Viele Unternehmensverantwortliche haben zwar von der NIS-2-Richtlinie gehört, bislang allerdings nur wenig unternommen, um ihre IT- und Informationssicherheitsstrategien daran anzupassen. Bei der Umsetzung sind Security-Awareness-Trainings für Mitarbeiter ein zentraler Baustein.
Unternehmen müssen die NIS-2-Richtlinie der EU bis Oktober 2024 umsetzen. Die wesentlichen Anforderungen der Richtlinie können sie im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) auf Basis der Normenreihe ISO/IEC 27000 erfüllen. Im Automotive-Umfeld gibt es dafür den auf ISO/IEC 27001 aufgebauten TISAX-Standard. Bei der Umsetzung von NIS-2 sind Security-Awareness-Trainings für Mitarbeiter ein zentraler Baustein. Kenntnisse und Handlungssicherheit sowie Stärkung der Mitarbeiterverantwortung sind wichtig – hierfür braucht es eine Reihe von Maßnahmen.
Security-Awareness innerhalb eines ISMS
Wichtig ist, dass die NIS-2 meist nicht auf ein Vakuum trifft. So gibt es in vielen Unternehmen bereits verschiedene Richtlinien, Prozesse und Mechanismen zu anderen Themen (z. B. Betriebsunterbrechungspläne, Feuerschutz, Unfallschutz, Umweltmanagement, Energiemanagement, Qualitätsmanagement) oder auch Richtlinien zur IT-Sicherheit, die in der Praxis funktionieren. Die Entwicklung und Pflege dieses Compliance-Systems ist oft über die Jahre organisch in allen Unternehmensbereichen gewachsen und wurde auch weiterentwickelt. Allerdings genügen diese Regeln und Richtlinien meistens nicht mehr den Zielen der Informationssicherheit (Vertraulichkeit, Verfügbarkeit, Integrität) oder sie sind nicht umfassend genug im Sinne eines ISMS. In der Regel müssen mittelständische Unternehmen zunächst einen bestimmten Mindeststandard erreichen. Zum Beispiel in Bezug auf die Passwortverwaltung, den Zugriffsschutz oder die Absicherung des Standorts. Die Einführung organisatorischer und technischer Maßnahmen, die ein wesentlicher Bestandteil eines Informationssicherheitsmanagementsystems (ISMS) sind, erfordert in vielen Fällen aufgrund des Fachkräftemangels externe Berater, um den Aufbau zu unterstützen. Im Gegensatz zu oft vernachlässigten Security-Awareness-Schulungen sind die reinen IT-Maßnahmen allerdings meistens gut definiert.
Security-Awareness ist bei vielen Mittelständlern so organisiert, dass es aus der IT heraus betrieben wird. Die Trainer beziehungsweise Programmmanager sind also IT-Administratoren, die ihre Anwender nur informieren, wenn sie es müssen. Die Kommunikation ist in aller Regel nicht ihre Stärke. Der gegenwärtige Zustand zeigt, dass bei zu wenigen Firmen regelmäßige Schulungen für die Security-Awareness durchgeführt werden. Im Gegenteil, oft wird zu sparsam mit Zeit und Geld umgegangen und Schulungen finden nur selten statt. Mitarbeiter erreichen gelegentlich ein Wissenshoch, aber vergessen es schnell, bis zur nächsten Schulung im nächsten Jahr. Die Frage stellt sich, wie effektiv dies tatsächlich ist.
Die Belegschaft stellt sich dabei oft die Frage, weshalb diese Maßnahmen nötig sind und welche Folgen sie haben. Das birgt zwei Risiken bei der Umsetzung der verbleibenden Maßnahmen. Erstens werden sie leicht vergessen. Zweitens fühlen sich Mitarbeiter oft unsicher und machen sich Sorgen Fehler zu begehen, besonders in Unternehmen mit einer problematischen Fehlerkultur. Hier ist offene und transparente Kommunikation dringend notwendig.
Dieses „einmalige“ Vorgehen widerspricht den Erfahrungen von Organisationen mit erfolgreichen Security-Awareness-Trainings. Diese werden dort deutlich häufiger durchgeführt. Teils monatlich mit wechselnden Inhalten. Die Themen sind zielgruppenspezifisch und werden von Anfang bis Ende gut und transparent dargelegt. Im Ergebnis bleiben die Mitarbeiter dort auf einem angemessenen Wissensniveau und sind handlungsfähiger. Unternehmen erreichen damit ein höheres und beständigeres Sicherheitsniveau.
