NIS2: Was Geschäftsführer und CEOs jetzt umtreiben sollte | Folge 20

01/15/24 • 29 min

Bei Verstoß Gefängnis? IT-Sicherheit muss bei Führungskräften Priorität haben.

Mit der NIS2-Richtlinie müssen Geschäftsführer und CEOs betroffener Unternehmen IT-Sicherheit auf der Agenda eine höhere Priorität einräumen. Was müssen diese beachten? Wie sieht es mit der Haftung aus und welche Strafen drohen? Diese und weitere Fragen bespricht Christian Lueg in der aktuellen Folge von WeTalkSecurity mit dem IT-Rechtsanwalt Stefan Sander.

Über den Gast Stefan Sander ist „Fachanwalt für Informationstechnologierecht“. Aufgrund seiner Doppelqualifikation – abgeschlossenes IT-Studium und Fachanwalt für IT-Recht in einer Person – ist Stefan deutschlandweit gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz. Seit 2015 hat er zusammen mit Rechtsanwalt Heiko Schöning die Kanzlei SDS Rechtsanwälte in Duisburg (https://sds.ruhr/).

In Zusammenarbeit mit Stefan Sander hat ESET ein Whitepaper zum Thema "Stand der Technik in der IT-Sicherheit" herausgebracht. Das Paper gibt es hier zum kostenlosen Download: https://www.eset.com/de/stand-der-technik/

Generell ist die NIS2-Richtlinie eine Richtlinie der Europäischen Union. Die Richtlinie ist eine Art von Gesetz. Im Gegensatz zu einer Verordnung ist eine Richtlinie ein Gesetz, was sich an den Nationalstaat richtet. Deutschland hat in diesem Fall die Aufgabe ein nationales Gesetz zu erlassen, was im Einklang mit dieser Richtlinie steht. Es geht bei der NIS2-Richtlinie thematisch um die Vereinheitlichung und Erhöhung des Sicherheitsniveaus bei Netzwerk- und Informationstechnik. Die Ziffer 2 verrät, dass es bereits eine NIS1-Richtlinie gab. Der Gesetzgeber will in diesem Fall die Gesetzgebung komplett überarbeiten und reagiert auf die fortschreitende Digitalisierung. Aus dem kommenden deutschen Gesetz ergibt sich dann die Vorgaben für Unternehmen und andere Teilnehmer des Rechtsverkehrs. Die Gesetzgeber (Bund und Länder) haben aber die Option über die Richtlinie hinauszugehen und höhere Standards zu definieren. Das bedeutet, dass die Richtlinie lediglich einen gemeinsamen Nenner innerhalb der Europäischen Union bildet. Gerade beim Thema Haftung sind die bisher bekannten Vorlagen deutlich schärfer gefasst. Mitte Oktober 2024 soll diese Richtlinie in Kraft treten und die Vorschriften sind anzuwenden. Eine Übergangsphase wird es nicht geben. Bisher hat das förmliche Gesetzgebungsverfahren noch nicht begonnen. Bisher sind nur Referentenentwürfe bekannt, was aber bei weitem noch nicht dieses Verfahren berührt. Stefan Sander ist guter Dinge, dass das Gesetz bis Oktober verabschiedet wird und so klare Vorgaben für alle Betroffenen definiert. Unternehmen können derzeit noch nicht endgültig bestimmen, ob sie betroffen sind. Dennoch lässt die NIS2-Richtlinie erste Schlüsse zu, ob man betroffen ist. Hierbei sind bereits Sektoren definiert. Von der Europäischen Kommission gibt es einen Benutzerleitfaden für eine KMU-Empfehlung. Diesen gibt es hier: https://www.bmwk.de/Redaktion/DE/Textsammlungen/Mittelstand/europaeische-mittelstandspolitik.html#:~:text=Nach%20der%20Empfehlung%20der%20Europ%C3%A4ischen,Jahresumsatz%20von%20h%C3%B6chstens%2050%20Mio. Der Benutzerleitfaden ist in deutscher Sprache hier erhältlich: https://ec.europa.eu/docsroom/documents/42921/attachments/1/translations/de/renditions/native Wichtig ist es, dass dort nicht nur Einzelunternehmen beachtet werden, sondern auch Tochterfirmen. Spannend wird es, wie die Lieferkette in diesen Prozess eingebunden wird. Gerade, wenn NIS regulierte Unternehmen Systeme haben, die mit anderen Betrieben verbunden sind. Daher wird das Thema technische Sicherheit Einzug halten in die Vertragswerke mit der Lieferkette. Aber wie sieht es mit dem Management eines Betriebes aus? Bereits heute gibt es eine Haftungsgrundlage für Geschäftsführer beispielsweise bei einer GmbH, auch bei der IT-Sicherheit. Mit NIS2 wird die technische Grundlage für die IT-Sicherheit klar definiert. Vorstände und Geschäftsführer müssen Pflichten beachten und diesen nachgehen. Im Referentenentwurf wird der interne Haftungsanspruch gegen Geschäftsführer härter ausgelegt. Es darf dann nicht mehr zu Vergleichen kommen, d.h. Regressansprüche bei Schäden durch Cyberangriffe können nicht mehr über einen Kompromiss geregelt werden, sondern müssen vor Gericht gehen. Stefan geht davon aus, dass diese zu einer deutlichen Mehrbelastung der Gerichte führen wird. Auch Versicherer werden Schäden dann erst regulieren, wenn ein klarer Verursacher feststeht. Es bleibt hier abzuwarten wie der Gesetzgeber das final ...

Bei Verstoß Gefängnis? IT-Sicherheit muss bei Führungskräften Priorität haben.

Vorherige Episode

ChatGPT: Konsequenzen für die IT-Sicherheit | Folge 19

Welche Gefahren durch die neue Technologie entstehen - und wie die IT-Sicherheit von ihr profitieren kann.

KI-Sprachmodelle wie ChatGPT haben einen großen Einfluss auf unser Leben: Sie helfen bei der Recherche, können komplexe Sachverhalte einfach erklären und Ideen für Geschichten liefern. Allerdings können auch Cyberkriminelle auf diese revolutionäre Technologie zugreifen und sie für ihre Zwecke missbrauchen. In unserer heutigen Folge sprechen wir über Gefahren und Möglichkeiten von ChatGPT. Unser neuer Moderator Philipp Plum spricht hierzu mit Prof. Norbert Pohlmann von der Westfälischen Hochschule in Gelsenkirchen.

Über den Gast Professor Norbert Pohlmann ist Professor für Cybersicherheit und Leiters des Instituts für Internetsicherheit an der Westfälischen Hochschule. Er ist zudem Vorstandsvorsitzender beim Bundesverband IT-Sicherheit sowie im Vorstand des Internetverbands Eco.

WeTalkSecurity befindet sich heute in Aachen in Nordrhein-Westfalen bei Norbert Pohlmann zuhause. Schon im Vorhinein hat er zum Thema ChatGPT und seinen Einfluss auf die IT-Sicherheit referiert, die Präsentation zum Vortrag ist hier verfügbar: https://norbert-pohlmann.com/vortraege/chatgpt-konsequenzen-fuer-die-cyber-sicherheit/

Der Nutzen von ChatGPT für Hacker liegt vor allem darin, ihre Angriffe zu verfeinern: Waren Spam-Mails vor kurzer Zeit noch durch schlechte Grammatik und Rechtschreibung zu erkennen, fällt es zunehmend schwerer, echte und Phishing-Nachrichten zu unterscheiden. Hier hilft Hackern vor allem die KI: Innerhalb von Sekunden können Sprachmodelle wie ChatGPT korrekte Texte formulieren - und das in allen gängigen Sprachen. Da viele Angreifer aus dem Ausland kommen, erleichtert ihnen ChatGPT ihnen hier die Arbeit.

Können Hacker die KI bitten, eine fertige Malware zu programmieren? Die Antwort hierauf lautet "Nein". In Norberts Augen können nur diejenigen Cyberkriminellen von sämtlichen Möglichkeiten von ChatGPT profitieren, die selber gut programmieren können. Eine fertige Malware kann die KI nicht ausgeben, sie kann allerdings Code-Schnipsel erstellen und so den Arbeitsaufwand für Hacker minimieren - vorausgesetzt, diese können was mit dem Code anfangen und gegebenenfalls Fehler finden und korrigieren.

