Laut einer Studie des Bitkom-Verbandes im letzten Jahr entstanden durch (Cyber-)Angriffe jährliche Schäden in Höhe von 203 Milliarden EUR in deutschen Unternehmen – immerhin etwa 5% des Bruttosozialprodukts. Auch wenn diese schwindelerregenden Summen schon allein in die vorangegangen erwähnten Betrachtungen risikoaffiner Unternehmensführung einzahlen müssten, so drängt sich dies spätestens geradezu auf, wenn selbige Studie gleichzeitig feststellt, dass 42% der befragten Unternehmen davon ausgehen, dass diese Angriffe stark steigen werden. Ein Bild, welches die deutschen Sicherheitsbehörden allein auf den gemeldeten Vorfällen basierend, so unterschreiben würden. Dunkelziffer unbekannt.

Ungeachtet dessen ist in der Fläche, insbesondere bei KMUs, keine entsprechende Aufbruchstimmung zu verzeichnen. Fachkräftemangel, fehlendes technisches Wissen in Geschäftsführungen, krisenstrapazierte Budgets oder schlichtweg ein Ohnmachtsgefühl (wenn es jemand auf uns absieht, haben wir ohnehin keine Chance), sind häufig anzutreffende Argumente, um IT- und insbesondere Cyber-Sicherheit zu prokrastinieren. Öffentlich gern zitierte Maßnahmenkataloge oder strukturierte Management-Systeme, deren Umsetzung weder personell noch finanziell von KMUs zu leisten sind, tragen zu dieser Situation bei.

Hafenschließungen während der Corona-Pandemie und die daraus folgende „Container-Krise“, Schiffshavarie im Suezkanal oder der russische Angriffskrieg auf die Ukraine haben uns unabhängig davon in den letzten Jahren eindrucksvoll vor Augen geführt, wie fragil unsere globalisierten Lieferketten sind und wie leicht sich diese perfekt eingeschwungenen Systeme durch Störungen von außen langfristig aus dem Takt bringen lassen. Eine isolierte Betrachtung des eigenen Unternehmens kann vor diesem Hintergrund demzufolge nicht sinnvoll sein.

Diese sich gefährlich widersprechenden Tatsachen bleiben auch in der Politik nicht unerkannt und führten in den letzten Jahren zu einem immer massiveren regulatorischen Eingriff in IT-sicherheitsrelevante Bereiche der freien Märkte. Vor allem von Seiten der EU-Kommission wird ein harmonisierter Level an IT-Sicherheitsbestimmungen und ein Mindestmaß an digitaler Abwehr- und Handlungsfähigkeit vorangetrieben. Was sich anfangs auf kritische Infrastrukturen beschränkte und die grundgesellschaftliche Versorgung sicherstellen sollte, entwickelt sich zunehmend in die Breite, damit das gesamte europäische Wirtschaftssystem – zumindest im IT-Bereich – resilienter gegen störende Einwirkungen von außen wird.

„Kritis“ als Abkürzung für kritische Infrastrukturen, die Kritis-Verordnung sowie das zugrundeliegende IT-Sicherheitsgesetz (in erster wie zweiter Auflage) dürften den meisten mittlerweile bekannte Begriffe sein. Diese in Deutschland etablierte Regulatorik ist die nationale Umsetzung der EU „NIS-Richtlinie“ (Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union) aus dem Jahr 2016. Wie die deutsche Bezeichnung „kritische Infrastrukturen“ vermuten lässt, zielte die Regulatorik primär darauf ab, Versorgungsnetze und deren IT-Infrastrukturen abzusichern und zentrale Meldestellen für Sicherheitsvorfälle zu schaffen.

Seither ist viel passiert. Die IT-Sicherheitslage hat sich dramatisch verändert. Das Bundesamt für Sicherheit in der Informationstechnik, seines Zeichens gemäß IT-Sicherheitsgesetz verantwortlich für die Kritis-Verordnung, hat seit der Erstveröffentlichung in 2016 bereits zwei Updates zur Kritis-Verordnung durchgeführt (Juni 2017, Januar 2022), die den Geltungsbereich auf deutlich mehr Bereiche der Versorgung und Verwaltung ausdehnen. Jüngst (am ersten März 2023) wurde die dritte Änderungsverordnung zur Kritis-Verordnung im Bundesgesetzblatt veröffentlicht und LNG-Terminals in den Geltungsbereich mit aufgenommen.

