Der richtige Einsatz von Cyber Security ist inzwischen wichtiger denn je. Aufgrund der zunehmenden Bedrohungen wächst das Angriffsrisiko stetig. Das hat auch der Gesetzgeber erkannt und die NIS2-Richtlinie ins Leben gerufen. Axians gibt Tipps, wie Unternehmen jetzt vorgehen sollen.
Eine Viertelmillion neuentdeckte Schadprogrammvarianten, 2.000 identifizierte Schwachstellen in Softwareprodukten pro Monat, 21.000 neuinfizierte Systeme täglich, 68 erfolgreiche Ransomware-Angriffe und zwei Versuche pro Monat allein auf Kommunaleinrichtungen oder kommunale Betriebe. Im aktuellen Cyber-Security-Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden alarmierende Zahlen genannt: Das Amt warnt davor, dass Kriminelle sich weiterentwickeln. Professionelle Cyberkriminelle sind heutzutage weit vernetzt und arbeiten arbeitsteilig. Sie nutzen für ihre Attacken künstliche Intelligenz (KI) und andere moderne Technologien.
Wegen dieser Bedingungen in der Cyber-Security-Landschaft hat die EU die Richtlinie NIS2 erlassen. Die Anforderungen der Richtlinie fließen derzeit in nationale Gesetze ein und müssen bis zum 17. Oktober 2024 festgeschrieben werden. Alle betroffenen Institutionen sind dann verpflichtet, eine Reihe an Cyber-Security-Maßnahmen umzusetzen.
Welche Vorgaben müssen Unternehmen für NIS2 erfüllen?
Betriebe müssen unter anderem ein Risikomanagement-Konzept vorweisen, Notfallpläne einführen und Sicherheitsvorfälle an das BSI melden. Es sind technische Schutzvorkehrungen vorgeschrieben, wie eine systematische Datensicherung, Konzepte für die Zugriffskontrolle, Verschlüsselung sowie Schwachstellenmanagement. Analog zum IT-Sicherheitsgesetz 2.0 schreibt NIS2 auch vor, dass Unternehmen die Schwachstellen ihrer Lieferketten in der Sicherheitskonzeption berücksichtigen müssen, damit Kriminelle nicht über Zulieferer in Systeme eindringen können. Es ist wichtig, den Stand der Technik endgültig umzusetzen, indem Sicherheitsstandards und Prozesse, die bereits vor NIS2 als Best Practices empfohlen wurden, berücksichtigt werden.
Wer in den letzten Jahren darauf geachtet hat, seinen Betrieb nach den gültigen Standards gegen Kriminelle abzusichern, muss nur wenige Anpassungen vornehmen, um die Anforderungen zu erfüllen. Doch Unternehmen und Institutionen, die jetzt erstmals in den NIS2-Bereich fallen und das Thema Cyber Security bisher stiefmütterlich behandelt haben, stehen jetzt vor großen Herausforderungen. Um sich auf die Anforderungen vorzubereiten, sollten neu hinzugekommene Unternehmen frühzeitig Maßnahmen zum Schutz ergreifen. Der Weg zum Ziel führt über fünf Schritte.
Ist das Unternehmen von der NIS2 Gesetzgebung betroffen?
Zunächst sollten Unternehmen klären, ob sie zum erweiterten Kreis der NIS2-Regelung zählen. Hierbei gibt es zwei Hauptgruppen: Betreiber kritischer Anlagen und „besonders wichtige“ oder „wichtige“ Einrichtungen. Entscheidend ist, ob diese Betriebe in Wirtschaftssektoren tätig sind, die der Regulierung unterliegen. Gerade hier herrscht noch viel Unsicherheit. Um Klarheit zu schaffen, sollten Unternehmen sich folgende Fragen stellen: Bin ich in einem der regulierten Sektoren tätig? Grenzt mein Betrieb an die offiziellen Schwellenwerte? Ist der Umsatz hoch genug und stimmt die Anzahl der Mitarbeitenden? Wenn diese Fragen mit Ja beantwortet werden können, gelten die NIS2-Schutzvorgaben. Es empfiehlt sich jedoch für alle Betriebe – unabhängig davon, ob sie unter NIS2 fallen oder nicht – die eigenen Sicherheitskonzepte auf den Prüfstand zu stellen und zu überprüfen, ob sie dem Stand der Technik entsprechen. Zuständige IT-Verantwortliche sollten auch nicht vergessen festzulegen, welche Bereiche des Betriebs geschützt werden müssen.
Wie sicher ist die IT-Infrastruktur?
