Ende Oktober wurden 70 Gemeinden gleichzeitig von einer Cyberattacke getroffen. Nicht direkt, sondern in ihrer “Lieferkette”: Der IT-Dienstleister Südwestfalen-IT, der die Systeme dieser 70 Gemeinden zentral betreibt, wurde Opfer einer Cyberattacke mit Ransomware.
Auswirkung:
- Keine KFZ-An- oder Abmeldung
- Kein Standesamt
- Kein Mails
- Keine Webseiten
- ….
Amtshilfe bekommen die Gemeinden jetzt von den umliegenden Städten – sofern dort die Kapazitäten vorhanden sind um die zusätzlichen Anfragen bzgl. KFZ-Meldungen & Co abzuwickeln.
Spannend zu beobachten war, dass keine der Gemeinden in irgendeiner Weise auf so ein Szenario vorbereitet war. Nach dem Motto “Wir haben doch einen Profi, der das zentral für 69 andere macht… da brauchen wir uns keine Sorgen machen”. Leider falsch gedacht. Notfallpläne gab es keine. Dass die Gemeinden natürlich nicht beurteilen können, ob der IT-Dienstleister sicher ist, war klar. Dass sie aber nicht damit gerechnet haben, dass da mal – bei aller Professionalität von IT-Dienstleistern – was passieren kann, ist leichtsinnig.
Genau darauf zielt die NIS2 ab:
Sie verpflichtet auch öffentliche Körperschaften die Lieferkette zu prüfen und Vorkehrungen zu treffen, dass sie ihre Dienstleistungen an die Bürger auch bei Ausfall der Lieferkette erbringen können.
(Umso erstaunlicher, dass es bei uns in Österreich die Diskussion gibt, ob man die “kleinen” Gemeinden nicht aus der NIS2 im Umsetzungsgesetz rausnimmt. Ich will mal den Bundes/Landes-Politiker sehen, der dann keinen Aufstand macht, wenn in seiner Gemeinde die Abwasserentsorgung oder Müllabfuhr nicht funktioniert. Da wird dann sicher im Speckgürtel von Wien laut geschrien von den Granden.)
Lessons learned:
NIS2 schreibt das vor, was für jedes Unternehmen selbstverständlich sein sollte und sichtlich wirklich absolut notwendig ist!
Ich unterstütze mit meinem Expertenteam jedes betroffene Unternehmen oder Organisationen dabei, die NIS2 umzusetzen – egal ob die IT im Haus oder extern ist.
Thomas Laszlo ist DER Experte für Notfallpläne. Schon seit Beginn seiner Karriere beschäftigt er sich mit dem Thema. Egal ob in der Hotellerie, als auch in der IT, wo er als IT-Leiter immer gleichzeitig Krisenmanager war. Seit 2019 begleitet er Unternehmen bei der Erstellung eigener Notfallpläne. Er ist Vortragender zum Thema Business Continuity bei diversen Wirtschaftsverbänden und IT-Kongressen.