NIS2, DORA & Co: Wie Sie Cyber-Security-Risiken minimieren und Kompetenzen aufbauen

1. Der Branchenverband BITKOM bezifferte den Schaden, den die deutsche Wirtschaft 2022 durch Cyberangriffe erlitten hat, mit rund 203 Mrd. EUR. Wo lauern Ihrer Meinung nach für Unternehmen die größten Risiken?

Carsten Steinmüller: Mittlerweile dürfte es sich herumgesprochen haben, dass die eigenen Mitarbeitenden die größte Gefahrenquelle sind, wenn es um das Thema Cyber Security geht. Deshalb gilt: Wer auf Nummer sicher gehen will, sollte seine Belegschaft ständig im unmittelbaren Arbeitskontext für die Gefahren sensibilisieren. Am besten geht das über die Simulation von Phishing-Angriffen. Diese zählen zu den häufigsten Bedrohungen. In diesem Kontext sollte auch der Identitätsdiebstahl der sogenannten „Credentials“ erwähnt werden: Mitarbeitende geben unbeabsichtigt Login- oder Zugangsdaten ein, und schon schnappt die Falle zu. Auch Täuschungen über Schadsoftware wie Malware oder Ransomware sollten von Mitarbeitenden entlarvt werden können. Daher sind bewusstseinsbildende Maßnahmen der Schlüssel zu gezielter Prävention gegen Cyberattacken. 

© PicturePeople
Carsten Steinmüller ist seit 2018 im Vertrieb und Consulting bei Hays tätig. Aktuell verantwortet er das Business Development für Hays im Bereich Cyber Security für strategische und mittelständische Kunden in Deutschland.

2. Wenige Monate vor Ablauf der Frist zur NIS2-Richtlinie fehlt es vielen Unternehmen immer noch an Orientierung für eine umfassende Vorbereitung. Was raten Sie vor allem mittelständischen Firmen, welche Überlegungen sie jetzt anstellen sollten?  

Carsten Steinmüller: Generell sollten Unternehmen sich zunächst darüber klar werden, welchen Risiken das eigene Geschäft ausgesetzt ist und wo Cyberkriminelle gute Einfallstore ins Unternehmen finden. Ein Simulationstest könnte im nächsten Schritt zeigen, was passieren würde, wenn die Hauptsysteme mehrere Stunden oder Tage ausfallen. Das lässt sich am besten in einer Testumgebung realisieren, im laufenden Betrieb ist das schwer. Einige Unternehmen stellen auch ein Team aus internen und externen Spezialistinnen und Spezialisten zusammen, um eine Risikobewertung durchzuführen. Sie schätzen die externe Meinung, da diese nicht nur neutral und praxiserprobt ist, sondern meist auch auf einem großen Know-how basiert, das intern enorm weiterhilft. Innerhalb der Risikobewertung kann zudem darüber entschieden werden, welche Leistungen sinnvollerweise inhouse abgebildet und welche ausgelagert werden können.

3. Im ersten Quartal dieses Jahres sind die Stellenausschreibungen für IT und insbesondere Security-Expertinnen und -Experten nochmals deutlich angestiegen (37 Prozent), wie der aktuelle Hays-Fachkräfte-Index zeigt. Welche Kompetenzen werden angesichts der bevorstehenden gesetzlichen Pflichten besonders nachgefragt?

Isabel Höhn: Um es gleich vorwegzunehmen: Wer glaubt, mit der Suche nach einem erfahrenen Cyber-Security-Experten sind alle Anforderungen erfüllt, ist leider auf dem Holzweg. Da die gesetzlichen Anforderungen mehrere Fachgebiete und Unternehmensdiziplinen wie das Risiko- und Compliance Management, die technische IT-Infrastruktur (Netzwerkbetrieb, Betriebssysteme, Pen-Tests oder Cloud-Anwendungen), aber auch ethische Aspekte betreffen, kann ein Experte bestenfalls wichtige Teilqualifikationen abdecken. Dazu kommen Kenntnisse über aktuelle Bedrohungsmethoden und Angriffsmechanismen. In jedem Fall ist es wichtig, für die Organisationssicherheit eine erfahrene Führungskraft zu haben, die nicht nur den entsprechenden fachlichen Background mitbringt, sondern auch über sehr gute analytische und kommunikative Fähigkeiten verfügt. Denn sie sollte federführend dafür verantwortlich sein, den Informations- und Wissenstausch mit den betroffenen Fachbereichen und dem Management zu koordinieren.

