In Folge 20 von Carsten’s Corner ist Ralph Freude vom TÜV Rheinland Cert GmbH zu Gast – Auditor, Netzwerkprofi und einer der führenden Experten für Informationssicherheitsmanagement in Deutschland.
Gemeinsam sprechen Carsten und Ralph über die massive Bedeutung von ISO 27001 in den letzten Jahren, den wachsenden Druck durch Cybercrime und die Auswirkungen von KRITIS und NIS2 auf Unternehmen.
Ralph gibt tiefe Einblicke aus über 1.000 zertifizierten Kundenprojekten, teilt typische Umsetzungsfehler, erklärt, warum viele ISMS unnötig kompliziert gebaut werden – und warum Tool-Unterstützung kein Luxus, sondern Notwendigkeit ist.
Außerdem geht es um:
Eine Folge mit Klartext, Praxisbeispielen und einem deutlichen Appell: Jetzt handeln – nicht erst, wenn der Kunde oder das Gesetz Druck macht.
NIS2-Betroffenheit prüfen & Gap-Analyse nutzen
Während der Episode verweist Ralph auf zwei konkrete Ressourcen für Unternehmen, die klären möchten, ob sie von NIS2 betroffen sind – und wie groß ihr Handlungsbedarf ist:
1. Offizielle NIS2-Betroffenheitsprüfung des BSI
Hier kannst du prüfen, ob dein Unternehmen unter die NIS2-Regulierung fällt.
2. TÜV Rheinland NIS2 Gap-Analyse
Mit dieser Analyse kannst du prüfen, wie groß das Delta zwischen deinem aktuellen ISMS (z. B. ISO 27001) und NIS2 ist.
Show Notes:
00:00 – Intro & Vorstellung von Ralph Freude (TÜV Rheinland)
01:15 – 15.000 zertifizierte Kunden: Einblick in die IT-Zertifizierungswelt
05:09 – Warum ISO 27001 heute Wachstumstreiber ist
08:32 – Typische Fehler bei der ISMS-Umsetzung
10:21 – Was Unternehmen am schwersten fällt (Klassifizierung, Tools, Owner)
13:03 – Risikomanagement: Keep it simple
13:45 – Lustige & lehrreiche Audit-Anekdoten16:42 – Frühzeitig starten statt Zertifizierung „durchdrücken“
18:25 – NIS2: 30.000 betroffene Unternehmen in Deutschland?
19:32 – Unterschied: ISO 27001 vs. KRITIS vs. NIS2
22:39 – Geschäftsführer-Haftung & 2%-Strafen
24:13 – Wie viel Mehraufwand bedeutet NIS2 bei bestehender 27001?
27:48 – Das neue Berufsbild des CISO29:54 – Weiterbildung & Ressourcen-Tipps
Möchtest du Gast bei Carsten’s Corner werden oder hast du eine Frage an Carsten? Dann melde dich über das Kontaktformular!
Vollständiges Transkript:
Carsten Behrens
Ja, herzlich willkommen zur nächsten Carsten-Corner-Folge. Heute haben wir zu Gast Ralf Freude von der TÜV Rheinland Zertifizierungsgesellschaft mit dem Schwerpunkt ISO 27001 NIS 2., KRITIS. Also es geht Informationsmanagement-Systeme. Und er ist ein absolutes Schwergewicht in diesem Themenfeld und ich freue mich auf den Tag heute, um wirklich Insights zu bekommen und auch die Unterschiede zu verstehen und die Herangehensweisen, typische Fehler und Tipps zu erfahren. Ich freue mich.
Carsten Behrens
Ja, ganz herzlich willkommen Ralf in Carsten's Corners. Freut mich, dass wir dich gewinnen konnten, hier zu uns zu kommen. Du bist ja sozusagen ein Schwergewicht im Informationssicherheitsmanagement und zufällig sogar auch aus Aachen. Das heißt, auch du hattest eine kurze Anreise hier zu uns ins Studio. Herzlich willkommen.
Ralph Freude
Ja, vielen Dank, Carsten.
Carsten Behrens
Ja, vielleicht erst mal so als Start: Was ist eigentlich deine Aufgabe beim TÜV Rheinland? Was ist deine Bezeichnung sozusagen? Und vielleicht auch, wie viel Kunden betreut ihr da eigentlich so?
Ralph Freude
Ja, fange ich mal mit den Kunden an. Also ich vertrete die Zertifizierunggesellschaft des TÜV Rheinlands. Wir haben circa 15.000 Kunden, die zertifiziert sind und ich bin zuständig für IT-Teams, nennt man das, also die IT-Sparte, die ich in den letzten 15 Jahren aufgebaut habe und da haben wir ungefähr 1000 zertifizierte Kunden jetzt.
Carsten Behrens
Das ist schon ganz ordentlich. Du hast ja, glaube ich, einen sehr, sehr breiten Einblick in den Markt und was sich da bewegt, sowohl auf Anforderungsseite, als auch was sich in den Unternehmen bewegt. Wie funktioniert bei euch die Akquise? Wie kommt ihr an die Kontakte? Wie kommt ihr in dieses wahnsinnig breite Netzwerk und diese Kundschaft?