Meiner Einschätzung nach kann die aktuelle Kritis-Verordnung ihre gesamtgesellschaftliche Verantwortung jedoch immer noch nicht entfalten. Viel zu vielen Unternehmen war es bisher möglich, sich durch die definierten Schwellenwerte der Regulatorik zu entziehen. Am Beispiel von Stadtwerken wird dies besonders deutlich: Natürlich sind diese für sich genommen häufig zu klein, um reguliert zu werden. Aber es ist ein Leichtes, mehrere dieser Einrichtungen gleichzeitig anzugreifen und damit in der Fläche für Probleme zu sorgen. Sind doch Stadtwerke häufig „Mehrspartenversorger“ (Strom, Wasser, Internet, ÖPNV…) und somit ein elementarer Bestandteil von Lieferketten in der Wirtschaft.

Auf EU-Ebene scheint man eine ähnliche gelagerte Auffassung zu vertreten: Im Januar ist die NIS 2.0 („Richtlinie … Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union …“) in Kraft getreten, die bis spätestens Q3/2024 auch in Deutschland verpflichtend umgesetzt sein muss. Schon am Titel lässt sich erkennen, dass es längst nicht mehr nur um die „Sicherheit von Netz- und Informationssystemen“ geht. Die NIS 2.0 Regulatorik weitet den Anwendungsbereich der Verordnung im Zuge der regulierten Tätigkeitsfelder bzw. Industrien für Unternehmen massiv aus, unterscheidet dabei aber im Umfang in wichtige und wesentliche Einrichtungen. Gleichermaßen sind die Schwellenwerte, nach denen sich kleine Unternehmen der Regulatorik entziehen können, massiv gesunken: 10 Millionen EUR Umsatz oder 50 Mitarbeiter. Da auch Online-Marktplätze unter die NIS 2.0 Regulatorik fallen, heißt das faktisch, dass jedes Unternehmen, das Fernabsatzverträge über eine Webplattform schließt und entweder das Umsatz- oder das Mitarbeiter-Kriterium erfüllt, eine „kritische Infrastruktur“ ist. Die NIS 2.0 etabliert somit endlich das Verständnis, dass IT-Sicherheit ein Muss für alles ist, was für das Wohl und die Qualität unserer Gesellschaft von Bedeutung ist. Dabei legt NIS 2.0 nicht nur konkrete organisatorische, sondern auch technische Maßnahmen fest, die als Mindeststandard umzusetzen sind. Diese Maßnahmen können somit nicht mehr durch eine „Akzeptanz des Risikos“ umgangen werden.

Eine weitere wichtige Neuerung ist, dass regulierte Unternehmen nicht nur sich selbst, sondern auch ihre Lieferketten betrachten müssen. Auch wenn es keine direkten Vorgaben bezüglich der Anforderungen für Lieferketten gibt, so muss bei der Auswahl von Dienstleistern eine Risikobewertung durchgeführt werden, bei der „Risikomanagementmaßnahmen im Bereich der Cybersicherheit“ in die vertraglichen Vereinbarungen mit einbezogen werden. Da solche Detailprüfungen vermutlich in der Masse nicht darstellbar sind, gehe ich davon aus, dass regulierte Unternehmen künftig nur noch Lieferanten auswählen werden, die ein entsprechendes IT-Sicherheitsniveau von sich aus nachweisen können. In der Folge bedeutet dies, dass die NIS 2.0 in der Fläche das IT-Sicherheitsniveau wirklich erhöhen wird.

Wie im Detail die Realisierung in Deutschland aussehen wird, ist noch offen. Wirtschaftsverbände appellieren schon jetzt an die Bundesregierung, dies für die Wirtschaft möglichst sanft und wohlwollend umzusetzen und verweisen dabei auf die Leistungsfähigkeit kleiner Unternehmen. Meiner Ansicht nach ein völlig falscher Ansatz. Zum einen müssten Unternehmen, die im Jahre 2023 nicht einmal die Grundlagen der IT-Sicherheit implementieren können (wollen?), um wettbewerbsfähig zu bleiben, allein schon zum Wohle der Allgemeinheit von eben diesen Verbänden Unterstützung bekommen, um ein akzeptables Sicherheitsniveau zu erreichen. Zum anderen birgt die auf den ersten Blick vermeintliche Erleichterung für kleine Unternehmen, Potenzial zur Wettbewerbsverzerrung zu Gunsten „der Großen“, weil sie nämlich dadurch als Lieferant bei der „Lieferkettenprüfung“ nicht mehr in Frage kommen.

