IT-Sicherheit Unternehmensinfrastruktur Strategie

Die rechtliche Perspektive der IT-Sicherheit hat in den letzten Jahren stark an Bedeutung gewonnen. Gesetzgeber und Aufsichtsbehörden haben erkannt, dass verbindliche Vorgaben nötig sind, um ein Mindestniveau an Cyber-Sicherheit in Unternehmen – insbesondere kritischen Infrastrukturen – sicherzustellen. Im Folgenden werden die wichtigsten gesetzlichen Grundlagen und Regelwerke skizziert, die für die betriebliche IT-Sicherheit in Deutschland relevant sind, darunter nationale Gesetze wie das BSI-Gesetz und das IT-Sicherheitsgesetz 2.0, sowie europäische Richtlinien wie NIS und NIS-2. Auch Querschnittsmaterien wie der Datenschutz spielen eine Rolle.

Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz, BSIG) bildet seit 2009 den Kern der deutschen Cyber-Sicherheitsgesetzgebung. Es regelt Aufgaben und Befugnisse des BSI und enthält seit 2015 (erstes IT-Sicherheitsgesetz) auch spezifische Pflichten für Betreiber Kritischer Infrastrukturen nach §8a BSIG. Diese KRITIS-Betreiber müssen angemessene organisatorische und technische Vorkehrungen treffen, um Ausfälle oder Störungen ihrer informationstechnischen Systeme zu vermeiden, und erhebliche IT-Sicherheitsvorfälle an das BSI melden.

Im Jahr 2021 wurde das BSIG durch das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) umfassend novelliert und deutlich verschärft. Die Neuregelungen traten im Mai 2021 in Kraft und erweiterten den Kreis der regulierten Unternehmen sowie die Anforderungen an deren IT-Sicherheit.

• Ausweitung der KRITIS-Pflichten: Bestehende Auflagen für KRITIS-Betreiber wurden erhöht. So müssen KRITIS-Unternehmen seitdem verpflichtend Systeme zur Angriffserkennung einsetzen (Intrusion Detection/Prevention Systeme). Diese wurden in §8a Abs.1a BSIG ausdrücklich als Teil der Sicherheitsvorkehrungen verankert. Spätestens ab 1. Mai 2023 müssen KRITIS-Betreiber nachweisen, dass sie kontinuierlich ihre IT-Infrastruktur auf Cyberangriffe überwachen. Eine BSI-Orientierungshilfe für Systeme zur Angriffserkennung aus 2022 konkretisiert die Anforderungen dabei.

• Unmittelbare Registrierungspflicht: KRITIS-Betreiber müssen sich nun sofort, nachdem sie die Schwellenwerte zur KRITIS-Einstufung erreichen, beim BSI registrieren und eine Kontaktstelle benennen (neuer §8b Abs.3 BSIG)[17]. Früher war dafür eine längere Frist vorgesehen; jetzt soll das BSI zeitnah wissen, welche Unternehmen kritisch sind. Das BSI kann von sich aus Unternehmen als KRITIS identifizieren und registrieren, wenn es Anhaltspunkte gibt, dass diese die Kriterien erfüllen.

• Erweiterte Meldepflichten: Gemäß §8b Abs.4a BSIG müssen KRITIS-Betreiber (und die neu eingeführten UBIs, s.u.) dem BSI bei erheblichen Störungen nun auf Nachfrage alle für die Störungsbewältigung nötigen Informationen zur Verfügung stellen – inklusive personenbezogener Daten. Zusätzlich wurde eine Anzeigepflicht für den Einsatz sogenannter kritischer Komponenten eingeführt (§9b BSIG). Betreiber müssen also melden, wenn sie in kritischen Systemen bestimmte Hardware oder Software einsetzen, die als sicherheitsrelevant eingestuft ist.

• Kritische Komponenten und Vertrauenswürdigkeit: Das Konzept der kritischen Komponenten (§2 Abs.13 BSIG) zielt darauf ab, Technologie-Lieferanten zu kontrollieren. Betreiber dürfen solche Komponenten in KRITIS-Anlagen nur verwenden, wenn der Hersteller eine Garantieerklärung zur Vertrauenswürdigkeit abgegeben hat. Das Bundesinnenministerium kann den Einsatz kritischer Komponenten untersagen, etwa wenn der Hersteller unter Einfluss eines fremden Staates steht oder die nationale Sicherheit gefährdet. Praktisch zielte dies z.B. auf die Diskussion um chinesische Telekommunikationsausrüster (Huawei/ZTE) ab. Für Betreiber bedeutet es auch, dass sie eine Inventarisierung ihrer eingesetzten IT-Komponenten vornehmen müssen, um gegenüber dem Staat Auskunft geben zu können, ob kritische Komponenten im Einsatz sind.

• Erweiterter Adressatenkreis: Unternehmen im besonderen öffentlichen Interesse (UBI): Neben KRITIS-Betreibern definiert IT-SiG 2.0 eine neue Kategorie von Unternehmen, die für die nationale Sicherheit bedeutend sind, obwohl sie nicht in klassischen KRITIS-Sektoren fallen. Gemäß §2 Abs.14 BSIG zählen hierzu drei Gruppen: 1) Hersteller von Rüstungsgütern und von Produkten für staatliche Verschlusssachen, 2) Unternehmen von erheblicher volkswirtschaftlicher Bedeutung (inkl. deren wichtige Zulieferer), sowie 3) Betreiber gefährlicher Großanlagen (Störfall-Verordnung, z.B. Chemieparks). Diese UBI-Unternehmen mussten sich innerhalb von zwei Jahren selbst dem BSI melden und eine Selbsterklärung zur IT-Sicherheit abgeben. Mit der kommenden NIS2-Umsetzung wird die Kategorie UBI allerdings wieder obsolet, da sich die neuen EU-Regeln anders strukturieren.

• Neue KRITIS-Sektoren und Schwellenwerte: IT-SiG 2.0 nahm per Verordnung auch Anpassungen an der KRITIS-Definition vor. So wurde Siedlungsabfallentsorgung (Abfallwirtschaft) als weiterer KRITIS-Sektor offiziell ins Gesetz aufgenommen. Die konkreten Schwellenwerte, ab wann ein Entsorgungsunternehmen als kritisch gilt, wurden in einer neuen KRITIS-Verordnung 2021 vorbereitet. Generell senkte die KRITIS-Verordnung 2021 in mehreren Sektoren die Schwellenwerte, um mehr Betreiber einzubeziehen. Im Energiesektor wurden z.B. Grenzwerte gesenkt und zusätzliche Anlagenkategorien aufgenommen, wodurch allein ~167 neue Betreiber als KRITIS gelten. Ähnlich wurden in Transport und Finanzwesen neue Anlagearten definiert. Insgesamt trat die 2021 novellierte KRITIS-Verordnung zum 1. Januar 2022 in Kraft.

• Erhöhte Sanktionen und Verbraucherinformation: Das IT-SiG 2.0 erhöhte den Bußgeldrahmen bei Verstößen erheblich (teils analog zu DSGVO-Niveau). Außerdem führte es ein IT-Sicherheitskennzeichen ein – ein Gütesiegel für IT-Produkte, das Hersteller auf freiwilliger Basis vom BSI bekommen können, um Verbrauchern Sicherheitseigenschaften zu signalisieren. Diese BSI-Gütesiegel sollen jedoch durch EU-Vorgaben (wie das Cybersecurity Act mit EU-Zertifizierungen) perspektivisch ersetzt werden.

• Erweiterte Kompetenzen des BSI: Das BSI erhielt neue operative Befugnisse. Nach §7a BSIG darf es marktübliche IT-Produkte auf Schwachstellen untersuchen und Hersteller zur Mitwirkung verpflichten. Nach §7b BSIG kann das BSI Schwachstellenscans (z.B. Portscans) an öffentlich erreichbaren Systemen von Bundesbehörden, KRITIS oder UBI durchführen. Weiterhin kann das BSI Internet-Service-Providern Anweisungen erteilen, um Botnetze unschädlich zu machen (§7c) – z.B. infizierten Datenverkehr umzuleiten und zu bereinigen. Auch der Schutz der Bundesverwaltung wurde verstärkt (§§4a, 5a), indem dem BSI weitreichende Zugriffs- und Kontrollrechte in Bundesbehörden eingeräumt wurden.

Es hat das IT-Sicherheitsgesetz 2.0 den rechtlichen Rahmen für IT-Sicherheit in Unternehmen deutlich verschärft. Mehr Unternehmen – auch außerhalb klassischer KRITIS – geraten unter Regulierung, und Anforderungen wie Angriffserkennung, Lieferketten-Sicherheit und regelmäßige Prüfungen heben das Sicherheitsniveau an. Dennoch sind diese nationalen Regeln inzwischen im Begriff, von europäischen Vorgaben überlagert zu werden, insbesondere durch die neue NIS-2-Richtlinie.

Bereits 2016 trat auf EU-Ebene die NIS-Richtlinie (Network and Information Security Directive, 2016/1148) in Kraft, die erste europaweite Regulierung für Cyber-Sicherheit. Sie verpflichtete die Mitgliedstaaten, Betreiber wesentlicher Dienste in bestimmten Sektoren zu identifizieren (seinerzeit ähnlich den KRITIS-Branchen) und Mindeststandards der IT-Sicherheit sowie Meldepflichten für erhebliche Vorfälle gesetzlich festzulegen. In Deutschland wurde NIS-1 im Wesentlichen durch das IT-Sicherheitsgesetz 2015 und die KRITIS-Verordnung umgesetzt. NIS-1 umfasste allerdings europaweit nur rund 2.000 Unternehmen (in Deutschland), primär große Betreiber kritischer Infrastrukturen und einige digitale Dienstleister.

Aufgrund der gewandelten Bedrohungslage und teils inkonsistenter nationaler Umsetzungen hat die EU im Dezember 2022 eine Neufassung NIS-2 (Richtlinie (EU) 2022/2555) beschlossen. Die NIS-2-Richtlinie zielt darauf ab, ein einheitlich hohes Niveau an Cybersicherheit in der EU zu erreichen, indem mehr Unternehmen in mehr Sektoren erfasst und strengere Anforderungen vorgegeben werden.

• Erweiterter Anwendungsbereich – deutlich mehr Branchen und Betriebe werden einbezogen (anstelle einiger tausend künftig rund 30.000 Unternehmen allein in Deutschland).

• Strengere Sicherheitsanforderungen – es werden robuste Maßnahmen des Sicherheits-Risikomanagements verlangt, die NIS-1 in dieser Tiefe noch nicht vorschrieb.

• Meldepflichten – harmonisierte und ausgeweitete Pflicht zur Meldung von erheblichen Cybervorfällen innerhalb enger Fristen.

• Aufsicht und Zusammenarbeit – die Behörden sollen stärker kooperieren, und es gibt EU-weit abgestimmte Aufsichtsmechanismen.

• Durchsetzung mit Sanktionen – erstmals führt NIS-2 EU-weit empfindliche Bußgelder bei Verstößen ein, analog etwa zur DSGVO.

Die Richtlinie musste bis Oktober 2024 in nationales Recht umgesetzt werden. Deutschland hat die Frist zwar verpasst, arbeitet aber an einem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das voraussichtlich 2025 verabschiedet wird. Bereits jetzt müssen Unternehmen sich jedoch auf die kommenden Pflichten einstellen.

Anwendungsbereich und Einteilung der Unternehmen: NIS-2 unterscheidet zwei Kategorien betroffener Einrichtungen: “wesentliche” und “wichtige” Unternehmen (Einrichtungen). Im deutschen Entwurf wird von „besonders wichtigen“ und „wichtigen“ Einrichtungen gesprochen. Wesentlich entspricht dabei höher kritischen Betrieben, wichtig den übrigen. Die Kriterien zur Einstufung sind Sektorzugehörigkeit und Unternehmensgröße.