Ralph Freude
Ja, du hast mir eben zwei Fragen gestellt. Dann tue ich jetzt die zweite Frage noch beantworten und die dann direkt mit. Also die Aufgabe von mir ist, so ein Headhunter hat das mal schön beschrieben. Der hat gesagt, der Ralf Freude ist so ein freies Radikal im TÜV Rheinland. Das gefällt mir nämlich recht gut. Ich habe nämlich eine Zeit lang beim TÜV Rheinland, war ich Geschäftsführer und habe gedacht, das ist toll, da kannst du alles selbst entscheiden, aber habe dann festgestellt, dann siehst du kaum noch deine Kunden. Und ich sage mal, mein Naturell ist eigentlich, mit Menschen umzugehen und deshalb habe ich mich dann relativ schnell danach gesehnt, wieder an die Front zu kommen sozusagen. Und meine Aufgabe ist eigentlich Netzwerk und Marketing, Großkundenbetreuung und ich bin selber auch Auditor in sechs Standards und habe mir ein großes Netzwerk in den letzten 15, 20 Jahren aufgebaut. Und witzigerweise, gestern habe ich bei LinkedIn die 25.000-follower-marker überschritten.
Carsten Behrens
Wahnsinn.
Ralph Freude
Das ist natürlich toll. Das heißt, über LinkedIn kommen wirklich relativ viele Anfragen. Ich poste immer so die Zertifikatsübergaben. Da freuen sich die Kunden und ich freue mich auch, wenn der Wettbewerber vom Kunden das sieht und denkt: „Oh, die sind jetzt zertifiziert. Da muss ich mich auch mal beim Ralph Freude melden. Und natürlich, wo wir sehr von profitieren, ist ungefähr 85% unserer Auditoren sind externe Auditoren, die schon lange mit uns zusammenarbeiten. Und diese externen Auditoren, das sind auch Berater. Natürlich nicht beim gleichen Kunden. Das wäre natürlich ein Erfolgsmodell, aber das darf natürlich nicht. Aber wenn die jetzt einen Kunden beraten und natürlich eine Affinität zum TÜV Rheinland haben, dann empfehlen die uns auch. Und das ist eigentlich ein geniales System. Und oft, wenn man mit Externen zusammenarbeitet, dann ist immer so die Frage: „Wie wird der Kuchen aufgeteilt? Und dann gibt es natürlich oft auch Streiten. Das ist das Tolle in meinem Metier: Der eine darf nur beraten, der andere darf nur zertifizieren und von daher ist das ein Erfolgsmodell. Wir haben ungefähr 170, 200 externe Berater, die mit uns zusammenarbeiten und das funktioniert hervorragend.
Carsten Behrens
Ja, sehr gut. So wie ich dich kennengelernt habe, bist du auch einfach sehr, sehr stark darin, Beziehungen zu pflegen und wirklich auch nah am Menschen zu sein und zu bleiben. Und das ist, glaube ich, auch ein Bestandteil des persönlichen Erfolgsmodell von dir als Person.
Ralph Freude
So ist es etwas. Das stimmt.
Carsten Behrens
Genau. Und du bist Auditor in sechs Themenfeldern, sage ich mal. Magst du ja mal kurz sagen, was …
Ralph Freude
Ja, klar. Also das ist einmal 27001, Informationssicherheit, dann Business Continuity Management, ISO 22301, dann ISO 9001, euer Steckenpferd, Qualitätsmanagement. Dann bin ich auch Kritis-Auditor und mache auch noch Rechenzentrumsprüfungen. Da gibt es zwei Normen, die EN50600 und die ISO 22237, die sich sehr ähneln. Das sind so diese Standard, wenn ich da noch zukomme.
Carsten Behrens
Ja, genau, glaube ich.
Ralph Freude
Aber die Aachener Unternehmen auditiere ich ja besonders gerne und davon hast du ja mit deinem Unternehmen auch profitiert. Ist natürlich auch schön, wenn man eine Anreise hat von 15 Minuten anstatt von drei Stunden.
Carsten Behrens
Genau, sind also auch zertifiziert nach 27001, eines von euch. Genau. Das Thema ISMS hat sich ja wahnsinnig gewandelt die letzten Jahre. Ich denke, ein starker Treiber ist wahrscheinlich auch die starke Zunahme an Cybercrime. Aber wie würdest du es aus deiner Sicht beschreiben? Wie hat sich das Thema „ISMS in den letzten Jahren verändert, sowohl normativ als auch in der realen Umsetzung?
Ralph Freude
Ja, wo man mich vor 14 Jahren gebeten hat, diesen Bereich aufzubauen, da sagt der damalige Geschäftsführer ISO 27001: „Das braucht doch kein Mensch. Dieser Satz, der geht mir nicht aus dem Kopf und heute sind wir innerhalb unserer Gesellschaft der größte Wachstumstreiber. Also das hat sich unheimlich geändert in den letzten Jahren. In den ersten Jahren war es eher so nice-to-have. Es gab auch noch keinen gesetzlichen Druck. Der hat sich direkt stark dadurch geändert durch Kritis und jetzt natürlich demnächst NIS2. Dann haftet natürlich ein Geschäftsführer und Vorstand auch, wenn er Themen vernachlässigt hat in Richtung Informationssicherheit und Risiko Management. Und natürlich, es vergeht ja keinen Tag, wo irgendwas in der Presse steht, dass irgendjemand gehackt worden ist. Und was hat das zur Folge? Wenn das öffentlich wird, hat man echt ein Reputationsproblem, weil wenn man dann den Firmennamen bei Google eingibt, dann kommt immer als erstes der aktuelle Sicherheitsvorfall und das möchte keiner haben. Mal abgesehen davon, wenn es auch so ist, dass die Firma richtig lahmgelegt wird. Wir haben in Aachen ein Unternehmen, die da sehr offen mit umgegangen sind, das auch gut bewältigt haben. Ich kenne die persönlich. Ich nenne sie jetzt nicht beim Namen, obwohl es irgendwo auch, dass man es googeln könnte.
