KRITIS statt Krise? Warum das KRITIS-Dachgesetz Unternehmen unter Zugzwang setzt
Shownotes
„KRITIS ist weit mehr als Cybersecurity – es geht darum, unsere lebenswichtigen Infrastrukturen widerstandsfähig zu machen.“
Was passiert, wenn plötzlich der Strom ausfällt? Wenn Kommunikationsnetze zusammenbrechen oder Lieferketten stillstehen? Solche Szenarien sind längst keine reine Zukunftsmusik mehr. Genau deshalb rückt das KRITIS-Dachgesetz immer stärker in den Fokus von Unternehmen, Behörden und der Politik.
In dieser Folge von Wissen kompakt spricht Leslie mit Stefan Schuck, KRITIS-Experte und Referent der TÜV NORD Akademie, über die wichtigsten Änderungen rund um das KRITIS-Dachgesetz und erklärt verständlich, was Unternehmen jetzt wissen und umsetzen müssen.
Gemeinsam klären sie:
- Was das KRITIS-Dachgesetz überhaupt regelt
- Warum KRITIS nicht nur IT-Sicherheit bedeutet
- Welche Unternehmen betroffen sind
- Welche Rolle Resilienz künftig spielt
- Und warum Geschäftsführungen das Thema nicht mehr delegieren können
Eine Folge für Geschäftsführende, Sicherheitsverantwortliche, Compliance-Manager und alle, die verstehen möchten, wie Unternehmen kritische Infrastrukturen künftig schützen müssen.
Highlights der Episode & Kapitelmarken
00:00 – Warum KRITIS jetzt alle betrifft
- Blackout, Lieferketten & Kommunikationsausfälle
- Warum kritische Infrastrukturen immer wichtiger werden
03:10 – KRITIS ist mehr als Cybersecurity
- Unterschied zwischen KRITIS, NIS2 und physischer Sicherheit
- Die drei europäischen Sicherheitsbausteine verständlich erklärt
06:15 – Was ändert das KRITIS-Dachgesetz?
- Neue betroffene Branchen und Sektoren
- Von Energie bis Raumfahrt: Wer jetzt handeln muss
10:05 – Welche Unternehmen sind betroffen?
- Neue Schwellenwerte
- Warum insbesondere Betreiber kritischer Dienstleistungen jetzt gefordert sind
12:20 – Physische Sicherheit in der Praxis
- Zutrittskontrollen
- Perimeterschutz
- Notstromversorgung
16:00 – Wer trägt die Verantwortung?
- Warum KRITIS Chefsache ist
- Die Rolle des KRITIS-Beauftragten
- Haftung der Geschäftsführung
19:00 – Resilienz statt reiner Sicherheit
- Warum Anpassungsfähigkeit wichtiger wird als Perfektion
- Business Continuity Management verständlich erklärt
22:30 – Der erste Schritt für Unternehmen
- Risiken erkennen
- Vorfälle richtig melden
- Warum eine einfache Alarmierung oft schon viel bewirken kann
26:00 – Die häufigsten Fehler
- Zu enger Blick auf das eigene Unternehmen
- Warum KRITIS immer im Gesamtsystem gedacht werden muss
Gast Stefan Schuck, KRITIS-Experte, Berater für Informations- und physische Sicherheit sowie Referent der TÜV NORD Akademie
Links & Ressourcen
- Seminar: KRITIS-Dachgesetz & Kritische Infrastrukturen
- Seminar: KRITIS-Beauftragter
- Seminare zu NIS2, Informationssicherheit & Business Continuity
- Weiterbildungsangebote der TÜV NORD Akademie - Zum Webshop
Weiterführende Themen aus der Folge
- KRITIS-Dachgesetz
- Kritische Infrastrukturen
- NIS2-Richtlinie
- Business Continuity Management (BCM)
- Resilienz in Unternehmen
- Physische Sicherheit
- Informationssicherheit
- Risikoanalyse
- Krisenmanagement
- Compliance
- Unternehmenssicherheit
Abonniere den Podcast: Bleib auf dem Laufenden und verpasse keine Episode mehr – abonniere "Wissen kompakt" auf Spotify, Apple Podcasts, Amazon Music oder deiner bevorzugten Podcast-Plattform.
Feedback und Kontakt: Wir freuen uns über dein Feedback zur Episode! Hinterlasse gerne eine Bewertung in deiner Podcast-App oder Feedback kontaktiere uns auch gerne per Mail an kontakt-akademie@tuev-nord.de
Bleib informiert: Folge uns auf LinkedIn und Instagram und Facebook für aktuelle News und Updates.
Vielen Dank fürs Zuhören! Wir freuen uns, wenn du auch bei der nächsten Folge von "Wissen kompakt" wieder dabei bist. Bis bald!
Transkript anzeigen
00:00:00: Viele Unternehmen haben aus ihrer Erfahrung heraus natürlich wichtige Gedanken, aber gucken manchmal etwas zu engstirnig auf bestimmte Themen und sehen nicht das große Ganze.
00:00:12: Und es recht das Betrachten für die kritischen Infrastrukturen.
00:00:17: Davon ist man nicht nur selbst ans Unternehmen troffen sondern das kann mehrere Unternehmen gleichzeitig betreffen.
00:00:23: Das kann weite Teile der Wirtschaft und auch weite Teile der Bevölkerung eben treffen.
00:00:29: Und den Blickwinkel zu öffnen, nicht nur auf sein eigenes kleines Unternehmen zu schauen sondern wirklich auf größere Gefährdungs-Szenarien und auf größeren Möglichkeiten die sich dort eröffnen das wird ganz häufig außer Acht gelassen.
00:00:46: Wissen Kompakt TÜV Nordakademie im Gespräch.
00:00:50: In unserem Podcast für berufliche Weiterbildung diskutieren wir mit Expertinnen und Experten aktuelle Herausforderungen, wichtige Fragen und aktuelle Trends.
00:01:00: Hallo und herzlich willkommen zu einer neuen Folge von Wissen Kompakt!
00:01:11: Plötzlich stehen die Züge still und diesmal ist es kein fehlerhafte Software-Update, sondern ein riesiger Stromausfall.
00:01:19: Die Kommunikation bricht zusammen weil das Telefonnetz gestört wurde – einen Cyberangriff!
00:01:24: Und an der Tankstelle gibt's keinen Sprit
00:01:25: mehr
00:01:26: oder ein Krankenhaus kann keine Notfälle mehr aufnehmen, weil die IT nicht
00:01:29: mehr funktioniert?
00:01:30: Genau das ist keine Zukunftsvision, sondern passiert bereits heute.
00:01:35: Natürlich nicht alles auf einmal aber bereits eine der genannten Situationen kann Chaos auslösen.
00:01:41: Warum wir das erzählen?
00:01:42: In Deutschland sichern mehr als zweitausend kritische
00:01:44: Anlagen unsere Energieversorgung,
00:01:46: unser Wasser, unsere Gesundheit und viele weitere lebenswichtige
00:01:49: Bereiche.
00:01:50: Und gleichzeitig sehen wir – die Bedrohungslage nimmt zu!
00:01:54: Durch Cyberangriffe, technische Ausfälle oder auch komplexe Störungen im vernetzten System.
00:02:00: Die entscheidende Frage ist deshalb längst nicht mehr, ob etwas passiert sondern wie gut Organisationen darauf vorbereitet sind.
00:02:06: Denn wenn kritische Infrastruktur ausfällt geht es nicht nur um IT.
00:02:10: Es geht um Resilienz, um physische Sicherheit, um Notfall und Krisenpläne Und um die Frage Wie widerstandsfähig Organisationen wirklich sind.
00:02:20: Genau deshalb sprechen wir heute über Kritis Kritische Infrastrukturen.
00:02:24: In dieser Folge unserer Themenserie zu gesetzlichen Veränderungen Sprechen wir über das Kritis-Dachgesetz.
00:02:29: Was deckt das Gesetz ab und was hat sich in dem Gesetz seit letztem
00:02:32: Jahr verändert?
00:02:33: In dieser Folge wollen wir keine technische Spezialdiskussionen über das Thema führen, sondern Geschäftsführern, Management- und Verantwortlichen in Unternehmen einen verständlichen Überblick geben.
00:02:45: Für alle, die vielleicht merken – dieses Thema betrifft uns mehr als wir bisher gedacht haben.
00:02:49: Unser Gast heute beziehungsweise Leslie's Gast ist Stefan Schuck, Experte für den Schutz kreatischer Infrastrukturen und geschätzter Referent der TÜV Nordakademie, der auch gerade frisch aus einer Kritischulung kommt und uns quasi brandaktuell Rede und Antwort steht!
00:03:06: Hallo Stefan, schön dass du bei Leslie bist!
00:03:08: Vielen Dank wie das tolle Intro Und damit herzlich willkommen Stephan, schön, dass du da bist.
00:03:14: Ich freue mich auch sehr, dich hier so zu sprechen, Leslie.
00:03:17: Sehr schön!
00:03:18: Zu Beginn des Podcasts stelle ich jedem Gast immer die gleiche Frage Wir sind ja ein Weiterbildungsanbieter und entsprechend auch um meine erste Frage an dich.
00:03:28: Gerade wird es um so sensible Themen wie kritische Infrastruktur geht und wo viele Gesetze sich auch miteinander verknüpfen.
00:03:36: Wie lernst du da am besten zum Beispiel bei neuen Richtlinien?
00:03:41: Um da sprechfähig sein?
00:03:43: Also, zum einen arbeite ich mich in die Richtlinie ein und bin da in verschiedenen Prozessen mit involviert.
00:03:50: Zum anderen natürlich auch selber mit Fortbildung und auch damit Experten austauscht, den man da aufsucht beziehungsweise dem man da pflegt.
00:03:58: Das heißt du bist eher der kommunikative Lerntyp oder liest du gerne auch?
00:04:02: Es hängt so ein bisschen davon ab.
00:04:04: also natürlich in den meisten Kontexten oder das Recht bei Regulatorik muss man Regulatorik erst mal lesen bevor man sich da tieferinhaltliche Fragen stellt.
00:04:13: Und natürlich arbeite ich mich da vorher in die Idee Regulatorik ein, bevor ich mit anderen kommunikativ mich darüber austausche.
00:04:21: Ist also eine Mischung davon?
00:04:23: Ja, ich glaube es ist bei den meisten so sich mal ein bisschen auszutauschen.
00:04:26: Bringt glaub' ich immer was gerade wenn's um Auslegungs-Sache geht, was Gesetze angeht oder wo auch immer ganz viele Fragezeichen sind.
00:04:33: Dann lass uns mal direkt in das Thema einsteigen.
00:04:36: Kritis habe ich jetzt im Intro relativ oft genahnt.