NIS-2 teilt die betroffenen Branchen in elf Sektoren hoher Kritikalität (Annex I) und sieben weitere kritische Sektoren (Annex II). In Tabelle 1 sind die Sektoren beispielhaft aufgeführt. Zu den hoch kritischen gehören u.a. Energie, Verkehr, Finanzmarkt-Infrastruktur, Gesundheitswesen, Trinkwasser und Abwasser, Digitale Infrastruktur (z.B. Internet-Knoten, Rechenzentren), IKT-Dienste (Telekommunikation), öffentliche Verwaltung und sogar der Weltraum-Sektor (Raumfahrt). Die übrigen kritischen Sektoren umfassen z.B. Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelversorgung, Herstellung von Waren (verarbeitendes Gewerbe), Anbieter digitaler Dienste (z.B. Online-Marktplätze, Cloud- und Softwareanbieter sofern nicht schon als digitale Infrastruktur erfasst) sowie Einrichtungen aus Forschung & Entwicklung. Damit erweitert NIS-2 den Fokus über die klassischen KRITIS-Bereiche hinaus auch auf Branchen wie die Industrie und Wissenschaft.

Wie die Tabelle andeutet, sind es 18 Sektoren, die unter NIS-2 reguliert werden (11 + 7). Nicht jedes Unternehmen in diesen Branchen ist automatisch betroffen – Größenkriterien filtern die relevanten Firmen. Grundsätzlich gilt: alle mittleren und großen Unternehmen in den genannten Sektoren fallen unter NIS-2. Die EU orientiert sich an der üblichen KMU-Definition: Großunternehmen sind solche mit >250 Mitarbeitern und >50 Mio. € Jahresumsatz (oder >43 Mio. Bilanzsumme); mittlere Unternehmen haben 50–249 Mitarbeiter und >10 Mio. € Umsatz. Kleine und Kleinstunternehmen (<50 Beschäftigte und ≤10 Mio. Umsatz) sind generell ausgenommen – es sei denn, sie sind alleiniger kritischer Anbieter in ihrem Sektor. Eine Ausnahmeregel greift z.B., wenn ein sehr kleiner Fernwärmeversorger in einer Kommune der einzige Anbieter ist; dann kann er trotz geringer Größe als wesentliche Einrichtung eingestuft werden.

Die Einteilung in wesentliche vs. wichtige Einrichtung richtet sich ebenfalls nach Sektor und Größe. Im Prinzip sind alle großen Unternehmen in kritischen Sektoren wesentlich, während mittlere typischerweise wichtig sind. Genauer: Große Unternehmen in einem Annex-I-Sektor gelten als besonders wichtige Einrichtungen, große in Annex-II-Sektoren als wichtige; mittlere Unternehmen werden meist als wichtige eingestuft, egal ob Annex I oder II. Diese Kategorisierung ist vor allem für den Aufsichts- und Sanktionsrahmen relevant: Wesentliche Einrichtungen unterliegen intensiverer Überprüfung durch die Behörden, während wichtige nur anlassbezogen (bei Verdacht oder nach schweren Vorfällen) geprüft werden. Beide Gruppen müssen sich aber verpflichtend bei der zuständigen Behörde registrieren (in Deutschland voraussichtlich beim BSI).

Unabhängig von der Kategorie auferlegt NIS-2 allen betroffenen Unternehmen einen Katalog an Risikomanagement-Maßnahmen sowie Meldepflichten bei Sicherheitsvorfällen. Konkret verweist die Richtlinie in Artikel 21 auf zehn Maßnahmenbereiche, die umzusetzen sind. Diese werden im Abschnitt Normative und technische Maßnahmen dieser Arbeit noch ausführlich erläutert. Im Kern handelt es sich um einen ganzheitlichen Maßnahmenkatalog, der von Risikoanalyse, Incident Response (Vorfallsbewältigung), Geschäftskontinuität und Krisenmanagement über Lieferketten-Sicherheit und Sicherheitskonzepte bei Entwicklung/Beschaffung bis hin zu Schulungen, Überprüfung der Wirksamkeit der Maßnahmen, Kryptografie-Einsatz und Identitäts- und Zugangsmanagement (inkl. Multi-Faktor-Authentifizierung) reicht. NIS-2 macht hier sehr spezifische Vorgaben, die sicherstellen sollen, dass Unternehmen keine wesentlichen Aspekte vergessen (z.B. regelmäßige Backups, Notfallpläne und sichere Kommunikationskanäle für Krisenfälle gehören explizit dazu).

Ebenso normiert die Richtlinie in Artikel 23 ein EU-weit einheitliches Meldewesen für Cybervorfälle. Bei einem erheblichen Sicherheitsvorfall muss binnen 24 Stunden nach Bekanntwerden zumindest eine Erstmeldung an die nationale Meldestelle (z.B. das BSI oder ein zuständiges Computer Security Incident Response Team, CSIRT) erfolgen. Eine detailliertere Meldung mit Bewertung des Vorfalls ist innerhalb von 72 Stunden nachzureichen, und binnen eines Monats ein Abschlussbericht mit Ursachenanalyse und ergriffenen Maßnahmen (diese gestuften Fristen sind so in Art. 23 NIS-2 vorgesehen). Ziel ist es, sowohl den Behörden einen aktuellen Lageüberblick zu verschaffen als auch Erkenntnisse zu gewinnen, um andere zu warnen und systemische Risiken besser zu verstehen. Das Meldeformat soll standardisiert werden, und unterhalb der Schwelle erheblicher Vorfälle gibt es eine freiwillige Meldeoption, um auch kleinere Zwischenfälle statistisch zu erfassen.

Ein Novum der NIS-2 ist die Einführung von Bußgeldern direkt auf EU-Ebene, was zuvor nur national unterschiedlich geregelt war. Unternehmen drohen bei Verstößen gegen die Umsetzung der Sicherheitsmaßnahmen oder gegen die Meldepflichten empfindliche Strafen. Die Richtlinie gibt hierfür Mindesthöhen vor (ähnlich wie bei der DSGVO „bis zu X % des Umsatzes“). Konkret sind es bei wesentlichen Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – je nachdem welcher Wert höher ist. Bei wichtigen Einrichtungen liegt der Rahmen etwas darunter, nämlich bis zu 7 Mio. € oder 1,4 % des Umsatzes. Tabelle stellt dies übersichtlich dar:

Zusätzlich zu Geldbußen können auch verbindliche Anweisungen, Verwarnungen und – in gravierenden Fällen – die öffentliche Bekanntmachung des Verstoßes angeordnet werden. Besonders schwere Verstöße sind z.B. die Nichtbefolgung behördlicher Anordnungen, Behinderung von Prüfungen oder die Abgabe falscher Sicherheitsberichte. Bemerkenswert ist zudem, dass die Geschäftsleitung eine ausdrückliche Verantwortung trägt: NIS-2 verpflichtet die Geschäftsführung, Cybersicherheit zur Chefsache zu machen, sich regelmäßig berichten zu lassen und für Schulungen zu sorgen. Versäumnisse können somit auch persönlich haftungsrelevant werden.

Insgesamt führt die NIS-2-Richtlinie zu einem deutlich dichteren Geflecht an rechtlichen Anforderungen für Unternehmen. Durch die Integration in nationales Recht (2025) werden viele der bisherigen deutschen Sonderwege (wie UBI-Unternehmen) in dieses EU-Konzept überführt. Unternehmen in Deutschland, speziell aus KRITIS-Sektoren und dem erweiterten Kreis, müssen sich proaktiv darauf einstellen, die genannten Pflichten zu erfüllen. Rechtskonformität bedeutet hier nicht nur Vermeidung von Bußgeldern, sondern ist gleichbedeutend mit einem gewissen Mindeststandard an IT-Sicherheit, der angesichts der Bedrohungslage auch betriebswirtschaftlich sinnvoll ist. Im nächsten Abschnitt werden die technischen Aspekte beleuchtet, die zur Erfüllung dieser Anforderungen und generell zur Abwehr von Gefahren notwendig sind.

Die technische Perspektive der IT-Sicherheit umfasst alle Schutzmaßnahmen auf Hardware- und Softwareebene, die dazu dienen, Angriffe abzuwehren oder deren Auswirkungen zu minimieren. In einem modernen Unternehmen ist die IT-Landschaft hochkomplex: Sie reicht von Arbeitsplatzrechnern und mobilen Geräten über lokale Server oder Cloud-Dienste bis hin zu industriellen Steuerungsanlagen, IoT-Geräten und Gebäudeleittechnik. Entsprechend vielfältig müssen die technischen Sicherheitsmaßnahmen sein. Im Folgenden werden zentrale Bereiche und Prinzipien der technischen IT-Sicherheit vorgestellt.

Ein grundlegendes Element ist der Schutz der Netzwerkinfrastruktur. Hier kommen Firewalls zum Einsatz, die den Datenverkehr zwischen Netzsegmenten kontrollieren und unerlaubte Zugriffe blockieren. Traditionell wird ein Unternehmensnetz in Zonen unterteilt (z.B. internes Netz vs. externes Internet), um einen Perimeterschutz zu etablieren. Allerdings verschwimmen die Grenzen zunehmend durch Cloud-Anwendungen und Homeoffice. Daher gehen Unternehmen vermehrt zu Zero-Trust-Architekturen über, bei denen jeder Zugriff – egal von wo – authentifiziert und autorisiert werden muss. Neben Firewalls sind Intrusion Detection/Prevention Systeme (IDS/IPS) wichtig, um verdächtiges Verhalten im Netzwerk frühzeitig zu erkennen. Sie scannen den Datenverkehr auf Muster bekannter Angriffe oder Anomalien. NIS-2 fordert implizit solche Fähigkeiten, indem es allgemein Aktivitäten zur Angriffserkennung und Überwachung als Stand der Technik ansieht. Zum Netzwerkschutz gehört auch, verteilte Denial-of-Service (DDoS)-Angriffe abwehren zu können – etwa durch Traffic-Filterung auf Providerebene oder durch Notfallprozeduren, wenn die eigene Internetanbindung überlastet wird.

Alle Endgeräte (Clients, Server, mobile Geräte) müssen individuell geschützt werden. Hierzu zählen Malware-Schutzlösungen (Viren-Scanner, Endpoint-Detection-Response Systeme), die bekannte Schadsoftware erkennen und isolieren können. Moderne Ansätze setzen auf verhaltensbasierte Erkennung, da raffinierte Malware Signaturen umgehen kann. Ebenso wichtig ist ein konsequentes Patch- und Vulnerability-Management: Sicherheitslücken in Betriebssystemen und Anwendungssoftware stellen beliebte Einfallstore dar. Laut BSI werden 2023 im Durchschnitt 70 neue Software-Schwachstellen pro Tag bekannt. Viele Angriffe (auch Ransomware) nutzen unveröffentlichte oder ungepatchte Lücken aus. Daher ist es technisch erforderlich, ein automatisiertes Update-Management zu betreiben und kritische Patches zeitnah einzuspielen. NIS-2 betont explizit die Pflicht zur Offenlegung und Behebung von Schwachstellen in Software, was auch Druck auf Hersteller ausübt, Updates bereitzustellen.

Für spezielle Systeme wie Datenbanken oder Webserver sollten Härtungsmaßnahmen ergriffen werden (z.B. Abschalten nicht benötigter Dienste, sicherheitsgerechte Konfigurationen). In Netzwerken ist das Netzwerksegmentierung ein wichtiger Technik-Baustein: Durch Aufteilen des Netzes in Segmente mit beschränktem Datenaustausch können Angriffe eingedämmt werden. Etwa sollte die Produktionssteuerung getrennt vom Office-Netz sein, damit ein Befall im Büro nicht unmittelbar die Maschinensteuerung betrifft. BSI-Empfehlungen wie Tiering-Modelle (gestufte Verwaltungsnetzwerke) unterstützen dies und werden auch in NIS-2 als Beispiel moderner Sicherheitsarchitekturen genannt.

