In dieser Blogpost-Trilogie untersuchen wir, welche Auswirkungen die aktualisierte europäische Richtlinie zur Netz- und Informationssicherheit (NIS2) auf Unternehmen (oder Einrichtungen, wie sie in der Richtlinie genannt werden) haben wird. Im 1. Teil werden die praktischen Einschränkungen erörtert, denen viele Unternehmen bei der Umsetzung der Anforderungen begegnen werden. Teil 2 erläutert, wie diese Einschränkungen umschifft und die spezifischen Anforderungen an Sichtbarkeit und Angriffserkennung erfüllt werden können. Schließlich zeigt Teil 3, dass die NIS2 in der Tat Teil eines größeren Plans ist, um die Cybersicherheit in der gesamten Branche zu stärken, nicht nur in kritischen und wichtigen Unternehmen.
Die europäische NIS2-Direktive wird spätestens im Oktober 2024 für einige Bewegung in Unternehmen sorgen. Bis dahin muss die Direktive für Cybersicherheit in Kritischen Infrastrukturen und (besonders) wichtigen Einrichtungen in deutsches Recht überführt werden. In Deutschland wurde hierfür bereits das NIS2-Umsetzungsgesetz angestoßen, das im Referentenentwurf von April 2023 bereits einen Einblick in die Vorgaben bietet.
Für alle Unternehmen, die bereits das novellierte IT-Sicherheitsgesetz (IT-SiG 2.0) umsetzen mussten, gibt es eine gute Nachricht: Sie erfüllen bereits einen Großteil der Anforderungen. In Teilen hat das IT-SiG 2.0 die kommende NIS2 vorweggenommen. Dennoch geht NIS2 ein paar Schritte weiter.
Eigentlich ganz einfach, aber…
Grundsätzlich bilden die zehn Kategorien das täglich Brot eines funktionierenden Informationssicherheitsmanagementsystems (ISMS) ab, welches das gesamte Spektrum von der Prävention über den Betrieb eines Sicherheitssystems bis zum Notfallmanagement abdeckt.
Auf präventiver Seite stehen:
- Richtlinien und Arbeitsanweisungen zur Informationssicherheit, die allen Mitarbeitenden im Unternehmen klare technische und Verhaltensvorgaben geben. Nach dem Prinzip der Cyberhygiene sollen diese durch regelmäßige Schulungen so weit von allen Mitarbeitenden verinnerlicht werden, dass sie zur Gewohnheit werden. Das bedarf eines langen Atems.
- Human-Resources-Security-Prozesse, die Cybervorfälle durch internes Fehlverhalten weiter mindern sollen, indem Cybersicherheit bereits Teil des Recruitings wird. Das heißt, zukünftige Mitarbeitende müssen vorab auf ihre Vertrauenswürdigkeit und Zuverlässigkeit geprüft werden. Auch für die Beendigung des Arbeitsverhältnisses muss ein Prozess etabliert werden, der verhindert, dass ehemalige Mitarbeitende zum Sicherheitsrisiko werden. Es wird sicherlich immer Lücken geben. Und Wut (z. B. über eine Kündigung) macht auch die entspanntesten Menschen unberechenbar. Trotzdem helfen solche Prozesse enorm, die Wahrscheinlichkeit eines internen Sicherheitsvorfalls zu reduzieren.
- technische Minimalmaßnahmen, die Informationssicherheit in und außerhalb des Unternehmens gewährleisten. Klassischerweise gehören hierzu:
- striktes Berechtigungs- und Zugangsmanagement mit Multi-Faktor-Authentifizierung (MFA) und Single-Sign-On (SSO). Letzteres mag paradox klingen, da es den Zugang zu mehreren Applikationen mit nur einem Satz an Benutzerdaten erlaubt. In der Praxis hat sich aber gezeigt, dass Mitarbeitende bei SSO eher zu starken Passwörtern greifen, da sie sich nur eins merken müssen. Es bedarf jedoch einer starken Systemintegration. MFA wiederum bedingt, dass alle Mitarbeitenden eine zweite Quelle für die Authentifizierung zur Verfügung haben und bei sich tragen.
- Nutzung sicherer Kommunikationskanäle, die nicht durch Unbefugte zugänglich sind. In der Praxis ist dieser Punkt ein zweischneidiges Schwert, da Unternehmen heutzutage größtenteils Plattformanbieter wie Google, Microsoft, Zoom oder Meta nutzen. Diese bieten zwar eine verhältnismäßig gute Sicherheitsperformance, werfen aber u.U. datenschutzrechtlich aufgrund ihres US-amerikanischen Sitzes einige Fragen auf.
