#25: Von der Pflicht zur Chance

Lisa Fröhlich: Lisa Fröhlich Ja, hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich und ich bin Unternehmenssprecherin bei Link11. Ich freue mich, dass ihr heute bei unserer dritten Bonusfolge mit dabei seid und mich in den digitalen Kaninchenbau begleitet. Heute steht ein sicherheitsrelevantes Thema der etwas anderen Sorte auf dem Plan und mit meinem heutigen Gast Florian Frisse, Partner und Rechtsanwalt bei Schalast spreche ich über die NIS-2-Richtlinie, also das Update der Network and Information Security Directive, die am 16. Januar 2023 schon in Kraft getreten ist und eigentlich bis zum 17. Oktober 2024, also knapp in ein paar Tagen, in nationales Recht umgesetzt sein sollte. Florians Schwerpunkt liegt im Bereich des IT- Urheberrechts und deshalb ist er der ideale Counterpart für die heutige Folge. Vielen Dank Florian, dass du dir die Zeit nimmst und unseren Hörerinnen und Hörern einen fundierten Einblick zu einer Zwei-Richtlinie gibst. Doch bevor wir beide jetzt uns in den Regulierungsdschungel begeben, stell dich doch bitte unseren Hörerinnen und Hörern kurz vor.

Florian Frisse: Florian Frisse Ja, Lisa, vielen Dank dafür, dass ich heute hier dabei sein darf. Ja, wie gesagt, Florian Friss ist mein Name. Ich bin, glaube ich, seit 17 oder 18 Jahren als Anwalt tätig im Bereich Urheber und eben IT-Recht. Dort schwerpunktmäßig auch im Bereich Informationssicherheit und damit eigentlich prädestiniert für den Bereich NISZII, weil das so bisschen zu meinem nicht täglichen, aber doch fast täglichen Handwerkszeug gehört Informationssicherheit und entsprechend bin ich auch dafür qualifiziert als ISMS-Officer, was vielleicht einige Zuhörer aus was sagen wird. dann können wir...

Lisa Fröhlich: Lisa Fröhlich ISMS ist kurz für die, die es nicht wissen.

Florian Frisse: Florian Frisse Information Security Management System.

Lisa Fröhlich: Lisa Fröhlich ja, genau, weil das, wir sprechen immer schön in Abkürzungen und man ist da so total drin in seinem eigenen Tunnel, aber ich versuche immer die Abkürzungen zumindest einmal zu erklären. Ja, jetzt hast du ja schon gesagt, es geht quasi Informationssicherheit und das Management von Informationssicherheit und

Florian Frisse: Florian Frisse Ja.

Lisa Fröhlich: Lisa Fröhlich Wie wir alle wissen und hier im Podcast auch schon zu Genüge thematisiert wurde, ist es einfach, was die Bedrohungslandschaft angeht, da draußen richtig wild. Laut dem aktuellen X-Force Threat Intelligence Index von IBM verzeichnete Europa im Jahr 2023 mit einem Drittel aller Vorfälle weltweit die meisten Cyberangriffe. Dabei zeigt der Bericht auch, dass 74%, also quasi drei Viertel der Cyberangriffe, in der EU auf die kritische Infrastruktur abzielten, was natürlich einen Anstieg bedeutet, aber auch zeigt, wie verbundbar dieser Sektor ist. ja, wir wissen alles, Cyber-Sicherheit ist kein isolierter Bereich, sondern betrifft alle Aspekte eines Unternehmens. Und genau da setzt ja die NIS-2-Richtlinie, über die wir jetzt gleich sprechen, an und die erfordert von Unternehmen und insbesondere von KRITIS-Betreibern eine ganzheitliche Sicherheitsstrategie, die technische, organisatorische und menschliche Faktoren mitberücksichtigt. Doch vielleicht kannst du uns mal erzählen, was genau die NIST 2-Richtlinie überhaupt bedeutet und warum sie für die Sicherheit und die Cybersicherheit oder die Stärkung der Cybersicherheit für Unternehmen so wichtig ist.

Florian Frisse: Florian Frisse Ja, gerne. Ja, die NIS-II-Richtlinie, der Name sagt schon so ein bisschen. Es gibt eine NIS-I-Richtlinie, ist sozusagen eine Weiterentwicklung gegenüber der Vorgängerversion der NIS-I-Richtlinie. Und man hat auf EU eben halt festgestellt, das Thema Cybersicherheit war bisher zwar von der EU ein bisschen vorgegeben, aber doch sehr stark den nationalen Gesetzgebern die Umsetzung überlassen. Und auch die Sektoren waren relativ eingeschränkt. Das wollte der Gesetzgeber auf EU-Ebene doch etwas mehr fokussieren auf sich, dass in der EU einheitliche Sicherheitsstandards gelten sollen. Deswegen wurde ein neuer Rahmen, eine neue Richtlinie geschaffen, ein einheitliches Rahmenwerk zu schaffen und gleichzeitig auch deutlich zu erweitern. hat festgestellt in letzten Jahren, dass eben nicht nur die klassischen kritischen Infrastrukturen, die man schon kannte, sondern auch weitere

Lisa Fröhlich: Lisa Fröhlich Mmh.

Florian Frisse: Florian Frisse Leistungen oder Dienstleistungssektoren hinzuzählen. Das hat auch jeder mitbekommen. Ich erinnere gerne an die Corona-Zeit, was auf einmal angeblich kritisch war, nicht kritisch war. Wir Anwälte haben uns auch auf einmal als kritische Infrastruktur gesehen, wir zur Impfung durchbekommen haben. Und das hat der Gesetzgeber auch gesehen. Deswegen, dass Dienstleistungen wichtig sind für die tägliche Daseinsvorsorge, die man so gar nicht kennt, gar nicht im Fokus hat und im Blick hat.

Lisa Fröhlich: Lisa Fröhlich Hmm...