Welche anderen Möglichkeiten gibt es für Hacker, die KI für ihre Zwecke zu missbrauchen? Neben Sprachmodellen wie ChatGPT sind es vor allem KIs, die Bilder und sogar Videos erstellen. Was ein harmloser Spaß sein kann, kann auch schnell zu einem Sicherheitsrisiko werden: Von Personen des öffentlichen Lebens wie dem Bundeskanzler existiert eine Fülle an Material, auf das eine KI zugreifen kann. Die gefälschten Videos und Audioaufnahmen, die auf dieser Basis erstellt werden, sind nur schwer von Echten zu unterscheiden. Diese Fakes sind insbesondere deshalb gefährlich, weil sie für Desinformationskampagnen (Stichwort: Fake News) benutzt werden können und auch bei Spear-Phishing zum Einsatz kommen können: Es kann sein, dass der Finanzchef eines Unternehmens in Zukunft einen Anruf von seinem Chef erhält, der einen auffordert, Geld zu überweisen, Geschäftsgeheimnisse preiszugeben usw.

Und wie kann man dem entgegensteuern? Wird es in Zukunft eine Art Kennzeichnungspflicht für KI-generierte Inhalte geben? Fürs erste wird es laut Norbert schwierig bleiben, KI-generierte und echte Inhalte im direkten Vergleich zu unterscheiden. Es existiert aber eine andere Möglichkeit: Indem reale Inhalte signiert werden, lassen sie sich einfach von unsignierten und unter Umständen falschen Texten, Bildern Videos usw. unterscheiden. Das könnte in der Zukunft bedeuten, dass Politiker nur noch digital signierte Informationen an die Öffentlichkeit geben. Verlage können dann diese Informationen aufgreifen und weiter verbreiten, immer mit der Sicherheit, dass die Informationen, die ihnen vorliegen, richtig sind. Damit dieser Weg funktioniert, bedarf es allerdings einer Infrastruktur, die diese Verifizierung übernehmen kann. Das darf laut Norbert allerdings nicht bedeuten, dass nur eine Unternehmen diese Signaturen ausstellt. Es gilt, auf deutscher und europäischer Ebene eine geeignete Infrastruktur dafür zu schaffen, die einfach und von jedermann zu nutzen ist.

Wie kann denn die IT-Sicherheit von KI profitieren? Das Identifizieren von Angriffen in IT-Netzwerken, auf Geräten, in der Cloud usw. wird mit der KI einfacher: Sie hilft Norbert zufolge dabei, Angriffe schneller zu erkennen und somit Schäden zu minimieren. Ein anderer Aspekt ist, dass KI den Cybersicherheitsexperten selber helfen kann: Wir haben einen großen Fachkräftemangel in der IT und viele Stellen sind nicht besetzt. Die KI hilft hier, indem sie in z. B. bei der Priorisierung von Sicherheitsvorfällen hilft. Was vorher ein Exp...

Nächste Episode

Die NIS2-Richtlinie und die Auswirkungen auf die Lieferkette | Folge 21

Herausforderungen und Möglichkeiten für Unternehmen

Die NIS2-Richtlinie bringt auch neue Anforderungen an die Lieferkette mit sich – ein schwieriges Thema, schließlich ist der Begriff Lieferkette nicht in der Richtlinie definiert. Was kommt auf Unternehmen und ihre Zulieferer zu und wie können diese sich dafür wappnen? Diese und weitere Fragen bespricht Christian Lueg in der aktuellen Folge von WeTalkSecurity mit dem IT-Rechtsanwalt Stefan Sander.

Über den Gast Stefan Sander ist Fachanwalt für Informationstechnologierecht. Aufgrund seiner Doppelqualifikation – abgeschlossenes IT-Studium und Fachanwalt für IT-Recht in einer Person – ist Stefan deutschlandweit gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz. Seit 2015 hat er zusammen mit Rechtsanwalt Heiko Schöning die Kanzlei SDS Rechtsanwälte in Duisburg (https://sds.ruhr/).

Stefan Sander ist Autor des aktuellen ESET Whitepapers "NIS2 und die Lieferkette", welches das Thema des Podcasts im Detail beleuchtet. Außerdem ist er Co-Autor des Whitepapers "Stand der Technik in der IT-Sicherheit".

