Mehr Cyberresilienz für Unternehmen durch NIS2?

Die Europäische Union hat die NIS2-Verordnung veröffentlicht, um die Cyberresilienz der europäischen Unternehmen zu stärken und zu vereinheitlichen – und das ist auch bitter nötig: Jeden Tag werden sowohl große Konzerne als auch Mittelständische Unternehmen und Kleinst- und Kleinunternehmen (KKU) Opfer von Cyberangriffen. Es werden Daten gestohlen oder verschlüsselt. Am Ende steht meist eine Erpressung mit hoher Lösegeldforderung.

Was passiert nach einem Cyberangriff?

Selbst, wenn die Gelder bezahlt werden und der Angreifer den Entschlüsselungscode liefert, sind viele Unternehmen technisch und organisatorisch nicht in der Lage, alle Daten zu recovern und zeitnah den Standardbetrieb wieder aufzunehmen. Der Grund hierfür ist denkbar einfach: der Ernstfall wurde nie verprobt.

Weiterhin muss angemerkt werden, dass bei vielen IT-Verantwortlichen ein fast religiöser Glaube an ihre Backups besteht. Leider zeigt die Praxis, dass professionelle Hacker erst den Angriff starten, wenn sie die Backupzyklen des Opfers verstanden haben und die Backups über Wochen und Monate mit Schadcode korrumpiert wurden. Es ist aus vielen Fällen hinlänglich bekannt, dass Hacker meist mehrere Monate in der IT des Angriffsziels unterwegs sind, bevor sie zuschlagen.

Hinzu kommt, dass langfristig gewachsene und heterogene IT-Landschaften mit unzähligen und oft nur schlecht dokumentierten Schnittstellen nicht in einem Zuge wiederherstellbar sind. Auch hier wird viel zu selten eine Not-Wiederherstellung in der Praxis getestet.  

In Audits oder in Audit -Vorbereitungen im Rahmen des Business-Continuity-Managements (BCM und Teil der ISO 27001) habe ich nicht selten anstelle von Wiederherstellungsplänen Betriebshandbücher vorgelegt bekommen. Im echten Notfall ein ernsthaftes Problem.

Hintergrund: Das steckt hinter der NIS2-Verordnung

In Summe ist die Realität auch im Jahr 2025 noch so, dass Unternehmen lieber Geld für sichere Zäune, Wachpersonal, vergitterte Fenster etc. investieren, als in ein Informationssicherheitsmanagementsystem (ISMS).

Daher war die Überarbeitung der alten NIS-Verordnung zur NIS2 dringend geboten. Aber was steckt in der aktualisierten Richtlinie und welchen Mehrwert bring diese für Unternehmen?

Betrachtet man die NIS2 -Verordnung stark vereinfacht, so müssen folgende Themen im Unternehmen umgesetzt werden, um der Norm Genüge zu tun:

• Einführung eines ISMS (z. B. ISO 27001)

• Ein Prozess zur Meldung bei Vorfällen an das BSI und ggf. Behörden, Lieferanten und Kunden

• Einführung eines BCM-Systems

• Umfassendes Risikomanagement

• Lieferketten- und Drittparteienrisikomanagement

• Cybersicherheit und Awareness-Schulungen

BCM als Schlüssel für den Schutz von Prozessen

Ein wichtiger Punkt dieser groben Aufstellung ist das BCM. Es ist mit der ISO 27001:2022 in die Norm eingezogen. Aber auch viele andere Gesetze und Normen fordern die Absicherung der Geschäftsprozesse in Bedrohungslagen ein. So finden wir sowohl im GmbH-Gesetz und im Aktiengesetz als auch in den Anforderungen der Cyberversicherungen die Anforderung, die Geschäftsprozesse mit Notfallmaßnahmen abzusichern.

Und hier entsteht der eigentliche Mehrwert der NIS2-Verordnung: Sie zwingt Unternehmen, sich mit ihren Risiken zu beschäftigen, diese zu bewerten und geeignete Abwehrmaßnahmen zu treffen. Sind diese nicht möglich (einen Cyberangriff kann man nicht zu 100 Prozent verhindern) sind Notfall- und Wiederherstellungspläne zu erstellen und regelmäßig zu verproben.  

