{"id":23197,"date":"2023-04-17T11:10:00","date_gmt":"2023-04-17T09:10:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=23197"},"modified":"2023-04-11T10:55:55","modified_gmt":"2023-04-11T08:55:55","slug":"die-nis-2-direktive-als-startschuss-fuer-eine-security-initiative-im-unternehmen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=23197","title":{"rendered":"Die NIS-2 Direktive als Startschuss f\u00fcr eine Security-Initiative im Unternehmen"},"content":{"rendered":"\n

Autor\/Redakteur: Kristof Riecke, Field CISO DACH bei Rackspace Technology<\/a>\/gg<\/p>\n\n\n\n

Seit einigen Wochen ist die neue Richtlinie NIS-2 zur Netz- und Informationssicherheit in Kraft und l\u00f6st die Version NIS-1 ab. Mit ihr sollen sich Unternehmen und Organisationen in der Europ\u00e4ischen Union besser auf die hohe IT-Gef\u00e4hrdungslage einstellen. Doch nicht jedes Unternehmen ist davon betroffen und viele haben noch nicht einmal mit der Umsetzung begonnen. Doch da gem\u00e4\u00df nationalem Recht die Umsetzung sp\u00e4testens im Oktober 2024 erfolgt sein muss, ist jetzt die Zeit gekommen, mit dem Projekt zu beginnen.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Rackspace Technology<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Die NIS-2-Richtlinie zielt auf nahezu alle Unternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz \u00fcber zehn Millionen Euro sowie zu den systemrelevanten Sektoren z\u00e4hlend:<\/p>\n\n\n\n

    \n
  • Energie (Strom, \u00d6l, Gas, W\u00e4rme, Wasserstoff) und Industrie (vor allem Technik und Ingenieurwesen), Forschung, Raumfahrt<\/li>\n\n\n\n
  • Gesundheit (Versorger, Labore, Pharma), Chemie, Ern\u00e4hrung<\/li>\n\n\n\n
  • Verkehr (Luft, Schiene, Wasser, Stra\u00dfe)<\/li>\n\n\n\n
  • Banken- und Finanzm\u00e4rkte<\/li>\n\n\n\n
  • Trink- und Abwasser, Abfallwirtschaft<\/li>\n\n\n\n
  • Digitale Infrastrukturen (Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD- Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud- Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken und Anbieter von Vertrauensdiensten) Digitale Dienste (Online-Marktpl\u00e4tzen, Suchmaschinen und soziale Netzwerke)<\/li>\n\n\n\n
  • \u00f6ffentliche Verwaltung<\/li>\n\n\n\n
  • Post und Kurierdienste<\/li>\n<\/ul>\n\n\n\n

    Im Fokus der Richtlinie steht die Informationssicherheit in den Unternehmen. Es wird verlangt, dass sie geeignete und diverse technische, operative und organisatorische Ma\u00dfnahmen ergreifen, um ausreichende Schutzma\u00dfnahmen f\u00fcr ihre IT zu erreichen. Dazu z\u00e4hlen:<\/p>\n\n\n\n

      \n
    • Erstellung von Risikoanalyse- und Informationssicherheitskonzepten, Ma\u00dfnahmen zur Bew\u00e4ltigung von Sicherheitsvorf\u00e4llen<\/li>\n\n\n\n
    • Ma\u00dfnahmen zur Betriebsaufrechterhaltung<\/li>\n\n\n\n
    • Sicherung der Lieferketten<\/li>\n\n\n\n
    • Sicherheitsmechanismen wie beispielsweise Mitarbeiterschulungen, Verschl\u00fcsselung, Multi-Faktor Authentifizierung, sichere Kommunikationswege und -mittel und Zugriffskontrollen<\/li>\n\n\n\n
    • Meldepflicht bei konkreten Sicherheitsvorf\u00e4llen, die Auswirkungen auf alle vom Unternehmen geleisteten Dienste haben. Das bedeutet, innerhalb von 24 Stunden m\u00fcssen Firmen den Beh\u00f6rden eine Fr\u00fchwarnung \u00fcbermitteln. Sp\u00e4testens nach 72 Stunden muss ein Bericht \u00fcber den Sicherheitsvorfall gegeben werden. In besonders schweren F\u00e4llen sollten unbedingt die Nutzer der Dienste eine Information erhalten.<\/li>\n<\/ul>\n\n\n\n

      Wirksame Ma\u00dfnahmen f\u00fcr verschiedene Aufgabenfelder<\/strong><\/p>\n\n\n\n

