Richtig auf NIS-2 vorbereiten

Lesezeit
4 Minuten
Drucken
a- a+
Veröffentlicht Vor 1 Woche
Zuletzt aktualisiert Vor 1 Woche
Bis jetzt gelesen

Richtig auf NIS-2 vorbereiten

24.04.2024 - 07:41
Veröffentlicht in:

Bis zum 17. Oktober 2024 müssen zahlreiche Unternehmen ihre Informations- und Cybersicherheitsstrategien anpassen. Dazu gehören regelmäßige Penetrationstests und Meldesysteme für Cybervorfälle. Außerdem sind umfassende Risikobewertungen erforderlich. Die NIS-2-Richtlinie stellt Unternehmen vor Herausforderungen, bietet aber auch Chancen. Sie kann Organisationen sicherer und widerstandsfähiger machen. Insbesondere kleine und mittlere Firmen profitieren von klaren Handlungsanweisungen. Diese zeigen auf, welche Maßnahmen Priorität haben.

Bei der Vorbereitung auf NIS-2 profitieren Firmen von klaren Handlungsanweisungen. Diese zeigen auf, welche Maßnahmen Priorität haben. (Quelle: vvetc – 123RF)

Die Cyberkriminalität hat einen neuen Höchststand erreicht: 206 Milliarden Euro Schaden entstehen in Deutschland jährlich durch Datendiebstahl, Spionage und Sabotage - so die Zahlen der aktuellen Bitkom-Studie. Das setzt Unternehmen unter Zugzwang. In der Studie "Wirtschaftsschutz 2024" gaben 60 Prozent an, sich stark bedroht zu fühlen. Zudem sei die Zahl der digitalen Angriffe um sieben Prozent gestiegen. Sowohl die Unternehmen als auch der Gesetzgeber suchen nach Antworten, um in dieser Situation die IT-Infrastruktur grundlegend auf ein höheres Sicherheitsniveau zu bringen.

Eine dieser Antworten ist die Richtlinie (EU) 2022/2555 der Europäischen Union, besser bekannt als NIS-2. Sie ist eine Weiterentwicklung der bisherigen "Netzwerksicherheitsrichtlinie". Ihr Hauptziel ist es, den Schutz kritischer Infrastrukturen in ganz Europa zu verbessern. Darüber hinaus sollen entsprechende Schutzmaßnahmen vereinheitlicht, deren Durchsetzung verbessert und die Zusammenarbeit mit den Behörden gestärkt werden. Die Umsetzung erfolgt durch einen proaktiven Überwachungsansatz für einige Unternehmen und ein reaktives Überwachungssystem für andere, verbunden mit strengen Sicherheits- und Meldepflichten sowie Bußgeldern bei Nichteinhaltung.

Betroffene Branchen
NIS-2 betrifft eine Vielzahl von Organisationen, unterteilt in zwei Gruppen: "Essential Entities" (EE) aus den Sektoren

  • Energie,
  • Gesundheit,
  • Transport,
  • Bankwesen,
  • Finanzmärkte,
  • Trink- und Abwasser,
  • digitale Infrastruktur,
  • ICT-Servicemanagement,
  • Raumfahrt und
  • öffentliche Verwaltung.

Hinzu kommen "Important Entities" (IEs) aus den Sektoren

  • Post,
  • Kurierdienste,
  • Abfall,
  • Chemie,
  • Lebensmittel,
  • Industrie,
  • digitale Dienste und
  • Forschung.

Darüber hinaus gelten jeweils Schwellenwerte für die Beschäftigtenzahl und den Umsatz.

Bis zum 17. Oktober 2024 müssen die EU-Mitgliedstaaten NIS-2 in nationales Recht umsetzen. Für Unternehmen ergeben sich daraus hohe Anforderungen an Informationssicherheit, Risikomanagement und Cybersicherheit. Dies erfordert regelmäßige Penetrationstests, etablierte Systeme zur Meldung von Cybervorfällen und Risikobewertungen.

Kein Wunder, dass NIS-2 zumindest gefühlt zu einer langwierigen und komplexen Angelegenheit geworden ist. Gleichzeitig birgt der Zwang, sich mit der eigenen IT-Sicherheit zu befassen, auch eine enorme Chance. Unternehmensverantwortliche, die jetzt die richtigen Entscheidungen treffen und sinnvolle Maßnahmen ergreifen, erfüllen nicht nur den Auftrag des Gesetzgebers. Sie sorgen auch dafür, dass das eigene Unternehmen langfristig sicher und belastbar aufgestellt ist. Gerade kleine und mittlere Unternehmen ohne große Ressourcen für umfangreiche Audits, für die NIS-2 ebenfalls gelten wird, profitieren von einer klaren Anleitung, welche Punkte sie als Erstes umsetzen sollten. Dazu gehören die Nachfolgenden.