00:04:39: Kritische Infrastrukturen sind damit gemeint und viele verbinden mit dem Wort ... Kritis, Direkt, Cyber Security, IT-Sicherheit, Hackerangriffe.
00:04:50: In dem Zusammenhang zumindest fällt Kritis immer öfter.
00:04:54: Aber so ist es ja nicht richtig oder was ist damit eigentlich wirklich gemeint?
00:04:58: Also du hast ja schon in der Einleitung eigentlich ganz richtig festgestellt, kritische Infrastrukturen sind das was unser taktisches Leben beeinflusst.
00:05:05: Was unsere Allgemeinheit und unsere allgemeinen Wesen eingeschützt und darstellt.
00:05:11: Und weshalb man so häufig jetzt in letzter Zeit immer mit Zeibersicherheit gleichsetzt oder auch über Zeibesicherheit redet liegt halt im Wesenskern.
00:05:19: an den ist zwei Direktive die ja Netzwerk- und Informationssicherheit versucht herzustellen Die gehört aber zu einem Pendant von eigentlich drei unterschiedlichen EU-Gesetzen.
00:05:31: Und die andere, über die wir dann heute etwas mehr reden ist das Kritis Dachgesetz, dass die Critical Entities Resilience Directive eigentlich mehr oder weniger umsetzt
00:05:40: bzw.,
00:05:41: was heißt mehr oder menos?
00:05:42: Dass die Critical entities resilience directive tatsächlich umsätzt und In dem Kontext die physische Sicherheit darstellt, weil das sind eigentlich zwei Seiten einer Medaille.
00:05:53: Wir haben auf der einen Seite die eigentliche IT- und Informationssicherheit und wir haben auf den anderen Seite die physischen Sicherheit.
00:06:00: Was da auch noch eine Rolle in diesem Kontext mitspielt ist der Cyber Silence Act CAA Die dann auch noch die Sicherheitsprodukte bereitstellen möchte.
00:06:11: Das ist aber erst noch eine Zukunftsmusik und dem Kontext jetzt noch nicht so vollumfänglich
00:06:17: greifbar.".
00:06:18: Das heißt, Kritis kann man eigentlich nicht unabhängig von NIST II-und anderen Direktiven sehen sondern Kritis ist einfach ein bisschen breiter gefasst und betrifft auch etwas breitere Bereiche.
00:06:34: Kritische Infrastrukturen sind mehrere unterschiedliche Themengebiete bzw.
00:06:39: betreffen einfach sehr viele unterschiedliche Bereiche, die Richtlinien geben da elf vor.
00:06:47: Der Unterschied zwischen der NISS und auch dem alten Sicherheitsgesetz zwei Punkt null was unsere Vorregulation war und den schon vorher existierenden Auslegung des Kritis-Dachgesetzes war es im Wesentlichen das im Kredis-Dachgesetz damals nur zwei Bereiche behandelt wurden.
00:07:07: Das waren einmal Energie und einmal der Transportbereich, jetzt durch die neue Direktive und die Erweiterung des Ganzen, die anderen Bereiche, die vorher schon von den NISS eins betroffen waren, jetzt ebenfalls mitgezogen wurden – das alles gehörte in ein großer Schema
00:07:23: D.U.,
00:07:23: um die kritischen Infrastrukturen zu schützen und dementsprechend auch zu
00:07:28: behandeln.".
00:07:29: Zum Thema NIS-I und NIS II haben wir bereits eine Podcastfolge, die ist jetzt auch ein bisschen älter.
00:07:34: Von daher werden auch einige Updates da sein.
00:07:36: aber wie verlinken die euch auf jeden Fall schon mal in den Show Notes?
00:07:39: Und wer weiß vielleicht kommt dann nochmal ein Nis II Update spezifisch zu dem Thema!
00:07:44: Dann, Stefan, lass uns noch mal ein bisschen tiefer einsteigen.
00:07:48: Wir befinden uns hier in einer Themenserie, wo wir über die gesetzlichen Veränderungen sprechen und in unserem Fall möchte ich mit dir über das Kritis-Dachgesetz sprechen und was sich in diesem Rahmen verändert hat durch die ganz neuen Anforderung.
00:08:03: Was hat sich denn grundsätzlich getan?
00:08:09: Wie gerade schon erwähnt, das Kritis-Dachgesetz hat den betroffenen Bereich erweitert.
00:08:16: Wo man sich vorher nur um Energie und Transport primär gekümmert hat, hat man die Banken, Finanzmarkt, Gesundheit, Trinkwasser und Abwasserversorgung, digitale Infrastruktur oder auch die öffentliche Verwaltung mit aufgenommen.
00:08:37: Geltungsbereich ist, also was alles betroffen ist.
00:08:39: Hat man dann auch zusätzlich ähnlich wie es die NIS II tut und man muss leider den Vergleich an vielen Stellen ziehen, was einfach daran liegt dass die beiden Gesetze sehr stark Hand in Hand gehen.
00:08:50: Das eine eben auf der Cyber-Ebene oder auf das Cyber-Sicherheits-Ebenen und dort mit Risikoanalysen für die Cyber Sicherheit und das andere auf der physischen Ebene und auch dort mit Riesikonalysen eben der physischem Sicherheit und der physische Gefährdungen und Gefahrdungsszenarien.
00:09:07: Beide Gesetzgebungen führen auch sowas wie Meldewesen, Vorfallsbewältigung ein.
00:09:12: Aber eben auf unterschiedlichen Ebenen und das Kretis-Dachgesetz bemüht sich da halt um den Kontext der physischen Resilienz bzw.
00:09:22: physischen Sicherheit in dem Bereich.
00:09:24: Was ist genau mit physischer Sicherheit gemeint?
00:09:26: Also eine Vorbereitung auf den Podcast hatte ich von sogenannten elf Sektoren gesprochen und Raumfahrt ist auch dazu gekommen.
00:09:34: Ist damit das gemeint oder...
00:09:36: Also, der Geltungsbereich betrifft diese Elfbereiche.
00:09:41: Physische Sicherheit bezieht sich dabei auf Aspekte wie z.B.
00:09:45: Perimeter-Schutz, Zutrittskontrollen, Sicherheitsüberprüfe.
00:09:49: Das heißt das eine ist der Anwendungsbereich die getroffen sind und da sind auch Bereiche wie du schon richtig festgestellt bist Raumfahrt unter Nährung zu nennen.
00:09:59: Das andere ist aber wo vorgeschützt wird und bei der physischen Sicherheit geht es um physische Maßnahmen in dem Fall halt unter anderem Perimeter-Schutz, Sicherheitszutrittskontrollen und auch Sicherheitsüberprüfungen Personal die in besonders kritischen Bereichen tätig sind.
00:10:15: Jetzt kann man sich ja denken... ...die Sicherheit ist besser!
00:10:20: Wer genau muss sich denn jetzt von den Unternehmen angesprochen fühlen?
00:10:25: Also Klassenunternehmen der kritische Infrastruktur Und du hast jetzt auch beschrieben das was gesichert werden muss.
00:10:33: Welche Unternehmen oder Einrichtungen sollten sich besonders angesprochen fühlen?
00:10:37: Oder vielleicht andersrum?
00:10:38: gefragt, aus der Erfahrung heraus gibt es Unternehmen die jetzt gerade vielleicht etwas überrascht davon sind dass sie genau damit gemeint sind?
00:10:49: Es recht die Anbieter digitaler Infrastrukturen also unter anderem die DNS, TLS-Dienstanbietern und ähnliche sind bisher nicht Erfasst gewesen, waren in den bisherigen kritischen Infrastrukturen nicht wirklich inbegriffen.
00:11:02: Sind jetzt aber durch die NES-II und durch das Kritisdachgesetz ebenfalls betroffen und die sollten sich relativ schnell damit auseinandersetzen.
00:11:10: Wer vorher halt schon Betreiber einer kritischen Dienstleistung oder eine kritische Anlage war sollte sich jetzt ebenfalls um auch die physische Sicherheit bemühen beziehungsweise sollte sich damit aueinander setzen was halt im Kontext des Kritis Dachgesetz für ihn auch bedeutet weil es halt nicht mehr nur ein Nischenbereich ist, sondern jetzt auch deutlich mehr davon betroffen sind.
00:11:32: Bei den Betreibende-Krischenanlagen sollte es hoffentlich im Form der eigentlichen Anforderungsanalyse schon stattfinden.
00:11:41: Gibt es da eine Unternehmensuntergrenze oder müsste sich keine Ahnung jetzt auch ein Startup für Solarenergie oder für ein neues Handynetz sich auch darüber klaren sein?
00:11:53: Also... je nach Unternehmensbereich, je nachdem in welchem Bereich man tätig ist.
00:11:59: Es recht bei den digitalen Infrastrukturen sind die Grenzen oder sind die Schwellwerte sehr niedrig gelegt?
00:12:04: Bei Energiekonzern und anderen sind sie immer noch entsprechend hoch.
00:12:07: also Startups müssen sich nicht beschäftigen.
00:12:10: aber größere und mittelständische Unternehmen, die halt in dem Bereich der kritischen Infrastruktur tätig sind, also den Kritis- Bereichen tätig sein sollten sich damit auseinandersetzen.
00:12:19: Und dazu muss ich auch nochmal deutlich sagen geht Stück für Stück und Schritt für Schritt weiter.
00:12:26: Nur weil man jetzt in dieser Auffassung, in der jetzigen Gesetzgebung nicht betroffen ist die nächste wird folgen und die nächste wir auch mehr und mehr Unternehmen einfach mitnehmen.
00:12:34: Weil das Ziel der europaweiten Resilienz und der europawalten ja auch Souveränität einfach weiter verfolgt wird auf EU-Ebene.
00:12:43: Dann lass uns mal ein bisschen in die Praxis schauen und ja mal ein bischen an Beispielen schauen was eigentlich mit kritischer Infrastruktur oder dem Schutz der kritischen Infrastruktur gemeint ist, damit das Thema ein bisschen greifbarer wird.
00:12:59: Wir werden es alles einmal ein bisschen praktischer betrachten.
00:13:02: auf welche Risiken oder Ausfallszenarien müssten sich den Unternehmen vorbereiten?
00:13:08: Oder müssten diese zumindest mitdenken?
00:13:10: Ich hatte jetzt im Intro ja sowas wie beispielsweise Stromausfälle gemeint.
00:13:13: sind das genau solche Punkte?
00:13:15: Also die Notstromversorgung ist einer der Aspekte, der in dem Kritisch-Dachgesetz explizit mit aufgenommen wird und wo sich Unternehmen explizIT darum kümmern müssen.
00:13:24: Dazu gehören aber auch so Aspekt wie zum Beispiel im Form von Lieferketten ausfällen dass man alternative Lieferketten berücksichtigen und berücksichtig kann.