Florian Frisse: Florian Frisse Aber wenn sie auf einmal fehlt, auch ein ganz kleiner Baustein, auf einmal sagt man, der bricht einen Riesen, dann kommen nachher wahrscheinlich später zu Lieferketten zusammen. die Bevölkerung der EU steht auf einmal ohne Dienstleistungen und Waren, ohne Sicherheitssysteme da, Gesundheitssystem und sonstige Dinge. Das sollte halt oder wird dieser NIS-II-Richtlinie deutlich erweitert. Wenn Internet oder auch von diversen Behörden wird kolportiert, angeblich so 29.500 Unternehmen, dass diese berühmte Zahl, immer zu lesen ist und zu hören ist.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Florian Frisse: Florian Frisse weiß es nicht, keine Ahnung, ob das ist. Ich habe das Gefühl, die Größenordnung kann gut stimmen, aber ob das jetzt wirklich 29.500 sind oder 32.000, wie auch immer, ich weiß es nicht. Aber es ist eine große Zahl Unternehmen, die von betroffen sein wird und ist.

Lisa Fröhlich: Lisa Fröhlich Ja, das heißt aber auch, und das ist ja für viele Unternehmen auch die große Herausforderung. es ist klar, dass NIS 2 eigentlich quasi ja in Kürze auch in nationales Recht umgesetzt werden sollte. Das ist in Deutschland noch nicht der Fall. Es gibt Pläne des Ministeriums, dass die NIS 2 wohl im März 2025 kommen könnte. Wir wissen es alle nicht so genau. Natürlich ist Europa, wie du schon gesagt hast, interessiert, das Ganze zu vereinheitlichen, damit eben auch in ein einheitliche Sicherheitsstrategie gefahren wird und Cybersicherheit im Grunde als eines der großen Unternehmensrisiken ja auch betrachtet wird, weil oft war es ja in der Vergangenheit noch so, dass Cybersicherheit vielleicht so ein Teilbereich war, der vielleicht bei dem ein oder anderen Unternehmen gar nicht in diese große Risikoanalyse mit reingespielt hat. du hast es angesprochen, in Zukunft sind knapp 30.000 Unternehmen davon betroffen. Und aktuell gibt es ja in Deutschland kritische Infrastrukturbetreiber von die 4.000 bis 5.000, wenn ich mich nicht irre. Also es ist schon auch so, dass die Betroffenheit schon einiges steigt. Aber wie du gesagt hast, und das denke ich eben auch, dass NIS-2 ein wichtiger Schritt in die richtige Richtung, die vor allem Widerstandsfähigkeit der digitalen Infrastruktur zu stärken. Und das haben wir ja während Corona ganz deutlich gesehen. Also wie du schon gesagt hast, es sind plötzlich Dinge aufgefallen, die uns vorher vielleicht gar nicht so klar waren. Und dann hat sich natürlich mit der, wie ich sie immer nenne, Turbodigitalisierung auch die Angriffsfläche unfassbar vergrößert. Also ich meine, natürlich, weiß ich nicht, zwei Drittel der Bevölkerung plötzlich im Homeoffice arbeitet, dann biete ich natürlich auch Angriffsflächen, die vorher gar nicht existent waren. Und noch immer arbeiten ja viele Menschen in Teilen auch von zu Hause. Und die kritische Infrastruktur oder die Sektoren, die die kritische Infrastruktur ausmachen, da sind natürlich, wie du auch gesagt hast, neue Unternehmen dazugekommen. Da können wir ja vielleicht später nochmal drauf zurückkommen.

Lisa Fröhlich: Lisa Fröhlich Jetzt ist es natürlich so, dass die Risikoanalyse eines der Herzstücke von NIS-2 ist. Wenn ich jetzt KRITIS-Betreiber wäre, wie würde ich die NIS-2-Richtlinie denn konkret in meinem Unternehmen umsetzen? Gibt es da Forderungen oder Punkte, wo du sagst, das sind die, weiß ich nicht, Top 5, die Unternehmen in jedem Fall eins nach dem anderen abarbeiten müssen, damit sie die NIS-2-Richtlinien umsetzen und entsprechend konform sind.

Florian Frisse: Florian Frisse Ja, also es gibt natürlich jetzt sozusagen kein für jedes Unternehmen zu sagen, perfekte Lösungen haben, weil kein Unternehmen ja auch jetzt von der von neu geplant wird. IT-Infrastruktur von dem vom Reißbrett an Unternehmen existiert seit 50 hundertsten Jahren und hat so wie sie ist nun mal einfach allen ihren Stärken und Schwächen. Und damit muss man einfach umgehen. Punkt ist der Fakt einfach. Man kann nicht sagen, dass ist das und das geht auch nicht darum, jetzt zu fragen.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lisa Fröhlich: Lisa Fröhlich Ja, aber ...

Florian Frisse: Florian Frisse Wer hat vielleicht in der Vergangenheit irgendwelche Fehler gemacht? dieses Fingerpointing, dass irgendwie kein Geld da war für die IT-Infrastruktur oder der IT-Security, auch für Sachen, ich habe schon immer gesagt, das Thema ist so tief unterlegt, es kommt ja auch dann immer so gerne, das hören wir dann immer. Das wird in der Kommunikation auch ganz schnell dann ganz schwierig, dann auf einmal, wer auf einmal für vielleicht Fehler an Gänsefüßen verantwortlich ist. Und das muss man auch sehr sensibel mit den Unternehmen umgehen, weil es dann ...

Lisa Fröhlich: Lisa Fröhlich Ja.