Das ist schon sehr, sehr kritisch und die waren in sechs Wochen offline, haben sehr gut reagiert, waren ein Kritis Kunde und hat entsprechend auch Notfallpläne gehabt, aber das kann schon sehr dramatisch sein und das ist, denke ich, eine Gefahr. Das Problem ist natürlich, im Moment ist in Deutschland die Wirtschaftslage nicht so gut und es gibt halt Themen, da wird schon mal gespart und das ist auch manchmal die Informationssicherheit dann leider.
Carsten Behrens
Ja, das heißt, es hat massiv an Bedeutung gewonnen, nicht zuletzt durch Cybercrime und die entsprechenden Vorfälle, aber die Anforderungsdynamik hat auch stark zugenommen und auch die Tiefe der Anforderungen. Also es sind deutlich mehr Anforderungen, die man berücksichtigen muss, wenn man jetzt ein Informationssicherheitsmanagementsystem umsetzen möchte.
Ralph Freude
Ich kann mal ein schönes Beispiel machen. Ich hatte vor einem Jahr eine Anfrage von einem Reisebüro, 15 Mitarbeiter. Da habe ich gedacht, warum lassen die sich jetzt 27001 zertifizieren? Das ist ganz einfach. Das war ein Reisebüro, die für Volkswagen gearbeitet haben und da hat Volkswagen als Kunde gesagt, wir möchten haben, dass ihr 27001 zertifiziert seid, weil wenn unsere Kundendaten, die bei euch sind, die haben die Reisen gebucht, verloren gehen, dann heißt es ja nicht, Reisebüro Schmidt Meier hatte einen Sicherheitsvorfall, sondern Volkswagen. Und das möchte keiner haben in so sowohl, dass die Daten natürlich verloren gehen, als auch den Reputationsschaden. Und das heißt, dass viele große Kunden in ihrem Lieferantenmanagement bei kritischen Lieferanten, also die Daten haben oder die wichtig sind für die Supply Chain, dann oft von denen fordern, dass sie gewisse Zertifizierungen vorweisen müssen.
Carsten Behrens
Ja, klar. Jetzt siehst du natürlich wahnsinnig viele ISMS-Systeme und siehst wahrscheinlich auch, womit tun sich die Unternehmen schwer in der Umsetzung? Was machen sie vielleicht überflüssig, wo man sagt, das hätte eigentlich viel einfacher gestalten können? Vielleicht magst du da so ein bisschen deine Erfahrungswerte weitergeben. Was sind so die Learnings, die du vielleicht über alle Kunden sozusagen an die Zuhörer weitergeben kannst in den Punkten?
Ralph Freude
Ja, da könnte ich natürlich ein Buch drüber schreiben. Ich versuche mal mit den Gängigsten anzufangen. Oft ist es so, man muss mal sagen, vielleicht zur Erläuterung, die 27001, die ja die Gängigste Norm ist zu diesem Thema Informationssicherheit, die fordert ja nur das Was. Das Wie bestimmt der Kunde selbst. Er könnte rein theoretisch auch auf Kloppapier Verfahrensanweisungen schreiben, da könnte man nichts sagen. Ich überspitze das natürlich jetzt etwas. Und da ist oft eine Gefahr, dass diejenigen, die sich stark mit dem Thema beschäftigen, teilweise zu viel fordern, mehr als die Norm. Das heißt, sie haben Verfahrensanweisungen, wo gewisse Dinge vorgegeben sind und die Mitarbeiter halten sich nicht daran. Und dann sind wir im Audit und fragen: „Warum macht ihr das denn so kompliziert? Es steht ja in der Normforderung gar nicht so streng da drin. Ihr dürft das wieder selber gestalten. Und das ist natürlich immer so ein bisschen, dass diejenigen, die sich mit dem Thema beschäftigen, sind natürlich die Fachleute und vergessen einfach so den Einfachen, der halt gar nichts mit IT und Informationssicherheit zu tun hat. Den muss man aber mitnehmen, weil ich kann zig Beispiele nennen, wo da nämlich die Gefahren lauern.
Carsten Behrens
Ja. Was sind so die größten … Also was fällt dem Unternehmen am schwersten umzusetzen? Kannst du das beschreiben? Welche Normforderungen oder welche Aspekte am schwersten? Womit die sich am schwersten um?
Ralph Freude
Ja, also am schwersten ist immer, wenn man keine Tools hat. Wenn also etwas händisch gepflegt wird, das geht immer schief. Also der Mensch ist die Schwachstätte sozusagen. Also deshalb empfehle ich auch wirklich, jedem das Tool gestützt zu machen. Ihr bietet so was ja auch an. Viele haben auch andere Systeme, aber auf jeden Fall, das würde ich sehr, sehr unterstützen. Und ich sage mal, das Thema Klassifizierung ist ein wichtiger Punkt. Das heißt, welche Daten im Unternehmen habe ich denn, die schützenwert sind? Da muss ich natürlich erst mal ein Asset Management haben, dass ich das überhaupt weiß. Und das kann ja alles Mögliche sein. Das kann ein Kopfmonopol von einem Mitarbeiter sein, das kann ein Notebook sein, das können Eintrittstore sein, das kann alles möglich sein. Die muss ich erst mal ordnen und dann muss ich sagen: Was ist denn schützenswert? Und dann muss ich natürlich da auch meinen Schwerpunkt drauf legen. Und ich mache mal so ein schönes Beispiel. Wenn man jetzt zum Beispiel sagt, auch E-Mails können kritisch sein. Also ist schon mal gut, wenn sie verschlüsselt sind immer, wenn sie zum Kunden gehen, aber wenn man auch sagt, die müssen auch klassifiziert werden, ich sage mal, in vertraulich und nicht vertraulich und du verlangst jetzt von den Mitarbeitern, sie sollen das ins E-Mail reinschreiben oder ins Dokument.