Die Kryptografie – also Verschlüsselung und andere mathematische Sicherungsverfahren – ist ein unerlässlicher technischer Mechanismus zum Schutz von Vertraulichkeit und Integrität. NIS-2 fordert explizit den Einsatz angemessener Kryptografie sowohl für Daten in Ruhe (at rest) als auch in Übertragung (in motion). Praktisch bedeutet dies: Unternehmen sollten bspw. Festplatten und Backups verschlüsseln (um Datendiebstahl vorzubeugen) und alle Kommunikationskanäle über sichere Protokolle (TLS/SSL, VPN) absichern, damit niemand Informationen abgreifen oder manipulieren kann. Auch digitale Signaturen und Zertifikate sind Teil der Kryptografie-Toolbox – sie gewährleisten Authentizität von Software-Updates, E-Mails oder Transaktionen. Ein Spezialfall ist die Ende-zu-Ende-Verschlüsselung in der internen Kommunikation (Sprache, Video, Chat), was NIS-2 ebenfalls als Maßnahme erwähnt. Damit soll verhindert werden, dass Angreifer interne Kommunikationsinhalte mitlesen oder abhören, was z.B. bei Videokonferenzen oder VoIP relevant ist.

Ein wesentliches Element technischer Sicherheit ist die Kontrolle darüber, wer auf welche Ressourcen zugreifen darf. Authentifizierung und Autorisierung müssen strikt umgesetzt sein. Stand der Technik ist hier Multi-Faktor-Authentifizierung (MFA), d.h. Benutzer müssen sich mindestens mit zwei unabhängigen Faktoren ausweisen (z.B. Passwort + Einmalcode am Handy oder Biometrie), bevor sie Zugang zu sensiblen Systemen erhalten. NIS-2 nimmt MFA ausdrücklich als Beispielmaßnahme in den Kanon auf, um den Schutz vor gestohlenen Passwörtern zu erhöhen. Darüber hinaus sollten Rechtekonzepte nach dem Least-Privilege-Prinzip umgesetzt werden: Jeder Benutzer und jedes Systemkonto bekommt nur die minimal nötigen Zugriffsrechte. Regelmäßige Rezertifizierungen stellen sicher, dass vergebene Rechte aktuell bleiben und z.B. Accounts ausgeschiedener Mitarbeiter umgehend deaktiviert werden.

Angreifer agieren zunehmend geschickt und können sich längere Zeit unbemerkt im Netzwerk aufhalten (Advanced Persistent Threats, APT). Daher ist die technische Überwachung von Systemen und Log-Daten zentral. Security Information and Event Management (SIEM)-Systeme sammeln Logdaten von verschiedensten Quellen (Firewalls, Server, Anwendungen) und analysieren diese in Echtzeit auf verdächtige Muster. Ergänzend kommen Intrusion Detection Systeme wie erwähnt zum Einsatz. Moderne Lösungen nutzen auch künstliche Intelligenz, um unbekannte Anomalien zu erkennen (z.B. ungewöhnliches Nutzerverhalten, Datenabflüsse zu ungewöhnlichen Zeiten). Das BSI berichtet, dass Cyber-Kriminelle 2023 verstärkt KI-Methoden einsetzen, z.B. um Phishing-Mails täuschend echt zu generieren oder Schadprogramme automatisiert anzupassen. Dem müssen Verteidiger mit ebenso intelligenten Monitoring-Tools begegnen.

Aus technischer Sicht gehören Backup- und Recovery-Lösungen zu den wichtigsten Schutzvorkehrungen, insbesondere gegen Datenverlust durch Ransomware oder Hardwaredefekte. Regelmäßige Backups aller geschäftskritischen Daten sollten automatisiert erstellt und offline oder an getrennten Orten gespeichert werden. Nur so kann man im Ernstfall (z.B. bei Verschlüsselung aller Primärdaten) die Datenintegrität wiederherstellen. NIS-2 verlangt die Aufrechterhaltung des Betriebs im Vorfall und nennt Backup-Management explizit. Ergänzend kann Redundanz auf Systemebene eingeführt werden: kritische Server oder Netzwerkkomponenten im laufenden Betrieb doppelt vorhalten (Failover-Clustering), georedundante Rechenzentren, usw. Damit erhöht man die Verfügbarkeit selbst bei Ausfall einzelner Komponenten.

In vielen Unternehmen – insbesondere im Facility Management, der Fertigung und bei KRITIS – sind sogenannte Operational Technology (OT)-Systeme von Bedeutung. Das sind z.B. Steuerungsanlagen (SPS), Gebäudeleittechnik, IoT-Sensoren/Aktoren für Klima, Zutritt, Beleuchtung etc. Historisch waren diese Systeme oft isoliert, heute sind sie meist ans Firmennetz oder Internet angebunden, was neue Risiken schafft. Gebäudeautomationssysteme können zum Ziel von Hackern werden, wie aktuelle Untersuchungen zeigen: Drei von vier Unternehmen nutzen Gebäudemanagementsoftware mit bekannten Sicherheitslücken; die Hälfte der Firmen hat Anlagen, die sogar ungesichert mit dem Internet verbunden sind und bereits aktiv von Ransomware-Gruppen ausgenutzt werden. Dies ist alarmierend, denn darüber könnten Angreifer z.B. in einem Rechenzentrum die Klimaanlagen abschalten oder in einer Kühlhalle die Temperatur manipulieren, was gravierende Folgeschäden hätte. Technisch ist hier ein Umdenken nötig: Solche Systeme müssen wie IT-Systeme behandelt werden – mit Updates, Netzwerksegmentierung (Trennung von Büronetz und Gebäudenetz), Zugriffsabsicherung und Monitoring. Das BSI hat bereits reagiert und eigene IT-Grundschutz-Bausteine für Technisches Gebäudemanagement und Gebäudeautomation veröffentlicht, um Leitfäden für die Absicherung dieser ehemals vernachlässigten Bereich zu geben. Unternehmen sollten für OT-Komponenten zudem Herstellerempfehlungen (z.B. industrielle Firewalls, Protokollfilter) umsetzen und ggf. Intrusion Detection speziell für ICS/SCADA einsetzen.

Die technischen Aspekte zeigen, dass IT-Sicherheit eine Querschnittsaufgabe moderner IT-Infrastruktur ist. Kein einzelnes Werkzeug bietet perfekte Sicherheit – es kommt auf die richtige Kombination an. Dieses Konzept eines “Defense in Depth” (Tiefenverteidigung) durch Schichten von Sicherheitsmaßnahmen ist Stand der Technik. So kann z.B. eine Firewall einen Angreifer abhalten; falls doch Malware eindringt, greift der Endpoint-Schutz; wenn dieser versagt, bemerkt vielleicht das SIEM die untypische Aktivität; und sollte es zum Schaden kommen, begrenzen Backups und Segmentierung die Auswirkungen. Wichtig ist auch, dass technische Sicherheitsmaßnahmen regelmäßig überprüft und angepasst werden. NIS-2 fordert explizit Verfahren zur Wirksamkeitsprüfung und kontinuierlichen Verbesserung der Sicherheitsmaßnahmen. Dies verhindert, dass technische Kontrollen im Laufe der Zeit wirkungslos werden (z.B. durch Fehlkonfiguration oder geänderte Bedrohungen).

Technische Lösungen allein reichen nicht aus – sie müssen eingebettet sein in ein systematisches organisatorisches Rahmenwerk. Die organisatorische Perspektive der IT-Sicherheit befasst sich mit Prozessen, Strukturen, Regeln und der menschlichen Komponente im Unternehmen. Hier geht es um Fragen wie: Welche Rollen und Verantwortlichkeiten gibt es für die Informationssicherheit? Wie werden Sicherheitsrichtlinien definiert und kommuniziert? Wie wird im Notfall reagiert? Und wie werden Mitarbeiter sensibilisiert? Ein gut etabliertes Informationssicherheits-Managementsystem (ISMS) bildet das organisatorische Rückgrat für all diese Aspekte.

• Informationssicherheits-Management und Policies: Viele Unternehmen orientieren sich an Standards wie ISO/IEC 27001 oder dem BSI IT-Grundschutz, um ein ISMS aufzubauen (siehe auch Kapitel Normative Ansätze). Kernelement ist die Festlegung einer unternehmensweiten Sicherheitsrichtlinie, die vom Management verabschiedet wird und grundlegende Ziele und Zuständigkeiten definiert. Darauf aufbauend werden spezifische Policies und Verfahren ausgearbeitet – z.B. Richtlinien für Passwortmanagement, mobile Geräte, Berechtigungsvergabe, Lieferantenmanagement etc. Organisatorisch muss klar geregelt sein, wer welche Sicherheitsmaßnahme umsetzt und überwacht. Oft wird die Rolle eines Chief Information Security Officer (CISO) oder IT-Sicherheitsbeauftragten geschaffen, der das ISMS koordiniert. In kleineren Betrieben übernimmt dies ggf. der IT-Leiter mit. Entscheidend ist, dass die Geschäftsleitung als oberstes Gremium die Verantwortung für die Informationssicherheit übernimmt und ausreichend Ressourcen bereitstellt. NIS-2 fordert explizit eine Schulungs- und Überwachungspflicht der Geschäftsleiter in Bezug auf Cybersecurity – dies spiegelt die Erwartung wider, dass IT-Sicherheit keine rein technische Angelegenheit ist, sondern Chefsache.

• Risikoanalyse und -behandlung: Ein organisiertes Vorgehen verlangt, regelmäßig eine Risikoanalyse für alle wichtigen Informationswerte (Assets) durchzuführen. Dabei werden mögliche Bedrohungen und Schwachstellen identifiziert und hinsichtlich ihres Risikos (aus Produkt von Schadensausmaß und Eintrittswahrscheinlichkeit) bewertet. Methoden dafür reichen von qualitativen Szenariobetrachtungen bis zu quantitativen Modellen. Das Ergebnis fließt in einen Risikobehandlungsplan: also Entscheidungen, welche Risiken durch Maßnahmen reduziert werden, welche akzeptiert oder vielleicht auf Versicherungen übertragen werden. Regulatorisch wird dies gefordert: Nach BSIG müssen KRITIS-Betreiber eine "angemessene Risikoanalyse" vorweisen, und NIS-2 verlangt Nachweise systematischer Risikoanalysen. Oft werden Risiko-Workshops abgehalten mit Beteiligung verschiedener Abteilungen (IT, Fachabteilungen, Compliance), um ein umfassendes Bild zu erhalten. Ein iterativer PDCA-Zyklus (Plan-Do-Check-Act) stellt sicher, dass das Risikomanagement laufend aktualisiert wird.

