NIS2-Compliance und Cybersicherheit: Experten von secunet und dem cyberintelligence.institute teilen Insights

Die wachsende Bedrohung der Cybersicherheit in der Industrie ist für viele von euch ein großes Thema – insbesondere beim Datenzugriff in Kundeninfrastrukturen, aber auch in der Umsetzung von Sicherheitsanforderungen in Lieferantenbeziehungen und anderen hochvernetzten Projekten. Gerade in den letzten zwei Jahren hat sich das stark verstärkt.
Die Risiken sind hier im Podcast längst präsent, aber heute wollen wir gemeinsam zurückblicken: Welche Entwicklungen haben wir gesehen – und vor allem, was kommt noch auf euch zu?
Ein besonderes Augenmerk liegt dabei auf der NIS2-Richtlinie. Diese neue EU-Richtlinie sorgt aktuell bei vielen Unternehmen für Unsicherheit. Warum gibt es diese Vorgaben überhaupt? Was steht im sogenannten „10-plus-1“-Katalog? Und welche Maßnahmen sind tatsächlich notwendig – speziell aus Sicht eines Betriebs?
Diese Fragen klären wir heute mit Prof. Dr. Dennis-Kenji Kipker. Er ist Forschungsdirektor beim cyberintelligence.institute, bekannt aus dem ZDF und dem VDE, und war auf zahlreichen Konferenzen vertreten.
Er ist international in Normungsgremien aktiv und hat auch an Studien zur Umsetzung der NIS2-Richtlinie auf EU-Ebene mitgewirkt. Besonders spannend: Er bringt heute Einblicke mit, wie andere europäische Länder mit dem Thema umgehen.
Außerdem werfen wir wie immer einen Blick in die Praxis: Welche Anforderungen gelten konkret für euch, eure Lieferketten und auch für Auftragsnehmer? Was gilt als Stand der Technik? Und wie lassen sich die damit verbundenen Kosten einordnen – sprechen wir hier wirklich von sechsstelligen Summen?
Mit dabei im Gespräch: Frank Sauber, Global Head of Sales und Business Enablement Division Industry bei secunet und Marlitt Stolz, Abteilungsleiterin Management Systems und Audit – ebenfalls bei secunet.
Alle Infos wie immer auf iotusecase.com und in den Show Notes.
Und damit: Lasst uns direkt starten.

Herzlich willkommen Frank, Marlitt und Dennis!
Dennis, wie geht’s dir? Wo bist du gerade unterwegs?

Dennis-Kenji

Ich bin gerade in Köln. Wir befinden uns mitten in einer Vortragswoche – das heißt, ich reise quer durch Deutschland von einem Cybersecurity-Vortrag zum nächsten. Thematisch passt das perfekt, denn gestern hatte ich hier in Köln einen Vortrag über Cybersecurity-Compliance und -Governance, unter anderem für den Vorstand einer Aktiengesellschaft. Diese Themen kommen definitiv auch auf Leitungsebene und bei den Entscheidern an.

Sehr schön – eine kleine Roadshow quer durch Deutschland also.
Marlitt, wo bist du gerade? Wo erreiche ich dich?

Marlitt

Hallo auch von mir! Ich bin – nach zwei Tagen auf dem NIS-2-Kongress in Frankfurt – wieder zurück in Hamburg und sitze gerade unweit der Alster. Ich freue mich auf den Podcast und bringe einige Eindrücke aus der Praxis vom Kongress mit.

Sehr schön, da bin ich gespannt. Grüße nach Köln und Frankfurt! Und Frank, wo bist du?

Frank

Ich bin in München – ganz klassisch im Büro. Ich war diese Woche natürlich auch unterwegs im Vertrieb, aber jetzt wieder zurück im Büro und freue mich auf das Gespräch mit euch.

Perfekt. Dann starten wir direkt ins Thema.
Ich würde gern mit dir beginnen, Dennis. Ich habe dich ja im Intro schon kurz vorgestellt – was mich jetzt persönlich noch interessiert: Ihr habt bei eurem Institut vier interdisziplinäre Forschungsbereiche, und du bist in diesem Bereich ja ein ausgewiesener Experte.
Kannst du uns einmal abholen, welche Rolle das Thema IoT oder IIoT bei euch im Institut spielt?
Und vielleicht auch: Wen betrifft die NIS2-Richtlinie überhaupt – und was genau will die EU damit erreichen? Lass uns darüber gern mal in das Thema einsteigen.

Dennis-Kenji

Sehr gern. Bei uns am Institut geht es im Kern darum, digitale Resilienz durch europäische Innovationen aufzubauen.
Wir haben vier Departments, und eines davon nennt sich Global Network & Intelligence. Dieses betrachtet Cyberresilienz ganzheitlich – nicht nur auf Deutschland bezogen, sondern auch im europäischen und internationalen Kontext. Wir schauen z. B., was es in anderen Staaten an rechtlichen Anforderungen gibt und wo wir voneinander lernen können. Gerade das ist bei diesem Thema extrem wichtig.
Das zweite Department, Research & Innovation, befasst sich damit, wie man neue Innovationen im Bereich Cyberresilienz vorantreiben kann – also Transformationsprojekte, die über Grundlagenforschung hinausgehen und tatsächlich den Menschen helfen.
Unser drittes Department ist das klassische Cybersecurity & Resilience. Dort spielt natürlich auch NIS2 eine zentrale Rolle. Aktuell arbeiten wir z. B. an einer Initiative, die vom Bundeswirtschaftsministerium gefördert wird, mit dem Ziel, NIS2 konkret auszulegen – also sogenannte „Controls“ zu entwickeln, um die Anforderungen branchen- und sektorübergreifend umzusetzen.
Und vielleicht am wichtigsten: unser viertes Department Education & Qualification. Das wird oft unter dem Begriff „Awareness“ zusammengefasst, also die Frage, wie man Cybersecurity wirklich bei den Menschen ankommen lässt. Das ist auch eine konkrete Anforderung der NIS2-Richtlinie, sowohl für operative Mitarbeitende als auch insbesondere für das Management müssen entsprechende Qualifikationen vorhanden sein.

Die EU hat die NIS2-Richtlinie eingeführt, weil Cyberangriffe inzwischen eine reale Bedrohung darstellen – nicht nur für die Wirtschaft, sondern auch für die Industrie. Und das betrifft längst nicht mehr nur klassische IT-Unternehmen, sondern viele verschiedene Branchen. Kannst du erklären, wen das konkret betrifft und was genau die EU damit erreichen will?

