Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
ISMS und NIS 2 auf der Zielgeraden: Ausdauersport der Informationssicherheit
In dieser Episode geht es um ISMS, NIS 2 und die Kunst, Informationssicherheit mit Ausdauer und Struktur zu leben. Michael spricht mit Erik Krüger, Informationssicherheitsbeauftragter und Consultant bei suresecure, darüber, warum Sicherheit kein Sprint, sondern ein langfristiger Trainingsprozess ist.
Statt schneller Erfolge braucht es Strategie, Disziplin und den richtigen Rhythmus. Erik erklärt, wie Unternehmen mit einem funktionierenden ISMS den größten Teil der NIS-2-Anforderungen bereits erfüllen, worauf es in der Umsetzung wirklich ankommt und warum Motivation und Kommunikation entscheidend für den Erfolg sind.
Weitere Folgen zum Thema:
NIS2 & CRA: Was Unternehmen wissen sollten
Wie viel PS braucht es, um NIS2 erfolgreich umzusetzen?
Bereit für NIS2, die kleine Lokomotive?
Bereit für NIS2? Mach den Check mit unserem Self-Assessment
Bereit für die NIS2-Richtlinie? So stärkt ihr eure Incident Management-Strategie!
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Michael:
Herzlich willkommen zu einer neuen Ausgabe von Cybersecurity Placement, dem Podcast für echten Security Content. Schön, dass ihr dabei seid! Wir wollen heute sprechen über ISMS und NIS 2, denn das ist nach wie vor ein heißes Thema. Die NIS-2-EU-Richtlinie wurde immer noch nicht in deutsches Recht umgesetzt. Es gibt nach wie vor einen aktualisierten Referentenentwurf, und man möchte das noch im Jahr 2025 auf den Weg bringen.
Ich glaube nicht, dass das noch funktioniert, aber wahrscheinlich kommt es dann in Q1 oder Q2 2026. Denn wir müssen irgendwann nachziehen. Darüber wollen wir sprechen: über Gemeinsamkeiten von ISMS und NIS 2, aber auch die Unterschiede – und wie wichtig dieses Thema gerade in den Unternehmen ist. Und dazu habe ich mir einen Gast eingeladen. Ich begrüße ganz herzlich Erik.
Erik:
Einen wunderschönen guten Morgen!
Michael:
Morgen. Erik, da du das erste Mal zu Gast in unserem Podcast bist: Stell dich doch einmal ganz kurz vor und sag uns, was du bei uns tust.
Erik:
Gerne. Ja, ich bin Erik Krüger. Ich bin jetzt seit ungefähr eineinhalb Jahren bei suresecure. Ich habe derzeit eine Doppelrolle: Ich bin der interne Informationssicherheitsbeauftragte bei suresecure, bin aber auch noch im Consulting unterwegs. Das hilft mir, sowohl intern noch mal den Blick von außen zu bekommen, um unser internes System auf Vordermann zu bringen und weiterzuentwickeln.
Ich bin im Prinzip Zeit meines Berufslebens in IT-Projekten unterwegs, bin dann 2019 in stärker regulierte Umfelder reingerutscht – Medizintechnikbranche, Automotivebranche – und bin da das erste Mal in Kontakt gekommen mit Regularien. Damals war die DSGVO noch ganz hoch im Kurs, was die Umsetzung anging. Ich habe meine Wurzeln also eher im technischen Datenschutz auf IT-Seite, hatte da naturgemäß immer Berührungspunkte mit der Informationssicherheit und habe dann mein Portfolio um das ganze Thema Informationssicherheit erweitert. Dort bin ich mittlerweile fachlich tief drin – es ist mein Steckenpferd geworden.
Michael:
Das habe ich live erleben dürfen, denn du hast auch bei uns die ISO 27001 umgesetzt. Hier steht übrigens noch die Auszeichnung. Und da bin ich in den Genuss gekommen, was es bedeutet, an diesem Projekt mitzuwirken. Und wie du eben gesagt hast: Datenschutz, IT, Sicherheit – das klingt immer extrem trocken. Ist es am Ende auch. Man schreibt viele Dokumente, viele Texte, es geht um Controls und all solche Dinge. Wie kann man sich für dieses Thema begeistern? Die Frage stelle ich mir immer. Ich komme eher aus einem kreativen Umfeld. Wie kann man dafür brennen – mit Leidenschaft? Ich finde es ja toll, aber was reizt dich?
