#5 NIS-2 macht IT-Wissen zur Chefpflicht. Was die Geschäftsleitung jetzt wissen muss

00:00:00: Guten Morgen Jens.

00:00:02: Deine heutige Mission Digitale Souveränität aktivieren.

00:00:07: Willkommen bei Rhetis Reset, dem Podcast für den digitalen Neustart.

00:00:12: Hier spricht Jens Blust, IT-Unternehmer, Digitalstrategie und der Mann, der den Knopf zum Netzwerk Reset drückt.

00:00:19: Digital Souverän statt digital abhängig.

00:00:22: Der erste Schritt beginnt heute.

00:00:26: Herzlich willkommen zur Redis Reset.

00:00:28: Ich bin Jessica Sander und hier ist der Mann, der in Unternehmen den Reset-Knopf drückt.

00:00:32: Jens Blust.

00:00:33: Hallo Jens, grüß dich.

00:00:34: Hallo

00:00:34: Jessica.

00:00:35: Heute sprechen wir über die

00:00:38: NISS-Zwei-Schulungspflicht

00:00:40: für die Geschäftsleitung.

00:00:41: Also kurz gesagt, Chefinnen und Chefs sollen sich so viel IT-Sicherheitswissen aneignen, dass sie Risiken verstehen, Entscheidungen treffen und Verantwortung wahrnehmen können.

00:00:51: Wir reden darüber, was ist wirklich vorgeschrieben, was ist Praxisnah und wie sie sind.

00:00:55: ist das eigentlich?

00:00:56: Aber wir starten natürlich wieder mit unserer provokanten Frage, Jens.

00:01:00: Also meine Frage, ohne IT-Wissen keine gute Führung, stimmt das?

00:01:04: Oder ist das nur ein bequemer Trainingsmarkt-Logen?

00:01:10: Wie immer ist die Antwort nicht ganz einfach, aber die Tendenz ist eindeutig.

00:01:15: Eine Geschäftsleitung von einem Unternehmen, das am Charakter tätig ist, zum Beispiel in der Chemie.

00:01:23: Wir reden ja über NIST-II und NIST-II hat ganz klar definierte Sektoren, das sind alles professionelle Bereiche, Chemie, Lebensmittelindustrie und so weiter.

00:01:32: Und da hat die Geschäftsleitung natürlich erstmal primär mit ihrem eigenen Markt auszukennen.

00:01:38: Der Markt ist doch das, was die Geschäftsleitung tatsächlich mit dem Unternehmen begleitet und bedient.

00:01:45: Ein Geschäftsführer von einem Chemieunternehmen, der muss sich in der Chemiebranche auskennen, primär.

00:01:49: Ein Geschäftsführer von einem Einzelhandelsgroßunternehmen, der muss sich mit Einzelhandel auseinandersetzen.

00:01:56: Dass die IT und die Risiken, die in der IT schlummern, relevant sind, das wissen wir alle.

00:02:03: Überall in den Medien kann man heutzutage nachlesen und nachhören, was alles passiert und dass tatsächlich jeden Tag irgendwo irgendwelche Angriffe sind.

00:02:11: Und jede Geschäftsleitung hat es in der Zwischenzeit Auf dem Radar.

00:02:16: Was wir jetzt erleben ist, mit dem NIST II, da komme ich gleich auch noch dazu, was das NIST II noch alles regelt, aber das NIST II verpflichtet jetzt einfach die Geschäftsführungen, oder die Geschäftsleitungen muss man ganz klar sagen, die Geschäftsleitungen der Unternehmen dazu, sich ein gewisses Wissen über IT-Sicherheit anzueignen.

00:02:36: Und ich sage, IT-Sicherheit ist Ein Thema, das im Tagesgeschäft der IT-Abteilung im Operations jeden Tag läuft.

00:02:48: Das ist kein Thema, wo eine Geschäftsleitung im Detail informiert sein muss, denn das Thema ist so groß und so komplex und es gibt so unglaublich viele Details und es wird jeden Tag anders.

00:03:03: Es verändert sich jeden Tag.

00:03:04: Die Angriffe werden anders, die Maßnahmen werden anders.

00:03:08: Darum kümmert sich eine IT-Abteilung, darum kümmert sich vielleicht eine IT-Sicherheitsabteilung.

00:03:13: Aber dass die Geschäftsleitung als Organ IT-Sicherheitsdetail-Wissen haben muss, das verneihe ich ganz klar.

00:03:22: Das heißt, ohne IT-Wissen keine gute Führung?

00:03:24: Stimmt nicht.

00:03:25: Nein, die Führung zunächst ist vollkommen losgelöst von IT-Wissen.

00:03:30: Es hilft, Hintergrundwissen zu haben, um es besser einordnen zu können, aber Das wissen wir doch auch.

00:03:36: Nicht jeder Geschäftsleiter, nicht jeder Geschäftsführer der Geschäftsleitung ist technisch versiert.