• Betriebliche Prozesse und Notfallmanagement: Organisatorisch müssen klare Prozesse für den Fall von Sicherheitsvorfällen etabliert sein (Incident Response Plan). Wie im Kapitel Technik erwähnt, ist das Eintreten eines Cybervorfalls nie 100% verhinderbar, daher kommt es enorm darauf an, im Ernstfall richtig zu handeln. Ein Notfallplan sollte definieren: Welche Schritte sind bei einem Vorfall zu unternehmen? Wer ist im Incident Response Team? Wie wird intern und extern (z.B. ans BSI, an Kunden, an die Presse) kommuniziert? Solche Pläne sollten zumindest für Szenarien wie Ransomware-Befall, Datenschutzvorfall (persönliche Daten betroffen, Meldung an Behörde nach DSGVO nötig), Serverausfall oder ICS-Störung vorliegen. NIS-2 fordert als Maßnahme explizit die Bewältigung von Sicherheitsvorfällen durch vorbereitete Prozesse und Notfallübungen. Des Weiteren ist ein Business Continuity Management (BCM) eng verbunden: Es fokussiert darauf, geschäftskritische Prozesse im Falle einer IT-Krise aufrechtzuerhalten bzw. schnell wiederherzustellen. Organisatorisch werden hierfür Wiederanlaufpläne, Ausweichstandorte, Ersatzsysteme und Prioritätenlisten erstellt. Beispielsweise kann ein Krankenhaus definieren, wie es bei IT-Ausfall auf manuelle Prozessführung umschwenkt und welche Patientenversorgung zuerst wieder digital unterstützt werden muss.

• Meldung und Kommunikation von Vorfällen: Durch gesetzliche Vorgaben (BSIG, NIS-2, DSGVO) ist inzwischen festgelegt, dass bestimmte Vorfälle gemeldet werden müssen. Organisatorisch muss also ein Meldeprozess etabliert sein: Wer entscheidet, ob ein Vorfall meldepflichtig ist? Wer übernimmt die Meldung an Behörden? Typischerweise übernimmt dies der CISO oder ein dedizierter Incident Manager. Wichtig ist eine Dokumentation aller Sicherheitsvorfälle im Unternehmen (auch der nicht meldepflichtigen), um aus ihnen zu lernen. Regelmäßige Reports an die Geschäftsführung gehören auch zu den Pflichten. Manche Unternehmen richten interne Security Operations Center (SOC) ein, die 24/7 die Systeme überwachen und im Ereignisfall sofort reagieren können. Für kleinere Firmen kann dies ein externer Dienstleister (Managed Security Service Provider) übernehmen.

• Lieferketten- und Partnermanagement: Organisationale Sicherheit endet nicht an der Unternehmensgrenze. Viele Angriffe erfolgen über Zulieferer oder Dienstleister (Stichwort Supply-Chain-Attacken, z.B. der berüchtigte SolarWinds-Hack[97]). Daher sollten Verträge mit IT-Dienstleistern Sicherheitsanforderungen enthalten (z.B. Verpflichtung zu bestimmten Standards, zu Meldungen bei deren Vorfällen etc.). NIS-2 fordert ausdrücklich, dass betroffene Unternehmen auch von ihren Lieferanten relevante Sicherheitsmaßnahmen einfordern. In der Praxis etabliert sich das Durchreichen von Anforderungen: Ein großes KRITIS-Unternehmen etwa kann verlangen, dass sein Rechenzentrums-Dienstleister ISO 27001 zertifiziert ist oder regelmäßig Penetrationstests durchführt. Organisatorisch sollte ein Lieferantenbewertungsprozess existieren, der die IT-Sicherheit als Kriterium berücksichtigt.

• Schulung und Awareness: Der Faktor Mensch ist in der Informationssicherheit oft das schwächste Glied, aber auch eines der wirkungsvollsten Verteidigungsmittel. Eine hohe Sicherheitskultur im Unternehmen bedeutet, dass Mitarbeiter sensibilisiert sind, Bedrohungen erkennen und verantwortungsvoll handeln. Organisatorisch sind daher regelmäßige Schulungen und Awareness-Maßnahmen unabdingbar. Neue Mitarbeiter sollten eine IT-Sicherheitseinweisung erhalten, in der die wichtigsten Do’s and Don’ts (z.B. Umgang mit Passwörtern, E-Mail-Anhänge, Social Engineering) vermittelt werden. Fortgeschrittene Trainings können Phishing-Simulationen beinhalten oder Workshops zur sicheren Nutzung neuer Tools. NIS-2 zählt Cyberhygiene und Schulung ausdrücklich zu den erforderlichen Maßnahmen. Eine gute Praxis ist es, auch Führungskräfte einzubeziehen – etwa durch spezielle Workshops für das Management, um Verantwortungsbewusstsein und Grundverständnis zu fördern (dies greift die oben genannte Forderung auf, dass die Leitungsebene verantwortlich ist).

• Überprüfung und Auditierung: Damit organisatorische Maßnahmen nicht nur auf dem Papier existieren, sollten sie regelmäßig überprüft werden. Interne Audits oder externe Prüfungen (z.B. im Rahmen einer ISO-Zertifizierung oder der vom BSI geforderten KRITIS-Prüfungen alle zwei Jahre) decken Schwachstellen auf. Man kann z.B. testen, ob die Notfallpläne wirklich funktionieren (Simulationen, Live-Tests) oder ob Mitarbeiter Phishing-Mails erkennen (sog. Phishing-Kampagnen mit Auswertung). NIS-2 verlangt den Nachweis der Wirksamkeit der Risikomanagementmaßnahmen – das impliziert einen Audit-Trail. KRITIS-Betreiber in Deutschland müssen alle zwei Jahre eine Prüfstelle beauftragen, ihre Sicherheit gemäß §8a BSIG zu auditieren; die Ergebnisse gehen ans BSI. Solche Audits sind auch organisatorisch vorzubereiten (Bereitstellen von Unterlagen, Koordination mit Fachbereichen).

Abschließend ist festzustellen, dass die organisatorische Verankerung eng mit der Unternehmensführung verbunden ist. Sicherheit sollte Teil der Unternehmenskultur werden: Wenn jeder Mitarbeiter und jede Abteilung versteht, warum bestimmte Regeln gelten (z.B. keine privaten USB-Sticks, Meldepflicht bei Auffälligkeiten etc.), dann steigt die Compliance deutlich. Die besten technischen Tools nützen wenig, wenn sie umgangen oder falsch bedient werden. Daher ist eine Geisteshaltung der Wachsamkeit anzustreben, in der IT-Sicherheit als Qualitätsmerkmal und Bestandteil der eigenen Verantwortung gesehen wird – ähnlich wie Arbeitssicherheit oder Qualitätsmanagement.

IT-Sicherheit ist nicht Selbstzweck, sondern essenziell für die Unternehmenssicherung und Wertschöpfung. Aus geschäftskritischer Sicht bedeutet dies: Eine Verletzung der Informationssicherheit kann zu erheblichen finanziellen Schäden, Reputationsverlust, Haftungsansprüchen und im schlimmsten Fall zur Gefährdung der Unternehmensfortführung führen.

• Schutz der Geschäftskontinuität: Nahezu alle geschäftlichen Prozesse hängen heute von der IT ab – sei es die Produktionssteuerung, die Lagerverwaltung, das Kundenmanagement oder schlicht die Kommunikation per E-Mail. Ein schwerwiegender IT-Ausfall (etwa durch Malware oder technische Defekte) kann deshalb den Betrieb lahmlegen. Das führt unmittelbar zu Einnahmeverlusten, Vertragsstrafen, Unzufriedenheit bei Kunden und Partnern und zusätzlichen Kosten für die Wiederherstellung. Studien zeigen, dass z.B. bei Industrieunternehmen pro Stunde Produktionsstillstand schnell fünf- bis sechsstellige Beträge an Verlust anfallen, abhängig von Branche und Größe. Besonders kritisch ist dies in Just-in-Time-Lieferketten: Ein Cyberangriff, der die IT eines Automobilzulieferers verschlüsselt, kann binnen Stunden auch Bänder beim OEM zum Stillstand bringen, mit Dominoeffekten. Die geschäftskritische Sicht der IT-Sicherheit rückt deshalb Business Impact Analysen (BIA) in den Vordergrund. Dabei wird für jedes wichtige System und Prozess erhoben, wie hoch der Schaden pro Ausfallzeit ist und wie viel Downtime maximal tolerierbar ist (Maximum Tolerable Downtime). Diese Angaben fließen dann in die Priorisierung von Sicherheitsmaßnahmen und Notfallplanung ein. Prozesse mit geringem Toleranzfenster benötigen stärkere Schutzmechanismen und schnellere Wiederanlaufkonzepte (z.B. Redundanz, 24/7 Monitoring), während weniger kritische Prozesse mit einfacheren Schutzstufen auskommen könnten.

• Finanzielle Schäden und Versicherbarkeit: Cybervorfälle verursachen vielfältige Kosten: direkte Reaktions- und Wiederherstellungskosten (IT-Forensik, neue Hardware, Overtime für Personal), Lösegeldzahlungen bei Ransomware (was allerdings umstritten ist und oft von Behörden abgeraten wird), Umsatzverluste durch Betriebsunterbrechung, Vertragsstrafen oder Kompensationen an Kunden, Rechtsberatungs- und Strafverfolgungskosten, und nicht zuletzt mögliche Bußgelder von Aufsichtsbehörden (z.B. DSGVO-Strafen bei Datenpannen oder NIS-2-Bußgelder). Der eingangs erwähnte Schaden von 148 Mrd. € pro Jahr in Deutschland verdeutlicht die Größenordnung. Auch mittelständische Firmen sind nicht ausgenommen: Cyberkriminelle verlagern sich laut BSI verstärkt auf kleinere und mittlere Unternehmen, da große Konzerne oft besser abgesichert sind. Das Risiko ist so allgegenwärtig, dass sich ein Markt für Cyber-Versicherungen entwickelt hat. Allerdings steigen die Prämien rasant, und Versicherer verlangen von Kunden Mindeststandards an IT-Sicherheit, bevor sie Deckung bieten. Hier schließt sich der Kreis: Gute IT-Sicherheit senkt nicht nur direkt die Eintrittswahrscheinlichkeit und Schadenshöhe von Vorfällen, sondern wirkt sich auch positiv auf Versicherungsbedingungen und die Bewertung durch Investoren oder Geschäftspartner aus (Stichwort IT-Sicherheitsrating).

• Reputation und Kundenvertrauen: Ein oft unterschätzter geschäftlicher Aspekt ist der Vertrauensverlust bei Kunden, wenn es zu einem Sicherheitsvorfall kommt. Beispielsweise kann ein Datenleck (Diebstahl von Kundendaten oder internen Dokumenten) enormen Reputationsschaden nach sich ziehen. Kunden geben ihre Daten ungern einem Unternehmen, das bereits negativ in den Schlagzeilen stand. Gerade im B2B-Bereich fragen Auftraggeber zunehmend nach den Sicherheitsvorkehrungen ihrer Lieferanten, bevor sie Vertragsbeziehungen eingehen. Ein publizierter Verstoß gegen NIS-2 (die Behörden können Namen und Details veröffentlichen, um Druck auszuüben) könnte Lieferaufträge gefährden. Unternehmen sollten daher IT-Sicherheit als Qualitätsmerkmal und Wettbewerbsvorteil betrachten. Zertifizierungen wie ISO 27001 oder das BSI-IT-Grundschutz-Zertifikat signalisieren Geschäftspartnern eine professionelle Sicherheitsorganisation und können bei Ausschreibungen den Ausschlag geben.

• Regulatorische Compliance und Haftung: Aus geschäftlicher Sicht bedeutet Nichteinhaltung von IT-Sicherheitsvorschriften ein Compliance-Risiko. Nicht nur drohen Strafen, auch die persönliche Haftung von Vorständen/Geschäftsführern steht im Raum. In Deutschland kann z.B. ein Geschäftsführer wegen Organisationsverschulden haftbar gemacht werden, wenn grobe Versäumnisse in der IT-Sicherheit zu Schäden führen. Mit der NIS-2-Umsetzung wird diese Verantwortlichkeit noch expliziter: Die Geschäftsleitung muss die Cybersicherheit billigen, überwachen und sich schulen. Bei grober Fahrlässigkeit könnten Aufsichtsbehörden und Geschädigte argumentieren, die Leitung habe ihre Sorgfaltspflichten verletzt. Dies kann in Schadenersatzklagen münden. Daher gehört IT-Risiko auf die Agenda von Aufsichtsrat und Management. Viele Unternehmen integrieren Cyber-Risiken ins Enterprise Risk Management (ERM) und erstellen eigene Risk-Reports dafür. So wird strategisch entschieden, wie viel in Security investiert wird – oft im Verhältnis zur potenziellen Schadenshöhe. Ein gängiges Framework, das Risiken visuell darstellt, ist die Risk Heat Map (Risiko-Matrix), wo Cyberrisiken neben anderen Unternehmensrisiken (Marktrisiken, Compliance-Risiken etc.) verortet werden.