00:13:34: grundsätzlich natürlich Zugangskontrollen Objektschutz in Form von Perimeter Schutz und in Form von auch teilweise Abhör-Sicherheiten, aber eben auch genau diese Risiken sind die, die in Zukunft mit berücksichtigt werden müssen.
00:13:49: Und die mit betrachtet werden müssen?
00:13:52: Lassen Sie mal noch ein Ticken konkreter werden also noch einen Szenario aufmachen.
00:13:57: Ich bin jetzt ein Energiekonzern und ich sollte in jedem Fall sicherstellen dass jeder Mitarbeiter eine zumindest eine Mitarbeiterkarte hat.
00:14:05: oder wie weit muss ich mir das jetzt runtergebrochen vorstellen?
00:14:09: Also, als Energiekonzern muss ich das schon geleistet haben.
00:14:12: Deswegen nimm mich mal dein konkretes Beispiel und geh jetzt mit dem mal in die Ernährungsversorgung.
00:14:21: In diesem Kontext ... Auch dort muss ich darauf achten, welche Personen haben den Zugang und können denn auf meine Versorgungsmittel irgendwie zugreifen.
00:14:29: In dem Kontext vielleicht sowas wie Kornspeicher und ähnliches mal erwähnt.
00:14:34: also wer hat dort Zugang?
00:14:35: Wer hat dort Zugriff?
00:14:36: Und wer kann da beeinflussen beziehungsweise wer könnte dazu lieferengpässe und ähnlichen führen?
00:14:41: das muss sich in Zukunft für mich oder als Kritis-Betreiber evaluieren und überlegen, wie gehe ich damit um?
00:14:49: Wie kann ich damit Umgehen, dass jemand Zugriff oder Zutritt haben kann.
00:14:54: Und wie stelle ich sicher das nur die berechtigten Personenzugang haben?
00:14:58: Das kritis-Dachgesetz macht dafür keinen konkreten Aspekt aus.
00:15:02: also ob ich das jetzt mit irgendwelchen Schließsystemen
00:15:04: mache
00:15:05: oder ob ich wirklich einen Pförtner einstelle der ... tatsächlich jede Karte kontrolliert und jeden Mitarbeiter durchschaut oder sich anbetrachtet.
00:15:14: Da sind wir unterschiedliche Möglichkeiten gesetzt, aber ich muss dafür Sorge tragen dass das Risiko, dass jemand unrechtmäßig sich Zutritt verschafft oder dass jemand damit auch größere Schaden erreichen kann indem er unter anderem solche Szenarien wie Vergiftungen von Ressourcen oder ähnlichem herbeiführt.
00:15:33: Was ja auch durch Bestärkung von Mitarbeitern geschehen kann, da sind halt die Szenarin, die langsam aufgebaut werden und die sich in dieser Zeit durchaus widerspiegeln können, dass unsere Versorgung Engpässe unterzogen wird.
00:15:45: Oder es versucht wird, Engpäse zu erzeugen.
00:15:48: Und die Zugangskontrolle brauche ich genau deshalb.
00:15:50: Deswegen, Zugangskontrolle alleine ist ein Mittel aber dazu gehört auch die Überprüfung von Mitarweitern Damit wenn Mitarbeiter sehr großen Einfluss ausüben können auf größere Mengen von Getreide oder anderen Ressourcen, dass diese auch bestimmten Anforderungen mal genügen bzw.
00:16:06: Auch da die Sicherheit dieser Mitarbeiter gewährleistet ist also die Vertrauenswürdigkeit sichergestellt wurde?
00:16:12: Und wer ist dafür verantwortlich im Unternehmen?
00:16:14: Gibt es dann den Kritisbeauftragten oder ist das eine Aufgabe einer gesamten Abteilung?
00:16:19: Am Ende ist immer natürlich die Geschäftsführung verantwortlich oder die Unternehmensleitung.
00:16:24: Die Unternehensleitungen darf so was wie einen Kritisbeauftragten haben, aber am Ende ist es immer die Unternehensleidung verantwortlich und da geht übrigens auch das Kritis-Dachgesetz denselben Weg wie den SII und nimmt da auch die Unternehmerleitung in eine persönliche Haftung.
00:16:41: Das heißt nur wenn ich ordentlich die Risiken evaluiere, ordentliche Prozesse aufgebaut habe, dann komme ich als Geschäftsführung wieder aus der Verantwortung raus.
00:16:50: Weil dann sollte dieser Prozess eben sicherstellen, dass es dafür ein zum Beispiel ein kritisbeauftragten gibt, der für mich diese Risikoanalyse mit begleitet hat und ich am Ende das endgültige Ergebnis der Risikoanalysen tragen kann.
00:17:05: Haftung bedeutet auch Strafbarkeit.
00:17:07: Also wir wollen hier jetzt nicht mit dem großen Zeigefinger aufzeigen, was alles passieren kann.
00:17:14: Aber wenn wir da vielleicht mal kurz einstellen können, was kann denn passieren, wenn ein Unternehmen genau das nicht einhält?
00:17:23: Also welche Strafwahrheiten könnten da folgen?
00:17:26: Da reden wir schon von immensen finanziellen Strafen die da möglich sind.
00:17:30: Die Kritis, genau wie die Zweirechtlinie haben da immense Möglichkeiten finanzielle Strafen zu verhängen.
00:17:35: Das hängt aber auch ganz stark davon ab was für ein Vergehen ist.
00:17:39: Ist es da wirklich maßgeblich?
00:17:41: Riesekorneusen überhaupt nicht erst ausgeführt worden?
