Kennen Sie das Gefühl, wenn Sie von oben herab über etwas belehrt werden, was Sie ohnehin schon wissen? So mag es vielen Geschäftsführern gehen, wenn nach dem Inkrafttreten des Umsetzungsgesetzes NIS 2 die Verantwortung für die Cybersicherheit angesprochen wird. Geschäftsführungen verantworten prinzipiell alle Risiken eines Unternehmens, das war auch schon vor NIS 2 so. Also hat sich nicht viel geändert, oder doch? Im Falle von NIS 2 lassen sich Ursache und geplante Auswirkung an einem konkreten Fall festmachen.
Der Fall Vastaamo
Im Oktober 2020 wurde der Fall des finnischen Gesundheitsanbieter Vastaamo auch über die Landesgrenzen hinaus bekannt. Das Unternehmen war Dienstleister im Bereich der Psychotherapie und betreute medizinische Einrichtungen. 2018 und 2019 gelang es einem Hacker, Zugang zu schlecht geschützten Systemen zu erhalten. Neben persönlichen Daten wie Adressen, Geburtstagen usw. wurden vor allem Sitzungsprotokolle und die zugehörigen Notizen der behandelnden Ärzte gestohlen. Ob CEO Ville Tapio von mindestens einem der Vorfälle wusste, ist bis heute umstritten. Der Hacker ließ 2019 eine Erpresserbotschaft im System zurück, die auffallen musste. Tapio behauptete vor Gericht, erst im September 2020 durch eine weitere, direkte Erpresserbotschaft des Täters vom Vorfall Kenntnis erlangt zu haben. Weil sich das Unternehmen weigerte zu bezahlen, schickte der Täter Erpresserbriefe an viele der über 30.000 betroffenen Patienten und veröffentlichte die gestohlenen Daten im Darkweb.
Die Auswirkungen
Im psychologisch anstrengenden Covid-Jahr 2020 wurden Therapiepatienten mit der Veröffentlichung vertraulicher Gespräche und der ihnen bis dato nicht bekannten und oft wenig schmeichelhaften Meinung der Therapeuten konfrontiert. Die Auswirkungen auf einzelne Opfer waren dramatisch. Vor allem die Gesprächsnotizen sorgten für ein gesamtgesellschaftliches Misstrauen gegenüber therapeutischen Maßnahmen.
Noch im Oktober feuerte das Unternehmen seinen CEO mit der Begründung, dass er von den Vorfällen schon seit 2019 gewusst haben musste und es vor der Gesellschaft verheimlichte. Im November 2020 stoppte Kela, die finnische Sozialversicherungsbehörde, die Zuweisung weiterer Patienten bis zur Klärung der Datensicherheit.
Im Januar 2021 kündigte sie dem Unternehmen mehrere Verträge. In der offiziellen Erklärung wird ein Zusammenhang zum Datenskandal verneint - als Grund werden fehlende Qualifikationen der beschäftigten Therapeuten angegeben. Das Unternehmen meldete im Februar 2021 Insolvenz an. Eine im Dezember 2021 verhängte Strafe nach DSGV) hatte nur symbolischen Wert und unterstrich die Verantwortung des Unternehmens für den Vorfall -- für die Opfer nur ein schwacher Trost.
Die Rolle des CEO
Aber was hat die Geschichte nun mit der Diskussion rund um Schulungsmaßnahmen zu tun? CEO Ville Tapio wurde 2023 juristisch angeklagt, durch sein Verhalten eine strafbare Mitschuld an den Vorfällen zu tragen. Obwohl er als Geschäftsführer jahrelang das Unternehmen leitete, behauptete er, nicht gewusst zu haben, wie schlecht es um die Sicherheit bestellt war. Das Gericht verurteilte ihn zu drei Monaten Haft auf Bewährung.
Beide Seiten waren damit unzufrieden. Das Urteil der Berufung wurde im Dezember 2025 verkündet: Tapio wurde freigesprochen. Das Gericht stellte fest, dass die dokumentierten IT-Sicherheitsmaßnahmen zwar weit unter dem durch die GDPR (DSGVO) geforderten Stand der Technik lagen, es aber zum Zeitpunkt des Vorfalls keine gesetzliche Vorgabe für die Rolle des CEO gab, die es Tapio vorgeschrieben hätte, mit geeigneten Maßnahmen Abhilfe zu schaffen.
