NIS-2: Die „Security Awareness stellt eine Verantwortung auf hohem Niveau dar“ – und kann sogar „Nahtoderfahrungen“ vermeiden helfen?
Von Joachim Jakobs
Europäische Wissenschaftlerinnen verstehen „das Internet of Everything (IoE) als ein Netzwerk von Verbindungen zwischen intelligenten Dingen, Menschen, Prozessen und Daten mit Echtzeit-Daten-/Informationsflüssen zwischen ihnen.“ In Perfektion würde das bedeuten, dass jedes Blatt Papier (im Büro) und jede Schraube (in der Werkstatt) vernetzt werden: „Im juristischen Bereich kann jedes Stück Papier von Bedeutung sein, alles kann ein Beweismittel sein. Das Vorhandensein der richtigen Dokumente ist die erste Voraussetzung für jede rechtliche Angelegenheit oder jeden Vertrag“, argumentiert eine Herstellerin von Dokumenten-Verwaltungssystemen. Und das Fraunhofer-Institut für Integrierte Schaltungen (IIS) behauptet „Intelligente Schrauben sichern Brücken, Maschinen und Windkraftanlagen“.
Bild: Pixabay.com
Diese Errungenschaften finden dann in der schlauen Abfallentsorgung ihre Vollendung: „Intelligente Behälter“ könnten „ausgestattet mit Sensoren und Kommunikationstechnologie ihren Füllstand in Echtzeit überwachen. Diese Daten ermöglichen effizientere Abfuhrpläne, wodurch die Anzahl der Behälterentleerungen verringert und der gesamte Abfallwirtschaftsprozess optimiert wird.“ Erkenntnisse über den Materialfluss zur „Optimierung“ der Rohstoffrückgewinnung sollen auch noch gefördert werden.
Keine Chance ohne Risiko – die INSIDE M2M GMBH will „unsichere Standardkonfigurationen“ festgestellt haben: „Viele IoT-Geräte werden mit unsicheren Standardpasswörtern oder offenen Ports ausgeliefert. Diese Nachlässigkeit bei der Konfiguration macht es Angreifern leicht, die Kontrolle über die Geräte zu übernehmen.“ So ermögliche es die Suchmaschine „Shodan“ „jedem Nutzer, im Internet nach ungeschützten IoT-Geräten zu suchen.“ Internationale Wissenschaftlerinnen haben das getan – das Ergebnis: „Wir fanden heraus, dass 539 (61 %) der 890 Fernverwaltungsgeräte den Zugriff auf ihre WebUI (‚Benutzungsoberfläche‘, Anm. d. Autor) ohne jegliche Authentifizierung zuließen.“
Die ISACA, ein globaler Berufsverband für IT-Revisoren, führt den Gedanken weiter: „Ein böswilliger drahtloser Zugriff kann die Privatsphäre beeinträchtigen, und die Geräte könnten infiziert werden und als Ausgangspunkt für einen Angriff dienen. Es besteht ein hohes Risiko für Unternehmen, wenn diese Geräte auch eine Verbindung zu einem Unternehmensnetzwerk herstellen.“ Matt Bishop, Professor für Computerwissenschaften an der Universität von Kalifornien befürchtet „dass jemand einen Superwurm oder ein ‚Super-Was-auch-immer‘ freisetzt und etwa drei Viertel der Computer in der Welt ausschaltet.“ Dieses Risiko könnte auf dem Weg in die Hyperkonnektivität und den dort zu erwartenden Quantencomputern zunehmen.
