Cybersicherheit: Die Umsetzung der DSGVO wäre eine gute Grundlage für die NIS-2 Richtlinie gewesen

1000 Terabytes sollen sich in vier Sekunden übertragen lassen. Solche „Hyper­konnekti­vität“ ist die Voraussetzung für „sogenannte Micropayments“ mit denen „eine Maschine eine andere Maschine bezahlen kann“. Mit der Digitalisierung vergrößern sich allerdings nicht allein die Möglichkeiten der Verantwortlichen, sondern auch die Angriffsoberfläche für Kriminelle. Ab Oktober 2024 ist die NIS-2 einzuhalten. Was bedeutet das in der Praxis?

von Joachim Jakobs, Journalist

Ein Dienstleister des Geldautomatenanbieters Diebold Nixdorf, soll am 23. Mai 2023 einem Cyberangriff zum Opfer gefallen sein. Das „DSGVO-Portal“ berichtet unter Verweis auf Heise Online: „Laut Äußerungen des Unternehmens wurden auch statistische Daten gestohlen. Zu den Daten zählen konkret ID-Nummern von Geldautomaten, Adressen von Bankfilialien, Mengen von abgehobenem Geld der Bankautomaten bzw. Informationen über Bargeldlieferungen“. Medienberichten zufolge soll Diebold in 100 Ländern weltweit „mehr als zwei Millionen Bankautomaten betreiben“. Wer weiß, wo sich ein bestimmter Geldautomat befindet, hat Vorteile – schon vor Jahren warnte Elida Policastro vom Sicherheitsspezialisten Auriga: „Sogenannte ‚Jackpotting‘-Angriffe auf Geldautomaten, bei denen physische und softwarebasierte Schwachstellen ausgenutzt werden, um den Geldautomaten zur Bargeldausgabe zu überlisten, sind beliebt, da sie eine sofortige Belohnung bieten.“

Sowas scheint der Neobank Revolut passiert zu sein – Mitte Juli 2023 wurde gemeldet, es habe „Diskrepanzen zwischen dem US-amerikanischen und dem europäischen System von Revolut“ gegeben. Diese sollen dadurch ausgenutzt worden sein, dass Revolut teure Einkäufe erstattet habe, deren Bezahlung zuvor abgelehnt wurde. Das Geld hätten die Betrüger dann an den Geldautomaten abgezogen. Die genauen technischen Details sollen dem Bericht zufolge noch unklar sein. Im Ergebnis betrage Revolut‘s Schaden jedenfalls 20 Millionen Dollar.

Umgekehrt wäre es denkbar, dass die Kunden per Überlastungsangriff daran gehindert werden, Bargeld am Bankautomaten zu erhalten. Zu allem Überfluss soll es durch das Ausnutzen menschlicher und/oder technischer Lücken möglich sein, „Malware in der Software von Geldautomaten zu installieren“. Wenn mal ein Bankautomat nicht tut, was er soll, ist das blöd. Wenn zwei Millionen Bankautomaten auf einmal streiken würden, hätte die Welt ein Problem – es soll nämlich insgesamt nur vier Millionen geben.

„Die Cyber­angriffe wirken sich auf das Finanzsystem eines Landes aus, wodurch Banken, Unternehmen und Verbraucher geschädigt werden. Die Cyber­angriffe wirken sich auch auf die Aktienkurse aus“, warnt eine Wissenschaftlerin der Universität Plymouth. Im vergangenen Monat beklagten die Unter­nehmens­berater und Unter­­nehmens­­berater­innen von KPMG in einer „Studie zur digitalen Sicherheit und Cyber-Resilienz in der Finanzbranche“:

Festzustellen ist ein großer Nachholbedarf beim Identitätsschutz (IAM/PAM) und beim zentralisierten Security-Monitoring.“

Das könnte für Kriminelle, Terroristen, Geheimdienstler, Militärs oder Halbstarke ein Ansporn sein, uns die Versorgung mit Bargeld kappen.

Richtlinie zur Netzwerk- und Informationssicherheit NIS

Dagegen wehrt sich Europa mit der „Richtlinie zur Netzwerk- und Informationssicherheit NIS“. Das Regelwerk existiert in der  EU seit 2016 und schreibt – so das Bundesamt für Sicherheit in der Informationstechnik (BSI) – „KRITIS-Betreibern vor, IT-Sicherheit nach dem ‚Stand der Technik‘ umzusetzen und erhebliche IT-Sicherheitsvorfälle an das BSI zu melden“. Es werde – so das BSI unter Verweis aufs Innenministerium – erwartet, dass „500 und 1.500 Unternehmen von der Neuregelung betroffen sind“. Den Stand der Technik definiert das Justizministerium so:

Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen oder vergleichbare Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein.“

Ab Oktober 2024 ist nun die NIS-2 einzuhalten. Verpflichtet werden sollen zum Einen „wesentliche Einrichtungen“ in 18 Sektoren (wie Beispielsweise „Energie“, „Bankwesen“, „Finanzmärkte“ oder „Trinkwasser“); nach dem Willen der Gesetzgeberin zählen dazu Unternehmen „die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.“ Kleinere Institutionen gehören zu den „wichtigen Einrichtungen“, wenn sie Geschäfte im „Bankwesen“ betreiben – und etwa „Kredite […] gewähren“.

Manuel Poncza, Rechtsanwalt und Zertifizierter IT-Compliance Manager schreibt an IT Finanzmagazin:

Damit ein Kreditinstitut also der NIS 2-Richtlinie unterfällt, kommt es, anders als noch aktuell, nicht darauf an, wie viele Transaktionen an Geldautomaten durchgeführt werden. Ausschlaggebend ist einzig der Umstand, dass das Kreditinstitut in den Sektor ‚Bankwesen‘ fällt. Da dies bei nahezu jedem Kreditinstitut der Fall ist, unterfallen letztlich auch alle Kreditinstitute der NIS 2-Richtlinie. Der Umfang der Pflichten richtet sich dann in einem zweiten Schritt danach, ob das Kreditinstitut als wesentliche oder wichtige Einrichtung einzustufen ist“. Poncza schätzt, dass „dass rund ein Drittel der 359 Institute den Schwellenwert von >250 Mitarbeiter nicht überschreiten und somit ‚nur‘ als wichtige Einrichtung gelten. Die anderen Institute sind abhängig von ihrem Umsatz entsprechend wesentliche oder wichtige Einrichtungen.“

Was in der Konsequenz bedeutet, dass der Anwendungsbereich insgesamt auf „mehr als 150.000 Unternehmen“ ausgedehnt worden sein soll.

Für wesentliche Einrichtungen gelten nach Artikel 32, Absatz 1 der Richtlinie „Aufsichts- und Durchsetzungsmaßnahmen“: „Die Mitgliedstaaten stellen sicher, dass die Aufsichts- bzw. Durchsetzungsmaßnahmen, die wesentlichen Einrichtungen in Bezug auf die in dieser Richtlinie festgelegten Verpflichtungen auferlegt werden, unter Berücksichtigung der Umstände des Einzelfalls wirksam, verhältnismäßig und abschreckend sind.“ Absatz 2 hält die Messer bereit: „Vor-Ort-Kontrollen und externe Aufsichtsmaßnahmen“, „Stichprobenkontrollen“, „regelmäßige und gezielte Sicherheitsprüfungen“, „Sicherheitsscans“.

Gegen die wichtigen Einrichtungen sollen wirksame, verhältnismäßige und abschreckende Aufsichts- und Durchsetzungsmaßnahmen nach Artikel 33 getroffen werden, wenn „Nachweise, Hinweise oder Informationen vorgelegt (werden), wonach eine wichtige Einrichtung mutmaßlich dieser Richtlinie […] nicht nachkommt“.

Wichtig sind insbesondere die „Risikomanagementmaßnahmen im Bereich der Cybersicherheit“ gemäß Artikel 21 der Richtlinie – die Gesetzgeberin verpflichtet die Mitgliedsstaaten in Absatz 1, dafür zu sorgen,  „dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme […] zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste […] zu verhindern oder möglichst gering zu halten.“

Die Maßnahmen müssten, so heißt es weiter „unter Berücksichtigung des Stands der Technik […] ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist“.

Zentral dabei ist Artikel 20 – in Absatz 1 heißt es: „Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung von Artikel 21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße gegen diesen Artikel durch die betreffenden Einrichtungen verantwortlich gemacht werden können.“

Und in Absatz 2: „Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.“

Ein Sicherheitsberater hofft:

Dies wird zu einer Qualitätssteigerung über die Jahre führen, da letztendlich das gesamte Know-how steigen wird.“

Andere sind weniger optimistisch – Sicherheitsexperte Timo Kob befürchtete gegenüber dem Handelsblatt vor einem halben Jahr:

21 Monate reichen für die Umsetzung von NIS 2 nicht, das Scheitern ist vorprogrammiert“.

Knapp könnte es vor allem für die werden, die quasi bei Null anfangen: “Das Wort ‘password’ war unter den Angestellten des Finanzsektors die Nummer eins und ‘123456’ die Nummer zwei”, berichtete „Das Investment“ unter Berufung auf eine Studie der Firma Nord Pass zu Monatsbeginn. Offenbar sind sich die Angestellten des Finanzsektors nicht bewusst, dass sich Passwörter „jeglicher Art“ (also einschließlich Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen) mit sieben Zeichen innerhalb von sechs Minuten knacken lassen. Die anscheinend besonders beliebten Passwörter im Finanzwesen sollen sich mit Hilfe von künstlicher Intelligenz in wenigen Sekunden herausbringen lassen – behauptet die Firma Home Security Heroes.

Authentifizierung, Verschlüsselung und Zugriffsmanagement

„Starke Passwörter sind die Grundlage für die Internetsicherheit und müssen ernst genommen werden.“ mahnt Thomas Richards von der  Synopsys Software Integrity Group. Andere verlangen noch mehr: „Verwenden Sie die Zwei-Faktor-Authentifizierung, um die DSGVO einzuhalten.“ Die starke Authentifizierung ist Alles – John Evans von IndustrialCyber erklärt: „Die Prozesse und Verfahren können nur so sicher sein wie die von ihnen verwendeten Authentifizierungsprotokolle. Daher ist es wichtig, Systeme mit starken Authentifizierungsmethoden auszuwählen.“ Ist der Mensch nämlich erst einmal authentifiziert, gehts im nächsten Schritt um die Frage, ob und wenn ja auf welche der (verschlüsselten) Daten und Dienste er zugreifen und diese ändern, weiterleiten oder löschen darf. Und dass er diese Rechte nur werktags und nicht in der Urlaubszeit, bei Krankheit oder erhält, wenn er auf Dienstreise ist.

Daher ist das „Identitäts- und Zugangsmanagement“ nach Ansicht der Firma Opentext „für die Einhaltung der DSGVO von zentraler Bedeutung“. Wenn es jedoch schon an den Passwörtern hapert, ist es plausibel, dass es  Nachholbedarf beim Identitätsschutz und beim zentralisierten „Security-Monitoring“ gibt.

Die Begriffe Authentifizierung, Verschlüsselung und Zugriffsmanagement tauchen bei der NIS-2 ebenfalls auf – für Kristof Riecke, Field CISO DACH bei Rackspace Technology gehören zu den Maßnahmen, die die Gesetzgeberin vorsieht „Sicherheitsmechanismen wie beispielsweise Mitarbeiterschulungen, Verschlüsselung, Multi-Faktor Authentifizierung, sichere Kommunikationswege und-mittel und Zugriffskontrollen“.

Wer also mit Hilfe von Verschlüsselungen, MFA und Berechtigungsmanagement  dafür sorgt, dass seine Mitarbeiterinnen nur die Daten in der Weise verarbeiten können, wie es der jeweilige Arbeitsvertrag vorsieht, tut sich leichter bei der Erfüllung einer ganzen Batterie von Pflichten, die Artikel 21 der Richtlinie außerdem fordert: Absatz 2 dieser Vorschrift verlangt nach „einem gefahrenübergreifenden Ansatz“ auf dem die Maßnahmen in Absatz 1 zu beruhen hätten, „der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen.“

Im Einzelnen wird verlangt: „

a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;

b) Bewältigung von Sicherheitsvorfällen;

c) Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;

d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;

e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;

f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;

g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;

[…] i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;

j) […] gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.“

Um ihrer Rechenschaftspflicht bezüglich der Sicherheit der Lieferkette genügen zu können, wäre es sicherlich sinnvoll, wenn die Verantwortlichen der Kreditinstitute Geräteanbieterinnen wie Diebold Nixdorf Daumenschrauben anlegen würden – dazu könnte eine “Software Bill of Materials” (SBOM) gefordert werden – der Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) teilt mit:

Momentan ist das Führen einer SBOM für Hersteller nicht gesetzlich verpflichtend. Im Entwurf des Cyber Resilience Act (CRA) wird die Erstellung einer SBOM von allen Herstellern elektronischer Produkte in einem häufig verwendeten maschinenlesbaren Format zur Identifikation und Dokumentation von Schwachstellen beim Hersteller gefordert.