      Es ist empfehlenswert, alle zielf\u00fchrenden Security-Ma\u00dfnahmen in drei Handlungsfelder aufzuteilen, n\u00e4mlich in die technische Pr\u00e4vention sowie die detektiven und korrektiven To-Dos. Zur technischen Pr\u00e4vention geh\u00f6rt beispielsweise die Transformation von Unternehmensprozessen in die Cloud. Das kann die Public-, Private- oder Hybrid-Cloud sein, was immer auch am besten zum Unternehmen, seinen Anforderungen, seinem Gesch\u00e4ftsziel oder seiner Struktur passt. Das Handlungsfeld sollte folgende wesentliche Ma\u00dfnahmen enthalten:<\/p>\n\n\n\n

        \n
      • zielf\u00fchrende Security-Aktivit\u00e4ten und den Einsatz einer Cloud<\/li>\n\n\n\n
      • die Implementierung von Zero Trust Strategien und die notwendigen Umstrukturierungen im Unternehmen,<\/li>\n\n\n\n
      • eine Mehr-Faktor-Authentifizierung f\u00fcr interne und externe Zugriffe und alle privilegierten Benutzerkonten.<\/li>\n\n\n\n
      • regelm\u00e4\u00dfig umgesetzte Penetrationstests bei kritischen oder neuen Systemen.<\/li>\n\n\n\n
      • zuverl\u00e4ssige Backup-Systeme und getestete Recovery-Prozesse. Denn wenn etwas schief gehen kann, dann wird es auch irgendwann schief gehen. Auf solche unweigerlichen F\u00e4lle sollten Unternehmen vorbereitet sein, damit die kritischen Gesch\u00e4ftsprozesse stets verf\u00fcgbar bleiben.<\/li>\n<\/ul>\n\n\n\n

        Das alles sollte von geeigneten organisatorischen Ma\u00dfnahmen begleitet werden:<\/p>\n\n\n\n

          \n
        • Dokumentation aller Security- und Transformationsma\u00dfnahmen<\/li>\n\n\n\n
        • Definition und Zuweisung von Rollen und Verantwortlichkeiten<\/li>\n\n\n\n
        • Schriftliche Fixierung von ma\u00dfgeblichen Regelwerken sowie<\/li>\n\n\n\n
        • Umsetzung eines Schulungsprogramms f\u00fcr die Mitarbeiter<\/li>\n<\/ul>\n\n\n\n

          In den Bereich der detektiven Ma\u00dfnahmen fallen<\/p>\n\n\n\n

            \n
          • alle Abl\u00e4ufe, die dazu dienen, Angriffe zu entdecken und und Schwachstellen zu identifizieren. Das sind Leistungen, die vor allem Cloud-Anbieter abdecken k\u00f6nnen, da dies zu ihren t\u00e4glichen Aufgaben geh\u00f6rt.<\/li>\n\n\n\n
          • Besonders geeignete Detektionsl\u00f6sungen sind Extended oder Proaktive Detection & Response (XDR beziehungsweise PDR) sowie Advanced Monitoring & Resolution (AMR). Mit ihnen werden Sicherheitsvorf\u00e4lle aufgesp\u00fcrt und automatisiert ad\u00e4quate abwehrende Handlungen eingeleitet. Auch bei diesen Handlungsfeldern ist eine Beauftragung von spezialisierten Dienstleistern sinnvoll, um von deren Erfahrungswerten zu profitieren, die Unternehmen selten aufweisen k\u00f6nnen.\u00a0<\/li>\n<\/ul>\n\n\n\n

            ZU den korrektiven Ma\u00dfnahmen geh\u00f6ren<\/p>\n\n\n\n

              \n
            • die Aktualisierung und kontinuierliche Optimieren aller Security-Aktivit\u00e4ten,<\/li>\n\n\n\n
            • die Cyber-Resilienz des Unternehmens,<\/li>\n\n\n\n
            • die Compliance,<\/li>\n\n\n\n
            • der Einsatz eines Plan-Do-Check-Act (PDCA)\u2013Schemas,<\/li>\n\n\n\n
            • die gesammelten Erfahrungen und festgestellten Verbesserungsnotwendigkeiten,<\/li>\n\n\n\n
            • die Analyse vergangener Sicherheitsvorf\u00e4lle<\/li>\n\n\n\n
            • sowie Pr\u00e4vention und Detektion<\/li>\n<\/ul>\n\n\n\n\n\n\n\n