Erik:
Ich glaube, das liegt so ein bisschen an dem Auftrag, den man sich selber gibt. Und deine Einschätzung, zu sagen „das ist ein trockenes Thema“, lässt ja schon blicken – wieder ein Blick von außen, von dir als Marketingspezialist, dessen Welt vielleicht ein bisschen bunter sein mag als meine. Aber für mich ist das alles andere als trocken.
Ich versuche auch immer, die Personen, mit denen ich zusammenarbeite – sei es intern, sei es Kund:innen – davon zu überzeugen, sie damit anzustecken, dass das kein trockenes Thema ist, sondern wirklich ein mächtiges Instrument. Und zwar ein mächtiges Instrument für das ganze Unternehmen und auch fürs Top-Management. Ich würde es mal so platt zusammenfassen: Ich versuche, diese Themen ein Stück weit zu entmystifizieren, das Ganze fassbar zu machen und vor allem immer Sinn zu stiften – warum wir das Ganze machen, warum das sinnvoll ist und warum beispielsweise NIS 2 als EU-Direktive und später abgeleitetes Gesetz keine Gängelung des Gesetzgebers ist und kein Bürokratiemonster, mit dem sich Unternehmen auseinandersetzen müssen, sondern dass man das sehr pragmatisch umsetzen kann. Und ich glaube, sobald jemand einen Sinn in dem sieht, was er da tut, kann man das Thema auch wirklich mit Leidenschaft verfolgen.
Michael:
Anfangs ist das ja alles so ein bisschen abstrakt, man muss viele Informationen erst mal sammeln. Und als wir dann soweit waren, dass es in die Umsetzung ging, dann ist man ja als Kollegin oder Kollege damit konfrontiert, dass sich Dinge verändert haben: „Das geht nicht mehr“, „Hier fehlt plötzlich der Zugang“ usw. Man läuft da ja immer in Neuerungen hinein.
Und du hast damals auch schon gesagt, wie wichtig es ist, dieses Thema kommunikativ gut zu begleiten und sich innerhalb des Unternehmens eine Lobby dafür aufzubauen. Ich glaube, das hast du zumindest bei uns – und ich glaube auch in Kundenprojekten – immer ganz gut hinbekommen. Deshalb wollen wir heute auch ein bisschen intensiver darüber sprechen. Ich habe mir so ein kleines Warm-up-Spiel überlegt.
Die Frage ist: ISMS oder NIS 2 – woher kommt’s? Stell dir fünf Sätze vor, und du sagst mir: Ist es eher ISMS oder kommt es eher aus der NIS-2-Richtlinie? Auf der Basis versuchen wir uns an diese NIS-2-Direktive ranzutasten. Start mit Nummer 1: „Das Management muss sicherstellen, dass Verantwortlichkeiten und Befugnisse für Rollen im Informationssicherheits-Managementsystem klar definiert und kommuniziert sind.“
Erik:
Okay, also so explizit, wie du es vorgibst, sage ich: Das ist eine ganz klassische ISMS-Anforderung. NIS 2 möchte auch das Thema Verantwortung geklärt haben, aber primär auf Leitungsebene bzw. auf Geschäftsleitungsebene. Die Definition der Befugnisse und Rollen, die darunter liegen, wird von NIS 2 nicht so konkret adressiert. Das wäre eher eine wirklich konkrete ISMS-Anforderung.
Michael:
Ich sage: Das ist korrekt. Nächster Satz: „Unternehmen müssen innerhalb von 24 Stunden nach Kenntnisnahme eines Sicherheitsvorfalls an die zuständige Behörde Meldung abgeben.“
Erik:
Das ist eine ganz klassische Anforderung aus NIS 2, so wie wir es aktuell kennen. Diese 24-Stunden-Meldung ist eine sogenannte Frühwarnmeldung an die zuständige Behörde. In Deutschland wird es das BSI sein, auf europäischer Ebene koordiniert ENISA. Und das hört nicht bei dieser 24-Stunden-Meldung auf, sondern es wird erwartet, dass man nach 72 Stunden noch mal meldet, nach einem Monat noch mal meldet oder – wenn der Vorfall bis dahin nicht abgeschlossen sein sollte – auch Folgeberichte an die Behörde abgibt. Also: klassisch NIS-2-Anforderung.
