Von NIS 2 bis zum Cyber Resilience Act befasst sich eine ganze Reihe neuer Richtlinien mit IT-Security. Durch sie soll die Resilienz von Unternehmen europaweit gestärkt werden. Ein Kommentar von Christopher Ehmsen, Managing Director der Deutsche Telekom Cyber Security Austria GmbH.
Die Zahl der Cyberangriffe steigt nach wie vor weltweit kontinuierlich an. Jede Minute sind weltweit vier Unternehmen von einer Ransomware-Attacke betroffen und jeden Tag werden 560.000 neue Malware-Bedrohungen entdeckt. Diese Entwicklung stellt eine immense Gefahr für Organisationen dar, deren Prozesse, Produkte und Zusammenarbeit immer umfassender auf digitalen Technologien beruhen. Nicht nur das wirtschaftliche Überleben von Unternehmen ist von diesen Risiken betroffen, auch unsere lebenserhaltenden Systeme – vom Krankenhaus bis zum Energieversorger – erweisen sich als genauso angreifbar wie digital gesteuerte Produktionsanlagen, Verkehrsmittel oder auch Smartphones.
Vernetzte Produktionsanlagen und Betreiber kritischer Infrastrukturen geraten dabei immer öfter ins Visier der Angreifer. Inzwischen sind sich auch Regulierungsbehörden und Gesetzgeber darüber im Klaren, dass Cybersecurity uns alle betrifft. Während Europa in der Vergangenheit Datenschutz-Pionier war, ziehen zahlreiche Länder und Regionen nach und etablieren entsprechende Reglements. So soll die NIS-Richtlinie einen hohen Sicherheitsstandard der Netz- und Informationssysteme innerhalb der Europäischen Union gewährleisten.
Umgesetzt wird die Richtlinie in Österreich durch das NIS-Gesetz (NISG), das seit Ende 2018 in Kraft ist. Die Anforderungen betreffen Betreiber wesentlicher Dienste (BwD) und Anbieter digitaler Dienste (AdD) und beinhalten die Implementierung von Sicherheitsmaßnahmen und die unverzügliche Meldung von Sicherheitsvorfällen. Des Weiteren müssen betroffene Einrichtungen mindestens alle drei Jahre die Sicherheitsmaßnahmen für ihre Netz- und Informationssysteme nachweisen.
Umfassendes Risikomanagement
Als Reaktion auf die sich entwickelnde Bedrohungslage für Cybersicherheit haben das Europäische Parlament und der Rat der EU nun auch die NIS-2-Richtlinie verabschiedet. Diese wurde Ende 2022 veröffentlicht und trat am 16. Jänner 2023 in Kraft. Die EU-Mitgliedstaaten haben nun bis 17. Oktober 2024 Zeit, die darin enthaltenen Vorgaben in nationales Recht umzusetzen. Diese Richtlinie nimmt Einrichtungen, die für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind, in die Pflicht, sich mit Cybersicherheits-Agenden zu befassen, um so die Resilienz von Unternehmen gegenüber Cyberangriffen europaweit zu stärken.
Während sich in der ersten Generation der NIS-Richtlinie vor allem Betreiber kritischer Infrastrukturen verantworten mussten, so erweitert die zweite Generation, NIS-2, ihren Umfang um eine Vielzahl weiterer Unternehmen, mit dem Ziel, die Cyber-Resilienz EU-weit auf ein höheres Niveau anzuheben. Unternehmen stehen nun vor der Herausforderung in dieser kurzen Zeit die in der Richtlinie vorgegebenen Maßnahmen umzusetzen. Bei Nichteinhaltung drohen hohe Geldstrafen.
Der Kern der neuen NIS-2-Regelung basiert auf der Durchführung eines Risikomanagements zur Ermittlung und Bewertung von möglichen IT-Sicherheitsrisiken und potenziellen Cyberangriffen. Zudem sind Unternehmen dazu verpflichtet, Sicherheitsvorfälle, die Auswirkungen auf die kritische Dienstleistung haben, an die Behörden sowie an die Empfänger dieser Dienstleistung zu melden.
Auch die Sicherheit der Lieferkette findet erstmalig Berücksichtigung in der Richtlinie. Organisationen müssen nun auch Risiken direkter Zulieferer im Rahmen ihres Risikomanagements bedenken und bewerten. Damit rückt auch die Sicherheit von Produktionsanlagen zunehmend in den Fokus. Die Einführung smarter Maschinen und Lieferketten macht Unternehmen unweigerlich von externen Prozessen und dynamischen Daten abhängig.
