Neue EU-Richtlinie NIS2: Cyber-Sicherheit muss zur Chefsache werden

Für die Betreiber kritischer Infrastruktur gelten jetzt strengere Regeln beim Cyber-Schutz. Grund ist die neue EU-Richtlinie NIS2. Bis Herbst 2024 haben Finanzunternehmen Zeit, sie umzusetzen – sonst drohen empfindliche Strafen. Auch für das Management, das NIS2 stärker in die Verantwortung nimmt. Cyber-Sicherheit muss deshalb zur Chefsache werden – und darf Geld kosten, meint Christian Nern. Er fordert ein Umdenken in der Branche. Der Partner und Head of Security im Bereich Financial Services von KPMG erklärt, was zu tun ist.

von Christian Nern, KPMG 

Wer in den vergangenen Jahren sein Konto gewechselt hat, den dürfte die Meldung Anfang Juli erschreckt haben: Ein Datenleck bei Marojel Deutschland, einem Dienstleister für Kontowechsel, hat dafür gesorgt, dass Vornamen, Namen und Kontonummern tausender Kunden von Banken und Versicherern in die Hände von Hackern gelangt sein könnten.

Damit stehen diese Institute und Kontoinhaber nicht allein da. Die Gefahr, Opfer einer Cyber-Attacke zu werden, ist deutlich gestiegen. Das zeigt die aktuelle Studie von KPMG und Lünendonk & Hossenfelder. So haben 84 Prozent der befragten Unternehmen eine erhöhte Gefahrenlage beobachtet. Das größte Risiko geht demnach von DDoS-Attacken (71 Prozent) aus. Phishing (64 Prozent) ist die zweitgrößte Gefahr.

Eine Richtlinie, drei Handlungsfelder

Die Folgen sind enorm. Durch Datendiebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jedes Jahr ein Schaden von mehr als 200 Milliarden Euro, wie der Digitalverband Bitkom ermittelt hat. Fast alle Unternehmen wünschen sich daher eine starke EU-weite Zusammenarbeit im Bemühen um mehr Cybersicherheit. Diesem Wunsch kommen die europäischen Ordnungshüter nach. Innerhalb von nur wenigen Wochen hat die Europäische Union Anfang des Jahres zwei Richtlinien für mehr Cyber-Sicherheit insbesondere bei Finanzdienstleistern verabschiedet: Den Digital Operational Resilienz Act (DORA) und die Network and Information Security 2 (NIS2).

DORA ist thematisch breiter aufgestellt, NIS2 bildet eher eine Schnittmenge dessen und dient als konkreter Leitfaden zur Operationalisierung der Cyber-Security. Während sich DORA an rund 22.000 Finanzdienstleister richtet, betrifft NIS2 Betreiber kritischer Infrastruktur – also neben Banken auch etliche andere Unternehmen.”

Klar ist schon jetzt: Auf sie wartet viel Arbeit. Während die DORA-Umsetzung bis Anfang 2025 Zeit hat, müssen die Vorgaben der NIS2 bereits im Herbst kommenden Jahres erfüllt sein. Deshalb lohnt zunächst ein tieferer Blick in diese Richtlinie: Was verlangt sie von Finanzunternehmen – und wie können sie sich vorbereiten?

Bei der NIS2, seit Beginn dieses Jahres in Kraft, handelt es sich um die Fortschreibung der 2016 veröffentlichten NIS-Richtlinie. Anders als ihre Vorgängerin definiert sie jedoch präziser, welche Unternehmen zur kritischen Infrastruktur (KRTIS) gehören. Demnach umfasst die neue Definition europaweit schätzungsweise gut 100.000 zusätzliche Institutionen. Bankwesen und Finanzmärkte sind Teil der relevantesten Gruppe. Neben Banken und Versicherern zählen dazu beispielsweise Asset Manager und Payment-Dienstleister. Für sie wurden die Vorschriften in drei wesentlichen Punkten erweitert: Beim Risikomanagement, der Zusammenarbeit und beim Thema Haftung. Und so viel vorweg: In allen diesen Bereichen gelten strengere Regeln.

Cyber-Sicherheit entlang der gesamten Lieferkette

Die Vorgaben beim Risikomanagement sind weit gefasst. Sie reichen von einer Risikoanalyse über den Umgang mit Zwischenfällen bis hin zum Krisenmanagement. Auch das Risiko etwa von Dienstleistern muss überprüft werden. Damit zielt NIS2 darauf ab, dass Finanzunternehmen ihre gesamte Lieferkette cyber-sicher aufstellen. Um diese Vorgaben zu erfüllen, hilft beispielsweise ein Zero-Trust-Modell. Einfach gesagt, bedeutet das: Prüfe alles, vertraue niemandem. Ein solches Modell, im gesamten Unternehmen implementiert, bietet bereits ein beachtliches Schutzniveau für alle IT-Komponenten, Daten und Geräte.

