Elsner Podcast Folge #16: NIS2, KNX Secure und IT-Sicherheit im Gebäude – mit Kjell Vogelsang

IT-Sicherheit wird zur Pflicht – spätestens mit der EU-Richtlinie NIS2. In dieser Episode spricht Bastian Elsner mit Kjell Vogelsang, Fachanwalt für IT-Recht, über die Auswirkungen auf Systemintegratoren, Planer, Bauherren und Hersteller. Es geht um konkrete Pflichten, technische und organisatorische Maßnahmen (TOMs), Haftung von Geschäftsführern – und darum, warum Cybersecurity nicht mehr nur „nice to have“ ist. Eine aufschlussreiche Folge für alle, die Gebäude sicher planen, bauen und betreiben wollen.

Veröffentlichungsdatum: 25. September 2025

[0:02 - 2:02] Bastian Elsner:
Hallo und herzlich willkommen zu einer weiteren Ausgabe von "Menschen, Lebensräume und Technik", deinem Podcast für smarte Gebäude, intelligente Systeme und die klugen Köpfe hinter der Technik. Mein Name ist Bastian Elsner, ich bin Geschäftsführer von Elsner Elektronik und hier im Podcast spreche ich mit spannenden Gästen über alles, was Gebäude intelligenter, effizienter und zukunftsfähiger macht. Schön, dass du heute wieder mit dabei bist.

Ich persönlich finde, über Sicherheit sprechen wir oft erst dann, wenn es tatsächlich schon zu spät ist. Dabei ist das Thema heute so relevant wie nie. Das Potenzial für Cyberkriminalität wächst, vor allen Dingen im Gebäudebereich. Die Digitalisierung durchdringt inzwischen fast alle Lebensbereiche. Alles ist irgendwie miteinander vernetzt, gerade im Internet der Dinge. Je mehr wir unsere Gebäude vernetzen, desto mehr Angriffsfläche bieten wir. Abschotten lässt sich dann niemand mehr, auch nicht in unserer Branche. Und wer einmal darüber nachdenkt, was ein einziger Tag Ausfall kosten kann, sowohl finanziell als auch für das Image, der merkt ganz schön schnell, IT-Sicherheit ist heutzutage kein nice to have mehr. Und genau über dieses Thema spreche ich heute mit meinem Gast.

Was bedeutet die EU-Richtlinie NIS2 konkret für uns? Also für Systemintegratoren, Planer, Bauherren und auch Hersteller. Mein heutiger Gesprächspartner bringt juristisches Know-how und technisches Verständnis zusammen. Er ist Fachanwalt für IT-Recht, kennt sich mit Open Source und Linux bestens aus und berät seit über 20 Jahren Unternehmen rund um die Themen Digitalisierung, Datenschutz und Compliance. Kjell, ich freue mich riesig, dass du dir die Zeit genommen hast. Schön, dass du heute mit dabei bist.

[1:49 - 1:51] Kjell Vogelsang:
Vielen Dank. Vielen Dank für die Einladung. 

Einstieg 

[1:52 - 2:02] Bastian Elsner:
Ja, vielleicht bevor wir loslegen. Was sagst du eigentlich, wenn dich jemand abends beim Dinner fragt, was machst du eigentlich beruflich?

[1:28 - 1:40] Kjell Vogelsang:
Meistens ist die Antwort knapp und ich sage, ich bin Rechtsanwalt und Fachanwalt für IT-Recht. Das reicht meistens schon aus, um das Gespräch in eine andere Richtung zu lenken. Wenn Leute tatsächlich interessiert sind und nachfragen, dann gebe ich einen kurzen Einblick in mein tägliches Doing.

Ich berate Unternehmen aus dem Tech-Bereich genauso wie Unternehmen aus dem Nicht-Tech-Bereich. Das ist einmal die Lieferantensicht, einmal die Kundensicht und IT-Recht ist ein mittlerweile sehr weites Feld geworden. Wir haben uns angewöhnt, die Definition zu verwenden.

Wir kümmern uns um die Dinge, auf denen Strom ist. Also alles, was in irgendeiner Form Daten elektronisch verarbeitet, sei es die Hardware, sei es die Software, sei es die Datenstruktur. Alles, was damit zusammenhängt, ist im weitesten Sinne IT-Recht.

Also Datenschutz, IT-Sicherheit, aber auch IT-Projektverträge, das Verhandeln von IT-Projektverträgen oder das Streiten um gescheiterte IT-Projektverträge.

NIS2 einfach erklärt: Wer ist betroffen – und warum?

[3:06 - 3:27] Bastian Elsner:
Verstanden. Vielen, vielen Dank für den kurzen Abriss von deinen Tätigkeiten. Ich erinnere mich noch an unser Vorgespräch und da hast du gesagt, dass NIS 2 betrifft tatsächlich viel mehr Unternehmen, als man auf den ersten Blick vielleicht denkt.

Was genau ist denn die Richtlinie und warum ist das jetzt so relevant für Planer, Systemintegratoren, aber auch für Hersteller?

[3:28 - 7:35] Kjell Vogelsang:
Also wie der Name NIS 2 sagt, gab es bereits einmal eine NIS-Richtlinie. NIS steht für Netzwerk- und Informationstechnik-Sicherheit. Die NIS 1-Richtlinie, die hieß natürlich damals nicht NIS 1, sondern nur NIS-Richtlinie, führte zur Umsetzung im heutigen BSI-Gesetz und hat im Wesentlichen nur die kritischen Infrastrukturen betroffen.

Damaliger Hintergrund war folgende Erwägung. Wir haben es früher mit einem, es hat noch immer Juteljange, wie der Rheinländer sich gerne ausdrückt, zu tun gehabt. Sprich, wenn wir keinen Schaden hatten, dann hatten wir auch keine Verantwortlichkeit.

Es gibt das berühmte Beispiel des ungesicherten Blumentopfes in der dritten Etage. Wenn der zu Boden fällt und niemand trifft, dann gibt es auch keine Haftung. Wenn der Zufall aber sich in Pech wandelt und der Blumentopf trifft jemanden und verletzt jemanden schwer, dann habe ich auch eine Haftung.

Diese Logik hat dazu geführt, dass, einige werden sich erinnern, in den Nullerjahren gab es mal sehr strenge Winter, die dazu führten, dass Hochspannungsmasten, ich meine, Münsterland sei es gewesen, umknickten und ganze Landstriche plötzlich ohne Strom waren. Das heißt, das Versagen einzelner vulnerabler Elemente führt zu volkswirtschaftlichen und gesellschaftlichen Schäden. Deshalb hat man den Bedarf erkannt, dass man nicht mehr darauf vertraut, dass der fallende Blumentopf niemanden trifft, sondern man ist dazu übergegangen und sagt, das Nichtergreifen von Sicherungsmaßnahmen per se ist schon der Verstoß, der geahndet wird.