Florian Frisse: Florian Frisse schnell auch ein Herzstück von manchen Unternehmen wird, wenn man dann von außen kommt und sagt, hier ist doch einiges im Magen. Also darum geht es überhaupt gar nicht, sondern es geht auch tatsächlich eine systematische Herangehensweise sozusagen zu finden, wie ich mit meiner Infrastruktur, die einfach nur mal da ist, meine Prozesse, meine Systeme umzugehen. Und das sind immer diese 5 Schritte tatsächlich, glaube ich, egal was es gibt. Aus dem Managementsystem sind immer gerne 5 Schritte. Ich muss als erstes tatsächlich diese Ist-Analyse, Risikoanalyse und Bewertung durchführen. Wo stehe ich eigentlich? Was habe ich da? Ich muss also wirklich mit Stift und Papier, von mir ist eine digitale Version, das Unternehmen gehen, die ganzen Prozesse tatsächlich mal aufzuschreiben. Was habe ich überhaupt? Und ich begleite auch Unternehmen. uns in der Kanzlei kümmere ich mich im Bereich Transaktionsgeschäft. Auch für den Reich IT bin ich natürlich zuständig. Und da merkt man auf einmal, wenn man Unternehmen durchleuchtet, was auf einmal doch alles auftaucht, wo vorher alles

Lisa Fröhlich: Lisa Fröhlich Mhm.

Florian Frisse: Florian Frisse und behauptet haben, dass es garantiert nicht gibt. Aber wenn man den berühmten Stein umdreht, kommt dann immer wieder mehr zuvor als nicht. dann ein schönes Beispiel, was ganz aktuell ist, Thema aktuelle Software. Das Unternehmen behauptet, ja, unsere Software ist alles aktuell. Und dann ein kurzer Blick in die Liste aus der Buchhaltung, was eigentlich an Assets sozusagen dort verzeichnet ist. Da kommt man fest, okay, also eure Software ist definitiv outdated, aber ihr scheint die immer noch zu benutzen. Einfach, weil die Standabschreibungsobjekte immer noch drin sind. Und ja, die setzen irgendwo noch ganz hinten rechts in der Ecke ein. Das sind so Sachen, die dann draufkommen. Ja, es so einfach. Ja, es war tatsächlich so. dann auch so, ja, das haben wir total vergessen, das gibt es auch noch tatsächlich.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja genau, da hinten rechts in der Ecke, wo dann der Hacker die Ecke kommt und reinkommt. Ja, liegt, wenn ich dich da kurz unterbrechen habe, das liegt ja auch daran, dass gerade IT-Infrastrukturen, die sind ja organisch gewachsen und das ist natürlich gerade, ich stelle mir das natürlich auch bildlich vor, wie du schon sagst, wir sind da nicht mehr auf einer grünen Wiese und wir können auch bei Bestandsunternehmen nicht mehr auf die grüne Wiese zurück und selbst bei Start-ups ist es ja so, dass die vielleicht in erster Linie mal versuchen, Business ins Laufen zu bringen und jetzt nicht über eine fancy IT, geschweige denn eine fancy IT Sicherheitsstruktur nachdenken. Also von daher wundert mich das nicht, dass gerade bei Transaktionen, wo vielleicht auch Unternehmen zusammengehen, die ein oder andere, ich will jetzt nicht sagen Leiche im Keller gefunden wird, aber doch die ein oder andere outdated Software entdeckt wird in der Buchhaltung.

Florian Frisse: Florian Frisse Ja, das ist also immer wieder schön zu sehen, halt sozusagen. Es geht nicht darum, da irgendjemanden eine Schuld zuweisen oder sowas, sondern einfach Fakt ist es einfach so. Also deswegen, erster Schritt ist tatsächlich Risikoanalyse und Bestandsaufnahme, Bewertungen im Unternehmen, wie gesagt, im Gänsefüßchen, Stift und Papier wirklich mal die Prozesse sich anschauen und das Unternehmen. Das kann natürlich sehr aufwendig sein. Das hängt davon ab,

Lisa Fröhlich: Lisa Fröhlich Mmh.

Florian Frisse: Florian Frisse wie groß das Unternehmen ist, wie komplex die IT ist und eben ob es nicht doch irgendwelche vergessenen Sachen gibt, die einfach immer da sind, die funktionieren, keiner mehr weiß, dass sie existieren sozusagen, weil man es halt schon immer so gemacht hat. Als nächstes ist dann sozusagen Schritt zwei, ist natürlich dann klassisch die Einführung technischer Sicherheitsmaßnahmen. Da muss man natürlich so bisschen schauen, was ist eigentlich da, was ist nicht da. Das ist ja eben ein Ergebnis aus dieser Risikoanalyse und Bestandsaufnahme. Da ist dann also, das kann man nur ganz generisch erzählen, wie sieht es aus mit meinen Firewalls, Zugriffskontrollen, Backup-Systemen, Updates-Systemen, ich einen Management, darauf Thema Verschlüsselung, Verwaltung von Assets, also von Geräten, Stichwort Bring your own device, es das, gibt es das nicht, Richtlinien, all das muss einfach in so einem Management-System erst einmal erfasst werden und dafür entsprechende Richtlinien dann aufgesetzt werden. Dritter Schritt wäre dann tatsächlich, glaube ich, wie immer dann die Schulung der Mitarbeiter, das sind die stärksten und gleichzeitig schwächsten wieder in Sicherheitskette. Ganz offen auch aus unserer Kanzlei sehe ich es ja auch, wie oft wir irgendwelche Spam-E-Mails und teilweise wirklich intelligent gemachte Systeme mittlerweile bekommen und wir auf unsere IT uns sagt Leute hier darauf bitte nicht klicken und wir dann intern auch Reports bekommen, wie viele Mitarbeiter doch auf diese

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lisa Fröhlich: Lisa Fröhlich Ja.

Florian Frisse: Florian Frisse Testbalance macht, wieviel draufklicken.

