NIS-2-Folgen für Geschäftspartner: Hoffen auf die Lieferkettenreaktion

Wenn die Kettenreaktion auf das schwächere Glied trifft 

„Interessant wird es, wenn ein Unternehmen Y für ein Unternehmen X tätig ist, für das die NIS-2-Standards greifen“, erklärt Florian Goldenstein, CISO beim Managed Service Provider Konica Minolta. Firma X müsse ein umfassendes Risikomanagement betreiben – und das beinhalte die Risiken der Lieferkette, also auch im Umgang mit Y. „Irgendwann wird X zu Y sagen: Wir kommunizieren ausschließlich verschlüsselt miteinander. Außerdem musst du mir nachweisen, dass deine Mitarbeiter*innen geschult sind und eine Multi-Faktor-Authentifizierung verwenden.“ Da bei Firma X die Geschäftsführung persönlich für die Einhaltung der Sicherheitsstandards verantwortlich ist, wird der Druck größer werden, prognostiziert der Cybersecurity-Experte. „Dann heißt es irgendwann: Entweder du weist mir das jetzt nach oder du beliefert mich ab morgen nicht mehr.“ Das kann dann dazu führen, dass Unternehmen Y ebenfalls strengere Regeln zur Informationssicherheit einführt. Das hat Auswirkungen auf Firma Z, die wiederum Firma Y beliefert – nach und nach kommt die NIS-2-Lieferkettenreaktion auch beim schwächsten Glied an. 

Neuronen bringen die Firewall zu Fall 

Dabei spielen nicht nur technische Maßnahmen wie Kryptografie oder Zugriffskontrollen eine Rolle. „Informationssicherheit ist immer ein Dreiklang. Organisatorische Maßnahmen sind ein weiterer wichtiger Teil davon“, schildert Florian Goldenstein. Das sind neben der besagten Lieferkettensicherheit zum Beispiel Sicherheitskonzepte und das Notfallmanagement. „Und am wichtigsten ist der Faktor Mensch. Wenn jemand auf einen Link in einer Phishing-Mail klickt – das kann passieren. Aber das einfach unter den Teppich kehren, darf einfach nicht passieren. Mitdenken ist hier gefragt“, so der CISO. Das sofortige Handeln kann die Kettenreaktion der anderen Art unterbinden: Schadcode wird heruntergeladen, nistet sich zunächst auf dem lokalen Rechner ein, verbreitet sich im Netzwerk, findet Schwachstellen in Schnittstellen zu Partnerunternehmen und kann einen beträchtlichen Schaden verursachen. Menschlichen Neuronen, die sich dazu entschieden, lieber niemandem Bescheid zu sagen, können so ganze IT-Umgebungen zu Fall bringen.

Beispiel Automobil-Industrie: Vorfahrt mit TISAX 

Um nachzuweisen, dass im Informationssicherheits-Dreiklang keine Missstände auftreten, sind Zertifizierungen ein willkommenes Mittel. So können Unternehmen zum Beispiel ein ISO27001-Zertifikat und ein entsprechendes Audit von ihren Zulieferern verlangen, um die Sicherheit der Lieferkette nachweisen zu können. Auch branchenspezifische Sicherheitsstandards gewinnen seit Jahren an Bedeutung, wie sich etwa in der Automobil-Industrie zeigt. „Hier verbreitet sich mehr und mehr die sogenannte TISAX®-Zertifizierung. Selbst Garagenfirmen, die Patente auf unersetzliche Technologien halten, müssen sich den Audits unterziehen“, weiß Florian Goldenstein. Mehr als 3.000 Unternehmen weltweit erfüllen mittlerweile den einheitlichen Standard. Das trägt schon heute zum Vertrauen bei. Und damit nicht genug, meint der Cybersecurity-Manager: „Da Automobil- und Maschinenbau definitiv unter NIS-2 fallen, steigen die Anforderungen an Subunternehmer“.

Das vernünftigste anzunehmende Unternehmen ist gut vorbereitet 

Dass die Kettenreaktion kommt, gilt als sicher. Die Frage ist nur, wie weit sie reichen wird und welche Unternehmen die Auswirkungen spüren werden. Fest steht: Trifft es unvorbereitete Unternehmen, die hauptsächliche mit NIS-2-Unternehmen zusammenarbeiten, droht eine gefährliche Kerngeschäftsschmelze. „Wir gehen aber vom vernünftigsten anzunehmenden Unternehmen aus“, zeigt sich Florian Goldenstein optimistisch: „Wir sind überzeugt, dass unser Mittelstand und die Kleinunternehmen begriffen haben, worum es bei NIS-2 eigentlich geht. Nämlich die Wirtschaft insgesamt resilienter gegen Cyberbedrohungen zu machen.“ Deshalb unterstützt sein Team Unternehmen jeder Größe dabei, sich den Herausforderungen der Informationssicherheit zu stellen.

Auf Risiko als sichere Option 

Dabei muss es nicht immer gleich der große Rundumschlag sein. „Ob von NIS-2 betroffen oder nicht: Jede Maßnahme, welche die Sicherheit steigert, ist eine sinnvolle Maßnahme“, sagt der Cybersecurity-Experte. „Wer systematisch vorgehen will, fängt mit dem Thema Risikomanagement an – und mit der ganz einfachen Frage: An welchen Stellen gibt es eigentlich Risiken?“ Analysen und Dokumentation bilden so einen wichtigen Grundstein, auf denen weitere Maßnahmen aufsetzen können, etwa die Einführung eines Informationssischerheits-Managementsystems (ISMS) oder moderne technische Lösungen.

Kein IT-Personal? Kein Problem! 

Viele Verantwortliche fragen sich allerdings, wann und mit welchem Personal sie das alles bewerkstelligen sollen. Die Antwort liegt oftmals außerhalb des Unternehmens. „Mein Team unterstützt in allen
Bereichen der Informationssicherheit“, sagt Konica Minolta-CISO Florian Goldenstein: „Vom Workshop zum Risikomanagement über den Schwachstellenscan und die Schulung der Mitarbeiter*innen bis zu Kryptografie- und Videoüberwachungslösungen sind wir gerne behilflich.“ Zudem entlasten Managed Services wie Backup- und Patch-Management die Administratoren bei ihrer täglichen Arbeit. So können auch kleine und mittelständische Unternehmen ihren Teil zur Informationssicherheit beitragen – und die Sicherheits-Kettenreaktion kann tatsächlich Gutes bewirken.