ergreifenden Risikomanagementmaßnahmen“ besser verstehen und angemessene Entscheidungen treffen können.

So sollen die Geschäftsleitungen beispielsweise verstehen, dass Risikomanagement aus Risikoidentifikation, Risikoanalyse, Risikobehandlung und Risikoüberwachung besteht und einen „Überblick über Methoden und Ziele der Risikoanalyse erhalten“. Oder „wissen, was (physische, digitale, menschliche, prozessuale, immaterielle) Assets sind und wie sie Assets der eigenen Einrichtung identifizieren können“.

Man könnte sich natürlich fragen, ob es nicht möglicherweise besser wäre, aktuelle Angriffsvektoren und die angespannte Bedrohungslage in den Fokus zu nehmen, statt die Geschäftsleitungen dazu zu veranlassen, Schulbank für die Methoden und Standards des Risikomanagements zu drücken. Tatsächlich haben sich aber in die Handreichung auch solche Inhalte eingeschlichen, die hierfür geeigneter erscheinen, wie der Überblick über die Inhalte der NIS-2-Richtlinie oder Melde- und Registrierungspflichten. Auch die Kenntnisse der Mindestmaßnahmen gemäß § 30 Abs. 2 BSIG-E fallen in die letztere Kategorie. Oder das Verstehen „wie sich Sicherheitsvorfälle konkret auf die Leistungserbringung, Kundenbeziehungen und gesetzliche Verpflichtungen der Einrichtung auswirken können“. Hilfreich dort, wo man über den Einsatz und Umsetzung (oder Retirement) von Maßnahmen informiert entscheiden möchte.

In den meisten Unternehmen werden regelmäßig Risikoberichte, Risiko-Cockpits, etc. über alle relevanten Geschäftsrisiken (nicht nur Resilienz oder Cybersicherheit) erstellt und den Unternehmensleitungen vorgelegt. Dafür gibt es, wenn nicht ganze Abteilungen, dann in jedem Fall qualifiziertes Personal. Daher stellt sich auch eventuell die Frage, warum die Geschäftsleitungen auch selbst zwischen finanziellen, reputativen, betrieblichen, rechtlichen, technischen, personenbezogenen – und anderen „möglichen Schadensarten“ – unterscheiden sollten. Nicht sofort nachvollziehbar, warum sich der Vorstand den Risikobericht nicht von eigenen Leuten erklären lassen sollte.

Pragmatismus statt Aktivismus

Wer kennt solche Situationen nicht: „Wir brauchen eine Smart Card!“ (respektive: Blockchain, Crypto, Künstliche Intelligenz, etc.) – heißt es eines Montags im Jour Fixe der IT-Abteilung. Der Auftrag kommt aus dem Eckbüro ganz oben. Es werden sofort Ressourcen freigestellt, Prioritäten geändert, Anbieter gesucht, Einsatzmöglichkeiten mit den Fachabteilungen geklärt, Pilotprojekt aufgesetzt, Tests geplant – alle laufen los. Bedenkenträger werden sanft zur Seite geschoben. Dann erklärt sich schließlich einer der Kunden oder Partnerunternehmen bereit, an dem Pilotprojekt zu partizipieren und die Lösung zu testen. Der Vorstand hat in der Zwischenzeit das Interesse an dem Thema verloren.

Was ist passiert? Die Legenden zu solchen und ähnlichen Fällen besagen, dass einer der Vorstandsmitglieder bei der Lektüre seiner Lieblingszeitung am Wochenende auf einen Beitrag über „Smart Card“ gestoßen ist. Begeistert soll er: „Das brauchen wir auch!“ gerufen haben und teilte seine Gedanken mit Kollegen und Vertrauten Abteilungsleitern via E-Mail. Das so etwas nicht selten passiert, bestätigte der frühere Telekom-Vorstand und einer der profiliertesten deutschen Topmanager, Thomas Sattelberger in seinem Buch Ich halte nicht die Klappe: „Da streue ich noch im Nachhinein Asche auf mein Haupt“, schrieb er, nachdem er rezipierte, welche Wellen an Aktivitäten er auslöste, als er am Wochenende Mails „in die Organisation“ einspeiste, die nicht selten wenige Hundert Mitarbeitende in Bewegung setzten. Er reduzierte daraufhin die Zahl der Mails, ohne dass es dadurch dem Unternehmen schlechter (oder besser) gegangen wäre.

Möglicherweise hilft bei dem Problem ebenfalls das Sperren der E-Mail-Server nach dem „End-of-Business“ und am Wochenende. Ziemlich sicher aber hilft das Vermitteln von Methoden des Risikomanagements oder Pauken der Schadensarten dabei nicht. Was ziemlich sicher hilft, ist, den Geschäftsleitungen zu vermitteln, was die Technologie kann, welche Auswirkungen sie hat, wogegen sie eine wirksame Gegenmaßnahme darstellen kann – und welche aktuellen Bedrohungen es gibt, bei sie als „Risikomanagementmaßnahme“ überhaupt sinnvoll und mehrwertbringend ist. Jenseits des Geschreis der Zeitungen oder der Politik. Unenthusiastisch, pragmatisch, und, wie der IT-Sicherheitsexperte Manuel „HonkHase“ Atug es schlicht ausgedrückt hatte: „unaufgeregt Lage bewerten und dann handeln“.

Statt gleich Blockchain oder Zero-Trust zu implementieren, kann auch ein dokumentiertes Informationssicherheits-Managementsystem eine gute „Risikomanagementmaßnahme“ darstellen. Ein effektiver Incident-Response-Plan ebenfalls. Zugriffskontrollen, Least-Privilege-Prinzip, Backup, Security by Design. Und wenn man nach technisch Anspruchsvollerem strebt, sind auch starke Verschlüsselungsverfahren, wie AES-256 oder Multi-Faktor-Authentifizierung (MFA) denkbar. Hier zeigt sich die wahre Stärke der Handreichung: nämlich dort, wo die „Leitfragen an die Geschäftsleitungen“ zusammengestellt werden: „Diese Fragen sollen helfen, das eigene Verantwortungsbewusstsein zu schärfen, Umsetzungslücken zu erkennen und den Dialog mit internen und externen Sicherheitspartnern zu führen“, erklärt das BSI.

Fragen, ergänzt um exemplarische Beispiele „für eine zielführende, zukunftsorientierte Antwort“, Hinweise zu den typischen Reaktionen, „die ein vertieftes Nachfragen erforderlich machen“ beweisen, dass es nutzerorientierte, systematische, pragmatische, sichere und geeignete Lösungen gibt. Diese schaffen es nicht unbedingt in die Tageszeitung oder die Tagesschau – höchstens in die Fachmedien. Unsexy, gewiss, aber gut und notwendig, wenn man die Verlässlichkeit der Daseinsvorsorge und Vertrauen in die Demokratie mit dem NIS-2-Umsetzungsgesetz erreichen möchte, wie es der Bundestagsabgeordnete Johannes Schätzl (SPD) ausgedrückt hatte.

Nein, es muss nicht immer und nicht unbedingt sofort der Cyber Dome sein. Vielleicht sogar – ein fast blasphemischer Gedanke – sollte die Handreichung des BSI zur Pflichtschulungen nicht nur auch für Leitungen der Bundesbehörden gelten, sondern auch für den Bundeskanzler, den Bundespräsidenten, die Bundesminister – und den einen oder den anderen Ministerpräsidenten?