- soweit möglich Verschlüsselung der digitalen Kommunikation und Datenablage. In der Praxis ist das zumindest in der OT – häufig aufgrund von Echtzeitprozessen – bislang nur eingeschränkt möglich, auch wenn es immer mehr Angebote in dieser Hinsicht gibt.
- Business-Continuity-Prozesse, die auch im Fall der Fälle das Funktionieren eines Unternehmens oder zumindest die schnelle Wiederherstellung dessen ermöglichen. Dazu gehören mehrstufige Backups, ein stringenter Disaster Recovery Plan (DR) und ein erprobtes Krisenmanagement. Hierzu gehört auch zu wissen, was eigentlich an welchen Stellen schief gelaufen ist (dazu mehr im zweiten Teil der NIS2-Blogserie).
Der Sicherheitsblick nach Außen
Soweit, so gut. Damit sind die eigenen Mitarbeitenden eingenordet, die unternehmensinternen Systeme und Kommunikationswege abgesichert und ein funktionierendes Notfallmanagement etabliert. Bleibt die seit Jahren diskutierte Problematik, dass Unternehmen immer mit anderen Unternehmen zusammenarbeiten, von diesen Applikationen erwerben und mit ihnen Daten austauschen. Kurz: Jedes Unternehmen ist eng verzahnt mit und abhängig von anderen Unternehmen, auf deren Cybersicherheit sie keinen Einfluss haben.
Bei der Vielzahl von Drittanbieter-Komponenten in der OT reicht ein unsicheres Gerät für die Netzwerk-Penetration durch Supply Chain Compromise (Quelle: Pixabay)
Die NIS2 adressiert dieses durchaus reelle Problem mit zwei neuen Anforderungen:
- Cybersicherheit muss Kernaspekt beim Kauf von IT/OT-Systemen oder -Dienstleistungen sein.
- Cybersicherheit muss Kernaspekt bei der Auswahl von Zulieferunternehmen sein. Das soll sogar so weit reichen, dass beim Zulieferer eine sichere Produktentwicklung forciert werden soll.
Diese Anforderungen der NIS2 sind absolut zu begrüßen, weil sie berücksichtigen, wie vernetzt und komplex heutzutage wirtschaftliche Verhältnisse sind. Sie machen NIS2 zudem zu einer Direktive, die über einen geschickten Schachzug, gewissermaßen ALLE Unternehmen am Markt – und nicht nur die explizit gelisteten – zu Cybersicherheit verpflichten (doch dazu später mehr in Teil 3 unserer Trilogie).
Mittelfristig hat das ganz praktisch jedoch zwei Konsequenzen für Unternehmen, die unter NIS2 fallen:
- Die Auswahl an zur Verfügung stehenden Systemen, Geräten, Applikationen und Dienstleistungen wird sich (zumindest zunächst) stark einschränken. Das ist in Deutschland bereits bei der Auswahl von Smart Metern der Fall, die im Gegensatz zu anderen Ländern einer Sicherheitszertifizierung (in Deutschland durch das BSI) bedürfen. Rein theoretisch dürften Unternehmen, die unter NIS2 fallen, dann nur noch mit Subunternehmen zusammenarbeiten, die ein ISMS nach ISO 27000 betreiben oder die IEC 62443 umgesetzt haben.
- Um nicht komplett handlungsunfähig zu sein – denn mal ehrlich: Welche OT-Systeme und -Komponenten würden Sie als sicher bezeichnen? – müssen unsichere Geräte und Systeme während des Betriebs (noch) stärker überwacht werden. Das gilt insbesondere bei kritischen Systemen und Komponenten.
So wird das nichts mit dem Smart Grid, wenn nur wenige Smart Meter mit integrierter Cybersicherheit zur Verfügung stehen. (Quelle: Unsplash)
Die technischen und prozessbedingten Einschränkungen in der OT sowie die mindestens mittelfristig nicht komplett umsetzbare Supply Chain Security bedeuten, dass die Prävention von Cybervorfällen nur sehr bedingt in OT-Umgebungen umgesetzt werden kann. Der Trend geht deshalb von der reinen Prävention zur kontinuierlichen Überwachung und Detektion als zweite Frontlinie der Cybersicherheit. Auch das hat die NIS2 im Blick.
Mehr dazu im 2. Blogpost zur NIS2.