Informationssicherheitsberatung

Orchestrierung aller Sicherheitsbelange

Von Christian Raum · 2024

Mit der Umsetzung der NIS-2-Richtlinie muss das Topmanagement damit rechnen, dass seine persönliche Haftung deutlich verschärft wird. Geschäftsführer hoffen mit einem Wechsel der IT-Landschaften in die Cloud-Systeme ein Rundum-sorglos-Paket für Datenübertragung und Compliance, für Cybersecurity und den sicheren Betrieb der Software zu erhalten.

Ein Wolkensymbol schwebt über einer Festplatte
Clouds sind eine Dienstleistung, mit der die Anbieter lediglich einige genau definierte Problembereiche abdecken. Foto: iStock / pingingz

Die meisten Unternehmen und Organisationen in Deutschland haben inzwischen einen oder mehrere Angriffe von Cyberkriminellen erlitten. Auf deren Leitungsebenen konnten einige Personen die Erfahrung machen, dass sie in die persönliche Haftung genommen werden, falls sie ihre organisationsspezifischen Pflichten schuldhaft verletzt hatten. Allerdings ist umstritten, so bestätigen es auch Anwaltskanzleien, wann genau und in welchem Umfang die Absicherung einer angemessenen Informationssicherheit der Leitungsebene obliegt. 

Seitens der Kanzleien wird aber sehr deutlich darauf hingewiesen, dass sich mit der Umsetzung der NIS-2-Richtlinie diese Einschätzung und auch die Rechtsprechung ändern werden. Mit der Verabschiedung im Oktober dieses Jahres muss das für Cybersicherheit verantwortliche Topmanagement damit rechnen, dass seine persönliche Haftung deutlich verschärft wird. Parallel dazu wird sein Aufgabenbereich ausgedehnt: Es wird Teil seiner Pflichten, Maßnahmen persönlich zu billigen, die Implementierung zu begleiten und zu überwachen. Die Delegation ist nicht möglich. 

Cloud-Angebote: Risiko oder Chance?

Aber mit dem Blick auf die gesamte IT-Landschaft eines Unternehmens können die Sicherheitsexpertinnen und -experten Vorschläge für eine umfassende IT-Sicherheit entwickeln und verwirklichen. Dabei geht es um eine große Zahl von Maßnahmen, Prozessänderungen, Vorgaben zum Archivieren, Speichern und Löschen von Dateien und Dokumenten. Die sind in unterschiedlichsten Gesetzen, Richtlinien und Vorgaben festgeschrieben. Ohne Frage ist es wichtig, dass mit Blick auf diese staatlichen Vorgaben alle Teile als Gesamtheit orchestriert werden.

Jetzt hoffen Geschäftsführer mit einem Wechsel der IT-Landschaften in die Cloud-Systeme ein Rundum-sorglos-Paket für Datenübertragung und Compliance, für Cybersecurity und den sicheren Betrieb der Software zu erhalten. 

Informationssicherheitsberatung: Cloud-Dienste sorgfältig prüfen

Doch auch hier ist Sorgfalt gefragt. Denn auch Cloud-Angebote sind lediglich eine Dienstleistung, mit der die Anbieter für ihre Kunden nur bestimmte Teile ihrer Probleme lösen. Und den Cyberverantwortlichen ist geraten, Verträge, Geschäftsbedingungen und Kleingedrucktes aufmerksam zu lesen. In den Unternehmen muss eine Risikoprüfung stattfinden, wie die Leistungen aus der Cloud in die Gesamtorchestrierung passen. Inwieweit darf das Geschäft von einem einzelnen Cloud-Anbieter abhängig sein – und was bedeutet diese Abhängigkeit, wenn etwas nicht funktioniert? Wie lange können Kolleginnen und Kollegen weiter arbeiten, wenn die Verbindungen zum Cloud-Rechenzentrum unterbrochen sind? Und gibt es einen Plan B, wenn die Cloud-Anbieter selbst Opfer einer Hackerattacke werden?

Kosten für KI sind nicht kalkulierbar

Mit der Nutzung der Cloud werden die Anwender und Chefetagen auch mit KI-Anwendungen konfrontiert. Wichtige Fragen rund um die neuen Technologien – Wie hoch sind die Kosten? Wie groß ist der mögliche Geschäftserfolg? – lassen sich im Moment nicht beantworten. Dafür stehen in den Verträgen häufig Nutzungsbedingungen, die in den Unternehmensführungen wenigstens Bauchschmerzen auslösen können: Wer Daten und Dokumente in der Cloud speichert, erklärt sich laut Geschäftsbedingungen und Kleingedrucktem vieler Anbieter damit einverstanden, dass Datensätze, Rechnungsbelege oder auch Bilder für das Trainieren der Künstlichen Intelligenz genutzt werden. Wer damit nicht einverstanden ist, sollte dies sehr klar sagen oder den Anbieter wechseln.

Quellen:
AlgorithmWatch: Stellungnahme zur nationalen Umsetzung der KI-Verordnung
OpenKRITIS: Meldepflichten
Plattform Lernende Systeme: Nachgefragt zu KI: Generative KI | Wohin geht die Reise?

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)