Dann hat man mit der NIS-Richtlinie ursprünglich angefangen, maßgeblich mit der Umsetzung in deutsches Recht zu gucken, wer hat denn einen wirklich weitgehenden Einfluss auf die Volkswirtschaft oder die Gesellschaft. Das sind die sogenannten kritischen Infrastrukturen. Das sind diejenigen Infrastrukturen, die das menschliche Zusammenleben erst möglich machen.

Also Frischwasser, Abwasser, Ernährung, Finanzwesen, Transport, Verkehr, Elektrizität und Energie im Allgemeinen. Diese Faktoren, wenn sie eine bestimmte Versorgungsschwelle erreichen, das heißt, wenn, das ist genau definiert in der kritischen Infrastrukturverordnung, sperriges Wort, selbsterklärend. Dort ist geregelt, welche Infrastruktur, welche Schwellenwerte erreichen muss, so nennt man das.

Wie viele Menschen versorge ich mit meiner kritischen Infrastruktur und wenn der genannte Schwellenwert überschritten wird, dann unterfalle ich dem BSI-Gesetz und den besonderen Sicherheitsmaßnahmen, die ich ergreifen muss. Das heißt, ich muss proaktiv tätig werden, um zu verhindern, dass ich als kritische Infrastruktur ausfalle, weil dann andere zu Schaden kommen. Das ist der historische Hintergrund.

Dann hat sich die Erkenntnis durchgesetzt, dass die, in der Tagesberichterstattung heißt das, hybride Bedrohungslage oder hybride Kriegsführung, etwas martialischer. Was davon genau zutrifft, das kann man sicherlich Gegenstand einer Diskussion werden lassen. Fakt ist, dass es Cyberangriffe gibt und diese Cyberangriffe treffen immer mehr auch kleinere Unternehmen.

Und es hat sich die Erkenntnis durchgesetzt, dass auch kleinere Unternehmen, die keine kritischen Infrastrukturen sind, durch ihren Ausfall eine Drittwirkung entwickeln. Das heißt, wir haben verzahnte Lieferketten. Wenn ein Lieferkettenglied ausfällt, dann ist die ganze Lieferkette lahmgelegt.

Deshalb gibt es die Erkenntnis, dass wir einen Bedarf haben, auch kleineren Unternehmen, die keine kritische Infrastruktur darstellen, mit IT-Sicherheitspflichten zu belegen. Dazu dient die NIS2-Richtlinie, die im Wesentlichen keine großen Änderungen in der Sache mit sich bringt, aber natürlich im Detail sehr weitreichende Änderungen. Aber der Adressatenkreis wird massiv erweitert.

Ich habe ja gerade gesagt, nicht nur die kritischen Infrastrukturen, sondern schätzungsweise bis zu 30.000 Unternehmen in Deutschland sind von der NIS2-Richtlinie betroffen.

Fallbeispiel: Wann gilt NIS2 – und wann nicht?

[7:35 - 7:57] Bastian Elsner:
Können wir an der Stelle vielleicht ein ganz kleines Fallbeispiel machen? Also ich denke jetzt gerade an Elektrobetrieb mit zum Beispiel 30 Mitarbeitenden und die installieren ein Gebäude- Automationssystem, zum Beispiel ein KNX-System in einem Schulgebäude. Kann man das jetzt schon so einfach sagen, das fällt unter die NIS2-Richtlinie oder müssen da noch andere Punkte beachtet werden?

[7:57 - 8:36] Kjell Vogelsang:
In dem Fall kann man relativ einfach sagen, es fällt nicht unter die NIS2-Richtlinie. Denn wir haben die Schwellen der mittleren und großen Unternehmen, die nur der NIS2-Richtlinie unterfallen. Es sei denn, sie sind aus anderen Gründen kritische Infrastruktur oder besondere IKT-Dienste.

Aber der Elektrobetrieb mit 30 Mitarbeitern ist ein kleines Unternehmen, weil weniger als 50 Mitarbeiter und voraussichtlich weniger als 10 Millionen Euro Jahresumsatz. Das sind die Kennzahlen, die man sich grob als Richtwert vornehmen kann, um zu ermitteln, ob ich denn die NIS2-Richtlinie unterfalle oder nicht.

[8:37 - 8:55] Bastian Elsner:
Und wenn ich unter diese Richtlinie falle, dann hast du vorhin von entsprechenden Pflichten gesprochen und wir haben auch im Vorgespräch schon über TOMS gesprochen. Was muss ich denn jetzt konkret tun, wenn ich betroffen bin? Was gehört denn zu diesen TOMS oder technisch-organisatorischen Maßnahmen?

[8:55 - 11:15] Kjell Vogelsang:
Den Begriff der TOMS kennen wir schon relativ lange, maßgeblich aus dem Datenschutzrecht. Und diese technischen und organisatorischen Maßnahmen erfassen alle Maßnahmen, die in irgendeiner Weise geeignet sind, IT-Ausfälle, IT-Sicherheitsvorfälle, Cyberattacken zu verhindern oder in ihren Auswirkungen abzumildern. Eine klassische technische Maßnahme ist zum Beispiel, die kennen wir alle von zu Hause, dass wir unsere Wohnungstür abschließen, wenn wir das Haus verlassen.

Unsere Haustür abschließen, wenn wir das Haus verlassen. Das nennt man eine Zutrittskontrolle und diese Zutrittskontrolle hat schon weitreichende Effekte dahingehend, dass ein Angreifer nicht an die Systeme drankommt. Das ist eine technische Maßnahme.

Eine bekannte organisatorische Maßnahme ist zum Beispiel, dass ich festlege, wer hat alles Zugriff zu welchen Daten? Man sagt, nur diejenigen, die die Daten brauchen, haben auch Zugriff. Das nennt man gemeinen Need-to-Know-Prinzip.

Das wäre eine organisatorische Maßnahme. Und davon gibt es einen, man kann sagen, bunten Strauß von verschiedenen Maßnahmen. Einige sind sehr einfach umzusetzen, andere sind sehr umfangreich umzusetzen und die Gretchenfrage ist dann immer, welche Maßnahmen muss ich ergreifen, um welche Effekte zu erzielen?