Die Verantwortliche haftet für den Nachweis, dass sie die Risiken dem Stand der Technik entsprechend begrenzt; die Datenschutzberater.NRW GmbH erklärt es so: „Der Verantwortliche einer Organisation muss sicherstellen, dass der Datenschutz entsprechend den gesetzlichen Vorgaben eingehalten werden kann. Es müssen Prozesse geschaffen werden, die dies sicherstellen können und diese müssen in einem ausreichenden Maße dokumentiert werden.“ Nils Schmidt, Fachanwalt für Arbeitsrecht und Vorstand im „DFK – Verband für Fach- und Führungskräfte e.V“ schlußfolgert daraus: „Verantwortlich‘ zu sein, bedeutet jedoch nicht nur, für eigene Pflichtversäumnisse grade zu stehen, sondern auch für die Versäumnisse derer zu haften, die im Auftrag tätig sind. Das sind Alle, die auf Geheiß der Verantwortlichen an der Planung, Entwicklung, Einrichtung oder Nutzung von Software beteiligt sind, mit deren Hilfe vernetzte Geräte gesteuert oder personenbezogene Daten verarbeitet werden sollen. Innerhalb und außerhalb der eigenen Institution.“
Die Mauß Datenschutz GmbH präzisiert, es würde nach DSGVO „nicht mehr ausreichen, einfach Schulungsnachweise oder die Bestätigung des Datenschutzbeauftragten vorzuzeigen, im Zweifel wird auch nachgewiesen werden müssen, dass alle geschulten Personen auf ihre Tätigkeiten zugeschnittene Inhalte gelernt haben.“
Kürzlich musste die Polizei in Nordirland schmerzlich lernen, dass das auch für sie gilt – die 2B Advice GmbH meldet: „Die britische Datenschutzbehörde Information Commissionar’s Office (ICO) verhängte eine Geldstrafe von 750.000 £ (umgerechnet rund 890.000 Euro) gegen die Polizeibehörde von Nordirland (PSNI) aufgrund eines erheblichen Datenschutzverstoßes. Am 8. August 2023 wurden versehentlich personenbezogene Daten von rund 9.500 PSNI-Mitarbeitern, einschließlich ihrer Dienstnummern, Abteilungen und Dienstorte, auf einer öffentlichen Website veröffentlicht. Diese Veröffentlichung stellte für die betroffenen Mitarbeiter, insbesondere für solche in geheimen und sicherheitsrelevanten Rollen, ein großes Risiko dar […] Der Verstoß war auf Mängel in der internen Verwaltung und Schulung im Umgang mit sensiblen Daten zurückzuführen.“
Bild: Pixabay.com
Solche Sprüche entstehen nicht aus einer Laune einer x-beliebigen Aufsichtsbehörde – im Fachverlag C.H.Beck erinnern Rechtsanwälte an ein Urteil des Oberlandesgerichts Nürnberg: „Der Geschäftsführer eines Familienunternehmens mit nur rund 60 Mitarbeitenden wurde persönlich zur Zahlung von 800.000 € Schadensersatz verurteilt […] Er hatte es unterlassen, ein Vier-Augen-Prinzip für seinen Prokuristen bzgl. der Tankkartenverwaltungssoftware vorzugeben.“ Diese Erklärung spiegelt jedoch die Liebe zum Detail nicht wieder, mit der sich die Richterinnen in ihrem Spruch dem Thema „Pflichtverletzungen“ gewidmet haben: „Eine Pflichtverletzung liegt jedoch schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden. Diesbezüglichen Verdachtsmomenten muss der Geschäftsführer unverzüglich nachgehen; weiterhin muss der Geschäftsführer geeignete organisatorische Vorkehrungen treffen, um Pflichtverletzungen von Unternehmensangehörigen hintanzuhalten.“
Die Beratungsfirma moraleda GmbH leitet daraus eine Forderung nach „Compliance Trainings 4.0“ ab: „Jedes Compliance Training oder jährliche Unterweisung umfasst immer 1 zentrales Thema – revisionssichere Dokumentation. Das heißt jedes Training, jede Unterweisung, jede Nachunterweisung muss dokumentiert sein, damit die zuständige Behörde dies im Falle eines Verstoßes auch nachprüfen kann. Dies hat auch immer haftungsrechtliche Konsequenzen für das Management, welche es möglichst zu vermeiden gilt, denn auch hier gilt Vorbeugen ist einfach besser. Und dies gilt natürlich auch für den Datenschutz DSGVO“
Die DSGVO schützt personenbezogene Daten – und damit die Menschen, von denen die Daten verursacht wurden. In einer vernetzten Gesellschaft hängt die Sicherheit der Treibstoffversorgung von der Cybersicherheit der Software ab, die zum Steuern industrieller Anlagen eingesetzt wird. Diese Versorgung ist bedroht, wie an einem Angriff auf die Oiltanking Deutschland GmbH 2022 wurde – in der Folge hätten Tankwagen nicht befüllt und 200 Tankstellen in Hamburg nicht mit Treibstoff versorgt werden können.