Ralph Freude
Das macht kein Mensch. Dafür ist der Mensch zu schwach, sondern dann muss ich, wenn ich jetzt ein E-Mail verschicke, eigentlich automatisch die Frage kriegen, "klassifiziere?" Und ohne das kann ich es nicht wegschicken. Das ist so ein schönes Beispiel dafür. Bei anderen Punkten, wo man sich auch schwertut, ist, man sollte im Management sogenannte Owner definieren, also Verantwortliche. Das kann nicht alles der CISO oder der Informationssicherheitsbeauftragte machen, sondern in den einzelnen Bereichen müssen Leute sein, die ihre Verfahrensweisungen selber schreiben und dadurch auch sicherstellen, dass sie auch einhalten. Und was dann ganz wichtig ist, ist, dann nehme ich mal so ein Beispiel von früher, wo es noch keinen Google Maps gab. Man hat dann Radio gehört und hat dann Ansagen bekommen, wo der Stau ist, aber den Stau abgemeldet hat fast niemand. Aber die Leute sind dann drumherum gefahren und so ist es auch ein bisschen im Management-System. Es wird viel geschrieben und geschrieben, an was man sich alles halten soll. Aber im Laufe der Zeit verändern sich da Themen. Da muss man manches auch mal in Frage stellen: Ist das denn überhaupt noch sinnvoll und wichtig?
Carsten Behrens
Was unsere Erfahrung auch häufig ein Punkt ist, ist: Wie schaffe ich es, eine geeignete Risikobewertung zu machen? Dass ich nicht alles, was ich vor die Flinte bekomme, mit gleicher Wichtigkeit betrachte, sondern wirklich da eine Priorität reinkriege: Wo kümmere ich mich am meisten drum? Und dieses Risikomanagement oder diese Risikobetrachtung, sagen wir mal, irgendwie handhabbar zu machen, dass die auch über Zeit gut gepflegt werden kann, das ist etwas, wo sich unsere Kunden durchaus häufiger schwertun. Vielleicht kannst du das auch nachvollziehen.
Ralph Freude
Ja, da gilt auf jeden Fall das Aldi-Prinzip Keep it simple, weil nur was, was leicht zu bearbeiten ist oder was zu managen ist, das kann auch am Leben erhalten werden. Es gibt ja schöne Normen dafür. Ich glaube, die ISO 31000 ist ja so eine Risikomanagement-Norm, da sich viele nach richten. Da gibt es verschiedene. Aber wichtig ist, dass man das handeln kann und dass die Betroffenen, die vom Risiko betroffen werden, dass die auch das Risiko bewerten und managen und nicht der CISO für alle oder der Risikomanager.
Carsten Behrens
Ja, ganz genau. Jetzt, ich verbinde dich ja automatisch mit Storytelling. Das ist das, was ich mit dir ganz stark auch verbinde. Und du hast bestimmt auch schon viele witzige Sachen erlebt in Audits, oder? Dann hast du da ein, zwei Beispiele für uns?
Ralph Freude
Ja, da habe ich lustige Beispiele. Ja, da habe ich lustige Beispiele.
Carsten Behrens
Also du kannst wahrscheinlich auch da ein Buch füllen.
Ralph Freude
Da könnte ich auch ein Buch füllen, aber ich erzähle mal die lustigsten Stories. Also einmal habe ich im Rechenzentrum geschaut, inwieweit da sind so Fühler unten und die Fühler sind auch unter Platten und mit Ketten müssen die verbunden sein, damit die nicht vertauscht werden von den Nummern. Da habe ich gesagt: „Lass uns mal gucken, ob das denn auch mit einer Kette verbunden ist und ob die Nummer stimmt und so. Da hat er diese Platte hochgekommen und da war da unten ein halber Bierkasten drin, weil da unten im Boden war es kalt. Da musste ich schon sehr lachen. Das hatte ja jetzt keine gravierenden Auswirkungen für die Informationssicherheit, aber das war auf jeden Fall was Lustiges. Der Rechenzentrumsleiter fand das nicht witzig. Ein sehr schönes Beispiel ist auch, was ich mal getestet habe, ist, es wird oft zu mir gesagt: „Herr Freude, hier kommen Sie physisch nicht rein. Das schaffen Sie nie. Und da war ein Rechenzentrumsbetreiber, der das auch gesagt hat und dann waren wir abends essen und dann habe ich ihn gefragt: „Soll ich denn jetzt mal gucken, ob ich ins Rechenzentrum reinkomme? Und dann meinte er: „Wie wollen Sie das denn schaffen? „soll ich es mal probieren? Dann meinte er: „Ist das denn jetzt Gegenstand des Audits? Da habe ich gesagt: „Nein, kommen Sie. Es ist ja abends. Wir sind nicht beim Audit, aber ich versuche es jetzt mal. Und dann bin ich reingestürmt zum Pförtner, habe die Visitenkarte vom Rechenzentrumschef genommen, habe gesagt: „Ich bin der Herr Schmidtmaier. Den Namen sage ich natürlich jetzt nicht. Ich habe meinen Schlüssel liegen lassen. Ich muss mal schnell hoch. Können Sie mir mal kurz den Schlüssel geben, bitte? Und der war so verdutzt. Das war ein Nacht Pförtner und der sah den sonst nicht und hat mir dann den Schlüssel gegeben, ohne meinen Ausweis zu kontrollieren, ohne ins Buch zu gucken, wer es überhaupt darf und hat mir den gegeben. Da hätte ich alles Mögliche anstellen können. Oder auch zum Beispiel die natürliche Scheue von Menschen ausnutzen. Also zum Beispiel, wenn ich jetzt an der Türe stehe und nehme mein Telefon ans Ohr und schreie dann richtig laut da rein, als ob ich einen Streit habe mit jemandem und einer macht die Tür auf, der Mensch hat eine natürliche Scheu dann, wenn ich dann reingehe, einen zu unterbrechen. Und das sind so Themen, die kann man dann ausnutzen.