Im nächsten Schritt gilt es herauszufinden, wo die größten Schwachstellen liegen. Wie ist die Cybersicherheit im Unternehmen aufgestellt? Wie hoch ist das aktuelle Schutzlevel? Eine Risikobewertung zeigt, womit die Security-Strategie am besten anfängt – nämlich dort, wo Unternehmen die schnellsten Verbesserungen erzielen können. Danach sollten Anwender den Vorgang in regelmäßigen Abständen wiederholen. Eine kontinuierliche Bewertung kann dazu beitragen, die Resilienz der IT schrittweise zu erhöhen.
Wie steht es um die Sicherheit der Supply-Chain?
Bei der verpflichtenden Risikobewertung sollten nicht nur die eigenen Unternehmensrisiken eine Rolle spielen, sondern auch die spezifischen Schwachstellen der Lieferkette berücksichtigt werden. Wenn Schwachstellen identifiziert werden, gilt es Gegenmaßnahmen zu ergreifen, um die regulatorischen Vorgaben einzuhalten und die Schnittstellen zu schützen. Dabei helfen beispielsweise External Attack Surface (EAS) Scans. Es empfiehlt sich, proaktiv zu handeln und eine Risikoanalyse durchzuführen, um mögliche Schwachstellen in den Lieferketten zu identifizieren. Anschließend können betroffene Einrichtungen mit ihren Zuliefer-Unternehmen ein gemeinsames Sicherheitskonzept ausarbeiten.
Welches System ist für die Angriffserkennung geeignet?
Um die vorgeschriebene Sicherheit der Informationssysteme zu gewährleisten, sind auch Systeme zur Angriffserkennung empfehlenswert. Für viele Unternehmen ist die Implementierung einer Security Information and Event Management-Lösung (SIEM-System) ratsam, da sie als Basis für einen Großteil der Angriffserkennungssysteme gilt. Das SIEM sammelt Daten, die auch in einem Security Operations Center (SOC) ausgewertet werden können. Es liefert nützliche Informationen für den IT-Betrieb, wie beispielsweise Hinweise auf Fehlkonfigurationen. Die Vielzahl an SIEM-Optionen bietet zahlreiche Möglichkeiten, um den firmeneigenen Bedürfnissen gerecht zu werden. Unternehmen können sich beispielsweise entscheiden, ob sie ein selbstverwaltetes SIEM-System oder die Dienste eines professionellen SOC nutzen möchten. Die Bandbreite der angebotenen Services reicht von einem eigenem Inhouse-Betrieb oder einem co-verwalteten SIEM bis hin zu vollständig gemanagten IT/OT SOC-Services von externen ICT-Dienstleistern wie Axians.
Wie sieht ein sinnvolles Security-Konzept für NIS2 aus?
Es ist wichtig, nicht nur IT-Sicherheitssysteme aus Hard- und Software anzuschaffen, sondern auch Regeln und Verfahren zu etablieren, die kontinuierlich die Informationssicherheit definieren, steuern, kontrollieren, aufrechterhalten und fortlaufend verbessern. Unternehmen können nach dem Baukastenprinzip vorgehen: Zunächst sollten Schritte unternommen werden, die das Sicherheitslevel schnell erhöhen. Anschließend kann der Schutz Stufe für Stufe erweitert werden. Sicherheitsstandards wie der BSI-Grundschutz oder ISO 2700x sowie eine Zero-Trust-Architektur können als Orientierung dienen. Vor allem die Orientierung am Grundschutzkompendium bietet eine große Hilfestellung, da es einen Best-Practice-Katalog an Sicherheitsmaßnahmen enthält.
Der Gesetzgeber hat den Ernst der Lage erkannt und mit neuen Regularien die Anforderungen verschärft. Die wachsende Bedrohungslage zeigt, dass Unternehmen die Umsetzung direkt angehen sollten. Um sich nicht in technischen Detailentscheidungen zu verlieren, können sie Unterstützung von erfahrenen ICT-Dienstleistern wie Axians in Anspruch nehmen. Diese implementieren bei Kunden täglich Systeme, wie sie von der NIS2-Regelung vorgeschrieben werden. Professionelle Assessments, Beratung im Vorfeld und kontinuierliche Begleitung helfen, schnell eine geeignete Strategie zu entwickeln und entlasten IT-Abteilungen in Unternehmen.
Mehr bei Axians.com
Über Axians
Axians unterstützt privatwirtschaftliche Unternehmen, öffentliche Einrichtungen, Netzbetreiber und Service Provider bei der Modernisierung ihrer digitalen Infrastrukturen und Lösungen. Ob Applikationen oder Data Analytics, Unternehmensnetze, Shared Workspace, Data Center, Cloud-Lösungen, Telekommunikationsinfrastrukturen oder Internetsicherheit.