IT-Security
In fünf Schritten zur NIS2-Konformität
Foto: BCFC - shutterstock.com
Der Negativtrend bei den Cyberattacken hält unvermindert an. Laut Bitkom betrugen die Cyberschäden im Jahr 2022 über 200 Milliarden Euro. 63 Prozent der Unternehmen gehen davon aus, dass sie in den kommenden zwölf Monaten Opfer von Cyberangriffen werden.
Je nach Branche kann ein erfolgreicher Angriff zu gravierenden gesellschaftlichen Folgen führen, weshalb die EU die Security-Richtlinien deutlich verschärft hat. Hierzu wurde im vorigen Dezember die neue Direktive für die Netzwerke und Informationssysteme 2.0 verabschiedet, die für alle "wichtigen und wesentlichen Sektoren" bindend ist und die bis Oktober 2024 umgesetzt sein muss.
Zu den "wesentlichen Sektoren" gehören Energie, Gesundheit, Transport, Finanzen, Wasser, Internet-Dienste, Telekommunikation, Raumfahrt und die Öffentliche Verwaltung. Zu den "wichtigen Sektoren" gehören: Post und Kurierdienste, Abfallwirtschaft, Chemie, Ernährung, Industrie (Technik und Ingenieurwesen), Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke) sowie die Forschung. Das BSI schätzt, dass etwa 30.000 Unternehmen von NIS2 betroffen sind.
Ein einfacher strukturierter Weg zur NIS2-Compliance
Was die Umsetzung angeht, so lassen sich einige grundlegende Arbeitsschritte definieren, die eine durchdachte und strukturierte Vorgehensweise ermöglichen. Der japanische Security-Anbieter Trend Micro hat das in einem Webinar sehr gut zusammengefasst. Dabei wird die Umsetzung in fünf Schritte aufgeteilt:
1. Erkennen und Bewerten der aktuellen Risiken
das gleiche, was bei jedem Transformationsprojekt am Anfang steht: Eine lückenlose Ist-Aufnahme, eine Situationsbewertung und das Entwickeln des Sollzustandes. Dabei bezieht sich die Situationsbewertung in diesem Fall auf die Sicherheitslage, also was ist wie und wo gefährdet - und welche potenziellen Schäden können daraus entstehen. Für diese Analysen gibt es verschiedene Tools und Methoden Wer damit nicht vertraut ist, sollte auf jeden Fall externen Rat hinzuziehen. Das besondere an dieser Bewertung ist jedoch, dass es kein einmaliger Prozess ist, sondern fortlaufend vorgenommen werden muss. Beispielsweise, weil sich als sicher eingestufte Systeme plötzlich als verwundbar erweisen, wie es bei Log4Shell der Fall war.
2. Implementieren der erforderlichen Sicherheitsmaßnahmen
Dieses ist der Hauptteil, denn hier wird die neue Sicherheitsarchitektur konkret implementiert. Kernstück sind zumeist bewährte Security-Lösungen, wie XDR von Trend Micro. Das Paket gehört zur cloudbasierten "Security-as-a-Service" Plattform "Trend Vision One", welche es den Unternehmen ermöglicht, ihre individuelle Bedrohungslage zu analysieren, identifizierte Risiken und Bedrohungen abzuwehren und automatisierte Gegenmaßnahmen zu definieren.
Dabei korreliert Trend Vision One alle bekannten Bedrohungsinformationen mit umfangreichen Telemetriedaten, die sowohl von eigenen Sensoren, als auch von Drittanbietern bereitgestellt werden. XDR sammelt und korreliert Informationen aus den übermittelten Sensordaten der angeschlossenen Produkte wie E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke des Unternehmens hinweg. Trend Vision One und XDR verfügen über das C5-Testat des BSIs.
3. Erfüllen aller regulatorischen Verpflichtungen
Hier sind speziell die NIS2-Auflagen gemeint. Dazu gehört die Kernfrage: "Bin ich überhaupt betroffen, und falls ja, in welcher Kategorie?" Denn die Umsetzung unterscheidet sich in vielen Punkten zwischen den "wichtigen" und den "wesentlichen" Sektoren. Außerdem gibt es Untergrenzen bei der Unternehmensgröße, für die es aber wieder Ausnahmen gibt. Wer unter NIS2 fällt, muss sich auf eine regelmäßige Auditierung, ähnlich dem Kfz-TÜV einstellen.
4. Überprüfen der Maßnahmen-Wirkung
Sind die getroffenen Maßnahmen wirklich ausreichend? - Diese Frage ist entscheidend für ein ruhiges Gewissen der Verantwortlichen. Für die Antwort, empfehlen sich Penetrationstests (Pen-Test) oder Red Teaming von Trend Micro. Beim Pen-Test wird ein System systematisch auf technische Schwachstellen überprüft, wogegen beim Red Teaming ein simulierter Angriff auf ein Unternehmen oder ein System erfolgt.
5. Vorbereiten auf den Ernstfall
Der letzte Punkt ist einer der wichtigsten: Die Vorbereitung auf den "Fall der Fälle", also auf einen erfolgreichen Cyberangriff. Das betrifft viel Organisatorisches: Wie wird der Fall gemanagt? Wie sieht die Kommunikation aus? Wer ist wann zu benachrichtigen? Wo sind die Recovery-Daten? Wie sind die Recovery-Prozeduren? Zur Lösung dieser Probleme bietet Trend Mikro eine Reihe an Tipps und Tools an.
Fazit
NIS2 erweitert die KRITIS-Gesetzgebung auf "wesentliche und wichtige" Einrichtungen. Dessen Umsetzung umfasst jedoch weitaus mehr als die Einführung eines neuen Produktes, denn praktisch sind davon alle Unternehmensbereiche in irgendeiner Form betroffen.