Zur Sicherheit verpflichtet

Recht
06.06.2021

 
Weil Cyberangriffe auch die Gesellschaft an neuralgischen Punkten treffen, greift der Staat mit immer mehr Vorschriften regulierend ein. Welche Entwicklungen es hier international gibt und was die einzelnen Verordnungen und Auflagen für Unternehmen bedeuten.

Unternehmen werden immer häufiger Opfer von Cyberbetrug und tragen Verluste davon. Abhilfe soll Cybersecurity schaffen. Die Maßnahmen dürfen allerdings nicht damit enden, Betriebe vor Verschlüsselungstrojanern oder vereinzelten Datenschutzverletzungen zu bewahren. Wenn Sicherheitslücken nämlich die kritische Infrastruktur beeinträchtigen, erhält die Bedeutung von Cybersecurity eine gesellschaftliche Dimension. Cyberangriffe, die die Gesellschaft an neuralgischen Punkten treffen, erweitern den Kreis der Geschädigten weit über das direkt betroffene Unternehmen hinaus. Energieversorger, die ihre Kunden nicht mehr mit Strom oder Gas beliefern können, Banken, die kein Bargeld ausgeben können, Krankenhäuser, deren Patienten aufgrund nicht funktionierender Infrastruktur sterben: All diese Szenarien infolge von Cyberangriffen wurden bereits Realität. Vor diesem Hintergrund erachten es Gesetzgeber zunehmend für notwendig, Cybersecurity aus dem ausschließlichen Verantwortungsbereich der betroffenen Unternehmen und Einrichtungen zu holen. Regierungen setzen sich zunehmend mit den Risiken im Netz auseinander, die weit über die Bedrohung einzelner Betriebe hinausgehen und der Regulierung bedürfen.

WIE DIE EU CYBERSECURITY REGELT

Als Folge dieser Überlegungen entstand die erste EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie), die im August 2016 in Kraft trat. Diese Richtlinie verpflichtet Unternehmen der kritischen Infrastruktur dazu, eine Reihe an Sicherheitsauflagen im Internet zu erfüllen: Zum einen sind angemessene, dem Stand der Technik entsprechende Sicherheitsmaßnahmen zu treffen, zum anderen müssen gravierende Sicherheitsvorfälle an eine staatliche Behörde gemeldet werden. Im internationalen Vergleich kam diese EU-Initiative verhältnismäßig spät. In den USA gibt es schon seit langem entsprechende Gesetze, die Gesundheitsorganisationen, Finanzdienstleistern und Bundesbehörden den Schutz ihrer Systeme und ihnen anvertrauter Informationen vorschreiben.

VERORDNUNGEN WERDEN ERWEITERT

Diese Gesetze und Verordnungen sind auf bestimmte kritische Bereiche beschränkt: Banken, den Gesundheitssektor, Telekommunikation etc. Die immer ausgeklügelteren Cyberangriffe der letzten Jahre haben jedoch gezeigt, dass es zu kurz greift, Cybersicherheit ausschließlich den Führungsetagen systemrelevanter Betriebe zu überantworten. Auch andere Sektoren werden immer öfter zum Ziel von Angriffen. Zudem sind kleine und mittlere Unternehmen das Rückgrat jeder Volkswirtschaft. Mit dem Schutz des digitalen Binnenmarkts als erklärtem Hauptziel der Cybersecurity- Strategie der Europäischen Union vor Augen wurde klar, dass Cyberhygiene auch auf die digitalen Sektoren ausgeweitet werden muss. Etwa bei Online-Marktplätzen, auf denen Unternehmen ihre Produkte und Dienste online zur Verfügung stellen können, Cloud-Computing-Diensten sowie Suchmaschinen.

Die von der ursprünglichen NIS-Richtlinie umfassten Bereiche werden daher bei der nächsten Überarbeitung des Gesetzestextes um Sektoren und Dienstleister ergänzt werden, ohne die gesellschaftliche und wirtschaftliche Schlüsselaktivitäten im Binnenmarkt nicht erbracht werden können. Diese Ausweitung und Harmonisierung der Zielgruppen werden den Geltungsbereich der europäischen Netzwerk- und Informationssicherheitsrichtlinie deutlich vergrößern. Im Zuge der Überarbeitung werden auch Sicherheitsauflagen konkretisiert und ausgeweitet: Betroffene Einrichtungen werden dazu verpflichtet, angemessene und verhältnismäßige technische und organisatorische Maßnahmen gegen die Bedrohung der Sicherheit ihrer Netzwerke und Informationssysteme zu ergreifen, die dem neuesten Stand der Technik entsprechen und auf das spezifische Risiko zugeschnitten sind. Ziel ist das Propagieren von Mindestsicherheitsstandards in einem weiten Teil unserer auf Informationssicherheit basierenden Gesellschaft, um widerstandsfähigere Ökosysteme sowohl auf nationaler als auch auf europäischer Ebene zu schaffen. In der Pflicht sind dabei nicht nur große Konzerne. Bezüglich der Größe der betroffenen Unternehmen spricht der Entwurf auch von mittleren Unternehmen, also Betrieben mit mehr als 50 Mitarbeitern und einem Umsatz von mehr als zehn Millionen Euro. Alle Unternehmen, die diesen Kriterien entsprechen, müssen sich an die Vorgaben der NIS-Richtlinie halten, also entsprechende Cybersecurity-Mindeststandards einhalten und Meldepflichten von Vorfällen nachkommen.