Dennis-Kenji

Die NIS2-Richtlinie baut im Grunde auf der ursprünglichen NIS1-Richtlinie auf. Damals hat man begonnen, sogenannte wesentliche Dienste zu regulieren – also Dienste, die synonym zu den kritischen Infrastrukturen stehen, wie wir sie aus dem deutschen Recht kennen. Gemeint sind Bereiche, die essenziell für das Funktionieren unserer Gesellschaft sind: Energieversorgung, Verkehr, das Bankwesen, Finanzmarktinfrastrukturen, das Gesundheitswesen und so weiter.
Im letzten Jahrzehnt hat sich die Digitalisierung rasant weiterentwickelt, alles ist zunehmend vernetzt und damit auch anfälliger für Angriffe. Wie du in der Einleitung schon gesagt hast, hat Cyberkriminalität massiv an Relevanz gewonnen. Die Angriffe sind professioneller geworden. „Cybercrime as a Service“ ist heute ein lukratives Geschäftsmodell, das oft aus dem Ausland gesteuert wird und auch uns in Westeuropa stark betrifft.
An diesem Punkt hat man erkannt: Cybersicherheit ist nicht mehr nur ein Thema für Betreiber kritischer Infrastrukturen, sondern betrifft die gesamte Wirtschaft. Es geht also um digitalen Wirtschaftsschutz.
Jedes Unternehmen, das digitalisiert ist, etwa durch digitale Lieferketten oder Cloud-Dienste wie Software-as-a-Service, ist potenziell betroffen.
Die EU hat daher mit der NIS2-Richtlinie ganz klar gesagt: Cybersecurity-Compliance muss zu einer allgemeinen wirtschaftlichen Anforderung werden.
Ein Grund dafür ist auch, dass auf Geschäftsleitungsebene bisher zu wenig unternommen wurde. Cyberangriffe, speziell durch Ransomware, sind längst keine Ausnahme mehr. Man sieht täglich Meldungen, nicht nur in Fachmedien, sondern auch in Publikumsmedien wie Spiegel, Zeit oder Welt, teilweise im Ticker-Stil. Viele denken sich inzwischen: „Schon wieder – überrascht mich nicht mehr.“
Deshalb ist das klare Ziel: Auch das digitale Wirtschaften muss geschützt werden.
Das betrifft u. a. Fertigungsbetriebe, Maschinen- und Anlagenbau, die chemische Industrie, aber auch jede Art von Hersteller, z. B. in der Kunststoffverarbeitung.
Wenn man all diese zusätzlichen Unternehmen mitzählt, insbesondere mittelständische Unternehmen aus den neu erfassten Sektoren, dann sprechen wir allein in Deutschland von rund 30.000 bis 40.000 Betrieben, die künftig ein Cybersecurity-Compliance-Management implementieren müssen.

Ja, absolut. Du hast gerade auch die digitalen Lieferketten und neue digitale Angebote angesprochen; das ist ein Riesenthema.
Ein Beispiel aus unserem Netzwerk wäre zum Beispiel ALD Vacuum Technologies. Die stellen metallurgische Anlagen her – klassischer Maschinenbau aus Hanau – und haben etwa 500 bis 1000 Mitarbeitende.
Das wäre also genau so ein Betrieb, der künftig mit seinen digitalen Services für Kunden ebenfalls unter die NIS2-Richtlinie fällt, oder?

Dennis-Kenji

Ja, das sind so klassische Betriebe, bei denen man sagen kann: Die standen vorher nicht so oft auf der Liste.

Okay. Aber auch größere; ich hatte ja schon mal eine Folge hier mit secunet und CLAAS gemacht. Da hast du dann bei CLAAS, auch ein Maschinenbauer, plötzlich 10.000 plus Beschäftigte. Also gilt das sowohl für große Konzerne als auch für kleine und mittelständische Betriebe, oder?

Frank

Korrekt.

Okay, perfekt. Was sind denn die typischen Pflichten, die Unternehmen durch NIS2 mitbekommen? Also was muss ich als Betrieb tun, was ich bisher vielleicht noch nicht tun musste, was jetzt aber mit NIS2 kommt?

Marlitt

Gut, also die Unternehmen – wenn sie betroffen sind – das ist natürlich der erste Schritt, der getan werden muss: sich zu überlegen, falle ich darunter? Jetzt reden wir in Deutschland ja über das Umsetzungsgesetz. Da gibt es noch einen gewissen Vorbehalt, es ist noch nicht verabschiedet. Darauf will ich im Detail gar nicht eingehen, aber es wird kommen. Es wird ein Umsetzungsgesetz geben, und es gibt auch bereits einen Entwurf. An dem kann man sich natürlich heute schon orientieren. Das heißt, wenn ein Unternehmen, wie in den Beispielen, die du gerade genannt hast, festgestellt hat, dass es betroffen ist, ist der erste Schritt, eine Bestandsaufnahme durchzuführen. Also sich zu überlegen: Welche Maßnahmen zur Informationssicherheit setze ich heute bereits um? Und dabei ist mir ganz wichtig zu betonen – ich möchte hier niemanden frustrieren – jedes Unternehmen setzt bereits Maßnahmen zur Informationssicherheit um. Niemand in Deutschland tut gar nichts, davon bin ich absolut überzeugt. Selbst einfache Dinge wie die Verwendung von Passwörtern bei der Anmeldung oder eine Zutrittskarte, die eingesetzt wird, sind bereits Maßnahmen, die zur Informationssicherheit beitragen. Wenn man dann noch einmal auf das Umsetzungsgesetz schaut und überlegt, was jetzt konkret zu tun ist – und das gibt die EU-Richtlinie ja bereits vor –, dann ist das A und O, was gefordert wird: Risikomanagement. Und zwar informationssicherheitsbezogenes Risikomanagement. Das möchte ich einfach noch mal betonen. Sich zu überlegen: Welche „Assets“ besitze ich im Unternehmen? „Assets“ ist so ein englischer Begriff, der inzwischen eingedeutscht ist. Gemeint ist: Welche Werte habe ich im Unternehmen? Das ist entscheidend für alle Aktivitäten, alle Maßnahmen, die umgesetzt werden müssen. Und das kann alles sein, vom Coca-Cola-Rezept, das irgendwo im Tresor liegt, bis hin zu komplizierten Schaltplänen, Maschinen oder Konstruktionsplänen.

