Suche
Suche

Viel Arbeit für IT-Profis

Sachsen hat als erstes Bundesland die EU-Richtlinie zur Netzwerk- und Informationssicherheit gesetzlich verankert. Von NIS 2 sind deutlich mehr Branchen und Betriebe betroffen. Sie brauchen nun IT-Spezialisten, die sind aber Mangelware. Sich frühzeitig zu kümmern, ist dennoch sinnvoll, rät ein großer IT-Dienstleister aus Dresden.

Lesedauer: 4 Minuten

Ein stilisiertes Foto zeigt eine Hand sowie ein Schloss-Symbol.

Von Annett Kschieschan

Es gibt Themen, mit denen jeder etwas anfangen kann – oberflächlich betrachtet. Was ganz genau dahintersteckt, wer in welcher Form betroffen ist, wirft aber oft selbst dort Fragen auf, wo man es eigentlich besser wissen müsste. Die Cybersicherheit in der Arbeitswelt ist so ein Thema. Dass es Hackerangriffe auf Unternehmen gibt und Spam-Mails sich als Phishing-Attacken entpuppen können, ist kein Geheimnis. Aber wie sollten sich Firmen effektiv schützen? Wie viel Cybersicherheit braucht der Metallbaubetrieb, wie viel der Lebensmittelladen, die Arztpraxis oder die Behörde? Diese Fragen sind für Geschäftsführer oder Amtsleiter heute kaum zu beantworten. Und das Thema nimmt gerade an Komplexität zu, denn Sachsen ist das erste Bundesland, das bei der Umsetzung der europäischen Vorgaben zur Erhöhung der Cybersicherheit einen Schritt vorangegangen ist. Mit Beschluss des Sächsischen Landtags vom 12. Juni werden die europarechtlichen Vorgaben der sogenannten NIS-2-Richtlinie im Freistaat Sachsen im Sächsischen Informationssicherheitsgesetz verankert.

Wer gehört zur kritischen Infrastruktur?

Das Kürzel NIS steht dabei für Netzwerk- und Informationssicherheit. Die Richtlinie dazu soll die sogenannte Cyberresilience in den Staaten der Europäischen Union verbessern. Im Fokus steht dabei die sogenannte kritische Infrastruktur, also jene Bereiche, die für die Aufrechterhaltung des normalen Alltags unabdingbar sind. Krankenhäuser gehören ebenso dazu wie Ver- und Entsorgungsunternehmen, Banken, Verkehrsbetriebe, aber auch Dienstleister und Produzenten. Mit der neuen Richtlinie sind mehr Branchen als bisher Teil des sogenannten Kritis-Bereiches, insgesamt werden 18 Sektoren unterschieden. Auch die Vorgaben zur Größe, ab der ein Betrieb besondere Sicherheitsmaßnahmen ergreifen muss, haben sich verändert. Für Sachsen stellt sich nun aber auch ganz konkret die Frage, woher die Profis kommen sollen, die sich um die Umsetzung von NIS 2 in den Unternehmen und Verwaltungen kümmern. Denn schon jetzt ist der Stellenmarkt für IT-Spezialisten wie leergefegt. Mit Bordmitteln dürfte kaum ein Unternehmen den Sicherheitsanforderungen der Zukunft gerecht werden können.

„Die meisten Unternehmen werden Unterstützung brauchen. Und je früher sie sich mit dem Thema beschäftigen, desto besser“, sagt Christian Müller. Als technischer Berater bei dem Dresdner IT-Dienstleister SHD System-Haus-Dresden GmbH kennt er die Schwachstellen in Betrieben und Verwaltungen. Und er weiß: ein maßgeschneidertes IT-Sicherheitskonzept bedarf guter Analyse und Planung. Nicht jedes teure und vermeintlich perfekte Rundherum-Sorglos-Paket passt zu jeder Firma. Er und seine Kollegen starten dabei in der Regel mit einer Bestandsaufnahme im Rahmen eines kurzen Workshops und einem sogenannten Penetration-Test. Dabei versuchen die Profis, das Sicherheitssystem des Unternehmens zu knacken. Manchmal eine Sache von wenigen Stunden, manchmal eine Aufgabe für Tage. Am Ende aber steht immer fest, durch welche Lücke Cyberkriminelle firmeninterne Daten abgreifen oder ganz das ganze Unternehmen lahmlegen könnten. Nach dem ersten Schreck wird dann gemeinsam ein Konzept entwickelt, das genau diesen Ernstfall verhindern soll.

Welche Firmen müssen handeln?