Michael:
„Es müssen Maßnahmen getroffen werden, um die physische Sicherheit von Einrichtungen und Geräten zu gewährleisten.“
Erik:
Das ist explizit wieder aus dem ISMS. Wenn ich von ISMS spreche, habe ich den ISO-27001-Standard im Kopf. Es gibt noch weitere branchenspezifische Standards, beispielsweise TISAX für die Automotive-Industrie oder auch den BSI-Grundschutz. Bei ISO 27001 ist es ein ganzes Kapitel, das sich um physische Sicherheit kümmert. In NIS 2 ist es nicht so explizit genannt, aber enthalten – über die Anforderung, Verfügbarkeit und Integrität sicherzustellen. Da sind physische Aspekte nicht ausgenommen, also ohne Ausschlüsse zu formulieren. Das muss man dort mitberücksichtigen – ebenso im Risikomanagement, z. B. Umweltrisiken wie Feuer, Wasser, Erdbeben, je nach Standort, aber auch Zutritt. Das fällt in die physische Sicherheit. In NIS 2 ist das generell sehr vage formuliert, aber definitiv mitzudenken.
Michael:
„Sicherheitsereignisse müssen aufgezeichnet, analysiert und aufbewahrt werden, um eine angemessene Reaktion zu ermöglichen.“
Erik:
Auch hier wieder: explizit im Standard ISO 27001 formuliert. Wir brauchen das aber auch für NIS 2 – allein schon vor dem Hintergrund der angesprochenen Meldepflichten. Ohne Aufzeichnungen in einer gewissen Detailtiefe können wir die Inhalte nicht an die Behörden melden.
Michael:
Das reicht als kleine Warm-up-Phase. Ich glaube, wir haben gespürt, dass du dich mit beidem gut auskennst. Lass uns noch mal über die beiden Rahmenwerke sprechen. Warum, glaubst du, stehen beide – also NIS 2 sowieso, weil sich Unternehmen darauf vorbereiten müssen – aber auch ISMS gerade verstärkt im Fokus? Hast du das Gefühl, ISMS wird genutzt, um sich auf NIS 2 vorzubereiten? Kann man das so sagen, oder siehst du andere Gründe?
Erik:
Kann man so sagen. Mit einem funktionstüchtigen und wirksamen ISMS hat man mehr als die halbe Miete – ich würde sagen: 95 % von NIS 2 sind damit umgesetzt.
Außerdem hat der Gesetzgeber gesagt: Wir müssen jetzt was tun. Es ist also nicht mehr freiwillig. Und es hat die Unternehmenslandschaft aufgescheucht, weil auf einmal viel mehr Unternehmen reguliert werden, die es vorher nicht waren. Da kursieren verschiedene Zahlen; konservativ betrifft es in Deutschland ungefähr 30 000 Unternehmen, die jetzt zusätzlich reguliert werden – die vorher gesetzlich nichts machen mussten, auch wenn es sinnvoll gewesen wäre. Der Gesetzgeber reagiert damit auf einen Missstand.
Michael:
Es gab ja auch schon eine NIS 1 – wenn es NIS 2 heißt, muss es einen Vorgänger gegeben haben. Was sind die größten Neuerungen im Vergleich zur vorherigen Direktive?
Erik:
Zum einen der deutlich größere Geltungsbereich – es sind viel mehr Unternehmen betroffen. Wir haben schärfere Meldepflichten. Die Sicherheitsmaßnahmen sind in NIS 2 nicht extrem detailliert ausformuliert, aber NIS 2 schreibt ausdrücklich, dass man sich an internationalen und etablierten Sicherheitsstandards orientieren soll – ISO 27001 wäre genau so ein Standard.
Dann die Harmonisierung EU-weit, etwa bei Bußgeldern, stark an die DSGVO angelehnt: Es gibt sehr hohe Bußgelder in absoluten Zahlen oder als Prozentsatz vom Jahresumsatz – je nachdem, was dem Unternehmen mehr weh tut. 20 Millionen wären für ein kleines mittelständisches Unternehmen eine herbe Summe, während es für einen großen Konzern weniger ins Gewicht fällt. Deshalb gibt es Prozent-Regelungen wie bei der DSGVO.
