Die neue EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) verschärft die IT-Sicherheitsanforderungen für kleine und mittlere Unternehmen (KMU) erheblich. Bei dem Projekt „KMU.kompetent.sicher.“ werden die Firmen mit Richtlinien-konformen Trainingsinhalten unterstützt, die von der Universität Paderborn, der Universität Hohenheim, dem Innovationsnetzwerk InnoZent OWL und dem IT-Dienstleister coactum GmbH entwickelt worden sind. Auf die neue Richtlinie zugeschnittene Schulungsangebote helfen KMU dabei, ihre individuelle Betroffenheit in Bezug auf die NIS-2-Richtlinie einzuschätzen, Lücken zu identifizieren und geeignete Maßnahmen einzuleiten. Das Projekt hat eine Laufzeit von drei Jahren und wird vom Bundesministerium für Wirtschaft und Klimaschutz mit rund 1 Million Euro gefördert.
Die Richtlinie verpflichtet Unternehmen in den meisten Sektoren zu umfassenden Sicherheitsstrategien, Risikoanalysen und zur Meldung von Sicherheitsvorfällen. Durch die Einbindung in Lieferketten und die damit oft verbundene digitale Vernetzung betrifft sie indirekt nahezu alle Unternehmen, auch KMU. Zu den Vorgaben gehören Maßnahmen wie Zero-Trust-Grundsätze, regelmäßige Software-Updates, sichere Gerätekonfiguration und Identitätsmanagement. Mitarbeitende sollen zudem für Bedrohungen wie Phishing oder Social-Engineering sensibilisiert werden. Der Wirtschaftsinformatiker Prof. Dr. Simon Thanh-Nam Trang von der Universität Paderborn hebt hervor: „Das NIS-2-Umsetzungsgesetz wird in Deutschland schätzungsweise 30.000 Unternehmen betreffen, darunter viele KMU, die oft mit begrenzten Ressourcen im Bereich IT-Sicherheit kämpfen.”
Maßgeschneiderte und praxisorientierte Trainingseinheiten: NIS-2-Anforderungen effizient umsetzen
Die bestehenden Schulungs- und Qualifizierungs-Angebote, die von den Projektpartner*innen bereits in den Vorgängerprojekten „KMU. Einfach Sicher.“ und „ITS.kompetent” entwickelt wurden, werden nun an NIS-2 angepasst und in handlungsorientierte „Learning Nuggets”, also kleine Lernaktivitäten überführt. Prof. Dr. Julia Warwas von der Universität Hohenheim, Professur für Wirtschaftspädagogik, sieht in den Lerneinheiten viele Vorteile: „Wir möchten die vielschichtigen Inhalte zu IT-Sicherheit in kleine, digitale, modular aufgebaute Lerneinheiten verpacken. Diese Learning Nuggets lassen sich dann in einem individuellen Tempo und zeitlich flexibel absolvieren, sodass man sie persönlich gut mit seinem Berufsalltag vereinbaren kann.”
Um den Nutzer*innen einen niedrigschwelligen Zugang zu IT-Sicherheitsthemen zu vermitteln, setzen die Projektpartner*innen zudem auf einen praxisnahen Ansatz mit Storytelling-Elementen. „In Form von True-Crime-Beispielen zeigen wir in den Trainingsinhalten u. a., wie Phishing, eine Form des Internetbetrugs, funktioniert und welche Konsequenzen daraus entstehen können”, erklärt Dominik Niehus, Geschäftsführer von coactum GmbH. Dabei werden reale Fälle analysiert und anschaulich gezeigt, wie Angreifende vorgehen, um sensible Daten zu stehlen, und welche Maßnahmen wirksam schützen können. Alina Kornbach von InnoZent OWL fasst zur Relevanz der Kompetenzentwicklung im Bereich der IT-Sicherheit zusammen: „Insbesondere für kleine und mittlere Unternehmen wird ein hohes Maß an Cybersicherheit zu einem immer entscheidenderen Wettbewerbsfaktor werden.”
Projektkonsortium: Interdisziplinäre Basis zur Entwicklung NIS-2-konformer Lösungen
Die Universität Paderborn, vertreten durch den Lehrstuhl für Wirtschaftsinformatik (Prof. Dr. Simon Trang) im Rahmen des SICP – Software Innovation Campus Paderborn, bringt fundierte Expertise in den Bereichen Informationssicherheitsmanagement und Compliance ein. Ergänzt wird dies durch die Universität Hohenheim, deren Team um Prof. Dr. Julia Warwas sich auf die didaktische Gestaltung beruflicher Handlungskompetenzen spezialisiert hat. Das Technologienetzwerk InnoZent OWL e.V. bietet durch seine langjährige Erfahrung im Technologietransfer praxisnahe Unterstützung für KMU. Die coactum GmbH bringt ihre Erfahrung in der Entwicklung und dem Betrieb nachhaltiger E-Learning-Plattformen ein.