Als sicher gilt: In den nächsten Monaten wird die Nachfrage nach professioneller Hilfe steigen. Bei SHD ist man darauf vorbereitet und schon jetzt breit aufgestellt. Aber auch hier werden neue Mitarbeiter gesucht. „Wer in der Branche Fuß fassen will, hat gerade beste Chancen“, weiß Christian Müller. Nicht zuletzt durch NIS 2 werde die Bandbreite der Aufgaben für IT-Profis noch größer. Wer für einen erfahrenen Dienstleister arbeitet, lernt schnell die Anforderungen in den verschiedensten Branchen und Verwaltungsstrukturen kennen.

 „Da wir seit vielen Jahren IT-Dienstleister von Kunden mit kritischen Infrastrukturen sind, ist die neue Verordnung kein Neuland für uns. Wenn man IT-Dienstleister von Universitätskliniken, oder von Behörden weit über die Landesebene hinaus ist, geht es um tiefes technisches Knowhow. Dieses Fachwissen liegt nicht nur in den Köpfen der Spezialisten, sondern auch in den technischen Voraussetzungen insbesondere im Zusammenspiel mit den IT-Sicherheitsprozessen. In den letzten Jahren haben wir hier sehr viel investiert,“ so Marco Graef, Geschäftsführer von SHD. Graef hat selbst jahrzehntelang die Architektur von Rechenzentren und kritischen IT-Infrastrukturen verantwortet und kann daher auch die aktuellen Herausforderungen gut einordnen.  Die IT-Forensiker und Informationssicherheits-Consultants investieren selbst viel, um immer up to date zu sein. Unabhängige Zertifizierungen, auch Schulungen direkt beim Bundesamt für Sicherheit in der Informationstechnik, und jährliche Rezertifizierungen gehören dazu.  „Wir haben Respekt vor der großen Nachfrage, fühlen uns aber gut gewappnet. Wir haben uns seit Jahren darauf vorbereitet“, so Marco Graef und verweist dabei auch auf DIRT. Das Deutsche Incident Response Team ist ein Unternehmensverbund mit 50 sogenannten BSI-Vorfall-Experten und insgesamt 4.500 IT-Fachkräften. Dirk Henniges, Geschäftsführer des Unternehmensverbundes Compass Gruppe, hat es sich gemeinsam mit den 15 Geschäftsführern aus dem Verbund nach eigener Aussage zur Aufgabe gemacht, die Cybersicherheit in Deutschland langfristig auf Höchstniveau zu heben. Auch Marco Graef ist einer von ihnen.

Rechtzeitig registrieren

Was für die Sicherheitsspezialisten am Ende auch eine spannende Herausforderung ist, dürfte so manchem Unternehmer zwischen Neiße und Vogtland derzeit einige Sorgen machen. Nicht zu Unrecht, vor aus der Not geborenen Schnellschüssen warnt Profi Christian Müller aber. „Geprüft wird die Umsetzung der Richtlinie voraussichtlich erst nach drei Jahren. Es bleibt also noch genügend Zeit, ein passendes Sicherheitskonzept zu entwickeln. Allerdings ist es wichtig, dass sich die betroffenen Unternehmen zeitnah entsprechend registrieren“, sagt er. Wer seine Hausaufgaben in Sachen NIS 2 schon jetzt erledigt, hat gute Chance, am Ende das Audit – also die Überprüfung durch externe Experten – gut zu überstehen und, noch wichtiger, gut geschützt zu sein. Denn die Zahl der Cyberangriffe steigt seit Jahren. Allein die Attacken aus dem Ausland haben laut der Statistik des Bundeskriminalamtes im vergangenen Jahr um 28 Prozent zugenommen und einen Schaden in Höhe von insgesamt mehr als 200 Milliarden Euro verursacht.

Mit der Umsetzung der NIS-2-Richtlinie werde das Sicherheitsnetz „noch enger geknüpft“, heißt es passend dazu aus der Sächsischen Staatskanzlei. Der Informationssicherheitsbeauftragte des Landes übernimmt nun auch die Rolle einer Aufsichtsbehörde. Er soll die Umsetzung von Sicherheitsmaßnahmen überprüfen, und Sicherheitsvorfälle in wichtigen staatlichen Behörden an die Europäische Union melden.

Mehr Sicherheit für alle – daran dürfte jedem gelegen sein. Für Unternehmen bedeutet NIS 2 aber auch eine weitere Herausforderung, die die Folgen des Fachkräftemangels einmal mehr ganz praktisch zeigt.

Das könnte Sie auch interessieren: