Warum NIS2 auch als Chance gesehen werden muss, sich resilient und vor allem ganzheitlich aufzustellen.
Hallo Herr Kempf, können Sie uns eine „Wasserstandsmeldung“ zur Situation deutscher Unternehmen angesichts neuer Herausforderungen der Cybersecurity geben?
Ralf Kempf: Tatsächlich haben viele Unternehmen den Eindruck, ihnen stehe sicherheitstechnisch das Wasser bis zum Halse – oder schon darüber. NIS2 macht ihnen bewusst, dass sie in der Vergangenheit sozusagen nicht mal einen ordentlichen Schwimmkurs absolviert haben. Die Einschätzung der CISOs in Bezug auf Unternehmenssicherheit und NIS2 ist, dass sie darauf nicht vorbereitet sind. Die Mehrheit sieht Anwendungssicherheit als blinden Fleck ihrer IT-Sicherheitsstrategie.
Und wie konnte es so weit kommen?
Ralf Kempf: Zunächst, so die CISOs, weil Security-Tools oftmals kaum Erkenntnisse liefern, mit denen Vorstände Geschäftsrisiken verstehen und Bedrohungen adressieren können. Die Kluft dieser Technologie- und Kommunikationslücken wird angesichts steigender Bedrohungen immer breiter, trotz eigentlich probater Lösungen wie Security Dashboards.
Das beweist doch eigentlich den klaren Bedarf, oder?
Ralf Kempf: Schon, aber frappierend ist, dass trotzdem fast nichts passiert. Die Erkenntnis führt weder zu einer überfälligen Priorisierung der IT-Sicherheit noch zu dringend nötigen Maßnahmen. Unser Eindruck: Unternehmen wissen nicht, wie und wo sie anfangen sollen, den Herausforderungen komplexer IT-Systeme und hybrider SAP-/Non-SAP-Landschaften inklusive neuer Cloud-Applikationen zu begegnen.
Es hilft aber nicht, untätig zu bleiben in der Hoffnung, die Flut von Herausforderungen werde abziehen oder es treibe eine Insellösung vorbei, die etwa NIS2-Compliance ad hoc herbeizaubert. Der laxe Umgang mit Erkenntnissen zeigt auch, wie sich selbst CISOs von aktuellen Buzzwords beeindrucken lassen und eine ganzheitliche Absicherung aus dem Auge verlieren.
Welche Buzzwords meinen Sie?
Ralf Kempf: Nehmen wir zwei, die die aktuelle Diskussion beherrschen und oft in falscher Sicherheit wiegen: Die Cloud ist kein Allheilmittel und ersetzt keine Firewall, sie eröffnet gar neue Angriffsvektoren, derer man sich bewusst sein muss. Und KI hat ganz sicher die Spielregeln für Cybersicherheit verändert, aber darf nicht als pauschale Universallösung oder -bedrohung missverstanden werden.
Okay, aber ist NIS2 nicht auch ein Buzzword?
Ralf Kempf: Nein, sie ist in ihren Konsequenzen eindeutig unverzichtbar für eine europaweite Resilienz. Sie forciert, dass Cybersecurity zum wesentlichen Teil der Unternehmenskultur wird, und zwar als Chefsache. Wer sie vernachlässigt, setzt sein Unternehmen künftig nicht nur erhöhter Angriffsgefahr aus, sondern auch enormen Bußgeldern. Also klare Empfehlung: das Thema priorisieren, Umsetzungsfristen im Auge behalten und die richtigen Partner ins Boot holen.
Von welchem Zeitrahmen sprechen wir hier?
Ralf Kempf: Einem äußerst engen, Unternehmen sollten keine Zeit mehr verlieren, denn die Direktive weitet Cybersicherheit auf mittelständische, allein in Deutschland geschätzte 30.000 Unternehmen aus. Und eines steht fest: Im Oktober wird NIS2 in Kraft treten. Selbst wenn sich die Umsetzung hier verzögert: Wer das Thema nicht sofort angeht, wird es nicht rechtzeitig schaffen. Und Unternehmen, die nicht mal geklärt haben, ob sie betroffen sind, könnten versucht sein zu folgern, dass auch kein Handlungsbedarf besteht. Eine gravierende Fehleinschätzung.
Das vollständige Interview lesen Sie auf it-daily.net