© PicturePeople
Isabel Höhn ist Channel Managerin für Cyber Security in DACH & CEMEA bei Hays. In dieser Rolle arbeitet sie eng mit Partnern und Unternehmen zusammen, um individuelle Recruiting-Strategien zu entwickeln und dem Fachkräftemangel im Bereich Cyber Security entgegenzuwirken.

4. Welche Leistungen sollten Firmen intern abbilden können, welche auslagern, um kosteneffizient zu agieren?

Carsten Steinmüller: Dazu gibt es ein paar klare Ableitungen. Alles, was die strategische Planung rund um die Sicherheitsstrategie, Richtlinien sowie Governance-Modelle betrifft, sollte intern behalten werden. Warum? Weil ein Unternehmen sonst in Gefahr läuft, dass die Strategie nicht zu den spezifischen Anforderungen des eigenen Geschäfts passt. Das gilt insbesondere auch für das Risikomanagement. Hier geht es am Ende darum, die Risikofaktoren für das eigene Geschäft so spezifisch wie möglich herauszufinden. Schulungen können natürlich von externen Partnern durchgeführt werden, sollten allerdings ebenfalls auf die individuellen Anwendungsszenarien angepasst sein. Aufgaben wie Penetrationstests sowie Sicherheitsaudits können problemlos ausgelagert werden. Insgesamt empfiehlt sich eine ausgewogene Kombination aus internen und ausgelagerten Sicherheitsleistungen, um sowohl die geforderten Sicherheitsstandards als auch Kosteneffizienz und die nötige Umsetzungsgeschwindigkeit zu gewährleisten.

5. Wie können aus Ihrer Sicht kluge Sourcing-Konzepte aussehen, um mit geringen Personalständen Sicherheitsrisiken bestmöglich zu minimieren?

Isabel Höhn: Auch wenn diese Maßnahme in der Vergangenheit von vielen Unternehmen für nicht notwendig erachtet wurde: Es macht in vielerlei Hinsicht Sinn, in die Weiterbildung der Mitarbeitenden in Richtung Cyber Security zu investieren. Zum einen, um sie für die Anforderungen der neuen Richtlinien zu sensibilisieren, zum anderen aber auch, um langfristig interne Kompetenzen aufzubauen. Spezifische Zertifizierungen verbessern nicht nur den Wissensstand der Mitarbeitenden, sondern haben auch den Effekt, dass diese sich insgesamt mehr mit dem Thema Sicherheit identifizieren und entsprechend engagieren. Darüber hinaus ist es sinnvoll, klare Rollen und Verantwortlichkeiten zu definieren, um die Sicherheitsrichtlinien umsetzen und ihre Einhaltung überwachen zu können. Auch Tools zur Automatisierung können helfen, schneller und effizienter zu agieren. Sollten Unternehmen feststellen, dass es intern mit den personellen Kapazitäten eng wird, bietet es sich an, definierte Sicherheitsfunktionen wie zum Beispiel ein SOC (Security Operations Center) as a service auszulagern. Dabei sollte allerdings beachtet werden, dass die Verantwortung für das Einhalten des rechtskonformen Sicherheitsniveaus stets beim Unternehmen selbst, nicht beim externen Partner, liegt. Ungeachtet dessen, welche Sicherheitsfunktionen ausgelagert werden, obliegt dem betroffenen Betrieb stets die Pflicht, den gesamten Prozess zu steuern und zu prüfen.