Darüber hinaus lassen sich wirksame Maßnahmen in Sachen Risikomanagement in drei Ebenen einteilen: technische Prävention sowie detektive und korrektive Maßnahmen. In Sachen Prävention bietet sich zum Beispiel an, die IT vom On-Premise-Ansatz hin zur Cloud zu verlagern. Sie ist nicht nur ein sicherer Ort für Unternehmensdaten, sondern bietet auch Möglichkeiten, Geschäft und Kundenbeziehungen zu skalieren. Des Weiteren schreibt NIS2 sogenannte Penetrationstests vor. Die dienen dazu, kritische Systeme immer wieder auf die Probe zu stellen. Kommt es dennoch zu einem Angriff, sind Unternehmen gut beraten, regelmäßig Backups der Systeme durch- und Recovery-Prozesse einzuführen, damit keine Daten verlorengehen.

Bei detektiven Maßnahmen handelt es sich um systematische Abläufe, die dabei helfen, Schwachstellen offenzulegen und Angriffe zu erkennen.

Zwei Beispiele dafür sind Lösungen wie Extended oder Proaktive Detection & Response (XDR oder PDR), mit der anhand von Daten etwaige Bedrohungslagen erkannt werden können, sowie Advanced Monitoring & Resolution (AMR), die Systeme in Echtzeit überwachen.”

Korrektive Maßnahmen sind dafür da, die Resilienz der gesamten Organisation kontinuierlich zu verbessern. Dabei hilft etwa das Plan-Do-Check-Act (PDCA)-Schema. Hier fließen Erfahrungen vergangener Attacken sowie Aspekte aus Prävention und Detektion ein. Das ist gerade deshalb wichtig, weil sich die Angriffe dynamisch verändern. Cyber-Abwehr kann es sich nicht erlauben, immer wieder bei Null anzufangen.

Der Vorstand haftet für Verstöße

Neben dem Risikomanagement greift die NIS2 auch in die Zusammenarbeit ein. So ist der Aufbau nationaler Computer Security Incident Response Teams (CSIRT) eine Vorgabe. CSIRTs einzelner EU-Mitgliedsstaaten sollen dabei helfen, groß angelegte Cyber-Angriffe zu bewältigen. Darüber hinaus muss jedes Land eine Strategie für aktive Cyber-Reaktionen vorlegen. Das betrifft beispielsweise auch das Meldewesen. Es reicht für Unternehmen nicht mehr aus, Angriffe nur zu melden. Sie müssen verhindert werden. Wer diese neuen Vorgaben missachtet, muss mit hohen Strafen rechnen. Es drohen Bußgelder in Höhe von zwei Prozent des Jahresumsatzes oder maximal zehn Millionen Euro. Auf der anderen Seite werden die Befugnisse der Aufsichtsbehörden ausgebaut. Und auch in Sachen Haftung ist NIS2 äußerst streng: Die Unternehmensführung trägt die Verantwortung und ist haftbar.

Um die Auflagen zu erfüllen, müssen Finanzunternehmen umdenken. Zum einen strukturell, zum anderen strategisch. Cyber-Sicherheit muss zur Chefsache werden – und das muss sich in der Organisation bemerkbar machen. Der Vorstand haftet für Verstöße, also muss er sich auch selbst darum kümmern, dass alle Vorgaben eingehalten werden. Laut Lünendonk-Studie passiert das aber gerade einmal in 14 Prozent der Fälle. Stattdessen wird das unangenehme Thema meist in die IT-Abteilung abgeschoben und nicht über die gesamte Organisation betrachtet. Und das, obwohl nahezu alle Bereiche mit digitaler Technologie arbeiten – folglich Einfallstore darstellen für Cyber-Kriminelle. Dabei gilt:

Je mehr Schnittstellen, desto mehr Chancen bieten sich Hackern. Das erhöht das Risiko, Opfer einer Attacke zu werden, statt es zu reduzieren.”

Auf strategischer Ebene haben Banken und Finanzdienstleister das Thema Cyber-Sicherheit immer sehr stark aus der regulatorischen Perspektive betrachtet. Immerhin ist die Finanzindustrie hierzulande einer der am stärksten regulierten Wirtschaftszweige. Beispielsweise durch die Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie jene für Versicherungen (VAIT) oder das IT-Sicherheitsgesetz. Was die Unternehmen dabei aber häufiger außer Acht lassen, ist die Technologie. Dabei ist hier mittlerweile viel mehr möglich, als gesetzlich gefordert wird. Das sollten die Unternehmen nutzen und nachbessern – und zwar so, dass die Lösung technisch perfekt ist und nicht einfach nur regulatorische Ansprüche erfüllt. Das setzt Investitionen voraus. Aber lieber Geld in gute IT-Sicherheitstechnologie investieren, als Kunden entschädigen zu müssen.

Das dürften sich auch die vom Hacker-Angriff Anfang Juli betroffenen Banken gedacht haben. Bis zu 13 Monate können unautorisierte Lastschriften zurückgegeben werden. Das Geld werde erstattet, sagte ein Sprecher. In diesem Fall greift NIS2 also zu spät.Christian Nern, KPMG