Nicht abwarten, sondern Tee trinken – bevor es KRITISch wird đŸ”

Auf viele Unternehmen, große wie kleine, kommt bald eine Reihe neuer Regulierungen, Verpflichtungen und bei NichterfĂŒllen sogar Sanktionen zu: Die Rede ist von Unternehmen, die unter das neue KRITIS-Dachgesetz, oder auch NIS-2, fallen. Und die kĂŒnftig unter anderem ihre IT-Sicherheit ĂŒberarbeiten und belegen mĂŒssen. Bei vielen löst diese Aussicht verstĂ€ndlicherweise SchweißausbrĂŒche aus. Und fĂŒhrt nicht selten zu Übersprungshandlungen, die keine nachhaltigen und sicheren Lösungen hervorbringen. Da hilft nicht abwarten, sondern Tee trinken.

Warum Teekochen (und -trinken) uns aus der Patsche hilft

Teekochen ist doch kinderleicht –Wasser, Teebeutel, Tasse, fertig? Das Resultat könnte technisch gesehen eine Tasse Tee sein. Doch eine Tasse Tee ist nicht gleich eine Tasse Tee. Die Norm ISO 3103 definiert auf acht Seiten, welche Werkzeuge, Materialien, Vorgehensweisen und Temperaturen fĂŒr die Zubereitung der perfekten Tasse Tee erforderlich sind. Klingt albern, soll uns aber als Leitschnur fĂŒr eine individuelle und passgenaue Umsetzung der KRITIS-Vorgaben dienen. Und gleichzeitig verdeutlichen, wie wichtig es ist, genau hinzuschauen und gewissenhaft vorzugehen.

 

Sind Sie zur Teeparty eingeladen?

Doch zunĂ€chst stellt sich die Frage, wer ĂŒberhaupt auf der GĂ€steliste der Teeparty steht. Eine ganze Reihe von Unternehmen und Betrieben findet sich durch die neuen KRITIS-Bestimmungen unter den geladenen GĂ€sten, die sagen wir höflich um ihre nicht zu verweigernde Teilnahme gebeten werden. Zu dem Club gehören bald Stadtwerke, Wasserwerke und Wasserversorgungsunternehmen, Abwasserwerke, Kraftwerke, Strom- und Gasversorger, MĂŒllabfuhren und stĂ€dtische Entsorgungsunternehmen. Sie gelten dann als Betreiber kritischer Infrastrukturen. Diese sind fĂŒr die Versorgung der Bevölkerung ĂŒberlebenswichtig und daher besonders schĂŒtzenswert.

FĂŒr jeden den richtigen Tee

Trotz der Normen und Vorgaben lĂ€sst sich der Tee individuell an den Geschmack und Bedarf anpassen. Halten wir zunĂ€chst jedoch fest, dass es an einigen Elementen des Teekochens nichts zu rĂŒtteln gibt. So wird zum Teekochen Wasser und nicht Ahornsirup benötigt. Und das zum Teetrinken erforderliche BehĂ€ltnis ist beispielsweise eine Tasse und nicht etwa eine Badewanne.

Der gesetzliche Rahmen – sowohl zum AufbrĂŒhen des perfekten Tees als auch fĂŒr die KRITIS-Unternehmen – ist also gesetzt. Was dagegen höchst individuell ist, ist die Umsetzung der Maßgaben. Denn jedes Unternehmen bringt unterschiedliche Voraussetzungen mit. Klar ist das Thema Sicherheit in all den genannten Bereichen prĂ€sent und hoch angesiedelt. Neu sind jedoch Sicherheitsstandards weitab der technischen Kernkompetenzen jeder Unternehmen: in der IT-Sicherheit.

Vorsicht heiß đŸ”„đŸ”„đŸ”„

In unserer immer enger vernetzten und von digitalen Strukturen abhĂ€ngigeren Welt spielt die IT-Sicherheit eine immer grĂ¶ĂŸere Rolle. So lassen sich Angriffe auf kritische Infrastrukturen ganz ohne physisches Einwirken, rein digital und aus sicherer (und kaum rekonstruierbarer) Entfernung verĂŒben. Sie stellen das mit Abstand grĂ¶ĂŸte Risiko dar und werden von der Gesetzgebung auch als solches anerkannt und behandelt. Entsprechend hoch sind die neuen Anforderungen an die IT-Sicherheit der KRITIS-Unternehmen. Diese mĂŒssen nicht nur ihre IT-Strukturen an moderne Sicherheitsstandards anpassen, sondern dies auch dokumentieren und lĂŒckenlos nachweisen.

