Cybersecurity in der TGA : Wo die NIS2-Richtlinie auf die Gebäudetechnik trifft

Cyberangriffe sind etwas, das immer die anderen trifft. So denken die meisten Menschen, zumindest bis sie selbst zum ersten Mal davon betroffen sind – und dann wird in den seltensten Fällen öffentlich darüber gesprochen. „Wir kennen keine seriösen Zahlen“, sagt Alexander Mitter, Geschäftsführer von KSV1870 Nimbusec. Der Linzer Online-Sicherheitsspezialist setzt sich seit vielen Jahren mit den praktischen Gefahren von Cyberangriffen und den wirkungsvollsten Abwehrstrategien auseinander.

Doch auch er muss bei der Frage passen, wie oft Cyberangriffe erfolgreich sind: „Wir haben hier große Intransparenz“, bedauert Mitter. Zwar gebe ist gut dokumentierte Einzelfälle und einige bekannte Unternehmen, die wegen Angriffen auf ihre digitale Infrastruktur in Schwierigkeiten gerieten oder sogar Insolvenz anmelden mussten: Doch in der Regel kommunizieren die Opfer von kriminellen Akten aus dem Internet ihre Betroffenheit nicht – entweder weil sie gerade noch so durchgekommen sind, oder weil sie nicht mehr können.

„Unternehmen verschwinden nicht nur, weil sie insolvent sind“, sagt Mitter: „Sondern auch, weil sie gehackt worden sind!“ Für den Kreditschutzverband, der mit der Akquise und der Integration des Cybersecurity-Anbieters Nimbusec vor vier Jahren ein deutliches Zeichen gesetzt hat, ist das Thema daher höchst relevant. Die Geschäftsrisiken durch Cyberangriffe haben ernste Auswirkungen, selbst Großkonzerne werden mittlerweile lahmgelegt.

„Wir werden nie wieder weniger Digitalisierung als heute haben! Die Zeiten, in denen wir halt ein paar Wochen wieder mit Papier und Bleistift gearbeitet haben, bis gehackte Computer neu aufgesetzt worden sind, sind vorbei“, warnt Alexander Mitter. Die veränderte Bedrohungslage braucht auch neue Antworten. Denn dass eine nordkoreanische Verbrecherbande einen oberösterreichischen Kesselbauer ins Visier nimmt und ihn ohne physischen Kontakt aus tausenden Kilometern Entfernung über Datenleitungen attackiert, das gab es in der langen Geschichte von Kriminalität und Kriegsführung bisher noch nie.

NIS2 ist die Antwort der Europäischen Union auf diese wachsende volkswirtschaftliche Bedrohung. NIS steht für „Netzwerk- und Informationssicherheit“. Wie die Nummerierung schon andeutet, folgt diese Richtlinie des Europäischen Parlaments auf den Vorgänger NIS1, die 2016 beschlossen wurde. Das war das erste Mal, dass die „Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ in Form einer gemeinsamen Richtlinie zusammengefasst wurden.

NIS1 fokussierte sich ganz auf Unternehmen, die als „kritische Infrastruktur“ für die Volkswirtschaft eingestuft wurden: Also etwa Energieproduzenten, Wasserversorger oder Gesundheitseinrichtungen. Diese wurden konkret definiert und von den Behörden aktiv per Bescheid darüber informiert, dass sie zu jenen Unternehmen gehören, die von Gesetz wegen Cybersicherheitsmaßnahmen umzusetzen haben. In Österreich waren das etwa 100 Unternehmen, alle anderen blieben davon unberührt.

„NIS1 war zu kurz gegriffen“, fasst Mitter die Erfahrungswerte aus Expertensicht zusammen. Für NIS2 wurden die richtigen Lehren daraus gezogen. Die beiden wichtigsten: NIS2 ist so technologieneutral wie möglich und damit offen für zukünftige Veränderungen. Jedes Unternehmen definiert seine unternehmenskritischen Bereiche samt den dafür bestehenden Risiken selbst und kann auf dem aufbauend für sich selbst die richtigen Lösungswege überlegen.

>>> Wenn das veraltete BACnet-Protokoll zur Sicherheitslücke wird

Zweitens: Der Kreis der Unternehmen, die sich um Cybersicherheit kümmern müssen, wurde wesentlich weiter gezogen und bleibt offen für Entwicklungen der Zukunft. Laut qualifizierten Schätzungen werden sich dank NIS2 rund 5.000 statt wie bisher 100 sich aktiv mit ihrer Cybersicherheit auseinanderzusetzen haben. Der heurige Sommer ist der spätestmögliche Zeitpunkt, die entsprechende Analyse anzugehen, denn hier ist der Haken an der Sache: NIS2 tritt bereits am 17. Oktober 2024 in Kraft, und das ohne Übergangsfristen – doch bisher haben ein Großteil der möglicherweise betroffenen Unternehmen sich noch gar nicht damit auseinandergesetzt.