Lisa Fröhlich: Lisa Fröhlich Ja, das ist ja auch gerade, ich sag mal, ihr seid ja auch deutschlandweit verteilt, ne? Also, ihr habt über deutschlandweit verteilt ja Dependancen und jetzt wäre für mich, wenn ich sozusagen, ich versuche ja mich immer manchmal in diese Hacker reinzudenken, wenn ich Hackerin wäre, dann würde ich es auf jeden Fall mal so CEO-Fraud versuchen, weil natürlich ich davon ausgehen würde, dass vielleicht euer Geschäftsführer möglicherweise schon mal öffentlich aufgetreten ist, ich seine Stimme irgendwie abgreifen könnte und vielleicht der ein oder andere Mitarbeitende an einem oder anderen Standort den Menschen vielleicht ja noch gar nicht so richtig richtig persönlich erleben durfte oder konnte und dann ist natürlich vielleicht gerade derjenige, neu angefangen hat oder der Volontär oder ich weiß es nicht vielleicht ein gefundenes Fresschen für denjenigen und Ich könnte quasi als CEO ihm bestimmte Anweisungen geben oder eben entsprechende E-Mails schreiben und vielleicht noch einen Telefonanruf hinterher schieben. das wären für mich so, wenn ich darüber nachdenke, ist es ja natürlich für euch schwieriger, sag ich mal, sozusagen alles zu schützen. Aber das gilt ja für die kritischen Infrastrukturen zum Teil auch. Also ich sag mal so ein Energieversorger, der jetzt beispielsweise verschiedene die Stationen beherbergt oder verschiedene Dependancen irgendwo hat oder nicht nur eben an einem Ort sitzt oder ein Konzern, der 5.000 Mitarbeitende hat, da kennt ja am Ende des Tages nicht jeder den CEO oder seinen dritten Vorgesetzten in der Hierarchie-Ebene persönlich und dann sind die natürlich auch an so einem Freitagnachmittag gefundenes Opfer für Angriffe.

Florian Frisse: Florian Frisse Ja, witzigerweise, man könnte meinen, wir haben es abgesprochen, aber es ist, ich schwöre, es ist nicht. Es gab solche Versuche auf unsere Kanzlei auch schon. Es gibt tatsächlich diese, wo dann auf einmal gerade unser Namensgeber tatsächlich sehr präsent ist, im Funken Fernsehen, Versuche per Mails, wo auf einmal dann behauptet wird, man müsste jedem dieses oder welches noch veranlassen. Das gibt es tatsächlich auch bei uns tatsächlich. Und wir geben selber auch als Kanzlei, wir sind ja für Berufswegen, wir schon immer

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lisa Fröhlich: Lisa Fröhlich Mh.

Florian Frisse: Florian Frisse zum Thema Datenschutz, Informationssicherheit sehr sensibel, aber wir geben sehr viel Geld im Verhältnis, glaube ich, auch zu anderen Kanzleien aus zum Thema IT-Informationssicherheit. Da kommen wir schon später zu, weil wir es auch wirklich als Chance sehen, sozusagen auf dem Wiederum in dem Rechtsanwaltsmarkt, sozusagen, wenn man wieder mit Kunden, Mandatsverhältnissen steht, die tatsächlich aus dieser regulierten Industrie kommen.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lisa Fröhlich: Lisa Fröhlich Ja.

Lisa Fröhlich: Lisa Fröhlich Ja.

Florian Frisse: Florian Frisse damit zu bewerben halten. Wir versuchen tatsächlich so bisschen, Vorreiter, man das so mit Hochtraum annehmen wir wollen vorne weg sein.

Lisa Fröhlich: Lisa Fröhlich Ja, verstehe ich total, weil ich bin absolut davon überzeugt, dass Cybersicherheit, Wettbewerbs- und vor allen Dingen Erfolgsfaktor für Unternehmen auf die lange Sicht ist. das geht nicht mehr weg. Wir werden keine Zeiten mehr erleben, in denen wir weniger Angriffe sehen. Das ist zumindest meine persönliche Meinung. Das Internet wächst monatlich 5%. Also egal in welche Richtung, es wird auch nicht mehr schrumpfen. Wir stehen immer noch am Anfang der Digitalisierung. ich mit den Professoren spreche, für die ich gearbeitet habe, die sind schon meilenweit ganz woanders mit bestimmten Angriffsszenarien im Forschungsbereich. Und das ist ja ein Wettrennen, was wir im Zweifel als potenzielle Opfer, da müssen wir immer nur gucken, dass wir Schritt halten können, weil diese, diese organisierten Hacker-Gruppierungen sind einfach, die sind organisiert wie mittelständische Unternehmen, die ticken anders, die funktionieren gut, die sind international vernetzt. das ist, wer mal so, wer mal so einen Einblick in so eine Ransomware-Gruppe bekommen hat, der schlackert danach wirklich nur mit den Ohren. Aber kommen wir zurück zu NIS-2. Du bist beim vierten Schritt.

Florian Frisse: Florian Frisse Ja, genau, den dritten Schritt hatten wir gerade, also dass die Mitarbeiter tatsächlich, wie gesagt, dass man die abholt, dass man die aufklärt. Schulungen und sowas, ist sozusagen das Thema. haben bei uns, wie bei uns Kanzler, Intranet relativ viel zu dem Thema. Genau, das wäre der Schritt drei. Schritt vier, ich, ist sehr wichtig, einmal Notfallpläne und Meldepflichten, wo ich das Ganze nenne. Also die Meldepflicht ergibt sich dann auch zum Gesetz.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Florian Frisse: Florian Frisse was ich tun muss. Wichtig ist aber tatsächlich Notfallpläne. Was ist im Worst-Case-Szenario? Was passiert, wenn es dazu gekommen ist, dass sich meine Systeme gehackt sind, wenn Cyber-Sicherheitsvorfall war? Wie gehe ich damit Wie kriege ich mein Unternehmen, wie auch immer, wieder zu laufen? Das ist das... Bei uns ist mal vor kurzem, wir haben eine Thermal-Server-Lösung für ein paar Minuten, meine Thermal-Server ausgefallen einfach und dann hat das...

Lisa Fröhlich: Lisa Fröhlich Ja.

Florian Frisse: Florian Frisse bisschen gedauert, bis das Backup-System ist. Und dann sehe ich dann die Kollegen dann auf einmal zehn Minuten Kaffee trinken halten. Das war eine kleine Kanzlei, das war jetzt kein großer produzierender Betrieb dann einfach. Man sieht aber sofort, was das für das Unternehmen bedeutet. Also es hat bei uns keiner ausgerechnet, viel, weil bei uns die Arbeit ja einfach nachgeholt wird. Aber wenn der jetzt einfach alles stehen bleiben würde, wie Stromausfall, wäre schon immer, das ist immer beeindruckend sozusagen. Das war total harmlos, diese Sache. ist irgendwie, hat auch alles sofort funktioniert. Trotzdem sieht man,

Lisa Fröhlich: Lisa Fröhlich Ja.

Florian Frisse: Florian Frisse was das bedeutet. Wenn man sich das jetzt vorstellt, was ja auch so einige Unternehmen in Deutschland ja leider getroffen hat, glaube ich war ja ein Kabelhersteller oder so Automobilzulieferer, der auf einmal Funktion wochenlang nicht hat einstellen müssen, das ist schon wirklich beeindruckend im negativen Sinne, was das bedeutet hat.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, ich will jetzt die Diskussion an dieser Stelle gar nicht aufmachen, es gab ja in Nordrhein-Westfalen einen großen Fall und ich will mit dir auf jeden Fall noch über die Risiken in der Lieferkette sprechen, weil da ist genau das passiert. ist ein IT-Dienstleister quasi ausgefallen und das hat Monate gedauert, bis in den einzelnen Kommunen und Städten die Arbeit wieder ordentlich anlaufen konnte.

Florian Frisse: Florian Frisse Ja.

Florian Frisse: Florian Frisse Ja.

Lisa Fröhlich: Lisa Fröhlich Und ich persönlich finde es unfassbar, dass die Kommunen und Städte nicht unter Nist 2 fallen. Aber das steht auf einem anderen Papier. Das ist auch eine ganz andere Diskussion. Kommen wir zu Schritt 5 und dann würde ich noch mal einsteigen in die Lieferkette, weil das ist hochspannend.

Florian Frisse: Florian Frisse Ja genau, jetzt ist es genau. Tatsächlich Schritt 5 würde ich tatsächlich meiner Aufteilung tatsächlich als Absicherung der Lieferkette bezeichnen. Es ist halt nichts, wenn mein eigenes Unternehmen sozusagen, wenn ich das im Griff habe, aber ich halt auf Dienstleister oder auf Dritte angewiesen bin und auch wirklich abhängig bin und wenn ich das dort, diese Unternehmen, wenn ich das da nicht im Griff habe. Das ist der Punkt einfach. Und das ist jetzt genau der Punkt.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Florian Frisse: Florian Frisse Ich es vielleicht auch bisschen vorwegnehmen, wie sichere ich diese Lieferkette eigentlich ab? Einmal was dann gerne rüsten, gerne machen und das berühmte Papier produzieren, über Audits durchführen lassen und vertragliche Absicherungen. Das ist ganz schön, man kann das Papier, geduldig, man schreibt das rein, wer verantwortlich ist und macht und tut und macht komplexe Situationen, wer wann wo zahlen muss. Das ist alles schön und gut.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Florian Frisse: Florian Frisse kann man sich dann überlegen, ob das reicht oder nicht reicht und ob die Klausel dann genau den Fall umfasst hat, der jetzt gerade eingetreten ist. ist schön. Wichtig ist, glaube ich, tatsächlich in dem Bereich, dass man sich dieser Rolle des Dienstleisters bewusst ist, welche Stellung er hat und

Lisa Fröhlich: Lisa Fröhlich Man muss im Grunde die eigene kritische Risikoanalyse auf seine Lieferanten übertragen. Es geht ja auch erst mal darum zu sagen, wer von meinen Lieferanten und ein Konzern oder eine kritische Infrastruktur, die hat ja einige Lieferanten. Wir reden ja hier nicht von drei Lieferanten, sondern wir reden vielleicht von hunderten. Da geht es ja auch erst mal im ersten Schritt, wenn wir jetzt eine fünf Schritte durchgehen, zu gucken,

Florian Frisse: Florian Frisse Liest es?

Lisa Fröhlich: Lisa Fröhlich Wen habe ich denn überhaupt alles? Was liefern die mir? Sind es kritische Komponenten? Sind es keine kritischen Komponenten? Also Unternehmen müssen in jedem Fall alle Risiken in der Lieferkette erfassen. das beginnt meines Erachtens damit, sich erst mal ein Bild darüber zu verschaffen. Wer beliefert mich mit was?

Florian Frisse: Florian Frisse Richtig, das ist das Wichtigste. Und dann wie gesagt, nicht einfach nur diesen Vertrag, den Kaufmensch auszufahren, dass die Teile just in time oder was auch immer geliefert sind, sondern tatsächlich auch und nicht nur auf Kaufmensch eben diese Kommunikation aufrecht halten, sondern eben auch zum Thema Informationssicherheit sich auszutauschen. Das heißt, man auch da für beide Seiten Verständnis hat, worum es geht, wo die Themen sind tatsächlich.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Florian Frisse: Florian Frisse Also nicht bitte nur einmal den Einkäufer oder den entsprechenden Dienstleistersteurer da einmal im Jahr vorbeischicken, weil es einen großen Dienstleister, sondern auch jemand aus der IT-Abteilung, sozusagen, das sich auch darum kümmert. Genau, das ist wichtiger Punkt. Dann, wie gesagt, diese vertragliche Absicherung, die definitiv dazugehört, dass man nachher zum Scherbenaufkehren dann auf jeden Fall eine Lösung hat, wenn es dann doch dazugekommen ist. Wer verantwortlich ist?

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Florian Frisse: Florian Frisse Und wie gesagt, man sollte sich nicht schämen und es gehört auch definitiv dazu, das Ganze zu auditieren. Man muss es nicht selber machen, sondern kann auch über den Dritten das machen und eben dieses Thema an den Dienstleister mit seinen Sicherheitsüberprüfungen einbeziehen.

Lisa Fröhlich: Lisa Fröhlich Man muss ja natürlich auch fragen, weil das ist ja auch eine naheliegende Frage in diesem ganzen komplexen NIS-2-Kosmos, in dem wir uns gerade bewegen, wie geht denn mein Dienstleister mit dem Thema Cyber-Sicherheit Hat mein Dienstleister ein wirksames Business Continuity Management implementiert? Also wissen die, wie sie damit umgehen, wenn es bei ihnen brennt? Wie gesagt, wie können die verlässlichen Lieferzeiten oder verlässliche Lieferungen garantieren oder durchführen, wenn da irgendwas ausfällt? Das finde ich eben auch eine Sache, ja, und das glaube ich, eben das, was die große Herausforderung mit der Implementierung von NIS-2 ist. Das ist ja was, was unheimlich viele Ressourcen auch kostet. diese ganzen Risikoanalysen zu machen und erst mal so einen Status Quo zu erfassen. Damit muss man sich ja beschäftigen und wenn man dann überlegt, dass sich das noch auf eine Lieferkette von X-Lieferanten ausweitet, dann ist es ja schön, es, wie du schon sagtest, die entsprechenden Verträge gibt, aber am Ende des Tages will ja keiner, dass eine kritische Infrastruktur ausfällt.

Florian Frisse: Florian Frisse Ja, das ist tatsächlich eine große Herausforderung und das ist, glaube ich, tatsächlich aber auch kein großer Wettbewerbsvorteil sein. Wenn ich von vornherein mich im Markt, hatte ich ja für nur angesprochen, auch als ganz Leib, Unternehmen so ein bisschen auch präsentiere.

Lisa Fröhlich: Lisa Fröhlich Mhm, ja.

Florian Frisse: Florian Frisse kein Unternehmen wird es hinbekommen, zu 100 Prozent das perfekte IT, sich als Konzept hinzustellen. Das funktioniert einfach nicht wie in der realen Welt. Aber gleichwohl, wenn ich mit dem Thema offen umgehe, kann ich das Ganze sozusagen auch ins Schaufenster als Marketingmaßnahme darstellen. Das ist ja immer das Gleiche. Welche Motive gibt es denn? Ich habe einmal meine intrinsische Motivation. Ich will einfach, dass mein Unternehmen, meine Firma läuft und ich einfach durch einen Stillstand habe. Dann habe ich eben diese vertraglich-wettbewerbliche Situation.

Lisa Fröhlich: Lisa Fröhlich Ja.

Florian Frisse: Florian Frisse kann mir dann einen Vorteil schaffen, auch wenn ich gar nicht direkt von der NIS-2 betroffen bin, weil ich eben so klein und unbedeutend bin, zumindest auf ersten Augenblick. Aber eben da ich vielleicht Zulieferer von einem großen Energieversorger bin oder was auch immer laut Mobilindustrie, vielleicht dann doch auf einmal da runterfalle, kann ich mich sagen, okay, ich möchte gerade in dieser schwierigen Zeit, da ein bisschen nach vorne positionieren und macht das mehr oder weniger, lasst auch das Marketing Budget darauf einzahlen, dass ich mich das unternehme und versuche die Kosten auch intern anders aufzustellen und zu verteilen. Und drittens natürlich einfach klar, der Gesetzgeber mit dem Gesetzgeber schon Keule kommt, bin ich einfach so, das sind die drei Bereiche, woher ich komme. Das ist natürlich nur der Gesetzgeber kommt, ich mache es nur, das Gesetz ist da, ich muss es machen. Ich glaube, das ist

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lisa Fröhlich: Lisa Fröhlich Ja.

Florian Frisse: Florian Frisse ist nicht ganz geschickt, das so zu agieren, weil das so eine lästige Pflicht ist. Ich glaube, wenn man diese Pflicht schon hat, dann soll man es eben diesen anderen beiden Themen vielleicht eher so bisschen versuchen mitzudenken und das Positive rauszuziehen. Das hat man ja auch so bisschen bei der Darsteller-Grundverordnung gesehen. Es wird immer noch immer von vielen als lästige Pflicht und nur als Ärgernis gesehen, was Kosten produziert. Ich habe oder wir haben Mandanten, die das anders...

Lisa Fröhlich: Lisa Fröhlich Mmh.

Florian Frisse: Florian Frisse sind tatsächlich. Die hatten das Thema vorher schon ein bisschen im Fokus gehabt. Es gab ja schon Datenschutzbefall, der Datenschutzgrundverordnung, auch wenn es keiner glaubt. Aber es ist so. Und die haben es tatsächlich geschafft, für sich an den Markt etwas anders zu, sich darauf zu positionieren einfach. Und deswegen auch hier mein Petitum fast dafür zum Thema, jetzt nicht nur einfach als noch eine Weite Bürokratie, die von oben kommt, zu sehen. Ja, das kann ich verstehen. Das ist viel Aufwand.

Lisa Fröhlich: Lisa Fröhlich Ja.

Lisa Fröhlich: Lisa Fröhlich Ja.

Florian Frisse: Florian Frisse gerade dieses Thema, weil das Ganze ja auch so ein Lifecycle Management ist. Thema ist ja eben nicht nur, ich mach's jetzt nicht mal an und dann ist es dann, den Haken unten, schiebst in die Ecke, sondern das braucht auf jeden Fall Geld, Ressourcen, Personal und es braucht halt auch vor allen Dingen die entsprechende Management Detention drauf einfach. Das ist immer, dass man sich nicht nur jeden Monat die Produktionszahlen mitteilen lässt, sondern auch tatsächlich zum Thema, wo stehen wir denn im Bereich, was müssen wir tun, einfach. Aber man kann es definitiv

Lisa Fröhlich: Lisa Fröhlich Ja. Es dynamisch. Ja.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja.

Florian Frisse: Florian Frisse Wir es mal als Marketingmaßnahme oder Mittel fassen.

