Was uns der Berliner Stromausfall über die NIS-2-Richtlinie lehrt

Cybersicherheit ist Resilienz-Management. Der kürzliche Stromausfall in Berlin zeigt, wie wichtig vorbeugende Maßnahmen sind. Die NIS-2 liefert das Regelwerk für den Aufbau robuster Organisationen.

Berlin vor einigen Tagen: Plötzlich flackert das Licht und geht aus. Was zunächst wie eine kurze Störung wirkt, entwickelt sich zu einem mehrtägigen Ausnahmezustand: Die Ampeln streiken, die Krankenhäuser schalten auf Notbetrieb um, und das Mobilfunknetz fällt schrittweise aus. Normalität ist plötzlich außer Sichtweite und erinnert uns eindringlich daran, wie wichtig Vorbereitung und Resilienz sind.

Die europäische NIS-2-Richtlinie hat genau dies zum Ziel: Unternehmen resilient machen und robust gegenüber Angriffen aufstellen.

Cybersicherheit ist Resilienz-Management

Die NIS-2-Richtlinie wird häufig als reines „IT-Thema“ missverstanden. Das jüngste Beispiel des Stromausfalls in Berlin beleuchtet jedoch drei Kernpunkte der Richtlinie, die weit über Firewalls, Virenscanner & Co. hinausgehen.

1. Der „All-Hazards“-Ansatz (Gefahren für alles)

NIS-2 fordert Unternehmen dazu auf, sich gegen alle Bedrohungen abzusichern. Ob ein Blackout durch einen Hackerangriff, einen Baggerbiss oder gezielte Sabotage von (Strom-) Leitungen ausgelöst wird, ist für die Compliance zweitrangig. Die Folgen hingegen jedoch weitreichend:

• Kraftwerke: Produzierte Energie kann nicht mehr in die Netze eingespeist und Kunden bereitgestellt werden. Kraftwerke müssen daher heruntergefahren werden. Das Wiederanfahren ist ebenfalls mit Unsicherheiten verbunden und kostet Zeit.
• Krankenhäuser: Patienten müssen evakuiert und umverlegt werden, da die vorhandenen Notstromaggregate nur begrenzt laufen. Operationen können nicht im sicheren Betrieb durchgeführt werden, wodurch eine erhöhte Lebensgefahr besteht. Das Gleiche gilt für Patienten, die beatmet  oder intensivmedizinisch betreut werden.
• Kommunikation: Durch den lang anhaltenden Stromausfall bricht allmählich die Kommunikation zusammen, da Mobilfunkstationen nach längerem Batteriebetrieb ausfallen. Dasselbe passiert mit einzelnen Smartphones und anderen batteriebetriebenen Endgeräten.
• Transport/Verkehr: Tankstellen können aufgrund des Ausfalls von Pumpen keinen Treibstoff abgeben.
• Supermärkte: Die Abrechnung von Käufen ist nicht möglich, verderbliche Ware muss entsorgt werden.
• Privathaushalte: kein Licht, keine Fernseher, keine Kühlung und eventuell keine Heizung

Ein Stromausfall hat einen Kaskadeneffekt zur Folge: Wenn kein Strom vorhanden ist, ist auch keine IT vorhanden, was wiederum die Koordination von Reparaturtrupps mindestens erschwert, wenn nicht gar verhindert.

2. Lieferkette als Abhängigkeitsfalle

In Berlin waren tausende Haushalte und Betriebe betroffen, weil nur zwei zentrale Leitungen beschädigt wurden. NIS-2 nimmt die Lieferkettensicherheit ins Visier. Die Frage für Organisationen: Wie abhängig bin ich von einem einzigen Dienstleister oder einer Leitung? Wer seine kritischen Abhängigkeiten nicht kennt, steht im Ernstfall als Erster im Dunkeln.

Daher müssen Maßnahmen ergriffen werden:

• Schaffung von Resilienzen gegen physische Angriffe (z. B. Brandanschläge, Vandalismus), elektronische Attacken (Hackerangriffe etc.) und / oder höhere Gewalt (Unwetter, Überschwemmungen etc.)
• BCM (Business Continuity Management): Aufrechterhaltung und Wiederherstellung von Geschäftsfunktionen oder Betriebsprozessen bei eingetretenen Krisen, Störungen, oder nach dem ungeplanten Verlust von Werten, wie Infrastruktur, Informationen etc.

3. Die Haftung liegt bei der Geschäftsführung

Wäre der Stromausfall in Berlin ein NIS-2-Szenario für ein Unternehmen stünde das Führungsmanagement unter enormem Druck. Die Richtlinie verlangt, dass die Geschäftsführung nicht nur Risikomanagement-Maßnahmen absegnet, sondern auch deren Umsetzung aktiv überwacht. Ebenfalls wichtig dabei ist, die physische Sicherheit neben der digitalen nicht aus den Augen zu verlieren. Wer die Baupläne von Stromleitungen nicht digital schützt, liefert Saboteuren die Karte für einen physischen Angriff.

Fazit

Bei mangelnder Vorsorge - beispielsweise fehlenden Notstromkonzepten oder einer unzureichenden Risikoanalyse der Zuleitungen - haften Entscheider heute deutlich schneller persönlich. Um Risiken überhaupt zu erkennen, braucht das Führungsmanagement die entsprechenden Kompetenzen. Die NIS2-Richtlinie fordert daher explizit die Schulung der Geschäftsleitungen, damit Risikomanagement-Maßnahmen tatsächlich überwacht und gesteuert werden können und die Verantwortung für die Sicherheit nicht nur delegiert wird.

Was wir aus dem Stormausfall lernen können

Der Stromausfall kann Ihnen als Beispiel dienen, um die blinden Flecken der eigenen Unternehmenssicherheit aufzudecken. NIS-2 ist kein bürokratisches Monster, sondern das in Gesetz gegossene Bestreben, genau solche Kaskadeneffekte zu verhindern oder zumindest abzufedern.

Maßnahmen, die Sie in Ihrem Unternehmen durchführen sollten

1. Führen Sie ein Risikoanalyse durch und prüfen Sie Ihre physischen Abhängigkeiten (Strom, Wasser, Internet).
2. Konzipieren und etablieren Sie Notfallpläne. Testen Sie Ihre Pläne unter Realbedingungen. Zum Besispiel: Was passiert, wenn die IT 24 Stunden offline ist?
3. Schulungen und Unterweisungen: Sensibilisieren Sie Ihr Management für die Haftungsrisiken bei Infrastrukturausfällen mit entsprechenden Schulungen.

Wir sind Ihr Ansprechpartner für IT-Sicherheit

Ist Ihr Unternehmen bereit für den „Tag X”? Die Vorbereitungszeit läuft, und die NIS-2 liefert das Regelwerk, damit in Ihrem Betrieb das Licht anbleibt, wenn es um Sie herum dunkel wird. Selbstverständlich stehen wir für die notwendigen Tätigkeiten zur Umsetzung der Richtlinie sowohl beratend, als auch mit unseren Softwarelösungen zu Ihrer Verfügung.

Im Bereich der Beratung begleiten und unterstützen wir Sie beim Aufbau eines Informationssicherheitssystems (ISMS, ISO 27001) mit unserem praxisorientierten Ansatz. Zudem stellen wir Ihnen, auch gerne unabhängig unserer Beratungsleistung, unser IT-Sicherheitstool EDIRA zur Verfügung. Mit EDIRA etablieren Sie Ihr ISMS anhand von Vorlagen, lernen aus best Practices und bewerten Risiken strukturiert.