• Ein Ransomware-Angriff legt die gesamte IT eines mittelständischen Produktionsbetriebs lahm. Maschinen stehen 1 Woche still, Liefertermine platzen. Der Schaden: mehrere Millionen Euro an entgangenem Umsatz, Konventionalstrafen von Kunden sowie Investitionen in neue IT-Infrastruktur. Ein reales Beispiel ist der Fall Südwestfalen-IT 2023, wo eine kommunale IT-Gesellschaft durch Ransomware paralysiert wurde und zahlreiche Verwaltungen nicht arbeiten konnten.

• Ein Insider (unzufriedener Administrator) kopiert vertrauliche Konstruktionsdaten und verkauft sie an einen Konkurrenten. Abgesehen von juristischen Folgen (Geheimnisverrat) verliert das Unternehmen seinen technologischen Vorsprung – ein immenser wirtschaftlicher Verlust. Hier zeigt sich die geschäftskritische Bedeutung von internen Kontrollmechanismen (Prinzip der Vier-Augen bei Admins, Logging von Zugriffsaktionen, sofortige Deaktivierung von Accounts nach Ausscheiden).

• Ein Ausfall der Gebäude-Infrastruktur durch Cyberangriff: In einem großen Rechenzentrum manipulieren Hacker über die Gebäudeleittechnik die Klimaanlagen. Server überhitzen und fahren sich runter. Cloud-Services stehen stundenlang nicht zur Verfügung. Kunden drohen Abwanderung und rechtliche Schritte wegen SLA-Verletzungen. Solche Szenarien unterstreichen, dass selbst Facility-Systeme geschäftskritisch sind, wenn sie die IT-Umgebung stützen.

Diese Beispiele belegen: IT-Sicherheit ist ein integraler Bestandteil der betrieblichen Resilienz. Investitionen in Sicherheit sind daher immer auch Investitionen in die Sicherstellung der Geschäftsziele. Studien (z.B. des Ponemon Institute/IBM) zeigen regelmäßig, dass präventiv investierter Euro in Security ein Mehrfaches an Schaden verhindern kann. Dennoch fällt es vielen Führungsgremien schwer, “unsichtbare” Risiken angemessen zu bewerten – hier hilft eine klare Sprache in geschäftlichen Kennzahlen (z.B. erwarteter finanzieller Verlust pro Jahr durch Cyberrisiken, Return on Security Investment).

Ein weiterer Aspekt: in KRITIS-Unternehmen fällt der geschäftskritische Stellenwert der IT-Sicherheit mit der systemischen Relevanz zusammen. Ein Energieversorger muss nicht nur aus Eigeninteresse, sondern auch wegen der Bevölkerungssicherheit hochverfügbar sein. Damit wird IT-Sicherheit quasi Teil der Unternehmensmission.

Es lässt sich sagen, dass IT-Sicherheit Chefsache ist und auf oberster Ebene strategisch gemanagt werden muss. Die COVID-19-Pandemie und die vermehrten Homeoffice-Szenarien haben vielen Firmen vor Augen geführt, wie sehr sie auf reibungslose IT angewiesen sind – und damit auch auf Schutz vor Cyberrisiken. Wer seine Sicherheitslage im Griff hat, kann agiler auf Marktchancen reagieren, genießt Vertrauen bei Kunden und Partnern und minimiert finanzielle Überraschungen. IT-Sicherheit schafft somit Wettbewerbsvorteile und ist ein Faktor der nachhaltigen Unternehmensführung.

Um die abstrakten Anforderungen der IT-Sicherheit greifbar und überprüfbar zu machen, haben sich zahlreiche Standards, Normen und Best Practices etabliert. Diese normative Perspektive beleuchtet die wichtigsten Rahmenwerke, an denen Unternehmen sich orientieren können, sowie deren Verhältnis zu gesetzlichen Vorgaben. Normative Standards bieten strukturierte Vorgehensmodelle und Maßnahmekataloge, die den Aufbau und Betrieb der Informationssicherheit systematisieren. Im deutschen Umfeld spielen vor allem der BSI IT-Grundschutz und die internationale Norm ISO/IEC 27001 eine große Rolle. Daneben existieren branchenspezifische Standards (z.B. IEC 62443 für Industrie/SCADA, PCI-DSS für Zahlungsdaten, TISAX für Automobilzulieferer) sowie international anerkannte Leitfäden wie der NIST Cybersecurity Framework aus den USA oder die CIS Controls.

• BSI IT-Grundschutz: Der IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik entwickeltes Konzept, das seit den 1990er Jahren kontinuierlich fortgeschrieben wird. Er bietet einen ganzheitlichen Baukasten an Sicherheitsmaßnahmen. Herzstück ist der IT-Grundschutz-Katalog (heute in Form des IT-Grundschutz-Kompendiums), der eine umfangreiche Sammlung von Maßnahmenbausteinen für verschiedene Bereiche enthält – von Basismaßnahmen (wie organisatorische Vorgaben, Personal, Infrastruktur) bis zu spezifischen Modulen für Server, Netze, Anwendungen und Sonderbereiche (z.B. Gebäudeautomation, industrielle Anlagen). Der Grundschutz verfolgt ein Schichtenmodell und das Prinzip der Kompensation von Schwachstellen durch Standardmaßnahmen, sodass ein hoher Anteil der üblichen Risiken bereits durch die Umsetzung aller relevanten Bausteine mitigiert wird. Er ist besonders auf deutsche Anforderungen zugeschnitten und hat z.B. Module für die Umsetzung von DSGVO-Aspekten. Das BSI bietet auch Standards 200-x an (wie 200-2 für ISMS-Einführung), die zusammen mit dem Grundschutz-Katalog genutzt werden können. Unternehmen können ein Zertifikat "ISO 27001 auf Basis von IT-Grundschutz" erlangen, was bestätigt, dass sie ein ISMS betreiben und die Grundschutz-Maßnahmen umgesetzt haben. Ein Vorteil des Grundschutzes ist die konkrete Anleitung: Er liefert detaillierte Umsetzungshinweise, was gerade mittelständischen Unternehmen hilft. Allerdings gilt er auch als sehr umfangreich; das BSI plant für 2026 eine überarbeitete Version “Grundschutz++”, um moderner und flexibler zu werden.

• ISO/IEC 27001: Dies ist der international meist anerkannte Standard für Informationssicherheits-Managementsysteme. ISO 27001 legt Anforderungen daran fest, wie ein ISMS zu gestalten ist – z.B. fordert er eine Informationssicherheitsleitlinie, die Durchführung von Risikobeurteilungen, die Zuweisung von Verantwortlichen, die Behandlung von Risiken und kontinuierliche Verbesserungsprozesse. Im Anhang A der Norm befindet sich ein Katalog von Sicherheitskontrollen (wie Zugangskontrolle, Kryptomanagement, physische Sicherheit, Personalsecurity etc.), aus dem die relevanten vom Unternehmen ausgewählt und umgesetzt werden sollen. ISO 27001 ist risikobasiert und flexibel: Firmen identifizieren auf Basis ihrer Risiken selbst, welche Maßnahmen nötig sind. Das unterscheidet ihn vom BSI-Grundschutz, der vordefinierte Maßnahmenkataloge bereitstellt. Beide Ansätze sind jedoch kompatibel – Grundschutz kann als konkrete Ausgestaltung für eine ISO-Implementierung dienen. Eine ISO-27001-Zertifizierung durch akkreditierte Auditoren ist international angesehen; viele Konzerne fordern von ihren Dienstleistern ein solches Zertifikat als Vertrauensbeweis.

• Branchenspezifische Sicherheitsstandards (B3S): Für KRITIS-Sektoren hat das BSI in Zusammenarbeit mit Branchenverbänden sogenannte B3S (Branchenspezifische Sicherheitsstandards) etabliert. Diese Leitfäden interpretieren die allgemeinen Anforderungen (z.B. §8a BSIG) für die konkrete Branche. So gibt es B3S-Dokumente etwa für Krankenhäuser, Energieversorger, Wasserversorger etc. Ein Krankenhaus-B3S wird z.B. genau definieren, welche Netzsegmente relevant sind (Medizintechnik vs. Verwaltungs-IT), wie Patientendaten zu schützen sind, oder welche Recovery-Zeiten für OP-Systeme gelten sollen. Diese B3S können vom BSI anerkannt werden, dann dürfen Betreiber nachweisen, dass sie konform mit B3S sind, um ihre Pflichten zu erfüllen. Solche branchenspezifischen Normen stellen eine praktische Konkretisierung dar und berücksichtigen branchentypische Gegebenheiten und Risiken (z.B. in der Energie: Schutz von Smart Grids, Leitwarten, Kraftwerkssteuerungen). Mit NIS-2 wird die Notwendigkeit branchenspezifischer Standards eher steigen, da mehr Sektoren adressiert sind – man kann erwarten, dass Leitfäden für z.B. die Ernährungsindustrie oder Chemie noch entstehen.

• Weitere Standards und Frameworks: Je nach Bereich gibt es ergänzende Normen: Die Serie ISO/IEC 270xx enthält z.B. ISO 27002 (Leitfaden für Controls), ISO 27005 (Risikomanagement für Informationssicherheit), ISO 22301 (Business Continuity Management, sehr relevant für Notfallvorsorge), ISO 27701 (Datenschutz-ISMS). Für industrielle Steuerungsanlagen gilt die Normenreihe IEC 62443, die auf Betreiber- und Herstellerseite Anforderungen definiert, um ICS sicher zu machen (Zonen-Konzept, Security by Design für Anlagen). Im Finanzsektor tritt ab 2025 die EU-DORA-Verordnung in Kraft, die die IT-Resilienz von Banken und Versicherungen regelt – in einigen Aspekten strenger als NIS-2, sodass Finanzunternehmen DORA einhalten müssen (DORA gilt hier als lex specialis, ersetzt NIS-2 in dem Bereich). DORA bringt z.B. regelmäßige Threat-Led Penetration Tests (simulierte Angriffe) und spezifische Anforderungen an Outsourcing mit sich, was die normative Landschaft im Finanzsektor prägt.

• Im Bereich Cloud Security haben sich Standards wie CSA STAR oder ISO 27017/27018 entwickelt; für den Bereich Datenschutz sind neben der DSGVO auch Normen wie ISO 27701 hilfreich. ITIL (für IT-Service-Management) und COBIT (Governance Framework) enthalten ebenfalls Kontrollziele, die sich mit IT-Sicherheit überschneiden. Auch die vom BSI initiierte Allianz für Cybersicherheit stellt Unternehmen Best Practices und Benchmarks zur Verfügung.