Genau. Wenn wir jetzt mal auf unsere Hörerschaft schauen – da sind ja viele aus produzierenden Betrieben dabei – die beschäftigen sich vor allem mit der IIoT-Vernetzung ihrer internen Digitalisierungsprojekte. Ein Beispiel aus unserem Netzwerk ist zum Beispiel der Einsatz von Technologien wie Ultra-Wideband, mit denen man Geräte und Assets in Produktionshallen lokalisieren kann. Oder, wie schon erwähnt, die Firma ALD Vacuum Technologies, ein Maschinenbauer. Wir haben auch Rolls-Royce bei uns im Netzwerk – dort geht es um Maschinen und Anlagen, die bei Kunden im Feld stehen. Die Daten werden einerseits genutzt, um dem Kunden einen digitalen Mehrwert zu bieten, aber eben auch für die interne Vernetzung. Hast du vielleicht mal ein Beispiel, wie so eine Maßnahme im Sinne des Umsetzungsgesetzes in der Praxis aussehen könnte – aus einem dieser beiden Fälle heraus?

Marlitt

Ja, tatsächlich hat jedes Unternehmen eine Art Produktion oder ein eigenes Kerngeschäft. Und da unterscheidet NIS2 gar nicht. Beim Maschinenbauer sind das zum Beispiel Konstruktionspläne, das sind natürlich zentrale Werte. Was man jetzt konkret tun muss, ist, für sich zu bewerten: Welche Bedrohungen habe ich? Wie wahrscheinlich ist es, dass diese eintreten? Und habe ich bereits ausreichend Maßnahmen umgesetzt? Das ist der erste Schritt. Viele Unternehmen haben da bereits ein gutes Gefühl – gerade Produktionsleiter wissen meist recht genau, welchen Risiken sie ausgesetzt sind. Entsprechend unterschiedlich können dann auch die Maßnahmen sein, die umgesetzt werden müssen. Wenn man zum Beispiel eine Produktionshalle direkt neben einem Fluss hat, der regelmäßig Hochwasser führt, wäre ein Risiko zu bewerten: Ist dieser Standort überhaupt noch geeignet? Auch solche Umweltrisiken fallen in den Bereich der Informationssicherheit.
Darüber hinaus führt das Umsetzungsgesetz, wie auch die Richtlinie, zusätzliche Themengebiete auf, die berücksichtigt werden müssen. Da fällt zum Beispiel das Stichwort „Informationssicherheit im Lieferantenmanagement“. Es geht darum, zu identifizieren: Welche Lieferanten haben einen maßgeblichen Einfluss auf mein Kerngeschäft, auf meine Assets? Und welche Maßnahmen muss ich eventuell an meine Lieferanten weitergeben, damit sie diese umsetzen? Also sich der Kritikalität der eigenen Lieferanten bewusst zu werden und zu prüfen, ob sie ausreichend Maßnahmen zur Informationssicherheit implementiert haben.
Aber auch ganz praktische Themen spielen eine Rolle, etwa sichere Softwareentwicklung oder im Produktionskontext die gesamte Netzwerkarchitektur und Sicherheitskonzeption. Wie ist mein Netzwerk aufgebaut? Auf dem NIS-2-Kongress hatten wir dazu viele Gespräche. Da hieß es häufig: „Alles steht in einer Halle, alles ist im gleichen Netzwerk, auch mehrere Hallen sind verbunden – alte und neue Systeme laufen da gemeinsam.“ Das sind natürlich Risiken, die bewertet werden müssen. Und mit hoher Wahrscheinlichkeit sind in solchen Fällen entsprechende Maßnahmen notwendig.

[14:01] Herausforderungen, Potenziale und Status quo – So sieht der Use Case in der Praxis aus

Was sind denn so die typischen Themen oder Herausforderungen, die Unternehmen aktuell beschäftigen? Sowohl vor dem Kongress als auch das, was ihr bei secunet im Alltag mit euren Kunden und Partnern erlebt. Ist das das, was du eben schon beschrieben hast, oder gibt es noch weitere drängende Herausforderungen?

Marlitt

Ein Teil davon ist tatsächlich das, was ich gerade beschrieben habe, die Umsetzung konkreter Informationssicherheitsmaßnahmen. Dazu gehört zum Beispiel der Umgang mit Alt- und Neusystemen in Produktionshallen oder die Prozesse rund um sichere Softwareentwicklung. Wenn wir ehrlich sind: IT-Fachkräfte und Entwickler dokumentieren oft nicht besonders gern. Das sind dann so ganz praktische Themen, bei denen NIS2 konkrete Anforderungen vorgibt. Das sind Themen- und Anforderungsgebiete, die gemäß Best Practices oder bestimmten Standards umgesetzt werden sollen.
Was mir im Moment aber noch viel häufiger gespiegelt wird, ist eine Ebene darüber. In vielen Maschinenbauunternehmen, mit denen wir arbeiten, gibt es historisch gewachsene Strukturen – unterschiedliche Beteiligungen, verschiedene Standorte, oft über Jahrzehnte individuell gewachsen. Und genau da liegt die Herausforderung: überhaupt erst einmal zu klären, wer für die Informationssicherheit verantwortlich ist. Es gibt oft sehr unterschiedliche politische Interessen und Machtverhältnisse, etwa zwischen einzelnen Werksleitern. Das ist aktuell eine der größten Herausforderungen: Der Bedarf wird zwar erkannt, aber eine einheitliche Strategie für Informationssicherheit fehlt häufig, vor allem in komplexen Unternehmensstrukturen mit mehreren Standorten.

Ja, spannend. Frank, wie kam es eigentlich dazu, dass ihr euch als secunet jetzt auch verstärkt mit solchen Partnern zusammentut? Ihr kommt ja beide von secunet, einem der führenden Anbieter für hochsichere IT-Lösungen in Deutschland. Gerade bei hochvernetzten Produktionssystemen und kritischen Infrastrukturen haben wir ja schon ein, zwei Folgen gemeinsam gemacht; die verlinke ich auch gern in den Show Notes. Aber wie kam es jetzt konkret zu dieser Zusammenarbeit? Das würde mich noch mal interessieren.