TENDENZ ZU STÄRKERER STANDARDISIERUNG

Die Achillesferse der digitalen Sicherheit stellen nach wie vor Sicherheitsmängel bei Produkten und Dienstleistungen dar.

Sicherheitslücken dieser Art erleichtern es Cyberkriminellen, ihrem illegalen Handwerk nachzugehen. Vor diesem Hintergrund verabschiedete die Europäische Kommission 2019 den Rechtsakt zur Cybersicherheit, mit welchem erstmals ein EUweiter Rahmen für die IT-Sicherheitszertifizierung von Produkten, Dienstleistungen und Prozessen geschaffen wurde. Zudem erteilt der Rechtsakt der EU-Cybersicherheitsagentur ENISA ein dauerhaftes Mandat für die Ausarbeitung eines möglichen europäischen Schemas für die Cybersicherheitszertifizierung, in welchem die Bedingungen für die zukünftige Zertifizierung von Produkten, Dienstleistungen und Prozessen auf drei Vertrauenswürdigkeitsstufen festgelegt werden sollen. Derzeit sind diese Zertifizierungen noch freiwillig, die Kommission hat jedoch bereits ihre Absicht bekundet, in Zukunft ein verpflichtendes Regime zur Förderung von Sicherheitsmindeststandards anzustreben.

UNTERNEHMEN IN DER PFLICHT

Generell lässt sich ein Trend, Cybersecurity-Auflagen durch entsprechende Gesetze und Verordnungen verpflichtend zu machen und dabei den Kreis betroffener Unternehmen zu erweitern, beobachten. Auch wenn Cybersecurity und Resilienz vor dem Hintergrund der potenziell gravierenden Auswirkungen von Cyberangriffen ein wichtiges Anliegen für jeden Betrieb sein sollten, der Technologien einsetzt, ist vorauszusehen, dass es in diesem Bereich in Zukunft weniger Wahlmöglichkeit geben wird. Verordnungen und Auflagen werden in absehbarer Zeit auch in weiteren Branchen und Sektoren Einzug halten und auch KMU direkt oder im Rahmen der Lieferketten von Betreibern wesentlicher Dienste zu entsprechenden Vorkehrungen verpflichten. Wer das Thema Cybersecurity bisher noch nicht am Radar hatte, ist also gut beraten, dies schleunigst zu ändern.

DER AUTOR
Thomas Stubbings ist CEO der CTS Cyber Trust
Services und Global Executive MBA Alumnus der
WU Executive Academy.

MIT VIER SCHRITTEN BESSER GEWAPPNET

CYBER-EXPERTEN INS UNTERNEHMEN HOLEN Entweder eine interne Abteilung aufbauen oder externe Berater holen. Wichtig: Cybersecurity muss als strategisches Thema der Unternehmensführung implementiert werden.

BASIS-SICHERHEIT HERSTELLEN Firewalls, Monitoringsysteme und auch tiefergehende Cyber-Technologien für Mailsysteme und sensible Bereiche aufsetzen. Regelmäßige Updates und Schutz vor Schadsoftware gewährleisten. Sicheres Passwort- und Berechtigungsmanagement und Zwei-Faktor-Authentifizierung hinterlegen. Berechtigungsmanagement und Schutz vor Schadsoftware einführen.

CYBERSECURITY-KULTUR ETABLIEREN Eine Onlineschulung pro Jahr für alle MitarbeiterInnen reicht nicht. Cybersecurity muss Teil der täglichen Kultur und des Joballtags sein und regelmäßig in Meetings thematisiert werden.

NOTFALLPLANUNG UND RESILIENZKONZEPT Analysieren, wo die größten Risiken und Schadensszenarien liegen und diese antizipieren: Schaffen präventiver und reaktiver Maßnahmen für den Fall der Fälle.