Die Geschäftsleitungsverantwortung wird noch mal explizit hervorgehoben – die gab es schon in NIS 1, aber in NIS 2 ist sie sehr deutlich. Und im Zuge der EU-Harmonisierung gibt es Koordination auf EU-Ebene. Das hängt auch mit Lieferketten zusammen, die immer wichtiger werden. Viele Unternehmen agieren über Ländergrenzen hinweg, und dementsprechend findet die Überwachung ebenfalls grenzüberschreitend statt. Grundsätzlich wird die Bedeutung der Lieferkette deutlich stärker gewürdigt als zuvor.
Michael:
Zu Recht – man liest ja immer wieder von Sicherheitsvorfällen, bei denen genau das das Einfallstor war. Je nach Unternehmenstyp und Größe hat man Zehntausende Dienstleister und Lieferanten in der Kartei – Wahnsinn.
In NIS 2 ist es oft das Problem: Wie genau mache ich das eigentlich? Es gibt z. B. die Pflicht, Systeme zur Früherkennung einzuführen. Wann habe ich das ausreichend erfüllt? Welche Lösungen oder Services brauche ich? Wie kann ich diese Pflicht umsetzen? Siehst du noch andere Dinge, die zu Missverständnissen oder Fehlinterpretationen führen können?
Erik:
Ja, NIS 2 bietet massig Potenzial für Fehlinterpretationen, weil es extrem knapp beschrieben ist. Anforderungen, hinter denen monatelange Arbeit steckt, sind in zwei Zeilen formuliert – z. B. Business-Continuity-Management: „Sorge für die Kontinuität deiner IKT-Prozesse.“ Das steht da in ein, zwei Zeilen.
Deshalb ist die Orientierung an etablierten Sicherheitsstandards so wichtig – um zu verstehen, was dahintersteckt. Bei „Systemen zur Angriffserkennung“ kann man auch Richtung kritische Sektoren schauen, die gemäß Kritis-Verordnung verpflichtet sind, solche Systeme einzuführen. Da gibt es ganze Kataloge mit eigenen Controls, Leistungsanforderungen und Umfang.
Neben formalen Controls ist immer die Risikoexposition des Unternehmens entscheidend. Weder NIS 2 noch ein Standard ist als reine Checkliste zu verstehen, die man abhakt und „done“ ist. Es bleibt bewusst vage, weil niemand wissen kann, wo das Unternehmen steht und was in welchem Ausmaß sinnvoll ist. Man muss gut darlegen können, warum man was in welchem Maß umsetzt. Die etablierten Standards mit ihren Best Practices helfen, aus einem Zweizeiler in NIS 2 konkrete Handlungsleitlinien abzuleiten.
Michael:
Das ist ja auch ein grundlegender Unterschied: Wenn ich ein ISMS nach ISO 27001 umsetze, geht es darum, Standards zu erfüllen – und daran geknüpft sind Prozesse. Dinge laufen anders, Berechtigungen werden angepasst, es gibt harte Controls. Bei NIS 2 habe ich Pflichten, muss neue Prozesse bauen, um sie zu erfüllen – die kann ich mir aber ein Stück weit selbst gestalten.
Erik:
Ja, man ist frei – auch in den Standards. Warum man überall oft Ähnliches vorfindet, liegt an den Best Practices. Unternehmen haben jahrelang Erfahrungen gesammelt. Es gibt Frameworks wie COBIT oder ITIL, die z. B. Change-Management beschreiben: unterschiedliche Change-Kategorien, einen Requestor, Genehmiger, ggf. Vier-Augen-Prinzip mit Prüfer und Freigeber. Das hat sich in der Praxis bewährt; da muss man das Rad nicht neu erfinden.
Das zahlt auf die Entmystifizierung ein, die ich bei Kund:innen immer wieder predige: Wir müssen selten das Rad neu erfinden. Wir schauen auf die Ausgangssituation, was es an Best Practices gibt – und ganz wichtig: Informationssicherheit hat immer mit Prozessen zu tun. Prozesse, Prozesse, Prozesse.
Michael:
Guter Folgentitel: „Prozesse auf die Eins“ oder „Entmystifizierung“.
Erik:
Alles andere kann ich nachgelagert an die Prozesse hängen. Das Ganze muss in die Organisationsstruktur eingegossen sein. Dann habe ich meine Prozesse; alles Nachgelagerte hefte ich daran und bekomme Hinweise, was ich in welchem Ausmaß ausprägen muss.
