NIS-Richtlinie : „Wir erleben den Sicherheitsgurt-Moment in der Cybersicherheit“

Anfang des Jahres übernahm mit Heli Tiirmaa-Klaar eine der führenden europäischen Cybersicherheitsexpert:innen die Leitung des Digital Society Institute (DSI) an der European School of Management and Technology (ESMT) in Berlin. Im Antrittsinterview mit Tagesspiegel Background warnte sie vor einem eklatanten Mangel an Cybersicherheitsexpert:innen – auf allen Hierarchieebenen. Nun will das DSI an einer Lösung mitwirken: Ab Oktober starten Programme in Deutsch und Englisch für Fachleute, die im Cyberbereich tätig sind. Im Interview spricht Tiirmaa-Klaar über die neuen Angebote, Brüsseler Regulierung als Herausforderung für kleine und mittelständische Unternehmen und einen generellen Paradigmenwechsel in der Cybersicherheit. 

Frau Tiirmaa-Klaar, das DSI wird ab Oktober spezielle Programme für Berufstätige etwa in den Bereichen Cyber Risk Management, Business Continuity oder Compliance mit nationalen und EU-Vorschriften anbieten. Wo sehen Sie den Bedarf – schaffen Unternehmen es nicht selbst, entsprechendes Fachwissen aufzubauen?

Eine allgemeine Einschätzung ist schwierig. Grob gesagt gibt es zwei verschiedene Gruppen. Die erste sind global operierende deutsche Unternehmen, die genug Ressourcen haben, um die Cyberbedrohung und auch entsprechende Regulierung zu adressieren. Oder sie heuern Spezialisten auf dem Markt an – der Knappheit an Fachkräften können sie durch hohe Gehälter begegnen. Und genau hier sind wir bei der zweiten Gruppe, die es deutlich schwerer hat – die kleinen und mittleren Unternehmen. Gerade im Hinblick auf die neue europäische Cybersicherheitsrichtlinie NIS-2 kommen auf viele nun neue Anforderungen zu, die sie so bislang vielleicht gar nicht auf dem Schirm hatten.

Die Frage ist, ob diese Unternehmen es sich leisten können, spezielle Experten einzustellen und zu halten. Möglicherweise werden auch intern bereits bestehende Mitarbeiter der IT-Abteilungen mit neuen Aufgaben betraut. Die Programme bieten eine breite Palette von Cyberthemen, die sowohl für größere als auch für kleinere Unternehmen relevant sind. Für die entsprechenden Mitarbeiter, etwa aus dem der IT-Abteilung oder dem Risikomanagement, ist es wichtig, dass sie die Heraus- und Anforderungen besser verstehen.

Benachteiligen Regulierungsvorhaben wie NIS-2 damit nicht kleine und mittlere Unternehmen?

In gewisser Weise schon, ja. Und wir können heute auch noch nicht absehen, wie die Umsetzung der entsprechenden Richtlinien aussehen wird. Wird es nur das Abhaken von Kästchen oder ein wirklich ganzheitliches Verständnis für die Anforderungen an Cybersicherheit. Wenn wir das nicht erreichen, dann haben Unternehmen einfach nur mehr formale Arbeit und es gibt keinen Gewinn für die gesamteuropäische Sicherheitslage.

Gleichzeitig sehen wir auch immer wieder, dass europäische Regulierung gerade für kleine und mittelständische Unternehmen zur Herausforderung wird – sie werden direkt davon betroffen, aber bekommen nicht mit, was da auf sie zukommt – auch hier sehen wir also den Bedarf für Formate, in denen derartige Themen adressiert werden.

Neben entsprechenden Formaten braucht es doch auch viel mehr Menschen, die sich mit Sicherheitsaspekten auskennen – und die müssen ausgebildet werden. Wo liegt der konkrete Handlungsbedarf?