Frank

Eigentlich hat das Ganze mit zwei Vorreiterthemen begonnen, Marlitt hat es auch angesprochen. Das eine ist die technische Frage: „Bin ich betroffen?“ Und das andere ist das Mindset dahinter und das Mindset in den Führungsetagen.
Ich fand es positiv, dass Dennis vorhin in seinem Einstieg gesagt hat, dass er inzwischen wahrnimmt, dass das Thema langsam in den Führungsetagen ankommt. Aber was wir im Vertrieb, gerade im Mittelstand, noch häufig erleben: Unsere Ansprechpartner in der IT wissen eigentlich ganz genau, was zu tun wäre. Die sagen uns dann: „Ich weiß, was wir machen sollten, aber ich habe kein Budget, ich habe keine Leute. Und jetzt kommt auch noch NIS2 obendrauf.“
Ganz oft hören wir auch die Frage: „Wie soll ich dem Board erklären, dass das wichtig ist?“ Und genau da liegt der Knackpunkt: beim Mindset. Marlitt hat es vorhin auch gesagt: Wenn ich mehrere Standorte habe, dann funktioniert Informationssicherheit nur, wenn die Führungsetage verstanden hat, dass Datensouveränität und Vertrauen in die Daten elementare Voraussetzungen für Digitalisierung sind. Und dass das auch Auswirkungen auf die Lieferkette hat.
Denn wenn mein Lieferant einen Cyberangriff erleidet, bekomme ich im Zweifel keine Ware. Das heißt: Ich muss hinschauen, nicht nur bei mir selbst, sondern auch entlang der Lieferkette.
Wenn das verstanden ist, kommt die nächste Frage: Bin ich betroffen? Und die sollte man nicht nur im Hinblick auf ein Gesetz stellen, das um die Ecke kommt, sondern aus der Perspektive: Ich muss mein Unternehmen schützen. Und da sehen wir ganz klar eine Lücke im Verständnis, die es dringend zu schließen gilt. Es geht darum, dass das Thema wirklich in den Köpfen der Entscheider ankommt.
Und wie kam es jetzt zur Zusammenarbeit mit Dennis? Genau das ist das, was das cyberntelligence.institute macht: den Bogen zu schlagen zwischen Regulierung, Gesetzgebung und der gesellschaftlichen Relevanz – und dabei eben auch die Managementebene anzusprechen, damit es dort „Klick“ macht.
Denn wie schon gesagt wurde: Das Risiko ist je nach Unternehmen unterschiedlich. Aber man muss sich damit beschäftigen. Man muss sich fragen: Was ist mein konkretes Risiko? Und wenn man diesen Schritt geht, landet man ganz automatisch bei den Prozessen und ist damit schon ziemlich nah an dem, was der Gesetzgeber verlangt.
Und so ist diese Zusammenarbeit entstanden: mit dem Ziel, nicht nur technisch, sondern auch strategisch und auf Management-Ebene gemeinsam zu arbeiten.

Okay, sehr schön. Also, wenn ihr jetzt zuhört, würde mich interessieren, wie ihr das bei euch im Betrieb umsetzt. Schreibt gerne mal in die Kommentare, ob ihr das schon macht oder einen Plan habt, wie ihr das Thema angeht. Würde mich sehr interessieren.
Und vielleicht, Frank, nochmal das Stichwort „das Board überzeugen“. Am Ende geht es ja immer um Investitionen in Technologie und Sicherheit, also auch in Zeitressourcen. Was siehst du als überzeugende Argumente, um das Board zu gewinnen? Kann man das in einen Business Case fassen?

Frank

Das ist sehr individuell, weil die Unternehmen sehr unterschiedlich sind, die Risiken sehr unterschiedlich sind und auch die Abhängigkeiten ganz verschieden ausfallen. Wenn ich zum Beispiel ein Unternehmen bin, das in kritische Infrastrukturen hineinliefert, dann habe ich allein durch meinen Kundenkreis ganz andere Voraussetzungen. In der Zusammenarbeit mit Marlitt und ihrem Team ist es durchaus möglich, für einzelne Kunden einen Business Case zu berechnen. Aber so pauschal zu sagen: „Du musst das machen, und dann sparst du zehn Prozent“ – das funktioniert natürlich nicht.

Marlitt

Vielleicht ergänzend von meiner Seite: Es gibt kein stabiles Kerngeschäft mehr ohne Informationssicherheit. Insofern ist das eigentlich eine recht einfache Rechnung. Wenn man sich anschaut, welchen Umsatz und Gewinn ein Unternehmen erwirtschaftet, dann ist klar: Ohne Informationssicherheit wird es das so künftig nicht mehr geben.

Ja, und habt ihr da konkrete Zahlen? Mich würde interessieren, was die Umsetzung eines solchen Maßnahmenkatalogs im Rahmen der NIS2-Regulierung kostet. Ich weiß, das ist natürlich schwer zu beziffern und hängt immer vom Use Case und vom Unternehmen ab – aber habt ihr trotzdem eine grobe Einschätzung?

Marlitt

Also, es braucht erstmal jemanden, der sich darum kümmert. Das heißt, im ersten Schritt kostet es Zeit. Das ist das A und O. Und es kostet nicht nur Zeit bei der verantwortlichen Person. Ich will gar nicht sagen, dass das in Vollzeit passieren muss, denn das hängt stark vom Unternehmen ab. Aber es braucht auf jeden Fall jemanden, der genug Kapazität hat, sich mit dem Thema Informationssicherheit in der eigenen Organisation zu beschäftigen. Das ist der erste Kostenfaktor, der auf einen zukommt.
Und wenn sich jemand damit noch nie beschäftigt hat, ist es schwierig, das alleine umzusetzen. Entweder braucht es dann Schulungsmaßnahmen oder man muss Beratungsleistungen einkaufen. Dann müssen die Themen auch ganzheitlich umgesetzt werden.
Ich nenne da immer gern ein etwas plastisches Beispiel, gerade wenn wir im Kontext von Produktionshallen bleiben. Wir sind in Deutschland ja sehr freundlich und halten einander gerne die Tür auf, auch auf dem Werksgelände. So kommt es vor, dass sich jemand Zutritt zu einer Produktionshalle verschafft, einfach weil man ihm nett die Tür aufgehalten hat. Das widerspricht natürlich den Grundsätzen der Informationssicherheit. Denn Zutritt zu Produktionshallen oder Rechenzentren sollten nur Personen haben, die dazu auch berechtigt sind. Eine konkrete Maßnahme wäre in dem Fall der Einbau eines Drehkreuzes, wie es in vielen Unternehmen bereits existiert.
Das heißt: Um Informationssicherheit umzusetzen, ist eine Kombination aus organisatorisch-prozessualen und baulichen Maßnahmen erforderlich. Dazu gehört beispielsweise ein klar definierter Prozess für den Umgang mit Neueinstellungen und der Festlegung von Zugriffsrechten. Gleichzeitig können auch bauliche Maßnahmen, wie der Einbau eines Drehkreuzes, notwendig sein, wenn die Risikoanalyse entsprechende Anforderungen ergibt.
Du merkst schon, dass ich sehr vage bleibe, was die Kosten betrifft. Denn der erste Schritt ist wirklich, überhaupt erst einmal Zeit und Freiraum für die Mitarbeitenden zu schaffen, damit sie sich mit der Umsetzung beschäftigen können. Und dann gilt es, die notwendigen Hilfsmittel bereitzustellen. Dabei unterstützen wir von secunet natürlich auch sehr gern.