Das Allerhärteste, was ich mal fand, was ein Kunde zu mir gesagt hat, war, da waren wir im Audit und da fiel der Strom aus und da guckt er mich an und sagt da ernsthaft: „Herr Freude, sagen Sie mal, stecken Sie dahinter und wollen Sie unser BCM, also Business Continuity Management, testen? Und da habe ich gedacht: „Also was so Kunden allen alles dem Partnern zutrauen, das ist schon einmal hart. Ich könnte auch ganz viele Geschichten erzählen, aber ich würde, glaube ich, den Rahmen sprengen.
Carsten Behrens
Ja, vielen Dank. Vielleicht noch mal wieder ein bisschen ins Ernstere zurück. Als Zertifizierer habt ihr wahrscheinlich so einen generellen Tipp im Sinne von, wenn unsere Kunden das und das einfach frühzeitig klären würden, dann würden wir uns alle die Arbeit leichter machen. Was ist das so? Was würdest du den Kunden mitgeben? Spreche doch frühzeitig mal das und das an oder komm frühzeitig mit dem und dem Punkt schon mal auf uns zu. Gibt es da etwas, was du den Leuten mitgeben kannst?
Ralph Freude
Ja, also das Allerwichtigste ist, beschäftige dich mit Informationssicherheit nicht erst, wenn der Kunde oder das Gesetz verabschiedet wird und du hast dann nur noch ein paar Monate Zeit. Also ich habe Beispiele, wo Kunden, Lieferanten von OEMs, also von großen Automobilzuliefern, eine Zertifizierung brauchten und alle aus dem Urlaub zurückgeholt haben und dann innerhalb von drei, vier Monaten so ein SMS aufbauen mussten. Das macht keinen Spaß und es kann auch nicht Qualitätsarbeit sein. Das andere ist, wenn man nur wenig Budget hat, was ich jetzt in den letzten Audits auch mal erlebt habe, ist, dass man so fertige Verfahrensanweisungen kauft aus dem Internet und dann einfach da nur seinen Namen reinsetzt. Einer hatte sogar im Audit noch an einer Stelle Max Mustermann drinstehen. Das ist natürlich auch ganz schlecht. Also wichtig ist eigentlich, dass man erst mal nicht sagt: „Ich möchte mich zertifizieren lassen, sondern einfach sagt: „Ich möchte wissen, wo in meinem Unternehmen die Risiken sind und ich möchte diese schützen. Das braucht halt Zeit. Zeit, Budget und Management Attention. Also Wenn jetzt ein Geschäftsführer, ich sage mal, früher war das noch mehr der Fall, jetzt wird das immer weniger, einfach jetzt eine Kundenanforderung bekommen für eine Zertifizierung und will eigentlich nur die Zertifizierung bestehen, damit der Kunde befriedigt ist, aber kümmert sich gar nicht das Management. Das ist eine Katastrophe. Und Überforderung, muss man auch sagen, wenn man also Leute, die eigentlich einen festen Job hat, sagt: „Macht das mal nebenbei. Das funktioniert auch einfach nicht.
Carsten Behrens
Ja. Wie würdest du sagen, wie entwickelt sich im Moment der ISMS-Markt beziehungsweise was kommt da im Moment in den nächsten Monaten, Jahren auf uns zu? Gibt es da Neuigkeiten, Neuerungen, auf die wir einen Blick drauf werfen sollten?
Ralph Freude
Ja, also ich sage mal, die NIS2-Richtlinie ist ja eine europäische Norm. Die ist ja schon längst verabschiedet worden. Also 23 Länder in Europa wird ja jetzt Strafe angedroht, weil sie den Zeitpunkt verpasst haben, es einzusetzen. Also umzusetzen das Gesetz. Belgien, Kroatien und Italien, die haben es zeitgerecht umgesetzt, alle anderen Länder nicht. Und nun gibt es ja, man schätzt, 30.000 Unternehmen, die betroffen sind. Macht mir richtig Angst, wenn ich … Also einerseits toll für uns, wenn viele sich davon auch zertifizieren lassen wollen, was nicht eine Verpflichtung bei NIS2 ist, was aber Sinn macht, kommen wir vielleicht später noch zu. Da muss ich sagen, man schätzt 30.000 Unternehmen allein in Deutschland und viele haben noch gar nichts gemacht in die Richtung. Also ich schätze mal so, wenn es einen Umsetzungsgrad von 50% gibt, dann wäre es viel.
Carsten Behrens
Ja. Vielleicht beschreibst du noch mal, was ist der Unterschied zwischen NIS2 und 27001 ist und was der Was der Hintergrund ist. Vielleicht gibst du uns da noch mal ein paar Einblicke.