Auch von anderer Seite steht die „Lieferkette“ im Fokus der EU-Regulatorik: Beim sogenannten „Cyber Resiliance Act“, dessen Entwurf im September 2022 veröffentlicht wurde. Hier geht es darum, bei Herstellern von Hardware- und Software-Produkten bzw. Produkten mit digitalen Elementen, sowohl IT-Sicherheitsmaßnahmen für das Unternehmen als auch Prinzipien der sicheren Softwareentwicklung und „Security-By-Design-Prinzipien“ zu etablieren und zu zertifizieren. Der Umfang ist abhängig von der Kritikalitätseinstufung der Produkte. Diese Kritikalitätseinstufung basiert dabei sowohl auf dem Produkt selbst wie auch auf seinem Einsatzziel. Um beim Beispiel der NIS 2.0 zu bleiben: Produkte, die von NIS 2.0 regulierten Unternehmen eingesetzt werden, müssen sich der Regulierung zwingend unterwerfen. Darüber hinaus besteht für alle anderen die Möglichkeit, sich alternativ einem freiwilligen Self-Assessment zu unterziehen.

Ein solcher Schritt ist längst überflüssig, denn in der deutschen Produkthaftung fehlt gänzlich die Verbindlichkeit. Ein Beispiel hierzu aus meiner Erfahrung bei Sicherheits-Reviews: Es ist heute noch immer keine Selbstverständlichkeit, dass eingesetzte Bibliotheken regelmäßig upgedated werden oder gar eine Verpflichtung zur Lieferung von Updates besteht, wenn in deren Libraries Schwachstellen bekannt geworden sind: Der Kunde zahlt ja nur für Features.

Auch wenn das primäre Ziel des „Data Acts“ der EU nicht die Erhöhung der IT-Sicherheit ist, so kann und wird es dennoch dazu beitragen. Beim Data Act geht es darum, den Zugriff auf von digitalen Produkten generierten (Meta-)Daten zu liberalisieren. Das bedeutet insbesondere, dass die Hersteller ihr Monopol auf die Daten aufgeben und zumindest den Käufern/Nutzern diese vollumfänglich zugänglich machen müssen – bis hin zu staatlichen Stellen und Drittunternehmen. Für die IT-Sicherheit kann dies zur Folge haben, dass Stellen wie das BSI oder das nationale Cyberabwehrzentrum Zugriff auf die Echtzeitreportings von Firewalls und Virenscanner erhalten, sodass nicht nur die Hersteller ihre „cloud-basierte Lage- und Angriffserkennung“ künftig als Produkt nutzen können, sondern auch die IT-Sicherheitslage deutlich transparenter und realer betrachtet werden kann. Auch der Sicherheitsforschung stünden damit deutlich mehr Daten zur Verfügung, die mittel- bis langfristig zur Verbesserung unserer Infrastrukturen und Produkte führen können.

Neben den genannten Beispielen sind auch weitere – vor allem branchenspezifische – Veränderungen am Markt festzustellen. Die wichtigste Erkenntnis für Unternehmen sollte jedoch sein: Strategische IT-Sicherheit ist kein notwendiges Übel und auch kein Groschengrab, sondern wird in Zukunft vermutlich mindestens genauso über Wettbewerbsfähigkeit und Marktchancen entscheiden wie aktuell Qualität, Preis und Nachhaltigkeitskriterien. Wenn Unternehmen sofort und nicht erst bei negativen Auswirkungen nach dem Inkrafttreten von Verordnungen aktiv werden, bleibt genug Zeit, um auch mit kleinem Budget bzw. in kleinen Schritten die eigene IT-Sicherheit zu verbessern. Betrachten wir dann noch die Digitalstrategie der Bundesregierung, die als eines der wichtigsten Ziele die verbesserte digitale Souveränität Deutschlands und der EU anstrebt, kann sich aus den Bewegungen ein völlig neues Geschäftspotential entwickeln: Sichere IT-Produkte aus Deutschland und der EU bekommen regulatorisch einen Vorteil gegenüber etablierten Drittstaaten-Produkten. „Nobody ever got fired for buying IBM“ war gestern. Persönlich schaue ich optimistisch in die Zukunft und hoffe, dass möglichst viele Unternehmen die anstehenden Vorgaben als Chance und nicht als Daumenschrauben begreifen.