ArtikelSecurity

Wie Unternehmen NIS2 konfliktfrei implementieren

Autor/Redakteur: Richard Werner, Business Consultant bei Trend Micro/gg

Die nationale Umsetzung von NIS2 hat das Potenzial, schwelende Konflikte zwischen IT-Security-Abteilung und Chefetage zu verstärken. Damit alle Abteilungen in Zukunft gemeinsam an einem Strang ziehen können, brauchen sie ein besseres Verständnis füreinander und die richtige technische Grundlage. Nur so kann die Sicherheit und damit die Wirtschaftlichkeit des deutschen Mittelstandes geschützt werden.

Quelle: Trend Micro

Mit NIS2 erinnert der Gesetzgeber die Geschäftsführer in Deutschland deutlich daran, dass Cyberrisiko-Management Chefsache ist und die Verantwortung dafür nicht delegiert werden kann. Dieser Weckruf kann auch dazu führen, dass alte Konflikte zwischen IT-Security und Geschäftsführung neu aufflammen. Der Konflikt entsteht dabei – wie bei so vielen menschlichen Reibereien – aus dem Spannungsgefüge zwischen verschiedenen Motiven und Ansichten. Die Geschäftsführung ist in der Regel an schnellen und günstigen Prozessen interessiert. Sicherheitsmaßnahmen werden oft als bremsend und teuer empfunden. Die Mitarbeiter in der IT-Security hingegen sind als Fachkräfte mit Cyberabwehr und Netzwerksicherheit beschäftigt. Ihre Aufgabe ist es, das Unternehmen sicher zu machen.

Dies darf aber nicht zu Stillstand oder Überteuerung führen. Zwischen veralteten Compliance-Vorschriften und modernen Sicherheitskonzepten gibt es viel Spielraum und es müssen immer wieder Kompromisse gefunden werden. Meinungsverschiedenheiten können zu Konflikten führen oder in einem gänzlichen Vertrauensverlust münden, was letztlich das ganze Unternehmen gefährdet. Damit Cyberabwehr gelingt und gleichzeitig unternehmenseigene Prozesse nicht empfindlich gestört werden, braucht man eine enge Kooperation zwischen IT-Security und Geschäftsführung auf Vertrauensbasis.

Das gelingt aber nur mit der richtigen technischen Grundlage. Denn nur wenn die Cyberabwehr den absoluten Überblick hat, können die gewonnen Daten als Grundlage für eine offene und nahtlose Kommunikationskultur zwischen IT-Security und Chefetage dienen. Hier kommen Attack Surface Risk Management (ASRM) und Extended Detection and Response (XDR) ins Spiel.

Risikomanagement umsetzen und kommunizieren mit ASRM und XDR

NIS2 erklärt das Risikomanagement von IT-Infrastrukturen sowie Werkzeuge zur Angriffserkennung zur Pflicht von Unternehmensleitungen und definiert ein Strafmaß im Falle der Nichteinhaltung. Geschäftsführungen sind deshalb zukünftig noch deutlich stärker auf die Zuarbeit der IT-Sicherheitsmitarbeiter angewiesen. Diese müssen belegbare Fakten bereitstellen, um ihre Unternehmensleitung in die Lage zu versetzen, die richtigen Entscheidungen zu treffen. Je fundierter die Daten, desto einfacher ist es für alle Beteiligten, Ihre Aufgaben zu erfüllen. ASRM und XDR wurden dafür konzipiert, die Faktenlage sowohl im Normalbetrieb (ASRM) als auch im Ernstfall (XDR) zur Abwehr von Cyberangriffen bereitzustellen.

ASRM ermittelt dabei automatisiert und KI-gestützt den Risiko-Score des Unternehmensnetzwerks. Die Technologie nutzt die Perspektive des Angreifers, indem sie interne Daten von angeschlossenen Sensoren sammelt und mit Sicherheitsinformationen aus zahlreichen externen Quellen wie Regierungsbehörden, Polizeiorganisationen, Sicherheitsunternehmen und Analysten korreliert. Über ein Dashboard können sich die Verantwortlichen jederzeit auf dem Laufenden halten. Sobald ein bestimmter Schwellenwert überschritten wird, gibt die Lösung eine Warnung aus und zeigt an, welche Systeme betroffen sind. Zudem bietet ASRM Empfehlungen für Gegenmaßnahmen und ermöglicht auf Wunsch eine automatisierte Risikomitigierung.

Ein Unternehmen muss stets in der Lage sein, einen Cyberangriff schnell zu erkennen und zu stoppen, um den Schaden zu begrenzen. XDR ist hierfür die effektivste Lösung. Die Technologie sammelt Bedrohungsinformationen aus allen angeschlossenen Systemen, korreliert sie KI-gestützt zu verwertbaren Warnungen und schafft Transparenz in der gesamten IT-Umgebung. So sinkt die Zahl der False Positives und die Verantwortlichen erhalten einen Überblick, was passiert ist, welche Systeme betroffen sind und wo Handlungsbedarf besteht.

Sowohl ASRM als auch XDR lassen sich in eine einzige Cyber-Sicherheitsplattform integrieren. Dort können sie von einer zentralen Stelle aus überwacht und gesteuert werden. Beide Technologien verwenden die gleichen Sensoren und interagieren miteinander: XDR kann ein Risiko genauer untersuchen, sobald es vom ASRM-System erkannt wurde und umgekehrt wird der Risikostatus im ASRM sofort angepasst, wenn die XDR-Lösung Anzeichen eines Cyberangriffs detektiert. Zusammen verringern die beiden Technologien die Eintrittswahrscheinlichkeit und das Ausmaß von Cyberattacken.

Für mittelständische Unternehmen mit kleineren IT-Abteilungen bietet es sich dabei an, ein solches System im Managed Service umzusetzen und zu betreiben. So sparen sie sich Arbeitsaufwand und Kosten. Zudem ist es empfehlenswert, regelmäßig im Unternehmen ein „Red Teaming“ durchzuführen, um sicherzustellen, dass die Notfallpläne und -werkzeuge im Ernstfall funktionieren. Denn im Rahmen von Red Teaming werden die Reaktionsmaßnahmen unter realen Bedingungen getestet.

Ausblick: NIS2-Umsetzung gelingt nur mit vertrauensvoller Kommunikation

Die beste Cyberabwehr nützt wenig, wenn die Zusammenarbeit im Team nicht funktioniert oder die Kommunikation zwischen den verschiedenen Abteilungen gestört ist. Um eine effektive Kommunikation zwischen allen Beteiligten zu gewährleisten und die Technologie stets auf dem neuesten Stand zu halten, empfiehlt sich eine Kombination aus XDR und ASRM, die optional im Managed Service betrieben wird. Auf diese Weise gelingt es, die technischen Anforderungen von NIS2 zu erfüllen und gleichzeitig eine vertrauensvolle Zusammenarbeit zwischen den verschiedenen Abteilungen, einschließlich IT-Sicherheit und Management, sicher zu stellen. Chefetage und IT-Security ziehen somit am selben Strang und vermeiden Konflikte.