"NIS2 wird Unternehmen Jahre beschäftigen" - Interview mit IT-Sicherheitsprofi Manuel 'HonkHase' Atug
Manuel 'HonkHase' Atug ist seit weit über 23 Jahren in der Informationssicherheit und dem Schutz kritischer Infrastrukturen als Berater und Prüfer tätig und befasst sich mit den Themen KRITIS, Hackback, Ethik, Hybrid Warfare, Cyberresilienz, Bevölkerungs- und Katastrophenschutz.
HonkHase ist Diplom-Informatiker, Master of Science in Applied IT Security und Ingenieur. Des weiteren ist er Gründer und Sprecher der unabhängigen Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS) sowie Mitgründer der unabhängigen Arbeitsgemeinschaft Nachhaltige Digitalisierung (AGND) gemeinsam mit Caroline Krohn. Im Netz ist er als @HonkHase aktiv.
Finanzen, Gesundheit, Energie – das Gros der Sektoren, die der CER-Richtlinie unterliegen, digitalisiert sich und betrifft so auch NIS2. Wieso schafft die EU mit CER und NIS2 zwei Gesetze, statt beide in Sachen Sicherheit zusammenzudenken?
Ich vermute, der Grund ist, dass physische Sicherheit und Cybersicherheit auch schon in der Vergangenheit getrennt betrachtet wurden. Inzwischen haben wir durch die IT- und Cybersicherheitsentwicklungen gesehen, dass man das kaum noch separat betrachten kann. Man muss hingegen cyberphysische Auswirkungen oder Sicherheiten betrachten. Ein Beispiel sind Rechenzentren: Deren physische Sicherheit war auch immer schon ein Cybersicherheitsthema. Wenn wir aber physische und Cybersicherheit generell betrachten, sind das schon unterschiedliche Themen. Sie verschmelzen immer mehr, bleiben aber unterschiedliche Disziplinen. Insofern betrachten wir sie separat.
Genauso wie IT und OT – also Prozessautomatisierung in Industrieanlagen und IT-Betrieb – auch schon immer unterschiedliche Betrachtungsgegenstände waren. Da habe ich den Betriebsleiter auf der einen Seite und den IT-Sicherheitsbeauftragten auf der anderen. Die zwei Disziplinen haben jetzt aber auch immer mehr Übergänge und Gemeinsamkeiten, ähnlich der physischen und Cybersicherheit. Die Gesetzgeber brauchen deutlich länger, um eine derartige Entwicklung zu sehen und berücksichtigen, sie hinken hinterher. Einigungen dahingehend werden schließlich nicht innerhalb eines Jahres besprochen und erzielt, ein solcher Prozess dauert Jahre.
Buzzword Industrie 4.0: Wo steht Deutschland, wenn es um cyberphysische Sicherheit geht?
Ich denke, Deutschland steht so gut und schlecht da wie viele andere Nationen weltweit. Wenn wir uns die Industrie-4.0-Komponenten – also SPS-Steuerungen, SCADA-Systeme, PLCs oder dergleichen – angucken, stellen wir immer dieselben wenigen Hersteller fest, also ABB, Siemens, und so weiter. Sie werden weltweit eingesetzt, eingebaut und über Jahrzehnte nicht mehr angefasst. Dahingehend ist Deutschland so gut und schlecht aufgestellt wie alle anderen.
Niemand, der eben erst eine Fabrik gebaut hat, aktualisiert diese permanent mit den neuesten Sicherheitsupdates oder Produkten. Die bestehenden Systeme sollen ein paar Dutzend Jahre in Betrieb sein. Insofern haben wir alle dasselbe Problem in Sachen Sicherheitsniveau. Neue Standards sind in der Entwicklung, aber diese wird noch viele, viele Jahre dauern.
Was ist deine Einschätzung zur Roadmap für die Umsetzung der neuen gesetzlichen Vorgaben?
Das IT-Sicherheitsgesetz stammt aus dem Jahr 2015, NIS1 aus 2016. Die tatsächliche Sicherheitsumsetzung begann 2018/19. Und wir haben immer noch KRITIS-Betreiber, die die Gesetzesvorgaben nicht vollständig umsetzen, weil sie immer noch daran arbeiten. Wenn wir diese Entwicklung auf NIS2 und das KRITIS-Dachgesetz anwenden, wird vor 2026/27 nicht viel passieren.
Bei der DS-GVO 2015 war es ähnlich, auch da hatten wir zwei Jahre Übergangsfrist, die die meisten abwarteten. Erst einmal müssen die Behörden aktiv werden und Druck machen. Sie bekommen aber im Fall der NIS2 erst ab 2024 die Möglichkeit, Stellen und Haushaltsmittel zu beantragen. Letztere schreiben die Behörden dann aus, mit den Mitteln bestücken sie die Stellen, und diese wiederum machen sich dann Gedanken um den Prozess, ehe sie auf Betreiber zugehen. Das heißt, bei der NIS2, die im Jahr 2024 ohne Umsetzungsfrist sofort gültig wird und etwa 29.000 Unternehmen sowie 4.700 KRITIS-Betreiber betrifft, werden sich ob des Mangels alle um dasselbe Personal und dieselben Fachkräfte prügeln. Es wird wieder Jahre dauern, das alles umzusetzen. Und gleichzeitig werden die Behörden wieder Jahre brauchen, bis sie ihrer Prüfpflicht nachgehen.
