Thought Leadership
Die Bedrohungslage verschärft sich seit Jahren. Doch trotz der gerade erfolgten Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie sind deutsche Unternehmen in Sachen Cybersicherheit weiterhin schlecht bis gar nicht vorbereitet.
„Viele kennen die Vorgaben gar nicht und haben auch keine Maßnahmen vorbereitet oder in Planung“, resümiert Holger Könnecke, Geschäftsführer von MACONIA.
Die „Network and Information Security Directive“, kurz NIS-2, wurde im Dezember 2022 als EU-Vorschrift formuliert, um das Sicherheitsniveau in den Mitgliedstaaten der Europäischen Union vor dem Hintergrund zunehmender Cyberangriffe zu harmonisieren und zu verbessern. Die umfassende Modernisierung des Cybersicherheitsrechts ist nach langen Diskussionen im Bundestag seit dem 6. Dezember 2025 jetzt auch in Deutschland in Kraft. Das Gesetz erhöht die Anforderungen an die Cybersicherheit der Bundesverwaltung sowie bestimmter Unternehmen. Sollten diese Firmen Schutzmaßnahmen nicht vorbereiten und dokumentieren, können sie mit Sanktionen und horrenden Geldstrafen belegt werden.
Die deutsche Wirtschaft scheint die gestiegene Bedrohungslage und verschärften Anforderungen allerdings nicht ernst genug zu nehmen. Vor allem besonders wichtige betroffene Einrichtungen etwa aus der Energiewirtschaft, Verkehr, Bank- und Finanzwesen, Gesundheitswesen, Trinkwasser und Abwasser sowie aus der digitalen Infrastruktur hinken weit hinter den wünschenswerten Sicherheitsstandards her.
Ignoranz der Wirtschaft kann gefährlich und teuer werden
Für Holger Könnecke und sein Team, das neben Firmen auch Bundesbehörden berät und Sicherheitsmaßnahmen plant und umsetzt, ist das weitgehende Desinteresse der deutschen Wirtschaft unverständlich und potenziell gefährlich. Denn ein proaktives Risikomanagement, das den neuesten Anforderungen genügt, sollte unbedingt vorhanden sein. „Es gehört doch eigentlich zur unternehmerischen Verantwortung, die Risiken fürs eigene Geschäft zu kennen, die Wahrscheinlichkeiten eines Eintritts zu ermessen und geeignete Gegenmaßnahmen bereit zu halten. Im Notfall sollten die Pläne bereitliegen, da muss schnell und umsichtig gehandelt werden“, unterstreicht Könnecke.
Konkret heißt das: Vorbereitung ist meist der Schlüssel zum Erfolg. Wer sich erst mit dem Eintritt von sicherheitsrelevanten Szenarien Gedanken über Redundanzen, Kommunikationswege, Kompetenzträger oder Backups macht, wird Schwierigkeiten bekommen, da nicht mehr alle Systeme oder Informationen vorhanden sein könnten.
Sicherheitsexperte Könnecke rät dazu, die Sensibilität der Mitarbeitenden unbedingt zu schulen. Das Thema Awareness sollte ein etablierter Regelprozess in Unternehmen sein. Jede aktive Rolle sollte geschult und Mitarbeitende sensibilisiert werden. Angefangen vom Passwortmanagement über Weitergabe von Daten bis hin zu klaren Vorgaben: Wer darf was? Kennen alle die internen Firmenstandards und Vorgaben? „Ein angemessenes Risikomanagement stellt im Moment der Bedrohung die Handlungs- und Reaktionsfähigkeit des Unternehmens her und ist gleichzeitig so dimensioniert, dass es die Wirtschaftlichkeit nicht gefährdet.“ Was das konkret bedeutet, ist von Fall zu Fall, von Firma zu Firma unterschiedlich – jedoch in jedem Fall proaktiv etwa durch Tests und Übungen zu erproben.
Risikomanagement als wesentlicher Erfolgsfaktor
Die Kenntnis und Transparenz über die eigenen Systeme und Infrastruktur kann der Schlüssel zu gezielter Schadensbewältigung sein. Dementsprechend führt MACONIA strukturierte GAP-Analysen durch. Dazu werden Strukturen und Prozesse analysiert, Interviews geführt und Workshops mit Rolleninhabern veranstaltet. Basierend auf den Ergebnissen wird die notwendige Dokumentation erstellt und Ergänzungsprozesse zu gesicherten Kommunikationswegen etabliert. „Wir wollen, dass alle auf den realitätsnahen Worst Case vorbereitet sind, ohne schlaflose Nächte zu haben. Dies gelingt, wenn wir Transparenz der eigenen Organisation herstellen und jeder weiß, was er dann zu tun und im Idealfall auch Bewältigungssituationen bereits geübt hat“, erläutert Holger Könnecke.
Was nach seinen Worten einfach klingt, scheint für viele deutsche Unternehmen eine echte Herausforderung oder Prioritätsverschiebung zu sein. „Die meisten Firmen haben wenig bis nichts in der Hand, um bei einem plötzlichen Angriff angemessen reagieren zu können. Es scheint der Glaube vorzuherrschen, dass mir nichts passieren wird – es ging ja bisher immer gut. Und genau diese Haltung kann sehr teuer bis existenzgefährdend für Unternehmen werden“, so Könnecke, der damit nicht nur drohende Geldstrafen aufgrund von NIS-2 meint.
Über NIS-2
Die „Network and Information Security Directive“, kurz NIS-2, wurde Ende 2022 als EU-Vorschrift formuliert, um das Sicherheitsniveau in den Mitgliedstaaten der Europäischen Union vor dem Hintergrund zunehmender Cyberangriffe zu harmonisieren und zu verbessern. Nach langen Diskussionen im Bundestag ist sie über ein Jahr später als geplant, am 6. Dezember 2025 nun auch in Deutschland in Kraft getreten. NIS-2 ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016 und soll ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme gewährleisten. Unternehmen, die Schutzmaßnahmen nicht vorbereiten und dokumentieren, können mit Sanktionen und Geldstrafen belegt werden.
Differenziert wird zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen, wobei insbesondere Unternehmen mit mindestens 50 Mitarbeitenden und einem Jahresumsatz von über 10 Millionen Euro unter die Richtlinie fallen, die zudem zu einem der 18 Unternehmenssektoren gehören, die der kritischen Infrastruktur zugerechnet werden. Die also eine wichtige Bedeutung für das Gemeinwesen haben, und deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische negative Ereignisse zur Folge haben könnten. Diese Unternehmen sind verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren.
Autor: Holger Könnecke, MACONIA-Geschäftsführer