Okay, ja, das war doch ein sehr anschauliches Beispiel. Hast du denn trotzdem ein paar Best Practices, wie Unternehmen ihre Kosten und den Nutzen von Cybersicherheit im Rahmen der NIS2-Richtlinie besser einschätzen oder auch transparenter machen können? Gibt es da Einblicke aus euren Projekten?

Marlitt

Also Informationssicherheit hat ja an der einen oder anderen Stelle leider noch einen ziemlich schlechten Ruf; sie gilt oft als reiner Aufwandstreiber. Deshalb sind wir gerade dabei, das Vorgehen etwas anders zu gestalten. Keine langen Richtlinien oder umfangreichen Vorgabedokumente mehr, sondern kurze, prägnante Handouts. Das hilft den Unternehmen dabei, effizienter zu arbeiten und bringt Struktur in die Prozesse.
Das ist so ein bisschen unser Ansatz. Was ich sagen will: Informationssicherheit muss nicht kompliziert sein. Sie kann Unternehmen auch helfen, sich an manchen Stellen besser zu organisieren, weil man damit automatisch mehr Nachhaltigkeit in die Unternehmen bringt. Und wenn wir ehrlich sind, wird uns das auch aus vielen Unternehmen zurückgespiegelt: Sehr viele Mitarbeitende stehen kurz vor dem Renteneintritt. Es steht also ohnehin ein Generationswechsel an, und das bedeutet auch, dass man sich überlegen muss, wie man Wissen und Strukturen langfristig absichert.
Informationssicherheit ist da ein guter Ansatzpunkt, um beispielsweise bestimmte Dokumentationen endlich einmal aufzusetzen, angepasst an die spezifischen Anforderungen des Unternehmens.

[23:45] Lösungen, Angebote und Services – Ein Blick auf die eingesetzten Technologien

Dennis, wie siehst du das aus Sicht des Instituts oder auch persönlich? Viele Unternehmen arbeiten ja schon mit Experten wie secunet zusammen, manche haben interne Ressourcen, andere vielleicht noch gar nicht. Wie schätzt du das ein – auch in Bezug auf das Thema Outsourcing und Verantwortung? Sind die Betriebe heute schon in der Lage, das umzusetzen? Oder was braucht es aus deiner Sicht organisatorisch noch, damit das klappt?

Dennis-Kenji

Ja, Marlitt hat das ja auch schon angedeutet: Die Betriebe sind da natürlich höchst unterschiedlich aufgestellt. Wir haben Unternehmen, die bereits seit zehn Jahren unter die KRITIS-Regulierung fallen, die also entsprechende Erfahrungen haben. Dort existieren bereits branchenspezifische Sicherheitsstandards – sogenannte B3S – sowie strenge Nachweis- und Meldepflichten. Dann gibt es Unternehmen, die Informationssicherheit auch bisher schon umgesetzt haben, obwohl sie rechtlich nicht dazu verpflichtet waren. Und schließlich gibt es die große Mehrheit der Betriebe, bei denen Informationssicherheit ein eher neues Thema ist – etwas, das man vielleicht schon mal gehört hat, aber bisher nicht aktiv angegangen ist.
Für genau diese Unternehmen geht es jetzt darum, angemessene Budgets bereitzustellen, in einer Höhe, die den tatsächlichen Risiken gerecht wird. Was dabei oft untergeht: Es gibt ja den sogenannten „10-plus-1“-Katalog, der auch im aktuellen §30 des Entwurfs zum NIS2-Umsetzungsgesetz genannt wird. Darin sind Mindestanforderungen für Cybersicherheit aufgeführt. Dieser Katalog wird oft als eine Art „Grundlagen-Dokument“ gesehen, nach dem Motto: Du musst jetzt einfach ein paar zusätzliche Maßnahmen ergreifen, plus eins oder plus n.
Was aber viele nicht realisieren: Diese Maßnahmen müssen individuell an das betriebliche Risiko angepasst werden. Es gibt eben keine Lösung von der Stange, keinen heiligen Gral der Cybersicherheit. Unternehmen müssen ihre Maßnahmen so gestalten, dass sie verhältnismäßig sind, und dafür muss das Risiko zunächst bewertet werden.
Dazu gehören Fragen wie: Welches Ausmaß hat die Risikoexposition meiner Einrichtung? Ein Rüstungshersteller wird hier sicherlich ganz anders aufgestellt sein als ein Möbelhersteller. Wie groß ist die Einrichtung? Wie wahrscheinlich ist das Eintreten eines Sicherheitsvorfalls? Wie schwerwiegend könnten die Auswirkungen sein – gesellschaftlich, wirtschaftlich oder im Hinblick auf die Versorgungssicherheit? Gibt es technische Standards und bereits benennbare Umsetzungskosten?
Das Management muss sich diese Fragen stellen. Welche Kritikalität besitzt meine ist meine Einrichtung? Ist sie in der Öffentlichkeit besonders exponiert? Wie stark bin ich auf vernetzte IT-Systeme angewiesen? Habe ich digitale Lieferketten, die ich in meine Risikobetrachtung mit einbeziehen muss? All das wird von NIS2 explizit adressiert. Gab es vielleicht schon Cybervorfälle in der Vergangenheit oder ist damit zu rechnen, dass in Zukunft welche auftreten, etwa weil ich in besonders exponierten Sektoren tätig bin?
Und vielleicht die wichtigste Frage: Was könnten potenzielle Angreifer mit einer erfolgreichen Kompromittierung meines Unternehmens erreichen? Davon hängt alles ab.
Man sieht aktuell zum Teil noch, dass die Geschäftsleitungen sagen: „Ja, es gibt Bußgelder, aber das wird schon nicht so schlimm. Das BSI hat eh nicht die Kapazitäten, 30.000 bis 40.000 Unternehmen in Deutschland zu kontrollieren.“ Also nach dem Motto: Wo kein Kläger, da kein Richter.
Was dabei aber übersehen wird: Diese Pflichten gelten nicht nur isoliert, sondern wirken sich auch auf die gesamte Lieferkette aus. Sie werden oft vertraglich weitergegeben, von einem Partner zum nächsten. Und spätestens im Fall eines Sicherheitsvorfalls, der zum Beispiel auch die OT betrifft, die Produktion lahmlegt und dazu führt, dass Verträge nicht mehr erfüllt, Kunden nicht beliefert oder Ware nicht angenommen werden kann, entstehen wirtschaftliche Schäden.
Dann kann es passieren, dass ein Vertragspartner sagt: „Ich mache jetzt meinen Schaden geltend.“ Und dann stellt sich juristisch die Frage: Welchen Sorgfaltsmaßstab hättest du als Unternehmen für deine IT- und OT-Infrastruktur eigentlich einhalten müssen? Wenn sich dann herausstellt, dass ein Unternehmen unter NIS2 gefallen wäre, die Anforderungen aber weitestgehend ignoriert hat, ist der Weg zu entsprechenden Schadenersatzansprüchen nicht mehr weit.
Und genau das versuche ich dem Management klarzumachen: Es geht nicht nur um Bußgelder oder um die Vorstellung, dass das BSI nach dem Stichtag 2025 plötzlich vor der Tür steht. Es geht darum, dass Cybersicherheit für euren alltäglichen Betrieb relevant ist – für eure Kundenbeziehungen. Das muss man klar machen, da muss man Awareness schaffen.