00:03:42: Und manchmal ist das einfach keine Kernfähigkeit.

00:03:49: Dann holt sich doch der gewissenhafte Geschäftsführer, holt sich doch das Fachwissen.

00:03:55: Erholt sich den CIO oder erholt sich den IT-Abteilungsleiter oder den IT-Sicherheitsleiter oder jemand, der eben dafür beauftragt ist oder einen Experten rein, eben um sein fehlendes Fachwissen auszugleichen.

00:04:10: Und derjenige ist doch der, der... die Details kennen muss, der die Abläufe kennen muss.

00:04:15: Ich bin ja hier angekommen und wir haben uns ja eine Stunde schon über dieses Thema unterhalten, bevor wir so begonnen haben.

00:04:20: Du brennst ja richtig dafür.

00:04:22: Sag mir nochmal, warum ist dir dieses Thema so wichtig?

00:04:25: Ganz einfach, NIST II.

00:04:28: Ich weiß gar nicht, wie viele meine Hörer, wir haben so viele verschiedene Hörer.

00:04:32: Ich weiß gar nicht, was die alles wissen, aber NIST II ist zunächst mal eine europäische... Verordnung, die dafür sorgen sollte, dass erstmal alle Mitgliedstaaten ein gewisses Grundniveau haben, dass in jedem Staat in Europa Ansprechstellen da sind, Verfahren da sind, Andockstellen da sind, dass man überhaupt europaweit mal koordinieren kann, wenn jetzt zum Beispiel eine große Sicherheitsthematik Europa betrifft, dass dann auch die Staaten in der Lage sind, entsprechend zu reagieren.

00:05:03: Und mit dieser Verordnung wurden quasi alle Staaten erstmal verpflichtet überhaupt solche Stellen einzurichten und erst in dem zweiten Teil dieser NIST-Zwei-Verordnung ging das weiter auf die Organisationen, also nicht nur die Staaten selber als Institutionen mussten bestimmte Sachen vorhalten, sondern eben auch die Organisationen und da besonders hervorzuheben sind halt diese besonders wichtigen und wichtigen Einrichtungen.

00:05:28: auf die dieses Gesetz den Fokus wirft.

00:05:30: Das sind in Deutschland etwa neunundzwanzigtausend Unternehmen, die da betroffen sind.

00:05:34: Das sind die aktuellen Zahlen, die das BSI auf seiner Webseite veröffentlicht und für die gelten jetzt eben diese zehn in der NIST-Zwei-Verordnung definierten Vektoren, in denen die IT-Sicherheit beleuchtet werden muss.

00:05:49: Gibt es da eine bestimmte Größe, die ein Unternehmen haben muss oder geht es da nur um die Relevanz?

00:05:56: Es gibt tatsächlich Größenordnungsgrenzen und es gibt Sektoren, also am wichtigsten ist erstmal die Einteilung in die Sektoren.

00:06:03: Wir hatten es vorhin davon, wir hatten, wir haben Chemie, wir haben Lebensmittelindustrie, wir haben Telekommunikation, wir haben Cloud-Anbieter, wir haben in verschiedenen anderen Versorgungsbereichen, das kann man alles nachlesen.

00:06:17: Ich weiß es wirklich nicht, wie viele es sind, aber es sind klar definierte Sektoren und innerhalb der Sektoren gibt es auch nochmal Größenunterschiede.

00:06:23: Also tatsächlich betrifft es nicht jedes Unternehmen, aber wir sind uns eigentlich einig, in diesem Bereich, in diesen Sektoren, die da genannt sind, das sind alles keine kleinen Unternehmen, das sind alles keine fünf Mann Buden.

00:06:35: Wir reden immer von tatsächlich etablierten Produktionshandels oder Dienstleistungsunternehmen, die relevante Dienstleistungen oder Produkte für das Funktionieren unserer Gesellschaft zur Verfügung stellen.

00:06:49: Daher kommt diese Dringlichkeit dieser Verordnung.

00:06:52: Und natürlich gibt es immer mal ein paar schwarze Schafe, die sagen auch IT Security, da kümmere ich mich mal nicht drum.

00:06:58: Spätestens mit der Inbetriebnahme dieser Verordnung, also der Umsetzung der Verordnung in deutsches Recht, werden die natürlich verpflichtet, diese Sachen umzusetzen.

00:07:09: Sieht da im Endeffekt die Analogie zum Datenschutz von vor ein paar Jahren.

00:07:13: Du hast ja gesagt, die EU-Richtlinie gilt noch nicht, aber es ist jetzt eigentlich höchste Zeit, sich damit auseinanderzusetzen.

00:07:20: Ach ja, was da drinsteht, ist ja schon lange bekannt.

00:07:22: Also die Europaverordnung, die gibt es schon seit einigen Jahren, ich meine, XXIII.

