Sicher und besser fahren: Was NIS2 für Internetknoten und ihre Kunden bedeutet

Die Automobilbranche geht in puncto Cyberresilienz mit gutem Beispiel voran. Jetzt möchte die Europäische Union die digitale Wirtschaft insgesamt widerstandsfähiger machen. Welche Rolle NIS2 für Internetknoten und ihre Kunden spielt – und was wir von der Automobilbranche lernen können.

Produktionsbänder stocken, Fertigungsschritte kommen aus dem Takt und Mechaniker stellen die Arbeit ein – unfreiwillig. Der 8. Juni 2020 ist Honda in keiner guten Erinnerung geblieben. Hacker hatten IT-Systeme unter ihre Kontrolle gebracht, Ransomware installiert und Lösegeld gefordert. Plötzlich ging in mehreren Werken nichts mehr. Wo sonst Tausende Fahrzeuge vom Band laufen, stand die Produktion still. Wie teuer derartige Ausfälle in der Branche werden können, zeigt eine aktuelle Analyse von Siemens: Mehr als 2 Millionen Euro Schaden drohen – pro Stunde. Angesichts derartiger Summen ist der Schutz der eigenen IT-Infrastruktur vor Cyberangriffen bereits aus unternehmerischem Eigeninteresse heraus notwendig. Schließlich zahlt laut Siemens keine andere Branche einen höheren Preis, wenn es zum Fall der Fälle kommt.

Cyberresilienz im Automobilbau: Aus gutem Grund ein gutes Beispiel

Von Hackern über Botnetze bis hin zu Pannen – die Automobilbranche geht in puncto Cyberresilienz also mit gutem Beispiel voran. Kosteneffizient, prozessoptimiert und durchgängig hoch digitalisiert wissen die Betriebe nicht nur um ihre besondere Verantwortung, sondern tragen dieser auch Rechnung. Beispiel ISO 27001: Die international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS) haben die Hersteller um ihre eigenen Anforderungen erweitert und auf der Basis einen branchenspezifischen Standard für die Informationssicherheit entwickelt (TISAX). Zudem schirmen Security Operations Center (SOC) IT-Infrastrukturen in Büros und Fabriken ab, schützen vertrauliche Datenflüsse für die Prototypenentwicklung und halten Produktionsanlagen sicher verfügbar.

Kultur der Sicherheit: Gesetzgeber hilft mit NIS2 nach

IT-Schutz als Lebensversicherung für das eigene Geschäftsmodell zu begreifen, ist nicht überall in der Wirtschaft das Gebot der Stunde. Insofern hilft der Gesetzgeber nun in der Europäischen Union (EU) nach. Mit dem Ziel, Europa besser vor Cybergefahren zu schützen, hat der Staatenbund die Richtlinie für Netzwerk- und Informationssysteme (NIS2) neu aufgelegt. Ob Energie, Wasser, der Banken- und Finanzsektor oder das Gesundheitswesen – NIS2 hat das Ziel, eine Sicherheitskultur in der digitalisierten Wirtschaft zu verankern. Und das in allen privaten und öffentlichen Bereichen, die sowohl wirtschaftlich als auch gesellschaftlich von entscheidender Bedeutung und in hohem Maße auf Informations- und Kommunikationstechnologien abhängig sind.

Die von der EU vorgegebenen Leitplanken basieren auf der 2016 eingeführten Cybersicherheitsrichtlinie (NIS1). NIS2 modernisiert den bestehenden Rechtsrahmen, passt ihn an die wachsende Bedrohungslage an und weitet ihn auf einen größeren Kreis von Unternehmen und öffentlichen Einrichtungen aus. Dies geschieht einerseits direkt, indem die Vorschriften für mehr Institutionen gelten, und andererseits indirekt, da sie zahlreiche Akteure innerhalb der Lieferkette betreffen – von Softwareentwicklern über Cloud-Anbieter bis hin zu Zulieferern. So standen 2022 bei Toyota in Japan alle Werke still, weil ein Hack auf einen Komponenten-Hersteller das sensibel aufeinander abgestimmte Logistik- und Produktionsnetzwerk aus dem Takt brachte.

PWC über Cyberresilienz: Keine Fingerübung, sondern ein Wettbewerbsvorteil

Digital widerstandsfähiger, resilienter und reaktionsschneller im Geschäft zu sein – genau das ist das Ziel von NIS2. Vor diesem Hintergrund sollten Unternehmen die Regulierung und ihre eigene Rolle entsprechend verstehen. Konkret bedeutet das: Firmen müssen potenzielle Risiken und Auswirkungen auf ihre IT schon aus wirtschaftlichem Eigeninteresse abwägen. NIS2 ist weit mehr als eine bloße Compliance- oder Checklisten-Pflicht, sondern ein Wettbewerbsvorteil, wie ein Resilienz-Whitepaper von PWC festhält.