Okay, also es braucht sozusagen einen Mindset-Change, vor allem auf Ebene der Geschäftsführung. Und ich würde den Link zu diesen „10 plus 1“-Maßnahmen auch nochmal in die Show Notes packen. Ich denke, vielen ist das vielleicht schon bekannt, aber ich würde das einfach nochmal mit verlinken. Vielleicht jetzt zum Schluss nochmal ein Blick in Richtung Umsetzung. Viele Betriebe sind ja gerade dabei, das Ganze anzugehen und wollen den Weg gehen. Daher mal die Frage an dich, Marlitt – und auch an Frank – in Richtung secunet: Wie genau setze ich das eigentlich um? Und wie sieht so eine Zusammenarbeit mit euch aus? Könnt ihr mal an einem Beispielprojekt – auch wenn ihr den Kunden nicht nennen dürft – zeigen, wie ihr da vorgeht? Was ist euer Angebot? Wie unterstützt ihr die Betriebe bei der Implementierung?

Marlitt

Ja, also mir ist es ganz wichtig zu betonen, dass sich die Betriebe nicht überfordert fühlen sollten. Viele stehen jetzt vor dem NIS2-Umsetzungsgesetz und denken sich: „Was soll ich da jetzt tun? Muss ich das morgen schon alles fertig haben?“ Aber das Wichtigste, wirklich das A und O, ist erst einmal ein Plan. Sich zu überlegen: Welche Maßnahmen muss ich umsetzen? Wie will ich das machen? Und selbst wenn es in einem halben Jahr zu einem Vorfall kommt, ist das Entscheidende, dass es diesen Plan gibt. Dass man nachweisen kann, dass man sich bereits mit der Umsetzung beschäftigt hat. So wie Dennis es vorhin gesagt hat: Kommt es zu einem Vorfall, dann geht es um Bußgelder, und man muss zeigen können, dass man sich mit dem Umsetzungsgesetz auseinandergesetzt hat.
Wie starten wir also? Das klingt vielleicht banal, aber es beginnt mit einer Bestandsaufnahme. Diese kann sich an unterschiedlichen Themen oder Best-Practice-Standards orientieren. Wir empfehlen aktuell eine Bestandsaufnahme angelehnt an die ISO 27001 – ich nenne es mal „light“. Also wirklich fokussiert auf die Themenfelder, die gemäß NIS2 gefordert werden. Ich gehe da jetzt nicht im Detail darauf ein, aber es gibt einen entsprechenden Standard und auch Empfehlungen vom BSI, an denen man sich gut orientieren kann.
Wir bei secunet führen aktuell bereits mehrere NIS2-Projekte durch und da hat sich gezeigt, dass man diese Bestandsaufnahmen nicht mehr unbedingt vor Ort in langen Interviews machen muss. Stattdessen nutzen wir häufig Selbstauskunftsbögen, vor allem, weil viele dieser Unternehmen komplexe Strukturen haben: ein Werk hier, ein weiteres da, vielleicht noch eine Tochter- oder Schwestergesellschaft.

Mit den Selbstauskunftsbögen bekommen wir zunächst eine gute Indikation über den Reifegrad der Informationssicherheit im Unternehmen. Dabei betrachten wir elf Themengebiete, die dann auch strukturiert abgefragt werden – und zwar in sehr kompakter Form, etwa zwei bis drei Seiten pro Themenbereich. Damit lässt sich der aktuelle Reifegrad gut einordnen.

Und man schaut auch: was machen eigentlich meine Lieferanten? Das gehört doch eigentlich auch mit dazu, oder?

Marlitt

Das ist tatsächlich der nächste Schritt. Zunächst schaut man sich an, wie der Prozess im eigenen Lieferantenmanagement aktuell aussieht. Gibt es überhaupt eine vollständige Liste aller Lieferanten? In vielen Unternehmen existiert so etwas gar nicht, und das ist auch erstmal nicht schlimm. So geht es momentan vielen. Es gibt eine sehr intransparente Lieferantenlandschaft, weil oft die Fachabteilungen selbst bestellen oder noch mit anderen Systemen arbeiten.
Das wäre dann ein konkreter Umsetzungsschritt: Wenn man feststellt, es gibt keinen klaren Prozess und Informationssicherheit wird auch nicht in Verträgen eingefordert, dann wäre genau das ein Punkt, an dem man ansetzen muss. Denn man muss sich Informationssicherheit ja auch „einkaufen“, also bei den Lieferanten fordern, dass sie entsprechende Maßnahmen umsetzen.
Wenn man erkennt, dass das bisher noch nicht geschieht, dann haben wir bei secunet ein sehr hilfreiches Handout, das präzise beschreibt, wie so ein Prozess aussehen sollte. Wir schauen dann gemeinsam: Passt das zu den bestehenden Strukturen im Unternehmen? Und arbeiten den Prozess gemeinsam aus. Dazu gibt es ein, zwei Vorlagen für die Umsetzung – zum Beispiel ein Lieferantenregister, in das man die relevanten Partner einträgt und bewertet. Alles sehr kompakt gehalten, weil das Thema in der Umsetzung natürlich komplex ist. Das will ich gar nicht verschweigen. Umso wichtiger ist es, dass die Anleitung und Unterstützung klar, verständlich und gut strukturiert sind.

Gibt es so etwas wie Minimalmaßnahmen, wo du sagst: Damit solltet ihr auf jeden Fall starten, das ist zwingend notwendig? Gibt es Dinge, bei denen ihr merkt, das sind echte Fallstricke, die man vermeiden kann? Was sind die Maßnahmen, die wirklich notwendig sind, und welche typischen Fehler sollte man nicht machen?