00:17:44: oder sind dann nur kleinere Schlussfolgerungen nicht ordentlich gemacht worden?
00:17:47: und das Kritis-Dachgesetz beziehungsweise auch da die Gesetzgebung zeigt zwar mit dem Zeigefinger auf die Leute, die sich überhaupt nicht mit dem Thema kümmern durchführen, aber jeder der sich dem Thema annimmt und auch da gibt es eine breite Möglichkeit, sich den Thema anzunehmen kann schon aus dieser Haftung eben rausfallen.
00:18:09: Und kann schon durch die Risikoanalyse Sicherheit für sich gewinnen und Sicherheit auch für das Unternehmen gewinnen.
00:18:15: Aber dann reden wir durchaus von Millionen oder zehn Millionen Strafen und ähnlichen Kontexten, die auch bis in prozentuale Anteil des Unternehmens Umsatzes hinübergehen.
00:18:26: Absolut, das klingt alarmierend.
00:18:28: Aber ich glaube in den allermeisten Unternehmen ist es so dass ein gewisser Grundsatz von Sicherheit und Gedanken zum Thema Sicherheit sowieso schon gefallen sind.
00:18:38: also gerade so das Thema über Prüfung der Mitarbeitenden wer rein und wer raus geht.
00:18:42: Das sollte im besten Fall sollte gegeben sein.
00:18:46: Im Zusammenhang von Kritis wird oft auch der Begriff Resilienzenunternehmen angesprochen.
00:18:54: Wenn ich eine Resilience denke relativ direkt eigentlich eher an mentale Sachen, also sehr gefestigt sein.
00:19:02: Wenn es um Stress beispielsweise geht.
00:19:04: was bedeutet Resilienz im Kritis Kontext denn für Unternehmen?
00:19:09: So wie der Unterschied zwischen IT-Sicherheit und Informationssicherheit hat man auch im Kontext der physischen Sicherheit beziehungsweise des Notfallmanagements das Ganze ein bisschen weiter gedacht.
00:19:21: Man hat nämlich festgestellt Na ja, der Gedanke der Sicherheit ist zwar schön und gut aber eigentlich müssen auch Unternehmen anpassungsfähig sein.
00:19:29: Das kommt auch noch so ein bisschen aus der Corona-Pandemie heraus wo man festgestellt hat die Unternehmen die sich gut den neuen Gegebenheiten anpassen konnten waren die die da auch Bestand haben.
00:19:39: deswegen fördert man auch da dem Begriff der Resilienz weil man auch damit genau diese Anpassungsfähigkeit meint dass Unternehmen sich nun mal stetig in einem sich wandelnde Umfeld befinden mit verändernden Faktoren einhergeht und das Unternehmen deshalb so aufgebaut sein sollte, dass es sich eben diesen verändernen Fektoren annimmt.
00:20:00: Deswegen redet man auch nicht mehr vom klassischen Notfallmanagement sondern hat auch da die Begrifflichkeiten in Richtung des Business Continuum Managements bewegt um damit auszudrücken, dass ist vielmehr um die Fortführung der Prozesse geht als dass man sich gegen Notfälle bewährt oder wehren kann Sondern, dass man sich den neuen Gebenheiten schnellstmöglich anpassen kann und dahin gehend dann auch schnellstsmöglich adressieren.
00:20:23: Und eben mit unter neu gegebenen Umständen sich dem Ganzen annehmen kann
00:20:30: Also eine anpassungsfähige Struktursalteunternehmen haben.
00:20:34: Genau, und einer der Bestandteil dieser Anpassungsfähigkeit ist eben das Business Continue Management beziehungsweise auch das Krisenmanagement oder das Vorfallsmanagement.
00:20:44: Das sind drei Bestandteile die man nun mal benötigt, die auch im Kritis-Dachgesetz adressiert werden, die man braucht um diese Anpassungspfähigkeiten oder die Resilienz herzustellen.
00:20:52: Wenn wir mal vom ... ich sag's mal vom unwahrscheinlichen Fall aus gehen.
00:20:58: ein Unternehmen hat sich seit langen Jahren durchgesetzt und ist historisch gewachsen.
00:21:06: Und da fällt es einem vielleicht ein bisschen schwer, solche flexiblen Prozesse mit einzuführen.
00:21:13: Welche Grundlagen sollten Unternehmen denn schaffen oder in dem Fall möglichst schnell draufbringen um eben im Ernstfall nicht erst damit anfangen zu müssen oder zu improvisieren?
00:21:26: Also, was man als Allererstes immer in der Organisation braucht ist erst mal eine ordentliche Vorfallerkennung.
00:21:31: Das heißt, dass ich dort erstmal erkennen und Mittel habe, das mir Mitarbeiter mitteilen können, dass so irgendeine Form von Vorfall gekommen ist.
00:21:39: Und dass sie auch irgendwelches anderes merkwürdiges Verhalten oder auch merkwürdig Aspekte oder merkwütige Ereignisse melden können.
00:21:47: Zum Beispiel per Mail?
00:21:49: Oder ...
00:21:50: Zum Beispiel für Mail, per Anruflisten.
00:21:52: Es gibt da unterschiedliche Einstiegsstufen und Möglichkeiten.
00:21:55: Das einfachste Maß der Dinge ist immer irgendeine Anrufliste.
00:21:58: Dass zumindest mal irgendwer, der ein bisschen Know-how in dem Bereich von Sicherheit hat, sich etwas anhören kann und darüber entscheiden kann ob das weitergemeldet und weiterverfolgt werden muss oder ob es eigentlich mehr oder weniger ohne Relevanz ist.