Lisa Fröhlich: Lisa Fröhlich Ja, ich finde das, wie gesagt, finde das nach wie vor unfassbar spannend, weil ich glaube, dass eben gerade bei vielen Unternehmen noch quasi große, naja, ich weiß nicht, ob Fragezeichen entstanden sind, wie sie das Umsetzen. Ich glaube, es ist relativ klar geworden, auch mit den fünf Punkten, die du aufgeführt hast, wie im Grunde Unternehmen oder KRITIS-Betreibende, die eine zwei Richtlinien umsetzen können und was sozusagen Kerninhalte sind. Und es geht ja auch, wie du schon gesagt hast, gar nicht darum, den Unternehmen zusätzliche Steine in den Weg zu legen, sondern es geht ja wirklich mit dieser Richtlinie darum, die Widerstandsfähigkeit, also die Cyber-Resilienz der Unternehmen zu stärken. Und das ist einfach im Zuge dessen, was da draußen in der Cyberlandschaft los ist und wir haben jetzt der neue ENISA-Report wurde veröffentlicht und beispielsweise haben DEDOS Angriffe Ransomware überholt. Und es hat natürlich was mit den auch politisch motivierten Angriffen zu tun, die wir sehen. Wenn wir eine Europakarte malen würden oder eine Weltkarte malen würden und würden sozusagen Wladimir Zelenskys Reiseroute uns anschauen, dann könnten wir direkt sehen, wie das mit den politisch motivierten DDoS-Angriffen zusammenhängt. Und mal abgesehen von den DDoS-Angriffen, Ransomware ist nach wie vor eine der großen Herausforderungen für Unternehmen. Und gerade du hast es angesprochen, selbst wenn mal ein Server irgendwie runterfährt, aus welchen Gründen auch immer, das muss jetzt ja gar kein Angriff sein, sondern vielleicht kurzer Stromausfall oder wie auch immer. Wenn sozusagen zehn Minuten in bestimmten Unternehmen der Betrieb stillsteht, dann kann das ja unfassbar große Auswirkungen haben, die wir uns vielleicht jetzt hier gar nicht vorstellen können, weil wir ja gar nicht wissen, was beispielsweise in dem produzierenden Gewerbe in der Chemieindustrie oder es vielleicht für Sicherheitsvorkehrungen gibt, die erstmal wieder sozusagen

Lisa Fröhlich: Lisa Fröhlich neu gestartet werden müssen, vielleicht hängen an der einen Produktionsstraße noch vier andere Produktionsstraßen dran und dann stehen plötzlich fünf Produktionsstraßen und zehn Minuten sind ja in bestimmten Geschäftsbereichen, da geht es ja schnell mal in den Ausfall in Millionenhöhe. Das können wir uns jetzt vielleicht so gar nicht vorstellen. Aber es gibt ja Unternehmen, die genau solche Zahlen liefern und das untersucht haben. Und ich glaube tatsächlich, dass das NIS-2-Richtlinie und das ist halt auch einfach der Wunsch, dass es vereinheitlicht wird. Wir leben in der vernetzten Welt, wir leben global, wir beziehen aus verschiedenen europäischen Ländern Dienstleistungen, Waren etc. pp. Meine Software kommt vielleicht nicht immer aus Deutschland oder aus dem europäischen Ausland. man hat ja an allen möglichen Stellen immer quasi Hürden, die man zuzunehmen hat. Aber am Ende des Tages, und du hast das schöne Beispiel mit dem Datenschutz genommen, die Unternehmen, die sich da rechtzeitig aufgestellt haben, die haben am Ende tatsächlich, ich will jetzt nicht sagen die Nase vorn, aber sie haben doch einen entscheidenden Wettbewerbsfaktor, den vielleicht andere erstmal nachholen müssen. Jetzt mit Blick auf unsere Zeit und die Lieferkette, die wir jetzt zumindest mal kurz besprochen haben, würde ich dich gerne am Ende unserer Folge noch mal fragen, was so in kurzen Sätzen deiner Meinung nach die größten Herausforderungen einerseits und aber auch die größten Chancen sind, die NIS 2 mit sich bringt.

Florian Frisse: Florian Frisse Ja, also wir hatten glaube alle Punkte schon ein bisschen. Also größte Herausforderung ist tatsächlich, glaube ich, die, dass die richtigen Personen, die sich dann mit dem Thema auskennen, tatsächlich den Markt zu finden. Denn der Markt ist tatsächlich, das kriege ich tatsächlich mittlerweile komplett leergefegt. Leute, die sich, also

Lisa Fröhlich: Lisa Fröhlich Mhm.

Florian Frisse: Florian Frisse Beratermarkt, aber tatsächlich alle Leute, dem Bereich sich was machen, glaube ich, also Job-Schwierigkeiten und Angebote brauchen sich alle keine Sorgen zu machen, da steht man tatsächlich eher der Schlange bei dem Thema. Also das ist tatsächlich der Punkt, man muss tatsächlich sich auch darum kümmern, tatsächlich. ist nicht einfach so, ich kaufe jetzt mir mein IT-Sicherheitsprodukt und habe das implementiert, sondern das eben das Leben davon, dass das Ganze ebenso ein, wie man so schön sagt, Lifecycle-Management ist und das man muss das.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Florian Frisse: Florian Frisse sich darum kümmern einfach. Chancen glaube ich ist die größte tatsächlich. Ich kann mir einen Wettbewerbsvorteil selber schaffen, wenn ich nicht direkt in Tennis 2 falle, aber eben im Rahmen im Wettbewerb stehe und mich dort anders positionieren kann als guter Lieferant, der sich zu dem Thema habe. Man kann das wirklich sehr gut ins Schaufenster stellen, muss man einfach sagen. Das sehe ich als ganz, ganz große Chance dazu. Aber das ist natürlich auch eine Chance, dieses, wie heißt das schon auf Englisch, das schließt sich irgendwann auch mal, wenn alle das Thema auch dann irgendwann vielleicht dann nicht mehr so bedeuten. Deswegen, wenn, dann muss man auch da sagen, ich will jetzt diesen Schritt einfach gehen und nicht nach hinterher. Ja gut, ich muss es sowieso auch machen. Jetzt laufe ich da hinterher und trabe dahinter her. Das ist, ich, die größte Chance, dem ganzen Markt, das Ganze als sich eigenes Marketingkonzept zu sehen. Risiken, wie gesagt, tatsächlich bekomme ich das eigentlich

Lisa Fröhlich: Lisa Fröhlich Mhm. Klar.