Was ist eigentlich die Supply Chain bzw. Lieferkette?

Die Supply Chain ist ein Teilbereich der Logistik, der sich mit dem Fluss von Waren oder Dienstleistungen vom Rohmateriallieferanten bis zum Endverbraucher befasst. Sie umfasst alle Prozesse, Aktivitäten, Ressourcen und Organisationen, die daran beteiligt sind, Produkte oder Dienstleistungen von ihrer Entstehung bis zu ihrer Auslieferung an den Kunden zu bewegen.

Im Unterschied zur klassischen Lieferkette ist der Begriff „Supply Chain“ weiter gefasst und beinhaltet auch Aspekte wie Informationsfluss, Finanzierung, Koordination und Zusammenarbeit zwischen den verschiedenen Partnern entlang der Kette – also die gesamte Versorgung.

Die NIS2-Richtlinie verknüpft ihre Pflichten nicht explizit mit der Zugehörigkeit eines Unternehmens zur Lieferkette, was einige überraschen mag. Unternehmen, insbesondere Managed Service Provider (MSPs), die IT-Dienstleistungen bereitstellen, sind im Anwendungsbereich der Richtlinie. Dies geschieht nicht aufgrund ihrer Position in der Lieferkette, sondern aufgrund einer spezifischen Regelung des Gesetzgebers für den MSP-Sektor.

Bin ich von NIS2 betroffen?

Im Wesentlichen gibt es zwei Hauptvoraussetzungen zu beachten. Erstens muss eine Wirtschaftstätigkeit in einen spezifischen Sektor fallen, wobei es irrelevant ist, ob es sich um eine Mutter-, Tochter- oder Schwestergesellschaft handelt, solange die Aktivität in einem regulierten Sektor stattfindet. Zweitens erwähnt der Gesetzgeber in Anhang 1 der Richtlinie den IT-Sektor als besonders kritisch, was bedeutet, dass Managed Service Provider in diesem Sektor reguliert werden, während andere Sektoren wie das produzierende Gewerbe weniger streng reguliert sind. Zusammengefasst bedeutet dies, dass die Betroffenheit von Unternehmen nicht nur auf deren Rolle in der Lieferkette basiert, sondern vielmehr darauf, ob ihre Aktivitäten in einen regulierten Sektor fallen.

Spannend wird es vor allem für den deutschen Mittelstand: Unternehmen, die zwischen 50 und 249 Mitarbeiter beschäftigen, gehören per definitionem dazu, alles was darüber ist, kann man als Großunternehmen bezeichnen. Es kommt aber ein weiteres Kriterium hinzu: Jahresumsatz und Jahresbilanzsumme. Unternehmen überschreiten den Schwellenwert, wenn sie beide Kriterien reißen oder nur eines davon, was dazu führt, dass sie nicht mehr als KMU gelten. Die Mitarbeiteranzahl ist ein hartes Kriterium, während für die wirtschaftlichen Kennzahlen sowohl Jahresumsatz als auch Jahresbilanzsumme betrachtet werden. Das Ziel ist es, eine faire Behandlung zu gewährleisten. Die EU hat dazu einen Leitfaden herausgebracht, an dem Unternehmen sich orientieren können.

Um kleine Unternehmen (d. h. mit weniger als 50 Mitarbeitern) zu fördern, fallen diese nicht unter die NIS2-Richtlinie, außer sie gehören zu einem Konzern oder einer Konzerngruppe – die Gesamtzahl der Mitarbeiter addiert sich hier aus allen Mitarbeitern aus allen Unternehmen der Gruppe zusammen. Wenn also das eigene Unternehmen nur 20 Mitarbeiter hat, die Muttergesellschaft aber 5000, zählen diese 5000 zu den eigenen hinzu – das Unternehmen fällt somit unter NIS2 (bei einem Beteiligungsverhältnis von über 50 Prozent). Komplizierter wird es bei Partnerbeteiligungen, also Beteiligungen von 25 bis 50 Prozent. Entsprechend dieser Beteiligungsquote werden Kennzahlen wie Mitarbeiteranzahl und wirtschaftliche Zahlen mit zugerechnet.

Was bedeutet das...