Beispiel des Wordings. Wenn ich der DSGVO unterliege, wie eigentlich jedes Unternehmen, dann muss ich sogenannte angemessene Maßnahmen ergreifen. Das heißt, ich muss mir das Risiko anschauen, aber ich darf mir umgekehrt auch die Implementierungskosten anschauen und finde dann einen Kompromiss, um ein angemessenes Schutzniveau zu erreichen.

Und da falle ich der NIS-2-Richtlinie, muss ich Maßnahmen ergreifen, die dem Stand der Technik entsprechen. Bei der DSGVO muss ich den Stand der Technik berücksichtigen. In der NIS-2-Richtlinie muss ich dem Stand der Technik entsprechen.

Was der Stand der Technik ist, ist manchmal nicht so ganz so leicht zu ermitteln, aber grundsätzlich kann man davon ausgehen, ich muss die neuesten Standards anwenden und umsetzen, um NIS-2-konform zu sein.

KNX Secure und Co.: Reicht Technik allein für mehr Sicherheit?

[11:17 - 11:55] Bastian Elsner:
Verstanden. Um da auch so ein bisschen den Bogen zu schlagen zur KNX-Technologie, da kommt eben dann auch genau KNX-Secure als erweitertes System bzw. System, das noch erweitert, verschlüsselt ist im Vergleich zu den traditionellen KNX-Produkten, wenn man das so sagen kann.

Und da tut sich auch sehr viel, auch im BACnet-Bereich secure zum Beispiel, dass eben technische Systeme angepasst werden auf die neuen Anforderungen der Cybersicherheit. Das habe ich jetzt so verstanden mit den TOMS, aber was passiert denn, wenn es jetzt trotzdem schief läuft? Also wie sieht es dann mit der Haftung aus?

Wer trägt am Ende des Tages die Verantwortung?

[11:56 - 14:16] Kjell Vogelsang:
Da gilt die klassische Juristenantwort, es kommt darauf an. Und dann gibt es die ebenso klassische Gegenfrage des Mandanten, worauf kommt es dann an? Tatsächlich auf den Einzelfall.

Wir haben zwei, grundsätzlich zwei verschiedene Szenarien bei einem erfolgreichen Cyberangriff. Szenario 1 ist, ich habe nicht ausreichende Sicherheitsmaßnahmen ergriffen und deshalb ist der Cyberangriff erfolgreich. Dann besteht grundsätzlich eine Haftung des Unternehmens, des angegriffenen Unternehmens gegenüber den Kunden, wenn den Kunden Schäden entstehen dadurch.

Daneben kann es ein erhebliches Bußgeld geben für das SNES-zweipflichtige Unternehmen, eben weil die erforderlichen Sicherheitsmaßnahmen nicht ergriffen wurden und durch den erfolgreichen Sicherheitsvorfall wird das Publikum und die Behörde kann ein Bußgeldbescheid erlassen. Zuletzt haften aber auch die Geschäftsführerinnen und Geschäftsführer bzw. die Vorstände von Aktiengesellschaften, denn in dem Umsetzungsgesetz von der NIS2-Richtlinie, genau wie in der NIS2-Richtlinie selbst, ist eine persönliche Haftung der Organe von juristischen Personen statuiert.

Das bedeutet, nach bisheriger Prägung kann ein Organ, also ein Geschäftsführer einer GmbH oder ein Vorstand einer Aktiengesellschaft oder Genossenschaft oder jeder anderen juristischen Person eine sogenannte Wissensdelegation vornehmen. Das heißt, das Leitungsorgan nimmt sich den IT-Leiter und sagt, mach unser Unternehmen sicher. Und das genügt.

Er muss natürlich seine Überwachungsfunktion genüge tun, indem er den IT-Leiter überwacht. Er muss aber nicht verstehen, was der IT-Leiter dort tut. Das hat sich geändert.

Jetzt sind die Organe selbst berufen, Schulungen zu machen zum Thema IT-Sicherheit. Zumindest der Gestalt, dass sie die Grundzüge der IT-Sicherheit verstehen und dass sie den IT-Leiter oder jeden anderen Mitarbeiter, den sie mit der Umsetzung von Sicherheitsfragen beauftragen, auch fachkundig überwachen können. Und wenn das nicht geschieht, dann haben wir einen Verstoß gegen die Geschäftsführerpflichten oder gegen die Vorstandspflichten und eine persönliche Haftung der Geschäftsführer und Vorstände.

KNX Secure & Co.: Was smarte Gebäude jetzt leisten müssen

[14:17 - 15:07] Bastian Elsner:
Das heißt, da ändert sich ja gerade ganz drastisch, ganz drastisch etwas, zumindest für die Geschäftsführer und für die anderen Stakeholdergruppen, die du eben genannt hast, für die anderen Gesellschaftsformen. Das ist auch ein grundlegender Unterschied von NIS 1 zu NIS 2. Habe ich das so richtig verstanden?

Genau, das ist einer der großen Unterschiede, ja. Alles klar. Vielen Dank für die Ausführungen an der Stelle.

Wir haben ja auch, oder du hast gesagt, das war auch in unserem Vorgespräch, dass man Sicherheit nicht so wirklich outsourcen kann. Was bedeutet das dann für die Zusammenarbeit? Ich bin immer so ein bisschen getrimmt auf die Gebäudeprojekte.

Also ich denke da an die Zusammenarbeit zwischen dem Bauherr Architekten und auch zwischen dem Systemintegrator, der dann im Prinzip genau die Geräte in Gebäuden integriert, wo eben der Strom fließt, wo wir eben auch betroffen sind.

[15:07 - 17:33] Kjell Vogelsang:
Da muss man sich zuerst mal angucken, wer denn überhaupt der NIS 2 Richtlinie unterfällt. Ich habe gesagt, der Kreis der betroffenen Unternehmen hat sich drastisch erweitert von einigen wenigen kritischen Infrastrukturen auf bis zu 30.000 Unternehmen. Die Zahlen differieren so ein je nachdem, wen man fragt.

Grundsätzlich, habe ich gesagt, unterfallen mittlere und große Unternehmen der NIS 2 Richtlinie, indem sie wichtige oder besonders wichtige Einrichtungen werden. Die NIS 2 Richtlinie selbst, wie auch der letzte Entwurf eines Umsetzungsgesetzes, liefern einen Katalog von Sektoren und Branchen, die als NIS 2 relevant angesehen werden. Wenn wir uns die Gebäudetechnik angucken oder die Gebäudebetreiber, die sind es möglicherweise, dann ist der Faktor, dass es sich um ein Gebäude handelt oder um den Betrieb eines Gebäudes ein untaugliches Abgrenzungskriterium, weil es nichts über den Sektor und nichts über die Branche aussagt.