              Jetzt oder nie \u2013 einen verbesserten Sicherheitsschutz in Angriff nehmen<\/strong><\/p>\n\n\n\n

              Betroffene Unternehmen sollten so fr\u00fch wie m\u00f6glich IT auf Basis des aktuellen Technikstands gegen Cyber-Angriffe sch\u00fctzen. Die Umsetzung muss auf Grundlage von dokumentierten Risikoanalyse- und Informationssicherheitskonzepten erfolgen. Hier ist es ratsam, die Zusammenarbeit mit spezialisierten Dienstleistern, die die notwendigen Kompetenzen f\u00fcr das Projekt mitbringen, zu eruieren. Der Vorteil: Es muss kein Spezial-Knowhow im Unternehmen aufgebaut werden, die Mitarbeiter k\u00fcmmern sich weiter um die Dinge, f\u00fcr die sie verantwortlich sind.<\/p>\n\n\n\n

              Die Richtlinie ist tats\u00e4chlich eine Chance, die Grundlagen des eigenen IT-Sicherheitskonzepts (falls vorhanden) zu hinterfragen. Zuerst sollte der Status Quo genau erfasst werden. Aus den Ergebnissen wird eine Roadmap mit den notwendigen Ma\u00dfnahmen erstellt. Dazu geh\u00f6ren auch die technischen Anforderungen, die L\u00f6sungen zur Pr\u00e4vention und Detektion, die Ma\u00dfnahmen zur Bew\u00e4ltigung von Informationssicherheitsvorf\u00e4llen sowie die Verschl\u00fcsselung der Daten. Und nicht zuletzt das Vulnerability Management, eine gesicherte Kommunikation und die Multi-Faktor-Authentifizierung (MFA).<\/p>\n\n\n\n

              F\u00fcr die Sicherung der IT-Systeme, Zug\u00e4nge und Daten ist es ratsam, das Zero-Trust-Modell einzuf\u00fchren. Dessen Grundprinzip: \u201eVertraue keiner Person, keinem Ger\u00e4t und pr\u00fcfe alles\u201c f\u00fchrt zu einem hohen Schutzniveau. Auch sollte die IT vom On-Premises-Ansatz zur Cloud weiterentwickelt werden. Denn tats\u00e4chlich z\u00e4hlt die Cloud zu den sichersten Orten \u00fcberhaupt und bietet sogar die M\u00f6glichkeit, das Unternehmensgesch\u00e4ft auszubauen und die Kundenbeziehung zu verbessern.<\/p>\n\n\n\n

              Es gibt kaum etwas, was sich so schnell ver\u00e4ndert, wie die Art und Weise von Cyber-Angriffen, da sie permanent auf die Abwehrstrategien reagieren und neue Wege finden m\u00fcssen, um erfolgreich zu sein. Cyber-Crime ist heute eine Industrie geworden und wird entsprechend organisiert. Eine Vernachl\u00e4ssigung der kontinuierlichen Optimierung aller Sicherheitsma\u00dfnahmen kommt nicht allein unweigerlich in Konflikt mit den Compliance-Forderungen, sondert f\u00fchrt auch zu erheblichen Reputationssch\u00e4den und finanziellen Einbu\u00dfen, wenn deswegen ein Angriff gelingt.<\/p>\n","protected":false},"excerpt":{"rendered":"

              Seit einigen Wochen ist die neue Richtlinie NIS-2 zur Netz- und Informationssicherheit in Kraft und l\u00f6st die Version NIS-1 ab. Mit ihr sollen sich Unternehmen und Organisationen in der Europ\u00e4ischen Union besser auf die hohe IT-Gef\u00e4hrdungslage einstellen. Doch nicht jedes Unternehmen ist davon betroffen und viele haben noch nicht einmal mit der Umsetzung begonnen. Doch da gem\u00e4\u00df nationalem Recht die Umsetzung sp\u00e4testens im Oktober 2024 erfolgt sein muss, ist jetzt die Zeit gekommen, mit dem Projekt zu beginnen.<\/p>\n","protected":false},"author":1,"featured_media":23205,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,22],"tags":[17201,4711,17200,16634,17199,5240],"class_list":["post-23197","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-cloud","tag-massnahmen","tag-mfa","tag-nis-2","tag-on-premises","tag-rackspace-technology","tag-richtlinie"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23197","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=23197"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23197\/revisions"}],"predecessor-version":[{"id":23206,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23197\/revisions\/23206"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/23205"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=23197"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=23197"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=23197"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}