Bietet die Geschäftspraxis mit Gesetzen wie der DS-GVO Prozessvorlagen, die auch bei der Umsetzung der NIS2- und CER-Richtlinien helfen könnten?
Anfangs wird es nichts geben – wie beim IT-Sicherheitsgesetz und NIS1. Das Bundesamt für Sicherheit in der Informationstechnik fing dann aber an, auf Basis von Gesprächen mit Betreibern, Prüfern und Beratungshäusern sowie Prüfberichten und Studien, die es in Auftrag gegeben hatte, Vorlagen und Orientierungshilfen abzuleiten. Stand heute gibt es schon recht viele Orientierungshilfen, die sehr gut erklären, wie sich die beiden eben genannten Gesetze umsetzen lassen. Für das KRITIS-Dachgesetz steht sogar im Anhang eins, das BBK, also das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, solle Vorlagen und Muster erstellen. Das wird aber genauso mehrere Jahre dauern, bis sie zur Verfeinerung kommen und nutzbar werden. Derartige Vorlagen helfen also nicht bei der Orientierung ab Umsetzungsbeginn. Für die NIS2 wird es Anpassungen und Weiterentwicklungen geben und auch die Gesetzesauslegung wird sich verändern.
Welche Maßnahmen ergreifen Anlagenbetreiber und Zuliefernde momentan am häufigsten, um Resilienz zu fördern – sowohl im Netz als auch physisch?
Grundsätzlich ist gefordert, Cybersicherheit und physische Sicherheit umzusetzen. Dahingehend gibt es jede Menge Stand der Technik und Best Practices, zum Beispiel gegen Naturkatastrophen, Feuer, Wasser, Sabotage, Eindringlinge auf dem Produktionsgelände, IT-Sicherheitsbedrohungen, und so weiter. Man kann ein Informationssicherheitsmanagementsystem aufsetzen, sich um das Notfallmanagement Gedanken machen und gucken, wie die Incident Response aussehen muss. Wenn ich schon gute Prozesse habe und Sicherheit lebe im Unternehmen, kann ich mich auch um die nächste Stufe kümmern und alles in internen Audits prüfen lassen – oder extern durch Penetration Tests. Wenn ich aber noch am Anfang stehe, macht ein Pen Test keinen Sinn, das ginge in die falsche Richtung. Wenn ich noch kein sicheres System habe, sagt mir die Pen-Test-Stichprobe nicht viel mehr als „OK, du musst jetzt etwas tun.“ Dafür brauche ich aber die Stichprobe nicht. Inventarisierung des IT-Netzes, Admin-Rechte- und Sicherheitspatch-Management sowie Bestellung des IT-Sicherheitsbeauftragten sind zum Beispiel Maßnahmen, die ich sofort umsetzen kann, ob mit oder ohne Gesetz.
Die Zahlen vernetzter Endgeräte und professioneller Cyberattacken auf Lieferketten nehmen weiter zu – mit teils schweren Folgen über die betreffenden Sektoren hinaus. Bedarf die KRITIS-Sektorenbindung einer Aktualisierung?
Die KRITIS-Sektoren sind definiert und das sollten sie auch bleiben. Sonst wäre alles KRITIS, alles relevant, und wir hätten keine Unterscheidung. Die KRITIS-Sektoren betreffen die öffentliche Sicherheit oder Versorgung der Bevölkerung. Es gibt die Debatte, ob Medien/Kultur Teil davon sein soll oder nicht, ich meine, der KRITIS-Sektor bleibt definiert. Man sollte ihn drin lassen, weil es ein definierter Sektor ist. Es gibt vom BBK eine Definition, die auch die bekannten zehn KRITIS-Sektoren umfasst, und darüber hinaus Großforschungseinrichtungen und Chemie. Die sind aber in Deutschland, teils auch europaweit, nicht adressiert. Da haben wir ein Defizit, das wir beheben sollten.
Die gesetzlichen Anforderungen, die in NIS1/2 oder dem KRITIS-Dachgesetz stehen, sind zu adressieren an den Betreiber einer kritischen Infrastruktur. Wenn dieser für gewisse Teile mit einem Dienstleister arbeitet, hat der Betreiber die Verantwortung und muss diese auch an den Dienstleister weiterreichen, sodass dieser die Sicherheitsmaßnahmen auch tatsächlich umsetzt. Das passiert noch zu selten, wenngleich das Gesetz es verlangt. Aus allem, was Betreiber momentan umsetzen, leiten sich jedenfalls auch künftige Best Practices für ganze Branchen ab und auch jene, die weniger als 500.000 Menschen mitversorgen, also nicht relevant gemäß KRITIS sind. Auch da wird sich eine Veränderung abzeichnen, aber auch das wieder erst nach Jahren.