Marlitt

Es gibt definitiv Maßnahmen, mit denen man den Angriffsvektor erheblich minimieren kann, also Risiken deutlich reduziert und damit stark zur Informationssicherheit beiträgt.
Ich empfehle immer einen Bottom-up-Ansatz und auf jeden Fall einen Penetrationstest. Einfach um mal ganz praktisch auf das Netzwerk und die Systeme zu schauen: Gibt es akute Schwachstellen oder Einfallstore? Das ist zwar so explizit nicht in der NIS2-Richtlinie gefordert, deshalb will ich es hier nicht zu sehr ausführen, aber es ist einfach eine sehr sinnvolle Maßnahme in der Praxis.
Wenn man wirklich compliant mit NIS2 sein möchte, dann ist Risikomanagement das A und O. Das zieht sich durch das ganze Gesetz. Es ist entscheidend, dass man sich hier ernsthaft Gedanken macht.
Was mir ehrlich gesagt schwerfällt, ist, einzelne Maßnahmen klar einzugrenzen, weil alle Themen wichtig sind und jeweils unterschiedliche Facetten mitbringen. Was auf keinen Fall fehlen darf, ist die Sensibilisierung der Mitarbeitenden. Da geht es schon mit einfachen Dingen los, etwa, dass man keinen USB-Stick, den man irgendwo auf der Toilette findet, einfach in den Firmen-PC steckt. Solche Awareness-Themen sind ein riesiges Einfallstor und deshalb ein zentraler Bestandteil jeder Sicherheitsstrategie.

Dennis, du bist ja viel auf Kongressen unterwegs und sprichst mit vielen Betrieben. Gibt es da Dinge, bei denen du sagst: Achtung, das solltet ihr auf jeden Fall vermeiden? Hast du da etwas, das du teilen kannst?

Dennis-Kenji

Ja, es gibt wirklich viele Klassiker, über die man sprechen muss. Und woran es bei vielen Unternehmen nach wie vor fehlt, sind grundlegende Prinzipien im Bereich der Informationssicherheit. Ich rede hier noch nicht einmal von einem ausgereiften Informationssicherheitsmanagement mit etablierten Prozessen oder Ähnlichem – es fehlt oft wirklich an den absoluten Basics.
Der USB-Stick ist da natürlich das Paradebeispiel. Idealerweise steht dann noch „Private Fotos“ drauf, und genau deshalb wird er sofort in den Rechner gesteckt. Aber es geht auch um ganz grundlegende Dinge wie Backups. Dass man überhaupt regelmäßig Backups anlegt, dass diese aber nicht im aktiven Netzwerk verbleiben oder irgendwo in der Cloud hängen, wo sie im Ernstfall gleich mitverschlüsselt werden. Es fehlt häufig auch das Verständnis dafür, warum Software- und Betriebssysteme regelmäßig gepatcht werden müssen. Das geschieht ja nicht einfach aus Routine, sondern weil damit Sicherheitslücken geschlossen werden, die irgendwo aufgetreten sind.
Ich habe gestern noch im Rahmen einer Veranstaltung mit Teilnehmenden genau darüber gesprochen. Awareness ist inzwischen zwar ein Buzzword geworden, aber es ist trotzdem ein hochrelevantes Thema. Viele Cyberangriffe gelingen nur deshalb, weil eben genau diese Awareness fehlt, sowohl im beruflichen als auch im privaten Umfeld.
Ein aktuelles Beispiel: die Fake-DHL-Kampagnen. Menschen bekommen SMS-Nachrichten, klicken auf gefälschte Webseiten, geben ihre Kreditkartendaten ein – und schon finanzieren sich Cyberkriminelle ihren nächsten Sportwagen oder Luxuseinkauf. Und das sind keine neuen Methoden. Diese DHL-Phishing-Kampagnen gab es schon im letzten Jahrzehnt, sie wurden einfach immer weiter optimiert, weil sie so profitabel sind.
Was einfach noch fehlt, ist ein grundlegendes Verständnis für Informationssicherheit, und genau daran arbeiten wir auch als cyberintelligence.institute. Wir hoffen, mit unseren Kampagnen ein Stück weit mehr Awareness vor Ort schaffen zu können.

Frank

Und ich glaube, es beginnt ganz oben. Wenn der erste Reflex der Geschäftsführung ist, den Anwalt anzurufen, um zu klären, was das jetzt für ein Gesetz ist – anstatt sich die Frage zu stellen, welches Risiko eigentlich besteht. Das ist keine Maßnahme, die man einmal durchführt und dann für zwei Jahre Ruhe hat. Das wird ein dauerhafter Bestandteil der Geschäftstätigkeit sein und auch bleiben.

Ja, absolut. Gerade im IoT-Bereich entwickeln sich die Projekte ja extrem schnell. Wir sehen in unserem Netzwerk so viele spannende Anwendungsfälle, zum Beispiel der Datenzugriff in Kundeninfrastrukturen. Auch da ist natürlich genau geregelt, welche Daten wie zugänglich sind. Aber die Projekte entwickeln sich weiter, ständig. Und genau deshalb ist es ein dauerhaftes Thema, insbesondere im Bereich IoT. Es geht immer wieder darum, zu prüfen: Wer hat Zugriff auf welche Daten? Wann? Wie? Und in diesen hochkomplexen, vernetzten Systemen wird es einfach immer wichtiger, sich kontinuierlich mit solchen Fragen auseinanderzusetzen.

Marlitt

Ja, und dabei auch die Bedrohungslage im Blick zu behalten. Immer wenn sich in der Produktionslandschaft etwas ändert, sollte man sich fragen: Ist meine Risikobewertung eigentlich noch aktuell? Und genau da ist es wichtig, eng mit den Herstellern oder der eigenen Entwicklungsabteilung zusammenzuarbeiten. Damit das Informationssicherheitsniveau dauerhaft hoch bleibt.

Genau. Wenn zum Beispiel in der Produktentwicklung ein neues Feature ausgerollt wird, mit dem man plötzlich Zugriff auf Datentöpfe bekommt, die man vorher nicht hatte, dann muss man das eben auch direkt mitdenken. Da fängt es an und manchmal endet es dann tatsächlich beim USB-Stick.

Marlitt

Ja, wirklich! Wir betreuen aktuell Projekte, bei denen neue Technologien eingeführt wurden – etwa ein neues Kassensystem, super modern, alles schien perfekt. Am Ende musste es komplett wieder abgebaut werden, weil die Kommunikationsverbindung nicht sicher war und sich auch nicht entsprechend anpassen ließ. Es gibt wirklich zahlreiche solcher Beispiele. Deshalb: Informationssicherheit von Anfang an mitdenken, in jedem Projekt, in jedem Unternehmensbereich. Das ist letztlich der günstigste Weg. Denn wenn man es später nachrüsten muss, wird es meist deutlich teurer.

Ja, sehr gut. Ich kann euch wirklich nur ans Herz legen: Beschäftigt euch weiter mit dem Thema. Ich packe euch gleich noch ein paar weiterführende Links in die Show Notes, und Marlitt, Frank, Dennis – ich würde auch gern eure LinkedIn-Profile dort verlinken. Vernetzt euch gerne, tauscht Best Practices aus, wie ihr das Thema Informationssicherheit in euren Betrieben angeht, und kommt einfach mal ins Gespräch.

[39:16] Übertragbarkeit, Skalierung und nächste Schritte – So könnt ihr diesen Use Case nutzen

Die Projekte entwickeln sich ja ständig weiter, und inzwischen ist plötzlich auch das Thema KI überall präsent. KI-Algorithmen werden jetzt zunehmend in Datenplattformen eingesetzt. Gerade im Maschinenbau ist das aktuell ein Hype-Thema, das auf vielen Messen gezeigt wird. Es geht dabei oft auch um die Frage der Monetarisierung. Aber was mich interessiert: Was kommt denn aus eurer Sicht in Zukunft noch auf uns und auf die Unternehmen zu?

Marlitt

Also, die Angriffe werden sich definitiv verändern, sie werden komplexer und durchdachter. Klar, Unternehmen setzen KI ein, um ihre Produktion zu verbessern oder neue Produkte zu entwickeln. Aber genauso nutzen auch Angreifer künstliche Intelligenz für ihre Zwecke.
Unternehmen müssen sich deshalb darauf einstellen, dass es künftig noch viel gezieltere Angriffe geben wird – aus dem Internet, aus der ganzen Welt, mit ganz neuen Facetten. Das ist etwas, was ich ganz klar kommen sehe. Aber Dennis, du hast da bestimmt auch noch einen interessanten Blickwinkel drauf.

Dennis-Kenji

KI hat, wie du schon gesagt hast, Marlitt, definitiv nicht nur die Bedrohungslage, sondern auch die Cybersecurity-Branche selbst verändert – und das nicht erst seit dem Aufkommen von Large Language Models. Die automatisierte Anomalie-Detektion in Computernetzwerken mithilfe von KI wird schon seit Jahren eingesetzt. Ich habe beispielsweise 2019 an einem Buch mitgeschrieben, in dem genau solche Technologien Thema waren.
Neu ist allerdings, dass auch Cyberangreifer zunehmend KI nutzen, etwa zur Optimierung ihrer Angriffe, zur Effizienzsteigerung und zum gezielten Erlangen von Informationen, die ihnen vorher nicht zur Verfügung standen.
Was ich als weiteren Zukunftsfaktor sehe, ist das Thema Quantencomputing. Das verfolge ich mit großem Interesse, auch aus Sicht der Cybersicherheit. Die NSA zum Beispiel speichert bereits heute Daten, die sie aktuell nicht entschlüsseln kann, weil sie den aktuellen Verschlüsselungsstandards entsprechen.
Auch hierzulande tut sich einiges: Die Cyberagentur in Deutschland hat kürzlich eine Ausschreibung veröffentlicht, bei der es um die Entwicklung erster mobiler Quantencomputer geht. Man wird sehen, inwiefern das tatsächlich realisiert werden kann, aber die Fortschritte sind definitiv erkennbar.
Nicht ohne Grund hat das U.S. National Institute of Standards and Technology bereits Mitte August letzten Jahres die ersten drei verabschiedeten Standards für Post-Quantum-Verschlüsselung veröffentlicht. Das zeigt ganz klar: In der Informationssicherheit stehen uns in den nächsten Jahren tiefgreifende Umbrüche bevor. Ich bin überzeugt: Die nächsten fünf Jahre werden in diesem Bereich entscheidend sein.

Da ruft ja fast alles nach einer Fortsetzungsfolge zu diesem Thema! Ich glaube, da gibt es noch sehr viel mehr zu besprechen. Aber schon jetzt vielen Dank für eure spannenden Einblicke in die Zukunft. Und vielleicht abschließend von meiner Seite: Man sieht, das Thema ist nicht nur ein klassisches Regulierungsthema, sondern es geht auch um Mindset-Veränderungen – gerade auf Vorstandsebene, um das Klären von Verantwortlichkeiten und letztlich auch um die technische Umsetzung.
Das ist in jedem Unternehmen unterschiedlich. Umso besser, dass es genau dafür Experten gibt. Ich kann euch also nur noch einmal ans Herz legen: Beschäftigt euch weiter damit, nehmt Kontakt zu Dennis, Marlitt oder Frank auf, vernetzt euch, stellt Fragen.
Von meiner Seite aus bleibt nur zu sagen: Vielen Dank, dass ihr heute mit dabei wart! Es war wirklich spannend, und ich würde das letzte Wort gerne an euch übergeben.

Marlitt

Also auf jeden Fall: Nicht überfordern lassen, das ist mir wichtig zu sagen. Schritt für Schritt vorgehen. Jeder einzelne Schritt in Richtung Informationssicherheit ist wichtig und richtig. Lasst euch nicht von der Regulatorik abschrecken, das möchte ich wirklich betonen. Informationssicherheit ist so, so wichtig – für den Selbstzweck, für das eigene Unternehmen. Und manchmal reichen schon minimale Maßnahmen, um Angriffe abzuwehren.

Frank

Ich würde sagen: Aufgreifen, nicht abwarten – einfach machen. Anfangen. Nicht darauf setzen, dass das deutsche NIS2-Umsetzungsgesetz vielleicht erst Ende des Jahres kommt und man ja „noch ein bisschen Zeit“ hat. Dem Hacker ist das nämlich gerade ziemlich egal. Also: anfangen.

Dennis-Kenji

Ja, ich würde sagen: Man sollte Cybersicherheit auch von der positiven Seite her denken. Wenn ich als Unternehmen resilient bin, dann bin ich auch innovativ, weil ich neue Best Practices schaffe. Und: Cybersecurity wird zunehmend auch zu einem Verkaufsargument. Wenn ich nachweisen kann, dass ich compliant bin, kann ich mich von anderen Betrieben oder Anbietern abheben, die genau diese Compliance in Zeiten zunehmender Unsicherheit noch nicht umgesetzt haben. Deshalb kann ich Franks Appell nur wiederholen: Jetzt starten – nicht warten. Denn eigentlich ist es jetzt schon spät, wenn man erst anfängt.

Marlitt

Nicht so negativ hier – wir wollen ja motivieren!

Aber das ist doch ein schönes Schlusswort für heute. In dem Sinne: Vielen Dank euch allen, und ich wünsche euch eine schöne Restwoche. Macht’s gut – bis bald!