Ein Interview mit Manuel Bach (BSI)
Nun erwischt es auch die Kleinen: KMU (kleine und mittlere Unternehmen) geraten zunehmend ins Visier von Hackergruppen. Was viele nicht wissen: Bereits mit wenigen einfach umzusetzenden Schritten lässt sich die Cybersicherheit im Betrieb erhöhen. Wie Sie das erreichen und wie Ihnen das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter die Arme greifen kann, erfahren Sie im Interview mit Manuel Bach, Leiter des Referats “Cyber-Sicherheit für Kleine und Mittlere Unternehmen (KMU)”.
Herr Bach, wenn Sie auf die Lage der Cybersicherheit bei deutschen Unternehmen schauen, wo gibt es mehr zu tun, in der Großindustrie oder in kleinen und mittleren Unternehmen? Und warum ist das so?
Ganz klar bei kleinen und mittleren Unternehmen (KMU). Dort sieht die Lage wirklich nicht rosig aus. Oftmals mangelt es an Risikobewusstsein, so gut wie immer aber an Know-how im Bereich Informationssicherheit.
Bringen wir es mal auf den Punkt: Was sind die größten Risiken für mich als kleines Unternehmen und auf welchen Schaden muss ich mich im Ernstfall einstellen?
Die größte Bedrohung für KMU stellt seit ein paar Jahren Ransomware dar. Dabei werden die Daten des angegriffenen Unternehmens verschlüsselt und es wird Lösegeld für den Schlüssel verlangt. Mittlerweile werden die Daten von den Angreifern vorher auch noch kopiert und zusätzlich damit gedroht, diese zu veröffentlichen. Im schlimmsten Fall ist ein Unternehmen nach einem solchen Angriff insolvent.
„Die größte Bedrohung für KMU stellt seit ein paar Jahren Ransomware dar.“
Manuel Bach
Ihre Chefin, die BSI-Präsidentin Claudia Plattner kündigte vor kurzem „die Cyber-Nation Deutschland“ an. Was können wir uns darunter vorstellen und wie profitieren vor allem kleine und mittlere Unternehmen von der Initiative?
Mit dem Begriff „Cybernation Deutschland“ verbinden wir sechs strategische Ziele:
- Cybersicherheit auf die Agenda heben
- Resilienz erhöhen
- Technologiekompetenz nutzen
- Digitalisierung voranbringen
- Cybersicherheit gestalten
- Cybermarkt Deutschland aufbauen
KMU profitieren von jedem dieser Ziele. Sensibilisierungsvorträge mit Zielgruppe kleine und mittlere Unternehmen gehören seit jeher zum Tagesgeschäft meines Referates. Und Resilienz erhöhen die Unternehmen beispielsweise, indem sie den von uns mitentwickelten CyberRisiko-Check durchführen und anschließend die entsprechenden Maßnahmen umsetzen. Dieser basiert auf einem Standard (der DIN SPEC 27076), den wir gemeinsam mit dem BVMW, dem DIN e.V. und fast 20 weiteren Partnern entwickelt haben. Dieser soll sowohl IT-Dienstleistern als auch KMU dabei helfen, die Cybersicherheit schnell und kosteneffizient zu erhöhen.
Auch auf der Ebene der Infrastruktur sind wir aktiv. So betreibt das BSI in Bonn das Nationale IT-Lagezentrum, in dem wir 24/7 die nationale und internationale Cybersicherheitslage im Blick haben. Anfang 2024 haben wir dieses Zentrum mit komplett neuen Räumlichkeiten nochmals erweitert und auch bei den dortigen Arbeitsplätzen kräftig nachgefüttert, um im Krisenfall noch besser Unterstützung leisten zu können.
Lassen Sie uns ganz konkret werden. Wenn Sie nur eine Stunde Zeit hätten, um die Cybersicherheit in Ihrem eigenen Unternehmen anzugehen, was würden Sie tun?