Eine SBOM im engeren Sinne ist ein maschinenlesbares Dokument und vergleichbar mit einer elektronischen „Stückliste“. Sie inventarisiert die Codebasis und enthält somit Informationen zu allen verwendeten Komponenten einer Software. Diese Informationen können in unterschiedlicher Breite und Tiefe dargestellt sein und reichen von einer groben Struktur bis zu einer feingranularen Aufschlüsselung aller Versionen und Lizenzen von Produkten und Software-Komponenten.“

Das Fachmagazin Darkreading unterstreicht, eine SBOM sei ein wichtiges Werkzeug,  „um die Auswirkungen von Software -Sicherheitsfehlern zu verfolgen, das Flicken der Software zu verwalten und die Integrität der Software -Lieferkette insgesamt zu schützen.“

Bemerkenswert ist, dass diese Maßnahmen lediglich eine „Mindestharmonisierung“ dessen darstellen, was die Gesetzgeberinnen in Europa unter „Sicherheit“ verstehen. Nach oben ist der Kreativität der Mitgliedsstaaten keine Grenze gesetzt; in Artikel 5 heißt es:

„Diese Richtlinie hindert die Mitgliedstaaten nicht daran, Bestimmungen zu erlassen oder beizubehalten, die ein höheres Cybersicherheitsniveau gewährleisten.“

Die Bedeutung der Maßnahmen unterstreicht der Entwurf des Deutschen „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG“.  Dieses beschäftigt sich in Kapitel 2 mit „Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten“ – die Datenschutz-Notizen stellen dazu fest:

„Dabei werden als Schutzziele der Informationssicherheit Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit festgelegt. Bei der Bewertung der Angemessenheit der umgesetzten Maßnahmen sind ausdrücklich nicht nur wirtschaftliche, sondern insbesondere gesellschaftliche Auswirkungen zu berücksichtigen.

Bei der Umsetzung verhältnismäßiger technischer und organisatorischer Maßnahmen ist eine Liste von zehn ausdrücklichen Maßnahmen festgelegt, die zumindest berücksichtigt sein müssen. Dazu gehören ausdrücklich auch Schulungen und Multi-Faktor-Authentifizierung.“

Digital Operational Resilience Act und Cyber Resilience Act (DORA)

Speziell für Finanz- und Versicherungsunternehmen gibts dann auch noch den „Digital Operational Resilience Act und Cyber Resilience Act“ (DORA).

Manuel Poncza weist darauf hin: „Sofern die Regelungen der NIS 2-Richtlinie also nicht durch Spezialregelungen der DORA-Verordnung verdrängt werden, bleiben diese vollständig gültig für Finanzunternehmen, die sich im Anwendungsbereich der NIS 2-Richtlinie befinden.“

Offenbar befürchtet die Gesetzgeberin, dass sich die Eine oder der Andere vor den NIS-2-Pflichten drücken will: „Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […] eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht“. Bußgelder sind in Höhe von bis zu 20 Millionen Euro vorgesehen oder können auch vom weltweiten Jahresumsatz abhängen.

Da ist dem Vorstand ein prall gefüllter Geldbeutel zu wünschen, damit er die Schadenersatzforderung seiner Arbeitgeberin bedienen kann – die Wessing & Partner Rechtsanwälte mbB weisen darauf hin: „Die geplante Haftung des Vorstands für die Cybersicherheit stellt allerdings einen Quantensprung für die Verantwortung der Leitungsebene dar. Die fehlende Möglichkeit der Delegation zeigt, dass der Gesetzgeber den Eindruck hat, dass die IT Sicherheit bislang von Unternehmen vernachlässigt worden ist. Mit diesen Regelungen dürfte zudem eine strafrechtliche Garantenhaftung mehr in den Fokus geraten. Unternehmen sind nicht zuletzt auf diesem Grund gut beraten, sich früh mit dem neuen Setup vertraut zu machen.“

DSGVO – es wäre gut gewesen …

Die vollständige Umsetzung der DSGVO wäre dafür eine gute Voraussetzung gewesen – Statista schreibt jedoch: „Im Jahr 2022 gaben 22 Prozent der befragten Unternehmen an, die Umsetzung der DSGVO vollständig abgeschlossen zu haben. 40 Prozent der befragten Unternehmen hatten die DSGVO größtenteils umgesetzt.“ Die übrigen 38 Prozent könnten mit der NIS-2 ins Schleudern kommen.Joachim Jakobs, Journalist und Experte für Cybersicherheit