Startseite > Security > Personalengpässe aktiv managen, Risiken minimieren

EU-Regularien

Personalengpässe aktiv managen, Risiken minimieren

3. Juni 2024, 8:30 Uhr | Autorin: Silvia Hänig / Redaktion: Diana Künstler

In Bezug auf Cybersecurity sind Unternehmen in den kommenden Monaten an mehreren Fronten gleichzeitig gefordert. NIS-2 und DORA treten im Oktober 2024 beziehungsweise Januar 2025 offiziell in Kraft. Betroffene Firmen müssen jetzt in kluge Personalkonzepte investieren.

Der Artikel beantwortet unter anderem folgende Fragen:

Was sind die neuen Cybersecurity-Regularien, die in den kommenden Monaten in Kraft treten?
Welche Herausforderungen gibt es bei der Umsetzung der neuen Cybersecurity-Regularien?
Wie können Unternehmen trotz Personalmangels die neuen Regularien umsetzen?
Welche Rolle spielt die externe Unterstützung bei der Umsetzung der Regularien?
Welche Vorteile bieten Managed Service Provider für IT-Security?

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Es scheint fast so, als würden sich die neuen EU-weit anwendbaren Cybersecurity-Regularien wie die NIS-2 Directive¹ (17. Oktober 2024), DORA (17. Januar 2025) oder der Cyber Resilience Act² (Anfang 2026) nacheinander die Klinke in die Hand geben. In unterschiedlicher Intensität und Ausprägung verfolgen alle neuen Gesetze ein gemeinsames Ziel: Möglichst viele Unternehmen sollen ihre Organisation widerstandsfähiger gegen die permanente Bedrohung durch Cyberattacken zu machen. Denn die haben sich innerhalb des letzten Jahres vervielfacht. Laut einer aktuellen Bitkom-Umfrage³ verzeichneten ganze 75 Prozent von rund 1.000 befragten Unternehmen in den vergangenen zwölf Monaten einen Cyberangriff. Dass hier die Hacker immer professioneller und gründlicher vorgehen, belegt vor allem die Aussage: 52 Prozent der Befragten fühlen sich durch Cyberangriffe sogar in ihrer Existenz bedroht.

Regulierung	Anwendungsbeginn für Unternehmen
NIS-2 Directive	17. Oktober 2024
DORA	17. Januar 2025
Cyber Resilience Act	Anfang 2026

Wenig Personal, große Qualifikationslücken

Höchste Zeit also, sich ernsthaft damit auseinanderzusetzen, wie die eigene Organisation schnellstmöglich fit für die neuen Anforderungen durch NIS2 & Co. werden kann. Aber die Voraussetzungen sind denkbar schlecht. Denn der zunehmenden Bedrohung steht eine ebenso zunehmende Lücke an qualifiziertem Personal gegenüber. Und das nicht erst seit gestern. Laut aktuellem Hays Fachkräfte-Index liegt die Zahl der ausgeschriebenen Positionen für die gesamte IT schon seit den letzten zwei Quartalen deutlich über der 100.000-Marke. Im ersten Quartal 2024 sind die Stellenausschreibungen dann nochmals deutlich angestiegen (37 Prozentpunkte). „Die Bedarfe im Bereich IT werden trotz angespannter Wirtschaftslage klar in Richtung IT-Security priorisiert. Nicht zuletzt auch wegen der anstehender EU-Regularien“, weiß Andreas Sauer, Bereichsleiter Technology bei Hays. Das heißt, angesichts dringender Umsetzungspflichten schreiben Unternehmen routinemäßig zwar neue Planstellen für Cybersecurity aus, rechnen aber gleichzeitig nicht damit, diese Positionen auch tatsächlich im vorgesehenen Zeitraum besetzen zu können. Zudem passen mittlerweile viele Personalberatungen bei der Suche von Cybersecurity-Führungskräften. Von einem dedizierten Chief Information Security Officer (CISO) ganz zu Schweigen.