Ralph Freude
Ich würde direkt Kritis noch hinzuziehen, wenn du einverstanden bist. 27001 ist eine internationale ISO-Norm, die freiwillig man machen kann beziehungsweise oft wird sie von Kunden gefordert. Kritis ist ein Gesetz für kritische Infrastruktur. Da sind so ungefähr 2.000 Firmen in Deutschland druntergefallen und NIS2 ist jetzt ein europäisches Sicherheitsgesetz, wo man die Sicherheitsgesetze anpassen will. Und da, sage ich mal, sind wichtige Unternehmen betroffen. Man unterscheidet zwischen wichtigen Unternehmen und besonders wichtigen Unternehmen. Um mal ein Beispiel zu machen: Trinkwasser ist von der Kritikalität sehr wichtig Lebensmittel ist wichtig. Wenn du mich jetzt fragst, warum ist das so gemacht worden? Ich habe mal drüber nachgedacht. Das hat damit zu tun: Trinkwasser, Wasser brauchen wir und wenn es verseucht wäre, hätten wir ein riesen Problem. Bei Lebensmitteln ist ja unwahrscheinlich, dass alle Lebensmittel auf einmal verseucht sind, sodass man ja sich noch ernähren könnte. Und ich glaube, ich habe mal gelesen, ohne Wasser kann man wesentlich weniger lang überleben wie ohne Essen. Ich kann es nur mal so versuchen, so herzuleiten. Bei kritischer Infrastruktur, da war es so, ich nehme mal an, Flughäfen. Ja, große Flughäfen waren und vielen da drunter, der Hamburger Flughafen zum Beispiel damals nicht, weil der zu klein war. Was ich persönlich jetzt nicht unbedingt verstanden habe, weil in der Region ist der ja recht wichtig, aber ich bin ja nicht der Gesetzgeber.
Carsten Behrens
Ja. Wie kriege ich denn raus, ob ich Kritis-relevant bin beziehungsweise ob ich NIS2 relevant bin? Wie nährt man sich dem Thema?
Ralph Freude
Also bei beidem muss man sich mit dem BSI auseinandersetzen, Bundesamt für Sicherheit und Informationstechnik. Jetzt für Kritis ist es ja schon gelaufen. Also die Unternehmen wissen, wer da betroffen war. Jetzt ist ja gerade die NIS2-Richtlinie verabschiedet worden. Da gibt es ein Tool, wo man das beim BSI nachschauen kann, dass man ausfüllen kann. Man kann aber erst mal sagen, grob ab 50 Mitarbeiter und 10 Millionen Euro Umsatz. Beide Faktoren müssen zutreffen. Dann ist man auf jeden Fall betroffen, wenn man dann unter NIS2 fällt. Es gibt aber auch so einen Fragebogen, den man durchgehen muss und ich würde jedem empfehlen, diesen Fragebogen beim BSI. Wir können den Link vielleicht mitverteilen. Den hängen unten drunter. Und es ist aber auch so, man sollte sich vielleicht auch rechtlichen Beistand nehmen, weil das ist nicht so ganz einfach zu beurteilen. Es kann auch sein, dass man ein kleines Unternehmen ist mit einer wichtigen Funktion. Wir haben zum Beispiel eben Trinkwasser ja genommen als Branche. Wenn ich jetzt ein IT-Dienstleister bin für Trinkwasserunternehmen oder für das Government, dann kann durchaus sein, wenn ich nur zehn Mitarbeiter habe, dass ich betroffen bin. Also das ist schon kompliziert, das herauszufinden.
Carsten Behrens
Würdest du sagen, dass es viele Unternehmen noch übersehen oder unterschätzen, dass sie vielleicht doch betroffen sind? Also vermutest du eine sehr große Dunkelziffer derer, die eigentlich betroffen sind, aber sich noch überhaupt nicht betroffen fühlen?
Ralph Freude
Das ist eine gute Frage. Ich kann nur im Bauchgefühl dazu sagen. Ich würde mal so wirklich tippen, dass so 30% das noch gar nicht wissen und sich nicht damit auseinandergesetzt haben. Könnte ich mir vorstellen, ja.
Carsten Behrens
Und viel Zeit bleibt nicht. Also langsam ist die Zeit, die man hat, echt …
Ralph Freude
Es bleibt gar keine Zeit mehr, weil der Geschäftsführer haftet schon. Also man muss jetzt sofort, wenn man einen Sicherheitsvorfall hat, da gibt es so eine Klassifizierung, was man machen muss, man muss sofort jetzt dem BSI das melden. Da ist man also gesetzlich zu verpflichtet. Und es gibt ja auch Strafen. Also bis zu 2% des Umsatzes des großen Unternehmens. Also wenn ich jetzt eine GmbH bin, habe eine Holding drüber und die Holding hat führende Funktionen für die GmbH, dann kann es bis zu 2% des Umsatzes der Holding sein. Das kann schon enorm sein.
Carsten Behrens
Und ich glaube, es geht sogar bis in die persönliche Haftung des Geschäftsführers.
Ralph Freude
Genau, der Geschäftsführer haftet persönlich. Da gibt es auch eine Unterscheidung in zwei Funktionen. Einmal, er muss sich aktiv um die Informationssicherheit kümmern und auch für die Supply Chain, also er muss auch die kritischen Lieferanten muss er überwachen. Und es gibt noch mal grob fahrlässig. Wenn der grob fahrlässig handelt, dann ist es besonders heftig dann.
Carsten Behrens
Jetzt gehen ja viele erst mal mit der Annahme daran, dass ich jetzt ein ISMS vielleicht schon habe, 27001, und jetzt kommt eben zusätzlich zum Beispiel die NIS2 auf mich zu. Bin ich mit der 27001 dann quasi durch oder gibt es zusätzliche Anforderungen? Wie schätzt du das ein? Was kannst du den Leuten mitgeben?