00:07:29: Und Deutschland hatte dann eine gewisse Zeit, das umzusetzen in nationales Recht, damit es überhaupt gültig wird.

00:07:34: Das ist eine Europaverordnung, also musste ein deutsches Gesetz erst gegossen werden.

00:07:38: durch unsere Neuwahlen Anfang des Jahres und so hat sich das alles ein bisschen gezogen.

00:07:42: Es ist aber jetzt in quasi endgültiger Fassung bekannt.

00:07:48: Also was da drinstehen wird, die Inhalte, die da drinstehen werden, die sind alle bekannt.

00:07:53: Und jetzt müssen wir noch warten, bis das Gesetz tatsächlich durch alles durch ist, bis es veröffentlicht ist und damit dann auch wirksam wird.

00:07:59: Das Blöde ist, diese Vorschriften, die da auf die Unternehmen zukommen, sind recht weitreichend.

00:08:07: Man kann nicht einfach mal schnell sagen, es ist kein Problem, das haben wir in der Woche abgefrühstückt.

00:08:13: Das funktioniert nicht.

00:08:14: Dafür sind die Details, die verschiedenen Prozesse, die da wahrscheinlich auch dann umgestellt werden müssen oder überhaupt erst ins Leben gerufen werden müssen, einfach zu umfangreich.

00:08:25: Deswegen kann ich jedem nur empfehlen, tatsächlich heute sich bereits diese Fassungen anzuschauen.

00:08:30: Da wird es keine großen Korrekturen mehr geben und Stück für Stück an die Umsetzung zu gehen.

00:08:35: Heute schon.

00:08:35: Dann erzähl uns doch mal, worum es bei der Schulungspflicht ganz konkret geht.

00:08:41: Wissen zum entscheiden oder wirklich Techniktiefe?

00:08:44: In der EU-Verordnung steht drin, dass die Geschäftsleitungen der Organisationen zu Schulen sind.

00:08:51: Das ist eine Mussvorschrift.

00:08:53: Und auch die wurde auch eins zu eins so ins deutsche Gesetz übernommen.

00:08:58: Auch da steht drin im neuen BSI-Gesetzentwurf steht drin, dass die Geschäftsleitungen zu Schulen sind.

00:09:06: Jetzt hat das BSI gerade Druckfrisch am dreißigsten September einen Entwurf, einen Vorschlag für die Schulungsmaßnahmen veröffentlicht.

00:09:20: Und da bin ich mal ganz schön erstaunt gewesen, was da alles drin steht, was Das BSI sich so vorstellt, in welchen Bereichen die Geschäftsleitungen dann zu Schulen sind.

00:09:31: Der Katalog ist relativ umfangreich.

00:09:33: Erzähl mal ein bisschen was daraus.

00:09:36: Was dich so schockiert hat.

00:09:37: Naja, also sagen wir mal, beginnen wir doch mal mit den üblichen Verdächtigen.

00:09:41: Also was natürlich selbstverständlich ist, ist, dass die Geschäftsleitung sich verantwortet, muss sich bewusst sein, dass sie die Verantwortung trägt und dass sie Derjenige ist, der über die Bereitstellung von Mitteln oder von Ressourcen überhaupt in der Lage ist, über die IT-Security in dem Unternehmen natürlich zu steuern.

00:09:58: Und das ist natürlich eine Geschäftsleitung, liegt, ob ein bestimmter Prozess installiert wird oder eben nicht.

00:10:05: Und ob der Prozess regelmäßig geprüft wird, ob man kontinuierlichen Verbesserungsprozesse herausmacht, das muss alles gelebt werden von der Geschäftsleitung.

00:10:12: Und da sage ich auch ganz klar, das ist ein wichtiger und relevanter Ansatz.

00:10:17: Das ist ganz wichtig.

00:10:18: dass dieses Thema, oh, wir müssen was für IT-Sicherheit tun, wir sind da hinten dran, wir haben den Stand der Technik nicht erreicht, das dann auch eine Geschäftsleitung sagt in Ordnung, wir gehen da ran.

00:10:28: Und vielleicht auch versteht, wie groß dieses Risiko ist.

00:10:31: Was passierten, wir hatten es ja schon in der anderen Folge mal drum, was passierten, wenn die IT wegbricht, wenn wir angegriffen werden und wenn man da nicht entsprechend vorgesorgt hat, dann ist man außen vor.

00:10:44: Aber jetzt zu dem Punkt, was mich ärgert an dem Entwurf von BSI oder an dieser Schulungsdokument, wo die Schulungsmaßnahmen vorgeschlagen werden, ist, da wird tatsächlich sehr, sehr ins Detail gegangen.

00:10:57: Zum Beispiel wurde in einem Teil erwähnt, dass BSI schlägt zur Verdeutlichung Fragen vor.

00:11:07: die so versinnbildlichen Säulen, wo der Charakter dieser Schulungsmaßnahme hingeht.