• Sicherheitszertifikate und Kennzeichnungen: Normative Vorgaben manifestieren sich auch in Zertifizierungen und Labels. Das IT-Sicherheitsgesetz 2.0 erwähnt etwa eine IT-Sicherheitskennzeichnung für Verbraucherprodukte. Auf EU-Ebene wird an Cybersecurity-Zertifizierungen für Produkte gearbeitet (gemäß Cybersecurity Act), sodass z.B. Cloud-Dienste oder IoT-Geräte ein Sicherheitszertifikat auf Basis von EU/ENISA-Kriterien erhalten können. Unternehmen sollten diese Entwicklungen beachten, da zukünftig ggf. gewisse Produkte nur noch beschafft werden dürfen, wenn sie zertifiziert sind (NIS2UmsuCG sieht z.B. vor, dass bestimmte kritische Produkte eine Zertifizierung erfordern könnten).

• Es bieten Standards und Normen einen Leitfaden zur “Best Practice”. Sie erlauben es, Sicherheit messbar zu machen und zu vergleichen. Aus Management-Sicht erleichtert ein vorhandener Rahmen (wie ISO 27001) den Aufbau der Strukturen erheblich, weil man sich an bewährten Prozessen orientieren kann, statt alles adhoc zu erfinden. Die normative Orientierung fördert zudem die Kultur der kontinuierlichen Verbesserung – etwa verlangt ISO 27001 regelmäßige Management-Reviews und Korrekturmaßnahmen. Das deckt sich mit den Forderungen aus NIS-2 nach permanenter Weiterentwicklung der Schutzmaßnahmen.

• Ein möglicher Nachteil ist der Aufwand: Die Einführung eines ISMS nach ISO oder Grundschutz erfordert Projektzeit, Schulung und oft externe Beratung. Doch mittelfristig zahlt es sich aus, da es eben auch hilft, Compliance nachzuweisen. Beispielsweise kann ein Unternehmen gegenüber dem BSI oder einer Aufsichtsbehörde argumentieren, es sei ISO 27001 zertifiziert – was zumindest indiziert, dass viele Anforderungen systematisch erfüllt werden. Zwar ersetzt das nicht automatisch jede Prüfung, aber es schafft Vertrauen.

Es sei betont, dass Normen kein Ersatz für kreatives, auf das Unternehmen zugeschnittenes Sicherheitsdenken sind. Sie bieten einen Rahmen, doch jedes Unternehmen muss die für sich relevanten Controls auswählen. Die Norm NIS-2 selbst lässt den Unternehmen Raum in der konkreten Umsetzung, solange die Ziele erreicht werden. Insofern schadet es nicht, mehrere Frameworks zu kombinieren – z.B. NIST CSF zur initialen Einordnung des Reifegrads, ISO 27001 fürs ISMS und BSI-Grundschutz als Toolbox für konkrete Maßnahmen. Gerade für die Praxis im Facility Management oder technischen Betrieb bietet der IT-Grundschutz viele passende Module, die z.B. physische Sicherheit (Schutz von Serverräumen, Zutrittskontrollen) oder Gebäudetechnik behandeln. Die normative Perspektive zeigt also Wege auf, Komplexität zu beherrschen und nichts Wesentliches zu vergessen, indem man auf standardisierte Wissensgrundlagen zurückgreift.

Ein Schwerpunkt dieser Arbeit liegt auf Unternehmen der kritischen Infrastrukturen (KRITIS). Hierbei handelt es sich um Organisationen, deren Ausfall oder Beeinträchtigung dramatische Folgen für Staat, Wirtschaft und Bevölkerung hätte. In Deutschland gibt es eine offizielle KRITIS-Definition gemäß BSI-Gesetz und KRITIS-Verordnung: Derzeit werden acht Sektoren (plus zwei Sektoren der staatlichen Stellen) klassisch als KRITIS geführt – nämlich Energie, Wasser, Ernährung, Gesundheit, Informationstechnik/Telekommunikation, Transport und Verkehr, Finanz- und Versicherungswesen sowie staatliche und kommunale Verwaltung (letzteres bislang nur im Kontext von IT-Sicherheitsvorfällen, z.B. Kommunalverwaltungen). Diese Kategorien werden mit NIS-2 wie gesehen erweitert bzw. präzisiert (siehe Tabelle 1 zuvor). KRITIS-Unternehmen im engeren Sinne waren bislang ca. 2000 Betriebe in Deutschland; mit NIS-2 steigt diese Zahl schlagartig auf etwa 29.000. Allerdings gelten für die klassischen KRITIS weiterhin teils Sonderregeln und Übergangsbestimmungen, bis NIS-2 vollständig umgesetzt ist.

• Mindest-Sicherheitsmaßnahmen (§8a BSIG): KRITIS-Betreiber müssen den Stand der Technik in IT-Sicherheit umsetzen. Was das bedeutet, wurde in Zusammenarbeit mit dem BSI und Branchen teils konkretisiert (z.B. B3S-Standards). Die Unternehmen müssen alle zwei Jahre gegenüber dem BSI per Audit nachweisen, dass sie angemessene Schutzmaßnahmen betreiben.

• Meldepflichten (§8b Abs.4 BSIG): Erhebliche Störungen der eigenen IT-Systeme, die zu einem Ausfall oder Beeinträchtigung der kritischen Dienstleistungen führen könnten, sind unverzüglich an das BSI zu melden. Das betrifft z.B. Cyberangriffe, die erfolgreich waren, oder auch technische Ausfälle durch Softwarefehler – immer mit Blick auf die Versorgungssicherheit.

• Benennung eines Ansprechpartners (§8b Abs.3 BSIG): Jedes KRITIS-Unternehmen musste eine offizielle Kontaktstelle ans BSI melden, um im Krisenfall erreichbar zu sein. Dies wurde mit IT-SiG 2.0 verschärft zur unverzüglichen Registrierung, wie erwähnt.

• Angriffserkennungspflicht (neu ab IT-SiG 2.0): Ab Mai 2023 müssen alle KRITIS-Anlagen mit Systemen zur Angriffserkennung (z.B. IDS) überwacht werden. Dieser Schritt hat vielen KRITIS-Betreibern Investitionen in Security Monitoring und Personal abverlangt.

• Prüfung von Dienstleistern: Wenn ein KRITIS-Betreiber kritische Dienste auslagert (z.B. Datenverarbeitung an einen IT-Dienstleister), bleibt er verantwortlich und muss vertraglich sicherstellen, dass der Dienstleister ebenfalls nach Stand der Technik schützt. Hier kamen in der Vergangenheit Nachweisanforderungen auf (z.B. zeigt sich ein Cloud-Anbieter mit ISO 27001 Zertifizierung etc.).

• Kritische Komponenten anzeigen (§9b BSIG): Seit 2021 wie beschrieben, Anzeige und ggf. Untersagung gewisser Hardware-/Software-Produkte von unsicheren Herstellern.

Diese Pflichten werden durch die NIS2UmsuCG teilweise neu strukturiert, aber grundsätzlich behalten KRITIS-Unternehmen die strengsten Anforderungen und engste Beaufsichtigung (als wesentliche Einrichtungen). Spezifisch im KRITIS-Kontext ist der intensive Austausch mit dem BSI: Über die Plattform UP KRITIS – einer Public-Private-Partnerschaft – tauschen sich KRITIS-Betreiber branchenübergreifend mit dem BSI zu Bedrohungen und Best Practices aus. Diese Kooperation hilft, Sektor-übergreifende Angriffe (z.B. auf Energie und Telekom gleichzeitig) besser zu bewältigen.

Ein Bereich, der für KRITIS-Unternehmen zusätzlich relevant ist, sind Sektorgesetze. Manche Branchen haben eigene Vorschriften: etwa die EnWG (Energiewirtschaftsgesetz) fordert IT-Sicherheit für Strom- und Gasnetzbetreiber, das TKG (Telekommunikationsgesetz) für Provider (hier gab es z.B. bereits vor NIS eine Meldepflicht bei größeren Störungen) und das Bankwesen hat mit BAIT/VAIT (Bankaufsichtliche Anforderungen an die IT) eigene Vorgaben, die teils noch schärfer sind als NIS-Standard. Durch DORA (Digital Operational Resilience Act) werden Banken und Versicherer ab 2025 EU-weit sehr ähnlich wie KRITIS reguliert, nur durch die Finanzaufsicht (BaFin in Deutschland) anstelle des BSI.

KRITIS-Unternehmen sind besonders im Fadenkreuz professioneller Angreifer. Gründe: Zum einen ist die Auswirkung eines erfolgreichen Angriffs groß (Erpressungspotential – man denke an Millionenzahlungen, die einige Kommunen oder Gesundheitsdienstleister in der Vergangenheit in Erwägung ziehen mussten, um Daten wiederherzustellen). Zum anderen sind manche KRITIS-Systeme technisch verwundbar, weil sie historisch gewachsen oder nicht leicht upzudaten sind (Operational Technology in Energie und Verkehr).

• Gezielte Angriffe auf Gesundheitseinrichtungen: 2023 verzeichnete das BSI auffällig viele Attacken auf Krankenhäuser und Gesundheit (132 von 452, wie erwähnt). Krankenhäuser wurden z.T. durch Ransomware zur Absage von Operationen und Verlegung von Notfällen gezwungen – ein direktes Risiko für Leib und Leben. Das führt dazu, dass Gesundheit als Sektor als kritisch wahrgenommen wird wie nie zuvor. Die Motivation der Angreifer ist hier oft finanzielle Erpressung, aber teils auch staatlich gelenkte Sabotage könnte eine Rolle spielen (z.B. um Unruhe zu stiften).

• Angriffe auf kommunale Infrastruktur und Verwaltung: Der Fall der 70 Kommunen in NRW Anfang November 2023, in denen ein IT-Dienstleister gehackt wurde, zeigt eine perfide Angriffsmethode: Hier wurde ein IT-Zweckverband (vergleichbar einem kommunalen Rechenzentrum) lahmgelegt, woraufhin zahlreiche Stadtverwaltungen kein Bürgerportal, Meldewesen etc. mehr hatten. Die Cyberkriminellen wählen den Weg des geringsten Widerstands – oft sind solche gemeinsamen Dienstleister schwächer geschützt und bieten ein Massenziel. Für KRITIS bedeutet dies, dass auch Zulieferer und IT-Partner stark in die Security-Betrachtung einbezogen werden müssen.

• Staatstrojaner und Sabotage: Im Kontext des Ukraine-Krieges 2022/23 wurden vermehrt Angriffe beobachtet, die mutmaßlich von staatlich unterstützten oder ideologisch motivierten Gruppen ausgingen (z.B. pro-russische Hacktivisten). Diese zielten insbesondere auf Energieversorgung, Behörden und Medien in westlichen Ländern, um DDoS-Attacken auszuführen oder Desinformation zu streuen. Die Auswirkungen solcher Angriffe waren zwar oft begrenzt (viele DDoS konnten abgewehrt werden), doch sie erfordern Aufmerksamkeit, da sich diese Gruppen stetig professionalisieren. KRITIS-Betriebe müssen daher auch politische Spannungen und Geopolitik in ihre Bedrohungsanalyse einbeziehen (Stichwort Cyberwar-Fähigkeiten).

• Alte Technik, neue Probleme: In Sektoren wie Verkehr oder Wasserwerk werden noch Steuerungen eingesetzt, die vor Jahrzehnten entwickelt wurden, teils ohne Security-Konzept. Die Digitalisierung (Industrie 4.0, Smart Grid) führt diese Alttechnik nun ans Internet. Das vergrößert die Angriffsfläche dramatisch. Ein exemplarisches Risiko ist die Manipulation von Trinkwasserversorgung: 2021 gab es in den USA den Vorfall, dass Hacker versuchten, die Chemikaliendosierung in einem Wasserwerk zu ändern (zum Glück rechtzeitig bemerkt). Übertragen auf deutsche KRITIS hieße das, dass integritätswahrende Maßnahmen (Sensor-Monitoring, Alarm bei abweichenden Werten) absolut kritisch sind. Die NIS-2-Anforderung nach Resilienz und Notfallmechanismen will hier ansetzen – z.B. durch etablierte manuelle Fallback-Prozesse kann ein Wasserwerk auch bei IT-Ausfall weiterbetrieben werden.