Wenn wir einen kleinen Einzelhändler in dem Gebäude haben, dann ist er sicherlich nicht NIS 2-pflichtig. Wenn wir den Betreiber einer Energieanlage, eines Kraftwerks oder den Betreiber eines Wasserwerks oder den Betreiber einer Versicherung oder den Betreiber eines Kreditinstituts in dem Gebäude haben, dann ist mit einer hohen Wahrscheinlichkeit dieses Unternehmen selbst NIS 2-pflichtig und dann gehört die Gebäudeautomation zur IT dieses Unternehmens. Das bedeutet, der Betreiber des Gebäudes, also das kann der Eigentümer sein oder auch der Mieter, das spielt in dem Fall keine Rolle und die eingesetzte IT sind vollständig NIS 2-pflichtig.

Das führt nicht dazu, dass der Systemintegrator oder andere Lieferanten, die das Gebäude errichten oder bei der Errichtung mitwirken durch Ausstattung oder ähnliche Lieferdienste, dass diese Unternehmen selbst NIS 2-pflichtig werden. Das bedeutet aber, dass in der Vertragsgestaltung sie sich mit dem Thema auseinandersetzen müssen. Denn der Kunde, selbst NIS 2-pflichtig, wird natürlich größten Wert darauf legen, dass die Technik, die verbaut wird, NIS 2-konform ist.

Und diese Verantwortung wird in der Regel versucht, auf den Lieferanten überzuwälzen. Und so wird aus NIS 2 für den Kunden mittelbar eine Pflicht für den Lieferanten.

[17:34 - 17:49] Bastian Elsner:
Können wir jetzt damit rechnen, dass alle ganz spontan anfangen, ihre AGBs zu überarbeiten und versuchen, sich von dem Thema ein Stück weit frei zu zeichnen? Oder was kann man da hinsichtlich auf AGBs und die Verträge erwarten?

[17:50 - 23:33] Kjell Vogelsang:
Ja, das mit den Erwartungshaltungen ist immer so eine Sache, weil es immer auch ein kleiner Blick in die Glaskugel ist. Momentan wissen wir noch nicht mal, wann NIS 2 kommt. Vielleicht geben wir da kurz die Schleife, wie die Regelungstechnik ist und dann gucken wir uns an, was wir erwarten.

Grundsätzlich stehen der Europäischen Union bzw. den Institutionen der Europäischen Union, also der Kommission und dem Europaparlament, zwei Regelungsinstrumente zur Verfügung. Die Verordnung und die Richtlinie.

Die Verordnung kennen wir alle aus der DSGVO, was die Datenschutzgrundverordnung ist. Verordnungen, die das Parlament verabschiedet auf Vorschlag der Europäischen Kommission, gelten unmittelbar in allen Mitgliedstaaten gleich. Richtlinien, das andere Instrument, was im Wesentlichen zur Verfügung steht, Regelungen zu treffen, gelten nicht unmittelbar.

Richtlinien müssen vielmehr umgesetzt werden von den nationalen Gesetzgebern. Das bedeutet, jeder Mitgliedstaat in der Europäischen Union muss ein eigenes Gesetz erlassen, was den Anforderungen der jeweiligen Richtlinie genügt. Diese NIS-2-Richtlinie hätte also umgesetzt werden müssen durch die Bundesrepublik Deutschland bis Mitte Oktober 2024.

Das ist nicht geschehen. Das heißt, im Moment hat die NIS-2-Richtlinie keine Wirkung für die Rechtssubjekte in Deutschland. Heißt, tatsächlich, man könnte sich im Moment zurücklehnen und die NIS-2-Regelungen ignorieren, denn sie gelten nicht.

Das ist die aktuelle Rechtslage. Wir hatten Anfang November eine letzte Expertenanhörung im Deutschen Bundestag, basierend auf einem Regierungsentwurf, der aus dem Sommer 2024 stammt. Dieser Regierungsentwurf war nach landläufiger Meinung mehr oder weniger umsetzungsreif.

Das heißt, er hätte als Gesetz verabschiedet werden können. Es gab einige durchaus erhebliche Kritik an diesem Entwurf, der sich aber im Wesentlichen darauf konzentrierte, dass Bundesbehörden nicht erfasst wurden. Das heißt, für die Privatwirtschaft hätte der Gesetzentwurf verabschiedet werden können.

Es wurde eigentlich auch erwartet, dass das passiert. Der Bruch der Ampelkoalition hat das dann im Ergebnis verhindert. Dann jetzt haben wir immer noch genau diesen Regierungsentwurf aus Sommer 2024.

Es wird allerdings erwartet, dass der Bundestag diesen Entwurf nicht verwenden wird. Das ist mehr oder weniger üblich bei Regierungswechseln, dass man Regierungsentwürfe der Vorgängerregierung nicht übernimmt, sondern einen eigenen neuen Entwurf veranlasst, der in der politischen Lesart dann natürlich der bessere Entwurf ist. Ob er tatsächlich besser ist oder nicht, das mögen andere Leute beurteilen, wenn er denn dann da ist.

Fakt ist, die NIS 2-Richtlinie wird umgesetzt werden. Unklar ist, wann das passiert. Man kann, glaube ich, vorsichtig schätzen, dass man im dritten oder vierten Quartal 2025, vielleicht im ersten Quartal 2026 damit rechnen muss, dass es ein NIS 2-Umsetzungsgesetz gibt.

Wie das dann aussehen wird, das ist dann der tiefe Blick in die Glaskugel. Er wird im Wesentlichen die Richtlinie umsetzen und er wird sich sehr eng am Richtlinientext orientieren, wie das alle Umsetzungsgesetze immer machen. Aber wie er konkret aussehen wird, ist unklar.

Bis dahin gilt, wir haben keine Umsetzungspflichten in der Wirtschaft. Der Effekt ist erfahrungsgemäß, dass dann auch keine Umsetzungstätigkeiten erfolgen. Obwohl feststeht, dass die NIS 2-Richtlinie kommt, warten die allermeisten doch bis ganz zum Ende, bis zur Umsetzung.

Jetzt zur eigentlichen Frage. Was ist zu erwarten? Was werden die NIS 2-pflichtigen Unternehmen in ihrer AGB schreiben?

Ich gehe davon aus, man versucht mit einer Generalklausel alle Pflichten aus der NIS 2-Richtlinie auf die Lieferanten überzuwälzen. Ob das klug ist, das so zu machen, ist eine ganz andere Frage. Insbesondere ist es die Frage, ob das das Sicherheitsniveau anhebt.