NIS 2 beseitigt die Ambivalenz
Obwohl Tapio nach eigener Aussage nicht wusste, wie schlecht es um die IT-Sicherheit seines Unternehmens bestellt war, beeinflusste er sie maßgeblich beispielsweise durch Freigabe des Budgets und Entscheidungen wie etwa die Auslagerung an Dienstleister. NIS 2 schreibt vor, dass Geschäftsführungen die Verantwortung für die eingerichteten Maßnahmen übernehmen.
Das deutsche Umsetzungsgesetz bekräftigt zudem, dass Geschäftsführende im Innenverhältnis auch persönlich für die Umsetzung „geeigneter und verhältnismäßiger“ Maßnahmen haftbar gemacht werden können. NIS 2 enthält zudem einen Katalog mit entsprechenden technologischen wie organisatorischen Vorgaben, die durchaus als Arbeitsauftrag verstanden werden können. Damit sind Pflichten und Zuständigkeiten definiert.
Aber Geschäftsführungen sind keine Cybersicherheitsexperten, und deshalb gibt es ein Problem damit, wie sie Maßnahmen als „verhältnismäßig“ einstufen sollen. Hier ist die NIS 2 etwas rigoros und fordert, dass sich Unternehmensleitungen „schulen“ lassen müssen, wenn sie selbst der Meinung sind, nicht genug davon zu verstehen. Die Handreichung des BSI ist in diesem Punkt zugänglicher. Sie bietet eine Orientierungshilfe bezüglich des Scopes und Anspruch der Schulungen.
Cyberrisiken verstehen und einschätzen
Jedes unter NIS 2 fallende Unternehmen ist verpflichtet Cyberrisiken zu identifizieren und zu beurteilen, und die Geschäftsführung hat Sorge dafür zu tragen, dass geeignete Maßnahmen (technisch und organisatorisch) existieren, um diese Aufgabe zu erledigen. Soweit die Theorie.
In der Praxis werden das Cybersicherheitsfachleute übernehmen, die Daten sammeln und im Auftrag der Unternehmensleitung Risiken und deren Einschätzung an die Geschäftsführung kommunizieren. Diese ist dann angehalten, Entscheidungen zu treffen, etwa über die Anschaffung neuer Sicherheitstechnologie oder den Umgang mit der Personalnot.
Um solche Entscheidungen treffen zu können, muss sichergestellt werden, dass die Kommunikation der Risiken nicht an zwischenmenschlichen Herausforderungen scheitert. Hier, so verlangt es das BSI, muss die Schulung ansetzen. Eine theoretische Fragestellung könnte lauten: Wie kann sichergestellt sein, dass die Informationen aus der Cybersicherheit so präsentiert werden, dass die Geschäftsführung auch damit etwas anfangen kann.
Fazit
Der Fall Vastaamo zeigt deutlich Hintergrund und zu erwartende Auswirkungen der NIS 2. Die wirklichen Opfer waren die Patienten, deren Daten gestohlen wurden. Die Politik sieht sich hier in der Pflicht, ihre Bürger vor derartigem Unheil zu schützen. Deshalb hat sie mit NIS 2 klare Verantwortung geschaffen und einen technologischen Rahmen definiert.
Selbst das wird einige nicht davon abhalten das Thema auf die leichte Schulter zu nehmen. Diesen Fehler sollte niemand begehen. Kommt es erneut zu einer Katastrophe wie im Fall Vastaamo, darf man davon ausgehen, dass es auch politischer Wille ist, Schuldige zu identifizieren und zur Verantwortung zu ziehen. Das Gesetz sieht selbst Strafen ohne Vorfall vor, beispielsweise im Rahmen einer Auditierung. Da es darum geht, derartige Katastrophen zu verhindern, sollte auch das mit dem nötigen Ernst betrachtet werden.
Unabhängig vom Gesetz liegt es sicher im Interesse aller Beteiligten, derartige Vorfälle zu verhindern. Das ist auch der positive Aspekt von NIS 2. Geschäftsführungen tragen immer die Verantwortung, wenn etwas schiefläuft. Hat man sich aber an die NIS 2 gehalten, so hat die Geschäftsleitung zumindest die Gewissheit, sich nicht fahrlässig verhalten zu haben.
Das bedeutet nicht, dass es nicht besser gegangen wäre. Die berühmte „Luft nach oben“ ist in der IT-Sicherheit bei einem vier Jahre alten Gesetz normal. Auch die Frage, was das für das eigene Unternehmen bedeutet, gehört zum vorgeschriebenen Cybersicherheit Risikomanagement.
Wir empfehlen Geschäftsführungsschulungen über Partner wie Bechtle, PCO oder SoftwareOne.