Für KRITIS-Unternehmen bedeutet NIS-2 im Grunde eine Weiterentwicklung ihrer bisherigen Pflichten. Sie werden als wesentliche Einrichtungen eingestuft, d.h. sie müssen alle zehn geforderten Maßnahmen aus Art. 21 NIS-2 vollständig umsetzen. Neu ist für sie vor allem die noch strengere aufsichtliche Kontrolle (das BSI kann engmaschiger prüfen) und der EU-weit harmonisierte Bußgeldrahmen. Während bislang deutsche KRITIS-Betreiber bei Versäumnissen allenfalls im Einzelfall (bei Gefährdung der Versorgung) sanktioniert wurden, drohen nun systematisch hohe Strafen. Auch die Meldepflicht binnen 24 Stunden ist etwas rigoroser als zuvor (früher „unverzüglich“ im BSIG, was Auslegungsspielraum ließ). Positiv aus Unternehmenssicht: Es wird EU-weit Einheitlichkeit geschaffen. Ein Konzern, der z.B. Standorte in mehreren EU-Ländern hat, kann sich auf einen gemeinsamen Rahmen beziehen.

Eine spezifische Herausforderung ist die Einbeziehung der IT-Lieferkette. KRITIS-Betreiber müssen sich vergewissern, dass wichtige Dienstleister ebenfalls robust aufgestellt sind. Das BSI kann mit NIS-2 sogar anordnen, dass ein nicht direkt betroffenes Unternehmen trotzdem bestimmte Maßnahmen trifft, wenn es als Zulieferer essenziell ist (diese Option sieht Art. 4 NIS-2 vor, etwa um Kaskadeneffekte abzufangen). Für KRITIS bedeutet das: Noch intensivere Zusammenarbeit mit Partnern in Sachen Sicherheit – im Sinne eines "Ecosystem Cybersecurity Management". Einige Branchen haben bereits Initiativen, z.B. der Energiewirtschaft mit dem Verbund OSCAR (Online Security Alliance der Stromnetzbetreiber) oder der Automotive-Sektor mit TISAX (Trusted Information Security Assessment Exchange) für Lieferanten.

KRITIS-Unternehmen fungieren gewissermaßen als Vorreiter der IT-Sicherheit. Viele Methoden, die mittlerweile allen Unternehmen empfohlen werden, wurden in KRITIS zuerst Pflicht – etwa ISMS-Einführung, 24/7 Monitoring, regelmäßige Pentests, Teilnahme an Cyber-Übungen usw. Auch haben KRITIS-Betreiber oft dedizierte Cyber-Notfallteams und planen gemeinsam mit Behörden Notfallszenarien (in deutschen Regionen gibt es z.B. jährliche Krisenstabsübungen, wo ein Angriff auf Stromversorgung durchgespielt wird). Dieses Know-how muss nun auf breitere Kreise übertragen werden, was erklärtes Ziel der NIS-2-Richtlinie ist: Der Schutz der Bevölkerung hängt nicht nur an ein paar großen Versorgern, sondern auch an digitalen Dienstleistern, Mittelständlern in Lieferketten und neuen Infrastrukturbetreibern. Die Verzahnung all dieser Akteure ist wichtig, um Systemabhängigkeiten im Blick zu behalten.

Für die KRITIS selbst bedeutet die erweiterte Vernetzung auch, dass Querschnittsthemen wichtiger werden: Etwa IT-Sicherheit und physische Sicherheit rücken zusammen (denn ein Saboteur könnte versuchen, sich physisch Zutritt zu einer Anlage zu verschaffen – hier braucht es Kombinationssicherheit). Ebenso werden Notfallpläne sektorübergreifend gedacht: Wenn z.B. ein Stromausfall (vielleicht durch Cyberangriff verursacht) eintritt, müssen auch Telekom und Krankenhäuser vorbereitet sein, was sie ja mit USV-Anlagen und Dieselgeneratoren sind. Solche gegenseitigen Abhängigkeiten wurden in der Vergangenheit auch durch das BMI analysiert (Stichwort Interdependenzstudien).

KRITIS-Unternehmen stehen unter erhöhtem Druck, aber auch im besonderen Fokus der Unterstützung durch den Staat. Das BSI bietet z.B. Warnmeldungen und aktuelle Lageinformationen für KRITIS an, die über das Warn- und Informationssystem bereitgestellt werden. Unternehmen sollten diese Hilfestellungen nutzen. Nicht zuletzt ist das öffentliche Interesse hoch: Jeder Vorfall in einer kritischen Infrastruktur zieht mediale Aufmerksamkeit auf sich. IT-Sicherheit ist hier also Teil der Daseinsvorsorge und ein Stück weit auch mit gesellschaftlicher Verantwortung verbunden.

In diesem abschließenden inhaltlichen Kapitel werden die verschiedenen Risikobereiche und typischen Bedrohungsszenarien für die betriebliche IT-Sicherheit systematisch dargelegt. Dabei geht es darum, die abstrakte Gefahr greifbar zu machen: Welche Angriffsarten gibt es? Wo liegen Schwachstellen im Betrieb? Welche Schäden können eintreten? Durch die ausführliche Behandlung der Bedrohungslage können Unternehmen besser einschätzen, wogegen sie sich wappnen müssen.

• Schadsoftware (Malware): An erster Stelle der Gefahren steht weiterhin Malware in all ihren Formen – Viren, Würmer, Trojaner, Spyware, und insbesondere Ransomware. Ransomware (Erpressungstrojaner) hat sich in den letzten Jahren zur beherrschenden Bedrohung entwickelt. Sie verschlüsselt Daten und verlangt Lösegeld für die Entschlüsselung. Die Angreifer gehen dabei immer professioneller vor: Es wird zuerst unbemerkt Zugriff erlangt, dann werden systematisch Backups gelöscht oder exfiltriert, damit das Opfer keine Möglichkeit hat, ohne Zahlung wiederherzustellen. Zudem werden Doppelerpressungen durchgeführt – neben der Verschlüsselung droht die Veröffentlichung sensibler gestohlener Daten, falls nicht gezahlt wird. Unternehmen wie Stadtverwaltungen oder Mittelständler sind laut BSI verstärkt ins Visier geraten, da sie oft unzureichend geschützt sind. Wirtschaftliche Schadwirkung: Ransomware kann den Betrieb tagelang lähmen und hohe Kosten verursachen.

• Hacking und Advanced Persistent Threats (APT): Darunter fallen gezielte Einbrüche durch Hackergruppen, oft mit hohem technischem Know-how. Das können sowohl kriminelle Banden sein (z.B. um bei Banken Geld zu stehlen, Geschäftsgeheimnisse zu exfiltrieren) als auch staatlich gesteuerte APT-Gruppen (die spionieren oder sabotieren). Ein klassisches Szenario ist ein mehrstufiger Angriff: Per Spear-Phishing wird ein Mitarbeiter-Rechner infiziert, dann bewegt sich der Angreifer lateral im internen Netz, späht Administrator-Zugänge aus und gelangt letztlich an Kronjuwelen (Datenbanken, Datei-Server, Steuerungsanlagen). Diese Art von Angriff ist schwer zu entdecken, weil sie oft keine einfache Signatur hat und sich über Wochen erstreckt. APT28, APT29 (russische Gruppen), Hafnium (chinesische Gruppe) etc. sind bekannte Namen, die auch in Deutschland Organisationen angegriffen haben (z.B. Bundestag-Hack 2015, Pharmaunternehmen, Forschungseinrichtungen). Ziele: Häufig Datendiebstahl (Industriespionage), Manipulation von Systemen (z.B. Stuxnet-Vorfall im Iran, entsprechend denkbar in Kraftwerken), oder politisch motivierte Zerstörung.

• Denial-of-Service (DoS/DDoS): Angriffe, die auf die Verfügbarkeit zielen, indem sie Server oder Netze überlasten. Bei DDoS (Distributed Denial of Service) werden hunderttausende IoT-Geräte oder Bot-Rechner missbraucht, um gleichzeitig Anfragen zu schicken – der Dienst bricht unter der Last zusammen. Solche Angriffe können Webseiten, aber auch VoIP-Telefonie, VPN-Gateways oder sogar industrielle Steuerzentralen treffen. Sie werden manchmal als Ablenkungsmanöver genutzt, um währenddessen einen Einbruch zu verdecken. Für Unternehmen sind DDoS-Attacken vor allem kritisch, wenn sie von ihrer Internetpräsenz abhängen (z.B. Online-Shops, Cloud-Provider). Es gibt mittlerweile DDoS-„Erpresser“, die drohen und bei Nichtzahlung angreifen. Aber auch Hacktivisten nutzen DDoS (siehe russische Gruppen gegen deutsche Behördenwebsites 2022/23).

• Supply-Chain-Angriffe: Hierbei kompromittiert der Angreifer nicht das eigentliche Zielunternehmen, sondern einen Zulieferer oder eine genutzte Software, um dann im Zuge von Updates oder vertrauenswürdigen Verbindungen das Ziel zu erreichen. Der SolarWinds-Hack 2020/21 ist ein prominentes Beispiel, wo Angreifer den Update-Mechanismus einer Netzwerkmanagement-Software infiltrierten. Kunden weltweit installierten dann ein verseuchtes Update – darunter auch Regierungsbehörden. In Deutschland wäre denkbar: Ein Cloud-Dienstleister oder eine Softwarebibliothek, die viele KMU nutzen, wird kompromittiert, was zu massenhaften Einbrüchen führt. Gegen Supply-Chain-Angriffe hilft nur indirekt: sorgfältige Lieferantenauswahl, Code-Prüfungen, schnelle Patch-Zyklen. NIS-2 reagiert darauf, indem es Lieferkettensicherheit zum Muss für größere Firmen macht. Zudem ist Transparenz über verwendete Komponenten (Software Bill of Materials) ein diskutiertes Mittel.

• Social Engineering und Phishing: Menschliche Täuschung ist oft der Anfang eines Angriffs. Phishing-E-Mails, die z.B. vorgeben, von der eigenen IT-Abteilung zu sein und den Klick auf einen Link oder das Öffnen eines Dokuments provozieren, sind nach wie vor sehr erfolgreich. Gerade CEO-Fraud-Betrug (vortäuschen, man sei der Chef und weise eine dringende Überweisung an) hat schon viele Firmen um hohe Summen gebracht. Mit KI-Tools werden Phishing-Mails noch glaubwürdiger, da Sprache und Logos perfekt nachgeahmt werden. Sogar Deepfakes – täuschend echte Stimmen oder Videos – könnten eingesetzt werden, um z.B. Telefonanrufe vom vermeintlichen Chef zu simulieren. Hier ist vor allem Wachsamkeit und Schulung gefragt. Technisch helfen E-Mail-Filter, Zwei-Faktor bei Zahlungsprozessen etc., aber ganz verhindern lässt sich Social Engineering kaum, da immer neue Tricks erdacht werden.

• Insider-Bedrohungen: Mitarbeiter oder Dienstleister mit böswilliger Absicht stellen ein latent schwer kalkulierbares Risiko dar. Sie haben berechtigten Zugang und kennen oft die Sicherheitsvorkehrungen. Motive können Rache (Unzufriedenheit), finanzieller Gewinn (Verkauf von Daten), Ideologie oder Erpressung durch Dritte sein. Ein Insider könnte z.B. absichtlich Malware einschleusen, Daten entwenden oder Sicherheitsmechanismen sabotieren. In kritischen Bereichen wird deshalb das Vier-Augen-Prinzip angewandt (kein Einzelner hat allein vollen Zugriff), Aktivitäten werden protokolliert und es gibt Mechanismen wie das Prinzip der minimalen Rechte. Hintergrundüberprüfungen bei sensiblen Positionen (z.B. Administrators, Betreiber in Kraftwerken) sind ebenfalls eine Maßnahme. Dennoch sind Insider schwer komplett zu verhindern – hier hilft nur eine Mischung aus Vertrauen und Kontrolle.