Starke Verschlüsselung
Ein zentrales Kriterium der NIS-2-Richtlinie ist der Schutz der Daten vor dem Zugriff unbefugter Dritter. Unternehmen sollten daher darauf achten, dass die in ihren Anwendungen eingesetzte Verschlüsselung dem Stand der Technik entspricht. Eine klare Empfehlung ist hier, nur Anwendungen einzusetzen, die Ende-zu-Ende verschlüsselt sind (E2EE), am besten nach dem Zero-Knowledge-Prinzip. Damit sind die Daten sowohl bei der Speicherung als auch bei der Übertragung von einem Gerät zum anderen geschützt. Bei einer Verschlüsselung nach dem Zero-Knowledge-Prinzip hat zudem nicht einmal der Provider Zugriff auf die Daten. Kommt es zu einem Hackerangriff, besteht die Beute nur aus Datensalat.

Sind sichere IT-Lösungen umständlich zu handhaben oder bremsen sie den Workflow, greifen Mitarbeitende schnell auf eigene Dienste zurück, die sich vielleicht im Privatleben bewährt haben. Der Aufbau einer solchen Schatten-IT kann jedoch gravierende IT-Sicherheitsrisiken mit sich bringen und sollte vermieden werden, beispielsweise durch die direkte Implementierung von Sicherheitslösungen in bereits genutzte Dienste.

So müssen die Mitarbeiterinnen und Mitarbeiter ihre gewohnte IT-Umgebung nicht verlassen und Anwendungen zum sicheren Datenaustausch werden ganz selbstverständlich genutzt. Zum souveränen Umgang mit Daten gehört auch das Wissen um die Risiken. Ein Weg sollte daher sein, allen Teammitgliedern entsprechendes Wissen zu vermitteln, für eine Grundausbildung im Sinne einer Digital Literacy im Erkennen von und im Umgang mit Cyber-Bedrohungen zu sorgen und dieses Wissen regelmäßig aufzufrischen.

Datenschutzpraktiken entlang der Lieferkette
Bei Lieferketten mit zahlreichen Beteiligten wie Lieferanten und Auftragnehmern muss ein umfassender Datenschutz auch beim Austausch digitaler Daten und Informationen außerhalb der eigenen Organisation zuverlässig funktionieren. Dabei gilt es zum einen, die Geschäftspartner sorgfältig auszuwählen und deren Datenschutzpraktiken so genau wie möglich zu prüfen. Zum anderen sollten für die Zusammenarbeit nur solche Kollaborationstools zum Einsatz kommen, die das digitale Eigentum aller Beteiligten schützen. Nur so können Zusammenarbeit und Datensicherheit gleichzeitig funktionieren.

Die Vorbereitung auf den Ernstfall ist eine der wichtigsten Maßnahmen, um die Resilienz des eigenen Unternehmens zu erhöhen. Im normalen Geschäftsbetrieb bindet dies viele Ressourcen. Tritt jedoch der Ernstfall ein, ermöglicht diese Vorbereitung ein strategisch überlegtes Handeln statt panischem Aktionismus. Unternehmen sollten daher über ein aktuelles Playbook verfügen, das unter anderem sicherstellt, dass im Ernstfall nur notwendige Mitarbeiter, Behörden und Computer Security Incident Response Teams Zugriff auf sensible Informationen haben.

Geschäftskontinuität sicherstellen
Geschäftskontinuität ist für Unternehmen der kritischen Infrastruktur besonders wichtig. Dies kann durch eigene Serversysteme mit entsprechender Konfiguration und Versorgung oder durch eine sichere Anbindung an die Cloud erfolgen. Letzteres hat den Vorteil, dass Mitarbeiter auch bei einem Ausfall des eigenen Systems jederzeit und von überall auf die in der Cloud gespeicherten Daten zugreifen können.

Schwachstellen gibt es in jedem Unternehmen. Damit diese nicht zu Stolpersteinen werden, ist ein offener Umgang mit ihnen notwendig. Am Anfang dieses Prozesses steht eine selbstkritische Analyse, wo welche Schwachstellen bestehen. Danach ist es ratsam, dass Organisationen und Behörden zusammenarbeiten, um Sicherheitsrisiken zu minimieren. Damit aber die Offenlegung der eigenen Schwachstellen kein Sicherheitsrisiko darstellt, ist darauf zu achten, dass die eingesetzten Kollaborationstools auf Cybersicherheit ausgelegt sind.

Zugriffskontrolle und Asset Management
Transparenz gehört in jedem Fall zum Thema Sicherheit, daher sollten Unternehmen Möglichkeiten schaffen und nutzen, mit der richtigen Software Einblicke zu erhalten, wer wann auf welche Dokumente zugegriffen hat. Nur so können verdächtige Ereignisse erkannt und entsprechende Maßnahmen eingeleitet werden. Darüber hinaus hilft ein granular konfigurierbares Zugriffs- und Rechtemanagement, die Datensicherheit im gesamten Unternehmen zu erhöhen.