Ralph Freude
Ja, man schätzt wenn man eine erfolgreiche ISO 27001 hat, dass man noch so 25% on top machen muss. Wir haben jetzt für unsere Kunden ein Compliance Assessment Gap-Analyse entwickelt, wo man für relativ überschaubares Geld eine Analyse durchführen kann, ob man denn Compliance ist zu NIS2. Und dann kann man natürlich anschließend auch sagen bei Bestandskunden, die schon eine 27001 haben: „Du musst jetzt nur noch das und das machen. Bei Neukunden, die können dann sagen: „Okay, ich schließe die Lücken, um NIS2 Compliant zu sein, oder „Ich mache direkt eine 27001 plus das Delta. Es gibt noch keinen Anforderungskatalog zu NIS2. Wir haben uns da an Stand der Technik von Enisa orientiert.
Carsten Behrens
Okay, das macht es natürlich ein bisschen schwieriger, NIS2 greifbar zu kriegen, wenn es keinen konkreten Anforderungskatalog gibt.
Ralph Freude
Noch nicht, noch nicht. Er wird noch kommen.
Carsten Behrens
Gibt es eine zeitliche Vorstellung? Weißt du was dazu?
Ralph Freude
Was das Government betrifft, habe ich gelernt. Da solltest du keine Prognosen abgeben.
Carsten Behrens
Ja, das macht die Umsetzung natürlich gerade ein bisschen schwieriger. Genau, zu der Gap-Analyse werden wir auch noch was reinklippen. Da können wir uns noch ein bisschen was uns anschauen, wie ihr das gerade gelöst habt, wie man zu dieser vernünftigen Gap-Analyse kommt. Ihr begleitet oder ihr helft ja so ein Stück weit bei der NIS2-Umsetzung oder gebt ein bisschen Hilfestellung. Ist es in der ersten Wann macht ihr die Gap-Analyse oder macht ihr noch was darüber hinaus, wo ihr den Kunden helft, euch damit auseinanderzusetzen?
Ralph Freude
Wir sind ja Zertifizierungsgesellschaft, also wir dürfen nicht helfen, wir dürfen nur analysieren. Das heißt, wenn wir diese Gap-Analyse machen, dann machen wir folgendes: Der Kunde kriegt einen Fragebogen, macht eine Selbstbewertung und dann kommt unser Prüfer und prüft das, indem man mal schaut, sind die Unterlagen da, indem man mit Mitarbeitern spricht und gibt dann eine Bewertung ab. Und anhand dieser Bewertung kann der Kunde dann entscheiden, „Welche Maßnahmen treffe ich? Wenn er dann Beratungsbedarf hat, das können wir dann nicht machen, aber wir haben ja dieses Beraternetzwerk von uns. Wir würden das dann an einen Berater geben. Dieser Berater dürfte natürlich selbstverständlich nicht mehr anschließen, wenn ein Audit oder eine Prüfung machen und das muss man strikt trennen.
Carsten Behrens
Ja, das macht Sinn. Genau, jetzt ist mir natürlich naheliegend, dass man 27001 und NIS2 kombiniert. Was wäre so deine Empfehlung, wie man das kombiniert? Also wie gestaltet man das aus typisch am besten im Unternehmen? Was heißt, diese Anforderungen kombinieren aus deiner Perspektive?
Ralph Freude
Ich sage mal so, wenn man jetzt dieses Assessment macht mit uns, dann sind natürlich Teile ja auch in der 27001, sollten sie drin sein. Dann muss man ja eigentlich mal unterstellen, wenn der erfolgreich zertifiziert schon ist, dass er das dann hat, dann kann man das abhaken und das Delta muss man dann halt noch prüfen. Und das Delta ist zum Beispiel jetzt die Haftungsfragen der Geschäftsführung, welche Verpflichtungen er durch NIS2 hat. Es ist das Thema des Meldewesens. Wer meldet, wann? Kennt er die Klassifizierung? Und da gibt es halt noch andere Punkte, die ich jetzt auswendig, ehrlich gesagt, nicht alle weiß.
Carsten Behrens
Ja. Verändert sich für dich das Berufsbild des „ISMS-Managers oder des CISOs über die Zeit? Also auch durch die Veränderung, dadurch dass NIS2 dazukommt und vielleicht andere Anforderungen. Bewegt sich was im Berufsbild? Das ist etwas, was unsere Zuhörer viel beschäftigt. Verändert sich unser Berufsbild? Sollte man die Rollen anders schneiden? Oder wie würdest du das beschreiben?
Ralph Freude
Ja, ich sage mal, die Anforderungen an diejenigen, die sich mit diesem Thema beschäftigen, die werden immer höher. Und große Unternehmen gehen jetzt dahin und trennen zum Beispiel, die haben einen CISO für Kapitel 4 bis 10, Management, der sich ums Management und Awareness kümmert. Und dann gibt es den technischen CISO, der heißt zwar dann nicht CISO, aber den technischen Verantwortlichen, der sich die technischen Themen kümmert. Es wird immer komplexer und es wird auch immer schwieriger. Jetzt kommt noch KI dazu. Das ist noch mal ein Schritt und man muss halt gucken, dass man die Verantwortlichkeiten aufteilt. Man kann das als Einzelperson nicht alles beherrschen. Das ist unmöglich.
