Im Interview erläutert Sicherheitsexperte Matthias Maier, wann es Sinn macht, ein eigenes Security Operations Center aufzubauen, und welche Rolle Cyberversicherungen für mittelständische und große Unternehmen spielen sollten.
springerprofessional.de: Herr Maier, die Anforderungen für Unternehmen, innerhalb der komplexen, digitalen Landschaft mit wachsenden Bedrohungen und immer mehr gesetzlichen Vorschriften Schritt zu halten, sind enorm. Welche Sicherheitsgesetze und -richtlinien sollten deutsche Unternehmen ganz besonders auf dem Schirm haben?
Matthias Maier: Das kommt ganz auf die Branche an und welche Art der digitalen Datenverarbeitung ein Unternehmen ausführt. Derzeit ist in den Medien natürlich die EU NIS 2 für alle ein großes Thema sowie EU Dora für die Finanzindustrie und die UN-Regulation No. 155 für die Automobilindustrie. Weitere Gesetze werden folgen, beispielsweise der Fokus auf die Software-Sicherheit über den gesamten Lebenszyklus eines digitalisierten Produkts im EU Cyber Resilience Act. IT-Abteilungen und IT-Führungskräfte sollten generell zu diesem Thema nicht selbst als Experten fungieren, sondern sich an die Rechtsabteilung als zentrale Stelle wenden. Diese muss zunächst im Rahmen einer Betroffenheitsanalyse feststellen, welche gesetzlichen Vorgaben und Industriestandards in welchen Bereichen eingehalten werden müssen. Auch wenn gesetzliche Vorgaben gegebenenfalls nicht auf eine Organisation zutreffen, erfolgt immer häufiger die indirekte Betroffenheit. Das heißt, es werden Kunden bedient, welche gesetzliche Anforderungen in ihrer Branche in IT- beziehungsweise Zuliefererverträgen verankern und fordern. Auch hier muss die Rechtsabteilung den entsprechenden Überblick haben.
Inwieweit setzt NIS 2 die hiesigen Unternehmen aktuell unter Druck? Welche Herausforderungen bringt die Richtlinie mit sich?
Die Richtlinie setzt insbesondere diejenigen Unternehmen unter Druck, die bisher nicht viel in IT-Sicherheit investiert haben. Offizielle Schätzungen gehen davon aus, dass 30.000 deutsche Unternehmen unter NIS 2 fallen werden, während viele weitere Teil der Lieferkette dieser Unternehmen sein werden. Die Richtlinie umfasst im Vergleich zu NIS 1 eine stärkere praxisorientierte Aufsicht durch die Regulierungsbehörde, Rechenschaftspflicht des Managements, umfassendere und präskriptivere Sicherheitsmaßnahmen und eine schnellere Meldung von Vorfällen. IT-Governance, Risk und Compliance sowie proaktive IT-Sicherheit gewinnen immer mehr an Fahrt. Alle IT-Teams, die bereits mehrfach Audits oder Prüfzyklen durchlaufen haben, starten mit einem GAP Assessment und verifizieren, wo noch nachjustiert werden muss.
Wie können Unternehmen konkret Compliance-Anforderungen erfüllen, ohne sich von der Angst vor Strafen überwältigen zu lassen und ihre Ressourcen übermäßig zu belasten?
Nach der Betroffenheitsanalyse durch die Rechtsberatung und der GAP-Analyse durch die operativen Teams müssen die Ergebnisse inklusive der Aufwandsschätzung zurück zum Management. Empfehlenswert ist hier zwischen Quick Wins und längerfristigen Investitionen zu unterscheiden. Unternehmen müssen Maßnahmen ergreifen, um sekundäre Vorschriften und Leitlinien verfolgen zu können, sich bei den zuständigen Behörden zu registrieren und einen Fahrplan für die Einhaltung von Sicherheitskontrollen festzulegen. Zudem müssen Entscheidungen darüber getroffen werden, wie man die Einhaltung der Richtlinien nachweisen und Vorfallprozesse aktuell halten will. Das Management muss die entsprechenden Entscheidungen fällen. Es muss entweder die Ressourcen bereitstellen, in Form von Budget und Headcount, oder Drittanbieter nutzen. Entscheidungen können auch so ausfallen, dass bestimmte Industriesektoren vorerst nicht mehr bedient werden sollen aufgrund von erhöhten gesetzlichen Anforderungen, in welche derzeit noch nicht investiert werden kann.