Es ist kaum nötig zu erwĂ€hnen, dass es hierbei nicht bloß darum geht, einer empfindlichen Geldstrafe zu entgehen. FĂŒr die gesamte Gesellschaft steht dabei die Versorgung mit lebenswichtigen infrastrukturellen Leistungen auf dem Spiel. Wir kochen unseren Tee also nicht nur fĂŒr uns selbst, sondern fĂŒr viele andere gleich mit. Wir sind dafĂŒr verantwortlich, dass auch andere genĂŒgend Tee bekommen und sich nicht daran verbrennen. Betreiber kritischer Infrastrukturen tragen nicht nur Verantwortung fĂŒr ihr wirtschaftliches Fortbestehen und das ihrer Mitarbeiter, sondern fĂŒr die Versorgung der Menschen innerhalb ihres Bereichs, zu dem hĂ€ufig neben Privathaushalten auch KrankenhĂ€user und weitere öffentliche Einrichtungen zĂ€hlen.

FĂŒr viele Unternehmen stellen sich bei der Anpassung an neue Risiken und Bedrohungslagen gleich mehrere Herausforderungen:

  1. Es muss herausgearbeitet werden, welche Maßnahmen erforderlich sind
  2. Es mĂŒssen veraltete Strukturen modernisiert werden
  3. Es muss innerhalb eines gegebenen finanziellen Rahmens modernisiert werden
  4. Es mĂŒssen Personal und Know-how verfĂŒgbar sein

Mit einem lapidaren „Das haben wir schon immer so gemacht“ oder der Arbeitsanweisung an den Admin, eine aktuelle Anti-Malware oder Anti-Ransomware zu installieren und die Firewall zu ĂŒberprĂŒfen, ist es leider nicht getan. TatsĂ€chlich sind die strategischen Entscheidungen auf der Managementebene angesiedelt und können nicht einfach an die IT-Abteilung ausgelagert werden. Hier ist eine Ebenen- und abteilungsĂŒbergreifende Zusammenarbeit gefragt. Denn schließlich muss zunĂ€chst entschieden werden, welche Teesorte verwendet wird – bevor es an das Teekochen, also an die Umsetzung geht. Mit einer grĂŒndlichen Analyse des Ist-Zustandes und einer unabhĂ€ngigen Beratung ist bereits der erste wichtige Schritt in Richtung KRITIS-Unternehmen ohne Krise getan.

Der zweite Schritt ist nicht etwa schon die Umsetzung, sondern ein unternehmensweiter ganzheitlicher Ansatz: Das Thema IT-Sicherheit betrifft heute jedes einzelne Teammitglied. Bei VerÀnderungen der IT-Strukturen im Rahmen der Anpassung an die KRITIS-Vorgaben sollte daher immer das gesamte Team einbezogen und mitgenommen werden. Durch Schulungen zu neuen Systemen sowie Awareness in puncto Cybersicherheit im Unternehmen bereiten sich Betriebe nicht nur auf ihre neue Rolle als KRITIS-Unternehmen vor, sondern stÀrkt den Zusammenhalt und die eigene wirtschaftliche Resilienz. Wenn alle die wichtigsten Zutaten und Schritte beim Teekochen kennen, kann ausgeschlossen werden, dass jemand Rohrreiniger statt Zucker hineinkippt und alle anderen gefÀhrdet.

Wasser, Stromverbrauch, Teebeutel – was ist Ihnen wichtig?

Normen hin oder her – GeschmĂ€cker und Bedarfe sind höchst unterschiedlich. Stehen bei dem einen WasserqualitĂ€t an erster Stelle, ist es bei dem anderen die Teesorte und der Schnitt. Bei all den strikten Vorgaben können Unternehmen also durchaus einen unterschiedlichen Fokus innerhalb der Umsetzung der KRITIS-Vorgaben legen. Sind Strukturen vorhanden, auf die aufgebaut werden kann? In welchen Bereichen herrscht besonderer Bedarf? Wie aktuell ist die Notfallplanung fĂŒr den Fall eines Angriffs und Ausfalls der Systeme? Diese und weitere Fragen, die am besten in einem BeratungsgesprĂ€ch geklĂ€rt werden, helfen dabei zu bestimmten, wo Ihr Fokus liegen sollte.

đŸ€ Gemeinsam finden wir die passende Strategie, die geeigneten technischen Lösungen sowie Managed Services und beraten auch hinsichtlich möglicher Förderungen. Schauen wir gemeinsam ĂŒber den Teetassenrand und finden die fĂŒr Sie perfekt passende Zubereitung.

Eine gute Gelegenheit bietet sich hierzu bei unserem Business Breakfast:

 

10.Oktober 2023 | 9:00 bis 11:00 Uhr
me and all hotel, Kiel

👉  jetzt anmelden