Sowas gibts auch im größeren Maßstab – so wurde eine 2021 eine Ölleitung an der US-Amerikanischen Ostküste angegriffen: „Am 9. Mai legte die Colonial Pipeline Tausende von Kilometern ihrer Pipeline still, um die Ausbreitung der Ransomware zu stoppen und die Hacker daran zu hindern, weitere Angriffe auf gefährdete Pipeline-Teile auszuführen. Dies führte zu Treibstoffknappheit und Panikkäufen an der Süd- und Ostküste. An mehreren Tankstellen im Versorgungsgebiet des Unternehmens ging der Treibstoff aus, und die durchschnittlichen Treibstoffpreise stiegen auf den höchsten Stand seit 2014. Durch die Abschaltung wurde auch der Flugverkehr unterbrochen. Aufgrund der Art des Vorfalls rief Präsident Biden den Notstand aus und hob die Beschränkungen für den Transport von Erdölprodukten im Inland auf.“
Bild: Freepik.com
Wenn der falsche Computer mit Schadsoftware verseucht wird, wirds lebensgefährlich: „Wir sind in ein System der Firma Aramco eingedrungen, indem wir die gehackten Systeme in mehreren Ländern benutzt haben und dann einen bösartigen Virus geschickt haben, um dreißigtausend Computer zu zerstören, die in diesem Unternehmen vernetzt sind“, sollen Kriminelle vor Jahren gedroht haben.
Der Angriff zielte jedoch nach Angaben der New York Times (NYT) „nicht nur auf die Zerstörung von Daten oder die Abschaltung der Anlage ab, so die Ermittler. Vielmehr sollte der Betrieb des Unternehmens sabotiert und eine Explosion ausgelöst werden“. Das Einzige, was die Detonation verhinderte, sei ein „Fehler im Computercode der Angreifer“ gewesen.
Die Zeitschrift Government Technology dreht den Gedanken weiter:
Sektoren, die die Grundlage der modernen Gesellschaft bilden, sind zunehmend mit Cyber-Bedrohungen konfrontiert. Wasser, Strom und Satelliten – die von der GPS-Navigation bis zur Kreditkartenverarbeitung alles unterstützen – sind zunehmend gefährdet. Veraltete Infrastrukturen und zunehmende Konnektivität stellen eine Herausforderung für das Wasser- und Stromnetz dar, während der Raumfahrtsektor mit dem Schutz von Satelliten in der Umlaufbahn kämpft, die vor den modernen Cyberproblemen entwickelt wurden.“ Matt Bishop fürchtet vermutlich auch um die Sicherheit der dort verbauten „Computer“.
Bild: Freepik.com
Seit Oktober 2024 zählen „große Unternehmen“ der Mineralölwirtschaft – mit mehr als 250 Mitarbeitern und einem Jahresumsatz von mehr als 50 Millionen Euro – zu den „wesentlichen Einrichtungen“ gemäß der Europäischen Cybersicherheitsrichtlinie NIS-2. Nach Artikel 21 dieser Richtlinie sollen die Verpflichteten eine ganze Batterie von „Risikomanagementmaßnahmen im Bereich der Cybersicherheit“ ergreifen. Diese „müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen, und zumindest Folgendes umfassen:
- a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
- b) Bewältigung von Sicherheitsvorfällen;
[…]
- g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;“
Was Cyberhygiene und Schulungen angeht, verdächtigt die Gesetzgeberin die Verantwortlichen offenbar der Bildungsmuffeligkeit; dem schiebt Artikel 20 einen Riegel vor: „Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.“
Daraus leitet Datenschützer Jörg ter Beek eine „Verpflichtung der Leitung“ ab: „Das Management muss am Ende – oder besser gesagt am Anfang – dahinter stehen, wenn es um die Verbesserung der Cybersicherheit geht. ISMS (Informationssicherheits-Management-System, Anm. d. Autors) funktioniert nicht, wenn es nicht von der Leitung übertragen wird. Es ist also eine Top-Down-Planung zwingend erforderlich. Das Risikomanagement muss von der Leitung beauftragt werden und sie muss gemäß den identifizierten Risiken (Risikobehandlungsplan) handeln. Doch es wird nicht nur das Risikomanagement ausdrücklich genannt. Das Thema Security Awareness stellt ebenfalls eine Verantwortung auf hohem Niveau dar. Es liegt in der Verantwortung der Führungskräfte, regelmäßige Schulungen und Trainings zur Risikoidentifizierung und zur Sensibilisierung im Umgang mit Informationssicherheit anzubieten.“
Andreas Lederle, Geschäftsführer von Erdwärme Grünwald, hält die strikte NIS-2 Richtlinie jedoch nicht für übertrieben. „Ich war selbst schon Opfer einer Cyber-Attacke und kann aus eigener Erfahrung sagen, dass es die Nahtoderfahrung für jeden Geschäftsführer ist“.
Um solche Erfahrungen zu vermeiden, sollten diejenigen die Bedeutung der Compliance 4.0 in Erinnerung behalten, die die Vollautomatisierung der Welt mit vernetzten Blättern und Schrauben anstreben.
