„Proaktiv schützen"

Wirtschaftsspiegel: Der deutsche Gesetzgeber hat das Umsetzungsgesetz der Richtlinie inzwischen auf den Weg gebracht. Was ist nun zu tun?

Marian Corbe: Schritt eins ist, herauszufinden, ob das eigene Unternehmen überhaupt von der Richtlinie betroffen ist. Vereinfacht gesagt gilt das für Unternehmen aus insgesamt 18 genau definierten Sektoren, die für die Versorgungssicherheit unserer Gesellschaft entscheidend sind. Außerdem richtet sich das Gesetz im Kern an Unternehmen ab einer Größe von mindestens 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz.

Wer ist im Unternehmen dafür verantwortlich?

Corbe: Das neue Gesetz hängt die Aufgabe IT-Sicherheit ganz oben auf. Die Geschäftsführung ist verantwortlich und haftet sogar persönlich für die Umsetzung. Daher sollte der Impuls auch von der Chefetage kommen. Kommen im Zuge der Betroffenheitsanalyse Zweifel auf, können externe IT-Sicherheitsberater oder spezialisierte Juristen helfen.

Wie geht es weiter, wenn das Unternehmen betroffen ist?

Corbe: Dann sind grundlegende Maßnahmen zur Cybersicherheit zu ergreifen und umzusetzen. Das Gesetz definiert 12 konkrete Aufgabenbereiche, in denen die Verantwortlichen aktiv werden müssen. Wichtig und sinnvoll ist, das Thema einmal wirklich ganz strukturiert und ganzheitlich anzugehen sowie Abläufe und Maßnahmen in der Unternehmensorganisation zu definieren. Das beginnt damit, sich einen Überblick über die bestehende Situation und den vorhandenen Cyberschutz zu verschaffen und ein Risikomanagement zu etablieren. Im Folgenden müssen unter anderem Zuständigkeiten definiert, Handlungsanweisungen für Sicherheitsvorfälle definiert, der Turnus für Schulungen festgelegt oder Checks von Lieferanten und Kooperationspartnern implementiert werden.

Gibt es eine Art Gerüst, an dem sich Unternehmen dabei orientieren können?

Corbe: Wer die Chance nutzen möchte, seine IT-Sicherheit grundlegend anzugehen und zugleich den Anforderungen des Gesetzes gerecht zu werden, sollte ein Informationssicherheits-Managementsystem (ISMS) etablieren. Entweder im Wege einer Zertifizierung nach dem internationalen Standard ISO 27001 oder mit Hilfe des deutschen Standards des BSI. Gesetzlich ist eine Zertifizierung nicht vorgeschrieben. Sie bietet sich jedoch insbesondere dann an, wenn bereits andere Zertifizierungsprozesse, etwa zum Qualitätsmanagement (ISO 9001) oder Umweltmanagement (ISO 14001), umgesetzt oder angestoßen sind. Vieles greift hier ineinander.

Das Gesetz sieht höhere Geldbußen vor, wenn es bei den Umsetzungen hapert. Muss dieses Risiko Unternehmen große Sorgen bereiten?

Corbe: Ich würde das zum jetzigen Zeitpunkt nicht überbewerten da es noch keine Präzedenzfälle der Rechtsdurchsetzung gibt. Sowohl die Sanktionen als auch die Vorstands- und Geschäftsführerhaftung zeigen in erster Linie, dass Cybersicherheit aus Sicht der EU eine höhere Bedeutung zuteil wird. Das Thema sollten Unternehmen aber nicht aus Angst vor Strafen angehen, sondern weil es in ihrem ureigenen Interesse liegt, Know-how, Prozesse, Daten und Systeme vor externen Angriffen zu schützen – das ist meine Kernbotschaft! Im Übrigen habe ich die Aufsichtsbehörde, das Bundesamt für Sicherheit in der Informationstechnik, bei der Umsetzung der bisherigen IT-Sicherheitsregeln als sehr kooperativ wahrgenommen. Auch dem BSI ist vor allem daran gelegen, den Sicherheitsstandard in Deutschland stetig zu erhöhen – und nicht daran, Bußgelder zu verhängen. Bei Zweifelsfragen wird es sich auch künftig lohnen, den direkten Kontakt zum BSI zu suchen.

Wie lange dauert es, ein ISMS zu implementieren?

Corbe: Das hängt mit den bereits ergriffenen Maßnahmen, der Größe des Unternehmens, der Branche und der Anzahl der verschiedenen IT-Systeme und den vorhandenen Ressourcen zusammen. Mitarbeitende, die intern zuständig sind und gegebenfalls externe Unterstützung sowie der Wille der Geschäftsführung sind ebenfalls absolut wichtige Faktoren. Insgesamt kann das gut und gerne bis zu einem Jahr und länger dauern. Wichtig ist, dass Cybersicherheit kein einzelnes Projekt ist, sondern als Prozess verstanden wird. Es ist entscheidend, dass die Unternehmen kontinuierlich daran arbeiten.

Und welche Kosten müssen Unternehmen einkalkulieren?

Corbe: Auch das lässt sich nicht pauschal beantworten. Sicherlich fallen Ausgaben für Personal, externe Beratung, zusätzliche Soft- oder Hardware und eventuell Prüfgebühren an. Aber auch hier gilt: Die Unternehmen machen das für sich. Und es zeigt sich immer wieder, dass es auch ökonomisch nachhaltiger ist, das Thema einmal ganzheitlich und strukturiert anzugehen, anstatt immer wieder Brände löschen zu müssen, ganz zu schweigen von den Kosten, die durch einen schwerwiegenden Cyberangriff entstehen.