Jüngst war die Medikamentenversorgung einem digitalen Sandsturm ausgesetzt: Der Pharmagroßhändler AEP im bayerischen Alzenau fiel einer Ransomware-Attacke zum Opfer. Am Folgetag gab der BR immerhin Teilentwarnung und meldete, Patienten müssten nicht um ihre Medikamentenversorgung bangen. Da Apotheken in der Regel mit mehreren Pharmagroßhändlern zusammenarbeiten, konnten die ausgefallenen Lieferungen ausgeglichen werden. Trotz dieser Lastverteilung in der Pharma-Lieferkette verdeutlichte dieser Vorfall die Dringlichkeit, nicht nur kritische Einrichtungen wie Energieversorger und Krankenhäuser, sondern auch zahlreiche weitere Unternehmen besser gegen Cyberangriffe zu wappnen.

Stellen wir uns folgendes Szenario vor: Möglicherweise staatlich gestützte Ransomware-Banden legen in einer orchestrierten Aktion die zehn größten bundesweit tätigen Pharmagroßhändler lahm. Schon würde in ganz Deutschland die Versorgung mit Arzneien versiegen. Und in vielen IT-Umgebungen reicht eben schon ein einziger Mitarbeiter, der leichtsinnigerweise einen unbekannten E-Mailanhang öffnet oder auf einen Phishing-Link klickt, um der Angreiferseite über seinen Endpunkt Zugang zum Unternehmensnetz zu verschaffen.

Auf die Minderung unter anderem solcher Risiken zielt die EU-Richtlinie NIS 2 ab. Denn in Brüssel hat sich längst herumgesprochen, wie groß die Angriffsfläche für organisierte Cyberkriminalität und hybride Kriegsführung ist. Unter hybrider Kriegsführung verstehen Fachleute den Mix aus herkömmlicher militärischer und anderen Arten national gesteuerter Aggression, darunter wirtschaftliche, propagandistische oder eben digital gestützte Aktionen. Diese reichen von Fake News bis hin zu gezielten Cyberangriffen durch staatsnahe APTs (Advanced Persistent Threats), also professionell organisierte Angreifergruppen.

Letztere haben für den Aggressor den Vorteil, dass sich eine Staatsbeteiligung leicht abstreiten lässt. Nach Erkenntnissen der Fachwelt sind die Grenzen zwischen politischer und finanziell motivierter Cyberkriminalität fließend [1]. Und das Hauptproblem vieler Unternehmen ist derzeit eben diese kriminelle Variante. Laut einer Bitkom-Umfrage vom letzten Sommer unter 1003 Unternehmen waren 81 Prozent in den vergangenen zwölf Monaten von Datendiebstahl, Cyberspionage oder Sabotage betroffen, weitere zehn Prozent vermuten dies. Dabei konnten laut der Studie 70 Prozent der Unternehmen, die Opfer wurden, Angriffe der organisierten Kriminalität zuordnen [2]. Die Cybersicherheitslage ist somit ernst, auch ohne den "Cyberkrieg" zu bemühen – den es in der alleinigen Form, die der Begriff suggeriert, laut Experten ohnehin nicht gibt.

Angesichts dieser angespannten Lage aktualisiert die EU die NIS-1-Richtlinie aus dem Jahr 2016. Diese konzentrierte sich rein auf kritische Einrichtungen (hierzulande kritische Infrastruktur oder kurz Kritis genannt; ein Begriff, den es in den EU-Regularien nicht gibt). NIS 2 – offizieller Name: "Richtlinie (EU) 2022/2555 des Europäischen Parlaments und Rates" [3] – fordert von volkswirtschaftlich wesentlichen oder auch lediglich wichtigen Einrichtungen ein striktes Cyberrisikomanagement.