00:22:16: Mail ist dabei nur ein Weg.
00:22:18: Mail ist aber auch einmal ein sehr indirekter Weg, weil das natürlich auch bei Mail.
00:22:22: das Problem besteht, dass wer außerhalb der Arbeitszeit ist sollte eigentlich nicht auf seinen Mails achten und erst recht das Herstellen von Abrufbarkeiten.
00:22:30: Dass ich irgendwie einen habe, der für physische Vorfälle noch immer abrufba oder anrufbaar ist, ist ein essenzieller erster Schritt um überhaupt Sicherheit herstellen zu können.
00:22:40: Denn ganz viele Aspekte ... Und ganz viele Vorfälle müssen erst einmal eingestuft und eingeschätzt werden, bevor sie weiter verfolgt werden können.
00:22:48: Bevor man dann die richtigen Mittel zur Verfügung hat.
00:22:51: Um auch dann auf Organisationen wie Feuerwehr oder ähnliche zurückzugreifen um eventuell auch schwerwiegende Vorfällige zu bewältigen.
00:23:02: Es klingt nach einer Machbarkeit.
00:23:03: also eine Anrufsliste kennt man jetzt zum Beispiel ja auch früher in der Schule.
00:23:06: Wer wird denn wann?
00:23:07: In welcher Situation angerufen?
00:23:10: Wenn ein Unternehmen so etwas umsetzen möchte, du hast es auch schon angesprochen bzw.
00:23:16: muss, dann hast Du ja auch gesagt hat das Unternehmen die Möglichkeit einen Kritisbeauftragten zu engagieren und sich genau um solche Aufgaben, solche Problematiken damit auseinanderzusetzen.
00:23:32: was für Aufgaben genau könnte dieser kritis beauftragte übernehmen?
00:23:38: Und denkst Du dass eine Rolle ist, die eigentlich jedes Unternehmer haben sollte?
00:23:42: Also grundsätzlich der Kritisbeauftragte kann zum einen die Vorfallswerkzeuge, die man so zur Verfügung hat steuern.
00:23:49: Kann auch auf unterschiedliche andere Werkzeuge zurückgreifen also sei es jetzt davon das er halt angerufen wird oder dass er irgendein anderes technisches Werkzeug hat wie Einblickmöglichkeiten auf irgendwelche... Wobei das braucht er nicht direkt, aber Einblickmöglichkeiten auf irgendwelche anderen Tools.
00:24:07: Auf irgendwelchen anderen Kamerawerkzeuge und ähnliches.
00:24:12: Aber im Wesenskern unterstützt er eigentlich dadurch, dass Erkenntnis über Risiken und Kenntnis über Angriffsmöglichkeiten hat.
00:24:19: Und dass er deshalb eine notwendige Erstevaluation mit unterstützen kann, wo es darum geht relativ schnell zu bestimmen ist ein weitreichender Vorfall betrifft der eventuell entweder nur uns oder betriffte auch weitere.
00:24:32: Denn was das Kritis-Dachgesetz auch fordert oder wo es die Überlegung hingehen vielmehr, ist dadurch dass man Single Point of Contacts innerhalb der Unternehmenschaft.
00:24:44: dass man damit auch weitergehend schnell agieren kann und in Richtung des BBK zum Beispiel melden kann.
00:24:52: Und sagen kann, wir haben hier einen Vorfall.
00:24:54: vielleicht betrifft der nun uns, vielleicht betrachtet aber auch mehrere um da auch schnell auf weit reichen Angriffe eingehen zu können weil das Kritis-Dachgesetz hat auch das zum Ziel, dass man eben Adressierungswerkzeuger hat um auch weitere Angriffe zu erkennen.
00:25:09: Deswegen ist das immer ein Geben von Informationen und auch ein Erhalten von Informationen, denn auch da ist es dann die Aufgabe des Kritisbeauftragten, die Information von dem BWK oder anderen Behörden zu erhalten, einzuschätzen und einzustufen und zu überlegen.
00:25:24: sind wir davon eventuell auch mit betroffen.
00:25:29: Deswegen is der dafür ein notwendiges Werkzeug dass diese ja Evolution unterstützt und dass diese Einstufung ermöglicht.
00:25:37: Und mit seinem Grundwissen, seinen Grundkenntnissen in den physischen Risiken und den Risiken die sich daraus ergeben das Ganze unterstützen kann.
00:25:45: Ob es eine Rolle ist die jeder braucht hängt ein bisschen davon ab wie tief man im Themengebiet des eigentlichen der Geschäftsfortführungen gehen möchte.
00:25:54: erst mal notwendig also inhaltlich notwendig wird die Rolle durch das Kritis-Tachgesetz und betrifft deshalb erst mal dort nur die Betroffene Unternehmen.
00:26:06: Für andere ist recht für die, die sich auch um physische Resilienz oder deren auch auch deren Physik weiter angreifbar bleibt.
00:26:15: Auch die sollten sich eigentlich damit viel stärker auseinandersetzen und sollten auch dort Rollen dafür adressieren, um das ganze einstufen zu können ob man das direkt als eine Vollzeitstelle benötigt oder dass erstmal in Form von ja Zeitkontinenten eines anderen Mitarbeiters macht, sei dahin gestellt und da gibt es auch keinen Königsweg.