Mehr NIS-2-Insights am 26.06. im connect professional Webinar
Bereit für NIS-2 – und für das, was noch kommen mag? Nachdem connect professional gemeinsam mit Partnern an den bisherigen Webinartagen im Januar, März und April bereits eingehend die Key Facts und Basics zur Richtlinie abgehandelt hat, soll es dieses Mal vorrangig um die wesentlichen Management-Maßnahmen gehen, die die EU-Richtlinie fordert. Dieses Mal wird unter anderem Secunet mit dabei sein. Auch werfen wir einen Blick über den Tellerrand: Weitere Verordnungen, Regularien aber auch Normen stehen vor der Tür, darunter DORA, CRA und AI Act. Sie nicht alle getrennt voneinander zu betrachten und Wechselwirkungen zu nutzen, lohnt sich. Wann? 26. Juni 2024 Wo? virtuell; am PC Einfach kostenfrei hier anmelden.

Mehr NIS-2-Insights am 26.06. im connect professional Webinar

Bereit für NIS-2 – und für das, was noch kommen mag? Nachdem connect professional gemeinsam mit Partnern an den bisherigen Webinartagen im Januar, März und April bereits eingehend die Key Facts und Basics zur Richtlinie abgehandelt hat, soll es dieses Mal vorrangig um die wesentlichen Management-Maßnahmen gehen, die die EU-Richtlinie fordert. Dieses Mal wird unter anderem Secunet mit dabei sein. Auch werfen wir einen Blick über den Tellerrand: Weitere Verordnungen, Regularien aber auch Normen stehen vor der Tür, darunter DORA, CRA und AI Act. Sie nicht alle getrennt voneinander zu betrachten und Wechselwirkungen zu nutzen, lohnt sich.

Wann? 26. Juni 2024

Wo? virtuell; am PC

Einfach kostenfrei hier anmelden.

Externe Security-Fachkräfte für langfristigen Support

Es braucht also einen Plan B, der es ermöglicht, einerseits mit bestehendem Know-how und geringem Personalstand in den IT-Etagen zurechtzukommen. Andererseits flexibel und kostenbewusst auf externe Unterstützung zurückzugreifen, um zumindest wesentliche Teile der gesetzlichen Pflichten schnell und unkompliziert übernehmen zu können. Denn eines steht fest: Eine „Wird-uns-schon-nicht-treffen-Haltung“ ist hier keine Option. Zumal die neuen Richtlinien zum größten Teil fortlaufende Reportings und Analyse verlangen, die zeigen, dass die durchgeführten Sicherheitsmaßnahmen dem aktuellen Stand der Technik sowie der aktuellen Gefährdungslage entsprechen. Dazukommt, dass die erhöhten Schutzmaßnahmen nicht nur für potenzielle Cyberangriffe gedacht sind. Das erhöhte Sicherheitsniveau soll ebenfalls andere Arten von Incidents, die die IT-Umgebung insgesamt lahmlegen könnten, umfassen. Wem das noch nicht Grund genug sein sollte, sich mit NIS-2 & Co. zu beschäftigen, dem sei gesagt, dass bei Nichteinhaltung teils saftige Bußgelder und Strafen bis zu 10 Millionen Euro oder zwei Prozent vom weltweiten Jahresumsatz drohen. NIS-2 ist also längst zu einem Compliance-Risiko geworden, das die Verantwortlichen sehr ernst nehmen sollten.

