Sicherheit

Intelligentes Risikomanagement in Zeiten von NIS2

Ralf Kempf, CEO des IT-Security- und GRC-Spezialisten Pathlock Deutschland und SAP Evangelist, gibt Einblicke, wie die neue Europäische Cybersicherheitsdirektive immer mehr Unternehmen und deren Management in die Pflicht nimmt.

Warum NIS2 auch als Chance gesehen werden muss, sich resilient und vor allem ganzheitlich aufzustellen.

Hallo Herr Kempf, können Sie uns eine „Wasserstandsmeldung“ zur Situation deutscher Unternehmen angesichts neuer Herausforderungen der Cybersecurity geben?

Ralf Kempf: Tatsächlich haben viele Unternehmen den Eindruck, ihnen stehe sicherheitstechnisch das Wasser bis zum Halse – oder schon darüber. NIS2 macht ihnen bewusst, dass sie in der Vergangenheit sozusagen nicht mal einen ordentlichen Schwimmkurs absolviert haben. Die Einschätzung der CISOs in Bezug auf Unternehmenssicherheit und NIS2 ist, dass sie darauf nicht vorbereitet sind. Die Mehrheit sieht Anwendungssicherheit als blinden Fleck ihrer IT-Sicherheitsstrategie.

Und wie konnte es so weit kommen?

Ralf Kempf: Zunächst, so die CISOs, weil Security-Tools oftmals kaum Erkenntnisse liefern, mit denen Vorstände Geschäftsrisiken verstehen und Bedrohungen adressieren können. Die Kluft dieser Technologie- und Kommunikationslücken wird angesichts steigender Bedrohungen immer breiter, trotz eigentlich probater Lösungen wie Security Dashboards.

Das beweist doch eigentlich den klaren Bedarf, oder?

Ralf Kempf: Schon, aber frappierend ist, dass trotzdem fast nichts passiert. Die Erkenntnis führt weder zu einer überfälligen Priorisierung der IT-Sicherheit noch zu dringend nötigen Maßnahmen. Unser Eindruck: Unternehmen wissen nicht, wie und wo sie anfangen sollen, den Herausforderungen komplexer IT-Systeme und hybrider SAP-/Non-SAP-Landschaften inklusive neuer Cloud-Applikationen zu begegnen.

Es hilft aber nicht, untätig zu bleiben in der Hoffnung, die Flut von Herausforderungen werde abziehen oder es treibe eine Insellösung vorbei, die etwa NIS2-Compliance ad hoc herbeizaubert. Der laxe Umgang mit Erkenntnissen zeigt auch, wie sich selbst CISOs von aktuellen Buzzwords beeindrucken lassen und eine ganzheitliche Absicherung aus dem Auge verlieren.

Welche Buzzwords meinen Sie?

Ralf Kempf: Nehmen wir zwei, die die aktuelle Diskussion beherrschen und oft in falscher Sicherheit wiegen: Die Cloud ist kein Allheilmittel und ersetzt keine Firewall, sie eröffnet gar neue Angriffsvektoren, derer man sich bewusst sein muss. Und KI hat ganz sicher die Spielregeln für Cybersicherheit verändert, aber darf nicht als pauschale Universallösung oder -bedrohung missverstanden werden.

Okay, aber ist NIS2 nicht auch ein Buzzword?

Ralf Kempf: Nein, sie ist in ihren Konsequenzen eindeutig unverzichtbar für eine europaweite Resilienz. Sie forciert, dass Cybersecurity zum wesentlichen Teil der Unternehmenskultur wird, und zwar als Chefsache. Wer sie vernachlässigt, setzt sein Unternehmen künftig nicht nur erhöhter Angriffsgefahr aus, sondern auch enormen Bußgeldern. Also klare Empfehlung: das Thema priorisieren, Umsetzungsfristen im Auge behalten und die richtigen Partner ins Boot holen.

Von welchem Zeitrahmen sprechen wir hier?

Ralf Kempf: Einem äußerst engen, Unternehmen sollten keine Zeit mehr verlieren, denn die Direktive weitet Cybersicherheit auf mittelständische, allein in Deutschland geschätzte 30.000 Unternehmen aus. Und eines steht fest: Im Oktober wird NIS2 in Kraft treten. Selbst wenn sich die Umsetzung hier verzögert: Wer das Thema nicht sofort angeht, wird es nicht rechtzeitig schaffen. Und Unternehmen, die nicht mal geklärt haben, ob sie betroffen sind, könnten versucht sein zu folgern, dass auch kein Handlungsbedarf besteht. Eine gravierende Fehleinschätzung.

Das vollständige Interview lesen Sie auf it-daily.net

Über die IT Verlag für Informationstechnik GmbH

Die it verlag für Informationstechnik GmbH publiziert das Magazin it management mit dem Supplement it security. Im Online-Bereich stehen mit der News-Portal www.it-daily.net und diversen Newslettern wertvolle Informationsquellen für IT Professionals zur Verfügung. Mit eBooks, Whitepapern und Konferenzen zu Themen der Enterprise IT rundet der Verlag sein Angebot zu News aus der IT-Welt ab.

www.it-daily.net

Firmenkontakt und Herausgeber der Meldung:

IT Verlag für Informationstechnik GmbH
Ludwig-Ganghofer-Str. 51
83624 Otterfing
Telefon: +49 (8104) 649426
Telefax: +49 (8104) 6494-22
https://www.it-daily.net

Ansprechpartner:
Lars Becker
Redaktion it-daily.net
E-Mail: becker@it-verlag.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel