Nicht abwarten, sondern Tee trinken – bevor es KRITISch wird 🍵
Auf viele Unternehmen, große wie kleine, kommt bald eine Reihe neuer Regulierungen, Verpflichtungen und bei Nichterfüllen sogar Sanktionen zu: Die Rede ist von Unternehmen, die unter das neue KRITIS-Dachgesetz, oder auch NIS-2, fallen. Und die künftig unter anderem ihre IT-Sicherheit überarbeiten und belegen müssen. Bei vielen löst diese Aussicht verständlicherweise Schweißausbrüche aus. Und führt nicht selten zu Übersprungshandlungen, die keine nachhaltigen und sicheren Lösungen hervorbringen. Da hilft nicht abwarten, sondern Tee trinken.
Warum Teekochen (und -trinken) uns aus der Patsche hilft
Teekochen ist doch kinderleicht –Wasser, Teebeutel, Tasse, fertig? Das Resultat könnte technisch gesehen eine Tasse Tee sein. Doch eine Tasse Tee ist nicht gleich eine Tasse Tee. Die Norm ISO 3103 definiert auf acht Seiten, welche Werkzeuge, Materialien, Vorgehensweisen und Temperaturen für die Zubereitung der perfekten Tasse Tee erforderlich sind. Klingt albern, soll uns aber als Leitschnur für eine individuelle und passgenaue Umsetzung der KRITIS-Vorgaben dienen. Und gleichzeitig verdeutlichen, wie wichtig es ist, genau hinzuschauen und gewissenhaft vorzugehen.
Sind Sie zur Teeparty eingeladen?
Doch zunächst stellt sich die Frage, wer überhaupt auf der Gästeliste der Teeparty steht. Eine ganze Reihe von Unternehmen und Betrieben findet sich durch die neuen KRITIS-Bestimmungen unter den geladenen Gästen, die sagen wir höflich um ihre nicht zu verweigernde Teilnahme gebeten werden. Zu dem Club gehören bald Stadtwerke, Wasserwerke und Wasserversorgungsunternehmen, Abwasserwerke, Kraftwerke, Strom- und Gasversorger, Müllabfuhren und städtische Entsorgungsunternehmen. Sie gelten dann als Betreiber kritischer Infrastrukturen. Diese sind für die Versorgung der Bevölkerung überlebenswichtig und daher besonders schützenswert.
Für jeden den richtigen Tee
Trotz der Normen und Vorgaben lässt sich der Tee individuell an den Geschmack und Bedarf anpassen. Halten wir zunächst jedoch fest, dass es an einigen Elementen des Teekochens nichts zu rütteln gibt. So wird zum Teekochen Wasser und nicht Ahornsirup benötigt. Und das zum Teetrinken erforderliche Behältnis ist beispielsweise eine Tasse und nicht etwa eine Badewanne.
Der gesetzliche Rahmen – sowohl zum Aufbrühen des perfekten Tees als auch für die KRITIS-Unternehmen – ist also gesetzt. Was dagegen höchst individuell ist, ist die Umsetzung der Maßgaben. Denn jedes Unternehmen bringt unterschiedliche Voraussetzungen mit. Klar ist das Thema Sicherheit in all den genannten Bereichen präsent und hoch angesiedelt. Neu sind jedoch Sicherheitsstandards weitab der technischen Kernkompetenzen jeder Unternehmen: in der IT-Sicherheit.
Vorsicht heiß 🔥🔥🔥
In unserer immer enger vernetzten und von digitalen Strukturen abhängigeren Welt spielt die IT-Sicherheit eine immer größere Rolle. So lassen sich Angriffe auf kritische Infrastrukturen ganz ohne physisches Einwirken, rein digital und aus sicherer (und kaum rekonstruierbarer) Entfernung verüben. Sie stellen das mit Abstand größte Risiko dar und werden von der Gesetzgebung auch als solches anerkannt und behandelt. Entsprechend hoch sind die neuen Anforderungen an die IT-Sicherheit der KRITIS-Unternehmen. Diese müssen nicht nur ihre IT-Strukturen an moderne Sicherheitsstandards anpassen, sondern dies auch dokumentieren und lückenlos nachweisen.
Es ist kaum nötig zu erwähnen, dass es hierbei nicht bloß darum geht, einer empfindlichen Geldstrafe zu entgehen. Für die gesamte Gesellschaft steht dabei die Versorgung mit lebenswichtigen infrastrukturellen Leistungen auf dem Spiel. Wir kochen unseren Tee also nicht nur für uns selbst, sondern für viele andere gleich mit. Wir sind dafür verantwortlich, dass auch andere genügend Tee bekommen und sich nicht daran verbrennen. Betreiber kritischer Infrastrukturen tragen nicht nur Verantwortung für ihr wirtschaftliches Fortbestehen und das ihrer Mitarbeiter, sondern für die Versorgung der Menschen innerhalb ihres Bereichs, zu dem häufig neben Privathaushalten auch Krankenhäuser und weitere öffentliche Einrichtungen zählen.
Für viele Unternehmen stellen sich bei der Anpassung an neue Risiken und Bedrohungslagen gleich mehrere Herausforderungen:
- Es muss herausgearbeitet werden, welche Maßnahmen erforderlich sind
- Es müssen veraltete Strukturen modernisiert werden
- Es muss innerhalb eines gegebenen finanziellen Rahmens modernisiert werden
- Es müssen Personal und Know-how verfügbar sein
Mit einem lapidaren „Das haben wir schon immer so gemacht“ oder der Arbeitsanweisung an den Admin, eine aktuelle Anti-Malware oder Anti-Ransomware zu installieren und die Firewall zu überprüfen, ist es leider nicht getan. Tatsächlich sind die strategischen Entscheidungen auf der Managementebene angesiedelt und können nicht einfach an die IT-Abteilung ausgelagert werden. Hier ist eine Ebenen- und abteilungsübergreifende Zusammenarbeit gefragt. Denn schließlich muss zunächst entschieden werden, welche Teesorte verwendet wird – bevor es an das Teekochen, also an die Umsetzung geht. Mit einer gründlichen Analyse des Ist-Zustandes und einer unabhängigen Beratung ist bereits der erste wichtige Schritt in Richtung KRITIS-Unternehmen ohne Krise getan.
Der zweite Schritt ist nicht etwa schon die Umsetzung, sondern ein unternehmensweiter ganzheitlicher Ansatz: Das Thema IT-Sicherheit betrifft heute jedes einzelne Teammitglied. Bei Veränderungen der IT-Strukturen im Rahmen der Anpassung an die KRITIS-Vorgaben sollte daher immer das gesamte Team einbezogen und mitgenommen werden. Durch Schulungen zu neuen Systemen sowie Awareness in puncto Cybersicherheit im Unternehmen bereiten sich Betriebe nicht nur auf ihre neue Rolle als KRITIS-Unternehmen vor, sondern stärkt den Zusammenhalt und die eigene wirtschaftliche Resilienz. Wenn alle die wichtigsten Zutaten und Schritte beim Teekochen kennen, kann ausgeschlossen werden, dass jemand Rohrreiniger statt Zucker hineinkippt und alle anderen gefährdet.
Wasser, Stromverbrauch, Teebeutel – was ist Ihnen wichtig?
Normen hin oder her – Geschmäcker und Bedarfe sind höchst unterschiedlich. Stehen bei dem einen Wasserqualität an erster Stelle, ist es bei dem anderen die Teesorte und der Schnitt. Bei all den strikten Vorgaben können Unternehmen also durchaus einen unterschiedlichen Fokus innerhalb der Umsetzung der KRITIS-Vorgaben legen. Sind Strukturen vorhanden, auf die aufgebaut werden kann? In welchen Bereichen herrscht besonderer Bedarf? Wie aktuell ist die Notfallplanung für den Fall eines Angriffs und Ausfalls der Systeme? Diese und weitere Fragen, die am besten in einem Beratungsgespräch geklärt werden, helfen dabei zu bestimmten, wo Ihr Fokus liegen sollte.
🤝 Gemeinsam finden wir die passende Strategie, die geeigneten technischen Lösungen sowie Managed Services und beraten auch hinsichtlich möglicher Förderungen. Schauen wir gemeinsam über den Teetassenrand und finden die für Sie perfekt passende Zubereitung.