Personeller Druck vor allem bei kommunalen Einrichtungen und Mittelstand

Allerdings unterscheidet sich der Reifegrad der individuellen IT-Strategie von Unternehmen zu Unternehmen stark. Hinzu kommt: In der Fortsetzung von NIS-1 hat ein Großteil in puncto Risikomanagement sowie Compliance mit Bezug auf die internen kritischen Infrastrukturen – also die Netz- und Informationssicherheit – seine Hausaufgaben personell und organisatorisch schon so gut wie erledigt. Diejenigen, die aufgrund der Erweiterungen des Anwendungsbereichs (nach Unternehmensgrößte und Industriesektor) ab Oktober 2024 erstmalig unter die Neuerungen fallen, haben hingegen aktuell den größten Druck bei der bestmöglichen Zusammenstellung ihrer internen und externen Workforce. Im Zentrum stehen dabei Faktoren wie die Daten, mit denen Unternehmen hantieren, der Entwicklungsstand der Netzwerke und Systeme sowie Know-how und qualifiziertes Personal, das in die IT-Sicherheit investiert wird. Schließlich müssen diese Unternehmen schon in einigen Monaten systematisch nachweisen, dass sie durch Risikoanalyse, Informationssicherheit, Maßnahmenbewertung und -umsetzung, Incident Response Management sowie Krisenmanagement und Mitarbeiterschulungen in der Lage sind, für ausreichende Cybersicherheit zu sorgen.

Doch in der aktuellen Wirtschaftslage ist das für viele finanziell so gut wie nicht umsetzbar. „Das gilt insbesondere für Bereiche wie dem kommunalen Sektor. Hier sind die gewachsenen IT-Infrastrukturen teils so weit hinten dran, dass die alleinige, interne Umsetzung rein wirtschaftlich keinen Sinn machen würde“, so Götz Blechschmidt, Geschäftsführer von Msecure. Ironischerweise könnten gerade diejenigen Unternehmen, die bereits Opfer einer Cyberattacke geworden sind, einen enormen Vorteil bei der Einschätzung des tatsächlichen Bedarfs haben. „Der stärkste Treiber ist und bleibt die eigene Erfahrung“, so Blechschmidt. Allerdings betont er auch, dass aus Attacken immer noch zu wenig echte Konsequenzen gezogen werden.

Erster Schritt: Identifikation von interner und externer Umsetzung

Generell sollte es aber nicht erst wehtun, um ins Doing zu kommen. Vielmehr braucht es jetzt die Antwort auf die grundsätzliche Frage: Wann lohnt es sich, bestimmte Skills extern einzukaufen, und wo behält man besser selbst den Daumen drauf? Nach Meinung von Andreas Braidt, Chief Operating Officer von Synaforce sollte die Risikobetrachtung nach Möglichkeit nicht extern vergeben werden. „Mein reelles Risiko oder meine Grenzwerte gehen niemanden anders etwas an“, so der Berater. Wichtig sei es aber, die Methodik der eigenen Risikobewertung zu kennen, um auf dieser Basis realistische Szenarien simulieren zu können. „Wenn morgen das Licht ausgeht, wie lange brauche ich, um wieder auf die Beine zu kommen? Drei Tage? Sechs Tage? Und welche Produkte habe ich dafür im Einsatz?“

Auch Alexander Raschke, Vorstand des Personaldienstleisters für IT-Experten Etengo, nimmt gerade verstärkt wahr, wie sich Unternehmen im Hinblick auf die Umsetzung der NIS-2-Richtlinie personell in Stellung bringen: „Wir erkennen, dass unsere Kunden je nach Struktur Leitungsgremien bestehend aus CISO, Geschäftsleitung oder auch Risiko-Management bilden, um den Einfluss der Neuerungen auf ihre Organisation zu bewerten, um konkrete Handlungen darauf abzuleiten. Hier werden auch Entscheidungen darüber getroffen, was intern dargestellt werden kann und was extern eingekauft werden soll.“