00:11:13: Und da steht ganz klar drin, dass zum Beispiel erwartet wird, dass eine Geschäftsleitung Bescheid weiß über die Sicherheits- oder Verschlüsselungsprotokolle im Unternehmen.

00:11:23: Zum Beispiel AES-Zwarnatzechsenfünfzig, TLS Eins Punkt drei.

00:11:28: Du schaust mich jetzt grad so.

00:11:29: Du schaust mich jetzt grad so.

00:11:32: Und das ist auch die Reaktion von einem typischen Geschäftsführer, denn er hat keine Ahnung, was TLS eins Punkt drei ist.

00:11:37: Das musste er auch überhaupt nicht.

00:11:38: Und das ist genau das, was ich sagen möchte.

00:11:41: Das ist Fachwissen.

00:11:42: Das ist aber nur einen Punkt von so vielen, die dort aufgelistet sind.

00:11:47: Nun ja, der Charakter, der Fragen geht einfach so in die Tiefe.

00:11:51: Auch zu den Multifaktor-Authentifizierungen und so, oder solche Sachen.

00:11:55: Da sage ich ganz klar, Das ist Aufgabe des IT-Abteilungsleiters und der ist ja nicht zwangsläufig Mitglied der Geschäftsleitung.

00:12:03: Wir erleben das zwar oft, dass der CIO Teil der Geschäftsleitung ist und damit auch Verantwortung trägt und Verantwortung übernehmen kann und auch unternehmensweit Prozesse installieren kann, aber oft ist die IT-Abteilung einfach nur unter der Geschäftsleitung angesiedelt und dann muss die Geschäftsleitung dieses Wissen nach dieser Schulung grundsätzlich mal erwerben.

00:12:26: Glaubst du, dass jetzt im Anschluss sehr viele CIOs in die Geschäftsführung Leitung geholt werden?

00:12:32: Das wäre am sinnvollsten, oder?

00:12:33: Also es wäre auf jeden Fall sinnvoll.

00:12:35: Gar keine Frage.

00:12:36: Die Frage ist natürlich immer noch der Größe des Unternehmens und ob man das vernünftig darstellen kann.

00:12:42: Aber natürlich sollte tatsächlich die IT, die alle Bereiche eines Unternehmens in der Zwischenzeit durchdringt, die sollte tatsächlich Teil der Geschäftsleitung sein.

00:12:53: Das ist wichtig, denn nur dann ist man auch in der Lage wirklich Veränderungen in dem Bereich durchzuführen.

00:13:01: Wenn die Geschäftsleitung sich nur aus Vertrieb und anderen Kernprozessen zusammensetzt, die aber nicht direkt die IT-Abteilung mit im Boot haben, dann wird es immer schwierig für die IT-Abteilung ein Budget zu bekommen, Ressourcen zu bekommen.

00:13:15: Dann wird immer auf Einzelprojektbasis entschieden und nicht im Gesamten.

00:13:19: Und das Thema IT-Security.

00:13:21: Es ist so ausgeladst.

00:13:23: Überall jede Ecke schreit über IT-Security.

00:13:26: Jeder will seine neuesten Technologien und Leistungen und Geräte verkaufen.

00:13:32: Aber am Ende des Tages ist IT-Security nur dann gut, wenn sie aus einem Konzept, aus einem Gesamtkonzept entsteht.

00:13:38: Und dafür verantwortlich ist halt nun mal der CIO.

00:13:41: Und was unsere NIST-Zwei, um den Bogen jetzt wieder zurückzukriegen zu NIST-Zwei, was die NIST-Zwei einfach macht, ist, sie sagt ganz klar, die Verantwortung ist in der Geschäftsleitung.

00:13:51: Also jeder Vorstand, jede Geschäftsleitung wirklich

00:13:55: gut

00:13:56: beraten, tatsächlich den IT-Abteilungsleiter hochzunehmen in die Geschäftsleitung.

00:14:00: Ich

00:14:00: weiß nicht, ob du eine Top-III für mich hast, aber ich frag direkt mal, welche Inhalte sind denn für Chefs wirklich relevant?

00:14:05: Top-III?

00:14:06: Ja, Top-III ist natürlich immer schwierig, aber man kann sehr, sehr schnell und sehr einfach sagen, es geht ums Risikomanagement.

00:14:13: Es geht darum, überhaupt die Risiken zu kennen, den Risiken sich bewusst zu werden.

00:14:18: Und da sage ich jetzt auch wieder, nicht im Detail.

00:14:20: Natürlich macht eine IT-Abteilung eine genaue Risikoabschätzung, die wissen, ob ihre Server unter Wasser stehen können oder nicht.

00:14:27: Das muss der Geschäftsführer im Detail nicht wissen.

00:14:30: Aber er muss wissen, dass die Risiken bekannt sind und dass die adressiert sind.

00:14:34: Und er muss sie regelmäßig hinterfragen.