DIN SPEC 27076 und ISO/IEC 27001 zur NIS-2
Der ISMS-Ansatz nach ISO/IEC 27001 gilt zwar als der umfassendste und international anerkannte Bezugsstandard für NIS-2 auf EU-Ebene, aber er stellt viele KMUs vor Herausforderungen. Die Security-Awareness kann durch individuelle Maßnahmen gestärkt werden. Um den Reifegrad zu bestimmen, eignet sich die DIN SPEC 27076, ein kompakter Cyberrisiko Check speziell für kleine und mittelständische Unternehmen. Im Vergleich zur ISO/IEC 27001 oder TISAX hat er weniger Anforderungen, berücksichtigt aber auch den menschlichen Faktor in angemessener Form. Darin werden 27 Anforderungen aus sechs Themenbereichen überprüft. Er kann auf wichtige Lücken hinweisen, obwohl er nicht das gesamte ISMS abdeckt. In der ISO/IEC 27001 gibt es beispielsweise 93 Anforderungen zu verschiedenen Themen, darunter 8, die die Mitarbeiter betreffen. Sowohl diese Norm als auch TISAX legen ausdrücklich Wert auf Awareness-Maßnahmen.
In Bezug auf NIS-2 wird diskutiert, dass die Geschäftsführung persönlich in die Pflicht genommen wird und Haftungsrisiken für ihr Privatvermögen trägt, wenn sie keine Sicherheitsmaßnahmen ergreift. Dies könnte das Thema deutlich vorantreiben, da die Unterstützung der Security-Awareness bisher nicht immer von der Unternehmensleitung kam. Das wird sich nun ändern müssen. Ähnlich wie bei der Unternehmenskultur kann ein Security-Awareness-Trainingsprogramm nur erfolgreich sein, wenn alle mitziehen und die Geschäftsleitung als Vorbild agiert. Die Führung zeigt sich durch die Übernahme von Verantwortung. In diese Richtung entwickelt sich die Diskussion über die Haftung der Geschäftsführung im Zusammenhang mit Sicherheitsvorfällen infolge der NIS-2-Umsetzung.
Die Frage der Haftung in Bezug auf Security-Awareness ist nicht neu, insbesondere wenn es um disziplinarische Maßnahmen für Mitarbeiter bei Fehlverhalten geht, wie zum Beispiel bei einem falschen „Klick“, der zu einer Phishing-Attacke führt. Hier war der Betriebsrat oder die Personal- und Rechtsabteilung bislang oft gegen Disziplinierungsmaßnahmen, es sei denn, das Fehlverhalten schädigt nachweislich das Unternehmen. Beispielsweise, wenn ein Mitarbeiter absichtlich auf fingierte Phishing-E-Mails klickt und bewusst gegen Richtlinien verstößt, kann disziplinarisch reagiert werden. Das geht jedoch nur nach vorheriger Warnung und gegebenenfalls zusätzlichen Schulungsmaßnahmen. Ein gestuftes Vorgehen, das Mitarbeiter fair behandelt und auf Risiken hinweist, sowie Offenheit und transparente Kommunikation sind entscheidend, um spätere Entscheidungen zu rechtfertigen. Hier ist die Geschäftsführung gefordert, denn bei einer echten Phishing-E-Mail und dem Download von Schadsoftware auf einen PC könnte das gesamte Unternehmen bei einer Ransomware-Attacke auf dem Spiel stehen.
Auf der anderen Seite ist es genauso wichtig, Mitarbeiter zu motivieren. Angestellte, die geschult wurden, Phishing-E-Mails zu erkennen und zu wissen, dass sie keine Dateien aus unbekannten und nicht überprüften Internetquellen herunterladen sollten, können die IT- und Informationssicherheit erheblich stärken. Eine innere Motivation zur Teilnahme und zur konsequenten Anwendung von Sicherheitsmaßnahmen entsteht beispielsweise dann, wenn die Mitarbeiter erkennen, dass sie das erworbene Wissen auch in ihrem privaten Umfeld nutzen können. Damit schützen sie nicht nur ihr Unternehmen, sondern auch sich selbst, ihre Familien und Freunde.
Fazit
Die NIS-2 wird die Informationssicherheit umfassend verbessern, eine verstärkte Einbindung der Geschäftsleitung in Fragen der Informations- und IT-Sicherheit fördern und auch die Bedeutung der Security-Awareness unterstreichen. Sie wird die Wichtigkeit von Schulungen betonen und damit den menschlichen Faktor als Ergänzung zu technischen Sicherheitsmaßnahmen stärken. Eine regelmäßige Durchführung von Schulungen mit abwechslungsreichen Inhalten, um das Vergessen zu verhindern, wird von entscheidender Bedeutung sein. Es ist jedoch ebenso wichtig, die richtigen Partner zu finden, um die Vorbereitung auf die NIS-2 effektiv zu gestalten, insbesondere, damit die Geschäftsführung Haftungsfragen mit einem guten Gewissen beantworten kann.
Dr. Martin J. Krämer ist Security Awareness Advocate bei KnowBe4. Klaus Kilvinger ist Geschäftsführer der Opexa Advisory GmbH.