Florian Frisse: Florian Frisse will jetzt gar nicht auf die gesetzliche Pflicht sozusagen abzielen, weil wer jetzt anfängt, egal ob es jetzt im Oktober oder im März kommt, der wird es sehr schwierig haben, die NIS 2 einzuhalten. ist erst ein Ding der Unmöglichkeit. Da hat man vielleicht seine Ist-Analyse wahrscheinlich bis Ende März realistisch einigermaßen im Griff. ist tatsächlich, wie kriege ich das Ganze, wie gehe ich mit dem Thema wie kriege ich das bei mir implementiert tatsächlich.

Lisa Fröhlich: Lisa Fröhlich Ja.

Florian Frisse: Florian Frisse ist natürlich eine Herausforderung, das muss ich halt aufstellen. Und gesagt, es gibt vor allem nichts, das die, ich nenne es jetzt mal wer auch immer, der Security Officer, der vorherschwendet von Unternehmensgröße ab, wie das die IT-Abteilung aufgestellt ist, wenn das Thema dort so ein bisschen dann adressiert, wird nach oben. Aber die Geschäftsleitung muss das Thema entsprechend dann auch tatsächlich wahrnehmen und auch unterstützen. Vor allem nicht nur finanziell, sondern auch tatsächlich

Lisa Fröhlich: Lisa Fröhlich Mmh.

Florian Frisse: Florian Frisse ist eine Einstellungssache tatsächlich einfach. sagt ja, komm, hier unten macht er mal einfach, hier ist bisschen Geld. Man lässt mich mit dem Thema in Ruhe. So klappt das definitiv nicht. Also der Geschäftsleiter will seine Rolle schon so bisschen wahrnehmen. Ich will es gar nicht wegen, ich weiß es gar nicht auswendig, dieser berühmte Bußgeldkatalog, der wird da gerne mal mitgespielt, gedroht. Ja, das gibt das Bußgeld, das ist auch hoch und das kann auch sehr, sehr hoch sein. Aber das sollte eigentlich gar nicht sozusagen, man soll nicht zu schnell fahren.

Lisa Fröhlich: Lisa Fröhlich Das glaube ich auch nicht.

Lisa Fröhlich: Lisa Fröhlich Ja.

Lisa Fröhlich: Lisa Fröhlich die Motivation sein. Also als Unternehmenslenker sollte man eigentlich daran interessiert sein, dass sein Unternehmen auf allen Ebenen sicher ist.

Florian Frisse: Florian Frisse Ja, genau, deswegen will ich auch gar nicht am Spiel diese Angst haben, können Bußgeld geben. Genauso, man soll ja auch nicht so schnell fahren, nur weil es, ja, dieser Auge kostet 300 Euro und jetzt fahr ich nicht so schnell, das ist ja Quatsch. Deswegen, ja, es gibt diese Bußgelder und es kann auch die Geschäftsführung eventuell, wenn es dann sehr grob war, ich würde alles dann irgendwann in eine persönliche Verantwortung da reinkommen. Aber ich glaube, das ist, glaube ich, falsche Ansage, wenn man dann mal mit dieser Dame droht, da könnte was kommen, das ist Quatsch. ist ja, das muss natürlich so sein, am Ende.

Lisa Fröhlich: Lisa Fröhlich Ja, das ist guter Vergleich.

Florian Frisse: Florian Frisse Konsequenzen hat, wenn es jemandem komplett verweigert. Aber die Motivation sollte eigentlich eine andere sein. Es sollte eher diese intrinsische Motivation sein. Und bei denen, nicht runterfallen, wäre natürlich zu sagen, direktes reguliertes Unternehmen runterfällt, der hat keine andere Wahl. Aber alle anderen sollten es wirklich als Chance begreifen, einmal, weil ich meinen eigenen Geschäftsbetrieb am Laufen halten möchte. Und zweitens gesagt, ich kann das als Marketingmaßnahmen, wenn ich es jetzt mal wirklich gut nutze.

Lisa Fröhlich: Lisa Fröhlich Vielen, vielen Dank Florian, dass du dir die Zeit genommen hast, mit mir ein bisschen mal über NIS-2 zu sprechen. Wie gesagt, könnten über zig verschiedene Themen noch sprechen. Du hast es angerissen. Die Geschäftsführerverantwortung und die persönliche Haftung und diese Fragen, da sind wir jetzt gar nicht drauf eingegangen. Ich glaube auch, du, dass es nicht so heiß gegessen wird, wie es gekocht wird, gleichwohl sollte, und das habe ich ja schon gesagt, das ureigene Interesse eines jeden Unternehmenslenkers sein, dass das Unternehmen auf allen Ebenen abgesichert ist. Und ich glaube auch, dass es mit Blick in die Zukunft und mit Blick auf, wie sich die digitale Transformation noch beschleunigen wird, Stichwort künstliche Intelligenz, Stichwort Quantencomputing. Also es wird nicht mehr zehn Jahre dauern, bis wir die ersten Quantencomputer sehen. ich glaube, mit Blick auf diese sich unfassbar schnell verändernde Zukunft ist es einfach wichtig, dass sich gerade kritische Infrastrukturen und Unternehmen, die kritische Infrastrukturen betreiben, sicher aufstellen, selber sicher aufstellen und ihre Widerstandsfähigkeit eben stärken, wo es nur geht. Also ansonsten fürchte ich könnte es kritisch werden im wahrsten Sinne des Wortes. Ja, vielen lieben Dank, dass ihr zugehört habt und an dieser Stelle bleibt mir wie immer nur zu sagen, wenn euch die Podcast-Folge gefallen hat, dann lasst gerne ein Like da, abonniert den Podcast und wer mich erreichen will, kann das gerne über LinkedIn tun, da findet ihr mich und ihr könnt da auch gerne euch zu den Folgen rückmelden und mir ein Feedback geben. An dieser Stelle bleibt mir wie immer nur zu sagen, keep calm and get protected.