Michael:
Wenn ich weder ISMS noch NIS 2 umgesetzt habe: Ist es ein Vorteil oder Nachteil, beides direkt gemeinsam zu denken und umzusetzen?
Erik:
Ich empfehle, beides gemeinsam zu denken – gerade wenn man bei null startet. Ich hatte etwa einen Kunden, der sagte: „Wir werden unter NIS 2 fallen. Wir haben noch kein ISMS. Bitte machen Sie uns NIS-2-compliant – ohne ISMS.“ Diese Aufgabe war fast schwieriger, als einfach ein ISMS einzuführen.
Ein ISMS ist ganzheitlich gedacht – es dient nicht dazu, bestimmte Sachen wegzulassen. Kann man machen, aber einfacher ist es tatsächlich, gemeinsam zu denken – fürs Unternehmen und für die, die es unterstützen.
Michael:
Wenn es in ein Unternehmen reinkommt und es gibt wirklich noch nicht viel, kaum Dinge, auf denen du aufsetzen kannst: Wie führt man ein ganzes Unternehmen an dieses Thema heran, ohne zu viele Leute direkt zu verprellen? Es gibt ja immer Leute, die damit erst mal gar nichts anfangen können. Welche typischen Barrieren gibt es in der Anfangsphase, und welche Basis muss man sich aufbauen?
Erik:
Wichtig zu Beginn: herausfinden, was die wirkliche Motivation ist. Intrinsisch oder Pflicht? „Wir müssen NIS 2 machen“ oder „Wir wollen ein ISMS, weil der wichtigste Lieferant es fordert“ – das Spektrum reicht von „Wir sehen den Sinn und haben Bock drauf“ bis „Wir brauchen nur den Zettel“.
Ich würde neben dem Management-Buy-in immer versuchen, die Geschäftsleitung abzuholen, Sinn zu stiften – denn die oberste Leitung trägt das Thema. Das ist nicht wegdelegierbar; NIS 2 macht das mit der Haftung sehr klar.
Dann die Sprache des Unternehmens verstehen. Wir sind vielfältig unterwegs – vom konservativen Energieversorger bis zur Münchner Medienagentur. Man sollte sich nicht als Fremdkörper zeigen, sondern sich einfügen. Das ist ein intensives Business-Projekt, kein reines IT-Projekt. Präzise Kommunikation in gemeinsamer Sprache ist entscheidend.
Als Nächstes die Wissensgrundlage klären: Wo muss ich den Ball aufnehmen? Haben sie schon etwas gemacht, ohne es so zu nennen? Technisch gibt es oft weniger Baustellen; organisatorische und prozessuale Themen kosten Zeit. Technik kann ich schnell umstellen; eine Organisation anzulernen, Dinge anders zu tun, ist die größere Aufgabe.
Ich starte deshalb mit einer Reifegrad-Prüfung: Anforderungen aus NIS 2 oder ISO 27001 gegen das Unternehmen legen, Stärken/Schwächen bewerten, Reifegrad ableiten – daraus entstehen Arbeitspakete, Ressourcenbedarfe, und ob interne Kapazitäten reichen oder externe Unterstützung nötig ist. Das ist der Auftakt, wenn man wenig weiß und am Ende dem Standard oder der Richtlinie standhalten will.
Michael:
Dann merken alle schnell: Das ist ein größeres Ding, nichts für ein paar Tage – das kann Monate dauern. Motivation hält man hoch, wenn man erste Erfolge zeigen kann. Gibt es vor dem großen Rollout Quick Wins, die man in den ersten Tagen oder Wochen präsentieren kann? Oder ist es eher „Liebe Geschäftsführung, hier ist der Abgleich – in manchen Bereichen sieht es gut aus, aber über diese müssen wir sprechen“? Was hält die Motivation hoch?
Erik:
Erfolge feiern, kein Fingerpointing. Ursachen kann man verstehen, aber niemals mit erhobenem Zeigefinger durchgehen. Dinge sind, wie sie sind – wir starten beim Ist-Zustand. Es bringt nichts, Schuldzuweisungen zu treffen. „Ab jetzt sitzen wir im gleichen Boot.“ Wir haben hellgrüne Felder, orangene, vielleicht rote – und arbeiten als Team.
