ISO 27000 : Die Umsetzung von NIS2 bei Labor Strauss

Gibt es Parallelen zwischen dem Risiko im Flugverkehr und jenen im Datenverkehr? Wenn das jemand beurteilen kann, dann ist es Thomas Friedl. Der Sohn des Labor-Strauss Geschäftsführers Helmut Friedl baute ab 1993 die IT des Gebäudesicherheits-Spezialisten auf, ehe er umsattelte und 15 Jahre lang als Linienpilot und Ausbildungskapitän einer Fluglinie tätig war. Seit zwei Jahren ist er nun wieder zurück im Unternehmen und leitet den Geschäftsbereich Technik.

Eine Parallele zwischen NIS2 und den bekannt rigorosen Sicherheitsvorschriften im Flugverkehr ist für ihn die Geschwindigkeit, mit der eine Reaktion auf sicherheitsrelevante Vorfälle verlangt wird. „Laut NIS2 muss ein Betroffener bei einem Cyberangriff innerhalb von 24 Stunden eine Frühwarnung abgeben und innerhalb von 72 Stunden eine genauere Meldung zum Schweregrad und den Auswirkungen machen.“ Das ist im Flugverkehr ähnlich: Auch hier muss ein Unfall innerhalb von nur 24 Stunden gemeldet und nach längstens 72 Stunden eine erste Analyse abgegeben werden.

Friedl hat die NIS2-Richtlinie zur Cybersicherheit seit Herbst 2023 auf seinem Radar. Vertriebsmitarbeitende seien von großen Kunden darauf angesprochen worden, welche Maßnahmen Labor Strauss denn zu setzen gedenke. Seine Analyse brachte ein klares Ergebnis: „Das vernetzte Gebäude ist ein reales Sicherheitsrisiko.“

>>> Wo die NIS2-Richtlinie auf die Gebäudetechnik trifft

Schon alleine der wirtschaftliche Schaden, der entsteht, wenn man die Betriebsfähigkeit eines großen Bürogebäudes durch Verstellung der Temperatur, dem Einschalten der Sprinkleranlage oder einfach nur der Veränderung der Drehgeschwindigkeit von Ventilatoren entstehen kann, ist enorm. Daher ist die Umsetzung von Cybersicherheit entlang der Lieferkette eine Antwort auf eine echte Bedrohungslage.

Thomas Friedl ist das Thema analytisch angegangen und hat sich auf der Suche nach der richtigen Lösung für Labor Strauss in die Tiefe gegraben: „NIS2 basiert auf NIS1, und die wiederum baut auf dem Sicherheitsstandard ISO 27000 auf. Diese wiederum basiert auf der ISO 9000, und im Kern besagen die Richtlinien und Standards alle dasselbe: Ich muss meine Risiken selbst identifizieren, die Bedrohungslage abschätzen und Maßnahmen setzen.“

Daher setzt Friedl auf die Zertifizierung nach ISO 27000, die derzeit angestrebt wird und die die Grundlage für jede NIS2-Compliance ist. Dafür hat er drei simple Gründe: Erstens die Verpflichtung durch NIS2. Zweitens der Markt, auf dem bereits ein beträchtlicher Teil der Kunden in Österreich und Europa ebenfalls ISO 27000 anstreben und über die Lieferkettenverpflichtung das oder ähnliches auch den Lieferanten vorgeben. Und drittens: „Wir haben das Eigeninteresse erkannt!“, so Friedl. Die meisten der offenen Punkte laut ISO 27000 hätte das Unternehmen ohnehin schon auf der To-do-Liste gehabt, warum also nicht gleich im Zuge der Zertifizierung anstreben? Eine Win-win-Situation für Thomas Friedl.

>>> Kari Kapschs Kommentar zur NIS2

Den eigenen Wissensstand schätzt der Technik-Verantwortliche als gut, aber weit weg vom Expertenstatus ein. Jedenfalls kann er auch definieren, was ihm Kopfzerbrechen macht: „NIS2 verlangt, dass datenforensisch ausgebildete Mitarbeiter im Unternehmen sind, die innerhalb von 72 Stunden eine Analyse vornehmen können.“ Seine Einschätzung: Hier wird es für viele Unternehmen eng werden, das wird ein Markt für den Zukauf von Dienstleistungen werden. Denn selbst wenn der entsprechend ausgebildete Mitarbeitende da ist: „Was bringt eine Ausbildung, die man im Idealfall jahrelang nicht nutzt?“