Bundesinnenministerin Nancy Faeser hat im Mai 2024 einen Gesetzentwurf vorgelegt, mit dem das deutsche IT-Sicherheitsrecht umfassend modernisiert und neu strukturiert werden soll. Mit dem Gesetzentwurf sollen die Vorgaben der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) im Wesentlichen in Form einer Novelle des BSI-Gesetzes umgesetzt werden. "Mit unserem Gesetz werden künftig mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen müssen", so die Bundesinnenministerin.
Die Scheinsicherheit bei NIS2
Das entsprechende Gesetzgebungsverfahren läuft noch, doch schon Monate zuvor sahen sich viele Unternehmen im Zeitplan der Umsetzung, ohne aber die genauen Anforderungen kennen zu können. Wie die aktuelle Studie "IT-Security-Trends 2024" von CSO, CIO und Computerwoche in Zusammenarbeit mit Fortinet und SPIRIT/21 zeigt, glauben mehr als neun von zehn der von der europäischen NIS2-Richtlinie betroffenen Unternehmen, dass sie die neuen Vorgaben bereits umgesetzt haben oder dies bis Jahresende 2024 schaffen werden.
"Uns überrascht das Ergebnis, dass die NIS2-Umsetzung für die meisten Unternehmen nach Plan verläuft", kommentiert Thorsten Henning, Regional Systems Engineering Director DACH bei Fortinet. "Das 'NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz' hat noch gar nicht den deutschen Bundestag passiert und ist entsprechend noch nicht rechtskräftig."
Der Security-Experte gibt zu bedenken: "Bei vielen unserer Kunden herrscht noch Unsicherheit, ob sie überhaupt betroffen sein werden und welche technischen und organisatorischen Maßnahmen für sie gesetzlich verpflichtend sein werden".
Die Frage der direkten und indirekten Betroffenheit
Die Studie bestätigt die genannte Unsicherheit unter den befragten Unternehmen. 31 Prozent der Unternehmen erklären, nicht von NIS2 betroffen zu sein, weitere sieben Prozent sind sich noch unsicher. Je nach Unternehmensgröße erhöhen sich diese Anteile aber. Unter den kleineren Unternehmen mit weniger als 500 Beschäftigten sind es ganze 48 Prozent, die meinen, nicht unter NIS2 reguliert zu werden. Immerhin zwölf Prozent der mittelgroßen Unternehmen mit 500 bis 999 Beschäftigten sind noch nicht sicher, ob NIS2 sie betrifft oder nicht.
Offensichtlich fällt es so einigen Unternehmen schwer, die eigene Betroffenheit von NIS2 zu ermitteln. Zudem scheinen viele Unternehmen, die sich als nicht von NIS2 betroffen einstufen, die Möglichkeit nicht deutlich genug zu sehen, vielleicht indirekt betroffen zu sein.
Was nicht vergessen werden sollte: NIS2 fordert auch die Sicherheit der Lieferkette. Deshalb können Unternehmen, die Lieferanten oder Dienstleister von Organisationen sind, die durch NIS2 reguliert werden, auch indirekt mit Vorgaben der neuen Cybersicherheitsrichtlinie konfrontiert werden. Das kann zum Beispiel darüber erfolgen, dass bestimmte Anforderungen an die Cybersicherheit Teil der Einkaufsbedingungen werden, die die unter NIS2 fallenden Organisationen von ihren Lieferanten einfordern.
Doch die Unsicherheit, ob man als Organisation selbst von NIS2 betroffen ist oder nicht, ist nicht der einzige Stolperstein auf dem Weg der NIS2-Umsetzung.
Deutliche Lücken im IT-Risikomanagement
NIS2 fordert explizit eine Reihe von Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen, die auch deren Lieferanten und Dienstleister betreffen können.
Es geht dabei insbesondere um Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik, die Bewältigung von Sicherheitsvorfällen, die Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und das Krisenmanagement, um Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik, um grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik, um mehrere Beispiele zu nennen.
Alle diese Maßnahmen müssen risikobasiert bestimmt und umgesetzt werden. Die aktuelle Studie "IT-Security-Trends 2024" zeigt aber, dass knapp die Hälfte der Unternehmen ihre IT-Risiken nicht explizit bewertet. Nur 52 Prozent der Befragten geben an, dass sich ihr Risikomanagement bereits dediziert mit den IT-Risiken und der IT-Sicherheit auseinandersetzt. 42 Prozent der Befragten planen ein solches Vorgehen für die Zukunft, sieben Prozent haben dies aber auch später nicht vor.
Nicht immer ist auch der IT-Bereich involviert, wenn die IT-Risiken bewertet werden. Selbst dann, wenn die IT-Risiken dediziert im Risikomanagement des Unternehmens Berücksichtigung finden, bedeutet dies nicht automatisch, dass auch der IT-Bereich wirklich einbezogen wird. Stark involviert im IT-Risikomanagement ist der IT-Bereich nur in 42 Prozent der entsprechend agierenden Unternehmen.
Trotzdem stufen 45 Prozent der Befragten ihr Risikomanagement im sogenannten "Risk Maturity Model" in die höchsten Level 4 und 5 ein. Dabei stellt sich die Frage, wie die für NIS2 relevanten IT-Risiken denn umfassend bewertet werden sollen, wenn der IT-Bereich mitunter nicht involviert ist.
Handlungsbedarf im Bereich der Security-Schulungen
Ein weiterer Bereich, der in der Studie untersucht wird, zeigt sich verbesserungswürdig, wenn die Vorgaben von NIS2 wirklich erfüllt werden sollen. So ist fehlendes Personal für 41 Prozent der befragten Unternehmen ein Hindernis für ihren IT-Sicherheitsbereich, das auch damit einhergehende fehlende Knowhow für 28 Prozent. Steigende Compliance-Anforderungen sind nur für 18 Prozent der Befragten ein Problem, was erneut zeigen könnte, dass die NIS2-Vorgaben nicht richtig eingeschätzt werden.
Obwohl also der Mangel an Personal und Knowhow als größte Hindernisse in der Security gelten, sehen nur 50 Prozent der Unternehmen eine interne Zertifizierung für die Verantwortlichen in der IT-Sicherheit als verpflichtende Maßnahme vor.
Verpflichtende Schulungen zu aktuellen Bedrohungen gibt es nur in 56 Prozent der Unternehmen, zu Themen aus dem Bereich Datenschutz und Compliance bei 51 Prozent. Noch geringer ist der Anteil der Pflichtschulungen im Bereich Cloud-Sicherheit (48 Prozent), trotz der allgemein hohen Cloud-Nutzungsraten.
Offensichtlich müssen die Schulungsmaßnahmen für die Security-Verantwortlichen wie auch für die Beschäftigten bei vielen Unternehmen erst noch auf- und ausgebaut werden, um die von der NIS2 geforderten Risikomanagementmaßnahmen umzusetzen.
Externe Unterstützung muss stärker genutzt werden
Bedenkt man, wie kurz nur noch die verbleibende Zeit zur Umsetzung von NIS2 ist und wie viele Lücken unter anderem durch die Studie "IT-Security-Trends 2024" sichtbar werden, könnte es ein Ausweg sein, sich externe Hilfe in der Cybersicherheit zu beschaffen.
Doch hier wird ebenfalls noch nicht genug getan. Nur jedes zweite befragte Unternehmen lagert Aufgaben der IT-Security an externe Dienstleister aus. Dabei unterscheiden sich kleinere Unternehmen mit weniger als 500 Beschäftigten, die zu 53 Prozent Security-Outsourcing nutzen, nicht stark von den großen Unternehmen mit mindestens 1000 Beschäftigten. Diese lagern IT-Sicherheitsaufgaben zu 47 Prozent aus.