Ich würde beim BSI die Broschüre „Cyber-Sicherheit für KMU – Die TOP 14 Fragen“ herunterladen und einmal gründlich durchlesen. Was viele nicht auf dem Schirm haben ist, dass viele der Maßnahmen recht einfach umzusetzen sind und bereits einen nachhaltigen Effekt auf die Cybersicherheit im Betrieb haben. Zum Beispiel finden Sie dort auch eine simple Erinnerung an regelmäßige Updates. Selbstverständlich sollte man auch regelmäßig auf der Webseite der Transferstelle vorbeischauen und die neuen Angebote ausprobieren. Abschließend würde ich noch unseren KMU-Notfallnewsletter abonnieren:
Nun wissen wir ja, Cybersicherheit ist ein langer Prozess, der definitiv mehr als eine Stunde braucht. Wie finde ich hier als kleines Unternehmen, das vermutlich auf einen IT-Dienstleister angewiesen ist, einen guten Einstieg?
Da bietet es sich an, einen CyberRisiko-Check nach DIN SPEC 27076 durchführen zu lassen und dann einen qualifizierten IT-Dienstleister damit zu beauftragen, die im Ergebnisbericht enthaltenen Handlungsempfehlungen umzusetzen und sich danach dauerhaft um den IT-Betrieb und die Cybersicherheit meines Unternehmens zu kümmern. Unter cyberrisikocheck.de findet sich in Kürze eine Deutschlandkarte mit allen Dienstleistern, die die entsprechende BSI-Schulung durchlaufen haben.
Das kürzlich erschienene Bundeslagebild Cybercrime 2023 spricht eine deutliche Sprache: Cyberangriffe auf KMU nehmen deutlich zu und werden zusätzlich raffinierter.
Jetzt da wir die ersten Schritte gemacht haben, wie gehts es weiter? Bietet das BSI auch Angebote um KMU laufend bei der Verbesserung ihrer Cybersicherheit zu unterstützen?
Ja, wir haben bereits ein recht großes Angebotsportfolio für KMU. Und wir haben auch noch ein paar spannende neue Angebote in Vorbereitung. Aktuelle Informationen dazu sind zu finden unter: bsi.bund.de/kmu.
Auch wenn ein Unternehmen jetzt schon recht gut abgesichert ist, kann natürlich trotz aller Vorsicht immer etwas passieren. Was kann ich tun, wenn ich bemerke, dass mein Unternehmen Ziel einer Hackerattacke geworden ist?
Trennen Sie Ihre Systeme vom Internet und trennen Sie auch die internen Netzwerkverbindungen. Sie können über die Website des BSI eine Vorfallsmeldung abgeben und eine Vorfallscheckliste herunterladen. Und natürlich ist es immer sinnvoll, auch die Polizei einzuschalten – idealerweise die Zentralen Ansprechstellen Cyber-Crime (ZAC) in Ihrer Region. Die Adressen finden Sie ebenfalls auf der BSI-Website.
Die Zentralen Ansprechstellen Cyber-Crime (ZAC)
Bei einem Cybersicherheitsvorfall gilt es schnell und effizient zu handeln. Die Zentralen Ansprechstellen Cybercrime der Polizeien der Länder und des Bundes sind für Unternehmen verlässliche Partner in dieser Situation. Sie bieten kompetente Unterstützung sowohl bei der Prävention von Cybercrime-Angriffen als auch im Falle von Straftaten gegen das Unternehmen.
Weitere Informationen finden Sie hier:
Abschlussfrage: Können Sie uns zum Ende noch ein Update zum Stand des NIS-2-Umsetzungsgesetz geben? Für etwa 30.000 Unternehmen werden die Cybersicherheitsanforderungen damit deutlich steigen. Auf was müssen sich diese nun einstellen und vor allem wann?
AM 7.5.2024 wurde der aktuelle Referentenentwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz -NIS2UmsuCG) veröffentlicht. Wann das NIS2UmsuCG durch den Bundestag verabschiedet wird, lässt sich derzeit noch nicht sagen. Aber selbstverständlich bereitet sich das BSI bereits auf die NIS2-Umsetzung vor und hat auch dazu Angebote in der Entwicklung, die wir voraussichtlich noch dieses Jahr den Unternehmen zur Verfügung stellen werden.