Um die Situation des Fachkräftemangels deutlich zu machen: Wir haben eine Cyberpandemie, aber viel zu wenig Ärzte. Es gibt exzellente Universitäten in Deutschland, die entsprechende Grundlagen vermitteln. Doch der Fokus liegt häufig auf anderen Themen, etwa der Verfügbarkeit von Daten und der Etablierung von IT-Infrastrukturen. Es bräuchte hier eine entsprechende Ebene, die Security-by-Design als grundsätzlich etabliert. Gleichzeitig brauchen wir dieses Thema auch in Ausbildungsberufen.

Sehen Sie hier genug Anstrengungen?

Ich denke, dass Deutschland – europäisch gesehen – bei der Cybersicherheit im oberen Mittelfeld mitspielt. Und eine lange Zeit ist das auch gut gegangen. Und es gibt, wie bereits gesagt, auch eben eine sehr heterogene Unternehmenslandschaft. Bisher waren alle Vorschriften hauptsächlich auf die Unternehmen der Kritischen Infrastruktur ausgerichtet. Große Unternehmen konnten und können es sich zudem leisten, Leute einzustellen und zu halten.

Aber jetzt, denke ich, wird auch Deutschland plötzlich mit einer Art Realitätsprüfung konfrontiert werden, weil viele mittlere Unternehmen die neuen Vorschriften einhalten müssen. Ich denke, dass hier auf die Wirtschaftsnation Deutschland eine neue Komplexität zukommt – und dann wird auch der Handlungsdruck größer werden, um sich um entsprechende Mittel gegen den Fachkräftemangel zu bemühen.

Etwas, was kommen wird, ist der Cyber Resilience Act (CRA). Hierzu hat die Europäische Kommission unlängst ihren Entwurf vorgelegt – wie beurteilen Sie das Vorhaben?

Es ist ein richtiger und nachvollziehbarer Ansatz – und es ist nicht nur an der Zeit, sondern auch eine völlig logische Entwicklung. Um eine Analogie zu bemühen: Als die Menschen anfingen, mit Zement zu bauen, gab es keine Anforderungen an die Art des Zements, der verwendet werden sollte. Also war es einfach eine Mischung aus Lehm und Sand. Es stürzten zwar nicht viele Gebäude ein, aber doch einige. Es gibt noch viele weitere Analogien – etwa bei den Autos und den Sicherheitsgurten. Ich denke, dass wir in der Cybersicherheit nun den Sicherheitsgurt-Moment erleben.

Wie meinen Sie das?

Wir haben jetzt einen Moment, in dem die Verantwortung für Sicherheit nicht mehr allein dem Endnutzer zugeschoben wird – genauso wie man sich keinen Sicherheitsgurt selbst kaufen muss. Zum ersten Mal erkennt der Gesetzgeber an, dass wir in ein Zeitalter des Internets der Dinge eintreten, in dem jeder Kühlschrank potenziell für gefährliche Zwecke eingesetzt und für Ransomware missbraucht werden kann.

Das neue Gesetz zur Cyberwiderstandsfähigkeit wird von allen Herstellern verlangen, Sicherheitsmerkmale in digital vernetzte Produkte einzubauen. Die gesamte Software, die in die Produkte des Internets der Dinge eingebaut wird, muss also widerstandsfähig und fehlerfrei sein. Wir wissen, dass man als Verantwortlicher eines Herstellerunternehmens vielleicht nicht als Erstes an Software denkt, weil es um Funktionalität und Design geht. Wenn das Auto gut läuft, der Motor funktioniert oder die Abgasnormen einhält, ist die Software nicht etwas, das man für besonders wichtig hält, aber sie sollte es sein.

Glauben Sie, dass es eine ähnliche Wirkung entfalten wird, wie die Datenschutzgrundverordnung?

Das könnte passieren – ich glaube, dass wir mit dem CRA einen Wendepunkt erleben. Es ist ein Experiment und es könnte eine Hebelwirkung auch auf andere Regionen entwickeln, da Produkte für die Europäische Union nun sehr spezifische Anforderungen erfüllen müssen und damit insgesamt sicherer werden könnten. Die EU-Kommission legt nun Normen fest, die auch international zunehmend Anwendung finden könnten.