Wann sollten Unternehmen über die Einführung eines Security Operations Center (SOC) nachdenken?
Ich empfehle, diese Entscheidung in die einzelnen Fähigkeiten und Mehrwerte herunterzubrechen, die die Einführung eines SOCs mit sich bringt. Dies hilft, das richtige Betriebsmodell und die benötigte Expertise festzulegen, beispielsweise ob ein SOC inhouse, extern oder hybrid mit einem Anbieter realisiert wird. Es muss frühzeitig festgelegt werden, was die Abdeckung des SOCs beinhalten soll. Hier ist das erwähnte Beispiel der UN Policy 155 außerhalb der traditionellen Office-IT zutreffend. Diese Richtlinie der UN ist außerhalb der Automobilindustrie nur wenig bekannt. Wir alle kommen jedoch täglich mit ihr in Berührung. In der Policy geht es um die IT-Sicherheit von digitalisierten Fahrzeugen, sowohl innerhalb als auch außerhalb des Fahrzeugs inklusive der Backend-Systeme und einer sicheren Entwicklungsumgebung. Neue Fahrzeugmodelle, die diese Konformität nicht nachweisen können, erhalten in Deutschland keine Typenzulassung mehr. Die Policy hat die Anforderungen, dass Protokollierungsdaten gesammelt, gespeichert und ausgewertet werden, um Cyberangriffe zu erkennen. Die logische Konsequenz: Ein SOC, das sich auf alles rund um das Fahrzeug spezialisiert, muss eingeführt werden. Anforderungen für generische SOCs zum Schutz von Büroarbeitsplätzen und eigenbetriebene Geschäftsapplikationen können ebenso definiert werden.
Welche Rolle spielen Cyberversicherungen in mittelständischen und großen Unternehmen?
Cyberversicherungen sind ein sinnvolles, ergänzendes Instrument, um die finanziellen Risiken im Fall eines Eintritts zu transferieren. Versicherungen wissen aber mittlerweile auch um die hohen Kosten bei einem Cyberschaden und stellen konkrete Anforderungen und Verpflichtungen an ihre Kunden. In der kürzlich veröffentlichten Studie "Die versteckten Kosten von Ausfallzeiten" von uns und dem internationalen Wirtschaftsinstitut Oxford Economics, in deren Rahmen 2.000 Führungskräfte der Global 2.000 befragt wurden, gaben CFOs an, im Durchschnitt pro Jahr 34,8 Millionen USD für Cyberversicherungen auszugeben. Zudem bilden sie weitere 13,4 Millionen USD Rücklagen für Zahlungen für Cybererpressungen. Diesen 48,2 Millionen USD stehen Ausgaben von 23,8 Millionen USD für Cybersicherheits-Tools entgegen sowie weitere 19,5 Millionen USD Investments in Observability-Tools, wenn man nicht nur die IT-Sicherheit, sondern die generelle digitale Resilienz in Betracht zieht. Das Thema "IT-Sicherheit" gewinnt in Deutschland sowie ganz Europa an Fahrt, mit dem Ziel, resilienter gegen Cyberangriffe zu werden. Spätestens im Jahr 2024 sind die IT-Sicherheitsstrategie, deren Umsetzung sowie die Sicherstellung ihrer Effektivität in den meisten Unternehmen nicht länger ein Thema, das nur die IT beschäftigt. Die Rechtsabteilung, die Finanzabteilung und der Vertrieb (indirekt betroffen durch vertragliche Anforderungen der Kunden) sind Key Stakeholder des IT-Sicherheitsbeauftragten und unterstützen diesen bei der Umsetzung. Wo früher ein technisch versierter CISO noch mühsig erklären musste, warum Zwei-Faktor-Authentifizierung für alle Benutzer wichtig ist, walten nun andere Kräfte.