Der Schlüssel zur NIS2-Konformität liegt in der Identitätssicherheit
Autor/Redakteur: Klaus Hild, Solution Engineering Enterprise Manager, DACH & MEA bei SailPoint/gg
Die rasante Entwicklung der digitalen Welt hat eine Reihe neuer Herausforderungen mit sich gebracht, insbesondere im Bereich der Cybersicherheit. Angesichts der wachsenden Bedrohung durch Cyberangriffe und der Notwendigkeit, sensible Daten und kritische Infrastrukturen zu schützen, hat die Europäische Union NIS2 verabschiedet. Diese Richtlinie legt strenge Sicherheitsstandards fest und verpflichtet Unternehmen, konkrete Maßnahmen zur Stärkung ihrer Cybersicherheit zu ergreifen. Unternehmen haben bis zum 17. Oktober 2024 Zeit, NIS2 umzusetzen. Wie kann ein ganzheitliches Identitätsmanagement Unternehmen bei der NIS2-Konformität unterstützen?
Risikoanalyse und Sicherheit von Informationssystemen
Unternehmen sind verpflichtet, Sicherheitskonzepte zu entwickeln, in denen Identitäten klar geregelt und verwaltet werden. Dazu gehören Punkte wie die Verwendung von personalisierten gegenüber generischen Accounts, der Umgang mit und die Kontrolle von privilegierten Accounts sowie die Umsetzung von Prinzipien wie Least Privilege und Zero Trust. Darüber hinaus müssen Unternehmen proaktiv Personen mit risikobehafteten Zugängen identifizieren. Identity Management gibt einen ganzheitlichen Überblick über die aktuellen Zugriffsrechte eines Netzwerks – Abweichungen können schnell erkannt und korrigiert werden.
Bewertung der Risikomanagementmaßnahmen
Häufig haben Unternehmen Schwierigkeiten, die Wirksamkeit von Sicherheitsmaßnahmen zu bewerten oder Schwachstellen zu identifizieren, die dennoch bestehen bleiben. Viele Unternehmen zögern Mitarbeitenden sofort den Zugang zu entziehen, sobald sie diesen nicht mehr brauchen. Zero-Trust-Ansätze setzen voraus, dass berechtigte Personen nur Zugriff auf die Systeme erhalten, die sie für ihre Aufgaben benötigen – und das mit den geringstmöglichen Rechten. Durch diese Maßnahmen können Unternehmen sicherstellen, dass ihre Sicherheitsmaßnahmen stets den aktuellen Bedrohungen und Risiken entsprechen.
Sicherheit der Lieferkette
NIS2-Konformität bedeutet auch Sicherheit in der Lieferkette. Dabei stellen Nicht-Mitarbeitende wie Lieferanten, Zulieferer, Partner und Auftragnehmer ein besonderes Risiko dar. Unternehmen werden zunehmend indirekt Opfer von Cyberattacken durch Angriffe von externen Identitäten. Diese Art von Angriffen löst sogar Malware- und Ransomware-Attacken ab. Es besteht klarer Handlungsbedarf: Alle Identitäten, die Zugang zu den Systemen eines Unternehmens haben, müssen verwaltet werden. Ganz nach dem Motto Vertrauen ist gut, Kontrolle ist besser, müssen Unternehmen sicherstellen, dass interne und externe Beschäftigte nur zu den nötigen Ressourcen Zugriff haben.
Grundlegende Cyberhygiene
Eine solide Cyberhygiene ist für die NIS2-Konformität eines Unternehmens unerlässlich. Dies erfordert ein umfassendes Verständnis der gesamten IT-Infrastruktur sowie der Zugriffsrechte der Mitarbeitenden. Dazu gehört auch eine starke Passworthygiene, um das Risiko weiter zu minimieren. Identity Governance sorgt dafür, dass nicht für alle Konten das gleiche Passwort verwendet wird und ermöglicht ein automatisiertes Zugriffsmanagement. Darüber hinaus verpflichtet NIS2 die Unternehmen, ihre Mitarbeiter, Partner und alle Personen innerhalb des Unternehmens in Fragen der Cybersicherheit und der damit verbundenen Risiken zu schulen.
Sicherheit des Personals
Die „Sicherheit des Personals“ schließt die Verwaltung von Benutzeridentitäten als grundlegenden Bestandteil der Cybersicherheit ein. Angesichts der zunehmenden Anzahl gezielter Angriffe auf Benutzerkonten durch Cyberkriminelle, ist eine rollenbasierte Zugriffskontrolle unerlässlich. Dies ermöglicht es Unternehmen, unterschiedliche Ressourcen und Berechtigungsstufen zu definieren. Dieser Identity-Governance-Ansatz sollte durch künstliche Intelligenz und maschinelles Lernen unterstützt werden. So können Nutzer kontextsensitiv auf die benötigten rollenbasierten Ressourcen zugreifen. Der Verwaltungsaufwand für IT- und Sicherheitsteams sinkt, Schwachstellen können proaktiver und zuverlässiger identifiziert werden.
Die NIS2-Richtlinie stellt strengere Anforderungen an die Cybersicherheit europäischer Unternehmen. Identitätssicherheit spielt dabei eine wesentliche Rolle. Unternehmen sollten daher jetzt wirksame Maßnahmen zur Identitätssicherheit ergreifen, um die Sicherheit ihrer Daten und Systeme rechtzeitig zum 17. Oktober gewährleisten zu können.