• Unabsichtliche Fehler: Weitaus häufiger als der bewusste Insiderangriff sind versehentliche Handlungen mit Sicherheitsauswirkungen. Etwa ein Administrator, der aus Versehen eine Firewallregel falsch einstellt und damit ein Einfallstor öffnet, oder ein Mitarbeiter, der auf eine Phishing-Mail hereinfällt und Login-Daten preisgibt. Auch Fehlkonfigurationen (wie öffentlich zugängliche Cloud-Datenbanken ohne Passwort) gehören in diesen Bereich. Studien zeigen, dass ein Großteil der Vorfälle auf menschliches Versagen oder Nachlässigkeit zurückzuführen ist. Daher sind Awareness-Schulungen und eine Fehlerkultur wichtig – Letzteres bedeutet, dass Mitarbeiter Vorfälle oder Fehler melden, ohne Angst vor übermäßigen Sanktionen haben zu müssen (weil nur so schnell reagiert werden kann).

• Technisches Versagen: Nicht jeder Vorfall ist durch einen Angreifer verursacht. Hardwaredefekte, Software-Bugs oder Stromausfälle können ebenfalls Systeme ausfallen lassen. Zwar zählen diese eher zur allgemeinen Betriebssicherheit als zur IT-Sicherheit im engeren Sinne, aber die Auswirkungen sind identisch: Daten können verloren gehen (ohne Backup), Prozesse stehen still. Ein betriebliches Risikomanagement muss daher auch diese IT-Drift berücksichtigen. Redundanzen und Failover-Systeme, regelmäßige Datensicherungen sowie Testen von Disaster-Recovery-Prozessen schützen hier. Interessant ist, dass Angreifer solche Schwächen manchmal ausnutzen – z.B. das gleichzeitige Ausfallen von Primär- und Backup-Stromversorgung, wenn beides am gleichen Ort liegt, könnte gezielt herbeigeführt werden durch Sabotage.

• Physische Sabotage und Einbruch: Rechenzentren und Serverräume können Ziel von physischen Angriffen sein, etwa Einbrecher, die Schadsoftware direkt auf Server spielen oder Hardware entwenden. Oder gezielte Sabotageakte, wie das Durchtrennen von Glasfaserkabeln (2022 gab es in Deutschland Vorfälle, wo Bahn-Signalanlagen ausfielen durch Kabelvandalismus – ob gezielt oder Vandalismus, unklar). Auch absichtlich gelegte Brände oder Sprengsätze zählen hierzu (zum Glück selten). Solche Szenarien deckt die objektbezogene Sicherheit ab: Zugangsbarrieren, Kameras, Wachdienste, Alarmsysteme. Gerade KRITIS-Anlagen haben hier oft hohe Standards (z.B. umzäunte Trafo-Stationen, biometrische Zugänge in Leitstellen). IT-Sicherheit und physische Sicherheit sind hier eng verwoben; NIS-2 und BSI sehen aber hauptsächlich die digitale Seite – dennoch muss ein ISMS auch physische Risiken bewerten.

• Naturkatastrophen und Umwelteinflüsse: Überschwemmungen, Feuer, Erdbeben oder extreme Wetterlagen können IT-Infrastruktur zerstören oder unbenutzbar machen. Beispiel: Das Ahrtal-Hochwasser 2021 vernichtete lokale Server in Behörden und Unternehmen. Solche Risiken variieren je nach Standort; sie werden in Business-Continuity-Plänen berücksichtigt (ggf. Backup-Rechenzentrum in anderer Region etc.). Auch längerfristige Effekte wie Hitzeperioden können kritisch werden – z.B. Kühlanlagen laufen am Limit, was wiederum Cyberangreifer ausnutzen könnten (Stromnetz belasten etc.).

• Pandemien: Ein Sonderfall, den man früher selten bedachte – wie bei COVID-19 – ist, dass eine Pandemie plötzlich die Betriebsweise ändert (Homeoffice, Personalausfall). Dies hat IT-Sicherheitsimplikationen: Schnell mussten 2020 viele Firmen Remote-Zugänge einrichten, oft auf Kosten der Security (fehlende VPN-Kapazität, keine MFA). Angreifer nutzten das aus. Zwar ist eine Pandemie keine IT-Bedrohung per se, aber sie schafft Angriffsflächen (Phishing mit Corona-Bezug, unsichere Heimnetzwerke).

• Ransomware mit Erpressung sensibler Daten: Wie erwähnt, Ransomware bleibt Top-Bedrohung. Besonders gefährlich, wenn es um kritische Daten geht – z.B. Patientenakten. Im Uni-Klinikum Düsseldorf 2020 starb Medienberichten zufolge indirekt eine Patientin, weil die Notaufnahme nach Ransomware-Befall schließen musste und sie weiter transportiert wurde. Solche tragischen Konsequenzen steigern den Druck auf Unternehmen enorm, was Täter einkalkulieren: Ein Krankenhaus wird eher zahlen, um Menschenleben zu schützen (dilemma).

• Angriff auf kritische Steuerung (SCADA): Szenario: Ein Angreifer verschafft sich Zugriff auf die Steuerung einer Industrieanlage (Kraftwerk, Fabrik, Verkehrsleitsystem) und manipuliert Parameter, was zur Zerstörung oder zu Unfällen führen kann. Beispiele: das iranische Atomprogramm wurde durch Stuxnet (Malware) sabotiert; 2015 wurden in der Ukraine Teile des Stromnetzes durch Hacker heruntergefahren. In Deutschland hat man bislang so etwas noch nicht beobachtet, aber die Möglichkeit besteht. Folge wäre ein massiver Versorgungsengpass oder Gefahr für Personal/Umwelt (etwa wenn in Chemieanlagen Sicherheitssysteme deaktiviert werden). Das Risiko erfordert enge IT/OT-Security-Maßnahmen: separate Netzwerke, strikte Zugangskontrollen, Not-Abschaltungen.

• Zero-Day Exploit Welle: Ein Zero-Day ist eine Sicherheitslücke, die noch unbekannt und ungepatcht ist. Wenn etwa in einer weit verbreiteten Software (Datenbank, Webserver, VPN) eine solche Schwachstelle auftaucht und aktiv ausgenutzt wird, können in kurzer Zeit tausende Systeme kompromittiert werden (vergleichbar mit epidemischer Ausbreitung). So geschehen 2021 bei der MS-Exchange-Lücke "Hafnium": Hunderte deutsche Unternehmen wurden gehackt, bevor sie patchen konnten. Die Gefahr hier ist: selbst sehr gut geschützte Firmen können Opfer werden, weil es vor dem Patch keine Abwehr gibt außer genereller Netzsegmentierung und Monitoring (um ungewöhnliches Verhalten zu sehen). Business Impact: Datenabfluss, Hintertüren in Systemen, die später für Ransomware genutzt werden. Daher muss ein Unternehmen fähig sein, auf solche Ad-hoc-Risiken schnell zu reagieren – z.B. durch ein Notfall-Team, das sofort Patches einspielt oder Systeme isoliert.

• Kombinierte Angriffe (Multipronged Attacks): Zukunftsszenarien könnten mehrere Vektoren kombinieren, etwa ein Hack ins Firmennetz plus Täuschung der KI-gestützten Überwachung plus Störung der Backup-Infrastruktur. Cyberkriminelle professionalisieren sich im Sinne eines Cybercrime-as-a-Service Geschäftsmodells: Verschiedene Spezialisten bieten Teilservices (Initialzugang, Verschlüsselung, Verhandlung). Dadurch entstehen sehr ausgefeilte Angriffsketten. Unternehmen müssen also ganzheitlich denken – nicht nur den PC schützen, sondern auch den Menschen dahinter, die Lieferanten davor und die Reaktion danach.

Die Aufzählung der Risikobereiche macht deutlich: Es gibt eine Vielzahl an Bedrohungen, und sie betreffen alle Ebenen – von der technischen Schwachstelle über den Menschen bis hin zum gesamten Ökosystem der Organisation. Kein Bereich kann vernachlässigt werden. Der Vorteil eines strukturierten Sicherheitsmanagements (wie in den vorherigen Kapiteln beschrieben) ist, dass man dadurch für jeden Bereich Abwehrmaßnahmen definiert: Technische Gegenmaßnahmen, organisatorische Prozesse, Sensibilisierung der Mitarbeiter, Notfallübungen etc.

Wichtig ist auch das Monitoring der Bedrohungslage: Unternehmen – vor allem KRITIS – sollten einschlägige Warnmeldungen verfolgen. Das BSI bietet z.B. Lageberichte, Warnungen vor aktueller Schadsoftware, und über seine Allianz für Cyber-Sicherheit Informationen über Top-Bedrohungen. Aktuell (2023/2024) bleibt Ransomware die größte einzelne Gefahr, gefolgt von Phishing/Social Engineering und Software-Schwachstellen. Neue Risiken wie KI-basierte Angriffe und Deepfakes sind im Kommen. Durch den Ukraine-Konflikt rückt auch Hacktivismus wieder in den Fokus (politisch motivierte Angriffe, meist DDoS).

Somit ist die Landschaft äußerst dynamisch. Ein wirksames Sicherheitskonzept erfordert deshalb laufende Anpassungen – Threat Intelligence (also Bedrohungsinformationen sammeln und auswerten) gehört bei großen Firmen heute zum Alltag. KMU können zumindest über Branchenverbände und das BSI entsprechende Infos beziehen. Die Botschaft ist: Wissen, was auf einen zukommt, um nicht blind in ein offenes Messer zu laufen.

Mit diesem Rüstzeug an Erkenntnis über Risikobereiche und Szenarien kann ein Unternehmen nun priorisieren: Welche Bedrohungen sind für uns am wahrscheinlichsten? Welche haben das größte Schadpotenzial? Daraus leiten sich wiederum konkrete Schutzmaßnahmen und Investitionsentscheidungen ab. In der Praxis hilft hier oft eine Matrix (Wahrscheinlichkeit vs. Schadenshöhe), auf der man die Szenarien einträgt – die Hoch-Hoch-Bereiche verlangen sofortiges Handeln. Z.B. Ransomware: hohe Wahrscheinlichkeit und hohe potenzielle Schäden → also Top-Priorität, hier muss viel getan werden (Backups, Netzwerkmonitoring, Offline-Übungen). Ein anderes Beispiel: gezielte APT-Spionage könnte geringere Wahrscheinlichkeit für einen kleinen Handwerksbetrieb haben, aber falls er innovatives Know-how hat, wäre Schaden hoch – also mittlere Priorität, Schutz durch z.B. bessere Zugangskontrollen und Datendiode für F&E-Netz.

Es sei betont, dass die beste Strategie darin besteht, sich nicht nur auf Prävention zu verlassen, sondern auch auf Detektion und Reaktion. Dieses "Schichtenmodell" (vorbeugen, erkennen, reagieren, wiederherstellen) hat sich als einzig realistisch erwiesen – ganz im Sinne von NIS-2, das ja genau diese Schritte vorschreibt. Damit schließt sich der Kreis unserer Betrachtung: Rechtliche Vorgaben, technische und organisatorische Maßnahmen, betriebswirtschaftliche Überlegungen, normative Standards und Szenarien beschreiben in Summe das Ökosystem der IT-Sicherheit im Unternehmen.