IT-Resilienz stärken
Doch während Organisationen im IT-Sicherheits-Umfeld meist schon zumindest rudimentäre Security-Lösungen zur Abwehr und Detektion von potenziellen Angriffen implementiert haben, wird die Sicherheit von Produktionsanlagen und Maschinen oft vernachlässigt. Schafft es ein Angreifer allerdings einmal in die Produktionsumgebung vorzudringen, kann dies fatale Folgen haben. Es drohen hohe Erpressungssummen, Imageschäden, Diebstahl von sensiblen Daten und Intellectual Property und schlimmstenfalls die Gefährdung von Menschenleben.
Die NIS-2-Richtlinie beinhaltet demnach neben Vorgaben zur Sicherheit von IT- und OT-Systemen auch Vorgaben zu physischer Sicherheit. Damit soll nicht nur die IT-Resilienz gestärkt werden, sondern auch die Resilienz produktionsfähiger Anlagen. Beide brauchen aber eine unterschiedliche Betrachtung. Während im IT-Security-Umfeld vor allem die Vertraulichkeit und der Schutz von Daten im Vordergrund steht, betrachtet man in der OT-Security Steuersignale oder Kommandos, bei denen Verfügbarkeit und Laufzeit kritisch sind.
So sind zum Beispiel Verfahren wie die in der IT übliche Datenverschlüsselung im OT-Umfeld unter Umständen ein Risiko für die Verfügbarkeit von Echtzeitsignalen. Eine Konvergenz zwischen IT und OT zu schaffen, ist für einen optimalen Schutz vor Cyberangriffen unerlässlich. Der Schutz von Industrieanlagen erfordert Maßnahmen, die Skills, Technologien und Prozesse im IT- und OT-Umfeld berücksichtigen.
Ihr Unternehmen zählt zur kritischen Infrastruktur – was nun? Als Deutsche Telekom Cyber Security Austria empfehlen wir, langfristig zu denken, auch wenn der sehr enge Umsetzungszeitplan zur Eile drängt. Eine einmalige Bewertung der Risikolandschaft und der Maßnahmen kann Ihre Geschäftsprozesse und Assets nicht nachhaltig schützen – und wird auch die Prüfenden nicht überzeugen. Nur mit einem funktionierenden Managementsystem können Sie den Anforderungen von NIS sinnvoll begegnen.
Wir unterstützen Sie bei der Umsetzung der geforderten Sicherheitsmaßnahmen, von der Beratung über Assessment zur Bestimmung Ihres aktuellen Sicherheitsniveaus bis hin zur Implementierung konkreter Sicherheitslösungen um Ihre IT/OT-Resilienz nachhaltig zu stärken.
Erste Schritte zu einer sinnvollen IT- und OT-Resilienz sehen so aus:
- Risikoanalyse durchführen: Die Identifikation und Bewertung von IT- und OT-Sicherheitsrisiken dient nicht nur einer frühzeitigen Erkennung von potenziellen Schäden, sondern kann auch die Reaktionszeit im Falle eines Angriffes wesentlich verkürzen.
- Abhängigkeiten lokalisieren: Identifizieren und halten Sie Ihre kritischen Systeme und Kommunikationspfade fest.
- Schwachstellen managen: Arbeiten Sie nicht einfach die Liste der Schwachstellen der Reihe nach ab, sondern beginnen Sie mit denen, die ein tatsächliches Risiko darstellen. Meist sind das jene Systeme, die auf den Kommunikationspfaden zu kritischen Systemen liegen.
- Mitarbeiter*innen schulen: Eine gute Verteidigungsposition basiert auf dem Zusammenspiel zwischen Know-how, Technik und Prozessen. Geschulte Mitarbeiter*innen sind ein kritischer Faktor für eine gute Verteidigungsbasis.
- Threat Hunting durchführen: Unternehmen sollten sich nicht damit begnügen, während oder nach einem Sicherheitsvorfall aufzuräumen, sondern auch aktiv nach Hinweisen für künftige Angriffe suchen.
- Patches einspielen: Patchen Sie regelmäßig Ihre IT- und OT-Systeme. Lassen sich ältere Systeme, wie sie vor allem in Produktionsumgebungen zu finden sind, nicht direkt patchen, so kann man eventuell ein Upstream Patching im kritischen Kommunikationspfad durchführen.
- Systeme visualisieren: Einen hundertprozentigen Schutz gegen Cyberangriffe gibt es leider nicht, daher kann gerade im Schadensfall die Visualisierung der Systeme die Wiederherstellungszeit signifikant reduzieren.
(Bilder: Deutsche Telekom Cyber Security Austria, iStock)