00:14:35: Er muss sagen, haben wir diese?

00:14:37: Und dann muss er die sich zeigen lassen.

00:14:38: Und dann geht er vielleicht auch tatsächlich mit den verantwortlichen Themen durch.

00:14:43: Haben wir denn alle Risiken adressiert?

00:14:46: Ist was Neues aufgetaucht?

00:14:47: Ist plötzlich ein neuartiger Angriff oder gibt es vielleicht eine physische Bedrohung für das Unternehmen, die plötzlich davor unbekannt war?

00:14:55: Und dann kommt die ganz normale Risikoabwertung.

00:14:58: Das kennt jeder Geschäftsführer.

00:14:59: Das müssen wir schon.

00:15:00: seit Starhawk und diversen anderen Gesetzen, muss jeder Geschäftsführer eine Risikobewertung machen.

00:15:05: Und zwar für alle Risiken, die sein Unternehmen betreffen können.

00:15:09: Aber er kann ja nicht selber alle Risiken kennen, also delegiert das.

00:15:12: Und da ist es einfach wichtig, hinterher zu sein.

00:15:14: Also top eins von dem Thema ist Risiken kennen und Risiken bewerten können, aber nicht technisch im Detail, sondern eben eher den Impact aufs Unternehmen.

00:15:25: Er muss wissen, wann steht die Produktion?

00:15:28: Wann sind wir handlungsunfähig?

00:15:30: Wenn die IT drei, fünf, zehn Tage nicht mehr läuft, sind wir insolvent.

00:15:34: Das ist das, was ein Geschäftsführer wissen muss, damit er das Risiko richtig einordnen kann.

00:15:41: Das heißt, ich wollte nach dem Overkill fragen.

00:15:43: Also nett, aber für die Chefetage unnötig.

00:15:45: Das heißt, alles, was so ins Detail geht, ja?

00:15:47: Ja, genau.

00:15:48: Die Geschäftsführung hat andere Themen.

00:15:51: IT Security ist Operations und keine Strategie.

00:15:55: Das habe ich dich ja immer mal gefragt.

00:15:56: oder in den letzten Folgen auch, sollte man die IT Security nicht oben sozusagen ganz oben drüber ansiedeln, weil es halt so entscheidend ist, aber

00:16:04: es ist entscheidend gar keine Frage.

00:16:05: Wenn ich keine IT Security implementiere, dann werde ich bei einem Schaden viel viel also.

00:16:10: dann werde ich bei einem Zwischenfall sehr viel größeren Schaden erleiden.

00:16:13: Das ist ja klar.

00:16:14: Wenn ich keinen Plan in der Tasche habe, wie ich bei einem Zwischenfall wieder wieder schnell dieses Problem in den Griffkrieg oder überhaupt wieder operabel werde, dann bin ich grundsätzlich natürlich existenzgefährdet als Unternehmen und vielleicht auch der Unternehmer selbst oder die die Aktieninhaber, die werden sich natürlich auch fragen, wer wurde denn nicht alles getan, um das Unternehmen am Laufen zu halten.

00:16:36: Aber was genau getan wird, die Maßnahmen selber, die kann ja ein IT-Geschäft, die kann ein normaler Geschäftsführer ja gar nicht entscheiden, der kann, der kann das nicht.

00:16:45: Und deswegen braucht er entweder externe Beraterdienende sagen oder eine IT-Abteilung, die ihm das sagt, mit einem IT-Leiter, der das verantwortlich macht.

00:16:54: Und wenn der in der Geschäftsleitung ist, dann hat er doch jemand neben sich sitzen.

00:16:57: Deswegen grundsätzlich, dass es unglaublich wichtig.

00:17:01: Ja, es ist genauso wichtig wie alle anderen Compliance-Themen.

00:17:05: Es ist genauso wichtig wie, wie das die Produktion läuft.

00:17:10: Wenn, wenn keine Rohstoffe im Unternehmen ankommen, kann nicht produziert werden.

00:17:14: Das ist genauso wichtig.

00:17:16: Und ich sage jetzt halt auch einfach mal IT Security trägt dazu bei, dass das Unternehmen stabil weiterläuft.

00:17:24: Aber es schafft keine Mehrwerte.

00:17:27: Das Unternehmen kann nicht schneller, besser oder größer produzieren, nur weil es ganz viel Geld in IT-Security steckt.

00:17:34: Das heißt, IT-Security unterstützt.

00:17:37: IT-Security hilft dabei, alles stabil zu halten und ist aber kein Kernanliegen von einem Geschäftsführer.

00:17:46: Natürlich vom IT-Abteilungsleiter oder vom IT-Geschäftsführer oder vom Vorstand, der den IT beantwortet, ist es natürlich ein Bereich.

00:17:53: Aber die Kernprozesse des Unternehmens Die sind nicht direkt von der IT-Security abhängig.