Carsten Behrens
Erstens, dass man die Rollen aufteilt wegen Kompetenz und zweitens auch wegen gegenseitiger Kontrolle sozusagen. Man versucht dafür zu sorgen, dass eben nicht sozusagen Prüfung und Ausführung irgendwie in einer Instanz ist. Das ist halt das, was ohnehin immer schon …
Ralph Freude
Der CISO sollte ja eine Stabsstelle sein, er hängt aber doch das eine oder andere mal noch unter dem IT-Leiter. Das macht wenig Sinn. Bei kleinen Unternehmen kann ich es noch nachvollziehen. Manchmal ist es auch unisolo einer, wenn jetzt ganz wenige da sind an Mitarbeitern, dann muss man das auch mal und sagen, „Okay, das geht nicht anders. Aber wichtig ist einfach, und das hat man in letzter Zeit gesehen, früher hieß der CISO nicht CISO, sondern er war Informationssicherheitsbeauftragter. Ja, und immer ein C davor setzen, das gab es früher weniger. Heute ist es sogar so, ich sage mal, nehmen wir mal ein Beispiel: Nabi Dihaf, das ist der CISO von der Lufthansa, der berichtet auch dem Aufsichtsrat. Oder die GEA, ist auch ein Kunde von uns, Kromolow, der berichtet auch an die oberste Leitung und das hat sich schon sehr, sehr gewandelt. Man erkennt schon im Aufsichtsrat und auch beim Vorstand, wie wichtig dieses Thema ist.
Carsten Behrens
Ja. Genau, für die, die sich jetzt in diese Richtung weiterbilden, weiterentwickeln wollen, hast du Empfehlungen, wie man sich dem Thema noch intensiver widmen kann? Natürlich hat die TÜV Rheinland Akademie, ist bestimmt die allerschlechteste Quelle in dem Zusammenhang.
Ralph Freude
Ist das jetzt Schleifwerbung?
Carsten Behrens
Nein, aber was fallen dir noch für Quellen oder Ressourcen ein, wo du sagst, Da kann man eigentlich ganz gut nachlesen oder vielleicht ist auch der und der Podcast gut? Was würdest du empfehlen, wenn man sich so ein bisschen auf dem Laufenden halten möchte, weiterentwickeln möchte in diese Richtung?
Ralph Freude
Ja, ich würde mal sagen, deinen Corner, weil wir werden die Themen ja weiterhin begleiten. Ist schon mal was. Dann gibt es die Isitz, die kann ich sehr empfehlen. Die Isitz ist eine Tochter vom TÜV Rheinland, Sofos und der Universität Bochum. Und da sind sehr spezielle Kurse. Und ich sage mal, wenn man jetzt zum Beispiel sich in das Thema einarbeiten will, und auch mal sich zertifizieren lassen will. Ein großer wichtiger Teil sind ja auch interne Audits und da gibt es auch den Kurs des Auditors. Das machen übrigens viele unserer eigenen Auditoren, die auch da sich ausbilden lassen und das macht auch richtig Spaß, ein viertägiger Kurs, sogar mit Rollenspielen, am Ende eine Prüfung und das bringt schon ungemein. Das ist schon wichtig und man sollte schon, ich sage mal, auch die Normen was kennen. Also zum Beispiel jetzt, wenn man 27001 vor hat, sich zu vertiefen, würde ich die 27002 empfehlen. Das ist so ein Best Practice Guideline und natürlich, es gibt unendlich vieler Literatur. Da würde ich jetzt nicht irgendwie einen bevorzugen. Und ich sage mal, KI haben wir ja auch mittlerweile.
Carsten Behrens
Ja. Und es gibt die Podcademy Island von dem TÜV Rheinland. Da war ich letztens zu Besuch. Das heißt auch, ihr habt einen Podcast, der über das eine oder andere Themenfeld aufklärt. Ja, auch eine sinnvolle Quelle.
Ralph Freude
Stimmt. Gut, dass du das erwähnt Ich hätte es jetzt vergessen. Sehr gut.
Carsten Behrens
Ralf, total schön, dass du da warst, dass wir uns jetzt mal austauschen konnten. Natürlich können wir nur so ein paar Themen anreißen. Es ist nicht maximale Tiefe, aber wenn man noch mehr dazu wissen möchte, weiß man jetzt wenigstens, an wen man sich wenden kann.
Ralph Freude
Ja, vielen Dank.
Carsten Behrens
Ganz herzlichen Dank.
Ralph Freude
Ja, vielen Dank. Hat sehr viel Spaß gemacht. Ich bedanke mich.
Carsten Behrens
Danke dir.
Carsten Behrens
Ja, ich fand es ein großartiges Gespräch heute. Ich hoffe, es war auch für euch wieder etwas dabei, was ihr mitnehmen könnt, dass ihr etwas gelernt habt, dass ihr etwas umsetzen könnt und dass es euch hilft, ein klareres Bild über Informationssicherheitsmanagementsysteme zu bekommen. Natürlich gibt es auch bald schon wieder die nächste Carstens-Corner-Folge und deswegen freuen wir uns, wenn ihr unserem Kanal folgt, sei es auf YouTube, Spotify oder auf beliebigen anderen Kanälen. Grundsätzlich freuen wir uns natürlich auch über Feedback und Kommentare. Schreibt es immer daran, wir werden darauf eingehen. Bis dahin, bis zum nächsten Mal. Tschüss.
Melde dich, um direkt Kontakt mit Carsten aufzunehmen.
Wir freuen uns, dich mit inspirierenden Inhalten, aktuellen Veranstaltungen und Neuigkeiten zu versorgen.
.png)
.png)
.png)
