Die Uhr tickt: Wie Behörden NIS-2 trotz Fachkräftemangel umsetzen können

Strategien zur Cybersicherheit

In einer zunehmend digitalisierten Welt steht die öffentliche Verwaltung vor der Herausforderung, die Cybersicherheit zu gewährleisten – und das trotz eines akuten Fachkräftemangels. Mit dem Stichtag für die Umsetzung der Network and Information Security Directive 2 (NIS-2) vor der Tür müssen Behörden strategische Wege finden, um trotz begrenzter Ressourcen effektive Sicherheitsmaßnahmen zu implementieren.

Rubrik:

Sicherheit, Zusammenhalt & Verteidigung

Tags:

Cyberangriff

NIS-2

Digitalisierung der Verwaltung

Fachkräftemangel

IT-Sicherheit

Sicherheit

18.04.24

Daniel Graßer

Europa findet sich zunehmend im Visier der Cyberkriminalität. Das gilt insbesondere für das „Nervensystem“ der digitalen Gesellschaft: Unternehmen und Behörden, die zur kritischen Infrastruktur (KRITIS) gehören. Im vergangenen Jahr richteten sich 74 Prozent aller Cyberattacken in der EU gegen den KRITIS-Sektor. Gleichzeitig nähert sich der Stichtag für die Umsetzung der NIS-2 mit Siebenmeilenstiefeln: Bis zum 17. Oktober müssen die EU-Staaten NIS-2 in nationales Recht umsetzen – der Druck auf KRITIS-Unternehmen und Teile der öffentlichen Verwaltung war nie größer.

NIS-2 will Cybersicherheit fördern und einfordern

NIS-2 zielt darauf ab, eine harmonisierte und starke Cybersicherheitslandschaft in Europa zu fördern, indem sie erhöhte Anforderungen an Organisationen in kritischen Sektoren stellt. Dazu gehört unter anderem:

Sicherheitspolitik: Die Entwicklung und Implementierung umfassender Sicherheitsrichtlinien und -verfahren.
Incident-Response-Planung: Die Etablierung von Prozessen zur Erkennung, Reaktion und Wiederherstellung bei Sicherheitsvorfällen.
Sicherheitsüberwachung: Kontinuierliche Überwachung der IT-Infrastruktur, um Anomalien und potenzielle Sicherheitsverletzungen zu identifizieren.
Physische und Umgebungssicherheit: Schutz von Rechenzentren, Serverräumen und anderen kritischen Umgebungen.
Business Continuity und Disaster Recovery: Implementierung von Strategien zur Aufrechterhaltung der Geschäftstätigkeit und zur schnellen Daten-Wiederherstellung nach einem Vorfall.

Die Umsetzung der NIS-2-Richtlinie ist besonders für die öffentliche Verwaltung eine Herausforderung. Überforderte und durch Fachkräftemangel oft unterbesetzte IT-Abteilungen kämpfen bereits heute damit, ihre Systeme lückenlos zu überwachen und auf dem neuesten Stand der Sicherheitstechnik zu halten. Durch die NIS-2-Vorgaben wird sich dieser Workload noch einmal deutlich steigern. Darüber hinaus ist NIS-2 ein äußerst komplexes Regelwerk, dessen Umsetzung sowohl in Unternehmen als auch in Behörden gleichermaßen Ressourcen abverlangt. Die Anforderungen umfassen nicht nur die technische Absicherung von Netzwerken und Systemen, sondern auch die Implementierung umfassender Sicherheitsrichtlinien, die beständig an die dynamische Natur der Cyberbedrohungen angepasst werden müssen.

Risikobasierte Ansätze in der Cybersicherheit

Für öffentliche Verwaltungen ist es dabei entscheidend, ihre Risikomanagementprozesse zu intensivieren. Sie müssen fortlaufend die Bedrohungslandschaft analysieren und Sicherheitsmaßnahmen gezielt an die identifizierten Risiken anpassen – denn Cyberkriminelle schlafen nicht. Das Risikomanagement umfasst eine detaillierte Kenntnis der eigenen Schwachstellen und die dynamische Anpassung der Sicherheitsstrategien.

Besonders in kritischen Sektoren wie dem Gesundheitswesen und der kommunalen Verwaltung, wo häufig Strukturprobleme und Fachkräftemangel vorherrschen, ist eine tiefgreifende Risikoanalyse und die Implementierung gezielter Abwehrmaßnahmen unerlässlich. Die Integration fortschrittlicher Analysetools und Threat-Intelligence-Lösungen ist dabei von großer Bedeutung, um potenzielle Risiken frühzeitig zu erkennen und proaktive Schritte zur Risikominimierung einzuleiten.

Umfassende Sicherheitsrichtlinien müssen regelmäßig angepasst werden

Die Implementierung von Sicherheitsrichtlinien und -standards ist für die öffentliche Verwaltung von größter Bedeutung, um auf die sich ständig ändernden Cyberbedrohungen effektiv reagieren zu können. Die Richtlinien müssen umfassend sein und Aspekte wie Zugriffskontrollen, Datenverschlüsselung, Netzwerksicherheit und Incident-Management abdecken.

Angesichts der zunehmend durch Künstliche Intelligenz angetriebenen Angriffsvektoren ist es entscheidend, dass diese Richtlinien nicht statisch sind, sondern regelmäßig überprüft und an die neuesten Sicherheitstechnologien und -standards angepasst werden. Dies beinhaltet auch die Schulung der Mitarbeitenden in den neuesten Sicherheitspraktiken und die regelmäßige Überprüfung der Sicherheitsinfrastruktur auf Schwachstellen.

Frühzeitige Erkennung von Vorfällen institutionalisieren

Der Aufbau eines Security Operations Centers (SOC) ist ein weiterer zentraler Schritt für die öffentliche Verwaltung, um eine kontinuierliche Überwachung und Analyse der Sicherheitslage zu gewährleisten. Ein SOC ermöglicht die frühzeitige Erkennung von Sicherheitsvorfällen und eine schnelle Reaktion darauf, wodurch die Zeit bis zur Behebung von Sicherheitslücken erheblich reduziert wird.

Für die effektive Funktion eines SOC ist es wichtig, dass es mit den neuesten Technologien ausgestattet ist und von einem Expert:innenteam betrieben wird, das in der Lage ist, komplexe Cyberbedrohungen zu analysieren und zu bekämpfen. Die Einrichtung eines SOC sollte auch mit klaren Prozessen für Incident Response und regelmäßigen Trainingsmaßnahmen für das Personal einhergehen, um sicherzustellen, dass die Mitarbeitenden in der Lage sind, im Falle eines Sicherheitsvorfalls schnell und effektiv zu handeln.

Eine starke Cybersicherheitskultur in der öffentlichen Verwaltung ist unerlässlich für die langfristige Verbesserung der Sicherheitslage.

Förderung der Cybersicherheitskultur

Eine starke Cybersicherheitskultur in der öffentlichen Verwaltung ist unerlässlich für die langfristige Verbesserung der Sicherheitslage. Regelmäßige Schulungen und Sensibilisierungsmaßnahmen sind notwendig, um ein Bewusstsein für Cybersicherheitsrisiken bei allen Mitarbeitenden zu schaffen und sicherzustellen, dass jeder die Bedeutung sicherer Verhaltensweisen versteht.

Eine Kultur, in der Sicherheit als gemeinsame Verantwortung aller angesehen wird, trägt dazu bei, menschliche Fehler zu minimieren und eine proaktive Haltung gegenüber Cyberbedrohungen zu fördern. Besonders wichtig ist dies in Bereichen, die direkten Zugang zu sensiblen Daten haben oder kritische Infrastrukturen verwalten, da hier das Potenzial für Schäden im Falle eines Sicherheitsvorfalls besonders hoch ist.

Wer soll das alles machen?

Der Fachkräftemangel im Bereich der IT-Sicherheit ist in der Verwaltung bedeutend größer als in Unternehmen – schließlich lockt die freie Wirtschaft meist mit höheren Gehältern als die Tarife im öffentlichen Dienst hergeben. Dennoch: Der wachsende Bedarf an qualifizierten Fachkräften übersteigt bei weitem das verfügbare Angebot, was die Situation weiter verschärft. Um diesem Mangel entgegenzuwirken, müssen öffentliche Einrichtungen nicht nur in die Ausbildung und Weiterbildung investieren, sondern auch attraktive Karrierepfade und Arbeitsbedingungen schaffen, um Talente anzuziehen und zu halten. Leichter gesagt als getan: Schließlich fischen sowohl Behörden als auch die Privatwirtschaft im selben Talent-Pool – und das auf globaler Ebene.

Die Kooperation mit spezialisierten IT-Security-Dienstleistern ist daher unverzichtbar, um die Lücken in der Fachkompetenz bei öffentlichen Verwaltungen zu schließen. Diese Dienstleister bringen nicht nur das benötigte Fachwissen und Erfahrungen mit, sondern verfügen auch über die technologischen Ressourcen, um komplexe Sicherheitsanforderungen und die NIS-2-Vorgaben zu erfüllen.

Durch die Auslagerung bestimmter Sicherheitsfunktionen an externe Dienstleister können öffentliche Verwaltungen ihre internen Ressourcen entlasten und sich auf ihre Kernkompetenzen konzentrieren, während gleichzeitig eine kontinuierliche und effektive Sicherheitsüberwachung gewährleistet wird.

Ein proaktiver und ganzheitlicher Ansatz, der sowohl die technische Absicherung als auch die Förderung einer starken Sicherheitskultur umfasst, ist entscheidend für den Erfolg dieser Bemühungen.

Lieber gestern als heute: Behörden müssen sich wappnen

Ein proaktiver und ganzheitlicher Ansatz, der sowohl die technische Absicherung als auch die Förderung einer starken Sicherheitskultur umfasst, ist entscheidend für den Erfolg dieser Bemühungen. Die Zusammenarbeit mit spezialisierten IT-Security-Dienstleistern kann dabei eine Schlüsselrolle spielen, um den Herausforderungen des Fachkräftemangels zu begegnen und eine effektive Umsetzung der NIS-2-Richtlinie zu gewährleisten.

Trotz allem bedeutet NIS-2 für die öffentliche Verwaltung nicht nur eine Herausforderung, sondern auch eine Chance. Es geht zwar in erster Linie darum, die IT-Sicherheitsinfrastruktur zu modernisieren. Aber noch viel wichtiger hierbei ist es, das Vertrauen der Öffentlichkeit in digitale Dienste zu stärken.

Von der Schwierigkeit, nur scheinbar klare Begriffe juristisch zu erfassen

Die Klartext!-Kolumne des Rechtsexperten Wolfgang Bosbach

Der Fall ist ebenso erschreckend wie unbegreiflich – und bei weitem kein Einzelfall. Was die ganze Sache noch dramatischer macht. In den letzten Jahren häuften sich derartige Fälle mit Folgen, die einen in Trauer und Bestürzung sprach- und fassungslos zurücklassen.

Friede, Freude, Politikversagen?

7 Fragen an den Rechtsexperten Wolfgang Bosbach

Das Märchen vom Frieden in Europa hat spätestens seit dem Angriff Russlands auf die Ukraine im Februar 2022 ein bitteres Ende gefunden. Neben Krieg spalten auch Desinformation und Fake News, politischer Extremismus und die zunehmende Schwächung demokratischer Institutionen die Gesellschaft. Vor …

Ist der islamistische Terror wieder da?

Er war nie wirklich weg!

"Immer wieder Moskau" - so titelte die Frankfurter Rundschau in ihrer Ausgabe vom 24. März 2024. Anlass war natürlich der fürchterliche Terroranschlag, der sich wenige Stunden zuvor in einer Konzerthalle nahe Moskau ereignet hatte, mit mehr als 130 Todesopfern (darunter auch Kinder) und mehr als …

Shakehands statt Strafverfolgung

Die neuesten Ratschläge der taz für unsere Justiz

Fast könnte man den Eindruck gewinnen, als sei das Bedauern über die Festnahme von Daniela Klette (heute 65 Jahre alt) in der Redaktion der taz größer als bei der Gesuchten selbst. Der Meldungen der Polizei über den erfolgreichen Zugriff werden von der taz als „Selbstbeweihräucherung" kritisiert und …

14. Beschaffungskongress der Krankenhäuser

6. Berliner Kongress wehrhafte Demokratie

10. Zukunftskongress Staat & Verwaltung

3. ZuKo-THINKTANK: Der kreative Satellit des Zukunftskongresses

25. Beschaffungskonferenz 2024 - Das Original aller Vergabetage

3. Digital Justice Summit

3. ZuKo-Sozialversicherungsforum - Soziale Sicherheit im digitalen Wandel

3. BKK-THINKTANK: Der agile Satellit des Beschaffungskongresses