Wenn aber IT-Security ausgelagert wird, geschieht dies bei 49 Prozent der entsprechenden Unternehmen lediglich zur Implementierung von sicherheitsfördernden Prozessen in einzelnen Abteilungen, also nicht unternehmensweit.
Nur zwölf Prozent der Unternehmen nutzen externe Dienstleister für solch komplexe Themen wie die Analyse von Bedrohungen, wobei hier "externes Wissen" besonders wichtig und hilfreich wäre, wenn man an die steigende Cyberbedrohungslage denkt, die ja ein wesentlicher Grund für die Verschärfung der Cybersicherheitsanforderungen durch NIS2 ist.
Künstliche Intelligenz stärker im Blick als NIS2
Offensichtlich befassen sich die befragten Unternehmen auch mit neuen, technologischen Entwicklungen wie Künstliche Intelligenz (KI) stärker als mit den verschärften Compliance-Anforderungen.
"Bei einer genaueren Betrachtung der Ergebnisse der IT-Security-Trends-Studie 2024 wird deutlich, dass Künstliche Intelligenz derzeit das dominierende Thema in der Welt der IT-Sicherheit ist", erklärt Timo Hagenlocher, Head of IT-Strategy bei SPIRIT/21.
"Dabei wird KI aus verschiedenen Blickwinkeln betrachtet. Die Schwerpunkte liegen auf den Themen "Schutz durch KI-basierte Systeme" und "Schutz vor KI-unterstützten Angriffen". Letzteres wird angesichts der zunehmenden Bedrohung durch Social Engineering in Zukunft noch an Bedeutung gewinnen". Auch der "Schutz von KI-Systemen" sei ein wichtiges Thema, das angesichts der immer umfassenderen Nutzung von KI im beruflichen und privaten Alltag nicht zu unterschätzen ist, so der Hinweis von Timo Hagenlocher.
Fazit: Es bleibt viel zu tun für die NIS2-Umsetzung
Es zeigt sich: Auch wenn die große Mehrheit der befragten Unternehmen denkt, die Umsetzung von NIS2 ohne Probleme bewältigen zu können oder dies bereits geschafft zu haben, und auch wenn Themen wie KI mehr in den Köpfen der Security-Verantwortlichen sind als NIS2, ist noch sehr viel zu tun.
Die Studie "IT-Security-Trends 2024" offenbart mehrere Baustellen in der Cybersicherheit, die aber von vielen Unternehmen gar nicht mit Aufgaben für eine NIS2-Konformität in Verbindung gebracht werden. Die Aufklärung über die NIS2-Anforderungen und die Möglichkeit, auch indirekt über die Lieferkettenschutz betroffen zu sein, ist dringend erforderlich.
Studiensteckbrief
Herausgeber: CIO, CSO und COMPUTERWOCHE
Studienpartner: Fortinet, SPIRIT/21
Grundgesamtheiten: Oberste (IT-)Verantwortliche in Unternehmen der DACH-Region: Beteiligte an strategischen (IT-)Entscheidungsprozessen im C-Level-Bereich und in den Fachbereichen (LoBs); Entscheidungsbefugte sowie Experten und Expertinnen aus dem IT-Bereich
Teilnehmergenerierung: Persönliche E-Mail-Einladung über die exklusive Unternehmensdatenbank von CIO, CSO und COMPUTERWOCHE sowie - zur Erfüllung von Quotenvorgaben - über externe Online-Access-Panels
Gesamtstichprobe: 339 abgeschlossene und qualifizierte Interviews
Untersuchungszeitraum: 6. bis 13. Mai 2024
Methode: Online-Umfrage (CAWI)
Fragebogenentwicklung und Durchführung: Custom Research Team von CIO, CSO und COMPUTERWOCHE in Abstimmung mit den Studienpartnern