Die NIS-2 Direktive als Startschuss für eine Security-Initiative im Unternehmen
Autor/Redakteur: Kristof Riecke, Field CISO DACH bei Rackspace Technology/gg
Seit einigen Wochen ist die neue Richtlinie NIS-2 zur Netz- und Informationssicherheit in Kraft und löst die Version NIS-1 ab. Mit ihr sollen sich Unternehmen und Organisationen in der Europäischen Union besser auf die hohe IT-Gefährdungslage einstellen. Doch nicht jedes Unternehmen ist davon betroffen und viele haben noch nicht einmal mit der Umsetzung begonnen. Doch da gemäß nationalem Recht die Umsetzung spätestens im Oktober 2024 erfolgt sein muss, ist jetzt die Zeit gekommen, mit dem Projekt zu beginnen.
Die NIS-2-Richtlinie zielt auf nahezu alle Unternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz über zehn Millionen Euro sowie zu den systemrelevanten Sektoren zählend:
- Energie (Strom, Öl, Gas, Wärme, Wasserstoff) und Industrie (vor allem Technik und Ingenieurwesen), Forschung, Raumfahrt
- Gesundheit (Versorger, Labore, Pharma), Chemie, Ernährung
- Verkehr (Luft, Schiene, Wasser, Straße)
- Banken- und Finanzmärkte
- Trink- und Abwasser, Abfallwirtschaft
- Digitale Infrastrukturen (Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD- Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud- Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken und Anbieter von Vertrauensdiensten) Digitale Dienste (Online-Marktplätzen, Suchmaschinen und soziale Netzwerke)
- öffentliche Verwaltung
- Post und Kurierdienste
Im Fokus der Richtlinie steht die Informationssicherheit in den Unternehmen. Es wird verlangt, dass sie geeignete und diverse technische, operative und organisatorische Maßnahmen ergreifen, um ausreichende Schutzmaßnahmen für ihre IT zu erreichen. Dazu zählen:
- Erstellung von Risikoanalyse- und Informationssicherheitskonzepten, Maßnahmen zur Bewältigung von Sicherheitsvorfällen
- Maßnahmen zur Betriebsaufrechterhaltung
- Sicherung der Lieferketten
- Sicherheitsmechanismen wie beispielsweise Mitarbeiterschulungen, Verschlüsselung, Multi-Faktor Authentifizierung, sichere Kommunikationswege und -mittel und Zugriffskontrollen
- Meldepflicht bei konkreten Sicherheitsvorfällen, die Auswirkungen auf alle vom Unternehmen geleisteten Dienste haben. Das bedeutet, innerhalb von 24 Stunden müssen Firmen den Behörden eine Frühwarnung übermitteln. Spätestens nach 72 Stunden muss ein Bericht über den Sicherheitsvorfall gegeben werden. In besonders schweren Fällen sollten unbedingt die Nutzer der Dienste eine Information erhalten.
Wirksame Maßnahmen für verschiedene Aufgabenfelder
Es ist empfehlenswert, alle zielführenden Security-Maßnahmen in drei Handlungsfelder aufzuteilen, nämlich in die technische Prävention sowie die detektiven und korrektiven To-Dos. Zur technischen Prävention gehört beispielsweise die Transformation von Unternehmensprozessen in die Cloud. Das kann die Public-, Private- oder Hybrid-Cloud sein, was immer auch am besten zum Unternehmen, seinen Anforderungen, seinem Geschäftsziel oder seiner Struktur passt. Das Handlungsfeld sollte folgende wesentliche Maßnahmen enthalten:
- zielführende Security-Aktivitäten und den Einsatz einer Cloud
- die Implementierung von Zero Trust Strategien und die notwendigen Umstrukturierungen im Unternehmen,
- eine Mehr-Faktor-Authentifizierung für interne und externe Zugriffe und alle privilegierten Benutzerkonten.
- regelmäßig umgesetzte Penetrationstests bei kritischen oder neuen Systemen.
- zuverlässige Backup-Systeme und getestete Recovery-Prozesse. Denn wenn etwas schief gehen kann, dann wird es auch irgendwann schief gehen. Auf solche unweigerlichen Fälle sollten Unternehmen vorbereitet sein, damit die kritischen Geschäftsprozesse stets verfügbar bleiben.
Das alles sollte von geeigneten organisatorischen Maßnahmen begleitet werden:
- Dokumentation aller Security- und Transformationsmaßnahmen
- Definition und Zuweisung von Rollen und Verantwortlichkeiten
- Schriftliche Fixierung von maßgeblichen Regelwerken sowie
- Umsetzung eines Schulungsprogramms für die Mitarbeiter
In den Bereich der detektiven Maßnahmen fallen
- alle Abläufe, die dazu dienen, Angriffe zu entdecken und und Schwachstellen zu identifizieren. Das sind Leistungen, die vor allem Cloud-Anbieter abdecken können, da dies zu ihren täglichen Aufgaben gehört.
- Besonders geeignete Detektionslösungen sind Extended oder Proaktive Detection & Response (XDR beziehungsweise PDR) sowie Advanced Monitoring & Resolution (AMR). Mit ihnen werden Sicherheitsvorfälle aufgespürt und automatisiert adäquate abwehrende Handlungen eingeleitet. Auch bei diesen Handlungsfeldern ist eine Beauftragung von spezialisierten Dienstleistern sinnvoll, um von deren Erfahrungswerten zu profitieren, die Unternehmen selten aufweisen können.
ZU den korrektiven Maßnahmen gehören
- die Aktualisierung und kontinuierliche Optimieren aller Security-Aktivitäten,
- die Cyber-Resilienz des Unternehmens,
- die Compliance,
- der Einsatz eines Plan-Do-Check-Act (PDCA)–Schemas,
- die gesammelten Erfahrungen und festgestellten Verbesserungsnotwendigkeiten,
- die Analyse vergangener Sicherheitsvorfälle
- sowie Prävention und Detektion