Die EU-Richtlinie erweitert den Einzugskreis ihrer Vorgängerin von sieben wesentlichen Branchen auf elf: Zu Energieversorgung, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser und digitaler Infrastruktur gesellen sich Abwasser, Managed IT-Services im Business-to-Business-Bereich, die öffentliche Hand und die Raumfahrt. Hinzu kommen außerdem sieben als nicht wesentlich, aber zumindest wichtig eingestufte Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Chemieindustrie/-handel, Lebensmittelindustrie/-handel, Teile der Industrie (EDV, elektrische Ausrüstung, Fahrzeugbau, Maschinenbau, Medizinprodukte), Anbieter digitaler Dienste (gemeint sind zum Beispiel Online-Marktplätze, Suchmaschinen und soziale Medien) sowie das breite Feld der Forschungseinrichtungen.

Unter die Richtlinie fallen Unternehmen mit mindestens 50 Beschäftigten und mindestens zehn Mio. Euro Jahresumsatz oder Bilanzsumme. Es gibt aber auch eine Handvoll Ausnahmen von dieser Mindestgrenze: Für Kritis-Betreiber gilt sie ebenso wenig wie für zentrale Akteure im digitalen Umfeld, also Top-Level-Domain-Registrare, DNS-Provider und Anbieter von Trust Services.

Damit betrifft NIS 2 hierzulande laut deutschem Gesetzgeber rund 30.000 Unternehmen direkt. Doch die EU-Richtlinie dürfte in der Praxis noch weit größere Kreise ziehen. Denn Organisationen, die unter NIS 2 fallen, müssen auch die Sicherheit ihrer Lieferketten überprüfen. Und wenn beispielsweise ein Zulieferer mit einem Chemiekonzern auf digitale Weise verbunden ist, etwa über Schnittstellen des Bestellsystems, dann wäre es mutig, gegenüber dem Kunden zu argumentieren: "Wir setzen NIS 2 nicht um, denn wir haben ja nur 49 Mitarbeiter." Einem solchen Lieferanten dürfte der Konzern recht schnell den Laufpass geben.

NIS 2 legt stolze 144 sogenannte Erwägungsgründe dar und umfasst 46 Artikel. Diese sind allerdings vorrangig an die EU-Mitgliedsstaaten gerichtet und behandeln Aspekte von der Zuständigkeit von Behörden bis zur Einrichtung nationaler Notfallteams (Computer Security Incident Response Teams, CSIRTs). Für den Alltag der IT-Abteilungen in Unternehmen sind vor allem die Artikel 21 und 23 von Belang. Diese befassen sich damit, wie die NIS-2-Vorgaben technisch umzusetzen sind.

Artikel 21 fordert von wichtigen und wesentlichen (im Juristendeutsch: "besonders wichtigen") Einrichtungen, dass sie "geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten."

Wichtig ist hier die Formulierung "verhältnismäßig": Kein Zehn-Mitarbeiter-Betrieb muss befürchten, er müsse ein Security Operations Center (SOC) zur 24/7-Überwachung einrichten und sich ISO-27001-zertifizieren lassen. Ohne Zertifizierung allerdings dürfte künftig der Nachweis der NIS-2-Konformität mit einigem bürokratischem Aufwand verbunden sein, etwa wenn das Unternehmen an Ausschreibungen NIS-2-relevanter Organisationen teilnimmt.

Die Risikomanagement- beziehungsweise Cybersicherheitsmaßnahmen sollen nach NIS 2 unter Berücksichtigung des Stands der Technik, gegebenenfalls einschlägiger Normen sowie der Kosten "ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist". Die Gefährdungslage des Unternehmens sei dabei ebenso in Betracht zu ziehen wie die "Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen".

Wichtig ist also letztlich, die Risikolage zu analysieren, angemessene Abwehrmaßnahmen zu treffen und all dies zu dokumentieren. Explizit nennt Artikel 21 eine Reihe von Mindestmaßnahmen:

- Konzepte bezüglich Risikoanalyse und Sicherheit von Informationssystemen.

- Bewältigung von Sicherheitsvorfällen.

- Aufrechterhaltung des Betriebs, etwa Backupmanagement und Wiederherstellung nach einem Notfall, inklusive Krisenmanagement.