00:26:36: Es hängt einfach im Wesenskerren davon ab wie angreifbar ist man selber gegenüber physischen Angriffen, gegenüber wirklich Stromausfällen, gegenüber Ressourcenengpässen, gegenüber Lieferantenausfellen, gegenüber all diesen Aspekten die halt dort adressiert werden?
00:26:52: Gibt es denn in der Evolution auch in deiner Erfahrung heraus so typische Lücken oder Schwachstellen, die dir immer mal wieder begegnen?
00:27:01: Die dich vielleicht auch schon mal nicht mehr überraschen, dass sie öfters mein Unternehmen auftauchen.
00:27:06: Viele Unternehmen haben aus ihrer Erfahrung heraus natürlich wichtige Gedanken aber gucken manchmal etwas zu engstirnig auf bestimmte Themen und sehen nicht das große Ganze für kritische Infrastrukturen.
00:27:23: Davon ist man nicht nur selbst ans Unternehmen getroffen, sondern das kann mehrere Unternehmen gleichzeitig betreffen.
00:27:29: Das kann weite Teile der Wirtschaft und auch weite Teilen der Bevölkerung eben treffen und den Blickwinkel zu öffnen und nicht nur auf sein eigenes kleines Unternehmen zu schauen, sondern wirklich auf größere Gefährdungs-Szenarien oder auf größeren Möglichkeiten die sich dort eröffnen Das wird ganz häufig außer Acht gelassen.
00:27:50: Es reicht bei der Evaluation, dass man Bestandteil eines großen Ganzen ist.
00:27:57: Deswegen hat die EU auch das Konzept so überlegt, dass eben dafür dann die größeren Behörden zuständig sind und deswegen gibt es innerhalb des Kritis-Dachgesetzes ein so rigoros vorgesehenes Meldewesen damit möglichst schnell die Meldungen in Richtung der BWK, in Richtung des BSI, in richtung der Sicherheitsbehörden wandern, um dort die Evaluation über große Teile der Infrastrukturen sich zu überlegen und dort die Evolution eben nochmal ordentlich durchführen zu können.
00:28:30: Ich sollte mir das trotzdem als kleines Unternehmen auch schon mal überlegen, ob das halt ein Bestandteil von einem größer gezielten Angriff sein kann.
00:28:37: Denn das werden wir in Zukunft ganz sicher häufiger erleben, dass Angriffe nicht mehr nur einen Einzelnis unter einem Nehmen adressieren sondern größere Teile
00:28:45: betreffen.".
00:28:47: Wie ich es auch schon im Intro gesagt habe, die Gefahren sind keine Zukunftsvisionen.
00:28:57: Sondern sie sind vorhanden und man sollte entsprechende Maßnahmen treffen nicht nur als Große sondern auch als Kleines Unternehmen.
00:29:05: Herzlichen Dank Stefan für das Interview!
00:29:07: Ich
00:29:07: danke dir Leslie.
00:29:09: Was nehme ich also aus dieser Folge?
00:29:11: auf jeden Fall mit?
00:29:14: Absolut nicht mal ein Thema, was sich nur IT-Abteilungen auf die Fahne zu schreiben haben und auch dicht nur sehr spezielle Hochsicherheitsbereiche.
00:29:24: Kritis muss deutlich weiter gefasst werden und muss auch von Unternehmern deutlich weiter gedacht werden denn es geht um die ganz grundlegende Frage wie widerstandsfähig Unternehmen sind und wie gut man auf kritische Situationen, den eigentlich wirklich vorbereitet ist.
00:29:41: Denn das ist Kritis – es sind kritische Infrastrukturen die geschützt werden müssen!
00:29:45: Und vielleicht ist genau das auch die wichtigste Botschaft?
00:29:48: Denn wer sich jetzt mit Kritis-Beschäft dicht schützt nicht nur technische Systeme sondern sorgt dafür dass Abläufe, Verantwortlichkeiten oder Notfallstrukturen überhaupt tragfähig sind wenn es darauf ankommt.
00:30:00: Dann ist es nicht nur ein einzelnes Unternehmen, sondern das Zusammenspiel mehrerer.
00:30:04: Wenn ihr also jetzt tiefer in das Thema einsteigen wollt, dann schaut gerne auch das Seminar Kritisbeauftragter bzw.
00:30:10: Beauftragte für den Schutz kritischer Infrastrukturen, Unternehmen und Verwaltungen der Tief-Nord Akademie in unserem Workshop an.
00:30:17: Dort geht es genau darum wie man eben Risiken besser erkennt, notwendige Gefahrenabwehrpläne bewertet und Resilienzsystematisch stärkt – alle Links dazu findet ihr in den Shownotes!
00:30:27: Wenn euch die Folge gefallen hat, dann abonniert doch gerne den Podcast.
00:30:30: Wir veröffentlichen alle zwei Wochen eine neue Folge zu den verschiedensten Themen aktuell eben in einer Teamserie zoben zur gesetzlichen Veränderung aber es kommen auch immer wieder neue verschiedene Themen aus dem Bereich der Weiterbildung und anderen Sicherheitsbereichen.
00:30:46: Und wenn ihr schon an eurem Handy seid, dann schaut doch auch gerne mal auf unsere Social Media Kanälen vorbei.
00:30:52: Auf Instagram und LinkedIn wo wir weiteren lehrreichen und auch lustigen Konten zu diversen Themen teilen!
00:30:59: Und damit danke fürs Zuhören bis zur nächsten Folge von Wissen.
00:31:02: Kompakt – und wie immer bleibt
00:31:10: sicher!
Neuer Kommentar