Denn in der Umsetzung von NIS 2-Anforderungen kommt es ja gar nicht darauf an, rechtlich abgesichert zu sein, sondern es kommt darauf an, eine sichere Infrastruktur bei sicheren Unternehmen zu betreiben. Und ob das pauschale Abwälzen von Anforderungen an den Lieferanten das Sicherheitsniveau signifikant erhöhen wird, sei mal dahingestellt. Für den Lieferanten bedeutet das, natürlich muss der Lieferant NIS 2-konform liefern.

Da wird er nicht drumherum kommen. Die Schwierigkeit besteht immer darin zu ermitteln, was ist denn NIS 2-konform. Deshalb ist die Empfehlung im Beschaffungsprozess immer gleich, sowohl an den Belieferten wie auch an den Lieferanten, dass innerhalb des Beschaffungsprozesses oder in der Umsetzung des Vertrages klargezogen wird, was konkret verlangt wird.

Dass man nicht pauschal sagt, der Lieferant muss die NIS 2-Richtlinie einhalten, sondern es wird verlangt, welches Verschlüsselungssystem wird eingesetzt. Es wird definiert, welche technischen Standards einzuhalten sind oder es wird sogar definiert, welche Geräte zu liefern sind. Das macht das Doing erheblich einfacher im Vertrag, setzt aber natürlich den Aufbau von Sachkunde beim Kunden voraus.

Ohne dies aber aus meiner Sicht sowieso nicht geht. Vergleiche persönliche Haftung der Organe.

Technische Standards im Wandel: Was gesetzlich gefordert ist – und was nicht

[23:33 - 24:26] Bastian Elsner:
Habe ich so verstanden. Das ist natürlich auch super spannend, jetzt aus der Herstellerbrille da mal drauf zu schauen, wenn wir jetzt über NIS 2-konforme Geräte sprechen, über neue Sicherheitsstandards, über Verschlüsselungen zum Beispiel. Ich habe die Diskussion auch in Brüssel mitbekommen mit dem KNX Secure-Standard zum Beispiel.

Wir wissen ja noch gar nicht, ob KNX Secure in der Form, wie es heute dasteht, den NIS 2-Umsetzungsrichtlinien komplett gerecht wird oder ob man da noch nachschärfen muss. Und da kann ich auch die, ich nenne es mal, Beobachterstellung von vielen in der Branche verstehen. Wir warten jetzt erstmal ab, was dann tatsächlich kommt.

Aber so wie ich es bei dir verstanden habe, wird der neue Entwurf nicht zu weit weg sein vom alten, weil er sich einfach auf eine europäische Richtlinie bezieht. Und deswegen muss man auch gar nicht so arg in der Warteposition verharren, sondern kann mit gewissen Themen auch schon loslegen, oder? Genau so ist es.

[24:27 - 26:21] Kjell Vogelsang:
Und die Umsetzung der NIS 2-Richtlinie wird da auch wenig Konkretes liefern. Die Gesetze in diesem Bereich sind immer technologieoffen definiert. Es werden nie konkrete Standards gesetzlich geregelt, sondern es wird immer pauschal der Stand der Technik vorausgesetzt.

Das geschieht aus zwei Gründen. Erstens, wenn ich konkrete Standards vorgebe, würde ich andere Standards, die nicht benannt werden, die aber möglicherweise das gleiche Sicherheitsniveau haben, ausschließen, was eine Chancengleichheit verwehren würde. Zum anderen kann sich auch ein Gesetzgeber fatal irren, was die Sicherheit von einzelnen Standards angeht.

Und wenn die dann aber als ausreichend definiert sind, haben wir ein Sicherheitsproblem. Deshalb wird der Stand der Technik formuliert. Und der Stand der Technik hat aus gesetzgeberischer Sicht den Vorteil, aus Anwender-Sicht den Nachteil, dass er sich sehr schnell entwickelt.

Und der Stand der Technik entwickelt sich in der Regel schneller, als ein Gesetzgebungsverfahren hinterherkäme. Bedeutet tatsächlich, wir müssen immer mit dem Stand der Technik arbeiten und wenn es in der Gebäudeautomatisierung einen Stand der Technik gibt, der angreifbar ist, dann kann das schlimmstenfalls zur Folge haben, dass Gebäudeautomatisierung nicht mehr möglich ist. Das halte ich aber für ausgesprochen unwahrscheinlich, sondern ich gehe davon aus, dass der Stand der Technik sich sehr schnell dahingehend entwickeln wird, dass er nach menschlichem Ermessen, immer nach menschlichem Ermessen, unangreifbar erscheint.

Ein tatsächlich unangreifbares System gibt es nicht. Ich glaube, die Illusion hat niemand. Es ist aber immer die Frage, wie einfach kann man ein System angreifen und wie groß ist der Schaden, den ein Angriff erzielt.

IT-Sicherheit praktisch angehen: Erste Schritte für Unternehmen

[26:22 - 26:49] Bastian Elsner:
Ich höre da auch ganz arg das Thema Risikoanalyse, Risikobewertung raus und vor allen Dingen auch daraus folgende Handlungsempfehlungen und Umsetzungsempfehlungen. Wenn ich mich jetzt als Unternehmer oder als Unternehmen mit dem Thema auseinandersetzen möchte und mich auf das, was sicher kommt, vorbereiten möchte, wo fange ich dann am besten an? Ist der erste Schritt erstmal ein Audit oder gibt es auch einen niedrigschwelligen Einstieg in das Thema?

[26:49 - 32:55] Kjell Vogelsang:
Da gilt der gute alte Satz, jeder einzelne Schritt ist besser als kein Schritt. Es gibt da alle möglichen Allegorien, die man bemühen kann. Ich kann mich an ein japanisches Sprichwort erinnern, wenn du einen Weg von 1000 Metern vor dir hast, kommst du um den ersten Schritt einfach nicht drumherum.

Analog in der Gebäudedämmung, ein Sack aus Leinen ist eine bessere Dämmung als gar keine Dämmung. Das gilt auch in der IT-Sicherheit. Wenn ich bisher noch gar keine IT-Sicherheitsmaßnahmen ergriffen habe, bin ich schon weit vorne oder deutlich besser ausbestellt, wenn ich mir überhaupt das erste Mal über IT-Sicherheit Gedanken mache.

Die ersten Schritte dann sind aus meiner Sicht immer eine Bestandsanalyse. Was habe ich eigentlich an IT? Das ist überraschend häufig geschieht oder überraschend häufig geschieht das nicht in den Unternehmen.

Dann fragt man, was haben sie denn bisher im Einsatz? Das ist die Antwort, ja das weiß ich nicht, das ist historisch gewachsen. Ja das ist mir bewusst, dass Sachen historisch wachsen, aber ich kann eine IT nicht absichern, wenn ich meine IT nicht kenne.

Das heißt der aller allererste Schritt ist immer eine Bestandsanalyse. Was verwende ich überhaupt? Ich sollte meine Hardware katalogisieren und ich sollte meine Software katalogisieren.

Das heißt ein Asset-Management betreiben, dass ich genau weiß, wo habe ich welche Hardware stehen, was macht die und wo habe ich welche Software im Einsatz und was macht die. Wenn ich schon dabei bin, dann kategorisiere ich gleich noch die Netzwerktechnik, damit ich die auch im Griff habe und dann habe ich zumindest erstmal eine Grundkenntnis und weiß, worum ich mich überhaupt kümmern muss. Wenn ich diesen Schritt überspringe, meine ich, kann man keine Sicherheit produzieren.

Das heißt, das wäre aus meiner Sicht der erste Schritt und dann liefert Ihnen das zwei Richtlinie und auch das Umsetzungsgesetz im bisherigen Entwurf eine sehr schöne Reihenfolge, an der man sich entlang orientieren kann. Ich brauche nämlich erstmal ein Konzept zur Risikoanalyse und da muss ich erstmal ermitteln, welches Sicherheitsniveau habe ich überhaupt aktuell. Das ist im Prinzip die Fortsetzung der Bestandsanalyse von dem, was ich im Einsatz habe, dass ich mir das angucke und das Sicherheitsniveau ermittle.

Dann brauche ich ein Konzept zur Bewältigung von Sicherheitsvorfällen. Das heißt, ich muss mir erstmal Gedanken machen, was passiert, wenn welcher Teil der IT ausfällt. Denn nur wenn ich die Reichweite von Sicherheitsvorfällen mir bewusst mache, kann ich auch ermessen, welche Auswirkungen es gibt.

Es gibt das klassische Beispiel von dem Spaßbad, also ein Hallenbad mit allen möglichen Wasserrutschen und Freizeitgestaltungsmöglichkeiten, die natürlich immer auch Notfallpläne haben und dann kommt es, wie es kommen muss, der Strom fällt aus. Ich habe also 1500 Badegäste, die in der frierenden nassen Badeklamotten stehen, die nur die Notbeleuchtung an und die Verantwortlichen suchen hektisch die Notfallpläne. Blöd nur, wenn die dann auf einem PC abgespeichert sind, der nach Stromausfall natürlich nicht funktioniert.

Das ist die klassische Konsequenz dessen, dass man sich den Sicherheitsvorfall nicht zu Ende durchdacht hat. Das heißt, wir haben drei Schritte im Anfang. Erstmal Ermittlung der bestehenden IT, Ermittlung des bestehenden Sicherheitsniveaus und dann die, ja wie soll man das sagen, die Simulation eines Sicherheitsvorfalls.

Das heißt, Überlegungen treffen, welche Konsequenzen hat welcher Sicherheitsimpact. Das Beispiel des Stromausfalls verdeutlicht auch, dass es längst nicht immer nur Cyberattacken sind, die einen Probleme bereiten, sondern es können auch so Banalitäten sein, wie Stromausfall, Naturkatastrophen. Man denke nur an die Flutkatastrophen im Ahrtal vor drei Jahren mittlerweile, wo die ganzen Keller vollgelaufen sind, wo auch Serverkeller vollgelaufen sind.

Heißt tatsächlich auch, wenn ich mir vor Augen führe, was kann passieren, drängen sich auch sofort die ersten Lösungsmöglichkeiten auf. Wenn ich meine Server neben einem Fluss in einem Keller habe, wird mir schnell klar, dass ich möglicherweise einen anderen oder einen zweiten Serverstandort benötige, um sicherer aufgestellt zu sein. Das sind die Erwägungen, die dann automatisch kommen, wenn ich Sicherheitsvorfälle simuliere.

Daran anschließend ist folgende Überlegung zu stellen. Man kann es als Erkenntnis betrachten, es ist nicht die Frage, ob ich einen IT-Sicherheitsvorfall erleide. Die Frage ist, wann ich ihn erleide.

Bedeutet, wenn ich in meiner Sicherheitsarchitektur davon ausgehe, dass ich sowieso irgendwann einen Sicherheitsvorfall erleide, dann kann ich mir auch direkt Gedanken machen, was passiert, wenn ich ihn habe. Und dabei ist entscheidend, ein Sicherheitsvorfall ist nicht digital im Sinne von 1 oder 0. Es ist nicht so, dass ich einen Sicherheitsvorfall habe oder keinen Sicherheitsvorfall.

Genauso wenig, wie ich mit meinem eigenen Körper krank bin oder gesund. Wenn ich krank bin, habe ich dann einen Schnupfen, habe ich eine Grippe, habe ich Corona oder habe ich eine ernsthafte lebensbedrohliche Erkrankung. Das sind Riesenunterschiede und genauso ist es auch bei einem Cybervorfall.

Habe ich einen Cybervorfall, der tief in mein Unternehmen vordringt und meine gesamte IT-Infrastruktur lahmlegt, habe ich ein größeres Problem, als wenn nur ein einzelnes Notebook ausfällt. Bedeutet, wenn ich mir Gedanken mache, wie können Sicherheitsvorfälle mein Unternehmen lahmlegen und habe ich mir vorher Gedanken gemacht, wie sieht mein Unternehmen eigentlich aus, dann komme ich sehr schnell dazu, dass ich es schaffe, einzelne Bereiche vielleicht voneinander zu trennen, sodass ein Sicherheitsvorfall sich nicht fortsetzen kann. Das sind alles relativ banale Basisüberlegungen, die aber im Zweifelsfall eine sehr weitreichende Wirkung haben.

Sicherheit vs. Komfort: Wo ziehen wir die Grenze?

[32:56 - 33:52] Bastian Elsner:
Das finde ich super spannend, was du auch gerade das Beispiel mit dem Keller und den Serverräumen. Das hat mir echt geholfen, nochmal den Sachverhalt ein bisschen besser zu begreifen. Ich möchte noch kurz einhaken an das Thema, dass eben ein Cyber- Sicherheitsrisiko auch von einem System in das nächste System überwandern kann.

Da möchte ich kurz ein klein wenig technisch werden, weil das eben die Erneuerung ist von einem KNX-Secure-System. Da habe ich mal die tolle Anekdote gehört. Normalerweise haben wir unsere Haustür, die wir nach vorne hin abschließen, mit einem Schlüssel.

Bei KNX Secure, dadurch, dass wir noch verschiedene Passwörter hinterlegen können, FDSK und Security Codes, machen wir im Prinzip von Raum zu Raum eine weitere Tür, die wir genauso abschließen können und das war eben ein Thema, das davor noch nicht noch nicht möglich war und ich glaube, das geht genau in die Richtung, die du eben erwähnt hast, dass so eine Lücke eben nicht von einem System in das nächste, von einem Raum in den nächsten übertragen werden kann.

[33:53 - 37:41] Kjell Vogelsang:
Wobei wir da schon in einem sehr hohen Niveau sind, wenn ich tatsächlich konzentrische Kreise von Sicherheitsbereichen schaffen kann mit KNX Secure. Wir laufen, weil das ist ein sehr schönes Beispiel, deshalb, weil es verdeutlicht, dass wir in einen Komfortverlust laufen mit Sicherheit. Wenn ich meinen Mitarbeitern zumute, dass sie sich auf dem Weg zu ihrem Büro fünfmal authentifizieren müssen mit ihrer Chipkarte, dann ist das eine Komforteinbuße.

Wir kennen das alle von zu Hause. Wieder das Beispiel der Haustür. Was wäre es nicht praktisch, die Haustür nicht nur nicht abzuschließen, sondern auch auf der Außenseite keinen Türknauf zu haben, sondern einen Türdrücker.

Ich komme nach Hause, habe beide Hände voll mit Einkaufstaschen, muss nur mit dem Ellenbogen auf meinen Türdrücker drücken und ich bin in meinem Haus. Mache ich natürlich nicht, weil dann auch Dritte da rein können, was ich verhindern möchte. Ich muss also eine Einkaufstasche abstellen, den Schlüssel suchen, aufschließen.

Das Ganze im Regen voll bepackt, macht keinen Spaß. Habe ich noch nie gehört, dass sich jemand darüber beschwert, dass er seine Haustür zu Hause aufschließen muss, um hineinzukommen. Wir haben uns daran gewöhnt, an diese Komforteinbuße.

Und genauso muss es auch in der IT wahrscheinlich sich noch etwas fortsetzen, dass die ganzen Komforteinschränkungen, die man hinnehmen muss. Beispiel, ich werde von einem Mandanten auf den Teams-Kanal eingeladen und muss mich jedes Mal wieder einloggen und mit einer Zwei-Faktor-Authentifizierung freischalten. Das ist lästig, aber höchstgradig sinnvoll.

Komforteinbuße produziert aber Sicherheit. Und zurück jetzt zu den konzentrischen Kreisen mit dem jeweiligen Einloggen mit der Chipkarte. Was ist der IT-Sicherheitseffekt davon?

Ich muss, um zum Serverraum zu gelangen, wo ich als physischer Angreifer vielleicht hin möchte, nicht nur eine Zugangskontrolle kompromittieren, um hindurch zu gelangen, sondern ich muss fünf Zugangskontrollen kompromittieren oder die zentrale Steuereinheit kompromittieren. Wenn ich da bin, dann ist aber sowieso relativ viel zu spät. Das ist also ein starker Sicherheitsgewinn.

Und jetzt muss man schauen, ab wann wird es unverhältnismäßig. Das heißt, wie häufig müssen Mitarbeiterinnen und Mitarbeiter eigentlich durch diese fünf Schleusen durch oder reicht es nicht aus, wenn ich den Serverraum besonders kapsele, aber die einzelnen Büros eben nicht. Das ist genau die Erwägung, die ich in meiner Risikoanalyse vorbereite und dann hinterher in der Bewertung vornehmen kann, wie viele Zwischenschritte brauche ich, wie oft muss ich absichern.

Es macht zum Beispiel auch wenig Sinn, wenn die fünf Türen, durch die der Mitarbeiter sich jemals authentifizieren muss, wenn die für alle gleich beschaltet sind. Das heißt, wenn ich von irgendeinem Mitarbeiter eine Karte entwende und dann komme ich automatisch durch alle fünf Türen durch, dann ist das kein Sicherheitsgewinn. Das macht nur dann Sinn, wenn für jede Tür wirklich andere Zugriffsberechtigungen bestehen.

Und da muss man sich Gedanken machen, benötige ich das? Das sind genau die Überlegungen, die den Spagat oder den Interessenwiderstreit darlegen zwischen Komfort. Komfort am Arbeitsplatz bedeutet ja auch Effizienz.

Also das Komfortargument zielt nicht darauf ab, den Mitarbeiterinnen und Mitarbeitern ausschließlich ein schönes Leben zu bereiten, sondern es geht auch um die Effizienzsteigerung von betrieblichen Prozessen. Und ich habe auf der einen Seite das Interesse der effizienten betrieblichen Prozesse und auf der anderen Seite das Interesse der hohen IT-Sicherheit. Diese Interessen sind häufig gegenläufig.

Kosten und Konsequenzen: Was ist IT-Sicherheit wirklich wert?

[37:42 - 38:34] Bastian Elsner:
Ja, super spannender Punkt, den du anprichst. Ich hatte gerade die ganze Zeit noch den Gedanken, was ist denn auch mit den Kosten, weil ein Gebäude überhaupt mal cybersicher zu machen, ob ich jetzt über Zugangskontrollen spreche, das kostet ja auch alles Geld, das kostet Zeit, das kostet entsprechende Ressourcen, die Systeme überhaupt mal einzurichten. Und ich spreche so ein bisschen auch aus der unternehmerischen Perspektive.

Da muss man natürlich auch immer abwägen, wie weit man da gehen möchte. Selbstverständlich, wir sprechen hier über EU-Richtlinien, die entsprechend verpflichtet sind, beziehungsweise auch über die Umsetzungsrichtlinie in Deutschland dann verpflichtend werden. Aber ich denke, da ist trotzdem der Spagat, beziehungsweise aus unternehmerischer Sicht einfach der Hintergedanke, wie viel ist denn das Ganze überhaupt wert.

Aber ich denke, da greift auch wieder die Risikoanalyse und entsprechend welcher Schaden kann entstehen, wenn es zum Schadensfall kommt.