- Sicherheit der Lieferkette.

- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Schwachstellenmanagement und -offenlegung.

- Konzepte und Verfahren, um die Wirksamkeit von Risikomanagement-Maßnahmen im Bereich der Cybersicherheit zu bewerten.

- Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit.

- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung.

- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen.

- Einsatz von Systemen zur Multifaktor-Authentifizierung (MFA) oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Unternehmen, deren Cybersicherheitsarchitektur sich an der ISO 27001 orientiert, sollten dies im Wesentlichen bereits umgesetzt haben. Mit Artikel 23 kommen allerdings selbst für sie neue Berichtspflichten hinzu: Betroffene Firmen müssen das zuständige CSIRT oder die zuständige Behörde – hierzulande wohl vorrangig das Bundesamt für Sicherheit in der Informationstechnik (BSI) – "unverzüglich" über jeden Sicherheitsvorfall unterrichten, der "erhebliche Auswirkungen" auf die Erbringung ihrer Dienste hat. Zudem müssen sie gegebenenfalls die Empfänger ihrer Dienste informieren, falls der Sicherheitsvorfall wiederum deren Geschäft beeinträchtigen könnte.

Ein solcher Vorfall mit erheblichen Auswirkungen auf den Betrieb zieht eine Reihe von Meldevorgängen nach sich:

- Eine Frühwarnung "innerhalb von 24 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls" mit Angabe "ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte",

- innerhalb von 72 Stunden eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads, der Auswirkungen sowie gegebenenfalls Indicators of Compromise (Angriffsmerkmale),

- gegebenenfalls auf Ersuchen des CSIRT oder der zuständigen Behörde ein Zwischenbericht über relevante Statusaktualisierungen,

- spätestens einen Monat nach Meldung des Sicherheitsvorfalls ein Abschlussbericht mit ausführlicher Beschreibung des Sicherheitsvorfalls,

- im Fall eines andauernden Vorfalls ein Fortschrittsbericht nach spätestens einem Monat und ein Abschlussbericht innerhalb eines Monats nach Behebung des Sicherheitsvorfalls.

Beachtenswert ist hier die Formulierung "nach Kenntnisnahme": Ein kleiner Mittelständler, der kein eigenes SOC unterhält, erfährt womöglich erst am Montagmorgen von einem Vorfall, der schon am Freitag nach Betriebsschluss stattgefunden hat. Dann würde nach Angabe von Experten auch die Meldepflicht erst am Montag beginnen. Unabhängig davon wäre es natürlich wünschenswert (und vielleicht sogar Stand der Technik), von solchen Vorfällen zeitnah zu erfahren. Wer das nicht selbst zu leisten in der Lage ist, könnte erwägen, dies auszulagern. Nicht umsonst berichteten die Anbieter von MDR-Services (Managed Detection and Response) auf der Securitymesse it-sa im Herbst 2024 von einer sehr hohen Nachfrage.

Eine EU-Richtlinie ist kein Gesetz, vielmehr muss jeder Mitgliedsstaat sie erst einmal in nationales Recht fassen – und die Deadline dafür war der 17. Oktober 2024. Deutschland hinkt dabei hinterher und ist damit EU-weit beileibe nicht allein. Die deutsche Rechtsverordnung mit dem wohlklingenden Namen "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" (NIS2UmsuCG), im Juli vom Bundeskabinett beschlossen, sollte im Frühjahr 2025 kommen [4]. Doch die vorgezogenen Bundestagswahl droht, dies zu verzögern. Problematisch ist dies vor allem für Unternehmen, die sich kurzfristig auf NIS 2 vorbe- reiten wollen. Denn in dieser juristischen Dünenlandschaft fußen NIS-2-Projekte bislang auf sandigem Grund.

Zu manchen Securityaspekten wie etwa MFA macht NIS 2, wie oben gesehen, sehr konkrete Vorgaben. Wie aber die "Bewältigung von Sicherheitsvorfällen" auszusehen hat, dazu verweist die EU-Richtlinie lediglich auf den "Stand der Technik". Dies ist sinnvoll, da dieser sich rasant weiterentwickeln kann. Schließlich will keine Rechtsverordnung Maßnahmen fordern, die eventuell schon im Folgejahr veraltet sind. Hier kann es sich für Unternehmen gegebenenfalls lohnen, externe Rechts- und IT-Experten hinzuzuziehen, um bewerten zu lassen, ob sie das Geforderte angemessen umsetzen.

"Die Bewältigung von Sicherheitsvorfällen meint alle Maßnahmen und Verfahren zur Verhütung, Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen oder die Reaktion darauf und die Erholung davon – und damit ist die Definition denkbar weit gefasst", kommentiert Professor Dennis-Kenji Kipker, Research Director beim cyberintelligence.institute. Kipker berät als Sachverständiger die Bundesregierung wie auch die EU-Kommission. Kürzlich hat er – neben anderen Securitypersönlichkeiten wie Timo Kob von HiSolutions und BSI-Präsidentin Claudia Plattner – eine umfangreiche, kritische Stellungnahme zum neuesten Entwurf des NIS2UmsuCG verfasst.

Einer seiner Hauptkritikpunkte, wie auch der diverser anderer Beobachter: Die Rolle des BSI ist im Entwurf sehr unscharf und schwach gefasst. Dies steht im Widerspruch zum Konzept einer starken nationalen Security-Aufsichtsbehörde, das NIS 2 impliziert. Zudem moniert Kipker zahlreiche Unschärfen der Begriffsbestimmungen im Entwurf jenes Gesetzes, an dem sich künftig Zehntausende Unternehmen orientieren sollen. Dies betreffe sogar Basisbegriffe wie "Schwachstelle" und "Sicherheitsvorfall".

Ungeachtet dessen können Unternehmen sich aber nach Angaben von Fachleuten schon jetzt sinnvoll auf das NIS2UmsCG vorbereiten: IT-Verantwortliche kommen mittels Orientierung an bestehenden Best-Practice-Regelwerken wie der ISO 27001 und oft auch einfach mit gesundem Menschenverstand schon sehr weit. Mit Blick auf Gefahren wie Ransomware ist für IT-Teams dabei natürlich die Frage besonders wichtig, wie sie die Endpoints im Unternehmen schützen – und wie, falls dieser Schutz versagt, mit Sicherheitsvorfällen umzugehen ist.

So vage der Begriff "Stand der Technik" zunächst scheinen mag, so konkret sind die NIS-2-Anforderungen, Sicherheitsvorfälle zeitnah zu melden. Allein dadurch ergeben sich einige technische und organisatorische Maßnahmen für das Endpoint-Management praktisch von selbst. Denn ohne die folgenden Bausteine wäre es schwierig, notfalls vor Gericht eine Einhaltung des Stands der Technik für sich zu reklamieren:

- Ein wie auch immer geartetes, aber gut dokumentiertes Information-Security-Management-System (ISMS) – also Methoden, Workflows und Software zur Wahrung der Informationssicherheit.

- Eine Software zum Schutz von Endpunkten, um Viren, Malware et cetera möglichst zu vermeiden.

- Organisatorische Abläufe, um erforderliche Schritte schnell und nachweislich umzusetzen.

- Organisatorische Abläufe, um Vorfälle fristgerecht der Geschäftsführung und gegebenenfalls Behörden zu melden.

Damit stehen einige Fragen im Raum: Reicht für Windows-Clients ein Basisschutz mittels Microsoft Defender? Genügt meine Drittanbieter-Antivirensuite? Muss ich Bedrohungen mittels einer Endpoint-Protection-Plattform (EPP) minimieren oder gar zur Abwehr eine Endpoint-Detection-and-Response-Software (EDR) installieren? Hier können sich IT-Teams an Best Practices wie etwa dem IT-Grundschutz-Kompendium des BSI von 2023 [5] orientieren. Das BSI empfiehlt unter anderem ein ISMS und für den Endpunktschutz ein Patch- und Änderungsmanagement. Letzteres kann manuell oder automatisiert erfolgen, also mittels Endpoint-Management-Software. Dazu heißt es im Grundschutz-Kompendium: "Grundsätzlich SOLLTEN Patches zeitnah nach Veröffentlichung eingespielt werden. Basierend auf dem Konzept für das Patch- und Änderungsmanagement MÜSSEN Patches zeitnah nach Veröffentlichung bewertet und entsprechend priorisiert werden." Eine Automatisierung etwa per Unified-Endpoint-Management (UEM) ist also ratsam.

Für die zentrale Verwaltung und Behandlung von Sicherheitsvorfällen rät das BSI zu einem zentralen Softwaresystem. Auch hier legt das Amt im Kompendium nicht nur Wert auf die Reaktionsfähigkeit, sondern auch auf die Dokumentation: "Die Protokollierung von sicherheitsrelevanten Ereignissen des Systemmanagements SOLLTE in ein Security Information and Event Management (SIEM) eingebunden werden. Dabei SOLLTE nachvollziehbar festgelegt werden, welche Ereignisse an das SIEM weitergeleitet werden." Das SIEM- oder generell zentrale Securitysystem ist idealerweise mit dem Endpoint-Management-Tool über Schnittstellen verzahnt. Das ermöglicht automatisierte Meldungen von Vorfällen auf Endpunkten an das SIEM-System ebenso wie umgekehrt die zügige Identifikation und gegebenenfalls Isolation von Endpunkten, die Angriffen zum Opfer gefallen sind.

Heißt "Stand der Technik" aber, dass ein Unternehmen ein EPP oder EDR implementieren muss? Im Hinblick darauf ist laut Kipker davon auszugehen, dass "jegliche Maßnahme, die zur Erreichung dieser Ziele [also der Bewältigung von Sicherheitsvorfällen; die Redaktion] geeignet ist, auch einen Beitrag zur Umsetzung von NIS 2 leisten kann". Er betont, dass dies eben nicht die Einführung bestimmter Lösungen wie etwa einer EDR-Software bedingt – auch wenn dies in manch einer Marketingbroschüre anders klingen mag. "Damit", so IT-Rechtsexperte Kipker, "wird gleichzeitig der technologieoffene Charakter von NIS 2 deutlich, sich nicht an einer bestimmten technischen Lösung oder an einem festgeschriebenen Verfahren zur Verbesserung der Cybersicherheit bindend zu orientieren." Vielmehr gehe es bei NIS 2 darum, "generelle Maßnahmen und Ziele vorzuschlagen, die dann im Einzelfall – gegebenenfalls durch zusätzliche behördliche Konkretisierung – für die Praxis ausgestaltet werden können." Kurz: Je mehr Automatisierung, desto besser, aber gesetzlich vorgeschrieben ist das nicht.

Ein heiß diskutierter Aspekt: NIS 2 macht Cybersecurity im Wortsinn zur Chefsache. Denn die Richtlinie führt eine Managerhaftung ein. So heißt es in §38 des NIS2UmsuCG-Entwurfs: "Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach §30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen." [6] Geschäftsleitungen, die diese Pflicht verletzen, so der Gesetzesentwurf weiter, "haften ihrer Einrichtung für einen schuldhaft verursachten Schaden".

Angehörige der Geschäftsführung besonders wichtiger oder wichtiger Einrichtungen müssen zudem regelmäßig an Schulungen teilnehmen, sodass sie ausreichende Kenntnisse erlangen, um Cybersecurity-Risiken erkennen und bewerten zu können – das ist neu. Es kann den IT- und IT-Securityteams nur recht sein, dass die Verantwortung für die Cybersicherheitslage des Unternehmens letztlich auf den Schultern der Geschäftsführung ruht. Denn dieser Umstand sollte es ihnen – hoffentlich – erleichtern, dass die Führungsetage Budgets für Sicherheitsmaßnahmen bewilligt.

Allerdings bedeutet diese Rechtslage nicht, dass die IT-Teams in Sachen Verantwortlichkeit für Cybervorfälle nun aus dem Schneider wären. "NIS 2 verlangt nicht nur, dass sich die Geschäftsleitung des Themas Cybersicherheit annimmt", so Kipker. Vielmehr fordere die Richtlinie auch Konzepte zur Risikoanalyse und Sicherheit für IT-Systeme, Maßnahmen zur Aufrechterhaltung des Betriebs inklusive Notfall- und Krisenmanagement sowie Personalsicherheit. "Damit ist klar, dass nicht nur das Management zur Umsetzung in der Pflicht steht", so Kipker, "wenngleich es natürlich nach außen hin, wie bei allen anderen betrieblichen Entscheidungen auch, die Letztverantwortung trägt."

Das Management könne aber im Unternehmen nur die generellen Vorgaben, Richt- und Leitlinien setzen, die Umsetzung hingegen müsse über alle betrieblichen Verantwortungsebenen verteilt erfolgen. "Insoweit bleiben auch die einzelnen Teams für ihr Handeln verantwortlich", mahnt der Experte, "und damit einher gehen sollten auch eindeutig festgeschriebene Berichtspflichten gegenüber der Führungsebene." Wie im Notfall in Bezug auf die Aufsichtsbehörde, so gilt im Alltag also gegenüber der Geschäftsleitung eine Berichtspflicht. Sprich: Das IT-Team muss nicht nur Schutzmaßnahmen umsetzen, sondern das Umgesetzte auch in angemessener Weise dokumentieren – tue Gutes und rede darüber!

NIS 2 und das verspätete NIS2UmsuCG haben für einige Verunsicherung gesorgt – und auch für reichlich Unmut über den erhöhten bürokratischen Aufwand. Dabei zeigen die zahllosen Sicherheitsvorfälle der letzten Zeit immer wieder: Viele Unternehmen haben über Jahre oder gar Jahrzehnte hinweg zu wenig in die Modernisierung ihrer IT- (und übrigens auch OT-) Sicherheit investiert. Das rächt sich nun. In Zeiten flächendeckender Digitalisierung, organisierter Cyberkriminalität und hybrider Kriegsführung ist es angebracht, von volkswirtschaftlich wichtigen oder gar wesentlichen Unternehmen ein solides Cyberrisikomanagement einzufordern. Der Forderungskatalog der EU umfasst nicht nur Sicherheitsmaßnahmen nach dem Stand der Technik wie Backups, MFA et cetera, sondern auch Schulungen für Führungsriege und Belegschaft. Gerade letztere Maßnahme, da dürften sich IT-Fachleute einig sein, kann sicher nie schaden.

Für IT-Teams, die ihre Umgebungen bereits nach dem Stand der Technik abgesichert haben, ändert sich eigentlich nicht viel. Auf sie kommen lediglich neue Berichts- und Meldepflichten samt der dafür nötigen Workflows und leider auch Zeitaufwände zu. Wesentliche und wichtige Einrichtungen, die ihre IT-Umgebungen immer noch nicht nach dem Stand der Technik geschützt haben, müssen nun allerdings nachrüsten – und das ist gut so. NIS 2 dürfte dabei Leuchtturmwirkung entfalten: Auch Unternehmen jenseits der als wesentlich oder wichtig definierten Einrichtungen sind gut beraten, im Rahmen des ihnen Möglichen entsprechende Schutzmaßnahmen zu erwägen.

Schließlich haben Angreifergruppen eine unangenehme Vorliebe dafür, den Weg des geringsten Widerstands zu gehen. Wenn Deutschlands 30.000 wichtigsten Unternehmen einmal gut geschützt sind, dann haben Nummer 30.001 und folgende eine große Zielscheibe auf der Brust. Und niemand will bei der nächsten Angriffswelle erleben, dass sich sein Verteidigungsbollwerk als schnell unterspülte Sandburg erweist.