Davon kann Georg Schwondra ein Lied singen. Der Cyberrisk-Experte ist Partner beim Beratungsunternehmen Deloitte in Wien. Dass selbst große Unternehmen, die er in Sachen Informationssicherheit berät, von NIS2 bis zum ersten Gespräch mit ihm noch nichts gehört haben, erlebt er nahezu täglich: „Aktuell habe ich 15 NIS2-Beratungen laufen, bei vielen davon haben wir bei Null begonnen.“

Doch die Aufmerksamkeit der betroffenen Unternehmen wird in der Regel rasch geweckt mit der Information, dass es die Geschäftsführung persönlich für die Einhaltung der Richtlinie haftet … und zwar ab 17. Oktober. Da es auch keinen behördlichen Bescheid gibt, wer NIS2 berücksichtigen muss, sind die Unternehmen selbst angehalten, ihre Betroffenheit zu prüfen. Das ist der erste Schritt, den jedes Unternehmen ohnehin machen sollte. Im Kasten die wichtigsten Anhaltspunkte dafür:

Mit diesen einfachen Fragen lässt sich rasch klären, ob das eigene Unternehmen eventuell NIS2-Regeln einhalten muss. Doch selbst wenn, gibt Schwondra in einem Punkt Entwarnung: „Man muss nicht am 17. Oktober alles fertig haben.“ Der richtige und in der Richtlinie auch vorgegebene Weg ist es, einen „risikobasierten Ansatz“ zu wählen.

Das bedeutet, sich zuerst einmal zu überlegen, was die „Kronjuwelen“ des Unternehmens sind: Welche Informationssysteme, welche Prozesse sind die wichtigsten für meinen Betrieb. Der zweite ist die Nominierung eines Sicherheitsbeauftragten, der direkt der Geschäftsleitung unterstellt ist. Das kann sowohl intern als auch extern sein: Jedenfalls muss jemand konkret dafür verantwortlich sein, sich den Überblick zu verschaffen und die NIS2-Prozesse ins Laufen zu bringen. Und drittens braucht es einen Fahrplan, welche Maßnahmen wann und wie umzusetzen sind.

Das größte Sicherheitsrisiko ist in jedem Unternehmen der Mensch: Mitarbeitende, die in Mails auf verseuchte Anhänge klicken; Passwörter, die für sämtliche Anwendungen im Unternehmen gleich sind, auf Post-its am Schreibtisch kleben und nie geändert werden; Handlungsanweisungen, bei denen nicht geprüft wird, ob sie tatsächlich von der Person stammen, von der sie angeblich kommen. Hier hat sich der „Zero Trust“-Ansatz bewährt: „Ich traue niemandem, außer er beweist mir, dass er es ist“, so fasst Schwondra diesen Ansatz zusammen. So traurig das auch scheinen mag, in Zeiten von Deep Fakes und KI-generierter Stimmimitation wird sich das institutionalisierte Misstrauen als Überlebensgarantie für Unternehmen erweisen.

Legt man all das auf die Gebäudetechnik um, so lässt sich mit wenig Nachdenken definieren, welche Marktteilnehmer in jedem Fall NIS2-konforme Maßnahmen umzusetzen haben. Produzierende Unternehmen wie etwa Kessel-, Wärmepumpen- oder Rohrhersteller sind in jedem Fall betroffen, wie etwa auch Karl Ochsner bestätigt. Der Großhandel als vernetzter Lieferant von unzähligen Anwendern muss NIS2 selbstverständlich am Schirm haben. Alle diejenigen, die in den Energie-, Wasser- oder Chemie-Sektor liefern oder deren Service-Mannschaften dort ein- und ausgehen, werden über kurz oder lang über die Lieferkette angesprochen werden.

Große Anlagenbauer, die mit Betrieb und Wartung von Industrieanlagen oder in den Gebäuden öffentlicher Stellen wie dem Bundesheer und Spitälern betraut sind … kurz gefasst: Nahezu alle gebäudetechnischen Marktteilnehmer, die zumindest als Mittelunternehmen durchgehen. Ein Beispiel dafür gibt Thomas Friedl von Labor Strauss hier. Aber auch bei kleineren schadet es nicht, zumindest einmal einen Blick auf die eigene Widerstandskraft gegenüber Cyberangriffen werfen zu lassen. Alexander Mitter: „Jeder, der einen Internet-Anschluss im Unternehmen benutzt, ist einem gewissen Risiko ausgesetzt.“

Der Experte verwehrt sich in dem Zusammenhang vehement dagegen, dass NIS2 von manchen als Belastung für den Wirtschaftsstandort Europa gesehen wird: „Wir dürfen nicht glauben, dass anderswo nichts gemacht wird! In China gibt es staatliche Penetrationstests, dort werden Unternehmen mit Sicherheitslücken einfach geschlossen. In den USA gibt es rigorose Cybersicherheitsanforderungen, wenn ich auch nur irgendwas an eine öffentliche Stelle verkaufen will.“ Den technologieoffenen Ansatz der Europäischen Union, der den Unternehmen viel Spielraum für die Gestaltung des eigenen Sicherheitskonzepts lässt, sieht er im Gegenteil sogar als Wettbewerbsvorteil: „Wenn wir keine Cybersicherheitsmaßnahmen setzen, wird der Wirtschaftsstandort Europa im internationalen Wettbewerb abgehängt werden!“

>>> Kari Kapsch zur NIS2