Warum BCM Ihre Cyberresilienz stärkt

Betrachten wir noch einmal die täglichen Cyberangriffe und hier den häufig ersten „Schock“ welcher Unternehmen in der Regel bis zu zwei Monate außer Gefecht setzt: Bevor der Angreifer die Ransomware startet, welche die Unternehmenssysteme verschlüsselt, wird er das Microsoft Active Directory lahmlegen. Die Anwender werden einfach ausgesperrt. Allein die Folge dieses Vorgehens ist verheerend: Die Unternehmenskommunikation bricht vollständig zusammen. E-Mail, MS-Teams Chat, die digitale Telefonanlage, der Zugriff auf Unternehmensapplikationen … nichts funktioniert mehr. Auch die Mobiltelefone haben keinen Zugriff mehr auf das zentrale Adressbuch. Die Kommunikation erlischt von einem Moment auf den nächsten.  

Allein der psychologische Effekt, welchen der Hacker hier erreicht, ist bemerkenswert und erschreckend zugleich. Das Unternehmen verfällt in völlige Kommunikationsunfähigkeit. Im Rahmen des Aufbaus eines BCM ist deshalb das Thema Notfallkommunikation ein zentraler Baustein der Krisenbewältigung.  

Hier können Notfall-Kommunikationslisten, etwa mit privaten Mobilfunknummern (bitte die DSGVO beachten!), und Adressen einen unglaublich positiven Effekt erreichen. Natürlich gibt es auch professionellere Lösungen. Aber Achtung: Auch diese müssen in ruhigen Zeiten regelmäßig geübt werden.

Auch der Wiederaufbau der IT-Systeme, sofern die Backups nicht verschlüsselt sind, stellt viele IT-Verantwortliche vor Herausforderungen – ganz abgesehen davon, dass selbst die motiviertesten IT-Mitarbeiter nach 20 bis 30 Stunden permanenter Firmenrettung ausgebrannt sind.

Folgende Fragen sollten deshalb möglichst schon vor einem Angriff beantwortet sein:  

• Wie lange dauert es, bis ein Backup wieder eingespielt ist?  

• Welches System muss zuerst neu aufgebaut werden?  

• Woher kommen die Ressourcen (Personal und Infrastruktur)?  

• Woher weiß die IT, ob die Systeme oder Netzwerke frei von Schadcode sind?

All diese Themen müssen im Rahmen einer professionellen NIS2-Umsetzung besprochen und gelöst werden. Dabei ist schnell zu erkennen, dass ein ISMS allein nicht ausreichend ist. Auch der Reifegrad des IT-Servicemanagements muss analysiert werden.

Die Rolle von NIS2 für Ihre Cyberresilienz

NIS2 war notwendig, um Unternehmen stärker zu „motivieren“, die Cybersicherheit zur Chefsache zu machen. Es ist Hilfe zur Selbsthilfe und ein wichtiger Baustein für mehr Cyberresilienz.

Eine NIS2- Implementierung ist allerdings kein schnelles Projekt, sondern ein längerer Weg, der immer wieder hinterfragt und optimiert werden muss. Der bekannte Plan-Do-Checkt-Act Modus, welchen uns zum Beispiel die ISO 27001 lehrt, ist hierbei ein wertvolles Vorgehen.

Ist NIS2 nur für Unternehmen relevant, welche den Kriterien der Norm entsprechen? Die juristische Antwort mag ein Ja sein, doch Cyberresilienz, um die es im Kern geht, sollte für jeder Unternehmen ein zentrales Thema sein.  

Fazit: Cyberbedrohungen ernst nehmen und resilienter werden

Sie brauchen noch mehr Argumente dafür, das Thema Cyberresilienz ganz oben auf die Prioliste zu setzen? Sprechen Sie mit Unternehmern, welche Opfer von Cyberangriffen geworden sind, lassen Sie sich von den CyberCrime-Beratungsstellen der lokalen Polizeibehörden oder ihres LKA beraten. Sprechen Sie mit den Cybersecurity-Spezialisten Ihrer Branchenverbände und erfahren Sie dort, was die täglichen Bedrohungen und deren Folgen sind.  

Und eine kleine Empfehlung zum Schluss: Geben Sie kein Geld für unsinnige NIS2-Readyness-Checks aus, sondern beginnen sie, ihr Unternehmen cyberresilient zu machen.  

Falls dieser Artikel, welcher ohne KI und aus der täglichen Praxis heraus entstanden ist, Ihr Interesse geweckt hat und Sie Unterstützung durch Experten beim Aufbau von NIS2 & Co. wünschen, freue ich mich auf einen interessanten Austausch.