Wichtig: Es ist kein punktueller Erfolg. Nach Einführung eines ISMS oder Erreichen der NIS-2-Compliance geht es weiter. Organisationen verändern sich, Prozesse, IT-Landschaften – das ist kontinuierliche Arbeit. Es ist Ausdauersport.
Michael:
Kein Sprint, sondern ein Marathon.
Erik:
Ich würde sagen: ein nie endender Marathon.
Michael:
Ich sehe bei so viel Abgleich direkt Excel-Tabellen vor mir. Gibt es nicht auch Tools, die geschmeidiger durch den Prozess führen? Und wer ist dein wichtigster Sparringspartner: immer die Geschäftsführung oder z. B. ein CISO? Wer sind deine Champions im Unternehmen?
Erik:
Die Tool-Frage stelle ich mir persönlich zuletzt. Ein Tool ist nur Mittel zum Zweck. Garbage in, garbage out. Es gibt viele tolle Tools und Anbieter, mit denen man schneller, effizienter und schöner arbeiten kann. Aber viele starten zurecht mit Excel – das versteht jede:r, es hat keinen Einführungsaufwand und keine Budgethürde. Ich habe noch kein Unternehmen getroffen, das kein Excel hat.
Zu den Stakeholdern: Es kommt darauf an. Ich brauche eine Geschäftsleitung, die das Thema trägt und erreichbar ist – auch um Prioritäten zu setzen, wenn Kapazitäten knapp sind. Dann IT-Leitung bzw. Fachexpert:innen für Infrastruktur, Netzwerk usw. Ebenso wichtige indirekte Bereiche wie HR – Personalsicherheit ist Teil des ISMS.
Und quer durchs Business, sobald es um Geschäftsprozesse geht. Darum: einfache Sprache, die Sprache des Unternehmens. Wir dürfen nicht erwarten, dass unsere englischen Fachbegriffe überall ankommen. Die Leute möchten verstehen, welche Rolle sie haben und warum das wichtig ist.
Michael:
Da sind wir wieder beim Thema Kommunikation – den Leuten ihre Rolle vermitteln, welchen Beitrag sie leisten und welchen Mehrwert das hat. Am Ende soll ja eine gelebte Sicherheitskultur entstehen und die digitale Souveränität der Unternehmen gestärkt werden, damit es weniger erfolgreiche Cyberangriffe gibt. Wie stellen wir sicher, dass genau das passiert und nicht nur ein reines Compliance-Projekt übrig bleibt?
Erik:
Am Anfang wird es sich immer wie ein Compliance-Projekt anfühlen – man hat eine Anforderung von außen oder intrinsisch motiviert, am Ende einen Standard oder ein Gesetz, das man erfüllen muss. Aber neben der Compliance gibt es echte Sicherheit: Wenn wir z. B. MFA für XY einführen, ist das ein reales Sicherheitsplus.
Im Projekt hat man die Compliance-Brille auf. Gelebte Sicherheit entsteht durch Kontinuität nach dem Projekt. Für Unternehmen, die sagen „Uns reicht der Zettel“: Im Folgejahr kommt die nächste Prüfung. Wer ein ISMS zertifizieren lässt, wird kontinuierlich überwacht. Erst im Linienbetrieb zeigt sich, ob es Compliance bleibt oder zur Kultur wird.
Michael:
Du bist ja irgendwann raus aus dem Projekt. Wer covert das dann im Unternehmen im Linienbetrieb?
Erik:
Im Idealfall – wie bei uns – gibt es eine Stelle wie Informationssicherheitsbeauftragte:r oder Information Security Officer bzw. wenn man es hoch aufhängen will, den Chief Information Security Officer. Das bleibt eine Stabsstelle.
Da muss jemand die Steuerungsfunktion des Managementsystems übernehmen. Nicht allein, das geht gar nicht – die Abhängigkeiten sind groß. Aber wie die Spinne im Netz fühlen, wo das Managementsystem „zuckt“. Es gibt formale Dinge, die kontinuierlich gepflegt werden müssen. Im besten Fall ist das eine dedizierte Person mit Verantwortung.
Michael:
Wir wissen aus unserer Partnerstruktur, dass nicht immer ein CISO existiert, der das covern kann und per Titel in den richtigen Runden sitzt, um die Fahne für ISMS oder NIS 2 hochzuhalten. Es gibt ja auch Modelle wie CISO-as-a-Service – man kann sich einen CISO ins Haus holen, ohne ihn fest anzustellen. Darüber sprechen wir in einer weiteren Folge – als kurzer Teaser: Vor- und Nachteile und wie das wirkungsvoll eingesetzt werden kann.
Lass uns zum Abschluss ein bisschen in die Zukunft schauen. Aktuell werden Unternehmen durch Richtlinien und neue Anforderungen gezwungen, etwas zu tun. Glaubst du, dass das in den nächsten Jahren zur Selbstverständlichkeit wird, oder bleibt das Gefühl, „da will uns wieder einer was aufdrücken“?
Erik:
In gewissem Maße ist es schon Selbstverständlichkeit geworden – die Frage ist nur, bis zu welcher Ausprägung. Ein Passwortschutz für Zugänge ist heute selbstverständlich – im Geschäftlichen wie privat. Das ist rudimentäre Informationssicherheit.
NIS 2 und die Komplexität, über die wir sprechen, sind eine Reaktion der EU, weil es bisher zu wenig selbstverständlich war – ähnlich wie bei der DSGVO. Datenschutz gab es lange vorher; die Strafen waren nur lächerlich klein. Große Player haben gesagt: „Bevor ich das Thema anfasse, zahle ich lieber die Strafe.“
NIS 2 ist eine Reaktion auf flächendeckend zu schwache Cybersicherheit in der Unternehmenslandschaft. Die Zahlen des BKA sprechen für sich – Schäden in Milliardenhöhe. Es ist eine natürliche Reaktion, die sukzessive dazu führt, dass Dinge selbstverständlicher werden. Aber das Feld ist groß. Wer neu gründet und Informationssicherheit von Anfang an mitzieht, wird vieles selbstverständlich finden. Insgesamt hängt es stark von der Affinität der Unternehmensleitung ab – Zeitpunkt und Ausprägung variieren.
Michael:
Eine abschließende Frage: Wenn du heute einem Geschäftsführer einen Rat geben dürftest – was wäre der wichtigste Schritt in Richtung NIS-2- und ISMS-Konformität?
Erik:
Anfangen. So platt es klingt. Diese Projekte sind komplex, weil sie ganzheitlich sind. Wir gehen komplett ins Business rein: Organisation, Prozesse, Tools, Technik, Personal.
Wenn man nicht tief drin ist, wirkt das wie ein riesiger Berg, vor dem man ohnmächtig stehen bleibt und den man vor sich herschiebt. Mein Rat: anfangen, sich damit auseinandersetzen. Regulierung wird nicht weniger – im Gegenteil, Schwellwerte sinken. Inhaltlich ist es ohnehin sinnvoll: Schutz vor Cyberangriffen.
Und wenn es am Ende die Sanktionskeule ist, die es ins Risikomanagement trägt – auch okay. Hauptsache, es wird angegangen. In kleinen Schritten. Nicht immer das große Ganze sehen. Man kann sich jemanden suchen, der das schon öfter gemacht hat, der nicht in Panik verfällt, sondern den nächsten Schritt im Auge behält – und dann kontinuierlich daran arbeiten.
Michael:
Und der vor allem auch richtig Bock und Spaß an genau dem Thema hat. Für Geschäftsführer:innen ist es oft erst mal „uff“. Ich weiß, dass es wichtig ist – und deswegen fange ich an. Zum Glück gibt es Leute wie dich, die das mit Leidenschaft und Begeisterung tun. Vielen Dank, dass du deine Expertise mit uns und allen Zuhörerinnen und Zuhörern geteilt hast.
Wenn ihr Fragen habt, schickt sie uns gern. Wir werden Erik auf jeden Fall noch ein zweites, vielleicht drittes Mal im Podcast hören.
Ich hoffe, ihr habt etwas mitgenommen – und wenn es „Prozesse auf die Eins“ ist; alles andere kann man nachgelagert bearbeiten. Ich hoffe, wir haben das ISMS – wie du so schön sagst – entmystifiziert und konnten den einen oder anderen Impuls mitgeben. Dann wäre unser Auftrag für diesen Podcast schon erreicht.
Bleibt sicher und gesund – bis zur nächsten Ausgabe. Danke, tschüss!