Steigende Standardisierung verbessert Outsourcing-Potenzial

Neben den personellen Engpässen auf einzelnen Positionen wie zum Beispiel bei der IT-Administration oder in der IT-Sicherheit geht es hier vor allem darum, interne Sichtweisen um eine neutrale externe Bewertung oder Analyse, zum Beispiel zu Sicherheitsfragen innerhalb der IT-Infrastruktur, zu ergänzen. Die gute Nachricht an dieser Stelle: „Alles, was in Richtung technischer Betrieb sowie technische Ausstattung geht, und in hohem Maße standardisierbar ist, kann leicht extern erledigt werden,“ so Blechschmidt. „Die interne IT kann sich dann verstärkt um die Prozesse kümmern. Es darf sie nicht mehr interessieren, ob ein Netzwerk funktioniert.“ Dieser Ansicht ist auch Josip Matosin, Experte für Cybersecurity bei Hays: „Für die Netzwerksicherheit, also den Einsatz von Firewalls sowie Intrusion Detection Systeme sowie auch die Datensicherung, gibt es qualifizierte, externe Managed Service Provider oder IT-Freiberufler. Auch sichere Authentifizierungsmethoden, wie die Multifaktor-Authentifizierung, sind mittlerweile standardisierbar und damit sehr gut geeignet für die Auslagerung an einen Dienstleister. Ein großer Vorteil, denn diese Bereiche sind arbeitsintensiv und greifen meist stark ineinander. Viele Anbieter bringen sich daher über Konzepte wie dem Managed NOC (Network Operation Center) oder dem Managed SOC (Security Operation Center) zur Auslagerung komplexer Netzwerk- und Security-Aufgaben gerade in Stellung.

Externe Unterstützungsmöglichkeiten:

Netzwerksicherheit
Firewalls und Intrusion Detection Systeme
Datensicherung
Multifaktor-Authentifizierung
Managed NOC und SOC

Security-Schulungen prädestiniert für externe Abwicklung

Aber auch die obligatorischen Audits und Mitarbeiter-Schulungen können dauerhaft über externe IT-Spezialisten abgewickelt werden. „Insbesondere Schulungen oder Assessments sind aufgrund der Neutralität geradezu prädestiniert für externe Lösungsansätze“, weiß Alexander Raschke. „Externe Audits bieten den Vorteil, dass sie – weil von Dritten durchgeführt – eine objektive Bewertung des Sicherheitsniveaus ermöglichen,“ ist auch Andreas Braidt überzeugt. Götz Blechschmidt ergänzt: „Interessant wird es bei technischen Assessments, die spezielles Knowhow erfordern, was über die übliche interne Qualifikation hinausgeht. Warum? Neben der reinen Wissensvermittlung können externe Berater genau auf die spezifischen Abläufe im Unternehmen und den Status Quo der Cybersecurity eingehen.“ Eigentlich. Denn bisher haben sich viele Unternehmen wegen zu hoher Kosten gegen Sicherheitsschulungen ausgesprochen. Dabei dürfte ein Cyberangriff um ein Vielfaches höhere Kosten verursachen als die präventive Sensibilisierung der Mitarbeitenden. Gerade weil allein technische Sicherheitslösungen zur Abwehr von Cyberbedrohungen nicht ausreichen und man zwischenzeitlich weiß, dass der Mensch die größte Schwachstelle in der IT-Sicherheitskette ist, machen die verpflichtenden Schulungen in der Direktive auf jeden Fall Sinn.

„Außerdem können Unternehmen damit dem Phänomen der Alert Fatigue vorbeugen“, weiß Josip Matosin. Dabei handelt es sich um Warnmeldungen für Attacken, die von Mitarbeitenden entweder zu spät realisiert oder ganz ignoriert werden. Das zeigt, wie wichtig es ist, sich rechtzeitig mit den Optionen auseinanderzusetzen, welche grundlegenden Fähigkeiten und Kapazitäten intern fehlen und extern, möglichst wirtschaftlich, ergänzt werden sollten. Wichtig dabei: Aufgrund im Hinblick auf knappe Budgets sollten Unternehmen nach möglichst flexiblen Lösungen und Partnern Ausschau halten. Diese sollten Erfahrungen darin haben, als qualifizierte Ergänzung des gesamten Teams zu fungieren, anstatt sich ausschließlich als Impulsgeber für interne Security-Teams zu verstehen.

Silvia Hänig ist Managing Director bei Ikom.

^{1 https://eur-lex.europa.eu/eli/dir/2022/2555/oj

2 https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act

3 https://www.bitkom.org/Presse/Presseinformation/Organisierte-Kriminalitaet-greift-verstaerkt-deutsche-Wirtschaft-an}