[38:35 - 41:00] Kjell Vogelsang:
Ja, genau. Und zwar die Schadenbetrachtung ist nicht isoliert vorzunehmen auf den Schaden des eigenen Unternehmens, sondern ausdrücklich muss man die Schäden auch betrachten, die dritten entstehen, also den Kunden und der Allgemeinheit. Genau das ist ja gewollt mit den S2-Richtlinien, dass man die gesellschaftlichen und gesamtwirtschaftlichen Auswirkungen zurückfährt.

Wieder Beispiel Lieferkette. Ich bin ein mittleres Unternehmen in einer Lieferkette und falle aus. Dann kann ich vielleicht meinen Hauptlieferanten eines großen Industrieunternehmens nicht beliefern.

Dieser Hauptlieferant kann das große Industrieunternehmen nicht beliefern. Und die großen Industrieunternehmen sind, was die Verletzlichkeit der Lieferkette angeht, sogenannte Riesen auf tönenden Füßen. Bedeutet, wenn auch nur ein kleines Rädchen in diesen komplexen Lieferketten steht, steht möglicherweise im großen Stil die Produktion.

Und diese Auswirkungen sind bei der Schadensbetrachtung mitzudenken. Das steht ausdrücklich so in der S2-Richtlinie drin und das ist auch genau der gewollte Effekt. Dass man die Empfindlichkeit der Lieferketten zurückfährt und die Resilienz oder die Robustheit der Lieferketten erhöht.

Heißt ja, die Schäden, die möglichen Schäden darf ich berücksichtigen bei der Beurteilung, welche Maßnahmen muss ich ergreifen. Aber ich muss eben die Schäden dritter mitdenken und vom Stand der Technik darf ich nur dann abweichen, wenn die Maßnahmen außer Verhältnis stehen zur Wirkung. Heißt, wenn ich eine Banalität elektronischerweise mache, zum Beispiel einen Geburtstagskalender führe, soweit datenschutzrechtlich zulässig, führe also ein Geburtstagskalender, dann muss ich den nicht mit extrem kostenpflichtig Maßnahmen absichern.

Denn wenn der Geburtstagskalender ausfällt, ist die Wirkung auf das Unternehmen ausgesprochen gering. Das heißt, den Geburtstagskalender kostenpflichtig zu verschlüsseln wäre in dem Fall wahrscheinlich außer Verhältnis. Muss man sich natürlich trotzdem angucken, was für empfindliche Daten da drin sind, muss man die Mitarbeiterdaten nicht schützen.

Das ist aber nicht der Fokus der NIS2-Richtlinie, das wäre der Fokus der DSGVO. Aber so würde man das in dem Fall denken.

Denkfehler und Realität: Warum IT-Sicherheit sich doch lohnt

[41:01 - 41:26] Bastian Elsner:
Verstanden. Kjell, an der Stelle vielen, vielen Dank auch für die vor allem sehr praxisnahen Beispiele. Das hilft extrem, das Verständnis gegenüber dem Thema besser aufzubauen.

Ich habe bei mir selber jetzt auch so ein paar Denkfehler entdeckt, auch während dem Gespräch, auch während der Vorbereitung, wo ich das Thema davor ein bisschen anders verstanden habe. Vielleicht noch mal die Frage zum Abschluss auch an dich. Was ist der häufigste Denkfehler, den du bei NIS2 erlebst?

[41:27 - 43:26] Kjell Vogelsang:
Also ich muss tatsächlich sagen, so echte Denkfehler erlebe ich eigentlich gar nicht. Ich sehe das eher wie so eine Spirale, in der man sich in eine höhere Kenntnis schraubt. In jedem Gespräch, sowohl aus Beratersicht, wie auch aus Beratenden Sicht, kommen neue Erkenntnisse dazu.

Also tatsächlich gibt es eine oft diffuse Sorge und einen Antrieb nicht, der NIS2-Richtlinie unterfallen zu wollen. Da gibt es beachtliche betriebswirtschaftliche Gründe für, das vermeiden zu wollen. Umgekehrt aber hat die NIS2-Richtlinie auch über den Charakter zum eigenen Glück gezwungen zu werden.

Heißt, wenn ich mich um meine IT-Sicherheit kümmere, dann bin ich automatisch besser aufgestellt und wenn ich dazu gezwungen werde, ein besonders hohes IT-Sicherheitsniveau zu erreichen, dann bin ich in diesem Bereich automatisch besser aufgestellt, werde mit einer hohen Wahrscheinlichkeit nicht Opfer eines Cyberangriffs oder zumindest aber sind die Schäden überschaubar, weil der Cyberangriff sich nicht so stark fortsetzen kann. Wo man vielleicht von Denkfehler sprechen kann, ist, dass die Umsetzung von Sicherheitsmaßnahmen nicht zu einem betriebswirtschaftlichen Benefit führt. Es werden in der Tat häufig nur die Kosten gesehen und es wird nicht gesehen oder es wird häufig nicht gesehen, wie viel Schäden man abgewendet hat.

Denn ein Schaden, den man nicht erleidet, den kann man schlecht bemessen. Diese Denke ändert sich häufig bei solchen Unternehmen, die bereits einmal Opfer eines Cyberangriffs waren und die bereits mal erlebt haben, wie viel Arbeit es macht und wie viel oder welch große Schäden entstehen tatsächlich, wenn man mal einen erfolgreichen Cyberangriff hatte im eigenen Unternehmen.

[43:26 - 44:35] Bastian Elsner:
Vielen Dank für den tollen Abschluss. Da vielleicht noch eine ganz kurze Ergänzung. Ich erinnere mich auch in den letzten Jahren an ganz viele prominente Beispiele bei uns hier im Umkreis.

Firma Bachmann zum Beispiel, wo das ERP-System gehackt worden ist. Das ging über Wochen und Monate, dass dort nicht richtig gearbeitet worden konnte und ich hoffe, dass wir mit der Folge ein Bewusstsein für das Thema schaffen konnten, dass das Bewusstsein nicht erst kommt, wenn das Kind bereits im Brunnen gefallen ist. An der Stelle herzlichen Dank, dass du das Thema so schön mit mir aufbereitet hast.

Vielen Dank, dass ich hier sein durfte. Bis bald. Und das war es auch schon heute mit der Ausgabe bei Menschen, Lebensräume und Technik.

Ich hoffe, dir hat die Folge gefallen und wenn du keine weiteren Folgen verpassen willst, dann abonniere gerne den Podcast. Weitere Informationen zu Folge findet ihr wie immer unten in den Shownotes. Bis zum nächsten Mal bei Menschen, Lebensräume und Technik.

Autor: Elsner Elektronik Redaktionsteam | Stand: 09/2025