00:18:00: Kann

00:18:01: man eigentlich schon abschätzen, wie umfangreich diese Schulungen sein werden?

00:18:05: Reicht da ein halber Tag?

00:18:08: Also wenn ich das Portfolio vom BSI da lese, sage ich, ein halber Tag reicht da nicht.

00:18:13: Alleine diese zehn Fragen, die die als Beispielhaft in ihrem Dokument aufgeführt haben, alleine die zu bearbeiten oder überhaupt diese Hintergründe.

00:18:23: den den Geschäftsführern die Hintergründe zu diesen Fragen.

00:18:26: Und es ist ja nur kleine an.

00:18:28: Das sind ja nur Tieser Fragen.

00:18:30: Wenn man diese Sachen schulen möchte, muss man von mehreren Tagen aus gehen.

00:18:35: Ich freue mich, weil wir haben jetzt unsere erste Reparie für heute.

00:18:39: Mütos oder Wahrheit.

00:18:41: Jens klärt auf.

00:18:42: Jens, eine absolvierte Schulung schützt die Geschäftsleitung doch automatischer Haftung, oder?

00:18:48: Nein.

00:18:50: Natürlich wird bei dem Zwischenfall der der Schuldige gesucht und hat natürlich die Geschäftsleitung, Fehlentscheidung getroffen und die Schulung nicht, kann die Schulung nicht vorweisen, dann wird man sicherlich auch da nicht mehr von leichter Fahrlässigkeit sprechen können.

00:19:07: Das heißt, wir sind dann plötzlich auch in der Verantwortung.

00:19:10: Da werden plötzlich, das steht auch so im Gesetz, in dem Gesetz, das kommen wird, also im Paragraf.

00:19:18: In dem BSI-Gesetzentwurf steht drin, dass dann auch tatsächlich eine Verantwortlichkeit da ist.

00:19:23: Das heißt, die Geschäftsleitung muss diese Schulung machen, um allein hier kompleien zu sein und keine unnötige Angriffsfläche zu bieten.

00:19:30: In dem Moment, wo die Risikobewertung gemacht wurde, wo man gesagt hat, ja, wir kannten das, wir haben genaue Maßnahmen definiert, dann hat die Geschäftsleitung getan, was in ihrer Macht steht, um dieses Risiko abzuwenden.

00:19:44: Dann ist auch die Sache sehr viel besser, aber am Ende des Tages trägt natürlich immer die Geschäftsleitung die Verantwortung für die ungesetzten Maßnahmen.

00:19:54: Was mich auch interessieren würde, was muss ich als Unternehmen denn dokumentieren, damit niemand nervös wird?

00:20:02: Die Prozesse.

00:20:03: Es ist ganz, ganz, ganz wichtig, dass ein so genanntes ISMS ein Informations-Sicherheits-Management-System implementiert wird, indem einfach diese ganzen Abläufe, die ganzen Risiken, dass da einfach mal verschriftlicht wurde, was passiert wann.

00:20:20: Wer macht was?

00:20:21: Wann macht das und wie macht er das?

00:20:23: Und dass das einfach einmal runterverschriftlicht wurde.

00:20:26: Dafür gibt es in der Zwischenzeit auch einiges an Anleitungen und Handlungshilfen.

00:20:32: Auch das BSI hat da eine ganze Menge Informationen dazu.

00:20:36: Das ist keine Geheimwissenschaft.

00:20:38: Das sollte das Unternehmen grundsätzlich machen.

00:20:40: Und diese Dokumentation macht doch das Unternehmen sinnvollerweise nicht, weil ein Gesetz es vorschreibt.

00:20:49: sondern um weiterbestehen zu können, wenn irgendwas passiert und dann nicht erst nachdenken zu müssen und zu überlegen, wen muss ich informieren, wo muss ich irgendwas tun, wer ist in den Krisenstab zu holen, das muss man vorher einmal festlegen.

00:21:04: Und das macht man eben im Rahmen dieses ISMS, man macht eine Bestandsaufnahme, man schaut, was haben wir an Notfallmaßnahmen?

00:21:11: und wenn man dieses... Man kann es nicht einfach mal schnell aktivieren.

00:21:18: Jessica, du hast da das Thema.

00:21:19: Das sind komplexe Prozesse, die sich über viele verschiedene Abteilungen erstrecken, wo man auch mehrere Abteilungen mit reinholen muss.

00:21:26: Da braucht man eine gewisse Zeit dafür, um diese Prozesse zu installieren.

00:21:31: Aber es ist alles da.

00:21:32: Es ist ganz im Interesse des Unternehmens selber.

00:21:34: Und der Geschäftsführer, der muss das nur angucken.

00:21:37: Er muss sagen, ja, wollen wir installieren das.

00:21:41: und mitarbeiten, mithelfen, die Ressourcen bereitstellen, die vielleicht die Schulungen bereitstellen, die notwendig sind, die Mitarbeiter sensibilisieren, dass da auch die Geschäftsführung dahintersteht, dass das tatsächlich gelebt wird.

00:21:53: Und dann ist das Ding installiert und dann kann das Unternehmen sich auch wieder darauf konzentrieren, den eigentlichen Kern zu erfüllen.

00:21:59: Welche Abhängigkeiten sollte die Chefetage denn kennen?

00:22:03: Bei den Abhängigkeiten, es ist wichtig zu wissen, wie die verschiedenen Systeme ineinandergreifen.

00:22:09: Und damit meine ich jetzt nicht im kleinen Detail, sondern im Großen.

00:22:13: Wenn zum Beispiel Cloud genutzt wird, ist es wichtig zu wissen und das macht man im Rahmen dieser Risikoabschätzung, welche Unternehmensprozesse stehen still, wenn unsere Cloud-Anbindung weg ist.

00:22:24: Und dann kann man beurteilen, wie viel Ressourcen, wie viel Geld, wie viel Redundanz wollen wir in diesen bestimmten Bereichen dann haben.

00:22:31: Das heißt, der Geschäftsführer muss sich schon im Bewusstsein, dass es Abhängigkeiten gibt und die, die betriebskritisch sind, die sollte erkennen.

00:22:40: Okay.

00:22:41: Würdest du denn sagen, dass wir so einen kleinen Exitplan brauchen und was würde denn da minimal drin stehen?

00:22:48: Im Rahmen der Risikoforsorge sollte man immer einen Exitplan haben.

00:22:52: Grundsätzlich steht da drin, wir haben, wir haben... Also das ist extrem abhängig davon, was für ein Produkt, was für eine Software, was für eine Technologie, was soll der Exit beschreiben.

00:23:07: Gerade dann, wenn man zum Beispiel in der Cloud ist, haben wir das Risiko, der Anbieter fällt aus, kann insolvent werden, kann angegriffen werden, fällt vielleicht kurzfristig aus oder langfristig aus.

00:23:20: und dann brauche ich einen eine Möglichkeit zunächst weiterarbeiten zu können und oder tatsächlich daraus gehen zu können.

00:23:28: Ich sage immer, ein kurzfristiger Exit ist nie gut.

00:23:33: also die so eine exit strategie ist eigentlich was was ein geplanter vorgang über einen längerefristigen zeitraum ist wo man stück für stück im bestimmten dienst woanders hin zieht.

00:23:44: es kann ja auch sein dass man in der cloud bleibt dass man sagt okay wir waren bei google wir gehen zu microsoft oder oder wir waren bei microsoft wir wollen das jetzt wieder in haus haben.

00:23:53: diese prozess ist recht komplex und manchmal Erkennt man dabei erst, dass bestimmte Dinge überhaupt nicht funktionieren können.

00:24:00: Deswegen ist es wichtig, dass man das im Voraus klärt.

00:24:03: Und im Rahmen von NIST II muss ich mir halt auch Gedanken machen, wie diese Risiken bei diesen Anbietern sind.

00:24:13: Wenn ich natürlich einen Anbieter habe, der ganz viele Redundanzen zur Verfügung stellt, der quasi mehr als Unternehmen garantieren kann.

00:24:23: Wenn er angegriffen wird, dass wir weiterarbeiten können als Unternehmen, dann kann ich natürlich das Risiko ganz anders einstufen, wie wenn es da überhaupt keine Informationen oder kein Dokument dazu gibt.

00:24:33: Und diese Risiken gehören ja ins Vorstandspapier.

00:24:36: Diese Risiken gehören ins Vorstandspapier, genau.

00:24:38: Also es gibt tatsächlich nicht... Die Frage ist immer, wie kritisch ist dieser Prozess für das Gesamtunternehmen?

00:24:47: In dem Moment, wo es das gesamte Unternehmen betrifft, wenn irgendwo was stillsteht, muss das Risiko im Vorstand bekannt sein, dass es diese Abhängigkeit gibt und dass diese Abhängigkeit betriebskritisch ist und vor allem, was die Auswirkungen sind.

00:25:01: Der Vorstand entscheidet dann, was er aus dieser Information macht und ob er das Risiko tatsächlich genauso bewertet oder nicht.

00:25:10: Es ist wichtig, dass die IT-Abteilung oder die Dienstleister auch.

00:25:13: Ich sehe da auch die Dienstleister in der Pflicht.

00:25:15: Wie viele Mittelständler haben keine große IT-Abteilung, sondern haben viele Sachen ausgelagert an Dienstleister.

00:25:21: Diese Dienstleister müssen aktiv auch melden.

00:25:25: Und wenn sie es nicht tun, dann müssen sie abgefragt werden.

00:25:28: Welche sind denn aus ihrer Sicht die Ausfallrisiken?

00:25:32: Und auch hier sind die Verketten zu beachten.

00:25:35: Das heißt, auch der Dienstleister könnte ja ausfallen.