Die EU unterteilt Unternehmen, die unter NIS2 fallen, in zwei Kategorien: Wesentliche Firmen erbringen essenzielle Dienstleistungen, die das Funktionieren öffentlicher Bereiche wie Verkehr, Energieversorgung oder den Bankensektor sicherstellen. Aufgrund der potenziell weitreichenden Folgen eines Ausfalls gelten für sie besonders strenge Anforderungen. Anders verhält es sich bei wichtigen Unternehmen: Hier entscheiden Schwellenwerte wie Jahresumsatz oder Mitarbeiterzahl darüber, welche Maßnahmen erforderlich sind. Diese Vorgaben sind zwar weniger strikt, doch NIS2 formuliert sie im Vergleich zu NIS1 deutlich detaillierter, differenzierter und umfassender. So müssen beispielsweise die rund 30.000 betroffenen Unternehmen in Deutschland künftig ein ISMS implementieren. Ein in der Automobilbranche übliches System, um Risiken systematisch zu identifizieren, Gefahren auszuschließen und die IT-Landschaft zu schützen.

Internetknoten und NIS2: Mehr Widerstandsfähigkeit für jeden und alle

Nicht anders im Telekommunikationssektor: Die Widerstandsfähigkeit von Netzen hängt davon ab, dass alle Ebenen gegenseitig abgesichert sind – von Seekabeln über Internetknoten bis hin zu Rechenzentren. Konkret bedeutet das: Die Gesamtresilienz einer Infrastruktur entspricht der Stabilität ihrer einzelnen Komponenten. Wenn alle Beteiligten ihre Systeme redundant und diversifiziert gestalten, wird das gesamte Netzwerk robuster – für Provider und ihre Kunden.

Auch Telekommunikationsanbieter sind in diesem Bereich Vorreiter: 38 Prozent der Firmen verfügen über einen vollständig integrierten Resilienzansatz wie ein ISMS, was Zahlen von PWC belegen. Gleiches gilt für Interconnection-Provider: Während einige Betreiber im Zuge von NIS2 ihr Identity- und Access-Management nachbessern müssen, gehörten Zusammenschaltungsdienste bereits unter NIS1 zur kritischen Infrastruktur. Zudem sind Internetknoten wie DE-CIX nach dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) und nach ISO 27001 zertifiziert – zwei etablierte Frameworks für IT- und Informationssicherheit, die NIS2 einfordert.

NIS2-Selbsttest: Online eigene Betroffenheit ermitteln

Unternehmen, die einen professionellen und sicheren Betrieb für sich und ihre Kunden gewährleisten möchten, fahren seit jeher gut damit, sich an Standards und Vorgaben zu orientieren, wie sie NIS2 fortschreibt. Und das unabhängig davon, ob die eigene Firma überhaupt unmittelbar betroffen ist oder welche Schäden potenziell entstehen könnten. Dass sich einige durch NIS2 überfordert fühlen, wie eine Umfrage des eco – Verbands der Internetwirtschaft im Sommer 2024 nahelegt, ist vor allem Ausdruck von Unsicherheit. Diese rührt nicht zuletzt daher, dass NIS2 nach EU-Vorgaben längst in deutsches Recht überführt sein sollte. Doch solange es hierzulande zwar Referentenentwürfe gibt, aber noch keine nationalen Umsetzungsgesetze verabschiedet wurden, halten sich viele Firmen zurück. Fest steht jedoch: Die Regulierung wird weiter voranschreiten. Da digitale Dienste eine immer größere Rolle im Alltag spielen, plant die EU bereits mit dem Cyber Resilience Act, der 2027 in Kraft treten soll. Unternehmen, die prüfen möchten, ob NIS2 für sie relevant ist, können dies mit einem Selbsttest auf der BSI-Website ermitteln. Denn egal ob Automobilproduzent, Internetknoten-Betreiber oder IT-Dienstleister – wer von Anfang an auf Nummer sicher geht, fährt am Ende besser.

Über Dr. Thomas King

Dr. Thomas King ist seit 2018 Chief Technology Officer (CTO) bei DE-CIX und seit 2022 Vorstandsmitglied der DE-CIX Group AG. Zuvor war King seit 2016 Chief Innovation Officer (CIO) bei DE-CIX. Zu Thomas Kings Kernprojekten bei DE-CIX gehören die technologische Weiterentwicklung des Unternehmens zum weltweit führenden Cloud Exchange Betreiber, sowie die Automatisierung der IX-Plattform.

Bild/Quelle: https://depositphotos.com/de/home.html