Cyberbedrohungen verändern und entwickeln sich ständig weiter. Glücklicherweise gilt dies auch für die Cybersicherheitsmaßnahmen. Damit diese Fortschritte jedoch wirksam nutzbar sind, ist eine angemessene Wartung der IT-Systeme unerlässlich. Insbesondere vor der Entscheidung für eine neue Software oder digitale Plattform sollten Verantwortliche prüfen, ob diese regelmäßig mit neuen Patches und Versionen aktualisiert wird.

Fazit
Die Umsetzung von NIS-2 wird viele Unternehmen dazu zwingen, Maßnahmen zur Erhöhung ihrer Cyber-Resilienz zu ergreifen. Die Verantwortlichen sollten die Aufgaben, die mit der Einführung von NIS-2 auf sie zukommen, zum Anlass nehmen, einen kritischen Blick auf die eigenen (IT-)Infrastrukturen und Prozesse zu werfen. Sie können die Gelegenheit nutzen, nicht nur einen "Quick-Fix" zu installieren, sondern die Sicherheit des eigenen Systems strukturiert und mit Weitsicht für die Zukunft aufzustellen.

Wer auf der Suche nach einer neuen Lösung für sichere digitale Zusammenarbeit ist, sollte darauf achten, dass die oben genannten Punkte erfüllt sind. Denn die richtige Lösung hat das Potenzial, nicht nur Daten rundum zu schützen, sondern auch die Produktivität des gesamten Unternehmens zu steigern, indem der sichere Datenaustausch zum selbstverständlichen Bestandteil jeder Anwendung wird.

Durch Zusatzfunktionen wie digitale Signaturen schafft sie einen Mehrwert im bestehenden System und erleichtert die tägliche Arbeit der Mitarbeiterinnen und Mitarbeiter. Damit das funktioniert, sind zwei Aspekte unabdingbar: ein überzeugendes Verschlüsselungskonzept und kompromisslose Benutzerfreundlichkeit. So wird aus einer Notwendigkeit ein echter Mehrwert.

dr/ln/Szilveszter Szebeni, CISO von Tresorit.

Tags

Ähnliche Beiträge

Zero Trust funktioniert nur, wenn es im Netzwerk keine blinden Flecken gibt – Deep-Observability-Werkzeuge können hierbei helfen. (Quelle: welcomia – 123RF)

Zero Trust richtig umsetzen

Vor 4 Tagen von Redaktion IT-A…
Zero Trust ist mittlerweile state of the art in Sachen Sicherheit. Was dabei häufig unter den Tisch fällt: Ganzheitliche Sichtbarkeit – und zwar bis auf Netzwerkebene – ist die Grundvoraussetzung für das Konzept. Ausgerechnet hier scheitern bereits viele Unternehmen. Die Folge: Blind Spots nehmen ihnen die Sicht. Erfahren Sie im Fachbeitrag, warum Deep Observability bei einer Zero-Trust-Strategie nicht fehlen darf.
Ohne die Eingabe eines Passworts öffnet sich bei sayTRUST nicht einmal das Menü.Ohne die Eingabe eines Passworts öffnet sich bei sayTRUST nicht einmal das Menü.

Im Test: sayTEC sayTRUST VPSC

Vor 6 Tagen von Redaktion IT-A…
Mit VPNs stellen Administratoren den Zugriff für mobile User zur Verfügung. Jedoch ist es nicht immer gewollt, dass die Endgeräte auch zum Teil des Netzwerks werden. Zudem bringen klassische VPNs nach wie vor eine Reihe von Unzulänglichkeiten mit sich, etwa in der Verwaltung oder bei der Performance. Mit sayTECs sayTRUST VPSC steht ein anderer Weg des geschützten Zugangs offen, der im Test überzeugte.
Planen Sie, Teile Ihrer lokalen Infrastruktur dauerhaft zu Azure auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. (Quelle: merznatalia – 123RF)

Sicherheit in Microsoft Azure (3)

Vor 2 Wochen von Redaktion IT-A…
Hybride Szenarien lassen sich je nach eingesetzter Technologie in der Cloud relativ schnell aufbauen. Dies ist etwa für Testszenarien interessant. Planen Sie aber, Teile Ihrer lokalen Infrastruktur dauerhaft auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. In der Cloud warten hier ganz neue Security-Aspekte – und das gleich auf verschiedenen Ebenen. Im letzten Teil des Workshops geht es unter anderem darum, wie Sie mit Microsoft Defender for Cloud für Sicherheit sorgen und warum Sie den Zugriff auf virtuelle Server einschränken sollten.

Copyright © 2023, Heinemann Verlag