00:25:38: Hat man dann Ersatz?

00:25:40: Das sind einfach so grundsätzliche Fragen, die immer so ein bisschen in diesem Bereich Souveränität, den ich ja eigentlich wert lege, auch immer wieder reinspielen.

00:25:49: Hab ich überhaupt als Unternehmen Handlungsmöglichkeiten, unabhängig davon, dass ich vom Gesetz dazu gezwungen werde.

00:25:55: Könnt ihr diese Schulung später eigentlich auch übernehmen?

00:25:58: Ja, wir werden die Schulung auf jeden Fall anbieten.

00:26:01: Ich finde, du warst schon extrem konkret.

00:26:03: Ich freue mich ja immer so über die nächste Rubrik.

00:26:07: Damit wir nochmal etwas konkreter werden, Jens, was ist dein Rezept, damit die Schulungspflicht zum Nutzen statt zur Pflichtübung wird?

00:26:16: Ein

00:26:18: allgemeines Rezept ist da eigentlich ganz einfach.

00:26:21: Das Unternehmen sollte sich Gedanken machen, was der Sinn dieser Schulung sein soll.

00:26:29: Und klar, die Schulungsanbieter werden sich alle an dem Grundkonzept, an dem Grund... Gerüst orientieren, dass der BSI da in seinem Papier vorgegeben hat.

00:26:43: Da gibt es wahrscheinlich wenig Handlungsspielraum.

00:26:45: Aber man könnte ja als Geschäftsführung oder als Vorstand tatsächlich dem Schulungsanbieter on top sagen, okay, wir machen jetzt nicht nur die Schulung, sondern wir machen, wir kombinieren das mit einem kleinen Workshop, dass zum Beispiel nicht nur ein Schulungsanbieter eine trockene Schulung hält, sondern das Parallel dazu die vorhandenen Dokumente.

00:27:06: mal durchgeschaut werden, dass man ein Review macht und sagt, hey, da sind wichtige Lücken und dann anhand der fehlenden Dokumente mit der Geschäftsführung oder mit dem Vorstand spricht, wo die Lücken sind.

00:27:20: Das ist nicht.

00:27:21: der Vorteil dieser Massnahme ist, man bekommt.

00:27:26: Alle ins Boot.

00:27:26: man bekommt vielleicht auch die Mitarbeiter der der relevanten Abteilungen mit ins Boot dass man einfach sagt okay wir machen ein Workshop wir holen für ein paar Stunden die Leute die die Stakeholder im Unternehmen an einen Tisch sprechen mit denen und zeigen denen was vorhanden ist weil dann kommt nämlich.

00:27:45: Nicht nur von oben dieses, ja, wir wollen die IT-Sicherheit nach vorne bringen bei uns im Unternehmen, sondern plötzlich hat man noch mehr Player, die da gerne mitspielen wollen.

00:27:55: Und dann wird es für das Unternehmen zu einem tollen Nutzen.

00:27:58: Dann hat man nicht nur eine Pflichtübung absolviert, sondern man hat dann tatsächlich auch daraus schon den ersten, zweiten und dritten Schritt gemacht.

00:28:07: So, zum Schluss nochmal einmal dein Fazit, Jens.

00:28:11: Ganz wichtig, die... Dieses Gesetz unter diese Richtlinien, die da kommen, ist wichtig und relevant.

00:28:17: Aber jedes Unternehmen entscheidet doch für sich selber, was relevant und wichtig ist.

00:28:22: Und jedes Unternehmen will am Markt bleiben, jedes Unternehmen will nachhaltig sein, jedes Unternehmen will in Gewinnerwirtschaften für seine Inhaber, für seine Aktieninhaber.

00:28:31: Und alleine deshalb sollte jedes Unternehmen dieses Interesse daran haben, IT-Sicherheit möglichst sauber und schlüssig umzusetzen.

00:28:41: Aber immer in dem Rahmen, dass es wettbewerbsfähig bleibt.

00:28:44: Denn wenn wir ganz, ganz, ganz viel, einhundert Prozent Sicherheit haben, dann haben wir null Prozent Produktivität.

00:28:52: Dann haben wir nämlich die Computer ausgeschalten.

00:28:54: Super.

00:28:55: Jens, vielen, vielen Dank.

00:28:56: Spannende Einblick, wertvolle Tipps wieder.

00:28:59: Vielen Dank.

00:28:59: Dankeschön fürs Zuhören.

00:29:01: Uns gibt es ja alle zwei Wochen.

00:29:03: Und alle wichtigen Infos, die stehen unten in den Show-Notes.

00:29:06: Und wir freuen uns schon auf das nächste Mal.

00:29:08: Bis dahin, alles Gute.

00:29:10: Ciao.

00:29:11: Und nicht vergessen, digital souverän statt digital abhängig.

00:29:14: Der Exit beginnt jetzt.